党的“十八大”以来,以习近平总书记为核心的党中央,高度重视国家网络安全和信息化工作,出台了一系列的法律、法规和政策,特别是对涉及国计民生的重点行业的网络安全和信息化工作提出了更高的工作要求。中国证监会党委全面贯彻学习党的“十八大”以来的会议精神,深入学习习近平总书记系列重要讲话精神,高度重视资本市场信息与网络安全工作,按照中央网络安全和信息化领导小组统一部署,强化大局意识、看齐意识,坚持“稳中求进”工作总基调,总体确保了资本市场信息与网络安全。
资本市场信息与网络安全基本情况
二十几年来,资本市场从我国的国情出发,走出了一条具有中国特色的发展道路。我们在很短的时间内完成了从有纸化交易向无纸化的转变,从人工报单到电子化处理的飞跃,实现了委托、撮合、清算、交收等全交易过程的电子化信息处理,大大提高了市场的运转效率,降低了运行成本,为中国资本市场的快速发展提供了强有力的技术支撑。
同时,我国资本市场运行高度依赖通信、计算机技术和互联网,在提高效率的同时也蕴含着很大的风险。例如,网上交易和门户网站往往成为敌对势力和不法分子的攻击对象;自然灾害的不断发生要求信息系统建立可靠的灾难备份;技术系统的故障会引发权益纠纷、社会问题和经济赔偿,虚假信息、仿冒网站会严重扰乱市场秩序等等。此外,各种新技术、新产品、新创意大量出现,诸如“云计算”、“大数据”、“虚拟化”等新概念、新技术相继提出,一方面推动了科技的发展和进步,另一方面也带来了一系列新的挑战。
资本市场信息与网络安全形势复杂严峻
当前,网络空间国际战略博弈日趋激烈,国际网络安全形势更加复杂;网络攻击破坏活动不断增多,影响力和破坏力显著增强;网络违法犯罪呈现快速增长态势。
1.网络空间国际战略博弈更加激烈。从国际上来看,近年来国际网络空间对抗趋于严峻,网络军备竞赛提速;网络武器威慑力和破坏力增强;关键信息基础设施不仅面临国家间冲突对抗的威胁,也遭到黑客大规模入侵;国际金融领域成为网络攻击重灾区。
2.我国网络安全环境不容乐观。目前,我国网民规模已达到7.31亿,2016年遭到过网络安全事件的网民占比达到70.5%,多为网络诈骗、病毒和木马、账户信息被盗及个人信息泄露。黑色产业链规模超千亿,涵盖了攻击软件研发、销售,隐私信息窃取、贩卖,网上诈骗、勒索,电子货币洗钱多个环节,极大地危害企业和个人信息安全。
3.资本市场信息安全保障工作面临新的挑战。
一是来自互联网的攻击频度与强度日益加大,对证券期货业机构网上信息系统的安全运行构成严重威胁。近年来,证券期货业各机构通过互联网开展的业务持续增加,网上信息系统安全防护中存在薄弱点,网上系统遭受攻击的安全风险进一步加大,甚至有可能会出现因遭受攻击导致核心交易系统发生安全事件的风险。
二是运维管理水平还需进一步提高。近年来,证券期货业信息系统整体风险防范能力有了显著的提升,信息安全事件数量持续控制在较低的水平,但低级的人为操作失误还频有发生,技术系统应对故障和灾难突发事件的备份能力还有待进一步提高,应对高强度的网络攻击能力不足,应对重大灾害的业务连续性保障措施仍处于研究阶段。
三是证券期货业高水平技术人员缺口增大。证券期货业高水平技术人员缺乏问题凸显,未来可能进一步加剧,保障业务系统稳定运行的压力和风险增大。一方面是高水平技术人员流失严重与吸纳优秀人才难度加大的矛盾,另一方面是新招聘的员工缺乏经验,造成系统开发存在缺陷、运行维护人为操作失误风险陡增。
四是投资者个人信息安全存在隐患。证券期货业机构积累了大量的数据资源,数据应用也越来越广泛,但对于数据的采集、存储、传输、开发和应用等环节缺乏全流程的安全管控,数据安全防护形势十分严峻。此外,证券期货业服务商安全防控不力也增大了证券期货业机构和投资者数据泄露和篡改的风险。
五是新技术新业务发展对证券期货业信息系统造成威胁。以程序化交易为代表的快速交易系统,应用范围日益扩大,程序化交易系统一旦发生故障很可能出现放大效应和连锁反应,引起整个市场的异常波动,甚至引发系统性风险。新技术的应用突破了传统应用架构,新业务的发展增加了信息系统架构复杂性,对安全防护和系统运行带来新的风险。
六是行业公共基础设施风险逐步加大。近年来,证券期货业建设了证联网、公共托管设施、公共服务平台等多项公用基础设施。这些设施由于具有服务对象多、集约化等特点,一旦中断运行,势必会影响到公共基础设施上承载的相关业务,证券期货业大量机构将因此受到波及,致使重要业务大面积中断,甚至引发全市场停市等重大事故。
防范和化解资本市场信息与网络安全风险的思路和措施
近年来,中国证监会把资本市场信息与网络安全放在国家整体部署和要求上去考虑和安排,提高证券期货业各机构对信息与网络安全工作的认识,实现了相关工作从被动到主动的转变。
1.强化信息与网络安全工作组织领导。按照“保持监管压力,重在发挥证券期货业机构自律作用”的思路,2008年中国证监会成立了证券期货业信息化工作领导小组和专家委员会,负责组织、协调、督导和推进全行业信息安全工作。领导小组成立10年来,召开了13次全行业范围的工作会议,对每一时期的重点工作进行研究和部署。从结果看,由监管部门和行业机构领导、专家组成的领导小组充分发挥了指挥中心的作用;中国证监会相关部门和证监局将行业机构信息安全纳入监管工作范畴,通过监管压力促进信息安全工作;各交易所和行业协会发挥自律管理的功能,采取多种措施推动市场信息化建设;行业各经营机构从自身实际出发,建立了科学、合理的信息技术治理架构,加大投入,加强运维,提高了信息安全保障水平。
2.制定行业网络安全顶层设计和统筹规划。一是发布了《资本市场信息化建设总体规划2014-2020》。该《总体规划》确立了2014~2020年资本市场信息化建设的指导原则和总体目标,提出了5项基本原则,制定了“完善交易系统建设”等6大发展任务,并分解为27项具体任务。二是发布了《中国证券期货业信息安全工作规划》。该《安全工作规划》确立了2015~2020年资本市场信息安全工作的指导思想、规划目标和基本原则,提出了5大研究方向,23项工作任务,39项具体行动。
3.加快信息安全制度建设和完善工作。近年来,根据证券期货业信息化工作领导小组部署,证券期货业加强了法制化、标准化工作。一是2012年9月,中国证监会发布了《证券期货业信息安全保障管理办法》(中国证监会令第82号)。该《管理办法》以部门规章的形式固化了已经形成的、行之有效的体制机制和监管要求,系统完整地规范了行业信息安全管理的监管制度,明确了行业机构信息安全保障的职责和义务,标志着证券期货业信息安全保障长效机制的正式确立。二是印发了《证券期货业信息安全事件报告与调查处理办法》《关于进一步做好证券期货业重要信息系统安全等级保护定级备案工作的通知》《关于开展证券期货业信息安全等级保护安全建设整改工作的通知》等规范性文件。三是陆续出台了《证券期货业信息系统安全等级保护基本要求(试行)》《证券期货业信息系统安全等级保护测评要求(试行)》《证券期货业运维管理规范》《证券期货经营机构信息系统备份能力标准》《证券期货业信息系统审计规范》《证券期货业信息系统审计指南》等行业标准。
4.深入开展信息系统安全专项治理行动。近年来,中国证监会深入开展信息安全专项治理行动,取得了良好效果:加强行业信息技术培训,提高行业机构的信息安全意识和信息系统运维管理水平;持续开展信息安全应急演练,通过真演实练切实提高行业应急处置水平和应对信息安全风险的能力;配合公安部的等级保护检查,督促行业机构对信息系统进行风险评估;结合软件正版化工作提高软件产品的安全性;按照国家密码管理政策和密码相关标准规范,加大力度推广国产密码产品;进一步完善信息系统灾备能力建设,实现重要系统多层次灾备模式,做到信息系统灾备切换实时有效,保障信息技术系统安全稳定运行;开展信息系统安全风险评估工作,做好风险预警预防。
5.加强行业信息化公共基础设施建设工作。建设了证券期货业编码和标准服务中心,为全市场提供标准应用相关服务。建设了证券信息技术研究发展中心(上海)、证券期货业信息技术测试中心(大连)和证券期货业信息技术测试中心(中金所),在行业技术测试服务、行业测试技术标准等方面开展了大量工作,显著地提升了行业信息技术水平。建成了证联网,银证跨行业信息系统在证联网正式上线,大幅降低了市场成本,提高了市场效率。
6.持续不懈地推进标准化工作。下一步工作深化证券期货业标准化工作,把标准工作和证券期货业法律法规制定、市场业务发展紧密结合起来,加强标准应用和推广。积极参与国际标准制定,争取话语权,服务资本市场对外开放战略。
下一步工作
《中华人民共和国网络安全法》已于2016年发布,并于2017年6月正式实施。下一步,中国证监会将做好资本市场信息化和信息安全制度与《网络安全法》的衔接工作,全面梳理和完善证券期货业信息安全工作制度,切实落实国家信息安全有关要求。尽快规范证券期货业网络安全审查、风险评估、关键信息基础设施保护、业务连续性建设等工作,进一步完善与国家信息安全有关部门、国家关键信息基础设施相关主管部门和人民银行、银监会、保监会的信息安全工作协调机制,进一步提高资本市场信息系统安全保障水平。