基于实证的银行信息安全问题防范研究论文.doc

基于实证的银行信息安全问题防范研究论文 银行信息安全问题不仅关系到商业银行自身的声誉和发展同时也关系到整个金融环境和社会环境的安全与稳定为此本文结合问卷调查对银行泄密的动机、愿意以及信息安全的改善建议三个主要问题为调查对象通过收集问卷调查结果并分析为银行信息安全问题防范进行分析与研究 一、引言 银行信息安全问题不仅关系到商业银行自身的声誉和发展同时也关系到整个金融环境和社会环境的安全与稳定近年来随着科技的发展和银行各项业务的陆续开办网络银行账户、手机号码、身份证号码等银行客户重要个人信息泄露、滥用的问题已经成为了一个令人堪忧的社会和经济问题对公民的人身、财产安全和个人隐私构成了严重威胁近日据中国新闻网报道我国已发行超过4亿张信用卡每年通过信用卡交易的资金总额超过13万亿元在多数人对其安全性抱有较大信心的同时银行信用卡客户数据泄露现象却颇为严重银行客户个人信息由于具有数量大、种类多、内容全、可靠的特点已成为不法分子重点窃取的目标因此随着银行客户信息案件的激增如何保护银行客户个人信息问题已经成为商业银行亟需解决的问题中国人民银行副行长刘士余在十一届全国人大五次会议新闻中心记者会时就提出银行在客户信息保密、隐私保密方面确实有很多方面需要改进这已经纳入金融消费者权益保护的重要范畴而从监管和立法层面对这一问题进行解决不让不法分子有机可乘已经日益成为银行客户个人信息安全保护的重中之重 基于以上实际情况笔者首先结合国内外研究文献成果进行分析了解到导致商业银行泄密的主要动力在于三个方面：第一银行操作系统、软硬件设备本身的原因；第二是银行为了商业推广的需要；第三银行为了商业利益而泄密客户信息但这三大主导原因具体情况怎样却需要实地调研进行确定为此笔者通过设计问卷对商业银行信息安全问题进行预防研究 二、问卷调查及数据整理结果 1、调查问卷设计 为了使得本研究更具针对性针对商业银行信息安全问题笔者从安全问题导致的原因以及客户面对安全问题时的态度以及对信息安全问题的解决措施的建议方面设计了一套调查问卷并在笔者研究地域上海市进行了抽样问卷调查 2、调查方式 为节约工作组的调查时间也为了获得的调查结果更具针对性在本文的调查中我们将借助当今迅猛发展的网络技术在QQ、微信等网络热门工具中发布调查问卷同时在论坛、微吧中建立相关版块讨论收集来自于更为全面的信息和建议 3、问卷调查结果 本次在QQ、微信等热门工具中共发放调查问卷510份其中有效调查问卷503份因本文集中关注调查问卷中的问题4、5、6（什么类型的信息安全客户面对信息安全的态度以及对信息安全的改善建议）为此笔者仅仅对这三个问题的结果进行收集 对于问题4：从上表的调查结果显示在503份有效问卷中有229人认为银行是为了商业推广的目的而进行信息的泄密有167人认为银行是为了谋求商业利益而进行信息泄密有67人认为是银行软硬件系统固有的问题以及安全隐患导致银行被动的泄密最后也有40人认为是其他方面的原因导致银行泄密我们将这组数据进行百分比转化为：为谋取商业利益泄露客户信息占33、21%；进行商业推广占45、49%；由于软硬件设备、操作系统网络等系统因素而导致信息泄密则占13、3%；其他占约8%左右 对于问题5：根据上表可知打电话向银行有关部门反映人数为73；向银监会反映人数为41；换一家银行占人数为106；忍气吞声的人数为248；向金融消费者协会反映的人数为20；采用其他方式的人数为15将这组数据转化为百分比为：打电话向银行有关部门反映占14、47%；向银监会反映占8、23%；换一家银行占21、1%；忍气吞声占49、25%；向金融消费者协会反映占4、05%；其他占2、9% 对于问题6：根据调查结果可知被调查者希望银行采取的应对措施也不相同其中希望加强关键岗位人员的任职管理从源头上遏制信息泄露的人数为187希望建立定期的系统测试与维护发现并消除安全漏洞的人数为163希望建立严格的内控制度绝不姑息泄露信息行为的人数为63希望加强宣传教育提高客户警惕性的的人数为90将这组数据转化为百分比为：希望加强关键岗位人员的任职管理从源头上遏制信息泄露的占37、61%希望建立定期的系统测试与维护发现并消除安全漏洞的占32、39%希望建立严格的内控制度绝不姑息泄露信息行为的占12、6%希望加强宣传教育提高客户警惕性的占17、4% 4、银行信息泄密问题的原因分析 从问题4的调查结果来看银行泄密的主要原因在于商业推广其次为商业利益的谋求最后才是系统软硬件本身的原因以及其他目的；这个问题的调查结果说明银行为了商业推广的需要才是信息泄密最大的动机若向杜绝信息泄密事件的出现就需要处理好信息的商业推广的宣传工作 从问题5的调查结果来看当面对泄密这个问题忍气吞声的人数占据近一半采取维权行为的人数很少说明人们面临银行泄密这一问题维权意识并不强 从问题6的调查结果来看有近七成的人员认为银行应该从自身的管理模式上进行革新尤其强化对关键岗位的管理同时也要加强对银行软硬件系统的测试提高系统的安全性最后才是强化教育以及建立内部严格的控制制度对泄密行为严惩不贷 三、银行信息安全的预防策略建议 1、完善法规强化政策的执行力国1976年颁布的联邦数据保护法、美国1976年颁布的隐私权法等我国虽然高度重视银行泄密现象与银行信息保密制度在商业银行法、储蓄管理条例、中国银监会关于进一步规范信用卡业务的通知等法律法规、规章中对银行在客户身份资料、交易信息等方面的保密义务作出了规定但跟国外相比最大缺陷是缺少针对客户个人信息保护的专业的法律保护为此我国需要出台针对个人信息保护的法律法规完善法规并严格的执行法律法规的完善能够从法律层面给于保障但我们仍然要强调法律法规的执行力当前我国政府、地方法规执行不力的现象普遍存在如何让国家层面的法律法规有效的执行也是值得思考的问题本文认为提高法律法规的执行力需从两个方面展开一方面在国家层面制定的法律法规框架下各个地域要结合自身的实际情况制定具体法律法规的实施细则建立涵盖国家宏观层面、地方微观层面的法律法规体系从法律层面上做好银行信息安全的保护的机制体制；另一方面需强化银行信息安全保护的监督检查机制本文认为在互联网+的今天银行可以借助自身的云平台从计算机系统层面辅助实地的监督、检查银行信息系统的云平台能够对银行每一笔资金的交换、每一笔信息的流通、传递做好备份记录通过这种较为完善的信息系统只要有人进行了银行信息的泄密必然会留下证据通过对银行云平台存储数据的调用能够找出什么人、什么原因调用这些数据这些泄密的数据最终存储到那台设备中通过数据路径的追踪能及时查找出信息泄密者并找出信息泄密的证据为追究及严惩不法分子做出贡献 2、倡导银行建立自律公约强化对信息的保护如四川省银行业协会47家会员单位共同签订自律公约公开承诺严格遵守保护客户隐私权的相关规定不以任何形式擅自对外泄露或披露客户个人信息资料引起良好的社会反响本文认为这种倡导活动值得宣扬与发展但考虑到各个地域的银行实际情况不一样为此单一的自律公约实行起来就要因地制宜如我国东部发达国家全面素养较高在这种高素质的群体中采取这种自律公约的方式笔者认为有待商榷依据心理学原因采取这种方式本就向本行员工宣贯银行机构对员工不信任的态度潜意识认为每个员工都有泄漏银行信息的可能性这样自律公约一出台可能会给人们的心中造成不利的影响本文并不宣扬人的综合素养有等级的分别但认为各个地区要结合自身的实际情况有选择的使用这种方式 3、督促商业银行完善信息保护的内部管理制度并向客户声明督促各银行将覆盖信息采集、处理、传输、维护的全流程管理纳入商业银行风险管理过程明确信息泄露风险控制点及时更新防火墙、身份识别认证数字签名等网络安全监控技术防止恶意窃取客户信息的行为本文以防火墙设置为例一般银行系统中使用的硬件防火墙这样能够使得银行信息系统具有较高的安全性能可以对不安全的信息类型进行很好的过滤从而降低信息安全的风险如只有管理员通过认证后的应用协议才能通过银行防火墙且防火墙的应用广泛的分布在各个主机上不仅经济、而且便捷同时防火墙能够记录下这些访问的信息并做好日志记录甚至后台能够对这些数据进行统计分析当有可疑的动作出现时防火墙能够给进行适当的报警除此以外在系统运行中收集网络的使用以及误用数据也非常的重要而这些工作的开展首要的是防火墙是否能够接收及抵挡住攻击者的供给并且能够清楚的知道防火墙使得控制的充足 4、强化外包管理和第三方控制建立明确的外包业务信息保密措施和监督要求避免第三方信息泄露给银行造成连带责任四是要加强关键岗位人员任职管理从源头上遏制信息泄露管理客户信息的岗位应视为重要工作岗位工作期间接触或处理客户信息要保证双人在岗、双人认证、双人签字 5、关于软硬件设备、操作系统网络等系统因素的问题建议：一是银行应建立定期的系统测试与维护制度及时发现并消除IT系统安全漏洞目前银行系统多采用外包形式有效提高了系统的稳定性与安全性但信息技术不断升级进步没有一个系统是绝对安全而没有漏洞的因此各商业银行要加大对信息前沿技术的关注度对网上xx论坛进行监测定期用一些恶意软件对系统进行测试即使发现问题进行维护；二是要培育专业的IT审计队伍提升IT系统统计的精准度 6、为更好的保护银行信息安全本文认为可在银行内部组建信息安全预防小组从几个方面展开工作：首先要强化对银行内部员工的技能及安全意识的培训使得员工从行为意识上认识到银行信息安全关乎到自身以及银行的切身利益；其次银行领导也要充分认识并重视银行信息安全工作并将组建的信息安全小组纳入到更高的层次提高防范小组的地位以及权利这样会更加利于银行信息安全监督检查工作的开展；第三银行信息安全小组要定期以及不定期的召开会议对上一周期收集的问题及反馈的问题进行详细的讨论及分析研究新的安全防范技术；第四虽然信息安全是防范小组的主要工作但这并不是说银行其他部门就忽视信息安全工作相反各部门也要充分认识及重视这项工作同时也要为信息安全小组工作的开展提供尽可能的便利在银行内部树立起信息安全关乎每一位员工的企业文化氛围将信息安全工作纳入到每一位员工的心中彻底杜绝银行信息安全泄密行为的出现除此以外强化银行各部分各岗位的信息安全职责计算机信息安全关乎到银行以及每一位客户的利益各部门要强化信息安全的职责各部门因工作岗位的差异对计算机的操作也是具有不同的项目为此为做好各个岗位的信息安