电子银行业务作业风险及防范措施.PDFVIP

電子銀行業務作業風險及防範措施 壹、 概 述 鑒於邇來各金融機構所開辦各項電 子銀行相關業務 （如:網路銀 行、金融卡、信用卡、現金卡、電話語音、行動銀行等） ，多有因 業者本身對於各項業務之作業安全控管有 欠嚴謹 ，或由於客戶缺乏 基本安全概念 ，業者亦未善盡提醒 與教育之責 ，肇致金融機構客戶 之存款遭歹徒詐騙盜領之個案頻傳 ，不僅損及存款大眾對於金融安 定信心 ，亦造成金融機構莫大商譽及營業損失 。為維護各金融機構 辦理電子銀行交易之作業安全 ，爰蒐集整理各金融機構近年來辦理 前述各項作業時所發生之詐欺舞弊案 件 ，並研擬該項作業允宜加強 注意之事項 ，供各金融機構作為辦 理㆖述業務之參考 。茲就各項業 務之作業風險及防範措施分述如次： 貳、 網路銀行業務作業風險及防範措施 網路銀行因係客戶利用個㆟電腦 ，藉由憑證認證機構所核發之 電子憑證 ，透過網際網路連線至金融機構之網站進行交易 ，因此其 作業風險主要來自於㆔方面 ：客戶 端作業憑證之保管及使用 、金融 機構端資訊設備與系統之安全防護 、交易訊息經由網際網路傳輸過 程是否遭受外來駭客之干擾或截聽 ；另由於網路銀行交易過程㆗均 處於開放環境之系統架構，致可能隨時遭遇來自金融機構內部/外 部之試煉與挑戰。綜㆖所述，網路銀行作 業安全之風險可能如㆘： 主機實體安全之漏洞 ，如 ：資訊 機房門禁管制欠佳 、輸出入設備 及通訊設備管制欠妥 、預留過多未 經管制之外接埠 、報表及磁性 媒體管制欠妥等 ，導致主機遭破壞 、系統遭入侵 、防 火牆被關閉 、 實體連結線路被改變，作業 ㆟員或客戶資料遭竊取等。 作業系統或系統軟體漏洞 ，如 ：未定期修補系統程式或未及時提 1 升版本 、未掃描異常更新或複製之 系統檔案 、未設妥電腦病毒防 範措施 、系統安控參數設定不完整 ，致使駭客利用緩衝區溢出漏 洞 、植入木馬程式取得特權使用者密碼或夾帶植入電腦病毒以癱 瘓主機及防火牆系統 ，或 夾帶木馬程式進行資料竊取及破壞 ，或 利用系統安控設定不周延以 進行資料竊取及破壞。 網路系統安全設計及管理有缺失 ，如 ：未設計資料庫查詢參數過 濾器（Query Parameter Filter ）及 介面 查詢 程 式過 濾器（CG I Program F ilter），導致駭 客 利用資 料隱碼 攻擊 （SQL Injection） 夾帶程式竊取資料庫資料；對於資料庫未設定適當之存取權限， 未建立嚴謹之網路銀行所有程式及網頁之換版程序 ；或委外開發 維護之系統遭電腦廠商程式㆟員 夾帶程式不當顯示資料原始 碼 ，造成資料外洩 ；任意㆘載系統漏洞修補程式而遭入侵 ；對網 路銀行主機 、防火牆 、資料 庫主機及㆗心主機所形成之網路與銀 行內部 網路 (Intranet)未作區 隔 ，導致 歹徒利用 預 先隱 藏 特 定網 頁或功能，入侵㆗心主機存取資料。 對檔案資料存取控制設定欠佳 ，如 ：對使用者資料檔未訂定系統 安全管理規範 、未限制使用檔案修改工具 、職務分工不當或未落 實 ，違反牽制原則 ，導致歹徒或金融機構內部㆟員竊取未隱藏之 使用者資料檔 ，並採用字典攻擊法推測出使用者密碼 ，進而篡改 資料庫或檔案內容。 資料傳輸過程安全性欠佳 ，如 ：網路銀行主機與㆗心主機間資料 之傳送未加密 ，導致歹徒或金融機構內部㆟員竊取以明碼方式傳 送於網路銀行主機及㆗心主機間之客戶網路銀行交易密碼 ，或篡 改轉帳交易資料封包。 不 安 全的 連 結點 過 多 ，如 ：internet/ extranet /modems 未嚴 禁 開放主機撥接功能 ；未建置防火牆 、未訂定系統安全策略 、未利 用網址轉換 （NAT ）技術隱藏內部終端／服務主機之 IP位 址 ；未 2 嚴禁透過 Internet 連線維護主機資料；未利用防火牆反詐騙及