1、证券信息安全管理信泰证券有限责任公司 张钰 迟鑫摘要 :本文在 阐述证 券信息安全管理基本概念的基础上以网上委托系统为例介绍了证券信息安全管理原则、运作流程和实施策略。关 键词 :信息安全管理 证券信息化第一部分 引言证券行业对信息的依赖程度越来越高,尤其是 1996 年以来,以网上委托系统的尝试、开发、试用和使用为标志的证券电子商务蓬勃发展。证券业客户的分散性和不需物流配送等特点也正适合互联网这一高效率低成本的运行平台;同时证券业优于其他行业的信息基础设施体系也为证券业开展电子商务打下了良好基础。信息已成为证券公司的一种重要资产,更需要加以妥善保护。否则,可能由于人员的原因(疏忽、跳槽、破坏
2、)、竞争对手原因(商业间谍、收买、盗窃、网络攻击)、设备故障、系统缺陷和自然灾害(爆炸、雷击、火灾、地震)等原因,在一瞬间信息资产被毁灭、篡改、 损坏、盗窃、 贬值 、转移,给企业带来致命的打击。而且随着证券行业信息技术的拓展应用和人员频繁流动,信息受到的威胁更大,因此加强证券信息安全管理刻不容缓。第二部分 信息安全管理基本概念一、信息安全信息安全是“保护依靠信息的人、系 统和 传输信息的通讯系统不受损害,这种损害来源于信息可用性、机密性和完整性的失效” 。目前新出 现的定义又增加信息有效性和占有性之 类的概念(后者与偷窃、欺诈和舞弊相对应),网络经济当然增加了电子交易信用和责任的需要。依据国
3、际上一般公认的准则,对大部分组织来说, 满足安全目标必须做到:1、 可用性:信息在需要时可用和有用,提供信息的系统能适当地承受攻击并在失败时恢复;2、 保密性:信息只能被有相应权限的人看到,或透露给他们;3、 完整性:未经授权,信息不能被修改;4、 真实性和不可否认性:独立个体之间的商业交易和信息交换是可信赖的。二、信息安全管理信息安全管理是指导和控制公司关于信息安全风险的相互协调的活动,关于信息安全风险的指导和控制活动通常包括制定信息安全规划、风险评估、控制目标与方式选择、风险控制、安全保证等。信息安全管理提供管理程序、技术和保证措施,使信息使用者确信商业交易的可信性;确保信息技术服务的可用
4、性和真实性,能适当地抵抗不正当操作、蓄意攻击或者自然灾害,具备良好的故障恢复机制;确保访问控制权限的合理分配,拒绝未经授权的信息访问,形成良好的约束制衡机制。信息安全管理的目标是公司的信息及信息系统的安全运营,确定 IT 安全管理目标以及实现此目标所需采取的行动。第三部分 证券信息安全管理在证券信息化日益发达的今天,证券信息、证券信息处理过程以及对证券信息起支持作用的系统和信息网络都是重要的商务资产。证券信息的保密性、完整性、可用性、真实性和不可否认性对保持竞争优势、资金流动、经济效益、法律符合性和商业形象都是至关重要的。然而,包括计算机诈骗、间谍、蓄意破坏、火灾、自然灾害等大范围的安全威胁,
5、诸如计算机病毒、网络入侵、拒绝服务攻击等手段造成的信息灾难已变得更加普遍而且不易被察觉。证券公司对信息系统和信息服务的依赖意味着更易受到安全威胁的破坏,Internet 与公司内部 Intranet 的互连及信息资源的共享增大了安全管理的难度,由此证券信息安全管理受到证券公司 IT 部 门乃至证券公司管理 层的高度关注。一、证券信息安全管理原则技术环境的不断变化决定了证券信息安全管理的动态性,作为证券信息安全管理核心内容的安全防范策略必须紧跟技术环境的变化,必须结合系统生命周期加以考虑并在每一阶段明确定位。为确保安全防范策略的时效性,证券信息安全管理必须充分体现以下原则:1、 制定完善的证券信
6、息安全规划并定期或不定期调整,为证券信息安全管理提供指导;2、 坚持系统风险和投资成本相平衡的原则,将系统风险降至可以接受程度的同时尽可能降低系统投资成本;3、 坚持核心业务优先保障原则,确保在发生故障或灾难的情况下快速恢复核心业务;4、 坚持预防控制为主的原则,建立完善的安全保障机制和定期检测机制,尽可能降低系统风险发生的可能性;5、 坚持动态管理原则,即对风险实施动态管理,遵循管理的一般循环模式策划-执行- 检查-修正的持续改进模式;6、 坚持有的放矢原则,在风险评估的基础之上制定安全实施方案,选择控制目标、确定控制方式;7、 坚持全员参与原则,提高员工安全防范意识和业务操作能力。二、证券
7、信息安全管理运作流程证券信息安全管理属于风险管理的范畴,目的是为了保证信息的保密性、完整性、可用性、真实性和不可否认性,保持公司的竞争优势和业务的持续运作。所有这些必须依赖合理高效的运作流程,而形成一个高效的证券信息安全管理运作流程至少应包括以下几个步骤:1、 证券信息安全管理方案的策划;2、 证券信息安全管理方案的编制;3、 证券信息安全管理方案的实施;4、 证券信息安全管理实施内容的安全测评;5、 证券信息安全管理实施内容的调整。三、现阶段证券信息安全管理网上交易系统是证券电子商务的重要应用之一,其安全问题受到管理部门、证券公司、IT 公司以及广大 证券客户的普遍关注,是目前证券信息安全管
8、理的核心内容之一。下面我们将以网上交易系统为代表介绍目前的证券安全管理。网上交易系统的安全性能是投资者判断该系统先进与否的重要标志,目前我公司在网上交易系统的信息安全管理方面主要进行了以下工作:1、 管理部分(1) 制定信息系统安全管理发展规划,为证券信息系统安全管理提供指导。(2) 制定信息系统内控管理制度和信息系统技术手册,规范操作程序,提高操作能力,明确操作内容,增强安全意识。(3) 制定信息系统应急计划并建立定期演练机制。2、 技术部分(1)建立符合标准的硬件运行 环境除应对计算机硬件环境制定基本防护措施以外,对硬件系统的安全防范应侧重以下几个方面:进行屏蔽处理:屏蔽包括静电屏蔽、磁屏
9、蔽和电磁屏蔽。对硬件环境进行防电气噪声处理,远离具有强振动源、强噪声源的地区,提供良好的接地和供电环境,确保给系统提供纯净的电流和不间断供电。(2)采用安全高效的数据传输技术网上交易系统使用通过国家安全权威机构认证的 SSL 128位强加密算法,保障了客户交易的快捷和数据的安全传输。(3)建立安全的客户身份 签别机制采用双密码认证和数字签名技术,增强客户网上委托身份识别能力。(4)建立多 层 次系统安全防范体系防火墙技术在 Internet 和 Intranet 之间设 置一套安全“门槛”,是保护内部系统和数据安全的首道屏障。网上交易串口隔离技术实现公用协议和自有协议转换,是保护内部系统和数据
10、安全的第二道屏障。选用高安全级别的操作系统、数据库系统和网络系统,建立定期安全评估机制和安全加固机制,充分发挥操作系统和数据库系统的安全防范能力,是保护内部系统和数据安全的第三道屏障。建立统一管理的病毒防范体系,避免内部网络遭受病毒侵害,是保护内部系统和数据安全的第四道屏障。建立安全合理的系统和数据库访问控制机制和授权机制,是保护内部系统和数据安全的第五道屏障。 建立系统运营安全监控机制和安全审计机制,及时发现和弥补系统安全漏洞和系统缺陷,是保护内部系统和数据安全的第六道屏障。(5)建立具有高度可靠性的运营系统实现所有系统、设备、线路冗余备份,实现交易数据和系统数据异地备份,确保系统不存在任何单点故障。实行高标准的应急切换机制,重要系统实现自动切换。3、 人员部分(1)建立一支素质高、能力 强、经验丰富的安全技术队伍,是实现公司系统安全运营的强有力保证。(2)建立一支安全防范意识高、客户服务意识强的员工队伍,是实现公司系统安全运营的坚实基础。证券信息化是不可逆转的发展潮流,信息安全问题是无法回避的现实挑战。要做到在发展中保安全、在安全中求发展,就必须做好证券信息安全管理工作这一复杂的动态系统管理工程。未来的安全防范工作任重道远。只有坚持执行既定方针,灵活调整实施策略,贯彻落实各项制度,提高员工和客户的安全意识,充分发挥全员的积极性和主动性,信息安全问题才能从根本上得到解决。
