1、1商业银行科技风险案例 63 条中国银行业监督管理委员会信息中心二一年八月2序 言当前,信息技术已经渗透到商业银行经营管理的各个领域,银行业已成为信息技术高度密集、高度依赖的行业,同时也是受信息科技风险影响最大的行业之一。信息系统的安全性、可靠性和有效性不仅是商业银行赖以生存和发展的重要基础,还关系到整个银行业的安全和国家金融体系的稳定。根据近几年国际上出现的信息系统故障事件分析,如果银行信息系统中断 1 小时,将直接影响该行的基本支付业务;中断 1 天,将对其声誉和市值造成极大伤害;中断 23 天以上不能恢复,将直接危及银行乃至整个金融系统的稳定。同时,随着网上银行、电子商务等网络金融服务的
2、快速发展,利用网络信息技术的犯罪活动也日益增加,威胁银行业信息安全、针对网上银行的案件呈上升趋势,对客户利益和对银行声誉带来的危害不容忽视。2004 年,巴塞尔新资本协议将信息科技风险明确划归操作风险的范畴,使得信息科技风险管理成为了银行全面风险管理体系中的重要组成部分。近年来,银监会对银行信息科技风险管理高度重视,对银行信息科技风险管理提出了明确要求。各商业银行也普遍提高了对信息科技风险管理的关注程度,银行业的信息科技风险管理水平不断提高。3在取得成绩的同时,必须清醒地意识到存在的问题与不足。近年来国内外信息科技风险事件时有发生,系统重大停机宕机、核心业务系统中断、网站安全漏洞、网上银行虚假
3、交易、客户资金被窃取等。后果严重,教训深刻,网络与信息安全形势不容忽视。这些事件的发生再次向我们敲响警钟:信息科技工作一旦发生问题就是重大问题。信息科技风险就在身边,强化风险监管刻不容缓。以史为镜知兴替,以案为鉴明得失。基于此,银监会组织专人对银行业金融机构计算机犯罪案件和信息安全事件进行了认真梳理,从中选择有代表性和借鉴意义的典型案例,开创性地编写了银行业科技风险警示录 。该书汇编刊印工作非常适时,非常必要,在银行业计算机犯罪与信息安全事件研究方面迈出了可喜的一步。入选案例都具有较高的借鉴价值,为银监会系统的 IT 风险监管工作提供了有效资料,为各银行业金融机构和广大员工提供了警示教材。这些
4、素材新、内容全、深入浅出、富有新意的案例分析无论对银行风险管理部门、信息科技部门继续深入研究相关案例,还是对银行高管人员、审计人员以及从事相关业务的广大员工,都具有实践的借鉴价值和指导作用。银行业科技风险警示录汇编教材意义重大,值得肯定。“前事昭昭,足为明戒” 。银监会系统一定要高度重视4信息科技风险管控工作。切实分析好、利用好这些案例,认真查找银行业金融机构在内控管理、安全防范、信息技术等方面存在的差距与不足,清醒把握当前防范计算机犯罪与信息安全面临的形势。采取有针对性的监管措施,指导银行业金融机构落实内控、提高信息安全管理能力,遏制计算机犯罪快速上升势头。各银行业金融机构要能够吸取这些案例
5、的教训,警钟长鸣,积极开展多种形式的信息科技风险警示教育,做好计算机案件与信息安全事件防范工作,促进在更大范围和更高层次上提升信息科技风险防范水平。我们坚信:通过提高信息科技风险防范意识,完善信息科技风险管理机制,计算机案件和信息安全事件的发生概率就会大大降低,所造成的影响和损失也将会大大减轻。是为序。郭利根二一年八月5前 言随着信息科技在银行业金融机构客户服务、营销、内控、经营管理等工作中应用的不断深入,涉及信息技术的犯罪案件与信息安全事件不断发生,且呈现快速上升趋势。近年来出现的一些重大金融信息科技风险案例表明,信息系统为金融机构日常运营提供了重要的基础支持,银行业的稳健经营离不开对信息科
6、技风险的有效管理。国外两大事件将科技风险管控重要性昭示天下。2001年 9 月 11 日恐怖分子劫持飞机撞击美国纽约世贸中心。该恐怖袭击事件瞬间彻底毁灭了数百家公司所拥有的重要数据,令近九百家机构因此倒闭,美洲银行、德国银行、国际信托银行、帝国人寿保险公司、摩根斯坦利金融公司、美国商品期货交易所等数十家世界金融巨头遭受了重大损失。2009 年 11 月 8 日黑客集团成功入侵苏格兰皇家银行(RBS)旗下信用卡公司的计算机网络,伪造假卡,在不足 12小时内从全球至少 280 个城市的 2100 部提款机提取逾 900万美元现金,使 RBS 集团短时间内损失惨重。如果不能对信息科技风险进行有效管控
7、,一些信息科技案件或事件必将对银行业持续稳健运行带来重大威胁。鉴于此,银监会信息中心组织专人对银行业金融机构6计算机犯罪和信息安全事件进行认真梳理,从中选择部分有代表性和一定借鉴意义的典型案例,编写了银行业科技风险警示录 。银行业科技风险警示录收集了中国银行业金融机构 20042010 年初所发生的具有代表性的 98 个计算机犯罪案件和信息安全事件。入选案例通常在多家银行发生,且具有银行机构信息科技风险管理工作中普遍存在的薄弱环节、共性缺陷。汇编此书,意欲举一反三,警示昭告,引发银行机构高管人员、风险管理部门、信息科技部门、审计部门以及各相关业务部门的高度重视,以认真汲取事故教训,采取措施,堵
8、塞漏洞。银行业科技风险警示录中各案例内容分别包括“案例描述” 、 “案例分析”两个部分。 “案例描述”部分主要是以有关银行提供的事件分析报告为依据,简要介绍案例概况;“案例分析”部分深入浅出地对案件内部深层次原因进行剖析,以反映银行机构信息安全面临的严峻形势。在每节后附“防范对策与建议” ,通过各家银行的实际防范经验总结为银行建立解决方案提供借鉴。银行业科技风险警示录着重突出了以下特点:一是素材新。入选的 98 个计算机犯罪案件和信息安全事件具有普遍典型意义,部分案例为国内首次披露。二是内容全。通过向全国银行业金融机构广泛征集案例,保证了内容的7覆盖面和信息量,基本做到了案件与事件、历史与现状
9、、中资银行与外资银行、不同规模银行业机构等的兼收并蓄。三是富有新意。 银行业科技风险警示录对案例内容尝试性引入了危害指数、影响指数和频度指数进行风险分级。其中,危害指数主要侧重从案件对行业的冲击力及对银行客户的影响面进行分析;影响指数主要侧重从事件对银行持续经营的影响度进行分析;而频度指数主要从发生概率(案件和事件)或作案难易度(仅针对案件)进行定性分析。案例的风险类型与发生根源分析则借鉴了巴塞尔新资本协议的要求和分类方式。四是深入浅出。注重技术深度和通俗易懂的结合,每个案例做到了情况描述全面细致、原因分析切中要害、对策建议切实可行,具有较好的完整性、前瞻性和实用性。同时,力避生硬技术性论述,
10、数据主要以图、表形式进行罗列和分析,使读者一目了然。中国银行业监督管理委员会信息中心二一年八月8目 录第一章 信息科技相关案件 .11第一节 网上银行类案件 .21案例 1: 篡改网银交易数据盗取客户资金 .21案例 2: 利用内嵌病毒邮件盗取客户资金 .22案例 3: 通过木马盗取客户资金之一 .23案例 4: 通过木马盗取客户资金之二 .24案例 5: 远程操纵客户计算机盗取资金 .25案例 6: 攻击网站获取客户信息盗取资金 .26案例 7: 窃取客户网银证书作案 .27案例 8: 盗取同事账户作案 .28案例 9: 利用假证件开通网上银行作案 .29案例 10: 嗅探网银系统作案 .3
11、0案例 11: 非法破解用 户密码作案 .31第二节 内控缺陷类案 件 .34案例 12: 非法办理存折配卡作案 .34案例 13: 篡改系统数据虚开存单作案 .35案例 14: 篡改账户状态非法结息作案 .36案例 15: 篡改账务数据盗取资金 .38案例 16: 利用综合业务系统漏洞作案之一 .39案例 17: 利用综合业务系统漏洞作案之二 .40案例 18: 利用贷款业务系统缺陷作案 .41案例 19: 利用储蓄业务系统漏洞作案 .42案例 20: 盗用他人柜员密码挂失存单作案 .43案例 21: 盗取他人柜员密码空存资金作案 .44案例 22: 盗用他人柜员密码虚列利息支出作案 .45
12、案例 23: 盗用系统权限冒名贷款作案 .46案例 24: 伪装外包人员混入银行营业室作案 .47案例 25: 利用外包管理漏洞盗取客户信息作案 .48案例 26: 编制非法程序窃取客户信息作案 .49案例 27: 盗取客户信息篡改数据库作案 .50案例 28: 窃取数据仓库客户信息作案 .51第三节 自助设备类案件 .54案例 29: 加装特殊装置盗取银行卡信息作案 .54案例 30: 张贴虚假告示骗取客户信任作案 .64案例 31: 利用自助设备的自动保护功能作案 .72案例 32: 利用自助设备功能模块缺陷作案 .74案例 33: 利用自助设备系统程序漏洞作案 .75案例 34: 通过砸
13、撬 ATM 机等暴力手段进行作案 .76案例 35: 一些其他银行卡犯罪案件 .78第二章 信息科技相关 事件 .829第一节 硬件设备故障 .93事例 1: 主机宕机处置不及时导致系统交易停止 .93事例 2: 存储设备故障致重要应用系统中断 .94事例 3: 主机配件故障导致银行对外服务中断 .94事例 4: 备机电源模块故障导致主机系统宕机 .95事例 5: 主机电源故障导致核心业务长时间停止 .96事例 6: CPU 主板硬件故障致系统中断 .97事例 7: 存储设备故障致系统中断 .98事例 8: 交换机接触不良致业务中断 .98事例 9: 核心交换机故障致业务中断 .99事例 10
14、: 存储光纤交换机宕机致系统中断 .100事例 11: 机房地面震动引起机房设备电源频发故障 .101事例 12: 交换机协议不兼容导致网络通信异常 .102事例 13: 光端机通讯板卡故障致业务中断 .102事例 14: 网络设备配置不当致系统中断 .103事例 15: 加密机故障导致银行卡交易长时间中断 .104第二节 软件系统故障 .107事例 16: 加密平台设计缺陷引发交易拥堵 .107事例 17: 压力测试不充分导致系统服务中断 .108事例 18: 需求交流不充分导致部分银期转账无法正常处理 .109事例 19: 监控系统缺陷导致业务瘫痪 .110事例 20: 主机系统缺陷导致业
15、务系统运行不畅 .111事例 21: 程序性能缺陷导致交易缓慢 .111事例 22: 应用程序缺陷导致银证交易异常 .112事例 23: 第三方存管系统运行故障引发服务中断 .113事例 24: 系统容量不足导致系统运行意外终止 .115事例 25: 应用系统故障影响客户服务 .116事例 26: 对批量操作的管理不善引发系统停机 .117事例 27: 系统交易堵塞引发系统崩溃 .118事例 28: ATM 程序故障造成吞卡及交易失败 .119事例 29: 系统变更缺陷导致 ATM 透支事故 .120事例 30: 光纤传输速率波动引发业务系统故障 .121事例 31: 系统数据库意外宕机造成业
16、务数据丢失 .122事例 32: 数据库软件缺陷引发业务交易堵塞 .123事例 33: 数据库升级异常引发系统故障 .124事例 34: 备份操作异常导致银行卡交易中断 .124事例 35: 疏于备份导致银行客户数据丢失 .125事例 36: 操作失误引发综合业务系统停止服务 .126事例 37: 操作不当导致银行现金业务中断 .127事例 38: 系统设置错误导致卡业务故障 .128第三节 外围保障设施 故障 .131事例 39: 操作不慎导致核心系统服务中断 .131事例 40: UPS 系统故障导致呼叫中心停止服务 .131事例 41: 外包服务商违规操作导致银行服务中断 .13210事
17、例 42: 双回路切换器故障引发银行供电隐患 .133事例 43: 供电系统老化及演练不到位导致服务中断 .134事例 44: 电力转换系统故障引发供电中断 .136事例 45: 市变电站突发设备故障导致银行业务中断 .137事例 46: 光端机设备故障造成通讯中断 .138事例 47: 电信运营商设备故障导致业务无法正常办理 .138事例 48: 域名未及时备案导致网上银行被封 .139事例 49: 与银联沟通不畅引起银行卡业务异常 .140第四节 网络攻击事件 .143事例 50: 遭受恶意攻击门户网站间歇性中断 .143事例 51: 遭受恶意攻击短暂影响网银访问 .144事例 52: 及
18、时化解恶意攻击确保网银业务正常运行 .145事例 53: 域名解析错误引发网络流量剧增 .147事例 54: SQL 注入篡改信托公司网站数据库 .148事例 55: 架构漏洞导致银行网站被植入恶意链接 .148事例 56: 设置钓鱼网站,假冒网上银行系统 .149第五节 有害程序事件 .153事例 57: 办公电脑感染病毒导致网络阻塞 .153事例 58: 防病毒软件更新不及时导致全行网络流量异常 .153事例 59: 数据库补丁更新不及时引发业务中断 .154事例 60: 前置程序感染病毒导致自助设备无法使用 .155第六节 灾害性事件 .158事例 61: 台风破坏通讯设施导致银行网点停业 .158事例 62: 火灾导致银行供电中断 .158事例 63: 雷击损坏网络设备导致银行呼叫中心通讯中断 .159后 记 .162
