阿里云優(yōu)惠券 先領(lǐng)券再下單

「云研報·金融」關(guān)注金融科技新動向，分享金融數(shù)字化洞察與最佳實踐。以青云科技（qingcloud.com，股票代碼：688316）數(shù)字價值研究院對金融行業(yè)的研究為基礎(chǔ)，結(jié)合青云產(chǎn)品技術(shù)創(chuàng)新、行業(yè)服務(wù)經(jīng)驗、數(shù)字化轉(zhuǎn)型實踐，持續(xù)分享有價值的內(nèi)容。

近日，中國證券業(yè)協(xié)會組織起草了《證券公司網(wǎng)絡(luò)和信息安全三年提升計劃（2023-2025）》（下稱《安全提升計劃》），并于 1 月 6 日開始向券商征求意見?！栋踩嵘媱潯窂目萍贾卫砟芰Α⒖萍纪度霗C(jī)制、信息系統(tǒng)架構(gòu)規(guī)劃設(shè)計、研發(fā)測試效能與質(zhì)量、系統(tǒng)運(yùn)行保障能力、網(wǎng)絡(luò)信息安全防護(hù)體系等六個方面明確提出了提升方向和要求。

作為一家在金融行業(yè)深耕十余年的企業(yè)級云服務(wù)商與數(shù)字化解決方案提供商，青云數(shù)字價值研究院對《安全提升計劃》的重點(diǎn)內(nèi)容進(jìn)行如下分析和解讀：

核心關(guān)鍵詞一： 信息科技投入

一、合理加大科技資金投入

1、《安全提升計劃》提出建立科學(xué)合理的科技投入機(jī)制，要求證券行業(yè)合理加大科技資金投入，并鼓勵有條件的公司 2023-2025 年信息科技平均投入金額不少于上述三個年度平均凈利潤的 8% 或平均營業(yè)收入的 6%。

以最新披露的數(shù)據(jù)為例，2021 年證券行業(yè)信息技術(shù)投入金額為 338.2 億元，同比增長 28.7%，占上一年度營業(yè)收入的 7.7%；其中有 10 家券商的投入均超 10 億元，信息技術(shù)投入占營業(yè)收入比例超 6% 的券商有 20 家，而不少中小券商也將金融科技視為核心競爭力之一，華林證券、華鑫證券的投入占比均已超 20%；不過中信證券、中信建投等部分頭部券商的投入占比均在 6% 以下。

2、其中網(wǎng)絡(luò)和信息安全投入不低于信息科技投入總額的 7%。

二、加強(qiáng)科技人才隊伍建設(shè)

信息科技專業(yè)人員不低于公司員工總數(shù)的 6%，目前中國有 6 家證劵公司人數(shù)突破 1 萬人，按這個比例，也就要求科技人員要達(dá)到至少 600 人以上；網(wǎng)絡(luò)和信息安全專業(yè)人員，不低于信息科技專業(yè)人員的 3% 且不應(yīng)少于 4 人。

青云數(shù)字價值研究院認(rèn)為，券商信息科技建設(shè)的重視程度將不斷提升，IT 投入水平也將出現(xiàn)較大的增量空間。

核心關(guān)鍵詞二： 架構(gòu)建設(shè)

《安全提升計劃》提出“應(yīng)用架構(gòu)、數(shù)據(jù)架構(gòu)、技術(shù)架構(gòu)”三大架構(gòu)的建設(shè)方向，并要求建立一個【架構(gòu)管理】的機(jī)制。

一、應(yīng)用架構(gòu)：強(qiáng)調(diào)提高架構(gòu)復(fù)用性，防止系統(tǒng)的重復(fù)建設(shè)；降低軟件開發(fā)、系統(tǒng)維護(hù)和升級等方面的費(fèi)用。

二、數(shù)據(jù)架構(gòu)：強(qiáng)調(diào)持續(xù)加強(qiáng)在數(shù)據(jù)全生命周期的各階段，建立并落實技術(shù)防護(hù)能力。

三、技術(shù)架構(gòu)：強(qiáng)調(diào)加強(qiáng)核心系統(tǒng)的技術(shù)攻關(guān)，鼓勵有條件的證券公司積極推進(jìn)新一代核心系統(tǒng)的建設(shè)和轉(zhuǎn)型。

新一代核心系統(tǒng)的建設(shè)及轉(zhuǎn)型升級工作，即“建設(shè)+轉(zhuǎn)型”兩方面的工作：

一、從集中式專有技術(shù)架構(gòu)向分布式、低時延、開放技術(shù)架構(gòu)轉(zhuǎn)型，具備高可用、高性能、低延時、易擴(kuò)展及松耦合等特性。

二、鼓勵上云。

1、鼓勵有條件的證券公司加快信息系統(tǒng)上云，通過云計算平臺承載及運(yùn)行的信息系統(tǒng)比例不低于 60%。

2、由容器等云平臺承載的云原生系統(tǒng)比例不低于 10%。

核心關(guān)鍵詞三：自主掌控能力

《安全提升計劃》提出要提高核心系統(tǒng)自主掌控能力。具體來說，主要通過兩種最基本方式：

一、鼓勵證劵公司自研

鼓勵有條件的證券公司合作研發(fā)或自主研發(fā)安全可控的關(guān)鍵技術(shù)、系統(tǒng)或設(shè)施。

二、外購方式，確保對關(guān)鍵技術(shù)的掌控

對于外購系統(tǒng)，要求廠商提供完整的系統(tǒng)技術(shù)資料，確保深入掌握系統(tǒng)的技術(shù)架構(gòu)與關(guān)鍵技術(shù)環(huán)節(jié)。

此外，提出不管自研還是外購代碼，全部代碼 100% 審計：

1、制定及完善涵蓋自研系統(tǒng)和外購類系統(tǒng)的代碼審計規(guī)范。

2、外購系統(tǒng)的代碼審計，根據(jù)系統(tǒng)交付是否包含源代碼，決定是否通過安全代碼審計檢查或要求供應(yīng)商提供代碼審計報告。重要系統(tǒng)新上線或重大變更必須全面完成“測試驗收”，重要信息系統(tǒng)的自動化測試比例不低于整體測試比例的 30%。

核心關(guān)鍵詞四：提升開發(fā)效率及安全

一、研發(fā)規(guī)范的制定。

二、研發(fā)工具建設(shè)，建設(shè)統(tǒng)一的源代碼管理工具、標(biāo)準(zhǔn)化的研發(fā)運(yùn)維一體化工具。

三、如果找第三方合作，那么必須具備強(qiáng)風(fēng)險管控能力。事前對第三方充分評估，并簽署安全承諾書或合同條款：

1、充分評估審核后再開展業(yè)務(wù)。

2、落實關(guān)鍵信息基礎(chǔ)設(shè)施系統(tǒng)網(wǎng)絡(luò)安全審查預(yù)判，通過簽署安全承諾書或在合同中包含信息安全條款等方式，加強(qiáng)對第三方的約束。

3、全周期，持續(xù)性監(jiān)管第三方。持續(xù)對第三方系統(tǒng)開展全方位的安全檢測監(jiān)控，按要求提供代碼安全掃描報告，及時解決發(fā)現(xiàn)的代碼安全問題，修復(fù)系統(tǒng)運(yùn)行過程中發(fā)現(xiàn)的漏洞。

核心關(guān)鍵詞五：夯實系統(tǒng)運(yùn)行保障能力

持續(xù)提升信息系統(tǒng)故障發(fā)現(xiàn)能力。證券公司在 2023 年底前建立全面覆蓋業(yè)務(wù)、應(yīng)用、底層基礎(chǔ)架構(gòu)和基礎(chǔ)設(shè)施的信息系統(tǒng)運(yùn)行監(jiān)測體系，并持續(xù)完善，不斷提升運(yùn)行監(jiān)控的覆蓋度，建設(shè)統(tǒng)一的告警平臺。

在 2023 年底前制定信息系統(tǒng)備份管理策略，建立數(shù)據(jù)防丟、防刪的權(quán)限管控機(jī)制和技術(shù)手段，提升重要信息系統(tǒng)的備份管控能力建設(shè)。

核心關(guān)鍵詞六：健全網(wǎng)絡(luò)安防護(hù)體系

在 2023 年底前建立完善的漏洞管理制度，明確分級分類標(biāo)準(zhǔn)、職責(zé)分工與處置要求，漏洞管理覆蓋研發(fā)過程管理、供應(yīng)鏈管理和常態(tài)化風(fēng)險巡檢等方面。

確保第三方系統(tǒng)不記錄、不存儲、不更改相關(guān)業(yè)務(wù)、客戶數(shù)據(jù)及資料。

- 對“所有”信息系統(tǒng)，開展等保定級。

- 對“重要”信息系統(tǒng)，按照監(jiān)管機(jī)構(gòu)的指導(dǎo)意見將定為三級或二級。

提升安全攻擊防控能力建設(shè)，統(tǒng)一的安全運(yùn)營中心，加大安全響應(yīng)自動化能力的建設(shè)。數(shù)據(jù)使用上“依法合規(guī)、最小必要”，所有授權(quán)操作均符合“最小授權(quán)”原則。所有用戶授權(quán)有記錄，并具備數(shù)據(jù)全生命周期的安全管理長效機(jī)制和防護(hù)措施。

結(jié)語

如此投入規(guī)模，對于網(wǎng)絡(luò)安全行業(yè)而言無疑是一個重大利好。作為一家企業(yè)級云服務(wù)商與數(shù)字化解決方案提供商，青云科技深耕金融行業(yè)十余年，堅持核心技術(shù) 100% 自研，具備行業(yè)頂尖的技術(shù)研發(fā)實力，憑借多年的實踐經(jīng)驗，以及對金融行業(yè)數(shù)字化轉(zhuǎn)型的全面理解，已具備支撐證券機(jī)構(gòu)開展《安全提升計劃》落地工作的能力。

代碼的安全性測試是金融機(jī)構(gòu)新的關(guān)注點(diǎn)，在提升自主開發(fā)效率及安全方面，DevSecOps 在青云科技的一些客戶中得到了實踐，DevOps 將開發(fā)、測試、運(yùn)維打通，使之前傳統(tǒng)孤立的角色（開發(fā)、IT 運(yùn)營、質(zhì)量工程和安全）可以更好地協(xié)作。青云容器平臺通過插件的方式集成了 DevOps、微服務(wù)以及持續(xù)交付的組件。同時，青云整合了 DevOps 流水線的交付組件，讓開發(fā)者、測試人員以及最終上線的運(yùn)維串聯(lián)起來，大大提高了運(yùn)維及開發(fā)效率。

在行業(yè)核心系統(tǒng)架構(gòu)建設(shè)與管理方面，青云科技面向大型和中小券商提供了企業(yè)云、分布式存儲、云易捷和容器云等多種產(chǎn)品和解決方案，契合券商架構(gòu)轉(zhuǎn)型的不同階段和不同基礎(chǔ)架構(gòu)類型的需求，全面助力和推動證券行業(yè)的架構(gòu)轉(zhuǎn)型建設(shè)。青云提供靈活定制的云原生套餐，通過三大容器平臺，覆蓋公有云、私有云、混合云、多云、開源等各種應(yīng)用場景，為證券行業(yè)提供最適合的專屬云原生服務(wù)。

 

青云數(shù)字價值研究院認(rèn)為，《安全提升計劃》或?qū)⒊蔀槲磥砣辏?023-2025年）券商的數(shù)字化轉(zhuǎn)型建設(shè)的指路明燈。證券行業(yè)數(shù)字化轉(zhuǎn)型將加速推進(jìn)，在廣度和深度上不斷擴(kuò)大。青云科技將繼續(xù)發(fā)揮優(yōu)勢，不斷創(chuàng)新，以更堅實的技術(shù)底座，全面賦能證券行業(yè)基礎(chǔ)設(shè)施建設(shè)及架構(gòu)轉(zhuǎn)型升級的雙輪數(shù)字化升級。

六大關(guān)鍵詞深解證券公司《安全提升計劃》，青云科技為實現(xiàn)落地提供全面支持

申請創(chuàng)業(yè)報道，分享創(chuàng)業(yè)好點(diǎn)子。點(diǎn)擊此處，共同探討創(chuàng)業(yè)新機(jī)遇！