必要完善的信息安全技术防范措施是保护个人金融信息的基础

【摘要】金融机构应在物理环境安全、网络安全、应用安全和计算机设备安全方面采取必要和完善的信息安全技术防范措施来保护个人金融信息，保障个人的合法权益和个人隐私，从而降低运营风险，提高客户服务质量。

【关键词】信息安全 技术防范 个人金融信息

个人金融信息是金融机构日常业务工作中积累的一项重要基础数据，也是金融机构客户个人隐私的重要内容。如何收集、使用、对外提供个人金融信息，既涉及到银行业金融机构业务的正常开展，也涉及客户信息、个人隐私的保护。如果出现与个人金融信息有关的不当行为，不但会直接侵害客户的合法权益，也会增加银行业金融机构的诉讼风险，加大运营成本。近年来，个人金融信息侵权行为时有发生，并引起社会的广泛关注。因此，采取必要和完善的信息安全技术防范措施可以有效降低个人金融信息的泄漏风险，同时也是确保个人金融信息在收集、传输、加工、保存、使用等环节中不被泄露的基础和前提。

一、主要的技术风险

信息技术的广泛应用和快速发展，极大促进了金融业务的创新，起到了有效的技术支撑作用，同时也带来了信息安全隐患和风险。就个人金融信息保护方面带来的主要技术风险包括：数据中心物理环境风险、网络风险、计算机系统风险、应用系统风险、计算机病毒风险、黑客及犯罪风险、内外部人员风险和技术管理等风险。

二、技术防范措施

针对上述各方面存在的风险隐患，必要和完善的信息安全技术防范措施凸显重要，是防止个人金融信息泄露的前提基础和有利支撑。

（一）物理环境安全

1.物理分区。信息中心机房在建筑物内应为独立区域，按功能应将机房分为生产区和辅助区，其中生产区是指放置信息系统服务器等设备的运行区域，辅助区是指放置供电、消防、空调等设备的区域。

2.门禁控制。分区控制机房出入口，应能控制、鉴别和记录进出的人员；各分区应实行出入口控制、入侵报警和视频监控等措施，完整记录进出各分区人员及时间。生产区与开发区应实行场地和人员分离，系统开发人员禁止进入生产区，系统操作人员和未经授权人员禁止进入开发区。

3.电磁屏蔽。应对关键设备和磁介质实施电磁屏蔽。

（二）网络安全

1.接入管理。网络接入手续应齐全，控制用户终端的配备范围，计算机客户端应采取入网认证和准入机制。按用户和系统之间的允许访问规则，决定允许或拒绝用户对受控系统进行资源访问。

2.网络安全域、访问控制。应避免将重要网络部署在网络边界处且直接连接外部网络，重要网络与其他网络之间采取可靠的技术隔离手段。应在网络边界部署访问控制设备，启用访问控制功能。

3.网络设备安全。网络远程访问服务等采取安全防护措施。网络设备应设置口令密码，并至少每三个月更换一次，口令密码的强度应满足安全性要求。关闭未使用的网络端口和不必要的服务。应在网络边界处监视：端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等攻击行为。检测到攻击行为时，应记录攻击源IP、攻击类型、攻击目的、攻击时间，在发生严重入侵事件时应提供报警。

（三）应用安全

1.身份鉴别。应提供登录控制模块对登录用户进行身份标识和鉴别。应提供用户身份标识唯一和鉴别信息复杂度检查功能，保证应用系统中不存在重复用户身份标识，身份鉴别信息不易被冒用。应提供登录失败处理功能，可采取结束会话、限制非法登录次数和自动退出等措施。

2.访问控制。应用系统应具有访问控制策略，并严格限制默认账户的访问权限、范围、相关的主体、客体及它们之间的关系。

3.安全审计。应用系统应具有审计记录功能，应提供覆盖到每个用户的安全审计功能，对应用系统重要安全事件进行审计。并且审计记录至少包括事件的日期、时间、发起者信息、类型、描述和结果等。

4.口令密码设置。用户口令和密码的设置在长度和强度上要符合信息安全管理要求，并定期进行更换，封存保管。

（四）客户端安全

客户端应安装和使用正版软件，安装防病毒、补丁分发、非法外联等安全防护软件，并及时进行升级、更新操作系统补丁程序。用户组策略设置相应权限，检查系统的用户，删除非法用户。应设置开机和屏幕保护密码。

作者简介：宋瑞强（1975-），男，辽宁沈阳人，硕士研究生，工程师，任职于中国人民银行沈阳分行科技处。