坚守风险底线 券商筑牢信息安全防护墙
来源:中国证券报-中证网
● 记者 周璐璐 林倩
(资料图)
近年来,券商交易软件宕机事件时有发生。在这背后,随着数字化转型深入推进,信息系统日益复杂,系统迭代和交付的频率越来越高,运维难度不断加大。
中国证券报记者日前调研获悉,各券商或加码核心业务系统建设,或加强信息系统变更评审,或关注系统运行稳定性的工程化建设,或加强合规监管,从各个方面采取措施防患于未然,保障投资者权益。
压实运维责任
随着数字化转型的深入推进以及各项技术的升级变革,如何让系统拥有庞杂功能的同时快速响应业务要求且保障平稳运行,成为各券商信息技术部门重点研究的课题。
中国证券报记者调研获悉,中信建投证券建设以标准化、流程化、数字化、自动化、智能化、可视化“六化”为目标的运维体系,满足稳态和敏态两种运维场景,初步实现智能运维。“公司充分利用新技术,结合运维场景和模型,实现运维日常管理、场景化监控以及故障自愈、故障定位以及自动处理、系统动态部署、数据分析等应用场景的智能化。”中信建投证券执委会委员、首席信息官肖钢说,“我们还持续推进ITIL和ISO20000 IT服务体系建设,通过运维场景标准化落地运维流程管理,进一步全方位提升运维自动化水平并消除运维流程断点,来提升运维数字化水准。”
东方证券在2021年启动新一代核心业务系统建设,采用微服务架构作为技术底座,按照微服务的划分原则进行统一建设,通过微服务注册和调用机制,形成统一的中后台服务和分布式交易服务。据东方证券相关负责人介绍,微服务架构等技术底座保障了各类服务调用的可靠性和安全性,同时增加了交易节点的部署,降低了对单一交易节点的依赖和升级变更风险。
“国泰君安始终坚持高度自主研发的策略,确保关键技术自主掌控,减少外部厂商依赖,为系统安全平稳运行提供有力支撑。”国泰君安相关负责人介绍,国泰君安以平台化为抓手,对内发挥数字化的能力沉淀、资源整合、业务协同、风险管控、效能提升等作用,对外以科技为桥梁加强与外部金融机构的合作,拓展业务生态,打造覆盖企业全生命周期的综合金融服务体系。
谈及如何提升公司网络安全防护能力,西部证券首席信息官黄裕洋表示,西部证券一方面通过固化事件管理、问题管理、配置管理等ITIL标准服务管理流程,提升信息技术整体服务质量和效率。另一方面,不断补充IT人才,完善提升运维培训体系和考核体系,层层压实运维责任。此外,西部证券持续关注系统运行稳定性的工程化建设,通过建设可量化的稳定性度量标准、可视化的观测视图及支持高效协同的流程机制,使运维团队沟通高效、执行一致。
华鑫证券采用模块化和分层化的设计思路,微服务、分布式等系统架构,降低系统复杂度,提高可维护性和可扩展性。华鑫证券信息技术部相关负责人说:“我们从多维度监控、健全容灾备份策略、强化安全防护措施、定期维护和优化等方面着手,对冗长的流程会考虑优化,对系统架构也会考虑优化重构。”
强化合规意识
合规是底线。在不断推进各项技术升级变革的同时,各券商持续强化合规意识,筑牢信息安全防护墙。
肖钢介绍,中信建投证券信息技术部门专门设立了内部审计团队,建立清晰、明确、可行的追责机制,并辅以数字化工具提升安全合规管理的覆盖范围、准确性与时效性,形成计划、执行、检查、处理(PDCA)的管理闭环,持续提升公司金融科技与信息技术的安全合规管理水平。
东方证券合规风控条线采用了“三道防线”垂直管理体系。“一道防线”是公司各单位,内设合规风控人员,嵌入各单位业务审核、决策流程,前置性的对业务开展的合规风控事项进行专业论证。“二道防线”是公司合规风控职能部门,对“一道防线”的有效运作及其经营管理的合规性进行监督、审查和检查,对公司整体风险水平进行监测、评估、报告,为业务决策提供合规与风险管理专业意见。“三道防线”是公司稽核总部,为独立的一套事后监督体系。
西部证券设立了保障网络信息安全的三道防护网:首先,在生产系统上线过程中,西部证券通过严格审核系统变更实施方案、安全评估方案、应急回退方案等内容控制变更风险。其次,在中心机房和灾备机房对核心交易系统和周边交易服务等重要信息系统部署基本相同的设备和业务接管系统。最后,每季度组织总部及分支机构开展信息系统应急预案演练。
华鑫证券从流程方面加以严格管理,建立了“需求、开发、测试、上线、反馈”的完备IT管理流程。华鑫证券信息技术部相关负责人称,信息技术部门建立了早晨的巡检机制、交易时间段的紧急响应机制、闭市后的清算异常响应机制,还在公司层面加强合规监管,并制定相应的风控措施和政策。
开源证券加强信息系统变更评审,对变更内容及上下游影响进行充分评估;通过人工辅助自动化的方式进行全面深入测试;加强信息系统运行监控,定期进行故障演练,提升应急处置能力。“开源证券在加快推进科技创新的同时,高度重视信息安全管理,在组织、人员、投入等方面给予充分的保障措施。目前,已建立同城及异地灾备中心,信息系统灾难应对能力达到行业最高标准要求。”开源证券信息技术中心负责人索登科说。
关键词: