中国银监会办公厅关于防范网银客户信息泄露风险提示的通知
中国银监会办公厅关于防范网银客户信息泄露风险提示的通知
文章属性
【制定机关】中国银行业监督管理委员会(已撤销)
邮政网银登陆【公布日期】2010.01.29
【文 号】银监办发[2010]29号
【施行日期】2010.01.29
【效力等级】部门规范性文件
【时效性】现行有效
【主题分类】银行业监督管理
正文
中国银监会办公厅关于防范网银客户信息泄露风险提示的通知
  (银监办发〔2010〕29号)
  各银监局,各政策性银行、国有商业银行、股份制商业银行,邮政储蓄银行:
  近期,某银行业金融机构在对网银系统监控中发现了不法分子攻击迹象,已及时报案并协助公安部门迅速破获了案件。为提高银行业金融机构对类似事件的风险防范及应急处置能力,现就该案件有关情况及风险提示通知如下:
  一、案例概况
  不法分子根据互联网上下载的“特征码识别程序”自行编写了密码猜解软件,该软件在进行账号、口令猜测的同时,“特征码识别程序”能自动识别不断变化的验证码。不法分子利用密码猜解软件,通过锁定某一固定密码反复轮询账号的方式,对多家银行业金融机构的网银系统发起暴力猜测攻击,最终非法获取了两家银行数百个客户的网银账号、查询密码等信息。
  二、主要风险点
  此案中被不法分子攻击的某银行由于监控到位、及时报警,没有造成客户资金损失,但是暴露出银行业金融机构在网银系统安全方面存在的一些薄弱环节。
  一是网银系统“验证码”复杂度不足。被攻击银行的网银系统“验证码”仅采用简单的数字或字母,未进行变形和扭曲,复杂度不高,利用“特征码识别程序”自动识别的准确率几乎达到100%。
  二是网银系统缺乏对密码复杂度的检测与提示机制。本案中不法分子尝试成功的密码均为“888888”、“666666”、“555555”、“123456”等弱口令,显示出一些客户缺乏密码设置的安全意识,而网银系统缺乏对密码复杂度的检测与提示机制,增加了不法分子破解密码的可能性。
  三是缺乏有效的监测和报警机制。不法分子在发起攻击时,曾经在同一天内,使用同一IP地址和不同账号尝试网银登录高达10多万次,而部分银行缺失监测机制,在接到公安部门配合调查、取证的通知时才获悉网银系统遭到非法攻击。
  四是缺乏报告意识。在互联网环境下,不法分子攻击范围广泛,攻击手段不断翻新,因此
各银行业金融机构及时了解风险趋势并采取防范措施十分必要。本案中涉及的银行业金融机构均未向银监会及其派出机构报告,监管部门不能及时掌握有关情况并向各银行业金融机构警示风险。
  三、风险防控要求
  各银行业金融机构应吸取本案教训,做好以下工作:
  一是要尽快评估此类攻击对网银系统的危害,查“验证码”等当前安全机制存在的问题,及时调整安全策略。并在此基础上,建立网银系统全面、动态的安全评估机制。
  二是建立有效的入侵监控和报警机制,提高对网银系统攻击行为的检测和分析力度。在对各类日志自动分析的基础上,加强人工审核,对任何异常或可疑行为都要进行深入分析、调查。
  三是加强安全防护机制建设,部署多重防护措施,不断提升系统应对互联网各种新兴黑客攻击技术的能力,提高网银系统的整体安全性。
  四是加强客户安全教育,培养客户的安全意识和良好的计算机使用习惯。对于典型案例,要加大警示宣传力度。
  五是强化重大事件报告制度。对于网银等信息系统重要数据损毁、丢失、泄露等事件,必须按照银监会有关要求,在第一时间及时上报银监会及其派出机构。
  请各银监局将本通知转发至辖内银监分局及相关银行业金融机构。
二○一○年一月二十九日

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。