证券行业应用安全运营托管服务的可行性研究和总体实施建议

文 | 李维春、刘亦翔、程度、刘敏杰

李维春　国投证券股份有限公司
刘亦翔　国投证券股份有限公司
程　度　北京升鑫网络科技有限公司
刘敏杰　深信服科技股份有限公司

摘 要：新时代、新环境下网络安全工作面临巨大的挑战,在投入有限、人员流动频繁的前提下,如何有效地开展安全运营保证各类安全控制措施的有效性,是行业机构面临的普遍问题,而安全运营托管是个可行的解决方案。本文针对安全运营托管的背景、行业机构的需求、安全运营托管的可行性进行了分析,并提出了整体的安全运营托管实施方案。

关键字：安全运营托管现状、安全运营托管
注：本文首发于《交易技术前沿》。

课题背景及意义

近年来,以总体国家安全观为指导,国家网络安全工作顶层规划与总体布局不断完善,网络安全“四梁八柱”基本确立。相继出台了网络安全法、数据安全法、个人信息保护法、《关键信息基础设施安全保护条例》等网络安全法律法规，印发了《网络安全审查办法》云计算服务安全评估办法》等部门规章和规范性文件,国家网络安全工作的政策体系框架基本形成。网络安全总体工作的政策保障在快速成形，本质上是我国数字化进程的加速推进,广大人民群众对网络安全数据安全、个人信息安全的关注度与日俱增。

在这个大背景下,证券行业在数字化转型发展过程中所面临的网络安全风险将会持续扩大,存在局部网络安全风险向系统性社会风险转化和蔓延的问题。另外，证券行业机构的网络安全保障体系和能力的建设是国家安全体系和能力建设的重要组成部分。当前我国证券行业面临的网络安全问题有以下两点:

第一,安全建设水平差异较大。目前各单位的信息化水平差异较大,网络安全防护水平参差不齐。总体来说,受制于编制、资金、意识等条件的约束,网络安全水平层次不齐,缺乏一致、良好的网络安全基础设施,并目难以在短期内全面实现网络安全基础设施的改造升级。

第二,常态化网络安全感知和应急能力不足。网络安全的本质是对抗，证券行业单位在攻防两端对抗中处于“能力不对等”的处境。以国家大型实战攻防演习活动为例,绝大多数参与企业单位在演习期间,通过加大网络安全运营人员与设备的投入,并在演习期间采取特定的应对措施，在短时间内使其网络安全防御能力得到了全方位大幅度提升;但当攻防

演习活动结束后,伴随着网络安全专家和临时租借的安全防护设施离场,安全防护水平又由战时的“铜墙铁壁”回到了平时的“焦头烂额”的基础防护水平,安全感知能力和应急反应速度无法与“战时”相提并论,无法做到24小时全天候对安全事件进行全面准确的监测和发现，并及时开展应急处理措施。

在这样的大背景下,如何更有效地、以更高投入产出比的方式开展安全建设和安全运营,是证券行业机构普遍面临的问题。

安全运营托管服务的可行性研究

安全运营托管服务简介

安全运营托管服务(MSS,Managed security Service)是将自身的网络安全托管给网络安全服务供应商的一种服务。此类服务的供应商是安全运营托管服务供应商(MSSP,Managed Security Service Provider),安全运营托管服务模式起源于 1990 年代中后期,当时互联网服务供应商将向客户出售防火墙设备,并通过拨号连接管理客户的防火墙,并收取额外费用。目前企业通过采购安全运营托管服务,使用安全运营托管服务供应商构建的S0C(安全运营中心),企业可快速扩展自身的安全能力,实现预期的安全效果。

Gartner对安全运营托管服务的定义是：

安全运营托管服务的核心服务内容是对安全事件的监控和安全事件的响应以及合规方面的报告。除此之外还可能包括以下方面的内容：

一般认为,MSS会给甲方企业带来如下价值

1、降低安全运营成本

与大多数托管服务提供商一样,MSS可以带来规模经济效应,因此能够帮助企业降低安全运营工作的成本投入。后时,选择MSS可以将大部分安全预算由资本支出转化为运营支出,这可以为组织提供某些成本优势，并在预算编制过程中减少了变数。

2、提供不间断的安全服务和更强大的安全运营能力

大多数组织(尤其是中小型行业单位)都无力打造全天候运作的安全运营中心。但是由于具有规模效应，MSSP可以建立更完善的运维服务体系;MSSP通常可以更轻松地应对人员流动,保障服务的可靠性和稳定性。如果聘请一家成熟的MSSP,组织可以大幅提升许多方面的能力,例如在威胁检测和响应方面,企业可以更好地深入了解新旧威胁以及如何检测和防御这些威胁;MSSP处理过大量的安全警报和违规事件,因此它们往往更有经验,在处理突发性安全事件时往往会更加迅速;MSSP通常更积极地试用包括人工智能在内的新型安全工具和技术,这些创新工具和技术有可能带来更好的安全防护效果。

3、更准确了解和符合合规监管要求，更好的第三方证明

由于拥有更广泛的安全运营经验,许多MSSP能够更全面了解全球和国家层面的不同法规标准和监管要求，包括GDPR、HIPAA以及我国的网络安全法、数据安全法等。网络保险提供商、业务合作伙伴以及客户都会需要组织能够提供满足某些合规要求、落实网络安全标准的证明,MSSP代表了可靠、专业的第三方机构,它们可以帮助企业证实自己在安全保障方面的工作与能力。

4、提供更多的安全专家资源

MSSP通常更有能力雇佣网络安全人才，它们有广泛的合作伙伴和经济能力。考虑到目前网络安全人员的缺口巨大，通过与MSSP合作可能是组织获得所需安全专业人才的唯一途径。

行业现状调研分析

网络环境复杂性的增强,安全威胁攻击手段的提升使网络空间的攻防战愈发激烈,传统的人工应对方式已经完全不足以解决当前数量巨大、变化多端的威胁信息和夜以继日地攻击。通过人力完成对这些网络事件的应对，已经变得愈发闲难。

目前行业内大部分中小证券威胁管理机制偏弱,且证券行业网络安全建设主流方案为部署大量的基于单点工作机制的网络安全防护产品。这些产品都是基于单点的工作机制,网络安全技术之间的整合度低、联动性不强,使得在应对网络安全威胁时不能高效率的处理事件,难以从海量的安全数据中有效发现和响应安全事件。在安全人员层面,行业内大多数中小证券正编安全人员偏少,只有1-2人,往往只能通过外包来解决安全威胁处置的需求,但由于外包人员能力有限、流动性大,正编人员较多的精力在指导外包人员成长,导致威胁管理领域投入精力有限,从而在威胁管理上效果也比较有限。

同时，我们发现在证券基金行业内大部分中小规模的经营机构采用的安全服务主要是通过人工定期进行交付，安全服务内容聚焦在传统安全服务,如漏洞扫描、基线核查、渗透测试等;并且常规安全服务缺乏有效的工具和流程支撑,对安全事件的感知局限于事后的处置和溯源加固,无法做到事前的主动发现和预警,也缺乏有效的安全事件应急预案和事件快速响应机制,在安全事件发生时无法做到主动发现和快速止损。

针对中小证券的安全运营托管模式,课题组在行业内开展了一次问卷调查,部分问题和数据摘录如下：

第7题：如果监管不明确反对安全服务托管,你会考虑将部分安全运营工作常态化地托管给“云服务商”吗?

云服务商的意思就是通过专家、系统工具,以远程形式完成安全服务,要么是专家远程开展工作,要么是把一部分安全数据交给非本地的系统、专家去处理。

受调查的单位有58%对安全运营托管服务持一半以上的开放态度,另外42%的受调查单位对安全运营托管服务的担心还是在于是否符合法律法规要求、数据安全风险是否可控、安全响应效率是否及时;如有手段可以较好地解决这些问题，证券行业采用安全运营托管服务的方式可以很好地提升安全运营的效率和质量。

证券行业应用安全运营托管服务的可行性研究

1、必要性研究

数字化业务转型加快了企业发展的步伐,也滋生了更多的网络安全隐患。然而,由于许多企业缺乏所需的专业技能和资质能力,在开展网络安全建设时面对多种的安全挑战同时还要面临着IT预算不断收紧等问题。

将企业安全建设和运营中的部分工作交给专业化服务公司,采用外包的模式,引入专业的MSSP,是企业网络安全建设的一种有效模式,而外包模式在整个!T行业都是一种常态。Forrester Research副总裁兼首席分析师Jeff Pollard表示:如果组织因为网络安全团队没有足够的时间、人才或能力来合理完成某些安全工作时,就应该尽快考虑并选择网络安全外包服务。此外,如果组织认为一些安全任务(比如评估内部威胁)不该由内部安全团队来处理,也可以考虑聘请安全托管服务来完成这些任务。

课题组在研究中发现,目前很少有组织会将整个安全建设和运营工作外包出去。大多数组织都在寻求混合模式:部分安全任务外包出去,部分留在内部自行管理。在混合模式下,内部安全主管、经理和高级专家通常处理战略性任务,而安全托管服务则更多负责执行等专业事务性任务。如果选择驻场的安全运营托管服务，则面临着如下挑战：

2、合规性研究

(1)《网络安全法》《个人信息保护法》《数据安全法》合规性研究

通过对以上法条内容的研读,经咨询深圳市律师协会数据合规专业委员会，课题组认为：

(2)《证券基金经营机构信息技术管理办法(2021年修正)》合规性研究

通过对以上法条内容的研读,我们认为：

结论：我们认为只要安全运营托管服务机构对在服务过程中接触到客户信息、经营信息采取了合理的保护措施、监测措施、响应和处置措施,在安全运营托管服务过程中遵守与证券基金经营机构的合同、协议,就符合法律法规的要求。

风险及应对有效性分析

1、信任风险

在安全运营托管服务过程中,信任风险包含两个内容，是对服务机构的能力、资质的不信任,二是对服务机构的态度、意愿的不信任。针对这2类信任风险,我们认为可以采取如下多种措施

2、数据泄漏风险

在安全运营托管服务过程中，需要将证券基金经营机构的网络流量、可疑样本数据、人员操作日志传递给运营托管服务机构的安全分析系统,这其中不可避免地引发对数据泄漏风险的担忧。我们认为可采取如下措施

投资收益分析

一直以来,企业安全能力在安全需求和安全建设之间存在较大差距。企业既需要应对不断增长的安全威胁,同时又必须面对专业人才匮乏、防护经验缺失、安全预算有限的现实。尤其是在实战化趋势下,安全防护必须做到常态化运营企业想要通过自身能力实现安全事件的持续监测、构建安全风险主动闭环处置能力难度很高。

正因如此,安全托管服务日益兴起，即“专业的事情交给专业的人来做”。安全托管服务颠覆了以往驻场式人工服务为主的服务模式(严格来说,这也是一种安全运营托管服务，本报告将这种模式描述为“本地托管”),让企业无需投入目大资金和人力组建安全团队,通过远程托管的方式即可享受专业的安全服务和安全专家资源(本报告将这种模式描述为云托管”,是本报告主要描述的安全运营托管服务模式)。

但值得注意的是,并非所有的安全托管服务方案都能很好地发挥效用。许多安全托管服务仅仅只做到了收集日志数据和发出海量警报,接近于设备托管,不仅没有起到简化流程、收敛攻击面和加固用户安全防护的作用，反而给企业安全团队带来了额外的投入。此外,即使是一个功能和服务完善的安全托管服务方案,也不一定适合所有行业，各行业用户在提出安全需求时总有一定的行业特殊安全需求,例如:证券行业对客户数据的保密性要求极高，但行业内大多数中小证券正编人员偏少,只有1-2人,只能通过托管来解决安全威胁处置的需求;但外包人员也因为流动性大的问题对安全事件的即时响应也存在一定的问题。如采用安全托管服务的方式将主要安全数据、告警分析和处置交给安全服务商进行托管,较大程度上可以解决招人难、外包人员流动大的问题，并且云托管的方式性价比也很高，可以节约很大的人工成本。

通过安全人员和安全产品的有效协同相互配合,可有效地协助客户提高组织整体网络安全的成熟度水平，进而促进和保障组织的业务发展,具有良好的经济和社会效益。

根据课题组的分析，目前国内有两种主流运营模式,一种是自建自运营加本地托管，一种是云托管式运营。

自建自运营就是证券基金经营机构在本地搭建安全运营平台,自己组建安全团队(也包括购买服务商的驻场人员)自己新建并打磨运营流程。成本投入方面比较固定，以3年建设周期计算,预计最低起步投入在110万左右，一般的投入在200万左右。

托管式运营则不需要自己购买安全运营平台和组建安全专家团队,而是复用安全厂商的安全运营平台和安全专家团队,也不用自己新建一整套的安全运营流程，而是复用安全服务商已经打磨成熟的安全运营流程，在此基础上，只需要完成和组织现有的业务流程的对接即可。成本投入方面可以做得比较灵活，以3年建设周期计算,最低预计投入24W左右就可以启动,可以根据业务需要灵活扩展。由于安全专家团队可以接触到丰富的场景、不同的业务需求,安全专家进入经验越丰富、人员越稳定的状态,并可以通过运营流程、规则、策略、知识库等复用在不同行业、企业的安全运营经验，可以帮助甲方在短时间内达到一个较好的安全运营水平。

根据课题组的调研,两种运营模式的效果方面,如果自建自运营加本地托管式运营能够招聘到安全能力达标、数量合格的人员,整体效果与托管式运营相差不大，不同之处在于托管式运营可以做到7*24监测和响应，在夜间响应方面会更有优势。如果自建自运营模式下无法招聘到足够安全能力和足够数量的人员,效果会有大概30%-40%的损耗;托管式运营则没有这方面的问题。

综上,我们认为在安全运营托管服务过程中采用基于远程专家服务、云上安全运营工具的安全运营托管服务,是投资收益比高的方式。

可行性研究结论

综上所述,课题组认为:在证券行业(含基金、期货)采用安全运营托管服务,尤其是基于远程专家服务、云上安全运营工具的安全运营托管服务,是合规的、风险可控的、投资收益比高的可行的实现方式,应予积极鼓励和支持,值得推广。

证券行业实施安全运营托管服务的总体建议

证券行业安全团队的特点

从本次课题组组织的调查来看,得到如下数据：

从调查数据看到,证券基金经营机构的专职安全人员规模主要集中在1-3人(46%)、4-6人(35%)这两个区间内。证券基金经营机构安全团队(包括专职安全人员和安全外包人员)小、中、大规模的中位数分别为3、6、11.5。

从证券基金经营机构安全团队人员规模、投入规模来看每年投入200万到安全运营托管服务并得到一个金融行业内70分水位的安全运营水平，是可行的。

安全运营有哪些工作内容

本节的目的主要在于识别安全运营的主要工作内容，为下一步分析、判断哪些工作内容可以交由MSSP奠定基础。

1、识别与获取(ldentify)

2、检测与监测(Detect)

3、处置和恢复(Response&Recovery)

4、自我验证(Verify)

5、闭环和支撑(Loop)

判断是否可以交付安全运营托管的要素

课题组认为,当判断当某一类型的安全运营工作是否可以依赖安全运营托管服务来实现的话，需要考虑如下要素但具体衡量标准仍需甲方在实践中根据自身情况调整和把握。

1、是否法律法规、监管要求有明确的、书面的规范或指引

2、是否需要与甲方内部员工有频繁的互动、多种形式的信息往来

3、是否需要对甲方内部情况(比如网络架构、组织架构。人员特征和技能)要非常熟悉

4、是否会导致客户信息、员工信息(统称个人信息)大量或高频被访问

5、是否会导致其他机密级及以上经营信息被大量或高频访问

6、完成动作所需专业技能要求的高低或学习成本的大小

7、完成动作所需人员是否容易获得,或获取成本在可承受范围之内8、完成动作所需数据流量或带宽大小,存储的数据量大小

根据前期对行业内安全从业者的调研,对这8个要素的重视程度如下

如何实现安全运营托管

安全运营托管服务是一种通过共享安全专家团队的方式,便于各行业单位复用云端的安全服务专家人员的专业技术能力,以低成本、高可用、低风险的方式获得安全运营能力的交付模式，同时可以将安全专家的经验和知识库固化到云端运营平台,通过人机共智的方式协助甲方有序地开展安全工作,解决安全问题。

基于以上分析,在做好风险控制的前提上，课题组本着“能托管就不用自有人员,能云端就不用本地”的原则,对名项工作内容进行了如下分解。打钩就意味着本项工作更适合通过该类人员交付。

对于以上表格的内容,课题组认为需要强调如下重要观点

1、在自有人员编制有限的情况下,应集中精力投入在异常分析和处置、差距分析和持续改进方面;同时应以度量为抓手,展现成果、暴露问题,这样既可以获得组织内的支持又可以显著降低企业内部的安全风险;

2、资产、配置、漏洞、补丁的工作是安全运营的基础性工作,由于需要和公司内部人员有大量的沟通协作，需要对公司网络架构、系统运行情况比较熟悉,在自有人员编制有限的情况下,更适合交给驻场安全运营人员完成;

3、漏洞情况和威胁情报、渗透测试&众测&红蓝对抗,安全意识和技能提升,属于常见的、较成熟的云端交付模式;

4、安全数据的管理、健康度和覆盖率巡检、管理告警和检测策略、异常分析和处置、安全有效性验证都是更适合运用云端托管能力的工作内容。比如

5、后续可参考“云安全责任共担模型”,研究、输出“安全运营责任共担模型”，以便给业内同行提供更加可行的参考。

总结与展望

课题组在证券基金经营机构进行了安全运营托管的小范围试点和调研,试点表明,通过云服务的形式引入安全专家,并通过将证券基金经营机构本地的告警、流量分析、可疑样本分析、情报监测等安全运营任务通过安全运营托管服务实现,可以显著提升证券基金经营机构的安全运营效率和水平。

目前我国网络安全趋势正逐步地由传统被动防御模式转向主动治理的模式，企业正在努力建设纵深的安全运营体系。安全运营托管供应商拥有专业的人才及资源可以有效的缓解企业在安全运营建设过程中面临的人才、成本。目前安全服务的规模扩张速度远超整体安全行业的平均增速。安全运营托管人才需求与日俱增、安全运营托管的自动化程度愈来愈高、行业标准日渐完善。

参考文献

1.《网络安全法》
2.《个人信息保护法》
3.《数据安全法》
4.《证券基金经营机构信息技术管理办法(2021年修正)5.《信息安全技术 信息安全事件管理指南》(GB/T209852007)
6.《信息安全技术 信息安全风险处理实施指南》(GB/733132-2016)
7.《信息安全技术 信息系统安全运维管理指南》(GB/T36626-2018)
8.《信息安全技术 网络安全威胁信息格式规范》(GB/736643-2018)
9.Gartner自适应安全框架(Adaptive SecurityArchitecture.ASA)
10.ATT&CK 模型(Adversarial Tactics, Techniquesand Common Knowledge )11.《证券期货业信息安全运营管理指南》(征求意见稿)