网络安全检测|网络安全服务|网络安全扫描-香港墨客投资移动版

　　【IT168 方案】

　　前言

　　随着信息技术的广泛应用和电子商务的快速发展，现阶段银行业正由传统的柜台服务模式向网上银行、第三方支付、P2P小额贷款、企业网络融资等新型服务模式扩展。这种扩展推动了金融业务与互联网的进一步融合，我国金融业信息化正经历向信息化金融的转变，信息化金融已逐渐成为我国金融业的发展方向。但与此同时，由于这种新型服务方式虚拟化、业务边界模糊化、经营环境开放化等特点，使得金融业务面临网络攻击、非法窃取账户信息、客户信息泄漏等信息安全问题。

　　有数据显示，41%的金融服务机构在12个月内因网络犯罪丢失了金融相关信息，回顾一年间的金融机构信息泄密事件，不难看出，金融机构已沦为数据泄密的重灾区，再次给人们敲响数据安全的警钟：

　　1)1月份，韩国发生银行业最大规模信用卡个人信息泄密事件，涉及约2000万用户，共1亿多条存储在数据库中的客户信息被泄露，多名高管因此事引咎辞职。

　　2)9月份，美国家得宝公司确认其支付系统遭到网络攻击，数据库被攻破，将近有5600万张银行卡的信息被盗，这比去年发生在Target的客户银行卡数据被盗事件还要严重。

　　3)10月份，摩根大通银行承认7600万家庭和700万小企业的相关信息被泄露。身在南欧的黑客取得摩根大通数据库登入权限，偷走银行客户的姓名、住址、电话号码和电邮地址等个人信息，与这些用户相关的内部银行信息也遭到泄露。 受影响者人数占美国人口的四分之一 。

　　上述泄密事件不难发现，数据库是银行业最核心的IT资产，如果缺乏对数据库安全的保障，信息系统就如同在沙滩上的城堡，一个小小的风浪就可能前功尽弃。只有有效保护、管理和控制数据库安全的金融机构才能获取非常好的竞争优势，因此银行信息管理者只有建立全生命周期的数据安全保障工作，提升防范风险能力，才能在激烈的金融蓝海战役中更胜一筹!

　　一、国家政策要求

　　不难看出在银行业信息化高速发展的时代背景下，各银行积累的客户数据、交易记录、管理数据等呈爆炸性增长，海量数据席卷而来，海量的业务数据不但成为金融业的命脉，也成为不法分子窥探的目标，因此也意味着面临了海量的风险。

　　因此国家相关管理机构也对数据的安全管控提出了以下要求：

　　国家等级保护相关标准中要求等保二级以上信息系统中的网络层面、主机层面和应用层面均要求进行安全审计、安全控制，同时也明确要求了审计和控制的范围、内容等，粒度要求到用户级、数据表、字段级。

　　银监会19号文中也明确提出“控制所有生产系统的活动日志，以支持有效的审计、安全论证分析和预防欺诈”。

　　国外信息安全方面的标准或非常好的实践(如ISO13335、ISO27001、SP800)等也要求对用户行为、系统、数据操作行为进行控制和审计。

　　特别是2014年9月银监会39号文，《关于应用安全可控信息技术加强银行业网络安全和信息化建设的指导意见》(简称意见)，特别在操作系统、数据库等领域要加大探索和尝试力度;从2015年起，各银行业金融机构对安全可控信息技术的应用以不低于15%的比例逐年增加，直至2019年达到不低于75%的总体占比该指导意见的发布是我国进一步重视银行业数据安全的表现。

　　二、银行业数据安全现状分析

　　根据上述国家政策，应将业务流程和安全进行融合，综合评估才能深入分析银行业数据安全所面临的问题，做到知己知彼，让银行数据安全隐患无处可逃。

　　1.银行业业务现状

　　如上图所示，典型银行业信息系统主要由以下部分组成：

　　电子银行类：个人、企业用户通过internet访问银行门户网站，通过Web应用来处理网上银行业务查询与金融交易业务，并将数据通过核心业务网同步至核心业务数据库中。

　　外联通讯类：商业银行通过外联前置，与人行会计核算业务、人行征信、商行分行等业务系统进行数据同步和清算结算工作。

　　业务开发类：商业银行为了提升客户使用的友好性、便利性，进行不定期的业务功能开发工作，通过开发和测试后同步至真实系统进行上线。

　　运维管理类：银行内部运维人员、外包人员、业务开发人员通过运维管理工具对银行各类业务系统进行资源运维和安全管理的维护工作。