證券業(yè)的數(shù)據(jù)安全與保護(hù)

季常青

（南京證券股份有限公司 江蘇 210001）

0 引言

隨著我國資本市場的迅速發(fā)展，市場的規(guī)模擴(kuò)大的同時(shí)也增強(qiáng)了社會(huì)的影響力。作為國民經(jīng)濟(jì)的重要組成部分的證券市場，同時(shí)也是老百姓的投資理財(cái)渠道。證券市場的安全與穩(wěn)定對(duì)投資者、社會(huì)穩(wěn)定、國家金融安全都有著非常重要的意義。面對(duì)日益復(fù)雜的數(shù)據(jù)安全問題威脅，應(yīng)該積極采用防御措施，減少數(shù)據(jù)安全問題的發(fā)生。

1 證券業(yè)數(shù)據(jù)安全現(xiàn)狀與存在的問題

1.1 數(shù)據(jù)安全法規(guī)及標(biāo)準(zhǔn)體系

證券業(yè)數(shù)據(jù)安全需要健全的數(shù)據(jù)安全法律法規(guī)與標(biāo)準(zhǔn)體系來保障，這些是數(shù)據(jù)安全的第一道防線。我國證監(jiān)會(huì)從 1998年開始就發(fā)布了一系列的安全法規(guī)和技術(shù)標(biāo)準(zhǔn)，這些安全法規(guī)與標(biāo)準(zhǔn)體系的初步形成推動(dòng)者證券業(yè)數(shù)據(jù)安全的規(guī)范化與標(biāo)準(zhǔn)化。雖然我國有眾多的數(shù)據(jù)安全規(guī)范性文件，但是在現(xiàn)行的法律規(guī)范中，立體主體多、體系繁雜、沒有統(tǒng)籌規(guī)劃的問題突出，不能夠適應(yīng)新形勢下的數(shù)據(jù)安全保護(hù)工作。主要存在的問題有：法規(guī)建設(shè)滯后，沒有總體的規(guī)劃；規(guī)范不能互通和協(xié)調(diào)，尤其不能注重結(jié)合行業(yè)特點(diǎn)，可執(zhí)行性不高；一部分規(guī)范已經(jīng)不能夠應(yīng)對(duì)新型的數(shù)據(jù)安全威脅；部分規(guī)范不能夠得到落實(shí)[1]。

1.2 組織體系與數(shù)據(jù)安全保障管理

對(duì)數(shù)據(jù)安全的管理和保護(hù)都離不開人員的組織與實(shí)施，組織體系是數(shù)據(jù)安全保護(hù)工作最重要的部分。為了協(xié)調(diào)數(shù)據(jù)安全保障工作的組織，應(yīng)該建立與健全數(shù)據(jù)安全管理制度與運(yùn)行機(jī)制，提高整體的數(shù)據(jù)安全保障工作水平。作為一線的技術(shù)管理人員，我們認(rèn)識(shí)到組織體系和安全管理制度對(duì)于數(shù)據(jù)的保護(hù)是十分重要的。例如，公司應(yīng)設(shè)立專門的安全總監(jiān)，負(fù)責(zé)技術(shù)、網(wǎng)絡(luò)安全；應(yīng)設(shè)立審核崗，專門負(fù)責(zé)審核運(yùn)維、開發(fā)工作人員的所有操作記錄；應(yīng)設(shè)立資料員崗，負(fù)責(zé)保管系統(tǒng)密碼，數(shù)據(jù)光盤；還有重要的業(yè)務(wù)數(shù)據(jù)需要提交測試時(shí)，必須嚴(yán)格按照公司規(guī)定進(jìn)行脫敏處理等等。只有在制度上和運(yùn)行機(jī)制上堵住了數(shù)據(jù)泄漏或被篡改的渠道，才能建立起數(shù)據(jù)安全保障的基本防線。

2 證券業(yè)數(shù)據(jù)保護(hù)措施

2.1 完善法律規(guī)范與標(biāo)準(zhǔn)體系

從法律法規(guī)規(guī)劃上來說，應(yīng)該要統(tǒng)籌兼顧地制定數(shù)據(jù)安全規(guī)范與標(biāo)準(zhǔn)體系框架，一方面要做好立法工作規(guī)劃，另一方面要是數(shù)據(jù)安全標(biāo)準(zhǔn)與體系科學(xué)、規(guī)范。從法律法規(guī)制定上說，要將規(guī)范與發(fā)展統(tǒng)籌兼顧，提高法規(guī)的可操作性。從法律法規(guī)的實(shí)施上說，要將規(guī)范與引導(dǎo)結(jié)合起來，重視監(jiān)督工作，落實(shí)責(zé)任。

2.2 證券業(yè)IT治理工作

2.2.1 提高IT治理意識(shí)

中國證券協(xié)會(huì)加強(qiáng)IT治理理念的宣傳教育工作，尤其是單位的高層領(lǐng)導(dǎo)，要對(duì)其進(jìn)行IT治理培訓(xùn)，在高管任職考核中加入IT治理方面的理論知識(shí)[4]。通過讓證券經(jīng)營機(jī)構(gòu)參加論壇、交流會(huì)等方式加強(qiáng)IT管理意識(shí)，提高積極性。

要充分認(rèn)識(shí)到數(shù)據(jù)安全治理的必要性：它是證券公司穩(wěn)定運(yùn)行的需要；是監(jiān)管部門風(fēng)險(xiǎn)管理的需要；是證券業(yè)務(wù)及管理創(chuàng)新的需要；是合規(guī)的需要；要明確IT治理中數(shù)據(jù)治理的要點(diǎn)：（1）是明確證券公司數(shù)據(jù)治理的的主體，一定要落實(shí)到公司的高層管理人員；（2）是要建立數(shù)據(jù)質(zhì)量標(biāo)準(zhǔn)。明確業(yè)務(wù)框架，確定業(yè)務(wù)流程后，建立清晰的數(shù)據(jù)視圖；（3）加強(qiáng)數(shù)據(jù)生民周期全過程管理；數(shù)據(jù)的生成及傳輸、數(shù)據(jù)的存儲(chǔ)、數(shù)據(jù)處理和應(yīng)用、數(shù)據(jù)銷毀；等環(huán)節(jié)必須明確流程，落實(shí)到崗，全過程管控；這些關(guān)鍵點(diǎn)在IT治理中必須要明確，不能含糊或缺失。

2.2.2 通過IT治理試點(diǎn)最終實(shí)現(xiàn)以點(diǎn)帶面

IT治理不同的模式具有不同的特點(diǎn)，在證券經(jīng)營機(jī)構(gòu)不同的階層要根據(jù)具體情況采用不同的IT治理模式。證監(jiān)會(huì)要制定一些證券公司作為試點(diǎn)單位，對(duì)IT治理模式進(jìn)行實(shí)踐與探索，通過這些優(yōu)秀范例的樹立來帶動(dòng)整個(gè)證券業(yè) IT 治理水平的提高。

2.3 落實(shí)信息安全等級(jí)保護(hù)

在行業(yè)信息安全等級(jí)保護(hù)工作中行業(yè)監(jiān)管部門有著非常重要的作用，應(yīng)該監(jiān)管部門的任務(wù)與機(jī)制進(jìn)行進(jìn)一步的明確，通過統(tǒng)一的部署與組織來實(shí)現(xiàn)數(shù)據(jù)安全保護(hù)工作，為數(shù)據(jù)安全保護(hù)保護(hù)工作的展開提供組織基礎(chǔ)[5]。證券業(yè)各機(jī)構(gòu)應(yīng)該自主貫徹信息系統(tǒng)安全等級(jí)保護(hù)，并對(duì)實(shí)施情況進(jìn)行評(píng)估，一旦發(fā)現(xiàn)不足應(yīng)立刻制定整改方案并實(shí)施。

證券業(yè)應(yīng)當(dāng)依托證券業(yè)協(xié)會(huì)，組織技術(shù)力量根據(jù)國家的《信息安全等級(jí)保護(hù)辦法》制定符合自己行業(yè)特點(diǎn)的等保規(guī)范，按照這個(gè)行業(yè)規(guī)范實(shí)施能跟好的保護(hù)券商信息系統(tǒng)安全，達(dá)到防范數(shù)據(jù)風(fēng)險(xiǎn)的目的。

2.4 加強(qiáng)網(wǎng)絡(luò)安全體系規(guī)劃

2.4.1 進(jìn)行以等級(jí)保護(hù)為依據(jù)的統(tǒng)籌規(guī)劃

圍繞信息安全的全過程的基礎(chǔ)性的管理制度就是等級(jí)保護(hù)，通過等級(jí)化的方法將其與安全體系規(guī)劃結(jié)合起來，對(duì)證券網(wǎng)絡(luò)的安全體系進(jìn)行統(tǒng)籌規(guī)劃與建設(shè)，建立一套數(shù)據(jù)安全保障體系，是解決證券業(yè)網(wǎng)絡(luò)安全問題的有效辦法，能夠最大程度地保護(hù)網(wǎng)絡(luò)數(shù)據(jù)安全。

2.4.2 提高網(wǎng)絡(luò)防護(hù)能力

加強(qiáng)對(duì)證券業(yè)提供設(shè)備、技術(shù)、服務(wù)的IT公司的管理，確保這些設(shè)備、技術(shù)、服務(wù)等符合國家與行業(yè)的相關(guān)技術(shù)標(biāo)準(zhǔn)。依據(jù)網(wǎng)絡(luò)隔離的觀點(diǎn)，在業(yè)務(wù)網(wǎng)與辦公網(wǎng)、互聯(lián)網(wǎng)之間分別建立網(wǎng)絡(luò)隔離，網(wǎng)上交易的子系統(tǒng)之間也要建立有效的網(wǎng)絡(luò)隔離。從技術(shù)上來說，就是針對(duì)不同的業(yè)務(wù)區(qū)域利用網(wǎng)閘來進(jìn)行隔離；主要的網(wǎng)絡(luò)邊界和外部進(jìn)口都要進(jìn)行滲透測試，加固系統(tǒng)和設(shè)備的安全性，降低由于系統(tǒng)漏洞帶來的安全風(fēng)險(xiǎn)；網(wǎng)上交易是要采用高強(qiáng)度的認(rèn)證方法，如電子簽名、數(shù)字認(rèn)證等，通過訪問控制的加強(qiáng)來保護(hù)數(shù)據(jù)安全；面對(duì)惡意攻擊事件越演越烈的情況，要通過一系列措施的加強(qiáng)來實(shí)現(xiàn)網(wǎng)站的保護(hù)，提高對(duì)惡意攻擊的防護(hù)能力；采用高科技手段來提高客戶端軟件交易的安全性[6]。

3 結(jié)語

數(shù)據(jù)的安全與保護(hù)工作要重視平時(shí)的工作。市場的監(jiān)管、組織、參與等方面要通過長期的、不間斷的努力來實(shí)現(xiàn)證券業(yè)數(shù)據(jù)安全，使證券業(yè)數(shù)據(jù)保護(hù)工作向著安全、經(jīng)濟(jì)、高效的方向不斷前進(jìn)與發(fā)展，滿足資金市場創(chuàng)新、規(guī)范、穩(wěn)定的新需求，為證券業(yè)的穩(wěn)定運(yùn)行與發(fā)展提供保障，從而保障資本市場的快速的、平穩(wěn)的發(fā)展。

[1]張蕊.發(fā)揮證券業(yè)后發(fā)優(yōu)勢 實(shí)現(xiàn)IT穩(wěn)步發(fā)展——訪中國銀河證券股份有限公司信息技術(shù)部副總經(jīng)理唐沛來[J].中國金融電腦，2010，03（09）：19-24.

[2]陳建明.中國金融證券業(yè)軟件與信息服務(wù)市場分析[J].發(fā)展的信息技術(shù)對(duì)管理的挑戰(zhàn)——管理科學(xué)學(xué)術(shù)會(huì)議專輯（下），2010，12（11）：11-13.

[3]謝濤，陳天華.信息技術(shù)革命與證券業(yè)的發(fā)展——訪國泰證券公司副總經(jīng)理趙大建[J].企業(yè)家天地下半月刊（理論版），2011，23（14）：19-26.