信息泄露？隐私泄密？迎战数据安全保卫战，四川农信有章法！

农金眼

建设银行客户经理因非法出售数万条客户信息被判刑，

阿里云泄露用户隐私得到浙江通信管理局证实……

大数据时代，个人信息泄露事件频发，个人信息保护也成为公民最关注的问题之一！

8月20日，《个人信息保护法》经过三次审议后正式出台，为个人信息保护提供了专门的法律保障，将于11月1日起正式实施。

对农信机构而言，如何迎战数据安全保卫战？
四川农信目前拥有西部最大的数据中心，在管理理念、制度规范、技术应用等方面对个人金融信息保护进行了探索，特此推荐。

01

个人信息如何被泄露和非法利用？

02

银行个人信息泄露被重罚

我国正在加大个人信息的保护力度，个人信息保护的法律体系正在逐步完善。2021年8月20日，十三届全国人大常委会第三十次会议表决通过《个人信息保护法》，该法自2021年11月1日起施行。各监管机构也相继提出了监管政策及要求，例如，2019年的《网络安全等级保护基本要求》、2020年的《个人金融信息保护技术规范》等。

2020年10月，人民银行对某银行德阳分行、东营分行、娄底分行侵害消费者个人信息保护权利，开出了三张超500万元大额罚单，共计2453万元，这是人民银行首次对侵害消费者个人信息开出罚单。2021年银保监会1号罚单给了某银行，因其网络信息系统存在漏洞、互联网门户网站泄露敏感信息、数据安全管理粗放等问题被处以420万元罚款。在2020年四川省金融机构网络安全工作联席会上，人民银行通报了新冠肺炎疫情期间境外黑客和不法分子通过社交网络、钓鱼邮件对我国金融机构进行定向网络攻击。客户个人信息保护面临着来自内部和外部的双重威胁，不容小觑。

03

四川农信信息保护“三步走”

四川农信目前拥有西部最大的数据中心。对于如何加强个人信息保护，在客户信息安全的前提下合规应用，四川农信在管理理念、制度规范、技术应用等方面对个人金融信息保护进行了探索。

强化组织治理。落实网络安全“一把手”责任制，加强“三道防线”建设。信息科技部门作为“一道防线”直接负责全省统建系统的网络安全、系统安全和运维安全。风险管理部门作为“二道防线”，应定期开展信息安全专项风险评估，包括环境、用户、数据敏感性、外包等各要素，识别威胁客户信息的风险点，以及风险控制政策和措施的充分性，加强客户信息安全方面的合规管理；审计部门作为“三道防线”，应定期开展信息安全专项审计，全面识别风险隐患，对制度执行情况等进行审计。

完善制度建设。将个人信息保护纳入全面风险管理，建立健全客户信息保护制度。制定客户信息分级分类标准，明确不同等级的管控策略，从数据的产生、存储、使用、传输、备份、脱敏、销毁建立覆盖客户信息全生命周期的管理制度和保护体系。加强重点业务和重点岗位管理，遵循“权责对应”原则，建立监督检查制度，加强对所辖机构的指导和检查，将管理责任和使用责任落实到事、落实到人。四川省联社已制定《四川农信网络安全管理办法》《四川省农村信用社生产数据使用安全管理暂行办法》《数据分类分级标准》等管理制度，并正在对全省各级行社制定安全能力成熟度评价体系，在多级法人架构下根据其安全能力成熟度的不同指导自建应用、特色应用建设，不断完善制度体系和加强风险控制。

增强安全意识。做好安全意识教育，信息安全人人有责。通过宣传和警示教育，以典型案例教育提高全员信息安全和风险防范意识，加强对违规行为的责任追究。

04

完善技术手段 提高安全水平

识别业务流程安全加强风险控制。随着外部环境改变和新兴技术的发展，互联网应用，例如手机银行、网上银行为我们的生活提供便利的同时，其自身的脆弱性也受到了来自外部的安全威胁、网络攻击、病毒感染及社会工程学的交叉渗透，一旦被攻破，将导致客户信息泄露甚至财产损失。应用系统自身的业务流程安全是安全防护的第一步，其流程设计上的逻辑漏洞主要是由于研发阶段对于程序逻辑的设计和限制存在缺陷导致，这类漏洞防御难度高且对系统危害性也很大。最主要的流程安全包含了注册安全、登录安全、密码找回安全、修改密码安全、支付安全等，犯罪分子往往通过这些流程设计上的缺陷，通过恶意遍历、密码爆破、验证码绕过、人脸识别绕过等方式成功仿冒盗取客户资金。针对这些流程设计上的安全问题应进行梳理和排查，参考同业设计及先进经验等，形成标准和规范，对业务功能点进行分解，识别功能点中的风险威胁，加强控制。

推进信息安全标准化体系建设。针对个人金融信息保护，人民银行发布了《个人金融信息保护技术规范》（JR/T 0171-2020），对个人金融信息在收集、传输、存储、使用、删除、销毁等生命周期各环节的安全防护要求，从安全技术和安全管理两个方面，提出了规范性要求，四川省联社按照《个人金融信息保护技术规范》进行了对标排查和系统改造。此外，还应推进数据存储、网络互连、安全加密、数据交换、安全认证、客户服务等方面标准的制定，以及对网上银行、手机银行、电子商务等创新产品和服务，制定与之相适应的标准和规范。例如，随着大数据应用的发展，四川省联社逐渐开展了与外部数据的合作，在智能贷款应用中，需要依赖行内外数据对客户准入资质进行判断，通过行内统一的数据交换平台与多家外部数据通过专线进行数据交互，同时调用入参最小化，通过必要信息与厂商数据进行匹配，采用加签验签的方式保障数据安全。在数据应用时，通过特征工程规避掉对基础指标的使用，降低数据和模型风险，目前正成立专项课题研究在保证应用效果的前提下进行信息和机器学习模型的隐私保护研究。此类大数据合作及创新应用都需要标准化体系及规范来指导其建设和服务。

建立安全技术规划增强保障能力。个人信息保护，除了依靠制度流程和安全意识教育进行“人防”，还体现在数据安全保护技术和工具的“技防”上。按照Gartner DSG数据安全保护技术建议，数据安全保护技术和工具至少包括IAM、数据脱敏、数据防泄漏、数据加密、数据库审计、数据库防火墙、数据库运维管理、用户行为分析、数据资产梳理等。四川省联社将数据安全防护技术和工具的需求规划纳入了IT架构规划蓝图，识别其建设优先级并逐步完善。目前正在全面推进实施安全云桌面，覆盖能接触大量个人信息的关键岗位，同时正在建设数据防泄漏、数据脱敏工具、自助机具安全加固工具，从数据的传递、存储、使用环节进行强管控。

加强网络安全边界防护。随着金融科技快速发展，线上业务增长迅猛，金融互联网应用成为“黑产”“灰产”的攻击重点，在识别自身脆弱性修补漏洞，增强技术保障能力的同时，还应加强网络安全边界防护能力，消除外部安全隐患。网络安全防护体系主要从主动防御、深度检测、纵深防御三方面构建。主动防御方面，建设有漏洞扫描系统主动发现漏洞，并定期组织外部众测和内部渗透，确保及时感知安全事件、深挖系统漏洞隐患；深度检测方面，对互联网应用进行7×24防钓鱼防仿冒监测及处置，2020年共发现手机银行App蜀信e钓鱼网站189个，监测仿冒App9个，IDS入侵检测高危攻击事件88起；纵深防御方面，建设有安全态势感知平台，对所有网络流量进行实时监测，引入威胁情报等外部资源，并利用内部多种日志和流量信息，进行关联分析，可发现数据被外部大量下载或爬虫抓取的行为，结合安全运营机制及时进行应急处置。安全态势感知平台仅一周内就监测到外部威胁事件近2000个，攻击类型和攻击链路也是多种多样。

伴随着疫情对全社会的影响以及新兴技术的发展，金融行业面对的挑战也在逐步加大，应该认识到合理采集、利用个人信息无原罪，但是在以数据流动、信息共享为标志的经济新生态中，个人信息资源的开发与利用和信息时代下非法使用个人信息侵犯个人隐私之间的冲突不可避免。如何兼顾保护与利用、安全与发展的双重价值，对银行机构而言，就是以制度为准绳，以技术为保障，加强内控，严防外侵，在国家法律法规及监管要求下，死守安全底线达成相容共生。

作者官元军系四川省联社信息科技中心副总经理

●四川农信改革取得新突破！绵阳农商银行开业

●四川农信诞生“领头雁”！绵阳农商银行创立大会暨股东大会第一次会议顺利召开