7大专项助力证券公司落实网络安全三年提升计划
“金吾卫”,汉唐时期拱卫京师之卫队,司巡察警戒之责。安恒信息金融解决方案团队借用金吾卫之名,以行业解决方案为盾,全力护航金融客户网络安全、数据安全。接下来,我们将推出《金融行业解决方案·金吾卫》系列,一起了解金融领域中的安恒方案。
前言
近年来,在行业数字化加速发展和大数据、云计算、区块链和人工智能等新技术应用不断深入的大背景下,证券公司的信息技术投入逐年增加,行业网络和信息安全运行态势总体平稳。但随着业务与技术加速融合,网络和信息安全管理日趋复杂,信息系统建设任务明显增加。
中国证券业协会组织起草的《证券公司网络和信息安全三年提升计划(2023-2025)》(以下简称《安全提升计划》)作为指导2023年至2025年券商提升网络与信息安全工作的行动指南,券商可参照实施,并制定配套实施计划。
《安全提升计划》政策解读
规划以牢牢守住不发生系统性金融风险的底线为指导思想,制定了六大主要任务,33个重点任务,6个保障措施。力争到 2025 年,通过组织引导证券公司积极落实各项行动举措,促进证券行业网络和信息安全建设取得扎实成效:
行业人员网络和信息安全意识明显增强,科技治理能力有效提升,信息系统架构掌控能力全面加强,科技资金投入和人才培养力度持续加大,网络和信息安全防护体系基本健全,行业科技创新和数字化转型迈上新的台阶,为行业高质量发展提供有力支撑,全力支持资本市场改革发展。
安恒方案
为协助证券公司落地《安全提升计划》,安恒信息可提供配套的解决方案。方案以构建证券行业网络和信息安全防护体系为目标,以合规风控、机制协同、专业引领、创新驱动,被动防御转变为主动加固和动态保障为方针,通过服务和技术相结合的方式,为证券行业搭建三年提升总体建设框架。
整体建设框架分为顶层设计、技术支撑、安全运营三部分。其中顶层设计包括制定网络和信息科技战略发展规划,并进行动态修订和持续完善。建立健全网络和信息安全提升工作机制,制定具体的提升计划和路线;技术支撑包括安全管理与合规、覆盖(数据、应用、主机、网络)的安全技术;安全运营包括利用内外部的运营团队,建设统一的安全运营中心,将不同检测数据进行统一管理和关联分析,加大自动化响应处置能力,持续加强网络安全态势感知和通报预警。
结合安恒实力及证券行业建设现状,建设内容主要包括:数据安全治理、安全运营中心、信创、开发安全与供应链安全、云安全、安全人才培养、安全服务能力引入等7个专项建设内容,以下展开介绍:
1.数据安全治理专项建设
安恒信息具备完善的数据安全解决方案,可为证券行业提供数据安全咨询服务、数据安全产品加固能力、数据安全运营,实现全生命周期的安全管控。
加强证券行业数据安全管理体系建设,在明确数据权责的基础上,对数据进行分类分级,并以数据全生命周期安全防护要求为重点,构建目标明确、职责清晰、层次分明、落地性强的制度规范。加强静态和动态数据资产的精确识别,以分级分类为基础,以数据生命周期安全为目标。实施“数据安全三不同策略”—对不同等级数据在不同应用场景下实施不同类型的防护措施。
协助证券行业主动探索数据消费场景,实现“数据可读不可存、数据可用不可见、数据可算不可识”,充分发挥数据要素的价值。
2. 安全运营中心专项建设
安全运营是由一个全天候轮班执行运营工作的团队以及一套专注于帮助运营团队执行预测、防御、检测、评估并对威胁或事件进行响应的工具和运营管理流程组成。
安恒信息紧跟政策要求及行业趋势,依托安全运营中心方案推动客户从传统被动防御转变为以威胁感知、风险监测、预警通报为主体的主动安全运营体系,在金融行业积累了大量经验,在满足政策合规的前提下,有效提升组织整体安全能力,形成行业多项最佳实践。
通过安全运营中心的建设,进行统一管理和关联分析,提升检测效率和准确性。提高安全响应处置自动化能力,沉淀工作过程中的人工经验,标准化响应处置操作,实现自动化、高效率的协同处置。
3. 信息技术应用创新专项建设
随着信创改造逐步深入业务系统,安全建设也需要跟上步伐,在满足等保2.0基线的前提下,综合考虑安全产品的各项指标,持续完善信创系统的安全建设,为业务保驾护航。
截至目前,安恒信息已经实现了 17 个品类 80 余款型号的国产化规格的上市,有17款今年Q1上市, 与其他生态厂商形成 200 余份互认证证明,其中有 33 款产品入围最新的四期&三期名录,当前名录产品总数已跃居第三,在产品高性能区间中,10 款安恒鲲鹏规格具有绝对的性能领先优势。
4. 开发安全与供应链安全专项建设
安恒信息可为证券行业制定安全管控流程,从立项、需求分析、方案设计、开发实现、测试、上线交付等阶段介入安全管控手段。同时搭建安全研发管控平台,支撑全生命周期安全管控及工具支持。安全评审、安全培训、安全知识维护、安全技术实践(漏洞扫描、代码审计、渗透测试、用例测试)贯穿整个研发全生命周期管控流程。
通过安全开发一体化平台,采用人工+工具的方式,与证券行业现有流程完美融合,达成流程自动化,做到安全工作有据可依。开发安全体系建设和运行,大大提高系统的安全性,降低漏洞的修复成本,减少了研发、测试、安全人员沟通成本,进而提高了工作效率。
5. 云安全专项建设
在多云发展的趋势下,安恒信息认为建设一个“全面覆盖、深度集成、动态协同”的云安全体系是其发展之必然,与Gartner “网络安全网格架构”(CSMA)理念不谋而合。整体平台设计应“以业务为导向,向下汇总安全原子能力,向上提供云安全管理服务”,达成“多云一体、融合安全、闭环运营”的三大目标,进而实现持续监测分析和实时响应闭环。
6. 安全人才培养专项建设
安恒信息人才培养主要通过安全能力认证培训服务以及客户实际需求为主,以线上和线下相结合、理论与实践相结合等多种学习方式,为社会各组织、团体和企事业单位等提供认证和培训服务,提升客户企业信息安全防护人员的能力。
安恒信息安全培训服务提供四大类组合的安全培训,包括安全技能培训、认证培训、网络安全竞赛培训、攻防培训等内容。可根据证券行业实际需求,定制安全培训服务内容。
7. 安全服务能力引入专项建设
安恒信息安全服务依托十大实验室、九维安全能力专家团队组成及八大核心平台技术支撑保障,按照IPDRO基于攻防对抗的五个安全运营能力域的全周期及不同交付模式形成的业界首创新一代安全服务,可为证券客户提供全方位的安全保障专业服务。
包括网络安全监测检查、风险评估分析、威胁追踪溯源和事件应急响应等在内的多样化、专业化、符合行业特点的安全服务,帮助证券公司发现并解决风险隐患,组织开展行业网络安全科研攻关。协助各证券公司通过行业安全服务提升安全防护能力,共同促进行业网络安全健康发展。
续:
金融系列解决方案后续将针对以上7个专项逐项展开,敬请关注!
2023-02-27
2023-02-26
2023-02-25