金融信息安全保护——基本原则与系统安全详解

基本原则和系统安全的各项要求，适用于传统金融行业、互联网金融行业、消费金融行业等企业或机构。作为标准的一部分，学习并运用，除了满足合规性要求外，更能提升其信息安全能力和水平。

基本原则

信息（数据、指令、消息、报告等）基本原则：

1、准确性

准确性是信息和数据与真实情况的接近程度。金融信息服务提供商应保证提供金融信息真实、准确，信息的表述不会引起歧义，能够反映信息的真实状态，不得有虚假记载或误导性陈述。

2、完整性

完整性是信息在存贮和传输的过程中，不被非法授权修改、破坏, 插入、延迟、乱序和丢失的特性。金融信息服务提供商对金融信息进行采集、加工、处理和提供时应保证信息要素完整，没有有重大遗漏、或者信息歪曲失真的情况发生。3、

3、可用性

可用性是授权实体在需要时可访问和可使用的性质。金融信息服务提供商应保证提供金融信息服务的网络、信息系统随时可用，使合法授权的用户可以及时获取所需的金融信息。

信息服务（向从事分析、决策、交易、清算等金融行业以及相关机构和个人，提供可能影响金融活动和金融市场的信息、数据、软件以及相关信息技术等方面的服务）基本原则

1、时效性

时效性是信息仅在一定时间段内对决策具有价值的属性。金融信息服务提供商应保证金融信息及时提供和更新。针对不同级别用户可以划分优先等级。

2、可信性

可信性是提供确实可信服务的综合能力。金融信息服务提供商应保证所提供的金融信息来源明确，金融信息加工处理经过审核确认。

3、合规性

合规性是符合并遵守法律、政策、规章、程序及合同的能力。金融信息服务提供商在采集、加工、处理和提供信息时不应违反知识产权、著作权等法律法规要求；

信息安全基本要求：

1、不可否认性

不可否认性是一个活动或事件已经发生，且不可否认的能力。金融信息服务提供商应通过身份认证、数字签名等技术保证所提供的金融信息服务不可被否认，并可以追溯金融信息的提供方、提供时间、接收方等信息。

2、保密性

保密性是信息对未授权的个人、实体或过程不可用或不可泄漏的特性。金融信息服务提供商应通过完备的信息安全体系，保证未授权者无法使用信息，在信息使用和传输过程中不会被非法泄漏而扩散。

3、可控性

可控性是信息的传播及内容具有控制能力的特性。金融信息服务提供商必须掌握、控制信息的流向、使用范围等，以便国家相关监管部门审查。包括不限于信息可控性，授权机关可以随时控制信息的机密性；访问可控性，每一个用户只能访问自己被授权可以访问的信息；等级可控性，系统中可利用的信息及资源应当划分保密等级。

金融信息

金融信息服务系统安全

1、基础设施安全

在网络安全方面，按照国家网络安全相关规定和国家信息安全等级保护制度的要求，金融信息服务提供商应遵循《计算机信息网络国际联网安全保护管理办法》，开展信息系统安全管理工作。包括不限于以下几方面：

a)在计算机硬件设施方面，金融信息服务提供商应采取措施保障WEB服务器、应用服务器、数据库服务器等安全，建立完善的网络安全设施和安全管理方案，建立及时更新的防病毒系统，保护系统和数据库的安全；

b)金融信息服务提供商应具有较为完善的信息安全设施，如网络防火墙、入侵检测、病毒防范、数据加密以及灾难恢复等信息安全软硬件系统，并设专门人员进行日常管理与维护；

a)具有特许经营权的金融信息服务提供商如交易所、中央登记结算公司等的机房选址应遵守国家有关规定；

b)金融信息服务提供商业务相关的计算机系统，不得处理与本系统业务无关的业务。因特殊情况需要承担其它业务的，应由主管部门批准。

2、软件安全

金融信息服务提供商应制定一套完整的软件安全解决方案，包括不限于以下几方面：

a)在服务器端对系统软件、应用软件及其配置进行定期备份，并做好相应的记录；

b)及时掌握系统及应用软件公布的软件漏洞，并进行更新修正；

c)对所有的系统软件、应用软件操作执行审计日志，并定期对日志进行分析，发现问题及时处理。

3、网络安全

金融信息服务提供商应具有网络安全保护意识，具备网络安全保护能力。包括不限于以下几方面：

a)端口扫描、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等网络攻击的防护；

a)采取系统访问控制、数据保护和系统安全保密监控管理等技术措施，未采取安全保密措施的数据库不得联网。

b)已与国际计算机网络联网的计算机信息系统，应建立严格的管理制度；联网单位要指定专人对上网信息进行保密检查；

c)任何涉及国家安全的金融信息不得在与国际网络联网的计算机信息系统中存储、处理、传递。

4、数据安全

金融信息服务提供商应制定完整的数据安全解决方案，包括不限于以下几方面：

a)金融信息数据资料的分类存储、恢复、调用、加密等技术措施；

b)检测金融信息和数据在采集、加工、处理、存储、传输和使用过程中完整性是否受到破坏，并在检测到完整性错误时采取必要的恢复措施；

c)提供本地数据备份与恢复功能，采用实时备份与异步备份或增量备份与完全备份的方式。备份介质应妥善存放保管；

d)具备数据安全传输解决方案，以安全的网络、会话管理和恢复特性等来确保数据安全和数据传输安全。

5、运行安全

金融信息服务提供商应制定并依据运维制度开展日常工作，内容包括总体安全策略、安全技术框架、安全管理策略、机房管理制度、系统维护制度、安全需求分析和详细设计方案等。

金融信息服务提供商应制定应急工作预案，对故障恢复相关事宜做出规定。

6、容灾和恢复

金融信息服务提供商应制定完备的容灾恢复方案，对容灾备份的方式、频度、存储介质、保存期等进行规范。包括不限于以下几方面：

a) 根据数据的重要性，制定数据的容灾备份策略和恢复策略，备份策略应指明容灾备份数据的放置场所、文件命名规则、介质替换频率等内容；

b) 定期对容灾备份数据有效性进行检查，备份数据应异地保存；

c) 建立控制容灾数据备份和恢复过程的程序，定期进行数据灾备恢复切换演练。

金融信息系统安全