文章核心观点 - 中国证券业协会正在对证券公司就《证券公司网络和信息安全三年提升计划（2023—2025）》的落实情况进行总结评估调研，以检验过去三年行业信息安全建设的成效与不足 [1][4] 行业监管背景与规划目标 - 2023年6月，中证协发布《证券公司网络和信息安全三年提升计划（2023—2025）》，旨在推动证券公司加强网络与信息系统安全稳定运行保障体系和能力建设 [2] - 该计划的制定背景是2022年上半年证券行业网络安全事件发生较为频繁，行业整体存在信息技术投入不足、系统架构落后、管理能力欠缺等长期问题 [2] - 计划从科技治理能力、科技投入机制、信息系统架构规划设计、研发测试效能与质量、系统运行保障能力和网络信息安全防护体系等六个方面提出提升方向和要求 [2] - 计划明确了六大类共31项主要任务 [3] 当前调研评估详情 - 中证协本次调研涉及70多项具体任务的落实情况，整体采用分类考核模式，将71项任务划分为“工作任务”与“鼓励性任务”两类 [2][4] - 其中55项为强制性工作任务，占比超七成，是券商必须完成的基础要求；16项为鼓励性任务，用于引导有条件的券商进一步提升安全水平 [4] - 调研从科技治理、科技投入、系统架构、安全防护、应急响应、合规监管等多个维度全面审视券商信息安全建设 [4] 科技投入机制要求与现状 - 在科技投入机制方面，鼓励有条件的公司在2023—2025年三个年度信息科技投入平均金额不少于上述三个年度平均净利润的10%或平均营业收入的7% [5] - 中证协直接调研券商是否达到上述两个比例要求 [6] - 头部机构如中信证券、国泰君安等，其2023—2024年信息科技投入占营收比例均稳定在8%以上，远超“平均营收7%”的要求 [6] - 部分券商将安全投入单独列支，占科技总投入的比例达25%，重点投向零信任架构、AI安全检测等前沿领域 [6] - 在科技人才队伍建设上，鼓励券商逐步提升信息科技专业人员比例至企业员工总数的7%，其中信息安全专业人员比例至信息科技专业人员总数的3%并且不少于2人 [6] 信息安全防护体系要求 - 在健全信息安全防护体系方面，要求完善移动客户端应用软件（App）安全检测认证机制 [7] - 中证协调研券商面向客户应用的主用App数量以及通过证券行业安全认证的数量 [7] - 鼓励券商委托具有资质的第三方专业机构开展App安全认证，以保障App在程序开发、个人信息处理、数据安全等方面符合国家及行业标准 [7]

行业监管动态 - 证券行业针对《证券公司网络和信息安全三年提升计划(2023-2025)》的总结评估调研工作已正式启动，行业过去三年的科技安全投入与建设成果将迎来基于71项具体指标的全面检验 [1] 评估框架与核心领域 - 调研聚焦六大核心领域：持续提升科技治理水平、建立科学合理的科技投入机制、增强信息系统架构规划掌控能力、强化系统研发测试管理能力、夯实系统运行保障能力、健全信息安全防护体系 [2] - 71项具体任务被划分为55项“硬性”工作任务和16项鼓励性任务，覆盖了券商信息系统全生命周期的关键节点 [2] 科技治理与投入要求 - 科技治理层面有9项任务全部列为“硬性”工作任务，要求券商完善科技战略发展规划、健全科技治理架构，将科技治理上升至公司战略高度 [2] - 科技投入方面设置了量化引导指标，包括鼓励性任务如：2023年至2025年三个年度信息科技投入平均金额不少于上述三个年度平均净利润的10%或平均营业收入的7% [3] - 另一项鼓励性任务是提升信息科技专业人员比例至企业员工总数的7%，信息安全专业人员比例提升至信息科技专业人员总数的3%并且不少于2人 [3] - 行业分析认为，人工智能正在引发证券行业底层技术架构的革新，有望引领券商新一轮科技投入浪潮 [3] 系统架构与研发管理 - 增强信息系统架构规划掌控能力涉及8项任务，包括建立及完善系统架构管理机制、推进技术架构转型、提高核心系统自主掌控能力等 [3] - 强化系统研发测试管理能力环节，有9项任务全部被列为“硬性”工作任务，包括建立需求设计分析机制、制定代码审计规范、加强测试质量管控等 [3] 运行保障与安全防护 - “夯实系统运行保障能力”与“健全信息安全防护体系”两大方向合计涉及40项具体任务，是此次评估的重点 [4] - 运行保障方面涵盖19项任务，特别强调“健全组织级应急响应管理机制”和“完善重要信息系统数据备份能力” [4] - 信息安全防护体系方面设置了21项具体任务，其中12项为“硬性”工作任务，涵盖等级保护测评、漏洞管控、攻击防控、数据安全管理等核心内容 [4] - “持续加强网络安全态势感知和通报预警”以及“加强数据安全管理体系建设”两项任务被重点提及，显示监管部门对数据要素安全和主动防御能力的高度重视 [4]

文章核心观点 - 中国证券业协会向证券公司下发《证券公司网络和信息安全三年提升计划（2023-2025）》调研问卷，要求券商在2026年2月15日前提交，旨在评估其网络与信息安全建设的刚性指标完成度，并通过量化数据和典型案例提炼可推广经验 [1] 科技治理水平 - 评估聚焦科技战略的顶层设计，要求券商将网络和信息安全深度融入公司整体的信息科技战略发展规划，并形成清晰的实施路径 [2] - 要求券商建立权责清晰的科技治理组织，如科技治理委员会、首席信息官等机制，并确保其定期召开会议，将网络安全重点任务有效分解至执行部门并设定明确评价标准 [2] - 推动券商构建覆盖信息系统全生命周期的标准化管理框架，从开发、测试到运维与安全均需建立规范化流程与制度 [2] - 要求券商增强合规风控内部审查，健全信息科技风险管理三道防线，全面识别风险并每年定期组织内部审查，建立闭环管理机制 [4] 科学合理的科技投入机制 - 要求券商详细说明2023至2025三年间，年均信息科技投入是否达到不低于年均净利润10%或年均营业收入7%的行业参考水平，旨在引导券商为网络与信息安全领域规划并保障独立、充足的专项经费 [6] - 重点考察券商在网络安全专业人才的“选、育、用、留”全链条机制建设，包括吸引顶尖安全人才的薪酬与职级体系、为技术人员提供持续的专业技能培训与实战攻防演练机会，以及将安全意识培训覆盖至全体员工 [6] 信息系统架构规划掌控能力 - 关注券商是否设立专门的架构师团队或岗位，对全公司技术架构进行统一规划、设计与管控，以改变“烟囱式”系统建设模式 [8] - 评估企业级架构能力的进展，例如是否通过加强业务一体化服务平台建设，实现业务能力的组件化、平台化 [8] - 关注券商是否制定了企业级的数据战略，确保核心数据资产得到有效管理和价值释放 [8] - 明确询问券商在核心系统技术架构升级方面的进展，特别是从传统集中式架构向分布式、低时延、开放架构的迁移情况，以及云平台的应用和部署比例 [8] - 要求券商说明是否在与重要供应商合作的同时，深入掌握核心系统的技术演进路径与关键设计，以降低对单一外部技术的“黑盒”依赖 [9] 系统研发测试管理能力 - 推动安全与质量要求深度“左移”，要求券商建立规范的需求设计机制，并特别强调必须制定信息系统的非功能性需求规范，在需求阶段就对安全性、性能等指标进行充分论证和评审 [11] - 关注券商是否通过建设一体化的开发工具链与制定严格的代码规范，来同步提升开发效率与代码安全质量 [12] - 要求券商必须制定覆盖自研和外购系统的代码审计规范，并对所有自研代码实现100%的审计覆盖，对于外购系统需厘清供应商是否提供源代码或权威的代码审计报告 [12] - 关注券商是否配备了与开发规模相匹配的专职测试团队，并要求提供具体的开发测试人员比例数据，同时需建立完善的软件质量管理制度与测试标准流程 [12] - 要求所有重要信息系统或重大功能变更在上线前都必须完成全面、严格的测试验收 [12] 系统运行保障能力 - 评估覆盖系统从上线到下线的全过程：重要系统上线需进行涵盖业务合规、权限、关联影响及运维预案的全面评估；系统下线则需完成技术影响评估并制定周密的数据迁移与保管方案 [14] - 在变更管理上，强调风险管控的精细化与自动化，要求券商利用技术工具识别变更关联影响，普遍采用灰度发布等策略，并直接询问重要信息系统的自动化发布比率 [14] - 要求运维体系具备快速感知、精准定位和高效恢复故障的能力，包括建立覆盖业务链路的立体化监控体系，并积极引入人工智能运维技术实现故障的智能预警与根因分析 [14] - 必须建立组织级、平台化的应急指挥与协作系统，实现应急预案的线上化、可视化演练与执行 [14] - 要求券商说明是否建立了基于数据分析的容量预测模型，以及是否通过平台化工具实现数据备份、恢复、验证的全流程自动化与可视化管理 [14] 信息安全防护体系 - 评估首先关注是否全面落实了网络安全等级保护制度，完成了定级、备案与测评工作 [16] - 漏洞的全生命周期管理被置于突出位置，要求券商建立闭环的漏洞管理机制，并深度融入研发流程、供应链管理以及常态化的渗透测试、攻防演练等主动发现手段 [16] - 关注券商是否构建了具备协同联动、自动化响应能力的实战化安全防御体系，并定期通过“红蓝对抗”、实战攻防演习来检验和提升体系的有效性 [16] - 强调态势感知和通报预警能力建设，不仅要求券商自建平台，更要求完成与行业态势感知平台的数据对接，实现全局性的威胁情报共享与联防联控 [16] - 对数据安全与个人信息保护提出体系化要求，券商需说明是否建立了涵盖数据分类分级、全生命周期防护的管理制度，并对重要数据、个人信息处理活动、数据出境场景等开展定期的风险评估 [16] - 评估范围还包括移动客户端App的安全认证情况、全员安全意识与技能的常态化培训，以及在新系统建设中落实安全“三同步”（同步规划、建设、运营）原则的情况 [17]

期货公司数字化转型与网络信息安全挑战 - 期货公司数字化转型步伐显著加快，但网络和信息安全风险点也随之增加，面临业务发展与合规安全之间的平衡挑战 [1] 外部接入管理违规与处罚情况 - 截至今年8月底，各地证监局发布的与期货公司相关的处罚共有8例涉及外部软件和信息接入相关的网络和信息安全问题 [2] - 主要违规情形包括未开展合规评估、未保存评估材料、客户接入前未核查、尽职调查不充分、未进行技术测试、向开发商提供实盘环境、交易链路中断等 [2] 期货公司外部接入主要模式 - 客户使用常见交易终端软件，期货公司完成接入测试后客户无需额外测试，此为最普遍模式 [3] - 中低频量化客户使用自研或第三方平台通过互联网接入主席或次席柜台，对交易速度和延时性要求不高 [3] - 高频客户策略程序部署在交易所托管机房，对延时性要求较高，期货公司通过提供不同交易柜台满足市场需求 [3] 保障系统稳定性和数据安全性措施 - 采用先进加密算法对交易数据加密，建立严格身份认证机制 [4] - 遵循监管要求进行API接入审查，内部合规团队进行全面审查 [4] - 建立交易风险监控系统实时监测指标，出现异常时及时警报 [4] - 严格管理账户资金，设置资金预警机制 [4] - 对第三方技术供应商审核营业执照、生产许可证、产品质量认证等资质文件，评估其技术能力与行业经验 [4] 外部接入风险管理措施 - 将系统外部接入管理纳入合规风控体系，建立健全接入测试、交易监测等全流程管理机制 [5] - 明确系统功能要求，程序化交易系统需具备异常监测、阈值管理等功能，期货公司系统需具备验资验仓、权限控制等功能 [5] - 严格准入评估，客户接入前做好尽职调查和准入评估，避免潜在风险客户接入 [5] - 规范交易行为，明确禁止性行为，从制度流程上约束接入方行为 [5] - 加强交易监测，重点监控异常交易行为，特别是高频交易，防范市场风险 [5] - 建立主机交易托管资源管理制度，监控资源使用情况，对异常交易或技术故障客户限制资源使用 [5] 行业网络信息安全难点与监管环境 - IT投入成本较高，包括生产运行保障、网络安全、等级保护、流程规范等方面的投入 [6][7] - 面临市场获客竞争压力，需考虑客户体验 [6][7] - 网络和信息安全监管措施逐步细化和完善，如《期货市场程序化交易管理规定(试行)》发布，需遵循《网络安全法》《数据安全法》等法规 [7] 业务发展与风险隔离平衡策略 - 公司在优先满足监管要求情况下优化外部接入流程，可能导致客户流失但避免监管处罚影响更多客户 [7] - 流程规范的期货公司能吸引体量较大、更优质的客户以规避风险 [7] - 建立跨部门决策团队，由风险合规、业务、信息技术、财务等部门人员组成，共同评估业务可行性和风险 [8] - 制定清晰规范决策流程，明确各环节和责任主体，建立决策后评估机制，跟踪执行效果并及时调整 [8] - 技术发展与监管合规要求不矛盾，监管旨在保障金融市场稳定健康发展，公司需加强流程管控和环节风险管理 [8] 提升网络和信息安全合规能力建议 - 完善制度与流程建设，依据《网络安全法》《数据安全法》《个人信息保护法》等法规制定涵盖数据保护、访问控制、应急响应等方面的制度 [9] - 提升合规意识与能力，开展定期培训涵盖最新安全法规、网络攻击手段及防范方法，组织演练掌握应对技能和流程 [9] - 加大技术投入与创新，升级防火墙、入侵检测系统、加密技术等安全防护系统，引入人工智能、区块链等新兴技术提升管理水平 [9] - 优化应急响应机制，建立健全网络安全应急预案，明确应急目标、组织和处置流程，覆盖网络安全事件、自然灾害、公共卫生事件等多种场景 [9] 行业合作与交流 - 期货公司应与监管机构保持密切沟通，及时了解最新法规政策和监管要求，主动配合检查和指导 [10] - 参与行业协会组织的网络和信息安全相关活动、培训、研讨会等，了解行业最新动态和技术趋势，提升安全管理水平 [10]

行业核心挑战 - 期货公司数字化转型加快但网络与信息安全风险点随之增加 在业务发展与合规安全之间寻找平衡点成为主要挑战 [1] 监管处罚与违规情形 - 截至今年8月底 各地证监局发布与期货公司相关的处罚中共有8例涉及外部软件和信息接入相关的网络与信息安全问题 [2] - 主要违规情形包括未开展外部接入信息系统合规评估 未妥善保存评估材料 客户接入前未开展必要核查 尽职调查和准入评估不充分 以及向开发商提供实盘部署环境等 [2] 外部接入业务模式 - 期货公司为市场提供外部接入主要有三种模式 最普遍的是客户使用常见交易终端软件 期货公司完成接入测试后客户无需额外测试 [3] - 针对中低频量化客户 其策略相对简单 对交易速度要求不高 客户自研或购买第三方平台通过互联网接入主席或次席柜台 [3] - 针对高频客户 其策略程序部署在交易所托管机房 对延时性要求较高 期货公司通过提供不同交易柜台满足市场需求 [3] 安全与稳定性解决方案 - 解决系统稳定性和数据安全性的方式包括技术安全保障 采用先进加密算法和严格身份认证机制 [4] - 通过合规措施 遵循监管要求并由内部合规团队对API接入的程序化交易进行全面审查 [4] - 建立交易风险监控系统实时监测交易指标 设置资金预警机制保障资金安全 [4] - 涉及第三方技术供应商时 审核其基本资质文件并评估其技术能力与行业经验 [4] 外部接入管理措施 - 将系统外部接入管理纳入合规风控体系 建立健全接入测试 交易监测等全流程管理机制 [5] - 明确系统功能要求 程序化交易者系统需具备异常监测等功能 期货公司系统需具备验资验仓等功能 [5] - 严格准入评估 在客户接入前做好尽职调查和准入评估 规范交易行为并加强交易监测 重点监控高频交易 [5] - 建立主机交易托管资源管理制度 对资源使用进行监控 对异常交易客户限制其使用资源 [5] 行业运营难点与监管环境 - 行业在网络和信息安全方面存在IT投入成本较高和面对市场获客竞争压力的难点 [6] - 网络和信息安全监管措施逐步细化和完善 例如近期发布《期货市场程序化交易管理规定（试行）》 并需遵循《网络安全法》《数据安全法》等 [6] 业务发展与风险平衡策略 - 公司在优先满足监管要求的情况下尽量优化外部接入流程 虽然可能导致客户流失但能规避监管处罚风险 吸引更优质的大体量客户 [7] - 建议建立由风险合规 业务 信息技术 财务等部门组成的跨部门决策团队 通过协同决策平衡业务需求与风险隔离 [7] - 制定清晰规范的决策流程 明确各环节和责任主体 并建立决策后的评估机制以跟踪效果和优化调整 [7] 合规能力提升建议 - 完善制度与流程建设 依据相关法规制定涵盖数据保护 访问控制 应急响应等的制度 [9] - 提升合规意识与能力 开展定期培训和组织演练 让员工掌握应对网络安全事件的技能 [9] - 加大技术投入与创新 升级安全防护系统如防火墙 入侵检测系统 并引入人工智能 区块链等新兴技术 [9] - 优化应急响应机制 建立覆盖网络安全事件 自然灾害等多种情况的应急预案 [9] 行业合作与交流 - 期货公司应与监管机构保持密切沟通 及时了解最新法规政策并主动配合监管检查 [10] - 参与行业协会组织的培训 研讨会等活动 了解行业最新动态和技术趋势以提升安全管理水平 [10]

涉及的行业或公司 * 行业为金融行业，特别是期货行业，讲座内容面向期货市场的投资者和金融从业者[1] 核心观点与论据：弱密码的危害与防范 * 弱密码（弱口令）指容易被猜测或自动化工具破解的口令，其危险性如同将家门钥匙随意放在门口[2] * 弱密码的常见模式包括：简单常用序列（如123456）、键盘相邻键组合（如QWERT）、重复字符（如6个A）、个人信息组合（如生日、姓名）、常见短语或字典词汇（如password）、系统默认密码（如admin）以及用户名与密码相同或关联[3][4][5] * 弱密码对个人用户构成直接威胁，暴露个人数字资产[5] 对企业系统管理员账户而言后果可能是灾难性的，导致核心业务系统瘫痪、用户信息泄露和巨大经济损失[6] * 攻击者利用弱密码的常见攻击类型包括：暴力破解、字典攻击、混合暴力破解、凭证填充（利用用户在多个网站重复使用相同密码的特性）、密码喷洒（使用少数几个常用密码尝试登录大量不同用户名）以及使用自动化工具提升攻击效率[7][8] * 2024年十大弱密码中，123456位列第一，与2020年的榜单有约50%的重合率，表明用户安全意识仍有待提升[9] 核心观点与论据：强密码的创建与管理 * 创建强密码的技巧包括：使用由多个不相关但有意义的单词组成的密码短语、使用句子首字母并混合大小写/数字/符号、用数字和符号代替字母、避免常见模式和个人信息[10][11] * 强密码的核心要素是长度（建议至少12个字符，14个或更多更理想）、复杂性（应包含大写字母、小写字母、数字、特殊字符中的至少三种类型）和唯一性（每个网站或服务使用唯一密码）[12][13] * 强密码管理策略包括：对每个账户使用独特密码、定期更换（至少90天一次）、考虑使用密码管理器、启用多因素认证、避免浏览器自动保存密码、不通过不安全方式发送或共享密码、不记录在明显位置、警惕钓鱼诈骗[14][15][16] * 良好密码习惯包括及时修改初始密码、使用长且复杂的密码、每个账户密码唯一、避免个人信息和常见模式、定期修改密码、警惕钓鱼诈骗、不在网络上留存敏感信息、使用密码管理器和多因素认证[19][20] 核心观点与论据：网络钓鱼的识别与防范 * 网络钓鱼类型包括邮件钓鱼和短信钓鱼，通过伪装成合法实体发动欺骗性攻击以窃取信息[21][22] * 钓鱼攻击的常见特征包括：内容体现紧急感、有拼写错误、可疑发件人、未识别或相似的链接、带有附件[22] * 钓鱼攻击利用的人类心理包括：恐惧和紧迫感（如账户安全风险警告）、贪婪和诱惑（如中奖信息）、好奇心（耸人听闻的消息）、权威和信任（冒充银行、政府、领导）、社会认同（暗示多人已参与）[24][25] * 网络钓鱼案例包括2023年针对个人所得税申报的虚假通知和2024年虚假劳动补贴发放通知，均利用二维码诱导支付[23] * 防范网络钓鱼的方法包括：警惕不明来源的邮件和信息、仔细验证发件人身份（检查邮件地址/电话号码）、不点击可疑链接或附件、对可疑请求进行报告、保持软件更新、使用强密码和多因素认证、谨慎使用公共WiFi、通过学习提高安全意识[26][27][28] 其他重要内容 * 弱密码不仅是个人问题，更是企业安全管理的薄弱环节，案例显示即使全球领先科技公司也可能因弱密码和缺乏多因素验证被攻击[17] * 设备默认密码极其危险，未及时修改可能被用于构建大规模僵尸网络，对国家关键基础设施构成威胁，例如路由器因使用公开默认密码被植入木马[18] * 网络安全是每位从业者和投资者的责任，需要长期保持警惕和理性判断[28]