近年来随着法律法规的逐步完善,在合规性的驱动下国内大部分证券公司已经建立了基础网络安 全防护体系。
自《网络安全法》颁布实施以来,我国证券业积极响应国家号召,深入贯彻落实网络安全政策和 法律法规,以加强证券市场的信息安全为核心目标,全力保护投资者的合法权益,坚决维护市场秩序。 在这一背景下,证券业内制定并实施了一系列细化的网络安全政策和规范,涵盖了网络基础设施建设、 信息安全保障、数据保护、应急响应等各个方面。这些政策和规范不仅强调了技术防范和风险管理的 重要性,还明确了责任主体和监管要求,确保了证券市场在网络环境下的安全稳定运行。
其中,2023 年 2 月颁布的《证券期货业网络和信息安全管理办法》(如图 30 所示),相较于证 券业过往政策,展现出更为全面、细致且具有前瞻性的特点。该办法不仅广泛涉及基础设施安全、数 据安全、应用安全等关键领域,还针对云计算、大数据、人工智能等新技术、新业务模式提出了具体 的管理要求。此外,该办法还强调了网络安全与信息安全之间的协同管理,促进了技术防范与管理措 施的融合。这一办法的出台,不仅显著提高了行业对网络安全和信息安全的重视程度,强化了风险防 控能力,确保了业务的连续性和客户资料的安全,同时也推动了证券业在技术创新和业务转型方面迈 出坚实的步伐。
在这些网络安全政策和法律法规的精心指导和规范引领下,我国证券业的网络安全建设取得了令 人瞩目的成绩。市场的信息安全得到了坚实保障,投资者的利益得到了周全保护。展望未来,证券业 将继续深化网络安全管理,不断创新和完善相关政策和规范,为构建更加安全、高效、透明的证券市场提供坚实的支撑和保障。
根据中国证券业协会信息,截止到 2023 年 6 月 30 日,我国证券公司数量为 141 家,141 家证 券公司 2023 年上半年度实现营业收入 2,245.07 亿元。
目前,网络安全投入约占 IT 投入的 3%-5%,头部券商机构安全人员 10 人左右。证券机构一般 由集团总公司统一进行采购,分支机构负责轻量级的 IT 运维,没有单独采购权。国内头部证券公司 的网络安全建设已逐渐从前期的安全基础设施建设阶段过渡到安全运营阶段,越来越重视安全实战 效果。
a) 基础安全领域 近年来随着法律法规的逐步完善,在合规性的驱动下国内大部分证券公司已经建立了基础网络安 全防护体系。在基础网络安全领域方面,大型证券公司普遍采购了边界安全产品、病毒防护、网络流 量分析等安全产品。终端安全方面,由于证券行业的特性,移动端的主要场景是证券 APP 访问,因 此大部分证券公司在移动终端安全防护投入较小,主要侧重于对物理 PC 和笔记本电脑等设备的防护 管理和病毒防护。
b) 密码和信创 密码方面,大部分券商从 2022 年开始进行国密改造,主要在数据传输环节采购了密码机等产品 以满足合规的需求。但以当下的技术下交易系统难以应用密码产品,主要是由于加密过程会增加交易 时间,影响交易速度。 信创方面,金融类信息和数据涉及国家和居民安全,在政策的推动下,证券行业正在加速推进信 创全栈式升级改造,包括从底层基础硬件、中间层基础软件到上层核心应用软件。多数证券机构从 2021 年开始推进信创,网络安全领域已经进行了 30%至 40%的信创产品的替换,而对于新采购的设 备,信创比例已经几乎达到了 100%。并预计在 2027 年之前实现所有相关产品的完全替代。
c) 云安全 整体来看,目前证券上云进度是缓慢的,相应的对云安全的投入也相对较小。当下部分证券公司 在云方面开始了初步探索和应用,虚拟化仍是主要技术手段;证券机构会普遍采用把重要系统放在私 有云,公有云的使用相对较少,通常会将新闻、资讯类应用放在公有云上,云安全的建设也主要依赖 公有云厂商提供的安全产品。据调研,部分证券公司在部分系统上开始使用容器的部署方式,并采购了容器安全产品。
d) 数据安全 证券行业的数据特点是规模庞大、价值高,应用场景复杂。因此,保护客户个人信息、交易数据、 市场行情和资讯等数据对于确保交易系统的稳定运行至关重要。鉴于外部攻击形势严峻,内部数据风 险加大,如数据在网络环境暴露面大、数据外发渠道多样化、员工接触数据机会多等内外部多重因素 影响,证券机构面临的数据安全风险持续加大。 大部分证券公司已经采购了数据库审计、动静态脱敏、数据防泄漏等数据产品进行数据防护。通 过调研得知,大多数机构对隐私计算技术依然处于关注状态,尚未应用到机构的数据安全防护体系中。 整体来看,数据安全的体系建设还处于初级阶段,大部分证券机构的技术手段未能全面覆盖数据全生 命周期。
大部分机构已经意识到数据治理工作是建立数据安全体系的基础,部分证券机构已经开始展开数 据治理工作。然而,由于涉及繁多的数据资产梳理、多部门间协作复杂等原因,数据分类分级工作面 临标准制定周期长、落地难度大、分级后难以应用等挑战。 如今,头部券商正在积极关注数据安全平台,期望通过建立数据安全平台来构建覆盖数据全生命 周期的安全保障。通过调研得知,多家证券机构也表示在当前及未来三到五年内,公司的主要任务之 一将是数据治理及数据安全体系的搭建,以应对日益严峻的数据安全挑战。
e) 开发安全 在开发安全方面,近两年在数字化转型的大背景下,头部券商加大投行、财富管理、资管、自营 等业务及运营、风控、财务、法律合规等中后台的数字化建设,开发需求逐步提高。但是大部分券商 的开发流程和安全流程尚未完全结合起来,没有建立起开发安全的体系。目前大部分券商机构的开发 安全工作主要集中在软件开发阶段,通过部署敏捷和持续集成工具 CI/CD 平台,结合安全测试工具 帮助公司在软件开发阶段识别潜在的安全漏洞。另外,通过调研我们发现,还有多数机构在积极关注 软件成分分析 SCA 工具,预计未来一两年内会使用软件成分分析 SCA 工具,以解决应用程序安全测 试 AST 类工具误报率较高的问题。
