六大關鍵詞深解證券公司《安全提升計劃》，青云科技為實現(xiàn)落地提供全面支持

發(fā)布時間：2024-05-06

「云研報·金融」關注金融科技新動向，分享金融數(shù)字化洞察與最佳實踐。以青云科技（qingcloud.com，股票代碼：688316）數(shù)字價值研究院對金融行業(yè)的研究為基礎，結合青云產品技術創(chuàng)新、行業(yè)服務經驗、數(shù)字化轉型實踐，持續(xù)分享有價值的內容。
近日，中國證券業(yè)協(xié)會組織起草了《證券公司網絡和信息安全三年提升計劃（2023-2025）》（下稱《安全提升計劃》），并于 1 月 6 日開始向券商征求意見?！栋踩嵘媱潯窂目萍贾卫砟芰?、科技投入機制、信息系統(tǒng)架構規(guī)劃設計、研發(fā)測試效能與質量、系統(tǒng)運行保障能力、網絡信息安全防護體系等六個方面明確提出了提升方向和要求。
作為一家在金融行業(yè)深耕十余年的企業(yè)級云服務商與數(shù)字化解決方案提供商，青云數(shù)字價值研究院對《安全提升計劃》的重點內容進行如下分析和解讀：
核心關鍵詞一： 信息科技投入
一、合理加大科技資金投入
1、《安全提升計劃》提出建立科學合理的科技投入機制，要求證券行業(yè)合理加大科技資金投入，并鼓勵有條件的公司 2023-2025 年信息科技平均投入金額不少于上述三個年度平均凈利潤的 8% 或平均營業(yè)收入的 6%。
以最新披露的數(shù)據(jù)為例，2021 年證券行業(yè)信息技術投入金額為 338.2 億元，同比增長 28.7%，占上一年度營業(yè)收入的 7.7%；其中有 10 家券商的投入均超 10 億元，信息技術投入占營業(yè)收入比例超 6% 的券商有 20 家，而不少中小券商也將金融科技視為核心競爭力之一，華林證券、華鑫證券的投入占比均已超 20%；不過中信證券、中信建投等部分頭部券商的投入占比均在 6% 以下。
2、其中網絡和信息安全投入不低于信息科技投入總額的 7%。
二、加強科技人才隊伍建設
信息科技專業(yè)人員不低于公司員工總數(shù)的 6%，目前中國有 6 家證劵公司人數(shù)突破 1 萬人，按這個比例，也就要求科技人員要達到至少 600 人以上；網絡和信息安全專業(yè)人員，不低于信息科技專業(yè)人員的 3% 且不應少于 4 人。
青云數(shù)字價值研究院認為，券商信息科技建設的重視程度將不斷提升，it 投入水平也將出現(xiàn)較大的增量空間。
核心關鍵詞二： 架構建設
《安全提升計劃》提出“應用架構、數(shù)據(jù)架構、技術架構”三大架構的建設方向，并要求建立一個【架構管理】的機制。
一、應用架構：強調提高架構復用性，防止系統(tǒng)的重復建設；降低軟件開發(fā)、系統(tǒng)維護和升級等方面的費用。
二、數(shù)據(jù)架構：強調持續(xù)加強在數(shù)據(jù)全生命周期的各階段，建立并落實技術防護能力。
三、技術架構：強調加強核心系統(tǒng)的技術攻關，鼓勵有條件的證券公司積極推進新一代核心系統(tǒng)的建設和轉型。
新一代核心系統(tǒng)的建設及轉型升級工作，即“建設 轉型”兩方面的工作：
一、從集中式專有技術架構向分布式、低時延、開放技術架構轉型，具備高可用、高性能、低延時、易擴展及松耦合等特性。
二、鼓勵上云。
1、鼓勵有條件的證券公司加快信息系統(tǒng)上云，通過云計算平臺承載及運行的信息系統(tǒng)比例不低于 60%。
2、由容器等云平臺承載的云原生系統(tǒng)比例不低于 10%。
核心關鍵詞三：自主掌控能力
《安全提升計劃》提出要提高核心系統(tǒng)自主掌控能力。具體來說，主要通過兩種最基本方式：
一、鼓勵證劵公司自研
鼓勵有條件的證券公司合作研發(fā)或自主研發(fā)安全可控的關鍵技術、系統(tǒng)或設施。
二、外購方式，確保對關鍵技術的掌控
對于外購系統(tǒng)，要求廠商提供完整的系統(tǒng)技術資料，確保深入掌握系統(tǒng)的技術架構與關鍵技術環(huán)節(jié)。
此外，提出不管自研還是外購代碼，全部代碼 100% 審計：
1、制定及完善涵蓋自研系統(tǒng)和外購類系統(tǒng)的代碼審計規(guī)范。
2、外購系統(tǒng)的代碼審計，根據(jù)系統(tǒng)交付是否包含源代碼，決定是否通過安全代碼審計檢查或要求供應商提供代碼審計報告。重要系統(tǒng)新上線或重大變更必須全面完成“測試驗收”，重要信息系統(tǒng)的自動化測試比例不低于整體測試比例的 30%。
核心關鍵詞四：提升開發(fā)效率及安全
一、研發(fā)規(guī)范的制定。
二、研發(fā)工具建設，建設統(tǒng)一的源代碼管理工具、標準化的研發(fā)運維一體化工具。
三、如果找第三方合作，那么必須具備強風險管控能力。事前對第三方充分評估，并簽署安全承諾書或合同條款：
1、充分評估審核后再開展業(yè)務。
2、落實關鍵信息基礎設施系統(tǒng)網絡安全審查預判，通過簽署安全承諾書或在合同中包含信息安全條款等方式，加強對第三方的約束。
3、全周期，持續(xù)性監(jiān)管第三方。持續(xù)對第三方系統(tǒng)開展全方位的安全檢測監(jiān)控，按要求提供代碼安全掃描報告，及時解決發(fā)現(xiàn)的代碼安全問題，修復系統(tǒng)運行過程中發(fā)現(xiàn)的漏洞。
核心關鍵詞五：夯實系統(tǒng)運行保障能力
持續(xù)提升信息系統(tǒng)故障發(fā)現(xiàn)能力。證券公司在 2023 年底前建立全面覆蓋業(yè)務、應用、底層基礎架構和基礎設施的信息系統(tǒng)運行監(jiān)測體系，并持續(xù)完善，不斷提升運行監(jiān)控的覆蓋度，建設統(tǒng)一的告警平臺。
在 2023 年底前制定信息系統(tǒng)備份管理策略，建立數(shù)據(jù)防丟、防刪的權限管控機制和技術手段，提升重要信息系統(tǒng)的備份管控能力建設。
核心關鍵詞六：健全網絡安防護體系
在 2023 年底前建立完善的漏洞管理制度，明確分級分類標準、職責分工與處置要求，漏洞管理覆蓋研發(fā)過程管理、供應鏈管理和常態(tài)化風險巡檢等方面。
確保第三方系統(tǒng)不記錄、不存儲、不更改相關業(yè)務、客戶數(shù)據(jù)及資料。
– 對“所有”信息系統(tǒng)，開展等保定級。
– 對“重要”信息系統(tǒng)，按照監(jiān)管機構的指導意見將定為三級或二級。
提升安全攻擊防控能力建設，統(tǒng)一的安全運營中心，加大安全響應自動化能力的建設。數(shù)據(jù)使用上“依法合規(guī)、最小必要”，所有授權操作均符合“最小授權”原則。所有用戶授權有記錄，并具備數(shù)據(jù)全生命周期的安全管理長效機制和防護措施。
結語
如此投入規(guī)模，對于網絡安全行業(yè)而言無疑是一個重大利好。作為一家企業(yè)級云服務商與數(shù)字化解決方案提供商，青云科技深耕金融行業(yè)十余年，堅持核心技術 100% 自研，具備行業(yè)頂尖的技術研發(fā)實力，憑借多年的實踐經驗，以及對金融行業(yè)數(shù)字化轉型的全面理解，已具備支撐證券機構開展《安全提升計劃》落地工作的能力。
代碼的安全性測試是金融機構新的關注點，在提升自主開發(fā)效率及安全方面，devsecops 在青云科技的一些客戶中得到了實踐，devops 將開發(fā)、測試、運維打通，使之前傳統(tǒng)孤立的角色（開發(fā)、it 運營、質量工程和安全）可以更好地協(xié)作。青云容器平臺通過插件的方式集成了 devops、微服務以及持續(xù)交付的組件。同時，青云整合了 devops 流水線的交付組件，讓開發(fā)者、測試人員以及最終上線的運維串聯(lián)起來，大大提高了運維及開發(fā)效率。
在行業(yè)核心系統(tǒng)架構建設與管理方面，青云科技面向大型和中小券商提供了企業(yè)云、分布式存儲、云易捷和容器云等多種產品和解決方案，契合券商架構轉型的不同階段和不同基礎架構類型的需求，全面助力和推動證券行業(yè)的架構轉型建設。青云提供靈活定制的云原生套餐，通過三大容器平臺，覆蓋公有云、私有云、混合云、多云、開源等各種應用場景，為證券行業(yè)提供最適合的專屬云原生服務。
青云數(shù)字價值研究院認為，《安全提升計劃》或將成為未來三年（2023-2025年）券商的數(shù)字化轉型建設的指路明燈。證券行業(yè)數(shù)字化轉型將加速推進，在廣度和深度上不斷擴大。青云科技將繼續(xù)發(fā)揮優(yōu)勢，不斷創(chuàng)新，以更堅實的技術底座，全面賦能證券行業(yè)基礎設施建設及架構轉型升級的雙輪數(shù)字化升級。
六大關鍵詞深解證券公司《安全提升計劃》，青云科技為實現(xiàn)落地提供全面支持