【IT168资讯】客户信息泄露，对于金融行业来说，相当敏感。银监会及央行等主管机构，也曾下文强调这方面的工作。但“3.15”上曝光的事件，仍旧让相关单位蒙受了声誉上的损失，更是让其股价应声下跌。事实再一次说明，要有效保护客户信息，就要将信息安全审计工作落到实处，强化体制、预防为先。

　　暴利滋生，个人信息黑色产业链

　　我们认为正是存在恶意利用个人信息的不正当行为，才导致该产业存在着一个环环相扣的利益链条。而其中的暴利，就诱使少数个人铤而走险，从组织内部非法获取信息，进行牟利。在这一黑色产业链中存在诸多利益活动，并涉及到各方面的利益团体。下图是简要的利益链条活动关系图：

▲图1 个人信息泄露与信息买卖经济利益链条

　　从该图中，我们看到不同活动中的利益团体是不同的，一般包括：

• 　　 客户信息的持有者，例如：银行、保险、房地产、汽车经销商等大中型企业。
• 　　 非法获得信息者，例如：网络黑客、各企业从业人员、外包客服企业、中介企业等，如利益链条中的。
• 　　 利用收集、传播信息牟利者，例如：xx公司等从事网上、线下营销的团体。
• 　　 恶意利用信息实施犯罪者，例如：发垃圾邮件诈骗集团、网络钓鱼者、盗取网银账号犯罪集团、网络水军等。

　　上述利益团体分工明确，传播手段多样，其中典型的传播谋利活动，例如：

• 　　 直复营销：反馈式邮件销售、手机广告销售、电话营销、企业名录销售、在线信息销售、在线商业资料库销售
• 　　 数字营销：电子邮件销售、网络销售、移动销售、公关活动

　　综上，这一系列利益链条、利益团体、典型的信息传播谋利活动的出现，导致个人信息泄露事件不断爆发，可见，个人信息保护形势日趋严重，个人信息保护行动已经迫在眉睫。

　　防范泄露，业务和系统双管齐下

　　针对个人信息泄露的事件，中国人民银行和中国银监会已经出台了多项管理政策，加强行业内的安全管理与自查，根据主管机构的相关精神，绿盟科技经过长期实践和总结，推出了一套针对金融行业的个人信息保护安全建设咨询服务。在服务体系的建制过程中，安全专家提出信息安全中的攻与防、泄露与保护、破坏与建设是一对长期存在，魔道相争的关系，从理论的层面上讲，是应当要建立长效的、纵深的、持续提升的、基于风险的安全体系保障各行业、各系统的信息安全。

▲图2 个人信息保护安全建设体系

　　所以，从金融行业资金运作环节方面，我们建议：

• 　　 最终用户：应提高个人信息安全保护意识，积极防范各类信息泄露和欺诈，特别需加强网上购物及交易安全防范意识;
• 　　 企业经营者：应加快建设企业内部个人隐私保护、敏感信息防护、数据防泄密等数据安全体系，担负起企业应尽义务，承担企业社会责任;
• 　　 信息实名制行业：应大力加强行业自律、提高行业整体人员职业操守。同时，制定、创新符合本行业特性、切实可行的技术控制手段，防范内部作案风险，如互联网新浪微博、淘宝等;
• 　　 各行业监管部门：应落实合规制度要求，加强对行业内外风险监控、特别对内部作案事件严查死守，严厉打击，将行业内部合规检查精细化、标准化、常规化;
• 　　 国家司法机关：进一步完善国家法律法规，将个人信息买卖等违法行为相关条例细化，出台针对性强、可操作性强的相关条例、司法解释及说明，推动我国个人隐私、信息保护方面的法制化进程。

　　从信息系统管理的角度，我们建议应当尽快建立各相关企业，特别是银行、保险、电信行业的个人信息防护安全体系。根据当前安全行业在个人信息保护方面的非常好的实践相关企业可以依照以下的路线图展开个人信息的安全保护：

• 　　 识别开：相关企业应首先识别自己业务系统中全部的敏感的个人信息，并分类定级，以便于针对性地采取保护措施;
• 　　 管理全：尽快出台管理措施，加强对企业内部人员的管理与控制，提升个人信息保护的防范意识，只有管理到位才能收到实效;
• 　　 防护住：通过加密、认证、访问控制、截断威胁路径等技术手段防止个人信息的泄露;
• 　　 监测出：能够通过监控手段，发现异常的信息传播，以便及时采取控制措施防止进一步影响和损失的扩大;
• 　　 追踪到：通过安全审计措施，使得一旦出现个人信息从本企业泄露的事件，可以通过追查日志记录能够发现泄密者，追踪非法行为以便进行严厉的惩办。

　　综合评估，技术和管理加强审计

　　遵照以业务为核心、以技术为支撑、以管理为保障、以急用先上为原则的方案架构，在对某金融行业的客户进行个人信息保护的建设项目中，绿盟科技个人信息保护安全建设咨询服务，分别从五个方面进行客户信息风险评估，并对评估后的状态，给出具体和可执行的防护措施：

　　第一、个人信息保护专项整治

　　专门采取应对当前时期的专项应急措施，其中包括：系统中添加客户警示语、采用下一代令牌、监控钓鱼网站、对用户登录的IP进行地域的限制以及专项黑名单机制的实现。

　　第二、安全技术防护方面

　　针对个人信息保护的问题，加强物理层、网络层、系统层、应用层的安全防护，依据分区域、按等级、多层次的防护思想进行了安全规划、安全评估、安全加固与安全维护，贯彻预警、防御、监测、恢复的多重安全保护的技术策略，沿着威胁攻击的路径部署了安全措施。

　　第三、安全技术增强部署

　　对过去已有的安全技术实施进行改进与增强，其中进行改进的方面包括密码算法、加密方式、U盘管理、统一认证与集中审计(绿盟SAS产品)等技术机制;并考虑实施适用于新安全形式的安全技术手段包括数字水印技术、数据模糊化技术等。

　　第四、基于业务的客户敏感信息保护增强

　　首先对业务系统中的客户信息进行了识别、分类、定级;然后通过业务分析梳理了数据流程;进行了受攻击面分析和威胁建模;最后通过综合风险评估形成了业务保护方案，并在业务系统中全面落实实施。

　　第五、安全管理体系建设

　　安全管理体系建设过程是依据风险的原则，分析客户信息安全管理面临的威胁与管理自身的脆弱性，然后通过体系化、制度化、流程化、表单化和信息化的方法全面完善内部管理，并进一步与系统管理体系有机的融合，形成了面向信息保护的安全管理体系。

　　经过上述五个方面的建设，绿盟科技推出的个人信息保护安全建设咨询服务，已经能够全方位地解决企业对于个人信息的识别、管理、防护、监测和追踪等各方面的安全问题，能够使客户个人信息保护方面的安全水平得到全面的提升。

　　作为专业的安全厂商，绿盟科技长期以来致力于企业级敏感信息保护课题的研究，已经形成了比较成熟的基于业务安全评估与整体信息保护的建设方案，并且在金融、电信等重要系统得到了很好的应用。