今年以來,我國股市接連受到重挫,造成了部分股民的不滿,同時也出現了針對證券公司進行網絡攻擊的惡性事件。因此,證監會組織了對全國證券業的安全大檢查。筆者因為工作原因,參與并負責了幾個大型證券公司的安全檢查。檢查的從體情況來看,有喜有憂。喜的是證券業前幾年行情不好,一直沒有資金進行充分的IT基礎建設,造成IT建設欠債太多,但最近兩年已經迎頭趕上,并且證券業創新產品層出不窮。憂的是這兩年券商的IT部門一直被趕著做事情,又造成對信息安全問題重視不夠,出現了很多新的風險,尤其在當前股市震蕩的情況下,威脅越來越大。它山之石可以攻玉,對于各個行業的安全管理員來說,保障信息安全是一個任重而道遠的工作。本文基于在證券業安全問題上的一些經驗和思考,希望也能夠給其他行業的安全管理員提供幫助。
整個安全大檢查從幾個方面進行了審查,包括網站安全、物理安全、網絡安全、系統安全和管理安全。
一、網站安全
證監會組織了人手對所有券商的網站進行了滲透測試(模擬黑客攻擊的方法對網站攻擊,但不做破壞性舉動),雖然最后證監會沒有公布網站滲透測試的結果,但就筆者負責的4個券商安全檢查來看,全部都被攻陷,被攻陷的方法全都是sql注入,并且還發現了源代碼泄露、跨站漏洞等問題。所幸的是,經過檢查,沒有發現這幾個網站被人入侵過或者有什么遠程后門。總的來看,大家對安全補丁、系統自身的加固都很重視,沒發現什么明顯疏忽,但是在WEB的安全編程上還做得遠遠不夠。究其原因,由于券商自身不具備網站開發能力,網站開發都是外包來做,而外包公司在程序的代碼審核上做的遠遠不夠,代碼中可能的漏洞有溢出漏洞、跨站腳本漏洞、SQL注入漏洞等,還有一些因為程序設計不周到而導致的信息泄露問題也應該得到重視,這些漏洞本身可能沒什么大的威脅,但非常有助于攻擊者利用其他漏洞進行攻擊。當前總體的網絡安全狀態是基于操作系統本身漏洞的入侵已經沒有大的增加,而由于應用系統的復雜性和特異性,基于應用的入侵已大幅度增加,所以在這方面還有許多需要加強的工作。
從證券業的網站安全來看,入侵甚至在C盤根目錄上寫入文件,都不是什么難事。筆者在其他一些行業的評估中,也發現同樣問題的存在,并且今年的安全形勢報告中也提到,僅在5月份,全國就有12萬網站受到sql注入式的攻擊。因此可見,面對新型的攻擊手段,安全部門響應速度遲緩。網站是一個企業的門面,如果網站被篡改,帶來的負面影響會很大,加強網站的安全防護,應是當務之急。
二、物理安全
物理安全作為信息安全的基礎,在整個信息安全體系建設中扮演著非常重要的作用,而物理安全的好壞直接影響到網絡安全、系統安全和安全管理等等層面。對于券商來說,機房是生產的核心工具,這幾年來,管理層對此也不斷提出要求,目前看來,硬件環境已經比較可靠,空調、濕度控制、防火、區域標識等相對完善,但與之相對應的軟件環境卻不甚樂觀。比如普遍存在的:
2.1 環境
機房進出控制等級沒有嚴格執行,流于形式;
門禁系統雖有,但時常進出沒有隨手關門;
進出人員所做重大操作沒有記錄;
第三方人員進入機房沒有明顯的可視標識,不能立即識別出無人護送的訪問者和未佩戴可視標識的人。
2.2 設備
網絡設備、主機設備沒有有效的標記措施,對資產的界定不清晰;
重要的主機設備沒有防盜報警措施;
由于券商在不斷地上新項目,經常需要調整網絡,網線和電纜的普遍走線比較亂,很多網線、電纜都沒有可識別的記號。
2.3 介質
對移動存儲設備沒有實行有效管理,各服務器的USB口都是開放狀態。
沒有對移動存儲設備上的敏感數據徹底刪除或安全重寫。
這些問題在很多公司機房都普遍存在,甚至比證券業要差很多。安全不僅僅是網絡安全,更是一個整體的木桶,任何的短板都會導致前功盡棄,加強對物理環境的管控應是踏踏實實要做好的事情,這種管控也不僅僅是在硬環境上,更重要的還在軟環境上。
三、網絡安全
近年來證券整體行業效益不錯,因此在網絡上投入很大,起點較高,并且由于券商大多數都是跨地域的,整個IP地址的規劃也都比較合理,具有連續性,能夠與網絡拓撲層次結構相適應,便于進行管理。作為網絡建設重要規范性之一的可靠性建設也受到很大重視,針對故障恢復、承載能力以及安全配置均充分考慮了關鍵網絡設備和重要鏈路的可靠性建設:通過交換機之間Trunk互聯和專用負載均衡設備,實現動態的冗余熱備和流量分擔,有效提高了網絡的可靠性和可用性。對于重要的主機設備同樣部署了完善的鏈路和設備雙備份,通過雙歸屬方式的互聯和采用主備設備的方式,可確保一旦出現問題可以實現快速的切換,把對業務的不利影響降低。同時在交換機上根據業務的需要劃分了相應的VLAN,通過二層隔離有效杜絕了蠕蟲病毒的擴散和廣播、組播數據流的防洪,提高了網絡的安全和承載效率,確保網絡系統具有了良好的擴展性和健壯性。
但是安全問題也總是伴隨著網絡建設而來,創新業務不斷出現也要求對外的接口越來越多,例如對各個銀行、上交所、深交所的接口。在出口很多的問題下需要認真對待各出口的分界線控制,這方面,已經有很多機構提出了安全域架構的方法,在實踐中也取得了認可。
再有就是對網絡保密的情況考慮不足,在這方面銀行走在了前面,對鏈路都是由加密機來加密。券商對此尚沒有顧及,關鍵的業務數據在傳輸時zheng沒有加密手段,可能被監聽泄露。據筆者和各信息部門老總交流的情況看,也并不是沒有考慮,他們擔心加密以后對網絡的實時性造成影響,而且券商內跑的應用很多,業務系統與加密機的配合會不會出問題,再者,券商的網絡多是專線連接,被竊聽的可能并不很大。我承認,老總們的擔憂很有道理,在現有技術情況下,如何進行無障礙的鏈路加密?這也是咱們國內的安全廠家應該去深入研究的課題。
還有一方面就是對網絡的管理:目前的網絡設備基本都具備日志功能,但是由于人手不足,業務繁忙,管理粗放都很多原因,并沒有人去定期核查這些日志信息,也沒有專用終端記錄處理日志,這會造成即使已經被攻擊了,管理人員仍然不知道。并且在網絡管理上沒有指定專用終端操作,為了方便很多機器都可以連上去更改配置。
