中国银行业监督管理委员会办公厅关于防范网银客户信息泄露风险

提示的通知

银监办发[2010]第29号

20xx年1月29日

各银监局，各政策性银行、国有商业银行、股份制商业银行，邮政储蓄银行：

近期，某银行业金融机构在对网银系统监控中发现了不法分子攻击迹象，已及时报案并协助公安部门迅速破获了案件。为提高银行业金融机构对类似事件的风险防范及应急处置能力，现就该案件有关情况及风险提示通知如下：

一、案例概况

不法分子根据互联网上下载的“特征码识别程序”自行编写了密码猜解软件，该软件在进行账号、口令猜测的同时，“特征码识别程序”能自动识别不断变化的验证码。不法分子利用密码猜解软件，通过锁定某一固定密码反复轮询账号的方式，对多家银行业金融机构的网银系统发起暴力猜测攻击，最终非法获取了两家银行数百个客户的网银账号、查询密码等信息。

二、主要风险点

此案中被不法分子攻击的某银行由于监控到位、及时报警，没有造成客户资金损失，但是暴露出银行业金融机构在网银系统安全方面存在的一些薄弱环节。

一是网银系统“验证码”复杂度不足。被攻击银行的网银系统“验证码”仅采用简单的数字或字母，未进行变形和扭曲，复杂度不高，利用“特征码识别程序”自动识别的准确率几乎达到100%。 二是网银系统缺乏对密码复杂度的检测与提示机制。本案中不法分子尝试成功的密码均为“888888”、“666666”、“555555”、“123456”等弱口令，显示出一些客户缺乏密码设置的安全意识，而网银系统缺乏对密码复杂度的检测与提示机制，增加了不法分子破解密码的可能性。

三是缺乏有效的监测和报警机制。不法分子在发起攻击时，曾经在同一天内，使用同一IP地址和不同账号尝试网银登录高达10多万次，而部分银行缺失监测机制，在接到公安部门配合调查、取证的通知时才获悉网银系统遭到非法攻击。

四是缺乏报告意识。在互联网环境下，不法分子攻击范围广泛，攻击手段不断翻新，因此各银行业金融机构及时了解风险趋势并采取防范措施十分必要。本案中涉及的银行业金融机构均未向银监会及其派出机构报告，监管部门不能及时掌握有关情况并向各银行业金融机构警示风险。

…… …… 余下全文

浅谈商业银行存在的风险点及防范措施

一、商业银行一般存在的风险

1、人员配备不足风险

该风险主要是指业务机构由于人员配备不足引发的各种非系统性管理风险。其主要表现和危害是：业务岗位的设置和管理缺乏应有的检查和制约机制，基层行人员配备达不到制度要求，混岗，兼岗、业务处理一手清等现象大量存在，业务分级授权制度无法落实，这些问题的存在造成银行内部业务操作成为“良心活”，为职业道德败坏的内部人员作案提供了可乘之机，形成潜在风险。

2、账户管理风险

账户管理风险是指由于主客观因素影响，放松对客户开户条件的审查和账户活动情况的监督从而导致的风险。这里所说的客户既包括公司客户，也包括私人客户。该风险的主要表现为：一是不按银行账户管理有关规定开立和使用账户，开户手续不全或资金性质与账户类别不符；二是不按规定与开户单位定期办理对账，使存在的问题长期难以发现；三是对长期不动户清理不及时。

3、单位预留印鉴卡片及客户签章（字）管理风险

印鉴卡管理风险主要是银行对印鉴卡管理不善，为犯罪分子所用进而盗取银行或他人资金的风险。其风险表现一是银行对单位预留印鉴卡片的管理不严，未分人保管，及时核对，相互制约；二是银行工作人员对单位更换印鉴手续的审查未按照规定要求执行，使犯罪分子得以“掉包”印鉴实施诈骗；三是由于单位人员不慎，致使印鉴为犯罪分子获取并拓制，利用银企对账和重要空白凭证等管理漏洞窃取单位资金。印鉴卡管理上存在的风险既有单一的外部作案，也有相当数量的内外勾结作案。

客户签章（字）管理风险主要是银行柜员在办理业务过程中对客户签章要求不严，产生漏签、代签等现象，使银行资金出现风险损失。其风险表现一是银行柜员对客户签章（字）的重要性认识不足，尤其是对私人客户，在挂失、领用卡折、重要凭证、更改客户信息等业务中审查不严，导致出现风险时客户逃避责任、银行垫付资金的现象。二是办理业务时对授权代理现象缺乏法律意识，造成无效代理、过期代理等行为出现，一旦客户恶意逃避银行债务，就会形成银行损失的被动局面。

…… …… 余下全文

参考模式

银行支行（季度/上半年/年度）风险分析报告

概 述（简要概括辖内整体风险状况）

第一部分 风险状况分析

一、总体情况

XX月末，全行资产总额XX万元，比上期XX万元。其中，信贷类资产余额XX万元，比上期XX万元；不良余额XX万元，比上期XX万元；不良占比XX%，比上期XX个百分点。非信贷资产余额XX万元，比上期XX万元；不良余额XX万元，比上期XX万元；不良占比XX%，比上期XX个百分点。

全行负债总额XX万元，比上期XX万元，其中各项存款余额XX万元，比上期XX万元，同比XX万元。

全行利润总额XX万元，比上期XX万元，同比多XX万元。

资产负债情况简表

单位：万元、％

二、信用风险状况分析

XX月末，全行各项贷款余额XX万元，按贷款五级分类，正常、关注、次级、可疑和损失余额情况，占比情况，较上期变化情况；从期限结构看，中长期贷款贷款情况，占比情况，较上期变化情况；短期贷款和票据融资情况，占比情况，较上期变化情况。

表外信贷资产余额XX万元，比上期XX万元；垫款余额XX万元，比上期XX万元；表外业务保证金余额为XX万元，比上期XX万元；风险敞口XX万元，比上期XX万元。

（一）不良贷款变动情况

1、处置及新发生不良贷款情况

XX月末，全行处置不良贷款XX万元。其中：清收不良贷款本金XX万元，盘活不良贷款本金XX万元，接收抵债资产XX万元，核销呆账贷款XX万元，其他方式XX万元。

本期新发生不良贷款XX万元，其中法人客户发生XX万元，占比XX%；个人客户发生XX万元，占比XX%。新发生不良贷款较多的支行是：XXXXXX；主要客户是：XXXXXX。

列举新发生不良贷款案例。

不良贷款变动情况表

单位：万元

说明：其他方式是指由于借款人财务状况发生重大好转等因素或者其他原因，贷款分类由不良类上调至正常类和关注类贷款的情况。

…… …… 余下全文

关于安全使用网上银行保障账户资金安全的风险提示

近期，有不法分子通过手机发送短信，冒充银行提示持卡人的银行卡需要升级，并提供与银行网站相似的假网址，持卡人按此网址登录后被盗取账号及密码信息，造成资金损失。针对此类情况，为防范诈骗行为，保护金融消费者账户资金安全，特提醒广大金融消费者：

一、要通过正确的网址登陆网上银行，不要通过其他网站链接或不明短信中提供的网址进行登陆，避免泄漏个人账户信息。

二、不要轻信来历不明的短信或电话，如遇要求银行卡升级或通知账户资金发生变动等情况，应拨打正确的银行客服电话进行确认。

三、严格保护好个人身份信息、银行账户信息（如银行卡号、网银登录名称、登录密码等），避免信息外泄被不法分子利用，造成资金损失。

四、妥善保管好银行发放的数字证书、动态令牌等关键身份验证工具，不外借或将密码透露给他人。

…… …… 余下全文

风险提示

1. 您每次使用网上银行后，请点击页面右上角的“安全退出”结束使用，并拨出U盾妥善保管。

2. 请您网上购物进行支付时，不要开启操作系统、MSN和QQ等工具的远程协助功能，一定要在核对支付金额和订单金额无误后再确认支付。

3. 请您在登录网上银行和进行网上支付时，要注意防范假冒工行网站的欺诈。为帮助您识别假网站，工行为您提供了防钓鱼网站安全控件，请及时下载安装。

4. 如果您使用“U盾+短信认证”或“电子银行口令卡+短信认证”的业务模式，请在交易过程中认真核对短信发送编号、收方账号和交易金额等信息是否与正在进行的交易事项一致。

…… …… 余下全文

XXXXX风险隐患全面排查工作方案

安庆银监分局：

根据《转发XX银监局关于在全省银行业金融机构开展风险隐患全面排查工作的通知》（宜银监转[2012]12号）文要求，我行积极组织学习，加大对各部门的检查力度，督促内控合规部对各部门、各项业务及所有人员进行风险隐患排查，现将排查工作汇报如下：

一、从业人员行为风险隐患排查

加强制度建设，初步形成具有本行特色的行为准则制度体系。根据银监会20xx年出台的《工作人员守则》、“约法三章”、现场检查若干纪律规定、履职回避、履职问责等100多项会规会纪，以及20xx年出台的《操守指引》，制定或修订了一系列本单位员工行为准则，并在各项业务制度中有针对性地引入行为准则的相关规定。

采取得力措施，促进制度的贯彻落实。将制度规定等行为准则融入员工管理的各个环节，与员工录用、劳动合同管理、绩效考核等相结合，逐步形成约束有力、奖惩严格、切实有效的动态管理机制和评估机制。

各级领导人员积极带头，形成较好的引领和示范效应。本行各级高管人员充分发挥领导带头作用，自觉遵守各项行为准则，正确处理市场拓展与风险防范、产品创新与审慎合规等方面的关系。通过述职述廉、廉政谈话、教育培训等多种监督方式，不断加大对领导班子和中层干部的监督制约力度。

加大风险隐患排查，推进合规文化和廉政文化建设。通过开展深 1

入广泛的排查，确保本行员工不参与民间借贷或融资活动，不与资金掮客、典当行、小额贷款公司、担保公司存在资金往来，不参与黄赌毒，不热衷购买彩票、炒房、炒股、炒汇、买卖期货以及黄金现货交易等，通过不断的排查，提高员工合规文化价值理念。

二、信访及声誉风险隐患排查

一是认真落实“三个”责任制。认真落实预防责任制、信访事项首办责任制和领导责任制，强调信访工作办事程序和失职追究。 二是继续开展矛盾纠纷排查化解工作。深入基层，深入员工，采取有利措施帮助员工排忧解难。围绕内部员工利益群体反映强烈的突出问题，行外群众反映的业务纠纷和投诉，以及潜在的群体性事件苗头隐患，坚持经常性排查与集中排查、全面排查与重点排查、区域排查与部门排查相结合，全面深入地开展矛盾纠纷排查，并对排查出的问题认真进行疏理分析，有针对性地采取措施加以化解。

…… …… 余下全文

关于电话银行的风险提示

近期，中国银监会接到报告，反映在个别地方，有人假冒多家金融机构提供电话银行服务，以此骗取客户的银行卡卡号和密码等个人信息。为此，特别提醒

各银行业金融机构、邮政储蓄机构及社会公众注意识别和防范。

一、据报告，已发现的欺诈手法主要如下：有人给客户发送短信，谎称其中奖，并提供一个联系的固定电话。客户拨打该电话后，电话中会自动语音提示各家银行的电话银行号码，在客户选择其中一家后，系统会提示客户输入银行卡卡号和客户密码，并称可以提供银行卡的查询、密码修改等服务。一旦客户输入的的卡号和密码信息被获取后，有可能被不法分子利用以盗取客户账户的资金。

二、现在，国内电话银行服务主要有两类：一是各家银行使用的全行统一客户服务电话，此电话号码一般均已印制在客户的银行卡上，客户应直接使用此电话银行服务；二是当地分支机构或营业网点中正式公布的可供客户咨询、办理有

关业务的电话号码。

客户应特别注意，不要使用经过其他电话号码连接后的“电话银行服务”；目前，也没有一家银行或邮政储蓄机构可通过一个电话号码同时提供多家银行的电话银行服务。客户不要轻信任何非正常渠道提供的电话银行服务，如有发现，应立

即与相关的商业银行和邮政储蓄机构联系，及时反映情况。

三、客户在设置电话银行密码时，不要使用过于简单的数字（如6个6，6个8等），不要使用自己的出生日期、电话号码等容易被人猜中的数字作为密码，也不要使用与电子邮件或连接互联网相同的密码；可以考虑分开设置查询密码和交易密码，并定期进行修改；应注意保护自己的密码，不要轻易向任何人泄露，

避免由此给自己带来的损失。

…… …… 余下全文