基于实证的银行信息安全问题防范研究

　　银行信息安全问题不仅关系到商业银行自身的声誉和发展，同时也关系到整个金融环境和社会环境的安全与稳定。为此本文结合问卷调查，对银行泄密的动机、愿意以及信息安全的改善建议三个主要问题为调查对象，通过收集问卷调查结果并分析，为银行信息安全问题防范进行分析与研究。

　　一、引言

　　银行信息安全问题不仅关系到商业银行自身的声誉和发展，同时也关系到整个金融环境和社会环境的安全与稳定。近年来，随着科技的发展和银行各项业务的陆续开办，网络银行账户、手机号码、身份证号码等银行客户重要个人信息泄露、滥用的问题，已经成为了一个令人堪忧的社会和经济问题，对公民的人身、财产安全和个人隐私构成了严重威胁。近日，据《中国新闻网》报道，我国已发行超过4亿张信用卡，每年通过信用卡交易的资金总额超过13万亿元。在多数人对其安全性抱有较大信心的同时，银行信用卡客户数据泄露现象却颇为严重，银行客户个人信息由于具有数量大、种类多、内容全、真实可靠的特点，已成为不法分子重点窃取的目标。因此，随着银行客户信息案件的激增，如何保护银行客户个人信息问题已经成为商业银行亟需解决的问题。中国人民银行副行长刘士余在十一届全国人大五次会议新闻中心记者会时，就提出银行在客户信息保密、隐私保密方面确实有很多方面需要改进，这已经纳入金融消费者权益保护的重要范畴。而从监管和立法层面对这一问题进行解决，不让不法分子有机可乘，已经日益成为银行客户个人信息安全保护的重中之重。

　　基于以上实际情况，笔者首先结合国内外研究文献成果进行分析，了解到导致商业银行泄密的主要动力在于三个方面：第一，银行操作系统、软硬件设备本身的原因;第二是银行为了商业推广的需要;第三，银行为了商业利益而泄密客户信息，但这三大主导原因具体情况怎样，却需要实地调研进行确定，为此，笔者通过设计问卷，对商业银行信息安全问题进行预防研究。

　　二、问卷调查及数据整理结果

　　1.调查问卷设计

　　为了使得本研究更具针对性，针对商业银行信息安全问题，笔者从安全问题导致的原因以及客户面对安全问题时的态度以及对信息安全问题的解决措施的建议方面设计了一套调查问卷，并在笔者研究地域——上海市进行了抽样问卷调查。

　　2. 调查方式

　　为节约工作组的调查时间，也为了获得的调查结果更具针对性，在本文的调查中，我们将借助当今迅猛发展的网络技术，在QQ、微信等网络热门工具中发布调查问卷，同时在论坛、微吧中建立相关版块讨论，收集来自于更为全面的信息和建议。

　　3.问卷调查结果

　　本次在QQ、微信等热门工具中共发放调查问卷510份，其中有效调查问卷503份，因本文集中关注调查问卷中的问题4、5、6(什么类型的信息安全，客户面对信息安全的态度以及对信息安全的改善建议)，为此笔者仅仅对这三个问题的结果进行收集。

　　对于问题4：从上表的调查结果显示，在503份有效问卷中，有229人认为银行是为了商业推广的目的而进行信息的泄密，有167人认为银行是为了谋求商业利益而进行信息泄密，有67人认为是银行软硬件系统固有的问题以及安全隐患导致银行被动的泄密，最后也有40人认为是其他方面的原因导致银行泄密。我们将这组数据进行百分比转化为：为谋取商业利益泄露客户信息占33.21%;进行商业推广占45.49%;由于软硬件设备、操作系统网络等系统因素而导致信息泄密则占13.3%;其他占约8%左右。

　　对于问题5：根据上表可知，打电话向银行有关部门反映人数为73;向银监会反映人数为41;换一家银行占人数为106;忍气吞声的人数为248;向金融消费者协会反映的人数为20;采用其他方式的人数为15。将这组数据转化为百分比为：打电话向银行有关部门反映占14.47%;向银监会反映占8.23%;换一家银行占21.1%;忍气吞声占49.25%;向金融消费者协会反映占4.05%;其他占2.9%。

　　对于问题6：根据调查结果可知，被调查者希望银行采取的应对措施也不相同，其中希望加强关键岗位人员的任职管理，从源头上遏制信息泄露的人数为187，希望建立定期的系统测试与维护，发现并消除安全漏洞的人数为163，希望建立严格的内控制度，绝不姑息泄露信息行为的人数为63，希望加强宣传教育，提高客户警惕性的的人数为90。将这组数据转化为百分比为：希望加强关键岗位人员的任职管理，从源头上遏制信息泄露的占37.61%，希望建立定期的系统测试与维护，发现并消除安全漏洞的占32.39%，希望建立严格的内控制度，绝不姑息泄露信息行为的占12.6%，希望加强宣传教育，提高客户警惕性的占17.4%

　　4.银行信息泄密问题的原因分析

　　从问题4的调查结果来看，银行泄密的主要原因在于商业推广，其次为商业利益的谋求，最后才是系统软硬件本身的原因以及其他目的;这个问题的调查结果说明银行为了商业推广的需要，才是信息泄密最大的动机，若向杜绝信息泄密事件的出现，就需要处理好信息的商业推广的宣传工作。

　　从问题5的调查结果来看，当面对泄密这个问题，忍气吞声的人数占据近一半，采取维权行为的人数很少，说明人们面临银行泄密这一问题，维权意识并不强。

　　从问题6的调查结果来看，有近七成的人员认为银行应该从自身的管理模式上进行革新，尤其强化对关键岗位的管理，同时也要加强对银行软硬件系统的测试，提高系统的安全性，最后才是强化教育以及建立内部严格的控制制度，对泄密行为严惩不贷。

　　三、银行信息安全的预防策略建议

　　1.完善法规，强化政策的执行力。国1976年颁布的《联邦数据保护法》、美国1976年颁布的《隐私权法》等。我国虽然高度重视银行泄密现象与银行信息保密制度，在《商业银行法》、《储蓄管理条例》、《中国银监会关于进一步规范信用卡业务的通知》等法律法规、规章中对银行在客户身份资料、交易信息等方面的保密义务作出了规定。但跟国外相比，最大缺陷是缺少针对客户个人信息保护的专业的法律保护，为此我国需要出台针对个人信息保护的法律法规，完善法规并严格的执行，法律法规的完善能够从法律层面给于保障，但我们仍然要强调法律法规的执行力，当前我国政府、地方法规执行不力的现象普遍存在，如何让国家层面的法律法规有效的执行，也是值得思考的问题，本文认为，提高法律法规的执行力需从两个方面展开，一方面在国家层面制定的法律法规框架下，各个地域要结合自身的实际情况，制定具体法律法规的实施细则，建立涵盖国家宏观层面、地方微观层面的法律法规体系，从法律层面上做好银行信息安全的保护的机制体制;另一方面需强化银行信息安全保护的监督检查机制，本文认为在互联网+的今天，银行可以借助自身的云平台从计算机系统层面辅助实地的监督、检查，银行信息系统的云平台能够对银行每一笔资金的交换、每一笔信息的流通、传递做好备份记录，通过这种较为完善的信息系统，只要有人进行了银行信息的泄密，必然会留下证据，通过对银行云平台存储数据的调用，能够找出什么人、什么原因调用这些数据，这些泄密的数据最终存储到那台设备中，通过数据路径的追踪能及时查找出信息泄密者并找出信息泄密的证据，为追究及严惩不法分子做出贡献。

　　2.倡导银行建立自律公约，强化对信息的保护。如四川省银行业协会47家会员单位共同签订《自律公约》，公开承诺严格遵守保护客户隐私权的相关规定，不以任何形式擅自对外泄露或披露客户个人信息资料，引起良好的社会反响，本文认为这种倡导活动值得宣扬与发展，但考虑到各个地域的银行实际情况不一样，为此单一的自律公约实行起来就要因地制宜，如我国东部发达国家，全面素养较高，在这种高素质的群体中，采取这种自律公约的方式笔者认为有待商榷，依据心理学原因，采取这种方式本就向本行员工宣贯银行机构对员工不信任的态度，潜意识认为每个员工都有泄漏银行信息的可能性，这样自律公约一出台，可能会给人们的心中造成不利的影响，本文并不宣扬人的综合素养有等级的分别，但认为各个地区要结合自身的实际情况，有选择的使用这种方式。

　　3.督促商业银行完善信息保护的内部管理制度并向客户声明。督促各银行将覆盖信息采集、处理、传输、维护的全流程管理纳入商业银行风险管理过程，明确信息泄露风险控制点，及时更新防火墙、身份识别认证数字签名等网络安全监控技术，防止恶意窃取客户信息的行为。本文以防火墙设置为例，一般银行系统中使用的硬件防火墙，这样能够使得银行信息系统具有较高的安全性能，可以对不安全的信息类型进行很好的过滤，从而降低信息安全的风险，如只有管理员通过认证后的应用协议才能通过银行防火墙，且防火墙的应用广泛的分布在各个主机上，不仅经济、而且便捷，同时防火墙能够记录下这些访问的信息并做好日志记录，甚至后台能够对这些数据进行统计分析，当有可疑的动作出现时，防火墙能够给进行适当的报警，除此以外，在系统运行中收集网络的使用以及误用数据也非常的重要，而这些工作的开展首要的是防火墙是否能够接收及抵挡住攻击者的供给，并且能够清楚的知道防火墙使得控制的充足。

　　4.强化外包管理和第三方控制，建立明确的外包业务信息保密措施和监督要求，避免第三方信息泄露给银行造成连带责任。四是要加强关键岗位人员任职管理，从源头上遏制信息泄露管理客户信息的岗位应视为重要工作岗位，工作期间，接触或处理客户信息要保证双人在岗、双人认证、双人签字。

　　5.关于软硬件设备、操作系统网络等系统因素的问题，建议：一是银行应建立定期的系统测试与维护制度，及时发现并消除IT系统安全漏洞。目前，银行系统多采用外包形式，有效提高了系统的稳定性与安全性，但信息技术不断升级进步，没有一个系统是绝对安全而没有漏洞的。因此，各商业银行要加大对信息前沿技术的关注度，对网上黑客论坛进行监测，定期用一些恶意软件对系统进行测试，即使发现问题，进行维护;二是要培育专业的IT审计队伍，提升IT系统统计的精准度。

　　6.为更好的保护银行信息安全，本文认为可在银行内部组建信息安全预防小组，从几个方面展开工作：首先，要强化对银行内部员工的技能及安全意识的培训，使得员工从行为意识上认识到银行信息安全关乎到自身以及银行的切身利益;其次，银行领导也要充分认识并重视银行信息安全工作，并将组建的信息安全小组纳入到更高的层次，提高防范小组的地位以及权利，这样会更加利于银行信息安全监督检查工作的开展;第三，银行信息安全小组要定期以及不定期的召开会议，对上一周期收集的问题及反馈的问题进行详细的讨论及分析，研究新的安全防范技术;第四，虽然信息安全是防范小组的主要工作，但这并不是说银行其他部门就忽视信息安全工作，相反各部门也要充分认识及重视这项工作，同时也要为信息安全小组工作的开展提供尽可能的便利，在银行内部树立起信息安全关乎每一位员工的企业文化氛围，将信息安全工作纳入到每一位员工的心中，彻底杜绝银行信息安全泄密行为的出现。除此以外，强化银行各部分各岗位的信息安全职责。计算机信息安全关乎到银行以及每一位客户的利益，各部门要强化信息安全的职责，各部门因工作岗位的差异，对计算机的操作也是具有不同的项目，为此为做好各个岗位的信息安全保护，本文认为各岗位的计算机需由使用人定期的更换登录密码，防止因密码泄密导致信息安全事故的出现。

　　7.增强人们的维权意识，坚决与不法行为做斗争，从调查结果可知，面对泄密问题，近一半的人员选择的沉默，这是有这样的人群存在，使得不法行为肆无忌惮，这样维权意识的薄弱也滋生了不法分子的嚣张气焰，为此就需要增强我们的维权意识，目前网络的高速发展，给了我们维权行为提供了很好的平台，我们可以充分利用这个平台并在法律允许的范围内进行合理的维权，给犯罪分子坚决的反击，维护金融市场的健康发展。

　　作者：李春虹?陈俊逸?张宁?莫凡 来源：今日财富 2015年22期