券商更注重數據安全保障
作者:天磊咨詢
發表日期:2020-10-08
來源:天磊咨詢
光大證券公司信息技術總部首席安全可靠專家劉高認為,《網絡安全法》明確了網絡信息安全的主體責任及處罰措施,對增強各行業、各單位網絡信息安全意識,貫徹國內網絡信息安全建設,強化網絡信息安全基本性,都具有重要作用。據他介紹,《網絡安全法》施行后,光大證券積極響應相應標準,在全面梳理信息系統安全可靠防務系統的基本性上,按照《網絡安全法》關于個人信息保障的相應標準,提升了對數據安全、本人信息安全保障的保障力度。
一是針對態勢感知做了一些調研,目前測試方案已經成型,同時針對移動安全態勢感知開始立項,也根據了一些測試;
二是按照實行監測、記錄網絡運行模式、網絡信息安全事件的技術措施,并按照明文規定保留相應的網絡日志不少于六個月的標準,迅速做出調整,將互聯網類應用系統的日志記錄保留周期延至六個月;
三是加大了《網絡安全法》對信息安全宣傳的力度,公司定期組織信息安全專項培訓,提高公司全體員工的安全意識。這樣的培訓上下半年各一次。此外,信息技術專業人員安全培訓每季度開展一次。
為保障信息系統的安全可靠運行,光大證券除了做好日常的運維,對信息系統的安全監控頻次也大幅提升。安全監控都有詳細的日志記錄,負責落實到人。同時,光大證券還將企業郵件系統納入到等級保護測評的工作范圍內,以監管標準為準繩全面加強信息安全保障。
大家首先把制度體系做了一些必要的修編和健全,同時相結合這些修編健全的制度體系,優化了內部管理流程,使相應安全制度能夠落地執行,并且可以根據電子化的手段去審計和追溯。“中信建投證券公司信息技術總監張建軍介紹,“其次是運用沙箱技術構建了安全管理縱深防御體系。
這個體系是基于安全運營構建的一個工作平臺,并嘗試利用大數據、人工智能技術提高系統發現安全問題的及時性和準確性,提高對未知威脅的感知和處除了制度修編和工作流程的健全之外,中信建投證券公司還提升了一個相對比較重要的環節,即根據人工的方式方法做好定期的安全可靠模式的評估報告和安全事故案例的反應與跟蹤,并根據“短中長”相結合的方式方法對其進行貫徹、夯實。
“短”指公司每個月都會對信息系統的整體運行狀況做好評估報告,
“中“指公司每年都做好內部的信息安全評審工作;
“長”指力求根據全方位的安全可靠治理措施,持續貫徹安全可靠的常態化建設。
除了制度修編和工作流程的健全之外,中信建投證券公司還提升了一個相對比較重要的環節,即根據人工的方式方法做好定期的安全可靠模式的評估報告和安全事故案例的反應與跟蹤,并根據“短中長相結合的方式方法對其進行貫徹、夯實。“短”指公司每個月都會對信息系統的整體運行狀況做好評估報告,“中”指公司每年都做好內部的信息安全評審工作,長“指力求根據全方位的安全可靠治理措施,持續貫徹安全可靠的常態化建設。
談到1年來的變動,張建軍總結到:“首先,對于商業服務用戶來說,數據防泄密是重中之重。在信息時代,敏感數據也是企業客戶最具價值的東西。很多有組織、有預謀的違法犯罪全部都是以盜取企業客戶敏感數據為基本性,因而做到盜取企業客戶賬戶資金的目的。因此,加強數據防泄密的保障工作能力,是金融機構義不容辭的法律義務。1年來,大家根據成效顯著的工作,如:加大力度貫徹商用密碼改造,梳理各業務系統之間的業務邏輯,引入安全可靠情報分析輔助防范新型攻擊方式,及時發現安全可靠威脅并作出快速反應。
該公司信息技術副總裁姜明元表示,針對《網絡安全法》關于網絡攻擊入侵檢測的標準,公司今年將持續深化安全管理流程優化,加快提高風險事件監測工作能力和應急處置工作能力。這些工作完成后將使公司的數據保護水平邁上新臺階。
呼吁相應實施方案快速施行
針對《網絡安全法》實施后的一些具體細節,劉高坦言相對比較關注數據保護的實施方案標準規范,這是貫徹《網絡安全法》相應標準中難度系數相對比較大的部分。他舉例:“比如OA系統中的個人信息是否屬于保障范圍還需要進一步明確。而且個人信息保障應當做到什么強度,處罰措施和力度如何界定等,作為責任人都缺乏相應的執行標準。本人建議,對于《網絡安全法》應快速推出相應具體標準的實施方案。”
張鴻宇表示:“展望下一步施行的《網絡安全法》的工作要求實施方案,大家希望能針對不同的行業領域給予行業性的標準和意見,指導、幫助為數眾多的中小商業銀行不斷加強和健全網絡信息安全工作。”
全國人大根據《網絡安全法》的重大意義在于,從此以后國內網絡信息安全工作得到基本性的法律法規框架結構,得到網絡信息安全的“基本法”。作為信息安全重點行業的金融業更應貫徹網絡信息安全實踐,增強企業信息安全。
收藏
取消收藏
400-668-6638