據(jù)韓國(guó)金融監(jiān)督院1月21日證實(shí),韓國(guó)國(guó)民銀行和農(nóng)協(xié)銀行等多家大型商業(yè)銀行的大量用戶信息遭泄露�����,內(nèi)容涉及手機(jī)號(hào)碼�、個(gè)人地址����、信用卡賬號(hào)乃至部分銀行交易記錄等。
由于此次外泄的個(gè)人信息異常詳細(xì)����,對(duì)隨之而來(lái)可能引發(fā)各種金融詐騙的擔(dān)憂已迫使韓國(guó)民眾蜂擁”銷(xiāo)戶,迄今已有超過(guò)115萬(wàn)用戶辦理銀行卡的停用�����、注銷(xiāo)或重辦業(yè)務(wù)�����。該事件為我國(guó)銀行業(yè)敲響了警種。
隨著計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)的發(fā)展��,金融信息系統(tǒng)內(nèi)部采集��、存儲(chǔ)�����、傳輸��、處理的信息量越來(lái)越大��,信息的重要程度也越來(lái)越高�。近年來(lái),各銀行信息安全事件頻發(fā)����。眾多泄密事件對(duì)企業(yè)的負(fù)面影響是深遠(yuǎn)的,所造成的經(jīng)濟(jì)損失和帶來(lái)的影響是不可挽回的���。
目前�����,銀行面臨的數(shù)據(jù)安全風(fēng)險(xiǎn)主要來(lái)自:一是項(xiàng)目外包風(fēng)險(xiǎn)�。為了滿足業(yè)務(wù)部門(mén)與日俱增的IT需求、縮短產(chǎn)品研發(fā)周期�,銀行很多信息系統(tǒng)引入了IT外包模式。但是��,由于IT外包服務(wù)商的服務(wù)水平良莠不齊���,如果我們對(duì)IT外包服務(wù)商的行為控制不嚴(yán)格����,或IT外包服務(wù)商法律意識(shí)淡薄����、內(nèi)控不嚴(yán)而導(dǎo)致數(shù)據(jù)泄密����,銀行就可能面臨因數(shù)據(jù)泄密而帶來(lái)巨大的信譽(yù)風(fēng)險(xiǎn)和法律風(fēng)險(xiǎn)。二是系統(tǒng)開(kāi)發(fā)與測(cè)試風(fēng)險(xiǎn)���。當(dāng)銀行信息系統(tǒng)進(jìn)入開(kāi)發(fā)階段���,必須要將一些基礎(chǔ)數(shù)據(jù)導(dǎo)入開(kāi)發(fā)或測(cè)試環(huán)境以進(jìn)行數(shù)據(jù)分析和開(kāi)發(fā)測(cè)試���,如果將未經(jīng)脫敏處理的生產(chǎn)數(shù)據(jù)直接導(dǎo)入開(kāi)發(fā)、測(cè)試環(huán)境����,勢(shì)必增加數(shù)據(jù)泄密的風(fēng)險(xiǎn)指數(shù)。三是數(shù)據(jù)查詢與調(diào)閱風(fēng)險(xiǎn)�����。數(shù)據(jù)查詢統(tǒng)計(jì)是銀行科技部門(mén)的基本職責(zé)之一���。對(duì)外�����,銀行除了向當(dāng)?shù)厝嗣胥y行進(jìn)行數(shù)據(jù)報(bào)送外�����,還要在特定條件下為公���、檢���、法等司法機(jī)構(gòu)提供客戶的實(shí)時(shí)生產(chǎn)賬務(wù)信息查詢;對(duì)內(nèi)��,銀行要滿足業(yè)務(wù)部門(mén)各類(lèi)業(yè)務(wù)指標(biāo)的查詢統(tǒng)計(jì)需求��。這些工作都要經(jīng)過(guò)數(shù)據(jù)的產(chǎn)生�、導(dǎo)出、交接����、保存等工序,任何一個(gè)環(huán)節(jié)出現(xiàn)紕漏���,都可能引發(fā)數(shù)據(jù)泄密�。四是員工自身道德風(fēng)險(xiǎn)����。不排除個(gè)別內(nèi)部員工法制觀念淡薄、道德防線脆弱�,在利益的驅(qū)使下�����,利用職務(wù)之便搜集客戶的銀行卡號(hào)、姓名�、金額、聯(lián)系方式等大量敏感信息�����,并向不法分子兜售�;或者在離職的時(shí)候帶走銀行重要客戶的資料,這些都有可能造成銀行重要數(shù)據(jù)的泄密��,甚至引發(fā)法律風(fēng)險(xiǎn)����。
鑒于此,建議銀行及早采取有效的防控手段�,避免敏感信息泄露。目前����,若僅從規(guī)章制度進(jìn)行安全要求已經(jīng)不能控制風(fēng)險(xiǎn),急需可行的技術(shù)方案進(jìn)行主動(dòng)控制�。傳統(tǒng)的網(wǎng)絡(luò)安全產(chǎn)品如防火墻、IDS和漏洞掃描等��,僅能解決信息安全部分問(wèn)題�����,對(duì)于類(lèi)似內(nèi)部用戶主動(dòng)或被動(dòng)泄露敏感信息等事件,成效不大�。為了更好地防止銀行數(shù)據(jù)泄密,解決數(shù)據(jù)安全傳遞問(wèn)題��,建議引入數(shù)據(jù)安全防泄密產(chǎn)品����,搭建數(shù)據(jù)安全防泄密系統(tǒng)。從便攜電腦�、移動(dòng)存儲(chǔ)介質(zhì)、信息共享�����、網(wǎng)絡(luò)安全�����、桌面安全�、安全審計(jì)等全方位的技術(shù)防范角度,來(lái)確保銀行涉密信息系統(tǒng)安全保密技術(shù)防范措施的有效落實(shí)
