國慶福利:金融行業信息泄露防護錦囊!
發布時間 2018-09-29總是以不同的面目出現
在你不經意間
給你致命的一擊
請看下面一些活生生的例子


……
所以
對企業來講
信息泄露等同于

想想這是一件很可怕的事情,因為信息泄露帶來的后果,對金融企業來講無疑都是災難式的打擊。
信息泄露背后的犯罪動機
泄露的數據
通常用于買賣獲取利益
那么數據
為什么會值錢呢?
● 售賣用戶賬號中的虛擬貨幣、游戲賬號、裝備等獲得利益;
● 對于金融類賬號,比如:支付寶、網銀、信用卡、股票的賬號和密碼等,則可以用來進行金融犯罪和詐騙;
● 對于一些比較特殊的用戶信息,如:學生、打工者、老板等,則會通過發送廣告、垃圾短信、電商營銷等方式變相獲利;
● 獲取企業信息,用來劫持企業帳戶、開展網絡釣魚攻擊等,影響企業在公眾中的威望和信任度。
信息泄露分析的數據來源
非法分子感興趣的數據有哪些?
更愿意對哪些數據數據下手?
對此,我們搜集了
已經流通在市場上的大量數據資料,
作為分析支撐
主要的搜集渠道及部分數據如下:
● GoogleHack技術搜集

● Github腳本自動獲取泄露數據信息

● 爬蟲爬取國內/國外金融類安全數據泄露事件新聞資訊信息

● 各類社工網站獲取

由上述網絡數據顯示:
數據泄露事件的主要根源中,
47%的事件涉及惡意或犯罪行為;
25%是由于員工或承包商疏忽(人為因素);
28%涉及系統故障,包括IT和業務流程故障。

信息泄露的原因
1. 信息技術管理的關鍵環節存在短板,外包第三方疏于管理
● 信息技術管理的關鍵環節存在諸多短板,如信息科技人員配備不足、電子銀行系統存在漏洞等問題;
● 銀行對外包人員行為控制不嚴,部分外包人員在為銀行提供服務時可能發生客戶信息泄密,使銀行面臨嚴重的信譽風險和法律風險等。
2. 金融客戶的自身安全意識淡薄,資料保管不謹慎
● 客戶在進行網上銀行業務操作時,風險防范意識不強。如密碼設置簡單、輕信不明號碼發送的短信等;
● 是對印有個人重要信息的資料管理不謹慎,為不法分子獲取私人信息提供了可乘之機。
3. 形式多樣的網絡詐騙手段
● 搭建免費wifi陷阱,引誘受害人接入,竊取受害人在手機上使用過的銀行卡信息;
● 散播隱藏木馬的圖片、鏈接或惡意應用程序(APP),控制受害人手機或電腦,竊取手機和電腦中使用過的銀行卡信息;
● 冒充公檢法、銀行等發送詐騙短信,誘使受害人點擊短信中的詐騙鏈接登錄釣魚網站,輸入銀行卡信息。
4. 行業信息保護機制不完善,違規成本低廉
● 客戶信息保護制度不健全;
● 內部問責制度缺失。
啟明星辰金融技術中心的安全專家,在第一時間做出針對國內各大銀行、證券交易機構的數據泄露分析,讓客戶了解到目前的數據泄露生態,以及有效的防護方法。
信息泄露的防護方法
● 文檔加密:幫助互聯網金融企業對用戶、業務數據進行加密保護,同時對加密數據使用權限時行規范,防止無關人員查看。
● 終端操作管控:對文檔、設備、郵件、應用程序、網頁瀏覽等操作進行管控,幫助互聯網金融企業規范終端行為,防范終端安全風險。
● 操作行為審計:對終端各類操作行為進行記錄和審計,發現風險以及對泄密行為進行有效追溯。
● 終端敏感內容識別:通過敏感內容識別技術,對擁有商業價值的數據進行重點保護,最大程度削減數據管理的成本。
● 重要文檔備份:把文檔存儲到特定的地方進行管理保護,幫助解決企業文檔管理難、容易損壞和丟失的難題。
● 終端準入管理:實行嚴密身份驗證,防止非授權計算機對指定網絡進行非法訪問,避免計算機脫離IP-guard管控。
● 資產運維管理:幫助互聯網金融企業對所有計算機進行管理和維護,及時修補系統漏洞,減少網絡安全風險。