銀行卡個人資訊在網上被隨意倒賣，從起因看都是“內鬼”惹的禍，但事件背後反映出銀行內部安全意識淡薄的管理漏洞。解決個人資訊洩露問題，銀行及相關企業要加強自身防範意識，並輔以嚴格的管理，使用先進的安保技術，從根本上建立防範機制

　　多家媒體近日報道，銀行卡個人資訊在網上被隨意倒賣，每條價格從2分錢到1角錢不等。銀行方面表示，倒賣這些數據的主要是相關業務主管或者能直接拿到數據庫的統計人員，對“內鬼”並沒有太多辦法，基本上靠道德約束。隨著網際網路和移動網際網路生態的逐漸豐富，除了銀行之外，包括地址、賬戶、個人資料等在內的核心資訊，被消費者越來越多地在網上留存。銀行真的對“內鬼”盜竊數據無計可施嗎？用戶資訊安全果真如此脆弱？《經濟日報》記者對網際網路安全專門進行了訪問，在他們看來，防範“內鬼”，不是做不到，而是缺乏安全意識。

　　防範“內鬼”有計可施

　　“銀行及相關企業員工泄密確實是目前用戶資訊洩露的主要途徑之一。”網際網路安全廠商360網路攻防實驗室負責人林偉告訴《經濟日報》記者，他曾經訪問過一系列網上以“數據交換”為名的論壇和QQ群、微信群，“裏麵包括某銀行存款1000萬元以上的VIP客戶資訊，或者某地區運營商客戶的個人資料，這些都很容易就能買到，應該都是來自於員工泄密。”除此之外，用戶數據洩露的來源還包括駭客攻擊和第三方合作商戶泄密。

　　“從技術上來看，‘內鬼’可以防範。”林偉認為，“企業安全防護一個重要理念是‘一切都不可靠’，員工不可靠，安全工程師同樣不可靠，要運用技術手段來解決‘人的問題’。方法一是需要對所有員工的行為進行監控和記錄，並且至少要保留半年以上時間，以便發現問題可以追溯。方法二是在數據儲存上，進行加密和拆分，加強保密強度。”

　　此外，防範“內鬼”，也需企業對員工許可權進行嚴格控制。網際網路安全廠商瑞星安全專家唐威認為，“洩露數據，需要的是掌握數據的許可權，這包括打開、複製、修改、發送和分享等一系列許可權，這些都可以通過技術手段加以限制。”在媒體報道中，有銀行人士表示，其信用卡資訊及個人理財資訊平時為了安全都是用隨身碟拷走，個人隨身碟需要及時清理，從來不經過郵件來回傳遞。對此，唐威説，“就拿隨身碟拷貝數據這件事來説，首先，在硬體上，對於安全性要求極高的關鍵設備就不該有諸如USB介面之類的出口。其次，可以設置員工許可權，甚至可以細化到只允許插入經過企業安全認證的隨身碟。對有許可權的人，技術上依然可以配置監控和報警系統。”

　　加強安全防範迫在眉睫

　　銀行內部會出現對“內鬼”沒辦法的想法，在林偉看來，根本上是企業缺乏安全意識的體現。“大部分企業並不關注網路安全，有些企業雖然關注，但缺乏進行恰當防護的能力。”正因如此，近期包括12306、中國聯通等企業在內，一系列用戶數據洩露事件先後發生。

　　在網際網路安全專家看來，企業資訊安全水準的提升，一方面要靠安全意識的加強，另一方面則要建立一整套安全制度，“否則只能遇到一個問題解決一個問題，永遠在亡羊補牢。”唐威説。在他們看來，安全制度的建立目前主要有兩種方案，一是企業自己聘請專業的安全人員，産品自己開發；二是使用外來的産品。“兩種方法各有利弊，不過，第三方廠商在網路安全、數據安全和主機安全上各有所長，最好使用專業的評估和諮詢公司，找到各領域內最適合企業情況的解決方案。”林偉説。

　　此外，從整個資訊安全行業來看，目前市場激烈競爭，安全廠商競相壓價、爭取客戶的“價格戰”，也為安全埋下隱患。