【摘要】金融機構(gòu)應(yīng)在物理環(huán)境安全、網(wǎng)絡(luò)安全、應(yīng)用安全和計算機設(shè)備安全方面采取必要和完善的信息安全技術(shù)防范措施來保護(hù)個人金融信息，保障個人的合法權(quán)益和個人隱私，從而降低運營風(fēng)險，提高客戶服務(wù)質(zhì)量。

【關(guān)鍵詞】信息安全 技術(shù)防范 個人金融信息

個人金融信息是金融機構(gòu)日常業(yè)務(wù)工作中積累的一項重要基礎(chǔ)數(shù)據(jù)，也是金融機構(gòu)客戶個人隱私的重要內(nèi)容。如何收集、使用、對外提供個人金融信息，既涉及到銀行業(yè)金融機構(gòu)業(yè)務(wù)的正常開展，也涉及客戶信息、個人隱私的保護(hù)。如果出現(xiàn)與個人金融信息有關(guān)的不當(dāng)行為，不但會直接侵害客戶的合法權(quán)益，也會增加銀行業(yè)金融機構(gòu)的訴訟風(fēng)險，加大運營成本。近年來，個人金融信息侵權(quán)行為時有發(fā)生，并引起社會的廣泛關(guān)注。因此，采取必要和完善的信息安全技術(shù)防范措施可以有效降低個人金融信息的泄漏風(fēng)險，同時也是確保個人金融信息在收集、傳輸、加工、保存、使用等環(huán)節(jié)中不被泄露的基礎(chǔ)和前提。

一、主要的技術(shù)風(fēng)險

信息技術(shù)的廣泛應(yīng)用和快速發(fā)展，極大促進(jìn)了金融業(yè)務(wù)的創(chuàng)新，起到了有效的技術(shù)支撐作用，同時也帶來了信息安全隱患和風(fēng)險。就個人金融信息保護(hù)方面帶來的主要技術(shù)風(fēng)險包括：數(shù)據(jù)中心物理環(huán)境風(fēng)險、網(wǎng)絡(luò)風(fēng)險、計算機系統(tǒng)風(fēng)險、應(yīng)用系統(tǒng)風(fēng)險、計算機病毒風(fēng)險、黑客及犯罪風(fēng)險、內(nèi)外部人員風(fēng)險和技術(shù)管理等風(fēng)險。

二、技術(shù)防范措施

針對上述各方面存在的風(fēng)險隱患，必要和完善的信息安全技術(shù)防范措施凸顯重要，是防止個人金融信息泄露的前提基礎(chǔ)和有利支撐。

（一）物理環(huán)境安全

1.物理分區(qū)。信息中心機房在建筑物內(nèi)應(yīng)為獨立區(qū)域，按功能應(yīng)將機房分為生產(chǎn)區(qū)和輔助區(qū)，其中生產(chǎn)區(qū)是指放置信息系統(tǒng)服務(wù)器等設(shè)備的運行區(qū)域，輔助區(qū)是指放置供電、消防、空調(diào)等設(shè)備的區(qū)域。

2.門禁控制。分區(qū)控制機房出入口，應(yīng)能控制、鑒別和記錄進(jìn)出的人員；各分區(qū)應(yīng)實行出入口控制、入侵報警和視頻監(jiān)控等措施，完整記錄進(jìn)出各分區(qū)人員及時間。生產(chǎn)區(qū)與開發(fā)區(qū)應(yīng)實行場地和人員分離，系統(tǒng)開發(fā)人員禁止進(jìn)入生產(chǎn)區(qū)，系統(tǒng)操作人員和未經(jīng)授權(quán)人員禁止進(jìn)入開發(fā)區(qū)。

3.電磁屏蔽。應(yīng)對關(guān)鍵設(shè)備和磁介質(zhì)實施電磁屏蔽。

（二）網(wǎng)絡(luò)安全

1.接入管理。網(wǎng)絡(luò)接入手續(xù)應(yīng)齊全，控制用戶終端的配備范圍，計算機客戶端應(yīng)采取入網(wǎng)認(rèn)證和準(zhǔn)入機制。按用戶和系統(tǒng)之間的允許訪問規(guī)則，決定允許或拒絕用戶對受控系統(tǒng)進(jìn)行資源訪問。

2.網(wǎng)絡(luò)安全域、訪問控制。應(yīng)避免將重要網(wǎng)絡(luò)部署在網(wǎng)絡(luò)邊界處且直接連接外部網(wǎng)絡(luò)，重要網(wǎng)絡(luò)與其他網(wǎng)絡(luò)之間采取可靠的技術(shù)隔離手段。應(yīng)在網(wǎng)絡(luò)邊界部署訪問控制設(shè)備，啟用訪問控制功能。

3.網(wǎng)絡(luò)設(shè)備安全。網(wǎng)絡(luò)遠(yuǎn)程訪問服務(wù)等采取安全防護(hù)措施。網(wǎng)絡(luò)設(shè)備應(yīng)設(shè)置口令密碼，并至少每三個月更換一次，口令密碼的強度應(yīng)滿足安全性要求。關(guān)閉未使用的網(wǎng)絡(luò)端口和不必要的服務(wù)。應(yīng)在網(wǎng)絡(luò)邊界處監(jiān)視：端口掃描、強力攻擊、木馬后門攻擊、拒絕服務(wù)攻擊、緩沖區(qū)溢出攻擊、IP碎片攻擊和網(wǎng)絡(luò)蠕蟲攻擊等攻擊行為。檢測到攻擊行為時，應(yīng)記錄攻擊源IP、攻擊類型、攻擊目的、攻擊時間，在發(fā)生嚴(yán)重入侵事件時應(yīng)提供報警。

（三）應(yīng)用安全

1.身份鑒別。應(yīng)提供登錄控制模塊對登錄用戶進(jìn)行身份標(biāo)識和鑒別。應(yīng)提供用戶身份標(biāo)識唯一和鑒別信息復(fù)雜度檢查功能，保證應(yīng)用系統(tǒng)中不存在重復(fù)用戶身份標(biāo)識，身份鑒別信息不易被冒用。應(yīng)提供登錄失敗處理功能，可采取結(jié)束會話、限制非法登錄次數(shù)和自動退出等措施。

2.訪問控制。應(yīng)用系統(tǒng)應(yīng)具有訪問控制策略，并嚴(yán)格限制默認(rèn)賬戶的訪問權(quán)限、范圍、相關(guān)的主體、客體及它們之間的關(guān)系。

3.安全審計。應(yīng)用系統(tǒng)應(yīng)具有審計記錄功能，應(yīng)提供覆蓋到每個用戶的安全審計功能，對應(yīng)用系統(tǒng)重要安全事件進(jìn)行審計。并且審計記錄至少包括事件的日期、時間、發(fā)起者信息、類型、描述和結(jié)果等。

4.口令密碼設(shè)置。用戶口令和密碼的設(shè)置在長度和強度上要符合信息安全管理要求，并定期進(jìn)行更換，封存保管。

（四）客戶端安全

客戶端應(yīng)安裝和使用正版軟件，安裝防病毒、補丁分發(fā)、非法外聯(lián)等安全防護(hù)軟件，并及時進(jìn)行升級、更新操作系統(tǒng)補丁程序。用戶組策略設(shè)置相應(yīng)權(quán)限，檢查系統(tǒng)的用戶，刪除非法用戶。應(yīng)設(shè)置開機和屏幕保護(hù)密碼。

作者簡介：宋瑞強（1975-），男，遼寧沈陽人，碩士研究生，工程師，任職于中國人民銀行沈陽分行科技處。