【正文】 對(duì)公網(wǎng)銀子系統(tǒng)的操作員的用戶分為提交人和授權(quán)人。提交人有指令提交的權(quán)限，授權(quán)人沒有指令提交的權(quán)限，授權(quán)人可以對(duì)指令進(jìn)行授權(quán)操作?？蛻艨梢栽O(shè)置每筆轉(zhuǎn)賬的最大限額和客戶賬戶一天的最大轉(zhuǎn)賬限額。(1) 指令提交人只有基本限額。授權(quán)人的操作限額分為基本限額和組合限額。只有指令在第一次被授權(quán)時(shí)，系統(tǒng)優(yōu)先判斷授權(quán)人的基本限額，其它情況下的授權(quán)，系統(tǒng)都只使用授權(quán)人的組合限額做處理。(2) 特殊業(yè)務(wù)客戶可自行制定授權(quán)的先后順序，如可優(yōu)先進(jìn)行組合授權(quán)。(3) 對(duì)指令提交人還有日累計(jì)轉(zhuǎn)賬限額，提交人在當(dāng)日內(nèi)提交的所有指令的金額的總和小于等于日累計(jì)轉(zhuǎn)賬限額，否則指令不能提交。(4) 指令分為單筆指令和批量指令兩種。企業(yè)的用戶只有開通批量的權(quán)限，提交人才能提交批量指令，授權(quán)人才能對(duì)批量指令進(jìn)行授權(quán)。批量指令的處理，采取客戶端離線錄入，上傳網(wǎng)銀服務(wù)器后在線復(fù)核模式?！〗灰仔畔⒌姆来鄹臑榉乐菇灰仔畔⒈淮鄹?，網(wǎng)銀客戶端采用了兩個(gè)機(jī)制。(1) 提交的交易信息以圖片的形式顯示給客戶確認(rèn)。客戶提交的交易信息包括轉(zhuǎn)出帳號(hào)、轉(zhuǎn)入帳號(hào)、金額、幣種、同時(shí)提取相關(guān)信息生成確認(rèn)碼，以上信息生成圖片，客戶檢查圖片內(nèi)容，輸入確認(rèn)碼，完成交易信息確認(rèn)。(2) 對(duì)提交交易信息的整個(gè)網(wǎng)頁進(jìn)行數(shù)字簽名?！〗灰椎奶峤缓灻投嗉?jí)批復(fù)機(jī)制當(dāng)有提交轉(zhuǎn)賬交易的操作員提交轉(zhuǎn)賬交易時(shí)，系統(tǒng)通過安全代理，要求用戶數(shù)字簽名，用戶輸入證書密碼后，安全代理對(duì)需要簽名的數(shù)據(jù)（服務(wù)器端指定）簽名后傳回服務(wù)器。只有通過簽名驗(yàn)證的交易才能被確定。企業(yè)網(wǎng)上銀行支持多人多級(jí)授權(quán)方式，可以適合不同企業(yè)不同的的財(cái)務(wù)授權(quán)制度。提交人提交指令時(shí)，如果提交指令的金額不超過（小于或等于）提交人的基本限額，指令不需授權(quán)就由系統(tǒng)進(jìn)行發(fā)送處理；如果提交指令的金額超過（大于）提交人的基本限額，指令等待授權(quán)人授權(quán)?！∨恐噶畹暮灻峤缓投嗉?jí)批復(fù)機(jī)制與一般轉(zhuǎn)賬交易的處理流程類似，如果采用安全代理服務(wù)器，則需要用戶自己對(duì)批量文件通過所提供的批量簽名程序進(jìn)行簽名。簽名后，由具有批量提交權(quán)限的用戶傳遞到網(wǎng)上銀行系統(tǒng)，等待具有批量批復(fù)權(quán)限的用戶進(jìn)行批復(fù)?！⌒庞蒙鐑?nèi)部管理交易的授權(quán)對(duì)于信用社內(nèi)部管理交易中的關(guān)鍵交易，網(wǎng)上銀行系統(tǒng)提供兩種授權(quán)模式，一種是柜員提交時(shí)需要授權(quán)柜員輸入授權(quán)柜員號(hào)和授權(quán)密碼；另一種模式是柜員提交后，需要授權(quán)柜員登錄網(wǎng)上銀行內(nèi)部管理系統(tǒng)，對(duì)柜員提交的指令進(jìn)行批復(fù)?！】梢扇罩静樵冃庞蒙鐑?nèi)部管理的柜員可以登錄網(wǎng)上銀行內(nèi)部管理系統(tǒng)，查詢可疑的日志，可疑日志的記錄類型包括密碼連續(xù)輸入錯(cuò)誤導(dǎo)致用戶被凍結(jié)等。信用社可以通過客戶服務(wù)系統(tǒng)或統(tǒng)一消息發(fā)送平臺(tái)等渠道通知用戶?！￡P(guān)鍵信息加密存儲(chǔ)系統(tǒng)對(duì)所有關(guān)鍵信息（如密碼），都加密成密文進(jìn)行存儲(chǔ)，防止內(nèi)部柜員讀取關(guān)鍵信息明文?！≈Ц吨噶詈搜簩?duì)于每一筆支付指令，系統(tǒng)都根據(jù)指令關(guān)鍵信息生成一個(gè)支付密碼串，供后臺(tái)系統(tǒng)核押，有效防止內(nèi)部人員偽造支付指令。　應(yīng)用訪問控制系統(tǒng)只開放提供用戶訪問的接口，而且通過接口只能完成系統(tǒng)提供的功能，有效防范黑客攻擊?！∪罩緦徲?jì)網(wǎng)上銀行系統(tǒng)具有完備的日志審計(jì)功能。用戶每次登錄、退出及用戶的每次交易都會(huì)產(chǎn)生一個(gè)完整的審計(jì)信息，并進(jìn)行記錄。這樣就方便日后的查詢、核對(duì)等各項(xiàng)工作。(三)風(fēng)險(xiǎn)監(jiān)測(cè)與識(shí)別內(nèi)部審計(jì)部門根據(jù)業(yè)務(wù)的性質(zhì)、規(guī)模和復(fù)雜程度，對(duì)網(wǎng)上銀行相關(guān)系統(tǒng)及其控制的適當(dāng)性和有效性進(jìn)行監(jiān)測(cè)。內(nèi)部審計(jì)部門配備足夠的資源和具有專業(yè)能力的信息科技審計(jì)人員，具有適當(dāng)?shù)氖跈?quán)訪問本銀行的記錄。同時(shí)可以在符合法律、法規(guī)和監(jiān)管要求的情況下，委托具備相應(yīng)資質(zhì)的外部審計(jì)機(jī)構(gòu)對(duì)網(wǎng)上銀行進(jìn)行外部審計(jì)，在委托審計(jì)過程中，要確保外部審計(jì)機(jī)構(gòu)能夠?qū)W(wǎng)上銀行的硬件、軟件、文檔和數(shù)據(jù)進(jìn)行檢查，以發(fā)現(xiàn)存在的風(fēng)險(xiǎn)。 　由電子銀行部專門負(fù)責(zé)網(wǎng)上銀行的風(fēng)險(xiǎn)管理工作，負(fù)責(zé)協(xié)調(diào)制定有關(guān)網(wǎng)上銀行的風(fēng)險(xiǎn)管理策略，尤其是在涉及信息安全、業(yè)務(wù)連續(xù)性計(jì)劃和合規(guī)性風(fēng)險(xiǎn)等方面，為業(yè)務(wù)部門、內(nèi)部審計(jì)部門和科技中心提供建議及相關(guān)合規(guī)性信息，實(shí)施持續(xù)風(fēng)險(xiǎn)監(jiān)測(cè)，跟蹤整改意見的落實(shí)，監(jiān)控信息安全威脅和不合規(guī)事件的發(fā)生。將掃描查找假冒網(wǎng)站及其他針對(duì)網(wǎng)上銀行的犯罪活動(dòng)納入日常工作程序,定期搜索假冒網(wǎng)站、假冒客服電話，檢查網(wǎng)站鏈接的可靠性，并通過網(wǎng)站、客服電話等渠道接受公眾舉報(bào)。建立健全Web服務(wù)器異常訪問監(jiān)控機(jī)制及滲透性攻擊檢測(cè)機(jī)制，通過對(duì)Web服務(wù)器訪問日志提取和分析，及時(shí)監(jiān)控端口掃描、暴力破解等可疑行為。（四）風(fēng)險(xiǎn)信息處理與報(bào)告信用社網(wǎng)上銀行安全組織架構(gòu)中的各部門按照各自職能執(zhí)行風(fēng)險(xiǎn)管理工作，并直接向信息科技管理委員會(huì)或安全負(fù)責(zé)人報(bào)告重大信息安全事故、安全體系建設(shè)情況、安全策略文件等工作。由信息科技管理委員會(huì)或安全負(fù)責(zé)人負(fù)責(zé)監(jiān)督各項(xiàng)職責(zé)的落實(shí)，定期向來自高級(jí)管理層、科技中心和主要業(yè)務(wù)部門的代表組成的專門信息安全領(lǐng)導(dǎo)小組匯報(bào)網(wǎng)上銀行風(fēng)險(xiǎn)管理執(zhí)行的整體狀況。按《新疆維吾爾自治區(qū)農(nóng)村信用社聯(lián)合社突發(fā)事件總體應(yīng)急預(yù)案》有關(guān)規(guī)定，統(tǒng)一由區(qū)聯(lián)社突發(fā)事件應(yīng)急處置領(lǐng)導(dǎo)小組辦公室執(zhí)行重大突發(fā)事件報(bào)告制度，在規(guī)定時(shí)間內(nèi)向新疆維吾爾自治區(qū)人民政府、新疆銀監(jiān)局、人民銀行烏魯木齊中心支行等有關(guān)單位報(bào)告。（五）信息披露和客戶風(fēng)險(xiǎn)教育信用社依據(jù)有關(guān)法律法規(guī)的要求，發(fā)現(xiàn)風(fēng)險(xiǎn)立即采取防范措施，并通過網(wǎng)站或其他渠道規(guī)范和及時(shí)披露網(wǎng)上銀行風(fēng)險(xiǎn)狀況，有效維護(hù)存款人和其他客戶的合法權(quán)益，促進(jìn)網(wǎng)上銀行安全、穩(wěn)健、高效運(yùn)行。信用社將通過柜臺(tái)提醒、網(wǎng)站提醒、上門培訓(xùn)、發(fā)放客戶風(fēng)險(xiǎn)提示手冊(cè)等多渠道向客戶進(jìn)行風(fēng)險(xiǎn)教育。（六）應(yīng)急處理信用社網(wǎng)上銀行安全系統(tǒng)建立事故管理及處置機(jī)制，及時(shí)響應(yīng)信息系統(tǒng)運(yùn)行事故，逐級(jí)向相關(guān)的網(wǎng)上銀行管理人員報(bào)告事故的發(fā)生，并進(jìn)行記錄、分析和跟蹤，直到完成徹底的處置和根本原因分析。建立服務(wù)平臺(tái)，為客戶提供相關(guān)技術(shù)問題的在線支持，并將問題提交給相關(guān)部門進(jìn)行調(diào)查和解決。（七）持續(xù)改進(jìn)風(fēng)險(xiǎn)是不斷變化的，要實(shí)現(xiàn)對(duì)風(fēng)險(xiǎn)的動(dòng)態(tài)防范，內(nèi)部控制體系必須具有動(dòng)態(tài)性和自我改進(jìn)機(jī)制。內(nèi)部控制體系不是一個(gè)靜態(tài)系統(tǒng)，而是一個(gè)可以進(jìn)行持續(xù)改進(jìn)的動(dòng)態(tài)系統(tǒng)，能隨內(nèi)部環(huán)境的變化和國家法律法規(guī)、政策制度等外部環(huán)境的改變及時(shí)進(jìn)行相應(yīng)的修改和完善。信用社網(wǎng)上銀行通過內(nèi)部審核、內(nèi)部控制政策、內(nèi)部控制目標(biāo)、內(nèi)部控制評(píng)結(jié)果、風(fēng)險(xiǎn)識(shí)別與評(píng)估結(jié)果和風(fēng)險(xiǎn)控制方案執(zhí)行情況的監(jiān)控、管理評(píng)審、各種內(nèi)部或外部檢查或?qū)徲?jì)稽核以及內(nèi)控相關(guān)數(shù)據(jù)的分析與記錄，糾正和預(yù)防措施等，不斷地對(duì)內(nèi)控體系的目標(biāo)、政策、程序進(jìn)行調(diào)整和完善，提高風(fēng)險(xiǎn)內(nèi)控體系的有效性、適宜性、合規(guī)性和充分性。第三章 附則第八條 本辦法由新疆維吾爾自治區(qū)農(nóng)村信用社聯(lián)合社負(fù)責(zé)解釋和修訂。第九條 本制度自下發(fā)之日起施行。 33 / 33