券商更注重數(shù)據(jù)安全保障
作者:天磊咨詢
發(fā)表日期:2020-10-08
來源:天磊咨詢
光大證券公司信息技術(shù)總部首席安全可靠專家劉高認為,《網(wǎng)絡(luò)安全法》明確了網(wǎng)絡(luò)信息安全的主體責任及處罰措施,對增強各行業(yè)、各單位網(wǎng)絡(luò)信息安全意識,貫徹國內(nèi)網(wǎng)絡(luò)信息安全建設(shè),強化網(wǎng)絡(luò)信息安全基本性,都具有重要作用。據(jù)他介紹,《網(wǎng)絡(luò)安全法》施行后,光大證券積極響應(yīng)相應(yīng)標準,在全面梳理信息系統(tǒng)安全可靠防務(wù)系統(tǒng)的基本性上,按照《網(wǎng)絡(luò)安全法》關(guān)于個人信息保障的相應(yīng)標準,提升了對數(shù)據(jù)安全、本人信息安全保障的保障力度。
一是針對態(tài)勢感知做了一些調(diào)研,目前測試方案已經(jīng)成型,同時針對移動安全態(tài)勢感知開始立項,也根據(jù)了一些測試;
二是按照實行監(jiān)測、記錄網(wǎng)絡(luò)運行模式、網(wǎng)絡(luò)信息安全事件的技術(shù)措施,并按照明文規(guī)定保留相應(yīng)的網(wǎng)絡(luò)日志不少于六個月的標準,迅速做出調(diào)整,將互聯(lián)網(wǎng)類應(yīng)用系統(tǒng)的日志記錄保留周期延至六個月;
三是加大了《網(wǎng)絡(luò)安全法》對信息安全宣傳的力度,公司定期組織信息安全專項培訓,提高公司全體員工的安全意識。這樣的培訓上下半年各一次。此外,信息技術(shù)專業(yè)人員安全培訓每季度開展一次。
為保障信息系統(tǒng)的安全可靠運行,光大證券除了做好日常的運維,對信息系統(tǒng)的安全監(jiān)控頻次也大幅提升。安全監(jiān)控都有詳細的日志記錄,負責落實到人。同時,光大證券還將企業(yè)郵件系統(tǒng)納入到等級保護測評的工作范圍內(nèi),以監(jiān)管標準為準繩全面加強信息安全保障。
大家首先把制度體系做了一些必要的修編和健全,同時相結(jié)合這些修編健全的制度體系,優(yōu)化了內(nèi)部管理流程,使相應(yīng)安全制度能夠落地執(zhí)行,并且可以根據(jù)電子化的手段去審計和追溯。“中信建投證券公司信息技術(shù)總監(jiān)張建軍介紹,“其次是運用沙箱技術(shù)構(gòu)建了安全管理縱深防御體系。
這個體系是基于安全運營構(gòu)建的一個工作平臺,并嘗試利用大數(shù)據(jù)、人工智能技術(shù)提高系統(tǒng)發(fā)現(xiàn)安全問題的及時性和準確性,提高對未知威脅的感知和處除了制度修編和工作流程的健全之外,中信建投證券公司還提升了一個相對比較重要的環(huán)節(jié),即根據(jù)人工的方式方法做好定期的安全可靠模式的評估報告和安全事故案例的反應(yīng)與跟蹤,并根據(jù)“短中長”相結(jié)合的方式方法對其進行貫徹、夯實。
“短”指公司每個月都會對信息系統(tǒng)的整體運行狀況做好評估報告,
“中“指公司每年都做好內(nèi)部的信息安全評審工作;
“長”指力求根據(jù)全方位的安全可靠治理措施,持續(xù)貫徹安全可靠的常態(tài)化建設(shè)。
除了制度修編和工作流程的健全之外,中信建投證券公司還提升了一個相對比較重要的環(huán)節(jié),即根據(jù)人工的方式方法做好定期的安全可靠模式的評估報告和安全事故案例的反應(yīng)與跟蹤,并根據(jù)“短中長相結(jié)合的方式方法對其進行貫徹、夯實。“短”指公司每個月都會對信息系統(tǒng)的整體運行狀況做好評估報告,“中”指公司每年都做好內(nèi)部的信息安全評審工作,長“指力求根據(jù)全方位的安全可靠治理措施,持續(xù)貫徹安全可靠的常態(tài)化建設(shè)。
談到1年來的變動,張建軍總結(jié)到:“首先,對于商業(yè)服務(wù)用戶來說,數(shù)據(jù)防泄密是重中之重。在信息時代,敏感數(shù)據(jù)也是企業(yè)客戶最具價值的東西。很多有組織、有預(yù)謀的違法犯罪全部都是以盜取企業(yè)客戶敏感數(shù)據(jù)為基本性,因而做到盜取企業(yè)客戶賬戶資金的目的。因此,加強數(shù)據(jù)防泄密的保障工作能力,是金融機構(gòu)義不容辭的法律義務(wù)。1年來,大家根據(jù)成效顯著的工作,如:加大力度貫徹商用密碼改造,梳理各業(yè)務(wù)系統(tǒng)之間的業(yè)務(wù)邏輯,引入安全可靠情報分析輔助防范新型攻擊方式,及時發(fā)現(xiàn)安全可靠威脅并作出快速反應(yīng)。
該公司信息技術(shù)副總裁姜明元表示,針對《網(wǎng)絡(luò)安全法》關(guān)于網(wǎng)絡(luò)攻擊入侵檢測的標準,公司今年將持續(xù)深化安全管理流程優(yōu)化,加快提高風險事件監(jiān)測工作能力和應(yīng)急處置工作能力。這些工作完成后將使公司的數(shù)據(jù)保護水平邁上新臺階。
呼吁相應(yīng)實施方案快速施行
針對《網(wǎng)絡(luò)安全法》實施后的一些具體細節(jié),劉高坦言相對比較關(guān)注數(shù)據(jù)保護的實施方案標準規(guī)范,這是貫徹《網(wǎng)絡(luò)安全法》相應(yīng)標準中難度系數(shù)相對比較大的部分。他舉例:“比如OA系統(tǒng)中的個人信息是否屬于保障范圍還需要進一步明確。而且個人信息保障應(yīng)當做到什么強度,處罰措施和力度如何界定等,作為責任人都缺乏相應(yīng)的執(zhí)行標準。本人建議,對于《網(wǎng)絡(luò)安全法》應(yīng)快速推出相應(yīng)具體標準的實施方案。”
張鴻宇表示:“展望下一步施行的《網(wǎng)絡(luò)安全法》的工作要求實施方案,大家希望能針對不同的行業(yè)領(lǐng)域給予行業(yè)性的標準和意見,指導、幫助為數(shù)眾多的中小商業(yè)銀行不斷加強和健全網(wǎng)絡(luò)信息安全工作。”
全國人大根據(jù)《網(wǎng)絡(luò)安全法》的重大意義在于,從此以后國內(nèi)網(wǎng)絡(luò)信息安全工作得到基本性的法律法規(guī)框架結(jié)構(gòu),得到網(wǎng)絡(luò)信息安全的“基本法”。作為信息安全重點行業(yè)的金融業(yè)更應(yīng)貫徹網(wǎng)絡(luò)信息安全實踐,增強企業(yè)信息安全。
收藏
取消收藏
400-668-6638