信用合作社網(wǎng)上銀行業(yè)務(wù)風(fēng)險(xiǎn)管理體系及規(guī)章制度

信用合作社網(wǎng)上銀行業(yè)務(wù)風(fēng)險(xiǎn)管理體系及規(guī)章

制度新疆維吾爾自治區(qū)農(nóng)村信用合作社網(wǎng)上銀行業(yè)務(wù)風(fēng)險(xiǎn)治理體系及規(guī)章制度第一章總則第一條為加大新疆維吾爾自治區(qū)農(nóng)村信用合作社（以下簡(jiǎn)稱信用社）網(wǎng)上銀行風(fēng)險(xiǎn)治理，通過建立有效的機(jī)制，實(shí)現(xiàn)對(duì)信用社網(wǎng)上銀行風(fēng)險(xiǎn)的識(shí)不、監(jiān)測(cè)和操縱，促進(jìn)網(wǎng)上銀行安全、連續(xù)、穩(wěn)健運(yùn)行，推動(dòng)業(yè)務(wù)創(chuàng)新，提升信息技術(shù)使用水平，增強(qiáng)核心競(jìng)爭(zhēng)力和可連續(xù)進(jìn)展能力。按照銀監(jiān)會(huì)《電子銀行安全評(píng)估指引》和《電子銀行業(yè)務(wù)治理方法》的要求，制定本體系及相應(yīng)規(guī)章制度。第二條本方法適用于新疆維吾爾自治區(qū)轄內(nèi)農(nóng)村商業(yè)銀行、農(nóng)村合作銀行、縣市農(nóng)村信用合作聯(lián)社（以下統(tǒng)稱縣市聯(lián)社）。第二章網(wǎng)上銀行業(yè)務(wù)風(fēng)險(xiǎn)治理體系及規(guī)章制度第三條要達(dá)到落實(shí)風(fēng)險(xiǎn)治理的目的，須通過建立相應(yīng)的安全治理組織架構(gòu)及規(guī)章制度來進(jìn)行。此部分包括三個(gè)方面的內(nèi)容：網(wǎng)上銀行安全體系組織架構(gòu)設(shè)計(jì)（以下簡(jiǎn)稱組織架構(gòu)）；網(wǎng)上銀行安全職能/角色設(shè)計(jì)（以下簡(jiǎn)稱職能/角色）；網(wǎng)上銀行安全系統(tǒng)的內(nèi)部操縱機(jī)制注：信用社網(wǎng)上銀行系統(tǒng)由于共享農(nóng)信銀資金清算中心（以下簡(jiǎn)稱農(nóng)信銀）網(wǎng)銀系統(tǒng)，整個(gè)風(fēng)險(xiǎn)治理體系分為兩部分：信用社網(wǎng)上銀行風(fēng)險(xiǎn)治理體系、農(nóng)信銀網(wǎng)上銀行風(fēng)險(xiǎn)治理體系。兩套風(fēng)險(xiǎn)治理體系在各自的職責(zé)范疇內(nèi)實(shí)行垂直治理，即下級(jí)向上級(jí)匯報(bào)的方式，兩體系的中層和高層，必須保持和諧溝通，形成整體的安全治理體系來保證信用社網(wǎng)上銀行的安全。第四條組織架構(gòu)設(shè)計(jì)

疆農(nóng)村信用社科技帑中心侑銀安全治理專員網(wǎng)上銀行撞農(nóng)村信用社有關(guān)部哄

侑銀監(jiān)事會(huì)辦公室人士、妥侑銀有關(guān)部門撞農(nóng)村信用社有關(guān)部門侑銀有關(guān)部門撞農(nóng)村信用社保衛(wèi)部疆農(nóng)村信用社科技帑中心侑銀安全治理專員網(wǎng)上銀行撞農(nóng)村信用社有關(guān)部哄

侑銀監(jiān)事會(huì)辦公室人士、妥侑銀有關(guān)部門撞農(nóng)村信用社有關(guān)部門侑銀有關(guān)部門撞農(nóng)村信用社保衛(wèi)部撞農(nóng)村信用社電子銀行部安全負(fù)責(zé)人（部門）實(shí)行雙負(fù)責(zé)制，即包括農(nóng)信銀安全負(fù)責(zé)人和信用理事會(huì)同時(shí)保證各自負(fù)責(zé)系統(tǒng)內(nèi)職相應(yīng)的職能，同時(shí)，農(nóng)信銀的運(yùn)行開I發(fā)部、安全治理專員需要和信用社的人力構(gòu)部資產(chǎn)風(fēng)險(xiǎn)管理部安全保衛(wèi)部電子銀行部計(jì)劃財(cái)務(wù)部信貸管理部社信息科技治理委員會(huì)。兩者保持和諧溝通同時(shí)保證各自負(fù)責(zé)系統(tǒng)內(nèi)職相應(yīng)的職能，同時(shí)，農(nóng)信銀的運(yùn)行開I發(fā)部、安全治理專員需要和信用社的人力構(gòu)部資產(chǎn)風(fēng)險(xiǎn)管理部安全保衛(wèi)部電子銀行部計(jì)劃財(cái)務(wù)部信貸管理部（二）信用社職能簡(jiǎn)介理事會(huì)批準(zhǔn)網(wǎng)上銀行的安全策略；批準(zhǔn)網(wǎng)上銀行安全體系內(nèi)各部門信息安全職責(zé)；負(fù)責(zé)組織信息科技治理委員會(huì)；審核信息系統(tǒng)安全報(bào)告，并做出有關(guān)的決定；確保建立安全體系所必需的資源。信息科技治理委員會(huì)負(fù)責(zé)組織信息資產(chǎn)的風(fēng)險(xiǎn)評(píng)估，對(duì)風(fēng)險(xiǎn)評(píng)估報(bào)告進(jìn)行評(píng)審，并制定相應(yīng)的風(fēng)險(xiǎn)操縱措施；負(fù)責(zé)監(jiān)視運(yùn)營(yíng)過程中信息資產(chǎn)所面臨的威逼和脆弱點(diǎn)的重大變化，適時(shí)組織進(jìn)行風(fēng)險(xiǎn)評(píng)估，確定信息資產(chǎn)的風(fēng)險(xiǎn)同意等級(jí)，對(duì)網(wǎng)上銀行業(yè)務(wù)運(yùn)營(yíng)中顯現(xiàn)的信息安全隱患及時(shí)提出操縱措施；負(fù)責(zé)評(píng)審重大信息安全違規(guī)、違紀(jì)及泄密事件，并建議處理意見；負(fù)責(zé)網(wǎng)上銀行安全體系的策劃；向理事會(huì)報(bào)告網(wǎng)上銀行安全體系的運(yùn)行情形和任何改進(jìn)的需求；確保網(wǎng)上銀行安全體系所需的過程建立、實(shí)施和保持；確保提升全體職員的信息安全意識(shí)；批準(zhǔn)信用社的信息安全策略和風(fēng)險(xiǎn)操縱措施，可同意的風(fēng)險(xiǎn)等級(jí)及殘余風(fēng)險(xiǎn)；批準(zhǔn)業(yè)務(wù)連續(xù)性打算；批準(zhǔn)對(duì)已證實(shí)的重大的安全違規(guī)、違紀(jì)事件及泄密事件的處理意見；批準(zhǔn)并組織實(shí)施內(nèi)部審計(jì)打算；與網(wǎng)上銀行安全體系有關(guān)事宜的對(duì)外聯(lián)絡(luò)。網(wǎng)上銀行信息安全治理職能負(fù)責(zé)宣傳和貫徹銀行的信息安全策略；負(fù)責(zé)組織網(wǎng)上銀行安全體系文件的編制；協(xié)助信息科技治理委員會(huì)進(jìn)行信息安全體系的建設(shè)，保證網(wǎng)上銀行安全治理體系的有效運(yùn)行；及時(shí)向信息科技治理委員會(huì)報(bào)告重大的信息安全事故；負(fù)責(zé)運(yùn)算機(jī)網(wǎng)絡(luò)規(guī)劃，制定網(wǎng)絡(luò)安全策略并實(shí)施；負(fù)責(zé)通信系統(tǒng)運(yùn)行安全；負(fù)責(zé)監(jiān)視運(yùn)營(yíng)過程中運(yùn)算機(jī)和網(wǎng)絡(luò)所面臨的威逼和脆弱點(diǎn)的重大變化，及時(shí)完善安全策略，保證運(yùn)算機(jī)網(wǎng)絡(luò)的安全；負(fù)責(zé)離職職員運(yùn)算機(jī)數(shù)據(jù)清理及殺毒；負(fù)責(zé)信息安全體系內(nèi)部審核工作的組織和實(shí)施；負(fù)責(zé)制定、實(shí)施職員信息安全培訓(xùn)打算。信息安全審計(jì)監(jiān)察職能負(fù)責(zé)網(wǎng)上銀行整體安全審計(jì)工作；審核各部門網(wǎng)上銀行安全策略文件；審核各部門網(wǎng)上銀行安全策略執(zhí)行情形；審核各部門網(wǎng)上銀行安全記錄；審核各部門網(wǎng)上銀行安全整改情形；負(fù)責(zé)信用社系統(tǒng)內(nèi)各類案件、事故的立案、調(diào)查、處理工作，并做好治理、統(tǒng)計(jì)與分析工作。行政治理職能負(fù)責(zé)職能范疇內(nèi)有關(guān)信息安全治理文件的編制；負(fù)責(zé)按照信用社有關(guān)保密規(guī)定，審查對(duì)外公布的信息，防止泄密事件的發(fā)生；負(fù)責(zé)信用社歸檔文件和資料的信息安全治理工作；負(fù)責(zé)信用社傳真機(jī)對(duì)外收、發(fā)信息的安全；負(fù)責(zé)組織職員安全意識(shí)與安全技能培訓(xùn)；負(fù)責(zé)進(jìn)行人員安全治理；負(fù)責(zé)網(wǎng)上銀行業(yè)務(wù)風(fēng)險(xiǎn)治理所涉及的法律事務(wù)工作，并負(fù)責(zé)網(wǎng)上銀行業(yè)務(wù)知識(shí)產(chǎn)權(quán)的愛護(hù)工作。安全保衛(wèi)職能負(fù)責(zé)信用社的安全保衛(wèi)工作，并制定相應(yīng)的安全保衛(wèi)制度；負(fù)責(zé)信用社消防設(shè)施的建設(shè)、治理，并制定相應(yīng)的防火、防盜安全治理制度；負(fù)責(zé)向信息科技治理委員會(huì)報(bào)告重大的防火、防盜安全事件，并及時(shí)進(jìn)行適當(dāng)?shù)奶幚恚回?fù)責(zé)門禁治理系統(tǒng)的運(yùn)行和愛護(hù)，并監(jiān)督物理環(huán)境的安全；負(fù)責(zé)電視監(jiān)控及電視監(jiān)控系統(tǒng)的愛護(hù)。發(fā)覺安全隱患應(yīng)進(jìn)行及時(shí)報(bào)告、處理；負(fù)責(zé)安防報(bào)警系統(tǒng)的24小時(shí)監(jiān)控和愛護(hù)，一旦發(fā)生安防報(bào)警應(yīng)趕忙處理。網(wǎng)上銀行業(yè)務(wù)安全治理職能協(xié)助宣傳和貫徹銀行的信息安全策略；協(xié)助網(wǎng)上銀行安全體系文件的編制；協(xié)助信息科技治理委員會(huì)進(jìn)行信息安全體系的建設(shè)，保證網(wǎng)上銀行安全治理體系的有效運(yùn)行；

業(yè)務(wù)安保衛(wèi)員負(fù)責(zé)網(wǎng)上銀行業(yè)務(wù)安全的建設(shè)、治理昧、用計(jì)員商安善理員全角色設(shè)計(jì)安全管理員業(yè)務(wù)安保衛(wèi)員負(fù)責(zé)網(wǎng)上銀行業(yè)務(wù)安全的建設(shè)、治理昧、用計(jì)員商安善理員全角色設(shè)計(jì)安全管理員在理事會(huì)下設(shè)置信息科技治理委員會(huì)，信息科技治理委員會(huì)負(fù)責(zé)信息安全治理工作，其中一部分為網(wǎng)上銀行安全治理。安全系統(tǒng)安全治理網(wǎng)絡(luò)安全治理員網(wǎng)上銀行安全治理角色分布在十一個(gè)部門，分不是審計(jì)部、紀(jì)檢監(jiān)察部、辦公室、人力資源部、資產(chǎn)風(fēng)險(xiǎn)治理部安全系統(tǒng)安全治理網(wǎng)絡(luò)安全治理員在科技中心下設(shè)置系統(tǒng)安全治理員、網(wǎng)絡(luò)安全治理〕員負(fù)責(zé)網(wǎng)上銀行系統(tǒng)中服務(wù)器的有關(guān)系統(tǒng)安全治理工作；、防負(fù)責(zé)網(wǎng)上銀行網(wǎng)絡(luò)安全工作，包括交換機(jī)、防火墻、防DOS攻擊設(shè)備病毒、漏洞掃描、鏈路均衡、安全預(yù)警、安全愛護(hù)等工作。、防電子銀行部設(shè)置安全治理員,負(fù)責(zé)網(wǎng)上銀行業(yè)務(wù)的安全治理工作，包括員，負(fù)責(zé)對(duì)科技中心、電子銀行部網(wǎng)上銀行業(yè)審計(jì)部設(shè)業(yè)務(wù)安全審務(wù)進(jìn)行安全審核。安在此唆設(shè)計(jì)中，只涉熙與網(wǎng)上銀洽計(jì)不提及理第六條農(nóng)信銀職能中

心

開

/角色設(shè)計(jì)員，負(fù)責(zé)對(duì)科技中心、電子銀行部網(wǎng)上銀行業(yè)審計(jì)部設(shè)業(yè)務(wù)安全審務(wù)進(jìn)行安全審核。安在此唆設(shè)計(jì)中，只涉熙與網(wǎng)上銀洽計(jì)不提及理第六條農(nóng)信銀職能中

心

開

/角色設(shè)計(jì)（一）農(nóng)信銀安全組織架構(gòu)圖色，角色設(shè)：安^次衛(wèi)立月匕農(nóng)信銀資金清算中心網(wǎng)上銀行安全組織架構(gòu)要緊分為三層，第一層由領(lǐng)導(dǎo)小組和安全負(fù)責(zé)人組成，領(lǐng)導(dǎo)網(wǎng)上銀行安全的戰(zhàn)略進(jìn)展方向和方針，處理和決策重大事件。安全負(fù)責(zé)人作為監(jiān)督和督促網(wǎng)上銀行安全的角色，在重大事件上有較強(qiáng)的執(zhí)行能力，與信息安全領(lǐng)導(dǎo)小組之間溝通，監(jiān)管職能單位，保證網(wǎng)上銀行安全運(yùn)行。第二層以職能分類，職能單位分不執(zhí)行和運(yùn)作管轄內(nèi)的工作內(nèi)容，由一位具備組織及治理能力的職能單位領(lǐng)導(dǎo)治理，并向信息安全領(lǐng)導(dǎo)小組匯報(bào)和請(qǐng)示工作。第三層各工作部門落實(shí)職能單位的職責(zé)工作，執(zhí)行各職能單位制定的有關(guān)網(wǎng)上銀行運(yùn)行、安全、愛護(hù)等工作，遇到與規(guī)定、要求相違抗的情形時(shí)，能夠及時(shí)準(zhǔn)確上報(bào)信息到職能單位。（二）農(nóng)信銀職能簡(jiǎn)介農(nóng)信銀信息安全領(lǐng)導(dǎo)小組信息安全領(lǐng)導(dǎo)小組由農(nóng)信銀主任、科技分管副主任、科技中心負(fù)責(zé)人、信息資產(chǎn)的有關(guān)部門要緊負(fù)責(zé)人、信息系統(tǒng)安全專家組成。農(nóng)信銀主任為信息安全領(lǐng)導(dǎo)小組組長(zhǎng)，實(shí)行組長(zhǎng)負(fù)責(zé)制。在信息安全領(lǐng)導(dǎo)小組下設(shè)置處理信息安全領(lǐng)導(dǎo)小組辦公室，科技分管副主任即信息安全負(fù)責(zé)人任辦公室主任，負(fù)責(zé)信息安全領(lǐng)導(dǎo)小組的日常事務(wù)處理，辦公室成員包括運(yùn)行開發(fā)部負(fù)責(zé)人、信息資產(chǎn)等有關(guān)部門要緊負(fù)責(zé)人。信息安全領(lǐng)導(dǎo)小組職責(zé)如下:負(fù)責(zé)網(wǎng)上銀行安全體系的策劃，批準(zhǔn)網(wǎng)上銀行的安全策略；批準(zhǔn)分配網(wǎng)上銀行安全體系內(nèi)各部門信息安全職責(zé)；制定與信息系統(tǒng)安全有關(guān)的長(zhǎng)遠(yuǎn)規(guī)劃；確保建立安全體系所必需的資源；制定與信息系統(tǒng)安全有關(guān)的長(zhǎng)遠(yuǎn)規(guī)劃；關(guān)注信息資產(chǎn)重大威逼的顯現(xiàn)及變化；確認(rèn)信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估的結(jié)果；關(guān)注緊急或重大信息系統(tǒng)安全事件并批準(zhǔn)有關(guān)措施的啟用；審定并批準(zhǔn)公布中心級(jí)信息系統(tǒng)安全規(guī)章制度；審批與信息系統(tǒng)安全治理有關(guān)的其他重要決定；定期向中心董事會(huì)匯報(bào)信息系統(tǒng)安全工作情形；審核批準(zhǔn)安全年報(bào)、安全教育培訓(xùn)打算；審核全中心信息系統(tǒng)安全報(bào)告，并做出有關(guān)決定；決定信息系統(tǒng)是否要采取安全措施或增加安全措施；簽發(fā)信息系統(tǒng)和信息的安全等級(jí)；負(fù)責(zé)評(píng)審重大信息安全違規(guī)、違紀(jì)及泄密事件，并建議處理意見；仲裁全中心級(jí)信息系統(tǒng)安全事故的責(zé)任；與各成員行安全領(lǐng)導(dǎo)小組之間的協(xié)作。農(nóng)信銀安全負(fù)責(zé)人信息安全負(fù)責(zé)人由科技分管副主任承擔(dān)，其直截了當(dāng)領(lǐng)導(dǎo)為信息安全領(lǐng)導(dǎo)小組組長(zhǎng)，即農(nóng)信銀主任，其下為運(yùn)行開發(fā)部負(fù)責(zé)人，各信息資產(chǎn)責(zé)任人、安全治理專員、安全審計(jì)員、安全保衛(wèi)員。信息安全負(fù)責(zé)人要緊職責(zé)為：確保網(wǎng)上銀行安全體系建立、實(shí)施和保持；確保在農(nóng)信銀提升全體職員的信息安全意識(shí)；批準(zhǔn)農(nóng)信銀的信息安全策略和風(fēng)險(xiǎn)操縱措施，可同意的風(fēng)險(xiǎn)等級(jí)及殘余風(fēng)險(xiǎn)；批準(zhǔn)業(yè)務(wù)連續(xù)性打算；批準(zhǔn)對(duì)已證實(shí)的重大的安全違規(guī)、違紀(jì)事件及泄密事件的處理意見；批準(zhǔn)并組織實(shí)施內(nèi)部審計(jì)打算；落實(shí)信息系統(tǒng)安全方面的職責(zé)和角色；按照國(guó)家信息系統(tǒng)安全的有關(guān)法律、法規(guī)、制度和規(guī)范及農(nóng)信銀信息系統(tǒng)安全策略，結(jié)合實(shí)際，制定、落實(shí)信息系統(tǒng)安全方面的規(guī)章制度、實(shí)施細(xì)則、安全目標(biāo)崗位責(zé)任制；批準(zhǔn)實(shí)施信息系統(tǒng)安全的具體過程和方法；確定并向上級(jí)信息系統(tǒng)安全領(lǐng)導(dǎo)機(jī)構(gòu)提交信息系統(tǒng)安全方面的提議；向主任報(bào)告信息安全治理體系的業(yè)績(jī)和任何改進(jìn)的需求；評(píng)估新系統(tǒng)或服務(wù)的安全性并監(jiān)督實(shí)施；審查信息系統(tǒng)安全事故；推動(dòng)本機(jī)構(gòu)信息系統(tǒng)安全的各項(xiàng)工作；通過與外部其它組織間的安全協(xié)作，監(jiān)督、檢查、指導(dǎo)內(nèi)部信息系統(tǒng)安全愛護(hù)工作；通過與執(zhí)法機(jī)關(guān)、監(jiān)管機(jī)構(gòu)等的合作，協(xié)助查處危害內(nèi)部信息系統(tǒng)安全的違法犯罪案件；與當(dāng)?shù)貓?zhí)法機(jī)關(guān)、治理機(jī)關(guān)、信息服務(wù)商和電信運(yùn)營(yíng)商保持適當(dāng)聯(lián)系，確保在發(fā)生安全事故時(shí)能夠得到及時(shí)響應(yīng)及必要關(guān)心；參加組織間信息系統(tǒng)安全方面的技術(shù)交流；與各成員行之間的協(xié)作；與網(wǎng)上銀行安全體系有關(guān)事宜的對(duì)外聯(lián)絡(luò)；與外部其它組織間的安全協(xié)作。農(nóng)信銀網(wǎng)上銀行信息安全治理職能信息安全治理職能由安全治理專員承擔(dān)，其直截了當(dāng)領(lǐng)導(dǎo)為信息安全負(fù)責(zé)人。安全治理專員必須為專職人員，不能兼任。其要緊職責(zé)如下：負(fù)責(zé)宣傳和貫徹信息安全策略；負(fù)責(zé)組織網(wǎng)上銀行安全體系文件的編制；協(xié)助安全負(fù)責(zé)人進(jìn)行信息安全體系的建設(shè)，保證網(wǎng)上銀行安全治理體系的有效運(yùn)行；及時(shí)向信息安全負(fù)責(zé)人報(bào)告重大信息安全事故；負(fù)責(zé)監(jiān)視運(yùn)營(yíng)過程中運(yùn)算機(jī)和網(wǎng)絡(luò)所面臨的威逼和脆弱點(diǎn)的重大變化，及時(shí)完善安全策略，保證運(yùn)算機(jī)網(wǎng)絡(luò)的安全；負(fù)責(zé)離職職員運(yùn)算機(jī)數(shù)據(jù)清理及殺毒；向安全負(fù)責(zé)人報(bào)告網(wǎng)上銀行安全體系的運(yùn)行情形和任何改進(jìn)需求；負(fù)責(zé)監(jiān)視運(yùn)營(yíng)過程中信息資產(chǎn)所面臨的威逼和脆弱點(diǎn)的重大變化，適時(shí)組織進(jìn)行風(fēng)險(xiǎn)評(píng)估，確定信息資產(chǎn)的風(fēng)險(xiǎn)同意等級(jí)，對(duì)網(wǎng)上銀行業(yè)務(wù)運(yùn)營(yíng)中顯現(xiàn)的信息安全隱患及時(shí)提出操縱措施；負(fù)責(zé)制定、實(shí)施職員信息安全培訓(xùn)打算；把握最新的病毒情形，及時(shí)撰寫解決方案并進(jìn)行安全預(yù)警；把握最新的安全漏洞情形，及時(shí)撰寫解決方案并進(jìn)行安全預(yù)警。農(nóng)信銀信息安全操作安全職能信息安全操作安全職能是指防控在信息系統(tǒng)的規(guī)劃、建設(shè)、運(yùn)行、升級(jí)、廢棄過程中顯現(xiàn)安全咨詢題。由安全治理專員提出相應(yīng)安全要求，分不由系統(tǒng)治理員、網(wǎng)絡(luò)治理員、開發(fā)人員及運(yùn)行愛護(hù)人員完成的安全職能。此部分職能由運(yùn)行開發(fā)部承擔(dān)。其職能如下：監(jiān)測(cè)系統(tǒng)安全狀況。通過網(wǎng)絡(luò)治理系統(tǒng)、IPS等手段，監(jiān)測(cè)網(wǎng)絡(luò)的安全運(yùn)行狀況，并進(jìn)行記錄，如發(fā)覺專門，及時(shí)向安全治理專員反饋。此部門職能由運(yùn)行愛護(hù)人員完成；負(fù)責(zé)防火墻、IPS、防病毒系統(tǒng)、證書系統(tǒng)等安全設(shè)備、軟件的安裝、調(diào)試、愛護(hù)工作。此部分職能由網(wǎng)絡(luò)治理員承擔(dān)；按照網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估結(jié)果，與安全服務(wù)商、供應(yīng)商一同進(jìn)行網(wǎng)絡(luò)安全加固、網(wǎng)絡(luò)安全風(fēng)險(xiǎn)規(guī)避。具體為：路由器、交換機(jī)訪咨詢操縱列表規(guī)劃與設(shè)置，路由器、交換機(jī)補(bǔ)丁安裝，路由器、交換機(jī)用戶與口令治理，路由器、交換機(jī)版本升級(jí)；防火墻安全策略設(shè)置，防火墻用戶與口令治理，防火墻補(bǔ)丁安裝，防火墻版本升級(jí)；其它網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)安全設(shè)備安全策略設(shè)置、版本升級(jí)、補(bǔ)丁安裝、用戶與口令治理。此部分職能由網(wǎng)絡(luò)治理員承擔(dān)；按照系統(tǒng)風(fēng)險(xiǎn)評(píng)估結(jié)果，進(jìn)行系統(tǒng)安全加固、系統(tǒng)安全風(fēng)險(xiǎn)規(guī)避。具體為：系統(tǒng)安全策略設(shè)置、版本升級(jí)、補(bǔ)丁下載與安裝、用戶與口令策略治理、安全服務(wù)治理。此部分職能由系統(tǒng)治理員承擔(dān)；將安全需求在開發(fā)的應(yīng)用系統(tǒng)中實(shí)現(xiàn)。此部分功能由開發(fā)人員完成；協(xié)助安全治理專員處理網(wǎng)絡(luò)攻擊事件。由網(wǎng)絡(luò)治理員、系統(tǒng)治理員共同承擔(dān)。農(nóng)信銀信息安全審計(jì)職能負(fù)責(zé)網(wǎng)上銀行整體安全審計(jì)工作；審核各個(gè)部門網(wǎng)上銀行安全策略文件；審核各個(gè)部門網(wǎng)上銀行安全策略執(zhí)行情形；審核各個(gè)部門網(wǎng)上銀行安全記錄；審核各個(gè)部門網(wǎng)上銀行安全整改情形。

農(nóng)信銀行政治理職能負(fù)責(zé)職能范疇內(nèi)有關(guān)信息安全治理文件的編制；負(fù)責(zé)按照農(nóng)信銀有關(guān)保密規(guī)定，審查對(duì)外公布的信息，防止泄密事件的發(fā)生；負(fù)責(zé)農(nóng)信銀歸檔文件和資料的信息安全治理工作;負(fù)責(zé)農(nóng)信銀傳真機(jī)對(duì)外收、發(fā)信息的安全;負(fù)責(zé)組織職員安全意識(shí)與安全技能安全領(lǐng)導(dǎo)小組負(fù)責(zé)進(jìn)行人員安全治理。農(nóng)信銀安全保衛(wèi)職能安全負(fù)責(zé)人負(fù)責(zé)農(nóng)信銀的安全保衛(wèi)工作，

負(fù)責(zé)農(nóng)信銀消防設(shè)施的建設(shè)、并制定相應(yīng)的安全保衛(wèi)制度；安全負(fù)責(zé)人負(fù)責(zé)農(nóng)信銀的安全保衛(wèi)工作，

負(fù)責(zé)農(nóng)信銀消防設(shè)施的建設(shè)、理制度;負(fù)責(zé)向適當(dāng)?shù)奶幚硌韵⒅卫韺＝稳?fù)責(zé)人報(bào)愛的防火、安全負(fù)責(zé)門禁治理系統(tǒng)的運(yùn)行和愛護(hù)，并監(jiān)負(fù)責(zé)電視監(jiān)控及電視監(jiān)控系統(tǒng)的愛護(hù)。系統(tǒng)的運(yùn)行監(jiān)防會(huì)辦公環(huán)境的,并及處理理。安全檢理制度;負(fù)責(zé)向適當(dāng)?shù)奶幚硌韵⒅卫韺＝稳?fù)責(zé)人報(bào)愛的防火、安全負(fù)責(zé)門禁治理系統(tǒng)的運(yùn)行和愛護(hù)，并監(jiān)負(fù)責(zé)電視監(jiān)控及電視監(jiān)控系統(tǒng)的愛護(hù)。系統(tǒng)的運(yùn)行監(jiān)防會(huì)辦公環(huán)境的,并及處理理。安全檢負(fù)責(zé)安防報(bào)警系統(tǒng)的24小時(shí)監(jiān)控和愛護(hù)安全審計(jì)員安全保旦發(fā)生安防報(bào)警應(yīng)趕忙處經(jīng)理（三）農(nóng)信銀安全角色設(shè)計(jì) ——信息安全領(lǐng)導(dǎo)小組下設(shè)安全負(fù)責(zé)人，安全負(fù)責(zé)人負(fù)責(zé)農(nóng)信銀安全治理工作，其中一部分為網(wǎng)上銀行安全治理。網(wǎng)上銀行安全治理角色分布在五個(gè)部門，分不是安全治理專員、運(yùn)行開發(fā)部、監(jiān)事會(huì)辦公室、人力資源部、綜合治理部。在安全治理專員下按照需要臨時(shí)確定安全檢查員；在運(yùn)行開發(fā)部下設(shè)置操作員；監(jiān)事會(huì)辦公室下設(shè)置安全審計(jì)員；在綜合治理部下設(shè)置安全保衛(wèi)及經(jīng)理。安全治理專員：設(shè)置專職崗位，職責(zé)獨(dú)立，定期對(duì)信息系統(tǒng)安全的符合性進(jìn)行檢查，提交檢查報(bào)告，匯總安全事件響應(yīng)報(bào)告，提出安全建設(shè)規(guī)劃和改進(jìn)意見以及對(duì)違反安全規(guī)定的人員處理意見等；安全檢查員：由安全治理專員按照需要臨時(shí)確定，按照安全治理專員編制的檢查項(xiàng)目，負(fù)責(zé)常規(guī)或?qū)I(yè)技術(shù)領(lǐng)域的檢查；運(yùn)行開發(fā)部操作員：是指信息系統(tǒng)的使用、愛護(hù)人員，在執(zhí)行自身的工作中，履行安全規(guī)定，報(bào)告專門情形，不得超越自身的操作權(quán)限；負(fù)責(zé)網(wǎng)上銀行系統(tǒng)中服務(wù)器、網(wǎng)絡(luò)設(shè)備和安全設(shè)備以及其它設(shè)備的有關(guān)系統(tǒng)安全治理工作；負(fù)責(zé)網(wǎng)上銀行網(wǎng)絡(luò)安全工作，包括服務(wù)器、交換機(jī)、防火墻、防DOS攻擊設(shè)備、防病毒、漏洞掃描、鏈路均衡、安全預(yù)警、安全愛護(hù)等工作。監(jiān)事會(huì)辦公室下設(shè)安全審計(jì)員：專職，在信息資產(chǎn)責(zé)任人的授權(quán)下，對(duì)信息系統(tǒng)的安全進(jìn)行定期的獨(dú)立性檢查。負(fù)責(zé)對(duì)運(yùn)行開發(fā)部網(wǎng)上銀行業(yè)務(wù)系統(tǒng)治理進(jìn)行安全審核。另有信息資產(chǎn)責(zé)任人一職位，按照信息系統(tǒng)總體職責(zé)，通過上級(jí)部門授權(quán)分級(jí)落實(shí)信息資產(chǎn)責(zé)任人，信息資產(chǎn)責(zé)任人為最小單位，部門負(fù)責(zé)人為信息資產(chǎn)責(zé)任人，在各部門中均有涉及。信息資產(chǎn)責(zé)任人對(duì)所擔(dān)負(fù)的信息資產(chǎn)的安全負(fù)要緊責(zé)任。第七條網(wǎng)上銀行安全系統(tǒng)的內(nèi)部操縱機(jī)制（一）內(nèi)部操縱環(huán)境內(nèi)部操縱環(huán)境是網(wǎng)上銀行內(nèi)部操縱體系運(yùn)行的基礎(chǔ)和土壤，是推動(dòng)網(wǎng)上銀行安全運(yùn)行，健康進(jìn)展的引擎，是內(nèi)部操縱體系的關(guān)鍵所在。信用社網(wǎng)上銀行內(nèi)部操縱環(huán)境要緊包括網(wǎng)上銀行安全體系的組織架構(gòu)及其職能、內(nèi)部操縱政策和程序。網(wǎng)上銀行安全體系組織架構(gòu)的設(shè)置是把實(shí)現(xiàn)風(fēng)險(xiǎn)操縱目標(biāo)所需要的工作進(jìn)行分解，并按照專業(yè)化分工、有效和諧和精簡(jiǎn)節(jié)約的原則進(jìn)行機(jī)構(gòu)與部門的設(shè)計(jì)，以規(guī)范網(wǎng)上銀行風(fēng)險(xiǎn)治理工作及其相互間的關(guān)系。擻心業(yè)務(wù)障資捎網(wǎng)絡(luò)及安全設(shè)備的布署策略網(wǎng)銀WEB服務(wù)器和外部因特網(wǎng)間采納防火墻進(jìn)行隔離，網(wǎng)銀WEB訪咨詢只能訪咨詢位于DMZ停火區(qū)的服務(wù)，并在該防火墻上只同意443端口的HTTPS的訪咨詢；所有的HTTPS訪咨詢由SSL安全網(wǎng)關(guān)認(rèn)證客戶身份，并建立SSL安全通道，實(shí)現(xiàn)通訊安全，SSL安全網(wǎng)關(guān)雙臂鏈接，確保外部密文，內(nèi)部才有明文；SSL安全網(wǎng)關(guān)將解密的要求提交給IPS入侵防備服務(wù)器，檢測(cè)各類攻擊，阻斷惡意的通信，IPS入侵防備雙臂鏈接。2.1防火墻（1）只承諾外部端口443（即https）訪咨詢WEB服務(wù)器，其它訪咨詢一律拒絕；只承諾內(nèi)部RA服務(wù)器對(duì)CFCA的訪咨詢，拒絕其它內(nèi)部服務(wù)器對(duì)外部機(jī)器的訪咨詢。SSL安全網(wǎng)關(guān)所有的https訪咨詢由SSL安全網(wǎng)關(guān)認(rèn)證客戶身份，并建立SSL安全通道，實(shí)現(xiàn)通訊安全。IPS入侵防備（1）SSL安全網(wǎng)關(guān)將解密的要求提交給IPS入侵防備服務(wù)器，檢測(cè)各類攻擊，自動(dòng)阻斷惡意的通信。2.4防火墻（2）承諾WEB服務(wù)器對(duì)網(wǎng)銀應(yīng)用服務(wù)器的訪咨詢，承諾內(nèi)部RA服務(wù)器對(duì)CFCA的訪咨詢，除此以外的訪咨詢一律拒絕。2.5IPS入侵防備（2）檢測(cè)來自信用社端的各類攻擊，自動(dòng)阻斷惡意的通信。2.6防火墻（3）承諾北京農(nóng)信銀端的網(wǎng)銀應(yīng)用服務(wù)器對(duì)新疆農(nóng)村信用社端的網(wǎng)銀前置服務(wù)器的訪咨詢，拒絕其它訪咨詢。2.7防火墻（4）該防火墻在新疆農(nóng)村信用社端，承諾北京農(nóng)信銀端的網(wǎng)銀應(yīng)用服務(wù)器對(duì)新疆農(nóng)村信用社端的網(wǎng)銀前置服務(wù)器的訪咨詢，拒絕其它訪咨詢。整體安全策略因特外網(wǎng)和DMZ區(qū)接入互聯(lián)網(wǎng)，直截了當(dāng)面對(duì)各種攻擊，對(duì)系統(tǒng)安全性要求較高，因此在設(shè)計(jì)系統(tǒng)方案的時(shí)候，充分的考慮了系統(tǒng)對(duì)安全方面的專門要求，在網(wǎng)絡(luò)、硬件、系統(tǒng)、應(yīng)用、數(shù)據(jù)等五個(gè)層面考慮了詳細(xì)的安全措施：3.1網(wǎng)絡(luò)安全（1） 網(wǎng)銀WEB服務(wù)器和外部因特網(wǎng)間采納防火墻進(jìn)行隔離，網(wǎng)銀WEB訪咨詢只能訪咨詢位于DMZ?；饏^(qū)的服務(wù)，并在該防火墻上只同意443端口的HTTPS的訪咨詢。（2） 所有的HTTPS訪咨詢由SSL安全網(wǎng)關(guān)認(rèn)證客戶身份，并建立SSL安全通道，實(shí)現(xiàn)通訊安全°SSL安全網(wǎng)關(guān)雙臂鏈接，確保外部密文，內(nèi)部才有明文。（3） SSL安全網(wǎng)關(guān)將解密的要求提交給IPS入侵防備服務(wù)器，檢測(cè)各類攻擊，阻斷惡意的通信。IPS入侵防備雙臂鏈接。3.2硬件安全（1） 本系統(tǒng)中配置的所有運(yùn)算機(jī)系統(tǒng)均采納當(dāng)前成熟的運(yùn)算機(jī)安全方案，滿足C2級(jí)安全標(biāo)準(zhǔn)。（2） 平臺(tái)設(shè)備的配置應(yīng)考慮設(shè)備運(yùn)行的安全穩(wěn)固，系統(tǒng)達(dá)到最大容量時(shí)，平臺(tái)所有設(shè)備能安全穩(wěn)固運(yùn)行。（3） 核心硬件均考慮了雙電源設(shè)計(jì)方案。3.3系統(tǒng)安全（1）本此配置的系統(tǒng)中均采納unix或linux操作系統(tǒng)，具有較高的安全性，同時(shí)在實(shí)施中將嚴(yán)格按照當(dāng)前最新的補(bǔ)丁進(jìn)行加載，并在后續(xù)愛護(hù)中及時(shí)更新系統(tǒng)安全補(bǔ)丁，以保證系統(tǒng)的安全性。（2）在系統(tǒng)實(shí)施中，通過啟用日志功能和安全審計(jì)功能，及時(shí)對(duì)系統(tǒng)進(jìn)行安全審計(jì)，保證系統(tǒng)的安全性3.4應(yīng)用安全（1） 系統(tǒng)在數(shù)據(jù)傳輸、處理等過程中提供數(shù)據(jù)檢驗(yàn)，核對(duì)功能和糾錯(cuò)功能，以保證應(yīng)用系統(tǒng)的正常運(yùn)行。（2） 主機(jī)操作系統(tǒng)定期進(jìn)行自動(dòng)備份。（3） 通過系統(tǒng)軟件功能，系統(tǒng)治理用戶能夠方便地對(duì)系統(tǒng)數(shù)據(jù)進(jìn)行愛護(hù)，清理過期的和擠壓的數(shù)據(jù)或文件。（4） 系統(tǒng)具有提供分權(quán)分級(jí)治理功能，只有系統(tǒng)治理員能夠使用超級(jí)用戶登錄。3.5數(shù)據(jù)安全數(shù)據(jù)傳輸采納SSL安全通道包括保證數(shù)據(jù)傳輸過程中不被偵聽、不被篡改、插入等。4.業(yè)務(wù)安全策略網(wǎng)上銀行系統(tǒng)通過安全代理服務(wù)器、防火墻等系統(tǒng)來保證系統(tǒng)的安全性，以及通過負(fù)載均衡來保證系統(tǒng)的高可用性，這只是從網(wǎng)絡(luò)環(huán)境和系統(tǒng)結(jié)構(gòu)的角度保證系統(tǒng)安全，整個(gè)網(wǎng)上銀行系統(tǒng)的安全性應(yīng)該是一個(gè)多層次的概念。網(wǎng)上銀行系統(tǒng)本身還需要從業(yè)務(wù)功能的角度來保證網(wǎng)上銀行業(yè)務(wù)的安全性。要緊從以下幾個(gè)方面來保證：嚴(yán)格的用戶權(quán)限治理機(jī)制，靈活的用戶角色劃分和治理多維的交易權(quán)限治理機(jī)制，企業(yè)關(guān)鍵交易提供多重組合授權(quán)功能。涉及賬務(wù)的關(guān)鍵交易要求做數(shù)字簽名。完備的交易日志和操作日志。個(gè)人網(wǎng)銀、企業(yè)網(wǎng)銀都使用雙重身份認(rèn)證，個(gè)人網(wǎng)銀使用靜態(tài)密碼+動(dòng)態(tài)口令卡或靜態(tài)密碼+帶按鍵的U-key；企業(yè)網(wǎng)銀全部使用靜態(tài)密碼+帶按鍵的U-keyo高風(fēng)險(xiǎn)賬戶操作定義：賬戶轉(zhuǎn)移資金單筆超過1000元，日累計(jì)超過3000元，高風(fēng)險(xiǎn)賬戶操作必須使用帶按鍵的U-key。4.1登錄操縱個(gè)人網(wǎng)銀客戶使用安全證書、登錄ID和登錄密碼進(jìn)入個(gè)人網(wǎng)銀系統(tǒng)。企業(yè)網(wǎng)銀客戶使用安全證書、登錄ID和登錄密碼進(jìn)入企業(yè)網(wǎng)銀系統(tǒng)。首次登錄強(qiáng)制修改密碼，提示密碼強(qiáng)度，關(guān)于密碼設(shè)置過于簡(jiǎn)單的強(qiáng)制要求修改密碼。登錄日志中記錄客戶訪咨詢系統(tǒng)的遠(yuǎn)程IP地址和時(shí)刻等詳細(xì)信息，能夠統(tǒng)計(jì)客戶訪咨詢系統(tǒng)的次數(shù)。關(guān)于不使用證書登錄的應(yīng)用系統(tǒng)登錄頁面，會(huì)產(chǎn)生圖形格式的隨機(jī)附加碼（該功能可由銀行選擇使用），用戶在輸入認(rèn)證信息后，還需要輸入此附加碼方可登錄系統(tǒng)，防止用程序惡意破解密碼。系統(tǒng)還對(duì)客戶登錄密碼輸入次數(shù)進(jìn)行記錄，如果客戶密碼輸入次數(shù)累計(jì)達(dá)到一定的值（具體值由銀行設(shè)置），系統(tǒng)會(huì)自動(dòng)將此客戶凍結(jié)，防止惡意攻擊。會(huì)話治理（Session）網(wǎng)上銀行系統(tǒng)與應(yīng)用服務(wù)器的會(huì)話治理結(jié)合，實(shí)現(xiàn)多種會(huì)話的建立和治理，讓不同的會(huì)話采納統(tǒng)一的治理機(jī)制。以及動(dòng)態(tài)負(fù)載均衡狀態(tài)下的會(huì)話數(shù)據(jù)同步。同時(shí)實(shí)現(xiàn)會(huì)話的超時(shí)治理，有效防范幸免黑客使用差不多失效的會(huì)話攻擊系統(tǒng)，同時(shí)防止垃圾會(huì)話數(shù)據(jù)占用內(nèi)存，阻礙系統(tǒng)性能甚至使系統(tǒng)無法工作。網(wǎng)銀系統(tǒng)中登錄的每一個(gè)客戶都會(huì)有唯獨(dú)Session用于儲(chǔ)存客戶在運(yùn)行期內(nèi)的要緊信息，以供客戶交易時(shí)使用，在客戶退出系統(tǒng)時(shí)失效；同時(shí)，為幸免過多的占用系統(tǒng)資源，以及從安全的角度考慮，系統(tǒng)中未使用的Session（因客戶操作不當(dāng)造成）在存在一定時(shí)刻后會(huì)失效。Session治理包括：Session建立，Session超時(shí)處理，Session清理。Session治理機(jī)制系統(tǒng)會(huì)在客戶登錄成功之后為其在應(yīng)用服務(wù)器內(nèi)存中建立Session，在客戶后續(xù)的交易要求中，系統(tǒng)持續(xù)檢查內(nèi)存中Session的有效性，如果Session失效（沒有、超時(shí)或被人竄改），則交易要求是非法的，系統(tǒng)不予同意。Session超時(shí)處理Session超時(shí)處理包括兩部分：Session時(shí)刻戳重置，Session超時(shí)檢查。Session時(shí)刻戳重置是指在有新的交易要求提交到交易平臺(tái)時(shí)，系統(tǒng)第一檢查Session是否超時(shí)，如果未超時(shí)，則重置Session的時(shí)刻戳，連續(xù)后續(xù)操作；否則，執(zhí)行Session超時(shí)處理，向客戶返回超時(shí)信息。Session超時(shí)檢查是指為防止垃圾Session的在內(nèi)存中堆積而占用系統(tǒng)資源，系統(tǒng)通過后臺(tái)線程定時(shí)檢查超時(shí)Session，并將其從內(nèi)存中清除，從而開釋系統(tǒng)資源。Session實(shí)時(shí)檢查網(wǎng)上銀行系統(tǒng)里各種復(fù)雜交易流程差不多上通過交易步驟的形式參數(shù)化配置到XML文件中去的。網(wǎng)上銀行交易要求發(fā)送到交易平臺(tái)時(shí)，在每個(gè)交易的配置定義中，第一個(gè)交易步驟必須是Session檢查交易步驟，來檢驗(yàn)Session有效性。當(dāng)交易要求不是直截了當(dāng)發(fā)送到交易平臺(tái)，而是通過發(fā)送到JSP頁面來完成交易時(shí)，在響應(yīng)要求的JSP頁面頭部也有加入Session檢查代碼，來檢驗(yàn)Session有效性。4.6用戶角色治理網(wǎng)上銀行系統(tǒng)對(duì)使用該系統(tǒng)的各子系統(tǒng)的不同類用戶進(jìn)行統(tǒng)一的角色劃分。每一種角色都分配給對(duì)應(yīng)該角色權(quán)限的功能組合。登錄網(wǎng)上銀行的用戶都有確定的角色，按照自己所屬角色得到權(quán)限范疇內(nèi)的網(wǎng)上銀行功能菜單。如此就能把屬于不同角色的客戶權(quán)限嚴(yán)格分開。角色的劃分以及角色對(duì)應(yīng)功能的分配都能夠由系統(tǒng)治理員靈活定制。另外各級(jí)治理柜員（內(nèi)部治理子系統(tǒng)的治理柜員）或企業(yè)治理員（對(duì)公網(wǎng)銀子系統(tǒng)的企業(yè)治理員）還能夠?qū)ψ约河袡?quán)治理的網(wǎng)銀用戶進(jìn)行基于角色的功能過濾，即在每個(gè)用戶所屬角色對(duì)應(yīng)的功能組的基礎(chǔ)上，進(jìn)一步進(jìn)行個(gè)性化的功能過濾。系統(tǒng)用戶把交易要求發(fā)送到交易平臺(tái)后，第一進(jìn)行session校驗(yàn)，在校驗(yàn)通過后即進(jìn)入權(quán)限校驗(yàn)的交易步驟。在該環(huán)節(jié)要緊是按照用戶所屬角色和功能過濾情形判定該用戶是否有操作該交易的權(quán)限。4.7用戶權(quán)限設(shè)置個(gè)人網(wǎng)銀子系統(tǒng)用戶需要設(shè)定單筆轉(zhuǎn)賬限額和每日轉(zhuǎn)賬限額，通過設(shè)定限額的方式來減小個(gè)人轉(zhuǎn)賬帶來的風(fēng)險(xiǎn)。對(duì)公網(wǎng)銀子系統(tǒng)的操作員的用戶分為提交人和授權(quán)人。提交人有指令提交的權(quán)限，授權(quán)人沒有指令提交的權(quán)限，授權(quán)人能夠?qū)χ噶钸M(jìn)行授權(quán)操作。客戶能夠設(shè)置每筆轉(zhuǎn)賬的最大限額和客戶賬戶一天的最大轉(zhuǎn)賬限額。指令提交人只有差不多限額。授權(quán)人的操作限額分為差不多限額和組合限額。只有指令在第一次被授權(quán)時(shí)，系統(tǒng)優(yōu)先判定授權(quán)人的差不多限額，其它情形下的授權(quán)，系統(tǒng)都只使用授權(quán)人的組合限額做處理。專門業(yè)務(wù)客戶可自行制定授權(quán)的先后順序，如可優(yōu)先進(jìn)行組合授權(quán)。對(duì)指令提交人還有日累計(jì)轉(zhuǎn)賬限額，提交人在當(dāng)日內(nèi)提交的所有指令的金額的總和小于等于日累計(jì)轉(zhuǎn)賬限額，否則指令不能提交。指令分為單筆指令和批量指令兩種。企業(yè)的用戶只有開通批量的權(quán)限，提交人才能提交批量指令，授權(quán)人才能對(duì)批量指令進(jìn)行授權(quán)。批量指令的處理，采取客戶端離線錄入，上傳網(wǎng)銀服務(wù)器后在線復(fù)核模式。4.8交易信息的防篡改為防止交易信息被篡改，網(wǎng)銀客戶端采納了兩個(gè)機(jī)制。提交的交易信息以圖片的形式顯示給客戶確認(rèn)?？蛻籼峤坏慕灰仔畔ㄞD(zhuǎn)出帳號(hào)、轉(zhuǎn)入帳號(hào)、金額、幣種、同時(shí)提取有關(guān)信息生成確認(rèn)碼，以上信息生成圖片，客戶檢查圖片內(nèi)容，輸入確認(rèn)碼，完成交易信息確認(rèn)。對(duì)提交交易信息的整個(gè)網(wǎng)頁進(jìn)行數(shù)字簽名。4.9交易的提交簽名和多級(jí)批復(fù)機(jī)制當(dāng)有提交轉(zhuǎn)賬交易的操作員提交轉(zhuǎn)賬交易時(shí)，系統(tǒng)通過安全代理，要求用戶數(shù)字簽名，用戶輸入證書密碼后，安全代理對(duì)需要簽名的數(shù)據(jù)（服務(wù)器端指定）簽名后傳回服務(wù)器。只有通過簽名驗(yàn)證的交易才能被確定。企業(yè)網(wǎng)上銀行支持多人多級(jí)授權(quán)方式，能夠適合不同企業(yè)不同的的財(cái)務(wù)授權(quán)制度。提交人提交指令時(shí)，如果提交指令的金額不超過（小于或等于）提交人的差不多限額，指令不需授權(quán)就由系統(tǒng)進(jìn)行發(fā)送處理；如果提交指令的金額超過（大于）提交人的差不多限額，指令等待授權(quán)人授權(quán)。4.10批量指令的簽名提交和多級(jí)批復(fù)機(jī)制與一樣轉(zhuǎn)賬交易的處理流程類似，如果采納安全代理服務(wù)器，則需要用戶自己對(duì)批量文件通過所提供的批量簽名程序進(jìn)行簽名。簽名后，由具有批量提交權(quán)限的用戶傳遞到網(wǎng)上銀行系統(tǒng)，等待具有批量批復(fù)權(quán)限的用戶進(jìn)行批復(fù)。4.11信用社內(nèi)部治理交易的授權(quán)關(guān)于信用社內(nèi)部治理交易中的關(guān)鍵交易，網(wǎng)上銀行系統(tǒng)提供兩種授權(quán)模式，一種是柜員提交時(shí)需要授權(quán)柜員輸入授權(quán)柜員號(hào)和授權(quán)密碼；另一種模式是柜員提交后，需要授權(quán)柜員登錄網(wǎng)上銀行內(nèi)部治理系統(tǒng)，對(duì)柜員提交的指令進(jìn)行批復(fù)。4.12可疑日志查詢信用社內(nèi)部治理的柜員能夠登錄網(wǎng)上銀行內(nèi)部治理系統(tǒng)，查詢可疑的日志，可疑日志的記錄類型包括密碼連續(xù)輸入錯(cuò)誤導(dǎo)致用戶被凍結(jié)等。信用社能夠通過客戶服務(wù)系統(tǒng)或統(tǒng)一消息發(fā)送平臺(tái)等渠道通知用戶。4.13關(guān)鍵信息加密儲(chǔ)備系統(tǒng)對(duì)所有關(guān)鍵信息（如密碼），都加密成密文進(jìn)行儲(chǔ)備，防止內(nèi)部柜員讀取關(guān)鍵信息明文。4.14支付指令核押關(guān)于每一筆支付指令，系統(tǒng)都按照指令關(guān)鍵信息生成一個(gè)支付密碼串，供后臺(tái)系統(tǒng)核押，有效防止內(nèi)部人員偽造支付指令。4.15應(yīng)用訪咨詢操縱系統(tǒng)只開放提供用戶訪咨詢的接口，而且通過接口只能完成系統(tǒng)提供的功能，有效防范黑客攻擊。4.16日志審計(jì)網(wǎng)上銀行系統(tǒng)具有完備的日志審計(jì)功能。用戶每次登錄、退出及用戶的每次交易都會(huì)產(chǎn)生一個(gè)完整的審計(jì)信息，并進(jìn)行記錄。如此就方便日后的查詢、核對(duì)等各項(xiàng)工作。（三）風(fēng)險(xiǎn)監(jiān)測(cè)與識(shí)不內(nèi)部審計(jì)部門按照業(yè)務(wù)的性質(zhì)、規(guī)模和復(fù)雜程度，對(duì)網(wǎng)上銀行有關(guān)系統(tǒng)及其操縱的適當(dāng)性和有效性進(jìn)行監(jiān)測(cè)。內(nèi)部審計(jì)部門配備足夠的資源和具有專業(yè)能力的信息科技審計(jì)人員，具有適當(dāng)?shù)氖跈?quán)訪咨詢本銀行的記錄。同時(shí)能夠在符合法律、法規(guī)和監(jiān)管要求的情形下，