来自:谷安天下

一、基金行业信息系统现状

网络建设方面,多数基金公司的网络是分为交易网及办公网两张网,两网间存在着一定数据交换(通过U盘或专用服务协议),两网间并未实现真正的物理隔离或强逻辑隔离。

基金行业的IT系统主要包括投资交易系统、估值系统、行情分析系统、估值系统、直销系统、营销管理系统、公司网站、研究管理系统、呼叫中心、OA系统、财务系统、交易行情系统、债券分析系统(北方之星、红顶等)、风险系统(如BARRA)、风险监控系统(如金手指)、灾备系统等。

数据存储方面,大多基金公司都采用集中式的光纤存储,备份介质异地存放,并建有灾备系统,能够在一定程度上保障在重大灾难和安全失效发生时公司核心业务的连续性。

随着QDII、专户理财、企业年金、股指期货等业务的迅速推出;技术的进步及电子化交易支持渠道的扩充(如移动电话及固话直接交易模式),对信息系统有了更高的要求;而且目前基金行业正处于整个行业重新洗牌前期,证券行业信息系统建设方面出现了一些重要的亟待改进的问题。

二、ISMS解决的基金行业信息安全问题

经过多年的发展和努力,基金公司正在或已经初步建立起了部分为核心业务服务的信息安全管理框架,在实际工作中取得了一定的防护效果。特别是在物理与环境安全、机房建设、业务系统访问权限管理、数据备份与灾备系统等方面存在着很大的技术和管理优势。

但总体来讲,当前基金行业的信息安全管理还存在着很多问题,根据我们的项目经验和最佳实践,这些问题都可以通过一个完善、有效、持续运作的信息安全管理体系的来改善。现就信息安全管理体系可以解决的基金行业的信息安全方面的问题做概要性说明。

1、IT规划方面

在过去的几年中,随着中国金融体系改革的深化和发展,国内现有的60余家基金公司以及未来可能的新进入者体现出明显的分化,现有明显的投资、市场、管理等方面的同质化正在被打破。少部分基金公司,如博时、嘉实、南方等,经过前几年持续在企业核心能力上的建设,正在逐步地形成基金行业的第一梯队。考察这些公司,共同点之一都是将信息技术建设作为公司管理能力提升的战略性任务,从实证的结果上,这些公司历年来保持相对同业较高的信息技术投资,实实在在地反映为管理水平的提高,进而直接或间接带来管理资产总规模的增长。IT正向牵引业务发展的方向前进,与之相对,由一些中小规模基金公司构成的第三梯队的IT与业务的关系则相反,甚至业务受IT的拖累,IT不能满足业务发展的要求。处于两者之间的公司可称为第二梯队,其IT能力处于基本可以满足业务发展要求的程度。

因此,如何规划IT架构,使基金行业IT构架能符合未来个性化业务发展的需要,是基金行业当前及未来几年需要关注的重点。而进行良好的IT架构离不开能够把握IT技术发展脉搏,具有良好知识结构的技术团队。

为根本解决这个问题,基金行业必须重视IT治理,IT治理不是IT经理或CIO可以解决的问题,IT部门在基金公司的各部门中是弱势部门,IT经理在企业中层干部中也常常处于弱势位置,则国内的CIO多为兼职的副职管理层人员,其专长、主要工作和精力大多不在IT方面;因此,中国的IT治理是中国企业CEO的事情。

2、IT资源投入

国内基金公司的IT资源投入呈两极分化状态,第一梯队的基金公司财务投入较多,最高占利润的10-15%,甚至更高,IT人员占公司总人数的10%以上,第二、三梯队公司IT资源投入偏少,特别是第三梯队公司投资重点不突出,忽视基础建设,软件投入比例明显偏少,特别是,在服务和更高端的顾问咨询上,投入几乎是空白;IT人力投入上偏少,IT人员占公司总人数的6-8%左右。

下表部分基金公司08年预算信息(为保护企业信息安全,以下公司名称以字母代替):

Highslide JS


部分基金公司IT投资是其IT基础较为薄弱的重要原因之一。而根据《证券期货经营机构信息技术治理工作指引(试行)》文件精神,要求公司最近三个财政年度IT 投入平均数额原则上应不少于最近三个财政年度平均净利润的6%(第三十五条)、证券期货行业公司的IT 工作人员总数原则上应不少于公司员工总人数的6%(第四十一条),即在IT资源投入方面要达到双6%标准,以一些基金公司的现状而言,是尚未达标的。这个问题也是全行业的问题,基金公司IT系统仅仅满足于支持业务开展,信息技术建设政策过多向事务型业务系统倾斜,而忽略利用IT系统提升企业内在增长动力,对于管理支持系统和基础技术架构两类投入甚少,特别是基础技术架构类,总是仅能满足第一二类系统需要,根据一二类系统建设的进度,做补丁式添加,几乎不存在统一的规划和考虑。

根据“Vanguard Group Inc.”和“State Street Corp.”的统计数据,IT员工大约占公司全体员工的大约20%。其中State Street Corp.大概把20%-25%的费用投入到IT建设,而Vanguard Group Inc.更是令人难以置信地把42%的收入投入到IT建设,这种投入被Vanguard Group Inc.的CEO认为是使他们能够从美国第九大基金公司(1985)跃升到第二(2000)的一个重要因素。
对公司来说,虽然IT投入和给公司带来的价值提升是正相关的,虽然并不是投入越多越好,信息系统不是越庞大越好,技术不是越先进越好,设备不是越高级越好,但适量且略多的投入是必需的,因此要统筹规划,一切从实际出发,从业务需要出发,在达到业务需求的前提下,尽量少花钱,多办事。好的IT并不意味着公司的IT设施或IT技术必须是最先进或最成功的,但应该是最实用的。

3、信息安全制度

经过多年的发展的积累,基金公司的IT部门已基本具备一套比较完善的IT制度,但这些制度主要集中在系统运维方面,信息安全方面的制度基本空白,特别是对于非IT范畴的信息安全制度基本属于空白,如资产管理、物理与环境安全、人力资源安全、符合性管理等。

4、信息安全组织

总体上,基金行业建立了比较完善的信息安全管理组织,明确了相关管理职责,但在信息安全组织方面还存在如下问题:

基金行业的大部分公司在公司层面都建立了诸如IT规划领导小组之类的IT决策机构,但很多企业的IT规划机构都没有能够持续的开展工作,很多企业IT规划和决策是仍沿用决策效率和决策质量并不高的部门联席会议和层层报签的方式进行,结果显示这种决策方式并不科学和严谨,受人为主观影响很大。

人员对信息安全的参与程度方面:高层领导方面,一些信息安全建设较好的公司,其高层对外沟通上,公司IT管理层会经常参与证监会或交易所组织的IT治理论坛活动,与证监会或交易所有紧密的联系; 但部分基金公司的高层对信息安全的支持还是停留在口头层面,语言多于行动;中层人员,特别是业务部门的中层领导人员参与信息安全工作的力度和深度存在着不足,业务部门忙于业务目标的达成也是重要的一个因素;基层员工方面,虽然各部门指定了部门信息安全联络人或信息安全管理员角色,但这些人员基本都是兼职的,平时忙于本职工作,对于信息安全的时间投入明确显不足。造成这种现象的根本原因在于,未能将信息安全工作纳入部门与人员工作绩效考核体系,在公司层面缺乏一套完善的信息安全绩效评估体系。

另外,信息安全专职人员的缺位与信息安全部门在组织层面隶属关系上层级的低位,也是造成基金公司信息安全组织无法发挥效力的一个原因,有些基金公司建立了单独的信息安全部门,配备了专职的信息安全技术和管理人员,但信息安全部门在行政上隶属于IT部门,造成信息安全工作开展上的困境。

基本上,基金公司都会聘请部分外部专业机构帮助开展信息安全评估、规划、设计以及建设工作等。

5、资产管理

目前基金行业的资产管理主要限于计算机硬件设备的采购和资产登记,有些公司在硬件管理上还存在着允许员工使用个人电脑进行办公的行为,导致信息泄露的可能性大大增加。另外,整个基金行业对与硬件投入费用规模相当的软件资产的都存在着疏于管理的问题,造成多年下来,却一直没有摸清自己软件资产的家底,导致重复采购、软件许可到期而不自知的问题时有发生。

在业务数据的安全方面,业务部门对业务信息的归属和管理方面一直存在着所有权和管理权不清、权利有业务不清、管理职责不清的问题,特别是跨部门流程或非经常性流程中涉及到的信息资产,经常存在着找不到所属部门的情况,出了问题,部门间会存在扯皮现象。

存储在IT系统中的业务数据,存在着信息系统数据分散的问题,数据形同碎片,缺乏统一的、有机的整合,导致数据利用率不高,难以为业务决策提供强有力的数据支持,急需要进行数据整合。

6、人力资源安全

目前基金行业的人力资源管理主要分为两部分,公司内部人员管理和合同方人员管理。对于内部人员,人力资源部在人员入职前要进行人员资料核对,会要求员工签字承诺对自己资料的真实性负责,对于重要岗位人员会通过电话方式进行简单的背景调查;入职后会签订保密协议,离职后要进行工作交接,并签定离职保密协议。在员工培训方面,无论是新员工的入职培训还是老员工的在职培训,信息安全方面的培训内容很少涉及,有些员工甚至没有接受过信息安全培训,员工对信息安全知识和公司可利用的IT资源了解很少,而且员工对需要了解和遵守的信息安全规则并不了解。

员工离职时,离职人员在IT系统中的帐户权限由信息技术部人员进行清除或禁用,离职工作交接中没有明确提到信息资产的交接、归还电脑硬盘数据的清除等内容。

合同方人员在进行项目时,大多基金公司都会与其签订保密协议,对合同方使用的I设备进行必要的控制,与合同方对项目交付物的知识产权有比较明确的约定,对于外部合同方人员的安全管理主要遵守相关的合同和企业的相关制度。在实践中,发生问题后,主要是以双方协商解决为主,在公司制度层面,对第三方人员信息安全管理的执行和达成情况判定方面还没有形成一套简洁、完善、有效的机制。

7、物理与环境安全

目前基金行业的物理及环境安全涉及机房安全和办公环境安全两个方面。整个行业在物理与环境安全方面控制较好。

在机房安全管理方面,基金行业实施了较多的控制措施。包括办公区的门禁系统、在机房门禁系统,监控装置、机房消防设施,机房部署UPS和发电机(大厦共用),机房已提供必要的空调、通风系统,机房内部实行分区管理等。

对于敏感性业务部门或办公区,行内是一直执行禁止非本部门或本室人员进入的制度,且一直执行较好。

与出色的硬件相对,在对物理与环境安全管理方面,行内还存在着一些问题,比如:在在着内部人员忘记或有意不关楼层大门的情况,客观上存在着外部人员非授权进行本公司物理场所的问题;有些第三方人员可以比较随意的进入重要的业务部门或办公室,存在着较大的安全管理风险。

8、通信与访问控制

公司层面对于硬件、软件(操作系统、应用系统、数据库系统)的大型变更管理都会通过正式的书面的审批流程,但这个审核流程的作用大于意义意义,系统变更的操作与测试还是主要靠相关维护人员凭经验控制,在个别基金公司中发生过因重要业务系统上线前由于测试不充分,导致上线后出现很多故障、影响业务的正常开展的情况。

在职责分离方面,部分基金公司由于IT 员数量限制,存在着开发职责与运维职责未分离,操作系统管理职责与应用系统管理职责未分离的情况。环境分离方面,业务系统的整个或部分开发测试与生产环境未实现分离。

对于网络设备、主机等重要设备的安全评估与加固方面,少数公司有进行定期的安全评估与加固,但多数公司在这方面还处于起步阶段。

网络管理与监控方面,存在站未进行划分网络隔离或或隔离不完全的情况,对主机、业务系统和数据库的性能和资源监控也处于初级阶段。

数据库管理方面,目前基本没有采用第三方数据库审计的产品或开启相应的数据库审计功能,没有采用自动化的数据库性能监控工具

用户访问管理方面,有些公司存在着应用系统用户权限的授予并未遵守最小权限原则,造成访问权限过大的情况,且未建立或严格执行系统访问权限定期审核清理制度。应用系统用户的口令策略上也存在着一定的问题,如使用弱口令、不定期口令等。

9、软件开发

由于历史原因,基金行业的核心应用系统外购为主,目前外购还是主流。以前采购的应用系统,由于第三方在系统交付时,未交付与系统有关的设计文档、操作程序,因而操作程序的文件化方面仍缺失,用户、操作员和管理员都无法得到文件化操作程序。历史上自行开发的应用系统由于开发功能简单,缺乏开发流程,也没有制作系统的文件化的操作程序,系统的交接完全依靠个人经验和讲解。

在开发需求缺乏完整的信息安全需求是行内的通病,特别是外购的软件,导致行业目前使用的业务系统存在着安全方面的漏洞,如对于模糊查询,未做编辑限制,容易导致因查询跨度过大,系统速度受到影响;未数据有效性和准确性的检查,对于不同系统间出现数据不同的情况通常是采取人工核对的方式进行纠正。

由于行业对核心系统是以外购为主,导致应用系统中关键或重要的维护还要依靠外包商,对外包商依赖性很大,这种局面造成公司与外包商的合作中关系不对等,有时会受制于外包商。由于没有得到外购系统的源代码,不了解其的数据库结构和编码实现方式,当系统发生问题时,无法确定系统题的原因,因而这已成为影响整个行业公司业务系统稳定的最大风险来源。

目前对于自己进行开发的系统已加强了这方面的管理,在开发项目初期的需求分析中对安全控制方面要求的考虑目前已较多,如身份鉴别、访问控制、交易安全、数据安全、日志与审计等。

基金行业自行进行软件开发的公司,通常采用核心系统自己开发,办公或外围系统外包开发的模式,对外包商管理问题是急需解决问题,包括外包商的选择、评价、外包人员管理、外包过程管控、产品质量控制、外包商考核指标/惩处措施/赔付条款等问题。另外,由于缺少技术方面的控制防止信息的泄漏,特别是对于外包开发的软件的内置木马和后门的防范和检测。

10、业务连续性管理

大多数基金公司都建立了灾备系统,个别企业有建立或准备着的建立自己的灾备中心,实际工作中发现,对于灾备系统的演练工作并不完善,演练主要是IT人员组织和进行,业务部门很少参与演练工作,这种局面会给实战效果打折扣。

11、合规性

基金行业一般会成立一个独立的部门负责公司层面的风控、内部稽核、合规和监察管理工作;包括根据监管要求制定相关内部管理制度,向相关部门提出合规要求,定期进行内部流程和制度执行情况审计,内部制度和合同评审,法律纠纷处理等。这个部门一般直接隶属于管理层,由于制度的缺失,缺乏对监督者的监督,实际运作中,可能导致这个负责监督的部门成为最大的控制漏洞。

12、IT审计

大部分基金公司会根据需要定期或不定期邀请外部第三方进行安全评估或其它监管机构要求的IT审计,与外审相对,大多数基金公司目前自己进行的内部IT审计还比较简单,并不全面。基金行业应该通过对内部IT审计师的培养,渐步完善IT审计框架、提升IT审计能力;加强对外部第三方审计的管理与控制。

冷漠PS:看了下,这篇文章主要介绍的还是基金行业在 各个方面的一个现状的分析,而不是一个解决方案。从现状的角度来看,分析还是很实在的,很多国内的基金公司都会存在这样的问题,而且有的甚至更为严重,这在一定程度是由于公司高层对安全不重视。哎,为什么总是要等到出现安全事件后,才会去重视呢...为什么都去做一些救火和亡羊补牢的事情,为什么不能未雨绸缪呢?安全啊,安全,一个永恒的话题....
InfoSecurity | Comments(0) | Trackbacks(0) | Reads(8147)
Add a comment
Emots
emotemotemotemotemot
emotemotemotemotemot
emotemotemotemotemot
emotemotemotemotemot
emotemotemotemotemot
Enable HTML
Enable UBB
Enable Emots
Hidden
Nickname   Password   Optional
Site URI   Email   [Register]
               

Security code Case insensitive