证券行业大数据安全简述

一、证券行业有哪些敏感信息

根据《证券法》、《证券公司信息隔离墙制度指引》的相关规定，非公开交易数据、上市公司未公开披露的重大事项等都属于证券行业内机密级、秘密级资料。无论是从我国资本市场稳定角度还是企业商业机密保护角度，上述信息都是极为重要的敏感信息。
同时对于高度依赖各类信息系统的证券行业来说，交易、通信等系统的源代码及交易指令更是我国资本市场的繁荣与稳定的必要条件，其中传输的数据也牵涉到我国亿万证券投资者的切身利益，对于我国市场经济的发展至关重要。

二、现有防护机制存在的问题

对整个证券行业来说，现有的信息保护体系对于保证企业信息机密的安全确实起到了一定的作用，但是随着大数据环境的到来，原有的安全保障体系更多侧重于基础软硬件的防护以及防范互联网入侵的威胁，在敏感信息和数据的防护上，缺少对来自企业内部的有效防护。
据IDC调查报告显示，超过85%的网络安全威胁来自于企业内部，其危害程度远远超过黑客攻击所造成的损失，而这些威胁绝大部分是企业内部各种非法和违规的操作行为所造成的。现有保护机制主要有下面几个方面的问题：

2.1 未将数据信息分类分级

尽管行业内很多企业制定了业务数据管理制度，业务数据从生产到使用需经过多道严格的审批，但这仅仅是从业务数据访问控制的角度出发。对于敏感信息而言也不单单是指业务数据，从企业内产生的各类数据都可能是敏感数据，多数业内企业没有明确的、统一的数据管理部门或数据管理部门未考虑数据分类、分级以及其他数据安全生命周期管理，使得数据安全防护技术方案无法有效落地，造成防护缺失。

2.2敏感信息分散存储

目前绝大多数的信息是以电子形式存储和传输，在现有的管理体系下，员工通常使用个人办公电脑中进行系统开发或业务数据整理工作，仅将最终数据报送相关部门或机构。而各种敏感数据、报表、模块源代码等依旧保存在员工的个人办公电脑中。那些分散在已经过业务数据管理体系下授权员工办公电脑内的业务敏感数据往往成为最大的风险之一。由于未进行统一管理，无论是个人电脑的意外损坏所带来的信息资料丢失，还是电脑被入侵和盗用所带来的敏感信息泄露，都成为了信息安全的重要风险。

2.3敏感信息加密技术不成熟

基于传统的文件存储形式，电子文件除了无法进行集中管理外，由于缺少文件加密手段和意识，敏感信息极有可能在不知不觉间已发生泄露。此外，非公开交易数据、上市公司未公开披露的重大事项也可通过便携移动设备流出，成为证券行业面临的重大挑战之一。
随着社会对敏感信息保护的重视度不断上升，应用电子签名技术和文件加密技术的软件产品也越来越普遍，但就加密软件本身，对整个计算机环境的加密并不能区分个人文件与需要加密的文件，加之出差需要遭遇频繁解密的情况，使得加密技术在推广过程中遭受巨大的阻力。因此加密技术至今仍未被行业内大多数企业所采用。

2.4 缺乏独立的工作环境

由于敏感信息的分析或信息系统的开发高度依赖于个人办公电脑，无论是在日常工作中安装专业软件，或是因为对外业务沟通和查找资料需要接入互联网，计算机环境都可能因为木马病毒侵害或是安装了未经验证的应用软件从而产生安全风险，轻则对工作环境产生破坏，费时费力，严重时则可能泄露企业敏感信息。传统的信息安全管理手段，未能将工作环境与个人环境进行区分，当员工的个性化需求与信息安全的管理要求相冲突时，往往难以有效兼顾，信息安全往往让步于业务需要，成为重要的风险之一。

2.5人员安全意识和敏感信息权限管理

证券从业人员信息安全主观重视度不够是证券行业普遍存在的问题，诸如办公电脑、业务系统等设置弱密码、敏感信息随意共享等属于长久以来的工作习惯，通过现有的安全保障体系，仅进行几次信息安全培训，往往很难起到效果。
在数据权限设置方面，由于各个信息系统的权限分配机制不同，所涉及的敏感信息也有所不同，权限管理规则的制订和日常运维需要随着系统的不同进行调整，否则很容易产生疏漏，带来敏感信息泄露的风险。
在早期的信息系统建设过程中，由于没有充分认识到权限管理的重要性，往往会造成权限划分粒度较粗的情况，而在系统遇到权限不足的故障时，相关维护人员解决问题时往往图方便直接赋予其最高权限，也违背了最小化权限的信息安全原则，极易造成越权查看。

三、敏感信息保护行业实践案例

目前已有部分业内企业在敏感信息保护方面走到了行业前列，主要通过管理和技术两个方面对敏感信息加以保护。

3.1 管理方面

1）企业高层意识到信息泄露对企业的危害，充分支持信息安全建设，为敏感信息保护建设提供坚实有力的保障。

2）定期组织员工信息安全意识培训，提高敏感信息保护的观念。

3）确立企业数据主管部门，明确了由数据主管部门牵头开展信息分类分级、梳理敏感数据，各业务条线部门积极配合落实，技术部门配合防护技术落地的工作方针。

3.2技术方面

1）通过以桌面云技术作为敏感信息防护的一部分，实现工作环境与个人环境的隔离。在远程场景下，仅需通过虚拟专网(VPN)接入，就可通过桌面云打开工作环境，保证工作连续性。同时工作数据也整体保留在了企业数据中心内。

2）通过加密软件对工作环境进行整体加密，工作环境内实现自由对信息、数据打开与共享，对于需要离开工作环境带出的敏感信息，由本人进行申请，相关负责人审核通过后授权解密。当出现临时解密需求时，也可以通过发送离线授权文件等方式实现，确保每一次解密过程记录可控。

3）通过数据集中管理系统，可根据所属部门、职务进行数据授权浏览，尽可能的防范敏感信息被非授权越界浏览的风险。

4）配合传统数据防泄漏工具在网络出口处对敏感数据进行有效监测、处置、追溯。

四、后续数据治理关注的点

1、如何界定自身数据分类、分级，应对、落实敏感信息泄露的责任。

2、如何提高员工参与信息安全意识培训，帮助提升员工信息安全意识。

3、如何选取合适的技术，从技术层面保障敏感信息，构建适用于公司的敏感信息防护体系。

证券行业大数据安全简述相关推荐

Pivotal中国研发中心总经理冯雷受邀参加2017金融证券行业大数据高峰论坛
11月17日,由厦门市经济和信息化局主办,新意科技和厦门大学联合承办的<金融证券行业大数据高峰论坛>在美丽的海上花园--厦门顺利举行.Pivotal中国研发中心总经理冯雷受邀参加了会议,和 ...
大数据在金融行业中的应用
近年来,随着大数据.云计算.区块链.人工智能等新技术的快速发展,这些新技术与金融业务深度融合,释放出了金融创新活力和应用潜能,这大大推动了金融业转型升级,助力金融更好地服务实体经济,有效促进了金融业整 ...
微直播报名丨互联网金融、大数据、企业架构、研发四大专题微信群直播【免费】...
Geekbang微信直播[ArchSummit全球架构师峰会2015]的四大专题,免费开放微信直播报名,将会对以下四个专题的部分内容进行精选直播 1 互联网金融证券行业大数据应用探讨(by 曹彬彬 ...
证券行业成功案例：国都证券网上交易容错系统(转)
证券行业成功案例:国都证券网上交易容错系统(转)[@more@] 随着国都证券网上交易系统功能的增加,系统对运行环境的要求也水涨船高,但目前系统的整体性能却不降反升.在这背后,系统容错工程的实施方案几 ...
绩差股成妖妖王一日暴涨900%
2015年游资热衷讲故事个股表现"红""黑"颠倒[云掌股吧资讯] 盘点2015资本市场红与黑·个股篇纵观2015年的A股市场,行情.资金红黑转换即在一念之间 ...
大数据技术在金融行业中的应用
1. 概述近年来,随着大数据.云计算.区块链.人工智能等新技术的快速发展,这些新技术与金融业务深度融合,释放出了金融创新活力和应用潜能,这大大推动了我国金融业转型升级,助力金融更好地服务实体经济,有 ...
数字经济时代的智能化大数据治理
转载本文需注明出处:微信公众号EAWorld,违者必究. 当今,数字化转型正在各行业快速发展,以数据.流量.知识为主的的数字经济时代到来,数据在其中的重要性不言而喻. 在企业内部,数据团队正逐渐变成一 ...
ArchSummit深圳2015大会幻灯片开放下载，明星讲师新鲜出炉
七月从来就不是个寂寞的季节,大梅沙的七月尤其如此.经不起台风.暴雨.雷电等恶劣天气的洗礼.幸而有一大批渴望学习交流的技术人员汇聚于此,还大梅沙一个艳阳天.为期两天的ArchSummit深圳2015大会 ...
2022-2028年中国工业大数据行业深度调研及投资前景预测报告
[报告类型]产业研究 [出版时间]即时更新(交付时间约3个工作日) [发布机构]智研瞻产业研究院 [报告格式]PDF版本报告介绍了工业大数据行业相关概述.中国工业大数据行业运行环境.分析了中国工业大 ...

证券行业大数据安全简述

证券行业大数据安全简述相关推荐

最新文章

热门文章