【資訊安全】金融機構辦理電子銀行業務安全控管作業基準（Part 1）

隨著網路興起，銀行的服務通路不再限於實體管道，網路銀行、行動銀行如雨後春筍般興起。有鑑於網路風險與實體服務大相逕庭，主管機關特別訂定相關法規，用於確保普羅大眾使用電子銀行的安全。

本系列文章將介紹《金融機構辦理電子銀行業務安全控管作業基準》（以下簡稱「作業基準」），筆者將以顧問的角度出發，逐條向讀者介紹作業基準。

本文依據金管銀國字第10901401891號函發布的《金融機構辦理電子銀行業務安全控管作業基準》撰寫，由於主管機關經常修訂作業基準，建議讀者在閱讀前，先查詢有無新版作業基準。

第一條
中華民國銀行商業同業公會全國聯合會（以下簡稱本會）為確保金融機構辦理電子銀行業務具有一致性基本準則之安全控管作業，特訂定本基準。

第一條說明立法目的，本作業基準是為了確保金融機構遵循一致性的電子銀行業務安全控管標準。

第二條
本基準用詞定義如下：

第二條是名詞定義，考量作業基準的說明已十分詳細，在此不贅述。

第三條
電子銀行業務之訊息傳輸途徑：

第三條列舉客戶端與金融機構進行訊息傳輸的途徑，例如：
1. 專屬網路；
2. 網際網路；
3. 加值網路；
4. 行動網路；和
5. 公眾交換電話網路。
其中，網際網路、行動網路與一般使用者最息息相關。

第四條
電子銀行業務之交易類別及風險

第四條提到兩種交易類型：
1. 「電子轉帳及交易指示類」；和
2. 「非電子轉帳及交易指示類」。
除了查詢、通知屬於「非電子轉帳及交易指示類」外，其他服務項目均屬於「電子轉帳及交易指示類」。

第四條還有另外一個重點：「高風險及低風險性之交易」。主管機關採用負面表列的方式，但凡不屬於低風險性交易則屬於高風險性交易。由於轉帳是最常見的服務項目，建議讀者特別留意低風險性交易的第10點（「非約定轉入帳戶」）的第2小點：「網際網路之低風險性交易，以每一帳戶每筆不超過等值新臺幣五萬元、每天累積不超過等值新臺幣十萬元、每月累積不超過等值新臺幣二十萬元為限。」。因此，超過數額的非約定轉帳就屬於高風險性交易，必須適用高風險性交易對應的管控原則，以此類推。

第五條
交易面之安全需求

第五條提到六種防護措施：訊息隱密性、訊息完整性、訊息來源辨識、訊息不可重複性、無法否認傳送訊息和無法否認接受訊息。此外，針對不同的訊息傳輸途徑（專屬網路、網際網路及公眾交換電話網路）及其交易類別各有對應的安全需求，詳見下圖：

各訊息傳輸途徑所應達到之安全防護

考量「網際網路及公眾交換電話網路」與一般使用者最為相關，本文將主要討論這一部分。另一方面，金融機構通常透過相同系統提供高、低風險性交易服務，因此網路銀行基本上適用所有安全防護措施。

第六條
交易面之訊息傳輸安全需求

第六條補充說明前面提到的六種防護措施，基本上在討論加密機制。想要了解網站加密機制的話，可以透過瀏覽器查看，本文以Chrome瀏覽器為例：點選右鍵>「檢查（Inspect）」>「安全性（Security）」

在網路銀行頁面點選右鍵，點選「Inspect」

點選「Security」即可看到網路銀行採用的加密機制

如果想了解憑證相關資訊，可以點選「View certificate」，或點選網址列左邊的小鎖頭，就可以知道網站目前採用的憑證，以及憑證機構，請參考下圖：

點選網址列左邊的小鎖頭，再點選「Certificate」

「General」可以看出憑證機構，其他資料可以從「Details」、「Certification Path」看出

第六條的評估重點在於網站採用的加密機制是否符合法規要求，例如演算法、金鑰長度等，建議評估人員線上觀察網站實際的加密機制。