![证券公司怎么做业务安全|证券行业专刊·安全村]( "证券公司怎么做业务安全|证券行业专刊·安全村")
涛总约稿,我一下子就想到了这个题目。为啥呢?因为自从加入证券行业以来,我就一直在思考这个问题。过往我的主要从业经历在科技行业,有做业务安全的经历和意识,加入一个崭新的行业以后,就一直在思考、琢磨、找不同的人交流。这个稿子也算我这两年多的一点心得体会,缺失错漏之处,还请各位行业大佬多多指点。
现在安全从业者对于业务安全的解读,多数是受到了互联网行业的影响,将业务安全基本等同于互联网、互联网金融业务运行中的反欺诈、业务风控以及防范业务逻辑漏洞。我其实是不太认同这种说法的。我认为“业务安全”应该指的是:为了防范企业业务流程中出现风险,避免业务遭遇各类威胁或遭受经济损失,保障整体业务逻辑的顺畅和高效,最终帮助企业达成业务目标、降低经营成本、提升业务收益,进一步增强企业竞争力而采取的风险控制措施。
基于这个定义,如果是一家互联网业务属性比较强的公司(比如互联网、互联网金融),其业务安全的实质内容大概率就是各种反欺诈、对抗薅羊毛、反爬虫、营销活动中的反舞弊等措施;而如果是一家高精尖设备生产制造企业(比如台积电),业务安全的实质内容就应该是保障生产过程不中断、及时交付、交付产品质量高、不会被勒索软件危害;如果是一家研发型企业,业务安全的实质可能就是保障技术或产品的市场领先性、保障销售拿单的竞争力、保障核心研发人员的稳定忠诚。
1、“业务”应该定义为公司的核心业务,就是能够对公司经营产生重大影响的业务活动,一般指能够给公司带来主要收入的业务,或者指万一出事,会导致公司被覆灭性打击的业务。比如以我上面所举的几个例子,物流管理可能就不是核心业务,因为这个业务的好坏对公司经营没有决定性影响,那业务安全就可以不用管它(或者说优先级不高)。但是如果你是一家物流公司,因为效率、质量、安全决定了你这家公司的生死,那就必须是核心业务。
2、“安全”这个词的内涵可拆分为如下几个维度,每家企业可以根据自身业务的情况决定选择哪几条。这几条可能也不完备,需要持续完善:
(1)保障业务和业务相关方的可持续运行和可用性,保障业务目标达成。
(3)保障核心信息不被泄露,或信息泄露不影响业务的运转、收益。
(5)自证清白的能力。不论业务运行过程中出现任何问题,业务部门能够证明自己负责部分是合规的、风险受控的。
(6)将“安全”作为业务的核心竞争力之一,客户会因为你“安全”而选择你,安全是促进业务核心竞争力的重要动力。
很多人可能会奇怪,为什么没有把“不被攻击、入侵、控制”作为业务安全的内涵?我是这么看的:如果遭受攻击、入侵或控制,入侵就入侵了嘛,控制就控制了嘛,只要业务运转、公司经营、收入利润不受影响,那就不是业务安全范畴需要考虑的事情,那是基础安全领域需要面对和解决的问题。但是如果被勒索了,那业务连续性就受到严重影响了,那就是业务安全需要面对的问题了;如果被DDOS了,游戏用户没办法登录、顺畅地体验游戏、往游戏里面充值了,那就影响业务运行、收入了,那就是业务安全需要面对的问题了;如果官网被攻击导致用户无法访问,老板觉得不影响业务,那就没有这类业务安全的需求,可是如果官网被篡改并发布了一些敏感、不符合要求的言论,公司会被监管部门处罚,影响了公司声誉,老板觉得影响了业务,那这个就属于业务安全的范畴了。
二、Why:为什么要做业务安全?业务安全和基础安全的关系?
先说结论:有区别,但是总体目标一致的。
基于上述对于业务安全的解读,可以说基础安全的最终目的就是保障业务安全,此为二者的一致性,这也就是为什么要做“业务安全”的根本原因。
二者的区别在于,基础安全是业务安全开展的基础,基础安全更强调在遭受攻击、控制、窃取、破坏、勒索时,采取技术、管理手段来针对这些风险予以防范、控制。但是基础安全的工作仅是业务安全的基础,没有基础安全的防范、控制工作作为基础,业务安全的工作是无法开展的;且基础安全重点关注攻防、内外部信息窃取、泄露等“面”上的工作,如果最终不能保障业务安全,基础安全的工作就无法体现在公司业务中的价值,这也是很多安全团队会面临的困境“为什么我干了那么多工作,又是修漏洞打补丁,又是建防火墙WAF,还对文档进行加密,累成狗,怎么老板就是不认可我们的工作呢?” 要知道,老板是要看价值的,是要看投入产出比的,如果你的工作无法体现在公司经营上的直接价值,那么,不要怪老板,首先要想想自己的工作思路和方法是不是有问题。
做的好的安全团队,甚至会把基础安全工作形成可组合的安全能力(有点像单个菜品),基于业务需求和场景定制安全解决方案(有点像套餐),最终实现既在“面”上形成普适的安全控制水平,同时在业务场景的“点”上形成针对性的安全价值。
券商的业务本质上就是为企业客户、个人投资者、机构投资者提供投融资服务,在这个过程中需要与其他金融市场主体如交易所、银行发生业务关系,但投融资服务是业务主线。同时,证券行业是个强监管的行业,一旦发生监管事件,会被监管处罚、扣分,影响公司业务经营。因此,根据我的观察和理解,我将券商的业务安全目标定义为:
2、不发生因自身原因导致交易所、银行、基金、期货等关联金融市场主体被破坏、窃取、勒索的信息安全事件;不发生影响金融市场秩序的事件;
3、每年因信息安全原因造成的业务可用性损失不超过0.01%(52分钟),损失每年小于100万;不发生信息泄漏事件,或信息泄漏给公司造成的损失每年小于100万;
1、这是基本要求,别被处罚、扣分,不管是出于什么原因。如果发生了安全事件,监管、舆情层面能摆平,也算你有本事。监管现在对“网络安全”的含义比较广,包括了对抗攻击入侵破坏勒索、对抗薅羊毛和爬虫等业务舞弊、保障生产稳定运行、内容安全、数据安全、数据合规,因此,咱们都得管到。
2、如果发生安全事件,肉要烂在自己锅里面,不能影响交易所、银行、基金等关联机构的信息技术环境被破坏、窃取或勒索;我这里没写“攻击”,是因为我认为攻击只是手段,不是影响,并且攻击一定是会发生的,但我们要设法控制的尽可能不产生影响。
3、不发生影响金融市场秩序的事件这一条,我在和一些同事、同行交流的时候,很多人不太认同,但我坚持认为应该加入。举几个已经发生的例子大家就容易理解了:(1)如果有大量客户的账户被窃取和操纵,进行恶意、集中的买卖,造成股价异常波动,就会影响金融市场秩序和稳定。(2)如果有基金经理、操盘手的账户被监控、被利用和窃取,要么被人用于非法获利,要么被人用于进行恶意的买卖,也是影响金融市场秩序和稳定的。(3)如果从证券公司打到交易所、打到银行,造成系统损坏、资金盗取、数据窃取,也是影响金融市场秩序和稳定。是不是还有其他可能影响金融市场秩序和稳定的场景,欢迎大家补充。
4、可用性、数据安全的指标要求,是对第一点的具象化要求,各家单位可以根据自身实际情况进行调整。如何完整准确地评估“损失小于100万”是个难题(但并非不可做,比如把暗网售价、人工投入、业务损失估算一下,也还是有的),但设置这个目标的导向是“损失尽可能少”。
5、第4条的导向是:找到自家业务的核心竞争力,看看有没有可以通过安全手段加以保障、保护的。比如,投资业务是公司当下和未来的主要增长点,其中的投研分析就是业务的核心竞争力。那么,就可以综合分析下投研分析的整个业务过程,并加以保护。但业务安全一定要以效果为目标,不能以“做什么保护动作”为目标,因此,我将这条的业务安全目标描述为“业务的核心竞争力持续领先”。
6、类似互联网企业场景下的反欺诈、对抗薅羊毛、反爬虫、营销活动中的反舞弊等,是否可以列入业务安全目标?当然可以!但是如果公司每年只是投入很少一部分资源在这类业务上,我们更需要考虑的是投入产出比,值不值得做这个事情、什么时候做这个事情。根据我的观察,证券行业还很少有券商开展这方面工作。
以上的业务安全目标基本还属于“保障型”,那么按照对业务安全的理解,还可以根据自家实际情况设置“促进型”目标,比如在客户层面形成较好的感知,并定义相应的业务安全目标,比如“让个人投资者既方便又安全地赚钱”,“让机构投资者享受到便捷又安全的接入服务”。
这个需要多说两句。安全从业者大多是技术出身,喜欢钻研技术,认为技术可以解决绝大多数问题。但在业务安全这个领域上,最重要的还是认知和意识问题。首先要明确所有的信息安全工作都是为了业务安全服务的,如果不能以业务安全目标引领、牵引信息安全工作,信息安全工作在公司层面就无法体现价值,领导、同事都很难认可,最后就很容易沦为背锅侠。
既然认可要做业务安全了,那就要积极主动地接触和熟悉业务。这里有几个层面的动作:
1.要梳理上级部门、各类监管部门的要求,主要的法律法规要求;
2.要全面、准确地学习公司3-5年的战略重点、当期的经营规划,以此找到业务安全要保障、促进的“主营业务”;
3.积极主动地接触、熟悉这些主营业务的业务过程,听取业务部门意见、听取支持业务的技术团队意见,进而制订合理的业务安全目标;
4.同时向头部的同行学,目的是学习别人的经验教训;向行业事件案例学习,目的是确保这些事件不会发生在我身上。这里的同行要不限于证券行业同行,可以多向国有大行、商业银行学习。
接触、熟悉业务,最终是为了给我们的工作做输入、形成规划。因此,我强烈建议每个安全团队都要有一份2-3年的安全规划,然后每年定期滚动刷新。整体逻辑上并不复杂,其实就是PDCA的P,只不过以往我们只是做了基础安全的P,现在把业务安全的P也做起来就是了。
针对“不发生因自身原因导致交易所、银行、基金等关联金融市场主体被破坏、窃取、勒索的信息安全事件;不发生影响金融市场秩序的事件”,我们就要去分析券商自身业务与交易所、银行、基金等机构存在哪些业务,这些业务过程分别是怎么实现的,实现过程中使用了哪些IT工具和系统,这其中存在怎样的风险,应该如何去控制风险,比如可能:
-
报盘机是通过深证通线路直连交易所主机的,报盘机上无法装安全工具,那这个环境和通路上如果存在攻击、破坏行为,怎么发现和控制?
-
银行划款前置机部署在券商机房里面,这个系统有没有什么运维和安全风险?会不会导致这个通路被利用来攻击银行?如果有,怎么发现和控制?
-
监管报送数据文件的过程还存在手工过程,这个过程有没有可能被利用?报送的数据文件格式会不会有风险?
-
托管业务的账单数据都是对端发邮件进来,附带了excel文件,我们在服务器上处理了excel文件内容后再返回。这个处理过程excel如果带毒怎么办?
-
基金经理、操盘手的电脑、帐号是不是得到了足够的保护和监控?如果他们不愿意被IT监控保护,我们应该采取什么手段?
-
...
针对上面分析的风险,采取相应的控制手段,并指导基础安全的建设框架,就可以很好地达到业务安全的目标。上面列举的场景中,有一个从外部发邮件、文件进入内网的场景,在实际安全能力建设中,会发现有一个经常需要使用的“文件安全性检测”能力,就可以把这个作为一个能力封装起来,供其他业务场景调用,从而实现从“单品”到“套餐”、从“能力”到“方案”的飞跃。
truebasic,安信证券安全总监
当过开发、项目经理、创业者、大学老师,“误入”信息安全行业十多年,科技创新型企业甲方经历为主,金融行业新兵。希望成熟的甲方共同带动整个安全市场的健康成长。期望安全同行多交流、共成长、互帮扶。
证券行业自身低时延的业务要求以及业务中断的敏感性给安全防护带来了很大的挑战。专刊汇集了证券基金期货行业网络安全防护的最新经验、成果和解决方案,为大家分享一线安全规划、运营、建设的心得和实践经验。
![证券公司怎么做业务安全|证券行业专刊·安全村]()
安全村始终致力于为安全人服务,通过博客、文集、专刊、沙龙等形态,交流最新的技术和资讯,增强互动与合作,与行业人员共同建设协同生态。
原文始发于微信公众号(SecUN安全村):证券公司怎么做业务安全|证券行业专刊·安全村
评论