中国银保监会办公厅关于加强无线网络安全管理的通知

中国银保监会办公厅关于加强无线网络安全管理的通知

（银保监办发[2018]50号）

各银监局，各保监局，各政策性银行、大型银行、股份制银行，邮储银行，外资银行，金融资产管理公司，各保险集团（控股）公司、保险公司、保险资产管理公司、保险专业中介机构：

近年来，无线网络技术发展较快，在银行保险机构的业务服务、移动办公和互联网接入等领域得到广泛应用，但由于缺乏线路连接控制及管理不规范问题，无线网络信息截取、非法入侵、伪冒诈骗等风险近期呈上升态势。为加强风险防范，确保银行业和保险业网络和信息系统安全，现就加强无线网络安全管理有关事项通知如下：

一、本通知所指无线网络，指以无线电波为信息传输媒介，运用无线通讯技术实现数据传输的网络，包括银行保险机构的无线局域网（简称“WLAN”）和其使用的专用移动通讯网。主要无线网络类型包括：

（一）利用运营商提供的3G/4G等专用移动通讯网，支持离行金融机具、移动业务终端等设备连接银行保险机构内部通讯网络，或经营场所间网络通讯的移动通讯网络（简称“移动通讯专网”）。

（二）接入银行保险机构内部通讯网络，支持业务经营、办公、开发测试、培训等的无线局域网络（简称“内网WLAN”）。

（三）为银行保险机构客户或员工提供互联网服务的无线局域网络（简称“互联网WLAN”），包括自建、租用运营商的互联网WLAN等。

三、银行保险机构应明确对无线网络安全管理的职能部门，建立无线网络管理制度和技术安全规范，要按照“谁主管谁负责、谁运营谁负责”的原则，建立无线网络的审批备案管理制度，对使用需求、访问权限和用户行为进行严格管理。

四、银行保险机构应将无线网络安全管理纳入日常信息科技风险评估、检查及审计范围，检查和评估各级部门无线网络使用的合规性、安全性、管理有效性。

五、银行保险机构应釆取以下措施，控制无线网络安全风险。

（二）银行保险机构WLAN应通过绑定设备序列号或MAC地址（硬件地址）等硬件特征信息对无线接入点进行准入控制，合理设置传输功率，控制无线信号的覆盖范围。

（三）“内网WLAN”网络名称（简称SSID）应釆用规范的命名规则，命名应尽可能不泄露所属银行保险机构、网络特性、物理位置等信息，禁止使用缺省的SSID。生产环境“内网WLAN”应禁止使用SSID广播，避免攻击者通过扫描直接获取无线网络信息。

（四）银行保险机构应釆用安全、可靠的加密协议，对无线通信信道进行安全加密，以保证“内网WLAN”和“移动通讯专网”传输信息的保密性、完整性，防止信息被非法窃听、伪造、篡改或重放。

（五）银行保险机构应确保无线网络设备的物理安全，并釆取安全基线管理措施，启用必要的安全设置，禁用不必要的服务，强化无线网络设备的管理账号和口令安全，禁止使用弱口令。

（八）“移动通讯专网”应使用双因素认证方式，通过专用SIM卡、用户名/密码、证书等，对移动终端、离行机具等设备进行认证，保障无线设备接入安全。

（九）银行保险机构应采用防火墙、入侵检测、防病毒等网络安全技术措施，并加强对伪冒WLAN热点的侦测，防范欺诈、钓鱼等无线网络攻击。

（十）银行保险机构短期使用、临时搭建的无线网络，应遵循前述无线网络安全管理和技术规范要求，并须明确使用期限，期满后应及时拆除或关闭。

（十一）对于不涉及保密信息和敏感数据，且不与银行保险机构内部网络或互联网连接的“孤岛”临时性无线网络，其安全管理参照前述要求执行。

六、银行保险机构应对无线网络安全威胁进行持续监控，及时处置无线网络安全事件，防止无线网络感染和传播病毒等恶意程序，防范无线网络遭受入侵和攻击风险。

（二）银行保险机构应建立网络安全事件的应急响应机制，制定专项应急预案及现场处置方案，明确处置流程，确保无线网络安全事件得到有效处置。发生重大网络安全事件时，应按照监管隶属关系，及时向中国银保监会或其派出机构报告。

七、银行保险机构应加强无线网络安全漏洞发现与处置，每年开展安全风险评估和测试，针对网络部署架构、设备和系统，积极釆取配置检测、漏洞扫描、渗透测试等技术手段，及时发现和修复无线网络安全漏洞，定期开展模拟无线网络攻击应急演练。

八、银行保险机构委托外部服务商代为提供无线网络服务时，应明确外包服务商的安全责任，要求其每年提供无线网络安全风险评估报告，并督促其进行问题整改。

十、各银行保险机构应迅速开展一次全面自查工作，对本机构的无线网络进行全面梳理，建立无线网络台账；对照本通知要求，开展无线网络安全风险评估，重点就无线网络的规划建设、运行监控、漏洞管理、安全审计等领域进行自查、评估，对发现的问题立即进行整改，确保无线网络安全。各机构应于2018年8月31日前完成自查工作，按照监管隶属关系，向中国银保监会或其派出机构提交自查和风险评估报告。请各银监局和各保监局分别汇总辖内银行业金融机构和保险专业中介机构的自查和风险评估报告，各保险集团公司汇总下属各子公司自查和风险评估报告，于2018年9月15日前报送中国银保监会。