特别关注 | 构建网络安全能力成熟度模型,稳步推进信息安全治理
文 / 证券期货业信息技术安全能力评估标准研究课题组
随着证券期货业信息化建设的深入推进、云计算与大数据等技术的广泛应用,系统边界模糊、数据交互增多、数据集中化现象日趋凸显,随之而来的信息安全问题也日趋复杂。一方面,网络钓鱼、病毒木马等传统安全问题屡见不鲜;另一方面,数据泄露、勒索软件等新型安全问题层出不穷,这促使行业机构重新审视并深入思考信息安全问题。
同时,在证券期货业机构数字化转型过程中必须持续保障信息系统安全,这需要管理层从安全相关的人员、技术和过程管理等方面全盘考虑。因此证券期货业亟需一套能够立足于信息技术安全能力建设全过程的高弹性、可扩展、可度量的信息技术安全能力评估标准,识别当前信息技术安全能力建设的薄弱环节,指导网络安全防护能力建设。
**1.证券期货业信息安全标准现状。**面对新形势下信息安全保障工作的发展需要,证券期货业信息安全工作在规范和标准方面的问题也逐渐显现。一是规范和标准建设滞后,缺乏总体规划;二是规范和标准互通性和协调性不强,部分规范和标准可执行性差,难以落实;三是部分规范和标准落后,已无法有效应对新型安全威胁。
**2.证券期货业信息安全治理现状。**在整个证券期货业处于高度信息化的背景下,信息安全治理直接关乎证券期货业机构战略目标的实现,良好的信息安全治理有助于增强机构的灵活性和创新力,有效规避和应对信息安全风险。通过建立信息安全治理机制,可以帮助各机构高层发现存在的信息安全问题,自我评估信息安全管理效果,加强对信息化项目的有效管理,保证信息化项目建设的质量和应用效果,使有限的投入取得更大的绩效。当前证券期货业机构信息安全治理存在的问题:一是信息安全在公司战略中的地位未受到高层重视;二是信息安全治理缺乏明确的概念描述和参数指标。
**3.证券期货业网络和数据安全现状。**随着互联网的普及、网上交易系统功能的持续丰富,网上交易逐渐成为证券期货投资者交易的主流模式,证券期货业机构保障网络和数据安全的重要性日益凸显。近年来,行业机构采取一系列措施,建立了相对完善的网络安全防护体系和灾难备份系统,但在网络和数据安全方面还存在不足。一是网络安全防护体系缺乏统一规划;二是网络访问控制措施有待完善、网上交易防护能力有待加强;三是对数据安全重视不够,数据防护措施有待改进;四是技术人员的专业能力和安全意识有待提高。
**4.证券期货业信息安全队伍现状。**在过去20年的发展历程中,证券期货业对信息技术的依赖性日益增强,行业信息安全人才队伍不断壮大,他们肩负着信息系统安全、平稳、高效运行的重任,信息安全人才队伍建设是行业信息安全工作的根本保障。目前,行业信息安全人才队伍建设方面普遍存在着安全人员占比低、结构不合理和后续教育不足等问题,人才培养有待加强。
课题研究成果
为贯彻落实国家及证券期货业信息安全管理相关政策法规和标准要求,为证券期货业机构开展信息技术安全能力评估提供参考,郑州商品交易所协同中信建投证券、长亭科技、国金证券组建了课题组,开展了证券期货业信息技术安全能力评估标准的研究。通过研究分析行业内机构及相关技术服务机构信息技术安全能力方面的现状,梳理信息技术安全能力建设方面的主要风险来源,探索出证券期货业信息技术安全能力成熟度模型构建思路并完成模型构建。
1.安全能力建设主要风险来源。****一是新技术的应用及新业务的发展。IPv6、云计算、大数据、人工智能等技术的蓬勃发展在助力证券期货业信息技术发展和业务转型、数字化建设加速前行的同时,带来许多新的安全风险。各机构如果缺乏对信息技术安全能力建设的整体考虑和全面布局,难以快速、有效应对突发或新型未知的网络安全风险,最终可能导致各类安全和不合规事件的发生。二是身份验证信息泄露风险。证券期货业机构普遍使用一次性支付、生物识别、密码等身份认证工具进行身份验证,这些信息往往可以被复制,一旦被黑客窃取,将造成资金损失等不良后果。三是安全能力有效性验证存在认知盲区。当前信息技术安全能力建设主要以“合规建设”为驱动力,风险评估、渗透测试、等保测评等安全性测评不等于安全能力有效性验证,无法评估机构的整体安全能力。证券期货业虽发布了各类安全规范和安全指南,但缺乏安全能力成熟度相关标准,行业机构无法对照评估、清晰认识自身的安全能力水平。四是安全能力建设投入不合理。受缺乏安全能力建设全局统筹、设备银弹论、合规银弹论等的影响,机构往往会出现被保护资产价值不高、防护成本很高的投入“过剩”现象,或者防护成本不足、网络一攻就破、恢复成本很高的投入“不足”现象。五是安全能力建设受人员能力限制。信息技术安全能力建设项目的规划和实施,往往受到“知识经验”和“人员能力”的限制。安全策略的配置大多依赖人员的知识、技能和经验,人员能力的不足极易导致安全策略配置不精细、安全风险管控不全面问题的发生。
**2.安全能力评估模型构建探索。**证券期货业机构在进行信息技术安全能力建设中存在很多困难,其原因主要包括:一是安全工作推进需与业务紧密结合,满足业务需求,行业标准难以统一;二是传统安全往往围绕资产展开,安全措施和资产一一关联对应是难点;三是为安全目标设计的流程驱动力不足,难以落地。证券期货业信息技术安全能力建设面临的困境和早期的软件开发过程管理类似。软件开发通过CMM的方法解决了软件开发过程管理的问题,逐步帮助软件行业突破了质量瓶颈。课题研究组决定借鉴软件开发行业的成功经验,基于CMM思想建立一套立足于证券期货业信息技术安全能力建设全过程的高弹性、可扩展、可度量的安全模型。
在研究国内外标准现状后,课题组发现现有的安全能力评估方式大致可归类为安全审计、风险分析、系统安全工程能力成熟度模型和安全测评这四类,主要从信息系统安全技术、管理、人员等某个角度出发,侧重于评估信息系统安全某一方面的水平,评估过程主要依靠评估者个人技术水平和对信息系统的了解程度,评估内容缺乏统一的量化标准,同时也存在部分评估指标难以量化的情况。
**3.证券期货业网络安全能力成熟度模型。**基于对目前现有安全评估方式的综合分析,课题组研究和构建了证券期货业网络安全能力成熟度(SFCS-CMM)模型,以解决证券期货业信息技术安全能力评估工作面临的问题。
SFCS-CMM模型基于CMM的质量控制思想,并参考WPDRRC、ATT&CK、自适应安全框架ASA进行构建,通过与业务侧解耦合、接口化设计,使能力单元与流程的扩展和删除更加便利。该模型可覆盖从IT信息化起步的初级机构到IT系统庞杂的头部机构,从传统的风险评估、漏洞管理、入侵检测、安全运维到新兴的攻击反制技术、CMDB、BAS、零信任,乃至当前较为庞杂难以落地的如“安全数据中台”的设计支撑都可以在模型找到对应(如图所示)。
图 证券期货业信息技术安全能力
成熟度模型关键活动测评指标
该模型的主要部件由4种能力、3个中心、39个能力单元构成,覆盖证券期货业真实安全运营场景下安全能力建设各项安全工作。其中,4种基本能力如下。
一是攻击预防能力(A),深入了解组织对漏洞、威胁的管理及处理能力,包括人员的配备、职责的明确、获取最新漏洞和威胁的渠道、漏洞和威胁评估策略的建设、配套技术手段和工具平台的采用情况,并评估组织在此方面的能力成熟度。
二是防御加固能力(C),深入了解组织在安全加固方面的能力,包括账户及权限管理、安全配置、网络隔离、加密、数据备份、认证管理、安全域、基线管理、日志管理、软件更新管理及安全加固产品的使用情况,并评估组织在此方面的能力成熟度。
三是事件检测能力(D),深入了解组织在事件检测方面的能力,包括网络/应用/端点入侵检测、病毒和恶意软件检测、异常流量检测等能力,以及配套的技术手段和工具使用情况,并评估组织在此方面的能力成熟度。
四是事件响应能力(R),深入了解组织在事件响应处理方面的能力,包括网络/应用/端点入侵响应处理、病毒和恶意软件处理、异常流量处理等能力,以及配套的技术手段和工具使用情况,并评估组织在此方面的能力成熟度。
3个中心分别为反制能力中心(B)、关联分析能力中心(L)和安全运营能力中心(O),作为处理中枢负责联通4种基本能力模块以及其他能力中心,每一个能力中心所提供的能力都依赖于4个基本能力模块,根据4个基本能力模块提供的输入进行决策和输出。每一项基本能力模块都作为基石为能力中心提供数据输入,同时基本能力模块所提供的能力单元也可以作为一项独立的工作进行。
39个能力单元是组成能力中心和基本能力模块的“砖块”,每一个能力单元都是一项由虚拟团队执行的完整的岗位工作。能力单元定义了标准的输入和输出,因与业务进行了解耦处理,支持灵活扩展,支持管理和定义单元内的人员、流程、技术及工具。
课题研究价值
**1.为行业构建先导性的标准化模型。**课题组研究制定的证券期货业信息技术安全能力成熟度模型,结合了行业机构的业务特点,建立了系统化的安全评估理论和方法,为证券期货业安全能力建设和评估提供了统一的标准化模型。
**2.为机构提供便利的自我评价工具。**证券期货业信息技术安全能力成熟度模型为行业机构提供了一个便利的自我评价工具,帮助行业机构清晰定位自身信息技术安全能力建设水平,同时发现存在的问题并识别改进方向。
**3.为产学研搭建透明的信息窗口。**证券期货业信息技术安全能力成熟度模型的制定并不是一蹴而就的,后续需要结合业界的反馈和建议,不断完善评估因素、评估指标、权重和评估问卷等。这个过程不仅能助力监管机构了解证券期货业的最佳实践,也能帮助SFCS-CMM模型应用机构与安全服务商建立透明的信息窗口,促进产学研结合。
课题组成员:郑州商品交易所(刘相富、王伟喜、王孝伟、王世福、张倜),中信建投证券(张建军、朱成、李宜为),国金证券(刘宏、马晓鹏、黄施宇),长亭科技(翟耐栋、崔歆卓)
(此文刊发于《金融电子化》2024年4月下半月刊)
