2023年5月1日起,由中国证监会起草的《证券期货业网络和信息安全管理办法》(以下简称新《管理办法》)正式实施,新《管理办法》将取代自2012年11月1日起施行的《证券期货业信息安全保障管理办法》。
新《管理办法》提出了“采取有效安全防护手段,防范数据损毁泄露风险”,以及“确保个人信息在收集、存储、使用、加工、传输、提供、公开、删除等处理过程中的合规、安全,防止个人信息的泄露、篡改、丢失”等,这意味当下证券行业数据安全已经步入“强监管时代”,行业参与者迫切需要构筑多维度、全场景的数据安全防线。
数字化转型给金融行业带来了全新机遇,但由此衍生的恶意攻击、数据泄露事件也屡见不鲜,证券行业就是“重灾区”之一。2021年,“券商巨头遭受黑客攻击致股价暴跌”的新闻轰动了金融界。当年11月25日,中国台湾多家券商的交易系统遭到黑客“撞库攻击”,大量客户的证券账户被“暴力破解”后,随即被自动“下单”,大批量购买了港股股票。这引发了股市震荡,受害最严重的企业股价单日跌幅高达33%,损失十分惨重。
同年,“证券公司员工当‘内鬼’贩卖客户信息”新闻也被广泛关注:某证券公司员工利用工作之便,通过运营系统API违规获取公司客户信息,并进行售卖获利。这些客户信息落到犯罪团伙手中,导致受害人遭受投资诈骗,遭受了严重的财产损失。2022年,多家媒体报道,朱某某利用高超的木马病毒技术,入侵了2474台电脑,获取多家基金公司的交易指令,12年一共获利183万余元,此次事件暴露了非法窃取给证券行业带来的严峻数据安全威胁。由此可见,证券行业数据、信息安全问题处理不当,不仅给企业客户带来财产损失,也影响证券公司自身品牌声誉,甚至给整个金融行业的秩序带来不确定和不稳定性,可谓“牵一发而动全身”。“无数据、不金融”,随着金融科技的发展,证券行业积累了客户数据、交易数据、资产数据等海量数据,数据已成为证券行业重要资产乃至核心竞争力。谁能充分发挥数据价值,并用数据驱动创新,谁就拥有了高质量发展的主动性。但另一方面,证券作为典型的数据规模巨大、价值高、应用场景复杂的行业,在开展数据安全和个人信息保护时,也面临着众多问题和挑战——不断“更新迭代”的外部窃取、防不胜防的“内鬼泄露”以及数据传输共享过程中带来的泄露风险。随着相关标准要求的不断完善,证券行业数据安全治理与保护工作也日益艰巨。如何在加快数字化建设同时,保障投资者的信息安全,成为证券行业数字化转型的重中之重。从2005年以来,证券行业已经陆续出台了多项数据安全相关政策法规,尤其是《数据安全法》、《个人信息保护法》发布实施以来,数据安全、信息安全成为证券行业关注的热点,相关领域的安全建设也揭开了全新篇章。2022年底,证监会发布了《证券期货业数据安全管理与保护指引》,《证券公司网络和信息安全三年提升计划(2023-2025)》等一系列文件,从数据安全管理基本原则、组织架构、制度、技术等方面提供多方面指引,规范行业机构开展数据安全管理和保护工作,提升行业数据安全管理水平,推动证券行业数据安全建设进入了全新阶段。政策法规之外,技术在证券安全“强监管”时代的作用也不可小觑。作为国内网络安全行业的领军企业,奇安信深耕证券行业数据安全建设多年,从“管理、技术和运营”三个维度,形成了一整套的数据安全解决方案,并强调基于场景的精准施策,以满足不同场景的响应处置需求。
在管理方面,以数据安全风险评估为起点,基于评估结果开展体系规划和数据安全治理工作,推动技术保障措施的落地。在技术方面,以全生命周期和全业务场景的安全防护为目标,通过开发、应用、数据资产、身份和密码等不同层面,为用户提供全方位数据安全技术支持。在运营方面,通过数据安全集中运营平台,实现数据全生命周期的安全管控和全链路数据流转风险监测,为安全策略持续优化提供依据。同时,奇安信还强调基于场景的精准施策,以满足不同场景的安全管控需求。
例如在管理场景下,采用数据资产地图系统,结合专业治理服务,解决在DT时代下组织由于数据载体类型多且存储位置分散,导致数据资产暴露面广、安全防护有盲区的困扰。在数据流转场景中,奇安信API安全卫士采用API资产识别、敏感数据识别、漏洞利用检测与防护、威胁检测与防护、API访问控制等技术,为业务数据的合规使用和流转提供保障。在开发安全场景中,奇安信代码卫士支持28种编程语言的源代码缺陷检测,可检测2000+种源代码缺陷类型;开源卫士支持8000万+开源软件版本的识别,兼容NVD、CNNVD、CNVD等多种漏洞情报来源,帮助用户建立代码安全保障体系。在业务访问场景中,奇安信零信任解决方案,在用户访问业务的过程中,对发起访问的用户和终端持续进行身份验证和信任评估,实时处置访问权限,解决业务访问场景的安全挑战。在运维访问场景中,一体化特权访问安全解决方案,帮助用户系统化、流程化、规范化落地特权账号管理工作,降低特权账号管理不善所带来的安全风险,同时无缝联动堡垒机实现特权会话管控。在安全运营场景中,奇安信数据安全管控平台,帮助用户一体化构建面向数据安全的发现能力、防护能力、检测能力、响应能力
,实现覆盖数据全生命周期的安全管控 ,全面满足合规管理要求,有效防护数据安全风险。结束语
因业务和数据的特殊性,未来证券行业“严监管、高标准”将成为最基本要求。做好证券行业数据安全,不仅要从多角度全面分析安全需求与风险挑战,也要采取多维度的技术手段、建立完善的合规体系、投入足够的资源与人才,才能真正确保数据和业务的安全运营,为证券行业高质量发展助力。