這篇證券投資論文發(fā)表了證券公司實現(xiàn)個人信息保護面臨的挑戰(zhàn)，大數(shù)據(jù)時代的到來，通過海量數(shù)據(jù)的挖掘，為用戶提供了定制化服務，對于證券公司來說，保護個人信息是很重要的，關系到企業(yè)和用戶的安全，那么證券公司在面對個人信息時有哪些應對策略呢?

　　關鍵詞：證券投資論文,信息分類,生命周期,安全意識

　　引言

　　隨著社交平臺、電子商務和移動互聯(lián)網(wǎng)的發(fā)展，數(shù)據(jù)正充斥著現(xiàn)代生活的每個角落。企業(yè)在對用戶提供服務的同時，也擁有了各種各樣的用戶數(shù)據(jù)。“大數(shù)據(jù)”時代，證券公司對用戶的個人信息不再只限于單純的收集，我們對海量數(shù)據(jù)的匯集、挖掘和運用使得個人信息潛在的價值得到二次開發(fā)，并在此基礎上得以創(chuàng)新利用，為用戶提供定制化的服務。與此同時，這也不可避免地加大了用戶個人信息泄露的風險。

　　1證券公司實現(xiàn)個人信息保護面臨的挑戰(zhàn)

　　結(jié)合企業(yè)在個人信息保護工作上的實際情況，可以將目前存在的問題歸納為：個人信息“海量化”、泄露途徑“多樣化”、企業(yè)及用戶安全意識薄弱等。這些問題給企業(yè)的個人信息保護工作帶來了挑戰(zhàn)。

　　1.1個人信息“海量化”

　　隨著互聯(lián)網(wǎng)金融的迅猛發(fā)展，證券公司不再局限于傳統(tǒng)的經(jīng)紀業(yè)務，產(chǎn)品多元化、渠道多樣化，使得證券公司掌握著客戶的各類基本信息、交易數(shù)據(jù)及后臺服務信息等，且數(shù)據(jù)呈現(xiàn)爆炸式增長。據(jù)統(tǒng)計，在2006年至2015年的這十年間，證券行業(yè)總計新增股東賬戶數(shù)近1.5億，每年新增股東賬戶數(shù)最少也接近500萬戶。證券公司僅在開戶期間所收集的個人信息量就非常巨大，當然這還不包括在用戶經(jīng)辦其他業(yè)務以及進行各類交易時被收集的信息，例如，銀行三方存管信息、股票交易信息等等。每天，有數(shù)以萬計的個人信息被記錄到企業(yè)的數(shù)據(jù)庫中，我們根據(jù)這些信息為用戶提供各類服務。然而，企業(yè)的管理和運維成本始終有限，如果對所有的個人信息采取“一刀切”的方式進行保護，將導致信息保護力度不夠或者企業(yè)耗費成本過高。

　　1.2泄露途徑“多樣化”

　　近年來，個人信息泄露事件時有發(fā)生：12306用戶信息泄露、社保信息泄露、支付寶“安全門”事件、“棱鏡門”事件以及最近的蘋果XCodeGhost后門事件等。Verizon《2014年度數(shù)據(jù)泄露調(diào)查報告》中指出，在調(diào)查采樣的10萬次數(shù)據(jù)泄露安全事件中，92%的攻擊手段都屬于以下九大攻擊手段范疇：人為失誤，例如把郵件發(fā)給了錯誤的人;犯罪軟件(各種以控制系統(tǒng)為目的的惡意軟件);內(nèi)部人員/權限濫用;物理失竊/丟失;Web應用攻擊;DoS拒絕服務攻擊;網(wǎng)絡間諜;POS入侵;支付卡信息竊取。企業(yè)網(wǎng)絡所處的環(huán)境越來越復雜，安全威脅不斷發(fā)展變化，黑客通過應用漏洞、內(nèi)部、以及第三方受信接入來侵入企業(yè)內(nèi)部，傳統(tǒng)的邊界防御體系架構(gòu)已經(jīng)無法抵御多維度的攻擊威脅，企業(yè)勢必存在用戶個人信息泄露的風險。

　　1.3安全意識薄弱

　　企業(yè)缺乏個人信息保護方面的主動性，而用戶自身對個人信息保護意識的淡薄，這些都是導致個人信息的流失原因。

　　2證券公司個人信息面臨挑戰(zhàn)的應對策略

　　對于企業(yè)個人信息保護工作中面臨的挑戰(zhàn)，可以通過個人信息分類、基于全生命周期的個人信息保護、強化企業(yè)安全意識以及完善法規(guī)制度等措施進行應對。

　　2.1個人信息分類

　　對于個人信息“海量化”所帶來的問題，我們可以從隱私安全與保護成本的角度出發(fā)，對用戶個人信息進行分類，進而根據(jù)不同需要，對關鍵信息進行重點防護。我們首先要識別用戶個人信息。目前證券公司用戶個人信息類別，見表1。其次，根據(jù)信息敏感程度，對證券公司用戶個人信息進行分類。(如表2所示)：信息分類是為了根據(jù)信息的損失、泄露或無效的敏感程度來組織信息。一旦根據(jù)敏感程度對信息分類，企業(yè)就能夠決定保護各類信息所需要的安全控制手段。這樣可以確保信息資產(chǎn)得到適當級別的保護，同時分類會指明安全保護的優(yōu)先順序。

　　2.2基于全生命周期的個人信息保護

　　企業(yè)在個人信息保護方面投入了大量的資金、人力和時間，然而，我們發(fā)現(xiàn)個人信息泄露事件的發(fā)生并沒有減少，反而逐年上升。根據(jù)統(tǒng)計數(shù)據(jù)表明，信息泄露途徑不再只局限于來自外部的惡意攻擊，而是呈現(xiàn)“多樣化”趨勢，這就意味著企業(yè)需要超越惡意軟件，識別信息泄露的所有階段，建立全方位的個人信息保護體系。

　　2.2.1個人信息生命周期個人信息的本質(zhì)就是數(shù)據(jù)，它存在于企業(yè)各個業(yè)務流程當中。和企業(yè)所擁有的其他數(shù)據(jù)一樣，它是不斷流動的，個人信息泄露的風險存在于其生命周期的每個環(huán)節(jié)。參照數(shù)據(jù)生命周期，我們把個人信息生命周期劃分為5個階段：信息收集、信息傳輸、信息存儲、信息使用以及最后的信息銷毀。

　　2.2.2個人信息保護機制企業(yè)個人信息保護機制是基于個人信息的全生命周期來實現(xiàn)的，每個階段的實現(xiàn)措施具體如下：第一階段：個人信息收集階段。個人信息收集是指對個人信息進行獲取并記錄，這個階段的個人信息基本是由用戶本人或企業(yè)內(nèi)部員工手工錄入。在此階段：企業(yè)要具有特定、明確、合法的收集目的。收集前，企業(yè)應遵從“個人同意”和“公開告知”的原則。特別是針對個人敏感信息和個人隱私信息的收集，要獲得用戶明確授權。增強用戶個人安全意識，避免將個人信息泄露給非授權人員。在信息錄入時，系統(tǒng)應具有合法性驗證的功能，防止個人信息的泄露或篡改。例如，對用戶輸入的信息過濾“&，%，$”等字符，防止SQL注入。

　　第二階段：個人信息傳輸階段。企業(yè)應制定相應管理制度，規(guī)定只允許個人信息通過特定方式與證券服務和信息服務商之間進行維護，例如，交易所、銀行等。應明確個人信息傳輸?shù)纳暾埡蛯徟鞒蹋鞔_個人信息接受方，傳輸內(nèi)容以及傳輸期限等。企業(yè)應根據(jù)個人信息傳輸?shù)牟煌A段，需要選擇不同的加密方式。例如，在傳輸前可通過身份認證(口令或數(shù)字證書)的方式對參與通信的雙方進行身份鑒別;信息傳輸時，可通過數(shù)字簽名的方式對傳輸中的數(shù)據(jù)流加密，以防止通信線路上的竊聽、泄露、篡改和破壞。針對個人信息的不同分類，選擇不同的加密措施。例如，按照個人信息的敏感程度不同可采用不同的加密方式，甚至對于個人一般信息可以采用明文傳輸?shù)姆绞健W(wǎng)絡出口處流量進行監(jiān)聽，根據(jù)信息敏感級別制定相應的告警機制，防止企業(yè)敏感信息外傳。

　　第三階段：個人信息存儲階段。個人信息會存儲在網(wǎng)絡內(nèi)部的系統(tǒng)和設備上，例如，服務器、數(shù)據(jù)庫、磁盤、存儲設備等，也會以非電子的形式存儲，例如，紙質(zhì)的用戶業(yè)務申請表等。在此階段，企業(yè)應確保存儲信息的可用性、完整性和機密性。制定個人信息備份的管理制度。例如，對不同級別的信息采取分級存儲的方式;根據(jù)個人信息所在責任部門的要求定期進行備份;對備份的數(shù)據(jù)定期進行恢復測試，確保個人信息的完整性和可用性。通過網(wǎng)絡分段、周邊安全、計算機控制、工作區(qū)隔離以及系統(tǒng)訪問控制、網(wǎng)絡架構(gòu)、網(wǎng)絡訪問、加密等措施確保企業(yè)個人信息的機密性。例如，對進入核心區(qū)的人員進行審批，建立出入登記制度;在企業(yè)內(nèi)部對存放在數(shù)據(jù)庫中的敏感信息進行加密;第四階段：個人信息使用階段企業(yè)內(nèi)部員工、第三方供應商以及用戶本身都可能會使用企業(yè)的用戶個人信息，因此在此階段：制定企業(yè)個人信息使用的管理制度，以規(guī)范企業(yè)內(nèi)部員工和第三方供應商的信息使用行為。

　　制定嚴格的訪問控制，防止未授權的訪問。例如：業(yè)務部門制定基于角色的訪問控制，并定期進行權限回顧。針對企業(yè)內(nèi)部人員和第三方供應商制定個人信息使用的申請及審批流程，并在申請中注明使用目標、使用范圍以及使用的期限。對于企業(yè)內(nèi)部員工，通過終端數(shù)據(jù)防泄密產(chǎn)品，防止員工有意或無疑的信息泄露行為。對企業(yè)在測試時使用的個人信息，應進行變形、脫敏處理。在用戶終端上，對臨時留存敏感信息的本地cookies或內(nèi)存中的內(nèi)容進行加密，且使用完畢后，本地不保留用戶個人信息等。第五階段：個人信息銷毀階段企業(yè)應基于個人信息的分類進行信息銷毀工作：企業(yè)應制訂相應的個人信息銷毀的管理制度，例如，在到達個人信息使用期限后，及時回收;對于超過留存期限的電子和非電子化個人信息通過專用技術進行可靠銷毀等。根據(jù)策略明確個人信息銷毀的申請和審批流程，并進行完整記錄，以供追溯。采取技術手段對剩余信息進行處理。例如，對于要送出外部修理的設備或待報廢的設備，需在送修或報廢前其上所存在的對個人信息進行可靠銷毀;用戶個人信息所在的存儲空間(硬盤、內(nèi)存)被釋放或再分配給其他用戶前得到完全清除。

　　2.3加強安全意識

　　企業(yè)應建立有效的內(nèi)部管控機制，通過技術手段、管理手段以及行政手段，對個人信息的收集、傳輸、存儲、使用以及銷毀的全生命周期實施有效地保護，確保用戶個人信息安全。此外，加強企業(yè)員工安全意識培訓，建立保護用戶個人信息的企業(yè)文化，制訂相應的獎懲制度，提高內(nèi)部員工的積極性。同時，開展用戶個人安全意識宣導工作。通過營業(yè)網(wǎng)點、微信、網(wǎng)站等各類發(fā)布平臺，進行用戶個人信息保護意識的宣傳。在此過程中，適當增加趣味性，互動性，提高用戶的安全防范意識。

　　3總結(jié)和展望

　　本文對證券公司在進行個人信息保護工作中遇到的問題進行了總結(jié)，并對這些問題的對應方法進行了一番探索和研究。當然，若要將這些設想進行落實，需要會經(jīng)歷一個漫長而又艱巨的過程，在此過程中我們還應考慮如下問題：(1)制度的強制落實。個人信息是證券公司重要的資產(chǎn)，它的泄露將會給企業(yè)造成嚴重影響，甚至威脅到企業(yè)的生存。證券公司應將個人信息保護納入整個企業(yè)信息安全治理工作范疇中，制定明確的個人信息保護的方針、政策，并貫徹落實到日常管理工作中。

　　(2)封閉體系的打破隨著互聯(lián)網(wǎng)金融、第三方支付等業(yè)務的興起，證券公司不再局限于原有的三方存管封閉體系。個人信息的開放程度越來越高，信息泄露影響的范圍也隨之增大，因此保護個人信息尤為重要。(3)明確信息保護的責任業(yè)務部門是用戶個人信息的所有者和使用人，有責任保護這些信息。因此，企業(yè)內(nèi)部對個人信息分類、制度規(guī)劃、流程制定等工作應由業(yè)務部門完成。IT部門作為個人信息的保管者，基于業(yè)務部門的個人信息分類，負責信息的保護和維護工作。IT部門應實施和維護安全控制措施，執(zhí)行數(shù)據(jù)的常規(guī)備份，定期驗證數(shù)據(jù)的完整性以及實現(xiàn)企業(yè)個人信息安全策略、標準所制定的需求等。

　　(4)應急機制的完善再嚴密的安全體系也不可能保證個人信息的絕對安全，企業(yè)應針對個人信息泄露事件應建立完善的應急機制。當發(fā)生個人信息泄露事件后，除了對外的公關工作外，更應注重安全事件的追溯，評估事件影響和危害，避免擴大或再次發(fā)生。

　　參考文獻：

　　[1]曹樹金.王志紅.古婷驊.智慧城市環(huán)境下個人信息安全保護問題分析及立法建議.圖書館情報知識，2015.

　　[2]張劍寒.聶元銘.數(shù)據(jù)中心安全防護技術分析.信息網(wǎng)絡安全，2012.

　　[3]董紀昌，焦丹曉等.大數(shù)據(jù)金融背景下商業(yè)銀行客戶信息保護研究.工程研究-跨學科視野中的工程，2014.

　　作者：崔毅然 單位：上海證券有限責任公司

　　推薦閱讀：量化統(tǒng)計證券投資風險

　　本篇金融論文研究統(tǒng)計方法在證券投資風險中的應用，隨著經(jīng)濟的不斷發(fā)展，科技的不斷進步，證券投資行業(yè)的發(fā)展也是一日千里。證券投資在我國的經(jīng)濟影響中也起了相當顯著的作用。