這個(gè)是網(wǎng)上看到的�,竊以為非常不錯(cuò),但原創(chuàng)已經(jīng)找不到�����,見諒�����。
今年以來����,我國股市接連受到重挫����,造成了部分股民的不滿,同時(shí)也出現(xiàn)了針對(duì)證券公司進(jìn)行網(wǎng)絡(luò)攻擊的惡性事件����。因此�,證監(jiān)會(huì)組織了對(duì)全國證券業(yè)的安全大檢
查�。筆者因?yàn)楣ぷ髟颍瑓⑴c并負(fù)責(zé)了幾個(gè)大型證券公司的安全檢查���。檢查的從體情況來看��,有喜有憂�����。喜的是證券業(yè)前幾年行情不好,一直沒有資金進(jìn)行充分的
IT基礎(chǔ)建設(shè)�,造成IT建設(shè)欠債太多�,但最近兩年已經(jīng)迎頭趕上���,并且證券業(yè)創(chuàng)新產(chǎn)品層出不窮����。憂的是這兩年券商的IT部門一直被趕著做事情���,又造成對(duì)信息
安全問題重視不夠����,出現(xiàn)了很多新的風(fēng)險(xiǎn)����,尤其在當(dāng)前股市震蕩的情況下,威脅越來越大�����。它山之石可以攻玉���,對(duì)于各個(gè)行業(yè)的安全管理員來說��,保障信息安全是一
個(gè)任重而道遠(yuǎn)的工作�����。本文基于在證券業(yè)安全問題上的一些經(jīng)驗(yàn)和思考���,希望也能夠給其他行業(yè)的安全管理員提供幫助����。
整個(gè)安全大檢查從幾個(gè)方面進(jìn)行了審查,包括網(wǎng)站安全�����、物理安全��、網(wǎng)絡(luò)安全���、系統(tǒng)安全和管理安全�。
一����、網(wǎng)站安全
證監(jiān)會(huì)組織了人手對(duì)所有券商的網(wǎng)站進(jìn)行了滲透測試(模擬黑客攻擊的方法對(duì)網(wǎng)站攻擊,但不做破壞性舉動(dòng))�����,雖然最后證監(jiān)會(huì)沒有公布網(wǎng)站滲透測試的結(jié)果���,
但就筆者負(fù)責(zé)的4個(gè)券商安全檢查來看�����,全部都被攻陷�����,被攻陷的方法全都是sql注入�����,并且還發(fā)現(xiàn)了源代碼泄露�、跨站漏洞等問題����。所幸的是,經(jīng)過檢查,沒有
發(fā)現(xiàn)這幾個(gè)網(wǎng)站被人入侵過或者有什么遠(yuǎn)程后門?����?偟膩砜?��,大家對(duì)安全補(bǔ)丁�、系統(tǒng)自身的加固都很重視�����,沒發(fā)現(xiàn)什么明顯疏忽,但是在WEB的安全編程上還做得
遠(yuǎn)遠(yuǎn)不夠。究其原因��,由于券商自身不具備網(wǎng)站開發(fā)能力��,網(wǎng)站開發(fā)都是外包來做���,而外包公司在程序的代碼審核上做的遠(yuǎn)遠(yuǎn)不夠�,代碼中可能的漏洞有溢出漏洞�、
跨站腳本漏洞、SQL注入漏洞等,還有一些因?yàn)槌绦蛟O(shè)計(jì)不周到而導(dǎo)致的信息泄露問題也應(yīng)該得到重視,這些漏洞本身可能沒什么大的威脅��,但非常有助于攻擊者
利用其他漏洞進(jìn)行攻擊�。當(dāng)前總體的網(wǎng)絡(luò)安全狀態(tài)是基于操作系統(tǒng)本身漏洞的入侵已經(jīng)沒有大的增加���,而由于應(yīng)用系統(tǒng)的復(fù)雜性和特異性�,基于應(yīng)用的入侵已大幅度
增加,所以在這方面還有許多需要加強(qiáng)的工作。
從證券業(yè)的網(wǎng)站安全來看�����,入侵甚至在C盤根目錄上寫入文件�,都不是什么難事。筆者在其他一些行業(yè)的評(píng)估中��,也發(fā)現(xiàn)同樣問題的存在����,并且今年的安全形勢
報(bào)告中也提到,僅在5月份�,全國就有12萬網(wǎng)站受到sql注入式的攻擊�。因此可見���,面對(duì)新型的攻擊手段�����,安全部門響應(yīng)速度遲緩�����。網(wǎng)站是一個(gè)企業(yè)的門面,如
果網(wǎng)站被篡改�,帶來的負(fù)面影響會(huì)很大�����,加強(qiáng)網(wǎng)站的安全防護(hù),應(yīng)是當(dāng)務(wù)之急���。
二����、物理安全
物理安全作為信息安全的基礎(chǔ),在整個(gè)信息安全體系建設(shè)中扮演著非常重要的作用����,而物理安全的好壞直接影響到網(wǎng)絡(luò)安全�����、系統(tǒng)安全和安全管理等等層面。對(duì)
于券商來說�����,機(jī)房是生產(chǎn)的核心工具��,這幾年來����,管理層對(duì)此也不斷提出要求�,目前看來,硬件環(huán)境已經(jīng)比較可靠����,空調(diào)����、濕度控制���、防火、區(qū)域標(biāo)識(shí)等相對(duì)完善�,
但與之相對(duì)應(yīng)的軟件環(huán)境卻不甚樂觀�。比如普遍存在的:
2.1 環(huán)境
機(jī)房進(jìn)出控制等級(jí)沒有嚴(yán)格執(zhí)行�,流于形式;
門禁系統(tǒng)雖有�,但時(shí)常進(jìn)出沒有隨手關(guān)門;
進(jìn)出人員所做重大操作沒有記錄;
第三方人員進(jìn)入機(jī)房沒有明顯的可視標(biāo)識(shí),不能立即識(shí)別出無人護(hù)送的訪問者和未佩戴可視標(biāo)識(shí)的人�。
2.2 設(shè)備
網(wǎng)絡(luò)設(shè)備�、主機(jī)設(shè)備沒有有效的標(biāo)記措施�,對(duì)資產(chǎn)的界定不清晰;
重要的主機(jī)設(shè)備沒有防盜報(bào)警措施;
由于券商在不斷地上新項(xiàng)目,經(jīng)常需要調(diào)整網(wǎng)絡(luò)�,網(wǎng)線和電纜的普遍走線比較亂�,很多網(wǎng)線�、電纜都沒有可識(shí)別的記號(hào)。
2.3 介質(zhì)
對(duì)移動(dòng)存儲(chǔ)設(shè)備沒有實(shí)行有效管理�,各服務(wù)器的USB口都是開放狀態(tài)�。
沒有對(duì)移動(dòng)存儲(chǔ)設(shè)備上的敏感數(shù)據(jù)徹底刪除或安全重寫�。
這些問題在很多公司機(jī)房都普遍存在,甚至比證券業(yè)要差很多�。安全不僅僅是網(wǎng)絡(luò)安全�,更是一個(gè)整體的木桶�,任何的短板都會(huì)導(dǎo)致前功盡棄,加強(qiáng)對(duì)物理環(huán)境的管控應(yīng)是踏踏實(shí)實(shí)要做好的事情�,這種管控也不僅僅是在硬環(huán)境上�,更重要的還在軟環(huán)境上�。
三、網(wǎng)絡(luò)安全
近年來證券整體行業(yè)效益不錯(cuò),因此在網(wǎng)絡(luò)上投入很大,起點(diǎn)較高�,并且由于券商大多數(shù)都是跨地域的�,整個(gè)IP地址的規(guī)劃也都比較合理�,具有連續(xù)性,能夠
與網(wǎng)絡(luò)拓?fù)鋵哟谓Y(jié)構(gòu)相適應(yīng),便于進(jìn)行管理�。作為網(wǎng)絡(luò)建設(shè)重要規(guī)范性之一的可靠性建設(shè)也受到很大重視�,針對(duì)故障恢復(fù)�、承載能力以及安全配置均充分考慮了關(guān)鍵
網(wǎng)絡(luò)設(shè)備和重要鏈路的可靠性建設(shè):通過交換機(jī)之間Trunk互聯(lián)和專用負(fù)載均衡設(shè)備,實(shí)現(xiàn)動(dòng)態(tài)的冗余熱備和流量分擔(dān),有效提高了網(wǎng)絡(luò)的可靠性和可用性。對(duì)
于重要的主機(jī)設(shè)備同樣部署了完善的鏈路和設(shè)備雙備份,通過雙歸屬方式的互聯(lián)和采用主備設(shè)備的方式�,可確保一旦出現(xiàn)問題可以實(shí)現(xiàn)快速的切換�,把對(duì)業(yè)務(wù)的不利
影響降低�。同時(shí)在交換機(jī)上根據(jù)業(yè)務(wù)的需要?jiǎng)澐至讼鄳?yīng)的VLAN,通過二層隔離有效杜絕了蠕蟲病毒的擴(kuò)散和廣播、組播數(shù)據(jù)流的防洪�,提高了網(wǎng)絡(luò)的安全和承載
效率�,確保網(wǎng)絡(luò)系統(tǒng)具有了良好的擴(kuò)展性和健壯性�。
但是安全問題也總是伴隨著網(wǎng)絡(luò)建設(shè)而來,創(chuàng)新業(yè)務(wù)不斷出現(xiàn)也要求對(duì)外的接口越來越多,例如對(duì)各個(gè)銀行、上交所�、深交所的接口�。在出口很多的問題下需要認(rèn)真對(duì)待各出口的分界線控制�,這方面,已經(jīng)有很多機(jī)構(gòu)提出了安全域架構(gòu)的方法�,在實(shí)踐中也取得了認(rèn)可�。
再有就是對(duì)網(wǎng)絡(luò)保密的情況考慮不足�,在這方面銀行走在了前面,對(duì)鏈路都是由加密機(jī)來加密�。券商對(duì)此尚沒有顧及�,關(guān)鍵的業(yè)務(wù)數(shù)據(jù)在傳輸時(shí)zheng沒有
加密手段�,可能被監(jiān)聽泄露。據(jù)筆者和各信息部門老總交流的情況看�,也并不是沒有考慮,他們擔(dān)心加密以后對(duì)網(wǎng)絡(luò)的實(shí)時(shí)性造成影響,而且券商內(nèi)跑的應(yīng)用很多,
業(yè)務(wù)系統(tǒng)與加密機(jī)的配合會(huì)不會(huì)出問題,再者�,券商的網(wǎng)絡(luò)多是專線連接�,被竊聽的可能并不很大�。我承認(rèn),老總們的擔(dān)憂很有道理,在現(xiàn)有技術(shù)情況下�,如何進(jìn)行
無障礙的鏈路加密?這也是咱們國內(nèi)的安全廠家應(yīng)該去深入研究的課題�。
還有一方面就是對(duì)網(wǎng)絡(luò)的管理:目前的網(wǎng)絡(luò)設(shè)備基本都具備日志功能�,但是由于人手不足,業(yè)務(wù)繁忙�,管理粗放都很多原因�,并沒有人去定期核查這些日志信
息�,也沒有專用終端記錄處理日志,這會(huì)造成即使已經(jīng)被攻擊了�,管理人員仍然不知道�。并且在網(wǎng)絡(luò)管理上沒有指定專用終端操作�,為了方便很多機(jī)器都可以連上去
更改配置。
四�、系統(tǒng)安全
券商核心業(yè)務(wù)系統(tǒng)多是LINUX�、HP-UX等�,這些系統(tǒng)流行面較窄,精通該類系統(tǒng)的人不多�,且由于系統(tǒng)的不兼容性使得受攻擊的可能性大大降低�。但同
時(shí)�,也由于大家都不精通,系統(tǒng)上發(fā)現(xiàn)的一些已知的安全補(bǔ)丁都沒打�,不是不知道安全漏洞�,而是因?yàn)椴桓易?,做了以后?huì)對(duì)應(yīng)用產(chǎn)生什么樣的影響大家都不知道。
這種情況在很多行業(yè)都存在�,比如近期我接觸過的一個(gè)煤礦有個(gè)瓦斯監(jiān)控系統(tǒng)�,1分鐘都不能停�。這種形勢下,就要求對(duì)核心生產(chǎn)設(shè)備做足夠的外圍安全防護(hù)�。
還有一個(gè)老生常談的話題就是口令安全�,網(wǎng)絡(luò)設(shè)備口令�、操作系統(tǒng)口令、應(yīng)用系統(tǒng)口令、數(shù)據(jù)庫口令等等,實(shí)際對(duì)口令的管理和要求始終會(huì)有差別。在調(diào)研中,
我們也和老總們談過�,大家都說:我們都知道口令的管理�,也知道怎么加強(qiáng)�,但在實(shí)際中要考慮證券公司的特殊性,例如報(bào)盤系統(tǒng)登陸易所,20多個(gè)席位要登錄�,
有一次系統(tǒng)意外重啟�,我們每個(gè)席位口令都很長�,夠復(fù)雜,結(jié)果手忙腳亂地往里面登錄,一邊看一邊敲,敲錯(cuò)了還要重來�,最后都搞好�,半個(gè)小時(shí)過去了�,所以這種
安全手段在證券公司沒法考慮的。
非核心業(yè)務(wù)的其他終端設(shè)備受系統(tǒng)升級(jí)和疏于管理等問題�,普遍存在著非常多的高風(fēng)險(xiǎn)漏洞�,甚至包括操作系統(tǒng)級(jí)的弱口令。不過目前對(duì)證券業(yè)來說,基本都做到了業(yè)務(wù)的主輔分離�,所以威脅有,但不是很大�。既便如此�,非核心系統(tǒng)也應(yīng)給以更多的關(guān)注�。
五、安全管理
三分技術(shù)七分管理�,技術(shù)是實(shí)現(xiàn)的手段�,真正要想做到安全�,管理上一定要下很大的功夫。
5.1安全策略
相關(guān)的管理制度各個(gè)券商都有不少�,而且也在不斷完善修訂�。但從整個(gè)制度規(guī)范頒布后執(zhí)行情況來看�,其效果并不是很好,主要問題表現(xiàn)在:可操作性差�,甚至
很多條款沒有獎(jiǎng)懲措施�,這樣可能導(dǎo)致員工很難理解或記住這些管理性要求�,最終執(zhí)行不起來;針對(duì)性差,一份安全管理制度匯編針對(duì)了全公司的信息技術(shù)人員�,不
能有效的區(qū)分管理角色和對(duì)象�,從而最終導(dǎo)致制度面太廣而無法實(shí)施;某些安全要求深度不夠�,導(dǎo)致在某些方面的安全管理執(zhí)行力度不夠;由于很多安全制度并沒有
被太多的人認(rèn)可和執(zhí)行,因此就無法對(duì)公布的制度進(jìn)行回顧審計(jì)�����,檢查和修改其中不合適的地方�����。
還存在著另一個(gè)普遍問題�����,缺乏一套高層的安全策略體系來指導(dǎo)安全管理,最終導(dǎo)致安全工作難以條理化�����,一方面會(huì)造成部分工作的遺漏�����,另一方面會(huì)出現(xiàn)重
疊,甚至?xí)霈F(xiàn)哪出問題哪出制度的被動(dòng)局面�����。安全策略應(yīng)該建立比較明確�����、全面的安全規(guī)范要求�����,并確定各策略的制定、維護(hù)、變更等管理方面的策略。安全管理
制度是建立在公司統(tǒng)一安全策略的基礎(chǔ)之上,為公司推行統(tǒng)一的安全要求的一種形式。沒有安全策略指導(dǎo)的安全管理制度只能是片面性,可操作性差�����、難以推廣和執(zhí)
行�����。
5.2安全組織
在安全組織上�����,各券商都比較重視,都實(shí)現(xiàn)了“統(tǒng)一領(lǐng)導(dǎo)�����,分布管理”的安全管理體系�����,建立了安全管理崗位,建立了信息技術(shù)人員的崗位職責(zé)�����。在這次檢查結(jié)束之后,證監(jiān)會(huì)也發(fā)布了行業(yè)的IT治理指引,明確了安全組織的要求�����。
5.3資產(chǎn)分類與控制
隨著業(yè)務(wù)資產(chǎn)的不斷增加�����,很多安全管理問題均歸到了資產(chǎn)管理問題上�����。但是,很多人還沒有意識(shí)到資產(chǎn)分類控制的重要性�����,沒有對(duì)公司內(nèi)部對(duì)公司資產(chǎn)進(jìn)行整理�����。存在如下問題:
1.沒有對(duì)所有業(yè)務(wù)應(yīng)用系統(tǒng)及資產(chǎn)設(shè)備進(jìn)行安全屬性定義�����,沒有明確需要較高安全保護(hù)等級(jí)的系統(tǒng)和設(shè)備,因此很難提高管理人員的安全重視程度;
2.缺乏一套對(duì)資產(chǎn)管理清單的維護(hù)審計(jì)機(jī)制,沒有專人負(fù)責(zé)對(duì)新增設(shè)備�����、變更設(shè)備等管理信息進(jìn)行及時(shí)更新�����,導(dǎo)致很多安全事件由此產(chǎn)生;
3.缺乏一套對(duì)資產(chǎn)變更、系統(tǒng)變更的審計(jì)機(jī)制�����,管理人員對(duì)較大的變更情況不做記錄�����,在后期可能會(huì)造成很多不必要的麻煩;
4.缺乏對(duì)設(shè)備的保管�����、使用登記和報(bào)廢方面的管理,對(duì)重要的設(shè)備只有出了事故以后才進(jìn)行保養(yǎng)和維護(hù)�����,而且沒有建立維護(hù)記錄�����。
5.對(duì)各種技術(shù)資產(chǎn)及業(yè)務(wù)資料沒有實(shí)現(xiàn)密級(jí)管理�����,很多機(jī)密資料的借閱、復(fù)制�����、打印�����、銷毀等方面的管理制度很不完善,執(zhí)行更不嚴(yán)格�����。部分員工安全意識(shí)較差,所有的技術(shù)資料放到辦公桌上�����,很容易被第三方合法進(jìn)入公司的人進(jìn)行翻閱查看�����。
5.4人員安全
券商在安全崗位建設(shè)方面普遍非常重視�����,建立了技術(shù)崗位職責(zé),對(duì)各技術(shù)崗位有相應(yīng)的崗位說明�����。在系統(tǒng)管理方面根據(jù)不同的業(yè)務(wù)應(yīng)用系統(tǒng)設(shè)置了不同數(shù)量的系
統(tǒng)管理員�����,他們?cè)诒WC應(yīng)用系統(tǒng)的正常運(yùn)行的同時(shí)�����,也身兼對(duì)這些主機(jī)的安全管理�����。由于各種安全事件發(fā)生后可能的影響面巨大�����,也都明確了安全事件發(fā)生后的快速
報(bào)告流程。
盡管如此�����,在人員安全上�����,存在著較多的問題:
1.內(nèi)部系統(tǒng)管理崗位人員不足�����,很多系統(tǒng)管理員負(fù)責(zé)多個(gè)重要的應(yīng)用系統(tǒng),過多的工作量很可能造成操作失誤情況,更容易造成安全管理的疏忽;
2.內(nèi)部安全管理崗位人力不足�����,由于券商組織結(jié)構(gòu)和信息網(wǎng)絡(luò)的龐大性特點(diǎn)�����,安全管理員不能全權(quán)、有效地形成對(duì)整個(gè)公司自上到下�����、自本部門至全公司的安全管理;
3.沒有將公司資產(chǎn)的安全管理責(zé)任定義到個(gè)人�����,特別是普通員工辦公機(jī)的安全性�����,很多安全事件的發(fā)生不能明確責(zé)任,入職說明崗位也沒有定義管理員的責(zé)任和義務(wù),因此不利于促進(jìn)和推動(dòng)安全管理工作的執(zhí)行;
4.管理員崗位權(quán)職不明確�����,有些工作交叉的任務(wù)經(jīng)常被互相推卸,管理員的權(quán)限沒有實(shí)現(xiàn)“權(quán)限最小化”原則,也沒有對(duì)這些權(quán)限較高管理員的審核,使得內(nèi)部管理員濫用授權(quán)的隱患時(shí)刻存在;�����、
5.很多員工技術(shù)能力有限�����,某些技術(shù)故障和安全事件的發(fā)生可能是由于操作失誤造成的�����,而提供對(duì)信息技術(shù)人員進(jìn)行安全技術(shù)培訓(xùn)的機(jī)會(huì)較少,也沒有技術(shù)或任職資格考試的督促機(jī)制,使得內(nèi)部員工安全意識(shí)較差,從而造成安全事故的可能性增大;
6.對(duì)信息的保密重視不足,在信息技術(shù)人員應(yīng)聘進(jìn)公司時(shí)簽訂的合同中沒有安全保密條款�����,尤其是沒有針對(duì)某些涉密較高崗位制定具體的保密協(xié)議�����。
7.在信息技術(shù)人員辦理離崗手續(xù)方面缺乏明確的制度和流程
8.沒有明確的安全管理員和安全審計(jì)員角色,所以對(duì)網(wǎng)絡(luò)和系統(tǒng)的管理員所設(shè)定的訪問權(quán)限及日常行為沒有進(jìn)行過安全審計(jì)�����。
5.5物理環(huán)境安全
機(jī)房的建設(shè)都有標(biāo)準(zhǔn)化的規(guī)范�����,物理環(huán)境也大都符合相關(guān)安全要求�����,機(jī)房具有防火、防水�����、防雷等設(shè)備�����,并均采用雙路供電�����,配備了UPS電源。在非本公司員工進(jìn)入機(jī)房時(shí)�����,要求進(jìn)行出入登記記錄�����,操作記錄。
但在機(jī)房管理方面還存在以下的問題:
1.中心機(jī)房有電子門禁系統(tǒng)�����,但有時(shí)沒有做到進(jìn)出時(shí)馬上關(guān)門�����。
2.機(jī)房沒有設(shè)置保安管理制度�����。
3.機(jī)房的出入管理不嚴(yán)格,沒有嚴(yán)格執(zhí)行非工作人員必須經(jīng)過安全責(zé)任人許可才可以進(jìn)入機(jī)房的管理規(guī)定�����。
4.機(jī)柜和主機(jī)沒有要求在運(yùn)行中上鎖,以防止外來人員誤操作�����,對(duì)主機(jī)沒有采取對(duì)輸入輸出設(shè)備的控制�����。
5.6通信與操作安全
證監(jiān)會(huì)要求關(guān)鍵業(yè)務(wù)有備份鏈路�����,對(duì)各種網(wǎng)絡(luò)設(shè)備的配置數(shù)據(jù)�����、用戶數(shù)據(jù)進(jìn)行定期備份�����。各券商做的都很好。但在管理過程中,還存在以下的問題:
1.技術(shù)維護(hù)人員沒有定期對(duì)重要服務(wù)器和路由器以及防火墻等設(shè)備的安全配置、CPU�����、內(nèi)存占用率等進(jìn)行審計(jì)和檢查
2.主要的網(wǎng)絡(luò)設(shè)備和主機(jī)均沒有定期維護(hù)制度
3.對(duì)網(wǎng)絡(luò)設(shè)備和主機(jī)的遠(yuǎn)程管理沒有使用固定的管理終端�����。
4.目前沒有對(duì)系統(tǒng)進(jìn)行定期的安全漏洞掃描工作�����,某些主機(jī)考慮到影響業(yè)務(wù)原因沒有定期對(duì)系統(tǒng)的補(bǔ)丁進(jìn)行修補(bǔ)和加固。
六�����、總結(jié)
6.1安全意識(shí)
針對(duì)證券行業(yè)信息系統(tǒng)網(wǎng)絡(luò)現(xiàn)狀而言�����,由于發(fā)展較快�����,網(wǎng)絡(luò)規(guī)模較大�����,對(duì)信息系統(tǒng)安全很高�����,系統(tǒng)的安全狀況應(yīng)成為企業(yè)網(wǎng)絡(luò)關(guān)注的重點(diǎn)。在把資金都投在了應(yīng)
用系統(tǒng)建設(shè)的同時(shí)�����,不能忽視了信息安全保障投資�����。在員工的安全意識(shí)方面�����,沒有建立長期、系統(tǒng)、有效的安全意識(shí)�����、專業(yè)素質(zhì)、安全管理、服務(wù)水平的培訓(xùn)�����。同
時(shí)�����,在責(zé)任劃分上不夠明確,缺乏獎(jiǎng)懲機(jī)制�����。因此�����,提高領(lǐng)導(dǎo)�����、員工的安全意識(shí)是當(dāng)務(wù)之急。
6.2整體安全方案
各券商在安全方面�����,也投入了一些設(shè)備�����,但總的來說�����,安全思路仍需拓寬。比如在滲透測試中普遍發(fā)現(xiàn)的問題�����。在防火墻的設(shè)置上�����,也有不足?����?诹畎踩?����、配置
安全上的工作也不夠完善�����。沒有定期分析日志發(fā)現(xiàn)異常,安全制度不完善�����,如此等等�����。說到底就是缺乏一套整體安全方案�����,一個(gè)沒有整體安全規(guī)劃的系統(tǒng),安全是肯
定沒有保障的�����。
6.3系統(tǒng)安全
主要是沒有安全地安裝配置�����、用戶和目錄權(quán)限設(shè)置及建立適當(dāng)?shù)陌踩呗缘认到y(tǒng)安全處理加固�����。例如:沒有打安全補(bǔ)丁、安裝時(shí)為方便使用簡單口令、默認(rèn)口
令,而后來又不更改�����、沒有進(jìn)行適當(dāng)?shù)哪夸浐臀募?quán)限設(shè)置�����、沒有進(jìn)行適當(dāng)?shù)挠脩魴?quán)限設(shè)置�����、打開了過多的不必要的服務(wù)、沒有對(duì)自己的應(yīng)用系統(tǒng)進(jìn)行安全檢測等
等。事實(shí)上系統(tǒng)和應(yīng)用大多是由系統(tǒng)集成商來完成的�����,但系統(tǒng)集成商的做法往往是最大化安裝�����,以方便安裝調(diào)試�����,把整個(gè)系統(tǒng)調(diào)通就算完成了任務(wù)�����,會(huì)留下很多的安
全隱患;而安全卻恰恰相反�����,遵循最小化原則,要求沒必要的東西一定不要,有必要的也要嚴(yán)加限制使用。這和系統(tǒng)集成好像構(gòu)成了一個(gè)矛盾,事實(shí)上卻不是,最小
化原則實(shí)際上降低了系統(tǒng)負(fù)荷�����、提高了應(yīng)用系統(tǒng)的性能�����,增強(qiáng)了安全性�����,而問題在于大多數(shù)集成商不具備專業(yè)安全設(shè)計(jì)和防范能力。
6.4安全管理機(jī)制
安全和管理是分不開的�����,即便有好的安全設(shè)備和系統(tǒng)�����,沒有一套好的安全管理方法并貫徹實(shí)施�����,值得注意的是這里強(qiáng)調(diào)的不僅要有安全管理方法�����,而且還要貫徹
實(shí)施�����,否則安全就是空談�����。安全管理的目的在于兩點(diǎn):一是最大程度地保護(hù)網(wǎng)絡(luò),使得其安全地運(yùn)行�����,再就是一旦發(fā)生黑客事件后能最大程度地挽回?fù)p失�����。所以建立
定期的安全檢測�����、口令管理、人員管理�����、策略管理�����、備份管理、日志管理等一系列管理方法和制度�����,并嚴(yán)格貫徹執(zhí)行�����,與獎(jiǎng)懲制度的聯(lián)動(dòng)是非常必要的�����。
6.5動(dòng)態(tài)安全
在這次安全大檢查以后,經(jīng)過專業(yè)網(wǎng)絡(luò)安全設(shè)計(jì)整改�����,即進(jìn)行了安全網(wǎng)絡(luò)拓樸和路由�����、安全網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)�����、安全產(chǎn)品防護(hù)、安全系統(tǒng)處理和整體安全檢測等安全
處理后,系統(tǒng)的安全是有保障的�����。但需要指出的是安全是相對(duì)的�����,因?yàn)殡S著操作系統(tǒng)和應(yīng)用系統(tǒng)漏洞的不斷發(fā)現(xiàn)以及口令很久沒有更改等情況的發(fā)生,整個(gè)系統(tǒng)的安
全性就受到了威脅,這時(shí)候若不及時(shí)進(jìn)行打安全補(bǔ)丁或更換口令就很可能被一直在企圖入侵卻未能成功的黑客輕易攻破。所以,安全是相對(duì)的�����,是動(dòng)態(tài)的�����,只有及時(shí)
對(duì)系統(tǒng)安全問題進(jìn)行跟蹤解決�����,定期整體安全評(píng)估�����,及時(shí)發(fā)現(xiàn)問題并解決,才能確保系統(tǒng)具有良好的安全性。
6.6人才培養(yǎng)
在這次檢查中�����,我們也注意到�����,絕大部分的主機(jī)�����、網(wǎng)絡(luò)情況都只有個(gè)別人了解。這與證券業(yè)迅猛發(fā)展的信息技術(shù)規(guī)模是不相適應(yīng)的�����。券商也應(yīng)在下一步的工作中�����,積極發(fā)掘、培養(yǎng)安全方向上的專業(yè)人才�����,注重培訓(xùn)和鍛煉�����,同時(shí)也應(yīng)盡力保證人才的穩(wěn)定性�����。