1月12-13日,由中国证监会科技监管局、上海市经济和信息化委员会和上交所理事会科技发展委员会指导,证券基金行业信息技术应用创新联盟(以下简称信创联盟)主办的2022年度峰会成功举办。其中,由信创联盟WG9信息安全工作组组长单位申万宏源证券有限公司和副组长单位海通证券股份有限公司、中银国际证券股份有限公司联合承办的混合架构安全新探索专题研讨会于13日上午线上召开。作为证券基金行业信息技术应用创新联盟及WG9信息安全工作组成员单位,绿盟科技出席会议,绿盟科技集团副总裁曹嘉在会上发表《信创安全评估方法与实践探讨》主题演讲。
会上,绿盟科技集团副总裁曹嘉从新战略、新场景、新风险、新合规四个维度分析了当前网络安全发展态势。随着国内外环境复杂性不确定性加剧,科技自立自强已上升为国家战略,关键核心技术自主可控被高度重视。他指出,自主信息产业聚焦信息技术应用创新,旨在通过对IT硬件、软件等各个环节的重构,基于我国自有IT底层架构和标准,形成自有开放生态,从根本上解决本质安全问题,实现信息技术可掌控、可研究、可发展、可生产。金融作为关键基础信息产业的核心领域,已进入全面推广建设阶段。
围绕信创系统与非信创系统的特点,曹嘉提到“信创是 ‘老朋友,新面孔’ 。”通过对非信创系统进行底层兼容、安全性优化和功能改进来实现自主可控。而信创系统的安全评估需要回归CIA。结合信创的架构和特点,关注信创CIA特性,识别信创资产,发现安全风险。
2022年,信创联盟WG9信息安全工作组组长单位申万宏源证券有限公司牵头发起信创业务系统安全评估课题研究和研讨,绿盟科技深度参与其中。该课题以证券行业某典型信创核心业务系统场景为评估对象,以识别信创与非信创系统信息安全评估的典型差异和针对性解决方案并逐步形成典型行业性业务场景的评估方法和工具能力为目标,参考《信息安全技术 信息安全风险评估方法》(GB/T 20984—2022)标准展开工作。双方凭借多年来在信创领域的技术积淀与创新能力,深入分析信创架构,结合信创系统架构特性和安全特性,开展安全漏洞扫描、渗透测试、代码和组件工具测试、漏洞挖掘、架构评估、配置评估、基线建立和偏差识别等一系列安全评估工作。课题组重点评估了信创系统中开源组件的使用引入的供应链安全风险,识别信创系统的脆弱性问题,共同探讨了加固思路。在课题组成员的紧密配合和共创下,成功试点了信创系统安全评估方案,在证券行业信创系统信息安全评估工作领域率先迈出了探索性的一步。接下来,课题组将进一步扩大评估方法的参与范围,邀请更多的单位参与试点和研讨,形成符合行业特色的评估方法和工具能力集并积极推广。
演讲中,曹嘉分别从行业监管、关基行业及信创供应商视角提出对开展信创信息安全工作的建议:
1、立足行业监管视角,要实现服务和应用的全面“国产化”,完善信创产品目录,采用企业自主声明及通过第三方权威机构测试的产品,优化信创系统评测、验收等机制;同时,建立信创领域的联防联控机制,必要时打通各行业数据壁垒,提升国家整体安全防御能力。
2、立足关基行业视角,面对全面信创化要求,需要对性能、产品成熟度、兼容性和供应链稳健等方面进行综合评估,补齐非信创差距;同时,关注各类芯片、操作系统、业务系统、数据库、中间件及各类场景的兼容性和供应链的稳健,破除“断供”、“卡脖子”等风险隐患。
3、立足信创供应商视角,要建立健全DevSecOps等安全机制,切实提高信创产品安全性,实现安全左移;并不断审视安全生态定位,基于供应链建立安全防护和运营机制。
金融行业作为关系国民经济命脉的重要行业,其安全问题是信创发展的重要课题,实现包含金融IT基础设施、基础软件、应用软件、信息安全等在内的信息技术和产品的自主创新和安全可控,是金融机构践行“金融安全保障社会民生”的必经之路。
伴随着《金融科技发展规划(2022-2025 年)》《证券期货业科技发展“十四五”规划》《网络和信息安全三年提升计划(2023-2025)》等政策的陆续发布,作为现代金融的重要组成,证券行业数字化转型浪潮已正式到来,证券行业信创推进步伐明显加快。绿盟科技深耕网络安全行业二十余年,为全球超过千家金融机构的发展提供坚实有力的信息安全保障。秉承“技术创新、模式创新和领域创新”的理念,绿盟科技在信创领域深入研讨和探索,积极推动构建信创产品保障体系建设。
未来,绿盟科技愿与证券基金行业信息技术应用创新联盟及成员单位一起,携手合作,协同创新,攻关行业信创难题,降低信创应用门槛,推进信创行业落地,共建金融信创生态,为筑牢行业信创改造安全底座持续贡献力量。
证券基金行业信息技术应用创新联盟
证券基金行业信息技术应用创新联盟是在中国证券监督管理委员会科技监管局、上海市经济和信息化委员会、上海证券交易所理事会科技发展委员会指导下,于2021年5月由上海证券交易所发起设立,旨在促进证券基金行业信息技术应用创新关键技术研究、应用和服务的非营利性社会组织。联盟目标是服务于成员单位的信创需求,攻关行业信创共性问题,降低行业信创应用门槛,为加快行业信创工作的整体进程发挥积极作用。