2023年5月1日起，由中国证监会起草的《证券期货业网络和信息安全管理办法》（以下简称新《管理办法》）正式实施，新《管理办法》将取代自2012年11月1日起施行的《证券期货业信息安全保障管理办法》。

    新《管理办法》提出了“采取有效安全防护手段，防范数据损毁泄露风险”，以及“确保个人信息在收集、存储、使用、加工、传输、提供、公开、删除等处理过程中的合规、安全，防止个人信息的泄露、篡改、丢失”等，这意味当下证券行业数据安全已经步入“强监管时代”，行业参与者迫切需要构筑多维度、全场景的数据安全防线。

    警惕！证券行业数据安全事件频发

    数字化转型给金融行业带来了全新机遇，但由此衍生的恶意攻击、数据泄露事件也屡见不鲜，证券行业就是“重灾区”之一。

    2021年，“券商巨头遭受黑客攻击致股价暴跌”的新闻轰动了金融界。当年11月25日，中国台湾多家券商的交易系统遭到黑客“撞库攻击”，大量客户的证券账户被“暴力破解”后，随即被自动“下单”，大批量购买了港股股票。这引发了股市震荡，受害最严重的企业股价单日跌幅高达33%，损失十分惨重。

    同年，“证券公司员工当‘内鬼’贩卖客户信息”新闻也被广泛关注：某证券公司员工利用工作之便，通过运营系统API违规获取公司客户信息，并进行售卖获利。这些客户信息落到犯罪团伙手中，导致受害人遭受投资诈骗，遭受了严重的财产损失。

    2022年，多家媒体报道，朱某某利用高超的木马病毒技术，入侵了2474台电脑，获取多家基金公司的交易指令，12年一共获利183万余元，此次事件暴露了非法窃取给证券行业带来的严峻数据安全威胁。

    由此可见，证券行业数据、信息安全问题处理不当，不仅给企业客户带来财产损失，也影响证券公司自身品牌声誉，甚至给整个金融行业的秩序带来不确定和不稳定性，可谓“牵一发而动全身”。

    数据安全已成证券行业关注热点

    “无数据、不金融”，随着金融科技的发展，证券行业积累了客户数据、交易数据、资产数据等海量数据，数据已成为证券行业重要资产乃至核心竞争力。谁能充分发挥数据价值，并用数据驱动创新，谁就拥有了高质量发展的主动性。

    但另一方面，证券作为典型的数据规模巨大、价值高、应用场景复杂的行业，在开展数据安全和个人信息保护时，也面临着众多问题和挑战——不断“更新迭代”的外部窃取、防不胜防的“内鬼泄露”以及数据传输共享过程中带来的泄露风险。

    随着相关标准要求的不断完善，证券行业数据安全治理与保护工作也日益艰巨。如何在加快数字化建设同时，保障投资者的信息安全，成为证券行业数字化转型的重中之重。

    从2005年以来，证券行业已经陆续出台了多项数据安全相关政策法规，尤其是《数据安全法》、《个人信息保护法》发布实施以来，数据安全、信息安全成为证券行业关注的热点，相关领域的安全建设也揭开了全新篇章。

    2022年底，证监会发布了《证券期货业数据安全管理与保护指引》，《证券公司网络和信息安全三年提升计划（2023-2025）》等一系列文件，从数据安全管理基本原则、组织架构、制度、技术等方面提供多方面指引，规范行业机构开展数据安全管理和保护工作，提升行业数据安全管理水平，推动证券行业数据安全建设进入了全新阶段。

    奇安信提供“多维度”、“多场景”数据安全解决方案

    政策法规之外，技术在证券安全“强监管”时代的作用也不可小觑。作为国内网络安全行业的领军企业，奇安信深耕证券行业数据安全建设多年，从“管理、技术和运营”三个维度，形成了一整套的数据安全解决方案，并强调基于场景的精准施策，以满足不同场景的响应处置需求。

    在管理方面，以数据安全风险评估为起点，基于评估结果开展体系规划和数据安全治理工作，推动技术保障措施的落地。在技术方面，以全生命周期和全业务场景的安全防护为目标，通过开发、应用、数据资产、身份和密码等不同层面，为用户提供全方位数据安全技术支持。在运营方面，通过数据安全集中运营平台，实现数据全生命周期的安全管控和全链路数据流转风险监测，为安全策略持续优化提供依据。

    同时，奇安信还强调基于场景的精准施策，以满足不同场景的安全管控需求。

    例如在管理场景下，采用数据资产地图系统，结合专业治理服务，解决在DT时代下组织由于数据载体类型多且存储位置分散，导致数据资产暴露面广、安全防护有盲区的困扰。

    在数据流转场景中，奇安信API安全卫士采用API资产识别、敏感数据识别、漏洞利用检测与防护、威胁检测与防护、API访问控制等技术，为业务数据的合规使用和流转提供保障。

    在开发安全场景中，奇安信代码卫士支持28种编程语言的源代码缺陷检测，可检测2000+种源代码缺陷类型；开源卫士支持8000万+开源软件版本的识别，兼容NVD、CNNVD、CNVD等多种漏洞情报来源，帮助用户建立代码安全保障体系。

    在业务访问场景中，奇安信零信任解决方案，在用户访问业务的过程中，对发起访问的用户和终端持续进行身份验证和信任评估，实时处置访问权限，解决业务访问场景的安全挑战。

    在运维访问场景中，一体化特权访问安全解决方案，帮助用户系统化、流程化、规范化落地特权账号管理工作，降低特权账号管理不善所带来的安全风险，同时无缝联动堡垒机实现特权会话管控。

    在安全运营场景中，奇安信数据安全管控平台，帮助用户一体化构建面向数据安全的发现能力、防护能力、检测能力、响应能力 ，实现覆盖数据全生命周期的安全管控 ，全面满足合规管理要求，有效防护数据安全风险。

结束语

    因业务和数据的特殊性，未来证券行业“严监管、高标准”将成为最基本要求。做好证券行业数据安全,不仅要从多角度全面分析安全需求与风险挑战,也要采取多维度的技术手段、建立完善的合规体系、投入足够的资源与人才,才能真正确保数据和业务的安全运营，为证券行业高质量发展助力。