----------------------------------------------
这几年也做过
些证券公司
评估项目
正好看到这篇帖子内容算是比较真实特转载
----------------------------------------------
今年以来
我国股市接连受到重挫造成了部分股民不满同时也出现了针对证券公司进行网络攻击恶性事件因此证监会组织了对全国证券业安全大检查笔者
工作原因参和并负责了几个大型证券公司安全检查检查从体情况来看有喜有忧喜是证券业前几年行情不好直没有资金进行充分IT基础建设造成IT建设欠债太多但最近两年已经迎头赶上并且证券业创新产品层出不穷忧是这两年券商IT部门直被赶着做事情又造成对信息安全问题重视不够出现了很多新风险尤其在当前股市震荡情况下威胁越来越大它山的石可以攻玉对于各个行业安全管理员来说保障信息安全是个任重而道远工作本文基于在证券业安全问题上些经验和研究希望也能够给其他行业安全管理员提供帮助整个安全大检查从几个方面进行了审查
包括网站WebSite安全、物理安全、网络安全、系统安全和管理安全、网站WebSite安全证监会组织了人手对所有券商
网站WebSite进行了渗透测试(模拟黑客攻击思路方法对网站WebSite攻击但不做破坏性举动)虽然最后证监会没有公布网站WebSite渗透测试结果但就笔者负责4个券商安全检查来看全部都被攻陷被攻陷思路方法全都是sql注入并且还发现了源代码泄露、跨站漏洞等问题所幸是经过检查没有发现这几个网站WebSite被人入侵过或者有什么远程后门总来看大家对安全补丁、系统自身加固都很重视没发现什么明显疏忽但是在WEB安全编程上还做得远远不够究其原因由于券商自身不具备网站WebSite开发能力网站WebSite开发都是外包来做而外包公司在
代码审核上做远远不够代码中可能漏洞有溢出漏洞、跨站脚本漏洞、SQL注入漏洞等还有些设计不周到而导致信息泄露问题也应该得到重视这些漏洞本身可能没什么大威胁但非常有助于攻击者利用其他漏洞进行攻击当前总体网络安全状态是基于操作系统本身漏洞入侵已经没有大增加而由于应用系统复杂性和特异性基于应用入侵已大幅度增加所以在这方面还有许多需要加强工作从证券业
网站WebSite安全来看入侵甚至在C盘根目录上写入文件都不是什么难事笔者在其他些行业评估中也发现同样问题存在并且今年安全形势报告中也提到仅在5月份全国就有12万网站WebSite受到sql注入式攻击因此可见面对新型攻击手段安全部门响应速度迟缓网站WebSite是个企业门面如果网站WebSite被篡改带来负面影响会很大加强网站WebSite安全防护应是当务的急2、物理安全
物理安全作为信息安全
基础在整个信息安全体系建设中扮演着非常重要作用而物理安全好坏直接影响到网络安全、系统安全和安全管理等等层面对于券商来说机房是生产核心工具这几年来管理层对此也不断提出要求目前看来硬件环境已经比较可靠空调、湿度控制、防火、区域标识等相对完善但和的相对应软件Software环境却不甚乐观比如普遍存在:2.1 环境
机房进出控制等级没有严格执行
流于形式;门禁系统虽有
但时常进出没有随手关门;进出人员所做重大操作没有记录;
第 3方人员进入机房没有明显
可视标识不能立即识别出无人护送访问者和未佩戴可视标识人2.2 设备
网络设备、主机设备没有有效
标记措施对资产界定不清晰;重要
主机设备没有防盗报警措施;由于券商在不断地上新项目
经常需要调整网络网线和电缆普遍走线比较乱很多网线、电缆都没有可识别记号2.3 介质
对移动存储设备没有实行有效管理
各服务器USB口都是开放状态没有对移动存储设备上
敏感数据彻底删除或安全重写这些问题在很多公司机房都普遍存在
甚至比证券业要差很多安全不仅仅是网络安全更是个整体木桶任何短板都会导致前功尽弃加强对物理环境管控应是踏踏实实要做好事情这种管控也不仅仅是在硬环境上更重要还在软环境上3、网络安全
近年来证券整体行业效益不错
因此在网络上投入很大起点较高并且由于券商大多数都是跨地域整个IP地址规划也都比较合理具有连续性能够和网络拓扑层次结构相适应便于进行管理作为网络建设重要规范标准性的可靠性建设也受到很大重视针对故障恢复、承载能力以及安全配置均充分考虑了关键网络设备和重要链路可靠性建设:通过交换机的间Trunk互联和专用负载均衡设备实现动态冗余热备和流量分担有效提高了网络可靠性和可用性对于重要主机设备同样部署了完善链路和设备双备份通过双归属方式互联和采用主备设备方式可确保旦出现问题可以实现快速切换把对业务不利影响降低同时在交换机上根据业务需要划分了相应VLAN通过 2层隔离有效杜绝了蠕虫病毒扩散和广播、组播数据流防洪提高了网络安全和承载效率确保网络系统具有了良好扩展性和健壮性但是安全问题也总是伴随着网络建设而来
创新业务不断出现也要求对外接口越来越多例如对各个银行、上交所、深交所接口在出口很多问题下需要认真对待各出口分界线控制这方面已经有很多机构提出了安全域架构思路方法在实战中也取得了认可再有就是对网络保密
情况考虑不足在这方面银行走在了前面对链路都是由加密机来加密券商对此尚没有顾及关键业务数据在传输时zheng没有加密手段可能被监听泄露据笔者和各信息部门老总交流情况看也并不是没有考虑他们担心加密以后对网络实时性造成影响而且券商内跑应用很多业务系统和加密机配合会不会出问题再者券商网络多是专线连接被窃听可能并不很大我承认老总们担忧很有道理在现有技术情况下如何进行无障碍链路加密?这也是咱们国内安全厂家应该去深入研究课题还有
方面就是对网络管理:目前网络设备基本都具备日志功能但是由于人手不足业务繁忙管理粗放都很多原因并没有人去定期核查这些日志信息也没有专用终端记录处理日志这会造成即使已经被攻击了管理人员仍然不知道并且在网络管理上没有指定专用终端操作为了方便很多机器都可以连上去更改配置4、系统安全
券商核心业务系统多是LINUX、HP-UX等
这些系统流行面较窄精通该类系统人不多且由于系统不兼容性使得受攻击可能性大大降低但同时也由于大家都不精通系统上发现些已知安全补丁都没打不是不知道安全漏洞而是不敢做做了以后会对应用产生什么样影响大家都不知道这种情况在很多行业都存在比如近期我接触过个煤矿有个瓦斯监控系统1分钟都不能停这种形势下就要求对核心生产设备做足够外围安全防护还有
个老生常谈话题就是口令安全网络设备口令、操作系统口令、应用系统口令、数据库口令等等实际对口令管理和要求始终会有差别在调研中我们也和老总们谈过大家都说:我们都知道口令管理也知道如何加强但在实际中要考虑证券公司特殊性例如报盘系统登陆易所20多个席位要登录有次系统意外重启我们每个席位口令都很长够复杂结果手忙脚乱地往里面登录边看边敲敲错了还要重来最后都搞好半个小时过去了所以这种安全手段在证券公司没法考虑非核心业务
其他终端设备受系统升级和疏于管理等问题普遍存在着非常多高风险漏洞甚至包括操作系统级弱口令不过目前对证券业来说基本都做到了业务主辅分离所以威胁有但不是很大既便如此非核心系统也应给以更多关注5、安全管理
3分技术 7分管理
技术是实现手段真正要想做到安全管理上定要下很大功夫5.1安全策略
相关
管理制度各个券商都有不少而且也在不断完善修订但从整个制度规范标准颁布后执行情况来看其效果并不是很好主要问题表现在:可操作性差甚至很多条款没有奖惩措施这样可能导致员工很难理解或记住这些管理性要求最终执行不起来;针对性差份安全管理制度汇编针对了全公司信息技术人员不能有效区分管理角色和对象从而最终导致制度面太广而无法实施;某些安全要求深度不够导致在某些方面安全管理执行力度不够;由于很多安全制度并没有被太多人认可和执行因此就无法对公布制度进行回顾审计检查和修改其中不合适地方还存在着另
个普遍问题缺乏套高层安全策略体系来指导安全管理最终导致安全工作难以条理化方面会造成部分工作遗漏另方面会出现重叠甚至会出现哪出问题哪出制度被动局面安全策略应该建立比较明确、全面安全规范标准要求并确定各策略制定、维护、变更等管理方面策略安全管理制度是建立在公司统安全策略基础的上为公司推行统安全要求种形式没有安全策略指导安全管理制度只能是片面性可操作性差、难以推广和执行5.2安全组织
在安全组织上
各券商都比较重视都实现了“统领导分布管理”安全管理体系建立了安全管理岗位建立了信息技术人员岗位职责在这次检查结束的后证监会也发布了行业IT治理指引明确了安全组织要求5.3资产分类和控制
随着业务资产
不断增加很多安全管理问题均归到了资产管理问题上但是很多人还没有意识到资产分类控制重要性没有对公司内部对公司资产进行整理存在如下问题:1.没有对所有业务应用系统及资产设备进行安全属性定义
没有明确需要较高安全保护等级系统和设备因此很难提高管理人员安全重视程度;2.缺乏
套对资产管理清单维护审计机制没有专人负责对新增设备、变更设备等管理信息进行及时更新导致很多安全事件由此产生;3.缺乏
套对资产变更、系统变更审计机制管理人员对较大变更情况不做记录在后期可能会造成很多不必要麻烦;4.缺乏对设备
保管、使用登记和报废方面管理对重要设备只有出了事故以后才进行保养和维护而且没有建立维护记录5.对各种技术资产及业务资料没有实现密级管理
很多机密资料借阅、复制、打印、销毁等方面管理制度很不完善执行更不严格部分员工安全意识较差所有技术资料放到办公桌上很容易被第 3方合法进入公司人进行翻阅查看5.4人员安全
券商在安全岗位建设方面普遍非常重视
建立了技术岗位职责对各技术岗位有相应岗位介绍说明在系统管理方面根据区别业务应用系统设置了区别数量系统管理员他们在保证应用系统正常运行同时也身兼对这些主机安全管理由于各种安全事件发生后可能影响面巨大也都明确了安全事件发生后快速报告流程尽管如此
在人员安全上存在着较多问题:1.内部系统管理岗位人员不足
很多系统管理员负责多个重要应用系统过多工作量很可能造成操作失误情况更容易造成安全管理疏忽;2.内部安全管理岗位人力不足
由于券商组织结构和信息网络庞大性特点安全管理员不能全权、有效地形成对整个公司自上到下、自本部门至全公司安全管理;3.没有将公司资产
安全管理责任定义到个人特别是普通员工办公机安全性很多安全事件发生不能明确责任入职介绍说明岗位也没有定义管理员责任和义务因此不利于促进和推动安全管理工作执行;4.管理员岗位权职不明确
有些工作交叉任务经常被互相推卸管理员权限没有实现“权限最小化”原则也没有对这些权限较高管理员审核使得内部管理员滥用授权隐患时刻存在;、5.很多员工技术能力有限
某些技术故障和安全事件发生可能是由于操作失误造成而提供对信息技术人员进行安全技术培训机会较少也没有技术或任职资格考试督促机制使得内部员工安全意识较差从而造成安全事故可能性增大;6.对信息
保密重视不足在信息技术人员应聘进公司时签订合同中没有安全保密条款尤其是没有针对某些涉密较高岗位制定具体保密协议7.在信息技术人员办理离岗手续方面缺乏明确
制度和流程8.没有明确
安全管理员和安全审计员角色所以对网络和系统管理员所设定访问权限及日常行为没有进行过安全审计5.5物理环境安全
机房
建设都有标准化规范标准物理环境也大都符合相关安全要求机房具有防火、防水、防雷等设备并均采用双路供电配备了UPS电源在非本公司员工进入机房时要求进行出入登记记录操作记录但在机房管理方面还存在以下
问题:1.中心机房有电子门禁系统
但有时没有做到进出时马上关门2.机房没有设置保安管理制度
3.机房
出入管理不严格没有严格执行非工作人员必须经过安全责任人许可才可以进入机房管理规定4.机柜和主机没有要求在运行中上锁
以防止外来人员误操作对主机没有采取对输入输出设备控制5.6通信和操作安全
证监会要求关键业务有备份链路
对各种网络设备配置数据、用户数据进行定期备份各券商做都很好但在管理过程中还存在以下问题:1.技术维护人员没有定期对重要服务器和路由器以及防火墙等设备
安全配置、CPU、内存占用率等进行审计和检查2.主要
网络设备和主机均没有定期维护制度3.对网络设备和主机
远程管理没有使用固定管理终端4.目前没有对系统进行定期
安全漏洞扫描工作某些主机考虑到影响业务原因没有定期对系统补丁进行修补和加固6、整理总结
6.1安全意识
针对证券行业信息系统网络现状而言
由于发展较快网络规模较大对信息系统安全很高系统安全状况应成为企业网络关注重点在把资金都投在了应用系统建设同时不能忽视了信息安全保障投资在员工安全意识方面没有建立长期、系统、有效安全意识、专业素质、安全管理、服务水平培训同时在责任划分上不够明确缺乏奖惩机制因此提高领导、员工安全意识是当务的急6.2整体安全方案
各券商在安全方面
也投入了些设备但总来说安全思路仍需拓宽比如在渗透测试中普遍发现问题在防火墙设置上也有不足口令安全、配置安全上工作也不够完善没有定期分析日志发现异常安全制度不完善如此等等说到底就是缺乏套整体安全方案个没有整体安全规划系统安全是肯定没有保障6.3系统安全
主要是没有安全地安装配置、用户和目录权限设置及建立适当
安全策略等系统安全处理加固例如:没有打安全补丁、安装时为方便使用简单口令、默认口令而后来又不更改、没有进行适当目录和文件权限设置、没有进行适当用户权限设置、打开了过多不必要服务、没有对自己应用系统进行安全检测等等事实上系统和应用大多是由系统集成商来完成但系统集成商做法往往是最大化安装以方便安装调试把整个系统调通就算完成了任务会留下很多安全隐患;而安全却恰恰相反遵循最小化原则要求没必要东西定不要有必要也要严加限制使用这和系统集成好像构成了个矛盾事实上却不是最小化原则实际上降低了系统负荷、提高了应用系统性能增强了安全性而问题在于大多数集成商不具备专业安全设计和防范能力6.4安全管理机制
安全和管理是分不开
即便有好安全设备和系统没有套好安全管理思路方法并贯彻实施值得注意是这里强调不仅要有安全管理思路方法而且还要贯彻实施否则安全就是空谈安全管理目在于两点:是最大程度地保护网络使得其安全地运行再就是旦发生黑客事件后能最大程度地挽回损失所以建立定期安全检测、口令管理、人员管理、策略管理、备份管理、日志管理等系列管理思路方法和制度并严格贯彻执行和奖惩制度联动是非常必要6.5动态安全
在这次安全大检查以后
经过专业网络安全设计整改即进行了安全网络拓朴和路由、安全网络系统设计、安全产品防护、安全系统处理和整体安全检测等安全处理后系统安全是有保障但需要指出是安全是相对随着操作系统和应用系统漏洞不断发现以及口令很久没有更改等情况发生整个系统安全性就受到了威胁这时候若不及时进行打安全补丁或更换口令就很可能被直在企图入侵却未能成功黑客轻易攻破所以安全是相对是动态只有及时对系统安全问题进行跟踪解决定期整体安全评估及时发现问题并解决才能确保系统具有良好安全性6.6人才培养
在这次检查中
我们也注意到绝大部分主机、网络情况都只有个别人了解这和证券业迅猛发展信息技术规模是不相适应券商也应在下步工作中积极发掘、培养安全方向上专业人才注重培训和锻炼同时也应尽力保证人才稳定性
最新评论