oa办公风拍照技巧(某券商OA系统遭受攻击，金融企业如何保障办公安全？)

本月，深圳证监局公布了最新一期的证券期货机构监管通讯（2022第5期）。在本期通报中，除了投行业务未勤勉尽责、内控不完善、为客户违规炒股“打掩护”等问题，深圳证监局还通报了一起证券公司网络安全风险管理不规范的风险案例，涉及OA系统安全、从业人员管理等风险。

通报称，近期，辖区某证券公司因网络安全风险管理存在漏洞，导致公司OA系统遭受注入攻击影响公司移动端OA办公。据了解，该公司存在修复机制、安全监控、防护策略、人员流动等多个问题，包括渗透测试及漏洞修复机制不完备，网络安全监控方式和响应机制有待改进，安全防护策略有待加强。同时，该公司信息系统相关人员流动较大，多个重要信息系统运维主岗已离职，多个技术管理环节权限管理不严。

同时，辖区某证券营业部员工此前在网络上散布虚假信息，被公安部门行政处罚一事也再次被深圳证监局敲打；期货公司自有资金投资管理不到位风险也同样被提及。深圳证监局日常监管中关注到，辖区大部分期货公司使用自有资金投资各类金融产品，现场检查发现，部分期货公司组织管理弱化、制度建设不全、制度执行不力、风险控制薄弱。

另外，本次《监管通讯》中，3家券商分别因投行、经纪和资产证券化业务存在相关内控、管理问题再被证监局通报“敲打”：

一是，某券商投行业务未勤勉尽责。存在如下问题：部分项目对发行人的收入确认、核心技术、债务情况、对外担保，对原始权益人、托管人的资信水平等情况尽职调查不充分；资产证券化业务存续期管理中对基础资产现金流监督检查不到位，未发现涉及基础资产现金流的重大事项并发布临时公告。

二是，某券商资产证券化业务内控管理不到位。涉及的主要违规行为包括：公司层面整体风险管控不足；质量控制机制不够完善；内核机制执行不到位；尽职调查不完备。

三是，某券商营业部及负责人为客户违规借用账户“打掩护”。该券商营业部及其负责人在知悉客户证券账户交由他人使用的情况下未予制止，并多次在账户所有人、账户实际使用人之间传递账户相关信息，在客户回访时提前告知客户提供不实信息应对回访。

其中，深圳证监局对案例三中的券商营业部及负责人实施了“双罚”，并于9月13日分别出具警示函。对此，深圳证监局还表示，辖区各证券期货经营机构应引以为戒，加强合规与内控管理，严格员工行为管控，强化客户账户实名制管理，不得损害投资者权益、扰乱市场秩序。

事实上，深圳证监局的通报也是为了起到警示作用，若是各券商等金融机构不重视网络安全保障工作，不认真落实网络和信息安全工作责任规划，不加强信息技术人员保障，不提升网络安全风险防控能力，将给企业安全埋下严重隐患。

例如，曾在2017年，一名券商经纪人冒充大型券商董事长身份入侵公司OA系统，下载导出近六千组员工通讯录及个人信息；此外，他还侵入国资委、国家工商管理总局、地方政府等相关工作人员邮箱并修改其密码；更触目惊心的是，在不到两个月的时间内，他共侵入五家券商的计算机系统，非法下载员工信息、客户信息、客户资产情况等合计超过413万条。

而对于上述提及的内容，券商公司存在人员流动大、权限管理不严、账号管理混乱、员工行为管控不到位等问题，若是不及时提高安全风险防范能力，日积月累，其后果不难想象。那么，金融企业要如何保障办公安全呢？

应用账号安全管理

针对账号分散、人员复杂/流动大、缺乏审计、三方账号管理、密码简单等问题，数影办公空间可以较低的成本，解决特权账号的梳理和统一托管、管控，按账号和页面粒度分配系统访问权限，内部系统无需等待研发资源排期做权限隔离；同时，其审计功能，可全面还原用户操作，弥补系统本身日志补全缺陷，特权账号支持实时录屏审计。

此外，数影的应用账号安全管理能够实现自动发现、持续跟踪业务系统所有账号；自动登录，隐藏密码，彻底解决账号泄露问题；满足特权账号合规管理要求，等企业业务安全、合规需求。

员工行为管控

数影办公空间的数字水印功能，可自动为业务系统加上水印，防拍照，并起到警示和溯源安全效果。另外，数影还具有数据脱敏功能，有效防止员工通过截图、拍照泄露敏感数据。而且，用户在受管控系统里进行下载导出文件会重定向到安全隔离区，不直接落盘，以及上传、复制、粘贴等行为都会在空间内受到安全管控。

准确掌握数据和应用使用情况

新上线的业务系统使用情况怎么样、员工使用业务系统的时间段和频次怎么样、哪些人查看了业务数据、哪些人点击了敏感信息......这些问题，在数影办公空间内都可得到解决。通过数影，企业可以掌控空间内所有的行为，每一次浏览、每一次点击、每一次下载，企业都可可以准确掌握应用和数据的使用情况，信息化工作、数据决策将变得更有抓手和说服力。