![期货行业如何提升数据安全防护能力]( "期货行业如何提升数据安全防护能力")
中国期货业协会近日向期货公司会员发布《期货公司网络和信息安全三年提升计划(2023-2025)》(以下简称《提升计划》)。《提升计划》依据《网络安全法》《数据安全法》《个人信息保护法》《期货和衍生品法》《证券期货业网络安全管理办法》《证券期货业科技发展“十四五”规划》制定,围绕提升期货公司信息技术治理能力,加强系统运行维护管理,提升网络安全保障水平,培育自主研发能力四方面实际需要,提出了20项工作任务,并配套制定了五方面保障措施。
期货行业是信息和数据密集高地,从2022年下半年中期协开展的网络和信息安全评估情况看,近三年业内网络安全事件发生频率和影响程度有所减轻,但在科技治理水平、日常运营管理、安全能力建设、自主可控等方面仍存在一些共性问题和薄弱环节亟待提升和改善。期货市场24小时连续交易,涵盖分市场、分品种、分时段结算等潜在业务场景,期货公司所开展的数据处理活动具有敏感度高、个人信息数量多、涉及信息系统复杂等特点。《提升计划》要求期货公司年度网络安全相关预算占新系统建设预算比例不低于5%,行业总体信息技术投入年均增长率力争达到20%,头部公司信息技术投入年均增长率力争达到30%。
本文聚焦《期货公司网络和信息安全三年提升计划(2023-2025)》数据安全要点解读,基于数据安全治理框架为期货公司做好网络数据安全和个人信息保护给出建议。
全面落实国家网络安全等级保护基本要求,按照证监会网络安全等级保护工作相关指导意见,将全部信息系统纳入等级保护范围,合理确定保护级别。遵循公安机关相关规定和网络安全等级保护的行业标准,按要求完成信息系统的安全建设、定级、备案、测评、整改等工作。
解读:
《信息安全技术 网络安全等级保护基本要求GB/T 22239-2019》,技术层面以“一个中心,三重防护”,管理层面以“三个要素,两项活动”为依据进行划分。等保2.0保护的重要数据包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等。
数据安全要求包括:
1、物理环境安全要求:重要数据境内存储、处理和分析。
2、通信网络安全要求:大数据平台的管理流量与系统业务流量分离。
3、计算环境安全要求:数据分类分级,细粒度授权和访问控制,脱敏和去标识化,数据接口、服务的访问控制,数据溯源、安全审计,客户数据资源隔离存放
4、安全管理中心要求:
系统管理:“在网络系统的安全管理中心建设中常采用网络安全管理平台”。
安全管理:“安全管理平台能对网络系统安全产品的安全策略进行设置”。
建立健全数据安全管理体系,持续加强数据安全管理参照行业标准及相关方法论,建立公司内部数据分类分级管理制度,开展精细化数据管理。
解读:
《证券期货业数据分类分级指引 JR/T 0158—2018》数据分类分级是数据安全治理体系的基石,期货公司的组织数据和个人信息,首先开展数据资产的发现与梳理,按行业标准落实从业务角度出发的数据分类标识以及从安全角度出发的数据定级标识,参照JR/T0158附录表 A.5 期货公司典型数据分类分级模板,形成数据分类分级目录,对数据目录进行审核、发布,基于数据伴随业务处理活动的持续新增与变化,分类分级也需随之动态变更。
明确网络和信息安全第一责任人、直接责任人、责任部门及职责分工,直接责任人为公司分管网络和信息安全工作的高级管理人员。
在健全信息技术治理组织架构的基础上,进一步强化各级组织作用的发挥,确保网络和信息安全管理责任层层分解、落到实处。
期货公司要全面分析,制定配套的信息科技和网络安全工作规划,对未来三年公司数字化转型、网络安全等工作的目标任务、实施路径、保障措施等作出总体安排与部署。规划要体现系统性、整体性和可操作性。
解读:数据安全战略规划是推动数据安全整体工作的前置要求,企业或组织在实施数据安全治理工作之前,首先需要制定积极、有效的数据安全战略,这对保障数据安全防护效果至关重要。数据安全治理组织自上而下包含决策层、管理层、执行层和监督层,定岗定员、专业化分工是解决问题、是实现目标的基本方法。
1、明确内部数据安全管理权责,建立覆盖数据生成、传输、存储、使用、销毁等全生命周期的管理制度及流程。根据最小化授权原则,合理划分业务数据访问权限,对于超越权限的数据使用请求要从严审批。
2、鼓励公司积极研究使用商用密码加密、动静态脱敏、隐私计算等技术,对涉及交易者的敏感个人信息数据进行传输、存储等全过程加密,降低数据泄露风险。
3、借助科技手段,健全业务信息系统的审计功能,建设统一的日志管理中心、安全管理中心,提升网络安全监控检测和事件发现处置等能力。积极参与行业信息技术创新试点工作,研究开展系统基础软硬件信息技术应用创新适配和替代,逐步构筑安全自主可控能力。
解读:
面向数据安全治理涉及的复杂的监管与合规需求,数据安全防护技术也需要进行体系化的应对。数据安全技术体系覆盖数据安全合规、数据全生命周期,要结合期货公司自身使用场景的体系建设。要依照企业或组织数据安全建设的方针总则,围绕数据处理活动各场景的安全要求,建立与制度流程相配套的技术能力。
围绕各阶段节点的单点防护技术手段已日益健全。例如:
1、全链路数据安全审计综合采用数据库审计技术和应用系统安全审计技术,贯穿数据全生命周期各个数据处理活动,在不影响日常数据运行效能的前提下全面记录数据操作日志。
2、动态脱敏技术是在通讯层面上,对业务系统数据库中敏感数据进行透明的、实时的脱敏,不需要对生产数据库中的数据进行任何改变,不同级别的用户按照其身份特征恰如其分的访问敏感数据。
3、静态脱敏用于开发、测试环境使用的数据,通过丰富的脱敏算法对敏感数据进行漂白处理,从而形成保留数据关联关系的高仿真数据。
4、使用商用密码加密、隐私计算技术,对涉及交易者的敏感个人信息数据进行传输、存储等全过程加密,降低数据泄露风险。
5、研究开展信创适配和替代,逐步构筑安全自主可控能力。
-
支持国产CPU、操作系统,围绕这方面,进行软硬件兼容性开发,确保可以在国产化环境下使用。
-
国产数据库安全漏洞挖掘能力。得益于信创需求,国产数据库产业正处于技术创新、产品迭代升级的飞速发展时期,各方对国产数据库发展关注度不断提高,其中也包括攻击者。纵观国产数据库普遍存在安全问题,而且以通用软件型漏洞为主,数据库漏洞除影响数据库自身外还可能威胁数据库所在的操作系统及网络的整体安全。
随着期货行业数据分类分级的快速落实,流动的数据按密级进行体系化防护是大势所趋,单点技术向平台化融合发展趋势愈加强烈。建立集中化、联动化的安全防护技术需求将这些单点技术进行有效串联,平台化的安全监测与安全运营为总控,形成完备的识别、监测与防护的技术体系。
-
数据安全运营平台,集合数据资产梳理、数据分类分级、数据库防火墙、数据库审计、数据脱敏、数据库运维管理、数据库加密等在内的各类数据安全产品优势于一身,通过可视化的信息呈现与工作引导,真正实现“统一部署、统一监控、统一管理、统一运营”的数据安全日常化、可持续的运营管控目标。
-
数据安全监测平台,面向期货安全监管机构和集团单位数据安全总体责任部门,依托国家数据安全法规、行业数据安全监管政策和企业数据安全总体策略,以分布式的数据安全评估、数据库审计、应用审计为基础,通过平台化的设备管理以及关联分析能力,打破应用和数据库安全监测的壁垒,实现以数据为中心,全面的数据分类分级安全合规监测。
随《提升计划》下发的还有一份《任务清单》。清单中明确,压实网络安全管理责任、强化信息技术组织架构作用、制定信息科技和网络安全规划、提升全员网络安全意识四项任务要求今年完成,评估完善信息技术制度流程、加强灾备能力建设等四项任务要求2024年完成,其余任务要求2025年完成或作为长期任务、未设具体完成时间。期货公司应依据顶层数据安全战略,从组织、人员、制度、工具等维度多元共治,内外部相关方协作,关注数据处理活动安全,重视管理与技术措施并举,逐步形成以安全管理、技术、运营相结合的数据安全治理体系。
原文始发于微信公众号(安华金和):期货行业如何提升数据安全防护能力
评论