银行卡个人信息在网上被随意倒卖,从起因看都是“内鬼”惹的祸,但事件背后反映出银行内部安全意识淡薄的管理漏洞。解决个人信息泄露问题,银行及相关企业要加强自身防范意识,并辅以严格的管理,使用先进的安保技术,从根本上建立防范机制
多家媒体近日报道,银行卡个人信息在网上被随意倒卖,每条价格从2分钱到1角钱不等。银行方面表示,倒卖这些数据的主要是相关业务主管或者能直接拿到数据库的统计人员,对“内鬼”并没有太多办法,基本上靠道德约束。随着互联网和移动互联网生态的逐渐丰富,除了银行之外,包括地址、账户、个人资料等在内的核心信息,被消费者越来越多地在网上留存。银行真的对“内鬼”盗窃数据无计可施吗?用户信息安全果真如此脆弱?记者对互联网安全专门进行了访问,在他们看来,防范“内鬼”,不是做不到,而是缺乏安全意识。
防范“内鬼”有计可施
“银行及相关企业员工泄密确实是目前用户信息泄露的主要途径之一。”互联网安全厂商360网络攻防实验室负责人林伟告诉《经济日报》记者,他曾经访问过一系列网上以“数据交换”为名的论坛和QQ群、微信群,“里面包括某银行存款1000万元以上的VIP客户信息,或者某地区运营商客户的个人资料,这些都很容易就能买到,应该都是来自于员工泄密。”除此之外,用户数据泄露的来源还包括黑客攻击和第三方合作商户泄密。
“从技术上来看,"内鬼"可以防范。”林伟认为,“企业安全防护一个重要理念是"一切都不可靠",员工不可靠,安全工程师同样不可靠,要运用技术手段来解决"人的问题"。方法一是需要对所有员工的行为进行监控和记录,并且至少要保留半年以上时间,以便发现问题可以追溯。方法二是在数据储存上,进行加密和拆分,加强保密强度。”
此外,防范“内鬼”,也需企业对员工权限进行严格控制。互联网安全厂商瑞星安全专家唐威认为,“泄露数据,需要的是掌握数据的权限,这包括打开、复制、修改、发送和分享等一系列权限,这些都可以通过技术手段加以限制。”在媒体报道中,有银行人士表示,其信用卡信息及个人理财信息平时为了安全都是用优盘拷走,个人优盘需要及时清理,从来不经过邮件来回传递。对此,唐威说,“就拿优盘拷贝数据这件事来说,首先,在硬件上,对于安全性要求极高的关键设备就不该有诸如USB接口之类的出口。其次,可以设置员工权限,甚至可以细化到只允许插入经过企业安全认证的优盘。对有权限的人,技术上依然可以配置监控和报警系统。"
加强安全防范迫在眉睫
银行内部会出现对“内鬼”没办法的想法,在林伟看来,根本上是企业缺乏安全意识的体现。“大部分企业并不关注网络安全,有些企业虽然关注,但缺乏进行恰当防护的能力。”正因如此,近期包括12306、中国联通等企业在内,一系列用户数据泄露事件先后发生。
在互联网安全专家看来,企业信息安全水平的提升,一方面要靠安全意识的加强,另一方面则要建立一整套安全制度,“否则只能遇到一个问题解决一个问题,永远在亡羊补牢。”唐威说。在他们看来,安全制度的建立目前主要有两种方案,一是企业自己聘请专业的安全人员,产品自己开发;二是使用外来的产品。“两种方法各有利弊,不过,第三方厂商在网络安全、数据安全和主机安全上各有所长,最好使用专业的评估和咨询公司,找到各领域内最适合企业情况的解决方案。”林伟说。
此外,从整个信息安全行业来看,目前市场激烈竞争,安全厂商竞相压价、争取客户的“价格战”,也为安全埋下隐患。