大数据时代银行信息的安全防护

近年来，随着信息技术和网络金融的蓬勃发展，大数据逐渐成为银行追逐的热点。借助自身丰富的数据资源，结合完备的互联网数据体系，各银行纷纷步入大数据时代。在大数据时代，银行将客户信息和交易信息从内部系统延伸至整个互联网，信息被赋予了三大新特点：数据量大、数据价值高、数据泄露后破坏性强，因此也给信息安全防护带来前所未有的挑战。

        从Verizon发布的《2014年度数据泄露调查报告》中可以看到，数据泄露事件屡有发生，而且有从互联网行业向金融领域蔓延的迹象。2014年度数据泄露事件(部分)如表1；近年来信息泄露原因如图1。

        根据Verizon统汁，信息泄露的原因可以分为四类：外部原因、内部原因、内外勾结泄密及合作公司泄密。其中外部原因占80％以上，如系统漏洞、外部攻击、黑客侵入等其次是内部原因，如员工违规获取客户信息、工作电脑被盗、测试数据未脱敏等，占比15％；最后是由于对外包公司、合作公司管理不严导致的信息泄露，占比5％。因此，信息安全防护的重点是：一方面要提高银行系统安全技术水平；另一方面要制定更严密的数据管理流程，斩断内部作案的“黑手”；同时严格控制外部人员或外联系统获取敏感数据的途径，保护数据不被非法利用。

一、完善信息安全保护技术

        在大数据环境中，银行数据与外部接触的途径增多，受攻击的风险也相应增加。所以，在系统设计和维护过程中，应加强系统防范攻击的能力，不断利用新技术完善银行安全体系。

        1．数据加密技术

        数据加密是信息安全的“核心”，大数据的灵活性要求银行系统在选择加密方式时要对多样的数据防护需求和运行环境进行分析。在现有技术条件下，多模加密防护是较好的选择。多模加密技术将对称算法和非对称算法相结合，在确保数据防护质量的同时，其多模的特性能够灵活地选择加密模式，而这种灵活性也正是大数据时代应对多样化信息安全所应具备的。

        2．访问控制技术

        不同类型的大数据有不同的访问控制需求，如在客户信息分析中，要实施基于历史记录的访问控制；在地理信息分析中，要实施基于尺度及精度的访问控制；在流数据处理中，要实施时间的访问控制。大数据的特点注定要使用灵活的访问控制，除了常规的自主访问控制(DAC)和强制访问控制(MAC)外，基于信息流的访问控制更适合银行大数据的特点，通过控制信息在流动过程中的授权，保证信息的机密性和完整性。

        3．安全审计技术

        大数据时代，银行系统的关联关系更加复杂。安全审计必须能够覆盖到每个系统的每个功能和每个用户，用以保证安全审计的有效性。其中，要重点对以下三个方面进行审计：第一是系统日志，通过日志文件对外部入侵过程进行行为分析；第二是用户的必要性及权限，减少不必要和权限过大的用户，严控用户登录信息泄露，降低入侵发生的概率和安全风险；第三是系统版本更新情况，杜绝已知系统漏洞，不给违法分子可乘之机。

二、加强敏感数据的管理

        大数据的运用使接触敏感信息的人员数量增多，信息安全形势更加严峻。如何在客户隐私保护与业务创新营销之间进行取舍是大数据时代银行必须面对的问题。因此，银行必须建立严格的内部信息保密制度，从物理安全到数据安全的整个纵深角度进行防范。

        1．实施数据防泄密软件DLP(DataLoss prevention)

        内部信息泄露的主要原因是数据存储设备(如个人工作电脑)管理不严，使不法人员有机会将敏感数据进行非法拷贝，导致信息外泄。实施DLP防护软件，可以阻止敏感信息被非法复制、浏览、窃取、拍摄以及通过电子邮件发送。此外DLP还应该结合加密验证技术，即使敏感数据被盗，在没有DLP服务器的授权下也无法查看。

        2．规范敏感数据的访问

        敏感数据的访问权限要严格控制，只能授权于特定工作人员，并确保人员角色发生变化或离职时，立即撤消其访问权限。敏感数据的查询应该在安全环境中进行，如果需要脱离安全环境时必须得到审批。敏感数据的使用过程要进行跟踪登记，确保数据的使用与申请用途一致，并在使用后及时进行物理销毁。

        3．加强测试数据的管理

        测试数据原则上不能使用真实数据，确有业务需要的必须脱敏后使用，并在传输过程中加密。生产数据提取应遵循“最小化需求”的原则，提取数据必须通过安全运维平台或数据提取专用终端进行，使操作过程可追溯。测试数据使用过程要按照最小权限、实名制原则控制，有条件的银行可以将开发测试工作移到云环境中。

        4．落实人员安全意识教育

        银行应加强内部监管和惩罚力度，明确信息泄露应负的法律责任，将违规操作风险降到最低。银行对于敏感信息的保护有严格规定，但是往往在落实层面出现问题，所以要持续加强内部人员的安全意识和信息安全知识培训，将相关知识整理成册，定期学习考核。使有条件接触敏感信息的人员上岗前做出书面保密承诺，保密承诺要包含敏感信息的范围以及信息泄露后需要承担的责任。

三、外包或外联系统的管理

        银行大数据应用正处在起步阶段，受限于自身技术，在大数据平台建设上多数银行会采用外包或合作的方式。从各银行大数据系统建没情况看，这种模式发展速度较快，而与之匹配的管理模式却明显滞后，使信息安全面临新的危机。

        1．外包现场服务的控制

        行外人员在进行敏感设备、系统的现场维护时，必须有银行内部监督人员在场，监督人员应接受过信息安全业务培训和技术培训，清楚外包公司的权利义务和违约责任，对涉密硬件和软件安装、更新、参数调整、提取交易日志等操作进行密切监控，严禁外部人员私自复制任何敏感信息。在系统合作开发过程中，尽量避免外部人员自带设备接入内部网络，对提供给外部人员的工作设备要进行彻底的数据清理。

        2．外联系统的控制

        大数据金融让银行与第三方支付平台或网络金融企业的合作越来越多，在此过程中难免会将内部信息发送给第三方机构，所以除了严格约束第三方禁止保留敏感信息外，还要缩短与外联系统的通信时间，防止信息被批量获取。此外，银行应积极进行技术和渠道创新，建立自己的互联网平台，减少与外部的敏感信息交互。

        3．外包或合作开发的系统控制

        对于外包或合作开发的系统，银行应该制定安全检测机制，对相关的代码、文档进行严格审查，特别是对源码与目标码的一致性进行检查，必要时可以通过第三方进行安全评测。版本交付上线时，必须使用安全检查工具确认不存在病毒、安全漏洞、可疑源码等安全问题后方可投入使用。

        综上所述，在大数据金融背景下，伴随着新技术、新业务形态的不断出现，信息安全已经成为银行最具挑战性的命题。反思已发生的风险案件，银行信息安全防护仍有诸多需要改进的地方，这已经是金融消费者权益保护的重要范畴。银行要结合自身实际情况在技术、制度、流程上打出组合拳，最大限度地保护客户信息和资金安全，让大数据真正成为银行业务发展的利器。

（文章来源：《中国金融电脑》杂志）

扫码即可手机
阅读转发此文