建設(shè)銀行信息安全培訓(xùn)課件第一章信息安全的嚴峻形勢2024年金融行業(yè)安全威脅激增40%攻擊增長率全球金融機構(gòu)遭遇網(wǎng)絡(luò)攻擊次數(shù)同比激增1400萬受影響客戶2023年某金融巨頭數(shù)據(jù)泄露事件波及人數(shù)主要攻擊手段釣魚郵件偽裝成官方通知誘騙員工點擊惡意軟件植入銀行系統(tǒng)竊取敏感數(shù)據(jù)分布式拒絕服務(wù)攻擊癱瘓網(wǎng)絡(luò)服務(wù)社交工程手段獲取內(nèi)部權(quán)限憑證信息安全無小事建行面臨的主要安全威脅網(wǎng)絡(luò)釣魚攻擊偽裝成官方郵件或短信,誘騙員工泄露賬號密碼或點擊惡意鏈接,是最常見的攻擊入口內(nèi)部權(quán)限濫用員工賬戶權(quán)限管理不當、越權(quán)訪問敏感數(shù)據(jù),內(nèi)部威脅往往更難防范設(shè)備物理安全辦公電腦、移動設(shè)備丟失或被盜,密碼泄露、存儲介質(zhì)外帶等物理安全風(fēng)險真實案例警示2016年某央行SWIFT系統(tǒng)遭黑客攻擊攻擊手段黑客通過釣魚郵件潛入銀行內(nèi)網(wǎng),遠程控制員工客戶端,竊取SWIFT系統(tǒng)特權(quán)賬號經(jīng)濟損失成功轉(zhuǎn)移資金8100萬美元,造成巨額直接經(jīng)濟損失深遠影響嚴重損害銀行國際聲譽,引發(fā)監(jiān)管機構(gòu)徹查,暴露系統(tǒng)性安全漏洞信息安全的核心價值保護客戶資產(chǎn)確?？蛻糍Y金安全和個人隱私不被侵犯,是銀行最基本的責任和使命維護系統(tǒng)穩(wěn)定保障銀行核心系統(tǒng)持續(xù)穩(wěn)定運行,確保業(yè)務(wù)連續(xù)性和服務(wù)質(zhì)量合規(guī)防范風(fēng)險嚴格遵守國家法律法規(guī)和監(jiān)管要求,防范法律風(fēng)險和監(jiān)管處罰信息安全不僅是技術(shù)問題,更是關(guān)系到銀行生存發(fā)展的戰(zhàn)略問題。只有將安全理念融入每個業(yè)務(wù)環(huán)節(jié)、每位員工的日常工作中,才能真正構(gòu)建起堅不可摧的安全防線。第二章建行信息安全管理體系建設(shè)銀行構(gòu)建了全方位、多層次、立體化的信息安全管理體系,從技術(shù)防護到管理制度,從系統(tǒng)監(jiān)控到應(yīng)急響應(yīng),形成了嚴密的安全保障網(wǎng)絡(luò)。這套體系融合了國際先進理念與建行實踐經(jīng)驗,為守護金融安全提供了堅實保障。建行多層次安全防護架構(gòu)1物理層機房監(jiān)控2應(yīng)用層交易分析3系統(tǒng)層身份認證系統(tǒng)層防護多因素身份認證機制細粒度訪問控制策略加密通信與數(shù)據(jù)保護漏洞掃描與補丁管理應(yīng)用層防護實時交易行為分析智能風(fēng)險評分模型異常操作自動攔截業(yè)務(wù)邏輯安全審計物理層防護7×24小時視頻監(jiān)控生物識別門禁系統(tǒng)環(huán)境監(jiān)測與報警安全設(shè)備定期巡檢三層防護相互協(xié)同、層層把關(guān),形成縱深防御體系,確保即使某一層被突破,其他層仍能有效阻止攻擊。藍E衛(wèi)士:建行電子銀行安全守護者01實時監(jiān)控系統(tǒng)7×24小時監(jiān)控所有電子銀行交易,智能識別異常行為模式02風(fēng)險評估對可疑交易進行多維度風(fēng)險評分,綜合判斷威脅等級03主動外呼通過0551-95533專線主動聯(lián)系客戶,核實交易真實性04快速處置確認為詐騙后立即凍結(jié)交易,協(xié)助客戶挽回損失溫馨提示:如果您接到0551-95533來電,請務(wù)必接聽配合核實。這不是騷擾電話,而是建行為您筑起的最后一道安全防線。藍E衛(wèi)士已成功幫助數(shù)萬客戶避免資金損失,是名副其實的"反詐利器"。賬戶安全管理創(chuàng)新實踐密碼全生命周期自動管理自動生成系統(tǒng)自動生成高強度隨機密碼加密存儲密碼加密存儲于安全密鑰庫定期輪換按策略自動更換密碼自動調(diào)用應(yīng)用通過API安全獲取核心優(yōu)勢零人工干預(yù)運維人員無需接觸密碼,從根本上杜絕泄露風(fēng)險降低內(nèi)部威脅有效防止內(nèi)部人員濫用權(quán)限訪問敏感系統(tǒng)提升效率自動化流程大幅提高運維效率和安全性機用用戶密碼自動調(diào)用技術(shù)應(yīng)用發(fā)起請求業(yè)務(wù)系統(tǒng)需要訪問數(shù)據(jù)庫或其他服務(wù)時,向密碼管理平臺發(fā)起認證請求身份驗證平臺驗證應(yīng)用身份和權(quán)限,確保請求來源合法密碼注入系統(tǒng)自動將加密密碼注入應(yīng)用會話,全程不暴露明文訪問執(zhí)行應(yīng)用使用臨時憑證完成操作,會話結(jié)束后憑證立即失效"這項技術(shù)實現(xiàn)了密碼的'無形化',運維人員看不到、摸不著密碼,卻能正常完成工作。這是從管理制度到技術(shù)手段的根本性變革,將人為風(fēng)險降到最低。"——建行信息安全部負責人國家金融監(jiān)管新規(guī)解讀《銀行保險機構(gòu)數(shù)據(jù)安全管理辦法》(2024)數(shù)據(jù)分類分級明確要求建立數(shù)據(jù)分類分級制度,根據(jù)數(shù)據(jù)重要程度和敏感性實施差異化保護措施個人信息保護強化個人金融信息保護要求,明確收集、使用、存儲、傳輸各環(huán)節(jié)的安全規(guī)范風(fēng)險監(jiān)測機制建立健全數(shù)據(jù)安全風(fēng)險監(jiān)測預(yù)警體系,及時發(fā)現(xiàn)和處置安全隱患應(yīng)急響應(yīng)預(yù)案制定數(shù)據(jù)安全事件應(yīng)急處置預(yù)案,確?？焖儆行?yīng)對突發(fā)事件該辦法的出臺標志著我國金融數(shù)據(jù)安全監(jiān)管進入新階段,建行嚴格對標監(jiān)管要求,持續(xù)完善數(shù)據(jù)安全管理體系,確保全面合規(guī)。建行數(shù)字化轉(zhuǎn)型與安全創(chuàng)新技術(shù)創(chuàng)新驅(qū)動安全升級業(yè)務(wù)中臺建設(shè):統(tǒng)一業(yè)務(wù)能力輸出,實現(xiàn)安全策略集中管控和一致性實施數(shù)據(jù)中臺賦能:構(gòu)建數(shù)據(jù)安全治理框架,實現(xiàn)數(shù)據(jù)全生命周期保護人工智能應(yīng)用:機器學(xué)習(xí)算法識別異常交易模式,預(yù)測潛在安全風(fēng)險RPA流程自動化:自動化安全檢查和合規(guī)審計,提升效率降低人為失誤智能設(shè)備防護:智能柜員機、自助設(shè)備部署防護軟件和安全監(jiān)控數(shù)字化轉(zhuǎn)型為信息安全帶來新挑戰(zhàn)的同時,也提供了更強大的技術(shù)手段。建行充分利用新技術(shù)優(yōu)勢,持續(xù)提升安全防護的智能化、自動化水平。第三章員工信息安全意識與操作規(guī)范技術(shù)防護再先進,也無法完全替代人的作用。員工是信息安全的第一道防線,也是最容易被攻破的環(huán)節(jié)。提升全員安全意識,養(yǎng)成良好操作習(xí)慣,嚴格遵守安全規(guī)范,是確保整體安全的關(guān)鍵。每位建行員工都肩負著守護客戶資產(chǎn)和銀行安全的重要責任。銀行卡安全防范要點升級芯片卡芯片卡采用動態(tài)加密技術(shù),安全性遠高于磁條卡。建議客戶盡快將磁條卡更換為芯片卡,從源頭降低被復(fù)制風(fēng)險。磁條卡容易被不法分子通過側(cè)錄設(shè)備復(fù)制信息。妥善保管密碼銀行卡密碼是資金安全的最后防線,務(wù)必牢記且不可告知他人,包括親友。切勿將密碼寫在卡片上或存在手機中。不同銀行卡應(yīng)設(shè)置不同密碼,避免"一碼通用"。及時掛失處理發(fā)現(xiàn)銀行卡丟失或交易異常,應(yīng)立即通過手機銀行、網(wǎng)銀或撥打95533辦理掛失,凍結(jié)賬戶防止資金損失。掛失后盡快補辦新卡,并檢查近期交易記錄。特別提醒:不要將銀行卡借給他人使用,即使是親朋好友也應(yīng)婉拒。您的賬戶可能被用于洗錢、詐騙等違法活動,給自己帶來法律風(fēng)險和信用損失。密碼安全設(shè)置與保管密碼設(shè)置原則避免使用生日、身份證號、手機號等容易被猜測的信息不使用連續(xù)數(shù)字(123456)或重復(fù)數(shù)字(888888)等弱密碼密碼長度盡量在6-8位,包含數(shù)字和字母更安全不同系統(tǒng)、賬戶設(shè)置不同密碼,防止"一處泄露、處處危險"密碼管理實踐定期更換建議每3-6個月更換一次密碼,發(fā)現(xiàn)異常應(yīng)立即修改安全記錄如需記錄密碼,應(yīng)采用暗號方式,不要明文保存在手機或電腦中保密原則任何情況下不向他人透露密碼,銀行工作人員也不會索要多因素認證啟用短信驗證碼、動態(tài)令牌等多重驗證,增強賬戶安全ATM與POS交易安全1操作前檢查觀察ATM機周圍是否有可疑人員或異常裝置,檢查卡槽、鍵盤是否被加裝設(shè)備2輸密碼防護輸入密碼時用手或身體遮擋,防止他人偷窺或攝像頭拍攝3異常停止操作發(fā)現(xiàn)設(shè)備故障、吞卡或屏幕提示異常,應(yīng)立即停止操作并聯(lián)系銀行4憑證妥善處理交易憑條包含部分賬戶信息,應(yīng)妥善保管或徹底銷毀,不要隨意丟棄在POS機刷卡消費時,同樣要注意遮擋密碼,核對交易金額后再輸入密碼確認。不要讓銀行卡離開視線,防止被掉包或復(fù)制信息。收到交易短信提醒應(yīng)及時核對,發(fā)現(xiàn)異常立即聯(lián)系銀行。網(wǎng)絡(luò)安全防范識別釣魚攻擊不點擊來源不明的郵件鏈接或附件,不輕信陌生號碼發(fā)送的"官方通知"。正規(guī)銀行通知會通過官方渠道發(fā)送,不會要求點擊不明鏈接。避免公共網(wǎng)絡(luò)不在公共Wi-Fi環(huán)境下登錄網(wǎng)銀、手機銀行或進行交易操作。公共網(wǎng)絡(luò)可能被攻擊者監(jiān)聽,導(dǎo)致賬號密碼泄露。使用移動數(shù)據(jù)網(wǎng)絡(luò)更安全。確認官方網(wǎng)址訪問建行網(wǎng)站務(wù)必核對網(wǎng)址為或,警惕相似域名的釣魚網(wǎng)站。建議將官網(wǎng)加入瀏覽器收藏夾,通過收藏夾訪問。釣魚網(wǎng)站識別技巧仔細核對網(wǎng)址,警惕拼寫相似的假網(wǎng)站查看網(wǎng)站是否有安全證書(https://)正規(guī)網(wǎng)站頁面精美專業(yè),假網(wǎng)站常有錯別字不要通過搜索引擎點擊廣告鏈接訪問安全上網(wǎng)建議定期更新操作系統(tǒng)和瀏覽器補丁安裝正版殺毒軟件并保持實時防護不下載安裝來路不明的軟件程序定期清理瀏覽器緩存和Cookie防范社交工程詐騙常見詐騙話術(shù)"您的賬戶涉嫌洗錢,需要配合調(diào)查轉(zhuǎn)移資金到安全賬戶""系統(tǒng)升級需要驗證身份,請?zhí)峁炞C碼和密碼""您中獎了,需要先支付手續(xù)費或稅款才能領(lǐng)取"保持警惕接到自稱銀行工作人員的電話,不要輕信,應(yīng)掛斷后主動撥打官方客服核實核心原則銀行、公安等機構(gòu)不會通過電話要求轉(zhuǎn)賬、索要密碼或驗證碼保護信息不在社交媒體過度分享個人信息,防止被詐騙分子利用實施精準詐騙牢記三不原則:不輕信陌生來電、不透露個人信息、不向陌生賬戶轉(zhuǎn)賬。遇到可疑情況,應(yīng)保持冷靜,及時與家人或銀行溝通核實,不要被對方的威脅恐嚇所迫做出沖動決定。反洗錢與合規(guī)意識反洗錢"七步連環(huán)法"01了解客戶充分了解客戶身份、業(yè)務(wù)性質(zhì)和交易習(xí)慣02識別風(fēng)險識別客戶交易中的異常行為和可疑模式03盡職調(diào)查對高風(fēng)險客戶開展加強型盡職調(diào)查04持續(xù)監(jiān)測持續(xù)監(jiān)測客戶交易,及時發(fā)現(xiàn)異常變化05記錄保存完整記錄客戶信息和交易數(shù)據(jù)備查06報告上報發(fā)現(xiàn)可疑交易及時向反洗錢中心報告07配合調(diào)查配合監(jiān)管機構(gòu)開展反洗錢調(diào)查工作可疑交易識別短期內(nèi)頻繁大額現(xiàn)金存取交易金額與客戶身份明顯不符刻意規(guī)避大額交易報告標準頻繁開銷戶或更換賬戶資金快進快出無正當理由反洗錢工作是維護金融秩序、打擊犯罪的重要防線。每位員工都應(yīng)提高警惕,發(fā)現(xiàn)可疑情況及時報告,絕不為不法分子提供便利。建行員工安全培訓(xùn)案例分享某分行成功阻止網(wǎng)絡(luò)釣魚詐騙2024年3月,某分行柜員小王在為客戶辦理業(yè)務(wù)時,發(fā)現(xiàn)客戶手機收到"建行系統(tǒng)升級"短信,要求點擊鏈接填寫信息。小王憑借安全培訓(xùn)中學(xué)到的知識,立即判斷這是釣魚短信,及時提醒客戶不要點擊,并幫助客戶報警。敏銳識別柜員憑借培訓(xùn)經(jīng)驗迅速識別出釣魚短信特征及時提醒立即告知客戶這是詐騙短信,阻止其點擊鏈接協(xié)助報警幫助客戶向公安機關(guān)報案,提供相關(guān)證據(jù)贏得信任客戶感激不盡,對建行服務(wù)高度認可這個案例充分說明,扎實的安全培訓(xùn)能夠轉(zhuǎn)化為實際的防護能力。小王的專業(yè)和責任心不僅保護了客戶資金安全,也維護了建行的良好聲譽。每位員工都應(yīng)以此為榜樣,將安全意識融入日常工作。共同學(xué)習(xí),共筑防線定期參加安全培訓(xùn),分享實踐經(jīng)驗,不斷提升全員安全防護能力安全事件應(yīng)急響應(yīng)流程1發(fā)現(xiàn)上報發(fā)現(xiàn)安全事件或隱患,第一時間通過安全事件報告系統(tǒng)上報,不得瞞報、遲報2快速研判安全管理部門接報后立即組織專家研判事件性質(zhì)、影響范圍和危害程度3啟動預(yù)案根據(jù)事件等級啟動相應(yīng)應(yīng)急預(yù)案,調(diào)動資源開展應(yīng)急處置工作4控制處置采取隔離、阻斷、恢復(fù)等措施,快速控制事態(tài)發(fā)展,減少損失5調(diào)查分析事件處置完成后,深入調(diào)查分析事件原因、影響和責任6總結(jié)改進形成事件報告,總結(jié)經(jīng)驗教訓(xùn),完善防控措施,防止類似事件再次發(fā)生應(yīng)急響應(yīng)原則:快速反應(yīng)、規(guī)范處置、減少損失、追根溯源、舉一反三。時間就是生命,發(fā)現(xiàn)問題不能猶豫觀望,應(yīng)立即按流程上報處置。個人信息保護責任最小化原則僅在業(yè)務(wù)需要范圍內(nèi)收集客戶信息,不得過度采集無關(guān)數(shù)據(jù)。收集前應(yīng)明確告知目的和用途,征得客戶同意。嚴格保密嚴禁以任何形式泄露、出售客戶個人信息。工作中接觸到的客戶數(shù)據(jù)、同事隱私必須嚴格保密,不得傳播擴散。安全存儲客戶信息應(yīng)存儲在銀行安全系統(tǒng)中,不得私自下載、拷貝、截圖保存在個人設(shè)備。離職時須徹底清除相關(guān)數(shù)據(jù)。規(guī)范使用僅可在授權(quán)范圍內(nèi)訪問和使用客戶信息,不得超權(quán)限查詢或用于非業(yè)務(wù)目的。遵守數(shù)據(jù)安全管理制度和操作規(guī)范。法律責任違規(guī)泄露客戶信息將承擔嚴重后果:行政處罰:監(jiān)管機構(gòu)罰款、禁業(yè)刑事責任:情節(jié)嚴重構(gòu)成犯罪民事賠償:向受害者承擔損失內(nèi)部處理:降級、解聘等處分日常注意事項電腦屏幕加裝防窺膜離開工位鎖定電腦屏幕不在公共場所談?wù)摽蛻粜畔⒋蛴〔牧霞皶r取走,廢棄資料粉碎銷毀不使用個人郵箱傳輸工作數(shù)據(jù)建行安全文化建設(shè)安全知識競賽定期舉辦全行安全知識競賽,以賽促學(xué),激發(fā)員工學(xué)習(xí)熱情。優(yōu)勝者給予表彰獎勵,營造比學(xué)趕超的濃厚氛圍。應(yīng)急演練實戰(zhàn)開展網(wǎng)絡(luò)攻擊、數(shù)據(jù)泄露等場景的應(yīng)急演練,提升員工實戰(zhàn)處置能力。通過演練檢驗預(yù)案有效性,不斷優(yōu)化應(yīng)急流程。安全創(chuàng)新激勵鼓勵員工提出安全改進建議和創(chuàng)新方案,對有價值的建議給予獎勵。建立員工安全創(chuàng)新成果轉(zhuǎn)化機制,推廣優(yōu)秀實踐。全員參與氛圍通過宣傳海報、培訓(xùn)視頻、案例分享等多種形式,持續(xù)強化安全意識。讓"安全第一"成為每位員工的行動自覺。安全文化不是一朝一夕建成的,需要長期堅持、全員參與。通過豐富多彩的活動,讓安全理念深入人心,轉(zhuǎn)化為自覺行動。未來展望:智能安全與全員防護技術(shù)演進方向機器學(xué)習(xí)應(yīng)用引入深度學(xué)習(xí)算法,智能識別異常行為模式,預(yù)測潛在安全威脅事前預(yù)防通過大數(shù)據(jù)分析提前發(fā)現(xiàn)風(fēng)險隱患,主動防御而非被動應(yīng)對事中阻斷實時攔截可疑交易和攻擊行為,將損失控制在最小范圍事后告警完善的審計日志和告警機制,確保問題可追溯、可改進全員防護理念再先進的技術(shù)也需要人的正確使用。未來的信息安全將是:人機協(xié)同:技術(shù)提供防護能力,人員做出正確判斷全員參與:每個崗位都是安全防線的一部分持續(xù)學(xué)習(xí):威脅不斷演變,知識技能需要持續(xù)更新文化驅(qū)動:讓安全成為組織基因,融入日常行為建行將持續(xù)加大安全投入,引入前沿技術(shù),