构建等级保护的体系.docVIP

构建等级保护的体系 　　等级保护是一种建立公司信息安全体系的方法，也是一个持续改进的过程，如何对公司的信息资产进行更合理的等级划分，进而制定切实可行的保护策略并贯彻实施，将是券商长期的工作。 　　证券业是无纸化的行业，证券业务完全是依赖信息系统完成的。中国证券市场从诞生、发展到现在仅仅十几年时间，但由于技术起点高，中国证券业的信息化建设已达到了较高水平。 　　随着我国证券业信息化的加速建设，信息系统规模越来越大，信息资产急剧增加，如何对这些资产进行有效管理，对其实施不同级别的安全保护将是证券业面临的巨大挑战。同时，信息系统内部采集、存储、传输、处理的信息量越来越大，对证券信息系统及其网络的依赖性更强，必须保证数据的安全采集、安全存储、安全传输和安全处理。来自互联网的威胁、网上交易潜在的威胁等都是值得我们关注的问题。 　　中国银河证券是国内大型券商之一，全国有167家营业部，分布在全国56个城市，客户达到300多万。可想而知，银河证券的信息系统也是十分庞大的。因此，银河证券的信息安全保障工作也是十分艰巨的。 　　 　　构建安全体系 　　 　　目前，银河证券的安全保障体系已经初步建立并在不断完善中。公司已经制定并发布了总体的安全策略文件。公司的信息安全体系文件是信息安全工作的内部“法规”、实际工作的标准、内部培训和审核的依据。信息安全体系建设过程中文件的创建工作是十分艰巨的，所以制定适合公司实际情况的信息安全体系文件是重点工作。策略文件包含建立信息安全体系的方针与目标文件、风险评估方法描述文件、文件控制程序、内部审核程序等文件。相关文件都应符和相应的标准。 　　信息安全体系是一个“人工系统”，需要组织管理才能运行。在安全组织体系建设中，银河证券建立了信息安全管理机构――信息安全工作领导小组。信息安全工作由主管公司信息系统的公司领导负责，工作小组由信息技术中心领导牵头，成员由各部门指定人员组成，形成了高层、中层、操作层的层次化管理。管理机构负责定义信息安全体系方针和目标、定义风险评估方法、创建体系文件、执行风险评估、制定风险处理计划、选择和实施控制措施、评审及改进等工作。 　　在信息安全体系建设的技术层面上，银河证券已具有了相当的技术实力。IDS、防病毒、补丁分发、网络加固、监控系统、垃圾邮件网关等技术的应用很好地保证了信息系统的安全。另外，公司聘请信息安全顾问服务提供厂商，提供7×24小时信息安全解决方案和应急服务。通过厂商的专业服务银河证券信息安全工作得到很大改观。 　　信息安全制度的实施十分关键，公司管理机构高度重视，加大了执行力度，并且计划将绩效考核与员工对相关制度的执行情况挂钩。同时，公司计划通过内部审核等手段来评估、完善相关制度。 　　 　　集中管理与分散交易 　　 　　银河证券在信息安全保证体系建设中注重对关键业务系统的高等级保护。 　　首先，对公司所有的信息资产进行彻底清查，为公司资产的等级化划分及制定、实施相应的保护策略提供了第一手资料，可以说这是对公司信息资产实施等级保护的基础工作。 　　第二，公司正在实施大集中项目建设。目前由于历史的原因，公司的业务模式一直是以营业部为中心运营，各营业部采用不同的软硬件平台和交易系统，客户的交易数据全放在营业部，客户的股票和资金全部由营业部自行管理，每个营业部直接将客户的委托上报交易所。应该讲，这种业务模式在市场发展的初级阶段是合理的、有效的。但随着证券市场业务多样化、监管规范化，市场竞争更加激烈，这种模式的弊端就日益显现出来，特别是这种模式存在资源分散、重复建设、安全漏洞和系统风险大、缺乏行之有效的管理和监控手段等问题。 　　证券公司的IT系统是推动业务转型、推动客户服务的重要基石，建立集约化管理、集中式证券交易系统已经成为业界共同的目标。 　　银河证券大集中交易总体目标是实现“集中管理、分散交易”。在总部设立集中的业务管理中心，承担所有营业部的业务管理、清算等职能。营业部剥离管理功能，形成以委托交易、营销服务为主的交易通道功能。 　　采用这种方案不仅实现了银河这样大型证券公司大集中交易的各项目标，同时又不受客户规模的影响，出现故障时能把损失减少到最小。各个交易中心可以在和总部通信中断的情况下，不影响进行本地委托交易。某个交易中心的故障不会影响到其他交易中心。简单地说，就是前台仅负责实时交易，后台负责统一清算、统一账户管理、统一客户管理、第三方存管等工作。 　　通过大集中项目，将公司的核心数据集中到总部统一管理，这样不仅做到了核心资产的集中管理和监控，同时也做到了风险控制点的集中管理，而且公司的集中模式并不会因为集中带来更大的风险。这样就突出了公司最核心的等级保护级别，从而制定了针对此核心保护级别的保护策略。 　　 　　实现两网