關(guān)于網(wǎng)上銀行U盾管理的風(fēng)險(xiǎn)分析及措施

1、關(guān)于網(wǎng)上銀行U盾管理的風(fēng)險(xiǎn)分析及措施2010-5-4 10:28:50 文章來(lái)源：本站原創(chuàng) 作者：郭瑾關(guān)鍵詞：工商銀行核心提示：工商銀行網(wǎng)上銀行客戶證書是存放客戶身份標(biāo)識(shí)，并對(duì)客戶發(fā)送的電子銀行交 易信息進(jìn)行數(shù)字簽名的電子文件。在多種客戶證書中，USB key證書（以下簡(jiǎn)稱U盾）推廣較為普遍，它是客戶通過(guò)網(wǎng)上銀行辦理資金劃轉(zhuǎn)業(yè)務(wù)的重要身份驗(yàn)證介質(zhì)， 加強(qiáng)U盾證書的管理，就是確?？蛻糍Y金安全的重要環(huán)節(jié)。一、U盾管理中的風(fēng)險(xiǎn)點(diǎn)分析（一）空白U盾的管理2009 年NOVA+1.1.4版本已將營(yíng)業(yè)網(wǎng)點(diǎn)向客戶發(fā)放的空白客戶證書（包括個(gè)人、企業(yè)空白USB key證書）作為重要物品納入要素核算管理系統(tǒng)。空白

2、U盾從收到廠家發(fā)貨起，辦理的出庫(kù)、入庫(kù)、請(qǐng)領(lǐng)、發(fā)放、核對(duì)等都要按照核算要素管理系統(tǒng)的 流程處理，并進(jìn)行控號(hào)管理。管理中存在以下風(fēng)險(xiǎn)點(diǎn)：1 、支行向上級(jí)機(jī)構(gòu)請(qǐng)領(lǐng)時(shí)，上級(jí)機(jī)構(gòu)重點(diǎn)審核請(qǐng)領(lǐng)人的身份，核實(shí)無(wú)誤后方可 辦理出庫(kù)手續(xù)。2 、空白U盾實(shí)物領(lǐng)取時(shí)，出、入庫(kù)人員必須當(dāng)面點(diǎn)清并辦理交接。營(yíng)業(yè)部憑證庫(kù)管庫(kù)員與支行憑證庫(kù)管庫(kù)員、支行憑證庫(kù)管庫(kù)員與柜員間辦理U盾的發(fā)放時(shí)，必須當(dāng)面核對(duì)實(shí)物與核算要素系統(tǒng)中發(fā)放數(shù)量一致。3 、營(yíng)業(yè)終了，柜員對(duì)未使用的空白U盾必須入保險(xiǎn)箱（柜）保管。（二）個(gè)人U盾的啟用與發(fā)放1 、個(gè)人客戶新申請(qǐng)注冊(cè)網(wǎng)上銀行服務(wù)時(shí)，需在中國(guó)工商銀行電子銀行個(gè)人客戶注冊(cè)申請(qǐng)表上注明申領(lǐng)個(gè)人客戶證

3、書，營(yíng)業(yè)網(wǎng)點(diǎn)審核客戶提供的本人身份證件 和注冊(cè)的銀行卡無(wú)誤后，使用“ 7639網(wǎng)銀注冊(cè)、銀行戶口開立”交易，啟用并發(fā)放 個(gè)人客戶證書。2 、個(gè)人客戶對(duì)已注冊(cè)網(wǎng)銀賬戶增加 U盾。已經(jīng)注冊(cè)個(gè)人網(wǎng)上銀行的客戶應(yīng)在 中國(guó)工商銀行電子銀行個(gè)人客戶變更（注銷）事項(xiàng)申請(qǐng)表上注明增加“客戶證書”，柜員使用“ 1538電子銀行客戶認(rèn)證介質(zhì)維護(hù)”交易增加 U盾。遠(yuǎn)程授權(quán)集中后，電子銀行開戶、變更已納入遠(yuǎn)程授權(quán)管理，操作流程為：一 是經(jīng)辦柜員需將電子銀行注冊(cè)申請(qǐng)書、客戶本人有效身份證原件正反面、銀行介質(zhì)、身份證聯(lián)網(wǎng)核查信息，向遠(yuǎn)程授權(quán)中心上傳影像資料。二是現(xiàn)場(chǎng)管理人員核實(shí)客戶 本人辦理；監(jiān)督客戶U盾回執(zhí)；U盾發(fā)放客

4、戶本人；在相關(guān)憑證上簽章確認(rèn)。三是 遠(yuǎn)程授權(quán)人員審核交易畫面與申請(qǐng)書、 銀行 介質(zhì)號(hào)碼、身份證信息一致；審查身份 證聯(lián)網(wǎng)核查信息；審核現(xiàn)場(chǎng)管理人員簽章。個(gè)人U盾的啟用與發(fā)放中存在以下風(fēng)險(xiǎn)點(diǎn)：八、（1）客戶本人辦理網(wǎng)上 銀行注冊(cè)及U盾證書的啟用和發(fā)放。柜員和現(xiàn)場(chǎng)管理人 員操作時(shí)必須認(rèn)真審核客戶身份證件及注冊(cè)卡，審核確認(rèn)客戶身份真實(shí)及賬戶確屬 客戶本人所有。（2）批量辦理個(gè)人電子銀行注冊(cè)業(yè)務(wù)，客戶不在場(chǎng)，由 銀行內(nèi)部人員代客戶輸 入注冊(cè)密碼。（3） U盾證書發(fā)放時(shí)，柜員及現(xiàn)場(chǎng)管理人員必須核對(duì)系統(tǒng)中錄入的U盾號(hào)碼與 發(fā)放給客戶的U盾號(hào)碼一致。（4）U盾必須發(fā)放給客戶本人?，F(xiàn)場(chǎng)管理人員應(yīng)監(jiān)督柜員將 U

5、盾交付客戶本人， 并確認(rèn)客戶本人在個(gè)人 U盾領(lǐng)取回執(zhí)上簽字確認(rèn)。（5）營(yíng)業(yè)網(wǎng)點(diǎn)柜員在向客戶發(fā)放 U盾后，應(yīng)及時(shí)在核算要素管理系統(tǒng)中將 U 盾進(jìn)行銷號(hào)處理。（三）企業(yè)網(wǎng)上 銀行已制客戶證書的管理 企業(yè)申請(qǐng)注冊(cè)網(wǎng)銀時(shí)，柜員按規(guī)定對(duì)資料進(jìn)行審查，無(wú)誤后通過(guò)內(nèi)部管理系統(tǒng) 辦理網(wǎng)銀注冊(cè)業(yè)務(wù)，并由制證網(wǎng)點(diǎn)對(duì) U盾進(jìn)行制證。下面主要從證書制證后，證書 代理網(wǎng)點(diǎn)與開戶網(wǎng)點(diǎn)對(duì)已制證書的交接、客戶領(lǐng)取證書及密碼信封、對(duì)已領(lǐng)取的證 書解凍三方面分析交接環(huán)節(jié)的風(fēng)險(xiǎn)點(diǎn)。1 、企業(yè)網(wǎng)上 銀行已制客戶證書的交接。 證書代理網(wǎng)點(diǎn)通過(guò) 空白重要憑證登記 簿與開戶網(wǎng)點(diǎn)或業(yè)務(wù)代理網(wǎng)點(diǎn)辦理已制證書及密碼信封的交接。風(fēng)險(xiǎn)點(diǎn)：（1）已制

6、作但尚未發(fā)放的客戶證書不能由具有證書解凍權(quán)限的柜員保管。（2）領(lǐng)取客戶證書及密碼信封應(yīng)雙人分別傳遞、分別保管，按規(guī)定領(lǐng)取?？蛻?證書及密碼信封須由雙人分別入 保險(xiǎn)柜（箱）保管。（3） 已經(jīng)制作完成的客戶證書作為重要空白憑證，按證書種類納入820099 科 目下指定專戶核算，登記“空白重要憑證登記簿”。以往核查中發(fā)現(xiàn)，營(yíng)業(yè)網(wǎng)點(diǎn)在 領(lǐng)回已制證的證書后，如客戶當(dāng)日取證的，部分營(yíng)業(yè)網(wǎng)點(diǎn)未納入表外進(jìn)行核算。2 、客戶領(lǐng)取證書及密碼信封?？蛻籼峤恢袊?guó)工商銀行企業(yè)客戶證書領(lǐng)取單 及領(lǐng)取人身份證件，開戶網(wǎng)點(diǎn)審核無(wú)誤后發(fā)放證書及密碼信封，客戶在客戶證書領(lǐng) 取單上簽收。風(fēng)險(xiǎn)點(diǎn)：客戶證書領(lǐng)取人與企業(yè)指定的證書領(lǐng)取人

7、為同一人。柜員必 須核實(shí)領(lǐng)取人身份證件，以及中國(guó)工商銀行企業(yè)客戶證書領(lǐng)取單加蓋的印章與 銀行的預(yù)留 銀行 印鑒一致。3 、對(duì)已領(lǐng)取的證書解凍。 證書解凍柜員憑已批注證書及密碼信封領(lǐng)取時(shí)間， 以 及營(yíng)業(yè)網(wǎng)點(diǎn)柜員簽章齊全的 中國(guó)工商 銀行企業(yè)客戶證書領(lǐng)取單 ，對(duì)證書 ID 進(jìn)行 解凍操作業(yè)務(wù)。風(fēng)險(xiǎn)點(diǎn)：（1）尚未發(fā)放的客戶證書不能由具有證書解凍權(quán)限的操作柜員或負(fù)責(zé)授權(quán)的主 管柜員保管。（2）證書解凍柜員向客戶核實(shí)確認(rèn)網(wǎng)上 銀行 申請(qǐng)和證書領(lǐng)取情況， 核實(shí)無(wú)誤辦 理證書解凍。二、加強(qiáng) U 盾客戶證書管理的措施（一）多層次強(qiáng)化對(duì)空白證書的核對(duì)與檢查工作。1 、各級(jí)庫(kù)房管庫(kù)員應(yīng)每周至少一次清點(diǎn)庫(kù)存實(shí)物，

8、并與會(huì)計(jì)要素管理系統(tǒng)相關(guān) 信息核對(duì)相符后，打印要素庫(kù)存明細(xì)登記簿，進(jìn)行簽章確認(rèn)。2 、二級(jí)分行運(yùn)行管理部負(fù)責(zé)人按季對(duì)其憑證庫(kù)管理進(jìn)行檢查， 并填寫查庫(kù)記錄。3 、網(wǎng)點(diǎn)業(yè)務(wù)主管應(yīng)按周、 運(yùn)行督導(dǎo)員應(yīng)按季對(duì)網(wǎng)點(diǎn)空白重要憑證、 重要物品管 理進(jìn)行檢查。4 、每日營(yíng)業(yè)終了， 客戶證書的核算必須換人復(fù)核。 各營(yíng)業(yè)網(wǎng)點(diǎn)經(jīng)辦柜員及現(xiàn)場(chǎng) 管理人員根據(jù)當(dāng)日證書領(lǐng)用數(shù)、結(jié)存數(shù)與客戶申請(qǐng)表個(gè)人客戶證書發(fā)放數(shù)與核算要 素管理系統(tǒng)的數(shù)據(jù)進(jìn)行核對(duì)，無(wú)誤后將剩余的個(gè)人客戶證書入庫(kù)（柜）妥善保管。（二）通過(guò)業(yè)務(wù)運(yùn)營(yíng)風(fēng)險(xiǎn)管理系統(tǒng)，對(duì)電子 銀行 業(yè)務(wù)進(jìn)行監(jiān)測(cè)與風(fēng)險(xiǎn)評(píng)估。 依托業(yè)務(wù)運(yùn)營(yíng)風(fēng)險(xiǎn)管理系統(tǒng)，通過(guò)設(shè)置電子銀行業(yè)務(wù)監(jiān)測(cè)模型，對(duì)

9、異常網(wǎng)銀業(yè) 務(wù)進(jìn)行核查。 自 2009 年業(yè)務(wù)運(yùn)營(yíng)風(fēng)險(xiǎn)管理系統(tǒng)投產(chǎn)以來(lái)， 先后加入了“柜員單日注 冊(cè)個(gè)人網(wǎng)銀超限監(jiān)測(cè)、電子 銀行 密碼重置監(jiān)測(cè)、企業(yè)客戶申請(qǐng)網(wǎng)銀證書后近期單筆 大額資金轉(zhuǎn)出”等 20 多個(gè)監(jiān)測(cè)模型。 風(fēng)險(xiǎn)監(jiān)控中心人員根據(jù)系統(tǒng)預(yù)警的準(zhǔn)風(fēng)險(xiǎn)事件 采取查看業(yè)務(wù)憑證、錄像、電話聯(lián)系客戶等方式進(jìn)行核查，對(duì)違規(guī)操作行為確認(rèn)為 風(fēng)險(xiǎn)事件，并督促網(wǎng)點(diǎn)整改。電子銀行業(yè)務(wù)部門在業(yè)務(wù)運(yùn)營(yíng)風(fēng)險(xiǎn)管理系統(tǒng)中設(shè)有查詢崗，查詢員通過(guò)對(duì)電子 銀行 業(yè)務(wù)風(fēng)險(xiǎn)事件統(tǒng)計(jì)報(bào)表的查詢，定期分析風(fēng)險(xiǎn)事件特征及演變趨勢(shì)，采取針對(duì) 性措施管理風(fēng)險(xiǎn)并積極改進(jìn)業(yè)務(wù)處理流程。（三）強(qiáng)化業(yè)務(wù)事中控制，提高網(wǎng)點(diǎn)現(xiàn)場(chǎng)管理人員、遠(yuǎn)程授權(quán)人員履職水平。 網(wǎng)點(diǎn)現(xiàn)場(chǎng)管理人員、遠(yuǎn)程授權(quán)人員作為事中控制的重要關(guān)卡，起到了舉足輕重 的作用。網(wǎng)點(diǎn)現(xiàn)場(chǎng)管理人員，對(duì)應(yīng)審核業(yè)務(wù)的真實(shí)性、合規(guī)性和業(yè)務(wù)依據(jù)的完整性負(fù)責(zé)。遠(yuǎn)程