证监会《数据安全管理与保护指引》重点解读，提出API上流动数据的风险管理

数据，是证券期货业的核心资产和创新要素，掌握了数据，就掌握了数字经济时代的主动权。

中国证监会近期发布《证券期货业数据安全管理与保护指引》（下文简称《指引》），从数据安全管理基本原则、组织架构、制度、技术等方面提供指引,规范行业机构数据安全管理和保护工作，提升行业数据安全管理水平。

证券期货业作为国家金融活动的重要入口，汇聚了大量敏感、重要的金融数据，其安全性关系着整个交易系统的安全运转。《指引》的发布，充分体现了数据安全对于证券期货业的重要性和紧迫性。

据此前报道，2021年12月，国内某证券公司的客户信息数据，包括：用户姓名、手机号、开户时间、交易情况等敏感数据，以每日1万多条的量级在数据交易平台被售卖。经验证分析，证实为内部系统数据API管控疏忽导致。

同年，多家券商的交易系统API遭遇了猛烈的“撞库攻击”，大量用户的证券账号被暴力破解，随即被自动“下单”，大批量购买了港股股票，这些股票随即直线下跌，导致账号用户损失惨重。

企业如何做到金融数据安全与数据应用发展并重？如何更好地应对日益严峻的数据安全风险与挑战？

通过对《指引》的分析研究，永安在线认为：只有尝试将静态数据治理和流动数据安全相结合，才能在数据安全治理上打出真正的“安全牌”。

一、静态数据治理与流动数据安全相结合

《指引》以“数据分级分类管理与保护”为重点，介绍了从一级到四级的四个级别数据在不同环节的管理原则和保障措施，包括“数据采集、数据展现、数据传输、数据治理、数据存储”五大环节，涵盖可控区域及非可控区域的管理指引、技术指引、数据接触者指引，既涉及静态数据治理维度，也涉及动态数据安全维度。

静态数据治理指以数据库为单位，对“采集、传输、存储”等不同数据库的静态数据进行“审计、脱敏、传输加密......”，避免数据被篡改、窃取。《指引》中针对“数据展现”可控区域的技术指引，提出三级、四级数据采取认证、权限控制、留痕、监测等措施，对展现数据进行标识，采取数据校验、可追溯等机制保障数据准确性。

动态数据安全指数据流动过程中的安全，业务系统或站点从各个数据库中提取数据并进行组合，在多个业务系统中传递、流动，在此过程中，API是高效率的传输通道。《指引》中针对“数据传输”可控区域的技术指引，提出二级、三级、四级数据均需实现对数据接口调用的身份鉴别和访问控制，同时需有协议接口、API接口监控及异常处置能力。

永安在线研究人员对《指引》中数据分级分类的管理保护措施进行整理、简化，具体如下图所示：

由《指引》核心内容可见，数据安全治理需从全生命周期视角出发，将静态数据治理和流动数据安全相结合。

这就意味着，证券期货业不仅需要强化来自单个“数据库”的静态数据治理，也需要从动态“数据链”出发，摸清整个数据流动过程的“来龙去脉”，只有“动”“静” 兼顾，“点”“线”结合，才能从整体上把控潜在数据风险。

那么，针对流动数据安全建设的常见问题，有何“解法”？

二、API安全——串起流动数据的“安全线”

当前，证券期货企业在数据采集、存储、使用等方面已有较成熟的安全建设，但在数字化交互的新常态下，大量重要数据通过API进行线上流动，API数量急速攀升，越来越多攻击者通过API实施更复杂、隐蔽的自动化攻击。

尤其在具有商业服务性质的证券期货业，由API管控问题导致数据泄露、恶意攻击等事件不在少数，给“严监管、高标准” 的证券期货业带来了前所未有的风险与挑战。

早期的防护技术，如基于规则的传统WAF防护技术、API网关的身份认证和鉴权技术等，已经无法满足现有对于API接口被滥用、越权访问、僵尸API、信息泄漏等安全问题的防护需求。

对证券期货业而言，要让API风险敞口保持在可控范围内，就需要制定以业务为优先的API风险管理策略，搭建贴合业务、功能全面、更有弹性的安全管控平台。

永安在线API安全管控平台，在技术路线上将攻击防御能力与AI智能数据分析能力全面融合，建立基于底层情报能力的API安全基线，从API资产梳理、缺陷检测、风险感知三大维度出发，系统化保障业务安全。

永安在线API安全管控平台，如何帮助企业从“被动救火”转向 “主动治理”？

资产梳理一目了然、缺陷检测有的放矢、风险感知全面把控，永安在线API安全管控平台从三大维度出发，帮助企业构建完善的API安全防护体系，让数据安全、高效流动，促进金融数据安全和数据应用动态平衡发展，为证券期货业的数字化发展助“一臂之力”。