7月12日,證監(jiān)會(huì)針對招商證券在5月16日出現(xiàn)的信息安全事件,對公司及三位信息技術(shù)方面責(zé)任人分別出具警示函。
證監(jiān)會(huì)在罰單中指出,招商證券在前述信息安全事件中,存在系統(tǒng)設(shè)計(jì)與升級變更未經(jīng)充分論證和測試,升級回退方案不完備等問題,反映出公司內(nèi)部管理存在漏洞、權(quán)責(zé)分配機(jī)制不完善,并且協(xié)管信息技術(shù)工作的公司總裁助理兼首席數(shù)字官、金融科技中心總監(jiān)和金融科技中心核心交易開發(fā)部總經(jīng)理對相關(guān)問題負(fù)有責(zé)任。證監(jiān)會(huì)認(rèn)為,上述行為違反了《證券期貨業(yè)信息安全保障管理辦法》《證券基金經(jīng)營機(jī)構(gòu)信息技術(shù)管理辦法》《證券公司內(nèi)部控制指引》等多項(xiàng)規(guī)定。
這是證券行業(yè)首張針對出現(xiàn)信息安全的機(jī)構(gòu)和相關(guān)負(fù)責(zé)人的“雙罰”罰單。
5月16日當(dāng)天,不少投資者在社交媒體平臺(tái)反映招商證券App出現(xiàn)登錄異?,F(xiàn)象。很快,招商證券公開回應(yīng),確認(rèn)了“部分客戶登錄出現(xiàn)異常”的事實(shí),并表示系統(tǒng)已恢復(fù)正常,“深感抱歉”。
這是招商證券在3個(gè)月內(nèi)第二次出現(xiàn)信息安全問題了。3月14日,招商證券交易系統(tǒng)就曾出現(xiàn)故障,導(dǎo)致一些用戶無法完成交易的成交,也無法撤回交易等問題,因此而被炒上熱搜。更早之前的2020年7月,招商證券就曾出現(xiàn)宕機(jī)至少15分鐘的系統(tǒng)故障。
在4月2日責(zé)令招商證券改正的文件中,深圳證監(jiān)局明確表示招商證券存在變更管理不完善,應(yīng)急處置不及時(shí)、不到位等問題,要求對相關(guān)責(zé)任人員進(jìn)行內(nèi)部責(zé)任追究,并在3個(gè)完成整改和上報(bào)。但沒想到,就在整改期內(nèi),招商證券App再次亮起紅燈。
事實(shí)上,券商信息系統(tǒng)故障已經(jīng)不是新鮮事兒了。3月15日和5月16日,國信證券旗下交易系統(tǒng)和華西證券App,也都曾出現(xiàn)故障。此外,近兩年,首創(chuàng)證券、同花順、華林證券等證券期貨經(jīng)營機(jī)構(gòu)都因?yàn)榘l(fā)生交易系統(tǒng)故障等事件被監(jiān)管機(jī)構(gòu)采取監(jiān)管措施。
為何券商信息安全問題頻發(fā)?
行業(yè)不同,業(yè)務(wù)邏輯不同。券商機(jī)構(gòu)信息安全問題層出不窮,與金融行業(yè)復(fù)雜的業(yè)務(wù)特性不無關(guān)系。金融以用戶的財(cái)產(chǎn)為服務(wù)對象,因此服務(wù)內(nèi)容敏感、服務(wù)需求高頻、容錯(cuò)率低,一旦出現(xiàn)問題,就會(huì)造成嚴(yán)重的社會(huì)影響。而近年來,隨著數(shù)字化進(jìn)程的深化,金融服務(wù)場景向線上遷移,線上與線下打通成為大勢所趨,金融機(jī)構(gòu)的業(yè)務(wù)復(fù)雜度由此進(jìn)一步增加。
在接受《中國基金報(bào)》采訪時(shí),熟悉證券數(shù)字化建設(shè)的業(yè)內(nèi)人士將券商交易系統(tǒng)接連出現(xiàn)故障的原因總結(jié)為三點(diǎn):
1.券商業(yè)務(wù)復(fù)雜,但是技術(shù)架構(gòu)相對陳舊。
近二十年資本市場發(fā)展迅猛,業(yè)務(wù)復(fù)雜度日益增加,而券商交易系統(tǒng)多為十年前架構(gòu),耦合度高,無論是券商還是供應(yīng)商因風(fēng)險(xiǎn)原因也不太傾向于對核心交易系統(tǒng)做大的調(diào)整;
2.測試覆蓋面不夠。
證券交易系統(tǒng)依賴非常多,如銀行,交易所,基金公司等,加上測試環(huán)境和生產(chǎn)環(huán)境不能保持高度一致,導(dǎo)致測試不能完全反映真實(shí)情況;
3.應(yīng)急演練未經(jīng)過真實(shí)情況驗(yàn)證。
日常演練都是非交易時(shí)間,實(shí)際發(fā)生故障時(shí)情況要比演練的時(shí)候復(fù)雜很多,應(yīng)急切換失敗會(huì)導(dǎo)致事故的發(fā)生。
另外一位券商信息技術(shù)部人士也指出,一些券商交易系統(tǒng)大多為10多年前研發(fā)的產(chǎn)品,架構(gòu)耦合度很高;且經(jīng)過多年的業(yè)務(wù)擴(kuò)容和改造,系統(tǒng)留下的隱患比較多。交易系統(tǒng)更新?lián)Q代過程,就像給高速飛馳的火車換輪子,屬于高危險(xiǎn)性工作。此外,券商機(jī)構(gòu)交易系統(tǒng)的自主研發(fā)程度低,產(chǎn)品基本都由少數(shù)幾家技術(shù)供應(yīng)商等提供支持。
上述說法不無道理。在4月8日招商證券舉行的2021年業(yè)績發(fā)布會(huì)上,招商證券承認(rèn),“3月14號(hào)的系統(tǒng)故障,主要還是我們的成交回報(bào)系統(tǒng)比較緩慢。出故障這個(gè)系統(tǒng)也是20年前的老的交易系統(tǒng)。”
除了交易系統(tǒng)技術(shù)層面的原因,人的原因更加不容忽視。針對近一年來證券基金機(jī)構(gòu)信息安全事件頻發(fā),在5月19日下發(fā)的2022年第5期《機(jī)構(gòu)監(jiān)管情況通報(bào)》中,證監(jiān)會(huì)指出了五個(gè)主要原因:
針對上述問題,證監(jiān)會(huì)還要求證券基金經(jīng)營機(jī)構(gòu)從五個(gè)方向加強(qiáng)信息系統(tǒng)安全建設(shè),維護(hù)好投資者合法權(quán)益——提升系統(tǒng)運(yùn)維保障能力;強(qiáng)化合規(guī)管理,升級改造系統(tǒng);定期評估系統(tǒng),及時(shí)消除風(fēng)險(xiǎn)隱患;加強(qiáng)客戶信息保護(hù);加強(qiáng)系統(tǒng)容量管理與災(zāi)備能力建設(shè),提升應(yīng)急處突能力。
數(shù)字化浪潮席卷各行各業(yè),金融證券業(yè)也紛紛啟動(dòng)數(shù)字化轉(zhuǎn)型。證券業(yè)協(xié)會(huì)2020年調(diào)研顯示,92%的證券公司在2020年增加了數(shù)字化轉(zhuǎn)型方面的投入。不過,從近2年來不斷出現(xiàn)的券商信息安全事件看,券商業(yè)的數(shù)字化轉(zhuǎn)型,整體情況似乎并不及預(yù)期。
當(dāng)然,在眾多券商中,也不乏成功者,比如東吳證券。這家連續(xù)五年獲得A類A級券商評級的券商機(jī)構(gòu),已經(jīng)在數(shù)字化轉(zhuǎn)型,尤其是金融可信安全運(yùn)維系統(tǒng)建設(shè)方面,走出了一條可行性道路。
券商信息安全運(yùn)維樣本
東吳證券成立于1993年,前身為蘇州證券公司,于2011年12月在上海證券交易所上市,是國內(nèi)第18家上市券商。經(jīng)過20多年的發(fā)展,東吳證券已擁有18家分公司及近140個(gè)證券營業(yè)網(wǎng)點(diǎn)。
但隨著業(yè)務(wù)的持續(xù)擴(kuò)大,東吳證券面臨的信息化挑戰(zhàn):
首先是業(yè)務(wù)壓力。經(jīng)過資本市場多年的發(fā)展,證券交易量激增。在持續(xù)的業(yè)務(wù)壓力面前,如何保持信息系統(tǒng)的穩(wěn)定、可靠、高可用,是包括東吳證券在內(nèi)的券商面臨的首要數(shù)字化課題。
其次是運(yùn)維壓力。彼時(shí),東吳證券所使用的基礎(chǔ)運(yùn)維架構(gòu)隨著設(shè)備的增加變得越來越復(fù)雜,數(shù)據(jù)形態(tài)各異且分散,難以有效整合利用,運(yùn)維難度也越來越高。
第三是安全壓力。當(dāng)時(shí)的東吳證券,已有數(shù)據(jù)中心各類服務(wù)器(包括實(shí)體機(jī)云主機(jī))超過2500臺(tái),還在持續(xù)擴(kuò)張之中。主機(jī)雖然已配備病毒查殺、漏洞修復(fù)等安全防護(hù)措施,但無法滿足未來安全形勢發(fā)展的要求,尤其是金融行業(yè)對業(yè)務(wù)連續(xù)性、數(shù)據(jù)安全的要求。
與此同時(shí),在未知威脅層出不窮,APT、0day攻擊難以防范等背景下,東吳證券的服務(wù)器數(shù)據(jù)存儲(chǔ)面臨數(shù)據(jù)庫注入攻擊、文件管理混亂、行為記錄缺損等風(fēng)險(xiǎn)。一旦發(fā)生數(shù)據(jù)泄露,將給企業(yè)和民眾造成無法估量的損失。
在這樣的訴求下,東吳證券與北京八分量信息科技有限公司(以下簡稱“八分量”)合作。雙方以可靠、可用、可維護(hù)、安全為目標(biāo),攜手對信息系統(tǒng)進(jìn)行升級改造。
結(jié)合東吳證券已有的信息系統(tǒng),八分量主要承擔(dān)程序安全和數(shù)據(jù)安全兩個(gè)核心模塊的建設(shè)。
程序安全由可信防護(hù)實(shí)現(xiàn)。八分量采用大數(shù)據(jù)、可信計(jì)算等技術(shù),幫助東吳證券信息系統(tǒng)實(shí)現(xiàn)了集中監(jiān)控、一體化運(yùn)維、全鏈路業(yè)務(wù)性能分析、可信安全防護(hù)、運(yùn)維數(shù)據(jù)分析、事件中心等核心功能。東吳證券的系統(tǒng)運(yùn)維效率和能力,由此得到大幅度提升,對業(yè)務(wù)形成了持續(xù)有力的支撐。
數(shù)據(jù)安全則主要借助區(qū)塊鏈技術(shù)實(shí)現(xiàn)。八分量借助區(qū)塊鏈防篡改服務(wù),系統(tǒng)能夠立即發(fā)現(xiàn)文件異常變更,并且立即恢復(fù)并嘗試事件,有效地保障業(yè)務(wù)系統(tǒng)運(yùn)行;同時(shí),防篡改服務(wù)的存在也是對運(yùn)維人員可靠運(yùn)維的監(jiān)督,也減少了運(yùn)維人員的誤操作。
整個(gè)項(xiàng)目主要有三個(gè)創(chuàng)新亮點(diǎn)。
1 基于可信計(jì)算的白名單安全方案
通過可信技術(shù)來保證運(yùn)維的每一個(gè)步驟都產(chǎn)生可信結(jié)果,從而自動(dòng)化地生成白名單,控制威脅源頭;同時(shí),把白名單嵌入?yún)^(qū)塊鏈中,保障所有審計(jì)信息、關(guān)鍵數(shù)據(jù)不被篡改。這樣就滿足了《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求》(簡稱《等保2.0》)。
2 優(yōu)化區(qū)塊鏈現(xiàn)有主流拜占庭共識(shí)算法
改善當(dāng)前區(qū)塊鏈需要窮舉半數(shù)以上節(jié)點(diǎn)投票共識(shí),才能完成交易的高運(yùn)算特性,從而大幅度減少區(qū)塊鏈節(jié)點(diǎn)信息的共識(shí)計(jì)算成本,加快區(qū)塊鏈上數(shù)據(jù)的同步速度。
3 平臺(tái)從用戶體驗(yàn)出發(fā)
提供IT服務(wù)對業(yè)務(wù)的支持效果監(jiān)測,提高業(yè)務(wù)系統(tǒng)服務(wù)質(zhì)量和精細(xì)化管理的能力。
經(jīng)過以上技術(shù)創(chuàng)新和方案實(shí)施,項(xiàng)目建成了以傳統(tǒng)黑名單防御與動(dòng)態(tài)可信白名單持續(xù)免疫相結(jié)合的,硬件、系統(tǒng)、數(shù)據(jù)、引用、網(wǎng)絡(luò)等全部可信的新一代零信任、全程安全可視的信息安全防御體系。
有了這套信息安全防御體系,東吳證券的服務(wù)器安全防護(hù)能力、抵御未知攻擊的能力和整體安全架構(gòu)高可用性、安全防護(hù)效率等全都得到了質(zhì)的提升,從而更安全可靠地為證券交易系統(tǒng)用戶的資產(chǎn)安全保駕護(hù)航。
截至2020年10月,平臺(tái)已納管東吳證券近200套系統(tǒng)、2300余臺(tái)設(shè)備,日均處理指標(biāo)數(shù)據(jù)150GB、應(yīng)用日志數(shù)據(jù)150 GB、網(wǎng)絡(luò)報(bào)文2 TB,共產(chǎn)生25000余次事件通知,共發(fā)現(xiàn)200多次可能的安全風(fēng)險(xiǎn);盤中緊急切換預(yù)警18次,攔截非既定程序159次,故障預(yù)判5次。通過該平臺(tái),運(yùn)維人員工作效率和能力得到大幅度提升,每年為公司減少直接經(jīng)濟(jì)損失5000萬元以上,間接創(chuàng)造收入1000萬元以上。
也正是憑借著理念、技術(shù)創(chuàng)新和卓越的實(shí)際效果,東吳證券《RAMS信息系統(tǒng)支撐平臺(tái)》項(xiàng)目已申請3篇專利,獲得3篇軟件著作權(quán),并斬獲多項(xiàng)榮譽(yù)獎(jiǎng)項(xiàng),其中就包括中國人民銀行2020年度金融科技發(fā)展獎(jiǎng)三等獎(jiǎng)。八分量創(chuàng)始人兼CEO阮安邦也被東吳證券聘請為金融科技實(shí)驗(yàn)室專家。
金融業(yè)的本質(zhì)是信任,信任的基礎(chǔ)是信息和數(shù)據(jù)的安全。
雖然金融業(yè)普遍走上了數(shù)字化轉(zhuǎn)型道路,但由于思想觀念、技術(shù)實(shí)力、人才儲(chǔ)備、頂層設(shè)計(jì)等多方面原因,包括券商在內(nèi)的金融機(jī)構(gòu)對信息安全的重視度依然有待提高。平均來看,國內(nèi)金融機(jī)構(gòu)在網(wǎng)絡(luò)安全方面的投入,約占總營收的0.1%,與國外的平均水平0.4%相比,差距明顯。
盡管如此,中國券商金融行業(yè)也不乏像東吳證券這樣重視信息安全系統(tǒng)建設(shè),并積極引入可信計(jì)算、區(qū)塊鏈等技術(shù),迭代優(yōu)化信息安全系統(tǒng)的進(jìn)取型企業(yè)。
我們也有理由相信,在越來越多金融信息安全事件發(fā)生,監(jiān)管機(jī)構(gòu)持續(xù)加強(qiáng)對金融信息安全監(jiān)管之后,券商金融業(yè)對信息安全的重視程度和投入規(guī)模,都將更上一層樓。屆時(shí),也將誕生越來越多企業(yè)像東吳證券這樣在金融信息安全防護(hù)的典型案例,投資者的金融信息安全、資產(chǎn)安全,將得到更進(jìn)一步的加強(qiáng)。
(免責(zé)聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請進(jìn)一步核實(shí),并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯(cuò)誤、不確或遺漏,概不負(fù)任何法律責(zé)任。
任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí),應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。 )