最新头条追踪：百万条银行客户信息疑被盗卖！兜售金融相关数据占比超7成 谁在买入？(2)

杭州某大型技术公司金融事业部总经理曾负责过银行物联网解决方案，涉及到数据服务采集业务，他向记者举例，“设备采集的信息一般会保存在当地银行机构，在信息保存、传输安全性方面，一方面是，银行本身设有专网，内网、外网隔开，还有硬件设施方面的防火墙设置防护；另一方面，各家银行内部有各个层级对安全认证的严格复核管理。”

“银行的IT系统不具备大规模向外泄露数据的可能性。”一家股份行风险管理部门总监向券商中国记者分析，“按银保监会的相关规定，银行业IT系统基本分为：生产域、测试域、互联网域等，其中，三个域之间的数据传输收到严格限制。只有在生产域才能看到数据的全貌，测试域只有用于测试的数据，有数据量和脱敏的相关要求，互联网域基本没有客户信息。从技术上、系统上，大规模数据外泄讲不通。”

DataVisor黑产研究专家、高级技术经理周君桢的看法类似，金融机构尤其是银行的安全风险等级最为严格，一方面是监管要求高、管理严；另一方面是业务属性决定，对于银行来说，客户账户信息是核心商业价值要素之一，银行会投入大量人力、物力做相关保障，大中型银行也具备强大技术团队和实力。

流量经济爆发的安全新挑战：泄密在前端

从近期发布的国有六大行年报来看，其中有四家2019年科技投入总金额突破百亿元，最高的建设银行投入176.33亿元；截至2019年末，工商银行金融科技人员规模多达3.48万名、在全员占比高达7.82%，其次是建设银行、交通银行、中国银行、农业银行金融科技人员占比分别为2.75%、4.05%、2.58%、1.58%。

银行加大科技投入、科技人员扩容规模空前。然而，银行数据涉密各个环节，尽管被最高等级的风险防护，仍难有万全之说。

首先是不同金融机构之间、金融机构内部之间的安全能力有差异。“大中型的金融机构风险等级高，但是一些分支机构风险能力就较弱，可能账户密码保护不严密。一些地下灰黑产业，就会有组织、有目的性地去攻击，抓住一些系统平台存在的漏洞。”周君桢介绍。

“银行的风控水平并不是一碗水端平。”上述股份行智能风控中心总监直言，“有的银行风控水平高、有的银行风控水平低，实力强的银行所有的模型都是行内专业人员建模；但是对于部分地方偏远地区的银行等，缺乏高端数据专业人才，只能通过外包方式去建模型。甚至部分不具备技术能力的银行直接拿过来就用一些第三方公司流量数据，这些数据包括身份认证三要素和部分行为特征，但是往往这类数据可能在使用前已经可能被泄密了。”

“泄密环节出在前端。”——在数位金融机构风控资深从业人士看来，这是伴随着近几年的银行线下业务线上化，在风险防控上一个更应该引起行业注意的新变化。

在彭思翔看来，银行数据泄露可能发生的场景，除了信息科技运行领域访问控制策略不当，开发、测试和维护领域三个环节未分离或分离后数据未脱敏，以及信息安全领域系统漏洞之外，其中一个重要的方面就发生在“外包管理领域”，“特别是对外包研发、测试的管理不当。生产环境暴露、数据库过度授权，都会引起数据泄露。”

“因为行业业务属性不同，银行的IT系统和互联网公司之间，往往有代际差异。”该股份行智能风控中心总监向记者举例。“比如面对一个互联网流量平台采用流量分发模型，100万客户分发给数十家不同的银行，与之相应的，银行与之对接的是流量准入模型；很天然地，这两个模型之间是对抗关系，准入模型希望准入更多，而分发模型希望筛掉更多；在现实情况中，相比互联网公司，银行IT系统灵活度、可使用工具、覆盖的行为数据数等，都处于相对劣势。”

“今后银行数据风控管理必将趋严”

“为促进金融行业健康发展与风险控制，监管层已经通过发布监管指引并将数据治理与监管评级挂钩的方式，来提高银行业对数据治理工作的重视，不管有没有出现这次的事件，银行今后数据风控管理上必将是趋严的。”数位银行业内人士均认为，尽管这次盗卖数据真实性存疑，但它后续仍然会也业务层面产生影响。

2018年5月，银保监会发布《银行业金融机构数据治理指引》，旨在引导银行业金融机构加强数据治理。去年12月，金融业移动金融APP备案首批试点开启，首批23家试点备案名单中就有16家银行，含5家国有大行、5家股份行、3家城商行、2家农商行、1家农信联社，涉及提升安全防护、加强个人金融信息保护、提高风险监测能力、健全投诉处理机制、强化行业自律5个方面，并划定了涉及个人金融信息采集、使用、留存等方面四大红线。