導語：我國證券行業(yè)信息安全剖析論文一文來源于網(wǎng)友上傳，不代表本站觀點，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

摘要：證券行業(yè)作為金融服務業(yè)，是一個高度依賴信息技術的行業(yè)。信息安全是維護資本市場穩(wěn)定的前提和基礎，沒有信息安全就沒有資本市場的穩(wěn)定。介紹了維護好證券行業(yè)信息安全的重要意義，分析了行業(yè)信息安全現(xiàn)狀以及存在的問題，并提出了相應的對策。

關鍵詞：證券行業(yè)信息安全網(wǎng)絡安全體系

近年來，我國資本市場發(fā)展迅速，市場規(guī)模不斷擴大，社會影響力不斷增強．成為國民經(jīng)濟巾的重要組成部分，也成為老百姓重要的投資理財渠道。資本市場的穩(wěn)定健康發(fā)展，關系著億萬投資者的切身利益，關系著社會穩(wěn)定和國家金融安全的大局。證券行業(yè)作為金融服務業(yè)，高度依賴信息技術，而信息安全是維護資本市場穩(wěn)定的前提和基礎。沒有信息安全就沒有資本市場的穩(wěn)定。

目前．國內(nèi)外網(wǎng)絡信息安全問題日益突出。從資本市場看，近年來，隨著市場快速發(fā)展，改革創(chuàng)新深入推進，市場交易模式日趨集巾化，業(yè)務處理邏輯日益復雜化，網(wǎng)絡安全事件、公共安全事件以及水災冰災、震災等自然災害都對行業(yè)信息系統(tǒng)的連續(xù)、穩(wěn)定運行帶來新的挑戰(zhàn)。資本市場交易實時性和整體性強，交易時問內(nèi)一刻也不能中斷。加強信息安全應急丁作，積極采取預防、預警措施，快速、穩(wěn)妥地處置信息安全事件，盡力減少事故損失，全力維護交易正常，對于資本市場來說至關重要。

1證券行業(yè)倍息安全現(xiàn)狀和存在的問題

1．1行業(yè)信息安全法規(guī)和標準體系方面

健全的信息安全法律法規(guī)和標準體系是確保證券行業(yè)信息安全的基礎。是信息安全的第一道防線。為促進證券市場的平穩(wěn)運行，中國證監(jiān)會自1998年先后了一系列信息安全法規(guī)和技術標準。其中包括2個信息技術管理規(guī)范、2個信息安全等級保護通知、1個信息安全保障辦法、1個信息通報方法和10個行業(yè)技術標準。行業(yè)信息安全法規(guī)和標準體系的初步形成，推動了行業(yè)信息化建設和信息安全工作向規(guī)范化、標準化邁進。

雖然我國涉及信息安全的規(guī)范性文件眾多，但在現(xiàn)行的法律法規(guī)中。立法主體較多，法律法規(guī)體系龐雜而缺乏統(tǒng)籌規(guī)劃。面對新形勢下信息安全保障工作的發(fā)展需要，行業(yè)信息安全工作在政策法規(guī)和標準體系方面的問題也逐漸顯現(xiàn)。一是法規(guī)和標準建設滯后，缺乏總體規(guī)劃；二是規(guī)范和標準互通性和協(xié)調(diào)性不強，部分規(guī)范和標準的可執(zhí)行性差；三是部分規(guī)范和標準已不適應，無法應對某些新型信息安全的威脅；四是部分信息安全規(guī)范和標準在行業(yè)內(nèi)難以得到落實。

1．2組織體系與信息安全保障管理模型方面

任何安全管理措施或技術手段都離不開人員的組織和實施，組織體系是信息安全保障工作的核心。目前，證券行業(yè)采用“統(tǒng)一組織、分工有序”的信息安全工作體系，分為決策層、管理層、執(zhí)行層。

為加強證券期貨業(yè)信息安全保障工作的組織協(xié)調(diào)，建立健全信息安全管理制度和運行機制，切實提高行業(yè)信息安全保障工作水平，根據(jù)證監(jiān)會頒布的《證券期貨業(yè)信息安全保障管理暫行辦法》，參照ISO／IEC27001：2005，提出證券期貨業(yè)信息安全保障管理體系框架。該體系框架采用立方體架構(gòu)．頂面是信息安全保障的7個目標(機密性、完整性、可用性、真實性、可審計性、抗抵賴性、可靠性)，正面是行業(yè)組織結(jié)構(gòu)．側(cè)面是各個機構(gòu)為實現(xiàn)信息安全保障目標所采取的措施和方式。

1．3IT治理方面

整個證券業(yè)處于高度信息化的背景下，IT治理已直接影響到行業(yè)各公司實現(xiàn)戰(zhàn)略目標的可能性，良好的IT治理有助于增強公司靈活性和創(chuàng)新能力，規(guī)避IT風險。通過建立IT治理機制，可以幫助最高管理層發(fā)現(xiàn)信息技術本身的問題。幫助管理者處理IT問題，自我評估IT管理效果．可以加強對信息化項目的有效管理，保證信息化項目建設的質(zhì)量和應用效果，使有限的投入取得更大的績效。

2003年lT治理理念引入到我國證券行業(yè)，當前我國證券業(yè)企業(yè)的IT治理存在的問題：一是IT資源在公司的戰(zhàn)略資產(chǎn)中的地位受到高層重視，但具體情況不清楚；二是IT治理缺乏明確的概念描述和參數(shù)指標；是lT治理的責任與職能不清晰。

1．4網(wǎng)絡安全和數(shù)據(jù)安全方面

隨著互聯(lián)網(wǎng)的普及以及網(wǎng)上交易系統(tǒng)功能的不斷豐富、完善和使用的便利性，網(wǎng)上交易正逐漸成為證券投資者交易的主流模式。據(jù)統(tǒng)計，2008年我同證券網(wǎng)上交易量比重已超過總交易量的80％。雖然交易系統(tǒng)與互聯(lián)網(wǎng)的連接，方便了投資者。但由于互聯(lián)網(wǎng)的開放性，來自互聯(lián)網(wǎng)上的病毒、小馬、黑客攻擊以及計算機威脅事件，都時刻威脅著行業(yè)的信息系統(tǒng)安全，成為制約行業(yè)平穩(wěn)、安全發(fā)展的障礙。此，維護網(wǎng)絡和數(shù)據(jù)安全成為行業(yè)信息安全保障工作的重要組成部分。近年來，證券行業(yè)各機構(gòu)采取了一系列措施，建立了相對安全的網(wǎng)絡安全防護體系和災舴備份系統(tǒng)，基木保障了信息系統(tǒng)的安全運行。但細追究起來，我國證券行業(yè)的網(wǎng)絡安全防護體系及災備系統(tǒng)建設還不夠完善，還存存以下幾方面的問題：一是網(wǎng)絡安全防護體系缺乏統(tǒng)一的規(guī)劃；二是網(wǎng)絡訪問控制措施有待完善；三是網(wǎng)上交易防護能力有待加強；四是對數(shù)據(jù)安全重視不夠，數(shù)據(jù)備份措施有待改進；五是技術人員的專業(yè)能力和信息安全意識有待提高。

1．5IT人才資源建設方面

近20年的發(fā)展歷程巾，證券行業(yè)對信息系統(tǒng)日益依賴，行業(yè)IT隊伍此不斷發(fā)展壯大。據(jù)統(tǒng)計，2008年初，在整個證券行業(yè)中，103家證券公司共有IT人員7325人，占證券行業(yè)從業(yè)總?cè)藬?shù)73990人的9．90％，總體上達到了行業(yè)協(xié)會的IT治理工作指引中“IT工作人員總數(shù)原則上應不少于公司員工總?cè)藬?shù)的6％”的最低要求。目前，證券行業(yè)的IT隊伍肩負著信息系統(tǒng)安全、平穩(wěn)、高效運行的重任，IT隊伍建設是行業(yè)信息安全IT作的根本保障。但是，IT人才隊伍依然存在著結(jié)構(gòu)不合理、后續(xù)教育不足等問題，此行業(yè)的人才培養(yǎng)有待加強。

2采取的對策和措施

2．1進一步完善法規(guī)和標準體系

首先，在法規(guī)規(guī)劃上，要統(tǒng)籌兼顧，制定科學的信息技術規(guī)范和標準體系框架。一是全面做好立法規(guī)劃；二是建立科學的行業(yè)信息安全標準和法規(guī)體系層次。行業(yè)信息安全標準和法規(guī)體系初步劃分為3層：第一層是管理辦法等巾同證監(jiān)會部門規(guī)章；第二層是證監(jiān)會相關部門制定的管理規(guī)范等規(guī)范性文件；第三層是技術指引等自律規(guī)則，一般由交易所、行業(yè)協(xié)會在證監(jiān)會總體協(xié)調(diào)下組織制定。其次，在法規(guī)制定上．要兼顧規(guī)范和發(fā)展，重視法規(guī)的可行性。最后，在法規(guī)實施上．要堅持規(guī)范和指引相結(jié)合，重視監(jiān)督檢查和責任落實。

2．2深入開展證券行業(yè)IT治理工作

2．2．1提高IT治理意識

中國證券業(yè)協(xié)會要進一步加強IT治理理念的教育宣傳工作，特別是對會員單位高層領導的IT治理培訓，將IT治理的定義、工具、模型等理論知識納入到高管任職資格考試的內(nèi)容之中。通過舉辦論壇、交流會等形式強化證券經(jīng)營機構(gòu)的IT治理意識，提高他們IT治理的積極性。

2．2．2通過設立IT治理試點形成以點帶面的示范效應

根據(jù)IT治理模型的不同特點，建議證券公司在決策層使用CISR模型，通過成立lT治理委員會，建立各部門之間的協(xié)調(diào)配合、監(jiān)督制衡的責權體系；在執(zhí)行層以COBIT模型、ITFL模型等其他模型為補充，規(guī)范信息技術部門的各項控制和管理流程。同時，證監(jiān)會指定一批證券公司和基金公司作為lT試點單位，進行IT治理模型選擇、剪裁以及組合的實踐探索，形成一批成功實施IT治理的優(yōu)秀范例，以點帶面地提升全行業(yè)的治理水平。

2．3通過制定行業(yè)標準積極落實信息安全等級保護

行業(yè)監(jiān)管部門在推動行業(yè)信息安全等級保護工作中的作用非常關鍵．應進一步明確監(jiān)管部門推動行業(yè)信息安全等級保護工作的任務和工作機制，統(tǒng)一部署、組織行業(yè)的等級保護丁作，為該項丁作的順利開展提供組織保證。行業(yè)各機構(gòu)應采取自主貫徹信息系統(tǒng)等級保護的行業(yè)要求，對照標準逐條落實。同時，應對各單位實施信息系統(tǒng)安全等級保護情況進行測評，在測評環(huán)節(jié)一旦發(fā)現(xiàn)信息系統(tǒng)的不足，被測評單位應立即制定相應的整改方案并實施．且南相芙的監(jiān)督機構(gòu)進行督促。

2．4加強網(wǎng)絡安全體系規(guī)劃以提升網(wǎng)絡安全防護水平

2．4．1以等級保護為依據(jù)進行統(tǒng)籌規(guī)劃

等級保護是圍繞信息安全保障全過程的一項基礎性的管理制度，通過將等級化的方法和安全體系規(guī)劃有效結(jié)合，統(tǒng)籌規(guī)劃證券網(wǎng)絡安全體系的建設，建立一套信息安全保障體系，將是系統(tǒng)化地解決證券行業(yè)網(wǎng)絡安全問題的一個非常有效的方法。

2．4．2通過加強網(wǎng)絡訪問控制提高網(wǎng)絡防護能力

對向證券行業(yè)提供設備、技術和服務的IT公司的資質(zhì)和誠信加強管理，確保其符合國家、行業(yè)技術標準。根據(jù)網(wǎng)絡隔離要求，要逐步建立業(yè)務網(wǎng)與辦公網(wǎng)、業(yè)務網(wǎng)與互聯(lián)網(wǎng)、網(wǎng)上交易各子系統(tǒng)間有效的網(wǎng)絡隔離。技術上可以對不同的業(yè)務安全區(qū)域劃分Vlan或者采用網(wǎng)閘設備進行隔離；對主要的網(wǎng)絡邊界和各外部進口進行滲透測試，進行系統(tǒng)和設備的安全加固．降低系統(tǒng)漏洞帶來的安全風險；在網(wǎng)上交易方面，采取電子簽名或數(shù)字認證等高強度認證方式，加強訪問控制；針對現(xiàn)存惡意攻擊網(wǎng)站的事件越來越多的情況，要采取措施加強網(wǎng)站保護，提高對惡意代碼的防護能力，同時采用技術手段，提高網(wǎng)上交易客戶端軟件使朋的安全性。

2．4．3提高從業(yè)人員安全意識和專業(yè)水平

目前在證券行業(yè)內(nèi)，從業(yè)人員的網(wǎng)絡安全意識比較薄弱．必要時可定期對從業(yè)人員進行安全意識考核，從行業(yè)內(nèi)部強化網(wǎng)絡安全工作。要加強網(wǎng)絡安全技術人員的管理能力和專業(yè)技能培訓，提高行業(yè)網(wǎng)絡安全的管理水平和專業(yè)技術水平。

2．5扎實推進行業(yè)災難備份建設

數(shù)據(jù)的安全對證券行業(yè)是至關重要的，數(shù)據(jù)一旦丟失對市場各方的損失是難以估量的。無論是美國的“9·11”事件，還是我國2008年南方冰雪災害和四川汶川大地震，都敲響了災難備份的警鐘。證券業(yè)要在學習借鑒國際經(jīng)驗的基礎上，針對自身需要，對重要系統(tǒng)開展災難備份建設。要繼續(xù)推進證券、基金公司同城災難備份建設，以及證券交易所、結(jié)算公司等市場核心機構(gòu)的異地災難備份系統(tǒng)的規(guī)劃和建設。制定各類相關的災難應急預案，并加強應急預案的演練，確保災難備份系統(tǒng)應急有效．使應急工作與日常工作有機結(jié)合。

2．6抓好人才隊伍建設

證券行業(yè)要采取切實可行的措施，建立吸引人才、留住人才、培養(yǎng)人才、發(fā)展人才的用人制度和機制。積極吸引有技術專長的人才到行業(yè)巾來，加強lT人員的崗位技能培訓和業(yè)務培訓，注重培養(yǎng)既懂得技術義懂業(yè)務和管理的復合型人才。要促進從業(yè)人員提高水平、轉(zhuǎn)變觀念，行業(yè)各機構(gòu)應采取采取請進來、派出去以及內(nèi)部講座等多種培訓方式。通過建立規(guī)范有效的人才評價體系，對信息技術人員進行科學有效的考評，提升行業(yè)人才資源的優(yōu)化配置和使用效率，促進技術人才結(jié)構(gòu)的涮整和完善。公務員之家

3結(jié)語

平時多流汗，戰(zhàn)時少流血。市場監(jiān)管者、組織者和參與者只有通過長期不懈的共同努力，才能使證券期貨信息系統(tǒng)在全面支持業(yè)務發(fā)展需求的前提下，向著安全、高效、經(jīng)濟的方向不斷完善和發(fā)展，才能基本滿足資本市場不斷創(chuàng)新、持續(xù)規(guī)范、穩(wěn)定運行的需要，為資本市場的快速、穩(wěn)定發(fā)展提供堅實的保障。