新兴技术的进步与创新推动着证券等金融机构业务的快速发展,数据作为核心要素持续增长,数据应用场景更加复杂,安全风险与日俱增。
在数字中国建设的顶层战略规划下,防范证券数据安全风险,全面保障核心数据安全,这一工作任务日益艰巨且迫切。
2023年1月,中证协下发《证券公司网络和信息安全三年提升计划(2023—2025)》征求意见稿,提出33项重点工作,明确:加强数据安全管理体系建设,在2023年底前建立个人信息保护制度体系,在明确数据权责的基础上,对数据进行分类分级,并以数据全生命周期安全防护要求为重点,构建目标明确、职责清晰、层次分明、落地性强的制度规范。
2023年3月,证监会发布《证券期货业网络和信息安全管理办法》,对网络和信息安全管理提出规范要求,并结合违法违规的具体情形,规定相应罚则。数据安全和个人信息保护方面,《办法》明确要求建立健全投资者个人信息保护体系和管理机制;明确安全信息发布和行业数据备份中心相关要求;要求核心机构和经营机构在本机构网络安全防护边界以外处理投资者个人信息的,应当采取数据脱敏、数据加密等措施,防范化解投资者个人信息在处理过程中的泄露风险。
从下图可以看出,证券期货行业已出台多项数据安全政策法规。尤其《数据安全法》、《个人信息保护法》发布实施以来,使得证券行业数据安全建设全方位上了一个台阶,2022年底,证监会发布《证券期货业数据安全管理与保护指引》,从数据安全管理基本原则、组织架构、制度、技术等方面提供指引,规范行业机构开展数据安全管理和保护工作,提升行业数据安全管理水平。
坚守“不发生系统性金融风险”一条底线,是“十四五时期”证券期货业科技发展的核心目标,数据作为科技发展的核心关键要素,加速提升数据安全能力,正当时!对此,美创科技提供全栈全场景数据安全解决方案,守护安全助力提升。
体系保障
全栈产品服务能力,守护数据“安若磐石”
洞察新格局下的证券行业数据安全风险与建设痛点,美创科技以完善的数据安全产品+服务能力,从数据安全治理咨询、数据安全技术防护、数据安全运营三方面,在网络安全体系的基础上,构建人防+技防、管理、技术、运营三位一体综合数据安全保障体系,帮助证券机构明确管理要求和操作流程,识别敏感数据资产,开展数据分类分级,落实覆盖数据全生命周期的分级保护措施,持续开展数据安全运营,有效管控安全风险。
数据安全治理体系
打造“知行合一”的数据安全治理体系建设,美创数据安全治理咨询服务,基于 PDCA 模型(美创数据安全治理模型框架),以及行业咨询团队、自动化工具,从数据安全制度建立健全、数据梳理分类分级、风险合规评估、数据安全建设规划等,帮助证券机构规范数据安全管理,逐步落实组织长期数据安全目标。
数据安全治理规划咨询服务流程
数据安全防护体系
根据证券行业数据安全形势、合规要求、技术发展和演进趋势等的动态变化,美创科技基于全新韧性数据安全架构,提供全栈的数据安全产品能力,通过对不同安全等级的数据对象,基于数据安全等级的差异,提供相应的数据安全防护措施,从数据采集、展现、传输、处理、存储五个阶段过程,为证券机构数字化转型带来的安全问题提供数据安全“韧性”防护。
数据安全运营体系
实现数据安全保障能力持续有效,安全合规持续有效,美创科技依托一体化数据安全管理平台、态势感知平台,以资产、身份、流动、设备运行四个维度,全面支持数据安全整体运营。同时,专业的数据安全服务团队提供包括安全风险监测、风险合规评估、数据应急演练、安全应急处置、安全应急保障等在内的多样化、专业化、符合行业特点的安全服务。
数据安全运营与态势感知平台
靶向发力
丰富场景化方案,风险合规难点“精准施策”
深入证券行业数据安全常见场景问题,美创科技以风险问题为导向,针对性打造了一系列场景化数据安全建设方案,包括:数据安全分类分级、数据流动安全、数据内部访问安全、运维安全管控、应用程序接口(API)数据防泄漏、互联网券商数据出境、APP应用个人信息安全风险评估、防止第三方非法爬取数据、数据容灾备份等。
数据安全分类分级解决方案
以咨询服务+自研智能化工具,参照《证券期货业数据分类分级指引》等标准,开展数据分类分级,理清金融系统数据家底,形成重要数据目录,从而根据数据安全合规要求、数据敏感和重要程度,实施分级保护,落实细粒度的管控措施。
数据分类分级实践步骤
数据静态脱敏解决方案
美创数据静态脱敏系统,支持敏感数据的自动发现和分类分级,结合内置的丰富脱敏算法,在保证数据逻辑关联性前提下,解决开发测试、业务培训、数据分析、数据共享等环节出现数据泄露风险,满足为开发环境、测试环境、培训环境等提供脱敏后(按需进行漂白、变形、遮盖等处理)的生产数据。
数据静态脱敏系统
内部运维人员违规操作场景解决方案
针对内部运维人员违规操作导致数据泄露风险场景,美创提供事前、事中、事后多维度数据库运维安全管控解决方案,借助数据库防水坝,集成敏感数据快速发现和管理(Schema、表、列级别的细粒度管控)、多因素身份准入机制、动态访问控制、敏感数据脱敏、误操作恢复、账号托管等核心功能,解决数据库运维场景所面临的账号共享、越权访问、非法/无意操纵数据、敏感数据外泄难题;借助数据库审计全程对数据库操作进行跟踪和管理,发现和溯源违规操作行为。
数据库防水坝系统
API数据安全解决方案
随着证券行业数字化发展加速,大量的数据通过API进行线上流动,存在数据泄露风险。美创科技API安全监测与访问控制系统可帮助证券机构梳理庞杂的应用及接口,绘制接口画像和接口访问轨迹,监测敏感数据流动风险,识别接口调用的异常用户行为,为应用系统的业务数据合规正常使用和流转提供数据安全保障。
API安全监测与访问控制系统产品架构
跨境互联网券商数据出境解决方案
满足《数据出境安全评估办法》等监管要求,美创科技提供数据出境安全治理服务,帮助证券机构深入理解和研究数据出境活动的限制和要求,厘清数据出境场景、出境数据范围、限制要求以及缓解措施,完成数据出境风险自评估,辅导客户申报数据出境安全评估。
数据出境安全治理服务流程
APP应用个人信息安全风险评估解决方案
《个人信息保护法》出台以来,国家监管单位持续加强对券商APP应用存在隐私不合规行为进行检查,对违反网络安全法、个人信息保护法等相关规定,涉嫌超范围采集个人隐私信息等问题进行通报。针对该场景,美创科技提供个人信息安全风险评估服务,检测APP应用可能存在的风险点,结合风险分析,给予相关的处置措施建议。
个人信息安全风险评估服务流程
招商证券数据脱敏平台建设实践
满足“生产环境在线数据和离线数据用于非生产环境时,需进行脱敏处理”行业监管要求,改变“传统的手工脱敏处理,效率、质量得不到保证”的问题,美创科技助力招商证券打造数据脱敏一体化平台,实现整个脱敏流程的标准化、自动化、智能化处理。
敏感数据自动感知:生产环境业务系统中敏感信息准确、快速识别,进行针对性脱敏,节省脱敏成本、提升脱敏效率;
脱敏结果高仿真:采用高效脱敏策略,最大限度保证脱敏后数据的真实性,确保数据可用;
脱敏数据不落地:数据从源端环境抽取经过设备内存处理后直接加载到目标环境,减少不必要的人机交互过程,避免二度数据风险;
灵活适应各种场景:支持丰富的数据源,支持库到库、数据库到文本、文本到文本、kafka到kafka的脱敏场景。
华创证券数据安全建设实践
根据华创证券在异地数据中心交叉备份、数据运维安全管控、数据访问监测审计等数据安全建设需求,美创科技提供:
内部运维人员风险管控:针对运维人员进行数据库大权限的账户管控、数据访问控制、敏感数据分级分类、内部风险操作管控、敏感SQL执行、全面和精确审计留痕等问题。通过部署数据库防水坝实现运维场景下敏感数据动态脱敏、防范高危SQL执行、敏感数据随意导出等高危操作行为,限制特权账户随意访问和修改敏感数据等;
数据库精确、全面审计:确保各场景的违规数据使用、访问的可追溯,部署数据库安全审计系统针对业务系统过来的SQL注入攻击、数据库漏洞攻击、密码口令猜解、敏感数据越权访问等行为进行精确审计;
数据异地交叉备份:确保本地发生自然灾害等不可抗力时,保证核心数据的安全性,通过美创备份一体机实现对现有两个数据中心进行数据异地交叉备份,基于SM1、SM2等国密加密算法对数据进行加密存储、数据压缩传输、异地数据恢复等业内领先的技术对文件和数据库进行备份。