自《网络安全法》实施以来,我国针对证券基金业颁布了一系列网络安全政策和法律法规,这些政策和法规主要聚焦于加强证券、基金管理公司及相关服务机构的网络安全管理,涵盖了网络基础设施建设、信息安全保障、数据保护、应急响应等各个方面。不仅强调了技术防范和风险管理的重要性,还明确了责任主体和监管要求,确保了证券、基金市场在网络环境下的安全稳定运行。同时要求这些机构建立健全网络安全防护体系,落实对投资者信息和资产安全的严密保护。
通过这些网络安全政策和法律法规的颁布与实施,我国以加强证券基金业的信息安全为核心目标,全力保护投资者的合法权益,坚决维护市场秩序,在网络安全领域的管理水平得到了显著提升,为行业的长远发展奠定了坚实的基础。
一、证券基金业政策法规解读
2023 年 2 月颁布的《证券期货业网络和信息安全管理办法》(如图 1 所示),相较于证券业过往政策,展现出更为全面、细致且具有前瞻性的特点。该办法不仅广泛涉及基础设施安全、数据安全、应用安全等关键领域,还针对云计算、大数据、人工智能等新技术、新业务模式提出了具体的管理要求。此外,该办法还强调了网络安全与信息安全之间的协同管理,促进了技术防范与管理措施的融合。这一办法的出台,不仅显著提高了行业对网络安全和信息安全的重视程度,强化了风险防控能力,确保了业务的连续性和客户资料的安全,同时也推动了证券业在技术创新和业务转型方面迈出坚实的步伐。
图 1 :《证券期货业网络和信息安全管理办法》框架内容
图 2:《基金管理公司网络和信息安全三年提升计划(2023-2025)》框架内容
资料来源:数说安全根据公开资料整理
中基协于 2023 年 6 月新颁布的《基金管理公司网络和信息安全三年提升计划(2023-2025)》(如图 2 所示)以其前瞻性的行动计划和创新性,凸显了其在网络安全领域的独特地位。相较于过去基金业所发布的网络安全政策,该计划展现出了更为全面的视角、更为系统的规划,以及对未来安全趋势的敏锐洞察。它不仅涵盖了传统的网络安全议题,更将信息安全、数据安全等多元化安全领域融入其中,构筑了一个全方位、多层次的安全防护框架。此外,该计划为基金管理公司提供了未来三年的明确发展蓝图,确保了基金业在网络安全领域的有序和持续进步。同时,它还倡导技术创新和业务升级,激励基金公司运用前沿技术和创新模式,不断提升其网络安全防护能力,以灵活应对日益复杂的网络安全挑战,确保行业的稳健发展。
数治网DTZed 小编将在数说安全根据公开资料整理基础上,从《网络安全法》施行以来,对我国金融业制定颁发的网络安全政策、法规和规范进行汇编,还请期待。
二、证券基金业网络安全建设主要关注
根据中国证券业协会信息,截止到 2023 年 6 月 30 日,我国证券公司数量为 141 家,141 家证券公司 2023 年上半年度实现营业收入 2,245.07 亿元。
目前,网络安全投入约占 IT 投入的 3%-5%,头部券商机构安全人员 10 人左右。证券机构一般由集团总公司统一进行采购,分支机构负责轻量级的 IT 运维,没有单独采购权。国内头部证券公司的网络安全建设已逐渐从前期的安全基础设施建设阶段过渡到安全运营阶段,越来越重视安全实战效果。
根据中国证券基金业协会信息,截止到 2024 年 2 月底,我国境内基金管理公司 146 家,其中外商投资基金管理公司 49 家(包括中外合资和外商独资),内资基金管理公司 97 家;取得公募基金管理资格的证券公司或证券公司资产管理子公司 12 家、保险资产管理公司 1 家。存续私募基金管理人 21,151 家。
相较于银行、证券和保险等其他金融机构,基金行业在安全防护水平上显得略为薄弱。这种差异主要由以下因素造成:一方面,银行、证券、保险等金融机构受到了更为详尽和严格的网络安全监管标准的约束;另一方面,由于基金行业的数字化进程相对较慢,且其交易频率和资金流动性相较于银行和证券较低,因此其安全防护驱动力相对较弱。并且,国内不同基金公司的之间能力差异较大,还有很多公司处于亏损阶段或面临生存挑战,对安全的投入资金非常有限。
三、证券基金业网络安全建设现状
1. 证券业网络安全建设现状
a) 基础安全领域
近年来随着法律法规的逐步完善,在合规性的驱动下国内大部分证券公司已经建立了基础网络安全防护体系。在基础网络安全领域方面,大型证券公司普遍采购了边界安全产品、病毒防护、网络流量分析等安全产品。终端安全方面,由于证券行业的特性,移动端的主要场景是证券 APP 访问,因此大部分证券公司在移动终端安全防护投入较小,主要侧重于对物理 PC 和笔记本电脑等设备的防护管理和病毒防护。
b) 密码和信创
密码方面,大部分券商从 2022 年开始进行国密改造,主要在数据传输环节采购了密码机等产品以满足合规的需求。但以当下的技术下交易系统难以应用密码产品,主要是由于加密过程会增加交易时间,影响交易速度。
信创方面,金融类信息和数据涉及国家和居民安全,在政策的推动下,证券行业正在加速推进信创全栈式升级改造,包括从底层基础硬件、中间层基础软件到上层核心应用软件。多数证券机构从 2021 年开始推进信创,网络安全领域已经进行了 30%至 40%的信创产品的替换,而对于新采购的设备,信创比例已经几乎达到了 100%。并预计在 2027 年之前实现所有相关产品的完全替代。
c) 云安全
整体来看,目前证券上云进度是缓慢的,相应的对云安全的投入也相对较小。当下部分证券公司在云方面开始了初步探索和应用,虚拟化仍是主要技术手段;证券机构会普遍采用把重要系统放在私有云,公有云的使用相对较少,通常会将新闻、资讯类应用放在公有云上,云安全的建设也主要依赖公有云厂商提供的安全产品。据调研,部分证券公司在部分系统上开始使用容器的部署方式,并采购了容器安全产品。
d) 数据安全
证券行业的数据特点是规模庞大、价值高,应用场景复杂。因此,保护客户个人信息、交易数据、市场行情和资讯等数据对于确保交易系统的稳定运行至关重要。鉴于外部攻击形势严峻,内部数据风险加大,如数据在网络环境暴露面大、数据外发渠道多样化、员工接触数据机会多等内外部多重因素影响,证券机构面临的数据安全风险持续加大。
大部分证券公司已经采购了数据库审计、动静态脱敏、数据防泄漏等数据产品进行数据防护。通过调研得知,大多数机构对隐私计算技术依然处于关注状态,尚未应用到机构的数据安全防护体系中。整体来看,数据安全的体系建设还处于初级阶段,大部分证券机构的技术手段未能全面覆盖数据全生命周期。
大部分机构已经意识到数据治理工作是建立数据安全体系的基础,部分证券机构已经开始展开数据治理工作。然而,由于涉及繁多的数据资产梳理、多部门间协作复杂等原因,数据分类分级工作面临标准制定周期长、落地难度大、分级后难以应用等挑战。
如今,头部券商正在积极关注数据安全平台,期望通过建立数据安全平台来构建覆盖数据全生命周期的安全保障。通过调研得知,多家证券机构也表示在当前及未来三到五年内,公司的主要任务之一将是数据治理及数据安全体系的搭建,以应对日益严峻的数据安全挑战。
e) 开发安全
在开发安全方面,近两年在数字化转型的大背景下,头部券商加大投行、财富管理、资管、自营 等业务及运营、风控、财务、法律合规等中后台的数字化建设,开发需求逐步提高。但是大部分券商的开发流程和安全流程尚未完全结合起来,没有建立起开发安全的体系。目前大部分券商机构的开发安全工作主要集中在软件开发阶段,通过部署敏捷和持续集成工具 CI/CD 平台,结合安全测试工具帮助公司在软件开发阶段识别潜在的安全漏洞。另外,通过调研我们发现,还有多数机构在积极关注软件成分分析 SCA 工具,预计未来一两年内会使用软件成分分析 SCA 工具,以解决应用程序安全测试 AST 类工具误报率较高的问题。
f) 身份安全与访问控制
在身份安全方面,大多数机构采用了堡垒机、身份和访问管理 IAM、特权访问管理 PAM 等安全产品来管理员工账号,并设立了访问控制规则。整体而言,领先的券商已经实现了对访问控制的细化,达到了应用级别的管理。
尽管零信任概念近年来备受瞩目,且其架构已经从理论走向实际应用,但券商在采用零信任相关产品时仍面临诸多挑战。零信任的改造需要与现有的网络基础设施、基础服务平台、各类资产和应用进行整合,这要求多个部门的协同合作。目前,大多数券商尚未开始零信任改造的工作。不过,一些头部券商已经开始采取行动,以替代传统 VPN 为切入点,推进零信任架构的改造工作。
g) 安全运营
目前大部分证券机构尚未实现 7*24 小时的安全运营支持,普遍是在工作日实现 5*8 的安全运营 支持,而在非工作日或工作时间外,通过短信和启维的通知告警系统进行远程处理。另外通过调研,发现多数证券机构通过购买态势感知 SOC 平台、安全信息与事件管理 SEIM 等工具作为安全运营的核心工具,有能力的券商机构会与安全厂商合作自建安全编排自动化与响应 SOAR 平台等工具。此外,大部分证券机构在积极关注 AI 大模型及其相关产品的应用,未来可能用于提高安全运营的自动化和效率。
攻击面管理方面多数证券公司较重视提升外部威胁发现以及漏洞扫描的能力。部分证券机构通过资产管理系统,进行数字资产的数据采集和管理,并与内部系统进行对接。同时,这些券商通过安全运营平台结合外部情报和扫描工具来发现安全漏洞。也有头部的券商通过自建内生情报平台和外购商业情报结合的方法提升威胁检测能力。
目前,大部分券商对内部威胁管理重视度仍然不足,主要通过堡垒机和日志管理来防护内部威胁。目前有能力的券商在内、外网都部署了蜜罐,但是考虑到监管,部分券商外网蜜罐并不打开。
2. 基金业网络安全建设现状
头部基金公司普遍已经建立了基础的网络安全体系,以满足等保合规和数字化转型的要求。当下中大型基金企业重点关注数据安全和个人信息保护的合规性方面。有能力的基金公司已经开始推进数据安全建设,制定数据安全管理制度,并梳理业务系统中的数据,推进数据治理工作。
鉴于网络安全防护的资金和人力资源通常有限,大多数基金公司自有安全能力不足,中型基金公司安全人员可能仅有 1-2 人,因此更倾向于依靠外部供应商来满足基本的网络安全合规需求。特别是许多中小型基金公司,由于它们可能仍处于亏损阶段或面临生存挑战,导致它们在安全方面的投入通常较为有限,所采取的网络安全措施也相对基础,这往往使得它们难以有效应对复杂的安全威胁和挑战。
随着投资者对专业资产管理的需求不断增长,基金行业内的竞争也日趋激烈。在这种竞争加剧的背景下,数字化能力的提升逐渐成为基金企业获取竞争优势的关键。为了在投研、风控、交易、运营、营销等多个业务场景中保持领先,基金公司正投入大量的人力物力资源,全面推动金融科技手段的应用。随着数字化转型的深入,信息安全的重要性也日益凸显,预计未来基金行业将加大对信息安全的投入和重视程度。
四、证券基金安全负责人的思考与洞见
1. 证券业安全负责人的思考与洞见
- 面对当前日益复杂的网络威胁环境,尤其是在勒索软件攻击和客户数据泄露事件频发的背景下,证券公司已经将安全能力的提升重心转移到更加贴近真实攻击场景的实战化建设上。为此,证券公司已经建立了定期参与网络安全演练的机制,通过模拟真实攻击,检验并不断提升自身的安全防护、监测和响应能力。券商应该积极参加实网攻防演习行动,提高实战能力。
- 数据安全应以数据治理为前提,进行数据分类分级。数据安全不是一蹴而就的,是未来 3-5 年的建设重点。目前数据安全领域也存在较大的挑战,市场上的数据安全的理论和技术还停留在十几年前,建议数据安全厂商进行技术重构和价值链重构。
- 安全平台在企业的安全能力的建设中起到非常重要的作用。通过整合各种安全工具,实 现自动化和安全运营的效率,减轻人力负担,尤其是对安全人员较少的金融机构,应该 充分利用平台赋能,提高公司的安全水平。
- 国内的安全产品在安全防护效果上与国外的安全产品相比仍存在一定的差距。特别是在应对新型威胁方面,部分安全产品的表现欠佳,不能满足实际需求,存在较大的改进空间。 因此,安全厂商应该更加贴近客户的实际需求来设计产品,提高其防护能力。尤其是在终端安全产品,大多数产品存在被绕过的风险,导致其防护能力不足。
- 提高内部管理的重要性,关注两项重点举措:一是做三年规划,用规划来统一思想;二是将技术选型和测试过程结构化,提升科学性和先进性。安全建设应该结合外部威胁以 及内生业务需求,制定安全规划,通过规划引领可以确保安全建设的目标明确,避免盲目跟风。
- 由于部分证券公司网络安全已经过了大规模建设期,一些硬件的投入可能会降低,但是 安全服务的预算依然维持在较高的水平。部分证券公司由于 IT 投入的下滑,安全预算可能会降低,但不需要过于担忧,随着中国在全球产业链地位的提升,安全重视程度会 逐渐得到提升。
2. 基金业安全负责人的思考与洞见
- 目前网络安全建设存在诸多挑战,例如数据安全的责任归属不够明确,导致内部部门职责划分不清晰;安全人员数量有限,公司不得不过度依赖外部服务提供商的技术支持,从而影响了自身安全能力的提升;员工的安全意识有待进一步加强,信息泄露事件偶有发生;网络安全建设的步伐未能与业务发展保持同步,难以充分满足业务扩张带来的安全需求。
- 数据安全建设需要先做基础工作,不能直接购买工具就实施。基金公司当下比较关注数据安全和个人信息保护方面的合规要求,这是强监管的部分,也是当前工作的重点。基金公司目前正在按照监管要求,进行数据分类分级和脱敏等工作。
- 公司在购买安全产品时,要充分考虑产品的适用性和效果。例如,某企业在 2019 年购买的网络 DLP 产品,虽然产品本身没有问题,但由于当时数据治理工作没做好,使用效果并不理想。现在,该企业会先做好前期准备工作,再考虑购买数据安全相关的工具。
- 希望监管部门推动行业内的交流合作,共同制定数据安全标准,并提供行业最佳实践指导,以助力企业网络安全建设的持续进步和发展。
本文摘编自数说安全、《中国信息安全》杂志发布的《2024年中国金融行业网络安全研究报告》。
在此声明以上观点和内容,仅代表原作者和出处,与数治网DTZed 无关,如有出错或侵害到相关合法权益,请通过电邮与我们联系:cs@dtzed.com。
在文末扫码关注官方微信公众号“idtzed”,发送“入”直通相关数治x行业共建群、AIGC+X 成长营,@老邪 每周免费领取法规、标准、图谱等工具包。
欢迎先注册,登录后即可下载检索网络安全等相关标准、白皮书及报告。更多高质量纯净资料下载,在文末扫码关注官方微信公众号“idtzed”,进入公众号菜单“治库”。