最近,国内银行接连爆出数据泄露事件,上海、浦发、兴业等6家银保机构“数据泄露门”风波未平,北京银行、建设银行紧随其后,涉案人有临时工也有行长。
北京银行上海分行张江支行临时工吴某某判决书
原建设银行余姚城建支行行长沈某某判决书
金融机构沦为数据泄漏的重灾区,给行业敲响数据安全的警钟。一是数据资产的管理本身就是金融机构的难题,数据量大,文件类型多,内容类别多导致金融机构无法精细化管理和布防。
二是利益驱使,堡垒内部人员私自盗窃数据,造成数据泄露;总的来说,数据泄露归结六大原因:黑客、公开数据库、非授权访问、数据库配置错误、“内鬼”和网站漏洞。
因此,昂楷科技就银行“数据泄露门”事件,给出金融行业数据安全风险防护建议。
1、明确数据资产
通过数据安全治理系统对数据资产统计、分类、聚类、分级以及密级标识数据,让管理者更加明确自身的数据资产和价值,更明确管理的对象和内容。
2、加强数据安全技术防护
昂楷数据库安全系列产品,以数据安全为核心,对数据进行精细化管控,权限管理;结构化数据的敏感数据脱敏;业务系统的应用准入控制、行为审计、系统数据防护;实现数据产生、存储、交换、使用等;重要环节的全生命周期,形成立体化、层次化的综合管控体系,有效的提高应用端与安全的切合度,并降低员工使用影响,达到动态的布防。
3、事前感知、事中控制以及事后审计
金融机构内部敏感数据的事前感知、事中控制以及事后审计,攻击维持权限被植入的时间、数据外发日志记录、人员调查等手段确定数据泄露范围,针对可能已经发生的数据泄露进行整体评估;全方位数据安全状态监控,使得数据泄露行为无处遁形,敏感数据无径可出,犯罪分子无法拿到公民的敏感信息,为金融机构数据源头处筑起一道防护墙。
4、强化内部数据安全管理
加强金融机构员工保护客户个人信息的法律意识,金融机构应重新审视包括安全管理制度、安全管理部门、人员安全管理、系统建设管理和系统运维管理等的内部安全管理规范,从岗位设置、人员配备、授权和审批、沟通与合作、审核和检查等方面对信息安全工作提出明确要求。
金融服务行业启动数据安全治理计划迫在眉睫,数据安全治理是金融行业数据合规使用的基础,应多角度构建数据安全防护体系,多样化技术手段建立一体化保障,多维度搭建数据安全实时风险感知平台,对金融机构数据进行治理与管理,加速推进金融行业数据资产化进程。
