数据防泄漏事件-金融行业如何在源头处建立防线

2022-07-08

最近，国内银行接连爆出数据泄露事件，上海、浦发、兴业等6家银保机构“数据泄露门”风波未平，北京银行、建设银行紧随其后，涉案人有临时工也有行长。金融机构沦为数据泄漏的重灾区，给行业敲响数据安全的警钟。一是数据资产的管理本身就是金融机构的难题，数据量大，文件类型多，内容类别多导致金融机构无法精细化管理和布防。二是利益驱使，堡垒内部人员私自盗窃数据，造成数据泄露；总的来说，数据泄露归结六大原因：黑客、公开数据库、非授权访问、数据库配置错误、“内鬼”和网站漏洞。

因此，安企神科技就银行“数据泄露门”事件，给出金融行业数据安全风险防护建议。

1、明确数据资产

通过数据安全治理系统对数据资产统计、分类、聚类、分级以及密级标识数据，让管理者更加明确自身的数据资产和价值，更明确管理的对象和内容。

2、加强数据安全技术防护

安企神数据库安全系列产品，以数据安全为核心，对数据进行精细化管控，权限管理；结构化数据的敏感数据脱敏；业务系统的应用准入控制、行为审计、系统数据防护；实现数据产生、存储、交换、使用等；重要环节的全生命周期，形成立体化、层次化的综合管控体系，有效的提高应用端与安全的切合度，并降低员工使用影响，达到动态的布防。

3、事前感知、事中控制以及事后审计

金融机构内部敏感数据的事前感知、事中控制以及事后审计，攻击维持权限被植入的时间、数据外发日志记录、人员调查等手段确定数据泄露范围，针对可能已经发生的数据泄露进行整体评估；全方位数据安全状态监控，使得数据泄露行为无处遁形，敏感数据无径可出，犯罪分子无法拿到公民的敏感信息，为金融机构数据源头处筑起一道防护墙。

4、强化内部数据安全管理

加强金融机构员工保护客户个人信息的法律意识，金融机构应重新审视包括安全管理制度、安全管理部门、人员安全管理、系统建设管理和系统运维管理等的内部安全管理规范，从岗位设置、人员配备、授权和审批、沟通与合作、审核和检查等方面对信息安全工作提出明确要求。

金融服务行业启动数据安全治理计划迫在眉睫，数据安全治理是金融行业数据合规使用的基础，应多角度构建数据安全防护体系，多样化技术手段建立一体化保障，多维度搭建数据安全实时风险感知平台，对金融机构数据进行治理与管理，加速推进金融行业数据资产化进程。