美國證券交易委員會（SEC）一直關(guān)注網(wǎng)絡(luò)安全問題，尤其在市場體系、客戶數(shù)據(jù)保護、重大網(wǎng)絡(luò)安全風(fēng)險和事故的披露，以及遵守聯(lián)邦證券法規(guī)定的法律和監(jiān)管義務(wù)等領(lǐng)域。[1]網(wǎng)絡(luò)安全也是美國證券交易委員會合規(guī)監(jiān)察辦公室OCIE的一個關(guān)鍵優(yōu)先事項。OCIE強調(diào)信息安全是證券市場參與者面臨的一個重大風(fēng)險并發(fā)布了8個與網(wǎng)絡(luò)安全相關(guān)的風(fēng)險警報。[2]通過對經(jīng)紀(jì)商、投資顧問、清算機構(gòu)、國家證券交易所和其他SEC注冊人的數(shù)千次檢查，OCIE找到了管理和應(yīng)對網(wǎng)絡(luò)安全風(fēng)險以及維護和增強運營彈性的各種行業(yè)的實踐和方法。其中包括治理和風(fēng)險管理、訪問權(quán)限和控制、數(shù)據(jù)丟失預(yù)防、移動安全、事件響應(yīng)和恢復(fù)能力、供應(yīng)商管理以及培訓(xùn)和安全意識等領(lǐng)域的實踐。OCIE提供下述意見，以協(xié)助市場參與者考慮如何加強網(wǎng)絡(luò)安全準(zhǔn)備和運營彈性。

　　from pixabay

　　美國證券交易委員會合規(guī)監(jiān)察辦公室

　?。∣CIE）：網(wǎng)絡(luò)安全和彈性觀察

　　譯 / 北京師范大學(xué)法學(xué)院碩士研究生 張齡元

　　網(wǎng)絡(luò)安全威脅在本質(zhì)上是全球性的，具有多個來源，不因證券和金融市場以及市場參與者的區(qū)別而有所不同。對投資者、發(fā)行人和其他證券市場參與者，以及更普遍的金融市場和經(jīng)濟而言，威脅的嚴(yán)重性和潛在后果是顯著的，而且在不斷增加。隨著市場、市場參與者及其供應(yīng)商越來越依賴包括數(shù)字連接和系統(tǒng)在內(nèi)的技術(shù)，網(wǎng)絡(luò)安全風(fēng)險管理變得至關(guān)重要。事實上，在一個網(wǎng)絡(luò)威脅實施者變得越來越激進和老練的環(huán)境中，并且在某些情況下，他們獲得了包括國家行為體在內(nèi)的大量資源的支持。參與證券市場的公司、市場基礎(chǔ)設(shè)施提供商和供應(yīng)商都應(yīng)適當(dāng)?shù)乇O(jiān)督、評估和管理包括運營彈性在內(nèi)的網(wǎng)絡(luò)安全風(fēng)險狀況。

　　治理和風(fēng)險管理

　　有效的網(wǎng)絡(luò)安全項目始于高層的正確基調(diào)，高層領(lǐng)導(dǎo)致力于通過與他人合作來了解、優(yōu)先考慮、溝通和減輕網(wǎng)絡(luò)安全風(fēng)險，從而改善組織的網(wǎng)絡(luò)態(tài)勢。雖然任何給定的網(wǎng)絡(luò)安全項目的有效性都是特定于事實的，但我們注意到，有效項目的一個關(guān)鍵要素是納入治理和風(fēng)險管理程序，該程序通常包括以下內(nèi)容：（i）風(fēng)險評估，以識別、分析和優(yōu)先考慮組織的網(wǎng)絡(luò)安全風(fēng)險；（ii）應(yīng)對上述風(fēng)險的書面網(wǎng)絡(luò)安全政策及程序；以及（iii）這些政策和程序的有效實施和執(zhí)行。

　　OCIE觀察到各組織采用了以下風(fēng)險管理和治理措施：

　　高層介入。將董事會和高級領(lǐng)導(dǎo)層的注意力適當(dāng)?shù)赝度氲街贫☉?zhàn)略和監(jiān)督組織的網(wǎng)絡(luò)安全和彈性計劃上。

　　風(fēng)險評估。制定和實施風(fēng)險評估流程，以識別、管理和減少與組織業(yè)務(wù)相關(guān)的網(wǎng)絡(luò)風(fēng)險。作為確定風(fēng)險評估方法的一部分，需要考慮本組織的商業(yè)模式，并努力識別和優(yōu)先考慮潛在的安全隱患，包括遠程或出差員工、內(nèi)部威脅、國際業(yè)務(wù)和地緣政治風(fēng)險等。

　　政策和程序。采用和實施全面的書面政策和程序，處理以下討論的領(lǐng)域和確定的風(fēng)險。

　　測試和監(jiān)控。建立全面的測試和監(jiān)測機制，定期、頻繁地驗證網(wǎng)絡(luò)安全政策和程序的有效性。測試和監(jiān)控可以基于網(wǎng)絡(luò)威脅情報進行。

　　持續(xù)評估和適應(yīng)變化。及時針對測試和監(jiān)測結(jié)果作出反應(yīng)，更新政策和程序，以解決任何差距或弱點，并讓董事會和高級領(lǐng)導(dǎo)層適當(dāng)參與。

　　溝通。建立內(nèi)部和外部溝通政策和程序，及時向決策者、客戶、員工、其他市場參與者和監(jiān)管機構(gòu)（視情況而定）提供信息。

　　訪問權(quán)限和控制

　　訪問權(quán)限和控件用于根據(jù)工作職責(zé)確定組織系統(tǒng)的合適用戶，并部署控制以限制授權(quán)用戶的訪問。訪問控制通常包括：（i）掌握包括客戶信息在內(nèi)的整個組織的數(shù)據(jù)位置；（ii）限制授權(quán)用戶訪問系統(tǒng)和數(shù)據(jù)；以及（iii）建立適當(dāng)?shù)目刂拼胧?，以防止和監(jiān)測未經(jīng)授權(quán)的訪問。

　　OCIE在執(zhí)行以下任務(wù)的組織中觀察到了與訪問權(quán)限和控制相關(guān)的策略：

　　用戶訪問。明確系統(tǒng)和數(shù)據(jù)的訪問需求。這包括根據(jù)用戶在本組織信息系統(tǒng)上進行合法和授權(quán)活動的需要，限制對敏感系統(tǒng)和數(shù)據(jù)的訪問，并要求定期審查賬戶。

　　訪問管理。通過以下系統(tǒng)和程序管理用戶訪問：（i）適當(dāng)限制訪問，包括在入職、轉(zhuǎn)崗和終止期間；（ii）對用戶準(zhǔn)入審批實行職責(zé)分離；（iii）定期恢復(fù)用戶訪問權(quán)限（特別注意用戶、管理員和服務(wù)帳戶等特權(quán)級別較高的賬戶）；（iv）要求使用安全強度高的密碼并定期更改；（v）以利用應(yīng)用程序或密鑰鏈生成額外的驗證碼的方式進行多因素認證；以及（vi）立即撤銷不再受雇于本組織的個人（包括前承包商）的系統(tǒng)訪問權(quán)限。

　　訪問監(jiān)控。監(jiān)控用戶訪問并制定以下程序：（i）監(jiān)控失敗的登錄嘗試和帳戶鎖定；（ii）確保妥善處理客戶的用戶名和密碼的更改請求，以及驗證異?；虿粚こ？蛻粽埱蟮某绦?；（iii）持續(xù)審查系統(tǒng)硬件和軟件變更，以識別何時發(fā)生更改；以及（iv）確保任何變更均獲批準(zhǔn)并正確實施，并對任何異常情況進行調(diào)查。

　　數(shù)據(jù)丟失預(yù)防

　　數(shù)據(jù)丟失預(yù)防通常包括一組工具和流程，組織使用這些工具和流程可以確保敏感數(shù)據(jù)（包括客戶端信息）不會丟失、濫用或被未經(jīng)授權(quán)的用戶訪問。

　　OCIE觀察到各組織采用了以下數(shù)據(jù)丟失預(yù)防措施：

　　漏洞掃描。建立漏洞管理程序，包括對組織內(nèi)和適用第三方提供商的軟件代碼、web應(yīng)用程序、服務(wù)器和數(shù)據(jù)庫、工作站和終端的例行掃描。

　　周邊安全。實現(xiàn)能夠控制、監(jiān)視和檢查所有傳入和傳出網(wǎng)絡(luò)流量的功能，以防止未經(jīng)授權(quán)或有害的流量。這些功能包括防火墻、入侵檢測系統(tǒng)、電子郵件安全功能以及帶有內(nèi)容過濾功能的web代理系統(tǒng)。實施企業(yè)數(shù)據(jù)丟失預(yù)防解決方案，能夠監(jiān)控和阻止對個人電子郵件、基于云的文件共享服務(wù)、社交媒體網(wǎng)站和可移動媒體（如USB和CD）的訪問。

　　安全偵測。實現(xiàn)能夠檢測端點上的威脅的功能?？紤]使用可以同時利用簽名和基于行為的功能并且可以識別傳入的欺詐通信、以防止未經(jīng)授權(quán)的軟件或惡意軟件運行的產(chǎn)品。制定策略和具體步驟，從系統(tǒng)和應(yīng)用程序中捕獲和保留系統(tǒng)日志，以進行聚合和分析。對于提供自動操作（如宏和腳本）的軟件，啟用可選的安全功能或遵循第三方軟件提供商提供的安全指南。

　　補丁管理。建立涵蓋所有軟件（即內(nèi)部開發(fā)、定制現(xiàn)成軟件和其他第三方軟件）和硬件的補丁管理程序，包括防病毒和反惡意軟件安裝。

　　盤點硬件和軟件。維護硬件和軟件資產(chǎn)清單，包括關(guān)鍵資產(chǎn)和信息的標(biāo)識（即知道它們位于何處，以及如何保護它們）。

　　加密和網(wǎng)絡(luò)分割。使用工具和程序保護數(shù)據(jù)和系統(tǒng)，包括：（i）對內(nèi)部和外部“運行中”的數(shù)據(jù)進行加密；（ii）加密所有系統(tǒng)上的“靜態(tài)”數(shù)據(jù)，包括筆記本電腦、臺式機、移動電話、平板電腦和服務(wù)器；以及（iii）實施網(wǎng)絡(luò)分段和訪問控制列表，以將數(shù)據(jù)可用性限制為僅授權(quán)的系統(tǒng)和網(wǎng)絡(luò)。

　　監(jiān)控內(nèi)部威脅。創(chuàng)建內(nèi)部威脅程序，以識別可疑行為，包括酌情將問題上報給高級領(lǐng)導(dǎo)層。增加業(yè)務(wù)系統(tǒng)測試的深度和頻率，并進行滲透測試。制定規(guī)則以識別和阻止敏感數(shù)據(jù)（例如，賬號、社會安全號碼、交易信息和源代碼）的傳輸離開組織。根據(jù)測試和監(jiān)控結(jié)果、業(yè)務(wù)運營或技術(shù)的重大變化以及任何其他重大事件，來跟蹤糾正措施。

　　保留遺留系統(tǒng)和設(shè)備的安全。通過使用以下程序驗證硬件和軟件的退役和處置不會產(chǎn)生系統(tǒng)漏洞：（i）刪除退役硬件和軟件的敏感信息并及時處置；以及（ii）隨著遺留系統(tǒng)被更現(xiàn)代化的系統(tǒng)所取代，重新評估計算機安全隱患和風(fēng)險評估。

　　移動安全

　　移動設(shè)備和應(yīng)用程序可能會產(chǎn)生額外的獨特漏洞。OCIE在使用移動應(yīng)用程序的組織中觀察到以下移動安全措施：

　　政策和程序。制定使用移動設(shè)備的政策和程序。

　　管理移動設(shè)備的使用。將移動設(shè)備管理（MDM）應(yīng)用程序或類似技術(shù)用于組織的業(yè)務(wù)，包括電子郵件通信、日歷、數(shù)據(jù)存儲和其他活動。如果使用“自帶設(shè)備”策略，請確保MDM解決方案適用于所有移動電話/設(shè)備操作系統(tǒng)。

　　實施安全措施。要求所有內(nèi)部和外部用戶使用MFA。采取措施防止將信息打印、復(fù)制、粘貼或保存到個人擁有的計算機、智能手機或平板電腦上。確保能夠遠程清除屬于前員工的設(shè)備或丟失的設(shè)備上的數(shù)據(jù)和內(nèi)容。

　　培訓(xùn)員工。對員工進行移動設(shè)備政策和有效實踐方面的培訓(xùn)，以保護移動設(shè)備。

　　事件響應(yīng)和恢復(fù)能力

　　事件響應(yīng)包括：（i）及時發(fā)現(xiàn)并適當(dāng)披露與事件有關(guān)的重大信息；以及（ii）評估針對事故采取的糾正措施的適當(dāng)性。事件響應(yīng)計劃的一個重要組成部分包括業(yè)務(wù)連續(xù)性和恢復(fù)能力（即如果發(fā)生事件，組織能夠以多快的速度恢復(fù)并再次安全地為客戶服務(wù)）。

　　OCIE觀察到，許多制定事故應(yīng)對計劃的組織往往包括以下要素：

　　制定計劃。針對各種情況制定風(fēng)險評估事件響應(yīng)計劃，包括拒絕服務(wù)攻擊、惡意造謠、勒索軟件、核心員工繼任以及極端但合理的情況。在制定業(yè)務(wù)連續(xù)性計劃、政策和程序時，考慮過去的網(wǎng)絡(luò)安全事件和當(dāng)前的網(wǎng)絡(luò)威脅情報。建立和維持程序，包括：（i）事件發(fā)生時及時通知和響應(yīng)；（ii）將事件升級到適當(dāng)管理級別的流程，包括法律和合規(guī)職能部門；以及（iii）與核心利益相關(guān)者的溝通。

　　適用報告需求的處理。確定并遵守適用的聯(lián)邦和州網(wǎng)絡(luò)事件或事件報告要求，如金融機構(gòu)提交可疑活動報告或上市公司披露重大風(fēng)險和事件的要求。例如，組織應(yīng)考慮：

　　? 如果發(fā)現(xiàn)或懷疑攻擊/數(shù)據(jù)泄露，請聯(lián)系地方當(dāng)局或聯(lián)邦調(diào)查局。

　　? 通知監(jiān)管機構(gòu)并與相關(guān)組織共享信息，包括危害指標(biāo)（在網(wǎng)絡(luò)或操作系統(tǒng)上觀察到的表明潛在入侵的工件）。

　　? 及時通知數(shù)據(jù)遭到泄露的顧客、客戶和員工。

　　指派人員執(zhí)行計劃的特定區(qū)域。在發(fā)生網(wǎng)絡(luò)事件時，指定具有特定角色和責(zé)任的員工。在此過程中，提前確定其他網(wǎng)絡(luò)安全和恢復(fù)專業(yè)知識。

　　測試和評估計劃。使用各種方法（包括桌面練習(xí)）測試事件響應(yīng)計劃和潛在恢復(fù)時間。如果發(fā)生事故，實施計劃并評估事故后的反應(yīng)，以確定是否有必要對程序進行任何更改。

　　OCIE觀察到了以下應(yīng)對彈性的策略：

　　維護核心業(yè)務(wù)操作和系統(tǒng)的庫存。確定核心業(yè)務(wù)服務(wù)并確定其優(yōu)先級。了解單個系統(tǒng)或流程故障對業(yè)務(wù)服務(wù)的影響。計劃支持業(yè)務(wù)服務(wù)的系統(tǒng)和流程，包括組織可能無法直接控制的系統(tǒng)和流程。

　　評估風(fēng)險并確定業(yè)務(wù)運營的優(yōu)先級。制定運營彈性戰(zhàn)略，并根據(jù)組織的具體情況確定風(fēng)險容限。在制定戰(zhàn)略時，組織會考慮：（i）確定哪些系統(tǒng)和流程可以在中斷期間被替換，以便繼續(xù)提供業(yè)務(wù)服務(wù)；（ii）確保備份數(shù)據(jù)的地理分離，避免集中風(fēng)險；以及（iii）業(yè)務(wù)中斷對機構(gòu)利益相關(guān)者和其他組織的影響。

　　額外的保障措施。在不同的網(wǎng)絡(luò)和離線狀態(tài)下維護備份數(shù)據(jù)。評估網(wǎng)絡(luò)安全保險是否適合組織的業(yè)務(wù)。

　　供應(yīng)商管理

　　與供應(yīng)商管理相關(guān)的實踐和控制通常包括以下政策和程序：（i）對供應(yīng)商選擇進行盡職調(diào)查；（ii）監(jiān)督供應(yīng)商和合同條款；（iii）評估如何將供應(yīng)商關(guān)系視為組織持續(xù)風(fēng)險評估過程的一部分，以及組織如何確定對供應(yīng)商進行適當(dāng)?shù)谋M職調(diào)查；以及（iv）評估供應(yīng)商如何保護任何可訪問的客戶信息。

　　OEIC觀察到各組織在供應(yīng)商管理領(lǐng)域采取了以下做法：

　　供應(yīng)商管理程序。制定供應(yīng)商管理計劃，以確保供應(yīng)商滿足安全要求，并實施適當(dāng)?shù)谋Ｕ洗胧?。利用基于行業(yè)標(biāo)準(zhǔn)（如SOC 2、SSAE 18）審查和獨立審計的調(diào)查問卷。建立終止或更換供應(yīng)商（包括基于云的服務(wù)提供商）的程序。

　　了解供應(yīng)商關(guān)系。理解所有合同條款，包括權(quán)利、責(zé)任、期望和其他特定條款，以確保各方對如何應(yīng)對風(fēng)險和安全有相同的理解。掌握和管理與供應(yīng)商外包相關(guān)的風(fēng)險，包括供應(yīng)商使用基于云的服務(wù)。

　　供應(yīng)商監(jiān)控和測試。監(jiān)控供應(yīng)商關(guān)系，確保供應(yīng)商繼續(xù)滿足安全要求，并了解供應(yīng)商服務(wù)或人員的變化。

　　培訓(xùn)和安全意識

　　培訓(xùn)和安全意識是網(wǎng)絡(luò)安全項目的關(guān)鍵組成部分。培訓(xùn)為員工提供有關(guān)網(wǎng)絡(luò)風(fēng)險和責(zé)任的信息，并提高對網(wǎng)絡(luò)威脅的認識。OCIE觀察到各組織在網(wǎng)絡(luò)安全培訓(xùn)和意識領(lǐng)域采用了以下做法：

　　作為培訓(xùn)指南的政策和程序。培訓(xùn)員工實施組織的網(wǎng)絡(luò)安全政策和程序，并動員員工參與建立網(wǎng)絡(luò)安全準(zhǔn)備和運營彈性的文化。

　　將示例和聯(lián)系囊括在培訓(xùn)中。提供具體的網(wǎng)絡(luò)安全和恢復(fù)能力培訓(xùn)，包括網(wǎng)絡(luò)釣魚練習(xí)，以幫助員工識別網(wǎng)絡(luò)釣魚電子郵件。在培訓(xùn)中包括預(yù)防措施，如識別和應(yīng)對違規(guī)指標(biāo)，以及在行為可疑時獲得客戶確認。

　　培訓(xùn)效果。監(jiān)督確保員工參加培訓(xùn)并評估培訓(xùn)的有效性?；诰W(wǎng)絡(luò)威脅情報不斷重新評估和更新的培訓(xùn)計劃。

　　額外的資源

　　我們致力于與聯(lián)邦和地方合作伙伴、市場參與者和其他人合作，監(jiān)測事態(tài)發(fā)展并有效應(yīng)對網(wǎng)絡(luò)威脅。除了查看SEC的網(wǎng)絡(luò)安全聚焦頁面（www.SEC.gov/Spotlight/Cybersecurity）外，OCIE還鼓勵SEC注冊者、發(fā)行人、其他受監(jiān)管實體和投資專業(yè)人士以及網(wǎng)絡(luò)安全社區(qū)的其他成員注冊隸屬于美國國土安全部的網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全局（CISA）發(fā)布的警報。CISA負責(zé)保護國家的關(guān)鍵基礎(chǔ)設(shè)施免受物理和網(wǎng)絡(luò)威脅，并在廣泛的政府和私營部門組織之間進行合作和協(xié)調(diào)。

　　以下鏈接可用于注冊CISA警報：https://public.govdelivery.com/ accounts/USDHSUSCERT/subscriber/new。

　　除了接收CISA網(wǎng)絡(luò)警報外，許多組織還通過金融服務(wù)信息共享和分析中心（FS-ISAC，www.fsisac.com）等行業(yè)協(xié)會參與信息共享小組。參與這些信息共享小組為跨行業(yè)和政府的合作提供了一種機制，使人們能夠獲得有關(guān)網(wǎng)絡(luò)最佳做法和與網(wǎng)絡(luò)威脅相關(guān)的早期預(yù)警指標(biāo)的特定部門信息。通過這種信息共享安排，OCIE相信組織能夠?qū)崿F(xiàn)更大的網(wǎng)絡(luò)安全彈性。

　　通過政府和行業(yè)之間的合作開發(fā)的另一個關(guān)鍵資源是國家標(biāo)準(zhǔn)與技術(shù)研究所網(wǎng)絡(luò)安全框架（https://www.nist.gov/cyberframework）。這一非官方的框架將網(wǎng)絡(luò)安全控制目標(biāo)映射到旨在促進關(guān)鍵基礎(chǔ)設(shè)施保護的行業(yè)標(biāo)準(zhǔn)、指導(dǎo)方針和實踐中。該框架的優(yōu)先級、靈活性、可重復(fù)和經(jīng)濟高效的方法有助于關(guān)鍵基礎(chǔ)設(shè)施的所有者和運營商管理與網(wǎng)絡(luò)安全相關(guān)的風(fēng)險。

　　結(jié) 論

　　在分享上述觀察結(jié)果的同時，我們鼓勵市場參與者回顧他們在網(wǎng)絡(luò)安全和運營彈性方面的做法、政策和程序。我們相信，評估您的準(zhǔn)備水平并實施上述部分或全部措施將使您的組織更加安全。OCIE將繼續(xù)致力于與各組織合作，以識別和應(yīng)對網(wǎng)絡(luò)安全風(fēng)險，并鼓勵市場參與者積極參與監(jiān)管機構(gòu)和執(zhí)法部門的這項工作。