近日，中证协印发《证券公司网络和信息安全三年提升计划(2023-2025)》(下称《安全提升计划》)，阐明未来三年全面提升证券公司网络和信息安全的指导思想、基本原则、总体目标、主要任务及实施路径。

 

《安全提升计划》围绕国家关于网络和信息安全的具体要求，聚焦提升行业科技治理和信息系统架构掌控能力，聚焦防范网络和信息安全风险，明确六类31项主要任务要求，形成32项具体任务清单。

 

《安全提升计划》明确了应当遵循的基本原则：一是稳健性原则，强化合规风控，严守风险底线；二是系统性原则，强化协同机制，整体规划；三是差异性原则，强化专业引领，因司制宜；四是创新性原则，强化创新驱动，科技赋能。

 

（一）持续提升科技治理水平的任务共5项

 

包括完善信息科技战略发展规划、发挥科技治理组织作用、推动信息科技管理体系建设、健全信息科技风险管理三道防线、完善供应商管理机制等方面。

 

其中，充分发挥科技治理组织作用指出，进一步健全科技治理架构，加强科技治理组织对网络和信息安全保障工作的主导和统筹，推动网络和信息安全工作逐步由被动防御转变为主动加固和动态保障。在保障主机安全、网络安全和应用安全的基础上，进一步提高科技治理组织在数据安全管理、安全应急响应等方面的治理能力，提高科技治理组织对重大IT事项决策的科学性和有效性。

 

增强合规风控内部审查指出，健全网络和信息安全风险管理二道防线，增强内部审查力度，全面识别风险、揭示问题，定期组织各防线的内部审查，建立闭环管理机制，确保风险及问题妥当处置。充分发挥合规风控二道防线的监控和督导作用。对业务开展中可能涉及网络和信息安全合规性的事项进行评估和审核，处理好安全、效率与易用性等各类特性的关系。加强信息科技管理相关流程的数字化建设，建立相应的风险监控系统，对业务开展中可能涉及网络和信息安全合规性的事项进行监测和评估，降低信息科技各个环节的操作风险。

 

（二）建立科学合理的科技投入机制的任务共2项

 

包括加大科技资金投入、加强科技人才队伍建设等方面。

 

（三）增强信息系统架构规划掌控能力的任务共5项

 

包括建立及完善系统架构管理机制、建设及健全企业级应用架构、持续加强数据架构体系治理、多方位推进技术架构转型升级、持续提高核心系统自主掌控能力等方面。

 

（四）强化系统研发测试管理能力的任务共4项

 

包括建立及完善需求设计及分析机制、提升代码开发效率及安全、制定并落实信息系统代码审计规范、加强信息系统测试质量管控等方面。

 

制定并落实信息系统代码审计规范指出，制定及完善涵盖自研系统和外购类系统的代码审计规范。自研系统的代码审计，实现全部代码审计100%覆盖。外购系统的代码审计，根据系统交付是否包含源代码，决定是否通过安全代码审计检查或要求供应商提供代码审计报告。

 

（五）夯实系统运行保障能力的任务共7项

 

包括加强信息系统上下线管理、管控信息系统变更风险、提升信息系统故障发现能力、提高事件预警及处置效率、健全组织级应急响应管理机制、做好信息系统容量与性能管理、完善重要信息系统数据备份能力等方面。

 

（六）健全信息安全防护体系的任务共8项

 

包括落实等级保护定级和测评要求、深化漏洞全生命周期管控、提升安全攻击防控能力、加强网络安全态势感知和通报预警、完善移动客户端应用软件认证机制、加强数据安全管理体系建设、持续加强安全意识培训、做好安全全局性建设等方面。

 

深化漏洞全生命周期管控指出，建立完善的漏洞管理制度，明确分级分类标准、职责分工与处置要求，漏洞管理覆盖研发过程管理、供应链管理和常态化风险巡检等方面。软件研发方面，建设与研发过程融合的应用安全管理体系。实施应用威胁建模，做好应用安全架构设计；使用白盒检测、黑盒检测、灰盒检测和人工渗透相结合的技术手段，检测代码安全缺陷和引入的第三方组件漏洞，提升安全风险检测的全面性、准确性和效率，实现漏洞通报、修复的闭环管理，确保变更上线前已知风险全面收敛。

 

爱加密始终坚持以解决用户需求为宗旨，业务需求与监管要求双导航，凭借丰富的行业实践经验、监管支撑经验以及具有市场竞争力的产品和解决方案，可提供覆盖移动业务规划、设计、开发、实施、检测、合规、监控的全生命周期的一站式移动安全服务。产品覆盖安全检测、安全加固、个人信息安全检测平台、源代码审计平台、Web应用系统攻击自免疫平台、开源软件成分分析、安全开发管理平台（SDLC）、灰盒测试平台IAST、数据出境合规治理平台、等级保护测评、态势感知、安全服务等，可帮助提升移动安全的整体管理能力和技术防护能力，快速响应和满足国家、监管机构及企业自身的合规政策和标准要求，确保移动业务的安全、稳定。

爱加密移动应用个人信息安全检测平台

 

针对移动应用的基本信息、漏洞信息、收集和使用个人信息行为、通讯传输行为、软件和技术供应链情况、技术脆弱性、隐私政策规范性等进行多维度安全检测和合规检测，并出具专业的个人信息安全报告。帮助监管机构准确、有效地提供行政执法依据；帮助测评机构出具专业的个人信息测评报告；帮助应用开发企业在应用发布前评估个人信息的安全性和合规性。

 

爱加密源代码审计平台

 

爱加密源代码审计平台是通过对软件的源代码进行分析，发现程序中存在的安全漏洞、程序错误（BUG）及代码质量缺陷的技术手段。相对于传统的黑盒程序测试手段，源代码分析是一种白盒的软件检测技术。基于黑盒的测试无法了解到软件内部的运行逻辑和具体实现，而白盒检测可以看到软件内部实现的所有细节，因此基于源代码的检测能够更全面彻底的发现软件中存在的问题。它能够高效的检测出软件源代码中的可能导致严重缺陷漏洞和系统运行异常的代码缺陷，并准确定位告警，从而有效的帮助开发人员消除代码中的缺陷。

 

爱加密Web应用系统攻击自免疫平台

 

爱加密Web应用系统攻击自免疫平台，其攻击自免疫技术理念来源于RASP技术理念。

“自免疫”的技术理念是将保护程序像疫苗一样注入到应用程序中，结合应用程序的运行逻辑，在运行态通过对用户请求 进行安全检测、依据模型直接阻断恶意行为，实时刻画攻击事件现场，可以有效防御各类应用层攻击，如SQL注入、跨站脚本（XSS）、命令注入等。其特有的实时升级系统可将漏洞防御措施及时更新到应用程序中，帮助应用程序有效抵御0day漏洞带来的潜在威胁。

通过实时自我防御、自适应智能防御，有效发现安全隐患，实现事件的预警及流程 化、自动化、智能化的处置。直观展现黑客攻击路径，追踪溯源，并及时准确地对各攻击目标下发应急响应任务。

 

爱加密灰盒测试平台IAST

 

爱加密交互式应用安全测试系统(以下简称IAST)拥有极高的漏洞检出率和极低的漏洞误报率，同时可以定位到API接口和代码片段。通过全场景流量分析技术，如运行时应用插桩（含主动及被动）、启发式爬虫、代理/VPN及流量管家等，在用户的组织内部快速建立安全众测模式，完成应用功能测试的同时即可透明实现深度业务安全测试，有效覆盖90%以上中高危漏洞，防止应用带病上线。

 

IAST最大的价值在于不破坏DevOps的协作性和敏捷性的同时实现安全测试的“左移”，将部分安全测试工作提前到功能测试阶段，通过服务端部署Agent探针、流量代理/VPN或主机系统软件等，收集、监控Web应用程序运行时函数执行、数据传输，并与扫描器端进行实时交互，高效、准确的识别安全缺陷及漏洞，同时可准确确定漏洞所在的代码文件、行数、函数及参数，可识别漏洞的形成过程。通过IAST可以帮助研发人员更早期的发现安全漏洞，更低成本的解决安全漏洞，减少因安全问题导致的返工，提高整体项目研发效率。