证券公司怎么做业务安全?

admin 2022年8月29日09:05:21企业安全评论1 views4758字阅读15分51秒阅读模式

证券公司怎么做业务安全?


/文丨作者介绍


truebasic,安信证券安全总监
当过开发、项目经理、创业者、大学老师,“误入”信息安全行业十多年,科技创新型企业甲方经历为主,金融行业新兵。希望成熟的甲方共同带动整个安全市场的健康成长。期望安全同行多交流、共成长、互帮扶。

一、What:什么是业务安全?

现在安全从业者对于业务安全的解读,多数是受到了互联网行业的影响,将业务安全基本等同于互联网、互联网金融业务运行中的反欺诈、业务风控以及防范业务逻辑漏洞。我其实是不太认同这种说法的。我认为“业务安全”应该指的是:为了防范企业业务流程中出现风险,避免业务遭遇各类威胁或遭受经济损失,保障整体业务逻辑的顺畅和高效,最终帮助企业达成业务目标、降低经营成本、提升业务收益,进一步增强企业竞争力而采取的风险控制措施

基于这个定义,如果是一家互联网业务属性比较强的公司(比如互联网、互联网金融),其业务安全的实质内容大概率就是各种反欺诈、对抗薅羊毛、反爬虫、营销活动中的反舞弊等措施;而如果是一家高精尖设备生产制造企业(比如台积电),业务安全的实质内容就应该是保障生产过程不中断、及时交付、交付产品质量高、不会被勒索软件危害;如果是一家研发型企业,业务安全的实质可能就是保障技术或产品的市场领先性、保障销售拿单的竞争力、保障核心研发人员的稳定忠诚。

在我对“业务安全”概念的定义中:

1、“业务”应该定义为公司的核心业务,就是能够对公司经营产生重大影响的业务活动,一般指能够给公司带来主要收入的业务,或者指万一出事,会导致公司被覆灭性打击的业务。比如以我上面所举的几个例子,物流管理可能就不是核心业务,因为这个业务的好坏对公司经营没有决定性影响,那业务安全就可以不用管它(或者说优先级不高)。但是如果你是一家物流公司,因为效率、质量、安全决定了你这家公司的生死,那就必须是核心业务。

2、“安全”这个词的内涵可拆分为如下几个维度,每家企业可以根据自身业务的情况决定选择哪几条。这几条可能也不完备,需要持续完善:

1)保障业务和业务相关方的可持续运行和可用性,保障业务目标达成。

2)确保合规性,避免被监管处罚或影响声誉。

3)保障核心信息不被泄露,或信息泄露不影响业务的运转、收益。

4)保障数据的完整性、一致性。

5)自证清白的能力。不论业务运行过程中出现任何问题,业务部门能够证明自己负责部分是合规的、风险受控的。

6)将“安全”作为业务的核心竞争力之一,客户会因为你“安全”而选择你,安全是促进业务核心竞争力的重要动力。

很多人可能会奇怪,为什么没有把“不被攻击、入侵、控制”作为业务安全的内涵?我是这么看的:如果遭受攻击、入侵或控制,入侵就入侵了嘛,控制就控制了嘛,只要业务运转、公司经营、收入利润不受影响,那就不是业务安全范畴需要考虑的事情,那是基础安全领域需要面对和解决的问题。但是如果被勒索了,那业务连续性就受到严重影响了,那就是业务安全需要面对的问题了;如果被DDOS了,游戏用户没办法登录、顺畅地体验游戏、往游戏里面充值了,那就影响业务运行、收入了,那就是业务安全需要面对的问题了;如果官网被攻击导致用户无法访问,老板觉得不影响业务,那就没有这类业务安全的需求,可是如果官网被篡改并发布了一些敏感、不符合要求的言论,公司会被监管部门处罚,影响了公司声誉,老板觉得影响了业务,那这个就属于业务安全的范畴了。

二、Why:为什么要做业务安全?业务安全和基础安全的关系?

先说结论:有区别,但是总体目标一致的。

基于上述对于业务安全的解读,可以说基础安全的最终目的就是保障业务安全,此为二者的一致性,这也就是为什么要做“业务安全”的根本原因。

二者的区别在于,基础安全是业务安全开展的基础,基础安全更强调在遭受攻击、控制、窃取、破坏、勒索时,采取技术、管理手段来针对这些风险予以防范、控制。但是基础安全的工作仅是业务安全的基础,没有基础安全的防范、控制工作作为基础,业务安全的工作是无法开展的;且基础安全重点关注攻防、内外部信息窃取、泄露等“面”上的工作,如果最终不能保障业务安全,基础安全的工作就无法体现在公司业务中的价值,这也是很多安全团队会面临的困境“为什么我干了那么多工作,又是修漏洞打补丁,又是建防火墙WAF,还对文档进行加密,累成狗,怎么老板就是不认可我们的工作呢?” 要知道,老板是要看价值的,是要看投入产出比的,如果你的工作无法体现在公司经营上的直接价值,那么,不要怪老板,首先要想想自己的工作思路和方法是不是有问题。

做的好的安全团队,甚至会把基础安全工作形成可组合的安全能力(有点像单个菜品),基于业务需求和场景定制安全解决方案(有点像套餐),最终实现既在“面”上形成普适的安全控制水平,同时在业务场景的“点”上形成针对性的安全价值。

三、What:券商的业务安全目标是什么?

券商的业务本质上就是为企业客户、个人投资者、机构投资者提供投融资服务,在这个过程中需要与其他金融市场主体如交易所、银行发生业务关系,但投融资服务是业务主线。同时,证券行业是个强监管的行业,一旦发生监管事件,会被监管处罚、扣分,影响公司业务经营。因此,根据我的观察和理解,我将券商的业务安全目标定义为:

1不发生被监管机构处罚、扣分的信息安全事件;

2不发生因自身原因导致交易所、银行、基金、期货等关联金融市场主体被破坏、窃取、勒索的信息安全事件;不发生影响金融市场秩序的事件;

3每年因信息安全原因造成的业务可用性损失不超过0.01%52分钟),损失每年小于100不发生信息泄漏事件,或信息泄漏给公司造成的损失每年小于100

4XX业务的核心竞争力持续行业领先。

具体解释下:

1、这是基本要求,别被处罚、扣分,不管是出于什么原因。如果发生了安全事件,监管、舆情层面能摆平,也算你有本事。监管现在对“网络安全”的含义比较广,包括了对抗攻击入侵破坏勒索、对抗薅羊毛和爬虫等业务舞弊、保障生产稳定运行、内容安全、数据安全、数据合规,因此,咱们都得管到。

2、如果发生安全事件,肉要烂在自己锅里面,不能影响交易所、银行、基金等关联机构的信息技术环境被破坏、窃取或勒索;我这里没写“攻击”,是因为我认为攻击只是手段,不是影响,并且攻击一定是会发生的,但我们要设法控制的尽可能不产生影响。

3、不发生影响金融市场秩序的事件这一条,我在和一些同事、同行交流的时候,很多人不太认同,但我坚持认为应该加入。举几个已经发生的例子大家就容易理解了:(1)如果有大量客户的账户被窃取和操纵,进行恶意、集中的买卖,造成股价异常波动,就会影响金融市场秩序和稳定。(2)如果有基金经理、操盘手的账户被监控、被利用和窃取,要么被人用于非法获利,要么被人用于进行恶意的买卖,也是影响金融市场秩序和稳定的。(3)如果从证券公司打到交易所、打到银行,造成系统损坏、资金盗取、数据窃取,也是影响金融市场秩序和稳定。是不是还有其他可能影响金融市场秩序和稳定的场景,欢迎大家补充。

4、可用性、数据安全的指标要求,是对第一点的具象化要求,各家单位可以根据自身实际情况进行调整。如何完整准确地评估“损失小于100万”是个难题(但并非不可做,比如把暗网售价、人工投入、业务损失估算一下,也还是有的),但设置这个目标的导向是“损失尽可能少”。

5、第4条的导向是:找到自家业务的核心竞争力,看看有没有可以通过安全手段加以保障、保护的。比如,投资业务是公司当下和未来的主要增长点,其中的投研分析就是业务的核心竞争力。那么,就可以综合分析下投研分析的整个业务过程,并加以保护。但业务安全一定要以效果为目标,不能以“做什么保护动作”为目标,因此,我将这条的业务安全目标描述为“业务的核心竞争力持续领先”。

6、类似互联网企业场景下的反欺诈、对抗薅羊毛、反爬虫、营销活动中的反舞弊等,是否可以列入业务安全目标?当然可以!但是如果公司每年只是投入很少一部分资源在这类业务上,我们更需要考虑的是投入产出比,值不值得做这个事情、什么时候做这个事情。根据我的观察,证券行业还很少有券商开展这方面工作。

以上的业务安全目标基本还属于“保障型”,那么按照对业务安全的理解,还可以根据自家实际情况设置“促进型”目标,比如在客户层面形成较好的感知,并定义相应的业务安全目标,比如“让个人投资者既方便又安全地赚钱”,“让机构投资者享受到便捷又安全的接入服务”。

四、How:券商怎么做业务安全?

1、认知和意识

这个需要多说两句。安全从业者大多是技术出身,喜欢钻研技术,认为技术可以解决绝大多数问题。但在业务安全这个领域上,最重要的还是认知和意识问题。首先要明确所有的信息安全工作都是为了业务安全服务的,如果不能以业务安全目标引领、牵引信息安全工作,信息安全工作在公司层面就无法体现价值,领导、同事都很难认可,最后就很容易沦为背锅侠。

2、积极主动接触、熟悉业务

既然认可要做业务安全了,那就要积极主动地接触和熟悉业务。这里有几个层面的动作:

(1)要梳理上级部门、各类监管部门的要求,主要的法律法规要求;

(2)要全面、准确地学习公司3-5年的战略重点、当期的经营规划,以此找到业务安全要保障、促进的“主营业务”;

(3)积极主动地接触、熟悉这些主营业务的业务过程,听取业务部门意见、听取支持业务的技术团队意见,进而制订合理的业务安全目标;

(4)同时向头部的同行学,目的是学习别人的经验教训;向行业事件案例学习,目的是确保这些事件不会发生在我身上。这里的同行要不限于证券行业同行,可以多向国有大行、商业银行学习。

3、做规划,并落地实践

接触、熟悉业务,最终是为了给我们的工作做输入、形成规划。因此,我强烈建议每个安全团队都要有一份2-3年的安全规划,然后每年定期滚动刷新。整体逻辑上并不复杂,其实就是PDCAP,只不过以往我们只是做了基础安全的P,现在把业务安全的P也做起来就是了。

针对上面的业务安全目标,举个例子。

针对“不发生因自身原因导致交易所、银行、基金等关联金融市场主体被破坏、窃取、勒索的信息安全事件;不发生影响金融市场秩序的事件”,我们就要去分析券商自身业务与交易所、银行、基金等机构存在哪些业务,这些业务过程分别是怎么实现的,实现过程中使用了哪些IT工具和系统,这其中存在怎样的风险,应该如何去控制风险,比如可能:

  • 报盘机是通过深证通线路直连交易所主机的,报盘机上无法装安全工具,那这个环境和通路上如果存在攻击、破坏行为,怎么发现和控制?
  • 银行划款前置机部署在券商机房里面,这个系统有没有什么运维和安全风险?会不会导致这个通路被利用来攻击银行?如果有,怎么发现和控制?
  • 监管报送数据文件的过程还存在手工过程,这个过程有没有可能被利用?报送的数据文件格式会不会有风险?
  • 托管业务的账单数据都是对端发邮件进来,附带了excel文件,我们在服务器上处理了excel文件内容后再返回。这个处理过程excel如果带毒怎么办?
  • 基金经理、操盘手的电脑、帐号是不是得到了足够的保护和监控?如果他们不愿意被IT监控保护,我们应该采取什么手段?
  • ...

针对上面分析的风险,采取相应的控制手段,并指导基础安全的建设框架,就可以很好地达到业务安全的目标。上面列举的场景中,有一个从外部发邮件、文件进入内网的场景,在实际安全能力建设中,会发现有一个经常需要使用的“文件安全性检测”能力,就可以把这个作为一个能力封装起来,供其他业务场景调用,从而实现从“单品”到“套餐”、从“能力”到“方案”的飞跃。
----------------------------------------------------------------
证券公司怎么做业务安全?

原文始发于微信公众号(君哥的体历):证券公司怎么做业务安全?

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年8月29日09:05:21
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  证券公司怎么做业务安全? http://cn-sec.com/archives/1260212.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: