证券行业信息系统安全检查经验谈VIP

1、证券行业信息系统安全检查经验谈今年以來，我国股市接连受到重挫，造成了部分股民的不满，同时也出现了针对证券公司进行网络攻击的 恶性事件。因此，证监会纽.织了对全国证券业的安全人检查。笔者因为工作原因，参与并负责了儿个人型 证券公司的安全检查。检查的从体情况來看，有喜有忧。喜的是证券业前儿年行悄不好，一直没有资金进 行充分的it基础建设，造成it建设欠债太多，但最近两年已经迎头赶上，并h证券业创新产品层出不穷。 忧的是这两年券商的it部门一直被赶着做事悄，又造成对信息安全问题重视不够，出现了很多新的风险， 尤其在当前股市震荡的借况下，威胁越來越大。它山z石可以攻玉，对于各个行业的安全管理员來说，保

2、 障信息安全是一个任重而道远的工作。本文基于在证券业安全问题上的一些经验和思、考，希望也能够给其 他行业的安全管理员提供帮助。整个安全大检查从儿个方面进行了审查，包押i网站安全、物理安全、网络安全、系统安全和管理安全。、网站安全证监会组织了人手对所冇券商的网站进行了渗透测试（模拟黑客攻击的方法对网站攻击，但不做破坏性 举动），虽然授后证监会没有公布网站渗透测试的结果，们就笔者负责的4个券商安全检查來看，全部都被 攻陷，被攻陷的方法全都是sql注入，并且还发现了源代码泄露、跨站漏洞等问题。所幸的是，经过检查, 没有发现这儿个网站被人入侵过或者有什么远程后门。总的来看，大家对安全补丁、系统口身的加

3、固都很 重视，没发现什么明显疏忽，但是在web的安全编程上还做得远远不够。究其原因，山于券商自身不具 备网站开发能力，网站开发都是外包來做，而外包公司在程序的代码审核上做的远远不够，代码中可能的 漏洞有溢岀漏洞、跨站脚木漏洞、sql注入漏洞等，还有一些因为程序设计不周到而导致的佶息泄霜问题 也应该得到巫视，这些漏洞本身可能没什么人的威胁，但非常有助于攻击者利用其他漏洞进行攻击。当前 总体的网络安全状态是基于操作系统木身漏洞的入侵已经没有大的增加，而由于应用系统的-复杂性和特异 性，基于应用的入侵已大幅度增加，所以在这方面还有许多需要加强的工作。从证券业的网站安全來看，入侵英至在c盘根目录上写入

4、文件，都不是什么难事。笔者在其他一些行 业的评估中，也发现同样问题的存在，并且今年的安全形势报告中也提到，仅在5月份，全国就有12力 网站受到sql注入式的攻击。因此可见，面对新型的攻击手段，安全部门响应速度迟缓。网站是一个企业 的门面，如果网站被篡改，带来的负面影响会很大，加强网站的安全防护，应是当务之急。二、物理安金物理安全作为信息安全的基础，在整个信息安全体系建设屮扮演着非常重要的作用，而物理安全的好 坏直接影响到网络安全、系统安全和安全管理等等层而。对于券商來说，机房是生产的核心工具，这儿年 來，管理层对此也不断提出要求，ii前看來，硬件环境已经比较可靠，空调、湿度控制、防火、区域标识

5、 等相对完善，但与之相对应的软件环境却不甚乐观。比如普遍存在的：2.1环境机房进出控制等级没冇严格执行，流于形式；门禁系统虽有，但时常进出没有随手关门；进出人员所做重大操作没有记录；第三方人员进入机房没有明显的可视标识，不能立即识别出无人护送的访问者和未佩戴可视标识的人。2.2设备网络设备、主机设备没冇冇效的标记措施，对资产的界定不清晰；重要的主机设备没有防盗报警措丿施；由丁券商在不断地上新项忖，经常需要调整网络，网线和电缆的普遍泄线比较乱，很多网线、电缆都 没有可识别的记号。2.3介质对移动存储设备没冇实行冇效管理，各服务器的usb 口都是开放状态。没冇对移动存储设备上的敏感数据彻底删除或安

6、全重丐。这些问题在很多公司机房都普遍存在，共至比证券业要差很多。安全不仅仅是网络安全，更是一个整 体的木桶，任何的短板都会导致前功尽弃，加强对物理环境的管控应是踏踏实实要做好的事情，这种管控 也不仅仅是在硕环境上，更重要的还在软环境上。三、网络安全近年來证券整体行业效益不错，因此在网络上投入很大，起点较髙，并且由丁券商人多数都是跨地域 的，整个ip地址的规划也都比较合理，具有连续性，能够与网络拓扑层次结构相适应，便于进行管理。作 为网络建设雨要规范性之一的可靠性建设也受到很大雨视，针对故障恢复、承载能力以及安全配置均充分 考虑了关键网络设备和重要链路的可靠性建设：通过交换机z间trunk互联和

7、专用负载均衡设备，实现动 态的兀余热备和流量分担，冇效提高了网络的可靠性和可用性。对于重要的主机设备同样部署了完善的链 路和设备双备份，通过双归屈方式的互联和采用主备设备的方式，可确保一旦出现问题可以实现快速的切 换，把对业务的不利影响降低。同时在交换机上根据业务的需要划分了相应的vlan,通过二层隔离有效 杜绝了蠕虫病毒的扩散和广播、组播数据流的防洪，提高了网络的安全和承载效率，确保网络系统具冇了 良好的扩展性和健壮性。但是安全问题也总是伴随着网络建设而來，创新业务不断出现也要求对外的接口越來越多，例如对各 个银行、上交所、深交所的接口。在出口很多的问题下需要认真对待各出口的分界线控制，这方

8、面，已经 有很多机构提出了安全域架构的方法，在实践中也取得了认可。再冇就是对网络保密的借况考虑不足，在这方面银行走在了前面，对链路都是山加密机來加密。券商 对此尚没冇顾及，关键的业务数据在传输时zheng没冇加密手段，可能被监听泄露。据笔者和各信息部门 老总交流的情况看，也并不是没冇考虑，他们担心加密以后对网络的实时性造成影响，而且券商内跑的应 用很多，业务系统与加密机的配合会不会出问题，再者，券商的网络多是专线连接，被窃听的可能并不很 大。我承认，老总们的担忧很有道理，在现有技术借况下，如何进行无障碍的链路加密?这也是咱们国内的 安全厂家应该去深入研究的课题。还冇一方面就是对网络的管理：目前

9、的网络设备基木都具备日志功能，但是山于人手不足，业务繁忙, 管理粗放都很多原因，并没冇人去定期核查这些口志信息，也没冇专用终端记录处理口志，这会造成叩使 已经被攻击了，管理人员仍然不知道。并且在网络管理上没有指定专用终端操作，为了方便很多机器都可 以连上去更改配置。四、系统安金券商核心业务系统多是linux、hp-ux等，这些系统流行而较窄，精通该类系统的人不多，且由于 系统的不兼容性使得受攻击的可能性人人降低。但同时，也由于大家都不精通，系统上发现的一些已知的 安全补丁都没打，不是不知道安全漏洞，而是因为不敢做，做了以后会对应用产生什么样的影响大家都不 知道。这种悄况在很多行业都存在，比如近

10、期我接触过的一个煤矿冇个瓦斯监控系统，1分钟都不能停。 这种形势下，就要求对核心生产设备做足够的外围安全防护。还冇一个老生常谈的话题就是口令安全，网络设备口令、操作系统口令、应用系统口令、数据库口令 等等，实际对口令的管理和要求始终会冇差別。在调研中,我们也和老总们谈过，人家都说：我们都知道 口令的管理，也知道怎么加强，但在实际中要考虑证券公司的特殊性，例如报盘系统資陆易所，20多个席 位耍登录，有-次系统懣外重启，我们毎个席位口令都很长，够复杂，结果手忙脚乱地往里面登录，一边 看一边敲，敲错了还要重來，最后都搞好，半个小时过去了，所以这种安全手段在证券公司没法考虑的。非核心业务的英他终端设备

11、受系统升级和疏于管理等问题，普遍存在着非常多的离风险漏洞，茯至包 括操作系统级的弱口令。不过目前对证券业來说，基本都做到了业务的主辅分离，所以威胁冇，但不是很 大。既便如此，非核心系统也应给以更多的关注。五、安全管理三分技术七分管理，技术是实现的手段，真正要想做到安全，管理上一定要下很大的功夫。5.1安全策略相关的管理制度各个券商都冇不少，而且也在不断完善修订。但从整个制度规范颁布后执行悄况來看, 其效果并不是很好，主要问题表现在：可操作性差，其至很多条款没冇奖惩描施，这样可能导致员工很难 理解或记住这些管理性要求，最终执行不起來;针对性差，i份安全管理制度汇编针对了全公司的信息技术 人员，不

12、能冇效的区分管理角色和对彖，从而最终导致制度面太广而无法实施;某些安全要求深度不够，导 致在某些方面的安全管理执行力度不够；由于很多安全制度并没有被太多的人认可和执行，因此就无法对公 布的制度进行回顾审计，检查和修改其中不合适的地方。还存在着另一个普遍问题，缺乏一套高层的安全策略体系来指导安全管理，最终导致安全工作难以条 理化,一方面会造成部分工作的遗漏,另一方面会出现重叠,甚至会出现哪出问题哪出制度的被动局面。 安全策略应该建立比较明确、全而的安全规范要求，并确定各策略的制定、维护、变更等管理方面的策略。 安全管理制度是建立在公司统一安全策略的基础z上，为公司推行统一的安全要求的一种形式。没

13、冇安全 策略指导的安全管理制度只能是片而性，可操作性差、难以推广和执行。5.2安全组织在安全组织上，各券商都比较重视，都实现了“统一领导,分布管理”的安全管理体系,建立了安全管 理岗位，建立了信息技术人员的岗位职责。在这次检杳结束z后，证监会也发布了行业的it治理指引，明 确了安全组织的要求。5.3资产分类与控制随着业务资产的不断增加，很多安全管理问题均归到了资产管理问题上。但是，很多人还没有懑识到 资产分类控制的重要性，没有对公司内部对公司资产进行整理。存在如下问题：1 .没冇对所冇业务应用系统及资产设备进行安全属性定义，没冇明确需要较高安全保护等级的系统和 设备，因此很难提高管理人员的安全

14、重视程度；2. 缺乏一套对资产管理清单的维护审计机制,没有专人负责对新增设备、变更设备等管理信息进行及 时更新，导致很多安全事件山此产生；3. 缺乏一套对资产变更、系统变更的审计机制，管理人员对较人的变更情况不做记录，在后期可能会 造成很多不必要的麻烦；4. 缺乏对设备的保管、使用登记和报废方面的管理，对巫耍的设备只有出了事故以厉才进行保养和维 护，而且没有建立维护记录。5. 对各种技术资产及业务资料没有实现密级管理，很多机密资料的借阅、复制、打印、销毁等方面的 管理制度很不完善，执行更不严格。部分员工安全意识较差,所有的技术资料放到办公桌上，很容易被笫 三方合法进入公司的人进行翩阅査看。5.

15、4人员安全券商在安全岗位建设方而普遍非常重视，建立了技术岗位职责，对各技术岗位有相应的岗位说明。在 系统管理方面根据不同的业务应用系统设置了不同数量的系统管理员，他们在保证应用系统的止常运行的 同时，也身兼对这些主机的安全管理。山于各种安全事件发生后可能的影响面巨大，也都明确了安全事件 发生后的快速报告流程。尽管如此，在人员安全上，存在着较多的问题：1. 内部系统管理岗位人员不足，很多系统管理员负责多个重耍的应用系统，过多的工作量很可能造成 操作失误情况，更容易造成安全管理的疏忽；2内部安全管理岗位人力不足,由于券商组织结构和信息网络的庞大性特点，安全管理员不能全权、 冇效地形成对整个公司自上

16、到下、自本部门至全公司的安全管理；3. 没有将公司资产的安全管理责任定义到个人，特别是普通员工办公机的安全性，很多安全事件的发 生不能明确责任，入职说明岗位也没有定义管理员的责任和义务，因此不利丁促进和推动安全管理工作的 执行；4. 管理员岗位权职不明确，冇些工作交叉的任务经常被互相推卸，管理员的权限没冇实现“权限最小化” 原则，也没冇对这些权限较高管理员的审核，使得内部管理员滥用授权的隐患时刻存在;、5. 很多员工技术能力有限，某些技术故障和安全事件的发生可能是由于操作失误造成的，而提供对倍 息技术人员进行安金技术培训的机会较少，也没冇技术或任职资格考试的督促机制，使得内部员工安金意 识较差

17、，从而造成安全事故的可能性増人；6. 对信息的保密重视不足，在信息技术人员应朗进公司时签订的合同中没冇安全保密条款，尤其是没 冇针对某些涉密较高岗位制定具体的保密协议。7. 在信息技术人员办理离崗手续方面缺乏明确的制度和流程8. 没冇明确的安金管理员和安金审计员角色，所以对网络和系统的管理员所设定的访问权限及日常行 为没有进行过安全审计。5.5物理环境安全机房的建设都冇标准化的规范，物理环境也人都符合相关安全要求，机房具冇防火、防水、防雷等设 备，并均采用双路供电，配备了 ups电源。在非本公司员工进入机房时，要求进行出入登记记录，操作记 录。但在机房管理方面还存在以下的问题：1 .中心机房冇

18、电子门禁系统，但冇时没冇做到进出时马上关门。2. 机房没有设置保安管理制度。3. 机房的岀入管理不严格，没有严格执行非工作人员必须经过安全贵任人许可才可以进入机房的管理 规定。4. 机柜和主机没冇要求在运行中上锁，以防止外來人员谋操作，对主机没冇釆取对输入输出设备的控 制。5.6通倍与操作安全证监会耍求关键业务有备份链路，对各种网络设备的配置数据、用户数据进行定期备份。各券商做的 都很好。但在管理过程中，还存在以下的问题：1 .技术维护人员没冇定期对重要服务器和路由器以及防火墙等设备的安全配置、cpu、内存占用率等 进行审计和检查2. 主耍的网络设备和主机均没有定期维护制度3. 对网络设备和主

19、机的远程管理没有使川固定的管理终端。4. 目前没冇对系统进行定期的安金漏洞扫描工作，某些主机考虑到影响业务原因没冇定期对系统的补 丁进行修补和加固。六、总结6.1安全意识针对证券行业信息系统网络现状而言，由于发展较快，网络规模较大，对信息系统安全很高，系统的 安全状况应成为企业网络关注的重点。在把资金都投在了应用系统建设的同时，不能忽视了信息安全保障 投资。在员工的安全意识方面，没有建立长期、系统、冇效的安全意识、专业素质、安全管理、服务水平 的培训。同时，在责任划分上不够明确，缺乏奖惩机制。因此，提高领导、员工的安全意识是当务z急。6.2密体安全方案各券商在安全方面，也投入了一些设备，但总的

20、来说，安全思路仍需拓宽。比如在渗透测试中普遍发 现的问题。在防火墙的设置上，也有不足。口令安金、配置安全上的工作也不够完善。没有定期分析日志 发现界常，安全制度不完善，如此等等。说到底就是缺乏一套整体安全方案，一个没冇整体安全规划的系 统，安全是肯定没冇保障的。6.3系统安全主耍是没有安全地女装配置、用户和目录权限设置及建立适当的安全策略等系统安全处理加网。例如: 没有打安全补丁、安装时为方便使用简单口令、默认口令，而后來又不更改、没有进行适当的目录和文件 权限设置、没冇进行适当的用户权限设置、打开了过多的不必要的服务、没有对f1c的应用系统进行安全 检测等等。事实上系统和应用人多是由系统集成商來完成的，但系统集成商的做法往往是最人化安装，以 方便安装调试，把整个系统调通就算完成了任务，会留下很多的安全隐患;而安全却恰恰相反，遵循最小化 原则，要求没必要的东西一定不要，有必要的也要严加限制使用。这和系统集成好像构成了一个才盾，事 实上却