王国连:落实关基保护条例,守护登记结算安全
关键信息基础设施是国家社会运行的中枢神经,其安全与否直接关系到国家安全和社会公共利益,是国家网络安全防护工作的关键所在。习近平总书记在全国网络安全和信息化工作会议上强调,“要落实关键信息基础设施防护责任,行业、企业作为关键信息基础设施运营者承担主体防护责任,主管部门履行好监管责任”。2021年8月17日,国务院正式发布《关键信息基础设施安全保护条例》(以下简称“《条例》”),并于9月1日施行。《条例》作为《网络安全法》的配套法规,对关键信息基础设施安全保护进行专项规定,为深入开展关键信息基础设施安全保护工作提供有力保障,为运营者、保护部门等提供了具体的合规指引。
证券期货业的发展和正常运转高度依赖信息系统,其关键信息基础设施正常运行和安全保护状况,直接关系到国家金融稳定和广大人民群众的切实利益。作为证券市场核心机构,中国证券登记结算有限责任公司(以下简称“中国结算”)作为金融基础设施负责为上海、深圳、北京证券交易所上市及全国中小企业股份转让系统公司挂牌的证券提供登记、清算和交收服务,其负责运行的登记结算系统是重要的关键信息基础设施。近年以人工智能、大数据、云技术、区块链为代表的新型技术与传统金融深度融合,给行业发展提供巨大的动力,也对证券期货业关键信息基础设施安全防护工作提出了更高的要求。有效地保护公司负责运行的登记结算系统免受网络安全影响,持续稳定安全高效地运行,不仅是公司自身发展的需要,也是公司服务资本市场,维护国家金融安全的使命和担当。
中国结算深刻认识到网络安全保护工作的极端重要性,公司党委组织多次专题学习总书记关于网络强国的重要论述以及《网络安全法》《数据安全法》《个人信息保护法》等网信领域法律规章。在《条例》发布后,对标《条例》要求,在中国证监会的坚强领导下,公司第一时间做好关键信息基础设施的认定工作。同时,公司党委将关键信息基础设施安全保护与网络安全等级保护、数据安全、个人信息保护统筹考虑,围绕证券市场登记结算关键信息基础设施建立起了比较完善的安全管理体系和综合防护体系,深刻理解关键信息基础设施安全保护是继承等保,高于等保的“加强保护”,做到“从高从严”管理。
中国证券登记结算有限责任公司
总部系统运行总监 王国连
贯彻“网络安全观”,建立关键信息基础设施安全管理体系
关键信息基础设施的保护离不开管理体系的建设。在《条例》颁布后,中国结算紧紧围绕关键信息基础设施保护工作,从组织管理、制度体系、安全投入、联控机制、数据治理、教育培训、应急响应和产品采购等多个方面构建了完备的关键信息基础设施安全管理体系。
一是落实网络安全党委责任制。公司党委深入贯彻习近平总书记网络强国思想,设立公司网络安全领导小组,把网络安全工作纳入公司重要议事日程,研究和解决公司网络安全保护工作。在《关键信息基础设施安全保护条例》颁布后,为加强《条例》在公司的贯彻落实,公司进一步梳理关键信息基础设施安全检测与等级保护测评和用密码应用安全性评估之间的逻辑关系,设立公司首席网络安全官和公司关键信息基础设施安全管理机构,确定公司内部各岗位职责分工,压实主体责任,形成了完备的关键信息基础设施保护组织架构,确保领导到位、责任到位、机构到位、人员到位、经费到位和措施到位。
二是建立健全关基保护制度体系。一直以来,公司高度重视核心系统安全稳定,围绕网络安全形成了包括制度策略、管理制度、流程规范、操作手册等四级制度体系,每年开展网络安全制度评审并及时更新。在《条例》颁布后,公司积极开展相关制度的更新补充工作,拟订关键信息基础设施安全保护计划,目前已完成《公司网络安全审查工作指引(试行)》制定并发布,其他相关制度也在积极制修订中。
三是持续加大网络安全投入。公司从人员、资金、系统等层面为网络安全建设提供充足的资源保障,网络安全防护体系日趋完善。在《条例》颁布后,公司对照《条例》进一步加大人力、财力、物力投入,建立人员信息台账,并请公安部门协助进行安全背景审查,同时坚持安全防护措施与公司关键信息基础设施同步规划、同步建设、同步使用,明确公司未来关键信息基础设施升级换代安全策略。
四是构建关基保护联防联控机制。根据公安部要求,公司积极参与国家网络与信息安全信息通报机制活动,加强行业机构之间沟通交流,利用行业检查、培训等机制,向行业各机构学习先进经验。同时加强公司内部各部门间联动机制,强化系统上线评审会机制,在业务、开发、运维等各部门间建立安全协调机制。在事件预警、攻击监测、应急响应等方面优化流程,形成业务技术联动效应。在《条例》颁布后,公司进一步加强了相关网络安全联防联控机制,加大与公安部门、监管部门沟通交流,加入行业关基单位沟通机制,积极参与公安部网络安全专用APP使用测试工作。
五是做好关基保护数据治理工作。在管理上明确信息管理部门职责,设置数据信息管理岗,指定专人负责数据信息管理工作。制定《公司数据信息管理办法》《公司信息安全管理暂行办法》《公司业务风险全面管理暂行办法》等制度,建立信息分离管理机制,规范投资者信息的收集、使用和共享。按照“分级授权”原则对数据信息使用权限进行管理。对外数据信息使用执行报备制度。与相关数据使用人员均签署保密协议,开展敏感岗位人员报备和轮岗工作。在技术上,要求结算业务数据专网传输,确保数据传输安全,重要业务数据异地备份,保障数据存储安全。同时建设专门的稽审系统,公司纪检部门定期开展数据使用情况稽核审计工作。
六是开展常态化员工安全意识培训。根据证监会网络安全检查及公司《公司信息安全管理暂行办法》相关要求,制订公司年度网络安全培训计划,定期组织公司信息安全专项教育培训,持续加强全体干部员工网络安全意识宣贯,且所有员工在培训后均需参加考核并签署网络安全承诺书,确保宣贯培训工作取得实效。在《条例》颁布后,公司加大网络安全培训频率,并研究制定多种网络安全意识宣传方式,让关键信息基础设施保护的理念真正融入员工工作生活中。
七是完善关基保护应急响应体系。公司建立了完善的网络安全事件应急组织架构、职责分工、内外部报告、演练与培训等应急工作体系。在公司总体应急体系之下,又进一步细化了各种网络安全事件场景,并针对不同场景细化应急操作步骤。同时公司每年制定应急演练计划,结合公安部实战演习、证监会行业演练、沙盘推演等形式,对重要系统、重要场景开展应急处置演练,检验防护体系的可靠性、上报机制的有效性、应急处置步骤的准确性和人员处置能力,持续提高网络安全事件应急响应能力。
八是加强供应链设备及服务安全可控。设备及服务的“自主可控”是关键信息基础设施安全的基础。公司根据《条例》最新要求,已完成《公司网络安全审查工作指引(试行)》制定并发布,规范公司在网络产品和服务采购过程中的网络安全审查预判等活动,严防引入网络安全风险。同时拟在未来关键信息基础设施采购中,进一步与设备和服务供应商签订安全保密协议,明确供应商技术支持和安全保密义务与责任,并对履行情况进行考核。
落实“三化六防”,构建关键信息基础设施综合防护体系
关键信息基础设施的保护离不开防护体系的建设。中国结算紧紧围绕关键信息基础设施保护,按照以关键业务为核心进行整体防控,以信息共享为基础进行协同联控的思路,围绕“三化六防”构建了完备的关键信息基础设施综合防护体系。
一是加强关基设施安全保护的实战化。“网络安全的本质在对抗,对抗的本质在攻防两端能力较量”。实战才是检验网络安全工作是否有效最重要的依据。2020年新冠肺炎疫情开始全国肆虐,在“防疫情、保业务”的双重压力下,公司勇于担当,连续两年代表行业参加公安部组织的网络安全实战攻防演习,并自行组织了多场网络安全攻防预演习,坚持以攻促防,在实战中锻炼队伍,检验防护措施、应急处置机制,并提高全员的网络安全意识。
二是加强关基设施安全保护的体系化。根据网络安全实战要求,一方面站在攻击者角度审视和排查公司可能的薄弱环节,另一方面以防护者的视角对风险进行分类,逐个安全区域、逐个安全问题进行分析讨论,完成公司IT资产和各安全域间访问控制规则梳理,分别从互联网边界侧、流量侧、主机侧、终端侧等入手,建成一套较完整的防护技术体系。同时,公司正在预研“平战一体化”的安全运营体系,不断提升安全预警能力和快速响应能力,同时研究网络空间地理学理论,探索将其融入安全运营平台,实现挂图作战。
三是加强关基设施安全保护的常态化。安全演习是手段不是目的,但如果演习中的有效措施不能常态化,那演习效果将大打折扣。只有将安全演习中的有效措施固化落实到日常工作中,才能真正提高公司日常防护水平,才会成为公司真正抵御外部攻击的手段。为此,公司将演习前期准备工作、演习期间攻击监测、应急处置等工作逐条梳理归纳,总结了包括常态化补丁修复机制、系统安全评估机制(架构评估、漏洞扫描、渗透测试、代码评审)、系统后门检查、资产暴漏面检查、员工安全意识培训、网络安全事件沙盘推演等19项工作内容,在日常工作中逐项安排落实。
四是落实关基设施安全保护“六防”要求。公司坚持网络安全工作统一部署、统一实施、统一推进,总部和分公司“三地”一盘棋,实现“整体防控”。在互联网侧部署内容分发网络CDN应对大流量访问和扫描,本地部署ADS并采购运营商流量清洗服务应对DDOS攻击,部署异构WAF防火墙对WEB层攻击进行实时阻断,并部署蜜罐系统进行溯源反制;流量侧部署安全流量分析系统对内网所有流量进行攻击分析、部署入侵检测系统与安全流量分析系统形成异构,同时部署全流量分析系统存储近期所有网络流量以便需要的时候溯源取证;主机侧部署HIDS实现主机入侵检测、部署防病毒系统防止病毒攻击;终端侧部署终端安全管理实现准入控制和外设管控,部署防病毒系统防止病毒木马攻击,实现“纵深防御”。公司定期进行互联网资产、内部资产排查,做到所有资产职责明确,梳理各安全区域间防火墙访问控制策略,精确测试验证WAF防护策略,实现“精准防护”。部署蜜罐系统、诱导反制系统、基于情报的攻击阻断系统,在威胁较高的边界区域上实现“主动防御”和“动态防御”。与监管机构、当地公安建立电话、微信、邮件等多种形式的应急上报机制,通过电话、证联讯等形式和关联机构建立行业通报机制,实现“联防联控”。
坚持“守土尽责”,实现关键信息基础设施久安之势
安全是发展的前提,关键信息基础设施安全保护是公司业务发展的保障,为此中国结算将按照网信部门、公安部门的要求和部署,在中国证监会的坚强领导下,进一步提升公司关键信息基础设施安全保护水平,积极做到。
一是践行习近平总书记网络安全观,面对不断演化的攻击手段和新的攻击途径,以动态的、开放的、共同的理念看待网络安全工作,要求全体员工共同参与保护工作,做到“网络安全为人民、网络安全靠人民”,同时加强关键信息基础设施风险评估和问题整改工作,以闭环的风险管理方法杜绝风险隐患。
二是对照《条例》中关键信息基础设施运营者责任义务,按照“分析识别、安全防护、检测评估、监测预警、技术对抗、事件处置”等六个环节进行梳理,以证券登记结算关键业务为核心,充分利用新一代信息技术手段,提升对网络安全态势的感知能力,并变被动为主动、静态为动态、粗放为精准,实现整体防控和联防联控。
三是进一步加强与其他关键信息基础设施运营者、保护工作部门、公安部门以及国家网信部门的沟通,及时了解《条例》配套标准规范,积极参与关键信息基础设施安全保护相关标准、制度的制修订工作,为国家关键信息基础设施保护贡献力量。
(栏目编辑:韩维蜜)
推荐阅读
(点击图片查看精彩内容)
精彩内容回顾
(点击查看精彩内容)
■ 栉风沐雨三十年,扬帆启航新征程——庆祝金电信息科技(北京)有限责任公司成立!
《金融电子化》新媒体部:主任 / 邝源 编辑 / 傅甜甜 潘婧