XXXX村镇银行 网上银行业务风险管理制度
第一章 总则
第一条 为加强XXXX村镇银行(以下简称“我行”)网上银行风险管理,通过建立有效的机制,实现对我行网上银行风险的识别、监测和控制,促进网上银行安全、持续、稳健运行,推动业务创新,提高信息技术使用水平,增强核心竞争力和可持续发展能力。根据银监会《电子银行安全评估指引》和《电子银行业务管理办法》的要求,制定本体系及相应规章制度。
第二条 本办法适用于我行各管理部门、业务部门、营业机构及全体员工。
第二章 内容概述
第三条 要达到落实风险管理的目的,须通过建立相应的安全管理组织架构及规章制度来进行。
此部分包括三个方面的内容:
1.网上银行安全体系组织架构设计(以下简称组织架构); 2.网上银行安全职能/角色设计(以下简称职能/角色); 3.网上银行安全系统的内部控制机制。
1 第三章 网上银行安全组织架构图
第四条 我行网上银行角色设计:
在执行董事下设置信息科技管理委员会,信息科技管理委员会负责信息安全管理工作,其中一部分为网上银行安全管理,兴业银行(委托方)为我行信息系统外包服务商,负责我行外包信息系统软件开发及运行维护。
网上银行安全管理角色分布在下述部门,分别是营业部、财务会计部、信息科技部。网上银行安全组织架构如下图所示:
第四章 职能简介
第五条 执行董事职能: 1.批准网上银行的安全策略;
2.批准网上银行安全体系内各部门信息安全职责; 3.负责组织信息科技管理委员会;
4.审核信息系统安全报告,并做出相关的决定; 5.确保建立安全体系所必需的资源。 第六条 信息科技管理委员会职能:
1.负责组织信息资产的风险评估,对风险评估报告进行评审,并制定相应的风险控制措施;
2.负责监视运营过程中信息资产所面临的威胁和脆弱点的重大变化,适时组织进行风险评估,确定信息资产的风险接受等级,对网上银行业务运营中出现的信息安全隐患及时提出控制措施;
2 3.负责评审重大信息安全违规、违纪及泄密事件,并建议处理意见;
4.负责网上银行安全体系的策划;
5.向执行董事报告网上银行安全体系的运行情况和任何改进的需求; 6.确保网上银行安全体系所需的过程建立、实施和保持; 7.确保提高全体员工的信息安全意识;
8.批准我行的信息安全策略和风险控制措施,可接受的风险等级及残余风险; 9.批准业务连续性计划;
10.批准对已证实的重大的安全违规、违纪事件及泄密事件的处理意见;
11.批准并组织实施内部审计计划;
12.与网上银行安全体系有关事宜的对外联络。 第七条 网上银行信息安全管理职能: 1.负责宣传和贯彻银行的信息安全策略; 2.负责组织网上银行安全体系文件的编制;
3.协助信息科技管理委员会进行信息安全体系的建设,保证网上银行安全管理体系的有效运行;
4.及时向信息科技管理委员会报告重大的信息安全事故; 5.负责计算机网络规划,制定网络安全策略并实施; 6.负责通信系统运行安全;
7.负责监视运营过程中计算机和网络所面临的威胁和脆弱点的重大变化,及时完善安全策略,保证计算机网络的安全;
3 8.负责离职员工计算机数据清理及杀毒;
9.负责信息安全体系内部审核工作的组织和实施; 10.负责制定、实施员工信息安全培训计划。 第八条 信息安全审计监察职能: 1.负责网上银行整体安全审计工作; 2.审核各部门网上银行安全策略文件; 3.审核各部门网上银行安全策略执行情况; 4.审核各部门网上银行安全记录; 5.审核各部门网上银行安全整改情况;
6.负责我行系统内各类案件、事故的立案、调查、处理工作,并做好管理、统计与分析工作。 第九条 行政管理职能:
1.负责职能范围内有关信息安全管理文件的编制; 2.负责根据我行有关保密规定,审查对外发布的信息,防止泄密事件的发生;
3.负责我行归档文件和资料的信息安全管理工作; 4.负责我行传真机对外收、发信息的安全; 5.负责组织员工安全意识与安全技能培训; 6.负责进行人员安全管理;
7.负责网上银行业务风险管理所涉及的法律事务工作,并负责网上银行业务知识产权的保护工作。 第十条 安全保卫职能:
1.负责我行的安全保卫工作,并制定相应的安全保卫制度; 2.负责我行消防设施的建设、管理,并制定相应的防火、防盗安全管理制度;
4 3.负责向信息科技管理委员会报告重大的防火、防盗安全事件,并及时进行适当的处理; 4.负责门禁管理系统的运行和维护,并监督物理环境的安全;
5.负责电视监控及电视监控系统的维护。发现安全隐患应进行及时报告、处理;
6.负责安防报警系统的24小时监控和维护,一旦发生安防报警应立即处理。
第十一条 网上银行业务安全管理职能: 1.协助宣传和贯彻银行的信息安全策略; 2.协助网上银行安全体系文件的编制;
3.协助信息科技管理委员会进行信息安全体系的建设,保证网上银行安全管理体系的有效运行; 4.负责网上银行业务安全的建设、管理;
5.及时向信息科技管理委员会报告重大的信息安全事故; 6.贯彻落实网上银行监管的各项规定与政策,编制各类报表并及时上报;
7.拟定网上银行管理、运营的各项规章制度;
8.配合市场营销部门提供客户服务,配合市场营销部门组织开展网上银行业务的市场调研、产品开发及产品完善工作;
9.落实网上银行风险管理政策及内控要求,确保网上银行业务运行的连续性和安全性。 第十二条 信息系统运维管理职能:
5 1.负责制定信息系统运维相关资产管理、介质管理、设备管理、监控管理、网络安全管理、系统安全管理、恶意代码防范管理、密码管理、信息系统变更管理、安全事件处理、数据备份与恢复管理、信息系统应急预案、密码安全、交付管理等相关规章制度; 2.负责信息系统运维环境网络安全管理;
3.负责信息系统运维环境物理机房安全监控管理; 4.负责信息系统运维环境主机安全管理,包括但不限于对服务器操作系统、数据库等安全进行管理; 5.负责信息系统运维环境应用安全管理;
6.负责信息系统运维环境数据安全管理,包括但不限对外包服务所涉及的重要业务数据、鉴别信息等的安全管理。
第五章 网上银行安全系统的内部控制机制 第十三条 内部控制环境:
内部控制环境是网上银行内部控制体系运行的基础和土壤,是推动网上银行安全运行,健康发展的引擎,是内部控制体系的关键所在。我行网上银行内部控制环境主要包括网上银行安全体系的组织架构及其职能、内部控制政策和程序。
网上银行安全体系组织架构的设置是把实现风险控制目标所需要的工作进行分解,并根据专业化分工、有效协调和精简节约的原则进行机构与部门的设计,以规范网上银行风险管理工作及其相互间的关系。
6 第十四条 安全体系和技术: 1.网络及安全设备拓扑图
2.网络及安全设备的布署策略 见兴业银行 3.整体安全策略
因特外网和DMZ区接入互联网,直接面对各种攻击,对系统安全性要求较高,因此在设计系统方案的时候,充分的考虑了系统对安全方面的特殊要求,在网络、硬件、系统、应用、数据等五个层面考虑了详细的安全措施:
3.1 网络安全
(1)网银WEB服务器和外部因特网间采用防火墙进行隔离,网银WEB访问只能访问位于DMZ停火区的服务,并在该防火墙上只接受443端口的HTTPS的访问。
(2)所有的HTTPS访问由SSL安全网关认证客户身份,并
7 建立SSL安全通道,实现通讯安全。SSL安全网关双臂链接,确保外部密文,内部才有明文。
(3)SSL安全网关将解密的请求提交给IPS入侵防御服务器,检测各类攻击,阻断恶意的通信。IPS入侵防御双臂链接。
3.2 硬件安全
(1)本系统中配置的所有计算机系统均采用当前成熟的计算机安全方案,满足C2级安全标准。
(2)平台设备的配置应考虑设备运行的安全稳定,系统达到最大容量时,平台所有设备能安全稳定运行。
(3)核心硬件均考虑了双电源设计方案。 3.3 系统安全
(1)本此配置的系统中均采用unix或linux操作系统,具有较高的安全性,同时在实施中将严格按照当前最新的补丁进行加载,并在后续维护中及时更新系统安全补丁,以保证系统的安全性。
(2)在系统实施中,通过启用日志功能和安全审计功能,及时对系统进行安全审计,保证系统的安全性
3.4 应用安全
(1)系统在数据传输、处理等过程中提供数据检验,核对功能和纠错功能,以保证应用系统的正常运行。
(2)主机操作系统定期进行自动备份。
(3)通过系统软件功能,系统管理用户可以方便地对系统数据进行维护,清理过期的和挤压的数据或文件。
(4)系统具有提供分权分级管理功能,只有系统管理员可以使用超级用户登录。
8 3.5 数据安全
数据传输采用SSL安全通道包括保证数据传输过程中不被侦听、不被篡改、插入等。
4.业务安全策略
网上银行系统通过安全代理服务器、防火墙等系统来保证系统的安全性,以及通过负载均衡来保证系统的高可用性,这只是从网络环境和系统结构的角度保证系统安全,整个网上银行系统的安全性应该是一个多层次的概念。
网上银行系统本身还需要从业务功能的角度来保证网上银行业务的安全性。主要从以下几个方面来保证:
(1)严格的用户权限管理机制,灵活的用户角色划分和管理;
(2)多维的交易权限管理机制,企业关键交易提供多重组合授权功能;
(3)涉及账务的关键交易要求做数字签名; (4)完备的交易日志和操作日志;
(5)个人网银、企业网银都使用双重身份认证,个人网银使用静态密码+动态口令卡或静态密码+带按键的U-key;企业网银全部使用静态密码+带按键的U-key;
(6)高风险账户操作定义:账户转移资金单笔超过1000元,日累计超过3000元,高风险账户操作必须使用带按键的U-key。
4.1 登录控制
个人网银客户使用安全证书、登录ID和登录密码进入个人网银系统。
企业网银客户使用安全证书、登录ID和登录密码进入企业
9 网银系统。
首次登录强制修改密码,提示密码强度,对于密码设置过于简单的强制要求修改密码。
登录日志中记录客户访问系统的远程IP地址和时间等详细信息,可以统计客户访问系统的次数。
对于不使用证书登录的应用系统登录页面,会产生图形格式的随机附加码(该功能可由银行选择使用),用户在输入认证信息后,还需要输入此附加码方可登录系统,防止用程序恶意破解密码。
系统还对客户登录密码输入次数进行记录,如果客户密码输入次数累计达到一定的值(具体值由银行设置),系统会自动将此客户冻结,防止恶意攻击。
4.2 会话管理(Seion)
网上银行系统与应用服务器的会话管理结合,实现多种会话的建立和管理,让不同的会话采用统一的管理机制。以及动态负载均衡状态下的会话数据同步。同时实现会话的超时管理,有效防范避免黑客使用已经失效的会话攻击系统,同时防止垃圾会话数据占用内存,影响系统性能甚至使系统无法工作。
网银系统中登录的每一个客户都会有唯一Seion用于保存客户在运行期内的主要信息,以供客户交易时使用,在客户退出系统时失效;同时,为避免过多的占用系统资源,以及从安全的角度考虑,系统中未使用的Seion(因客户操作不当造成)在存在一定时间后会失效。Seion管理包括:Seion建立,Seion超时处理,Seion清理。
4.3 Seion管理机制
10 系统会在客户登录成功之后为其在应用服务器内存中建立Seion,在客户后续的交易请求中,系统不断检查内存中Seion的有效性,如果Seion失效(没有、超时或被人窜改),则交易请求是非法的,系统不予接受。
4.4 Seion超时处理
Seion超时处理包括两部分:Seion时间戳重置,Seion超时检查。
Seion时间戳重置是指在有新的交易请求提交到交易平台时,系统首先检查Seion是否超时,如果未超时,则重置Seion的时间戳,继续后续操作;否则,执行Seion超时处理,向客户返回超时信息。
Seion超时检查是指为防止垃圾Seion的在内存中堆积而占用系统资源,系统通过后台线程定时检查超时Seion,并将其从内存中清除,从而释放系统资源。
4.5 Seion实时检查
网上银行系统里各种复杂交易流程都是通过交易步骤的形式参数化配置到XML文件中去的。网上银行交易请求发送到交易平台时,在每个交易的配置定义中,第一个交易步骤必须是Seion检查交易步骤,来检验Seion有效性。
当交易请求不是直接发送到交易平台,而是通过发送到JSP页面来完成交易时,在响应请求的JSP页面头部也有加入Seion检查代码,来检验Seion有效性。
4.6 用户角色管理
网上银行系统对使用该系统的各子系统的不同类用户进行统一的角色划分。每一种角色都分配给对应该角色权限的功能组
11 合。登录网上银行的用户都有确定的角色,根据自己所属角色得到权限范围内的网上银行功能菜单。这样就能把属于不同角色的客户权限严格分开。
角色的划分以及角色对应功能的分配都可以由系统管理员灵活定制。另外各级管理柜员(内部管理子系统的管理柜员)或企业管理员(对公网银子系统的企业管理员)还可以对自己有权管理的网银用户进行基于角色的功能过滤,即在每个用户所属角色对应的功能组的基础上,进一步进行个性化的功能过滤。
系统用户把交易请求发送到交易平台后,首先进行seion校验,在校验通过后即进入权限校验的交易步骤。在该环节主要是根据用户所属角色和功能过滤情况判断该用户是否有操作该交易的权限。
4.7 用户权限设置
个人网银子系统用户需要设定单笔转账限额和每日转账限额,通过设定限额的方式来减小个人转账带来的风险。
对公网银子系统的操作员的用户分为提交人和授权人。提交人有指令提交的权限,授权人没有指令提交的权限,授权人可以对指令进行授权操作。客户可以设置每笔转账的最大限额和客户账户一天的最大转账限额。
(1)指令提交人只有基本限额。授权人的操作限额分为基本限额和组合限额。只有指令在第一次被授权时,系统优先判断授权人的基本限额,其它情况下的授权,系统都只使用授权人的组合限额做处理。
(2)特殊业务客户可自行制定授权的先后顺序,如可优先进行组合授权。
12 (3)对指令提交人还有日累计转账限额,提交人在当日内提交的所有指令的金额的总和小于等于日累计转账限额,否则指令不能提交。
(4)指令分为单笔指令和批量指令两种。企业的用户只有开通批量的权限,提交人才能提交批量指令,授权人才能对批量指令进行授权。批量指令的处理,采取客户端离线录入,上传网银服务器后在线复核模式。
4.8 交易信息的防篡改
为防止交易信息被篡改,网银客户端采用了两个机制。 (1)提交的交易信息以图片的形式显示给客户确认。客户提交的交易信息包括转出帐号、转入帐号、金额、币种、同时提取相关信息生成确认码,以上信息生成图片,客户检查图片内容,输入确认码,完成交易信息确认。
(2)对提交交易信息的整个网页进行数字签名。 4.9 交易的提交签名和多级批复机制
当有提交转账交易的操作员提交转账交易时,系统通过安全代理,要求用户数字签名,用户输入证书密码后,安全代理对需要签名的数据(服务器端指定)签名后传回服务器。只有通过签名验证的交易才能被确定。
企业网上银行支持多人多级授权方式,可以适合不同企业不同的的财务授权制度。
提交人提交指令时,如果提交指令的金额不超过(小于或等于)提交人的基本限额,指令不需授权就由系统进行发送处理;如果提交指令的金额超过(大于)提交人的基本限额,指令等待授权人授权。
13 4.10 批量指令的签名提交和多级批复机制
与一般转账交易的处理流程类似,如果采用安全代理服务器,则需要用户自己对批量文件通过所提供的批量签名程序进行签名。签名后,由具有批量提交权限的用户传递到网上银行系统,等待具有批量批复权限的用户进行批复。
4.11 我行内部管理交易的授权
对于我行内部管理交易中的关键交易,网上银行系统提供两种授权模式,一种是柜员提交时需要授权柜员输入授权柜员号和授权密码;另一种模式是柜员提交后,需要授权柜员登录网上银行内部管理系统,对柜员提交的指令进行批复。
4.12 可疑日志查询
我行内部管理的柜员可以登录网上银行内部管理系统,查询可疑的日志,可疑日志的记录类型包括密码连续输入错误导致用户被冻结等。我行可以通过客户服务系统或统一消息发送平台等渠道通知用户。
4.13 关键信息加密存储
系统对所有关键信息(如密码),都加密成密文进行存储,防止内部柜员读取关键信息明文。
4.14 支付指令核押
对于每一笔支付指令,系统都根据指令关键信息生成一个支付密码串,供后台系统核押,有效防止内部人员伪造支付指令。
4.15 应用访问控制
系统只开放提供用户访问的接口,而且通过接口只能完成系统提供的功能,有效防范黑客攻击。
4.16 日志审计
14 网上银行系统具有完备的日志审计功能。用户每次登录、退出及用户的每次交易都会产生一个完整的审计信息,并进行记录。这样就方便日后的查询、核对等各项工作。
第十五条 风险监测与识别
内部审计部门根据业务的性质、规模和复杂程度,对网上银行相关系统及其控制的适当性和有效性进行监测。内部审计部门配备足够的资源和具有专业能力的信息科技审计人员,具有适当的授权访问本银行的记录。同时可以在符合法律、法规和监管要求的情况下,委托具备相应资质的外部审计机构对网上银行进行外部审计,在委托审计过程中,要确保外部审计机构能够对网上银行的硬件、软件、文档和数据进行检查,以发现存在的风险。
由财务会计部专门负责网上银行的风险管理工作,负责协调制定有关网上银行的风险管理策略,尤其是在涉及信息安全、业务连续性计划和合规性风险等方面,为业务部门、内部审计部门和电子银行部提供建议及相关合规性信息,实施持续风险监测,跟踪整改意见的落实,监控信息安全威胁和不合规事件的发生。
科技部将扫描查找假冒网站及其他针对网上银行的犯罪活动纳入日常工作程序,定期搜索假冒网站、假冒客服电话,检查网站链接的可靠性,并通过网站、客服电话等渠道接受公众举报。建立健全Web服务器异常访问监控机制及渗透性攻击检测机制,通过对Web服务器访问日志提取和分析,及时监控端口扫描、暴力破解等可疑行为。
第十六条 风险信息处理与报告
我行网上银行安全组织架构中的各部门按照各自职能执行风险管理工作,并直接向信息科技管理委员会或安全负责人报告
15 重大信息安全事故、安全体系建设情况、安全策略文件等工作。由信息科技管理委员会或安全负责人负责监督各项职责的落实,定期向来自高级管理层、电子银行部、信息科技部和主要业务部门的代表组成的专门信息安全领导小组汇报网上银行风险管理执行的整体状况。按有关规定,由突发事件应急处置领导小组办公室执行重大突发事件报告制度,在规定时间内向青岛市人民政府、青岛银监分局、人民银行青岛市中心支行等有关单位报告。
第十七条 信息披露和客户风险教育
我行依据有关法律法规的要求,发现风险立即采取防范措施,并通过网站或其他渠道规范和及时披露网上银行风险状况,有效维护存款人和其他客户的合法权益,促进网上银行安全、稳健、高效运行。
我行将通过柜台提醒、网站提醒、上门培训、发放客户风险提示手册等多渠道向客户进行风险教育。
第十八条 应急处理
我行网上银行安全系统建立事故管理及处置机制,及时响应信息系统运行事故,逐级向相关的网上银行管理人员报告事故的发生,并进行记录、分析和跟踪,直到完成彻底的处置和根本原因分析。建立服务平台,为客户提供相关技术问题的在线支持,并将问题提交给相关部门进行调查和解决。
第十九条 持续改进
风险是不断变化的,要实现对风险的动态防范,内部控制体系必须具有动态性和自我改进机制。内部控制体系不是一个静态系统,而是一个可以进行持续改进的动态系统,能随内部环境的变化和国家法律法规、政策制度等外部环境的改变及时进行相应
16 的修改和完善。我行网上银行通过内部审核、内部控制政策、内部控制目标、内部控制评结果、风险识别与评估结果和风险控制方案执行情况的监控、管理评审、各种内部或外部检查或审计稽核以及内控相关数据的分析与记录,纠正和预防措施等,不断地对内控体系的目标、政策、程序进行调整和完善,提高风险内控体系的有效性、适宜性、合规性和充分性。
第六章 附则
第二十条 本办法由我行负责解释和修订。 第二十一条 本制度自下发之日起施行。
