今年以来Q我国股市接q受到重挫,造成了部分股民的不满Q同时也出现了针对证券公司进行网l攻ȝ恶性事件。因此,证监会组l了对全国证怸的安全大 查。笔者因为工作原因,参与q负责了几个大型证券公司的安全检查。检查的从体情况来看Q有喜有忧。喜的是证券业前几年行情不好Q一直没有资金进行充分的 IT基础Q造成ITƠ债太多,但最q两q已l迎头赶上,q且证券业创C品层ZI忧的是q两q券商的IT部门一直被赶着做事情,又造成对信? 安全问题重视不够Q出C很多新的风险Q尤其在当前股市震荡的情况下Q威胁越来越大。它׃矛_以攻玉,对于各个行业的安全管理员来说Q保障信息安全是一 个Q重而道q的工作。本文基于在证券业安全问题上的一些经验和思考,希望也能够给其他行业的安全管理员提供帮助?br /> 整个安全大检查从几个斚wq行了审查,包括|站安全、物理安全、网l安全、系l安全和理安全?br /> 一、网站安?br /> 证监会组l了人手Ҏ有券商的|站q行了渗透测?模拟黑客d的方法对|站dQ但不做破坏性D?Q虽然最后证监会没有公布|站渗透测试的l果Q? 但就W者负责的4个券商安全检查来看,全部都被攻陷Q被攻陷的方法全都是sql注入Qƈ且还发现了源代码泄露、跨站漏z等问题。所q的是,l过查,没有 发现q几个网站被人入侵过或者有什么远E后门。ȝ来看Q大家对安全补丁、系l自w的加固都很重视Q没发现什么明昄忽,但是在WEB的安全编E上q做? q远不够。究其原因,׃券商自n不具备网站开发能力,|站开发都是外包来做,而外包公司在E序的代码审怸做的q远不够Q代码中可能的漏z有溢出漏洞? 跨站脚本漏洞、SQL注入漏洞{,q有一些因为程序设计不周到而导致的信息泄露问题也应该得到重视,q些漏洞本n可能没什么大的威胁,但非常有助于d? 利用其他漏洞q行d。当前M的网l安全状态是Z操作pȝ本n漏洞的入侵已l没有大的增加,而由于应用系l的复杂性和特异性,Z应用的入侵已大幅? 增加Q所以在q方面还有许多需要加强的工作?br /> 从证怸的网站安全来看,入R甚至在C盘根目录上写入文Ӟ都不是什么难事。笔者在其他一些行业的评估中,也发现同样问题的存在Qƈ且今q的安全形势 报告中也提到Q仅?月䆾Q全国就?2万网站受到sql注入式的d。因此可见,面对新型的攻LD,安全部门响应速度q缓。网站是一个企业的门面Q如 果网站被改Q带来的负面影响会很大,加强|站的安全防护,应是当务之急?br />
二、物理安?br /> 物理安全作ؓ信息安全的基Q在整个信息安全体系中扮演着非常重要的作用,而物理安全的好坏直接影响到网l安全、系l安全和安全理{等层面。对 于券商来_机房是生产的核心工具Q这几年来,理层对此也不断提出要求Q目前看来,g环境已经比较可靠Q空调、湿度控制、防火、区域标识等相对完善Q? 但与之相对应的Y件环境却不甚乐观。比如普遍存在的Q?br /> 2.1 环境
机房q出控制{没有严格执行Q流于Ş?
门禁pȝ虽有Q但时常q出没有随手关门;
q出人员所做重大操作没有记?
W三方h员进入机房没有明昄可视标识Q不能立卌别出无h护送的讉K者和未佩戴可视标识的人?br /> 2.2 讑֤
|络讑֤、主备没有有效的标记措施Q对资的界定不清晰;
重要的主备没有防盗报警措?
׃券商在不断地上新目Q经帔R要调整网l,|线和电~的普遍走线比较乱,很多|线、电~都没有可识别的记号?br /> 2.3 介质
对移动存储设备没有实行有效管理,各服务器的USB口都是开攄态?br /> 没有对移动存储设备上的敏感数据彻底删除或安全重写?br /> q些问题在很多公司机戉K普遍存在Q甚x证券业要差很多。安全不仅仅是网l安全,更是一个整体的木桶QQ何的短板都会D前功弃Q加强对物理环境的管控应是踏t实实要做好的事情,q种控也不仅仅是在环境上Q更重要的还在Y环境上?br />
三、网l安?br /> q年来证券整体行业效益不错,因此在网l上投入很大Qv点较高,q且׃券商大多数都是跨地域的,整个IP地址的规划也都比较合理,hq箋性,能够 与网l拓扑层ơ结构相适应Q便于进行管理。作为网l徏N要规范性之一的可靠性徏设也受到很大重视Q针Ҏ障恢复、承载能力以及安全配|均充分考虑了关? |络讑֤和重要链路的可靠性徏设:通过交换Z间Trunk互联和专用负载均衡设备,实现动态的冗余热备和流量分担,有效提高了网l的可靠性和可用性。对 于重要的L讑֤同样部v了完善的链\和设备双备䆾Q通过双归属方式的互联和采用主备设备的方式Q可保一旦出现问题可以实现快速的切换Q把对业务的不利 影响降低。同时在交换ZҎ业务的需要划分了相应的VLANQ通过二层隔离有效杜绝了蠕虫病毒的扩散和广播、组播数据流的防z,提高了网l的安全和承? 效率Q确保网l系l具有了良好的扩展性和健壮性?br /> 但是安全问题也L伴随着|络而来Q创C务不断出C要求对外的接口越来越多,例如对各个银行、上交所、深交所的接口。在出口很多的问题下需要认真对待各出口的分界线控制Q这斚wQ已l有很多机构提出了安全域架构的方法,在实践中也取得了认可?br /> 再有是对网l保密的情况考虑不Q在q方面银行走在了前面Q对链\都是由加密机来加密。券商对此尚没有֏Q关键的业务数据在传输时zheng没有 加密手段Q可能被监听泄露。据W者和各信息部门老M的情况看,也ƈ不是没有考虑Q他们担心加密以后对|络的实时性造成影响Q而且券商内跑的应用很多, 业务pȝ与加密机的配合会不会出问题,再者,券商的网l多是专U连接,被窃听的可能q不很大。我承认Q老M的担忧很有道理,在现有技术情况下Q如何进? 无障的链\加密?q也是咱们国内的安全厂家应该L入研I的N?br /> q有一斚w是对网l的理Q目前的|络讑֤基本都具备日志功能,但是׃人手不Q业务繁忙,理_放都很多原因,q没有hd期核查这些日志信 息,也没有专用终端记录处理日志,q会造成即已经被攻MQ管理h员仍然不知道。ƈ且在|络理上没有指定专用终端操作,Z方便很多机器都可以连上去 更改配置?br />
四、系l安?br /> 券商核心业务pȝ多是LINUX、HP-UX{,q些pȝ行面较H,_N该cȝl的Z多,且由于系l的不兼Ҏ得受d的可能性大大降低。但? Ӟ也由于大安不精通,pȝ上发现的一些已知的安全补丁都没打,不是不知道安全漏z,而是因ؓ不敢做,做了以后会对应用产生什么样的媄响大安不知道? q种情况在很多行业都存在Q比如近期我接触q的一个煤矿有个瓦斯监控系l,1分钟都不能停。这UŞ势下Q就要求Ҏ心生产设备做_的外围安全防护?br /> q有一个老生常谈的话题就是口令安全,|络讑֤口o、操作系l口令、应用系l口令、数据库口o{等Q实际对口o的管理和要求始终会有差别。在调研中, 我们也和老M谈过Q大安_我们都知道口令的理Q也知道怎么加强Q但在实际中要考虑证券公司的特D性,例如报盘pȝ登陆易所Q?0多个席位要登录, 有一ơ系l意外重启,我们每个席位口o都很长,够复杂,l果手忙脚ؕ地往里面dQ一边看一ҎQ敲错了q要重来Q最后都搞好Q半个小时过MQ所以这U? 安全手段在证券公司没法考虑的?br /> 非核心业务的其他l端讑֤受系l升U和疏于理{问题,普遍存在着非常多的高风险漏z,甚至包括操作pȝU的弱口令。不q目前对证券业来_基本都做C业务的主辅分,所以威胁有Q但不是很大。既便如此,非核心系l也应给以更多的x?br />
五、安全管?br /> 三分技术七分管理,技术是实现的手D,真正要想做到安全Q管理上一定要下很大的功夫?br /> 5.1安全{略
相关的管理制度各个券商都有不,而且也在不断完善修订。但从整个制度规范颁布后执行情况来看Q其效果q不是很好,主要问题表现在:可操作性差Q甚? 很多条款没有奖惩措施Q这样可能导致员工很隄解或Cq些理性要求,最l执行不h;针对性差Q一份安全管理制度汇~针对了全公司的信息技术h员,? 能有效的区分理角色和对象,从而最l导致制度面太广而无法实?某些安全要求深度不够Q导致在某些斚w的安全管理执行力度不?׃很多安全制度q没? 被太多的可和执行Q因此就无法对公布的制度q行回顾审计Q检查和修改其中不合适的地方?br /> q存在着另一个普遍问题,~Z一套高层的安全{略体系来指导安全管理,最l导致安全工作难以条理化Q一斚w会造成部分工作的遗漏,另一斚w会出现重 叠,甚至会出现哪出问题哪出制度的被动局面。安全策略应该徏立比较明、全面的安全规范要求Qƈ定各策略的制定、维护、变更等理斚w的策略。安全管? 制度是徏立在公司l一安全{略的基之上Qؓ公司推行l一的安全要求的一UŞ式。没有安全策略指导的安全理制度只能是片面性,可操作性差、难以推q和? 行?br /> 5.2安全l织
在安全组l上Q各券商都比较重视,都实C“l一领导Q分布管?#8221;的安全管理体p,建立了安全管理岗位,建立了信息技术h员的岗位职责。在q次查结束之后,证监会也发布了行业的ITȝ指引Q明了安全l织的要求?br /> 5.3资分类与控?br /> 随着业务资的不断增加,很多安全理问题均归C资理问题上。但是,很多没有意识到资产分cL制的重要性,没有对公司内部对公司资q行整理。存在如下问题:
1.没有Ҏ有业务应用系l及资讑֤q行安全属性定义,没有明确需要较高安全保护等U的pȝ和设备,因此很难提高理人员的安全重视程?
2.~Z一套对资理清单的维护审计机Ӟ没有专h负责Ҏ增设备、变更设备等理信息q行及时更新Q导致很多安全事件由此?
3.~Z一套对资变更、系l变更的审计机制Q管理h员对较大的变更情况不做记录,在后期可能会造成很多不必要的ȝ;
4.~Z对设备的保管、用登记和报废斚w的管理,寚w要的讑֤只有Z事故以后才进行保dl护Q而且没有建立l护记录?br /> 5.对各U技术资产及业务资料没有实现密理Q很多机密资料的借阅、复制、打印、销毁等斚w的管理制度很不完善,执行更不严格。部分员工安全意识较差,所有的技术资料放到办公桌上,很容易被W三方合法进入公司的行翻阅查看?br /> 5.4人员安全
券商在安全岗位徏设方面普遍非帔R视,建立了技术岗位职责,对各技术岗位有相应的岗位说明。在pȝ理斚wҎ不同的业务应用系l设|了不同数量的系 l管理员Q他们在保证应用pȝ的正常运行的同时Q也w兼对这些主机的安全理。由于各U安全事件发生后可能的媄响面巨大Q也都明了安全事g发生后的快? 报告程?br /> 管如此Q在人员安全上,存在着较多的问题:
1.内部pȝ理岗位人员不Q很多系l管理员负责多个重要的应用系l,q多的工作量很可能造成操作p情况Q更Ҏ造成安全理的疏?
2.内部安全理岗位人力不Q由于券商组l结构和信息|络的庞大性特点,安全理员不能全权、有效地形成Ҏ个公司自上到下、自本部门至全公司的安全理;
3.没有公司资产的安全理责Q定义C人,特别是普通员工办公机的安全性,很多安全事g的发生不能明责任,入职说明岗位也没有定义管理员的责d义务Q因此不利于促进和推动安全管理工作的执行;
4.理员岗位权职不明确Q有些工作交叉的dl常被互相推卸,理员的权限没有实现“权限最化”原则Q也没有对这些权限较高管理员的审核,使得内部理员滥用授权的隐患时刻存在;?br /> 5.很多员工技术能力有限,某些技术故障和安全事g的发生可能是׃操作p造成的,而提供对信息技术h员进行安全技术培训的Z较少Q也没有技术或任职资格考试的督促机Ӟ使得内部员工安全意识较差Q从而造成安全事故的可能性增?
6.对信息的保密重视不Q在信息技术h员应聘进公司时签订的合同中没有安全保密条ƾ,其是没有针Ҏ些涉密较高岗位制定具体的保密协议?br /> 7.在信息技术h员办理离岗手l方面缺乏明的制度和流E?br /> 8.没有明确的安全管理员和安全审计员角色Q所以对|络和系l的理员所讑֮的访问权限及日常行ؓ没有q行q安全审计?br /> 5.5物理环境安全
机房的徏N有标准化的规范,物理环境也大都符合相兛_全要求,机房h防火、防水、防L讑֤Qƈ均采用双路供电,配备了UPS甉|。在非本公司员工q入机房Ӟ要求q行出入登记记录Q操作记录?br /> 但在机房理斚wq存在以下的问题Q?br /> 1.中心机房有电子门系l,但有时没有做到进出时马上关门?br /> 2.机房没有讄保安理制度?br /> 3.机房的出入管理不严格Q没有严格执行非工作人员必须l过安全责Q可才可以q入机房的管理规定?br /> 4.机柜和主机没有要求在q行中上锁,以防止外来h员误操作Q对L没有采取对输入输备的控制?br /> 5.6通信与操作安?br /> 证监会要求关键业务有备䆾链\Q对各种|络讑֤的配|数据、用h据进行定期备份。各券商做的都很好。但在管理过E中Q还存在以下的问题:
1.技术维护h员没有定期对重要服务器和路由器以及防火墙{设备的安全配置、CPU、内存占用率{进行审计和?br /> 2.主要的网l设备和L均没有定期维护制?br /> 3.对网l设备和L的远E管理没有用固定的理l端?br /> 4.目前没有对系l进行定期的安全漏洞扫描工作Q某些主虑到媄响业务原因没有定期对pȝ的补丁进行修补和加固?br />
六、ȝ
6.1安全意识
针对证券行业信息pȝ|络现状而言Q由于发展较快,|络规模较大Q对信息pȝ安全很高Q系l的安全状况应成Z业网l关注的重点。在把资金都投在了应 用系l徏讄同时Q不能忽视了信息安全保障投资。在员工的安全意识方面,没有建立长期、系l、有效的安全意识、专业素质、安全管理、服务水q的培训。同 Ӟ在责d分上不够明确Q缺乏奖惩机制。因此,提高领导、员工的安全意识是当务之急?br /> 6.2整体安全Ҏ
各券商在安全斚wQ也投入了一些设备,但ȝ来说Q安全思\仍需拓宽。比如在渗透测试中普遍发现的问题。在防火墙的讄上,也有不。口令安全、配|? 安全上的工作也不够完善。没有定期分析日志发现异常,安全制度不完善,如此{等。说到底是~Z一套整体安全方案,一个没有整体安全规划的pȝQ安全是? 定没有保障的?br /> 6.3pȝ安全
主要是没有安全地安装配置、用户和目录权限讄及徏立适当的安全策略等pȝ安全处理加固。例如:没有打安全补丁、安装时为方便用简单口令、默认口 令,而后来又不更攏V没有进行适当的目录和文g权限讄、没有进行适当的用h限设|、打开了过多的不必要的服务、没有对自己的应用系l进行安全检等 {。事实上pȝ和应用大多是ql集成商来完成的Q但pȝ集成商的做法往往是最大化安装Q以方便安装调试Q把整个pȝ调通就完成了dQ会留下很多的安 全隐?而安全却恰恰相反Q遵循最化原则Q要求没必要的东西一定不要,有必要的也要严加限制使用。这和系l集成好像构成了一个矛盾,事实上却不是Q最? 化原则实际上降低了系l负荗提高了应用pȝ的性能Q增Z安全性,而问题在于大多数集成商不具备专业安全设计和防范能力?br /> 6.4安全理机制
安全和管理是分不开的,即便有好的安全设备和pȝQ没有一套好的安全管理方法ƈ贯彻实施Q值得注意的是q里的不仅要有安全管理方法,而且q要贯彻 实施Q否则安全就是空谈。安全管理的目的在于两点Q一是最大程度地保护|络Q得其安全地运行,再就是一旦发生黑客事件后能最大程度地挽回损失。所以徏? 定期的安全检、口令管理、h员管理、策略管理、备份管理、日志管理等一pd理Ҏ和制度,q严DL行,与奖惩制度的联动是非常必要的?br /> 6.5动态安?br /> 在这ơ安全大查以后,l过专业|络安全设计整改Q即q行了安全网l拓朴和路由、安全网l系l设计、安全品防护、安全系l处理和整体安全等安全 处理后,pȝ的安全是有保障的。但需要指出的是安全是相对的,因ؓ随着操作pȝ和应用系l漏z的不断发现以及口o很久没有更改{情늚发生Q整个系l的? 全性就受到了威胁,q时候若不及时进行打安全补丁或更换口令就很可能被一直在企图入R却未能成功的黑客Lȝ。所以,安全是相对的Q是动态的Q只有及? 对系l安全问题进行跟t解冻I定期整体安全评估Q及时发现问题ƈ解决Q才能确保系l具有良好的安全性?br /> 6.6人才培养
在这ơ检查中Q我们也注意刎ͼl大部分的主机、网l情况都只有个别Z解。这与证怸q猛发展的信息技术规模是不相适应的。券商也应在下一步的工作中,U极发掘、培d全方向上的专业h才,注重培训和锻|同时也应力保证人才的稳定性?br />
]]>