1月29日，銀保監會開出2021年第一張罰單，中國農業銀行因涉及發生重要信息系統突發事件未報告、數據安全管理粗放存在數據泄露風險、互聯網門戶網站泄露敏感信息等六項問題，被罰420萬人民幣。

具體來看，農業銀行涉及的違法違規行為包括：

(一)發生重要信息系統突發事件未報告；

(二)制卡數據違規明文留存；

(三)生產網絡、分行無線互聯網絡保護不當；

(四)數據安全管理較粗放，存在數據泄露風險；

(五)網絡信息系統存在較多漏洞；

(六)互聯網門戶網站泄露敏感信息。

可以看出，農行“六宗罪”主要涉及到兩個問題：網絡安全與數據安全。

隨著金融科技的發展，大量銀行業務由線下轉為線上，交易鏈條不斷延伸，金融機構生產交易系統之間、以及與外部合作機構系統之間的信息交互明顯增多。但是，由于部分機構安全風險防范意識不足，內控管理不到位，技術措施和管理手段缺失，生產交易系統安全風險增大。因此，銀保監會近年來也是屢屢發文提示此類風險，并加強了相關風險的檢查。

據《中國個人金融信息保護執法白皮書(2020)》不完全統計，截至2020年10月25日，中國人民銀行總行及各地分支行開出的行政處罰罰單里，涉及“個人金融信息”的共181張。

這181張罰單罰款金額合計超過1.8億元人民幣；處罰對象包括銀行(含農信社，下同)、證券公司、支付機構、消費金融公司等，以及對相關違規行為負有責任的具體人員；處罰的違法行為類型包括未經審批查詢個人金融信息、未按規定保存客戶身份資料和交易記錄、侵害消費者個人信息依法得到保護的權利等。

其中針對企業的罰款為18331.7394萬元人民幣，針對個人的罰款為427.375萬元人民幣。從罰款金額來看，企業占比98%，個人占比2%，受到處罰的行政相對企業為主。

普法教育

《網絡安全法》第三十一條規定，國家對金融等重要行業和領域，在網絡安全等級保護制度的基礎上，實行重點保護。根據《關鍵信息基礎設施確定指南(試行)》要求，銀行運營為金融行業中的關鍵業務。

因此，銀行一般應被認定為關鍵信息基礎設施運營者，在履行網絡運營者的一般安全保護義務的基礎上，還需履行關鍵信息基礎設施運營者的特殊義務。而相關的規范規定更是數不勝數，在今年就發布有《個人金融信息保護技術規范》、《網上銀行系統信息安全通用規范》、《商業銀行應用程序接口安全管理規范》等等多個規范。

此次這個事件為我們敲響了警鐘，對于銀行們來說，不僅要吸取現有案例的經驗教訓，還應當以此為鑒，認真開展自查，采取有效防范和應對措施，防止類似風險事件再次發生。

一、是切實提高安全風險防范意識，強化內控管理。加強信息科技風險整治力度，確保信息科技資源投入合理、到位。建立健全科技崗位監督制約機制，嚴格落實開發與運維崗位分離要求。

二、是開展安全隱患排查，修補系統安全控制缺陷。重點排查各類生產交易系統在異常交易場景下業務流程的完備性和安全性，確保交易環節中重要業務數據的完整性校驗、加密等措施能夠有效防范數據篡改、泄露和重放攻擊等風險。

三、是嚴格落實開發、運維、外包管理制度。堅持規范編程，嚴禁將數據庫用戶賬號和口令明文寫入系統源代碼，強化安全測試，加大源代碼安全審查力度；各項運維操作集中通過堡壘機實施，加強運維用戶分級管理，嚴格管控運維操作用戶權限，定期審計運維操作日志。

關鍵詞：農業銀行、網絡安全與數據安全

來源：安全圈