日前，中國證監會發布《上市公司公告電子化規范》《證券期貨業信息安全運營管理指南》等9項金融行業標準，進一步夯實了科技監管基礎。其中《證券期貨業信息安全運營管理指南》（簡稱《指南》）提供了開展信息安全運營管理中指導思路及方法，并給出了信息安全運營工作各管理域的度量指標以及最佳實踐，可有效指導證券期貨業機構建立完善的安全運營體系和流程，規范信息安全運營管理過程，推動相關安全措施的有效實施和持續改進。

《指南》適用于證券期貨行業的核心機構和經營機構在完成基礎的信息安全建設后開展的信息安全運營管理工作。（注：核心機構包括證券交易所、期貨交易所、登記結算公司等，經營機構包括證券公司、期貨公司、基金管理公司等）

《指南》各管理域最佳實踐的重點關注內容如下：

01 管理域：安全管理

管理過程：安全目標、安全組織、安全制度、安全資源、安全培訓、安全績效、安全知識

最佳實踐：

1. 安全目標管理：對目標進行自上而下分解，然后由安全管理部門將安全目標同步下發到各個部門落實完成。

2. 安全組織管理：將安全組織縱向分為括決策層、管理層、執行層；橫向分為業務部門、安全部門、審計部門。

3. 安全制度管理：參考 ISO 27001建立相應的安全管理制度。

4. 安全培訓管理：建立培訓后員工反饋溝通機制，采用實戰化的方式來檢驗員工的安全培訓效果。

5. 安全績效管理：設置加分和扣分項，并與人員和組織的績效考核掛鉤。

6. 安全知識管理：建立知識管理平臺，安全知識的范圍包括安全漏洞庫、工具庫、情報庫。

02 管理域：基礎安全管理

管理過程：系統安全、網絡安全、主機安全、終端安全、補丁、安全基線

最佳實踐：

1. 終端準入層面，在終端未安裝防病毒軟件且病毒庫不在最近一個月內的，禁止準入。

2. 惡意代碼的檢測層面，結合基于特征庫的靜態檢測及基于行為特征的動態檢測兩種不同方法。

3. 基礎安全配置層面，定期檢查其有效性，對不符合項及時進行整改。

4. 數據交換接口格式采取純文本格式，如 yaml、json，避免使用可能隱藏惡意代碼的格式， 如 xml、js。

5. 先在負載均衡設備上對加密網絡流量進行解密（如通過統一卸載 SSL 的方式），再將明文流量接入安全檢測系統中做分析，以解決分析加密流量的問題。

03 管理域：信息資產管理

管理過程：信息資產發現、信息資產管理

最佳實踐：

1.持續對信息資產進行跟蹤和維護。

2.使用成熟的基于生命周期的方法，對信息資產進行管理，確保信息資產為最新狀態。

3.在信息資產管理過程中宜采取自動化收集、更新維護的措施，來提升管理效率。

4.采用信息資產集中管理系統進行統一管理。

5.與企業內部 IT 運營流程進行聯動，使得信息資產信息輸入、變更等能得到及時的更新。

04 管理域：漏洞管理

管理過程：漏洞發現、漏洞驗證、漏洞評估、漏洞修復/加固、漏洞復測、漏洞復盤

最佳實踐：

1.情報獲?。和ㄟ^外部安全服務或自有情報獲取能力，可獲取及時的高危漏洞情報信息。

2.情報適配：利用資產威脅管理系統，可查看漏洞情報和信息資產的匹配情況。

3.漏洞檢測：利用網絡安全漏洞情報配套的POC檢測插件，對可疑信息資產組進行針對性地掃描， 快速定位風險信息資產。

4.協助修復/加固：利用漏洞情報配套的加固方案/補丁，配合漏洞驗證結果幫助操作人員執行漏洞修復/加固實施操作。

5.漏洞復測：通過漏洞管理平臺確認漏洞修復/加固完畢后，可調用POC 檢測引擎進行漏洞復測。

05 管理域：開發安全管理

管理過程：安全需求分析、安全架構評審、安全開發、安全測試、安全上線

最佳實踐：

1.安全需求分析：將安全需求分為通用安全需求和業務安全需求兩種，業務需求提出同時填寫好安全需求分析庫，研發團隊根據安全需求編制需求規格說明書，然后安全團隊、研發團隊和業務部門對需求規格說明書內容進行討論、分析和確認。

2.安全架構評審：給出系統整體架構、部署架構、網絡拓撲等設計要求，系統設計要包含全局有效的權限管理模塊、安全審計日志模塊、全局的異常處理機制，對數據進行保密性、完整性保護處理，宜使用指定的第三方軟件版本，明確系統數據備份和恢復方式與頻率，分配合理的網絡安全域。

3.安全開發：制定信息系統開發安全規范，在數據輸入校驗、輸出編碼、上傳下載、異常處理、代碼注釋等方面提供參考編碼樣式或組件，建立源代碼、第三方軟件自動化檢測平臺和IDE安全檢測插件，制定源代碼 TOP 20 缺陷，建設開發安全組件庫。

4.安全測試：依照確定好的安全需求庫進行安全功能開發，并設計測試用例，將部分安全檢測能力前移，在上線前對測試報告進行評審和確認，確定所有安全功能點已實現。

5.安全上線：新系統上線前完成系統所有模塊的安全測試。滾動開發上線，針對互聯網內系統，若近1年內曾進行過系統所有模塊的安全測試，則上線前可僅完成系統新增模 塊的安全測試。針對內網系統，大版本變更，上線前完成申請安全測試，安全測試可與上線并行實施，小版本變更，上線前不進行安全測試。

06 管理域：數據安全管理

管理過程：數據分類分級、數據全生命周期安全管理

最佳實踐：

1.從終端、網絡層面，建立全面的數據交換監控體系。

2.敏感文件本地終端存儲可采用磁盤和文件加密兩種方式。

3.數據采集方面，對于數據采集源可采用白名單、簽名驗簽方式 。

4.數據傳輸方面，建議采用內容加密和通道加密方式；在內部的數據傳輸，建議使用主機白名單機制。

5.數據存儲方面，結構化數據庫一般采用表空間加密，對于核心字段進行列級加密。數據加密宜采用對稱算法。

6.數據處理和使用方面，在服務端的數據處理，宜重點關注主機加固，同時對于主機的特權管理進行收斂。在終端數據處理和使用方面，除終端環境具備數據防泄露的安全措施之外，還可采取數據脫敏、敏感數據使用打點記錄，增加系統打點日志類型，進行全流程追溯。

7.數據交換，對于非結構化的數據，可采用統一的數據共享平臺，數據共享前宜根據數據級別建立嚴格的審批矩陣，自動化的審批聯動數據共享。對于采用接口方式提供數據的場景，在審批通過的前提下，建立白名單和嚴格的接口簽名驗簽機制，同時采用 HTTPS 的方式保證數據共享鏈路安全。

8.數據銷毀，對于云環境存儲的數據銷毀，采用加密擦除的方式，如有必要可采取物理銷毀。

07 管理域：集中監控與響應管理

管理過程：日志采集、日志格式化、制定告警規則、制定事件規則、事件響應與處理

最佳實踐：

1.日志采集盡量覆蓋重要業務系統的網絡、主機、應用、關鍵業務操作類日志。

2.日志采集可采用大數據相關技術，提供近實時的日志流采集。

3.日志格式化，可以建立統一的Schema，對異構日志進行解析。重點關注解析器的負載性能， 保證解析的實時性和有效性。

4.異構日志重點關注各類日志的時間同步問題。內部宜建立統一的 NTP服務器，保障日志時間的一致性。

5.日志格式可能會隨著的系統升級或功能變更有相應的變化，宜有專人對日志格式進行驗證。

6.日志在格式化時，可進一步進行富化。例如借助 CMDB 系統中的信息，進一步完善信息資產相關屬性信息。

7.告警和事件規則，宜定期進行場景驗證，保證其運行符合預期。

8.告警方式宜豐富，如通過即時通訊工具告警、郵件告警、短信告警，避免單一告警方式的失效所帶來的運營盲點。

9.根據SOP進行事件響應和處理，一般SOP至少包括：事件編碼、事件描述和現狀描述、事件告警規則、告警內容、標準操作步驟、閉環條件。

10.定期對事件進行統計分析，揭示主要風險、分析根本原因，并復盤總結處理過程 。

11.關注外部安全事件和威脅情報，并及時評估對本企業的影響性，做好后續的應急處置措施。

12.使用SOAR系統將安全相關系統API打通，通過預定義的劇本形成標準化作業流程，對安全事件實現自動化響應和處置，可有效提升安全運營效率。

08 管理域：持續改進管理

管理過程：安全檢測、安全審計、有效性驗證

最佳實踐：

1.漏洞掃描結果宜自動同步到漏洞運營平臺，一線運營人員按照漏洞的影響性大小來確定修復優先級，在系統中下發修復指令自動通知到業務方進行漏洞確認。漏洞確認后進入修復環節，在修復環節宜有修復時長的限制，自動跟蹤和提醒。修復完成后，業務方反饋修復確認，自動觸發掃描任務進行掃描，掃描后判斷漏洞不存在，發送結果自動關閉漏洞工單，運營人員進行審核入庫 。

2.一般基線檢查宜對接變更管理流程。當變更完成后，進行基線檢查，將檢查結果與上次結果進行對比，明確變更內容?；€檢查一般除檢查配置外，還宜檢查主機訪問控制策略、監聽端口、 網絡連接等信息。

3.針對安全設備功能有效性檢測，可借助同類其他安全設備進行交叉驗證。

4.針對日志采集有效性檢測，一般是監控在單位時間內日志有無。另外，還可比對單位時間內發送日志量和接收日志量，判斷日志是否有丟失情況。

5.內部紅藍對抗或者虛擬紅隊，常態化的進行滲透，也是告警策略和事件規則有效性的一種檢測手段。

6.對于一線運營閉環的安全事件，二線專家宜定期進行分析其運營過程是否合理，運營時分析的日志依據、閉環的理由是否充分，及時發現運營過程中的問題，復盤改進。通過定期培訓，強化運營人員的技能水平，提升運營效能。

指南要點總結

安全運營閉環管理

《指南》包括安全管理、基礎安全管理、信息資產管理、漏洞管理、開發安全管理、數據安全管理、集中監控與響應管理等內容，全面覆蓋日常信息安全運營工作的各個領域，輔以持續改進管理進行不斷優化，實現證券期貨業機構信息安全運營工作的閉環管理。

指標明確易落地

依托核心機構及經營機構運營管理經驗，《指南》引入“最佳實踐”內容，配合附錄A中的“度量指標”，給予信息安全運營管理工作具體指導，使信息安全運營工作更具操作性、更易落地。

自動化運營提質增效

《指南》在各管理域提出具體的管理平臺及工具，強調自動化運營，結合規范化的工作流程，可有效提高信息安全運營工作的效率，降低運營成本。

天融信安全運營建設方案

基于多年在金融行業安全運營中心建設的技術積累和實施經驗，天融信在現有安全防護體系的基礎上，為證券期貨業機構構建“智能分析、縱深防御、高效可視”的安全運營體系，增強威脅分析、聯動防御和自動化處置能力，整體提升證券期貨業機構的網絡安全運營能力。

天融信信息安全運營體系

該體系圍繞人、技術、流程、服務四個要素進行建設落地，通過大數據、機器學習、UEBA、SOAR、威脅情報等技術和工具，結合自動化流程和三線安全運營專家服務團隊，打造“威脅及脆弱性識別、安全防護、事件檢測、響應處置、系統及業務運行恢復”的快速安全閉環能力，幫助客戶不斷提升安全效果、提升安全運維和安全管理效率、展現安全成果，最終實現“自動響應閉環、持續安全運營”的目標。

● 根據證券期貨業機構自身情況，建立權責清晰的組織架構、科學合理的制度體系，確定信息安全運營管理責任，為信息安全運營工作打好基礎。

● 建設基于大數據框架的體系化技術平臺，對證券期貨業機構的系統、應用、用戶訪問行為等數據進行分析，借助機器學習、模型分析、智能關聯、威脅情報等手段，提高攻擊識別精準度和威脅檢測能力。

● 制定安全事件自動化處置流程，實現安全事件處置的規范化、流程化、自動化，提高安全運營效率，從容應對有組織、大規模的網絡攻擊，保障組織業務系統及業務數據的安全性。

落地某國有銀行

天融信已連續多年助力某國有銀行信息安全運營中心建設，主要建設內容包括平臺建設咨詢、架構設計、功能開發、策略調優、安全模型開發設計及平臺運行維護等，范圍覆蓋其兩地三中心及全國省分行，建立了全面、智能、可視化的安全運營中心，可跨地域、深層次探測網絡中的實時流量與日志信息，持續優化關聯分析模型提升威脅分析與響應能力，基于技術平臺、響應處置流程建設及專家服務，打造企業級安全運營能力，整體提升全行的網絡安全防護與管理水平。

在合規驅動、實戰對抗的大背景下，天融信將持續助力證券期貨業安全運營體系化建設，助力打造符合自身業務發展和時代需求的安全體系，實現對安全威脅的提前感知與預防、對實時風險的監測防御與響應處置、對安全事件的分析溯源，把控網絡安全態勢，全面提升證券期貨機構的網絡安全防護與安全運營能力。