美國證券交易委員會（SEC）一直關注網絡安全問題，尤其在市場體系、客戶數據保護、重大網絡安全風險和事故的披露，以及遵守聯邦證券法規定的法律和監管義務等領域。[1]網絡安全也是美國證券交易委員會合規監察辦公室OCIE的一個關鍵優先事項。OCIE強調信息安全是證券市場參與者面臨的一個重大風險并發布了8個與網絡安全相關的風險警報。[2]通過對經紀商、投資顧問、清算機構、國家證券交易所和其他SEC注冊人的數千次檢查，OCIE找到了管理和應對網絡安全風險以及維護和增強運營彈性的各種行業的實踐和方法。其中包括治理和風險管理、訪問權限和控制、數據丟失預防、移動安全、事件響應和恢復能力、供應商管理以及培訓和安全意識等領域的實踐。OCIE提供下述意見，以協助市場參與者考慮如何加強網絡安全準備和運營彈性。

　　from pixabay

　　美國證券交易委員會合規監察辦公室

　　（OCIE）：網絡安全和彈性觀察

　　譯 / 北京師范大學法學院碩士研究生 張齡元

　　網絡安全威脅在本質上是全球性的，具有多個來源，不因證券和金融市場以及市場參與者的區別而有所不同。對投資者、發行人和其他證券市場參與者，以及更普遍的金融市場和經濟而言，威脅的嚴重性和潛在后果是顯著的，而且在不斷增加。隨著市場、市場參與者及其供應商越來越依賴包括數字連接和系統在內的技術，網絡安全風險管理變得至關重要。事實上，在一個網絡威脅實施者變得越來越激進和老練的環境中，并且在某些情況下，他們獲得了包括國家行為體在內的大量資源的支持。參與證券市場的公司、市場基礎設施提供商和供應商都應適當地監督、評估和管理包括運營彈性在內的網絡安全風險狀況。

　　治理和風險管理

　　有效的網絡安全項目始于高層的正確基調，高層領導致力于通過與他人合作來了解、優先考慮、溝通和減輕網絡安全風險，從而改善組織的網絡態勢。雖然任何給定的網絡安全項目的有效性都是特定于事實的，但我們注意到，有效項目的一個關鍵要素是納入治理和風險管理程序，該程序通常包括以下內容：（i）風險評估，以識別、分析和優先考慮組織的網絡安全風險；（ii）應對上述風險的書面網絡安全政策及程序；以及（iii）這些政策和程序的有效實施和執行。

　　OCIE觀察到各組織采用了以下風險管理和治理措施：

　　高層介入。將董事會和高級領導層的注意力適當地投入到制定戰略和監督組織的網絡安全和彈性計劃上。

　　風險評估。制定和實施風險評估流程，以識別、管理和減少與組織業務相關的網絡風險。作為確定風險評估方法的一部分，需要考慮本組織的商業模式，并努力識別和優先考慮潛在的安全隱患，包括遠程或出差員工、內部威脅、國際業務和地緣政治風險等。

　　政策和程序。采用和實施全面的書面政策和程序，處理以下討論的領域和確定的風險。

　　測試和監控。建立全面的測試和監測機制，定期、頻繁地驗證網絡安全政策和程序的有效性。測試和監控可以基于網絡威脅情報進行。

　　持續評估和適應變化。及時針對測試和監測結果作出反應，更新政策和程序，以解決任何差距或弱點，并讓董事會和高級領導層適當參與。

　　溝通。建立內部和外部溝通政策和程序，及時向決策者、客戶、員工、其他市場參與者和監管機構（視情況而定）提供信息。

　　訪問權限和控制

　　訪問權限和控件用于根據工作職責確定組織系統的合適用戶，并部署控制以限制授權用戶的訪問。訪問控制通常包括：（i）掌握包括客戶信息在內的整個組織的數據位置；（ii）限制授權用戶訪問系統和數據；以及（iii）建立適當的控制措施，以防止和監測未經授權的訪問。

　　OCIE在執行以下任務的組織中觀察到了與訪問權限和控制相關的策略：

　　用戶訪問。明確系統和數據的訪問需求。這包括根據用戶在本組織信息系統上進行合法和授權活動的需要，限制對敏感系統和數據的訪問，并要求定期審查賬戶。

　　訪問管理。通過以下系統和程序管理用戶訪問：（i）適當限制訪問，包括在入職、轉崗和終止期間；（ii）對用戶準入審批實行職責分離；（iii）定期恢復用戶訪問權限（特別注意用戶、管理員和服務帳戶等特權級別較高的賬戶）；（iv）要求使用安全強度高的密碼并定期更改；（v）以利用應用程序或密鑰鏈生成額外的驗證碼的方式進行多因素認證；以及（vi）立即撤銷不再受雇于本組織的個人（包括前承包商）的系統訪問權限。

　　訪問監控。監控用戶訪問并制定以下程序：（i）監控失敗的登錄嘗試和帳戶鎖定；（ii）確保妥善處理客戶的用戶名和密碼的更改請求，以及驗證異常或不尋常客戶請求的程序；（iii）持續審查系統硬件和軟件變更，以識別何時發生更改；以及（iv）確保任何變更均獲批準并正確實施，并對任何異常情況進行調查。

　　數據丟失預防

　　數據丟失預防通常包括一組工具和流程，組織使用這些工具和流程可以確保敏感數據（包括客戶端信息）不會丟失、濫用或被未經授權的用戶訪問。

　　OCIE觀察到各組織采用了以下數據丟失預防措施：

　　漏洞掃描。建立漏洞管理程序，包括對組織內和適用第三方提供商的軟件代碼、web應用程序、服務器和數據庫、工作站和終端的例行掃描。

　　周邊安全。實現能夠控制、監視和檢查所有傳入和傳出網絡流量的功能，以防止未經授權或有害的流量。這些功能包括防火墻、入侵檢測系統、電子郵件安全功能以及帶有內容過濾功能的web代理系統。實施企業數據丟失預防解決方案，能夠監控和阻止對個人電子郵件、基于云的文件共享服務、社交媒體網站和可移動媒體（如USB和CD）的訪問。

　　安全偵測。實現能夠檢測端點上的威脅的功能。考慮使用可以同時利用簽名和基于行為的功能并且可以識別傳入的欺詐通信、以防止未經授權的軟件或惡意軟件運行的產品。制定策略和具體步驟，從系統和應用程序中捕獲和保留系統日志，以進行聚合和分析。對于提供自動操作（如宏和腳本）的軟件，啟用可選的安全功能或遵循第三方軟件提供商提供的安全指南。

　　補丁管理。建立涵蓋所有軟件（即內部開發、定制現成軟件和其他第三方軟件）和硬件的補丁管理程序，包括防病毒和反惡意軟件安裝。

　　盤點硬件和軟件。維護硬件和軟件資產清單，包括關鍵資產和信息的標識（即知道它們位于何處，以及如何保護它們）。

　　加密和網絡分割。使用工具和程序保護數據和系統，包括：（i）對內部和外部“運行中”的數據進行加密；（ii）加密所有系統上的“靜態”數據，包括筆記本電腦、臺式機、移動電話、平板電腦和服務器；以及（iii）實施網絡分段和訪問控制列表，以將數據可用性限制為僅授權的系統和網絡。

　　監控內部威脅。創建內部威脅程序，以識別可疑行為，包括酌情將問題上報給高級領導層。增加業務系統測試的深度和頻率，并進行滲透測試。制定規則以識別和阻止敏感數據（例如，賬號、社會安全號碼、交易信息和源代碼）的傳輸離開組織。根據測試和監控結果、業務運營或技術的重大變化以及任何其他重大事件，來跟蹤糾正措施。

　　保留遺留系統和設備的安全。通過使用以下程序驗證硬件和軟件的退役和處置不會產生系統漏洞：（i）刪除退役硬件和軟件的敏感信息并及時處置；以及（ii）隨著遺留系統被更現代化的系統所取代，重新評估計算機安全隱患和風險評估。

　　移動安全

　　移動設備和應用程序可能會產生額外的獨特漏洞。OCIE在使用移動應用程序的組織中觀察到以下移動安全措施：

　　政策和程序。制定使用移動設備的政策和程序。

　　管理移動設備的使用。將移動設備管理（MDM）應用程序或類似技術用于組織的業務，包括電子郵件通信、日歷、數據存儲和其他活動。如果使用“自帶設備”策略，請確保MDM解決方案適用于所有移動電話/設備操作系統。

　　實施安全措施。要求所有內部和外部用戶使用MFA。采取措施防止將信息打印、復制、粘貼或保存到個人擁有的計算機、智能手機或平板電腦上。確保能夠遠程清除屬于前員工的設備或丟失的設備上的數據和內容。

　　培訓員工。對員工進行移動設備政策和有效實踐方面的培訓，以保護移動設備。

　　事件響應和恢復能力

　　事件響應包括：（i）及時發現并適當披露與事件有關的重大信息；以及（ii）評估針對事故采取的糾正措施的適當性。事件響應計劃的一個重要組成部分包括業務連續性和恢復能力（即如果發生事件，組織能夠以多快的速度恢復并再次安全地為客戶服務）。

　　OCIE觀察到，許多制定事故應對計劃的組織往往包括以下要素：

　　制定計劃。針對各種情況制定風險評估事件響應計劃，包括拒絕服務攻擊、惡意造謠、勒索軟件、核心員工繼任以及極端但合理的情況。在制定業務連續性計劃、政策和程序時，考慮過去的網絡安全事件和當前的網絡威脅情報。建立和維持程序，包括：（i）事件發生時及時通知和響應；（ii）將事件升級到適當管理級別的流程，包括法律和合規職能部門；以及（iii）與核心利益相關者的溝通。

　　適用報告需求的處理。確定并遵守適用的聯邦和州網絡事件或事件報告要求，如金融機構提交可疑活動報告或上市公司披露重大風險和事件的要求。例如，組織應考慮：

　　? 如果發現或懷疑攻擊/數據泄露，請聯系地方當局或聯邦調查局。

　　? 通知監管機構并與相關組織共享信息，包括危害指標（在網絡或操作系統上觀察到的表明潛在入侵的工件）。

　　? 及時通知數據遭到泄露的顧客、客戶和員工。

　　指派人員執行計劃的特定區域。在發生網絡事件時，指定具有特定角色和責任的員工。在此過程中，提前確定其他網絡安全和恢復專業知識。

　　測試和評估計劃。使用各種方法（包括桌面練習）測試事件響應計劃和潛在恢復時間。如果發生事故，實施計劃并評估事故后的反應，以確定是否有必要對程序進行任何更改。

　　OCIE觀察到了以下應對彈性的策略：

　　維護核心業務操作和系統的庫存。確定核心業務服務并確定其優先級。了解單個系統或流程故障對業務服務的影響。計劃支持業務服務的系統和流程，包括組織可能無法直接控制的系統和流程。

　　評估風險并確定業務運營的優先級。制定運營彈性戰略，并根據組織的具體情況確定風險容限。在制定戰略時，組織會考慮：（i）確定哪些系統和流程可以在中斷期間被替換，以便繼續提供業務服務；（ii）確保備份數據的地理分離，避免集中風險；以及（iii）業務中斷對機構利益相關者和其他組織的影響。

　　額外的保障措施。在不同的網絡和離線狀態下維護備份數據。評估網絡安全保險是否適合組織的業務。

　　供應商管理

　　與供應商管理相關的實踐和控制通常包括以下政策和程序：（i）對供應商選擇進行盡職調查；（ii）監督供應商和合同條款；（iii）評估如何將供應商關系視為組織持續風險評估過程的一部分，以及組織如何確定對供應商進行適當的盡職調查；以及（iv）評估供應商如何保護任何可訪問的客戶信息。

　　OEIC觀察到各組織在供應商管理領域采取了以下做法：

　　供應商管理程序。制定供應商管理計劃，以確保供應商滿足安全要求，并實施適當的保障措施。利用基于行業標準（如SOC 2、SSAE 18）審查和獨立審計的調查問卷。建立終止或更換供應商（包括基于云的服務提供商）的程序。

　　了解供應商關系。理解所有合同條款，包括權利、責任、期望和其他特定條款，以確保各方對如何應對風險和安全有相同的理解。掌握和管理與供應商外包相關的風險，包括供應商使用基于云的服務。

　　供應商監控和測試。監控供應商關系，確保供應商繼續滿足安全要求，并了解供應商服務或人員的變化。

　　培訓和安全意識

　　培訓和安全意識是網絡安全項目的關鍵組成部分。培訓為員工提供有關網絡風險和責任的信息，并提高對網絡威脅的認識。OCIE觀察到各組織在網絡安全培訓和意識領域采用了以下做法：

　　作為培訓指南的政策和程序。培訓員工實施組織的網絡安全政策和程序，并動員員工參與建立網絡安全準備和運營彈性的文化。

　　將示例和聯系囊括在培訓中。提供具體的網絡安全和恢復能力培訓，包括網絡釣魚練習，以幫助員工識別網絡釣魚電子郵件。在培訓中包括預防措施，如識別和應對違規指標，以及在行為可疑時獲得客戶確認。

　　培訓效果。監督確保員工參加培訓并評估培訓的有效性。基于網絡威脅情報不斷重新評估和更新的培訓計劃。

　　額外的資源

　　我們致力于與聯邦和地方合作伙伴、市場參與者和其他人合作，監測事態發展并有效應對網絡威脅。除了查看SEC的網絡安全聚焦頁面（www.SEC.gov/Spotlight/Cybersecurity）外，OCIE還鼓勵SEC注冊者、發行人、其他受監管實體和投資專業人士以及網絡安全社區的其他成員注冊隸屬于美國國土安全部的網絡基礎設施安全局（CISA）發布的警報。CISA負責保護國家的關鍵基礎設施免受物理和網絡威脅，并在廣泛的政府和私營部門組織之間進行合作和協調。

　　以下鏈接可用于注冊CISA警報：https://public.govdelivery.com/ accounts/USDHSUSCERT/subscriber/new。

　　除了接收CISA網絡警報外，許多組織還通過金融服務信息共享和分析中心（FS-ISAC，www.fsisac.com）等行業協會參與信息共享小組。參與這些信息共享小組為跨行業和政府的合作提供了一種機制，使人們能夠獲得有關網絡最佳做法和與網絡威脅相關的早期預警指標的特定部門信息。通過這種信息共享安排，OCIE相信組織能夠實現更大的網絡安全彈性。

　　通過政府和行業之間的合作開發的另一個關鍵資源是國家標準與技術研究所網絡安全框架（https://www.nist.gov/cyberframework）。這一非官方的框架將網絡安全控制目標映射到旨在促進關鍵基礎設施保護的行業標準、指導方針和實踐中。該框架的優先級、靈活性、可重復和經濟高效的方法有助于關鍵基礎設施的所有者和運營商管理與網絡安全相關的風險。

　　結 論

　　在分享上述觀察結果的同時，我們鼓勵市場參與者回顧他們在網絡安全和運營彈性方面的做法、政策和程序。我們相信，評估您的準備水平并實施上述部分或全部措施將使您的組織更加安全。OCIE將繼續致力于與各組織合作，以識別和應對網絡安全風險，并鼓勵市場參與者積極參與監管機構和執法部門的這項工作。