证券公司信息安全管理体系建设实践

2017/09/25 17:54

新知图谱, 证券公司信息安全管理体系建设实践

我国证券行业信息化建设经过近二十几年的发展,信息技术已经成为证券高效运行的基础平台和提高核心竞争力的重要手段。证券行业对信息技术的高度依赖,使得信息系统的安全性、可靠性和有效性直接影响公司的稳健运行,关系到公司声誉、金融安全和社会稳定。

与此同时,随着近年来创新业务的蓬勃发展,互联网技术的广泛、深入应用,客户应用需求的不断提高,使得信息系统规模不断扩大,各信息系统之间综合交互,数据共享的程度日益提高,信息系统管理和维护也日趋复杂。以上这些变化,给信息安全保障工作带来了巨大挑战。因此证券公司有必要根据自身信息系统的特点,量体裁衣,构建合适的信息安全管理体系架构。

一、证券公司信息系统的特点

1、信息系统数量多且高度集中

证券公司的业务信息系统可分为业务生产系统、运营支撑系统以及管理支持系统。业务生产系统主要包含集中交易、网上交易、融资融券、自营业务、资产管理等。运营支撑系统如财务、风控、营销、CRM、数据仓库等。管理支持系统如呼叫中心、短信服务、邮件、OA系统等。如下图所示。

新知图谱, 证券公司信息安全管理体系建设实践

图1 证券公司的业务信息系统

以上这些业务系统的每个环节都有信息系统的支撑,证券行业在完成数据大集中之后,近些年来,创新业务不断推出,由于业务的复杂性和业务之间的关联度,导致证券公司的信息系统数量越来越多且高度集中。

2、互联网技术深入广泛应用,网络环境日趋复杂

2012年以来,互联网金融开始迅猛发展,在传统的网上交易的基础上,证券公司纷纷创新推出了新型互联网平台,如基于互联网的网上开户,网上金融超市等新型业务平台,依托于移动互联网的手机炒股,手机开户等移动互联业务,在给客户带来了便利的同时,也使证券公司的网络安全环境日趋复杂,给信息系统带来更大的信息安全风险,对信息安全防护方面提出了更高的要求。

3、信息系统需具有高稳定性和快速恢复能力

大型证券公司每天交易时间要处理数万笔交易,为几十万客户提供证券金融服务,关键的信息系统一旦出现故障,将会给公司带来极大的损失,甚至影响金融市场和社会的稳定。因此要求证券公司的信息系统要能高可靠的运行,保证业务的连续性,一旦出现故障必须能够迅速采取相应的技术手段,保证在极短的时间内恢复系统的正常运行。

二、信息安全体系的建设实践

实现信息安全需要从管理和技术两个方面着手,技术层面和管理层面的良好配合,是实现信息安全的有效途径。在管理层面,通过构架信息安全管理体系来实现信息安全,在技术层面则是通过建立涵盖物理、网络、系统、应用、终端等方面完善的信息安全技术架构,并配备适当的安全产品和安全工具的方法来实现。

1、信息安全组织的建立

信息安全组织的建立包含两个层次:

一是信息安全管理需要有来自公司最高管理层的支持。按照行业等级保护基本要求,成立以公司管理层为组长的信息安全工作领导小组,便于确认信息安全策略并协调推动信息安全措施的实施;

二是在信息技术管理的组织架构中,安全团队在信息技术部门具备必要的地位和高度,如下图,安全部门直接向部门领导汇报,与运行、开发等其它部门平级。而不是将安全部门置于网络等其它部门之下,保证安全团队能直接向部门领导汇报。有利于安全管理独立、全局、长期地发展。

新知图谱, 证券公司信息安全管理体系建设实践

图2 信息安全组织

2、信息安全部门安全岗位的设置

在信息安全部门,至少有信息安全管理工作人员和信息安全技术人员两类角色。

1)信息安全管理人员的岗位职责:

*负责安全管理制度文件的制定、推广、反馈信息收集、修订等;

*负责制定信息系统的安全策略和规范,涉及具体业务系统维护管理操作的内容,负责协调开发、运行等部门进行起草讨论,并提交相关部门进行审核,通过后由信息安全工作领导小组批准发布;

*定期向部门领导或信息安全工作领导小组汇报各信息系统安全状况并提交报告;

*协同相关部门或组织进行业务系统信息安全状况审计;

*负责指导和督促信息安全技术人员在各自相应的范围内实行信息安全管理;

*建立并维护信息安全知识共享机制;

*建立信息安全全员教育宣传机制。

2)信息安全技术人员的岗位职责:

*定期向上级领导汇报各业务系统安全状况并提交报告;

*使用工具对各系统进行定期的检查,并将结果报主管领导及相关系统管理部门主管领导;

*配合信息安全管理人员,协同相关部门或组织进行业务系统信息安全状况审计;

*收集各业务系统管理员或运维技术人员的安全需求和建议,并向相关领导汇报;

*直接参与新系统的设计、测试、实施过程,进行安全控制;

*管理现有安全系统,将制定的安全策略落实在安全系统当中,或确保所负责管理的安全产品的安全策略得以落实;

*负责与系统管理员、网络管理员、监控、审计管理人员进行日常沟通,并指导和督促这些人员在各自相应的范围内实行信息安全管理;

*协助信息安全管理人员进行信息安全全员宣传教育。

3、信息安全政策与制度的制定

随着行业信息安全管理水平的提高,GB/T22080-2008《信息安全管理体系规范》以及JRT0060-2010《证券期货业信息系统安全等级保护基本要求(试行)》等国家或行业标准的应用,证券公司已经从原来的网络间架设防火墙,部署入侵检测设备,安装终端防病毒软件等简单技术层面的防护,晋升为技术上层次化防御,管理上到通过实施标准的PDCA过程模型,即策划(Plan),执行(Do),控制(Check)和改进(Act)来建立和不断改进本公司的信息安全管理工作。PDCA模型如下图所示:

新知图谱, 证券公司信息安全管理体系建设实践

图3 PDCA模型

通过以上体系的建设过程,证券公司提高了信息安全管理水平和信息风险控制能力。逐步形成了四个层级的信息安全策略制度。

新知图谱, 证券公司信息安全管理体系建设实践

图4 四层信息安全策略制度

第一层级:证券公司内的信息安全方针、策略,从公司总体角度考虑来制定,反映公司最高管理层对信息安全工作的要求,为所有下级政策的编写指引方向。由信息安全领导小组负责制订、修订和审批,是对信息安全管理体系框架整体描述,包含方案、管理范围以及管理策略。

第二层级:各类管理制度、体系文件,这些管理制度针对信息安全工作的某个方面,是对信息安全方针内容的进一步落实。

第三层级:实施规范与细则,这些文件涉及到信息技术部门或安全部门特定工作或系统相关的实施规范与细则,是对各类管理制度、体系文件所规定工作的细化描述。

第四层级:各种作业指导书、记录文件,包括实施各项流程的记录和表单,是信息安全管理体系是否得以持续运行的证据,是政策落实的依据。

4、信息安全意识教育和培训

信息安全工作,仅仅依靠公司专职的信息技术部门和少数员工是无法保障的,没有公司全体员工的参与,信息安全工作就象“无水之源、无本之木”。我们在信息安全管理工作当中,必须高度重视“人”这个最活跃的因素。只有通过对公司全员的安全意识教育和安全技能培训,让全体员工明确信息安全责任,树立信息安全意识,养成良好的日常工作习惯,形成人人关注信息安全的工作氛围,使员工成为公司信息安全的一道最可靠防线,是建立成功的信息安全管理体系的基础。

安全意识教育和培训一般采取如下具体措施,如面向公司所有员工的信息安全意识宣传、教育和培训,通过将生活中的信息安全常识编撰成《信息安全小手册》发放给员工,组织员工参加信息安全意识教育的培训和考核,观看信息安全案例宣传短片等手段,达到公司整体信息安全意识的提高。

面向不同的群体采取不同的培训方向,除全员的信息安全意识教育外,针对信息技术人员,有针对性的开展形式多样的专业安全技能培训,比如针对开发人员的开发相关信息安全技能培训,针对运维人员的系统、网络相关的安全技能培训,针对专业信息安全人员的安全专业认证培训等等,以达到整体信息安全技能水平的提高。

5、信息系统安全等级保护

2011年,中国证监会为了推动证券期货业信息安全等级保护工作,下发了《关于开展证券期货业信息安全等级保护建设整改的通知》(证监办发[2011]107号文),通知要求证券期货业按照《证券期货业信息安全等级保护基本要求(试行)》(JRT0060-2010)开展自查、等级测评和安全建设整改工作。

证券公司按照等级保护工作的工作内容开展信息安全等级保护工作,具体步骤包括:

(1)开展定级备案,按会里的指导意见,集中交易、网上交易定为三级系统,呼叫中心、门户网站、法人结算定为二级系统。随着这几年业务的开展,新增的自主定级系统:三级系统有融资融券系统等,二级系统有三方存管、自营系统、量化交易等。

(2)通过二级系统的自查与三级系统等级保护测评,发现定级系统与行业等级保护标准要求的不符合项。

(3)依据等级保护总体方案、自查或等级保护测评中发现的不符合项,编制公司的等级保护实施方案。

(4)根据等级保护实施方案开展信息系统的安全整改和安全建设,具体包括安全域的划分与防护实现,安全或工具的采购与部署,安全加固,应用改造,等级保护管理建设等。

(5)等级保护测评验证建设整改效果。

6、信息安全技术的部署

在强调信息安全管理重要性的同时也不能忽视信息安全技术的作用。信息安全管理各项措施的执行要依托于信息安全技术的实施,结合证券公司的实际情况,信息安全技术实施的五个控制点分别为身份认证、访问控制、内容安全、监控审计、备份恢复。从终端安全、应用安全、系统安全、网络安全、物理安全等五个方面来具体落实安全技术措施。如下图所示。

新知图谱, 证券公司信息安全管理体系建设实践

图5 信息安全技术实施

*终端安全。通过域身份管理、准入控制、恶意代码防范和补丁管理等手段来实现终端的接入控制和行为管理。

*应用安全。通过密码策略、访问控制策略、内容加密,备份等技术或手段,保证应用安全。

*系统安全。通过密码策略和堡垒主机访问控制,恶意代码防范和补丁管理、文件加密、数据备份等手段,保证系统安全。

*网络安全。通过部署防火墙、入侵设备加强网络边界的防护,通过流量控制 ,QOS保障关键业务的带宽。

*物理安全。通过机房门禁系统,视频监控、环境监控等手段保障信息系统所在区域的物理安全。

对终端、应用、系统、网络进行监控审计,采集到的日志信息全部汇总到安全管理平台,安管平台对信息进行收集、过滤、归并,经过处理后的信息由安全管理平台进行关联分析。

三、信息安全岗位的定位

1、安全人员与其他IT人员的分工

在大多数证券公司信息安全管理工作当中,安全人员并不直接解决所有的安全问题,很多技术问题由网络、系统、应用等人员直接实施解决,由安全人员评估和复核,比如恶意代码防范的管理流程。如下图所示。

新知图谱, 证券公司信息安全管理体系建设实践

图6 信息安全管理工作分工

防范恶意代码的管理策略由安全人员牵头来组织,系统管理人员参与,如确定哪些服务器或终端可以自动升级病毒库,哪些需要手动升级病毒库,病毒库的升级周期是多长时间,哪些服务器不适合安装杀毒软件,可以采取什么方式加强等。

系统管理人员根据讨论好的方案进行杀毒软件的安装及升级病毒库。

安全人员通过统一防病毒软件的管理平台,监控防病毒软件的安装情况和病毒库的升级情况,如果杀毒软件的安装或病毒库升级没按步骤(1)进行,或发现了病毒,通知系统管理员。

系统管理人员对安全人员在步骤(3)中发现的问题进行改正,如果发现病毒,系统管理人员与安全人员一起处理。对于管理策略和方案中的不足,双方一起讨论加以改善。

以上工作形成闭环,不断适应系统环境和各方面情况的变化,网络、系统、应用开发等其它各方面的安全工作也类似,都是安全人员和相关人员一起配合完成。

2、安全设备的管理

安全设备应根据实际情况来确定日常管理者,以合理的平衡业务运行需要和实现安全管理为目标。与系统层面的运行操作结合较紧密的安全设备,由相关工作的负责人员来管理,如防火墙是构建网络架构的基础设施,管理和配置涉及更多网络专业知识,与网络运行环境的结合也很紧密,适合由网络管理员管理。

四、信息安全体系建设的建议与经验总结

建立信息安全管理体系的过程,是一个长期的、系统的、循序渐进的过程,不怕慢,就怕站,从信息安全计划,到简单的信息安全规划,再经过不断的优化、细化、分解、落实,经过持续的PDCA过程,慢慢的丰富起来,最终成为符合公司自身特点的信息安全管理体系。

建立了信息安全管理体系,是否信息安全管理体系能够起到实效,关键在于还在于体系本身能够落到实处,有些证券公司委托知名的咨询公司给做信息安全规划,或直接照搬相关标准,但发现规划或标准很难落地。

甚至建立的管理标准过于严格,员工对管理体系产生了抵触情绪。这就要求证券公司在建立行之有效的信息安全管理体系时,要根据自身公司的特点,结合公司的信息安全管理实践,注重发挥全员参与的积极性,如上文所述的第四层级的流程表单、作业文档,可由各岗位人员按相关制度要求编写,并严把编写的质量审核关,真正做好理论联系实际,通过全员参与,建立有针对性、可操作性的管理制度和体系文件,为体系今后的运行铺平道路。

证券公司通过建立符合自身特点的信息安全管理体系,规定、指导、约束信息系统的各项安全管理工作,对证券公司的信息安全管理工作和发展意义重大。

首先,信息安全管理体系的应用实施,提升了信息安全管理水平,提高了公司全体员工的信息安全意识,增强组织抵御灾难性事件的能力,大大提高公司信息的安全性和可靠性,使信息安全工作更好地保障公司各项业务的正常运行。

其次,信息安全管理体系的应用推广,有效地提高了证券公司信息安全风险的管控能力,将安全管理体系、风险评估、等级保护等工作有机的串联起来,使信息安全管理更加科学有效。

更多新知

知识库

已收录新知
2 4 1 5 5 8