近日,中(zhōng)证协印发《证券公(gōng)司网络和信息安(ān)全三年提升计划(2023-2025)》(下称《安(ān)全提升计划》),阐明未来三年全面提升证券公(gōng)司网络和信息安(ān)全的指导思想、基本原则、总體(tǐ)目标、主要任務(wù)及实施路径。
《安(ān)全提升计划》围绕國(guó)家关于网络和信息安(ān)全的具(jù)體(tǐ)要求,聚焦提升行业科(kē)技(jì )治理(lǐ)和信息系统架构掌控能(néng)力,聚焦防范网络和信息安(ān)全风险,明确六类31项主要任務(wù)要求,形成32项具(jù)體(tǐ)任務(wù)清单。
《安(ān)全提升计划》明确了应当遵循的基本原则:一是稳健性原则,强化合规风控,严守风险底線(xiàn);二是系统性原则,强化协同机制,整體(tǐ)规划;三是差异性原则,强化专业引领,因司制宜;四是创新(xīn)性原则,强化创新(xīn)驱动,科(kē)技(jì )赋能(néng)。
(一)持续提升科(kē)技(jì )治理(lǐ)水平的任務(wù)共5项
包括完善信息科(kē)技(jì )战略发展规划、发挥科(kē)技(jì )治理(lǐ)组织作(zuò)用(yòng)、推动信息科(kē)技(jì )管理(lǐ)體(tǐ)系建设、健全信息科(kē)技(jì )风险管理(lǐ)三道防線(xiàn)、完善供应商(shāng)管理(lǐ)机制等方面。
其中(zhōng),充分(fēn)发挥科(kē)技(jì )治理(lǐ)组织作(zuò)用(yòng)指出,进一步健全科(kē)技(jì )治理(lǐ)架构,加强科(kē)技(jì )治理(lǐ)组织对网络和信息安(ān)全保障工(gōng)作(zuò)的主导和统筹,推动网络和信息安(ān)全工(gōng)作(zuò)逐步由被动防御转变為(wèi)主动加固和动态保障。在保障主机安(ān)全、网络安(ān)全和应用(yòng)安(ān)全的基础上,进一步提高科(kē)技(jì )治理(lǐ)组织在数据安(ān)全管理(lǐ)、安(ān)全应急响应等方面的治理(lǐ)能(néng)力,提高科(kē)技(jì )治理(lǐ)组织对重大IT事项决策的科(kē)學(xué)性和有(yǒu)效性。
增强合规风控内部审查指出,健全网络和信息安(ān)全风险管理(lǐ)二道防線(xiàn),增强内部审查力度,全面识别风险、揭示问题,定期组织各防線(xiàn)的内部审查,建立闭环管理(lǐ)机制,确保风险及问题妥当处置。充分(fēn)发挥合规风控二道防線(xiàn)的监控和督导作(zuò)用(yòng)。对业務(wù)开展中(zhōng)可(kě)能(néng)涉及网络和信息安(ān)全合规性的事项进行评估和审核,处理(lǐ)好安(ān)全、效率与易用(yòng)性等各类特性的关系。加强信息科(kē)技(jì )管理(lǐ)相关流程的数字化建设,建立相应的风险监控系统,对业務(wù)开展中(zhōng)可(kě)能(néng)涉及网络和信息安(ān)全合规性的事项进行监测和评估,降低信息科(kē)技(jì )各个环节的操作(zuò)风险。
(二)建立科(kē)學(xué)合理(lǐ)的科(kē)技(jì )投入机制的任務(wù)共2项
包括加大科(kē)技(jì )资金投入、加强科(kē)技(jì )人才队伍建设等方面。
(三)增强信息系统架构规划掌控能(néng)力的任務(wù)共5项
包括建立及完善系统架构管理(lǐ)机制、建设及健全企业级应用(yòng)架构、持续加强数据架构體(tǐ)系治理(lǐ)、多(duō)方位推进技(jì )术架构转型升级、持续提高核心系统自主掌控能(néng)力等方面。
(四)强化系统研发测试管理(lǐ)能(néng)力的任務(wù)共4项
包括建立及完善需求设计及分(fēn)析机制、提升代码开发效率及安(ān)全、制定并落实信息系统代码审计规范、加强信息系统测试质(zhì)量管控等方面。
制定并落实信息系统代码审计规范指出,制定及完善涵盖自研系统和外購(gòu)类系统的代码审计规范。自研系统的代码审计,实现全部代码审计100%覆盖。外購(gòu)系统的代码审计,根据系统交付是否包含源代码,决定是否通过安(ān)全代码审计检查或要求供应商(shāng)提供代码审计报告。
(五)夯实系统运行保障能(néng)力的任務(wù)共7项
包括加强信息系统上下線(xiàn)管理(lǐ)、管控信息系统变更风险、提升信息系统故障发现能(néng)力、提高事件预警及处置效率、健全组织级应急响应管理(lǐ)机制、做好信息系统容量与性能(néng)管理(lǐ)、完善重要信息系统数据备份能(néng)力等方面。
(六)健全信息安(ān)全防护體(tǐ)系的任務(wù)共8项
包括落实等级保护定级和测评要求、深化漏洞全生命周期管控、提升安(ān)全攻击防控能(néng)力、加强网络安(ān)全态势感知和通报预警、完善移动客户端应用(yòng)软件认证机制、加强数据安(ān)全管理(lǐ)體(tǐ)系建设、持续加强安(ān)全意识培训、做好安(ān)全全局性建设等方面。
深化漏洞全生命周期管控指出,建立完善的漏洞管理(lǐ)制度,明确分(fēn)级分(fēn)类标准、职责分(fēn)工(gōng)与处置要求,漏洞管理(lǐ)覆盖研发过程管理(lǐ)、供应链管理(lǐ)和常态化风险巡检等方面。软件研发方面,建设与研发过程融合的应用(yòng)安(ān)全管理(lǐ)體(tǐ)系。实施应用(yòng)威胁建模,做好应用(yòng)安(ān)全架构设计;使用(yòng)白盒检测、黑盒检测、灰盒检测和人工(gōng)渗透相结合的技(jì )术手段,检测代码安(ān)全缺陷和引入的第三方组件漏洞,提升安(ān)全风险检测的全面性、准确性和效率,实现漏洞通报、修复的闭环管理(lǐ),确保变更上線(xiàn)前已知风险全面收敛。
爱加密始终坚持以解决用(yòng)户需求為(wèi)宗旨,业務(wù)需求与监管要求双导航,凭借丰富的行业实践经验、监管支撑经验以及具(jù)有(yǒu)市场竞争力的产(chǎn)品和解决方案,可(kě)提供覆盖移动业務(wù)规划、设计、开发、实施、检测、合规、监控的全生命周期的一站式移动安(ān)全服務(wù)。产(chǎn)品覆盖安(ān)全检测、安(ān)全加固、个人信息安(ān)全检测平台、源代码审计平台、Web应用(yòng)系统攻击自免疫平台、开源软件成分(fēn)分(fēn)析、安(ān)全开发管理(lǐ)平台(SDLC)、灰盒测试平台IAST、数据出境合规治理(lǐ)平台、等级保护测评、态势感知、安(ān)全服務(wù)等,可(kě)帮助提升移动安(ān)全的整體(tǐ)管理(lǐ)能(néng)力和技(jì )术防护能(néng)力,快速响应和满足國(guó)家、监管机构及企业自身的合规政策和标准要求,确保移动业務(wù)的安(ān)全、稳定。
爱加密移动应用(yòng)个人信息安(ān)全检测平台
针对移动应用(yòng)的基本信息、漏洞信息、收集和使用(yòng)个人信息行為(wèi)、通讯传输行為(wèi)、软件和技(jì )术供应链情况、技(jì )术脆弱性、隐私政策规范性等进行多(duō)维度安(ān)全检测和合规检测,并出具(jù)专业的个人信息安(ān)全报告。帮助监管机构准确、有(yǒu)效地提供行政执法依据;帮助测评机构出具(jù)专业的个人信息测评报告;帮助应用(yòng)开发企业在应用(yòng)发布前评估个人信息的安(ān)全性和合规性。
爱加密源代码审计平台
爱加密源代码审计平台是通过对软件的源代码进行分(fēn)析,发现程序中(zhōng)存在的安(ān)全漏洞、程序错误(BUG)及代码质(zhì)量缺陷的技(jì )术手段。相对于传统的黑盒程序测试手段,源代码分(fēn)析是一种白盒的软件检测技(jì )术。基于黑盒的测试无法了解到软件内部的运行逻辑和具(jù)體(tǐ)实现,而白盒检测可(kě)以看到软件内部实现的所有(yǒu)细节,因此基于源代码的检测能(néng)够更全面彻底的发现软件中(zhōng)存在的问题。它能(néng)够高效的检测出软件源代码中(zhōng)的可(kě)能(néng)导致严重缺陷漏洞和系统运行异常的代码缺陷,并准确定位告警,从而有(yǒu)效的帮助开发人员消除代码中(zhōng)的缺陷。
爱加密Web应用(yòng)系统攻击自免疫平台
爱加密Web应用(yòng)系统攻击自免疫平台,其攻击自免疫技(jì )术理(lǐ)念来源于RASP技(jì )术理(lǐ)念。
“自免疫”的技(jì )术理(lǐ)念是将保护程序像疫苗一样注入到应用(yòng)程序中(zhōng),结合应用(yòng)程序的运行逻辑,在运行态通过对用(yòng)户请求 进行安(ān)全检测、依据模型直接阻断恶意行為(wèi),实时刻画攻击事件现场,可(kě)以有(yǒu)效防御各类应用(yòng)层攻击,如SQL注入、跨站脚本(XSS)、命令注入等。其特有(yǒu)的实时升级系统可(kě)将漏洞防御措施及时更新(xīn)到应用(yòng)程序中(zhōng),帮助应用(yòng)程序有(yǒu)效抵御0day漏洞带来的潜在威胁。
通过实时自我防御、自适应智能(néng)防御,有(yǒu)效发现安(ān)全隐患,实现事件的预警及流程 化、自动化、智能(néng)化的处置。直观展现黑客攻击路径,追踪溯源,并及时准确地对各攻击目标下发应急响应任務(wù)。
爱加密灰盒测试平台IAST
爱加密交互式应用(yòng)安(ān)全测试系统(以下简称IAST)拥有(yǒu)极高的漏洞检出率和极低的漏洞误报率,同时可(kě)以定位到API接口和代码片段。通过全场景流量分(fēn)析技(jì )术,如运行时应用(yòng)插桩(含主动及被动)、启发式爬虫、代理(lǐ)/VPN及流量管家等,在用(yòng)户的组织内部快速建立安(ān)全众测模式,完成应用(yòng)功能(néng)测试的同时即可(kě)透明实现深度业務(wù)安(ān)全测试,有(yǒu)效覆盖90%以上中(zhōng)高危漏洞,防止应用(yòng)带病上線(xiàn)。
IAST最大的价值在于不破坏DevOps的协作(zuò)性和敏捷性的同时实现安(ān)全测试的“左移”,将部分(fēn)安(ān)全测试工(gōng)作(zuò)提前到功能(néng)测试阶段,通过服務(wù)端部署Agent探针、流量代理(lǐ)/VPN或主机系统软件等,收集、监控Web应用(yòng)程序运行时函数执行、数据传输,并与扫描器端进行实时交互,高效、准确的识别安(ān)全缺陷及漏洞,同时可(kě)准确确定漏洞所在的代码文(wén)件、行数、函数及参数,可(kě)识别漏洞的形成过程。通过IAST可(kě)以帮助研发人员更早期的发现安(ān)全漏洞,更低成本的解决安(ān)全漏洞,减少因安(ān)全问题导致的返工(gōng),提高整體(tǐ)项目研发效率。
京公(gōng)网安(ān)备
11010802025310号