|
化解“中弹”危机在中国证监会最近的IT系统大抽查中,17家基金公司“中弹”,某券商网站在被证监会“黑客”侵入后竟浑然不觉。基金公司和券商的安全系统为什么会如此不堪一击? 股市指数跳水,基金交易放缓,股民和基民们的心灵本已脆弱得不堪一击。 9月份,又曝出多家基金公司在中国证监会的IT系统抽查中“中弹”——17家基金公司的IT系统稳定问题“较为严重”,其中4家基金公司的IT系统安全问题非常严重。某证券公司网站也被成功潜入,由证监会安排的“黑客”轻松窃取该公司客户资料后“神不知鬼不觉”地离开了。 这在业内掀起了轩然大波。基金、证券公司安全“中招”的原因究竟是什么?现阶段的安全现状又如何?如何归规避类似的安全风险呢? 内情再现 “其实,从券商网站遭到入侵这件事本身来看,造成的危害并不像外界想像的那么严重。”在证券行业纵横10年之久的张军(化名)说。通常,了解技术的人都知道,券商和基金公司的核心资料不可能存放到网站上,而且它们基本都采取了内外网隔离技术。 但实际上,普通大众不可能拥有IT专业人员的技术背景,在他们眼中,网站就等同于券商和基金公司的核心系统,攻破了网站,也就意味着“踹开”了券商和基金公司的大门,所有有价值的信息将被黑客如探囊取物般掳走。 所以尽管此次事件的实质性危害不大,但是证监会“黑客”侵入带来的形象危机和信任度的降低却不可小视。 多家券商和基金公司都表示,由于奥运维稳的要求,今年安全工作抓得非常紧,证监会多次下达检查和整改的文件。这次严查后确实暴露出了基金公司和券商的深层安全问题。以券商为例,近几年证券业掀起了一股从分散的营业所向总部大集中的热潮,可是,尽管系统在紧锣密鼓地改造中,但人马还是原来那套人马,安全意识和手段不可能马上提升上去,难免埋下种种安全隐患。加上今年的行情与去年相比出现了截然相反的变化,对CIO来说,IT稳定运行和防护的要求并不亚于峰值不断被刷新的牛市时期。 相比较而言,基金公司成立比较晚,资金也比较充足,网络架构相对成熟,系统变革也不像券商那样频繁,具有“后发优势”;加上不少券商的IT人员跳到基金公司,也移植了不少宝贵的经验。不过,基金公司和券商同样面临着日趋敏感的安全大环境。由于国际经济环境的不断恶化,中国市场越来越重要,吸引了越来越多国际黑客的关注。和“法力高强”的黑客相比,基金行业的安全思想和手段尤其薄弱,特别是对很多小基金公司来说,资金少,人手少,防火墙还是5年前购买的,只是每年打几个补丁,这样很容易成为被黑客盯上的“肥肉”。更可怕的是,大多数小基金公司并没有意识到潜在的危险性,相反却抱着侥幸的心理。 从危机到转机 环境变了,标准高了,要求高了,基础不牢,安全管理实施难度更大,这就是当前基金和证券行业安全现状的写照。不过,某证券公司相关负责人表示,换一个角度来看,这也可看作是券商和基金公司们“扎好篱笆,勤练内功”的好时机。 自今年五一以来,一些证券业CIO就一直在加班加点,周末也不能有闲暇休息。家人和朋友都很疑惑:不是说熊市已经来临了吗?你怎么比去年牛市时还要忙?某证券公司相关负责人表示,市场景气时要忙着系统扩容,市场低迷时责任更大,千方百计都要保护系统稳定,维持市场信心。所以不管熊市牛市,首席信息官(CIO)总是最累的。 今年9月4日,中国证券业协会和中国期货业协会联合制定的《证券期货经营机构信息技术治理工作指引(试行)》(下称“工作指引”)正式发布,其中安全是非常重要的一部分。对CIO来说,正好可以借助外部动力,进一步将安全管理落实到位。因为工作指引的颁发,意味着公司领导层必须真正重视和管理企业的IT和安全。在此同时,一直“雷声大,雨点小”,早在10多年前就发布的信息安全等级保护制度也有了初步的进展。此前,国家虽然规定信息系统必须实施等级保护,但是只有一揽子规范,缺乏相关的管理办法和等级标准,导致安全措施的推进很是缓慢。而2007年开展的安全等级保护制度的试验性推广,也取得了一些成效。 中信建投证券公司是安全等级保护试点企业之一,他们的安全建设非常注重安全架构的搭建,这正是很多券商和基金公司的薄弱环节。业内资深人士张军表示,搭架构就像建房子之前要画好设计图纸,是安全成败之关键。房子要规划成几室几厅,分别用于什么功能?每个房间上智能锁,普通锁,还是不装锁,要不要装感应探头等?对企业而言,合理的布局相当重要,否则会造成致命的创伤。比如原来用做仓储的房间要改成淋浴房,必须临时破墙安装增加喷头,但是原先没有排过管道线路,不得不绕一大圈连线,还有可能接不上,或者破坏原有设施的一些功能。 同时,宋群力始终将标准化贯穿其中,并力求做到“统一规划,统一部署,统一管理”。以网络架构为例,每个营业部网点都推行标准结构,物理上有两台骨干交换机和两台机房专用二级交换机,并且根据规模配置数量不等的客户用交换机;同时配置两台路由器;还有两条不一样的电信运营商线路;而广域网通信策略,路由器策略等也都统一规划。 防范重于治理 要想控制基金和证券行业的风险,搭建安全架构是迈出了重要的第一步,但防护同样必不可少。 博时基金管理有限公司(下称博时基金)信息技术部总经理林琦表示,随着企业管理资产规模的增大,客户数量增多,更要考虑企业的连续性发展问题。至今为止,博时基金已经在北京和深圳两地建立了5~6个TB的异地准实时灾备中心,并且在今年已经进行了实际演练。 尽管购买了安全设备,采取了必要的安全手段,不过,业内人士表示,部分基金公司和券商在安全防范上还存在意识不够问题。比如,一些企业由于惰性或其他原因疏于安全维护,但是安全设备“不更新,不防护,就是一个敞开的后门”。 此外,通常网站应该采取纵深防御,也就是说因特网的连接处要有一套防火墙设备,网站后的连接处还要有一套安全设备。出于安全考虑,这两套设备应该采取不同的品牌,但是有些企业只从商业角度考虑这个问题,这就导致前面一套一旦被攻破,后面一套也就不攻自破了。 而且“安全是一个整体,出现任何短板,都会使其不攻自破。”资深人士张军说。比如防火墙进入中国市场早,应用范围广,一些企业老总对防火墙过于迷信,造成滥用。其实,防火墙只能解决部分问题。像入侵检测这类对IT人员要求较高的技术应用较少,挖掘得也不够。由于入侵检测会报出几千甚至几万条信息,IT安全人员需要像警察那样,一眼认出形迹可疑的坏人,必须拥有非常丰富的经验。此外,交换机成为短板的情况也很严重。 另外一个较严重的问题是安全制度的缺失。令CIO有苦难言的是,老总是制度的制定者,往往也是破坏者。员工不停升级杀毒软件,老总的笔记本却不能做到及时更新。而且这种“轻慢心态”,会逐渐从外围系统向核心系统蔓延,最终导致层层失权,层层失守。 中国证监会的频繁抽查已经给券商、基金公司们敲响了一记警钟,安全就像逆水行舟,不进则退。对基金公司和券商来说,要想避开“子弹”的袭击,就得制定完整的安全架构,提高安全意识,规范安全制度。业内人士表示,安全管理的道路,没有捷径可言,只有老老实实地做好防范。 来源:《信息周刊》 责编:姜玲 微信扫一扫实时了解行业动态 微信扫一扫分享本文给好友 著作权声明:畅享网文章著作权分属畅享网、网友和合作伙伴,部分非原创文章作者信息可能有所缺失,如需补充或修改请与我们联系,工作人员会在1个工作日内配合处理。 |
最新专题 |
|