必要完善的信息安全技術防范措施是保護個人金融信息的基礎

【摘要】金融機構應在物理環境安全、網絡安全、應用安全和計算機設備安全方面采取必要和完善的信息安全技術防范措施來保護個人金融信息，保障個人的合法權益和個人隱私，從而降低運營風險，提高客戶服務質量。

【關鍵詞】信息安全 技術防范 個人金融信息

個人金融信息是金融機構日常業務工作中積累的一項重要基礎數據，也是金融機構客戶個人隱私的重要內容。如何收集、使用、對外提供個人金融信息，既涉及到銀行業金融機構業務的正常開展，也涉及客戶信息、個人隱私的保護。如果出現與個人金融信息有關的不當行為，不但會直接侵害客戶的合法權益，也會增加銀行業金融機構的訴訟風險，加大運營成本。近年來，個人金融信息侵權行為時有發生，并引起社會的廣泛關注。因此，采取必要和完善的信息安全技術防范措施可以有效降低個人金融信息的泄漏風險，同時也是確保個人金融信息在收集、傳輸、加工、保存、使用等環節中不被泄露的基礎和前提。

一、主要的技術風險

信息技術的廣泛應用和快速發展，極大促進了金融業務的創新，起到了有效的技術支撐作用，同時也帶來了信息安全隱患和風險。就個人金融信息保護方面帶來的主要技術風險包括：數據中心物理環境風險、網絡風險、計算機系統風險、應用系統風險、計算機病毒風險、黑客及犯罪風險、內外部人員風險和技術管理等風險。

二、技術防范措施

針對上述各方面存在的風險隱患，必要和完善的信息安全技術防范措施凸顯重要，是防止個人金融信息泄露的前提基礎和有利支撐。

（一）物理環境安全

1.物理分區。信息中心機房在建筑物內應為獨立區域，按功能應將機房分為生產區和輔助區，其中生產區是指放置信息系統服務器等設備的運行區域，輔助區是指放置供電、消防、空調等設備的區域。

2.門禁控制。分區控制機房出入口，應能控制、鑒別和記錄進出的人員；各分區應實行出入口控制、入侵報警和視頻監控等措施，完整記錄進出各分區人員及時間。生產區與開發區應實行場地和人員分離，系統開發人員禁止進入生產區，系統操作人員和未經授權人員禁止進入開發區。

3.電磁屏蔽。應對關鍵設備和磁介質實施電磁屏蔽。

（二）網絡安全

1.接入管理。網絡接入手續應齊全，控制用戶終端的配備范圍，計算機客戶端應采取入網認證和準入機制。按用戶和系統之間的允許訪問規則，決定允許或拒絕用戶對受控系統進行資源訪問。

2.網絡安全域、訪問控制。應避免將重要網絡部署在網絡邊界處且直接連接外部網絡，重要網絡與其他網絡之間采取可靠的技術隔離手段。應在網絡邊界部署訪問控制設備，啟用訪問控制功能。

3.網絡設備安全。網絡遠程訪問服務等采取安全防護措施。網絡設備應設置口令密碼，并至少每三個月更換一次，口令密碼的強度應滿足安全性要求。關閉未使用的網絡端口和不必要的服務。應在網絡邊界處監視：端口掃描、強力攻擊、木馬后門攻擊、拒絕服務攻擊、緩沖區溢出攻擊、IP碎片攻擊和網絡蠕蟲攻擊等攻擊行為。檢測到攻擊行為時，應記錄攻擊源IP、攻擊類型、攻擊目的、攻擊時間，在發生嚴重入侵事件時應提供報警。

（三）應用安全

1.身份鑒別。應提供登錄控制模塊對登錄用戶進行身份標識和鑒別。應提供用戶身份標識唯一和鑒別信息復雜度檢查功能，保證應用系統中不存在重復用戶身份標識，身份鑒別信息不易被冒用。應提供登錄失敗處理功能，可采取結束會話、限制非法登錄次數和自動退出等措施。

2.訪問控制。應用系統應具有訪問控制策略，并嚴格限制默認賬戶的訪問權限、范圍、相關的主體、客體及它們之間的關系。

3.安全審計。應用系統應具有審計記錄功能，應提供覆蓋到每個用戶的安全審計功能，對應用系統重要安全事件進行審計。并且審計記錄至少包括事件的日期、時間、發起者信息、類型、描述和結果等。

4.口令密碼設置。用戶口令和密碼的設置在長度和強度上要符合信息安全管理要求，并定期進行更換，封存保管。

（四）客戶端安全

客戶端應安裝和使用正版軟件，安裝防病毒、補丁分發、非法外聯等安全防護軟件，并及時進行升級、更新操作系統補丁程序。用戶組策略設置相應權限，檢查系統的用戶，刪除非法用戶。應設置開機和屏幕保護密碼。

作者簡介：宋瑞強（1975-），男，遼寧沈陽人，碩士研究生，工程師，任職于中國人民銀行沈陽分行科技處。