王志海：金融企業(yè)信息泄密管理技術(shù)兩把抓

　　王志海認(rèn)為，金融企業(yè)信息泄密涉及面比較廣，要從管理和技術(shù)兩方面入手解決。首先是管理上改變“保密重公輕私”和“員工絕對可信”的思想。其次是應(yīng)該從技術(shù)上入手，在所有關(guān)鍵的IT應(yīng)用系統(tǒng)中建立以數(shù)據(jù)防泄漏為核心的數(shù)據(jù)安全管理技術(shù)體系。

　　以下是訪談實(shí)錄：

　　和訊科技：在金融領(lǐng)域客戶個人信息泄密事件頻發(fā)，特別是泄密途徑絕大部分為單位內(nèi)部工作人員居多，保守國家秘密是崗位要求，保護(hù)公民信息安全同樣是職業(yè)操守，內(nèi)部泄密給金融行業(yè)蒙上一層陰影。從數(shù)據(jù)安全管理的角度，能否給予一些建議？

　　答：金融企業(yè)由于其服務(wù)特點(diǎn)所決定，是個人信息采集和使用的主要單位，并且由于其個人信息往往與個人財(cái)產(chǎn)相關(guān)，一旦泄密，造成的損失和影響是巨大的，從這個角度上說，金融企業(yè)尤其要注重客戶的個人信息。金融企業(yè)要做好數(shù)據(jù)防泄漏等數(shù)據(jù)安全管理工作，要從管理和技術(shù)兩方面著手。

　　首先是管理上改變“保密重公輕私”和“員工絕對可信”的思想。金融企業(yè)這幾年已經(jīng)逐步開始做數(shù)據(jù)防泄漏的工作，但是一直偏重于保護(hù)企業(yè)自身的財(cái)務(wù)、報表和人事等以“公”為主的信息，而對于客戶個人信息的保護(hù)重視不夠。事實(shí)上，客戶個人信息的保護(hù)不僅是作為商業(yè)機(jī)構(gòu)理應(yīng)履行的職責(zé)，也是金融企業(yè)核心的競爭力和價值所在。另一方面，金融企業(yè)由于大部分是國企，一直沿襲著“員工絕對可信”的管理思路，但是事實(shí)，現(xiàn)在情況已經(jīng)發(fā)生了很大的變化，例如保險企業(yè)，存在大量外聘的員工，員工流動性大，僅依賴傳統(tǒng)的思想工作是遠(yuǎn)遠(yuǎn)不夠的。

　　其次是應(yīng)該從技術(shù)上入手，在所有關(guān)鍵的IT應(yīng)用系統(tǒng)中建立以數(shù)據(jù)防泄漏為核心的數(shù)據(jù)安全管理技術(shù)體系，所有客戶個人信息做到可用但不可拿走的目標(biāo)，既不影響業(yè)務(wù)的效率，同時也從技術(shù)上保障未經(jīng)授權(quán)的人員無法從核心IT系統(tǒng)中帶出客戶個人信息。

　　和訊科技：各銀行、證券公司等單位都建立了相對成熟的應(yīng)用系統(tǒng)，像OA、CRM、MIS等，這些重要信息系統(tǒng)也面臨著來自各方的安全威脅。作為數(shù)據(jù)安全市場的領(lǐng)導(dǎo)廠商，明朝萬達(dá)針對金融行業(yè)應(yīng)用系統(tǒng)的信息安全有那些建設(shè)性方案么？

　　答：金融行業(yè)是明朝萬達(dá)的重點(diǎn)行業(yè)，明朝萬達(dá)已經(jīng)為中國銀行(601988,股吧)、廣發(fā)銀行和中原證券等眾多金融行業(yè)提供了數(shù)據(jù)安全產(chǎn)品和服務(wù)。金融行業(yè)具有IT系統(tǒng)成熟和數(shù)量多的特點(diǎn)，在部署數(shù)據(jù)安全管理方案的時候，不可能對業(yè)務(wù)流程進(jìn)行變動，所以明朝萬達(dá)提供了以Chinasec（安元）應(yīng)用保護(hù)系統(tǒng)為核心的靈活架構(gòu)，可以根據(jù)金融企業(yè)自身的具體情況選擇性或者分步驟地實(shí)施以數(shù)據(jù)防泄漏為核心的數(shù)據(jù)安全管理方案，避免“不管就亂，一管就死”的情況發(fā)生，具有靈活的擴(kuò)展性和可部署性。另外，明朝萬達(dá)產(chǎn)品也充分考慮到等級保護(hù)、塞班斯法案以及銀監(jiān)會相關(guān)信息安全法規(guī)等合規(guī)性的要求，產(chǎn)品方案部署后可以達(dá)到“事前控制、事中監(jiān)控、事后審計(jì)”的效果。

　　和訊科技：金融行業(yè)對信息系統(tǒng)的實(shí)時響應(yīng)能力有更高的要求，金融行業(yè)也是除政府外，移動信息化建設(shè)意向比較前沿和極為重視的，移動辦公應(yīng)用越發(fā)普及，金融單位應(yīng)如何保障單位移動終端的安全接入和安全應(yīng)用？

　　答：移動互聯(lián)網(wǎng)對金融行業(yè)的影響是顯著的，據(jù)明朝萬達(dá)《2012企業(yè)級移動信息化和移動安全發(fā)展報告》數(shù)據(jù)顯示，金融行業(yè)在移動信息化的熱情位居第二名，目前已經(jīng)在移動辦公、移動展業(yè)和企業(yè)手機(jī)銀行等方面展開了建設(shè)。明朝萬達(dá)針對金融等移動信息化系統(tǒng)面臨的安全威脅，提供了一整套的企業(yè)級移動安全解決方案，可以幫助金融企業(yè)在一個統(tǒng)一的移動安全管理平臺上解決移動安全接入、移動數(shù)據(jù)防泄漏和移動終端設(shè)備管理等問題，解除金融企業(yè)移動信息化進(jìn)程中的信息安全后顧之憂。為了更好地服務(wù)于客戶，提供完整的解決方案，明朝萬達(dá)還可以整合聯(lián)想和用友等移動應(yīng)用開發(fā)商和移動設(shè)備供應(yīng)商共同為客戶服務(wù)。

　　和訊科技：近年來，國務(wù)院、銀監(jiān)會、證監(jiān)會、保監(jiān)會等都相繼出臺了一系列信息安全保護(hù)措施，先后發(fā)布的個人信息保護(hù)有關(guān)規(guī)章近200部，如近期《信息安全技術(shù)：公共及商用服務(wù)信息系統(tǒng)個人信息保護(hù)指南》，另外在5月9日國務(wù)院常務(wù)會議上，溫家寶總理也重點(diǎn)提到了信息安全工作也是下階段信息化建設(shè)的重中之重，您是如何看待國家在信息安全這方面的舉措的？

　　答：國家已經(jīng)意識到解決信息安全問題是推動信息化深入發(fā)展的關(guān)鍵基礎(chǔ)，所以在各個層面上都非常重要，無論在政策層面和資金層面都給予了大力支持。事實(shí)上，信息安全不僅僅關(guān)系到個人和企業(yè)的自身利益，也關(guān)系到國家的穩(wěn)定和健康發(fā)展，我認(rèn)為這對于信息安全產(chǎn)業(yè)、信息產(chǎn)業(yè)以及國家的發(fā)展都是非常有必要的，明朝萬達(dá)也會順應(yīng)國家的需要和潮流，努力為用戶提供更加優(yōu)秀的產(chǎn)品和服務(wù)。

　　和訊科技：異�；鸨�的《復(fù)仇者聯(lián)盟》給我們帶來的啟示：除了各大英雄的震撼登場之外，最讓人揪心的環(huán)節(jié)無疑就是核心骨干被對手控制之后，核心機(jī)密遭到泄露，使境遇險象環(huán)生，讓人步步揪心�，F(xiàn)實(shí)生活也如此。個人、企業(yè)都處在了一個極其尷尬的信息裸奔時代。一旦被犯罪分子利用將會帶來難以估量的個人損失和極其惡劣的社會影響。您對公民個人信息保護(hù)有哪些好的提醒或幫助性建議？

　　答：我們常提信息化和信息社會，事實(shí)上，信息社會的核心是認(rèn)可和確認(rèn)信息的價值，而信息價值的確認(rèn)是需要信息保護(hù)做支撐的，這包括個人信息、企業(yè)信息和國家信息。所以信息保護(hù)不僅僅是國家和機(jī)構(gòu)的責(zé)任和義務(wù)，公民個人也要提高意識。公民個人信息保護(hù)要做好，一方面是個人信息的使用和采集單位要擔(dān)負(fù)起責(zé)任，落實(shí)數(shù)據(jù)保密的管理制度和技術(shù)措施；另一方面是個人要提供信息安全意識，選擇能夠?qū)�個人信息有保障的金融機(jī)構(gòu)等服務(wù)平臺來提供服務(wù)，對不能保證自身個人信息安全的機(jī)構(gòu)給予堅(jiān)決拋棄。

服務(wù)器租用/服務(wù)器托管中國五強(qiáng)！虛擬主機(jī)域名注冊頂級提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]