岁末盘点：2014金融泄密大事记

发布时间:2014-12-18 14:23 作者:BIAN 来源:比特网点击:加载中...次

2014年以来，国内外金融机构不断发生影响性较大的信息安全事件。据央行最新数据显示，截至三季度末，前三季度发生的互联网金融支付金额已达24.1万亿元，特别是随着互联网金融趋势走高，交易额在数量和规模快速扩张的同时，其安全性和风险管控更加值得关注。另有数据显示，41%的金融服务机构在12个月内因网络犯罪丢失了金融相关信息，回顾一年间的金融机构信息泄密事件，不难看出，金融机构已沦为数据泄密的重灾区，再次给人们敲响数据安全的警钟。在过去3年里银行不断增加了网络和信息安全预算，并采取了若干新措施应对日益增长的网络威胁。为提升银行应对信息泄密，银监会也相继出台有针对性的信息安全评估标准。

国内外安全事件盘点

·1月，韩国发生金融行业最大规模信用卡个人信息泄密事件，涉及约2000万用户，共1亿多条客户信息被泄露，，最多的用户有19项个人信息被泄露了，多名高管因此事引咎辞职。

·3月23日凌晨，携程被爆安全支付日志可遍历下载，因此导致大量用户银行卡信息泄露，其中包括持卡人姓名、身份证号、银行卡号、卡CVV码、6位卡Bin。

·7月24日，欧洲中央银行(European Central Bank, ECB)遭到网络攻击，匿名黑客攻破了该行公开的外部网站的数据库，窃取了该行网站上1.5亿注册者的电子邮件和联络人的细节信息。电子邮件、部分街道地址和电话号码在内的部分未加密数据被利用。

·9月，美国家得宝公司确认其支付系统遭到网络攻击，将近有5600万张银行卡的信息被盗，这比去年发生在Target的客户银行卡数据被盗事件还要严重。

·10月2日，摩根大通银行承认7600万家庭和700万小企业的相关信息被泄露。身在南欧的黑客取得摩根大通数十个服务器的登入权限，偷走银行客户的姓名、住址、电话号码和电邮地址等个人信息，与这些用户相关的内部银行信息也遭到泄露。受影响者人数占美国人口的四分之一。

金融行业数据泄密风险类型：

从上述总结的今年金融业敏感数据泄密事件来看，金融业主要的泄密风险可以总结为以下几点：

·黑客攻击：攻击者利用黑客技术非法入侵机构的数据库等系统，窃取、篡改、拷贝系统数据，从而进行有目的的金融犯罪行为;

·木马病毒：病毒泛滥可以导致机构重要信息遭到损坏，严重的可以导致系统瘫痪，如果用户打开了此类木马程序，手机或者电脑就会被编写木马程序的不法分子控制，从而造成信息文件被修改或被窃取、电子账户资金被盗等危害;

·钓鱼网站：不法分子利用各种手段，仿冒真实网站的URL地址以及页面内容，或利用真实网站服务器程序上的漏洞在站点的某些网页中插入危险的HTML代码，以此来骗取用户用户名、口令、帐号ID或银行或信用卡账号、密码等私人资料详细信息。

·安全系统疏于维护：因为金融行业一般都较早的进行了信息化建设和维护，很多时候做过周密的预案和灾备演练后就放松了对系统的整体安全维护，让怀有不轨想法的内、外部泄密人员钻了空子，而这点往往是泄密事件高发的诱因。

防范数据泄密的安全建议：

明朝万达对金融行业数据安全研究数年，根据其丰富的行业安全服务经验，总结出如下几点安全防范措施，保护其系统免受或降低泄密风险。

·加强技术防护：加强对数据库系统的安全配置，加强自主可控密码算法在应用系统中的使用，切实保护敏感数据的传输和存储安全性;确保其策略合理配置，Chinasec(安元)数据安全管理平台以自足可控的国产密码算法为基础，基于“安全服务于业务”的设计理念，提供全IT架构的数据安全统一平台，同时结合金融行业的业务特点，建立数据安全服务体系，实现敏感数据从生产、存储、使用、流转到销毁整个生命周期的安全管控，实现敏感数据即便拿得走也看不了。

·规范办公流程、加强安全办公环境建设：金融企业办公终端上承载互联网访问、日常办公及敏感业务系统访问，部分敏感数据直接和互联网联通，存在较大的数据交叉泄漏风险且不易管理。而业务系统访问过程中带来的隐患点易被攻击者利用在信息传输中进行篡改导致泄密。明朝万达根据这一具体需求提出的Chinasec(安元)虚拟安全环境解决方案综合采用虚拟盘技术及数据重定向技术实现了在一台计算机终端上构建不同的安全桌面，采用灵活的管控策略，基于虚拟化技术实现了计算环境、数据源、数据存储、网络资源的隔离，形成高(敏感信息系统访问)、中(内网访问)、低(互联网访问)三个安全级别环境，因此数据及网络资源不可被在两个桌面下交叉访问。有效的防范敏感数据在办公终端落地后泄露和通过上网出口外发泄漏的风险，以及恶意程序等外来威胁传入企业网的风险。

·加强内部管理：很多安全泄密事件的发生就是由于内部员工或者外包项目人员有意无意的泄密造成的，要避免这种情况发生，就要在管理上下功夫，做到责任到人，环环可查。建立健全事前预防、事中控制、事后评价的评估的安全机制，加强网络、应用等安全一体化监控，及时发现、预警安全事件，加强漏洞挖掘和处置体系建设。加强员工安全意识教育和威慑机制建设，不仅要提升技术部门员工的安全防护水平，更要提升业务部门员工的安全意识，提升员工整体的安全操守。

(责任编辑：安博涛)