商業(yè)銀行數(shù)據(jù)安全風險知多少？

責任編輯：editor007 作者：明朝萬達 |來源：企業(yè)網(wǎng)D1Net 2015-05-06 18:07:48 本文摘自：飛象網(wǎng)

信息科技的進步和普及，迎來了商業(yè)銀行創(chuàng)新發(fā)展的重要時機，依托科技建設的業(yè)務重組和機制重構(gòu)提升銀行信息管理水平和核心競爭力。在商業(yè)銀行轉(zhuǎn)型和發(fā)展的同期，數(shù)據(jù)安全風險也是形影相隨。如何準確辨識風險點、科學有效管理而避免損傷是商業(yè)銀行的必修課。

近幾年銀監(jiān)會相繼發(fā)布了一系列指導文件，特別強調(diào)信息科技安全管理的至關(guān)重要性。商業(yè)銀行的基礎(chǔ)是什么？毫無疑問就是信息和數(shù)據(jù)。對于客戶來說，銀行在提供服務的同時，必須要為客戶提供可靠地環(huán)境以及信息的準確性和安全性。現(xiàn)今銀行面臨著自主建設和運維能力不足、信息安全體系不完整和發(fā)展狀況參差不齊的問題，但隨之而來也產(chǎn)生了相應的安全風險。

那么商業(yè)銀行泄密隱患都潛伏在哪里呢？我們總結(jié)誘因主要來自四方面：

1、外包服務風險大

出于場地和人力資源等因素考慮，外包服務在銀行已經(jīng)非常普遍，而服務內(nèi)容和水平的差異化、人員管理的不規(guī)范化，給信息安全帶來隱患。銀行的外包管理體系滯后、外包依賴性過強的現(xiàn)狀不置可否，有些外包商是可以接觸到敏感信息的，且或多或少了解銀行和其系統(tǒng)的狀況，而這些重要的信息如果被有意或無意地對公眾散播出去，則會對企業(yè)造成巨大的損害。

2、國外產(chǎn)品過度依賴

數(shù)年來銀行業(yè)過度依賴國外產(chǎn)品和技術(shù)，核心軟硬件如操作系統(tǒng)、數(shù)據(jù)庫、存儲等普遍來自國外，國產(chǎn)化率較低，自主可控的壓力較大，存在著難以預知的安全風險。自“棱鏡”事件曝光后，國內(nèi)“去IOE”的呼聲越來越高，由于兼容性、穩(wěn)定性和核心技術(shù)等問題，短時間內(nèi)要想較大規(guī)模實現(xiàn)信息系統(tǒng)國產(chǎn)化替代難以達成，對銀行信息安全存在重大隱患。銀監(jiān)會視國產(chǎn)自主可控為重要任務，在今年的指導意見批文中也明確表示，到2019年銀行信息建設國產(chǎn)化普及率力爭達到75%。

3、數(shù)據(jù)安全建設未達到全方位布局

互聯(lián)網(wǎng)正改變著傳統(tǒng)金融的運作模式，作為開放性質(zhì)的網(wǎng)絡金融面臨的信息安全風險是全方位的，除傳統(tǒng)互聯(lián)網(wǎng)風險，還面臨新形勢、新技術(shù)、新業(yè)態(tài)的安全風險挑戰(zhàn)。網(wǎng)銀支付系統(tǒng)、信用卡系統(tǒng)、結(jié)算系統(tǒng)等重要銀行業(yè)務隨時面臨著被攻擊的泄密風險。如果沒有規(guī)劃性整體信息安全布局，創(chuàng)新業(yè)務發(fā)展會受到制約。

4、客戶信息保護機制不完善

商業(yè)銀行信息化建設中普遍存在“重建設輕管理”的誤區(qū)。客戶信息保護機制不完善，違規(guī)成本低廉也是重要誘因之一。銀行在客戶信息保護方面的制度大多為原則性規(guī)定，未形成覆蓋個人信息采集、保管和銷毀等各個工作環(huán)節(jié)的實施細則，許多銀行缺乏信息調(diào)閱、查詢等信息交接過程的記錄，為泄露客戶信息埋下了風險隱患；內(nèi)部問責制度缺失，事后懲罰較輕，使得風險隱患不斷累積。銀行作為金融機構(gòu)，其特殊性使得員工比其他職業(yè)更容易誘發(fā)犯罪行為，因此如何提高員工保護客戶個人信息的法律意識對銀行而言也極為重要。

明朝萬達數(shù)據(jù)安全專家表示：“信息資產(chǎn)的核心就是數(shù)據(jù)，數(shù)據(jù)加密仍是保護信息最可靠的一張王牌。如果數(shù)據(jù)本身不做加密，再多的政策和防控手段都可能變?yōu)橥絼凇Ｒ坏┢茐恼叩檬郑I用風險依舊存在。”

明朝萬達自主研發(fā)的Chinasec（安元）銀行業(yè)數(shù)據(jù)安全解決方案采取國密算法，符合國家對金融行業(yè)數(shù)據(jù)安全政策性要求。方案提供各種安全組件供業(yè)務系統(tǒng)或用戶使用，實現(xiàn)敏感數(shù)據(jù)在銀行辦公網(wǎng)、業(yè)務網(wǎng)和互聯(lián)網(wǎng)中從產(chǎn)生、存儲、使用、流轉(zhuǎn)、追蹤到銷毀的整個生命周期平臺化安全管控。在滿足銀行業(yè)信息安全技術(shù)性要求基礎(chǔ)上，提供系統(tǒng)運維階段強力度安全支持；根據(jù)銀行安全現(xiàn)狀進行搭配，具有良好的延展性；并提供“數(shù)據(jù)安全中間件”和“移動安全中間件”為銀行業(yè)務系統(tǒng)提供可“按需定制的安全防護服務”，即可以貼身保護業(yè)務系統(tǒng)安全，又由于“內(nèi)建式安全”實現(xiàn)無感知安全防護獲得良好用戶體驗。迄今已成功服務于國家開發(fā)銀行、中國銀行、中國郵儲銀行、中國農(nóng)業(yè)銀行、光大銀行、廣發(fā)銀行、民生銀行、中信銀行等二十余家金融單位。

數(shù)據(jù)安全體系建設是一項重要的系統(tǒng)化工程，為科技發(fā)展產(chǎn)生的各種風險提供管理和控制。商業(yè)銀行需要“技、制、人”三方全面有機結(jié)合、相互促進，為業(yè)務發(fā)展和創(chuàng)新提供堅實保障。

關(guān)鍵字：數(shù)據(jù)安全商業(yè)銀行風險隱患