—PAGE—《GB/T36618-2018信息安全技術(shù)金融信息服務(wù)安全規(guī)范》實施指南一、金融信息服務(wù)安全基本原則深度剖析：如何確保信息準(zhǔn)確、完整與可用？二、信息采集環(huán)節(jié)的關(guān)鍵控制點：怎樣合法合規(guī)且高效地獲取金融信息？三、金融信息加工與處理的核心技術(shù)要求：保障數(shù)據(jù)質(zhì)量與安全的要點在哪？四、對外提供金融信息的合規(guī)與風(fēng)險防范：如何平衡服務(wù)與責(zé)任？五、基礎(chǔ)設(shè)施安全保障：筑牢金融信息服務(wù)的硬件與軟件防線六、網(wǎng)絡(luò)安全防護(hù)：應(yīng)對日益復(fù)雜的網(wǎng)絡(luò)攻擊挑戰(zhàn)七、數(shù)據(jù)安全管理：全生命周期的數(shù)據(jù)保護(hù)策略八、用戶數(shù)據(jù)安全的特別要求：守護(hù)用戶隱私的具體舉措九、信息安全管理體系構(gòu)建：從制度到執(zhí)行的全面落實十、未來趨勢下的標(biāo)準(zhǔn)展望：金融信息服務(wù)安全規(guī)范的進(jìn)化方向一、金融信息服務(wù)安全基本原則深度剖析：如何確保信息準(zhǔn)確、完整與可用？（一）準(zhǔn)確性原則：金融信息的生命線準(zhǔn)確性是金融信息與真實情況的接近程度。金融信息服務(wù)提供商務(wù)必保證所提供信息真實、準(zhǔn)確，表述清晰無歧義，如實反映信息真實狀態(tài)，杜絕虛假記載與誤導(dǎo)性陳述。這要求從信息源頭嚴(yán)格把控，在采集環(huán)節(jié)確保數(shù)據(jù)真實可靠，加工處理過程嚴(yán)謹(jǐn)規(guī)范，避免數(shù)據(jù)扭曲。以股票市場數(shù)據(jù)為例，股價、成交量等數(shù)據(jù)若不準(zhǔn)確，投資者將基于錯誤信息決策，可能導(dǎo)致嚴(yán)重經(jīng)濟(jì)損失，擾亂金融市場秩序。（二）完整性原則：保障信息無遺漏與失真完整性強(qiáng)調(diào)信息在存儲和傳輸中，不被非法授權(quán)修改、破壞、插入、延遲、亂序或丟失。提供商在采集、加工、處理和提供金融信息時，需保證信息要素完整，無重大遺漏、歪曲失真。比如企業(yè)財務(wù)報表信息，任何關(guān)鍵數(shù)據(jù)的缺失或被篡改，都會使投資者對企業(yè)真實財務(wù)狀況誤判，影響投資決策。確保完整性需建立嚴(yán)格數(shù)據(jù)校驗機(jī)制，從采集到傳輸各環(huán)節(jié)進(jìn)行完整性監(jiān)測與修復(fù)。（三）可用性原則：滿足用戶及時獲取需求可用性指授權(quán)實體在需要時能有效訪問和利用金融信息。提供商應(yīng)確保提供金融信息服務(wù)的網(wǎng)絡(luò)、信息系統(tǒng)隨時可用，讓合法授權(quán)用戶及時獲取所需信息。在金融交易高峰期，如股票開盤、收盤時段，若系統(tǒng)出現(xiàn)卡頓、癱瘓，用戶無法及時下單、查詢交易信息，將嚴(yán)重影響交易效率與用戶體驗。這需要提供商具備強(qiáng)大技術(shù)運(yùn)維能力，做好服務(wù)器擴(kuò)容、優(yōu)化網(wǎng)絡(luò)架構(gòu)等工作，保障系統(tǒng)高可用性。二、信息采集環(huán)節(jié)的關(guān)鍵控制點：怎樣合法合規(guī)且高效地獲取金融信息？（一）明確信息來源與采集要求金融信息服務(wù)提供商要對信息來源進(jìn)行詳細(xì)說明，涵蓋購買第三方數(shù)據(jù)庫、交叉授權(quán)獲取、網(wǎng)絡(luò)采集及服務(wù)過程產(chǎn)生等。同時，明確采集要求，記錄金融信息來源、采集方式、范圍并存檔。制定標(biāo)準(zhǔn)采集模板、方法、策略和規(guī)范，對初次采集信息依來源、類型或重要程度分類。例如，從網(wǎng)絡(luò)采集財經(jīng)新聞時，要明確采集網(wǎng)站是否合法合規(guī)，采集內(nèi)容是否有版權(quán)限制，按新聞類別如宏觀經(jīng)濟(jì)、行業(yè)動態(tài)等分類存儲，便于后續(xù)加工處理。（二）合法合規(guī)的采集方式可通過各種渠道采集已合法公開披露的金融信息，如從官方財經(jīng)媒體獲取宏觀經(jīng)濟(jì)數(shù)據(jù)。也可與有關(guān)機(jī)構(gòu)或個人通過約定方式采集，像與數(shù)據(jù)供應(yīng)商簽訂授權(quán)引用、采購協(xié)議。若采用其他方式采集，必須符合金融監(jiān)管要求。以采集企業(yè)信用信息為例，若從非官方、非正規(guī)渠道獲取，可能涉及侵犯企業(yè)隱私、違反數(shù)據(jù)保護(hù)法規(guī)，而通過正規(guī)信用評級機(jī)構(gòu)授權(quán)獲取則合法合規(guī)。（三）資質(zhì)審核與信息記錄設(shè)置專人負(fù)責(zé)對信息生產(chǎn)者和提供者進(jìn)行資質(zhì)審核，對數(shù)據(jù)來源的知識產(chǎn)權(quán)、著作權(quán)審查、授權(quán)引用許可、免責(zé)聲明等信息記錄在案。比如引入第三方金融分析報告時，要審核報告撰寫機(jī)構(gòu)資質(zhì)，確認(rèn)報告數(shù)據(jù)引用是否合法，有無版權(quán)糾紛，記錄相關(guān)授權(quán)信息，確保信息采集合法合規(guī)，保障自身與用戶權(quán)益。三、金融信息加工與處理的核心技術(shù)要求：保障數(shù)據(jù)質(zhì)量與安全的要點在哪？（一）審查復(fù)核與原則遵循金融信息服務(wù)提供商加工和處理的金融信息需通過審查復(fù)核，保證信息質(zhì)量。同時，在加工與處理過程中遵循完整性和一致性原則。完整性要求數(shù)據(jù)不被非法修改、破壞等，一致性指同一數(shù)據(jù)在不同處理環(huán)節(jié)保持一致。例如對金融交易數(shù)據(jù)進(jìn)行統(tǒng)計分析時，先審核原始交易數(shù)據(jù)準(zhǔn)確性，統(tǒng)計過程中確保數(shù)據(jù)無遺漏、篡改，不同統(tǒng)計維度下數(shù)據(jù)邏輯一致，這樣分析結(jié)果才可靠，為決策提供有效支持。（二）合法授權(quán)的工具與設(shè)備使用提供商應(yīng)使用有合法授權(quán)的軟件、設(shè)備、工具進(jìn)行數(shù)據(jù)采集、加工處理和發(fā)布。若使用未經(jīng)授權(quán)軟件，可能面臨法律風(fēng)險，且軟件穩(wěn)定性、安全性無保障，易導(dǎo)致數(shù)據(jù)泄露、處理錯誤。比如使用盜版數(shù)據(jù)分析軟件，可能在處理大量金融數(shù)據(jù)時出現(xiàn)崩潰，數(shù)據(jù)丟失，同時還可能因侵權(quán)面臨高額罰款，影響企業(yè)聲譽(yù)。（三）系統(tǒng)穩(wěn)定性與數(shù)據(jù)安全保障保證所采用的軟件系統(tǒng)、硬件系統(tǒng)持續(xù)穩(wěn)定運(yùn)行，確保金融信息存儲、傳輸、使用等過程安全可靠。在金融信息加工處理過程中，防止數(shù)據(jù)信息被非法授權(quán)查看、復(fù)制和篡改。通過設(shè)置嚴(yán)格用戶權(quán)限管理，只有授權(quán)人員可訪問特定數(shù)據(jù)；采用加密技術(shù)，對存儲和傳輸中的數(shù)據(jù)加密，如使用SSL加密協(xié)議保障數(shù)據(jù)在網(wǎng)絡(luò)傳輸安全，防止黑客竊取、篡改數(shù)據(jù)。四、對外提供金融信息的合規(guī)與風(fēng)險防范：如何平衡服務(wù)與責(zé)任？（一）經(jīng)營資質(zhì)與信息記錄金融服務(wù)提供商應(yīng)在網(wǎng)站主頁顯著位置標(biāo)明經(jīng)營許可證編號或者備案號，接受公眾監(jiān)督。通過合法合規(guī)程序、渠道為客戶提供金融信息服務(wù)，記錄金融信息內(nèi)容、發(fā)布時間、互聯(lián)網(wǎng)地址或域名等信息，轉(zhuǎn)載金融信息注明來源及轉(zhuǎn)載時間。如金融資訊網(wǎng)站要在首頁展示運(yùn)營資質(zhì)，發(fā)布每篇財經(jīng)文章時記錄發(fā)布時間、網(wǎng)址，若轉(zhuǎn)載需注明原出處，方便用戶核實信息來源，保障用戶知情權(quán)。（二）明確使用范圍與免責(zé)聲明明確客戶使用金融信息的范圍，避免信息濫用。同時提供免責(zé)聲明條款，對因信息使用產(chǎn)生的不可控風(fēng)險提前說明。例如為投資者提供投資分析報告時，明確報告僅作參考，不構(gòu)成投資建議，投資者據(jù)此決策風(fēng)險自擔(dān)。不同客戶風(fēng)險承受能力、投資目標(biāo)不同，明確使用范圍可幫助客戶合理利用信息，免責(zé)聲明能在一定程度上規(guī)避提供商法律風(fēng)險。（三）信息傳輸問題應(yīng)對當(dāng)由于信息安全技術(shù)問題影響金融信息傳輸質(zhì)量和速度時，及時通知客戶受影響數(shù)據(jù)范圍和時間區(qū)間，重大災(zāi)難事件必須及時通報相關(guān)監(jiān)管部門。如網(wǎng)絡(luò)故障導(dǎo)致部分金融數(shù)據(jù)傳輸延遲，立即向客戶發(fā)送通知，告知哪些數(shù)據(jù)受影響、預(yù)計恢復(fù)時間，讓客戶調(diào)整決策計劃。重大災(zāi)難如服務(wù)器機(jī)房火災(zāi)，及時通報監(jiān)管部門，配合調(diào)查，采取應(yīng)急措施保障客戶后續(xù)信息獲取，維護(hù)市場穩(wěn)定。五、基礎(chǔ)設(shè)施安全保障：筑牢金融信息服務(wù)的硬件與軟件防線（一）合規(guī)采購與硬件設(shè)備安全金融信息服務(wù)提供商應(yīng)采購經(jīng)過認(rèn)證合格或安全檢測合格的網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品。采取措施保障主機(jī)、服務(wù)器和存儲等硬件設(shè)備安全，對服務(wù)器安全要求至少符合相關(guān)標(biāo)準(zhǔn)規(guī)定。例如采購防火墻、入侵檢測系統(tǒng)等網(wǎng)絡(luò)安全設(shè)備，需選擇有安全認(rèn)證產(chǎn)品，保障網(wǎng)絡(luò)邊界安全。定期對服務(wù)器進(jìn)行巡檢、維護(hù)，做好防塵、散熱、供電保障，防止硬件故障導(dǎo)致數(shù)據(jù)丟失、服務(wù)中斷。（二）信息系統(tǒng)與操作系統(tǒng)安全提供金融信息服務(wù)的信息系統(tǒng)通用安全要求至少符合相關(guān)標(biāo)準(zhǔn)，對操作系統(tǒng)安全要求也需達(dá)標(biāo)。及時更新系統(tǒng)補(bǔ)丁，防止黑客利用系統(tǒng)漏洞攻擊。如Windows操作系統(tǒng)發(fā)布安全補(bǔ)丁后，金融機(jī)構(gòu)要及時部署更新，修復(fù)可能被黑客利用的遠(yuǎn)程代碼執(zhí)行等漏洞，保障信息系統(tǒng)整體安全穩(wěn)定運(yùn)行，防止數(shù)據(jù)泄露、系統(tǒng)被控制風(fēng)險。（三）網(wǎng)絡(luò)安全設(shè)施與總體檢測建立完善的網(wǎng)絡(luò)安全設(shè)施，如網(wǎng)絡(luò)防火墻、入侵檢測、病毒防范、數(shù)據(jù)加密以及災(zāi)難恢復(fù)等信息安全軟硬件系統(tǒng)，并設(shè)專門人員日常管理與維護(hù)。采用不同方法檢測網(wǎng)絡(luò)、主機(jī)和存儲設(shè)備等不同層面基礎(chǔ)設(shè)施，最后進(jìn)行總體安全檢測工作，對涉及個人信息、保密信息等安全風(fēng)險進(jìn)行抽查檢測。例如利用漏洞掃描工具定期檢測網(wǎng)絡(luò)設(shè)備、主機(jī)漏洞，對發(fā)現(xiàn)的高危漏洞及時修復(fù)；定期進(jìn)行數(shù)據(jù)加密效果檢測，確保數(shù)據(jù)保密性。六、網(wǎng)絡(luò)安全防護(hù)：應(yīng)對日益復(fù)雜的網(wǎng)絡(luò)攻擊挑戰(zhàn)（一）常見網(wǎng)絡(luò)攻擊防護(hù)具備對端口掃描、木馬后門攻擊、拒絕服務(wù)攻擊、緩沖區(qū)溢出攻擊、IP碎片攻擊和網(wǎng)絡(luò)蠕蟲攻擊等網(wǎng)絡(luò)攻擊的防護(hù)能力。通過部署入侵檢測系統(tǒng)（IDS）、入侵防御系統(tǒng)（IPS）實時監(jiān)測網(wǎng)絡(luò)流量，發(fā)現(xiàn)異常流量及時阻斷。如發(fā)現(xiàn)大量來自同一IP的端口掃描行為，IPS自動封禁該IP，防止黑客進(jìn)一步探測系統(tǒng)漏洞，入侵內(nèi)部網(wǎng)絡(luò)。（二）訪問控制與數(shù)據(jù)保護(hù)采取系統(tǒng)訪問控制、數(shù)據(jù)保護(hù)和系統(tǒng)安全保密監(jiān)控管理等技術(shù)措施。未采取安全保密措施的數(shù)據(jù)庫不得聯(lián)網(wǎng)，已聯(lián)網(wǎng)計算機(jī)信息系統(tǒng)建立嚴(yán)格管理制度，指定專人對上網(wǎng)信息進(jìn)行保密檢查，涉及國家安全的金融信息不得在與國際網(wǎng)絡(luò)聯(lián)網(wǎng)系統(tǒng)中存儲、處理、傳遞。例如通過設(shè)置用戶身份認(rèn)證、權(quán)限管理，只有授權(quán)人員可訪問特定數(shù)據(jù)庫表；對敏感金融數(shù)據(jù)加密存儲，防止數(shù)據(jù)泄露。（三）網(wǎng)絡(luò)運(yùn)行狀態(tài)監(jiān)測與記錄對網(wǎng)絡(luò)運(yùn)行狀態(tài)、網(wǎng)絡(luò)安全事件進(jìn)行監(jiān)測、記錄。通過網(wǎng)絡(luò)管理系統(tǒng)實時監(jiān)控網(wǎng)絡(luò)帶寬、流量、設(shè)備運(yùn)行狀態(tài)等指標(biāo)，出現(xiàn)異常及時告警。對網(wǎng)絡(luò)安全事件如黑客攻擊嘗試、數(shù)據(jù)泄露事件詳細(xì)記錄，包括事件發(fā)生時間、來源、影響范圍等，便于后續(xù)分析原因，改進(jìn)網(wǎng)絡(luò)安全防護(hù)策略。七、數(shù)據(jù)安全管理：全生命周期的數(shù)據(jù)保護(hù)策略（一）數(shù)據(jù)分類存儲與技術(shù)措施金融信息服務(wù)提供商應(yīng)提供數(shù)據(jù)資料的分類存儲、恢復(fù)、調(diào)用、加密和銷毀等技術(shù)措施。根據(jù)數(shù)據(jù)重要性、敏感性分類，如將客戶身份證號、銀行卡號等敏感信息單獨加密存儲。采用RAID磁盤陣列技術(shù)保障數(shù)據(jù)存儲可靠性，定期備份數(shù)據(jù)，以便在數(shù)據(jù)丟失或損壞時恢復(fù)。對不再使用的敏感數(shù)據(jù)，采用專業(yè)數(shù)據(jù)銷毀工具徹底刪除，防止數(shù)據(jù)恢復(fù)導(dǎo)致泄露。（二）完整性檢測與恢復(fù)檢測金融信息和數(shù)據(jù)在采集、加工、處理、存儲、傳輸和使用過程中完整性是否受到破壞，并在檢測到完整性錯誤時采取必要恢復(fù)措施。通過計算數(shù)據(jù)哈希值等方式校驗數(shù)據(jù)完整性，如在數(shù)據(jù)傳輸前后對比哈希值，若不一致說明數(shù)據(jù)可能被篡改，從備份中恢復(fù)正確數(shù)據(jù)，確保數(shù)據(jù)在各環(huán)節(jié)真實可靠，保障金融業(yè)務(wù)正常開展。（三）數(shù)據(jù)備份與安全傳輸提供本地數(shù)據(jù)備份與恢復(fù)功能，采用實時備份與異步備份或增量備份與完全備份方式，備份介質(zhì)妥善存放保管。具備數(shù)據(jù)安全傳輸解決方案，以安全網(wǎng)絡(luò)、會話管理和恢復(fù)特性確保數(shù)據(jù)安全和傳輸安全。例如使用異地災(zāi)備中心進(jìn)行數(shù)據(jù)備份，防止本地災(zāi)難導(dǎo)致數(shù)據(jù)全失；采用SSL/TLS加密協(xié)議保障數(shù)據(jù)在網(wǎng)絡(luò)傳輸過程不被竊取、篡改。八、用戶數(shù)據(jù)安全的特別要求：守護(hù)用戶隱私的具體舉措（一）嚴(yán)格保管與合法使用金融信息服務(wù)提供商應(yīng)嚴(yán)格保管用戶數(shù)據(jù)，遵循個人信息保護(hù)相關(guān)法律法規(guī)。使用用戶數(shù)據(jù)時，包括身份信息、認(rèn)證信息和衍生信息等，不得用于商業(yè)目的，保證不被非法泄漏。向境外提供用戶數(shù)據(jù)時，根據(jù)相關(guān)法規(guī)要求，完成安全評估后使用。如金融機(jī)構(gòu)對客戶身份信息嚴(yán)格保密，未經(jīng)客戶授權(quán)，不得將客戶信息用于營銷等商業(yè)活動，防止客戶信息被濫用，保障客戶隱私安全。（二）突發(fā)安全事件處理及時處理涉及用戶數(shù)據(jù)的突發(fā)安全事件。建立應(yīng)急響應(yīng)機(jī)制，一旦發(fā)生數(shù)據(jù)泄露等事件，立即啟動預(yù)案。如通知受影響用戶，告知事件情況、可能風(fēng)險及應(yīng)對措施；配合監(jiān)管部門調(diào)查，采取技術(shù)手段追溯泄露源頭，及時止損，降低事件對用戶和企業(yè)聲譽(yù)影響。（三）用戶數(shù)據(jù)安全審計采用技術(shù)措施對系統(tǒng)和應(yīng)用軟件行為及內(nèi)容進(jìn)行監(jiān)測和記錄，監(jiān)測到非法操作或非法信息時，及時響應(yīng)處理。提供對客體身份、用戶身份、主體身份、主機(jī)身份和安全事件的審計，審計記錄包括事件日期、事件類型和描述等信息，保護(hù)審計記錄，避免被未預(yù)期刪除、修改或覆蓋。例如通過日志審計系統(tǒng)記錄用戶對數(shù)據(jù)庫操作，發(fā)現(xiàn)未經(jīng)授權(quán)查詢、修改用戶數(shù)據(jù)行為，及時報警并阻止，便于后續(xù)追溯責(zé)任。九、信息安全管理體系構(gòu)建：從制度到執(zhí)行的全面落實（一）總體目標(biāo)與指導(dǎo)原則確立金融信息服務(wù)提供商應(yīng)明確信息安全管理總體目標(biāo)和指導(dǎo)原則?？傮w目標(biāo)如保障金融信息服務(wù)安全、保護(hù)用戶數(shù)據(jù)隱私、符合法律法規(guī)要求等。指導(dǎo)原則涵蓋風(fēng)險導(dǎo)向、預(yù)防為主、持續(xù)改進(jìn)等。例如以風(fēng)險導(dǎo)向原則，對金融信息服務(wù)各環(huán)節(jié)進(jìn)行風(fēng)險評估，識別高風(fēng)險點，優(yōu)先投入資源防范，確保信息安全管理體系建設(shè)有明確方向。（二）獨立部門與職責(zé)落實建立獨立部門落實信息安全管理相關(guān)職責(zé)，包括制定安全策略、監(jiān)督執(zhí)行、應(yīng)急響應(yīng)等。部門內(nèi)明確人員分工，如安全策略制定專人負(fù)責(zé)研究法規(guī)、行業(yè)標(biāo)準(zhǔn)，結(jié)合企業(yè)實際制定策略；應(yīng)急響應(yīng)小組負(fù)責(zé)在安全事件發(fā)生時快速行動，降低損失。通過獨立部門運(yùn)作，保障信息安全管理工作專業(yè)性、獨立性，有效落實各項安全措施。（三）安全管理制度與流程建設(shè)制定完善的安全管理制度和流程，包括機(jī)房管理制度、系統(tǒng)維護(hù)制度、安全需求分析和詳細(xì)設(shè)計方案等。機(jī)房管理制度明確機(jī)房人員出入、設(shè)備操作規(guī)范；系統(tǒng)維護(hù)制度規(guī)定系統(tǒng)巡檢周期、維護(hù)流程。通過制度流程規(guī)范，確保信息安全管理工作標(biāo)準(zhǔn)化、規(guī)范化，減少人為失誤導(dǎo)致安全風(fēng)險。十、未來趨勢下的標(biāo)準(zhǔn)展望：金融信息服務(wù)安全規(guī)范的進(jìn)化方向（一）新技術(shù)應(yīng)用帶來的安全挑戰(zhàn)與應(yīng)對隨著人工智能、區(qū)塊鏈、大數(shù)據(jù)等新技術(shù)在金融信息服務(wù)領(lǐng)域應(yīng)用，帶來新安全挑戰(zhàn)。如人工智能算法可能存在偏見、被攻擊篡改風(fēng)險；區(qū)塊鏈智能合約漏洞可能導(dǎo)致資金損失。未來標(biāo)準(zhǔn)需針對這些新技術(shù)安全問題，提出新要求與解決方案，如規(guī)范人工智能算法訓(xùn)練數(shù)據(jù)來源、審計智能合約代碼安全性，保障新技術(shù)安全應(yīng)用。（二