日前，中國證監(jiān)會發(fā)布《上市公司公告電子化規(guī)范》《證券期貨業(yè)信息安全運營管理指南》等9項金融行業(yè)標(biāo)準(zhǔn)，進一步夯實了科技監(jiān)管基礎(chǔ)。其中《證券期貨業(yè)信息安全運營管理指南》（簡稱《指南》）提供了開展信息安全運營管理中指導(dǎo)思路及方法，并給出了信息安全運營工作各管理域的度量指標(biāo)以及最佳實踐，可有效指導(dǎo)證券期貨業(yè)機構(gòu)建立完善的安全運營體系和流程，規(guī)范信息安全運營管理過程，推動相關(guān)安全措施的有效實施和持續(xù)改進。

《指南》適用于證券期貨行業(yè)的核心機構(gòu)和經(jīng)營機構(gòu)在完成基礎(chǔ)的信息安全建設(shè)后開展的信息安全運營管理工作。（注：核心機構(gòu)包括證券交易所、期貨交易所、登記結(jié)算公司等，經(jīng)營機構(gòu)包括證券公司、期貨公司、基金管理公司等）

《指南》各管理域最佳實踐的重點關(guān)注內(nèi)容如下：

01 管理域：安全管理

管理過程：安全目標(biāo)、安全組織、安全制度、安全資源、安全培訓(xùn)、安全績效、安全知識

最佳實踐：

1. 安全目標(biāo)管理：對目標(biāo)進行自上而下分解，然后由安全管理部門將安全目標(biāo)同步下發(fā)到各個部門落實完成。

2. 安全組織管理：將安全組織縱向分為括決策層、管理層、執(zhí)行層；橫向分為業(yè)務(wù)部門、安全部門、審計部門。

3. 安全制度管理：參考 ISO 27001建立相應(yīng)的安全管理制度。

4. 安全培訓(xùn)管理：建立培訓(xùn)后員工反饋溝通機制，采用實戰(zhàn)化的方式來檢驗員工的安全培訓(xùn)效果。

5. 安全績效管理：設(shè)置加分和扣分項，并與人員和組織的績效考核掛鉤。

6. 安全知識管理：建立知識管理平臺，安全知識的范圍包括安全漏洞庫、工具庫、情報庫。

02 管理域：基礎(chǔ)安全管理

管理過程：系統(tǒng)安全、網(wǎng)絡(luò)安全、主機安全、終端安全、補丁、安全基線

最佳實踐：

1. 終端準(zhǔn)入層面，在終端未安裝防病毒軟件且病毒庫不在最近一個月內(nèi)的，禁止準(zhǔn)入。

2. 惡意代碼的檢測層面，結(jié)合基于特征庫的靜態(tài)檢測及基于行為特征的動態(tài)檢測兩種不同方法。

3. 基礎(chǔ)安全配置層面，定期檢查其有效性，對不符合項及時進行整改。

4. 數(shù)據(jù)交換接口格式采取純文本格式，如 yaml、json，避免使用可能隱藏惡意代碼的格式， 如 xml、js。

5. 先在負(fù)載均衡設(shè)備上對加密網(wǎng)絡(luò)流量進行解密（如通過統(tǒng)一卸載 SSL 的方式），再將明文流量接入安全檢測系統(tǒng)中做分析，以解決分析加密流量的問題。

03 管理域：信息資產(chǎn)管理

管理過程：信息資產(chǎn)發(fā)現(xiàn)、信息資產(chǎn)管理

最佳實踐：

1.持續(xù)對信息資產(chǎn)進行跟蹤和維護。

2.使用成熟的基于生命周期的方法，對信息資產(chǎn)進行管理，確保信息資產(chǎn)為最新狀態(tài)。

3.在信息資產(chǎn)管理過程中宜采取自動化收集、更新維護的措施，來提升管理效率。

4.采用信息資產(chǎn)集中管理系統(tǒng)進行統(tǒng)一管理。

5.與企業(yè)內(nèi)部 IT 運營流程進行聯(lián)動，使得信息資產(chǎn)信息輸入、變更等能得到及時的更新。

04 管理域：漏洞管理

管理過程：漏洞發(fā)現(xiàn)、漏洞驗證、漏洞評估、漏洞修復(fù)/加固、漏洞復(fù)測、漏洞復(fù)盤

最佳實踐：

1.情報獲?。和ㄟ^外部安全服務(wù)或自有情報獲取能力，可獲取及時的高危漏洞情報信息。

2.情報適配：利用資產(chǎn)威脅管理系統(tǒng)，可查看漏洞情報和信息資產(chǎn)的匹配情況。

3.漏洞檢測：利用網(wǎng)絡(luò)安全漏洞情報配套的POC檢測插件，對可疑信息資產(chǎn)組進行針對性地掃描， 快速定位風(fēng)險信息資產(chǎn)。

4.協(xié)助修復(fù)/加固：利用漏洞情報配套的加固方案/補丁，配合漏洞驗證結(jié)果幫助操作人員執(zhí)行漏洞修復(fù)/加固實施操作。

5.漏洞復(fù)測：通過漏洞管理平臺確認(rèn)漏洞修復(fù)/加固完畢后，可調(diào)用POC 檢測引擎進行漏洞復(fù)測。

05 管理域：開發(fā)安全管理

管理過程：安全需求分析、安全架構(gòu)評審、安全開發(fā)、安全測試、安全上線

最佳實踐：

1.安全需求分析：將安全需求分為通用安全需求和業(yè)務(wù)安全需求兩種，業(yè)務(wù)需求提出同時填寫好安全需求分析庫，研發(fā)團隊根據(jù)安全需求編制需求規(guī)格說明書，然后安全團隊、研發(fā)團隊和業(yè)務(wù)部門對需求規(guī)格說明書內(nèi)容進行討論、分析和確認(rèn)。

2.安全架構(gòu)評審：給出系統(tǒng)整體架構(gòu)、部署架構(gòu)、網(wǎng)絡(luò)拓?fù)涞仍O(shè)計要求，系統(tǒng)設(shè)計要包含全局有效的權(quán)限管理模塊、安全審計日志模塊、全局的異常處理機制，對數(shù)據(jù)進行保密性、完整性保護處理，宜使用指定的第三方軟件版本，明確系統(tǒng)數(shù)據(jù)備份和恢復(fù)方式與頻率，分配合理的網(wǎng)絡(luò)安全域。

3.安全開發(fā)：制定信息系統(tǒng)開發(fā)安全規(guī)范，在數(shù)據(jù)輸入校驗、輸出編碼、上傳下載、異常處理、代碼注釋等方面提供參考編碼樣式或組件，建立源代碼、第三方軟件自動化檢測平臺和IDE安全檢測插件，制定源代碼 TOP 20 缺陷，建設(shè)開發(fā)安全組件庫。

4.安全測試：依照確定好的安全需求庫進行安全功能開發(fā)，并設(shè)計測試用例，將部分安全檢測能力前移，在上線前對測試報告進行評審和確認(rèn)，確定所有安全功能點已實現(xiàn)。

5.安全上線：新系統(tǒng)上線前完成系統(tǒng)所有模塊的安全測試。滾動開發(fā)上線，針對互聯(lián)網(wǎng)內(nèi)系統(tǒng)，若近1年內(nèi)曾進行過系統(tǒng)所有模塊的安全測試，則上線前可僅完成系統(tǒng)新增模 塊的安全測試。針對內(nèi)網(wǎng)系統(tǒng)，大版本變更，上線前完成申請安全測試，安全測試可與上線并行實施，小版本變更，上線前不進行安全測試。

06 管理域：數(shù)據(jù)安全管理

管理過程：數(shù)據(jù)分類分級、數(shù)據(jù)全生命周期安全管理

最佳實踐：

1.從終端、網(wǎng)絡(luò)層面，建立全面的數(shù)據(jù)交換監(jiān)控體系。

2.敏感文件本地終端存儲可采用磁盤和文件加密兩種方式。

3.數(shù)據(jù)采集方面，對于數(shù)據(jù)采集源可采用白名單、簽名驗簽方式 。

4.數(shù)據(jù)傳輸方面，建議采用內(nèi)容加密和通道加密方式；在內(nèi)部的數(shù)據(jù)傳輸，建議使用主機白名單機制。

5.數(shù)據(jù)存儲方面，結(jié)構(gòu)化數(shù)據(jù)庫一般采用表空間加密，對于核心字段進行列級加密。數(shù)據(jù)加密宜采用對稱算法。

6.數(shù)據(jù)處理和使用方面，在服務(wù)端的數(shù)據(jù)處理，宜重點關(guān)注主機加固，同時對于主機的特權(quán)管理進行收斂。在終端數(shù)據(jù)處理和使用方面，除終端環(huán)境具備數(shù)據(jù)防泄露的安全措施之外，還可采取數(shù)據(jù)脫敏、敏感數(shù)據(jù)使用打點記錄，增加系統(tǒng)打點日志類型，進行全流程追溯。

7.數(shù)據(jù)交換，對于非結(jié)構(gòu)化的數(shù)據(jù)，可采用統(tǒng)一的數(shù)據(jù)共享平臺，數(shù)據(jù)共享前宜根據(jù)數(shù)據(jù)級別建立嚴(yán)格的審批矩陣，自動化的審批聯(lián)動數(shù)據(jù)共享。對于采用接口方式提供數(shù)據(jù)的場景，在審批通過的前提下，建立白名單和嚴(yán)格的接口簽名驗簽機制，同時采用 HTTPS 的方式保證數(shù)據(jù)共享鏈路安全。

8.數(shù)據(jù)銷毀，對于云環(huán)境存儲的數(shù)據(jù)銷毀，采用加密擦除的方式，如有必要可采取物理銷毀。

07 管理域：集中監(jiān)控與響應(yīng)管理

管理過程：日志采集、日志格式化、制定告警規(guī)則、制定事件規(guī)則、事件響應(yīng)與處理

最佳實踐：

1.日志采集盡量覆蓋重要業(yè)務(wù)系統(tǒng)的網(wǎng)絡(luò)、主機、應(yīng)用、關(guān)鍵業(yè)務(wù)操作類日志。

2.日志采集可采用大數(shù)據(jù)相關(guān)技術(shù)，提供近實時的日志流采集。

3.日志格式化，可以建立統(tǒng)一的Schema，對異構(gòu)日志進行解析。重點關(guān)注解析器的負(fù)載性能， 保證解析的實時性和有效性。

4.異構(gòu)日志重點關(guān)注各類日志的時間同步問題。內(nèi)部宜建立統(tǒng)一的 NTP服務(wù)器，保障日志時間的一致性。

5.日志格式可能會隨著的系統(tǒng)升級或功能變更有相應(yīng)的變化，宜有專人對日志格式進行驗證。

6.日志在格式化時，可進一步進行富化。例如借助 CMDB 系統(tǒng)中的信息，進一步完善信息資產(chǎn)相關(guān)屬性信息。

7.告警和事件規(guī)則，宜定期進行場景驗證，保證其運行符合預(yù)期。

8.告警方式宜豐富，如通過即時通訊工具告警、郵件告警、短信告警，避免單一告警方式的失效所帶來的運營盲點。

9.根據(jù)SOP進行事件響應(yīng)和處理，一般SOP至少包括：事件編碼、事件描述和現(xiàn)狀描述、事件告警規(guī)則、告警內(nèi)容、標(biāo)準(zhǔn)操作步驟、閉環(huán)條件。

10.定期對事件進行統(tǒng)計分析，揭示主要風(fēng)險、分析根本原因，并復(fù)盤總結(jié)處理過程 。

11.關(guān)注外部安全事件和威脅情報，并及時評估對本企業(yè)的影響性，做好后續(xù)的應(yīng)急處置措施。

12.使用SOAR系統(tǒng)將安全相關(guān)系統(tǒng)API打通，通過預(yù)定義的劇本形成標(biāo)準(zhǔn)化作業(yè)流程，對安全事件實現(xiàn)自動化響應(yīng)和處置，可有效提升安全運營效率。

08 管理域：持續(xù)改進管理

管理過程：安全檢測、安全審計、有效性驗證

最佳實踐：

1.漏洞掃描結(jié)果宜自動同步到漏洞運營平臺，一線運營人員按照漏洞的影響性大小來確定修復(fù)優(yōu)先級，在系統(tǒng)中下發(fā)修復(fù)指令自動通知到業(yè)務(wù)方進行漏洞確認(rèn)。漏洞確認(rèn)后進入修復(fù)環(huán)節(jié)，在修復(fù)環(huán)節(jié)宜有修復(fù)時長的限制，自動跟蹤和提醒。修復(fù)完成后，業(yè)務(wù)方反饋修復(fù)確認(rèn)，自動觸發(fā)掃描任務(wù)進行掃描，掃描后判斷漏洞不存在，發(fā)送結(jié)果自動關(guān)閉漏洞工單，運營人員進行審核入庫 。

2.一般基線檢查宜對接變更管理流程。當(dāng)變更完成后，進行基線檢查，將檢查結(jié)果與上次結(jié)果進行對比，明確變更內(nèi)容。基線檢查一般除檢查配置外，還宜檢查主機訪問控制策略、監(jiān)聽端口、 網(wǎng)絡(luò)連接等信息。

3.針對安全設(shè)備功能有效性檢測，可借助同類其他安全設(shè)備進行交叉驗證。

4.針對日志采集有效性檢測，一般是監(jiān)控在單位時間內(nèi)日志有無。另外，還可比對單位時間內(nèi)發(fā)送日志量和接收日志量，判斷日志是否有丟失情況。

5.內(nèi)部紅藍(lán)對抗或者虛擬紅隊，常態(tài)化的進行滲透，也是告警策略和事件規(guī)則有效性的一種檢測手段。

6.對于一線運營閉環(huán)的安全事件，二線專家宜定期進行分析其運營過程是否合理，運營時分析的日志依據(jù)、閉環(huán)的理由是否充分，及時發(fā)現(xiàn)運營過程中的問題，復(fù)盤改進。通過定期培訓(xùn)，強化運營人員的技能水平，提升運營效能。

指南要點總結(jié)

安全運營閉環(huán)管理

《指南》包括安全管理、基礎(chǔ)安全管理、信息資產(chǎn)管理、漏洞管理、開發(fā)安全管理、數(shù)據(jù)安全管理、集中監(jiān)控與響應(yīng)管理等內(nèi)容，全面覆蓋日常信息安全運營工作的各個領(lǐng)域，輔以持續(xù)改進管理進行不斷優(yōu)化，實現(xiàn)證券期貨業(yè)機構(gòu)信息安全運營工作的閉環(huán)管理。

指標(biāo)明確易落地

依托核心機構(gòu)及經(jīng)營機構(gòu)運營管理經(jīng)驗，《指南》引入“最佳實踐”內(nèi)容，配合附錄A中的“度量指標(biāo)”，給予信息安全運營管理工作具體指導(dǎo)，使信息安全運營工作更具操作性、更易落地。

自動化運營提質(zhì)增效

《指南》在各管理域提出具體的管理平臺及工具，強調(diào)自動化運營，結(jié)合規(guī)范化的工作流程，可有效提高信息安全運營工作的效率，降低運營成本。

天融信安全運營建設(shè)方案

基于多年在金融行業(yè)安全運營中心建設(shè)的技術(shù)積累和實施經(jīng)驗，天融信在現(xiàn)有安全防護體系的基礎(chǔ)上，為證券期貨業(yè)機構(gòu)構(gòu)建“智能分析、縱深防御、高效可視”的安全運營體系，增強威脅分析、聯(lián)動防御和自動化處置能力，整體提升證券期貨業(yè)機構(gòu)的網(wǎng)絡(luò)安全運營能力。

天融信信息安全運營體系

該體系圍繞人、技術(shù)、流程、服務(wù)四個要素進行建設(shè)落地，通過大數(shù)據(jù)、機器學(xué)習(xí)、UEBA、SOAR、威脅情報等技術(shù)和工具，結(jié)合自動化流程和三線安全運營專家服務(wù)團隊，打造“威脅及脆弱性識別、安全防護、事件檢測、響應(yīng)處置、系統(tǒng)及業(yè)務(wù)運行恢復(fù)”的快速安全閉環(huán)能力，幫助客戶不斷提升安全效果、提升安全運維和安全管理效率、展現(xiàn)安全成果，最終實現(xiàn)“自動響應(yīng)閉環(huán)、持續(xù)安全運營”的目標(biāo)。

● 根據(jù)證券期貨業(yè)機構(gòu)自身情況，建立權(quán)責(zé)清晰的組織架構(gòu)、科學(xué)合理的制度體系，確定信息安全運營管理責(zé)任，為信息安全運營工作打好基礎(chǔ)。

● 建設(shè)基于大數(shù)據(jù)框架的體系化技術(shù)平臺，對證券期貨業(yè)機構(gòu)的系統(tǒng)、應(yīng)用、用戶訪問行為等數(shù)據(jù)進行分析，借助機器學(xué)習(xí)、模型分析、智能關(guān)聯(lián)、威脅情報等手段，提高攻擊識別精準(zhǔn)度和威脅檢測能力。

● 制定安全事件自動化處置流程，實現(xiàn)安全事件處置的規(guī)范化、流程化、自動化，提高安全運營效率，從容應(yīng)對有組織、大規(guī)模的網(wǎng)絡(luò)攻擊，保障組織業(yè)務(wù)系統(tǒng)及業(yè)務(wù)數(shù)據(jù)的安全性。

落地某國有銀行

天融信已連續(xù)多年助力某國有銀行信息安全運營中心建設(shè)，主要建設(shè)內(nèi)容包括平臺建設(shè)咨詢、架構(gòu)設(shè)計、功能開發(fā)、策略調(diào)優(yōu)、安全模型開發(fā)設(shè)計及平臺運行維護等，范圍覆蓋其兩地三中心及全國省分行，建立了全面、智能、可視化的安全運營中心，可跨地域、深層次探測網(wǎng)絡(luò)中的實時流量與日志信息，持續(xù)優(yōu)化關(guān)聯(lián)分析模型提升威脅分析與響應(yīng)能力，基于技術(shù)平臺、響應(yīng)處置流程建設(shè)及專家服務(wù)，打造企業(yè)級安全運營能力，整體提升全行的網(wǎng)絡(luò)安全防護與管理水平。

在合規(guī)驅(qū)動、實戰(zhàn)對抗的大背景下，天融信將持續(xù)助力證券期貨業(yè)安全運營體系化建設(shè)，助力打造符合自身業(yè)務(wù)發(fā)展和時代需求的安全體系，實現(xiàn)對安全威脅的提前感知與預(yù)防、對實時風(fēng)險的監(jiān)測防御與響應(yīng)處置、對安全事件的分析溯源，把控網(wǎng)絡(luò)安全態(tài)勢，全面提升證券期貨機構(gòu)的網(wǎng)絡(luò)安全防護與安全運營能力。