城市商业银行如何采取信息化技术防止数据泄露

近年来，各类型数据泄露事件接二连三爆发，互联网、运营商、银行、制造业等各行业企业中都有失蹄者，其中银行业更是数据泄露事件的重灾区。如何通过信息化方式帮助城市商业银行远离不合规或数据泄露风险是日前召开的“第九届中国区域性商业银行信息化发展战略高峰年会”的核心议题之一。

对比各大国有银行、股份制银行以及外资银行等金融企业，我国的城市商业银行发展较慢，信息化起步也较晚，但是他们所面对的网络威胁环境却是相似的。高级持续攻击(APT)、先进的恶意软件，针对性攻击不断泛滥，伴随云安全以及日益升级的移动安全问题一同严重地冲击着现代企业的安全防线。而且在大型银行不断升级安全防护水平的同时，不少黑客已经将视线投向了可能较容易被攻击的城市商业银行。众所周知，银行中的数据敏感度极高，一旦产生数据泄露事件其所受到的影响和损失必将是巨大的，同时监管部门的处罚也会非常严厉。所以，在当前的环境下，防止数据泄露俨然已经成为了城市商业银行发展过程中保持竞争力需应对的关键难题之一。

同时，保护数据安全也是监管部门在商业银行合规性条款中对所有银行的要求。目前中国商业银行GRC(信息治理、信息风险和信息法规遵从)需要满足的合规性要求有《商业银行信息科技风险管理指引》、《企业内部控制基本规范》、《中央企业商业秘密保护暂行规定》、《个人信息保护法》、《信息安全等级保护》等。

面对内外双重压力，加强安全防护系统并且部署适当的数据泄露防护(DLP)产品应该是城市商业银行最佳的应对决策之一。作为安全行业资深人士，Websense中国区总经理穆军提出了自己的建议，他认为，一个好的数据泄露防护产品不仅应提升企业安全性，同时还能为企业实现以下价值：

– 改善内部管理 数据防泄漏项目不仅仅是一个数据安全保护项目，同时也是一个信息安全风险控制项目。通过数据防泄漏的平台搭建，一是可以有效保障数据安全管理制度的落地，同时也可以对数据安全管理制度进行重新梳理，通过实际环境的运行进一步发现制度中存在的各种问题

– 提高客户满意度 目前客户越来越重视私人信息的机密性，随着公司业务的不断拓展，客户信息越来越多的集中到数据中心以及相关的业务平台，如果通过数据防泄漏体系能够有效保护客户的私人信息，不但使公司兑现了不泄漏客户信息的承诺，也可以大大提升公司在客户心目中的形象以及同行业中的领先地位

– 有效增加投资回报 Forrester公司曾经在全球范围内做过统计，数据泄漏的代价多少不一，主要是取决于数据的重要性以及公司的规范性。以金融行业为例，数据泄漏事件对于公司直接反映出的损失就是企业客户的流失、公司信誉的下降，而间接反映出的就是公司业务受损，因此通过数据防泄漏体系有效控制和降低数据泄漏的风险，其实间接地为企业提高了投资回报

– 满足国家/监管部门法令法规 已有的最佳实践和策略, 可以帮助快速实施全球化、行业性的法规遵从;DLP可以减少与法规遵从相关的直接成本, 使审计更容易, 同时减少违规的风险

穆军认为，在多起银行业数据泄露案例中，内部员工的恶意行为和粗心行为才是造成数据泄露的罪魁祸首。在防止非技术层面的数据偷窃行为时，一方面是加强对敏感数据的可视性，另一方面也需要银行加强对员工的管理和教育。