金融行業(yè)

全力護(hù)航金融客戶網(wǎng)絡(luò)安全、數(shù)據(jù)安全

7大專項(xiàng)助力證券公司落實(shí)網(wǎng)絡(luò)安全三年提升計(jì)劃

閱讀量：

“金吾衛(wèi)”，漢唐時(shí)期拱衛(wèi)京師之衛(wèi)隊(duì)，司巡察警戒之責(zé)。安恒信息金融解決方案團(tuán)隊(duì)借用金吾衛(wèi)之名，以行業(yè)解決方案為盾，全力護(hù)航金融客戶網(wǎng)絡(luò)安全、數(shù)據(jù)安全。接下來，我們將推出《金融行業(yè)解決方案·金吾衛(wèi)》系列，一起了解金融領(lǐng)域中的安恒方案。

前言

近年來，在行業(yè)數(shù)字化加速發(fā)展和大數(shù)據(jù)、云計(jì)算、區(qū)塊鏈和人工智能等新技術(shù)應(yīng)用不斷深入的大背景下，證券公司的信息技術(shù)投入逐年增加，行業(yè)網(wǎng)絡(luò)和信息安全運(yùn)行態(tài)勢總體平穩(wěn)。但隨著業(yè)務(wù)與技術(shù)加速融合，網(wǎng)絡(luò)和信息安全管理日趨復(fù)雜，信息系統(tǒng)建設(shè)任務(wù)明顯增加。

中國證券業(yè)協(xié)會(huì)組織起草的《證券公司網(wǎng)絡(luò)和信息安全三年提升計(jì)劃（2023-2025）》（以下簡稱《安全提升計(jì)劃》）作為指導(dǎo)2023年至2025年券商提升網(wǎng)絡(luò)與信息安全工作的行動(dòng)指南，券商可參照實(shí)施，并制定配套實(shí)施計(jì)劃。

《安全提升計(jì)劃》政策解讀

規(guī)劃以牢牢守住不發(fā)生系統(tǒng)性金融風(fēng)險(xiǎn)的底線為指導(dǎo)思想，制定了六大主要任務(wù)，33個(gè)重點(diǎn)任務(wù)，6個(gè)保障措施。力爭到 2025 年，通過組織引導(dǎo)證券公司積極落實(shí)各項(xiàng)行動(dòng)舉措，促進(jìn)證券行業(yè)網(wǎng)絡(luò)和信息安全建設(shè)取得扎實(shí)成效：

行業(yè)人員網(wǎng)絡(luò)和信息安全意識明顯增強(qiáng)，科技治理能力有效提升，信息系統(tǒng)架構(gòu)掌控能力全面加強(qiáng)，科技資金投入和人才培養(yǎng)力度持續(xù)加大，網(wǎng)絡(luò)和信息安全防護(hù)體系基本健全，行業(yè)科技創(chuàng)新和數(shù)字化轉(zhuǎn)型邁上新的臺(tái)階，為行業(yè)高質(zhì)量發(fā)展提供有力支撐，全力支持資本市場改革發(fā)展。

安恒方案

為協(xié)助證券公司落地《安全提升計(jì)劃》，安恒信息可提供配套的解決方案。方案以構(gòu)建證券行業(yè)網(wǎng)絡(luò)和信息安全防護(hù)體系為目標(biāo)，以合規(guī)風(fēng)控、機(jī)制協(xié)同、專業(yè)引領(lǐng)、創(chuàng)新驅(qū)動(dòng)，被動(dòng)防御轉(zhuǎn)變?yōu)橹鲃?dòng)加固和動(dòng)態(tài)保障為方針，通過服務(wù)和技術(shù)相結(jié)合的方式，為證券行業(yè)搭建三年提升總體建設(shè)框架。

整體建設(shè)框架分為頂層設(shè)計(jì)、技術(shù)支撐、安全運(yùn)營三部分。其中頂層設(shè)計(jì)包括制定網(wǎng)絡(luò)和信息科技戰(zhàn)略發(fā)展規(guī)劃，并進(jìn)行動(dòng)態(tài)修訂和持續(xù)完善。建立健全網(wǎng)絡(luò)和信息安全提升工作機(jī)制，制定具體的提升計(jì)劃和路線；技術(shù)支撐包括安全管理與合規(guī)、覆蓋（數(shù)據(jù)、應(yīng)用、主機(jī)、網(wǎng)絡(luò)）的安全技術(shù)；安全運(yùn)營包括利用內(nèi)外部的運(yùn)營團(tuán)隊(duì)，建設(shè)統(tǒng)一的安全運(yùn)營中心，將不同檢測數(shù)據(jù)進(jìn)行統(tǒng)一管理和關(guān)聯(lián)分析，加大自動(dòng)化響應(yīng)處置能力，持續(xù)加強(qiáng)網(wǎng)絡(luò)安全態(tài)勢感知和通報(bào)預(yù)警。

結(jié)合安恒實(shí)力及證券行業(yè)建設(shè)現(xiàn)狀，建設(shè)內(nèi)容主要包括：數(shù)據(jù)安全治理、安全運(yùn)營中心、信創(chuàng)、開發(fā)安全與供應(yīng)鏈安全、云安全、安全人才培養(yǎng)、安全服務(wù)能力引入等7個(gè)專項(xiàng)建設(shè)內(nèi)容，以下展開介紹：

1.數(shù)據(jù)安全治理專項(xiàng)建設(shè)

安恒信息具備完善的數(shù)據(jù)安全解決方案，可為證券行業(yè)提供數(shù)據(jù)安全咨詢服務(wù)、數(shù)據(jù)安全產(chǎn)品加固能力、數(shù)據(jù)安全運(yùn)營，實(shí)現(xiàn)全生命周期的安全管控。

加強(qiáng)證券行業(yè)數(shù)據(jù)安全管理體系建設(shè)，在明確數(shù)據(jù)權(quán)責(zé)的基礎(chǔ)上，對數(shù)據(jù)進(jìn)行分類分級，并以數(shù)據(jù)全生命周期安全防護(hù)要求為重點(diǎn)，構(gòu)建目標(biāo)明確、職責(zé)清晰、層次分明、落地性強(qiáng)的制度規(guī)范。加強(qiáng)靜態(tài)和動(dòng)態(tài)數(shù)據(jù)資產(chǎn)的精確識別，以分級分類為基礎(chǔ)，以數(shù)據(jù)生命周期安全為目標(biāo)。實(shí)施“數(shù)據(jù)安全三不同策略”—對不同等級數(shù)據(jù)在不同應(yīng)用場景下實(shí)施不同類型的防護(hù)措施。

協(xié)助證券行業(yè)主動(dòng)探索數(shù)據(jù)消費(fèi)場景，實(shí)現(xiàn)“數(shù)據(jù)可讀不可存、數(shù)據(jù)可用不可見、數(shù)據(jù)可算不可識”，充分發(fā)揮數(shù)據(jù)要素的價(jià)值。

2.? 安全運(yùn)營中心專項(xiàng)建設(shè)

安全運(yùn)營是由一個(gè)全天候輪班執(zhí)行運(yùn)營工作的團(tuán)隊(duì)以及一套專注于幫助運(yùn)營團(tuán)隊(duì)執(zhí)行預(yù)測、防御、檢測、評估并對威脅或事件進(jìn)行響應(yīng)的工具和運(yùn)營管理流程組成。

安恒信息緊跟政策要求及行業(yè)趨勢，依托安全運(yùn)營中心方案推動(dòng)客戶從傳統(tǒng)被動(dòng)防御轉(zhuǎn)變?yōu)橐酝{感知、風(fēng)險(xiǎn)監(jiān)測、預(yù)警通報(bào)為主體的主動(dòng)安全運(yùn)營體系，在金融行業(yè)積累了大量經(jīng)驗(yàn)，在滿足政策合規(guī)的前提下，有效提升組織整體安全能力，形成行業(yè)多項(xiàng)最佳實(shí)踐。

通過安全運(yùn)營中心的建設(shè)，進(jìn)行統(tǒng)一管理和關(guān)聯(lián)分析，提升檢測效率和準(zhǔn)確性。提高安全響應(yīng)處置自動(dòng)化能力，沉淀工作過程中的人工經(jīng)驗(yàn)，標(biāo)準(zhǔn)化響應(yīng)處置操作，實(shí)現(xiàn)自動(dòng)化、高效率的協(xié)同處置。

3.? 信息技術(shù)應(yīng)用創(chuàng)新專項(xiàng)建設(shè)

隨著信創(chuàng)改造逐步深入業(yè)務(wù)系統(tǒng)，安全建設(shè)也需要跟上步伐，在滿足等保2.0基線的前提下，綜合考慮安全產(chǎn)品的各項(xiàng)指標(biāo)，持續(xù)完善信創(chuàng)系統(tǒng)的安全建設(shè)，為業(yè)務(wù)保駕護(hù)航。

截至目前，安恒信息已經(jīng)實(shí)現(xiàn)了 17 個(gè)品類 80 余款型號的國產(chǎn)化規(guī)格的上市，有17款今年Q1上市，與其他生態(tài)廠商形成 200 余份互認(rèn)證證明，其中有 33 款產(chǎn)品入圍最新的四期&三期名錄，當(dāng)前名錄產(chǎn)品總數(shù)已躍居第三，在產(chǎn)品高性能區(qū)間中，10 款安恒鯤鵬規(guī)格具有絕對的性能領(lǐng)先優(yōu)勢。

4.? 開發(fā)安全與供應(yīng)鏈安全專項(xiàng)建設(shè)

安恒信息可為證券行業(yè)制定安全管控流程，從立項(xiàng)、需求分析、方案設(shè)計(jì)、開發(fā)實(shí)現(xiàn)、測試、上線交付等階段介入安全管控手段。同時(shí)搭建安全研發(fā)管控平臺(tái)，支撐全生命周期安全管控及工具支持。安全評審、安全培訓(xùn)、安全知識維護(hù)、安全技術(shù)實(shí)踐（漏洞掃描、代碼審計(jì)、滲透測試、用例測試）貫穿整個(gè)研發(fā)全生命周期管控流程。

通過安全開發(fā)一體化平臺(tái)，采用人工+工具的方式，與證券行業(yè)現(xiàn)有流程完美融合，達(dá)成流程自動(dòng)化，做到安全工作有據(jù)可依。開發(fā)安全體系建設(shè)和運(yùn)行，大大提高系統(tǒng)的安全性，降低漏洞的修復(fù)成本，減少了研發(fā)、測試、安全人員溝通成本，進(jìn)而提高了工作效率。

5.? 云安全專項(xiàng)建設(shè)

在多云發(fā)展的趨勢下，安恒信息認(rèn)為建設(shè)一個(gè)“全面覆蓋、深度集成、動(dòng)態(tài)協(xié)同”的云安全體系是其發(fā)展之必然，與Gartner “網(wǎng)絡(luò)安全網(wǎng)格架構(gòu)”（CSMA）理念不謀而合。整體平臺(tái)設(shè)計(jì)應(yīng)“以業(yè)務(wù)為導(dǎo)向，向下匯總安全原子能力，向上提供云安全管理服務(wù)”，達(dá)成“多云一體、融合安全、閉環(huán)運(yùn)營”的三大目標(biāo)，進(jìn)而實(shí)現(xiàn)持續(xù)監(jiān)測分析和實(shí)時(shí)響應(yīng)閉環(huán)。

6.? 安全人才培養(yǎng)專項(xiàng)建設(shè)

安恒信息人才培養(yǎng)主要通過安全能力認(rèn)證培訓(xùn)服務(wù)以及客戶實(shí)際需求為主，以線上和線下相結(jié)合、理論與實(shí)踐相結(jié)合等多種學(xué)習(xí)方式，為社會(huì)各組織、團(tuán)體和企事業(yè)單位等提供認(rèn)證和培訓(xùn)服務(wù)，提升客戶企業(yè)信息安全防護(hù)人員的能力。

安恒信息安全培訓(xùn)服務(wù)提供四大類組合的安全培訓(xùn)，包括安全技能培訓(xùn)、認(rèn)證培訓(xùn)、網(wǎng)絡(luò)安全競賽培訓(xùn)、攻防培訓(xùn)等內(nèi)容。可根據(jù)證券行業(yè)實(shí)際需求，定制安全培訓(xùn)服務(wù)內(nèi)容。

7.? 安全服務(wù)能力引入專項(xiàng)建設(shè)

安恒信息安全服務(wù)依托十大實(shí)驗(yàn)室、九維安全能力專家團(tuán)隊(duì)組成及八大核心平臺(tái)技術(shù)支撐保障，按照IPDRO基于攻防對抗的五個(gè)安全運(yùn)營能力域的全周期及不同交付模式形成的業(yè)界首創(chuàng)新一代安全服務(wù)，可為證券客戶提供全方位的安全保障專業(yè)服務(wù)。

包括網(wǎng)絡(luò)安全監(jiān)測檢查、風(fēng)險(xiǎn)評估分析、威脅追蹤溯源和事件應(yīng)急響應(yīng)等在內(nèi)的多樣化、專業(yè)化、符合行業(yè)特點(diǎn)的安全服務(wù)，幫助證券公司發(fā)現(xiàn)并解決風(fēng)險(xiǎn)隱患，組織開展行業(yè)網(wǎng)絡(luò)安全科研攻關(guān)。協(xié)助各證券公司通過行業(yè)安全服務(wù)提升安全防護(hù)能力，共同促進(jìn)行業(yè)網(wǎng)絡(luò)安全健康發(fā)展。