金融行业数据安全风险分析
发布时间:2013-08-14   作者:启明星辰

摘要:建设一个科学的、可信赖的、可扩展的信息安全体系是保证银行金融类企业核心数据安全、有效运行的关键。

 

随着信息化建设的发展,金融行业已经建立起全面的信息化系统,如银行、证券业的数据中心、网上银行系统、办公系统、认证系统等,保险行业的CRM系统、保单管理系统、财务系统等。这些系统中的数据主要集中存储在数据库中,但部分业务数据、办公资料却分散在各PC机上,如何统一管理存储在个人电脑上的数据,如何保证这些数据的安全已成为金融行业亟待解决的问题。


2012年“3.15”晚会中报道,2011年2月14日,家住上海浦东的陈小姐通过网银登录账户,发现原本存有4000余元的银行账户的余额却仅剩85元。陈小姐的这张银行卡一直随身携带,密码只有她一人知道,卡上的钱怎么会一夜之间不翼而飞?


警方调查发现,作案人能如此神不知鬼不觉地进入网银把账户的钱划走,是因为其通过寻找专门贩卖个人信息的人,购买了大量机动车信息,这些信息包括车主在银行的银行卡卡号和账户余额,而个人征信报告中则包含了更为详尽的个人信息,包括银行客户的收入、详细住址、手机号、家庭电话号码,甚至职业和生日等,正是凭借这些信息,作案人筛选出了最有可能的密码。


那么,究竟是什么人在出售这么详细的个人信息?据晚会报道,某银行信用卡中心风险管理部贷款审核员胡某就曾向作案人出售个人信息300多份。业内人士透露,只要是银行系统的内部人员,都可以调出银行客户的个人信息。不同职位得到的个人信息量不同,以客户经理为例,他能够调出大量的银行客户个人信息,但普通银行人员只能调出少量信息,所以出售个人信息的往往是与客户业务有关的经理级别的人。


从上述案例中我们可见,针对银行金融业的特点,在数据安全存储方面存在如下一些问题:


1. 员工的电脑存储了大量重要的办公资料,如储户的存款资料、保险客户资料、财务资料、邮件资料等,企业不能有效的对这些数据资料集中存储和管理。
2. 存储在用户电脑上的资料,由于用户的安全意识不够,如因系统崩溃、硬盘损坏、病毒感染等原因导致数据丢失,严重影响了用户的正常办公。
3. 存储在用户电脑上的客户资料、保单信息等,由于数据未加密,未做安全防护,轻易就被泄露,或易被不法分子窃取,从而带来不可估量损失。
4. 通过网上邻居共享文件,存在较大安全漏洞,并无法控制非授权人员的访问,容易遭受病毒和黑客攻击,导致涉密信息的泄露。

 

启明星辰认为,金融行业数据安全解决方案需满足如下目标需求:

 

——确保跨区域网络环境数据统一安全管理; 
——保障终端数据安全,以及离线、出差等脱离企业网络环境的办公文档安全;
——解决与外协人员、合作伙伴等的数据交互安全; 
——保障移动设备、存储介质(U盘、移动硬盘)的数据安全; 
——保障各应用、办公系统等数据的存储和使用安全。

 

建设一个科学的、可信赖的、可扩展的信息安全体系是保证银行金融类企业核心数据安全、有效运行的关键。启明星辰建议,需要对核心系统环境现有的安全状况进行评估,发现潜在的数据安全风险,并基于科学的风险管理流程,提出安全加固和风险应急方案,加强数据产生源头、使用过程、对外发布整体的防护,为今后银行金融类企业核心数据的安全运行提供保障。

文章来源:启明星辰
  • 公司总部 | 分支机构 | 法律声明 | 投资者关系 | 400-624-3900 800-810-6038
  • © 启明星辰1996-2015 版权所有 京ICP备05032414号 京公网安备110108003435号