銀行/證券/保險/基金等是在所有各行各業(yè)中，對IT安全等級要求最高的行業(yè)，通常在其他行業(yè)領(lǐng)域的IT建設(shè)與內(nèi)控拔得頭籌后，爭相學習與看齊的對象，就是金融行業(yè)。也因此，金融行業(yè)就受到了財政部、證監(jiān)會、審計署、銀監(jiān)會、保監(jiān)會等單位指導，在《企業(yè)內(nèi)部控制基本規(guī)范》下，對內(nèi)控與審計有了更高水平的指標要求。后又有《證券公司信息隔離制度》與《證券公司信息隔離制度操作指引》更俱體的說明了IT建設(shè)要求，必需建立統(tǒng)一的IT通信安全管理平臺，進一步從終端安全管理、郵件審計、商務行為管理，防范老鼠倉、內(nèi)幕交易、機密信息泄露的各種措施，實際達成信息隔離墻的建置要求。

面對此合規(guī)的要求，金融行業(yè)的CIO 面臨幾大問題點:

 1.法規(guī)遵循問題: 明白法規(guī)的重要性，但實作上需要哪些系統(tǒng)或如何著手是個大問題。

2.人力資源問題:IT自主開發(fā)能力不足，無法自行開發(fā)系統(tǒng)。

3.執(zhí)行單位問題: 該由哪個部門發(fā)起? IT 單位只有技術(shù)實施與運維，難以主導執(zhí)行。

4.經(jīng)驗問題: 需參考業(yè)內(nèi)典范方案，減少走冤枉路。

5.技術(shù)問題: 找不到整合解決方案，與最權(quán)威的協(xié)助廠家或單位。

當然除了這些原因外，還有推動的問題，沒有人愿做該地區(qū)或該行業(yè)的先趨者，資源協(xié)調(diào)問題等，都必需被一一克服，才有辦法用IT治理提高企業(yè)競爭力，在符規(guī)的前題下達成良好的內(nèi)控循環(huán)，讓投資者更放心將財富交托該單位投資，也進而擴大公司的業(yè)務與收益，實現(xiàn)投資者與金融行業(yè)的雙贏目標。

以下就解讀《證券公司信息隔離墻制度指引》，將法規(guī)有關(guān)IT通信安全管理有關(guān)議題作詳細說明:

1. 第九條第二款：加強對涉及敏感信息的信息系統(tǒng)、通訊及辦公自動化等信息設(shè)施、設(shè)備的管理，保障敏感信息安全。

2. 第九條第三款：對可能知悉敏感信息的工作人員使用公司的信息系統(tǒng)或配發(fā)的設(shè)備形成的電子郵件、即時通訊信息和其他通訊信息進行監(jiān)測。

3. 第十條：對電子郵件及即時通訊工具進行監(jiān)測，依不同部門的信息分開管理，處于邏輯隔離及良好的物理隔離。

4. 第十三條：證券公司應當確保存在利益沖突的業(yè)務的信息系統(tǒng)相互獨立或?qū)崿F(xiàn)邏輯隔離。

5. 證券公司應當建立完善的集中授權(quán)機制，對信息系統(tǒng)實施分類、分級管理。公司信息系統(tǒng)權(quán)限的審批、設(shè)置、變動以及密碼的使用、修改應有嚴格的控制措施并保留完備的記錄。

6. 自營、資產(chǎn)管理或者其他業(yè)務部門不得開展跨部門聯(lián)合調(diào)研、委托調(diào)研等活動，研究成果僅限于本部門內(nèi)部使用，不得向其他部門傳播。

7. 對敏感信息的披露，能自動采取現(xiàn)實，在一定范圍內(nèi)人員監(jiān)控，不會造成不當?shù)牧魍�，跨部門的流通披露前一定要經(jīng)過審核是否逾越權(quán)限，或是敏感信息送到特定人員做實時審計。

就以上幾點，可以總結(jié)出在IT管理方面的幾個要求:

1. 非許可的辦公電腦不得帶入辦公場所，實行實體管制與網(wǎng)絡(luò)準入控制。

2. 禁止在辦公電腦（包括執(zhí)行證券交易指令所用電腦）上使用QQ、MSN等即時通訊軟件。

3. 限制即時通訊軟件使用，在允許使用范圍對通話內(nèi)容與行為進行管理和監(jiān)控。

4. 對辦公電腦采取限制措施，屏蔽公司證券交易軟件，并逐步屏蔽其他證券公司證券交易軟件，含市面上常見的一般交易軟件。

5. 對自營業(yè)務、資產(chǎn)委托等業(yè)務進行數(shù)據(jù)和通信隔離。

6. 建立郵件審計系統(tǒng)，對辦公郵箱進行監(jiān)控，對郵件收發(fā)記錄全過程留痕，并方便調(diào)閱和復制。

7. 對郵件以及相關(guān)可審計系統(tǒng)實行分權(quán)管理。

8. 防止客戶資料等敏感信息非法外泄，并提供有效的審計手段。

9. 對交易人員的指定IP電話進行監(jiān)控審計。

針對上述要求，面對信息隔離墻要求，將對內(nèi)外可通信管道進行監(jiān)控與審計，重點項目或涉密的可能進行阻斷與日志，可分為墻體本身的幾大系統(tǒng)，包含a.上網(wǎng)行為管理b.郵件歸檔與審計 c.電話錄音，在內(nèi)控的需求中，包括對所有系統(tǒng)服務器與操作進行記錄的系統(tǒng)日志，內(nèi)部電腦管理包含補丁/殺毒/防止安裝軟件/USB使用/準入控制 的終端安全管理系統(tǒng)(或稱為桌面管理系統(tǒng))，最后延伸到非實體系統(tǒng)的軟管理，也就是必需制定管理規(guī)則，明確審核人員權(quán)限、授權(quán)管理，乃至于平日的IT管理到機房管理等細則，以下圖說明墻內(nèi)(內(nèi)控)的管理需求，及隔離墻所需的幾大系統(tǒng)：

墻內(nèi): 1.日志系統(tǒng)。2.終端管理系統(tǒng)。

墻體: 1.上網(wǎng)行為管理系統(tǒng)。2. 郵件歸檔與審計系統(tǒng)。3.電話錄音系統(tǒng)。

 

對信息隔離墻系統(tǒng)要求如下:

i. 上網(wǎng)行為管理系統(tǒng):

·實現(xiàn)對上網(wǎng)的網(wǎng)頁訪問、論壇發(fā)貼、即時消息（QQ、MSN、飛信等）、Webmail郵件收發(fā)、阻斷不允許使用的外部郵箱、互聯(lián)網(wǎng)各種應用（網(wǎng)上炒股、迅雷、PPS/PPTV等）的管控。

· 針對用戶使用行為進行統(tǒng)計，同時可提供主管部門的審計需求，審計內(nèi)容與審計動作都必需詳實留痕。

· 對不允許使用的電腦進行網(wǎng)絡(luò)接入的控制，同時必需時實對違反策略記錄產(chǎn)生事件并告警。

ii. 郵件歸檔審計系統(tǒng):

· 詳實記錄用戶收發(fā)郵件，含對內(nèi)發(fā)送郵件記錄，包括附件記錄等，必需有快速可查找方式調(diào)用郵件。

·可提供給個人郵件查找并且便利還原界面，滿足減少IT Help Desk 工作量。

·要求對部門至于個人排名產(chǎn)生統(tǒng)計報表，并可自動派送與事件主動通知功能。

· 對外發(fā)郵件可審計郵件內(nèi)容與附件關(guān)鍵字詞，可設(shè)置股票代碼或相關(guān)機密關(guān)鍵字詞進行事前審計。

iii. 電話錄音系統(tǒng):

· 實現(xiàn)交易員電話進行錄音，并可針對指定IP 電話監(jiān)控。

· 可調(diào)用錄音文檔，審記留痕等要求。

以上系統(tǒng)都需要全面思考審計人員使用便利性，因此一般會采用OA 或與Portal 進行整合系統(tǒng)，免除多點登入困擾，實現(xiàn)SSO 單點登入與審計統(tǒng)一介面，在此要求下，以多權(quán)分立相互監(jiān)察的原則，必需做到IT管運維，審記只看權(quán)限內(nèi)可審計重點，領(lǐng)導看報表或是事件記錄等，才能構(gòu)成金融界所要求嚴謹?shù)南到y(tǒng)。當然，這只是IT領(lǐng)域中的一小環(huán)，但卻能滿足《信息隔離制度指引》與《企業(yè)內(nèi)部控制基本規(guī)范》內(nèi)控的要求，可為金融界IT執(zhí)行指引出正確方向，并達成了留痕的重點要求，進而完成內(nèi)控與防范涉密的規(guī)范，此方案也提供參考。

標簽： 安全 代碼 電子郵件 服務器 互聯(lián)網(wǎng) 機房 機房管理 金融 排名 權(quán)限 通信 網(wǎng)絡(luò) 信息安全

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請與原作者聯(lián)系。