证券期货行业如何开展数据安全合规建设？_突袭网
当前位置&:&&&&证券期货行业如何开展数据安全合规建设？
热门标签：&
证券期货行业如何开展数据安全合规建设？
编辑：张俊
伴随互联网的高速发展，信息防御体系面临的风险威胁不断升级，直逼用户核心数据。这在资金体量庞大、用户信息集中、安全隐患影响深远的金融领域更为明显。作为金融体系重要组成部分的证券期货行业，存在交易金额大，操作频度高的情况，因此，相比银行和保险行业，对数据安全的要求同样严格，而随着攻击手段的不断演进，加之内外安全威胁并发，边界安全防御机制已经难以招架传统网络环境下的数据安全新问题。
《上海期货公司信息技术负责人联席会议》第二十八次会议 9月9日，安华金和受邀参加由上海市期货同业公会主办的《上海期货公司信息技术负责人联席会议》第二十八次会议，安华金和数据安全专家林鹭现场发表《证券期货行业数据安全治理》主题演讲，结合我们在数据库安全领域近十年的专业技术积累和实践经验，立足行业当前的数据安全合规要求，提出针对整个证券期货行业的数据安全建设思路。
安华金和数据安全专家林鹭发表主题演讲 关于安全合规 满足网安法要求和相关测评标准 《网络安全法》明确指出网络运营商关于个人信息保护的责任，如不得泄露、篡改、毁损其收集的个人信息；应当采取技术措施和其他必要措施，确保其收集的个人信息安全，防止信息泄露、毁损、丢失；采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月。 符合“网络安全等级保护测评”；ISO/IEC 27000 信息安全管理体系认证；ISO/IEC 20000 信息技术服务管理体系认证等相关标准。 证券期货行业合规要求 中国证监会作为证券期货行业监管机构，一直以来高度重视证券市场客户资料的保护工作，先后制定发布了一系列规定，要求证券公司建立健全客户资料管理制度及保密机制，并在日常监管中推动落实监管规定。 《证券基金经营机构信息技术管理办法》（征求意见稿）对经营机构提出数据保护、信息安全保障等管理、实践要求。除中国证监会及行业核心机构认可的情形外，经营机构不得在生产环境开展技术或者业务测试，不得在开发测试环境使用未经数据脱敏的客户信息。此外，针对用户认证、访问控制管理、监控与审计、数据加密、入侵防护等提出明确要求。 “证券期货业信息系统审计指南”规定：从身份鉴别、访问控制、安全审计、运维管理角度对数据库安全情况进行评估。 “证券期货业数据安全标准规划”要求：数据分类管理、分级防护、按过程采取措施等。 证券期货业数据安全建设思路 结合以上证券期货行业安全合规要求，对应证监会关于该行业提出的“证券期货业信息系统审计指南”，我们提出适用于该行业的数据库安全建设思路： 1 数据访问与操作行为管控 审计指南：在线数据未经授权不得访问、复制。 对数据的修改是否通过审批，双岗操作并记录操作日志。 技术应对 利用数据库安全运维系统，满足对内部人员、第三方人员数据库操作的管理要求。数据库运维安全审批流程管理，保证高危操作和敏感操作必须多人参与和批准；根据运维人员角色、运维数据重要度、运维操作风险类型，设置正常行为放行、可疑操作告警、重点操作审批、异常行为拦截。提供运维审批功能，敏感数据操作行为需要经过审批；审批通过后配发唯一口令码，确保操作执行者为信任用户，且执行行为属于获批行为。 通过数据库防火墙技术可以实现对数据库应用侧的外部攻击防护，具体表现为：漏洞攻击防护、SQL注入防护；数据库登录控制、权限控制；系统表和高危行为控制，返回结果阈值控制；对所有操作生成审计记录。 2 特定场景下规范数据安全使用 审计指南：在线数据和离线数据用于非生产环境时，是否进行脱敏处理；用于模拟测试时如无法进行脱敏处理，测试环境应采取与生产环境相当的安全措施。 技术应对 通过数据库脱敏技术： 实现不依赖数据标识对敏感数据的自动发现，全程自动脱敏，解放人力成本。 保障数据脱敏后的数据质量，确保测试系统、开发系统与业务分析系统能够高效使用脱敏后的数据。 3 第三方视角的数据库安全审计 审计指南：审计范围是否覆盖到服务器和重要客户端上的每个数据库用户；应在保证系统运行安全和效率的前提下，启用系统审计或采用第三方安全审计产品实现审计要求。 是否包含全面的审计内容和审计记录。 是否能够根据记录数据进行分析，并生成审计报表。 技术应对 通过第三方企业的数据库审计技术： 以“第三方”角度观察、记录网络中对数据库的访问行为，并识别访问风险； 实现全面的数据库审计，覆盖审计范围与内容要求，完美的报表展现，满足审计记录要求和审计报表需求； 通过精确的性能监控，找出业务性能瓶颈，帮助提升系统业务性能； 4 数据库安全的自动化检查 审计指南：关于身份鉴别：口令是否符合混排、无规律要求；长度、更换频率是否满足要求等。 数据库运维：是否保持数据库的可用性，及时维护、更新软件；是否定期检查数据库的用户、口令及权限设置的正确性。 技术应对 通过漏扫工具完成数据库自动化检查，找出数据库安全弱点，查找数据库安全漏洞和数据库危险使用情况，做到防患于未然。
更多精彩 >>>& 分享到：您好，国泰君安欢迎您
证券期货业信息系统审计指南发布实施
来源：上海证券报 　　
　&&证监会新闻发言人张晓军在昨日召开的例行新闻发布会上表示，证监会已于日前发布实施《证券期货业信息系统审计指南》（下称《审计指南》）金融行业标准。
　&&"信息系统审计"是指依据国家及行业信息系统相关规范和标准，对信息系统规划、建设、运维和应急等活动进行自我检查和评价，判断系统运行的安全性、系统建设的合规性和系统应用绩效，提出整改建议，并持续跟踪落实整改情况。
　&&张晓军介绍，信息系统审计是国内外通用和成熟的做法，证监会证券期货业信息化工作领导小组也多次强调，应在全行业开展信息系统审计工作，每年依据国家和行业发布的信息技术规则，对信息化建设和信息系统安全保障工作进行合规性审计，并相应进行建设整改。
　&&证券期货行业机构开展信息系统审计的实践中，主要存在两类较为突出的问题：一是行业机构对审计要求掌握不全面；二是缺乏可操作性强的指南。
　&&据悉，为指导和规范行业开展信息系统审计工作，2013年，证监会牵头组织相关单位起草行业标准《证券期货业信息系统审计规范》（下称《审计规范》），对近年来国家及行业信息技术的规章、规范、指引，标准等进行了全面梳理。按照"从严"的原则，《审计规范》明确了信息系统规划、建设、运维和应急等活动的3000多个审计项。
　&&日，证监会正式发布《审计规范》，从信息系统审计的组织、内容两个方面，对行业机构自主开展信息系统审计工作提出了要求。
　&&张晓军表示，《审计规范》发布以来，行业内各机构依规开展信息系统审计，有针对性地采取防范和改进措施，提高了信息安全保障水平。但由于缺乏统一的审计步骤，操作中也存在审计过程随意性较高、审计结论不客观等现象。
　&&此次发布《审计指南》，正是为了进一步确保审计工作的规范性和客观性，帮助审计人员按照《审计规范》的要求完成信息系统审计。
　&&《审计指南》标准分为证券交易所、期货交易所、证券登记结算机构、其他核心机构、证券公司、基金管理公司，期货公司等7个部分，分别给出了《审计规范》中每个审计项的参考性审计依据和审计步骤，以促进行业核心机构和经营机构的审计人员客观准确地实施信息系统审计。
　&&张晓军透露，2016年，为了持续推进资本市场信息化建设工作，降低行业信息系统运行风险，提高行业运行效率，提升行业标准化水平，证监会还将陆续组织制定多项金融行业标准。证券行业信息化加速 但数据整合及数据安全仍待解决_网易财经
证券行业信息化加速 但数据整合及数据安全仍待解决
用微信扫码二维码
分享至好友和朋友圈
但要真正保障，根本上在于国家策略上的安全。“基础上有问题，上面怎么加固都是有问题的。”
【财经网 魏玉坤/文】今年以来，在国家相关政策支持下，券商积极布局互联网金融，证券信息化建设步伐。
&发展的主流是开放的&，中银国际证券首席信息官朱英杰在11月14日联想证券行业开放构架大会上表示，构建IT开放架构，布局互联网金融是大势所趋。
联想中国区服务群组首席架构师毕巍认为，IT开放架构的本质就是&将固化的架构转为弹性柔性的架构&。他强调，&弹性&意味着券商可以根据业务产品的市场效果灵活调整资源投放，而&柔性&则是构建人工数据中心，借助云平台解决项目问题。
对此，副总裁叶明在接受采访时则指出，IT架构如要实现更好的弹性，&前提是交易安全、合规且稳定&。
证券信息化提升系统稳定性 助推金融产品创新
由于证券行业的特殊性，其在交易时间内不允许出现宕机，因而对整个系统的实时处理数据能力和系统可靠性的要求甚至超过银行业，对系统的安全性提出了极高的要求。券商积极构建开放架构，加速信息化建设也是为了满足这种系统安全上的需要。
国内从证券市场设立之初，证券经纪业务模式走的就是高成本、低服务的道路，而布局互联网、加速信息化建设，则能为券商培育新的增长点，助推金融产品和服务的创新。
与此同时，国家也频频放出利好政策，支持券商发展互联网金融，加速信息化建设。
证监会发言人邓舸今年曾表示，鼓励证券公司结合自身状况和发展战略与互联网企业、信息技术系统开发商等第三方机构开展业务合作。11月11日&十三五规划&正式公布，也首次将互联网金融纳入其中。
&国内证券公司在2014年之前，主营收入主要依赖传统的经济业务&，金证科技市场规划部经理马启猛表示，自该年之后，传统经济业务大幅减少，资管业务、财富管理业务和场外衍生品开始活跃。券商加速布局互联网金融，成为行业内的主流趋势。
整合数据成难题 信息安全仍受关注
但券商在布局互联网金融，实现信息化建设过程中，也面临着难题。
马启猛认为，目前券商在构建IT架构过程中，往往会与不同的厂商合作，这带来了核心业务上相应协议的转换和数据交互的难题。同时，这种架构也产生了大量的数据冗余，如何打造统一的数据管理平台也困扰着多数券商。
此外，券商面临的传统问题，尤其是信息安全问题，在互联网时代也备受关注。
证券行业往往涉及大规模的交易量以及大量的用户信息，确保数据安全是券商正常运作的关键。此前媒体披露了一些证券从业人员获取数据并透露给客户作为提升自身服务价值的一种方式，更是激起了行业内外对该问题的关注。
&安全性问题主要涉及国家安全、运营商安全和客户安全三个方面&，朱英杰认为，&把问题掌握在自己手里就安全了&。
他强调，借助信息化建设，券商可以做到在可控领域可控，并能主动在应用开发方面采取保护措施。但要真正保障数据安全，根本上在于国家策略上的安全。&基础上有问题，上面怎么加固都是有问题的。&他表示。
叶明建议，信息技术系统开发商在参与证券公司信息化建设中，首先在规划层面要安全合规，确保券商的核心交易系统不能有任何风险。其次是，充分吸收新的技术如混合云、私有云等，借助新的互联网手段去提升用户的服务。
朱英杰提醒券商在信息化建设中，要做到&金融和互联网平等开发&。互联网金融的发展在于运营思路上的变化，互联网要求敢为人先，&这主要是思想上的冲击，而不是科学技术的创新&。
【作者：魏玉坤】　(编辑：shenxuezhou)
本文来源：财经网
责任编辑：王晓易_NE0011
用微信扫码二维码
分享至好友和朋友圈
加载更多新闻
热门产品:　　　
:　　　　　　　　
:　　　　　　　　　
热门影院：
阅读下一篇
用微信扫描二维码
分享至好友和朋友圈