事件回顧

2016年10月17日媒體報道，綿陽警方破獲“5·26侵犯公民個人資訊案”，據瞭解，該案件中有257萬條公民銀行個人資訊被洩露，而洩露資訊的竟是銀行“內鬼”：某銀行支行行長售賣徵信系統查詢賬號，由中間商將賬號賣給有銀行關係的“出單渠道”團伙，再由另外一家銀行的員工進入內網系統，大肆竊取並出售個人資訊。

1、銀行內部員工甚至是高層唯利是圖，缺乏法律意識和職業道德，違規操作

2、銀行對員工管理的不規範，而銀行職員利用職務之便盜用資訊，隱蔽性極高，難以察覺

3、銀行徵信系統的管理存在漏洞，利用賬號可以隨意登入查詢

4、當客戶提交資訊給銀行後，要經過支行、分行、信用卡中心等多個環節，手續繁多，經手人員眾多。

公民在銀行的徵信記錄、賬戶明細、餘額等都被不法分子查得清清楚楚，“中間商”團伙又將這些資訊賣給了國內小額貸款公司、非法調查公司、詐騙團伙，極易滋生下游犯罪，給使用者帶來重大損失。

除了上述事件外，銀行的資訊保安事件時有發生，如招行資訊洩露、匯豐銀行賬戶洩密等等。使用者的個人身份證號、電話、家庭地址等關鍵資訊，以及個人資產都留存在銀行。銀行的徵信系統也是使用者個人信用的反映。而銀行的經營活動與使用者資金也密切相關。

那麼銀行業有什麼資訊保安需求呢？

1、內部管理制度規範性需求。銀行要規範內部的管理制度，強化客戶資訊和資金安全管理。建立良好的企業文化，要加強員工的培訓和監督力度。

2、業務系統安全防護需求。加強銀行業務資訊系統的安全防護，建立專業高效權威的資訊保安組織。尤其是在“網際網路+”時代，銀行的外部安全形勢更加複雜和嚴峻，據統計，國內銀行一年遭受的網路攻擊次數就高達上千萬次；銀行的開放式服務系統相對於傳統的比較封閉的服務系統來說漏洞更多，更容易被駭客攻擊。銀行應實現提前預警預判，快速響應，消除資訊保安風險隱患。

3、資訊使用過程的安全需求。銀行應完善資訊在傳輸、處理、使用過程中的風險防範機制，限制員工的訪問許可權。使用者提交到銀行的個人資訊要經過支行、分行、信用卡中心等多個環節。從此前曝光的事件來看，銀行存在非授權員工查詢、下載、儲存客戶個人資訊的現象。

而資訊系統運維管理、資料和資金提取及使用、密碼管理、網路訪問等環節應嚴格管控。保障使用者資訊和資產的準確和完整。

4、產品開發的安全需求。銀行的網際網路產品的研發也要重視安全，一是產品設計階段既要防範SQL注入等常見攻擊，又要關注業務流程設計上的安全，避免出現平行越權（指相同許可權等級的不同使用者之間可以越權獲取或操作他人的資料）等業務邏輯缺陷；二是要搭建安全的開發環境，使用正版開發工具；三是要選用合適的開發技術，提高程式安全性；四是加強產品安全測試，將後臺應用和終端APP納入測試範圍。

同時也應不斷更新銀行卡的加密技術，雖然目前推行了晶片卡，但是銀行卡盜刷團伙也在努力破解這種技術。

5、網際網路金融的安全性需求。“網際網路+”時代，銀行與第三方機構的互聯合作日益增多。網際網路金融依託大資料，海量資料的集中給銀行資訊保護提出了更大的挑戰；二是資訊欺詐的偽裝性更強、更難以識別。如二維碼支付，極易偽造，真偽難辨，缺乏密碼認證機制，客戶“掃一掃”資金就可能不知去向；三是資訊濫用現象普遍。例如螞蟻金服的“花唄”非法收集使用者系統中的人際關係資訊用於催款。

6、客戶資訊保安宣傳需求。一是多層面多渠道加強客戶宣傳，提升客戶安全意識。二是引導客戶採用刷指紋、刷臉等安全可靠的新身份認證技術；三是利用大資料分析客戶行為，發現異常行為及時提示客戶，並向客戶提供便利的安全問題反饋渠道。

其他方面：如與政府、銀監會、研究院等多部門合作，營造安全的金融生態。

有金融行業的安全需求解決方案，還有很多案例，供大家參考。在資料安全產品中，億賽通還算比較專業和全面。

附方案供學習！

一、行業分析

資訊網路技術在金融證券業行業的普及和應用層次的不斷深入，各金融單位之間的競爭也日益激烈。為了適應這種發展趨勢，金融單位在改進服務手段、增加服務功能、完善業務品種、提高服務效率等方面做了大量的工作，以提高金融單位的競爭力，爭取更大的經濟效益。而實現這一目標必須透過實現金融電子化，利用高科技手段推動金融業的發展和進步，網路的建設為金融行業的發展提供了有力的保障，並且勢必為金融單位的發展帶來巨大的經濟效益，從而對資料安全的也提出更高要求。

資訊科技的快速發展使銀行對電子化的依賴不斷加強，就在銀行業務不斷資訊化的過程中，銀行所面臨的系統安全問題越來越多。金融單位既要滿足監管部門的合規性要求，又要對企業資料和客戶資料進行安全防護，加強資訊的安全性迫在眉睫。因此，如何提高金融系統的資訊保安性，最大限度保護金融系統資訊保安，成為金融業務系統的重中之重！

二、客戶需求

隨著金融單位業務的發展，大量的核心技術、專利、重要客戶資訊以及財務資料等方面的電子文件的生成。為提高企業內部資料協同和高效運作，實現內部辦公文件內容流轉安全可控，實現文件脫離內部管理平臺後能有效防止檔案的擴散和外洩。對於內部文件使用範圍、文件流轉等進行控制管理，以防止文件內部核心資訊非法授權閱覽、複製、篡改。既防止文件外洩和擴散，又支援內部知識積累和檔案共享的目的。內部的資料安全需從以下幾方面解決：

1. 怎樣確保跨區域網路環境資料統一安全管理問題；

2. 硬碟故障後進行資料恢復，導致資料洩漏；

3. 如何保障終端資料的離線安全；

4. 如何解決與外協人員、合作伙伴等的資料互動安全；

5. 如何保障移動裝置（筆記本）、儲存介質（隨身碟、行動硬碟）的資料安全。

6. 如何保障各應用、辦公系統等資料的儲存和使用安全。

三、解決方案

企業內部資料安全體系建設，需要突出重點，切實關注檔案外帶保密需求，充分考慮敏感性資料面臨的各種主動洩密和被動洩密風險。同時，應充分考慮系統對設計人員的業務影響範圍，儘可能降低安全行為帶來的系統性能損耗和應用約束，在安全性和可用性之間保持合理的平衡。

終端防護：透過透明加密、主動加密、智慧加密和許可權控制對文件進行梯度式、多層次、全方位的保護，從文件的產生到傳輸一直處於保護狀態，有效保護終端安全。

移動介質管理：對移動介質進行註冊簽名和分類，保證移動介質正常使用的同時還能夠有效保證資料的安全，並提供了豐富的審計功能。

郵件敏感資料洩露防護：能夠對郵件伺服器中的郵件有效管控，並能夠及時向管理員報警和豐富的事件審計，杜絕郵件傳送敏感事件的發生，有效保護資料安全。

回家辦公：即插即用設計原理，當隨身碟移動客戶端插入個人電腦並認證通過後，系統自動進入密文模式，可提供與企業內網終端完全一致的安全防護效果，確保企業加密資料外部使用安全；當隨身碟移動客戶端移除或退出使用者登入後，客戶端將自動完成環境移除並關閉加解密功能，不對使用者處理個人資料產生任何影響；

智慧分類分級：透過對敏感資訊的識別分析，對文件進行智慧分類分級和標示密級，對文件進行方便有效的管理。

准入閘道器：透過安全准入、鏈路加密等技術，全面解決企業移動業務資料安全問題。

安全中介軟體：為業務系統開發者提供了標準易用的業務安全介面。

四、方案價值

透過億賽通資料洩露防護系統(DLP)解決方案，系統定製化功能較強，可適應廣發較複雜的應用場景；網關係統實施對現有系統改造程度較小，易於部署，且能最大限度保護系統資料文件；可對文件許可權靈活控制，並有全面的日誌跟蹤記錄，便於事後追查。透過一系列技術手段，配合資料安全防護制度，提高了員工的資料安全保護意識。