银行业有什么信息安全需求？

事件回顾

2016年10月17日媒体报道，绵阳警方破获“5·26侵犯公民个人信息案”，据了解，该案件中有257万条公民银行个人信息被泄露，而泄露信息的竟是银行“内鬼”：某银行支行行长售卖征信系统查询账号，由中间商将账号卖给有银行关系的“出单渠道”团伙，再由另外一家银行的员工进入内网系统，大肆窃取并出售个人信息。

原因分析

1、银行内部员工甚至是高层唯利是图，缺乏法律意识和职业道德，违规操作

2、银行对员工管理的不规范，而银行职员利用职务之便盗用信息，隐蔽性极高，难以察觉

3、银行征信系统的管理存在漏洞，利用账号可以随意登录查询

4、当客户提交信息给银行后，要经过支行、分行、信用卡中心等多个环节，手续繁多，经手人员众多。

公民在银行的征信记录、账户明细、余额等都被不法分子查得清清楚楚，“中间商”团伙又将这些信息卖给了国内小额贷款公司、非法调查公司、诈骗团伙，极易滋生下游犯罪，给用户带来重大损失。

银行业的安全需求

除了上述事件外，银行的信息安全事件时有发生，如招行信息泄露、汇丰银行账户泄密等等。用户的个人身份证号、电话、家庭地址等关键信息，以及个人资产都留存在银行。银行的征信系统也是用户个人信用的反映。而银行的经营活动与用户资金也密切相关。

那么银行业有什么信息安全需求呢？

1、内部管理制度规范性需求。银行要规范内部的管理制度，强化客户信息和资金安全管理。建立良好的企业文化，要加强员工的培训和监督力度。

2、业务系统安全防护需求。加强银行业务信息系统的安全防护，建立专业高效权威的信息安全组织。尤其是在“互联网+”时代，银行的外部安全形势更加复杂和严峻，据统计，国内银行一年遭受的网络攻击次数就高达上千万次；银行的开放式服务系统相对于传统的比较封闭的服务系统来说漏洞更多，更容易被黑客攻击。银行应实现提前预警预判，快速响应，消除信息安全风险隐患。

3、信息使用过程的安全需求。银行应完善信息在传输、处理、使用过程中的风险防范机制，限制员工的访问权限。用户提交到银行的个人信息要经过支行、分行、信用卡中心等多个环节。从此前曝光的事件来看，银行存在非授权员工查询、下载、保存客户个人信息的现象。

而信息系统运维管理、数据和资金提取及使用、密码管理、网络访问等环节应严格管控。保障用户信息和资产的准确和完整。

4、产品开发的安全需求。银行的互联网产品的研发也要重视安全，一是产品设计阶段既要防范SQL注入等常见攻击，又要关注业务流程设计上的安全，避免出现平行越权（指相同权限等级的不同用户之间可以越权获取或操作他人的数据）等业务逻辑缺陷；二是要搭建安全的开发环境，使用正版开发工具；三是要选用合适的开发技术，提高程序安全性；四是加强产品安全测试，将后台应用和终端APP纳入测试范围。

同时也应不断更新银行卡的加密技术，虽然目前推行了芯片卡，但是银行卡盗刷团伙也在努力破解这种技术。

5、互联网金融的安全性需求。“互联网+”时代，银行与第三方机构的互联合作日益增多。互联网金融依托大数据，海量数据的集中给银行信息保护提出了更大的挑战；二是信息欺诈的伪装性更强、更难以识别。如二维码支付，极易伪造，真伪难辨，缺乏密码认证机制，客户“扫一扫”资金就可能不知去向；三是信息滥用现象普遍。例如蚂蚁金服的“花呗”非法收集用户系统中的人际关系信息用于催款。

6、客户信息安全宣传需求。一是多层面多渠道加强客户宣传，提升客户安全意识。二是引导客户采用刷指纹、刷脸等安全可靠的新身份认证技术；三是利用大数据分析客户行为，发现异常行为及时提示客户，并向客户提供便利的安全问题反馈渠道。

其他方面：如与政府、银监会、研究院等多部门合作，营造安全的金融生态。

有金融行业的安全需求解决方案，还有很多案例，供大家参考。在数据安全产品中，亿赛通还算比较专业和全面。

附方案供学习！

一、行业分析

信息网络技术在金融证券业行业的普及和应用层次的不断深入，各金融单位之间的竞争也日益激烈。为了适应这种发展趋势，金融单位在改进服务手段、增加服务功能、完善业务品种、提高服务效率等方面做了大量的工作，以提高金融单位的竞争力，争取更大的经济效益。而实现这一目标必须通过实现金融电子化，利用高科技手段推动金融业的发展和进步，网络的建设为金融行业的发展提供了有力的保障，并且势必为金融单位的发展带来巨大的经济效益，从而对数据安全的也提出更高要求。

信息技术的快速发展使银行对电子化的依赖不断加强，就在银行业务不断信息化的过程中，银行所面临的系统安全问题越来越多。金融单位既要满足监管部门的合规性要求，又要对企业数据和客户资料进行安全防护，加强信息的安全性迫在眉睫。因此，如何提高金融系统的信息安全性，最大限度保护金融系统信息安全，成为金融业务系统的重中之重！

二、客户需求

随着金融单位业务的发展，大量的核心技术、专利、重要客户信息以及财务数据等方面的电子文档的生成。为提高企业内部数据协同和高效运作，实现内部办公文档内容流转安全可控，实现文档脱离内部管理平台后能有效防止文件的扩散和外泄。对于内部文档使用范围、文档流转等进行控制管理，以防止文档内部核心信息非法授权阅览、拷贝、篡改。既防止文档外泄和扩散，又支持内部知识积累和文件共享的目的。内部的数据安全需从以下几方面解决：

1. 怎样确保跨区域网络环境数据统一安全管理问题；

2. 硬盘故障后进行数据恢复，导致数据泄漏；

3. 如何保障终端数据的离线安全；

4. 如何解决与外协人员、合作伙伴等的数据交互安全；

5. 如何保障移动设备（笔记本）、存储介质（U盘、移动硬盘）的数据安全。

6. 如何保障各应用、办公系统等数据的存储和使用安全。

三、解决方案

企业内部数据安全体系建设，需要突出重点，切实关注文件外带保密需求，充分考虑敏感性数据面临的各种主动泄密和被动泄密风险。同时，应充分考虑系统对设计人员的业务影响范围，尽可能降低安全行为带来的系统性能损耗和应用约束，在安全性和可用性之间保持合理的平衡。

终端防护：通过透明加密、主动加密、智能加密和权限控制对文档进行梯度式、多层次、全方位的保护，从文档的产生到传输一直处于保护状态，有效保护终端安全。

移动介质管理：对移动介质进行注册签名和分类，保证移动介质正常使用的同时还能够有效保证数据的安全，并提供了丰富的审计功能。

邮件敏感数据泄露防护：能够对邮件服务器中的邮件有效管控，并能够及时向管理员报警和丰富的事件审计，杜绝邮件发送敏感事件的发生，有效保护数据安全。

回家办公：即插即用设计原理，当U盘移动客户端插入个人电脑并认证通过后，系统自动进入密文模式，可提供与企业内网终端完全一致的安全防护效果，确保企业加密数据外部使用安全；当U盘移动客户端移除或退出用户登录后，客户端将自动完成环境移除并关闭加解密功能，不对用户处理个人数据产生任何影响；

智能分类分级：通过对敏感信息的识别分析，对文档进行智能分类分级和标示密级，对文档进行方便有效的管理。

准入网关：通过安全准入、链路加密等技术，全面解决企业移动业务数据安全问题。

安全中间件：为业务系统开发者提供了标准易用的业务安全接口。

四、方案价值

通过亿赛通数据泄露防护系统(DLP)解决方案，系统定制化功能较强，可适应广发较复杂的应用场景；网关系统实施对现有系统改造程度较小，易于部署，且能最大限度保护系统数据文档；可对文档权限灵活控制，并有全面的日志跟踪记录，便于事后追查。通过一系列技术手段，配合数据安全防护制度，提高了员工的数据安全保护意识。