2014年金融行业数据泄密事件盘点 知悉数据重要性

2014年金融行业数据泄密事件盘点 知悉数据重要性

2014年以来，国内外金融机构不断发生影响性较大的信息安全事件。据央行最新数据显示，截至三季度末，前三季度发生的互联网金融支付金额已达24.1万亿元，特别是随着互联网金融趋势走高，交易额在数量和规模快速扩张的同时，其安全性和风险管控更加值得关注。另有数据显示，41%的金融服务机构在12个月内因网络犯罪丢失了金融相关信息，回顾一年间的金融机构信息泄密事件，不难看出，金融机构已沦为数据泄密的重灾区，再次给人们敲响数据安全的警钟。在过去3年里银行不断增加了网络和信息安全预算，并采取了若干新措施应对日益增长的网络威胁。为提升银行应对信息泄密，银监会也相继出台有针对性的信息安全评估标准。

一、国内外安全事件盘点

① 1月，韩国发生金融行业最大规模信用卡个人信息泄密事件，涉及约2000万用户，共1亿多条客户信息被泄露，最多的用户有19项个人信息被泄露了，多名高管因此事引咎辞职。

② 3月23日凌晨，携程被爆安全支付日志可遍历下载，因此导致大量用户银行卡信息泄露，其中包括持卡人姓名、身份证号、银行卡号、卡CVV码、6位卡Bin。

③ 7月24日，欧洲中央银行(European Central Bank, ECB)遭到网络攻击，匿名黑客攻破了该行公开的外部网站的数据库，窃取了该行网站上1.5亿注册者的电子邮件和联络人的细节信息。电子邮件、部分街道地址和电话号码在内的部分未加密数据被利用。

④ 9月，美国家得宝公司确认其支付系统遭到网络攻击，将近有5600万张银行卡的

信息被盗，这比去年发生在Target的客户银行卡数据被盗事件还要严重。

⑤ 10月2日 ，摩根大通银行承认7600万家庭和700万小企业的相关信息被泄露。身在南欧的黑客取得摩根大通数十个服务器的登入权限，偷走银行客户的姓名、住址、电话号码和电邮地址等个人信息，与这些用户相关的内部银行信息也遭到泄露。受影响者人数占美国人口的四分之一 。

二、金融行业数据泄密风险类型：

从上述总结的今年金融业敏感数据泄密事件来看，金融业主要的泄密风险可以总结为以下几点：

① 黑客攻击：攻击者利用黑客技术非法入侵机构的数据库等系统，窃取、篡改、拷贝系统数据，从而进行有目的的金融犯罪行为;

② 木马病毒：病毒泛滥可以导致机构重要信息遭到损坏，严重的可以导致系统瘫痪，如果用户打开了此类木马程序，手机或者电脑就会被编写木马程序的不法分子控制，从而造成信息文件被修改或被窃取、电子账户资金被盗等危害;

③ 钓鱼网站：不法分子利用各种手段，仿冒真实网站的URL地址以及页面内容，或利用真实网站服务器程序上的漏洞在站点的某些网页中插入危险的HTML代码，以此来骗取用户用户名、口令、帐号ID或银行或信用卡账号、密码等私人资料详细信息。

④ 安全系统疏于维护：因为金融行业一般都较早的进行了信息化建设和维护，很多时候做过周密的预案和灾备演练后就放松了对系统的整体安全维护，让怀有不轨想法的内、

外部泄密人员钻了空子，而这点往往是泄密事件高发的诱因。

三、防范数据泄密的安全建议：

① 加强技术防护：加强对数据库系统的安全配置，加强自主可控密码算法在应用系统中的使用，切实保护敏感数据的传输和存储安全性;确保其策略合理配置，多备份的三层加密体系保障数据安全：只有自己知道的私人密钥加密代码;数据在传输之前经客户端256位AES加密;采用128位SSL加密，实现安全的端到端数据传输。

② 规范办公流程、加强安全办公环境建设：金融企业办公终端上承载互联网访问、日常办公及敏感业务系统访问，部分敏感数据直接和互联网联通，存在较大的数据交叉泄漏风险且不易管理。而业务系统访问过程中带来的隐患点易被攻击者利用在信息传输中进行篡改导致泄密。

③ 加强内部管理：很多安全泄密事件的发生就是由于内部员工或者外包项目人员有意无意的泄密造成的，要避免这种情况发生，就要在管理上下功夫，做到责任到人，环环可查。建立健全事前预防、事中控制、事后评价的评估的安全机制，加强网络、应用等安全一体化监控，及时发现、预警安全事件，加强漏洞挖掘和处置体系建设。加强员工安全意识教育和威慑机制建设，不仅要提升技术部门员工的安全防护水平，更要提升业务部门员工的安全意识，提升员工整体的安全操守。

综上可见，一旦被攻击而导致的数据安全问题是十分可怕的。所以多备份在这里提醒各位:有一个放心的数据备份方案是必不可少的。而多备份采用最新的云备份处理技术能够为您的数据保驾护航。