上周末,包括一哥在内的很多人朋友圈都被中国农业银行因涉及网络安全等问题被罚款万的事给刷屏了。万这个金额对于绝大多数单位来说是笔不小的数字,但是对于中国农业银行这个A股市值1.1万亿,年净利润近个亿的单位来说最多算毛毛雨,可谓是“杀伤力不大但侮辱性极强”,一个这么大的单位,这么重要的单位,网络安全工作做的很不符合自己的身份。
之前的文章已经总结过,农业银行涉及的违法违规行为包括哪些?
(一)发生重要信息系统突发事件未报告;
(二)制卡数据违规明文留存;
(三)生产网络、分行无线互联网络保护不当;
(四)数据安全管理较粗放,存在数据泄露风险;
(五)网络信息系统存在较多漏洞;
(六)互联网门户网站泄露敏感信息。
重要信息系统突发事件未报告,这个一哥猜测可能是系统发生网络安全事件或系统故障没有及时向银保监会及时报告,事后又被银保监会知道。这个凸显了农行在应急预案及应急演练这块做的不够,另外相关领导可能存在意识不足或有意隐瞒。对于“制卡数据违规明文留存;数据安全管理较粗放,存在数据泄露风险;互联网门户网站泄露敏感信息。”这样的问题,一哥感觉很是诧异,这严重不负责任啊,农行大海般的胸襟一览无遗,网络安全意识可谓是荡然无存,网络安全保护不知道保护了啥。制卡数据对于一家银行来说可谓是重要的商业信息,居然可以明文留存。数据安全管理简单,存在数据泄露风险,门户网站直接泄露敏感信息,请问农行:我们的个人信息你到底能不能保护好?《网络安全法》、《个人金融信息保护技术规范》(JR/T—)及《信息安全技术个人信息安全规范》(GBT-)等法律法规或技术规范,你们都不遵守的吗?生产网络、分行无线互联网络保护不当,这个说明农行的网络安全技术防护措施还存在不足,特别是生产网络,更能说明问题,农行的相关部门需要好好反省下。网络信息系统存在较多漏洞说明农行日常的安全运维工作做的也一般,这么多漏洞是真没发现,还是发现了没有及时去做修复?
以上说了这么多,可以总结一句:农行的网络安全工作看上去做的确实一般,存在不少不足。此次是农行,反观国内其他银行或者客户,估计也有很多单位网络安全工作做的还不行,浮于表面,内功未真正练好。
万他随便做点啥不好,非要当罚款交了?等保测评工作,假设平均一个系统按10万算的话,可以做42个系统,不知道农行总部有没做到这么多系统。做一次应急演练,假设花一个30万;买点数据加密设备、数据脱敏设备,假设花个万;买点边界隔离设备,如下一代防火墙,网闸啥的,假设花个万;再来一个第三方安全运维,假设花个万。难道钱这样用,它不香吗?虽然这次农行因为这些网络安全问题被罚款了,但是一哥认为农行实际在日常网络安全工作这块肯定也做了很多,投入了不少人力和财力。对于像农行这样的客户都还会存在这么多网络安全问题,那么请问其他甲方单位有几个敢拍着胸脯说自己单位没有问题的?所以对于像网络安全这样专业的事,对于至少99%的客户来说还是要请专业的第三方公司参与其中,专业的事需要专业的人来做,单靠自己不行的。