第 1 页 征信机构信息系统安全及内控机制 —、征信机构信息系统安全等级 (一)征信系统的数据安全管理 电子数据安全是征信系统安全管理的重要组成部分需要构建全方位、立体化的征信系统信息安全管理机制。 1.网络访问控制 目前,个人信用信息基础数据库和企业信用信息基础数据库等业务客户端系统同其他大部分业务系统一样,都支持 Telnet 协议的远程登录方式。网络中任意终端设备在安装相对应的客户端后,理论上即具有远程登录主机的条件。征信机构实行互联网、办公网和业务网物理隔离的三网分离管理模式,网络访问控制清晰且严格,但同一网络间存在计算机互访的条件,如控制不当将为远程入侵留下隐患,直接威胁到数据通信和数据存储机密性的安全。加强网络访问控制,关键是阻止未授权终端接入。在各个使用征信系统业务终端的金融机构的交换机和路由设备中设定多层访问控制列表 及划 定虚 拟 局 域 网,通过 授权将指 定的业务终端绑 定。 2.加强身 份 认 证 身 份 认 证 是登录征信系统的必 要程序 ,此 要素 出 现 缺 陷 ,将直接影 响 到数据使用的 可 控性。而 强身 份 认 证 则 是在其基础上贯 彻 强化原 则 ,明 确 各项 规 章 制度 在安全管理方面 的要求 。首 先 ,要强化用户的资 格管理。这 是经 身 份 认 证 并 登录系统进 行操 作 的基础。 用户的建立须 经 过 岗 前培 训 ,具备相关从 业资 格,签 订 岗 位安全责 任状 、保 密责 任书 及 协议等一系列制度 要求 的程序 。其次 ,要强化用户的口令 管理。用户代 码 及口 令 是身 份 认 证 的体现 方式,一个用户代 码 只 限 一个用户使用,用户在接到分配 的用户代 码 后,应 立即登录系统并 修 改 口 令 ,勤 更 换,并 仅限 持有该 用户代 码 的本 人掌 握 。最 后,要强化 用户的制约 管理。合 理设定兼 岗 用户,及时 撤 销 停 止使用的用户权限 ,负 责 保 管密封 口 令 的管理人员 不得 拥 有各级身 份 认 证 权限 。强身 份 认 证 亦 可 通过 安全证 书 、USB Key (硬 件数字 证 书 载 体)、智 能 卡 芯 片 等方式实现 ,其作 用不仅 体现 在有效 防 止用户名 及密码 被 盗 用方面 ,更 体现 在对发 生 安全风 险 的责 任认 定方面 。 第 2 页 3.数 据 通 信 ...
