证券业的数据安全与保护

季常青

（南京证券股份有限公司 江苏 210001）

0 引言

随着我国资本市场的迅速发展，市场的规模扩大的同时也增强了社会的影响力。作为国民经济的重要组成部分的证券市场，同时也是老百姓的投资理财渠道。证券市场的安全与稳定对投资者、社会稳定、国家金融安全都有着非常重要的意义。面对日益复杂的数据安全问题威胁，应该积极采用防御措施，减少数据安全问题的发生。

1 证券业数据安全现状与存在的问题

1.1 数据安全法规及标准体系

证券业数据安全需要健全的数据安全法律法规与标准体系来保障，这些是数据安全的第一道防线。我国证监会从 1998年开始就发布了一系列的安全法规和技术标准，这些安全法规与标准体系的初步形成推动者证券业数据安全的规范化与标准化。虽然我国有众多的数据安全规范性文件，但是在现行的法律规范中，立体主体多、体系繁杂、没有统筹规划的问题突出，不能够适应新形势下的数据安全保护工作。主要存在的问题有：法规建设滞后，没有总体的规划；规范不能互通和协调，尤其不能注重结合行业特点，可执行性不高；一部分规范已经不能够应对新型的数据安全威胁；部分规范不能够得到落实[1]。

1.2 组织体系与数据安全保障管理

对数据安全的管理和保护都离不开人员的组织与实施，组织体系是数据安全保护工作最重要的部分。为了协调数据安全保障工作的组织，应该建立与健全数据安全管理制度与运行机制，提高整体的数据安全保障工作水平。作为一线的技术管理人员，我们认识到组织体系和安全管理制度对于数据的保护是十分重要的。例如，公司应设立专门的安全总监，负责技术、网络安全；应设立审核岗，专门负责审核运维、开发工作人员的所有操作记录；应设立资料员岗，负责保管系统密码，数据光盘；还有重要的业务数据需要提交测试时，必须严格按照公司规定进行脱敏处理等等。只有在制度上和运行机制上堵住了数据泄漏或被篡改的渠道，才能建立起数据安全保障的基本防线。

2 证券业数据保护措施

2.1 完善法律规范与标准体系

从法律法规规划上来说，应该要统筹兼顾地制定数据安全规范与标准体系框架，一方面要做好立法工作规划，另一方面要是数据安全标准与体系科学、规范。从法律法规制定上说，要将规范与发展统筹兼顾，提高法规的可操作性。从法律法规的实施上说，要将规范与引导结合起来，重视监督工作，落实责任。

2.2 证券业IT治理工作

2.2.1 提高IT治理意识

中国证券协会加强IT治理理念的宣传教育工作，尤其是单位的高层领导，要对其进行IT治理培训，在高管任职考核中加入IT治理方面的理论知识[4]。通过让证券经营机构参加论坛、交流会等方式加强IT管理意识，提高积极性。

要充分认识到数据安全治理的必要性：它是证券公司稳定运行的需要；是监管部门风险管理的需要；是证券业务及管理创新的需要；是合规的需要；要明确IT治理中数据治理的要点：（1）是明确证券公司数据治理的的主体，一定要落实到公司的高层管理人员；（2）是要建立数据质量标准。明确业务框架，确定业务流程后，建立清晰的数据视图；（3）加强数据生民周期全过程管理；数据的生成及传输、数据的存储、数据处理和应用、数据销毁；等环节必须明确流程，落实到岗，全过程管控；这些关键点在IT治理中必须要明确，不能含糊或缺失。

2.2.2 通过IT治理试点最终实现以点带面

IT治理不同的模式具有不同的特点，在证券经营机构不同的阶层要根据具体情况采用不同的IT治理模式。证监会要制定一些证券公司作为试点单位，对IT治理模式进行实践与探索，通过这些优秀范例的树立来带动整个证券业 IT 治理水平的提高。

2.3 落实信息安全等级保护

在行业信息安全等级保护工作中行业监管部门有着非常重要的作用，应该监管部门的任务与机制进行进一步的明确，通过统一的部署与组织来实现数据安全保护工作，为数据安全保护保护工作的展开提供组织基础[5]。证券业各机构应该自主贯彻信息系统安全等级保护，并对实施情况进行评估，一旦发现不足应立刻制定整改方案并实施。

证券业应当依托证券业协会，组织技术力量根据国家的《信息安全等级保护办法》制定符合自己行业特点的等保规范，按照这个行业规范实施能跟好的保护券商信息系统安全，达到防范数据风险的目的。

2.4 加强网络安全体系规划

2.4.1 进行以等级保护为依据的统筹规划

围绕信息安全的全过程的基础性的管理制度就是等级保护，通过等级化的方法将其与安全体系规划结合起来，对证券网络的安全体系进行统筹规划与建设，建立一套数据安全保障体系，是解决证券业网络安全问题的有效办法，能够最大程度地保护网络数据安全。

2.4.2 提高网络防护能力

加强对证券业提供设备、技术、服务的IT公司的管理，确保这些设备、技术、服务等符合国家与行业的相关技术标准。依据网络隔离的观点，在业务网与办公网、互联网之间分别建立网络隔离，网上交易的子系统之间也要建立有效的网络隔离。从技术上来说，就是针对不同的业务区域利用网闸来进行隔离；主要的网络边界和外部进口都要进行渗透测试，加固系统和设备的安全性，降低由于系统漏洞带来的安全风险；网上交易是要采用高强度的认证方法，如电子签名、数字认证等，通过访问控制的加强来保护数据安全；面对恶意攻击事件越演越烈的情况，要通过一系列措施的加强来实现网站的保护，提高对恶意攻击的防护能力；采用高科技手段来提高客户端软件交易的安全性[6]。

3 结语

数据的安全与保护工作要重视平时的工作。市场的监管、组织、参与等方面要通过长期的、不间断的努力来实现证券业数据安全，使证券业数据保护工作向着安全、经济、高效的方向不断前进与发展，满足资金市场创新、规范、稳定的新需求，为证券业的稳定运行与发展提供保障，从而保障资本市场的快速的、平稳的发展。

[1]张蕊.发挥证券业后发优势 实现IT稳步发展——访中国银河证券股份有限公司信息技术部副总经理唐沛来[J].中国金融电脑，2010，03（09）：19-24.

[2]陈建明.中国金融证券业软件与信息服务市场分析[J].发展的信息技术对管理的挑战——管理科学学术会议专辑（下），2010，12（11）：11-13.

[3]谢涛，陈天华.信息技术革命与证券业的发展——访国泰证券公司副总经理赵大建[J].企业家天地下半月刊（理论版），2011，23（14）：19-26.