商业银行科技风险案例63条中国银行业监督管理委员会信息中心二○一○年八月序言当前，信息技术已经渗透到商业银行经营管理的各个领域，银行业已成为信息技术高度密集、高度依赖的行业，同时也是受信息科技风险影响最大的行业之一。

信息系统的安全性、可靠性和有效性不仅是商业银行赖以生存和发展的重要基础，还关系到整个银行业的安全和国家金融体系的稳定。

根据近几年国际上出现的信息系统故障事件分析，如果银行信息系统中断1小时，将直接影响该行的基本支付业务；中断1天，将对其声誉和市值造成极大伤害；中断2～3天以上不能恢复，将直接危及银行乃至整个金融系统的稳定。

同时，随着网上银行、电子商务等网络金融服务的快速发展，利用网络信息技术的犯罪活动也日益增加，威胁银行业信息安全、针对网上银行的案件呈上升趋势，对客户利益和对银行声誉带来的危害不容忽视。

2004年，巴塞尔新资本协议将信息科技风险明确划归操作风险的范畴，使得信息科技风险管理成为了银行全面风险管理体系中的重要组成部分。

近年来，银监会对银行信息科技风险管理高度重视，对银行信息科技风险管理提出了明确要求。

各商业银行也普遍提高了对信息科技风险管理的关注程度，银行业的信息科技风险管理水平不断提高。

在取得成绩的同时，必须清醒地意识到存在的问题与不足。

近年来国内外信息科技风险事件时有发生，系统重大停机宕机、核心业务系统中断、网站安全漏洞、网上银行虚假交易、客户资金被窃取等。

后果严重，教训深刻，网络与信息安全形势不容忽视。

这些事件的发生再次向我们敲响警钟：信息科技工作一旦发生问题就是重大问题。

信息科技风险就在身边，强化风险监管刻不容缓。

以史为镜知兴替，以案为鉴明得失。

基于此，银监会组织专人对银行业金融机构计算机犯罪案件和信息安全事件进行了认真梳理，从中选择有代表性和借鉴意义的典型案例，开创性地编写了《银行业科技风险警示录》。

该书汇编刊印工作非常适时，非常必要，在银行业计算机犯罪与信息安全事件研究方面迈出了可喜的一步。

入选案例都具有较高的借鉴价值，为银监会系统的IT风险监管工作提供了有效资料，为各银行业金融机构和广大员工提供了警示教材。

这些素材新、内容全、深入浅出、富有新意的案例分析无论对银行风险管理部门、信息科技部门继续深入研究相关案例，还是对银行高管人员、审计人员以及从事相关业务的广大员工，都具有实践的借鉴价值和指导作用。

《银行业科技风险警示录》汇编教材意义重大，值得肯定。

“前事昭昭，足为明戒”。

银监会系统一定要高度重视信息科技风险管控工作。

切实分析好、利用好这些案例，认真查找银行业金融机构在内控管理、安全防范、信息技术等方面存在的差距与不足，清醒把握当前防范计算机犯罪与信息安全面临的形势。

采取有针对性的监管措施，指导银行业金融机构落实内控、提高信息安全管理能力，遏制计算机犯罪快速上升势头。

各银行业金融机构要能够吸取这些案例的教训，警钟长鸣，积极开展多种形式的信息科技风险警示教育，做好计算机案件与信息安全事件防范工作，促进在更大范围和更高层次上提升信息科技风险防范水平。

我们坚信：通过提高信息科技风险防范意识，完善信息科技风险管理机制，计算机案件和信息安全事件的发生概率就会大大降低，所造成的影响和损失也将会大大减轻。

是为序。

郭利根二Ｏ一Ｏ年八月前言随着信息科技在银行业金融机构客户服务、营销、内控、经营管理等工作中应用的不断深入，涉及信息技术的犯罪案件与信息安全事件不断发生，且呈现快速上升趋势。

近年来出现的一些重大金融信息科技风险案例表明，信息系统为金融机构日常运营提供了重要的基础支持，银行业的稳健经营离不开对信息科技风险的有效管理。

国外两大事件将科技风险管控重要性昭示天下。

2001年9月11日恐怖分子劫持飞机撞击美国纽约世贸中心。

该恐怖袭击事件瞬间彻底毁灭了数百家公司所拥有的重要数据，令近九百家机构因此倒闭，美洲银行、德国银行、国际信托银行、帝国人寿保险公司、摩根斯坦利金融公司、美国商品期货交易所等数十家世界金融巨头遭受了重大损失。

2009年11月8日黑客集团成功入侵苏格兰皇家银行(RBS)旗下信用卡公司的计算机网络，伪造假卡，在不足12小时内从全球至少280个城市的2100部提款机提取逾900万美元现金，使RBS集团短时间内损失惨重。

如果不能对信息科技风险进行有效管控，一些信息科技案件或事件必将对银行业持续稳健运行带来重大威胁。

鉴于此，银监会信息中心组织专人对银行业金融机构计算机犯罪和信息安全事件进行认真梳理，从中选择部分有代表性和一定借鉴意义的典型案例，编写了《银行业科技风险警示录》。

《银行业科技风险警示录》收集了中国银行业金融机构2004～2010年初所发生的具有代表性的98个计算机犯罪案件和信息安全事件。

入选案例通常在多家银行发生，且具有银行机构信息科技风险管理工作中普遍存在的薄弱环节、共性缺陷。

汇编此书，意欲举一反三，警示昭告，引发银行机构高管人员、风险管理部门、信息科技部门、审计部门以及各相关业务部门的高度重视，以认真汲取事故教训，采取措施，堵塞漏洞。

《银行业科技风险警示录》中各案例内容分别包括“案例描述”、“案例分析”两个部分。

“案例描述”部分主要是以有关银行提供的事件分析报告为依据，简要介绍案例概况；“案例分析”部分深入浅出地对案件内部深层次原因进行剖析，以反映银行机构信息安全面临的严峻形势。

在每节后附“防范对策与建议”，通过各家银行的实际防范经验总结为银行建立解决方案提供借鉴。

《银行业科技风险警示录》着重突出了以下特点：一是素材新。

入选的98个计算机犯罪案件和信息安全事件具有普遍典型意义，部分案例为国内首次披露。

二是内容全。

通过向全国银行业金融机构广泛征集案例，保证了内容的覆盖面和信息量，基本做到了案件与事件、历史与现状、中资银行与外资银行、不同规模银行业机构等的兼收并蓄。

三是富有新意。

《银行业科技风险警示录》对案例内容尝试性引入了危害指数、影响指数和频度指数进行风险分级。

其中，危害指数主要侧重从案件对行业的冲击力及对银行客户的影响面进行分析；影响指数主要侧重从事件对银行持续经营的影响度进行分析；而频度指数主要从发生概率（案件和事件）或作案难易度（仅针对案件）进行定性分析。

案例的风险类型与发生根源分析则借鉴了巴塞尔新资本协议的要求和分类方式。

四是深入浅出。

注重技术深度和通俗易懂的结合，每个案例做到了情况描述全面细致、原因分析切中要害、对策建议切实可行，具有较好的完整性、前瞻性和实用性。

同时，力避生硬技术性论述，数据主要以图、表形式进行罗列和分析，使读者一目了然。

中国银行业监督管理委员会信息中心二〇一〇年八月目录第一章信息科技相关案件 (11)第一节网上银行类案件 (21)案例1：篡改网银交易数据盗取客户资金 (21)案例2：利用内嵌病毒邮件盗取客户资金 (22)案例3：通过木马盗取客户资金之一 (23)案例4：通过木马盗取客户资金之二 (24)案例5：远程操纵客户计算机盗取资金 (25)案例6：攻击网站获取客户信息盗取资金 (26)案例7：窃取客户网银证书作案 (27)案例8：盗取同事账户作案 (28)案例9：利用假证件开通网上银行作案 (29)案例10：嗅探网银系统作案 (30)案例11：非法破解用户密码作案 (31)第二节内控缺陷类案件 (34)案例12：非法办理存折配卡作案 (34)案例13：篡改系统数据虚开存单作案 (35)案例14：篡改账户状态非法结息作案 (36)案例15：篡改账务数据盗取资金 (38)案例16：利用综合业务系统漏洞作案之一 (39)案例17：利用综合业务系统漏洞作案之二 (40)案例18：利用贷款业务系统缺陷作案 (41)案例19：利用储蓄业务系统漏洞作案 (42)案例20：盗用他人柜员密码挂失存单作案 (43)案例21：盗取他人柜员密码空存资金作案 (44)案例22：盗用他人柜员密码虚列利息支出作案 (45)案例23：盗用系统权限冒名贷款作案 (46)案例24：伪装外包人员混入银行营业室作案 (47)案例25：利用外包管理漏洞盗取客户信息作案 (48)案例26：编制非法程序窃取客户信息作案 (49)案例27：盗取客户信息篡改数据库作案 (50)案例28：窃取数据仓库客户信息作案 (51)第三节自助设备类案件 (54)案例29：加装特殊装置盗取银行卡信息作案 (54)案例30：张贴虚假告示骗取客户信任作案 (64)案例31：利用自助设备的自动保护功能作案 (72)案例32：利用自助设备功能模块缺陷作案 (74)案例33：利用自助设备系统程序漏洞作案 (75)案例34：通过砸撬ATM机等暴力手段进行作案 (76)案例35：一些其他银行卡犯罪案件 (78)第二章信息科技相关事件 (82)第一节硬件设备故障 (93)事例1：主机宕机处置不及时导致系统交易停止 (93)事例2：存储设备故障致重要应用系统中断 (94)事例3：主机配件故障导致银行对外服务中断 (94)事例4：备机电源模块故障导致主机系统宕机 (95)事例5：主机电源故障导致核心业务长时间停止 (96)事例6：CPU主板硬件故障致系统中断 (97)事例7：存储设备故障致系统中断 (98)事例8：交换机接触不良致业务中断 (98)事例9：核心交换机故障致业务中断 (99)事例10：存储光纤交换机宕机致系统中断 (100)事例11：机房地面震动引起机房设备电源频发故障 (101)事例12：交换机协议不兼容导致网络通信异常 (102)事例13：光端机通讯板卡故障致业务中断 (102)事例14：网络设备配置不当致系统中断 (103)事例15：加密机故障导致银行卡交易长时间中断 (104)第二节软件系统故障 (107)事例16：加密平台设计缺陷引发交易拥堵 (107)事例17：压力测试不充分导致系统服务中断 (108)事例18：需求交流不充分导致部分银期转账无法正常处理 (109)事例19：监控系统缺陷导致业务瘫痪 (110)事例20：主机系统缺陷导致业务系统运行不畅 (111)事例21：程序性能缺陷导致交易缓慢 (111)事例22：应用程序缺陷导致银证交易异常 (112)事例23：第三方存管系统运行故障引发服务中断 (113)事例24：系统容量不足导致系统运行意外终止 (115)事例25：应用系统故障影响客户服务 (116)事例26：对批量操作的管理不善引发系统停机 (117)事例27：系统交易堵塞引发系统崩溃 (118)事例28：ATM程序故障造成吞卡及交易失败 (119)事例29：系统变更缺陷导致ATM透支事故 (120)事例30：光纤传输速率波动引发业务系统故障 (121)事例31：系统数据库意外宕机造成业务数据丢失 (122)事例32：数据库软件缺陷引发业务交易堵塞 (123)事例33：数据库升级异常引发系统故障 (124)事例34：备份操作异常导致银行卡交易中断 (124)事例35：疏于备份导致银行客户数据丢失 (125)事例36：操作失误引发综合业务系统停止服务 (126)事例37：操作不当导致银行现金业务中断 (127)事例38：系统设置错误导致卡业务故障 (128)第三节外围保障设施故障 (131)事例39：操作不慎导致核心系统服务中断 (131)事例40：UPS系统故障导致呼叫中心停止服务 (131)事例41：外包服务商违规操作导致银行服务中断 (132)事例42：双回路切换器故障引发银行供电隐患 (133)事例43：供电系统老化及演练不到位导致服务中断 (134)事例44：电力转换系统故障引发供电中断 (136)事例45：市变电站突发设备故障导致银行业务中断 (137)事例46：光端机设备故障造成通讯中断 (138)事例47：电信运营商设备故障导致业务无法正常办理 (138)事例48：域名未及时备案导致网上银行被封 (139)事例49：与银联沟通不畅引起银行卡业务异常 (140)第四节网络攻击事件 (143)事例50：遭受恶意攻击门户网站间歇性中断 (143)事例51：遭受恶意攻击短暂影响网银访问 (144)事例52：及时化解恶意攻击确保网银业务正常运行 (145)事例53：域名解析错误引发网络流量剧增 (147)事例54：SQL注入篡改信托公司网站数据库 (148)事例55：架构漏洞导致银行网站被植入恶意链接 (148)事例56：设置钓鱼网站，假冒网上银行系统 (149)第五节有害程序事件 (153)事例57：办公电脑感染病毒导致网络阻塞 (153)事例58：防病毒软件更新不及时导致全行网络流量异常 (153)事例59：数据库补丁更新不及时引发业务中断 (154)事例60：前置程序感染病毒导致自助设备无法使用 (155)第六节灾害性事件 (158)事例61：台风破坏通讯设施导致银行网点停业 (158)事例62：火灾导致银行供电中断 (158)事例63：雷击损坏网络设备导致银行呼叫中心通讯中断 (159)后记 (162)第一章信息科技相关案件一、案防形势当今社会经济发展对信息科技的依赖程度愈来愈高，金融业信息系统和网络安全对国家安全、社会稳定和公众权益的影响逐渐增强。