探索中国CIO人才现状 | 第四季调研报告
中信建投证券安全实践分享
2018-03-26  来源:CISO发展中心

证券行业作为金融服务业,是高度依赖信息安全的。2018年3月23日CISO发展中心特别请来中信建投证券股份有限公司的信息安全副总裁姜明元姜总做了一次群分享。分享的话题涉及证券行业的现状、挑战、组织架构、数据安防以及安全意识等方面。我们对专访进行了整理,与大家分享。

姜明元

中信建投证券股份有限公司的信息安全副总裁 姜明元

主持人:首先请姜总结合当下实况,纵观全球证券行业,分析一下该领域的企业所面临的信息安全挑战都有哪些?针对每个挑战都有哪些应对方案呢?

姜总这个问题问我可能就有点大了哈,我进入证券行业并不长,还无法站在全球的高度去说整个行业,仅能对国内目前的证券行业面临的挑战提出一些个人的看法。单从企业安全来讲,与一般企业面临的问题一样,开放的交易环境所带来的除了业务发展外也加剧了来自外部的安全威胁,同时各种新技术的引进也对原有的流程、环境、架构及业务体系的带来了巨大的变化。这些都加大了对外部入侵的攻防不对等关系。这种来自外部的挑战是时刻存在的,而且是很严峻的。而作为一个面临强监管的金融行业,信息安全的合规保障工作是最基本的工作之一。特别是网安法实施以后,证监会对信息技术安全提出了更严格的监管要求,而这类监管要求会越来越细致。近年来,监管举措中也多次强调了关于合规运营的内容。合规工作的重要性将无法动摇,公司对此项工作的投入也将加大。

目前我们公司为了将合规工作开展的更为彻底,正在实施ITGRC的系统支持,通过对监管要素进行打散归类,并重新划分对应关系,降低公司对合规性检验的管理成本。另外,证券行业比较显著的特征是信息技术工作严重依赖外包公司的情况。其中部分核心业务甚至形成了技术性垄断,这对证券公司甚至整个行业都带来了较大的外包风险。就此,证监会新草拟的《证券基金经营机构信息技术管理办法》中,重点描述了对此类重要信息系统的服务机构的监管要求,将这些外包公司也纳入监管范围,其中包括准入、备案及监管要求等内容。同时,各个证券公司也在大力发展各自的自研团队及能力,提高信息技术工作中自身的主导权与话语权。

主持人:刚姜总主要阐述了3点证券行业所面临的挑战:外部安全威胁的加剧、行业的强监管以及技术外包的垄断等。那么请问姜总:目前我国我国证券行业对信息安全的重视程度如何?有人说,政企、国企的信息安全普遍较弱,您认同么?请谈谈您的看法。

姜总:刚才提到了证券行业的信息安全工作有个很明显的监管背景,所以基于合规要求的开展信息安全工作是最早期的特点。这部分的信息安全工作重视程度也最高,落实最彻底。现在很多安全工作也会以合规名义开展,推动效果也会最好,而监管对信息安全工作也非常重视,成立了中证信息对整个证券行业的信息安全工作提供技术支撑与多样的服务支持。目前该公司已实现面向证券行业所有成员单位的互联网资产的监测及漏洞扫描工作,同时提供渗透测试的服务支持。中证信息的工作使得整个证券行业的信息安全水平有了显著的提高。

随着业务的快速发展,近些年一些券商已从合规驱动的安全工作转向了业务驱动及风险驱动的信息安全工作。券商已经在开始力求将安全工作前置,结合威胁情报、态势感知等新型安全监测手段,试图提升整个安全事件的监测及响应能力。由于金融本质上是运营风险的一个行业,所以相比下对信息安全还是非常重视的。

而第二个问题提到的政企、国企的信息安全普遍较弱还是比较片面。这可能是因为政企、国企稳健的行事风格给人造成的固有印象。姑且不论繁杂的工作流程对业务服务效率带来的影响,但谨慎的工作作风在信息安全工作中是需要大力提倡的。信息安全工作是技术、人与流程的整体,不是堆积产品的技术战场,流程管理的往往是比技术更加重要且难以落地管控的。在技术推广及人才引进中,政企、国企可能会面临一些如编制、预算、政策影响等因素带来的困难,但同时在一些资源调配的过程中也具有一定的优势。而随着政企、国企的改革过程中,我们也能感觉到有些变化再发生,政企国企也有逐渐开放的趋势,融合互联网思想寻求信息安全在国内的发展,无论是从业务开放角度还是技术能力水平接纳上,所以还是应抱着积极的态度看待国企政企的改革。

主持人:的确,随着国家越来越重视网络安全,各行各业也都开始注重起来。结合新兴技术(威胁情报、AI等)来提高技术上的安全风险应对能力,当然,除了技术上,在管理层面,各企业也会从组织架构上或多或少给安全留有一席之地,即:要么设置独立的安全部门,要么增设独立的安全岗位,做到专人专岗。下面,请姜总简要介绍一下中信建投证券的安全组织结构吧。是否独立的部门?安全在公司的地位如何?

姜总:我们公司的安全管理并没有成立独立的部门,而是在总公司信息技术部下,作为独立的业务组存在。安全团队目前设置了终端安全、应用安全、主机安全、网络安全、数据安全、安全分析、安全体系维护、安全审计自查等职能岗位。目前安全团队总人数为6个人,人员缺口较大,有一些人员目前是身兼多职,也欢迎各位帮忙举荐人才。

关于安全团队的地位问题应该是所有甲方从业者的一个痛,定位为后台的支撑业务,充当着救火队员的角色,开展工作还是会面临一定的困难,这几乎是所有安全团队都会有的感触,但公司自上而下还是比较重视安全的,也有相关治理委员会经常会把安全课题拿到会议上向老总汇报。近些年来通过持续的渗透影响,整个公司的信息安全意识提高也非常显著。安全团队的地位还是需要靠自身来争取,能够证明团队的价值也就会得到尊重跟认可。

主持人:的确,现在多数的安全团队都还处于救火阶段,要想提高地位,就得靠自己争取呀,公司自上而下都如此的重视安全,这正是安全专业人士的向往之地呀。毕竟公司上层不重视安全而导致安全工作很难展开的企业不在少数。中信建投证券把安全工作如此细分为多岗(终端、应用、网络、数据等),想必其安全工作做的也很到位。所以,请问姜总:咱中信建投证券的安全建设工作与同行业相比现在处于什么位置?有哪些优劣呢?

姜总这个问题很难回答啊 个人感觉的话,目前应处在中等偏上的水平吧,大致与公司在行业所处地位相当,就安全团队人员规模已经是算较多的了。相比的化优势谈不上,我们还处于学习跟追赶的过程当中。而且证券行业间同质化很严重,所以很多兄弟单位之间各种沟通及参照也会让大家齐头并进。如果说早期的基础设施、网络环境做的比较扎实,还有信息技术条线的垂直管理体系落实的比较到位,这对开展后续信息安全工作来说是有一定的助力的

主持人:中等偏上,看得出来这是姜总自信而保守的回答呀。因为证券公司能把安全工作做的如此细致并拥有这么多安全专职人员的并不多。另外,作为大型证券公司,用户数据,尤其是PII以及金融数据为公司的核心资产,其重要程度就不言而喻了。那么,中信建投证券是如何防范内部员工有意或无意或误操作导致数据外泄的呢?可从技术和管理两个维度阐述一下。

姜总:数据防泄露的问题是一个非常大的话题,不是一两个技术方案就能解决的。考量的是整体安全水平和流程管理能力,就简单说的话,技术手段上,首先是做到严格的安全区域划分及数据流向控制。凡是涉及到生产数据的核心区域及测试区域都有非常严苛的隔离条件及访问控制策略,有对生产数据有操作需求的需要通过指定的内网虚拟桌面进行访问,数据无法脱离相关安全区域。另外,数据加密存储、数据库审计、终端管控、屏幕水印、操作日志审计手段等都是较为常见的数据管控技术控制措施。接下来,我们也在调研运用DLP及UEBA技术的数据泄露防护手段。管理层面,将数据进行分类分级管理,对不同安全级别的数据的各种操作制定严格的审批路径及操作流程。对于涉及敏感数据的查询、操作、导出等操作内容均由法律合规部进行参与监督。其实数据防护工作中最难的事情是理清公司数据资产的脉络。谁从哪生产的,在哪存储,通过什么渠道,交给谁消费,如果能有清晰的数据流向图,那么也就会有思路在哪个阶段哪个节点该做什么控制或防护,就这个事情对我们来说也是个非常大的挑战。

主持人:是呀,理清资产的脉络  需要大量的人力和精力,耗时耗力,对很多公司都是个不小的挑战,无论是技术手段的区域划分抑或数据流控,还是管理层面的分类分级,基本都不需要太多大众员工的参与。而企业要想把信息安全建设做的更好,就必然需要全员的参与,提高全体员工的安全意识,提高整个公司的安全水平。那么,在中信建投证券,员工的信息安全意识宣贯/培训这块工作是如何开展的?大致从哪几个层次或方面去落实的?

姜总:信息安全宣贯是很重要的信息安全工作之一,我们是力争想把宣贯工作做的更实际有效一些。根据不同的宣贯对象,我们主要分管理层、公司全员、信息技术专业条线以及安全管理组四个层面的宣贯。

面向管理层面的宣贯主要内容是对法规、监管合规相关内容的解读及适用情况形成报告。目的就是让领导知道,他们应该或者可能会承担什么责任。主要是通过IT治理委员会的会议等这种会议中进行汇报,使领导层了解到所具备的责任,另外也可便于获取跨部门的资源协助。

面向公司全员的安全意识培训的目的是为了让员工了解到什么该做什么不该做,属于普适性的知识宣传。主要开展方式包括新员工入职培训、每月的安全期刊发放以及每年定期的安全宣传周开展集中宣传。安全宣传周是我们去年开始尝试的集中式的宣贯方式。在宣传周一周内围绕着办公安全进行案例讲解、公众号宣传、海报宣传、模拟钓鱼、视频宣传等工作,同时与人力资源部协同开展全员合规考核,考核不通过的人员直接取消晋级晋档资格。

面向信息技术专业条线人员的培训以内部专业培训及聘请外部专业人员开展现场培训为主。按照以往实施的效果来看,比起大班的广范围培训,拿着真实案例场景进行小团队培训的效果更好。目前我们主要开展方法是由渗透团队就着某个系统的渗透测试报告,给相关开发团队进行培训,主要演示漏洞利用过程和可能造成影响,把他们自己的代码可能带来的后果真是摆在他们面前。

安全管理组的培训以自学、内部共享及外派为主。目前公司建立了信息安全实训平台,通过实训平台进行信息安全课程学习及实训操作研究。

总的来说宣贯培训工作需要日积月累的渗透及疏导,利用一切可以利用的场合,手段灌输信息安全意识。以自身的专家经验获取大家的认可,建立起大家的对信息安全团队的绝对信任,这样的信息安全意识宣贯是比较成功的。信息安全最好的宣贯,是信息安全团队自己。

主持人:多谢姜总。由此来看,中信建投证券在员工安全意识培训上还是下了不少功夫的。分层次、分人群的进行有针对性的培训,几乎涵盖了所有人员。

让我想到了一句话:有钱就是任性。前面访谈刚开始时姜总就提到了证券行业属于强监管的行业,那么请问姜总:证券行业与其他行业相比,有哪些不同的安全监管要求呢?

姜总:证券行业监管要求中,最大的特点应该是对信息服务机构的强监管要求,这里的信息服务机构也是指重要信息系统的服务提供商,是证监会在《证券基金经营机构信息技术管理办法》中开始提及的。刚才已经说过,跟证券行业的外包依赖程度是有关系的,同时对于一些非持牌互联网业务利用引流的模式开展持牌业务的情况,监管察觉到了潜在的风险,所以也希望把这些服务提供商纳入到监管范围内。此外,由于证券交易中存在各类违规交易风险,对部分自营类业务的监管要求是比较严格的,对业务员操作过程要求有详细的审计记录,包括电话、邮件以及通讯软件,就这个事情前阵子监管还专门下发了一个文件再次进行了强调。另外,关于投资者适当性、录音录像、开户身份验证、信息披露等事宜上,证券行业也均有较强的监管要求,但这些在其他金融行业也是普遍存在的。

主持人:好的,多谢姜总。既对证券行业的特殊监管要求作了分享,也对金融行业的共性监管要求作了阐述。既然监管部门对证券行业如此“关爱有加”(强监管),那么,在访谈的最后,请问一下:在您看来,对于证券行业,要想做好信息安全工作,必须要做的安全工作有哪些?除此之外,您还有哪些好的建议呢?

姜总:首先,合规工作还是应作为信息安全重点工作需要抓起来的,合规符合性工作在早期甚至在将来很长一段时间都是信息安全需要密切关注的。另外,漏洞管理工作可作为首要工作进行部署开展,拓展漏洞的发现及收集渠道,对漏洞生命周期的跟踪,漏洞修复结果的验证等流程落实。漏洞直接影响公司信息系统的暴露面及脆弱性,往往是信息系统的那块最短的短板。接着,终端安全是情况最为复杂也是非常重要的一环。如果有条件的情况,也非常推荐虚拟桌面的推广,能够降低非常多的办公终端的一些风险。终端涉及的问题从准入控制、防病毒、防泄漏、安全策略、行为审计等涉及非常广,但又容易出现盲点,管理非常棘手。还有一个个人认为非常重要的一点就是日志的留存工作。信息安全的非常多的工作是跟日志打交道。不仅是在事件分析、行为审计、异常溯源等场景需要有充分的日志支撑,在信息安全事件中能够证明信息安全团队做到了尽职免责的重要依据也是来自于各种日志信息。所以具备条件的情况下,强烈建议实现日志集中化管理,并具备一定的大数据关联分析能力。

对于目前所处甲方的信息安全团队的无奈,对信息安全技术人员培养工作很难具备充分的环境及案例支撑。初期能够具备安全分析、攻防研究、渗透测试等研究性质的技术岗位及人员难度及成本都比较大,就此目前还是建议已加深与专业机构及厂商的合作,通过知识输出与情报共享的方式弥补知识结构的缺失。而在适当的时机,逐渐对安全团队赋能增加相关职能,甚至培养安全团队的自研能力及服务能力,都是一个成熟的安全团队需具备的,这也是我们的目标与方向。

主持人:非常感谢姜总的分享。其实,合规、漏洞管理、终端安全、日志留存与审计等工作,对于任何一家公司而言,要想做好安全工作,都应该是需要去做的。只是根据自己的业务实际情况,企业就会选择不同的侧重点,也就是轻重缓急优先级不同而已。但总的来说,安全工作做的越多、越到位,相对就越安全一点。还是那句话:没有绝对的安全。


互动问答环节

提问者:感谢姜总的分享,收益匪浅!请教一下姜总:对信息安全团队如何监管?才能减少其有意或无意产生的安全问题呢?

姜总:你是指安全团队在日常工作中会触及敏感信息的事情?

提问者:

姜总:安全从业人员的修养问题一直是个难题,我认为最早的防控还是必须的,也就是背景调查;事后的控制上访问赋权最小化都是老生长谈了;配备专用终端做好审计留痕,这是必须的。对于安全团队来说,应该还是更多的威慑,所有操作都有留痕,也就知道哪些能做哪些不能做了

提问者:请教一个问题,如何定义信息安全团队的绩效?

姜总:安全绩效考核的问题我记得之前很多场合都会讨论这个事情,有各种声音,有说用KPI的,也有说用目标考核的。这个事情就我们目前的情况来说的话只能答复,我们只有重大事件的减分项,没有加分项。对安全团队考核来说,我确实给不出很好的建议,目前还是主观判断为主吧。

提问者:合规这么重要,请问姜总合规工作日常是怎么开展的?那些组织参与或主导?

姜总:合规的参与主导是法律合规部,其中涉及到信息系统的合规工作是有安全管理组主导的。合规工作在日常管理中,我们团队有个内审检查岗位,监督其他各组的合规有效性的检查,检查报告直接报告领导并做整改跟进。

提问者:那和我们现在的信息系统安全审计师的工作差不多呀?

姜总:是的。我们内查内审工作中还有一项工作就是每年会对整个制度进行制度的符合性检查及修订,在有需求是也会请外部咨询机构,这块的维护工作量非常大,特别是涉及到系统三级文档落地的情况。所以也就有了刚才介绍的ITGRC系统的推动。

提问者:嗯,谢谢姜总,其实IT内审工作关键还是看老板与领导的支持力度。不知道我说得对不对?

姜总:监管/法规->公司制度->落地产出这些要做到能对应上,应该说所有的安全工作都离不开领导的支持。我们合规主要参照的还是行业监管要求为主,如果有国家相关法规颁布,行业一般也会出相应的管理细则,比如等保也有证券行业的一套细则。对于国家跟国外的标准,我们的原则是只做选择性参考用于完善我们的体系,比如27001我们也只是参考,不拿证。