证券行业网安三年提升计划：券商安全和科技投入需持续加大

2023年1月，中国证券业协会下发《证券公司网络和信息安全三年提升计划(2023—2025)》征求意见稿（以下简称《三年计划》），提出33项重点工作。力争到2025年，通过组织引导券商积极落实各项行动举措，促进证券行业网络和信息安全建设取得扎实成效。

券商数字化转型加速推进，API安全不容轻视

近年来，券商行业数字化转型正在加速推进：2022年11月，中国证监会就发布了《证券期货业数据安全管理与保护指引》，从数据安全管理基本原则、组织架构、制度、技术等方面为券商提供了指引。而近期《三年计划》的发布对券商业务与网络信息技术的加速融合提出了更高的要求，也意味着证券行业在日益复杂的内外部环境下，需进一步加强数字化安全建设。

在券商数字化转型过程中，作为连接数据和应用的重要通道，API的数量呈现爆发式增长，云原生、自研技术的发展也进一步加大了API的风险暴露面。近年来，由API管控问题导致券商遭遇数据泄露、恶意攻击等事件层出不穷。据Gartner预测称：API滥用将成为导致企业Web应用程序数据泄露的最常见攻击媒介。因此，券商行业网络和信息安全管理能力在数字化转型过程中面临着极高的要求和挑战。

《三年计划》鼓励券商自研上云，安全与科技投入是重中之重

在金融证券行业中，合规监管政策一直呈现“更全、更严、更细”的趋势。《三年计划》的发布也进一步明确和细化了证券行业数字化和网络安全相关建设措施。

《三年计划》对券商行业的数字化转型提出了3点关键指引，指引中提到的信息系统上云、合作研发/自研技术、数据安全管理等发展方向均反映出API安全风险管理的重要性：

1.有条件的证券公司加快信息系统上云，通过云计算平台承载及运行的信息系统比例不低于 60%。

随着云计算技术的广泛应用，越来越多的企业将应用和数据迁移至云端，有时还会暴露核心业务能力和流程相关的API，用以为外部合作伙伴提供服务，这也会使得API安全风险增大。

2.有条件的证券公司合作研发或自主研发安全可控的关键技术、系统或设施。

多数企业自研以及外部团队开发的系统安全性难以保障，比如有些系统存在未授权访问、越权访问、敏感数据未脱敏或伪脱敏漏洞等，这些漏洞和缺陷都很容易导致企业遭受黑产攻击。

3.加强数据安全管理体系建设。重点加强静态和动态数据资产的精确识别，围绕数据采集、传输、存储、加工、共享、删除、销毁等数据处理各环节。

在数字化交互的新常态下，大量重要敏感数据通过API进行线上流动，API数量急速攀升，越来越多攻击者会通过API存在的缺陷实施窃取数据等行为。

由《三年计划》核心内容可见，在券商数字化转型过程中，API是券商数字化的重要IT资产，API安全建设是金融证券企业实现信息系统上云、合作自研、加强数据安全的必经之路，企业需要从全生命周期视角出发，搭建贴合业务、功能全面、更有弹性的安全管控平台。

那么，针对券商数字化转型中的API漏洞、数据安全、态势感知等常见问题，应该如何解决呢？

通过建设API安全，降低券商数字化转型中的安全风险

威胁猎人API安全管控平台，基于API资产梳理、缺陷检测、风险感知三大维度出发，系统化保障业务安全，帮助企业构建完善的API安全防护体系，为券商数字化转型保驾护航。

1.自动化梳理API及数据资产，进行流动数据的动态风险运营

自动化梳理面向客户、内部员工、券商经纪人、合作伙伴及第三方供应商等数据流通场景下的API，建立完整可视化的API资产清单，及时了解API开放数量、API活跃状态、僵尸API、缺陷API、涉敏API等情况。

通过流量梳理API资产的同时，对流量中流动的敏感数据资产进行识别和提取，并对提取出来的敏感数据类型进行分级分类，确保数据资产持续更新和可见。

2.全面监测自研、外采、开源等多组件存在的API漏洞

在资产可见的基础上，威胁猎人API安全管控平台会对API存在的风险点进行持续检测。目前支持“未授权漏洞、越权漏洞、短信验证码泄露、关键数据未脱敏”等67种API缺陷类型的检测;

同时，针对多场景组件，威胁猎人API安全管控平台还可以及时覆盖券商自研业务API和外采第三方组件、开源系统API存在的相关漏洞，先于攻击者发现API上的安全隐患。

3.以精准情报为基础，及时感知外部攻击态势并预警阻断

基于黑产“攻击IP、工具、账号、行为”等风险情报，构建API访问的行为基线，精准检测API访问序列中的异常行为、判定数据风险；及时告警“撞库、扫号、数据爬取、账号暴破、漏洞扫描”等多种攻击风险，识别准确率不低于95%；同时，威胁猎人API安全管控平台还会将情报快速同步到WAF设备进行阻断，实现安全动态攻防。

点击阅读原文

下载《三年计划》报告全文