浅谈中国证券行业信息安全问题探讨

1/4浅谈中国证券行业信息安全问题探讨企业的IT治理存在的问题一是IT资源在公司的战略资产中的地位受到高层重视，但具体情况不清楚；二是IT治理缺乏明确的概念描述和参数指标；是LT治理的责任与职能不清晰。14网络安全和数据安全方面随着互联网的普及以及网上交易系统功能的不断丰富、完善和使用的便利性，网上交易正逐渐成为证券投资者交易的主流模式。据统计，XX年我同证券网上交易量比重已超过总交易量的80。虽然交易系统与互联网的连接，方便了投资者。但由于互联网的开放性，来自互联网上的病毒、小马、黑客攻击以及考试的内容之中。通过举办论坛、交流会等形式强化证券经营机构的IT治理意识，提高他们IT治理的积极性。22通过设立IT治理试点形成以点带面的示范效应根据IT治理模型的不同特点，建议证券公司在决策层使用CISR模型，通过成立LT治理委员会，建立各部门之间的协调配合、监督制衡的责权体系；在执行层以COBIT模型、ITFL模型等其他模型为补充，规范信息技术部门的各项控制和管理流程。同时，证监会指定一批证券公司和基金公司作为LT试点单位，进行IT治理模型选择、剪裁以及组合的实践探索，形成一批成功实施IT治理的优秀范2/4例，以点带面地提升全行业的治理水平。3通过制定行业标准积极落实信息安全等级保护行业监管部门在推动行业信息安全等级保护工作中的作用非常关键应进一步明确监管部门推动行业信息安全等级保护工作的任务和工作机制，统一部署、组织行业的等级保护丁作，为该项丁作的顺利开展提供组织保证。LOCALHOST行业各机构应采取自主贯彻信息系统等级保护的行业要求，对照标准逐条落实。同时，应对各单位实施信息系统安全等级保护情况进行测评，在测评环节一旦发现信息系统的不足，被测评单位应立即制定相应的整改方案并实施且南相芙的监督机构进行督促。4加强网络安全体系规划以提升网络安全防护水平41以等级保护为依据进行统筹规划等级保护是围绕信息安全保障全过程的一项基础性的管理制度，通过将等级化的方法和安全体系规划有效结合，统筹规划证券网络安全体系的建设，建立一套信息安全保障体系，将是系统化地解决证券行业网络安全问题的一个非常有效的方法。42通过加强网络访问控制提高网络防护能力对向证券行业提供设备、技术和服务的IT公司的资质和诚信加强管理，确保其符合国家、行业技术标准。根据网络隔离要求，要逐步建立业务网与办公网、业务网与互3/4联网、网上交易各子系统间有效的网络隔离。技术上可以对不同的业务安全区域划分VLAN或者采用网闸设备进行隔离；对主要的网络边界和各外部进口进行渗透测试，进行系统和设备的安全加固降低系统漏洞带来的安全风险；在网上交易方面，采取电子签名或数字认证等高强度认证方式，加强访问控制；针对现存恶意攻击网站的事件越来越多的情况，要采取措施加强网站保护，提高对恶意代码的防护能力，同时采用技术手段，提高网上交易客户端软件使朋的安全性。43提高从业人员安全意识和专业水平目前在证券行业内，从业人员的网络安全意识比较薄弱必要时可定期对从业人员进行安全意识考核，从行业内部强化网络安全工作。要加强网络安全技术人员的管理能力和专业技能培训，提高行业网络安全的管理水平和专业技术水平。5扎实推进行业灾难备份建设数据的安全对证券行业是至关重要的，数据一旦丢失对市场各方的损失是难以估量的。无论是美国的“911”事件，还是我国XX年南方冰雪灾害和四川汶川大地震，都敲响了灾难备份的警钟。证券业要在学习借鉴国际经验的基础上，针对自身需要，对重要系统开展灾难备份建设。要继续推进证券、基金公司同城灾难备份建设，以及证券4/4交易所、结算公司等市场核心机构的异地灾难备份系统的规划和建设。制定各类相关的灾难应急预案，并加强应急预案的演练，确保灾难备份系统应急有效使应急工作与日常工作有机结合。6抓好人才队伍建设证券行业要采取切实可行的措施，建立吸引人才、留住人才、培养人才、发展人才的用人制度和机制。积极吸引有技术专长的人才到行业巾来，加强LT人员的岗位技能培训和业务培训，注重培养既懂得技术义懂业务和管理的复合型人才。要促进从业人员提高水平、转变观念，行业各机构应采取采取请进来、派出去以及内部讲座等多种培训方式。通过建立规范有效的人才评价体系，对信息技术人员进行科学有效的考评，提升行业人才资源的优化配置和使用效率，促进技术人才结构的涮整和完善。结语平时多流汗，战时少流血。市场监管者、组织者和参与者只有通过长期不懈的共同努力，