季常青

（南京證券股份有限公司 江蘇 210001）

0 引言

隨著我國資本市場的迅速發(fā)展，市場的規(guī)模擴大的同時也增強了社會的影響力。作為國民經(jīng)濟的重要組成部分的證券市場，同時也是老百姓的投資理財渠道。證券市場的安全與穩(wěn)定對投資者、社會穩(wěn)定、國家金融安全都有著非常重要的意義。面對日益復(fù)雜的數(shù)據(jù)安全問題威脅，應(yīng)該積極采用防御措施，減少數(shù)據(jù)安全問題的發(fā)生。

1 證券業(yè)數(shù)據(jù)安全現(xiàn)狀與存在的問題

1.1 數(shù)據(jù)安全法規(guī)及標準體系

證券業(yè)數(shù)據(jù)安全需要健全的數(shù)據(jù)安全法律法規(guī)與標準體系來保障，這些是數(shù)據(jù)安全的第一道防線。我國證監(jiān)會從 1998年開始就發(fā)布了一系列的安全法規(guī)和技術(shù)標準，這些安全法規(guī)與標準體系的初步形成推動者證券業(yè)數(shù)據(jù)安全的規(guī)范化與標準化。雖然我國有眾多的數(shù)據(jù)安全規(guī)范性文件，但是在現(xiàn)行的法律規(guī)范中，立體主體多、體系繁雜、沒有統(tǒng)籌規(guī)劃的問題突出，不能夠適應(yīng)新形勢下的數(shù)據(jù)安全保護工作。主要存在的問題有：法規(guī)建設(shè)滯后，沒有總體的規(guī)劃；規(guī)范不能互通和協(xié)調(diào)，尤其不能注重結(jié)合行業(yè)特點，可執(zhí)行性不高；一部分規(guī)范已經(jīng)不能夠應(yīng)對新型的數(shù)據(jù)安全威脅；部分規(guī)范不能夠得到落實[1]。

1.2 組織體系與數(shù)據(jù)安全保障管理

對數(shù)據(jù)安全的管理和保護都離不開人員的組織與實施，組織體系是數(shù)據(jù)安全保護工作最重要的部分。為了協(xié)調(diào)數(shù)據(jù)安全保障工作的組織，應(yīng)該建立與健全數(shù)據(jù)安全管理制度與運行機制，提高整體的數(shù)據(jù)安全保障工作水平。作為一線的技術(shù)管理人員，我們認識到組織體系和安全管理制度對于數(shù)據(jù)的保護是十分重要的。例如，公司應(yīng)設(shè)立專門的安全總監(jiān)，負責(zé)技術(shù)、網(wǎng)絡(luò)安全；應(yīng)設(shè)立審核崗，專門負責(zé)審核運維、開發(fā)工作人員的所有操作記錄；應(yīng)設(shè)立資料員崗，負責(zé)保管系統(tǒng)密碼，數(shù)據(jù)光盤；還有重要的業(yè)務(wù)數(shù)據(jù)需要提交測試時，必須嚴格按照公司規(guī)定進行脫敏處理等等。只有在制度上和運行機制上堵住了數(shù)據(jù)泄漏或被篡改的渠道，才能建立起數(shù)據(jù)安全保障的基本防線。

2 證券業(yè)數(shù)據(jù)保護措施

2.1 完善法律規(guī)范與標準體系

從法律法規(guī)規(guī)劃上來說，應(yīng)該要統(tǒng)籌兼顧地制定數(shù)據(jù)安全規(guī)范與標準體系框架，一方面要做好立法工作規(guī)劃，另一方面要是數(shù)據(jù)安全標準與體系科學(xué)、規(guī)范。從法律法規(guī)制定上說，要將規(guī)范與發(fā)展統(tǒng)籌兼顧，提高法規(guī)的可操作性。從法律法規(guī)的實施上說，要將規(guī)范與引導(dǎo)結(jié)合起來，重視監(jiān)督工作，落實責(zé)任。

2.2 證券業(yè)IT治理工作

2.2.1 提高IT治理意識

中國證券協(xié)會加強IT治理理念的宣傳教育工作，尤其是單位的高層領(lǐng)導(dǎo)，要對其進行IT治理培訓(xùn)，在高管任職考核中加入IT治理方面的理論知識[4]。通過讓證券經(jīng)營機構(gòu)參加論壇、交流會等方式加強IT管理意識，提高積極性。

要充分認識到數(shù)據(jù)安全治理的必要性：它是證券公司穩(wěn)定運行的需要；是監(jiān)管部門風(fēng)險管理的需要；是證券業(yè)務(wù)及管理創(chuàng)新的需要；是合規(guī)的需要；要明確IT治理中數(shù)據(jù)治理的要點：（1）是明確證券公司數(shù)據(jù)治理的的主體，一定要落實到公司的高層管理人員；（2）是要建立數(shù)據(jù)質(zhì)量標準。明確業(yè)務(wù)框架，確定業(yè)務(wù)流程后，建立清晰的數(shù)據(jù)視圖；（3）加強數(shù)據(jù)生民周期全過程管理；數(shù)據(jù)的生成及傳輸、數(shù)據(jù)的存儲、數(shù)據(jù)處理和應(yīng)用、數(shù)據(jù)銷毀；等環(huán)節(jié)必須明確流程，落實到崗，全過程管控；這些關(guān)鍵點在IT治理中必須要明確，不能含糊或缺失。

2.2.2 通過IT治理試點最終實現(xiàn)以點帶面

IT治理不同的模式具有不同的特點，在證券經(jīng)營機構(gòu)不同的階層要根據(jù)具體情況采用不同的IT治理模式。證監(jiān)會要制定一些證券公司作為試點單位，對IT治理模式進行實踐與探索，通過這些優(yōu)秀范例的樹立來帶動整個證券業(yè) IT 治理水平的提高。

2.3 落實信息安全等級保護

在行業(yè)信息安全等級保護工作中行業(yè)監(jiān)管部門有著非常重要的作用，應(yīng)該監(jiān)管部門的任務(wù)與機制進行進一步的明確，通過統(tǒng)一的部署與組織來實現(xiàn)數(shù)據(jù)安全保護工作，為數(shù)據(jù)安全保護保護工作的展開提供組織基礎(chǔ)[5]。證券業(yè)各機構(gòu)應(yīng)該自主貫徹信息系統(tǒng)安全等級保護，并對實施情況進行評估，一旦發(fā)現(xiàn)不足應(yīng)立刻制定整改方案并實施。

證券業(yè)應(yīng)當(dāng)依托證券業(yè)協(xié)會，組織技術(shù)力量根據(jù)國家的《信息安全等級保護辦法》制定符合自己行業(yè)特點的等保規(guī)范，按照這個行業(yè)規(guī)范實施能跟好的保護券商信息系統(tǒng)安全，達到防范數(shù)據(jù)風(fēng)險的目的。

2.4 加強網(wǎng)絡(luò)安全體系規(guī)劃

2.4.1 進行以等級保護為依據(jù)的統(tǒng)籌規(guī)劃

圍繞信息安全的全過程的基礎(chǔ)性的管理制度就是等級保護，通過等級化的方法將其與安全體系規(guī)劃結(jié)合起來，對證券網(wǎng)絡(luò)的安全體系進行統(tǒng)籌規(guī)劃與建設(shè)，建立一套數(shù)據(jù)安全保障體系，是解決證券業(yè)網(wǎng)絡(luò)安全問題的有效辦法，能夠最大程度地保護網(wǎng)絡(luò)數(shù)據(jù)安全。

2.4.2 提高網(wǎng)絡(luò)防護能力

加強對證券業(yè)提供設(shè)備、技術(shù)、服務(wù)的IT公司的管理，確保這些設(shè)備、技術(shù)、服務(wù)等符合國家與行業(yè)的相關(guān)技術(shù)標準。依據(jù)網(wǎng)絡(luò)隔離的觀點，在業(yè)務(wù)網(wǎng)與辦公網(wǎng)、互聯(lián)網(wǎng)之間分別建立網(wǎng)絡(luò)隔離，網(wǎng)上交易的子系統(tǒng)之間也要建立有效的網(wǎng)絡(luò)隔離。從技術(shù)上來說，就是針對不同的業(yè)務(wù)區(qū)域利用網(wǎng)閘來進行隔離；主要的網(wǎng)絡(luò)邊界和外部進口都要進行滲透測試，加固系統(tǒng)和設(shè)備的安全性，降低由于系統(tǒng)漏洞帶來的安全風(fēng)險；網(wǎng)上交易是要采用高強度的認證方法，如電子簽名、數(shù)字認證等，通過訪問控制的加強來保護數(shù)據(jù)安全；面對惡意攻擊事件越演越烈的情況，要通過一系列措施的加強來實現(xiàn)網(wǎng)站的保護，提高對惡意攻擊的防護能力；采用高科技手段來提高客戶端軟件交易的安全性[6]。

3 結(jié)語

數(shù)據(jù)的安全與保護工作要重視平時的工作。市場的監(jiān)管、組織、參與等方面要通過長期的、不間斷的努力來實現(xiàn)證券業(yè)數(shù)據(jù)安全，使證券業(yè)數(shù)據(jù)保護工作向著安全、經(jīng)濟、高效的方向不斷前進與發(fā)展，滿足資金市場創(chuàng)新、規(guī)范、穩(wěn)定的新需求，為證券業(yè)的穩(wěn)定運行與發(fā)展提供保障，從而保障資本市場的快速的、平穩(wěn)的發(fā)展。

[1]張蕊.發(fā)揮證券業(yè)后發(fā)優(yōu)勢 實現(xiàn)IT穩(wěn)步發(fā)展——訪中國銀河證券股份有限公司信息技術(shù)部副總經(jīng)理唐沛來[J].中國金融電腦，2010，03（09）：19-24.

[2]陳建明.中國金融證券業(yè)軟件與信息服務(wù)市場分析[J].發(fā)展的信息技術(shù)對管理的挑戰(zhàn)——管理科學(xué)學(xué)術(shù)會議專輯（下），2010，12（11）：11-13.

[3]謝濤，陳天華.信息技術(shù)革命與證券業(yè)的發(fā)展——訪國泰證券公司副總經(jīng)理趙大建[J].企業(yè)家天地下半月刊（理論版），2011，23（14）：19-26.