结合证券行业,浅析等保2.0


  • administrators

    网络安全等级保护,简称“等保”,是根据重要性等级对信息或信息载体进行分级保护的制度。互联网、大数据、云计算等技术的快速发展,使得我们在享受前所未有的便捷与信息红利时,也面临着信息泄露、网络入侵等隐患,其危害已上升到企业经营、金融行业安全甚至国家安全的程度。在此背景下,网络安全领域的相关政策法规也随之出台实施。

    一、等保2.0出台背景

    2017年6月1日,《网络安全法》正式实施,作为我国第一部网络安全领域的基础性法规,其实施标志着我国的网络安全将进入有法可依、执法有循的新阶段。《网络安全法》及其配套文件主要围绕着三个领域展开:加强关键信息基础设施的安全保障、加强对个人及企业的权益保护、维护国家安全和社会公共利益。
    《网络安全法》中有规定:等级保护,是我国信息安全保障的基本制度。《信息安全技术信息系统安全等级保护基本要求》(GB/T22239-2008) (简称等保1.0)从2008年开始在我国推行网络安全等级保护制度的过程中起到了非常重要的作用,随着《网络安全法》的实施,等保1.0也需要紧跟形势及技术的发展进行修订。2019年5月13日,国家市场监督管理总局、国家标准化管理委员会宣布包括《信息安全技术网络安全等级保护基本要求》、《信息安全技术网络安全等级保护测评要求》、《信息安全技术网络安全等级保护安全设计技术要求》在内的等保2.0制度将于2019年12月1日开始实施。

    二、等保2.0与等保1.0的主要变化

    等保2.0是我国在网络安全领域制定的基本制度和方法,对信息技术行业的发展起到引导作用。从等保1.0到等保2.0,这其中的变化反映近10年来我国信息技术领域的发展变革,概括起来有以下几点:
    (一) 定级对象变化——等保1.0的定级对象针对的是信息系统,等保2.0的定级对象为:信息系统、基础信息网络、云计算平台、大数据平台、物联网系统、工业控制系统、移动互联网等;
    (二) 安全要求变化——从等保1.0的安全要求变为等保2.0的安全通用要求与安全扩展要求,安全通用要求主要针对所有的保护对象,无论以何种形式出现,都应根据安全保护等级实现相应的通用要求;
    安全扩展要求主要针对个性化保护需求提出,主要以新兴网络技术为主,包括:云计算安全扩展要求、移动互联安全扩展要求、物联网安全扩展要求、工业控制系统安全扩展要求;
    (三) 安全技术要求分类变化——等保1.0中技术要求分类为:物理安全、网络安全、主机安全、应用安全、数据安全备份与恢复,等保2.0技术要求划分为:安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心;
    (四) 安全管理要求分类变化——等保1.0管理要求分类为:安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理,等保2.0中将安全管理要求分类为:安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理;
    以上几点是等保2.0制度的主要变化,概括起来就是扩大等级保护制度适用的范围与对象,主要针对高速发展中的云计算、移动互联网等新兴技术,覆盖更为全面。

    三、金融信息安全风险案例

    大数据、云计算、人工智能等新兴技术在金融领域逐步得到广泛应用,金融科技的发展正在快速重塑金融行业生态及数字化水平,同时也给金融领域的信息安全带来严峻的挑战。
    (一) 金融科技将传统金融业务流程数据化,直接导致金融数据传输渠道增加,部分非金融企业借助互联网工具提供金融服务,行业合规与信息安全风险加大;
    (二) 金融行业在金融科技的赋能下,交易规模及频度呈几何级数增长,证券、基金、保险等领域通过网络渠道的销售规模近些年有超越传统柜台的趋势,监管体系在复杂网络交易面前面临较大挑战;
    (三) 金融科技的应用催生新型金融服务模式例如互联网金融、大数据信贷风控等,同时也给部分公司利用新兴技术手段违规获取数据带来庞大的获利空间;
    (四) 金融科技主流应用场景侧重于提高金融业务的效率,例如投资者画像、智能客服、智能运维等,对信息安全的关注及投入相对缺位。
    近期金融信息技术领域的合规风险案例频频发生,遍布互金、银行、证券等不同行业。从2019年9月开始,M、T等多家服务于互金行业的大数据信贷风控公司先后被警方调查取证。以科技公司M为例,该公司主营业务包括提供精准营销模型、数据反欺诈、用户画像、授信评分、智能催收在内的大数据风险管理服务。该公司网站公开数据显示,截至2018年数据调用量已达到数亿级,金融领域相关合作方达到700余家,涉及P2P信贷、银行、保险等领域,帮助其通过数据采集分析、数据挖掘、机器学习等手段提高信贷风控或催收效率。
    爬虫技术是指按照一定的规则协议,爬取公网信息并自动存储到数据库,是包括M在内众多第三方大数据风控公司获取数据的主要技术途径。数据风控公司通过抓取用户的个人及亲友通讯录、身份信息、通信记录、消费记录等数据,将其整合标准化,搭建信用评分模型及用户画像,金融机构以此为基础来对用户进行风险评估。M公司曾推出一款名为“同业爬虫”的服务产品,其在常规爬虫业务的基础上更进一步,在用户提供在其他信贷平台的登录信息后,即可将该平台的信贷及风控数据抓取来直接调用,大幅节省数据获取成本,提高放款效率,类似“3分钟极速放款”等信贷服务相继推出,部分网贷公司借此获取不正当盈利。《网络安全法》中明确规定,获取用户数据必须经过授权;2019年5月28日,网信办发布的《数据安全管理办法(征求意见稿)》中,第15条、第17条明确指出网络运营者以经营为目的收集重要数据或个人敏感信息的,应向所在地网信部门备案,并应当明确数据安全责任人,而类似第三方大数据风控技术公司很显然严重违反上述法规。
    2018年银行业发生多起因客户信息安全管理导致的处罚案例。银行A因客户信息管理不到位被监管当局依据《中华人民共和国银行业监督管理法》第四十八条第(二)项处以警告处分。银行B因客户信息安全管理不到位被监管机构依据《中华人民共和国银行业监督管理法》第四十六条第(五)项处以20万元罚款。2019年银行C因“未向监管部门报告重要信息系统运营中断事件”及“信息系统控制存在较大安全漏洞,未做到有效的安全控制”等违规行为,被监管机构依据《中华人民共和国银行业监督管理法》、相关内控管理和业务审慎经营规则等,合计罚没2000余万元,这是2019年以来银行系统被开具的最高金额罚单。
    2018年,证券公司A因发生较大信息安全事件,被监管机构依据《证券期货业信息安全保障管理办法》第二十四条相关规定,采取出具警示函的行政监管措施,并要求该券商对信息安全相关问题进行全面自查,提高信息安全保障管理和信息安全事件应对水平。同时加大系统监控、测试环境、专家资源等信息安全投入,提高系统运维保障能力和故障排查能力。2019年,证券公司B因某营业部将客户的自备计算机接入了营业部网络,被监管机构依据《证券期货业信息安全保障管理办法》第五十条,采取对该营业部出具警示函的监督管理措施。

    四、证券行业的应对措施

    证券行业业务系统种类繁多,由于业务的复杂度及各业务的相互关联,信息系统之间数据共享与交互程度不断提高,运维管理日趋复杂,其安全性、可靠性直接影响业务的开展。自等保2.0制度推出后,包括中证协、公安部在内的数个相关部门已组织多次关于信息安全领域的培训班或研讨会议,要求完善数据管控体系,做好行业信息安全工作。
    根据瑞数信息联合FreeBuf公开发布的《2018金融行业应用安全态势年度报告》中统计显示:“超过90% 的金融业务已经基于网络空间进行,25%的受访企业表示遭遇过重大安全事故,而100%的受访者都表示出现过安全问题,现阶段严格遵循安全开发流程的金融企业不超过10%。证券行业遭受的自动化攻击类型排名最高的三种类型为:信息爬取、漏洞探测、拖库/撞库。”依据《网络安全法》、等保2.0及《证券基金经营机构信息技术管理办法》相关法规制度的要求,我们认为证券行业可从多领域入手,做好信息安全保障工作:
    (一) 建立信息安全组织,对全体员工进行信息安全教育培训,在公司内部培养良好的信息安全意识;

    (二) 将安全技术投入与业务信息系统的开发部署置于同等重要的位置,加大对例如动态安全技术等领域的投入可有效减少安全风险,这也符合信息安全相关政策监管导向;

    (三) 证券公司应当严格遵守《证券基金经营机构信息技术管理办法》第三十四条“证券基金经营机构不得收集与服务无关的客户信息,不得购买或使用非法获取或来源不明的数据。在收集使用客户信息之前,证券基金经营机构应当公开收集、使用的规则和目的,并征得客户同意”,抵制数据灰产;

    (四) 证券行业面临的信息安全态势愈发复杂,建议行业建立信息安全防范分享机制,共享网络攻击或漏洞信息,降低单个经营机构的网络安全保障成本;

    (五) 在数据安全要求较高的领域尽可能通过联合建模来替代爬虫技术,联合建模可在双方数据保留在本地的情形下建立风控模型,既可以保护用户隐私,又能控制好金融风险,是相对合规的做法;

    (六) 探索在关键系统中引入可信计算。在系统和应用中加入可信验证,降低由于使用未知或遭到篡改的系统/软件遭到攻击的可能性;

    (七) 改进系统架构体系,传统集中式架构在可靠性、可用性等方面存在不足,一旦发生故障就有可能发生数据丢失,甚至影响到所有用户,而分布式架构对此有天然的优势,可大幅度降低故障影响范围。
    综上,证券基金经营机构应充分认识等保2.0的全覆盖性与紧迫性,结合行业相关法规,不断完善更新合规控制点,全面提高企业网络安全合规水平,防范合规风险。

    文章转载于微信公众号金融科技之道