客户信息保护探讨与实践.pdfVIP

_______●一 2013年增N＼ 客户信息保护探讨与实践 郭光阳，唐艳萍，李景丹 (中国建设银行北京市分行信息技术管理部，北京100053) 摘要：银行存储了大量客户信息，这些信息一旦泄露将造成客户隐私受侵犯、资金受损失和企业 竞争力下降等信息安全事件。保障客户信息安全是每一家银行应尽的社会责任，也是自身业务发展的需 要。目前国内外信息安全形势日益严峻，给银行客户信息保护工作带来了巨大的挑战。文章在银行客户 信息使用调研的基础上，对利用技术手段提升客户信息管控能力进行了探讨和实践。 关键词：客户信息；风险；防泄露 中图分类号：TP309文献标识码：A 2012年12月28日，全国人大常委会第三十次会议通过了《关于加强网络信息保护的决定》(简称《决定》)，以法律的形式保 护公民个人及法人的信息安全，确立了网络身份管理制度，明确网络服务提供者的义务和责任。 央视“3·15”晚会曝光国内一些金融机构员工向外兜售、泄露客户信息的事件，再到2013年6月的“棱镜门”事件，信息泄密 直接造成了企业或用户的经济损失，甚至影响了企业公众形象及品牌价值，银行作为金融企业，加强客户信息的管理已经成为信 息安全管理的重中之重。 1客户信息使用情况调研 为了便于描述，本文将集中存放在银行数据中心数据库，使用人员通过信息系统调用或查看的客户数据称为在线数据，脱离 信息系统存放在员工办公计算机或移动存储介质上的数据称为离线数据。 在线数据通过信息系统安全功能如访问控制、加密传输和存储、严格数据中心运维管理等手段进行保护。目前各银行单位 对在线数据的保护都建立了严格的管理机制和完备的技术管控体系，对客户数据保护起到了强有力支撑作用。离线数据的管理 由于存在涉及内部人员多、存放地点多、管理环节多等客观情况，因此管理难度更大，是银行客户信息防泄漏的重要控制领域。 以下重点对离线数据保护技术和保护方案进行探讨。 1．1离线数据使用情况调研 为了对银行内部离线数据使用情况有一个比较准确的把握，我们对离线数据使用情况进行了调研。本次调研在单位内部通 过两种方式收集数据使用信息。第一种方式是调查问卷，向内部单位发放问卷征集信息；第二种方式是通过技术部门收到的离 线数据提取申请进行相关信息分析。之后对两种方式获取的约100份样本信息进行统计和分析，得出较为完整的离线数据使用 部门及数据流向现状。 1．1．1使用部门分布情况 根据调研结果统讹在离线数据使用中，经营部门数据使用需求占比较大，占所有需求的85％；管理部门约为15％。 1．1．2数据流向 从数据流向的调研结果看，银行内部使用数据进行业务分析、考核的占比达到84％，对外向监管提供数据的占比为10％， 其他如司法协助、合作公司占比为6％。 1．1．3数据再／j口-r情况 从数据脱离信息系统后再加卫隋况的调研结果看，最常用的工具为Excel，业务人员使用Excel各种统计报表功能进行业务 分析和统计。 ● 收稿日期：2013—09—20 作者简介：郭光阳(1968一)，男，北京，信息技术管理部副总经理，主要研究方向：信息安全管理；唐艳萍(1963一)，女，湖南，高级工程师 硕士研究生，主要研究方向：信息安全管理；李景丹(1979一)，男，内蒙古，高级工程师，本科，主要研究方向：信息网络安全。 ，-_●-h“。。。。‘———‘‘‘———————。。。。一 ／2013年增刊 1．2风险分析 ：：#嚣芰：il—i：：2：：。Ilt。tlgt。m” ；志譬““‘j 14“．#：嚣：鬟j‰。．．。 从数据存放、传递及销毁等环节分析离线数据存在以下 信息泄漏风险。 1．2．1数据存放 在数据存放过程中，数据明文存放、多地点存放、移动设 备丢失等容易引发数据越权使用和泄漏风险。 1．2．2数据传递