IT貓撲網(wǎng):您身邊最放心的安全下載站! 最新更新|軟件分類|軟件專題|手機(jī)版|論壇轉(zhuǎn)貼|軟件發(fā)布

您當(dāng)前所在位置: 首頁(yè)系統(tǒng)集成網(wǎng)絡(luò)管理 → 從證券業(yè)安全大檢查的一點(diǎn)經(jīng)驗(yàn)談起

從證券業(yè)安全大檢查的一點(diǎn)經(jīng)驗(yàn)談起

時(shí)間:2015-06-28 00:00:00 來源:IT貓撲網(wǎng) 作者:網(wǎng)管聯(lián)盟 我要評(píng)論(0)

今年以來,我國(guó)股市接連受到重挫,造成了部分股民的不滿,同時(shí)也出現(xiàn)了針對(duì)證券公司進(jìn)行網(wǎng)絡(luò)攻擊的惡性事件。因此,證監(jiān)會(huì)組織了對(duì)全國(guó)證券業(yè)的安全大檢查。筆者因?yàn)楣ぷ髟?,參與并負(fù)責(zé)了幾個(gè)大型證券公司的安全檢查。檢查的從體情況來看,有喜有憂。喜的是證券業(yè)前幾年行情不好,一直沒有資金進(jìn)行充分的IT基礎(chǔ)建設(shè),造成IT建設(shè)欠債太多,但最近兩年已經(jīng)迎頭趕上,并且證券業(yè)創(chuàng)新產(chǎn)品層出不窮。憂的是這兩年券商的IT部門一直被趕著做事情,又造成對(duì)信息安全問題重視不夠,出現(xiàn)了很多新的風(fēng)險(xiǎn),尤其在當(dāng)前股市震蕩的情況下,威脅越來越大。它山之石可以攻玉,對(duì)于各個(gè)行業(yè)的安全管理員來說,保障信息安全是一個(gè)任重而道遠(yuǎn)的工作。本文基于在證券業(yè)安全問題上的一些經(jīng)驗(yàn)和思考,希望也能夠給其他行業(yè)的安全管理員提供幫助。

整個(gè)安全大檢查從幾個(gè)方面進(jìn)行了審查,包括網(wǎng)站安全、物理安全、網(wǎng)絡(luò)安全、系統(tǒng)安全和管理安全。

一、網(wǎng)站安全

證監(jiān)會(huì)組織了人手對(duì)所有券商的網(wǎng)站進(jìn)行了滲透測(cè)試(模擬黑客攻擊的方法對(duì)網(wǎng)站攻擊,但不做破壞性舉動(dòng)),雖然最后證監(jiān)會(huì)沒有公布網(wǎng)站滲透測(cè)試的結(jié)果,但就筆者負(fù)責(zé)的4個(gè)券商安全檢查來看,全部都被攻陷,被攻陷的方法全都是sql注入,并且還發(fā)現(xiàn)了源代碼泄露、跨站漏洞等問題。所幸的是,經(jīng)過檢查,沒有發(fā)現(xiàn)這幾個(gè)網(wǎng)站被人入侵過或者有什么遠(yuǎn)程后門??偟膩砜?,大家對(duì)安全補(bǔ)丁、系統(tǒng)自身的加固都很重視,沒發(fā)現(xiàn)什么明顯疏忽,但是在WEB的安全編程上還做得遠(yuǎn)遠(yuǎn)不夠。究其原因,由于券商自身不具備網(wǎng)站開發(fā)能力,網(wǎng)站開發(fā)都是外包來做,而外包公司在程序的代碼審核上做的遠(yuǎn)遠(yuǎn)不夠,代碼中可能的漏洞有溢出漏洞、跨站腳本漏洞、SQL注入漏洞等,還有一些因?yàn)槌绦蛟O(shè)計(jì)不周到而導(dǎo)致的信息泄露問題也應(yīng)該得到重視,這些漏洞本身可能沒什么大的威脅,但非常有助于攻擊者利用其他漏洞進(jìn)行攻擊。當(dāng)前總體的網(wǎng)絡(luò)安全狀態(tài)是基于操作系統(tǒng)本身漏洞的入侵已經(jīng)沒有大的增加,而由于應(yīng)用系統(tǒng)的復(fù)雜性和特異性,基于應(yīng)用的入侵已大幅度增加,所以在這方面還有許多需要加強(qiáng)的工作。
從證券業(yè)的網(wǎng)站安全來看,入侵甚至在C盤根目錄上寫入文件,都不是什么難事。筆者在其他一些行業(yè)的評(píng)估中,也發(fā)現(xiàn)同樣問題的存在,并且今年的安全形勢(shì)報(bào)告中也提到,僅在5月份,全國(guó)就有12萬(wàn)網(wǎng)站受到sql注入式的攻擊。因此可見,面對(duì)新型的攻擊手段,安全部門響應(yīng)速度遲緩。網(wǎng)站是一個(gè)企業(yè)的門面,如果網(wǎng)站被篡改,帶來的負(fù)面影響會(huì)很大,加強(qiáng)網(wǎng)站的安全防護(hù),應(yīng)是當(dāng)務(wù)之急。

二、物理安全

物理安全作為信息安全的基礎(chǔ),在整個(gè)信息安全體系建設(shè)中扮演著非常重要的作用,而物理安全的好壞直接影響到網(wǎng)絡(luò)安全、系統(tǒng)安全和安全管理等等層面。對(duì)于券商來說,機(jī)房是生產(chǎn)的核心工具,這幾年來,管理層對(duì)此也不斷提出要求,目前看來,硬件環(huán)境已經(jīng)比較可靠,空調(diào)、濕度控制、防火、區(qū)域標(biāo)識(shí)等相對(duì)完善,但與之相對(duì)應(yīng)的軟件環(huán)境卻不甚樂觀。比如普遍存在的:

2.1 環(huán)境

機(jī)房進(jìn)出控制等級(jí)沒有嚴(yán)格執(zhí)行,流于形式;

門禁系統(tǒng)雖有,但時(shí)常進(jìn)出沒有隨手關(guān)門;

進(jìn)出人員所做重大操作沒有記錄;

第三方人員進(jìn)入機(jī)房沒有明顯的可視標(biāo)識(shí),不能立即識(shí)別出無人護(hù)送的訪問者和未佩戴可視標(biāo)識(shí)的人。

2.2 設(shè)備

網(wǎng)絡(luò)設(shè)備、主機(jī)設(shè)備沒有有效的標(biāo)記措施,對(duì)資產(chǎn)的界定不清晰;

重要的主機(jī)設(shè)備沒有防盜報(bào)警措施;

由于券商在不斷地上新項(xiàng)目,經(jīng)常需要調(diào)整網(wǎng)絡(luò),網(wǎng)線和電纜的普遍走線比較亂,很多網(wǎng)線、電纜都沒有可識(shí)別的記號(hào)。

2.3 介質(zhì)

對(duì)移動(dòng)存儲(chǔ)設(shè)備沒有實(shí)行有效管理,各服務(wù)器的USB口都是開放狀態(tài)。

沒有對(duì)移動(dòng)存儲(chǔ)設(shè)備上的敏感數(shù)據(jù)徹底刪除或安全重寫。

這些問題在很多公司機(jī)房都普遍存在,甚至比證券業(yè)要差很多。安全不僅僅是網(wǎng)絡(luò)安全,更是一個(gè)整體的木桶,任何的短板都會(huì)導(dǎo)致前功盡棄,加強(qiáng)對(duì)物理環(huán)境的管控應(yīng)是踏踏實(shí)實(shí)要做好的事情,這種管控也不僅僅是在硬環(huán)境上,更重要的還在軟環(huán)境上。

三、網(wǎng)絡(luò)安全???

近年來證券整體行業(yè)效益不錯(cuò),因此在網(wǎng)絡(luò)上投入很大,起點(diǎn)較高,并且由于券商大多數(shù)都是跨地域的,整個(gè)IP地址的規(guī)劃也都比較合理,具有連續(xù)性,能夠與網(wǎng)絡(luò)拓?fù)鋵哟谓Y(jié)構(gòu)相適應(yīng),便于進(jìn)行管理。作為網(wǎng)絡(luò)建設(shè)重要規(guī)范性之一的可靠性建設(shè)也受到很大重視,針對(duì)故障恢復(fù)、承載能力以及安全配置均充分考慮了關(guān)鍵網(wǎng)絡(luò)設(shè)備和重要鏈路的可靠性建設(shè):通過交換機(jī)之間Trunk互聯(lián)和專用負(fù)載均衡設(shè)備,實(shí)現(xiàn)動(dòng)態(tài)的冗余熱備和流量分擔(dān),有效提高了網(wǎng)絡(luò)的可靠性和可用性。對(duì)于重要的主機(jī)設(shè)備同樣部署了完善的鏈路和設(shè)備雙備份,通過雙歸屬方式的互聯(lián)和采用主備設(shè)備的方式,可確保一旦出現(xiàn)問題可以實(shí)現(xiàn)快速的切換,把對(duì)業(yè)務(wù)的不利影響降低。同時(shí)在交換機(jī)上根據(jù)業(yè)務(wù)的需要?jiǎng)澐至讼鄳?yīng)的VLAN,通過二層隔離有效杜絕了蠕蟲病毒的擴(kuò)散和廣播、組播數(shù)據(jù)流的防洪,提高了網(wǎng)絡(luò)的安全和承載效率,確保網(wǎng)絡(luò)系統(tǒng)具有了良好的擴(kuò)展性和健壯性。

但是安全問題也總是伴隨著網(wǎng)絡(luò)建設(shè)而來,創(chuàng)新業(yè)務(wù)不斷出現(xiàn)也要求對(duì)外的接口越來越多,例如對(duì)各個(gè)銀行、上交所、深交所的接口。在出口很多的問題下需要認(rèn)真對(duì)待各出口的分界線控制,這方面,已經(jīng)有很多機(jī)構(gòu)提出了安全域架構(gòu)的方法,在實(shí)踐中也取得了認(rèn)可。

再有就是對(duì)網(wǎng)絡(luò)保密的情況考慮不足,在這方面銀行走在了前面,對(duì)鏈路都是由加密機(jī)來加密。券商對(duì)此尚沒有顧及,關(guān)鍵的業(yè)務(wù)數(shù)據(jù)在傳輸時(shí)zheng沒有加密手段,可能被監(jiān)聽泄露。據(jù)筆者和各信息部門老總交流的情況看,也并不是沒有考慮,他們擔(dān)心加密以后對(duì)網(wǎng)絡(luò)的實(shí)時(shí)性造成影響,而且券商內(nèi)跑的應(yīng)用很多,業(yè)務(wù)系統(tǒng)與加密機(jī)的配合會(huì)不會(huì)出問題,再者,券商的網(wǎng)絡(luò)多是專線連接,被竊聽的可能并不很大。我承認(rèn),老總們的擔(dān)憂很有道理,在現(xiàn)有技術(shù)情況下,如何進(jìn)行無障礙的鏈路加密?這也是咱們國(guó)內(nèi)的安全廠家應(yīng)該去深入研究的課題。

還有一方面就是對(duì)網(wǎng)絡(luò)的管理:目前的網(wǎng)絡(luò)設(shè)備基本都具備日志功能,但是由于人手不足,業(yè)務(wù)繁忙,管理粗放都很多原因,并沒有人去定期核查這些日志信息,也沒有專用終端記錄處理日志,這會(huì)造成即使已經(jīng)被攻擊了,管理人員仍然不知道。并且在網(wǎng)絡(luò)管理上沒有指定專用終端操作,為了方便很多機(jī)器都可以連上去更改配置。

四、系統(tǒng)安全

券商核心業(yè)務(wù)系統(tǒng)多是LINUX、HP-UX等,這些系統(tǒng)流行面較窄,精通該類系統(tǒng)的人不多,且由于系統(tǒng)的不兼容性使得受攻擊的可能性大大降低。但同時(shí),也由于大家都不精通,系統(tǒng)上發(fā)現(xiàn)的一些已知的安全補(bǔ)丁都沒打,不是不知道安全漏洞,而是因?yàn)椴桓易?,做了以后?huì)對(duì)應(yīng)用產(chǎn)生什么樣的影響大家都不知道。這種情況在很多行業(yè)都存在,比如近期我接觸過的一個(gè)煤礦有個(gè)瓦斯監(jiān)控系統(tǒng),1分鐘都不能停。這種形勢(shì)下,就要求對(duì)核心生產(chǎn)設(shè)備做足夠的外圍安全防護(hù)。

還有一個(gè)老生常談的話題就是口令安全,網(wǎng)絡(luò)設(shè)備口令、操作系統(tǒng)口令、應(yīng)用系統(tǒng)口令、數(shù)據(jù)庫(kù)口令等等,實(shí)際對(duì)口令的管理和要求始終會(huì)有差別。在調(diào)研中,我們也和老總們談過,大家都說:我們都知道口令的管理,也知道怎么加強(qiáng),但在實(shí)際中要考慮證券公司的特殊性,例如報(bào)盤系統(tǒng)登陸易所,20多個(gè)席位要登錄,有一次系統(tǒng)意外重啟,我們每個(gè)席位口令都很長(zhǎng),夠復(fù)雜,結(jié)果手忙腳亂地往里面登錄,一邊看一邊敲,敲錯(cuò)了還要重來,最后都搞好,半個(gè)小時(shí)過去了,所以這種安全手段在證券公司沒法考慮的。

非核心業(yè)務(wù)的其他終端設(shè)備受系統(tǒng)升級(jí)和疏于管理等問題,普遍存在著非常多的高風(fēng)險(xiǎn)漏洞,甚至包括操作系統(tǒng)級(jí)的弱口令。不過目前對(duì)證券業(yè)來說,基本都做到了業(yè)務(wù)的主輔分離,所以威脅有,但不是很大。既便如此,非核心系統(tǒng)也應(yīng)給以更多的關(guān)注。

五、安全管理

三分技術(shù)七分管理,技術(shù)是實(shí)現(xiàn)的手段,真正要想做到安全,管理上一定要下很大的功夫。

5.1安全策略

相關(guān)的管理制度各個(gè)券商都有不少,而且也在不斷完善修訂。但從整個(gè)制度規(guī)范頒布后執(zhí)行情況來看,其效果并不是很好,主要問題表現(xiàn)在:可操作性差,甚至很多條款沒有獎(jiǎng)懲措施,這樣可能導(dǎo)致員工很難理解或記住這些管理性要求,最終執(zhí)行不起來;針對(duì)性差,一份安全管理制度匯編針對(duì)了全公司的信息技術(shù)人員,不能有效的區(qū)分管理角色和對(duì)象,從而最終導(dǎo)致制度面太廣而無法實(shí)施;某些安全要求深度不夠,導(dǎo)致在某些方面的安全管理執(zhí)行力度不夠;由于很多安全制度并沒有被太多的人認(rèn)可和執(zhí)行,因此就無法對(duì)公布的制度進(jìn)行回顧審計(jì),檢查和修改其中不合適的地方。

還存在著另一個(gè)普遍問題,缺乏一套高層的安全策略體系來指導(dǎo)安全管理,最終導(dǎo)致安全工作難以條理化,一方面會(huì)造成部分工作的遺漏,另一方面會(huì)出現(xiàn)重疊,甚至?xí)霈F(xiàn)哪出問題哪出制度的被動(dòng)局面。安全策略應(yīng)該建立比較明確、全面的安全規(guī)范要求,并確定各策略的制定、維護(hù)、變更等管理方面的策略。安全管理制度是建立在公司統(tǒng)一安全策略的基礎(chǔ)之上,為公司推行統(tǒng)一的安全要求的一種形式。沒有安全策略指導(dǎo)的安全管理制度只能是片面性,可操作性差、難以推廣和執(zhí)行。

5.2安全組織

在安全組織上,各券商都比較重視,都實(shí)現(xiàn)了"統(tǒng)一領(lǐng)導(dǎo),分布管理"的安全管理體系,建立了安全管理崗位,建立了信息技術(shù)人員的崗位職責(zé)。在這次檢查結(jié)束之后,證監(jiān)會(huì)也發(fā)布了行業(yè)的IT治理指引,明確了安全組織的要求。

5.3資產(chǎn)分類與控制

隨著業(yè)務(wù)資產(chǎn)的不斷增加,很多安全管理問題均歸到了資產(chǎn)管理問題上。但是,很多人還沒有意識(shí)到資產(chǎn)分類控制的重要性,沒有對(duì)公司內(nèi)部對(duì)公司資產(chǎn)進(jìn)行整理。存在如下問題:

1.沒有對(duì)所有業(yè)務(wù)應(yīng)用系統(tǒng)及資產(chǎn)設(shè)備進(jìn)行安全屬性定義,沒有明確需

關(guān)鍵詞標(biāo)簽:證券安全

相關(guān)閱讀

文章評(píng)論
發(fā)表評(píng)論

熱門文章 路由器地址大全-各品牌路由設(shè)置地址 路由器地址大全-各品牌路由設(shè)置地址 各品牌的ADSL與路由器出廠默認(rèn)IP、帳號(hào)、密碼 各品牌的ADSL與路由器出廠默認(rèn)IP、帳號(hào)、密碼 Nslookup命令詳解-域名DNS診斷 Nslookup命令詳解-域名DNS診斷 站長(zhǎng)裝備:十大網(wǎng)站管理員服務(wù)器工具軟件 站長(zhǎng)裝備:十大網(wǎng)站管理員服務(wù)器工具軟件

相關(guān)下載

    人氣排行 各品牌的ADSL與路由器出廠默認(rèn)IP、帳號(hào)、密碼 路由器地址大全-各品牌路由設(shè)置地址 騰達(dá)路由器怎么設(shè)置?騰達(dá)路由器設(shè)置教程 ADSL雙線負(fù)載均衡設(shè)置詳細(xì)圖文教程 路由表說明(詳解route print) Nslookup命令詳解-域名DNS診斷 網(wǎng)管員實(shí)際工作的一天 網(wǎng)管必會(huì)!了解交換機(jī)控制端口流量