日前，中國證監(jiān)會發(fā)布《上市公司公告電子化規(guī)范》《證券期貨業(yè)信息安全運(yùn)營管理指南》等9項金融行業(yè)標(biāo)準(zhǔn)，進(jìn)一步夯實了科技監(jiān)管基礎(chǔ)。其中《證券期貨業(yè)信息安全運(yùn)營管理指南》（簡稱《指南》）提供了開展信息安全運(yùn)營管理中指導(dǎo)思路及方法，并給出了信息安全運(yùn)營工作各管理域的度量指標(biāo)以及最佳實踐，可有效指導(dǎo)證券期貨業(yè)機(jī)構(gòu)建立完善的安全運(yùn)營體系和流程，規(guī)范信息安全運(yùn)營管理過程，推動相關(guān)安全措施的有效實施和持續(xù)改進(jìn)。

《指南》適用于證券期貨行業(yè)的核心機(jī)構(gòu)和經(jīng)營機(jī)構(gòu)在完成基礎(chǔ)的信息安全建設(shè)后開展的信息安全運(yùn)營管理工作。（注：核心機(jī)構(gòu)包括證券交易所、期貨交易所、登記結(jié)算公司等，經(jīng)營機(jī)構(gòu)包括證券公司、期貨公司、基金管理公司等）

《指南》各管理域最佳實踐的重點(diǎn)關(guān)注內(nèi)容如下：

01 管理域：安全管理

管理過程：安全目標(biāo)、安全組織、安全制度、安全資源、安全培訓(xùn)、安全績效、安全知識

最佳實踐：

1. 安全目標(biāo)管理：對目標(biāo)進(jìn)行自上而下分解，然后由安全管理部門將安全目標(biāo)同步下發(fā)到各個部門落實完成。

2. 安全組織管理：將安全組織縱向分為括決策層、管理層、執(zhí)行層；橫向分為業(yè)務(wù)部門、安全部門、審計部門。

3. 安全制度管理：參考 ISO 27001建立相應(yīng)的安全管理制度。

4. 安全培訓(xùn)管理：建立培訓(xùn)后員工反饋溝通機(jī)制，采用實戰(zhàn)化的方式來檢驗員工的安全培訓(xùn)效果。

5. 安全績效管理：設(shè)置加分和扣分項，并與人員和組織的績效考核掛鉤。

6. 安全知識管理：建立知識管理平臺，安全知識的范圍包括安全漏洞庫、工具庫、情報庫。

02 管理域：基礎(chǔ)安全管理

管理過程：系統(tǒng)安全、網(wǎng)絡(luò)安全、主機(jī)安全、終端安全、補(bǔ)丁、安全基線

最佳實踐：

1. 終端準(zhǔn)入層面，在終端未安裝防病毒軟件且病毒庫不在最近一個月內(nèi)的，禁止準(zhǔn)入。

2. 惡意代碼的檢測層面，結(jié)合基于特征庫的靜態(tài)檢測及基于行為特征的動態(tài)檢測兩種不同方法。

3. 基礎(chǔ)安全配置層面，定期檢查其有效性，對不符合項及時進(jìn)行整改。

4. 數(shù)據(jù)交換接口格式采取純文本格式，如 yaml、json，避免使用可能隱藏惡意代碼的格式， 如 xml、js。

5. 先在負(fù)載均衡設(shè)備上對加密網(wǎng)絡(luò)流量進(jìn)行解密（如通過統(tǒng)一卸載 SSL 的方式），再將明文流量接入安全檢測系統(tǒng)中做分析，以解決分析加密流量的問題。

03 管理域：信息資產(chǎn)管理

管理過程：信息資產(chǎn)發(fā)現(xiàn)、信息資產(chǎn)管理

最佳實踐：

1.持續(xù)對信息資產(chǎn)進(jìn)行跟蹤和維護(hù)。

2.使用成熟的基于生命周期的方法，對信息資產(chǎn)進(jìn)行管理，確保信息資產(chǎn)為最新狀態(tài)。

3.在信息資產(chǎn)管理過程中宜采取自動化收集、更新維護(hù)的措施，來提升管理效率。

4.采用信息資產(chǎn)集中管理系統(tǒng)進(jìn)行統(tǒng)一管理。

5.與企業(yè)內(nèi)部 IT 運(yùn)營流程進(jìn)行聯(lián)動，使得信息資產(chǎn)信息輸入、變更等能得到及時的更新。

04 管理域：漏洞管理

管理過程：漏洞發(fā)現(xiàn)、漏洞驗證、漏洞評估、漏洞修復(fù)/加固、漏洞復(fù)測、漏洞復(fù)盤

最佳實踐：

1.情報獲取：通過外部安全服務(wù)或自有情報獲取能力，可獲取及時的高危漏洞情報信息。

2.情報適配：利用資產(chǎn)威脅管理系統(tǒng)，可查看漏洞情報和信息資產(chǎn)的匹配情況。

3.漏洞檢測：利用網(wǎng)絡(luò)安全漏洞情報配套的POC檢測插件，對可疑信息資產(chǎn)組進(jìn)行針對性地掃描， 快速定位風(fēng)險信息資產(chǎn)。

4.協(xié)助修復(fù)/加固：利用漏洞情報配套的加固方案/補(bǔ)丁，配合漏洞驗證結(jié)果幫助操作人員執(zhí)行漏洞修復(fù)/加固實施操作。

5.漏洞復(fù)測：通過漏洞管理平臺確認(rèn)漏洞修復(fù)/加固完畢后，可調(diào)用POC 檢測引擎進(jìn)行漏洞復(fù)測。

05 管理域：開發(fā)安全管理

管理過程：安全需求分析、安全架構(gòu)評審、安全開發(fā)、安全測試、安全上線

最佳實踐：

1.安全需求分析：將安全需求分為通用安全需求和業(yè)務(wù)安全需求兩種，業(yè)務(wù)需求提出同時填寫好安全需求分析庫，研發(fā)團(tuán)隊根據(jù)安全需求編制需求規(guī)格說明書，然后安全團(tuán)隊、研發(fā)團(tuán)隊和業(yè)務(wù)部門對需求規(guī)格說明書內(nèi)容進(jìn)行討論、分析和確認(rèn)。

2.安全架構(gòu)評審：給出系統(tǒng)整體架構(gòu)、部署架構(gòu)、網(wǎng)絡(luò)拓?fù)涞仍O(shè)計要求，系統(tǒng)設(shè)計要包含全局有效的權(quán)限管理模塊、安全審計日志模塊、全局的異常處理機(jī)制，對數(shù)據(jù)進(jìn)行保密性、完整性保護(hù)處理，宜使用指定的第三方軟件版本，明確系統(tǒng)數(shù)據(jù)備份和恢復(fù)方式與頻率，分配合理的網(wǎng)絡(luò)安全域。

3.安全開發(fā)：制定信息系統(tǒng)開發(fā)安全規(guī)范，在數(shù)據(jù)輸入校驗、輸出編碼、上傳下載、異常處理、代碼注釋等方面提供參考編碼樣式或組件，建立源代碼、第三方軟件自動化檢測平臺和IDE安全檢測插件，制定源代碼 TOP 20 缺陷，建設(shè)開發(fā)安全組件庫。

4.安全測試：依照確定好的安全需求庫進(jìn)行安全功能開發(fā)，并設(shè)計測試用例，將部分安全檢測能力前移，在上線前對測試報告進(jìn)行評審和確認(rèn)，確定所有安全功能點(diǎn)已實現(xiàn)。

5.安全上線：新系統(tǒng)上線前完成系統(tǒng)所有模塊的安全測試。滾動開發(fā)上線，針對互聯(lián)網(wǎng)內(nèi)系統(tǒng)，若近1年內(nèi)曾進(jìn)行過系統(tǒng)所有模塊的安全測試，則上線前可僅完成系統(tǒng)新增模 塊的安全測試。針對內(nèi)網(wǎng)系統(tǒng)，大版本變更，上線前完成申請安全測試，安全測試可與上線并行實施，小版本變更，上線前不進(jìn)行安全測試。

06 管理域：數(shù)據(jù)安全管理

管理過程：數(shù)據(jù)分類分級、數(shù)據(jù)全生命周期安全管理

最佳實踐：

1.從終端、網(wǎng)絡(luò)層面，建立全面的數(shù)據(jù)交換監(jiān)控體系。

2.敏感文件本地終端存儲可采用磁盤和文件加密兩種方式。

3.數(shù)據(jù)采集方面，對于數(shù)據(jù)采集源可采用白名單、簽名驗簽方式 。

4.數(shù)據(jù)傳輸方面，建議采用內(nèi)容加密和通道加密方式；在內(nèi)部的數(shù)據(jù)傳輸，建議使用主機(jī)白名單機(jī)制。

5.數(shù)據(jù)存儲方面，結(jié)構(gòu)化數(shù)據(jù)庫一般采用表空間加密，對于核心字段進(jìn)行列級加密。數(shù)據(jù)加密宜采用對稱算法。

6.數(shù)據(jù)處理和使用方面，在服務(wù)端的數(shù)據(jù)處理，宜重點(diǎn)關(guān)注主機(jī)加固，同時對于主機(jī)的特權(quán)管理進(jìn)行收斂。在終端數(shù)據(jù)處理和使用方面，除終端環(huán)境具備數(shù)據(jù)防泄露的安全措施之外，還可采取數(shù)據(jù)脫敏、敏感數(shù)據(jù)使用打點(diǎn)記錄，增加系統(tǒng)打點(diǎn)日志類型，進(jìn)行全流程追溯。

7.數(shù)據(jù)交換，對于非結(jié)構(gòu)化的數(shù)據(jù)，可采用統(tǒng)一的數(shù)據(jù)共享平臺，數(shù)據(jù)共享前宜根據(jù)數(shù)據(jù)級別建立嚴(yán)格的審批矩陣，自動化的審批聯(lián)動數(shù)據(jù)共享。對于采用接口方式提供數(shù)據(jù)的場景，在審批通過的前提下，建立白名單和嚴(yán)格的接口簽名驗簽機(jī)制，同時采用 HTTPS 的方式保證數(shù)據(jù)共享鏈路安全。

8.數(shù)據(jù)銷毀，對于云環(huán)境存儲的數(shù)據(jù)銷毀，采用加密擦除的方式，如有必要可采取物理銷毀。

07 管理域：集中監(jiān)控與響應(yīng)管理

管理過程：日志采集、日志格式化、制定告警規(guī)則、制定事件規(guī)則、事件響應(yīng)與處理

最佳實踐：

1.日志采集盡量覆蓋重要業(yè)務(wù)系統(tǒng)的網(wǎng)絡(luò)、主機(jī)、應(yīng)用、關(guān)鍵業(yè)務(wù)操作類日志。

2.日志采集可采用大數(shù)據(jù)相關(guān)技術(shù)，提供近實時的日志流采集。

3.日志格式化，可以建立統(tǒng)一的Schema，對異構(gòu)日志進(jìn)行解析。重點(diǎn)關(guān)注解析器的負(fù)載性能， 保證解析的實時性和有效性。

4.異構(gòu)日志重點(diǎn)關(guān)注各類日志的時間同步問題。內(nèi)部宜建立統(tǒng)一的 NTP服務(wù)器，保障日志時間的一致性。

5.日志格式可能會隨著的系統(tǒng)升級或功能變更有相應(yīng)的變化，宜有專人對日志格式進(jìn)行驗證。

6.日志在格式化時，可進(jìn)一步進(jìn)行富化。例如借助 CMDB 系統(tǒng)中的信息，進(jìn)一步完善信息資產(chǎn)相關(guān)屬性信息。

7.告警和事件規(guī)則，宜定期進(jìn)行場景驗證，保證其運(yùn)行符合預(yù)期。

8.告警方式宜豐富，如通過即時通訊工具告警、郵件告警、短信告警，避免單一告警方式的失效所帶來的運(yùn)營盲點(diǎn)。

9.根據(jù)SOP進(jìn)行事件響應(yīng)和處理，一般SOP至少包括：事件編碼、事件描述和現(xiàn)狀描述、事件告警規(guī)則、告警內(nèi)容、標(biāo)準(zhǔn)操作步驟、閉環(huán)條件。

10.定期對事件進(jìn)行統(tǒng)計分析，揭示主要風(fēng)險、分析根本原因，并復(fù)盤總結(jié)處理過程 。

11.關(guān)注外部安全事件和威脅情報，并及時評估對本企業(yè)的影響性，做好后續(xù)的應(yīng)急處置措施。

12.使用SOAR系統(tǒng)將安全相關(guān)系統(tǒng)API打通，通過預(yù)定義的劇本形成標(biāo)準(zhǔn)化作業(yè)流程，對安全事件實現(xiàn)自動化響應(yīng)和處置，可有效提升安全運(yùn)營效率。

08 管理域：持續(xù)改進(jìn)管理

管理過程：安全檢測、安全審計、有效性驗證

最佳實踐：

1.漏洞掃描結(jié)果宜自動同步到漏洞運(yùn)營平臺，一線運(yùn)營人員按照漏洞的影響性大小來確定修復(fù)優(yōu)先級，在系統(tǒng)中下發(fā)修復(fù)指令自動通知到業(yè)務(wù)方進(jìn)行漏洞確認(rèn)。漏洞確認(rèn)后進(jìn)入修復(fù)環(huán)節(jié)，在修復(fù)環(huán)節(jié)宜有修復(fù)時長的限制，自動跟蹤和提醒。修復(fù)完成后，業(yè)務(wù)方反饋修復(fù)確認(rèn)，自動觸發(fā)掃描任務(wù)進(jìn)行掃描，掃描后判斷漏洞不存在，發(fā)送結(jié)果自動關(guān)閉漏洞工單，運(yùn)營人員進(jìn)行審核入庫 。

2.一般基線檢查宜對接變更管理流程。當(dāng)變更完成后，進(jìn)行基線檢查，將檢查結(jié)果與上次結(jié)果進(jìn)行對比，明確變更內(nèi)容。基線檢查一般除檢查配置外，還宜檢查主機(jī)訪問控制策略、監(jiān)聽端口、 網(wǎng)絡(luò)連接等信息。

3.針對安全設(shè)備功能有效性檢測，可借助同類其他安全設(shè)備進(jìn)行交叉驗證。

4.針對日志采集有效性檢測，一般是監(jiān)控在單位時間內(nèi)日志有無。另外，還可比對單位時間內(nèi)發(fā)送日志量和接收日志量，判斷日志是否有丟失情況。

5.內(nèi)部紅藍(lán)對抗或者虛擬紅隊，常態(tài)化的進(jìn)行滲透，也是告警策略和事件規(guī)則有效性的一種檢測手段。

6.對于一線運(yùn)營閉環(huán)的安全事件，二線專家宜定期進(jìn)行分析其運(yùn)營過程是否合理，運(yùn)營時分析的日志依據(jù)、閉環(huán)的理由是否充分，及時發(fā)現(xiàn)運(yùn)營過程中的問題，復(fù)盤改進(jìn)。通過定期培訓(xùn)，強(qiáng)化運(yùn)營人員的技能水平，提升運(yùn)營效能。

指南要點(diǎn)總結(jié)

安全運(yùn)營閉環(huán)管理

《指南》包括安全管理、基礎(chǔ)安全管理、信息資產(chǎn)管理、漏洞管理、開發(fā)安全管理、數(shù)據(jù)安全管理、集中監(jiān)控與響應(yīng)管理等內(nèi)容，全面覆蓋日常信息安全運(yùn)營工作的各個領(lǐng)域，輔以持續(xù)改進(jìn)管理進(jìn)行不斷優(yōu)化，實現(xiàn)證券期貨業(yè)機(jī)構(gòu)信息安全運(yùn)營工作的閉環(huán)管理。

指標(biāo)明確易落地

依托核心機(jī)構(gòu)及經(jīng)營機(jī)構(gòu)運(yùn)營管理經(jīng)驗，《指南》引入“最佳實踐”內(nèi)容，配合附錄A中的“度量指標(biāo)”，給予信息安全運(yùn)營管理工作具體指導(dǎo)，使信息安全運(yùn)營工作更具操作性、更易落地。

自動化運(yùn)營提質(zhì)增效

《指南》在各管理域提出具體的管理平臺及工具，強(qiáng)調(diào)自動化運(yùn)營，結(jié)合規(guī)范化的工作流程，可有效提高信息安全運(yùn)營工作的效率，降低運(yùn)營成本。

天融信安全運(yùn)營建設(shè)方案

基于多年在金融行業(yè)安全運(yùn)營中心建設(shè)的技術(shù)積累和實施經(jīng)驗，天融信在現(xiàn)有安全防護(hù)體系的基礎(chǔ)上，為證券期貨業(yè)機(jī)構(gòu)構(gòu)建“智能分析、縱深防御、高效可視”的安全運(yùn)營體系，增強(qiáng)威脅分析、聯(lián)動防御和自動化處置能力，整體提升證券期貨業(yè)機(jī)構(gòu)的網(wǎng)絡(luò)安全運(yùn)營能力。

天融信信息安全運(yùn)營體系

該體系圍繞人、技術(shù)、流程、服務(wù)四個要素進(jìn)行建設(shè)落地，通過大數(shù)據(jù)、機(jī)器學(xué)習(xí)、UEBA、SOAR、威脅情報等技術(shù)和工具，結(jié)合自動化流程和三線安全運(yùn)營專家服務(wù)團(tuán)隊，打造“威脅及脆弱性識別、安全防護(hù)、事件檢測、響應(yīng)處置、系統(tǒng)及業(yè)務(wù)運(yùn)行恢復(fù)”的快速安全閉環(huán)能力，幫助客戶不斷提升安全效果、提升安全運(yùn)維和安全管理效率、展現(xiàn)安全成果，最終實現(xiàn)“自動響應(yīng)閉環(huán)、持續(xù)安全運(yùn)營”的目標(biāo)。

● 根據(jù)證券期貨業(yè)機(jī)構(gòu)自身情況，建立權(quán)責(zé)清晰的組織架構(gòu)、科學(xué)合理的制度體系，確定信息安全運(yùn)營管理責(zé)任，為信息安全運(yùn)營工作打好基礎(chǔ)。

● 建設(shè)基于大數(shù)據(jù)框架的體系化技術(shù)平臺，對證券期貨業(yè)機(jī)構(gòu)的系統(tǒng)、應(yīng)用、用戶訪問行為等數(shù)據(jù)進(jìn)行分析，借助機(jī)器學(xué)習(xí)、模型分析、智能關(guān)聯(lián)、威脅情報等手段，提高攻擊識別精準(zhǔn)度和威脅檢測能力。

● 制定安全事件自動化處置流程，實現(xiàn)安全事件處置的規(guī)范化、流程化、自動化，提高安全運(yùn)營效率，從容應(yīng)對有組織、大規(guī)模的網(wǎng)絡(luò)攻擊，保障組織業(yè)務(wù)系統(tǒng)及業(yè)務(wù)數(shù)據(jù)的安全性。

落地某國有銀行

天融信已連續(xù)多年助力某國有銀行信息安全運(yùn)營中心建設(shè)，主要建設(shè)內(nèi)容包括平臺建設(shè)咨詢、架構(gòu)設(shè)計、功能開發(fā)、策略調(diào)優(yōu)、安全模型開發(fā)設(shè)計及平臺運(yùn)行維護(hù)等，范圍覆蓋其兩地三中心及全國省分行，建立了全面、智能、可視化的安全運(yùn)營中心，可跨地域、深層次探測網(wǎng)絡(luò)中的實時流量與日志信息，持續(xù)優(yōu)化關(guān)聯(lián)分析模型提升威脅分析與響應(yīng)能力，基于技術(shù)平臺、響應(yīng)處置流程建設(shè)及專家服務(wù)，打造企業(yè)級安全運(yùn)營能力，整體提升全行的網(wǎng)絡(luò)安全防護(hù)與管理水平。

在合規(guī)驅(qū)動、實戰(zhàn)對抗的大背景下，天融信將持續(xù)助力證券期貨業(yè)安全運(yùn)營體系化建設(shè)，助力打造符合自身業(yè)務(wù)發(fā)展和時代需求的安全體系，實現(xiàn)對安全威脅的提前感知與預(yù)防、對實時風(fēng)險的監(jiān)測防御與響應(yīng)處置、對安全事件的分析溯源，把控網(wǎng)絡(luò)安全態(tài)勢，全面提升證券期貨機(jī)構(gòu)的網(wǎng)絡(luò)安全防護(hù)與安全運(yùn)營能力。