2016年以来,国家已颁布多部法律保障数据安全。随着《网络安全法》、《密码法》、《民法典》、《数据安全法》、《个人信息保护法》、《数据出境安全评估办法》相继施行,数据安全顶层设计逐步完善,实现从立法层面的良好支撑。
随着我国网络安全与数据保护领域基本法律框架形成,金融机构的数据合规问题也成为金融机构的治理重点。证券行业作为国家金融活动的重要入口,汇聚了大量的金融数据,其数据安全和信息保护一直备受关注,此前监管层已经接连出台十几部相关政策法规,也对因为疏忽信息安全管理的单位进行处罚。2022年以来,自2月发布《金融标准化“十四五”发展规划》后,证监会又起草了《证券期货业网络安全管理办法(征求意见稿)》,升级证券期货业的数据安全监管。
经过多年的建设发展,数据已被光大证券公司内视为一项宝贵的资产而日益受到重视。数据面临着监管合规、外部攻击、内部泄露等安全问题,为了解决数据安全面临的痛点难点,光大证券着手建立有效的数据安全治理体系,推动公司内外部数据的安全使用、合规共享。
数据安全管理是一项体系化工程,需要以数据为中心,结合业务场景和风险分析情况,构建可持续运转的闭环数据安全防护体系,实现公司数据安全管理能力建设。光大证券以《GB/T 37988-2019 信息安全技术 数据安全能力成熟度模型》为基础,结合中国信通院《数据安全治理实践指南(1.0)》的最佳实践步骤,在现状分析的基础上,将数据安全技术体系的建设分为3个阶段:
第1阶段:构建数据安全基础底座,重点进行资产梳理和体系建设。一是进行现状分析,树立安全管控目标(战略),完善组织制度流程,优先保障数据合规,培养人员能力和数据安全意识;二是梳理数据资产,识别敏感数据,进行分类分级,进行细粒度的权限管控;
第2阶段:构建数据全生命周期安全体系,重点做技术升级落地。一是以落实全生命周期各个阶段新建或升级技术工具为抓手,重点建设数据防泄漏、数据加密、数据水印、数据库审计、数据脱敏、数据库防火墙、数据安全共享等方面能力。二是探索新技术,引入隐私计算、联邦学习等技术促进数据合规共享,引入人工智能加强风险侦测能力、自动分类分级、动态脱敏能力。
第3阶段:构建一体化数据安全持续运营能力,重点做数据安全管控平台建设和持续改进。一是基于管理流程、安全策略、业务场景和防护积累的经验,形成行为特征库、安全事件知识库,结合业务场景的积累,形成风险分析模型,建立数据安全管控平台,达到有监测、有预警、有管理、有控制、有审计、有运维、可感知目的;二是进行风险审计和安全管理能力评估(DSMM或DSG),加强与行业沟通,做到持续改进。
数据安全分为“以网络为中心”和“以数据为中心”的数据安全防护。“以网络为中心的安全”是保证数据安全的前提和基石,而“以数据为中心的安全”以数据为抓手实施安全保护,能够更有效增强对数据本身的防护能力,二者高度关联、相互依赖、叠加演进。
以网络安全为中心,公司建立信息安全防护相关机制,制定《光大证券股份有限公司信息技术管理基本制度》,明确信息技术总部应确保制定完善的信息安全防护措施,建立符合要求的信息系统备份能力及运维管理能力,保障相关信息系统的安全、平稳运行。
以数据安全为中心,制定《光大证券股份有限公司数据安全管理规程》,明确信息技术委员会是公司数据安全管理的最高决策机构,负责审定公司有关数据安全管理的规章、制度、办法等;数据治理办公室,负责公司数据安全管理相关工作的组织协调、推进与督办。数据治理办公室设在金融科技开发部,如图1所示。
数据治理办公室负责制定相应的数据安全管理制度和流程,明确数据安全管理职责,建立完备的数据安全保护措施,实现公司数据安全风险可管理;对公司数据按照重要性和敏感性进行合理的分类分级, 并根据不同类别和级别制定差异化数据管理制度和数据安全保护措施;建立数据生命周期各环节的安全管控机制,实现数据采集、数据传输、数据处理、数据使用、数据存储等过程的严格控制,保障数据的保密性、完整性、可用性;保障个人信息安全,依法合规采集、应用客户数据,依法保护客户隐私,防止未经授权的访问以及个人信息泄露、篡改、丢失;建立数据安全风险监测、评估、预防机制,防范数据安全事件发生,不断提升数据安全事件处置水平。公司的数据安全管理工作由金融科技开发部和信息技术总部互相配合,共同落实公司数据安全防护工作。信息技术总部牵头“以网络为中心”的数据安全,侧重计算资源与网络环境的安全防护。金融科技开发部牵头“以数据为中心”的数据安全,侧重于保障数据开发利用、数据价值释放、合规合理使用。公司健全内控制度,规范数据安全管理,制定了《光大证券股份有限公司数据管理规程》《光大证券股份有限公司数据安全管理规程》《光大证券股份有限公司数据使用权限审批管理规程》等制度,如图25所示。完善数据管理流程,完善数据收集、保存、处理和使用等全生命周期管理,保障客户数据隐私安全及合法合规使用。规范系统安全等级管理。制定《光大证券股份有限公司信息系统分类分级管理规范》,将异常对投资者产生重大影响的信息系统定义为重要信息系统进行保障。规范网络与信息安全管理,保护公司和投资者信息安全。制定《光大证券股份有限公司网络与信息安全管理规程》《信息科技密钥管理规范》等制度。规范数据全生命周期安全管理。制定《光大证券股份有限公司数据管理规程》《光大证券股份有限公司数据安全管理规程》等制度,明确数据生命周期各阶段的保护要求,利于公司合理分配数据保护资源和成本,建立覆盖数据采集、传输、处理、使用、存储、删除及销毁过程的安全框架,完善数据生命周期防护机制。规范数据安全合规使用。制定《光大证券股份有限公司数据使用权限审批管理规程》对于数据进行分类分级,逐级授权管理,明确合规风控部门参与对4级及以上等级数据需求的审批。规范数据权限管理。设置信息系统岗位权限管理审核小组,先后制订并发布了《光大证券股份有限公司信息系统权限管理办法》《关于进一步完善信息系统权限管理流程的通知》等相关规定,形成使用部门负责人以及合规负责人、风控经理对本单位权限管理的分级审核机制,并建立对信息系统权限的定期检查与核对机制,以防止出现授权不当的情形。规范投资者隐私保护。制定《光大证券股份有限公司投资者权益保护工作管理办法》《光大证券互联网平台隐私政策》,明确告知投资者相关信息的使用范围和目的,得到用户响应后进入后续主体页面和功能,同时提供个人信息线上更改、账户注销等功能。规范对分支机构、子公司以及第三方服务机构的管理。制定《光大证券股份有限公司分支机构信息技术管理规程》,加强对分支机构的信息技术的指导和管理;制定《信息科技IT供应商管理规范》《信息科技外包服务人员管理规范》等制度,加强对外部中介机构、信息技术服务商等第三方服务机构的管理,防范涉密信息违规外泄,确保金融信息和投资者信息安全。规范数据安全事件应急和问责。对数据安全事件的报告和调查处理工作进行了规范。一是划分了证券期货行业信息安全事件的等级;二是建立数据安全应急预案;三是构建数据安全检查、问责与纠错处置机制,公司制定并发布《问责管理办法》及附件《违规具体情形》,确立了问责情形与标准。网络隔离方面,公司设置端口级的网络访问控制策略,将内、外网严格隔离,通过防火墙控制访问权限。内网区域,不同安全域之间采取严格的网络隔离。用户认证方面,对于运维操作机,由服务台完成准入控制、杀毒软件安装,密码复杂度设置和屏幕保护设置。对于终端都会安装准入控制和杀毒软件,桌面屏保设置超时10分钟自动锁屏,要求员工妥善保管自己的密码、定期更改密码,防止攻击者以此作为突破口窃取公司数据。重要业务系统根据业务实际需求分配权限,同时通过严格的身份鉴别机制,防止未授权访问。数据加密方面,公司对涉及敏感信息的传输均采取加密方式,防止在传输过程中被窃听。数据的内部转交必须通过安渡平台进行,外部移交则必须通过加密等方式进行,加密文件与密钥应通过不同的渠道进行交接。数据备份方面,信息技术总部根据《信息技术总部电子数据与介质管理细则》保存及备份信息系统中的业务数据。公司制定了不同的备份和恢复策略,数据在变更时须走变更流程,及时进行备份;公司已实施统一备份平台建设,建有两地三中心的统一备份存储和磁带库,所有的重要数据可实现两地三中心的备份,并定期进行恢复验证。数据销毁方面,公司对数据销毁进行规范约束,规定所有介质报废或维修前,都需要对介质上的电子数据进行清除与销毁,介质的销毁应确保销毁后的介质无法被重复使用且其中的数据无法被恢复,如介质上存储的电子数据与信息仍需使用,应对介质上存储的数据进行备份。非法入侵检测和病毒防范方面,公司建立了集中的防病毒体系、补丁升级、测试和发布平台,实时监测网络病毒;部署了企业版防病毒系统和TDA病毒发现设备,实现集中监控、统一升级;通过IDS、TDA和天眼等安全设备进行非法入侵检测,通过天擎杀毒软件进行安全病毒查杀及病毒防护;网络安全管理员跟踪和监控公司生产网络中病毒动态,及时预警,快速隔离,并统一更新病毒库。此外,对重要主机开展重点加固,清理空闲运维账号,针对互联网应用服务器部署主机安全检测EDR,进一步提升网络安全监测预警能力。信息技术系统风险自查方面,公司在投资者使用的终端发布前进行安全扫描,发现安全漏洞,一票否决。同时在APP终端上也会采用第三方安全厂商提供的加固措施,防止攻击者从终端作为入口渗透到后台进行投资者数据窃取。公司门户网站等WEB服务器上均安装了网页防篡改系统,实时监测网站页面和程序是否被非法篡改并且自动修复被非法篡改的页面和程序,同时通过Imperva WEB应用防火墙对SQL注入、跨站脚本等攻击行为进行过滤,另外采取第三方的专业产品为我司外网重要网站进行7*24小时的安全监控。定期风险评估方面,公司每季度对重要信息系统进行全面的安全漏洞扫描和渗透测试工作,并对中高风险及不可接受风险的漏洞通过ITSM进行漏洞修复跟踪与留痕,形成风险的评估和闭环管理,提高信息技术系统的安全性。此外,公司实施系统上线前、上线后(定期)相结合的方式进行漏洞管理。系统日志方面,公司通过天眼系统对所有的网络流量进行安全监控,对所有的统计告警行为进行每日巡检,从而完善整体的防护体系。内网区域,公司部署堡垒机进行运维权限管理和审计,保障运维操作留痕;涉及内网区域间的数据传输的,通过部署安全数据摆渡系统进行审计、留痕。互联网业务系统均具备完善的日志留痕能力,可以完整记录用户的查询等操作,具备追溯客户完整操作行为的能力。