盗刷“阴云” 金融业数据安全需“温暖阳光”

        磁条卡被盗刷事件愈演愈烈，此前有媒体发现网上曾公开售卖制作伪卡的机器和教程。昨日，山丽网安信息安全专家在淘宝商城里又发现有银行卡磁条信息格式和使用规范等相关文件售卖，售价仅十几元。此外，该网店还有包括《GB/T 16676-2010 银行安全防范报警监控联网系统技术要求》、 《GB/T 21078.3-2011 银行业务个人识别码的管理与安全》等文件售卖，店家还声明“所售图书均为正版，假一赔十”。 专家表示，这些文件很容易成为不法分子制作克隆卡的帮凶。

        业内：金融泄密可能造成重大损失

        银行界业内专家表示：从这些材料的名称来看都已涉密，不知道普通人是怎么得到的，更不应该放到网上售卖。一般人不会需要这样的资料。这些内部资料是从有关部委直接发到各银行的总行，总行再发到各分行，都是走内部系统的，不应该泄露出去。

        专家担心，这些在网上公开叫卖的资料，会成为不法分子犯罪的帮凶。这里面可能有目前国内银行卡制作的技术参数和银行安防系统的建设标准和技术要领，要制作克隆卡、盗窃银行的不法分子，都可能通过研究这些材料获取重要信息。

        据了解，在百度文库就可以下载大量银行内部的管理文件和规章制度，其中不少带有保密标识，这一方面会泄露银行的经营管理秘密，另一方面可能泄露客户资料。

        在银行业内部从事相关保密工作的张经理告诉山丽网安信息安全专家，目前国内的大银行员工都在几万甚至几十万之众，可以接触到机密文件的管理人员也为数众多，每天不知道哪个支行就有员工将涉密信息挂到了网上，目前各家银行都没有很好的杜绝方法。张经理同时指出，银行员工售卖客户资料的情况也时有发生，管理起来很棘手。“可以说每分每秒都有银行机密被泄露，这些对银行、对客户都有可能造成重大损失。”

        金融保密亟待加强

        据了解，为防止重要文件或客户资料泄露，各家银行都有自己的方法，比如将办公电脑内外网分离，有的银行甚至将内网网线和外网网线都保持一定的物理距离，有的银行规定不准从内网电脑上下载文件，有的银行在办公电脑上安装专业的保密文件侦测软件。但是由于人员素质参差不齐和特殊情况太多，这些数据防泄漏方法在执行时，并不能达到很好的数据安全防护效果。

        针对金融行业如此复杂的信息安全问题，山丽网安数据防泄漏体系提供全面防护解决方案。

        1.权限控制：用户分级，不同的用户访问的信息安全等级不同。文档作者本人与银行内部其他工作人使用机密文档的使用权限可以分为只读、写入、删除等权限。而这些权限的设置均是针对文件本身，省去将文件上传至服务器设置权限的复杂操作，实现特定用户对文件的自主权限设置。

        2.数据加密：银行分行或者远程办公地点的数据传输必须采用加密传输的方式进行。数据本身的处理、存储均采用加密的方式，同时可以配合安全审计等安全管控手段。

        山丽网安数据防泄漏体系符合国家要求金融行业的加密要求。在密钥和证书生命周期管理方面，制定并落实有效的管理流程。“人防、机防、技防”三方防护力度，金融行业的数据安全风险将会大大减少，健康安全的金融环境势在必行。

        关键词：信息安全   数据防泄漏    数据安全   数据加密