銀行卡個(gè)人信息2分到1角錢不等

　　銀行卡個(gè)人信息在網(wǎng)上被隨意倒賣，從起因看都是“內(nèi)鬼”惹的禍，但事件背后反映出銀行內(nèi)部安全意識(shí)淡薄的管理漏洞。解決個(gè)人信息泄露問題，銀行及相關(guān)企業(yè)要加強(qiáng)自身防范意識(shí)，并輔以嚴(yán)格的管理，使用先進(jìn)的安保技術(shù)，從根本上建立防范機(jī)制

　　多家媒體近日?qǐng)?bào)道，銀行卡個(gè)人信息在網(wǎng)上被隨意倒賣，每條價(jià)格從2分錢到1角錢不等。銀行方面表示，倒賣這些數(shù)據(jù)的主要是相關(guān)業(yè)務(wù)主管或者能直接拿到數(shù)據(jù)庫(kù)的統(tǒng)計(jì)人員，對(duì)“內(nèi)鬼”并沒有太多辦法，基本上靠道德約束。隨著互聯(lián)網(wǎng)和移動(dòng)互聯(lián)網(wǎng)生態(tài)的逐漸豐富，除了銀行之外，包括地址、賬戶、個(gè)人資料等在內(nèi)的核心信息，被消費(fèi)者越來越多地在網(wǎng)上留存。銀行真的對(duì)“內(nèi)鬼”盜竊數(shù)據(jù)無計(jì)可施嗎？用戶信息安全果真如此脆弱？記者對(duì)互聯(lián)網(wǎng)安全專門進(jìn)行了訪問，在他們看來，防范“內(nèi)鬼”，不是做不到，而是缺乏安全意識(shí)。

　　防范“內(nèi)鬼”有計(jì)可施

　　“銀行及相關(guān)企業(yè)員工泄密確實(shí)是目前用戶信息泄露的主要途徑之一?！被ヂ?lián)網(wǎng)安全廠商360網(wǎng)絡(luò)攻防實(shí)驗(yàn)室負(fù)責(zé)人林偉告訴《經(jīng)濟(jì)日?qǐng)?bào)》記者，他曾經(jīng)訪問過一系列網(wǎng)上以“數(shù)據(jù)交換”為名的論壇和QQ群、微信群，“里面包括某銀行存款1000萬元以上的VIP客戶信息，或者某地區(qū)運(yùn)營(yíng)商客戶的個(gè)人資料，這些都很容易就能買到，應(yīng)該都是來自于員工泄密。”除此之外，用戶數(shù)據(jù)泄露的來源還包括黑客攻擊和第三方合作商戶泄密。

　　“從技術(shù)上來看，"內(nèi)鬼"可以防范?！绷謧フJ(rèn)為，“企業(yè)安全防護(hù)一個(gè)重要理念是"一切都不可靠"，員工不可靠，安全工程師同樣不可靠，要運(yùn)用技術(shù)手段來解決"人的問題"。方法一是需要對(duì)所有員工的行為進(jìn)行監(jiān)控和記錄，并且至少要保留半年以上時(shí)間，以便發(fā)現(xiàn)問題可以追溯。方法二是在數(shù)據(jù)儲(chǔ)存上，進(jìn)行加密和拆分，加強(qiáng)保密強(qiáng)度?！?/p>

　　此外，防范“內(nèi)鬼”，也需企業(yè)對(duì)員工權(quán)限進(jìn)行嚴(yán)格控制。互聯(lián)網(wǎng)安全廠商瑞星安全專家唐威認(rèn)為，“泄露數(shù)據(jù)，需要的是掌握數(shù)據(jù)的權(quán)限，這包括打開、復(fù)制、修改、發(fā)送和分享等一系列權(quán)限，這些都可以通過技術(shù)手段加以限制。”在媒體報(bào)道中，有銀行人士表示，其信用卡信息及個(gè)人理財(cái)信息平時(shí)為了安全都是用優(yōu)盤拷走，個(gè)人優(yōu)盤需要及時(shí)清理，從來不經(jīng)過郵件來回傳遞。對(duì)此，唐威說，“就拿優(yōu)盤拷貝數(shù)據(jù)這件事來說，首先，在硬件上，對(duì)于安全性要求極高的關(guān)鍵設(shè)備就不該有諸如USB接口之類的出口。其次，可以設(shè)置員工權(quán)限，甚至可以細(xì)化到只允許插入經(jīng)過企業(yè)安全認(rèn)證的優(yōu)盤。對(duì)有權(quán)限的人，技術(shù)上依然可以配置監(jiān)控和報(bào)警系統(tǒng)。"

　　加強(qiáng)安全防范迫在眉睫

　　銀行內(nèi)部會(huì)出現(xiàn)對(duì)“內(nèi)鬼”沒辦法的想法，在林偉看來，根本上是企業(yè)缺乏安全意識(shí)的體現(xiàn)?！按蟛糠制髽I(yè)并不關(guān)注網(wǎng)絡(luò)安全，有些企業(yè)雖然關(guān)注，但缺乏進(jìn)行恰當(dāng)防護(hù)的能力?！闭蛉绱?，近期包括12306、中國(guó)聯(lián)通等企業(yè)在內(nèi)，一系列用戶數(shù)據(jù)泄露事件先后發(fā)生。

　　在互聯(lián)網(wǎng)安全專家看來，企業(yè)信息安全水平的提升，一方面要靠安全意識(shí)的加強(qiáng)，另一方面則要建立一整套安全制度，“否則只能遇到一個(gè)問題解決一個(gè)問題，永遠(yuǎn)在亡羊補(bǔ)牢。”唐威說。在他們看來，安全制度的建立目前主要有兩種方案，一是企業(yè)自己聘請(qǐng)專業(yè)的安全人員，產(chǎn)品自己開發(fā)；二是使用外來的產(chǎn)品?！皟煞N方法各有利弊，不過，第三方廠商在網(wǎng)絡(luò)安全、數(shù)據(jù)安全和主機(jī)安全上各有所長(zhǎng)，最好使用專業(yè)的評(píng)估和咨詢公司，找到各領(lǐng)域內(nèi)最適合企業(yè)情況的解決方案?！绷謧フf。

　　此外，從整個(gè)信息安全行業(yè)來看，目前市場(chǎng)激烈競(jìng)爭(zhēng)，安全廠商競(jìng)相壓價(jià)、爭(zhēng)取客戶的“價(jià)格戰(zhàn)”，也為安全埋下隱患。