安全資訊

（五）網(wǎng)絡(luò )信息系統存在較多漏洞；

（六）互聯(lián)網(wǎng)門(mén)戶(hù)網(wǎng)站泄露敏感信息。

可以看出，農行“六宗罪”主要涉及到兩個(gè)問(wèn)題：網(wǎng)絡(luò )安全與數據安全。

隨著(zhù)金融科技的發(fā)展，大量銀行業(yè)務(wù)由線(xiàn)下轉為線(xiàn)上，交易鏈條不斷延伸，金融機構生產(chǎn)交易系統之間、以及與外部合作機構系統之間的信息交互明顯增多。但是，由于部分機構安全風(fēng)險防范意識不足，內控管理不到位，技術(shù)措施和管理手段缺失，生產(chǎn)交易系統安全風(fēng)險增大。因此，銀保監會(huì )近年來(lái)也是屢屢發(fā)文提示此類(lèi)風(fēng)險，并加強了相關(guān)風(fēng)險的檢查。

據《中國個(gè)人金融信息保護執法白皮書(shū)（2020）》不完全統計，截至2020年10月25日，中國人民銀行總行及各地分支行開(kāi)出的行政處罰罰單里，涉及“個(gè)人金融信息”的共181張。

這181張罰單罰款金額合計超過(guò)1.8億元人民幣；處罰對象包括銀行（含農信社，下同）、證券公司、支付機構、消費金融公司等，以及對相關(guān)違規行為負有責任的具體人員；處罰的違法行為類(lèi)型包括未經(jīng)審批查詢(xún)個(gè)人金融信息、未按規定保存客戶(hù)身份資料和交易記錄、侵害消費者個(gè)人信息依法得到保護的權利等。

其中針對企業(yè)的罰款為18331.7394萬(wàn)元人民幣，針對個(gè)人的罰款為427.375萬(wàn)元人民幣。從罰款金額來(lái)看，企業(yè)占比98%，個(gè)人占比2%，受到處罰的行政相對企業(yè)為主。

普法教育

《網(wǎng)絡(luò )安全法》第三十一條規定，國家對金融等重要行業(yè)和領(lǐng)域，在網(wǎng)絡(luò )安全等級保護制度的基礎上，實(shí)行重點(diǎn)保護。根據《關(guān)鍵信息基礎設施確定指南（試行）》要求，銀行運營(yíng)為金融行業(yè)中的關(guān)鍵業(yè)務(wù)。

因此，銀行一般應被認定為關(guān)鍵信息基礎設施運營(yíng)者，在履行網(wǎng)絡(luò )運營(yíng)者的一般安全保護義務(wù)的基礎上，還需履行關(guān)鍵信息基礎設施運營(yíng)者的特殊義務(wù)。而相關(guān)的規范規定更是數不勝數，在今年就發(fā)布有《個(gè)人金融信息保護技術(shù)規范》、《網(wǎng)上銀行系統信息安全通用規范》、《商業(yè)銀行應用程序接口安全管理規范》等等多個(gè)規范。

此次這個(gè)事件為我們敲響了警鐘，對于銀行們來(lái)說(shuō)，不僅要吸取現有案例的經(jīng)驗教訓，還應當以此為鑒，認真開(kāi)展自查，采取有效防范和應對措施，防止類(lèi)似風(fēng)險事件再次發(fā)生。

一、是切實(shí)提高安全風(fēng)險防范意識，強化內控管理。加強信息科技風(fēng)險整治力度，確保信息科技資源投入合理、到位。建立健全科技崗位監督制約機制，嚴格落實(shí)開(kāi)發(fā)與運維崗位分離要求。

二、是開(kāi)展安全隱患排查，修補系統安全控制缺陷。重點(diǎn)排查各類(lèi)生產(chǎn)交易系統在異常交易場(chǎng)景下業(yè)務(wù)流程的完備性和安全性，確保交易環(huán)節中重要業(yè)務(wù)數據的完整性校驗、加密等措施能夠有效防范數據篡改、泄露和重放攻擊等風(fēng)險。

三、是嚴格落實(shí)開(kāi)發(fā)、運維、外包管理制度。堅持規范編程，嚴禁將數據庫用戶(hù)賬號和口令明文寫(xiě)入系統源代碼，強化安全測試，加大源代碼安全審查力度；各項運維操作集中通過(guò)堡壘機實(shí)施，加強運維用戶(hù)分級管理，嚴格管控運維操作用戶(hù)權限，定期審計運維操作日志。