美国证券交易委员会（SEC）一直关注网络安全问题，尤其在市场体系、客户数据保护、重大网络安全风险和事故的披露，以及遵守联邦证券法规定的法律和监管义务等领域。[1]网络安全也是美国证券交易委员会合规监察办公室OCIE的一个关键优先事项。OCIE强调信息安全是证券市场参与者面临的一个重大风险并发布了8个与网络安全相关的风险警报。[2]通过对经纪商、投资顾问、清算机构、国家证券交易所和其他SEC注册人的数千次检查，OCIE找到了管理和应对网络安全风险以及维护和增强运营弹性的各种行业的实践和方法。其中包括治理和风险管理、访问权限和控制、数据丢失预防、移动安全、事件响应和恢复能力、供应商管理以及培训和安全意识等领域的实践。OCIE提供下述意见，以协助市场参与者考虑如何加强网络安全准备和运营弹性。

　　from pixabay

　　美国证券交易委员会合规监察办公室

　　（OCIE）：网络安全和弹性观察

　　译 / 北京师范大学法学院硕士研究生 张龄元

　　网络安全威胁在本质上是全球性的，具有多个来源，不因证券和金融市场以及市场参与者的区别而有所不同。对投资者、发行人和其他证券市场参与者，以及更普遍的金融市场和经济而言，威胁的严重性和潜在后果是显著的，而且在不断增加。随着市场、市场参与者及其供应商越来越依赖包括数字连接和系统在内的技术，网络安全风险管理变得至关重要。事实上，在一个网络威胁实施者变得越来越激进和老练的环境中，并且在某些情况下，他们获得了包括国家行为体在内的大量资源的支持。参与证券市场的公司、市场基础设施提供商和供应商都应适当地监督、评估和管理包括运营弹性在内的网络安全风险状况。

　　治理和风险管理

　　有效的网络安全项目始于高层的正确基调，高层领导致力于通过与他人合作来了解、优先考虑、沟通和减轻网络安全风险，从而改善组织的网络态势。虽然任何给定的网络安全项目的有效性都是特定于事实的，但我们注意到，有效项目的一个关键要素是纳入治理和风险管理程序，该程序通常包括以下内容：（i）风险评估，以识别、分析和优先考虑组织的网络安全风险；（ii）应对上述风险的书面网络安全政策及程序；以及（iii）这些政策和程序的有效实施和执行。

　　OCIE观察到各组织采用了以下风险管理和治理措施：

　　高层介入。将董事会和高级领导层的注意力适当地投入到制定战略和监督组织的网络安全和弹性计划上。

　　风险评估。制定和实施风险评估流程，以识别、管理和减少与组织业务相关的网络风险。作为确定风险评估方法的一部分，需要考虑本组织的商业模式，并努力识别和优先考虑潜在的安全隐患，包括远程或出差员工、内部威胁、国际业务和地缘政治风险等。

　　政策和程序。采用和实施全面的书面政策和程序，处理以下讨论的领域和确定的风险。

　　测试和监控。建立全面的测试和监测机制，定期、频繁地验证网络安全政策和程序的有效性。测试和监控可以基于网络威胁情报进行。

　　持续评估和适应变化。及时针对测试和监测结果作出反应，更新政策和程序，以解决任何差距或弱点，并让董事会和高级领导层适当参与。

　　沟通。建立内部和外部沟通政策和程序，及时向决策者、客户、员工、其他市场参与者和监管机构（视情况而定）提供信息。

　　访问权限和控制

　　访问权限和控件用于根据工作职责确定组织系统的合适用户，并部署控制以限制授权用户的访问。访问控制通常包括：（i）掌握包括客户信息在内的整个组织的数据位置；（ii）限制授权用户访问系统和数据；以及（iii）建立适当的控制措施，以防止和监测未经授权的访问。

　　OCIE在执行以下任务的组织中观察到了与访问权限和控制相关的策略：

　　用户访问。明确系统和数据的访问需求。这包括根据用户在本组织信息系统上进行合法和授权活动的需要，限制对敏感系统和数据的访问，并要求定期审查账户。

　　访问管理。通过以下系统和程序管理用户访问：（i）适当限制访问，包括在入职、转岗和终止期间；（ii）对用户准入审批实行职责分离；（iii）定期恢复用户访问权限（特别注意用户、管理员和服务帐户等特权级别较高的账户）；（iv）要求使用安全强度高的密码并定期更改；（v）以利用应用程序或密钥链生成额外的验证码的方式进行多因素认证；以及（vi）立即撤销不再受雇于本组织的个人（包括前承包商）的系统访问权限。

　　访问监控。监控用户访问并制定以下程序：（i）监控失败的登录尝试和帐户锁定；（ii）确保妥善处理客户的用户名和密码的更改请求，以及验证异常或不寻常客户请求的程序；（iii）持续审查系统硬件和软件变更，以识别何时发生更改；以及（iv）确保任何变更均获批准并正确实施，并对任何异常情况进行调查。

　　数据丢失预防

　　数据丢失预防通常包括一组工具和流程，组织使用这些工具和流程可以确保敏感数据（包括客户端信息）不会丢失、滥用或被未经授权的用户访问。

　　OCIE观察到各组织采用了以下数据丢失预防措施：

　　漏洞扫描。建立漏洞管理程序，包括对组织内和适用第三方提供商的软件代码、web应用程序、服务器和数据库、工作站和终端的例行扫描。

　　周边安全。实现能够控制、监视和检查所有传入和传出网络流量的功能，以防止未经授权或有害的流量。这些功能包括防火墙、入侵检测系统、电子邮件安全功能以及带有内容过滤功能的web代理系统。实施企业数据丢失预防解决方案，能够监控和阻止对个人电子邮件、基于云的文件共享服务、社交媒体网站和可移动媒体（如USB和CD）的访问。

　　安全侦测。实现能够检测端点上的威胁的功能。考虑使用可以同时利用签名和基于行为的功能并且可以识别传入的欺诈通信、以防止未经授权的软件或恶意软件运行的产品。制定策略和具体步骤，从系统和应用程序中捕获和保留系统日志，以进行聚合和分析。对于提供自动操作（如宏和脚本）的软件，启用可选的安全功能或遵循第三方软件提供商提供的安全指南。

　　补丁管理。建立涵盖所有软件（即内部开发、定制现成软件和其他第三方软件）和硬件的补丁管理程序，包括防病毒和反恶意软件安装。

　　盘点硬件和软件。维护硬件和软件资产清单，包括关键资产和信息的标识（即知道它们位于何处，以及如何保护它们）。

　　加密和网络分割。使用工具和程序保护数据和系统，包括：（i）对内部和外部“运行中”的数据进行加密；（ii）加密所有系统上的“静态”数据，包括笔记本电脑、台式机、移动电话、平板电脑和服务器；以及（iii）实施网络分段和访问控制列表，以将数据可用性限制为仅授权的系统和网络。

　　监控内部威胁。创建内部威胁程序，以识别可疑行为，包括酌情将问题上报给高级领导层。增加业务系统测试的深度和频率，并进行渗透测试。制定规则以识别和阻止敏感数据（例如，账号、社会安全号码、交易信息和源代码）的传输离开组织。根据测试和监控结果、业务运营或技术的重大变化以及任何其他重大事件，来跟踪纠正措施。

　　保留遗留系统和设备的安全。通过使用以下程序验证硬件和软件的退役和处置不会产生系统漏洞：（i）删除退役硬件和软件的敏感信息并及时处置；以及（ii）随着遗留系统被更现代化的系统所取代，重新评估计算机安全隐患和风险评估。

　　移动安全

　　移动设备和应用程序可能会产生额外的独特漏洞。OCIE在使用移动应用程序的组织中观察到以下移动安全措施：

　　政策和程序。制定使用移动设备的政策和程序。

　　管理移动设备的使用。将移动设备管理（MDM）应用程序或类似技术用于组织的业务，包括电子邮件通信、日历、数据存储和其他活动。如果使用“自带设备”策略，请确保MDM解决方案适用于所有移动电话/设备操作系统。

　　实施安全措施。要求所有内部和外部用户使用MFA。采取措施防止将信息打印、复制、粘贴或保存到个人拥有的计算机、智能手机或平板电脑上。确保能够远程清除属于前员工的设备或丢失的设备上的数据和内容。

　　培训员工。对员工进行移动设备政策和有效实践方面的培训，以保护移动设备。

　　事件响应和恢复能力

　　事件响应包括：（i）及时发现并适当披露与事件有关的重大信息；以及（ii）评估针对事故采取的纠正措施的适当性。事件响应计划的一个重要组成部分包括业务连续性和恢复能力（即如果发生事件，组织能够以多快的速度恢复并再次安全地为客户服务）。

　　OCIE观察到，许多制定事故应对计划的组织往往包括以下要素：

　　制定计划。针对各种情况制定风险评估事件响应计划，包括拒绝服务攻击、恶意造谣、勒索软件、核心员工继任以及极端但合理的情况。在制定业务连续性计划、政策和程序时，考虑过去的网络安全事件和当前的网络威胁情报。建立和维持程序，包括：（i）事件发生时及时通知和响应；（ii）将事件升级到适当管理级别的流程，包括法律和合规职能部门；以及（iii）与核心利益相关者的沟通。

　　适用报告需求的处理。确定并遵守适用的联邦和州网络事件或事件报告要求，如金融机构提交可疑活动报告或上市公司披露重大风险和事件的要求。例如，组织应考虑：

　　? 如果发现或怀疑攻击/数据泄露，请联系地方当局或联邦调查局。

　　? 通知监管机构并与相关组织共享信息，包括危害指标（在网络或操作系统上观察到的表明潜在入侵的工件）。

　　? 及时通知数据遭到泄露的顾客、客户和员工。

　　指派人员执行计划的特定区域。在发生网络事件时，指定具有特定角色和责任的员工。在此过程中，提前确定其他网络安全和恢复专业知识。

　　测试和评估计划。使用各种方法（包括桌面练习）测试事件响应计划和潜在恢复时间。如果发生事故，实施计划并评估事故后的反应，以确定是否有必要对程序进行任何更改。

　　OCIE观察到了以下应对弹性的策略：

　　维护核心业务操作和系统的库存。确定核心业务服务并确定其优先级。了解单个系统或流程故障对业务服务的影响。计划支持业务服务的系统和流程，包括组织可能无法直接控制的系统和流程。

　　评估风险并确定业务运营的优先级。制定运营弹性战略，并根据组织的具体情况确定风险容限。在制定战略时，组织会考虑：（i）确定哪些系统和流程可以在中断期间被替换，以便继续提供业务服务；（ii）确保备份数据的地理分离，避免集中风险；以及（iii）业务中断对机构利益相关者和其他组织的影响。

　　额外的保障措施。在不同的网络和离线状态下维护备份数据。评估网络安全保险是否适合组织的业务。

　　供应商管理

　　与供应商管理相关的实践和控制通常包括以下政策和程序：（i）对供应商选择进行尽职调查；（ii）监督供应商和合同条款；（iii）评估如何将供应商关系视为组织持续风险评估过程的一部分，以及组织如何确定对供应商进行适当的尽职调查；以及（iv）评估供应商如何保护任何可访问的客户信息。

　　OEIC观察到各组织在供应商管理领域采取了以下做法：

　　供应商管理程序。制定供应商管理计划，以确保供应商满足安全要求，并实施适当的保障措施。利用基于行业标准（如SOC 2、SSAE 18）审查和独立审计的调查问卷。建立终止或更换供应商（包括基于云的服务提供商）的程序。

　　了解供应商关系。理解所有合同条款，包括权利、责任、期望和其他特定条款，以确保各方对如何应对风险和安全有相同的理解。掌握和管理与供应商外包相关的风险，包括供应商使用基于云的服务。

　　供应商监控和测试。监控供应商关系，确保供应商继续满足安全要求，并了解供应商服务或人员的变化。

　　培训和安全意识

　　培训和安全意识是网络安全项目的关键组成部分。培训为员工提供有关网络风险和责任的信息，并提高对网络威胁的认识。OCIE观察到各组织在网络安全培训和意识领域采用了以下做法：

　　作为培训指南的政策和程序。培训员工实施组织的网络安全政策和程序，并动员员工参与建立网络安全准备和运营弹性的文化。

　　将示例和联系囊括在培训中。提供具体的网络安全和恢复能力培训，包括网络钓鱼练习，以帮助员工识别网络钓鱼电子邮件。在培训中包括预防措施，如识别和应对违规指标，以及在行为可疑时获得客户确认。

　　培训效果。监督确保员工参加培训并评估培训的有效性。基于网络威胁情报不断重新评估和更新的培训计划。

　　额外的资源

　　我们致力于与联邦和地方合作伙伴、市场参与者和其他人合作，监测事态发展并有效应对网络威胁。除了查看SEC的网络安全聚焦页面（www.SEC.gov/Spotlight/Cybersecurity）外，OCIE还鼓励SEC注册者、发行人、其他受监管实体和投资专业人士以及网络安全社区的其他成员注册隶属于美国国土安全部的网络基础设施安全局（CISA）发布的警报。CISA负责保护国家的关键基础设施免受物理和网络威胁，并在广泛的政府和私营部门组织之间进行合作和协调。

　　以下链接可用于注册CISA警报：https://public.govdelivery.com/ accounts/USDHSUSCERT/subscriber/new。

　　除了接收CISA网络警报外，许多组织还通过金融服务信息共享和分析中心（FS-ISAC，www.fsisac.com）等行业协会参与信息共享小组。参与这些信息共享小组为跨行业和政府的合作提供了一种机制，使人们能够获得有关网络最佳做法和与网络威胁相关的早期预警指标的特定部门信息。通过这种信息共享安排，OCIE相信组织能够实现更大的网络安全弹性。

　　通过政府和行业之间的合作开发的另一个关键资源是国家标准与技术研究所网络安全框架（https://www.nist.gov/cyberframework）。这一非官方的框架将网络安全控制目标映射到旨在促进关键基础设施保护的行业标准、指导方针和实践中。该框架的优先级、灵活性、可重复和经济高效的方法有助于关键基础设施的所有者和运营商管理与网络安全相关的风险。

　　结 论

　　在分享上述观察结果的同时，我们鼓励市场参与者回顾他们在网络安全和运营弹性方面的做法、政策和程序。我们相信，评估您的准备水平并实施上述部分或全部措施将使您的组织更加安全。OCIE将继续致力于与各组织合作，以识别和应对网络安全风险，并鼓励市场参与者积极参与监管机构和执法部门的这项工作。