文档介绍:构建等级保护体系
唐沛来 庄肖斌 等级保护是一种建立公司信息安全体系的方法,也是一个持续改进的过程,如何对公司的信息资产进行更合理的等级划分,进而制定切实可行的保护策略并贯彻实施,将是券商长期的工作。
证券业是无纸化的行保证了信息系统的安全。另外,公司聘请信息安全顾问服务提供厂商,提供7×24小时信息安全解决方案和应急服务。通过厂商的专业服务银河证券信息安全工作得到很大改观。
信息安全制度的实施十分关键,公司管理机构高度重视,加大了执行力度,并且计划将绩效考核与员工对相关制度的执行情况挂钩。同时,公司计划通过内部审核等手段来评估、完善相关制度。
集中管理与分散交易
银河证券在信息安全保证体系建设中注重对关键业务系统的高等级保护。
首先,对公司所有的信息资产进行彻底清查,为公司资产的等级化划分及制定、实施相应的保护策略提供了第一手资料,可以说这是对公司信息资产实施等级保护的基础工作。
第二,公司正在实施大集中项目建设。目前由于历史的原因,公司的业务模式一直是以营业部为中心运营,各营业部采用不同的软硬件平台和交易系统,客户的交易数据全放在营业部,客户的股票和资金全部由营业部自行管理,每个营业部直接将客户的委托上报交易所。应该讲,这种业务模式在市场发展的初级阶段是合理的、有效的。但随着证券市场业务多样化、监管规范化,市场竞争更加激烈,这种模式的弊端就日益显现出来,特别是这种模式存在资源分散、重复建设、安全漏洞和系统风险大、缺乏行之有效的管理和监控手段等问题。
证券公司的IT系统是推动业务转型、推动客户服务的重要基石,建立集约化管理、集中式证券交易系统已经成为业界共同的目标。
银河证券大集中交易总体目标是实现“集中管理、分散交易”。在总部设立集中的业务管理中心,承担所有营业部的业务管理、清算等职能。营业部剥离管理功能,形成以委托交易、营销服务为主的交易通道功能。
采用这种方案不仅实现了银河这样大型证券公司大集中交易的各项目标,同时又不受客户规模的影响,出现故障时能把损失减少到最小。各个交易中心可以在和总部通信中断的情况下,不影响进行本地委托交易。某个交易中心的故障不会影响到其他交易中心。简单地说,就是前台仅负责实时交易,后台负责统一清算、统一账户管理、统一客户管理、第三方存管等工作。
通过大集中项目,将公司的核心数据集中到总部统一管理,这样不仅做到了核心资产的集中管理和监控,同时也做到了风险控制点的集中管理,而且公司的集中模式并不会因为集中带来更大的风险。这样就突出了公司最核心的等级保护级别,从而制定了针对此核心保护级别的保护策略。
实现两网分离
另外,公司还实施了两网分离项目。在项目实施之前,办公网和业务网没有分开,办公网主机的问题很容易影响到业务网,例如办公网的主机感染病毒,就很容易影响业务主机。同时没有一个统一的IP地址规划,一旦病毒等问题出现,就很难快速地对病毒做控制,因为即使针对的是同一项业务,也不能做统一的策略,必须对各个营业部分别采取措施,这需要花费大量的时间,而且不易实施,往往在控制病毒的同时也将一些正常的业务控制住了,影响了正常的业务开展。
公司的业务网是公司的核心网络,它的安全等级要比