关于网上银行u盾管理的风险分析及措施

关于网上银行 U 盾管理的风险分析及措施 2010-5-4 10:28:50 文章来源：本站原创 作者：郭瑾 关键词：工商银行 核心提示： 工商银行网上银行客户证书是存放客户身份标识，并对客户发送的电子银行交 易信息进行数字签名的电子文件。在多种客户证书中，USB key 证书（以下简称 U 盾）推广较为普遍，它是客户通过网上银行办理资金划转业务的重要身份验证介质， 加强 U 盾证书的管理，就是确保客户资金安全的重要环节。 一、U 盾管理中的风险点分析 （一）空白 U 盾的管理 2009 年 NOVA+1.1.4 版本已将营业网点向客户发放的空白客户证书（包括个人、 企业空白 USB key 证书）作为重要物品纳入要素核算管理系统。空白 U 盾从收到厂 家发货起，办理的出库、入库、请领、发放、核对等都要按照核算要素管理系统的 流程处理，并进行控号管理。管理中存在以下风险点： 1、支行向上级机构请领时，上级机构重点审核请领人的身份，核实无误后方 可办理出库手续。 2、空白 U 盾实物领取时，出、入库人员必须当面点清并办理交接。营业部凭 证库管库员与支行凭证库管库员、支行凭证库管库员与柜员间办理 U 盾的发放时， 必须当面核对实物与核算要素系统中发放数量一致。 3、营业终了，柜员对未使用的空白 U 盾必须入保险箱（柜）保管。 （二）个人 U 盾的启用与发放 1、个人客户新申请注册网上银行服务时，需在中国工商银行电子银行个人 客户注册申请表上注明申领个人客户证书，营业网点审核客户提供的本人身份证 件和注册的银行卡无误后，使用“7639 网银注册、银行户口开立”交易，启用并 发放个人客户证书。 2、个人客户对已注册网银账户增加 U 盾。已经注册个人网上银行的客户应在 中国工商银行电子银行个人客户变更（注销）事项申请表上注明增加“客户证 书”，柜员使用“1538 电子银行客户认证介质维护”交易增加 U 盾。 远程授权集中后，电子银行开户、变更已纳入远程授权管理，操作流程为：一 是经办柜员需将电子银行注册申请书、客户本人有效身份证原件正反面、银行介质、 身份证联网核查信息，向远程授权中心上传影像资料。二是现场管理人员核实客户 本人办理；监督客户 U 盾回执；U 盾发放客户本人；在相关凭证上签章确认。三是 远程授权人员审核交易画面与申请书、银行介质号码、身份证信息一致；审查身份 证联网核查信息；审核现场管理人员签章。个人 U 盾的启用与发放中存在以下风险 点： （1）客户本人办理网上银行注册及 U 盾证书的启用和发放。柜员和现场管理 人员操作时必须认真审核客户身份证件及注册卡，审核确认客户身份真实及账户确 属客户本人所有。 （2）批量办理个人电子银行注册业务，客户不在场，由银行内部人员代客户 输入注册密码。 （3）U 盾证书发放时，柜员及现场管理人员必须核对系统中录入的 U 盾号码 与发放给客户的 U 盾号码一致。 （4）U 盾必须发放给客户本人。现场管理人员应监督柜员将 U 盾交付客户本 人，并确认客户本人在个人 U 盾领取回执上签字确认。 （5）营业网点柜员在向客户发放 U 盾后，应及时在核算要素管理系统中将 U 盾进行销号处理。 （三）企业网上银行已制客户证书的管理 企业申请注册网银时，柜员按规定对资料进行审查，无误后通过内部管理系统 办理网银注册业务，并由制证网点对 U 盾进行制证。下面主要从证书制证后，证书 代理网点与开户网点对已制证书的交接、客户领取证书及密码信封、对已领取的证 书解冻三方面分析交接环节的风险点。 1、企业网上银行已制客户证书的交接。证书代理网点通过空白重要凭证登 记簿与开户网点或业务代理网点办理已制证书及密码信封的交接。风险点： （1）已制作但尚未发放的客户证书不能由具有证书解冻权限的柜员保管。 （2）领取客户证书及密码信封应双人分别传递、分别保管，按规定领取。客 户证书及密码信封须由双人分别入保险柜（箱）保管。 （3）已经制作完成的客户证书作为重要空白凭证，按证书种类纳入 820099 科 目下指定专户核算，登记“空白重要凭证登记簿”。以往核查中发现，营业网点在 领回已制证的证书后，如客户当日取证的，部分营业网点未纳入表外进行核算。 2、客户领取证书及密码信封。客户提交中国工商银行企业客户证书领取单 及领取人身份证件，开户网点审核无误后发放证书及密码信封，客户在客户证书领 取单上签收。风险点：客户证书领取人与企业指定的证书领取人为同一人。柜员必 须核实领取人身份证件，以及中国工商银行企业客户证书领取单加盖的印章与 银行的预留银行印鉴一致。 3、对已领取的证书解冻。证书解冻柜员凭已批注证书及密码信封领取时间， 以及营业网点柜员签章齐全的中国工商银行企业客户证书领取单，对证书 ID 进行解冻操作业务。风险点： （1）尚未发放的客户证书不能由具有证书解冻权限的操作柜员或负责授权的 主管柜员保管。 （2）证书解冻柜员向客户核实确认网上银行申请和证书领取情况，核实无误 办理证书解冻。 二、加强 U 盾客户证书管理的措施 （一）多层次强化对空白证书的核对与检查工作。 1、各级库房管库员应每周至少一次清点库存实物，并与会计要素管理系统相 关信息核对相符后，打印要素库存明细登记簿，进行签章确认。 2、二级分行运行管理部负责人按季对其凭证库管理进行检查，并填写查库记 录。 3、网点业务主管应按周、运行督导员应按季对网点空白重要凭证、重要物品 管理进行检查。 4、每日营业终了，客户证书的核算必须换人复核。各营业网点经办柜员及现 场管理人员根据当日证书领用数、结存数与客户申请表个人客户证书发放数与核算 要素管理系统的数据进行核对，无误后将剩余的个人客户证书入库（柜）妥善保管。 （二）通过业务运营风险管理系统，对电子银行业务进行监测与风险评估。 依托业务运营风险管理系统，通过设置电子银行业务监测模型，对异常网银业 务进行核查。自 2009 年业务运营风险管理系统投产以来，先后加入了“柜员单日 注册个人网银超限监测、电子银行密码重置监测、企业客户申请网银证书后近期单 笔大额资金转出”等 20 多个监测模型。风险监控中心人员根据系统预警的准风险 事件采取查看业务凭证、录像、电话联系客户等方式进行核查，对违规操作行为确 认为风险事件，并督促网点整改。 电子银行业务部门在业务运营风险管理系统中设有查询岗，查询员通过对电子 银行业务风险事件统计报表的查询，定期分析风险事件特征及演变趋势，采取针对 性措施管理风险并积极改进业务处理流程。 （三）强化业务事中控制，提高网点现场管理人员、远程授权人员履职水平。 网点现场管理人员、远程授权人员作为事中控制的重要关卡，起到了举足轻重 的作用。网点现场管理人员，对应审核业务的真实性、合规性和业务依据的完整性 负责。