中银证券CSO邢华文肩膀上的担子可不轻。2002年,他加入中银证券,14年来,中国的证券市场的信息化程度不断提高,对证券公司证券交易系统的信息安全要求,亦越发严苛。在日常工作中,保障投资者证券交易的安全,是邢华文的重要工作。
这些年来,随着网上交易量的提升,证券交易系统的不断升级,信息安全工作的侧重是否发生过变化?邢华文又是如何适应这些变化的?
记者:能否介绍下您在中银证券的工作经历?
邢华文:我是1994年参加工作,2002年到中银证券。后来逐步走上信息系统的规划建设和管理,包括系统建设、系统运行和信息安全体系建设等。
记者:您做了不少基础性的工作。
邢华文:是的。在2003年-2004年,我做了大量信息化的基础工作。当时公司刚刚筹建,信息化程度还不高,所以首先就推动了基础设施建设,比如公司内部的数据中心和网络系统。这算第一阶段工作。
2004年-2005年,我开始侧重证券交易系统建设。最早证券公司的交易系统及数据,由各营业部独自管理、运行和控制,数据安全存在很大风险。所以,我们开始进行证券交易系统集中化的规划,建设了第一代集中交易系统。
2009年开始,因业务发展和系统可靠性的需要,对第一代交易系统进行技术架构调整和功能升级,变化比较大。但为了保证升级的平稳性,我们对于外围接口尽量保持不变。同时,满足了业务需求并提升了系统性能。
最近一次升级是在2015年10月份完成。这次升级从年初到10月份,花了将近1年的时间。这次版本升级后,系统有了很大的改变,实现了账户统一管理、7*24小时的交易和结算,还支持多市场交易,包括沪深交易所、股转公司等市场交易,支持沪港通、深港通等,而且系统容量获得更大提升,支持更多地投资者的实时交易、银证转账等业务。系统安全性大大地提升。
![]()
记者:在系统升级建设与日常工作中,您是如何确保信息安全的呢?
邢华文:每次升级中,系统安全运行都是排在第一位的。我们要做大量的测试案例,测试包括业务测试、安全测试、性能及容量测试,这些都涉及系统的整体安全运行。此外,我们要对每次系统上线做好应急预案,尽可能考虑到各种的可能出现的问题,以及应对方案。
对于我们来说,最大的风险点还是在日常运维及操作,特别是日常运维的变更、系统升级的管控等。如果系统升级测试不充分和操作复核有遗漏,就会可能发生技术风险。
为保障安全,技术上要设置较多冗余系统。特别是投资者大量使用的网上交易系统,为提高用户体验,往往会在全国各个区域设置多个网上交易站点,还要配置很多安全设施和设备,做好安全服务。对于重要的、容量比较大的站点,还要做好防范DDOS攻击的安排。
为了保障安全,将业务的需求进行技术实现的时候,我们还必须注意做好合规工作。有些业务需求存在一些合规风险问题,如果没有管住,就可能出现安全事故。所以,我们要对业务功能进行合规审查,并进行功能测试及验证工作。
记者:在互联网安全的日常保障过程中,你们的工作重心是什么?
邢华文:现在移动互联网不断普及,从2015年以来,中银证券的新开户大部分来自移动端。前几年手机交易占比不到1%,现在基本能达到三分之一。所以,保障移动端APP安全至关重要。因此,我们日常工作中,对APP的安全检测和监控也投入较多精力。
记者:你们和安全公司的关系是怎样的?
邢华文:我们对自身的安全需求比较了解,但专业人才较少,因此,信息安全方面会与第三方安全专业机构进行合作。
目前,我们对信息安全服务的需求,主要是安全监测和日常技术支持服务。每年都有一定的需求量,并随公司业务发展日益增长。
目前我们和国有、传统安全企业接触多一些。但由于民企的安全技术服务比较新锐,我们也开始关注。由于行业性质,我们选择安全合作方,还是非常看重相关资质要求。
目前比较关注的还是APP漏洞检测,但目前能提供这方面安全服务的专业机构还是不多。
![]()
记者:您现在带领的安全团队是什么情况?
邢华文:我们的运行安全团队,经过这几年的不断补充后,从最早不到10个人,现在已经有30多个人了,来之不易。
同时,我们也面临着人才流失的问题,不仅互联网公司会来挖,新成立的券商也会来挖。总之目前还是欠缺人才。因为业务在不断发展,人力资源还是不够,还需要不断补充。
对于团队能力来说,不仅要进一步提升技术能力,还要从业务到技术都要跟业务部门及同行保持交流,并持续关注监管部门对信息安全要求的动态。
记者:对于公司的其他部门同事,你是否会进行信息安全意识培训?
邢华文:信息安全意识培训是我们的基本工作,安全意识普及的好,安全效率也会更高。
每年我们都会在内部网上进行信息安全意识培训和问卷考核。对于日常的热点安全事件,我们也会及时通知大家如何处理。
CSO视频:
推荐阅读:
吉贻俊:如何让“生意人”理解安全的价值?
上海电信黄彪:用尽“洪荒之力”保护通信安全
证通郝昌富:安全哪有“沪深之争”?
Ayazero:创业型公司一定需要CSO吗?
