「云研報·金融」關(guān)注金融科技新動向,分享金融數(shù)字化洞察與最佳實踐。以青云科技(qingcloud.com,股票代碼:688316)數(shù)字價值研究院對金融行業(yè)的研究為基礎(chǔ),結(jié)合青云產(chǎn)品技術(shù)創(chuàng)新、行業(yè)服務(wù)經(jīng)驗、數(shù)字化轉(zhuǎn)型實踐,持續(xù)分享有價值的內(nèi)容。
近日,中國證券業(yè)協(xié)會組織起草了《證券公司網(wǎng)絡(luò)和信息安全三年提升計劃(2023-2025)》(下稱《安全提升計劃》),并于 1 月 6 日開始向券商征求意見。《安全提升計劃》從科技治理能力、科技投入機制、信息系統(tǒng)架構(gòu)規(guī)劃設(shè)計、研發(fā)測試效能與質(zhì)量、系統(tǒng)運行保障能力、網(wǎng)絡(luò)信息安全防護體系等六個方面明確提出了提升方向和要求。
作為一家在金融行業(yè)深耕十余年的企業(yè)級云服務(wù)商與數(shù)字化解決方案提供商,青云數(shù)字價值研究院對《安全提升計劃》的重點內(nèi)容進行如下分析和解讀:
核心關(guān)鍵詞一: 信息科技投入
一、合理加大科技資金投入
1、《安全提升計劃》提出建立科學(xué)合理的科技投入機制,要求證券行業(yè)合理加大科技資金投入,并鼓勵有條件的公司 2023-2025 年信息科技平均投入金額不少于上述三個年度平均凈利潤的 8% 或平均營業(yè)收入的 6%。
以最新披露的數(shù)據(jù)為例,2021 年證券行業(yè)信息技術(shù)投入金額為 338.2 億元,同比增長 28.7%,占上一年度營業(yè)收入的 7.7%;其中有 10 家券商的投入均超 10 億元,信息技術(shù)投入占營業(yè)收入比例超 6% 的券商有 20 家,而不少中小券商也將金融科技視為核心競爭力之一,華林證券、華鑫證券的投入占比均已超 20%;不過中信證券、中信建投等部分頭部券商的投入占比均在 6% 以下。
2、其中網(wǎng)絡(luò)和信息安全投入不低于信息科技投入總額的 7%。
二、加強科技人才隊伍建設(shè)
信息科技專業(yè)人員不低于公司員工總數(shù)的 6%,目前中國有 6 家證劵公司人數(shù)突破 1 萬人,按這個比例,也就要求科技人員要達(dá)到至少 600 人以上;網(wǎng)絡(luò)和信息安全專業(yè)人員,不低于信息科技專業(yè)人員的 3% 且不應(yīng)少于 4 人。
青云數(shù)字價值研究院認(rèn)為,券商信息科技建設(shè)的重視程度將不斷提升,IT 投入水平也將出現(xiàn)較大的增量空間。
核心關(guān)鍵詞二: 架構(gòu)建設(shè)
《安全提升計劃》提出“應(yīng)用架構(gòu)、數(shù)據(jù)架構(gòu)、技術(shù)架構(gòu)”三大架構(gòu)的建設(shè)方向,并要求建立一個【架構(gòu)管理】的機制。
一、應(yīng)用架構(gòu):強調(diào)提高架構(gòu)復(fù)用性,防止系統(tǒng)的重復(fù)建設(shè);降低軟件開發(fā)、系統(tǒng)維護和升級等方面的費用。
二、數(shù)據(jù)架構(gòu):強調(diào)持續(xù)加強在數(shù)據(jù)全生命周期的各階段,建立并落實技術(shù)防護能力。
三、技術(shù)架構(gòu):強調(diào)加強核心系統(tǒng)的技術(shù)攻關(guān),鼓勵有條件的證券公司積極推進新一代核心系統(tǒng)的建設(shè)和轉(zhuǎn)型。
新一代核心系統(tǒng)的建設(shè)及轉(zhuǎn)型升級工作,即“建設(shè)+轉(zhuǎn)型”兩方面的工作:
一、從集中式專有技術(shù)架構(gòu)向分布式、低時延、開放技術(shù)架構(gòu)轉(zhuǎn)型,具備高可用、高性能、低延時、易擴展及松耦合等特性。
二、鼓勵上云。
1、鼓勵有條件的證券公司加快信息系統(tǒng)上云,通過云計算平臺承載及運行的信息系統(tǒng)比例不低于 60%。
2、由容器等云平臺承載的云原生系統(tǒng)比例不低于 10%。
核心關(guān)鍵詞三:自主掌控能力
《安全提升計劃》提出要提高核心系統(tǒng)自主掌控能力。具體來說,主要通過兩種最基本方式:
一、鼓勵證劵公司自研
鼓勵有條件的證券公司合作研發(fā)或自主研發(fā)安全可控的關(guān)鍵技術(shù)、系統(tǒng)或設(shè)施。
二、外購方式,確保對關(guān)鍵技術(shù)的掌控
對于外購系統(tǒng),要求廠商提供完整的系統(tǒng)技術(shù)資料,確保深入掌握系統(tǒng)的技術(shù)架構(gòu)與關(guān)鍵技術(shù)環(huán)節(jié)。
此外,提出不管自研還是外購代碼,全部代碼 100% 審計:
1、制定及完善涵蓋自研系統(tǒng)和外購類系統(tǒng)的代碼審計規(guī)范。
2、外購系統(tǒng)的代碼審計,根據(jù)系統(tǒng)交付是否包含源代碼,決定是否通過安全代碼審計檢查或要求供應(yīng)商提供代碼審計報告。重要系統(tǒng)新上線或重大變更必須全面完成“測試驗收”,重要信息系統(tǒng)的自動化測試比例不低于整體測試比例的 30%。
核心關(guān)鍵詞四:提升開發(fā)效率及安全
一、研發(fā)規(guī)范的制定。
二、研發(fā)工具建設(shè),建設(shè)統(tǒng)一的源代碼管理工具、標(biāo)準(zhǔn)化的研發(fā)運維一體化工具。
三、如果找第三方合作,那么必須具備強風(fēng)險管控能力。事前對第三方充分評估,并簽署安全承諾書或合同條款:
1、充分評估審核后再開展業(yè)務(wù)。
2、落實關(guān)鍵信息基礎(chǔ)設(shè)施系統(tǒng)網(wǎng)絡(luò)安全審查預(yù)判,通過簽署安全承諾書或在合同中包含信息安全條款等方式,加強對第三方的約束。
3、全周期,持續(xù)性監(jiān)管第三方。持續(xù)對第三方系統(tǒng)開展全方位的安全檢測監(jiān)控,按要求提供代碼安全掃描報告,及時解決發(fā)現(xiàn)的代碼安全問題,修復(fù)系統(tǒng)運行過程中發(fā)現(xiàn)的漏洞。
核心關(guān)鍵詞五:夯實系統(tǒng)運行保障能力
持續(xù)提升信息系統(tǒng)故障發(fā)現(xiàn)能力。證券公司在 2023 年底前建立全面覆蓋業(yè)務(wù)、應(yīng)用、底層基礎(chǔ)架構(gòu)和基礎(chǔ)設(shè)施的信息系統(tǒng)運行監(jiān)測體系,并持續(xù)完善,不斷提升運行監(jiān)控的覆蓋度,建設(shè)統(tǒng)一的告警平臺。
在 2023 年底前制定信息系統(tǒng)備份管理策略,建立數(shù)據(jù)防丟、防刪的權(quán)限管控機制和技術(shù)手段,提升重要信息系統(tǒng)的備份管控能力建設(shè)。
核心關(guān)鍵詞六:健全網(wǎng)絡(luò)安防護體系
在 2023 年底前建立完善的漏洞管理制度,明確分級分類標(biāo)準(zhǔn)、職責(zé)分工與處置要求,漏洞管理覆蓋研發(fā)過程管理、供應(yīng)鏈管理和常態(tài)化風(fēng)險巡檢等方面。
確保第三方系統(tǒng)不記錄、不存儲、不更改相關(guān)業(yè)務(wù)、客戶數(shù)據(jù)及資料。
- 對“所有”信息系統(tǒng),開展等保定級。
- 對“重要”信息系統(tǒng),按照監(jiān)管機構(gòu)的指導(dǎo)意見將定為三級或二級。
提升安全攻擊防控能力建設(shè),統(tǒng)一的安全運營中心,加大安全響應(yīng)自動化能力的建設(shè)。數(shù)據(jù)使用上“依法合規(guī)、最小必要”,所有授權(quán)操作均符合“最小授權(quán)”原則。所有用戶授權(quán)有記錄,并具備數(shù)據(jù)全生命周期的安全管理長效機制和防護措施。
結(jié)語
如此投入規(guī)模,對于網(wǎng)絡(luò)安全行業(yè)而言無疑是一個重大利好。作為一家企業(yè)級云服務(wù)商與數(shù)字化解決方案提供商,青云科技深耕金融行業(yè)十余年,堅持核心技術(shù) 100% 自研,具備行業(yè)頂尖的技術(shù)研發(fā)實力,憑借多年的實踐經(jīng)驗,以及對金融行業(yè)數(shù)字化轉(zhuǎn)型的全面理解,已具備支撐證券機構(gòu)開展《安全提升計劃》落地工作的能力。
代碼的安全性測試是金融機構(gòu)新的關(guān)注點,在提升自主開發(fā)效率及安全方面,DevSecOps 在青云科技的一些客戶中得到了實踐,DevOps 將開發(fā)、測試、運維打通,使之前傳統(tǒng)孤立的角色(開發(fā)、IT 運營、質(zhì)量工程和安全)可以更好地協(xié)作。青云容器平臺通過插件的方式集成了 DevOps、微服務(wù)以及持續(xù)交付的組件。同時,青云整合了 DevOps 流水線的交付組件,讓開發(fā)者、測試人員以及最終上線的運維串聯(lián)起來,大大提高了運維及開發(fā)效率。
在行業(yè)核心系統(tǒng)架構(gòu)建設(shè)與管理方面,青云科技面向大型和中小券商提供了企業(yè)云、分布式存儲、云易捷和容器云等多種產(chǎn)品和解決方案,契合券商架構(gòu)轉(zhuǎn)型的不同階段和不同基礎(chǔ)架構(gòu)類型的需求,全面助力和推動證券行業(yè)的架構(gòu)轉(zhuǎn)型建設(shè)。青云提供靈活定制的云原生套餐,通過三大容器平臺,覆蓋公有云、私有云、混合云、多云、開源等各種應(yīng)用場景,為證券行業(yè)提供最適合的專屬云原生服務(wù)。
青云數(shù)字價值研究院認(rèn)為,《安全提升計劃》或?qū)⒊蔀槲磥砣辏?023-2025年)券商的數(shù)字化轉(zhuǎn)型建設(shè)的指路明燈。證券行業(yè)數(shù)字化轉(zhuǎn)型將加速推進,在廣度和深度上不斷擴大。青云科技將繼續(xù)發(fā)揮優(yōu)勢,不斷創(chuàng)新,以更堅實的技術(shù)底座,全面賦能證券行業(yè)基礎(chǔ)設(shè)施建設(shè)及架構(gòu)轉(zhuǎn)型升級的雙輪數(shù)字化升級。
六大關(guān)鍵詞深解證券公司《安全提升計劃》,青云科技為實現(xiàn)落地提供全面支持
申請創(chuàng)業(yè)報道,分享創(chuàng)業(yè)好點子。點擊此處,共同探討創(chuàng)業(yè)新機遇!