今年以來，我國股市接連受到重挫，造成了部分股民的不滿，同時也出現(xiàn)了針對證券公司進行網(wǎng)絡攻擊的惡性事件。因此，證監(jiān)會組織了對全國證券業(yè)的安全大檢查。筆者因為工作原因，參與并負責了幾個大型證券公司的安全檢查。檢查的從體情況來看，有喜有憂。喜的是證券業(yè)前幾年行情不好，一直沒有資金進行充分的IT基礎建設，造成IT建設欠債太多，但近兩年已經(jīng)迎頭趕上，并且證券業(yè)創(chuàng)新產(chǎn)品層出不窮。憂的是這兩年券商的IT部門一直被趕著做事情，又造成對信息安全問題重視不夠，出現(xiàn)了很多新的風險，尤其在當前股市震蕩的情況下，威脅越來越大。它山之石可以攻玉，對于各個行業(yè)的安全管理員來說，保障信息安全是一個任重而道遠的工作。本文基于在證券業(yè)安全問題上的一些經(jīng)驗和思考，希望也能夠給其他行業(yè)的安全管理員提供幫助。
　　整個安全大檢查從幾個方面進行了審查，包括網(wǎng)站安全、物理安全、網(wǎng)絡安全、系統(tǒng)安全和管理安全。
　　一、網(wǎng)站安全
　　證監(jiān)會組織了人手對所有券商的網(wǎng)站進行了滲透測試（模擬黑客攻擊的方法對網(wǎng)站攻擊，但不做破壞性舉動），雖然后證監(jiān)會沒有公布網(wǎng)站滲透測試的結果，但就筆者負責的4個券商安全檢查來看，全部都被攻陷，被攻陷的方法全都是sql注入，并且還發(fā)現(xiàn)了源代碼泄露、跨站漏洞等問題。所幸的是，經(jīng)過檢查，沒有發(fā)現(xiàn)這幾個網(wǎng)站被人入侵過或者有什么遠程后門�？偟膩砜矗�大家對安全補丁、系統(tǒng)自身的加固都很重視，沒發(fā)現(xiàn)什么明顯疏忽，但是在WEB的安全編程上還做得遠遠不夠。究其原因，由于券商自身不具備網(wǎng)站開發(fā)能力，網(wǎng)站開發(fā)都是外包來做，而外包公司在程序的代碼審核上做的遠遠不夠，代碼中可能的漏洞有溢出漏洞、跨站腳本漏洞、SQL注入漏洞等，還有一些因為程序設計不周到而導致的信息泄露問題也應該得到重視，這些漏洞本身可能沒什么大的威脅，但非常有助于攻擊者利用其他漏洞進行攻擊。當前總體的網(wǎng)絡安全狀態(tài)是基于操作系統(tǒng)本身漏洞的入侵已經(jīng)沒有大的增加，而由于應用系統(tǒng)的復雜性和特異性，基于應用的入侵已大幅度增加，所以在這方面還有許多需要加強的工作。
　　從證券業(yè)的網(wǎng)站安全來看，入侵甚至在C盤根目錄上寫入文件，都不是什么難事。筆者在其他一些行業(yè)的評估中，也發(fā)現(xiàn)同樣問題的存在，并且今年的安全形勢報告中也提到，僅在5月份，全國就有12萬網(wǎng)站受到sql注入式的攻擊。因此可見，面對新型的攻擊手段，安全部門響應速度遲緩。網(wǎng)站是一個企業(yè)的門面，如果網(wǎng)站被篡改，帶來的負面影響會很大，加強網(wǎng)站的安全防護，應是當務之急。
　　二、物理安全
　　物理安全作為信息安全的基礎，在整個信息安全體系建設中扮演著非常重要的作用，而物理安全的好壞直接影響到網(wǎng)絡安全、系統(tǒng)安全和安全管理等等層面。對于券商來說，機房是生產(chǎn)的核心工具，這幾年來，管理層對此也不斷提出要求，目前看來，硬件環(huán)境已經(jīng)比較可靠，空調(diào)、濕度控制、防火、區(qū)域標識等相對完善，但與之相對應的軟件環(huán)境卻不甚樂觀。比如普遍存在的：
　　2.1 環(huán)境
　　機房進出控制等級沒有嚴格執(zhí)行，流于形式；
　　門禁系統(tǒng)雖有，但時常進出沒有隨手關門；
　　進出人員所做重大操作沒有記錄；
　　第三方人員進入機房沒有明顯的可視標識，不能立即識別出無人護送的訪問者和未佩戴可視標識的人。
　　2.2 設備
　　網(wǎng)絡設備、主機設備沒有有效的標記措施，對資產(chǎn)的界定不清晰；
　　重要的主機設備沒有防盜報警措施；
　　由于券商在不斷地上新項目，經(jīng)常需要調(diào)整網(wǎng)絡，網(wǎng)線和電纜的普遍走線比較亂，很多網(wǎng)線、電纜都沒有可識別的記號。
　　2.3 介質(zhì)
　　對移動存儲設備沒有實行有效管理，各服務器的USB口都是開放狀態(tài)。
　　沒有對移動存儲設備上的敏感數(shù)據(jù)徹底刪除或安全重寫。
　　這些問題在很多公司機房都普遍存在，甚至比證券業(yè)要差很多。安全不僅僅是網(wǎng)絡安全，更是一個整體的木桶，任何的短板都會導致前功盡棄，加強對物理環(huán)境的管控應是踏踏實實要做好的事情，這種管控也不僅僅是在硬環(huán)境上，更重要的還在軟環(huán)境上。
　　三、網(wǎng)絡安全
　　近年來證券整體行業(yè)效益不錯，因此在網(wǎng)絡上投入很大，起點較高，并且由于券商大多數(shù)都是跨地域的，整個IP地址的規(guī)劃也都比較合理，具有連續(xù)性，能夠與網(wǎng)絡拓撲層次結構相適應，便于進行管理。作為網(wǎng)絡建設重要規(guī)范性之一的可靠性建設也受到很大重視，針對故障恢復、承載能力以及安全配置均充分考慮了關鍵網(wǎng)絡設備和重要鏈路的可靠性建設：通過交換機之間Trunk互聯(lián)和專用負載均衡設備，實現(xiàn)動態(tài)的冗余熱備和流量分擔，有效提高了網(wǎng)絡的可靠性和可用性。對于重要的主機設備同樣部署了完善的鏈路和設備雙備份，通過雙歸屬方式的互聯(lián)和采用主備設備的方式，可確保一旦出現(xiàn)問題可以實現(xiàn)快速的切換，把對業(yè)務的不利影響降低。同時在交換機上根據(jù)業(yè)務的需要劃分了相應的VLAN，通過二層隔離有效杜絕了蠕蟲病毒的擴散和廣播、組播數(shù)據(jù)流的防洪，提高了網(wǎng)絡的安全和承載效率，確保網(wǎng)絡系統(tǒng)具有了良好的擴展性和健壯性。
　　但是安全問題也總是伴隨著網(wǎng)絡建設而來，創(chuàng)新業(yè)務不斷出現(xiàn)也要求對外的接口越來越多，例如對各個銀行、上交所、深交所的接口。在出口很多的問題下需要認真對待各出口的分界線控制，這方面，已經(jīng)有很多機構提出了安全域架構的方法，在實踐中也取得了認可。
　　再有就是對網(wǎng)絡保密的情況考慮不足，在這方面銀行走在了前面，對鏈路都是由加密機來加密。券商對此尚沒有顧及，關鍵的業(yè)務數(shù)據(jù)在傳輸時zheng沒有加密手段，可能被監(jiān)聽泄露。據(jù)筆者和各信息部門老總交流的情況看，也并不是沒有考慮，他們擔心加密以后對網(wǎng)絡的實時性造成影響，而且券商內(nèi)跑的應用很多，業(yè)務系統(tǒng)與加密機的配合會不會出問題，再者，券商的網(wǎng)絡多是專線連接，被竊聽的可能并不很大。我承認，老總們的擔憂很有道理，在現(xiàn)有技術情況下，如何進行無障礙的鏈路加密？這也是咱們國內(nèi)的安全廠家應該去深入研究的課題。
　　還有一方面就是對網(wǎng)絡的管理：目前的網(wǎng)絡設備基本都具備日志功能，但是由于人手不足，業(yè)務繁忙，管理粗放都很多原因，并沒有人去定期核查這些日志信息，也沒有專用終端記錄處理日志，這會造成即使已經(jīng)被攻擊了，管理人員仍然不知道。并且在網(wǎng)絡管理上沒有指定專用終端操作，為了方便很多機器都可以連上去更改配置。
　　四、系統(tǒng)安全
　　券商核心業(yè)務系統(tǒng)多是LINUX、HP-UX等，這些系統(tǒng)流行面較窄，精通該類系統(tǒng)的人不多，且由于系統(tǒng)的不兼容性使得受攻擊的可能性大大降低。但同時，也由于大家都不精通，系統(tǒng)上發(fā)現(xiàn)的一些已知的安全補丁都沒打，不是不知道安全漏洞，而是因為不敢做，做了以后會對應用產(chǎn)生什么樣的影響大家都不知道。這種情況在很多行業(yè)都存在，比如近期我接觸過的一個煤礦有個瓦斯監(jiān)控系統(tǒng)，1分鐘都不能停。這種形勢下，就要求對核心生產(chǎn)設備做足夠的外圍安全防護。
　　還有一個老生常談的話題就是口令安全，網(wǎng)絡設備口令、操作系統(tǒng)口令、應用系統(tǒng)口令、數(shù)據(jù)庫口令等等，實際對口令的管理和要求始終會有差別。在調(diào)研中，我們也和老總們談過，大家都說：我們都知道口令的管理，也知道怎么加強，但在實際中要考慮證券公司的特殊性，例如報盤系統(tǒng)登陸易所，20多個席位要登錄，有系統(tǒng)意外重啟，我們每個席位口令都很長，夠復雜，結果手忙腳亂地往里面登錄，一邊看一邊敲，敲錯了還要重來，后都搞好，半個小時過去了，所以這種安全手段在證券公司沒法考慮的。
　　非核心業(yè)務的其他終端設備受系統(tǒng)升級和疏于管理等問題，普遍存在著非常多的高風險漏洞，甚至包括操作系統(tǒng)級的弱口令。不過目前對證券業(yè)來說，基本都做到了業(yè)務的主輔分離，所以威脅有，但不是很大。既便如此，非核心系統(tǒng)也應給以更多的關注�！∥濉�安全管理
　　三分技術七分管理，技術是實現(xiàn)的手段，真正要想做到安全，管理上一定要下很大的功夫。
　　5.1安全策略
　　相關的管理制度各個券商都有不少，而且也在不斷完善修訂。但從整個制度規(guī)范頒布后執(zhí)行情況來看，其效果并不是很好，主要問題表現(xiàn)在：可操作性差，甚至很多條款沒有獎懲措施，這樣可能導致員工很難理解或記住這些管理性要求，終執(zhí)行不起來；針對性差，一份安全管理制度匯編針對了全公司的信息技術人員，不能有效的區(qū)分管理角色和對象，從而終導致制度面太廣而無法實施；某些安全要求深度不夠，導致在某些方面的安全管理執(zhí)行力度不夠；由于很多安全制度并沒有被太多的人認可和執(zhí)行，因此就無法對公布的制度進行回顧審計，檢查和修改其中不合適的地方。
　　還存在著另一個普遍問題，缺乏一套高層的安全策略體系來指導安全管理，終導致安全工作難以條理化，一方面會造成部分工作的遺漏，另一方面會出現(xiàn)重疊，甚至會出現(xiàn)哪出問題哪出制度的被動局面。安全策略應該建立比較明確、全面的安全規(guī)范要求，并確定各策略的制定、維護、變更等管理方面的策略。安全管理制度是建立在公司統(tǒng)一安全策略的基礎之上，為公司推行統(tǒng)一的安全要求的一種形式。沒有安全策略指導的安全管理制度只能是片面性，可操作性差、難以推廣和執(zhí)行。
　　5.2安全組織
　　在安全組織上，各券商都比較重視，都實現(xiàn)了“統(tǒng)一領導，分布管理”的安全管理體系，建立了安全管理崗位，建立了信息技術人員的崗位職責。在這次檢查結束之后，證監(jiān)會也發(fā)布了行業(yè)的IT治理指引，明確了安全組織的要求。
　　5.3資產(chǎn)分類與控制
　　隨著業(yè)務資產(chǎn)的不斷增加，很多安全管理問題均歸到了資產(chǎn)管理問題上。但是，很多人還沒有意識到資產(chǎn)分類控制的重要性，沒有對公司內(nèi)部對公司資產(chǎn)進行整理。存在如下問題：
　　1．沒有對所有業(yè)務應用系統(tǒng)及資產(chǎn)設備進行安全屬性定義，沒有明確需要較高安全保護等級的系統(tǒng)和設備，因此很難提高管理人員的安全重視程度；
　　2．缺乏一套對資產(chǎn)管理清單的維護審計機制，沒有專人負責對新增設備、變更設備等管理信息進行及時更新，導致很多安全事件由此產(chǎn)生；
　　3．缺乏一套對資產(chǎn)變更、系統(tǒng)變更的審計機制，管理人員對較大的變更情況不做記錄，在后期可能會造成很多不必要的麻煩；
　　4．缺乏對設備的保管、使用登記和報廢方面的管理，對重要的設備只有出了事故以后才進行保養(yǎng)和維護，而且沒有建立維護記錄。
　　5．對各種技術資產(chǎn)及業(yè)務資料沒有實現(xiàn)密級管理，很多機密資料的借閱、復制、打印、銷毀等方面的管理制度很不完善，執(zhí)行更不嚴格。部分員工安全意識較差，所有的技術資料放到辦公桌上，很容易被第三方合法進入公司的人進行翻閱查看。
　　5.4人員安全
　　券商在安全崗位建設方面普遍非常重視，建立了技術崗位職責，對各技術崗位有相應的崗位說明。在系統(tǒng)管理方面根據(jù)不同的業(yè)務應用系統(tǒng)設置了不同數(shù)量的系統(tǒng)管理員，他們在保證應用系統(tǒng)的正常運行的同時，也身兼對這些主機的安全管理。由于各種安全事件發(fā)生后可能的影響面巨大，也都明確了安全事件發(fā)生后的快速報告流程。
　　盡管如此，在人員安全上，存在著較多的問題：
　　1．內(nèi)部系統(tǒng)管理崗位人員不足，很多系統(tǒng)管理員負責多個重要的應用系統(tǒng)，過多的工作量很可能造成操作失誤情況，更容易造成安全管理的疏忽；
　　2．內(nèi)部安全管理崗位人力不足，由于券商組織結構和信息網(wǎng)絡的龐大性特點，安全管理員不能全權、有效地形成對整個公司自上到下、自本部門至全公司的安全管理；
　　3．沒有將公司資產(chǎn)的安全管理責任定義到個人，特別是普通員工辦公機的安全性，很多安全事件的發(fā)生不能明確責任，入職說明崗位也沒有定義管理員的責任和義務，因此不利于促進和推動安全管理工作的執(zhí)行；
　　4．管理員崗位權職不明確，有些工作交叉的任務經(jīng)常被互相推卸，管理員的權限沒有實現(xiàn)“權限小化”原則，也沒有對這些權限較高管理員的審核，使得內(nèi)部管理員濫用授權的隱患時刻存在；、
　　5．很多員工技術能力有限，某些技術故障和安全事件的發(fā)生可能是由于操作失誤造成的，而提供對信息技術人員進行安全技術培訓的機會較少，也沒有技術或任職資格考試的督促機制，使得內(nèi)部員工安全意識較差，從而造成安全事故的可能性增大；
　　6．對信息的保密重視不足，在信息技術人員應聘進公司時簽訂的合同中沒有安全保密條款，尤其是沒有針對某些涉密較高崗位制定具體的保密協(xié)議。
　　7．在信息技術人員辦理離崗手續(xù)方面缺乏明確的制度和流程
　　8．沒有明確的安全管理員和安全審計員角色，所以對網(wǎng)絡和系統(tǒng)的管理員所設定的訪問權限及日常行為沒有進行過安全審計。
　　5.5物理環(huán)境安全
　　機房的建設都有標準化的規(guī)范，物理環(huán)境也大都符合相關安全要求，考試,大提示機房具有防火、防水、防雷等設備，并均采用雙路供電，配備了UPS電源。在非本公司員工進入機房時，要求進行出入登記記錄，操作記錄。
　　但在機房管理方面還存在以下的問題：
　　1.中心機房有電子門禁系統(tǒng)，但有時沒有做到進出時馬上關門。
　　2.機房沒有設置保安管理制度。
　　3.機房的出入管理不嚴格，沒有嚴格執(zhí)行非工作人員必須經(jīng)過安全責任人許可才可以進入機房的管理規(guī)定。
　　4.機柜和主機沒有要求在運行中上鎖，以防止外來人員誤操作，對主機沒有采取對輸入輸出設備的控制。
　　5.6通信與操作安全
　　證監(jiān)會要求關鍵業(yè)務有備份鏈路，對各種網(wǎng)絡設備的配置數(shù)據(jù)、用戶數(shù)據(jù)進行定期備份。各券商做的都很好。但在管理過程中，還存在以下的問題：
　　1.技術維護人員沒有定期對重要服務器和路由器以及防火墻等設備的安全配置、CPU、內(nèi)存占用率等進行審計和檢查
　　2.主要的網(wǎng)絡設備和主機均沒有定期維護制度
　　3.對網(wǎng)絡設備和主機的遠程管理沒有使用固定的管理終端。
　　4.目前沒有對系統(tǒng)進行定期的安全漏洞掃描工作，某些主機考慮到影響業(yè)務原因沒有定期對系統(tǒng)的補丁進行修補和加固。
　　六、總結
　　6.1安全意識
　　針對證券行業(yè)信息系統(tǒng)網(wǎng)絡現(xiàn)狀而言，由于發(fā)展較快，網(wǎng)絡規(guī)模較大，對信息系統(tǒng)安全很高，系統(tǒng)的安全狀況應成為企業(yè)網(wǎng)絡關注的重點。在把資金都投在了應用系統(tǒng)建設的同時，不能忽視了信息安全保障投資。在員工的安全意識方面，沒有建立長期、系統(tǒng)、有效的安全意識、專業(yè)素質(zhì)、安全管理、服務水平的培訓。同時，在責任劃分上不夠明確，缺乏獎懲機制。因此，提高領導、員工的安全意識是當務之急。
　　6.2整體安全方案
　　各券商在安全方面，也投入了一些設備，但總的來說，安全思路仍需拓寬�？荚�,大提示在滲透測試中普遍發(fā)現(xiàn)的問題。在防火墻的設置上，也有不足�？诹畎踩�、配置安全上的工作也不夠完善。沒有定期分析日志發(fā)現(xiàn)異常，安全制度不完善，如此等等。說到底就是缺乏一套整體安全方案，一個沒有整體安全規(guī)劃的系統(tǒng)，安全是肯定沒有保障的。
　　6.3系統(tǒng)安全
　　主要是沒有安全地安裝配置、用戶和目錄權限設置及建立適當?shù)陌踩�策略等系統(tǒng)安全處理加固。例如：沒有打安全補丁、安裝時為方便使用簡單口令、默認口令，而后來又不更改、沒有進行適當?shù)哪夸浐臀募�權限設置、沒有進行適當?shù)挠脩魴嘞拊O置、打開了過多的不必要的服務、沒有對自己的應用系統(tǒng)進行安全檢測等等。事實上系統(tǒng)和應用大多是由系統(tǒng)集成商來完成的，但系統(tǒng)集成商的做法往往是大化安裝，以方便安裝調(diào)試，把整個系統(tǒng)調(diào)通就算完成了任務，會留下很多的安全隱患；而安全卻恰恰相反，遵循小化原則，要求沒必要的東西一定不要，有必要的也要嚴加限制使用。這和系統(tǒng)集成好像構成了一個矛盾，事實上卻不是，小化原則實際上降低了系統(tǒng)負荷、提高了應用系統(tǒng)的性能，增強了安全性，而問題在于大多數(shù)集成商不具備專業(yè)安全設計和防范能力。
　　6.4安全管理機制
　　安全和管理是分不開的，即便有好的安全設備和系統(tǒng)，沒有一套好的安全管理方法并貫徹實施，值得注意的是這里強調(diào)的不僅要有安全管理方法，而且還要貫徹實施，否則安全就是空談。安全管理的目的在于兩點：一是大程度地保護網(wǎng)絡，使得其安全地運行，再就是一旦發(fā)生黑客事件后能大程度地挽回損失。所以建立定期的安全檢測、口令管理、人員管理、策略管理、備份管理、日志管理等一系列管理方法和制度，并嚴格貫徹執(zhí)行，與獎懲制度的聯(lián)動是非常必要的。
　　6.5動態(tài)安全
　　在這次安全大檢查以后，經(jīng)過專業(yè)網(wǎng)絡安全設計整改，即進行了安絡拓樸和路由、安絡系統(tǒng)設計、安全產(chǎn)品防護、安全系統(tǒng)處理和整體安全檢測等安全處理后，系統(tǒng)的安全是有保障的。但需要指出的是安全是相對的，因為隨著操作系統(tǒng)和應用系統(tǒng)漏洞的不斷發(fā)現(xiàn)以及口令很久沒有更改等情況的發(fā)生，整個系統(tǒng)的安全性就受到了威脅，這時候若不及時進行打安全補丁或更換口令就很可能被一直在企圖入侵卻未能成功的黑客輕易攻破。所以，安全是相對的，是動態(tài)的，只有及時對系統(tǒng)安全問題進行跟蹤解決，定期整體安全評估，及時發(fā)現(xiàn)問題并解決，才能確保系統(tǒng)具有良好的安全性。
　　6.6人才培養(yǎng)
　　在這次檢查中，我們也注意到，絕大部分的主機、網(wǎng)絡情況都只有個別人了解。這與證券業(yè)迅猛發(fā)展的信息技術規(guī)模是不相適應的。券商也應在下一步的工作中，積極發(fā)掘、培養(yǎng)安全方向上的專業(yè)人才，注重培訓和鍛煉，同時也應盡力保證人才的穩(wěn)定性。