还有一方面就是对网络的管理:目前的网络设备基本都具备日志功能,但是由于人手不足,业务繁忙,管理粗放都很多原因,并没有人去定期核查这些日志信息,也没有专用终端记录处理日志,这会造成即使已经被攻击了,管理人员仍然不知道。并且在网络管理上没有指定专用终端操作,为了方便很多机器都可以连上去更改配置。
[1] [2] [3] 下一页
四、系统安全
券商核心业务系统多是LINUX、HP-UX等,这些系统流行面较窄,精通该类系统的人不多,且由于系统的不兼容性使得受攻击的可能性大大降低。但同时,也由于大家都不精通,系统上发现的一些已知的安全补丁都没打,不是不知道安全漏洞,而是因为不敢做,做了以后会对应用产生什么样的影响大家都不知道。这种情况在很多行业都存在,比如近期我接触过的一个煤矿有个瓦斯监控系统,1分钟都不能停。这种形势下,就要求对核心生产设备做足够的外围安全防护。
还有一个老生常谈的话题就是口令安全,网络设备口令、操作系统口令、应用系统口令、数据库口令等等,实际对口令的管理和要求始终会有差别。在调研中,我们也和老总们谈过,大家都说:我们都知道口令的管理,也知道怎么加强,但在实际中要考虑证券公司的特殊性,例如报盘系统登陆易所,20多个席位要登录,有一次系统意外重启,我们每个席位口令都很长,够复杂,结果手忙脚乱地往里面登录,一边看一边敲,敲错了还要重来,最后都搞好,半个小时过去了,所以这种安全手段在证券公司没法考虑的。
非核心业务的其他终端设备受系统升级和疏于管理等问题,普遍存在着非常多的高风险漏洞,甚至包括操作系统级的弱口令。不过目前对证券业来说,基本都做到了业务的主辅分离,所以威胁有,但不是很大。既便如此,非核心系统也应给以更多的关注。
五、安全管理
三分技术七分管理,技术是实现的手段,真正要想做到安全,管理上一定要下很大的功夫。
5.1安全策略
相关的管理制度各个券商都有不少,而且也在不断完善修订。但从整个制度规范颁布后执行情况来看,其效果并不是很好,主要问题表现在:可操作性差,甚至很多条款没有奖惩措施,这样可能导致员工很难理解或记住这些管理性要求,最终执行不起来;针对性差,一份安全管理制度汇编针对了全公司的信息技术人员,不能有效的区分管理角色和对象,从而最终导致制度面太广而无法实施;某些安全要求深度不够,导致在某些方面的安全管理执行力度不够;由于很多安全制度并没有被太多的人认可和执行,因此就无法对公布的制度进行回顾审计,检查和修改其中不合适的地方。
还存在着另一个普遍问题,缺乏一套高层的安全策略体系来指导安全管理,最终导致安全工作难以条理化,一方面会造成部分工作的遗漏,另一方面会出现重叠,甚至会出现哪出问题哪出制度的被动局面。安全策略应该建立比较明确、全面的安全规范要求,并确定各策略的制定、维护、变更等管理方面的策略。安全管理制度是建立在公司统一安全策略的基础之上,为公司推行统一的安全要求的一种形式。没有安全策略指导的安全管理制度只能是片面性,可操作性差、难以推广和执行。
5.2安全组织
在安全组织上,各券商都比较重视,都实现了“统一领导,分布管理”的安全管理体系,建立了安全管理岗位,建立了信息技术人员的岗位职责。在这次检查结束之后,证监会也发布了行业的IT治理指引,明确了安全组织的要求。
5.3资产分类与控制
随着业务资产的不断增加,很多安全管理问题均归到了资产管理问题上。但是,很多人还没有意识到资产分类控制的重要性,没有对公司内部对公司资产进行整理。存在如下问题:
1.没有对所有业务应用系统及资产设备进行安全属性定义,没有明确需要较高安全保护等级的系统和设备,因此很难提高管理人员的安全重视程度;
2.缺乏一套对资产管理清单的维护审计机制,没有专人负责对新增设备、变更设备等管理信息进行及时更新,导致很多安全事件由此产生;
3.缺乏一套对资产变更、系统变更的审计机制,管理人员对较大的变更情况不做记录,在后期可能会造成很多不必要的麻烦;
4.缺乏对设备的保管、使用登记和报废方面的管理,对重要的设备只有出了事故以后才进行保养和维护,而且没有建立维护记录。
5.对各种技术资产及业务资料没有实现密级管理,很多机密资料的借阅、复制、打印、销毁等方面的管理制度很不完善,执行更不严格。部分员工安全意识较差,所有的技术资料放到办公桌上,很容易被第三方合法进入公司的人进行翻阅查看。
5.4人员安全
券商在安全岗位建设方面普遍非常重视,建立了技术岗位职责,对各技术岗位有相应的岗位说明。在系统管理方面根据不同的业务应用系统设置了不同数量的系统管理员,他们在保证应用系统的正常运行的同时,也身兼对这些主机的安全管理。由于各种安全事件发生后可能的影响面巨大,也都明确了安全事件发生后的快速报告流程。
尽管如此,在人员安全