四、系统安全

　　券商核心业务系统多是LINUX、HP-UX等，这些系统流行面较窄，精通该类系统的人不多，且由于系统的不兼容性使得受攻击的可能性大大降低。但同时，也由于大家都不精通，系统上发现的一些已知的安全补丁都没打，不是不知道安全漏洞，而是因为不敢做，做了以后会对应用产生什么样的影响大家都不知道。这种情况在很多行业都存在，比如近期我接触过的一个煤矿有个瓦斯监控系统，1分钟都不能停。这种形势下，就要求对核心生产设备做足够的外围安全防护。

　　还有一个老生常谈的话题就是口令安全，网络设备口令、操作系统口令、应用系统口令、数据库口令等等，实际对口令的管理和要求始终会有差别。在调研中，我们也和老总们谈过，大家都说：我们都知道口令的管理，也知道怎么加强，但在实际中要考虑证券公司的特殊性，例如报盘系统登陆易所，20多个席位要登录，有一次系统意外重启，我们每个席位口令都很长，够复杂，结果手忙脚乱地往里面登录，一边看一边敲，敲错了还要重来，最后都搞好，半个小时过去了，所以这种安全手段在证券公司没法考虑的。

　　非核心业务的其他终端设备受系统升级和疏于管理等问题，普遍存在着非常多的高风险漏洞，甚至包括操作系统级的弱口令。不过目前对证券业来说，基本都做到了业务的主辅分离，所以威胁有，但不是很大。既便如此，非核心系统也应给以更多的关注。

　　五、安全管理

　　三分技术七分管理，技术是实现的手段，真正要想做到安全，管理上一定要下很大的功夫。

　　5.1安全策略

　　相关的管理制度各个券商都有不少，而且也在不断完善修订。但从整个制度规范颁布后执行情况来看，其效果并不是很好，主要问题表现在：可操作性差，甚至很多条款没有奖惩措施，这样可能导致员工很难理解或记住这些管理性要求，最终执行不起来;针对性差，一份安全管理制度汇编针对了全公司的信息技术人员，不能有效的区分管理角色和对象，从而最终导致制度面太广而无法实施;某些安全要求深度不够，导致在某些方面的安全管理执行力度不够;由于很多安全制度并没有被太多的人认可和执行，因此就无法对公布的制度进行回顾审计，检查和修改其中不合适的地方。

　　还存在着另一个普遍问题，缺乏一套高层的安全策略体系来指导安全管理，最终导致安全工作难以条理化，一方面会造成部分工作的遗漏，另一方面会出现重叠，甚至会出现哪出问题哪出制度的被动局面。安全策略应该建立比较明确、全面的安全规范要求，并确定各策略的制定、维护、变更等管理方面的策略。安全管理制度是建立在公司统一安全策略的基础之上，为公司推行统一的安全要求的一种形式。没有安全策略指导的安全管理制度只能是片面性，可操作性差、难以推广和执行。

　　5.2安全组织

　　在安全组织上，各券商都比较重视，都实现了“统一领导，分布管理”的安全管理体系，建立了安全管理岗位，建立了信息技术人员的岗位职责。在这次检查结束之后，证监会也发布了行业的IT治理指引，明确了安全组织的要求。

　　5.3资产分类与控制

　　随着业务资产的不断增加，很多安全管理问题均归到了资产管理问题上。但是，很多人还没有意识到资产分类控制的重要性，没有对公司内部对公司资产进行整理。存在如下问题：

　　1.没有对所有业务应用系统及资产设备进行安全属性定义，没有明确需要较高安全保护等级的系统和设备，因此很难提高管理人员的安全重视程度;

　　2.缺乏一套对资产管理清单的维护审计机制，没有专人负责对新增设备、变更设备等管理信息进行及时更新，导致很多安全事件由此产生;

　　3.缺乏一套对资产变更、系统变更的审计机制，管理人员对较大的变更情况不做记录，在后期可能会造成很多不必要的麻烦;

　　4.缺乏对设备的保管、使用登记和报废方面的管理，对重要的设备只有出了事故以后才进行保养和维护，而且没有建立维护记录。

　　5.对各种技术资产及业务资料没有实现密级管理，很多机密资料的借阅、复制、打印、销毁等方面的管理制度很不完善，执行更不严格。部分员工安全意识较差，所有的技术资料放到办公桌上，很容易被第三方合法进入公司的人进行翻阅查看。

　　5.4人员安全

　　券商在安全岗位建设方面普遍非常重视，建立了技术岗位职责，对各技术岗位有相应的岗位说明。在系统管理方面根据不同的业务应用系统设置了不同数量的系统管理员，他们在保证应用系统的正常运行的同时，也身兼对这些主机的安全管理。由于各种安全事件发生后可能的影响面巨大，也都明确了安全事件发生后的快速报告流程。

　　尽管如此，在人员安全上，存在着较多的问题：

　　1.内部系统管理岗位人员不足，很多系统管理员负责多个重要的应用系统，过多的工作量很可能造成操作失误情况，更容易造成安全管理的疏忽;

　　2.内部安全管理岗位人力不足，由于券商组织结构和信息网络的庞大性特点，安全管理员不能全权、有效地形成对整个公司自上到下、自本部门至全公司的安全管理;

　　3.没有将公司资产的安全管理责任定义到个人，特别是普通员工办公机的安全性，很多安全事件的发生不能明确责任，入职说明岗位也没有定义管理员的责任和义务，因此不利于促进和推动安全管理工作的执行;

　　4.管理员岗位权职不明确，有些工作交叉的任务经常被互相推卸，管理员的权限没有实现“权限最小化”原则，也没有对这些权限较高管理员的审核，使得内部管理员滥用授权的隐患时刻存在;

　　5.很多员工技术能力有限，某些技术故障和安全事件的发生可能是由于操作失误造成的，而提供对信息技术人员进行安全技术培训的机会较少，也没有技术或任职资格考试的督促机制，使得内部员工安全意识较差，从而造成安全事故的可能性增大;

　　6.对信息的保密重视不足，在信息技术人员应聘进公司时签订的合同中没有安全保密条款，尤其是没有针对某些涉密较高岗位制定具体的保密协议。

　　7.在信息技术人员办理离岗手续方面缺乏明确的制度和流程

　　8.没有明确的安全管理员和安全审计员角色，所以对网络和系统的管理员所设定的访问权限及日常行为没有进行过安全审计。

　　5.5物理环境安全

　　机房的建设都有标准化的规范，物理环境也大都符合相关安全要求，机房具有防火、防水、防雷等设备，并均采用双路供电，配备了UPS电源。在非本公司员工进入机房时，要求进行出入登记记录，操作记录。

　　但在机房管理方面还存在以下的问题：

　　1.中心机房有电子门禁系统，但有时没有做到进出时马上关门。

　　2.机房没有设置保安管理制度。

　　3.机房的出入管理不严格，没有严格执行非工作人员必须经过安全责任人许可才可以进入机房的管理规定。

　　4.机柜和主机没有要求在运行中上锁，以防止外来人员误操作，对主机没有采取对输入输出设备的控制。

　　5.6通信与操作安全

　　证监会要求关键业务有备份链路，对各种网络设备的配置数据、用户数据进行定期备份。各券商做的都很好。但在管理过程中，还存在以下的问题：

　　1.技术维护人员没有定期对重要服务器和路由器以及防火墙等设备的安全配置、CPU、内存占用率等进行审计和检查

　　2.主要的网络设备和主机均没有定期维护制度

　　3.对网络设备和主机的远程管理没有使用固定的管理终端。

　　4.目前没有对系统进行定期的安全漏洞扫描工作，某些主机考虑到影响业务原因没有定期对系统的补丁进行修补和加固。

　　六、总结

　　6.1安全意识

　　针对证券行业信息系统网络现状而言，由于发展较快，网络规模较大，对信息系统安全很高，系统的安全状况应成为企业网络关注的重点。在把资金都投在了应用系统建设的同时，不能忽视了信息安全保障投资。在员工的安全意识方面，没有建立长期、系统、有效的安全意识、专业素质、安全管理、服务水平的培训。同时，在责任划分上不够明确，缺乏奖惩机制。因此，提高领导、员工的安全意识是当务之急。

　　6.2整体安全方案

　　各券商在安全方面，也投入了一些设备，但总的来说，安全思路仍需拓宽。比如在渗透测试中普遍发现的问题。在防火墙的设置上，也有不足。口令安全、配置安全上的工作也不够完善。没有定期分析日志发现异常，安全制度不完善，如此等等。说到底就是缺乏一套整体安全方案，一个没有整体安全规划的系统，安全是肯定没有保障的。

　　6.3系统安全

　　主要是没有安全地安装配置、用户和目录权限设置及建立适当的安全策略等系统安全处理加固。例如：没有打安全补丁、安装时为方便使用简单口令、默认口令，而后来又不更改、没有进行适当的目录和文件权限设置、没有进行适当的用户权限设置、打开了过多的不必要的服务、没有对自己的应用系统进行安全检测等等。事实上系统和应用大多是由系统集成商来完成的，但系统集成商的做法往往是最大化安装，以方便安装调试，把整个系统调通就算完成了任务，会留下很多的安全隐患;而安全却恰恰相反，遵循最小化原则，要求没必要的东西一定不要，有必要的也要严加限制使用。这和系统集成好像构成了一个矛盾，事实上却不是，最小化原则实际上降低了系统负荷、提高了应用系统的性能，增强了安全性，而问题在于大多数集成商不具备专业安全设计和防范能力。

　　6.4安全管理机制

　　安全和管理是分不开的，即便有好的安全设备和系统，没有一套好的安全管理方法并贯彻实施，值得注意的是这里强调的不仅要有安全管理方法，而且还要贯彻实施，否则安全就是空谈。安全管理的目的在于两点：一是最大程度地保护网络，使得其安全地运行，再就是一旦发生黑客事件后能最大程度地挽回损失。所以建立定期的安全检测、口令管理、人员管理、策略管理、备份管理、日志管理等一系列管理方法和制度，并严格贯彻执行，与奖惩制度的联动是非常必要的。

　　6.5动态安全

　　在这次安全大检查以后，经过专业网络安全设计整改，即进行了安全网络拓朴和路由、安全网络系统设计、安全产品防护、安全系统处理和整体安全检测等安全处理后，系统的安全是有保障的。但需要指出的是安全是相对的，因为随着操作系统和应用系统漏洞的不断发现以及口令很久没有更改等情况的发生，整个系统的安全性就受到了威胁，这时候若不及时进行打安全补丁或更换口令就很可能被一直在企图入侵却未能成功的黑客轻易攻破。所以，安全是相对的，是动态的，只有及时对系统安全问题进行跟踪解决，定期整体安全评估，及时发现问题并解决，才能确保系统具有良好的安全性。

　　6.6人才培养

　　在这次检查中，我们也注意到，绝大部分的主机、网络情况都只有个别人了解。这与证券业迅猛发展的信息技术规模是不相适应的。券商也应在下一步的工作中，积极发掘、培养安全方向上的专业人才，注重培训和锻炼，同时也应尽力保证人才的稳定性。