域名預(yù)訂/競(jìng)價(jià),好“米”不錯(cuò)過(guò)
「云研報(bào)·金融」關(guān)注金融科技新動(dòng)向,分享金融數(shù)字化洞察與最佳實(shí)踐。以青云科技(qingcloud.com,股票代碼:688316)數(shù)字價(jià)值研究院對(duì)金融行業(yè)的研究為基礎(chǔ),結(jié)合青云產(chǎn)品技術(shù)創(chuàng)新、行業(yè)服務(wù)經(jīng)驗(yàn)、數(shù)字化轉(zhuǎn)型實(shí)踐,持續(xù)分享有價(jià)值的內(nèi)容。
近日,中國(guó)證券業(yè)協(xié)會(huì)組織起草了《證券公司網(wǎng)絡(luò)和信息安全三年提升計(jì)劃(2023-2025)》(下稱《安全提升計(jì)劃》),并于 1 月 6 日開(kāi)始向券商征求意見(jiàn)?!栋踩嵘?jì)劃》從科技治理能力、科技投入機(jī)制、信息系統(tǒng)架構(gòu)規(guī)劃設(shè)計(jì)、研發(fā)測(cè)試效能與質(zhì)量、系統(tǒng)運(yùn)行保障能力、網(wǎng)絡(luò)信息安全防護(hù)體系等六個(gè)方面明確提出了提升方向和要求。
作為一家在金融行業(yè)深耕十余年的企業(yè)級(jí)云服務(wù)商與數(shù)字化解決方案提供商,青云數(shù)字價(jià)值研究院對(duì)《安全提升計(jì)劃》的重點(diǎn)內(nèi)容進(jìn)行如下分析和解讀:
核心關(guān)鍵詞一: 信息科技投入
一、合理加大科技資金投入
1、《安全提升計(jì)劃》提出建立科學(xué)合理的科技投入機(jī)制,要求證券行業(yè)合理加大科技資金投入,并鼓勵(lì)有條件的公司 2023-2025 年信息科技平均投入金額不少于上述三個(gè)年度平均凈利潤(rùn)的 8% 或平均營(yíng)業(yè)收入的 6%。
以最新披露的數(shù)據(jù)為例,2021 年證券行業(yè)信息技術(shù)投入金額為 338.2 億元,同比增長(zhǎng) 28.7%,占上一年度營(yíng)業(yè)收入的 7.7%;其中有 10 家券商的投入均超 10 億元,信息技術(shù)投入占營(yíng)業(yè)收入比例超 6% 的券商有 20 家,而不少中小券商也將金融科技視為核心競(jìng)爭(zhēng)力之一,華林證券、華鑫證券的投入占比均已超 20%;不過(guò)中信證券、中信建投等部分頭部券商的投入占比均在 6% 以下。
2、其中網(wǎng)絡(luò)和信息安全投入不低于信息科技投入總額的 7%。
二、加強(qiáng)科技人才隊(duì)伍建設(shè)
信息科技專業(yè)人員不低于公司員工總數(shù)的 6%,目前中國(guó)有 6 家證劵公司人數(shù)突破 1 萬(wàn)人,按這個(gè)比例,也就要求科技人員要達(dá)到至少 600 人以上;網(wǎng)絡(luò)和信息安全專業(yè)人員,不低于信息科技專業(yè)人員的 3% 且不應(yīng)少于 4 人。
青云數(shù)字價(jià)值研究院認(rèn)為,券商信息科技建設(shè)的重視程度將不斷提升,IT 投入水平也將出現(xiàn)較大的增量空間。
核心關(guān)鍵詞二: 架構(gòu)建設(shè)
《安全提升計(jì)劃》提出“應(yīng)用架構(gòu)、數(shù)據(jù)架構(gòu)、技術(shù)架構(gòu)”三大架構(gòu)的建設(shè)方向,并要求建立一個(gè)【架構(gòu)管理】的機(jī)制。
一、應(yīng)用架構(gòu):強(qiáng)調(diào)提高架構(gòu)復(fù)用性,防止系統(tǒng)的重復(fù)建設(shè);降低軟件開(kāi)發(fā)、系統(tǒng)維護(hù)和升級(jí)等方面的費(fèi)用。
二、數(shù)據(jù)架構(gòu):強(qiáng)調(diào)持續(xù)加強(qiáng)在數(shù)據(jù)全生命周期的各階段,建立并落實(shí)技術(shù)防護(hù)能力。
三、技術(shù)架構(gòu):強(qiáng)調(diào)加強(qiáng)核心系統(tǒng)的技術(shù)攻關(guān),鼓勵(lì)有條件的證券公司積極推進(jìn)新一代核心系統(tǒng)的建設(shè)和轉(zhuǎn)型。
新一代核心系統(tǒng)的建設(shè)及轉(zhuǎn)型升級(jí)工作,即“建設(shè)+轉(zhuǎn)型”兩方面的工作:
一、從集中式專有技術(shù)架構(gòu)向分布式、低時(shí)延、開(kāi)放技術(shù)架構(gòu)轉(zhuǎn)型,具備高可用、高性能、低延時(shí)、易擴(kuò)展及松耦合等特性。
二、鼓勵(lì)上云。
1、鼓勵(lì)有條件的證券公司加快信息系統(tǒng)上云,通過(guò)云計(jì)算平臺(tái)承載及運(yùn)行的信息系統(tǒng)比例不低于 60%。
2、由容器等云平臺(tái)承載的云原生系統(tǒng)比例不低于 10%。
核心關(guān)鍵詞三:自主掌控能力
《安全提升計(jì)劃》提出要提高核心系統(tǒng)自主掌控能力。具體來(lái)說(shuō),主要通過(guò)兩種最基本方式:
一、鼓勵(lì)證劵公司自研
鼓勵(lì)有條件的證券公司合作研發(fā)或自主研發(fā)安全可控的關(guān)鍵技術(shù)、系統(tǒng)或設(shè)施。
二、外購(gòu)方式,確保對(duì)關(guān)鍵技術(shù)的掌控
對(duì)于外購(gòu)系統(tǒng),要求廠商提供完整的系統(tǒng)技術(shù)資料,確保深入掌握系統(tǒng)的技術(shù)架構(gòu)與關(guān)鍵技術(shù)環(huán)節(jié)。
此外,提出不管自研還是外購(gòu)代碼,全部代碼 100% 審計(jì):
1、制定及完善涵蓋自研系統(tǒng)和外購(gòu)類系統(tǒng)的代碼審計(jì)規(guī)范。
2、外購(gòu)系統(tǒng)的代碼審計(jì),根據(jù)系統(tǒng)交付是否包含源代碼,決定是否通過(guò)安全代碼審計(jì)檢查或要求供應(yīng)商提供代碼審計(jì)報(bào)告。重要系統(tǒng)新上線或重大變更必須全面完成“測(cè)試驗(yàn)收”,重要信息系統(tǒng)的自動(dòng)化測(cè)試比例不低于整體測(cè)試比例的 30%。
核心關(guān)鍵詞四:提升開(kāi)發(fā)效率及安全
一、研發(fā)規(guī)范的制定。
二、研發(fā)工具建設(shè),建設(shè)統(tǒng)一的源代碼管理工具、標(biāo)準(zhǔn)化的研發(fā)運(yùn)維一體化工具。
三、如果找第三方合作,那么必須具備強(qiáng)風(fēng)險(xiǎn)管控能力。事前對(duì)第三方充分評(píng)估,并簽署安全承諾書(shū)或合同條款:
1、充分評(píng)估審核后再開(kāi)展業(yè)務(wù)。
2、落實(shí)關(guān)鍵信息基礎(chǔ)設(shè)施系統(tǒng)網(wǎng)絡(luò)安全審查預(yù)判,通過(guò)簽署安全承諾書(shū)或在合同中包含信息安全條款等方式,加強(qiáng)對(duì)第三方的約束。
3、全周期,持續(xù)性監(jiān)管第三方。持續(xù)對(duì)第三方系統(tǒng)開(kāi)展全方位的安全檢測(cè)監(jiān)控,按要求提供代碼安全掃描報(bào)告,及時(shí)解決發(fā)現(xiàn)的代碼安全問(wèn)題,修復(fù)系統(tǒng)運(yùn)行過(guò)程中發(fā)現(xiàn)的漏洞。
核心關(guān)鍵詞五:夯實(shí)系統(tǒng)運(yùn)行保障能力
持續(xù)提升信息系統(tǒng)故障發(fā)現(xiàn)能力。證券公司在 2023 年底前建立全面覆蓋業(yè)務(wù)、應(yīng)用、底層基礎(chǔ)架構(gòu)和基礎(chǔ)設(shè)施的信息系統(tǒng)運(yùn)行監(jiān)測(cè)體系,并持續(xù)完善,不斷提升運(yùn)行監(jiān)控的覆蓋度,建設(shè)統(tǒng)一的告警平臺(tái)。
在 2023 年底前制定信息系統(tǒng)備份管理策略,建立數(shù)據(jù)防丟、防刪的權(quán)限管控機(jī)制和技術(shù)手段,提升重要信息系統(tǒng)的備份管控能力建設(shè)。
核心關(guān)鍵詞六:健全網(wǎng)絡(luò)安防護(hù)體系
在 2023 年底前建立完善的漏洞管理制度,明確分級(jí)分類標(biāo)準(zhǔn)、職責(zé)分工與處置要求,漏洞管理覆蓋研發(fā)過(guò)程管理、供應(yīng)鏈管理和常態(tài)化風(fēng)險(xiǎn)巡檢等方面。
確保第三方系統(tǒng)不記錄、不存儲(chǔ)、不更改相關(guān)業(yè)務(wù)、客戶數(shù)據(jù)及資料。
- 對(duì)“所有”信息系統(tǒng),開(kāi)展等保定級(jí)。
- 對(duì)“重要”信息系統(tǒng),按照監(jiān)管機(jī)構(gòu)的指導(dǎo)意見(jiàn)將定為三級(jí)或二級(jí)。
提升安全攻擊防控能力建設(shè),統(tǒng)一的安全運(yùn)營(yíng)中心,加大安全響應(yīng)自動(dòng)化能力的建設(shè)。數(shù)據(jù)使用上“依法合規(guī)、最小必要”,所有授權(quán)操作均符合“最小授權(quán)”原則。所有用戶授權(quán)有記錄,并具備數(shù)據(jù)全生命周期的安全管理長(zhǎng)效機(jī)制和防護(hù)措施。
結(jié)語(yǔ)
如此投入規(guī)模,對(duì)于網(wǎng)絡(luò)安全行業(yè)而言無(wú)疑是一個(gè)重大利好。作為一家企業(yè)級(jí)云服務(wù)商與數(shù)字化解決方案提供商,青云科技深耕金融行業(yè)十余年,堅(jiān)持核心技術(shù) 100% 自研,具備行業(yè)頂尖的技術(shù)研發(fā)實(shí)力,憑借多年的實(shí)踐經(jīng)驗(yàn),以及對(duì)金融行業(yè)數(shù)字化轉(zhuǎn)型的全面理解,已具備支撐證券機(jī)構(gòu)開(kāi)展《安全提升計(jì)劃》落地工作的能力。
代碼的安全性測(cè)試是金融機(jī)構(gòu)新的關(guān)注點(diǎn),在提升自主開(kāi)發(fā)效率及安全方面,DevSecOps 在青云科技的一些客戶中得到了實(shí)踐,DevOps 將開(kāi)發(fā)、測(cè)試、運(yùn)維打通,使之前傳統(tǒng)孤立的角色(開(kāi)發(fā)、IT 運(yùn)營(yíng)、質(zhì)量工程和安全)可以更好地協(xié)作。青云容器平臺(tái)通過(guò)插件的方式集成了 DevOps、微服務(wù)以及持續(xù)交付的組件。同時(shí),青云整合了 DevOps 流水線的交付組件,讓開(kāi)發(fā)者、測(cè)試人員以及最終上線的運(yùn)維串聯(lián)起來(lái),大大提高了運(yùn)維及開(kāi)發(fā)效率。
在行業(yè)核心系統(tǒng)架構(gòu)建設(shè)與管理方面,青云科技面向大型和中小券商提供了企業(yè)云、分布式存儲(chǔ)、云易捷和容器云等多種產(chǎn)品和解決方案,契合券商架構(gòu)轉(zhuǎn)型的不同階段和不同基礎(chǔ)架構(gòu)類型的需求,全面助力和推動(dòng)證券行業(yè)的架構(gòu)轉(zhuǎn)型建設(shè)。青云提供靈活定制的云原生套餐,通過(guò)三大容器平臺(tái),覆蓋公有云、私有云、混合云、多云、開(kāi)源等各種應(yīng)用場(chǎng)景,為證券行業(yè)提供最適合的專屬云原生服務(wù)。
青云數(shù)字價(jià)值研究院認(rèn)為,《安全提升計(jì)劃》或?qū)⒊蔀槲磥?lái)三年(2023-2025年)券商的數(shù)字化轉(zhuǎn)型建設(shè)的指路明燈。證券行業(yè)數(shù)字化轉(zhuǎn)型將加速推進(jìn),在廣度和深度上不斷擴(kuò)大。青云科技將繼續(xù)發(fā)揮優(yōu)勢(shì),不斷創(chuàng)新,以更堅(jiān)實(shí)的技術(shù)底座,全面賦能證券行業(yè)基礎(chǔ)設(shè)施建設(shè)及架構(gòu)轉(zhuǎn)型升級(jí)的雙輪數(shù)字化升級(jí)。
六大關(guān)鍵詞深解證券公司《安全提升計(jì)劃》,青云科技為實(shí)現(xiàn)落地提供全面支持
申請(qǐng)創(chuàng)業(yè)報(bào)道,分享創(chuàng)業(yè)好點(diǎn)子。點(diǎn)擊此處,共同探討創(chuàng)業(yè)新機(jī)遇!