六大關鍵詞深解證券公司《安全提升計劃》，青云科技為實現落地提供全面支持

「云研報·金融」關注金融科技新動向，分享金融數字化洞察與最佳實踐。以青云科技（qingcloud.com，股票代碼：688316）數字價值研究院對金融行業的研究為基礎，結合青云產品技術創新、行業服務經驗、數字化轉型實踐，持續分享有價值的內容。

近日，中國證券業協會組織起草了《證券公司網絡和信息安全三年提升計劃（2023-2025）》（下稱《安全提升計劃》），并于 1 月 6 日開始向券商征求意見?！栋踩嵘媱潯窂目萍贾卫砟芰?、科技投入機制、信息系統架構規劃設計、研發測試效能與質量、系統運行保障能力、網絡信息安全防護體系等六個方面明確提出了提升方向和要求。

作為一家在金融行業深耕十余年的企業級云服務商與數字化解決方案提供商，青云數字價值研究院對《安全提升計劃》的重點內容進行如下分析和解讀：

核心關鍵詞一： 信息科技投入

一、合理加大科技資金投入

1、《安全提升計劃》提出建立科學合理的科技投入機制，要求證券行業合理加大科技資金投入，并鼓勵有條件的公司 2023-2025 年信息科技平均投入金額不少于上述三個年度平均凈利潤的 8% 或平均營業收入的 6%。

以最新披露的數據為例，2021 年證券行業信息技術投入金額為 338.2 億元，同比增長 28.7%，占上一年度營業收入的 7.7%；其中有 10 家券商的投入均超 10 億元，信息技術投入占營業收入比例超 6% 的券商有 20 家，而不少中小券商也將金融科技視為核心競爭力之一，華林證券、華鑫證券的投入占比均已超 20%；不過中信證券、中信建投等部分頭部券商的投入占比均在 6% 以下。

2、其中網絡和信息安全投入不低于信息科技投入總額的 7%。

二、加強科技人才隊伍建設

信息科技專業人員不低于公司員工總數的 6%，目前中國有 6 家證劵公司人數突破 1 萬人，按這個比例，也就要求科技人員要達到至少 600 人以上；網絡和信息安全專業人員，不低于信息科技專業人員的 3% 且不應少于 4 人。

青云數字價值研究院認為，券商信息科技建設的重視程度將不斷提升，IT 投入水平也將出現較大的增量空間。

核心關鍵詞二： 架構建設

《安全提升計劃》提出“應用架構、數據架構、技術架構”三大架構的建設方向，并要求建立一個【架構管理】的機制。

一、應用架構：強調提高架構復用性，防止系統的重復建設；降低軟件開發、系統維護和升級等方面的費用。

二、數據架構：強調持續加強在數據全生命周期的各階段，建立并落實技術防護能力。

三、技術架構：強調加強核心系統的技術攻關，鼓勵有條件的證券公司積極推進新一代核心系統的建設和轉型。

新一代核心系統的建設及轉型升級工作，即“建設+轉型”兩方面的工作：

一、從集中式專有技術架構向分布式、低時延、開放技術架構轉型，具備高可用、高性能、低延時、易擴展及松耦合等特性。

二、鼓勵上云。

1、鼓勵有條件的證券公司加快信息系統上云，通過云計算平臺承載及運行的信息系統比例不低于 60%。

2、由容器等云平臺承載的云原生系統比例不低于 10%。

核心關鍵詞三：自主掌控能力

《安全提升計劃》提出要提高核心系統自主掌控能力。具體來說，主要通過兩種最基本方式：

一、鼓勵證劵公司自研

鼓勵有條件的證券公司合作研發或自主研發安全可控的關鍵技術、系統或設施。

二、外購方式，確保對關鍵技術的掌控

對于外購系統，要求廠商提供完整的系統技術資料，確保深入掌握系統的技術架構與關鍵技術環節。

此外，提出不管自研還是外購代碼，全部代碼 100% 審計：

1、制定及完善涵蓋自研系統和外購類系統的代碼審計規范。

2、外購系統的代碼審計，根據系統交付是否包含源代碼，決定是否通過安全代碼審計檢查或要求供應商提供代碼審計報告。重要系統新上線或重大變更必須全面完成“測試驗收”，重要信息系統的自動化測試比例不低于整體測試比例的 30%。

核心關鍵詞四：提升開發效率及安全

一、研發規范的制定。

二、研發工具建設，建設統一的源代碼管理工具、標準化的研發運維一體化工具。

三、如果找第三方合作，那么必須具備強風險管控能力。事前對第三方充分評估，并簽署安全承諾書或合同條款：

1、充分評估審核后再開展業務。

2、落實關鍵信息基礎設施系統網絡安全審查預判，通過簽署安全承諾書或在合同中包含信息安全條款等方式，加強對第三方的約束。

3、全周期，持續性監管第三方。持續對第三方系統開展全方位的安全檢測監控，按要求提供代碼安全掃描報告，及時解決發現的代碼安全問題，修復系統運行過程中發現的漏洞。

核心關鍵詞五：夯實系統運行保障能力

持續提升信息系統故障發現能力。證券公司在 2023 年底前建立全面覆蓋業務、應用、底層基礎架構和基礎設施的信息系統運行監測體系，并持續完善，不斷提升運行監控的覆蓋度，建設統一的告警平臺。

在 2023 年底前制定信息系統備份管理策略，建立數據防丟、防刪的權限管控機制和技術手段，提升重要信息系統的備份管控能力建設。

核心關鍵詞六：健全網絡安防護體系

在 2023 年底前建立完善的漏洞管理制度，明確分級分類標準、職責分工與處置要求，漏洞管理覆蓋研發過程管理、供應鏈管理和常態化風險巡檢等方面。

確保第三方系統不記錄、不存儲、不更改相關業務、客戶數據及資料。

– 對“所有”信息系統，開展等保定級。

– 對“重要”信息系統，按照監管機構的指導意見將定為三級或二級。

提升安全攻擊防控能力建設，統一的安全運營中心，加大安全響應自動化能力的建設。數據使用上“依法合規、最小必要”，所有授權操作均符合“最小授權”原則。所有用戶授權有記錄，并具備數據全生命周期的安全管理長效機制和防護措施。

結語

如此投入規模，對于網絡安全行業而言無疑是一個重大利好。作為一家企業級云服務商與數字化解決方案提供商，青云科技深耕金融行業十余年，堅持核心技術 100% 自研，具備行業頂尖的技術研發實力，憑借多年的實踐經驗，以及對金融行業數字化轉型的全面理解，已具備支撐證券機構開展《安全提升計劃》落地工作的能力。

代碼的安全性測試是金融機構新的關注點，在提升自主開發效率及安全方面，DevSecOps 在青云科技的一些客戶中得到了實踐，DevOps 將開發、測試、運維打通，使之前傳統孤立的角色（開發、IT 運營、質量工程和安全）可以更好地協作。青云容器平臺通過插件的方式集成了 DevOps、微服務以及持續交付的組件。同時，青云整合了 DevOps 流水線的交付組件，讓開發者、測試人員以及最終上線的運維串聯起來，大大提高了運維及開發效率。

在行業核心系統架構建設與管理方面，青云科技面向大型和中小券商提供了企業云、分布式存儲、云易捷和容器云等多種產品和解決方案，契合券商架構轉型的不同階段和不同基礎架構類型的需求，全面助力和推動證券行業的架構轉型建設。青云提供靈活定制的云原生套餐，通過三大容器平臺，覆蓋公有云、私有云、混合云、多云、開源等各種應用場景，為證券行業提供最適合的專屬云原生服務。

青云數字價值研究院認為，《安全提升計劃》或將成為未來三年（2023-2025年）券商的數字化轉型建設的指路明燈。證券行業數字化轉型將加速推進，在廣度和深度上不斷擴大。青云科技將繼續發揮優勢，不斷創新，以更堅實的技術底座，全面賦能證券行業基礎設施建設及架構轉型升級的雙輪數字化升級。

六大關鍵詞深解證券公司《安全提升計劃》，青云科技為實現落地提供全面支持

申請創業報道，分享創業好點子。點擊此處，共同探討創業新機遇！