基于實證的銀行信息安全問題防范研究

摘 要：銀行信息安全問題不僅關系到商業銀行自身的聲譽和發展，同時也關系到整個金融環境和社會環境的安全與穩定。為此本文結合問卷調查，對銀行泄密的動機、愿意以及信息安全的改善建議三個主要問題為調查對象，通過收集問卷調查結果并分析，為銀行信息安全問題防范進行分析與研究

關鍵詞：銀行；信息安全；問卷調查；預防

一、引言

銀行信息安全問題不僅關系到商業銀行自身的聲譽和發展，同時也關系到整個金融環境和社會環境的安全與穩定。近年來，隨著科技的發展和銀行各項業務的陸續開辦，網絡銀行賬戶、手機號碼、身份證號碼等銀行客戶重要個人信息泄露、濫用的問題，已經成為了一個令人堪憂的社會和經濟問題，對公民的人身、財產安全和個人隱私構成了嚴重威脅。近日，據《中國新聞網》報道，我國已發行超過4億張信用卡，每年通過信用卡交易的資金總額超過13萬億元。在多數人對其安全性抱有較大信心的同時，銀行信用卡客戶數據泄露現象卻頗為嚴重，銀行客戶個人信息由于具有數量大、種類多、內容全、真實可靠的特點，已成為不法分子重點竊取的目標。因此，隨著銀行客戶信息案件的激增，如何保護銀行客戶個人信息問題已經成為商業銀行亟需解決的問題。中國人民銀行副行長劉士余在十一屆全國人大五次會議新聞中心記者會時，就提出銀行在客戶信息保密、隱私保密方面確實有很多方面需要改進，這已經納入金融消費者權益保護的重要范疇。而從監管和立法層面對這一問題進行解決，不讓不法分子有機可乘，已經日益成為銀行客戶個人信息安全保護的重中之重。

基于以上實際情況，筆者首先結合國內外研究文獻成果進行分析，了解到導致商業銀行泄密的主要動力在于三個方面：第一，銀行操作系統、軟硬件設備本身的原因；第二是銀行為了商業推廣的需要；第三，銀行為了商業利益而泄密客戶信息，但這三大主導原因具體情況怎樣，卻需要實地調研進行確定，為此，筆者通過設計問卷，對商業銀行信息安全問題進行預防研究。

二、問卷調查及數據整理結果

1.調查問卷設計

為了使得本研究更具針對性，針對商業銀行信息安全問題，筆者從安全問題導致的原因以及客戶面對安全問題時的態度以及對信息安全問題的解決措施的建議方面設計了一套調查問卷，并在筆者研究地域——上海市進行了抽樣問卷調查。

2. 調查方式

為節約工作組的調查時間，也為了獲得的調查結果更具針對性，在本文的調查中，我們將借助當今迅猛發展的網絡技術，在QQ、微信等網絡熱門工具中發布調查問卷，同時在論壇、微吧中建立相關版塊討論，收集來自于更為全面的信息和建議。

3.問卷調查結果

本次在QQ、微信等熱門工具中共發放調查問卷510份，其中有效調查問卷503份，因本文集中關注調查問卷中的問題4、5、6（什么類型的信息安全，客戶面對信息安全的態度以及對信息安全的改善建議），為此筆者僅僅對這三個問題的結果進行收集。

對于問題4：從上表的調查結果顯示，在503份有效問卷中，有229人認為銀行是為了商業推廣的目的而進行信息的泄密，有167人認為銀行是為了謀求商業利益而進行信息泄密，有67人認為是銀行軟硬件系統固有的問題以及安全隱患導致銀行被動的泄密，最后也有40人認為是其他方面的原因導致銀行泄密。我們將這組數據進行百分比轉化為：為謀取商業利益泄露客戶信息占33.21%；進行商業推廣占45.49%；由于軟硬件設備、操作系統網絡等系統因素而導致信息泄密則占13.3%；其他占約8%左右。

對于問題5：根據上表可知，打電話向銀行有關部門反映人數為73；向銀監會反映人數為41；換一家銀行占人數為106；忍氣吞聲的人數為248；向金融消費者協會反映的人數為20；采用其他方式的人數為15。將這組數據轉化為百分比為：打電話向銀行有關部門反映占14.47%；向銀監會反映占8.23%；換一家銀行占21.1%；忍氣吞聲占49.25%；向金融消費者協會反映占4.05%；其他占2.9%。

對于問題6：根據調查結果可知，被調查者希望銀行采取的應對措施也不相同，其中希望加強關鍵崗位人員的任職管理，從源頭上遏制信息泄露的人數為187，希望建立定期的系統測試與維護，發現并消除安全漏洞的人數為163，希望建立嚴格的內控制度，絕不姑息泄露信息行為的人數為63，希望加強宣傳教育，提高客戶警惕性的的人數為90。將這組數據轉化為百分比為：希望加強關鍵崗位人員的任職管理，從源頭上遏制信息泄露的占37.61%，希望建立定期的系統測試與維護，發現并消除安全漏洞的占32.39%，希望建立嚴格的內控制度，絕不姑息泄露信息行為的占12.6%，希望加強宣傳教育，提高客戶警惕性的占17.4%

4.銀行信息泄密問題的原因分析

從問題4的調查結果來看，銀行泄密的主要原因在于商業推廣，其次為商業利益的謀求，最后才是系統軟硬件本身的原因以及其他目的；這個問題的調查結果說明銀行為了商業推廣的需要，才是信息泄密最大的動機，若向杜絕信息泄密事件的出現，就需要處理好信息的商業推廣的宣傳工作。

從問題5的調查結果來看，當面對泄密這個問題，忍氣吞聲的人數占據近一半，采取維權行為的人數很少，說明人們面臨銀行泄密這一問題，維權意識并不強。

從問題6的調查結果來看，有近七成的人員認為銀行應該從自身的管理模式上進行革新，尤其強化對關鍵崗位的管理，同時也要加強對銀行軟硬件系統的測試，提高系統的安全性，最后才是強化教育以及建立內部嚴格的控制制度，對泄密行為嚴懲不貸。

三、銀行信息安全的預防策略建議

1.完善法規，強化政策的執行力。國1976年頒布的《聯邦數據保護法》、美國1976年頒布的《隱私權法》等。我國雖然高度重視銀行泄密現象與銀行信息保密制度，在《商業銀行法》、《儲蓄管理條例》、《中國銀監會關于進一步規范信用卡業務的通知》等法律法規、規章中對銀行在客戶身份資料、交易信息等方面的保密義務作出了規定。但跟國外相比，最大缺陷是缺少針對客戶個人信息保護的專業的法律保護，為此我國需要出臺針對個人信息保護的法律法規，完善法規并嚴格的執行，法律法規的完善能夠從法律層面給于保障，但我們仍然要強調法律法規的執行力，當前我國政府、地方法規執行不力的現象普遍存在，如何讓國家層面的法律法規有效的執行，也是值得思考的問題，本文認為，提高法律法規的執行力需從兩個方面展開，一方面在國家層面制定的法律法規框架下，各個地域要結合自身的實際情況，制定具體法律法規的實施細則，建立涵蓋國家宏觀層面、地方微觀層面的法律法規體系，從法律層面上做好銀行信息安全的保護的機制體制；另一方面需強化銀行信息安全保護的監督檢查機制，本文認為在互聯網+的今天，銀行可以借助自身的云平臺從計算機系統層面輔助實地的監督、檢查，銀行信息系統的云平臺能夠對銀行每一筆資金的交換、每一筆信息的流通、傳遞做好備份記錄，通過這種較為完善的信息系統，只要有人進行了銀行信息的泄密，必然會留下證據，通過對銀行云平臺存儲數據的調用，能夠找出什么人、什么原因調用這些數據，這些泄密的數據最終存儲到那臺設備中，通過數據路徑的追蹤能及時查找出信息泄密者并找出信息泄密的證據，為追究及嚴懲不法分子做出貢獻。

2.倡導銀行建立自律公約，強化對信息的保護。如四川省銀行業協會47家會員單位共同簽訂《自律公約》，公開承諾嚴格遵守保護客戶隱私權的相關規定，不以任何形式擅自對外泄露或披露客戶個人信息資料，引起良好的社會反響，本文認為這種倡導活動值得宣揚與發展，但考慮到各個地域的銀行實際情況不一樣，為此單一的自律公約實行起來就要因地制宜，如我國東部發達國家，全面素養較高，在這種高素質的群體中，采取這種自律公約的方式筆者認為有待商榷，依據心理學原因，采取這種方式本就向本行員工宣貫銀行機構對員工不信任的態度，潛意識認為每個員工都有泄漏銀行信息的可能性，這樣自律公約一出臺，可能會給人們的心中造成不利的影響，本文并不宣揚人的綜合素養有等級的分別，但認為各個地區要結合自身的實際情況，有選擇的使用這種方式。

3.督促商業銀行完善信息保護的內部管理制度并向客戶聲明。督促各銀行將覆蓋信息采集、處理、傳輸、維護的全流程管理納入商業銀行風險管理過程，明確信息泄露風險控制點，及時更新防火墻、身份識別認證數字簽名等網絡安全監控技術，防止惡意竊取客戶信息的行為。本文以防火墻設置為例，一般銀行系統中使用的硬件防火墻，這樣能夠使得銀行信息系統具有較高的安全性能，可以對不安全的信息類型進行很好的過濾，從而降低信息安全的風險，如只有管理員通過認證后的應用協議才能通過銀行防火墻，且防火墻的應用廣泛的分布在各個主機上，不僅經濟、而且便捷，同時防火墻能夠記錄下這些訪問的信息并做好日志記錄，甚至后臺能夠對這些數據進行統計分析，當有可疑的動作出現時，防火墻能夠給進行適當的報警，除此以外，在系統運行中收集網絡的使用以及誤用數據也非常的重要，而這些工作的開展首要的是防火墻是否能夠接收及抵擋住攻擊者的供給，并且能夠清楚的知道防火墻使得控制的充足。

4.強化外包管理和第三方控制，建立明確的外包業務信息保密措施和監督要求，避免第三方信息泄露給銀行造成連帶責任。四是要加強關鍵崗位人員任職管理，從源頭上遏制信息泄露管理客戶信息的崗位應視為重要工作崗位，工作期間，接觸或處理客戶信息要保證雙人在崗、雙人認證、雙人簽字。

5.關于軟硬件設備、操作系統網絡等系統因素的問題，建議：一是銀行應建立定期的系統測試與維護制度，及時發現并消除IT系統安全漏洞。目前，銀行系統多采用外包形式，有效提高了系統的穩定性與安全性，但信息技術不斷升級進步，沒有一個系統是絕對安全而沒有漏洞的。因此，各商業銀行要加大對信息前沿技術的關注度，對網上黑客論壇進行監測，定期用一些惡意軟件對系統進行測試，即使發現問題，進行維護；二是要培育專業的IT審計隊伍，提升IT系統統計的精準度。

6.為更好的保護銀行信息安全，本文認為可在銀行內部組建信息安全預防小組，從幾個方面展開工作：首先，要強化對銀行內部員工的技能及安全意識的培訓，使得員工從行為意識上認識到銀行信息安全關乎到自身以及銀行的切身利益；其次，銀行領導也要充分認識并重視銀行信息安全工作，并將組建的信息安全小組納入到更高的層次，提高防范小組的地位以及權利，這樣會更加利于銀行信息安全監督檢查工作的開展；第三，銀行信息安全小組要定期以及不定期的召開會議，對上一周期收集的問題及反饋的問題進行詳細的討論及分析，研究新的安全防范技術；第四，雖然信息安全是防范小組的主要工作，但這并不是說銀行其他部門就忽視信息安全工作，相反各部門也要充分認識及重視這項工作，同時也要為信息安全小組工作的開展提供盡可能的便利，在銀行內部樹立起信息安全關乎每一位員工的企業文化氛圍，將信息安全工作納入到每一位員工的心中，徹底杜絕銀行信息安全泄密行為的出現。除此以外，強化銀行各部分各崗位的信息安全職責。計算機信息安全關乎到銀行以及每一位客戶的利益，各部門要強化信息安全的職責，各部門因工作崗位的差異，對計算機的操作也是具有不同的項目，為此為做好各個崗位的信息安全保護，本文認為各崗位的計算機需由使用人定期的更換登錄密碼，防止因密碼泄密導致信息安全事故的出現。

7.增強人們的維權意識，堅決與不法行為做斗爭，從調查結果可知，面對泄密問題，近一半的人員選擇的沉默，這是有這樣的人群存在，使得不法行為肆無忌憚，這樣維權意識的薄弱也滋生了不法分子的囂張氣焰，為此就需要增強我們的維權意識，目前網絡的高速發展，給了我們維權行為提供了很好的平臺，我們可以充分利用這個平臺并在法律允許的范圍內進行合理的維權，給犯罪分子堅決的反擊，維護金融市場的健康發展。

參考文獻：

[1]宋一新.銀行計算機網絡風險防范與對策[J].中華創新教育論壇論文集，2015（02）.

[2]楊世文.對做好基層銀行信息安全工作的思考[J].華南金融電腦，2014（10）.

[3]方勇.網絡時代的銀行信息安全與預防研究[J].時代金融，2014（08）.

[4]江偉.信息時代網絡銀行的安全問題與預防措施[J].賀州學院學報，2008（06）.

[5]羅杰.信用證欺詐和銀行風險預防研究[D].西南財經大學，2014（05）.

上海金融學院大學生創新訓練項目基金階段性成果