一、新(xīn)规出台的背景

 

2023年10月23日，中(zhōng)國(guó)证监会颁布了《证券期货业信息安(ān)全运营管理(lǐ)》，而在此之前，中(zhōng)國(guó)证监会也于2023年2月27日正式发布了218号令《证券期货业网络和信息安(ān)全管理(lǐ)办(bàn)法》（以下简称《办(bàn)法》）, 并已于2023年5月1日起正式实施。《办(bàn)法》的主要内容包括网络和信息安(ān)全运行、投资者个人信息保护、网络和信息安(ān)全应急处置以及关键信息基础设施安(ān)全保护等，旨在落实《网络安(ān)全法》、《数据安(ān)全法》、《个人信息保护法》、《关键信息基础设施安(ān)全保护条例》等相关法律法规要求，并為(wèi)证券期货业网络和信息安(ān)全管理(lǐ)提供了契合行业特性的高阶指导、具(jù)體(tǐ)要求以及量化标准。

 

当前证券期货行业信息安(ān)全工(gōng)作(zuò)面临的主要问题：

1. 重建设，轻运维

a. 部署了一系列的安(ān)全设备及系统，但安(ān)全事件仍时有(yǒu)发生

b. 安(ān)全系统产(chǎn)生很(hěn)多(duō)的告警，单圈安(ān)全人员无法逐一处理(lǐ)，疲于应对

c. 安(ān)全管控措施缺失，未全面开展安(ān)全管理(lǐ)工(gōng)作(zuò)

d. 未有(yǒu)效开展安(ān)全评估及量度工(gōng)作(zuò)，不清楚自身安(ān)全能(néng)力成熟度

2. 资源投入与面临的威胁不对等

  人力、物(wù)力、财力资源的投入有(yǒu)限，与所面临的安(ān)全威胁不对等，提高安(ān)全运营的效率就显得尤為(wèi)重要

3. 安(ān)全仅满足合规要求

  部分(fēn)机构主要工(gōng)作(zuò)是围绕“等保”“关基”等进行安(ān)全管控，无法全面衡量安(ān)全能(néng)力及有(yǒu)效性

 

在《证券期货业信息安(ān)全运营管理(lǐ)指南》发布之前，证券期货机构在开展信息安(ān)全运营管理(lǐ)方面普遍缺少规范性指导文(wén)件,部分(fēn)机构在信息安(ān)全运营方面存在管理(lǐ)不到位的情况,并导致信息安(ān)全事件发生。因此有(yǒu)必要制订一个标准来指导行业提升安(ān)全运营能(néng)力,规范行业的信息安(ān)全运营管理(lǐ)。《证券期货业信息安(ān)全运营管理(lǐ)指南》》制订的目的就是建立一个可(kě)供证券期货机构参考的安(ān)全运营管理(lǐ)指引,解决各机构在进行了一定程度安(ān)全建设后必须面临的安(ān)全运营管理(lǐ)问题,让行业安(ān)全能(néng)力和水平在一定程度上实现螺旋提升。

 

二、《证券期货业信息安(ān)全运营管理(lǐ)指南》的适用(yòng)对象

《证券期货业信息安(ān)全运营管理(lǐ)指南》适用(yòng)于以下对象：

1. 证券期货行业在境内建设、运营、维护、使用(yòng)网络及信息系统的核心机构和经营机构。

核心机构包括：证券期货交易场所，证券登记结算机构等承担证券期货市场公(gōng)共职能(néng)、承担证券期货业信息技(jì )术公(gōng)共基础设施运营的证券期货市场核心机构及其承担上述相关职能(néng)的下属机构。经营机构：证券公(gōng)司、期货公(gōng)司和基金管理(lǐ)公(gōng)司等证券期货经营机构。

2.為(wèi)证券期货业務(wù)活动提供产(chǎn)品或者服務(wù)的网络和信息安(ān)全保障的信息技(jì )术系统服務(wù)机构；包括：為(wèi)证券期货业務(wù)活动提供重要信息系统的开发、测试、集成、测评、运维及日常安(ān)全管理(lǐ)等产(chǎn)品或者服務(wù)的机构。以及為(wèi)证券期货业務(wù)活动提供网络和信息安(ān)全的监督管理(lǐ)的信息技(jì )术系统服務(wù)机构。

 

三、新(xīn)规落地的关注点

 

可(kě)重点围绕以下要点，并结合本企业具(jù)體(tǐ)情况落地安(ān)全改善和最佳实践，以提升本机构的安(ān)全保障水平。图中(zhōng)為(wèi)《指南》重点与对应的解决方案，可(kě)供参考。

1.安(ān)全管理(lǐ)

Ø 统筹考虑组织的战略和安(ān)全目标，评估当前安(ān)全资源投入产(chǎn)出相适应。使用(yòng)管理(lǐ)工(gōng)具(jù)，如战略地图等，来实现安(ān)全管理(lǐ)目标。

Ø 建立信息安(ān)全管理(lǐ)和技(jì )术培训體(tǐ)系；根据培训对象，制定有(yǒu)针对性的培训。

Ø 建立安(ān)全知识管理(lǐ)平台，并于安(ān)全运营流程相结合。安(ān)全知识管理(lǐ)平台应包括：安(ān)全漏洞库、工(gōng)具(jù)库、情报库等；多(duō)人协同，支持与现有(yǒu)系统对接。

 

2. 基础安(ān)全管理(lǐ)

   在未體(tǐ)系化完成安(ān)全建设的情况下，可(kě)以首先确保基础安(ān)全管理(lǐ)得到有(yǒu)效落实。

Ø 加强对系统及数据库账号的管理(lǐ)（账号和权限的回收），细化授权及相关的策略，并进行异常监控预警和日志(zhì)审计。

Ø 定期备份，动态调整策略；默认开启黑名(míng)单策略，再配置白名(míng)单。

Ø 部署IDS/HIDS,EDR;敏感数据传输加密。

Ø 做好软件和系统功能(néng)补丁管理(lǐ)。

 

3. 信息资产(chǎn)管理(lǐ)

 

Ø 需要主动发现内网和互联网中(zhōng)的API资产(chǎn)，经统计75%以上的数据泄露事件是API的漏洞缺陷被利用(yòng)而导致的。

Ø 对信息资产(chǎn)，特别是重要API等资产(chǎn)，要进行监测。并在全生命周期中(zhōng)进行管理(lǐ)，避免失活API，僵尸API等问题；同时对API资产(chǎn)导致的数据暴漏面进行梳理(lǐ)，识别API存在的风险，如：接口未鉴权，数据未脱敏等情况。并对重要及敏感数据进行监测，识别数据安(ān)全和合规风险。

Ø 资产(chǎn)的风险情况应该持续的监测，关注系统漏洞弱点，敏感数据泄露，弱口令等方面。对于0day漏洞可(kě)以考虑使用(yòng)RASP等方式进行热修复，避免暴露该业務(wù)漏洞风险。

Ø 企业应该建立漏洞全生命周期管理(lǐ)系统。

Ø 信息资产(chǎn)管理(lǐ)是安(ān)全运营的主要基础工(gōng)作(zuò)，需要使用(yòng)基于生命周期的方法，对信息资产(chǎn)进行收集，更新(xīn)和维护。并建议信息资产(chǎn)用(yòng)统一的管理(lǐ)系统进行集中(zhōng)管理(lǐ)，并于其他(tā)系统互通，保持更新(xīn)同步，便于使用(yòng)。

 

4. 漏洞管理(lǐ)

Ø 应通过多(duō)种方式及时的发现系统中(zhōng)存在的漏洞，如：使用(yòng)自动化工(gōng)具(jù)（如：源代码审计工(gōng)具(jù)等），安(ān)全众测，渗透测试，漏洞检测服務(wù)等；接受漏洞通报机构获取漏洞信息。

Ø 通过企业漏洞管理(lǐ)平台确认漏洞修复情况，使用(yòng)漏洞检测工(gōng)具(jù)进行漏洞复测。

 

 

5.  开发安(ān)全管理(lǐ)

 

Ø 建议在应用(yòng)开发环节引入安(ān)全过程，让安(ān)全左移，以最小(xiǎo)成本降低安(ān)全漏洞风险。建立安(ān)全需求分(fēn)析库，这是安(ān)全需求分(fēn)析的的标准化工(gōng)具(jù)，也是重要的安(ān)全控制点。同时在安(ān)全开发变更时也需要建立变更内容的安(ān)全需求分(fēn)析。实现外部供应链安(ān)全管理(lǐ)，如：实现对开源组件及第三方组件进行安(ān)全分(fēn)析等。

Ø 需要对安(ān)全架构进行评审，除了需要考虑第三方组件安(ān)全和合规，还应该考虑最小(xiǎo)攻击面，关闭不必要的对外开放接口和服務(wù)。确保初始化安(ān)全中(zhōng)没有(yǒu)不安(ān)全配置和账户信息，应最小(xiǎo)化权限，使用(yòng)安(ān)全的加密算法，尽量使用(yòng)前后端分(fēn)离、松耦合的开发原则，处理(lǐ)好失败安(ān)全可(kě)能(néng)导致的提权及信息泄露问题。

Ø 应建立企业的安(ān)全开发规范，并需要进行阶段性审计复核。需要有(yǒu)覆盖企业相关的开发语言的安(ān)全规范和手册；為(wèi)了配合规范的实施，需要定期和持续的对开发人员进行培训。特别是自主研发的软件应采取防反编译、防篡改、防调试、防注入等安(ān)全措施，比如采用(yòng)环境检测、安(ān)全编译选项、混淆、加密、隐藏、加壳、签名(míng)等技(jì )术。以移动安(ān)全為(wèi)例：需要进行移动安(ān)全的检测和加固。明确要求建立软件成分(fēn)分(fēn)析系统（SCA）对软件成分(fēn)进行识别、分(fēn)析和追踪，确保软件成分(fēn)，特别是第三方组件的安(ān)全和合规性。据统计，目前企业开发的应用(yòng)中(zhōng)70%以上的代码量是第三方组件构成的，而导致应用(yòng)缺陷，第三组件占比為(wèi)18.6%，并在逐年升高。

Ø 系统在开发过程、集成阶段，以及上線(xiàn)前都应该进行白盒测试，并且要通过自动化方式实现，基于目前白盒测试误报较多(duō)的情况，可(kě)以使用(yòng)同类异构检测工(gōng)具(jù)实现交叉验证；也还要使用(yòng)人工(gōng)进行双重验证。对识别问题，宜在缺陷修复后进行复测，验证代码安(ān)全及安(ān)全需求均被实现。鼓励在开发阶段，由开发人员使用(yòng)IDE插件或调用(yòng)代码检测工(gōng)具(jù)提早发现代码编写中(zhōng)的缺陷问题。

Ø 系统上線(xiàn)前建议进行灰盒测试，在本《证券期货业信息安(ān)全运营管理(lǐ)指南》中(zhōng)没有(yǒu)提及，灰盒测试使用(yòng)动态检测方式发现静态检测不能(néng)发现的代码级缺陷问题，是对白盒和黑盒测试的有(yǒu)益补充。

Ø 安(ān)全架构评审重点关注系统整體(tǐ)架构的交互目的和方式，以及业務(wù)需要部署的區(qū)域及相关的安(ān)全边界/安(ān)全域。此外还需要关注：1.身份认证和权限管理(lǐ) 2.重要数据及敏感数据传输和存储3.API接口调用(yòng)身份认证及权限控制 4.记录安(ān)全日志(zhì)及日志(zhì)审计 5.使用(yòng)经过检测确认安(ān)全合规的第三方组件。6.设置全局性的程序异常处理(lǐ)机制。

Ø 企业应该构建安(ān)全开发规范，适当的时候可(kě)以通过咨询服務(wù)的方式，结合行业成熟实践并结合企业自身情况，為(wèi)快速落地安(ān)全开发能(néng)力提供指引。并建立应用(yòng)开发安(ān)全规范等體(tǐ)系制度规范。

Ø 进一步强调安(ān)全检测能(néng)力的左移（前移到开发和集成阶段）。上線(xiàn)前要完成安(ān)全卡点测试。

 

6. 数据安(ān)全管理(lǐ)

Ø 数据分(fēn)类分(fēn)级作(zuò)為(wèi)数据安(ān)全的基础性工(gōng)作(zuò)，在《证券期货业信息安(ān)全运营管理(lǐ)指南》中(zhōng)进一步强调应按照行标JR/T 0158进行分(fēn)析工(gōng)作(zuò)，尽早完成分(fēn)级工(gōng)作(zuò)以便于后续针对不同分(fēn)类和分(fēn)析的数据，进行有(yǒu)的放矢的安(ān)全管控。建议分(fēn)类分(fēn)级操作(zuò)过程：梳理(lǐ)业務(wù)，业務(wù)细分(fēn)，数据归类细分(fēn)，分(fēn)类后的数据定级。

Ø 应确保在数据采集过程中(zhōng)，数据的安(ān)全性没有(yǒu)被破坏；数据采集合法合规。特别是对个人信息的采集。移动应用(yòng)，如移动APP，小(xiǎo)程序等作(zuò)為(wèi)个人信息收集的重要渠道，公(gōng)安(ān)部，网信办(bàn)，工(gōng)信部，及行业监管机构根据《个人信息保护法》和相关规范等进行强监管，企业移动应用(yòng)应请专业机构主动进行个人隐私合规检测（包含移动应用(yòng)中(zhōng)使用(yòng)的第三方SDK），避免应用(yòng)APP被监管机构通报整改及下架。

Ø 在数据交换过程中(zhōng)，需要对数据流动过程进行监测，特别是提供互联网访问的业務(wù)场景。关注数据暴露面风险，比如关注OWASP top 10的缺陷等，针对业務(wù)API接口进行监测，识别API业務(wù)资产(chǎn)风险，如僵尸API，失活API，异常行為(wèi)API等，以及接口未鉴权，未脱敏等缺陷及不合规问题。本《证券期货业信息安(ān)全运营管理(lǐ)指南》中(zhōng)未具(jù)體(tǐ)说明最佳实践，但在多(duō)数企业数据泄露问题，主要是数据接口API缺陷被利用(yòng)所导致。

Ø 本《证券期货业信息安(ān)全运营管理(lǐ)指南》以及《中(zhōng)國(guó)人民(mín)银行业務(wù)领域数据安(ān)全管理(lǐ)办(bàn)法（征求意见稿）》中(zhōng)明确提出了构建和加强数据交换（流动）的监测，识别数据流动安(ān)全风险和应急处置等。

 

7.  集中(zhōng)监控与响应管理(lǐ)

 

Ø 对相关业務(wù)系统尽量完整的收集相关的日志(zhì)，并对日志(zhì)进行格式化，便于集中(zhōng)分(fēn)析和预警。可(kě)以使用(yòng)规则+AI的技(jì )术手段多(duō)维度实现预警，减少漏报和误报。

 

Ø 日志(zhì)采集应涵盖重要业務(wù)系统，可(kě)使用(yòng)大数据技(jì )术进行数据分(fēn)析。集中(zhōng)个监控应考虑：日志(zhì)的格式化，丰富相关资产(chǎn)信息（CMDB），多(duō)途径告警方式，构建标准的SOP，定期整體(tǐ)统计分(fēn)析运营报告，复盘相关过程等。同时也要关注外部安(ān)全事件和情报，及时做好排查和应对措施；构建作(zuò)业编排和自动化响应（SOAR）提升效率。

 

8. 持续改进管理(lǐ)

 

Ø 安(ān)全有(yǒu)效性验证包含两个方面，安(ān)全运行状态的有(yǒu)效性验证和安(ān)全监测和预防能(néng)力验证。前者侧重于对流程和系统的状态进行有(yǒu)效性验证，后者是对安(ān)全监测和防御能(néng)力做有(yǒu)效性验证，通过模拟攻击的方式发现安(ān)全系统功能(néng)、以及内置监测和防御规则是否有(yǒu)效。

 

 

二、爱加密可(kě)提供服務(wù)

 

爱加密在证券期货业网络与信息安(ān)全合规领域有(yǒu)非常丰富的经验。我们的客户涵盖了业内众多(duō)的证券期货业核心机构与经营机构，除了移动安(ān)全领域，服務(wù)领域还涵盖了数据安(ān)全、开发安(ān)全、安(ān)全运营、安(ān)全服務(wù)等方面。

针对《证券期货业信息安(ān)全运营管理(lǐ)指南》对企业在实施层面提供的指引，爱加密可(kě)以提供如下的产(chǎn)品和服務(wù)：

1. 提供安(ān)全开发體(tǐ)系咨询和安(ān)全开发平台（SDL）产(chǎn)品

 

安(ān)全开发平台咨询服務(wù)：提供企业应用(yòng)安(ān)全开发體(tǐ)系（SDL）的咨询服務(wù)。

安(ān)全开发平台（SDL）产(chǎn)品：该产(chǎn)品是以安(ān)全开发流程、安(ān)全基線(xiàn)為(wèi)准绳，以安(ān)全需求与行业标准為(wèi)驱动，覆盖应用(yòng)开发各环节、工(gōng)具(jù)统一运行调度的管理(lǐ)系统；平台含安(ān)全需求库（600余条），通用(yòng)功能(néng)安(ān)全需求库（300余条），业務(wù)场景库（200余条），安(ān)全编码实践库、安(ān)全测试用(yòng)例库等，并可(kě)以集成黑盒、白盒、灰盒工(gōng)具(jù)、第三方组件分(fēn)析（SCA）、漏洞库工(gōng)具(jù)等，实现统一平台登录灵活使用(yòng)。

2. 安(ān)全开发测试产(chǎn)品

源代码审计：产(chǎn)品用(yòng)于发现程序中(zhōng)存在的安(ān)全漏洞、程序错误（BUG）及代码质(zhì)量缺陷的技(jì )术手段，能(néng)够高效的检测出软件源代码中(zhōng)的可(kě)能(néng)导致严重缺陷漏洞和系统运行异常的代码缺陷，并准确定位告警，从而有(yǒu)效的帮助开发人员消除代码中(zhōng)的缺陷。

开源组件成分(fēn)分(fēn)析：多(duō)引擎数字供应链安(ān)全产(chǎn)品，提供源代码成分(fēn)分(fēn)析引擎，二进制成分(fēn)分(fēn)析引擎；可(kě)以与行里现有(yǒu)开源组件成分(fēn)分(fēn)析产(chǎn)品进行交叉验证和互补。

灰盒测试产(chǎn)品（IAST）：通过插桩的方式，灰盒测试可(kě)以像SAST一样看到源代码，也可(kě)以像黑盒测试工(gōng)具(jù)一样看到应用(yòng)程序运行时的执行流。具(jù)备漏洞检出率高，误报率低的优点。可(kě)以覆盖95%以上的中(zhōng)高危漏洞。

3. 移动安(ān)全产(chǎn)品/服務(wù)

移动安(ān)全检测平台：全面检测移动应用(yòng)中(zhōng)存在的安(ān)全风险，漏洞，编码缺陷等安(ān)全问题，帮助开发者提前避免安(ān)全漏洞而导致的安(ān)全事故，及时预防风险。

个人隐私合规检测平台：针对移动应用(yòng)、SDK中(zhōng)出现个人信息的非法收集、滥用(yòng)、泄露等严重问题，结合相关法律法规和监管要求，為(wèi)监管机构、测评机构、应用(yòng)开发企业等推出的合规检测平台。

移动应用(yòng)加固平台：安(ān)全加固平台為(wèi)开发者提供全面的移动应用(yòng)安(ān)全加固技(jì )术，包括Android应用(yòng)加固、iOS应用(yòng)加固、游戏应用(yòng)加固、H5文(wén)件加固、微信小(xiǎo)程序加固、SDK加固、so文(wén)件加固和源对源混淆加固技(jì )术，从根本上解决移动应用(yòng)的安(ān)全缺陷和风险，使加固后的移动应用(yòng)具(jù)备防逆向分(fēn)析、防二次打包、防动态调试、防进程注入、防数据篡改等安(ān)全保护能(néng)力。

4. 数据安(ān)全产(chǎn)品

数据安(ān)全API监测平台：基于访问流量智能(néng)识别新(xīn)增的数据外发接口，过滤静态、无效API接口，支持手动合并收敛API接口，统计接口数量、涉敏类型数据、展示接口新(xīn)增趋势；基于应用(yòng)与用(yòng)户交互信息的解析，梳理(lǐ)出应用(yòng)账户清单；统计、监测活跃用(yòng)户、僵尸用(yòng)户数量，展示用(yòng)户新(xīn)增趋势。系统内置敏感数据检测策略，对业務(wù)访问请求和返回中(zhōng)传输的敏感数据进行智能(néng)化识别；结合用(yòng)户现有(yǒu)分(fēn)类分(fēn)级策略实现敏感数据分(fēn)类分(fēn)级打标；基于API漏洞特征库,对已识别的API接口进行脆弱性漏洞检测,发现API接口可(kě)能(néng)存在的漏洞风险，结合行為(wèi)基線(xiàn)检测异地登录、账号共享等风险，以及对僵尸账号进行监测；基于机器學(xué)习、日志(zhì)模型技(jì )术，对行為(wèi)异常、内容异常、用(yòng)户异常、协议异常等风进行监测、告警。

数据分(fēn)类分(fēn)级产(chǎn)品和服務(wù)：产(chǎn)品集成了國(guó)家及相关行业分(fēn)类分(fēn)级标准，使用(yòng)AI引擎，并结合已有(yǒu)的行业及专家知识库，自动帮助企业完成数据分(fēn)类分(fēn)级。模型调优的分(fēn)级准确率大于80%，能(néng)够较快完成数据分(fēn)类分(fēn)级工(gōng)作(zuò)。数据分(fēn)类分(fēn)级咨询服務(wù)将帮企业完善数据安(ān)全资产(chǎn)梳理(lǐ)，数据安(ān)全评估，数据安(ān)全管理(lǐ)體(tǐ)系优化建设及配套标准及管理(lǐ)制度的制定。

5. 安(ān)全有(yǒu)效性验证平台

安(ān)全有(yǒu)效性验证平台：产(chǎn)品可(kě)以“自动化、全覆盖面”的实现安(ān)全有(yǒu)效性验证。对于由于企业运维人员能(néng)力不足，安(ān)全配置管理(lǐ)覆盖不全，安(ān)全架构存在缺陷，配置规则不当，漏洞延迟，告警丢失等问题导致的十大常见安(ān)全失效点进行验证。涵盖安(ān)全防护框架（FW/IPS/WAF/HIDS/EDR/DLP），安(ān)全运维框架（SOC/SIEM）。以攻击者视角对已部署给类安(ān)全防护开展自动化攻击模拟测试，验证各类防护能(néng)力的实际效果。

 

 

我们认為(wèi)：

1、只有(yǒu)通过不断提升企业的安(ān)全运营水平才能(néng)逐步提升企业的安(ān)全防护、响应能(néng)力,确保安(ān)全能(néng)力的持续有(yǒu)效,从而全面降低来自企业外部及内部的安(ān)全风险。

2、安(ān)全能(néng)力的保障是依靠运营机制,而不是单纯依赖某个安(ān)全措施和系统,也不依赖于某个员工(gōng)。

3、目前行业内安(ān)全运营的做法和标准不一,需要一个普适的标准来服務(wù)于行业。行业中(zhōng)的问题是普遍存在的,而通过此标准解决问题的方法也普遍适用(yòng)于本行业。

《证券期货业信息安(ān)全运营管理(lǐ)指南》给出了信息安(ān)全运营管理(lǐ)过程中(zhōng)基础安(ān)全、信息资产(chǎn)、漏洞、开发安(ān)全、数据安(ān)全等方面的管理(lǐ)思路和方法，并给出了各管理(lǐ)域的度量指标以及行业最佳实践。标准的制定实施可(kě)有(yǒu)效指导行业机构建立完善的安(ān)全运营體(tǐ)系和流程，规范信息安(ān)全运营管理(lǐ)过程，推动相关安(ān)全措施的有(yǒu)效实施和持续改进。