券商信息安全事件頻發(fā),誰來守護投資者資產(chǎn)?

  • 人閱讀
  • 2022-07-29 17:30:20

  • 來源:中華網(wǎng)

  • 相關關鍵詞

7月12日,證監(jiān)會針對招商證券在5月16日出現(xiàn)的信息安全事件,對公司及三位信息技術方面責任人分別出具警示函。

證監(jiān)會在罰單中指出,招商證券在前述信息安全事件中,存在系統(tǒng)設計與升級變更未經(jīng)充分論證和測試,升級回退方案不完備等問題,反映出公司內(nèi)部管理存在漏洞、權責分配機制不完善,并且協(xié)管信息技術工作的公司總裁助理兼首席數(shù)字官、金融科技中心總監(jiān)和金融科技中心核心交易開發(fā)部總經(jīng)理對相關問題負有責任。證監(jiān)會認為,上述行為違反了《證券期貨業(yè)信息安全保障管理辦法》《證券基金經(jīng)營機構信息技術管理辦法》《證券公司內(nèi)部控制指引》等多項規(guī)定。

這是證券行業(yè)首張針對出現(xiàn)信息安全的機構和相關負責人的“雙罰”罰單。

5月16日當天,不少投資者在社交媒體平臺反映招商證券App出現(xiàn)登錄異?,F(xiàn)象。很快,招商證券公開回應,確認了“部分客戶登錄出現(xiàn)異常”的事實,并表示系統(tǒng)已恢復正常,“深感抱歉”。

這是招商證券在3個月內(nèi)第二次出現(xiàn)信息安全問題了。3月14日,招商證券交易系統(tǒng)就曾出現(xiàn)故障,導致一些用戶無法完成交易的成交,也無法撤回交易等問題,因此而被炒上熱搜。更早之前的2020年7月,招商證券就曾出現(xiàn)宕機至少15分鐘的系統(tǒng)故障。

在4月2日責令招商證券改正的文件中,深圳證監(jiān)局明確表示招商證券存在變更管理不完善,應急處置不及時、不到位等問題,要求對相關責任人員進行內(nèi)部責任追究,并在3個完成整改和上報。但沒想到,就在整改期內(nèi),招商證券App再次亮起紅燈。

事實上,券商信息系統(tǒng)故障已經(jīng)不是新鮮事兒了。3月15日和5月16日,國信證券旗下交易系統(tǒng)和華西證券App,也都曾出現(xiàn)故障。此外,近兩年,首創(chuàng)證券、同花順、華林證券等證券期貨經(jīng)營機構都因為發(fā)生交易系統(tǒng)故障等事件被監(jiān)管機構采取監(jiān)管措施。

為何券商信息安全問題頻發(fā)?

行業(yè)不同,業(yè)務邏輯不同。券商機構信息安全問題層出不窮,與金融行業(yè)復雜的業(yè)務特性不無關系。金融以用戶的財產(chǎn)為服務對象,因此服務內(nèi)容敏感、服務需求高頻、容錯率低,一旦出現(xiàn)問題,就會造成嚴重的社會影響。而近年來,隨著數(shù)字化進程的深化,金融服務場景向線上遷移,線上與線下打通成為大勢所趨,金融機構的業(yè)務復雜度由此進一步增加。

在接受《中國基金報》采訪時,熟悉證券數(shù)字化建設的業(yè)內(nèi)人士將券商交易系統(tǒng)接連出現(xiàn)故障的原因總結為三點:

1.券商業(yè)務復雜,但是技術架構相對陳舊。

近二十年資本市場發(fā)展迅猛,業(yè)務復雜度日益增加,而券商交易系統(tǒng)多為十年前架構,耦合度高,無論是券商還是供應商因風險原因也不太傾向于對核心交易系統(tǒng)做大的調(diào)整;

2.測試覆蓋面不夠。

證券交易系統(tǒng)依賴非常多,如銀行,交易所,基金公司等,加上測試環(huán)境和生產(chǎn)環(huán)境不能保持高度一致,導致測試不能完全反映真實情況;

3.應急演練未經(jīng)過真實情況驗證。

日常演練都是非交易時間,實際發(fā)生故障時情況要比演練的時候復雜很多,應急切換失敗會導致事故的發(fā)生。

另外一位券商信息技術部人士也指出,一些券商交易系統(tǒng)大多為10多年前研發(fā)的產(chǎn)品,架構耦合度很高;且經(jīng)過多年的業(yè)務擴容和改造,系統(tǒng)留下的隱患比較多。交易系統(tǒng)更新?lián)Q代過程,就像給高速飛馳的火車換輪子,屬于高危險性工作。此外,券商機構交易系統(tǒng)的自主研發(fā)程度低,產(chǎn)品基本都由少數(shù)幾家技術供應商等提供支持。

上述說法不無道理。在4月8日招商證券舉行的2021年業(yè)績發(fā)布會上,招商證券承認,“3月14號的系統(tǒng)故障,主要還是我們的成交回報系統(tǒng)比較緩慢。出故障這個系統(tǒng)也是20年前的老的交易系統(tǒng)。”

除了交易系統(tǒng)技術層面的原因,人的原因更加不容忽視。針對近一年來證券基金機構信息安全事件頻發(fā),在5月19日下發(fā)的2022年第5期《機構監(jiān)管情況通報》中,證監(jiān)會指出了五個主要原因:

針對上述問題,證監(jiān)會還要求證券基金經(jīng)營機構從五個方向加強信息系統(tǒng)安全建設,維護好投資者合法權益——提升系統(tǒng)運維保障能力;強化合規(guī)管理,升級改造系統(tǒng);定期評估系統(tǒng),及時消除風險隱患;加強客戶信息保護;加強系統(tǒng)容量管理與災備能力建設,提升應急處突能力。

數(shù)字化浪潮席卷各行各業(yè),金融證券業(yè)也紛紛啟動數(shù)字化轉型。證券業(yè)協(xié)會2020年調(diào)研顯示,92%的證券公司在2020年增加了數(shù)字化轉型方面的投入。不過,從近2年來不斷出現(xiàn)的券商信息安全事件看,券商業(yè)的數(shù)字化轉型,整體情況似乎并不及預期。

當然,在眾多券商中,也不乏成功者,比如東吳證券。這家連續(xù)五年獲得A類A級券商評級的券商機構,已經(jīng)在數(shù)字化轉型,尤其是金融可信安全運維系統(tǒng)建設方面,走出了一條可行性道路。

券商信息安全運維樣本

東吳證券成立于1993年,前身為蘇州證券公司,于2011年12月在上海證券交易所上市,是國內(nèi)第18家上市券商。經(jīng)過20多年的發(fā)展,東吳證券已擁有18家分公司及近140個證券營業(yè)網(wǎng)點。

但隨著業(yè)務的持續(xù)擴大,東吳證券面臨的信息化挑戰(zhàn):

首先是業(yè)務壓力。經(jīng)過資本市場多年的發(fā)展,證券交易量激增。在持續(xù)的業(yè)務壓力面前,如何保持信息系統(tǒng)的穩(wěn)定、可靠、高可用,是包括東吳證券在內(nèi)的券商面臨的首要數(shù)字化課題。

其次是運維壓力。彼時,東吳證券所使用的基礎運維架構隨著設備的增加變得越來越復雜,數(shù)據(jù)形態(tài)各異且分散,難以有效整合利用,運維難度也越來越高。

第三是安全壓力。當時的東吳證券,已有數(shù)據(jù)中心各類服務器(包括實體機云主機)超過2500臺,還在持續(xù)擴張之中。主機雖然已配備病毒查殺、漏洞修復等安全防護措施,但無法滿足未來安全形勢發(fā)展的要求,尤其是金融行業(yè)對業(yè)務連續(xù)性、數(shù)據(jù)安全的要求。

與此同時,在未知威脅層出不窮,APT、0day攻擊難以防范等背景下,東吳證券的服務器數(shù)據(jù)存儲面臨數(shù)據(jù)庫注入攻擊、文件管理混亂、行為記錄缺損等風險。一旦發(fā)生數(shù)據(jù)泄露,將給企業(yè)和民眾造成無法估量的損失。

在這樣的訴求下,東吳證券與北京八分量信息科技有限公司(以下簡稱“八分量”)合作。雙方以可靠、可用、可維護、安全為目標,攜手對信息系統(tǒng)進行升級改造。

結合東吳證券已有的信息系統(tǒng),八分量主要承擔程序安全和數(shù)據(jù)安全兩個核心模塊的建設。

程序安全由可信防護實現(xiàn)。八分量采用大數(shù)據(jù)、可信計算等技術,幫助東吳證券信息系統(tǒng)實現(xiàn)了集中監(jiān)控、一體化運維、全鏈路業(yè)務性能分析、可信安全防護、運維數(shù)據(jù)分析、事件中心等核心功能。東吳證券的系統(tǒng)運維效率和能力,由此得到大幅度提升,對業(yè)務形成了持續(xù)有力的支撐。

數(shù)據(jù)安全則主要借助區(qū)塊鏈技術實現(xiàn)。八分量借助區(qū)塊鏈防篡改服務,系統(tǒng)能夠立即發(fā)現(xiàn)文件異常變更,并且立即恢復并嘗試事件,有效地保障業(yè)務系統(tǒng)運行;同時,防篡改服務的存在也是對運維人員可靠運維的監(jiān)督,也減少了運維人員的誤操作。

整個項目主要有三個創(chuàng)新亮點。

1 基于可信計算的白名單安全方案

通過可信技術來保證運維的每一個步驟都產(chǎn)生可信結果,從而自動化地生成白名單,控制威脅源頭;同時,把白名單嵌入?yún)^(qū)塊鏈中,保障所有審計信息、關鍵數(shù)據(jù)不被篡改。這樣就滿足了《信息安全技術網(wǎng)絡安全等級保護基本要求》(簡稱《等保2.0》)。

2 優(yōu)化區(qū)塊鏈現(xiàn)有主流拜占庭共識算法

改善當前區(qū)塊鏈需要窮舉半數(shù)以上節(jié)點投票共識,才能完成交易的高運算特性,從而大幅度減少區(qū)塊鏈節(jié)點信息的共識計算成本,加快區(qū)塊鏈上數(shù)據(jù)的同步速度。

3 平臺從用戶體驗出發(fā)

提供IT服務對業(yè)務的支持效果監(jiān)測,提高業(yè)務系統(tǒng)服務質量和精細化管理的能力。

經(jīng)過以上技術創(chuàng)新和方案實施,項目建成了以傳統(tǒng)黑名單防御與動態(tài)可信白名單持續(xù)免疫相結合的,硬件、系統(tǒng)、數(shù)據(jù)、引用、網(wǎng)絡等全部可信的新一代零信任、全程安全可視的信息安全防御體系。

有了這套信息安全防御體系,東吳證券的服務器安全防護能力、抵御未知攻擊的能力和整體安全架構高可用性、安全防護效率等全都得到了質的提升,從而更安全可靠地為證券交易系統(tǒng)用戶的資產(chǎn)安全保駕護航。

截至2020年10月,平臺已納管東吳證券近200套系統(tǒng)、2300余臺設備,日均處理指標數(shù)據(jù)150GB、應用日志數(shù)據(jù)150 GB、網(wǎng)絡報文2 TB,共產(chǎn)生25000余次事件通知,共發(fā)現(xiàn)200多次可能的安全風險;盤中緊急切換預警18次,攔截非既定程序159次,故障預判5次。通過該平臺,運維人員工作效率和能力得到大幅度提升,每年為公司減少直接經(jīng)濟損失5000萬元以上,間接創(chuàng)造收入1000萬元以上。

也正是憑借著理念、技術創(chuàng)新和卓越的實際效果,東吳證券《RAMS信息系統(tǒng)支撐平臺》項目已申請3篇專利,獲得3篇軟件著作權,并斬獲多項榮譽獎項,其中就包括中國人民銀行2020年度金融科技發(fā)展獎三等獎。八分量創(chuàng)始人兼CEO阮安邦也被東吳證券聘請為金融科技實驗室專家。

金融業(yè)的本質是信任,信任的基礎是信息和數(shù)據(jù)的安全。

雖然金融業(yè)普遍走上了數(shù)字化轉型道路,但由于思想觀念、技術實力、人才儲備、頂層設計等多方面原因,包括券商在內(nèi)的金融機構對信息安全的重視度依然有待提高。平均來看,國內(nèi)金融機構在網(wǎng)絡安全方面的投入,約占總營收的0.1%,與國外的平均水平0.4%相比,差距明顯。

盡管如此,中國券商金融行業(yè)也不乏像東吳證券這樣重視信息安全系統(tǒng)建設,并積極引入可信計算、區(qū)塊鏈等技術,迭代優(yōu)化信息安全系統(tǒng)的進取型企業(yè)。

我們也有理由相信,在越來越多金融信息安全事件發(fā)生,監(jiān)管機構持續(xù)加強對金融信息安全監(jiān)管之后,券商金融業(yè)對信息安全的重視程度和投入規(guī)模,都將更上一層樓。屆時,也將誕生越來越多企業(yè)像東吳證券這樣在金融信息安全防護的典型案例,投資者的金融信息安全、資產(chǎn)安全,將得到更進一步的加強。

(免責聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性,但不保證有關資料的準確性及可靠性,讀者在使用前請進一步核實,并對任何自主決定的行為負責。本網(wǎng)站對有關資料所引致的錯誤、不確或遺漏,概不負任何法律責任。
任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權或存在不實內(nèi)容時,應及時向本網(wǎng)站提出書面權利通知或不實情況說明,并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網(wǎng)站在收到上述法律文件后,將會依法盡快聯(lián)系相關文章源頭核實,溝通刪除相關內(nèi)容或斷開相關鏈接。 )