探究證券行業(yè)信息安全現(xiàn)狀及對策

1、摘要證券行業(yè)作為金融服務(wù)業(yè)，是一個高度依賴信息技術(shù)的行業(yè)。 信息安全是維護資本市場穩(wěn)定的前提和基礎(chǔ)，沒有信息安 全就沒有資本市場的穩(wěn)定。 介紹了維護好證券行業(yè)信息安全的 重要意義， 分析了行業(yè)信息安全現(xiàn)狀以及存在的問題， 并提出了相應(yīng) 的對策。 關(guān)鍵詞證券行業(yè)信息安全網(wǎng)絡(luò)安全體系近年來，我國 資本市場發(fā)展迅速，市場規(guī)模不斷擴大，社會影響力不斷增強成為 國民經(jīng)濟巾的重要組成部分，也成為老百姓重要的投資理財渠道。 資本市場的穩(wěn)定健康發(fā)展， 關(guān)系著億萬投資者的切身利益， 關(guān)系著社 會穩(wěn)定和國家金融安全的大局。 證券行業(yè)作為金融服務(wù)業(yè)，高 度依賴信息技術(shù)，而信息安全是維護資本市場穩(wěn)定的前提和基礎(chǔ)。 沒

2、有信息安全就沒有資本市場的穩(wěn)定。 目前國內(nèi)外網(wǎng)絡(luò)信息 安全問題日益突出。 從資本市場看，近年來，隨著市場快速發(fā) 展，改革創(chuàng)新深入推進，市場交易模式日趨集巾化，業(yè)務(wù)處理邏輯日 益復(fù)雜化，網(wǎng)絡(luò)安全事件、 公共安全事件以及水災(zāi)冰災(zāi)、震災(zāi)等自然 災(zāi)害都對行業(yè)信息系統(tǒng)的連續(xù)、穩(wěn)定運行帶來新的挑戰(zhàn)。資本市場交易實時性和整體性強，交易時問內(nèi)一刻也不能中斷。 加 強信息安全應(yīng)急丁作，積極采取預(yù)防、預(yù)警措施，快速、穩(wěn)妥地處置 信息安全事件，盡力減少事故損失，全力維護交易正常，對于資本市 場來說至關(guān)重要。 1 證券行業(yè)倍息安全現(xiàn)狀和存在的問題 1 1 行業(yè)信息安全法規(guī)和標準體系方面健全的信息安全法律法規(guī)和標準 體

3、系是確保證券行業(yè)信息安全的基礎(chǔ)。 是信息安全的第一道防 線。 為促進證券市場的平穩(wěn)運行， 中國證監(jiān)會自 1998 年先后發(fā)布了一系列信息安全法規(guī)和技術(shù)標準。其中包括 2 個信息技術(shù)管理規(guī)范、 2 個信息安全等級保護通知、 1 個信息安全保障辦法、 1 個信息通報方法和 10 個行業(yè)技術(shù)標準。行業(yè)信息安全法規(guī)和標準體系的初步形成，推動了行業(yè)信息化建設(shè)和信息安全工作向規(guī)范 化、標準化邁進。 雖然我國涉及信息安全的規(guī)范性文件眾多， 但在現(xiàn)行的法律法規(guī)中。 立法主體較多，法律法規(guī)體系龐雜而 缺乏統(tǒng)籌規(guī)劃。 面對新形勢下信息安全保障工作的發(fā)展需要， 行業(yè)信息安全工作在政策法規(guī)和標準體系方面的問題也逐漸顯

4、現(xiàn)。 一是法規(guī)和標準建設(shè)滯后， 缺乏總體規(guī)劃； 二是規(guī)范和標準互通性和 協(xié)調(diào)性不強， 部分規(guī)范和標準的可執(zhí)行性差； 三是部分規(guī)范和標準已 不適應(yīng)， 無法應(yīng)對某些新型信息安全的威脅； 四是部分信息安全規(guī)范 和標準在行業(yè)內(nèi)難以得到落實。12 組織體系與信息安全保障管理模型方面任何安全管理措施或技術(shù)手段都離不開人員的組織和 實施，組織體系是信息安全保障工作的核心。 目前，證券行業(yè) 采用統(tǒng)一組織、 分工有序的信息安全工作體系， 分為決策層、管理層、 執(zhí)行層。 為加強證券期貨業(yè)信息安全保障工作的組織協(xié)調(diào)，建 立健全信息安全管理制度和運行機制， 切實提高行業(yè)信息安全保障工 作水平，根據(jù)證監(jiān)會頒布的證券期貨

5、業(yè)信息安全保障管理暫行辦 法，參照 270012005，提出證券期貨業(yè)信息安全保障管理體系框 架。 該體系框架采用立方體架構(gòu)頂面是信息安全保障的 7 個 目標機密性、完整性、可用性、真實性、可審計性、抗抵賴性、可靠 性，正面是行業(yè)組織結(jié)構(gòu) 側(cè)面是各個機構(gòu)為實現(xiàn)信息安全保障目標所采取的措施和方式。13 治理方面整個證券業(yè)處于高度信息化的背景下，治理已直接影響到行業(yè)各公司實現(xiàn)戰(zhàn)略目標的可能性， 良好的治理有助于增強公司靈活性和創(chuàng)新能力，規(guī)避風險。 通 過建立治理機制，可以幫助最高管理層發(fā)現(xiàn)信息技術(shù)本身的問題。 幫助管理者處理問題， 自我評估管理效果 可以加強對信息化項目的 有效管理， 保證信息化項

6、目建設(shè)的質(zhì)量和應(yīng)用效果， 使有限的投入取 得更大的績效。2003 年治理理念引入到我國證券行業(yè)，當前我國證券業(yè)企業(yè)的治理存在的問題一是資源在公司的戰(zhàn)略資產(chǎn)中的地 位受到高層重視， 但具體情況不清楚； 二是治理缺乏明確的概念描述 和參數(shù)指標；是治理的責任與職能不清晰。14 網(wǎng)絡(luò)安全和數(shù)據(jù)安全方面隨著互聯(lián)網(wǎng)的普及以及網(wǎng)上交易系統(tǒng)功能的不斷豐富、 完 善和使用的便利性，網(wǎng)上交易正逐漸成為證券投資者交易的主流模 式。據(jù)統(tǒng)計， 2008 年我同證券網(wǎng)上交易量比重已超過總交易量的 80。 雖然交易系統(tǒng)與互聯(lián)網(wǎng)的連接， 方便了投資者。 但 由于互聯(lián)網(wǎng)的開放性，來自互聯(lián)網(wǎng)上的病毒、小馬、黑客攻擊以及計 算機威

7、脅事件， 都時刻威脅著行業(yè)的信息系統(tǒng)安全， 成為制約行業(yè)平 穩(wěn)、安全發(fā)展的障礙。 此，維護網(wǎng)絡(luò)和數(shù)據(jù)安全成為行業(yè)信息 安全保障工作的重要組成部分。 近年來，證券行業(yè)各機構(gòu)采取 了一系列措施，建立了相對安全的網(wǎng)絡(luò)安全防護體系和災(zāi)舴備份系 統(tǒng)，基木保障了信息系統(tǒng)的安全運行。 但細追究起來，我國證 券行業(yè)的網(wǎng)絡(luò)安全防護體系及災(zāi)備系統(tǒng)建設(shè)還不夠完善， 還存存以下 幾方面的問題一是網(wǎng)絡(luò)安全防護體系缺乏統(tǒng)一的規(guī)劃； 二是網(wǎng)絡(luò)訪問控制措施有待完善； 三是網(wǎng)上交易防護能力有待加強； 四是對數(shù)據(jù)安 全重視不夠， 數(shù)據(jù)備份措施有待改進； 五是技術(shù)人員的專業(yè)能力和信 息安全意識有待提高。1 5 人才資源建設(shè)方面近

8、20 年的發(fā)展歷程巾，證券行業(yè)對信息系統(tǒng)日益依賴，行業(yè)隊伍此不斷發(fā)展壯大。 據(jù)統(tǒng)計， 2008 年初，在整個證券行業(yè)中， 103 家證券公司共有人員 7325人，占證券行業(yè)從業(yè)總?cè)藬?shù) 73990人的 990，總體上達到了 行業(yè)協(xié)會發(fā)布的治理工作指引中工作人員總數(shù)原則上應(yīng)不少于公司 員工總?cè)藬?shù)的 6的最低要求。目前，證券行業(yè)的隊伍肩負著信息系統(tǒng)安全、平穩(wěn)、高效運行的重任，隊伍建設(shè)是行業(yè)信息安全作 的根本保障。 但是，人才隊伍依然存在著結(jié)構(gòu)不合理、后續(xù)教 育不足等問題，此行業(yè)的人才培養(yǎng)有待加強。 2 采取的對策和 措施 21 進一步完善法規(guī)和標準體系首先，在法規(guī)規(guī)劃上，要統(tǒng)籌 兼顧，制定科學(xué)的信息

9、技術(shù)規(guī)范和標準體系框架。 一是全面做 好立法規(guī)劃；二是建立科學(xué)的行業(yè)信息安全標準和法規(guī)體系層次。 行業(yè)信息安全標準和法規(guī)體系初步劃分為 3 層第一層是管理辦法等 巾同證監(jiān)會部門規(guī)章； 第二層是證監(jiān)會相關(guān)部門制定的管理規(guī)范等規(guī) 范性文件；第三層是技術(shù)指引等自律規(guī)則，一般由交易所、行業(yè)協(xié)會 在證監(jiān)會總體協(xié)調(diào)下組織制定。其次，在法規(guī)制定上要兼顧規(guī)范和發(fā)展，重視法規(guī)的可行性。最后，在法規(guī)實施上要堅持規(guī)范和指引相結(jié)合，重視監(jiān)督檢查和責任落實。2 2 深入開展證券行業(yè)治理工作 221 提高治理意識中國證券業(yè)協(xié)會要進一步 加強治理理念的教育宣傳工作， 特別是對會員單位高層領(lǐng)導(dǎo)的治理培訓(xùn)，將治理的定義、工具、

10、模型等理論知識納入到高管任職資格考試的內(nèi)容之中。 通過舉辦論壇、交流會等形式強化證券經(jīng)營機構(gòu) 的治理意識，提高他們治理的積極性。2 2 2 通過設(shè)立治理試點形成以點帶面的示范效應(yīng)根據(jù)治理模型的不同特點， 建議證券公 司在決策層使用模型， 通過成立治理委員會， 建立各部門之間的協(xié)調(diào) 配合、監(jiān)督制衡的責權(quán)體系；在執(zhí)行層以模型、模型等其他模型為補 充，規(guī)范信息技術(shù)部門的各項控制和管理流程。 同時，證監(jiān)會 指定一批證券公司和基金公司作為試點單位， 進行治理模型選擇、 剪 裁以及組合的實踐探索， 形成一批成功實施治理的優(yōu)秀范例， 以點帶 面地提升全行業(yè)的治理水平。23 通過制定行業(yè)標準積極落實信息安全等

11、級保護行業(yè)監(jiān)管部門在推動行業(yè)信息安全等級保護工作 中的作用非常關(guān)鍵 應(yīng)進一步明確監(jiān)管部門推動行業(yè)信息安全等級保 護工作的任務(wù)和工作機制，統(tǒng)一部署、組織行業(yè)的等級保護丁作，為 該項丁作的順利開展提供組織保證。 行業(yè)各機構(gòu)應(yīng)采取自主貫 徹信息系統(tǒng)等級保護的行業(yè)要求，對照標準逐條落實。 同時， 應(yīng)對各單位實施信息系統(tǒng)安全等級保護情況進行測評， 在測評環(huán)節(jié)一 旦發(fā)現(xiàn)信息系統(tǒng)的不足， 被測評單位應(yīng)立即制定相應(yīng)的整改方案并實 施且南相芙的監(jiān)督機構(gòu)進行督促。2 4 加強網(wǎng)絡(luò)安全體系規(guī)劃以提升網(wǎng)絡(luò)安全防護水平 241 以等級保護為依據(jù)進行統(tǒng)籌規(guī)劃 等級保護是圍繞信息安全保障全過程的一項基礎(chǔ)性的管理制度， 通過

12、 將等級化的方法和安全體系規(guī)劃有效結(jié)合， 統(tǒng)籌規(guī)劃證券網(wǎng)絡(luò)安全體 系的建設(shè)， 建立一套信息安全保障體系， 將是系統(tǒng)化地解決證券行業(yè)網(wǎng)絡(luò)安全問題的一個非常有效的方法。2 4 2 通過加強網(wǎng)絡(luò)訪問控制提高網(wǎng)絡(luò)防護能力對向證券行業(yè)提供設(shè)備、 技術(shù)和服務(wù)的公 司的資質(zhì)和誠信加強管理， 確保其符合國家、 行業(yè)技術(shù)標準。 根 據(jù)網(wǎng)絡(luò)隔離要求，要逐步建立業(yè)務(wù)網(wǎng)與辦公網(wǎng)、業(yè)務(wù)網(wǎng)與互聯(lián)網(wǎng)、網(wǎng) 上交易各子系統(tǒng)間有效的網(wǎng)絡(luò)隔離。 技術(shù)上可以對不同的業(yè)務(wù) 安全區(qū)域劃分或者采用網(wǎng)閘設(shè)備進行隔離； 對主要的網(wǎng)絡(luò)邊界和各外 部進口進行滲透測試， 進行系統(tǒng)和設(shè)備的安全加固 降低系統(tǒng)漏洞帶 來的安全風險； 在網(wǎng)上交易方面， 采

13、取電子簽名或數(shù)字認證等高強度 認證方式，加強訪問控制； 針對現(xiàn)存惡意攻擊網(wǎng)站的事件越來越多的 情況，要采取措施加強網(wǎng)站保護，提高對惡意代碼的防護能力，同時 采用技術(shù)手段， 提高網(wǎng)上交易客戶端軟件使朋的安全性。243提高從業(yè)人員安全意識和專業(yè)水平目前在證券行業(yè)內(nèi)， 從業(yè)人員的網(wǎng) 絡(luò)安全意識比較薄弱必要時可定期對從業(yè)人員進行安全意識考核， 從行業(yè)內(nèi)部強化網(wǎng)絡(luò)安全工作。 要加強網(wǎng)絡(luò)安全技術(shù)人員的管 理能力和專業(yè)技能培訓(xùn)， 提高行業(yè)網(wǎng)絡(luò)安全的管理水平和專業(yè)技術(shù)水 平。25 扎實推進行業(yè)災(zāi)難備份建設(shè)數(shù)據(jù)的安全對證券行業(yè)是至關(guān)重要的，數(shù)據(jù)一旦丟失對市場各方的損失是難以估量的。 無 論是美國的 911 事件

14、，還是我國 2008 年南方冰雪災(zāi)害和四川汶川 大地震，都敲響了災(zāi)難備份的警鐘。 證券業(yè)要在學(xué)習(xí)借鑒國際 經(jīng)驗的基礎(chǔ)上，針對自身需要，對重要系統(tǒng)開展災(zāi)難備份建設(shè)。 要繼續(xù)推進證券、基金公司同城災(zāi)難備份建設(shè)，以及證券交易所、結(jié) 算公司等市場核心機構(gòu)的異地災(zāi)難備份系統(tǒng)的規(guī)劃和建設(shè)。 制定各類相關(guān)的災(zāi)難應(yīng)急預(yù)案， 并加強應(yīng)急預(yù)案的演練， 確保災(zāi)難備份 系統(tǒng)應(yīng)急有效使應(yīng)急工作與日常工作有機結(jié)合。26 抓好人才隊伍建設(shè)證券行業(yè)要采取切實可行的措施， 建立吸引人才、 留住人 才、培養(yǎng)人才、發(fā)展人才的用人制度和機制。 積極吸引有技術(shù) 專長的人才到行業(yè)巾來， 加強人員的崗位技能培訓(xùn)和業(yè)務(wù)培訓(xùn)， 注重 培養(yǎng)既懂

15、得技術(shù)義懂業(yè)務(wù)和管理的復(fù)合型人才。 要促進從業(yè)人 員提高水平、轉(zhuǎn)變觀念，行業(yè)各機構(gòu)應(yīng)采取采取請進來、派出去以及 內(nèi)部講座等多種培訓(xùn)方式。 通過建立規(guī)范有效的人才評價體系， 對信息技術(shù)人員進行科學(xué)有效的考評， 提升行業(yè)人才資源的優(yōu)化配置 和使用效率，促進技術(shù)人才結(jié)構(gòu)的涮整和完善。 3 結(jié)語平時多 流汗，戰(zhàn)時少流血。 市場監(jiān)管者、組織者和參與者只有通過長 期不懈的共同努力， 才能使證券期貨信息系統(tǒng)在全面支持業(yè)務(wù)發(fā)展需 求的前提下，向著安全、高效、經(jīng)濟的方向不斷完善和發(fā)展，才能基 本滿足資本市場不斷創(chuàng)新、持續(xù)規(guī)范、穩(wěn)定運行的需要，為資本市場 的快速、穩(wěn)定發(fā)展提供堅實的保障。定各類相關(guān)的災(zāi)難應(yīng)急預(yù)案， 并加強應(yīng)急預(yù)案的演練， 確保災(zāi)難備份 系統(tǒng)應(yīng)急有效使應(yīng)急工作與日常工作有機結(jié)合。26 抓好人才隊伍建設(shè)證券行業(yè)要采取切實可行的措施， 建立吸引人才、 留住人 才、培養(yǎng)人才、發(fā)展人才的用人制度和機制。 積極吸引有技術(shù) 專長的人才到行業(yè)巾來， 加強人員的崗位技能培訓(xùn)和業(yè)務(wù)培訓(xùn)， 注重 培養(yǎng)既懂得技術(shù)義懂業(yè)務(wù)和管理的復(fù)合型人才。 要促進從業(yè)人 員提高水平、轉(zhuǎn)變觀念，行業(yè)各機構(gòu)