一、新规出台的背景
2023年10月23日,中国证监会颁布了《证券期货业信息安全运营管理》,而在此之前,中国证监会也于2023年2月27日正式发布了218号令《证券期货业网络和信息安全管理办法》(以下简称《办法》), 并已于2023年5月1日起正式实施。《办法》的主要内容包括网络和信息安全运行、投资者个人信息保护、网络和信息安全应急处置以及关键信息基础设施安全保护等,旨在落实《网络安全法》、《数据安全法》、《个人信息保护法》、《关键信息基础设施安全保护条例》等相关法律法规要求,并为证券期货业网络和信息安全管理提供了契合行业特性的高阶指导、具体要求以及量化标准。
当前证券期货行业信息安全工作面临的主要问题:
1. 重建设,轻运维
a. 部署了一系列的安全设备及系统,但安全事件仍时有发生
b. 安全系统产生很多的告警,单圈安全人员无法逐一处理,疲于应对
c. 安全管控措施缺失,未全面开展安全管理工作
d. 未有效开展安全评估及量度工作,不清楚自身安全能力成熟度
2. 资源投入与面临的威胁不对等
人力、物力、财力资源的投入有限,与所面临的安全威胁不对等,提高安全运营的效率就显得尤为重要
3. 安全仅满足合规要求
部分机构主要工作是围绕“等保”“关基”等进行安全管控,无法全面衡量安全能力及有效性
在《证券期货业信息安全运营管理指南》发布之前,证券期货机构在开展信息安全运营管理方面普遍缺少规范性指导文件,部分机构在信息安全运营方面存在管理不到位的情况,并导致信息安全事件发生。因此有必要制订一个标准来指导行业提升安全运营能力,规范行业的信息安全运营管理。《证券期货业信息安全运营管理指南》》制订的目的就是建立一个可供证券期货机构参考的安全运营管理指引,解决各机构在进行了一定程度安全建设后必须面临的安全运营管理问题,让行业安全能力和水平在一定程度上实现螺旋提升。
二、《证券期货业信息安全运营管理指南》的适用对象
《证券期货业信息安全运营管理指南》适用于以下对象:
1. 证券期货行业在境内建设、运营、维护、使用网络及信息系统的核心机构和经营机构。
核心机构包括:证券期货交易场所,证券登记结算机构等承担证券期货市场公共职能、承担证券期货业信息技术公共基础设施运营的证券期货市场核心机构及其承担上述相关职能的下属机构。经营机构:证券公司、期货公司和基金管理公司等证券期货经营机构。
2.为证券期货业务活动提供产品或者服务的网络和信息安全保障的信息技术系统服务机构;包括:为证券期货业务活动提供重要信息系统的开发、测试、集成、测评、运维及日常安全管理等产品或者服务的机构。以及为证券期货业务活动提供网络和信息安全的监督管理的信息技术系统服务机构。
三、新规落地的关注点
可重点围绕以下要点,并结合本企业具体情况落地安全改善和最佳实践,以提升本机构的安全保障水平。图中为《指南》重点与对应的解决方案,可供参考。
1.安全管理
Ø 统筹考虑组织的战略和安全目标,评估当前安全资源投入产出相适应。使用管理工具,如战略地图等,来实现安全管理目标。
Ø 建立信息安全管理和技术培训体系;根据培训对象,制定有针对性的培训。
Ø 建立安全知识管理平台,并于安全运营流程相结合。安全知识管理平台应包括:安全漏洞库、工具库、情报库等;多人协同,支持与现有系统对接。
2. 基础安全管理
在未体系化完成安全建设的情况下,可以首先确保基础安全管理得到有效落实。
Ø 加强对系统及数据库账号的管理(账号和权限的回收),细化授权及相关的策略,并进行异常监控预警和日志审计。
Ø 定期备份,动态调整策略;默认开启黑名单策略,再配置白名单。
Ø 部署IDS/HIDS,EDR;敏感数据传输加密。
Ø 做好软件和系统功能补丁管理。
3. 信息资产管理
Ø 需要主动发现内网和互联网中的API资产,经统计75%以上的数据泄露事件是API的漏洞缺陷被利用而导致的。
Ø 对信息资产,特别是重要API等资产,要进行监测。并在全生命周期中进行管理,避免失活API,僵尸API等问题;同时对API资产导致的数据暴漏面进行梳理,识别API存在的风险,如:接口未鉴权,数据未脱敏等情况。并对重要及敏感数据进行监测,识别数据安全和合规风险。
Ø 资产的风险情况应该持续的监测,关注系统漏洞弱点,敏感数据泄露,弱口令等方面。对于0day漏洞可以考虑使用RASP等方式进行热修复,避免暴露该业务漏洞风险。
Ø 企业应该建立漏洞全生命周期管理系统。
Ø 信息资产管理是安全运营的主要基础工作,需要使用基于生命周期的方法,对信息资产进行收集,更新和维护。并建议信息资产用统一的管理系统进行集中管理,并于其他系统互通,保持更新同步,便于使用。
4. 漏洞管理
Ø 应通过多种方式及时的发现系统中存在的漏洞,如:使用自动化工具(如:源代码审计工具等),安全众测,渗透测试,漏洞检测服务等;接受漏洞通报机构获取漏洞信息。
Ø 通过企业漏洞管理平台确认漏洞修复情况,使用漏洞检测工具进行漏洞复测。
5. 开发安全管理
Ø 建议在应用开发环节引入安全过程,让安全左移,以最小成本降低安全漏洞风险。建立安全需求分析库,这是安全需求分析的的标准化工具,也是重要的安全控制点。同时在安全开发变更时也需要建立变更内容的安全需求分析。实现外部供应链安全管理,如:实现对开源组件及第三方组件进行安全分析等。
Ø 需要对安全架构进行评审,除了需要考虑第三方组件安全和合规,还应该考虑最小攻击面,关闭不必要的对外开放接口和服务。确保初始化安全中没有不安全配置和账户信息,应最小化权限,使用安全的加密算法,尽量使用前后端分离、松耦合的开发原则,处理好失败安全可能导致的提权及信息泄露问题。
Ø 应建立企业的安全开发规范,并需要进行阶段性审计复核。需要有覆盖企业相关的开发语言的安全规范和手册;为了配合规范的实施,需要定期和持续的对开发人员进行培训。特别是自主研发的软件应采取防反编译、防篡改、防调试、防注入等安全措施,比如采用环境检测、安全编译选项、混淆、加密、隐藏、加壳、签名等技术。以移动安全为例:需要进行移动安全的检测和加固。明确要求建立软件成分分析系统(SCA)对软件成分进行识别、分析和追踪,确保软件成分,特别是第三方组件的安全和合规性。据统计,目前企业开发的应用中70%以上的代码量是第三方组件构成的,而导致应用缺陷,第三组件占比为18.6%,并在逐年升高。
Ø 系统在开发过程、集成阶段,以及上线前都应该进行白盒测试,并且要通过自动化方式实现,基于目前白盒测试误报较多的情况,可以使用同类异构检测工具实现交叉验证;也还要使用人工进行双重验证。对识别问题,宜在缺陷修复后进行复测,验证代码安全及安全需求均被实现。鼓励在开发阶段,由开发人员使用IDE插件或调用代码检测工具提早发现代码编写中的缺陷问题。
Ø 系统上线前建议进行灰盒测试,在本《证券期货业信息安全运营管理指南》中没有提及,灰盒测试使用动态检测方式发现静态检测不能发现的代码级缺陷问题,是对白盒和黑盒测试的有益补充。
Ø 安全架构评审重点关注系统整体架构的交互目的和方式,以及业务需要部署的区域及相关的安全边界/安全域。此外还需要关注:1.身份认证和权限管理 2.重要数据及敏感数据传输和存储3.API接口调用身份认证及权限控制 4.记录安全日志及日志审计 5.使用经过检测确认安全合规的第三方组件。6.设置全局性的程序异常处理机制。
Ø 企业应该构建安全开发规范,适当的时候可以通过咨询服务的方式,结合行业成熟实践并结合企业自身情况,为快速落地安全开发能力提供指引。并建立应用开发安全规范等体系制度规范。
Ø 进一步强调安全检测能力的左移(前移到开发和集成阶段)。上线前要完成安全卡点测试。
6. 数据安全管理
Ø 数据分类分级作为数据安全的基础性工作,在《证券期货业信息安全运营管理指南》中进一步强调应按照行标JR/T 0158进行分析工作,尽早完成分级工作以便于后续针对不同分类和分析的数据,进行有的放矢的安全管控。建议分类分级操作过程:梳理业务,业务细分,数据归类细分,分类后的数据定级。
Ø 应确保在数据采集过程中,数据的安全性没有被破坏;数据采集合法合规。特别是对个人信息的采集。移动应用,如移动APP,小程序等作为个人信息收集的重要渠道,公安部,网信办,工信部,及行业监管机构根据《个人信息保护法》和相关规范等进行强监管,企业移动应用应请专业机构主动进行个人隐私合规检测(包含移动应用中使用的第三方SDK),避免应用APP被监管机构通报整改及下架。
Ø 在数据交换过程中,需要对数据流动过程进行监测,特别是提供互联网访问的业务场景。关注数据暴露面风险,比如关注OWASP top 10的缺陷等,针对业务API接口进行监测,识别API业务资产风险,如僵尸API,失活API,异常行为API等,以及接口未鉴权,未脱敏等缺陷及不合规问题。本《证券期货业信息安全运营管理指南》中未具体说明最佳实践,但在多数企业数据泄露问题,主要是数据接口API缺陷被利用所导致。
Ø 本《证券期货业信息安全运营管理指南》以及《中国人民银行业务领域数据安全管理办法(征求意见稿)》中明确提出了构建和加强数据交换(流动)的监测,识别数据流动安全风险和应急处置等。
7. 集中监控与响应管理
Ø 对相关业务系统尽量完整的收集相关的日志,并对日志进行格式化,便于集中分析和预警。可以使用规则+AI的技术手段多维度实现预警,减少漏报和误报。
Ø 日志采集应涵盖重要业务系统,可使用大数据技术进行数据分析。集中个监控应考虑:日志的格式化,丰富相关资产信息(CMDB),多途径告警方式,构建标准的SOP,定期整体统计分析运营报告,复盘相关过程等。同时也要关注外部安全事件和情报,及时做好排查和应对措施;构建作业编排和自动化响应(SOAR)提升效率。
8. 持续改进管理
Ø 安全有效性验证包含两个方面,安全运行状态的有效性验证和安全监测和预防能力验证。前者侧重于对流程和系统的状态进行有效性验证,后者是对安全监测和防御能力做有效性验证,通过模拟攻击的方式发现安全系统功能、以及内置监测和防御规则是否有效。
二、爱加密可提供服务
爱加密在证券期货业网络与信息安全合规领域有非常丰富的经验。我们的客户涵盖了业内众多的证券期货业核心机构与经营机构,除了移动安全领域,服务领域还涵盖了数据安全、开发安全、安全运营、安全服务等方面。
针对《证券期货业信息安全运营管理指南》对企业在实施层面提供的指引,爱加密可以提供如下的产品和服务:
1. 提供安全开发体系咨询和安全开发平台(SDL)产品
安全开发平台咨询服务:提供企业应用安全开发体系(SDL)的咨询服务。
安全开发平台(SDL)产品:该产品是以安全开发流程、安全基线为准绳,以安全需求与行业标准为驱动,覆盖应用开发各环节、工具统一运行调度的管理系统;平台含安全需求库(600余条),通用功能安全需求库(300余条),业务场景库(200余条),安全编码实践库、安全测试用例库等,并可以集成黑盒、白盒、灰盒工具、第三方组件分析(SCA)、漏洞库工具等,实现统一平台登录灵活使用。
2. 安全开发测试产品
源代码审计:产品用于发现程序中存在的安全漏洞、程序错误(BUG)及代码质量缺陷的技术手段,能够高效的检测出软件源代码中的可能导致严重缺陷漏洞和系统运行异常的代码缺陷,并准确定位告警,从而有效的帮助开发人员消除代码中的缺陷。
开源组件成分分析:多引擎数字供应链安全产品,提供源代码成分分析引擎,二进制成分分析引擎;可以与行里现有开源组件成分分析产品进行交叉验证和互补。
灰盒测试产品(IAST):通过插桩的方式,灰盒测试可以像SAST一样看到源代码,也可以像黑盒测试工具一样看到应用程序运行时的执行流。具备漏洞检出率高,误报率低的优点。可以覆盖95%以上的中高危漏洞。
3. 移动安全产品/服务
移动安全检测平台:全面检测移动应用中存在的安全风险,漏洞,编码缺陷等安全问题,帮助开发者提前避免安全漏洞而导致的安全事故,及时预防风险。
个人隐私合规检测平台:针对移动应用、SDK中出现个人信息的非法收集、滥用、泄露等严重问题,结合相关法律法规和监管要求,为监管机构、测评机构、应用开发企业等推出的合规检测平台。
移动应用加固平台:安全加固平台为开发者提供全面的移动应用安全加固技术,包括Android应用加固、iOS应用加固、游戏应用加固、H5文件加固、微信小程序加固、SDK加固、so文件加固和源对源混淆加固技术,从根本上解决移动应用的安全缺陷和风险,使加固后的移动应用具备防逆向分析、防二次打包、防动态调试、防进程注入、防数据篡改等安全保护能力。
4. 数据安全产品
数据安全API监测平台:基于访问流量智能识别新增的数据外发接口,过滤静态、无效API接口,支持手动合并收敛API接口,统计接口数量、涉敏类型数据、展示接口新增趋势;基于应用与用户交互信息的解析,梳理出应用账户清单;统计、监测活跃用户、僵尸用户数量,展示用户新增趋势。系统内置敏感数据检测策略,对业务访问请求和返回中传输的敏感数据进行智能化识别;结合用户现有分类分级策略实现敏感数据分类分级打标;基于API漏洞特征库,对已识别的API接口进行脆弱性漏洞检测,发现API接口可能存在的漏洞风险,结合行为基线检测异地登录、账号共享等风险,以及对僵尸账号进行监测;基于机器学习、日志模型技术,对行为异常、内容异常、用户异常、协议异常等风进行监测、告警。
数据分类分级产品和服务:产品集成了国家及相关行业分类分级标准,使用AI引擎,并结合已有的行业及专家知识库,自动帮助企业完成数据分类分级。模型调优的分级准确率大于80%,能够较快完成数据分类分级工作。数据分类分级咨询服务将帮企业完善数据安全资产梳理,数据安全评估,数据安全管理体系优化建设及配套标准及管理制度的制定。
5. 安全有效性验证平台
安全有效性验证平台:产品可以“自动化、全覆盖面”的实现安全有效性验证。对于由于企业运维人员能力不足,安全配置管理覆盖不全,安全架构存在缺陷,配置规则不当,漏洞延迟,告警丢失等问题导致的十大常见安全失效点进行验证。涵盖安全防护框架(FW/IPS/WAF/HIDS/EDR/DLP),安全运维框架(SOC/SIEM)。以攻击者视角对已部署给类安全防护开展自动化攻击模拟测试,验证各类防护能力的实际效果。
我们认为:
1、只有通过不断提升企业的安全运营水平才能逐步提升企业的安全防护、响应能力,确保安全能力的持续有效,从而全面降低来自企业外部及内部的安全风险。
2、安全能力的保障是依靠运营机制,而不是单纯依赖某个安全措施和系统,也不依赖于某个员工。
3、目前行业内安全运营的做法和标准不一,需要一个普适的标准来服务于行业。行业中的问题是普遍存在的,而通过此标准解决问题的方法也普遍适用于本行业。
《证券期货业信息安全运营管理指南》给出了信息安全运营管理过程中基础安全、信息资产、漏洞、开发安全、数据安全等方面的管理思路和方法,并给出了各管理域的度量指标以及行业最佳实践。标准的制定实施可有效指导行业机构建立完善的安全运营体系和流程,规范信息安全运营管理过程,推动相关安全措施的有效实施和持续改进。