证券行业信息系统安全检查经验谈

证券行业信息系统安全检查经验谈 今年以来 我国股市接连受到重挫 造成了部分股民的不满 同时也出现了针对证券公司进行网络攻击的 恶性事件 因此 证监会组织了对全国证券业的安全大检查 笔者因为工作原因 参与并负责了几个大型 证券公司的安全检查 检查的从体情况来看 有喜有忧 喜的是证券业前几年行情不好 一直没有资金进 行充分的 IT 基础建设 造成 IT 建设欠债太多 但最近两年已经迎头赶上 并且证券业创新产品层出不穷 忧的是这两年券商的 IT 部门一直被赶着做事情 又造成对信息安全问题重视不够 出现了很多新的风险 尤其在当前股市震荡的情况下 威胁越来越大 它山之石可以攻玉 对于各个行业的安全管理员来说 保 障信息安全是一个任重而道远的工作 本文基于在证券业安全问题上的一些经验和思考 希望也能够给其 他行业的安全管理员提供帮助 整个安全大检查从几个方面进行了审查 包括网站安全 物理安全 网络安全 系统安全和管理安全 一 网站安全 证监会组织了人手对所有券商的网站进行了渗透测试 模拟黑客攻击的方法对网站攻击 但不做破坏 性举动 虽然最后证监会没有公布网站渗透测试的结果 但就笔者负责的 4 个券商安全检查来看 全部 都被攻陷 被攻陷的方法全都是 sql 注入 并且还发现了源代码泄露 跨站漏洞等问题 所幸的是 经过 检查 没有发现这几个网站被人入侵过或者有什么远程后门 总的来看 大家对安全补丁 系统自身的加 固都很重视 没发现什么明显疏忽 但是在 WEB 的安全编程上还做得远远不够 究其原因 由于券商自 身不具备网站开发能力 网站开发都是外包来做 而外包公司在程序的代码审核上做的远远不够 代码中 可能的漏洞有溢出漏洞 跨站脚本漏洞 SQL 注入漏洞等 还有一些因为程序设计不周到而导致的信息 泄露问题也应该得到重视 这些漏洞本身可能没什么大的威胁 但非常有助于攻击者利用其他漏洞进行攻 击 当前总体的网络安全状态是基于操作系统本身漏洞的入侵已经没有大的增加 而由于应用系统的复杂 性和特异性 基于应用的入侵已大幅度增加 所以在这方面还有许多需要加强的工作 从证券业的网站安全来看 入侵甚至在 C 盘根目录上写入文件 都不是什么难事 笔者在其他一些 行业的评估中 也发现同样问题的存在 并且今年的安全形势报告中也提到 仅在 5 月份 全国就有 12 万网站受到 sql 注入式的攻击 因此可见 面对新型的攻击手段 安全部门响应速度迟缓 网站是一个企 业的门面 如果网站被篡改 带来的负面影响会很大 加强网站的安全防护 应是当务之急 二 物理安全 物理安全作为信息安全的基础 在整个信息安全体系建设中扮演着非常重要的作用 而物理安全的好 坏直接影响到网络安全 系统安全和安全管理等等层面 对于券商来说 机房是生产的核心工具 这几年 来 管理层对此也不断提出要求 目前看来 硬件环境已经比较可靠 空调 湿度控制 防火 区域标识 等相对完善 但与之相对应的软件环境却不甚乐观 比如普遍存在的 2 1 环境 机房进出控制等级没有严格执行 流于形式 门禁系统虽有 但时常进出没有随手关门 进出人员所做重大操作没有记录 第三方人员进入机房没有明显的可视标识 不能立即识别出无人护送的访问者和未佩戴可视标识的人 2 2 设备 网络设备 主机设备没有有效的标记措施 对资产的界定不清晰 重要的主机设备没有防盗报警措施 由于券商在不断地上新项目 经常需要调整网络 网线和电缆的普遍走线比较乱 很多网线 电缆都 没有可识别的记号 2 3 介质 对移动存储设备没有实行有效管理 各服务器的 USB 口都是开放状态 没有对移动存储设备上的敏感数据彻底删除或安全重写 这些问题在很多公司机房都普遍存在 甚至比证券业要差很多 安全不仅仅是网络安全 更是一个整 体的木桶 任何的短板都会导致前功尽弃 加强对物理环境的管控应是踏踏实实要做好的事情 这种管控 也不仅仅是在硬环境上 更重要的还在软环境上 三 网络安全 近年来证券整体行业效益不错 因此在网络上投入很大 起点较高 并且由于券商大多数都是跨地域 的 整个 IP 地址的规划也都比较合理 具有连续性 能够与网络拓扑层次结构相适应 便于进行管理 作为网络建设重要规范性之一的可靠性建设也受到很大重视 针对故障恢复 承载能力以及安全配置均充 分考虑了关键网络设备和重要链路的可靠性建设 通过交换机之间 Trunk 互联和专用负载均衡设备 实 现动态的冗余热备和流量分担 有效提高了网络的可靠性和可用性 对于重要的主机设备同样部署了完善 的链路和设备双备份 通过双归属方式的互联和采用主备设备的方式 可确保一旦出现问题可以实现快速 的切换 把对业务的不利影响降低 同时在交换机上根据业务的需要划分了相应的 VLAN 通过二层隔离 有效杜绝了蠕虫病毒的扩散和广播 组播数据流的防洪 提高了网络的安全和承载效率 确保网络系统具 有了良好的扩展性和健壮性 但是安全问题也总是伴随着网络建设而来 创新业务不断出现也要求对外的接口越来越多 例如对各 个银行 上交所 深交所的接口 在出口很多的问题下需要认真对待各出口的分界线控制 这方面 已经 有很多机构提出了安全域架构的方法 在实践中也取得了认可 再有就是对网络保密的情况考虑不足 在这方面银行走在了前面 对链路都是由加密机来加密 券商 对此尚没有顾及 关键的业务数据在传输时 zheng 没有加密手段 可能被监听泄露 据笔者和各信息部 门老总交流的情况看 也并不是没有考虑 他们担心加密以后对网络的实时性造成影响 而且券商内跑的 应用很多 业务系统与加密机的配合会不会出问题 再者 券商的网络多是专线连接 被窃听的可能并不 很大 我承认 老总们的担忧很有道理 在现有技术情况下 如何进行无障碍的链路加密 这也是咱们国 内的安全厂家应该去深入研究的课题 还有一方面就是对网络的管理 目前的网络设备基本都具备日志功能 但是由于人手不足 业务繁忙 管理粗放都很多原因 并没有人去定期核查这些日志信息 也没有专用终端记录处理日志 这会造成即使 已经被攻击了 管理人员仍然不知道 并且在网络管理上没有指定专用终端操作 为了方便很多机器都可 以连上去更改配置 四 系统安全 券商核心业务系统多是 LINUX HP UX 等 这些系统流行面较窄 精通该类系统的人不多 且由于 系统的不兼容性使得受攻击的可能性大大降低 但同时 也由于大家都不精通 系统上发现的一些已知的 安全补丁都没打 不是不知道安全漏洞 而是因为不敢做 做了以后会对应用产生什么样的影响大家都不 知道 这种情况在很多行业都存在 比如近期我接触过的一个煤矿有个瓦斯监控系统 1 分钟都不能停 这种形势下 就要求对核心生产设备做足够的外围安全防护 还有一个老生常谈的话题就是口令安全 网络设备口令 操作系统口令 应用系统口令 数据库口令 等等 实际对口令的管理和要求始终会有差别 在调研中 我们也和老总们谈过 大家都说 我们都知道 口令的管理 也知道怎么加强 但在实际中要考虑证券公司的特殊性 例如报盘系统登陆易所 20 多个 席位要登录 有一次系统意外重启 我们每个席位口令都很长 够复杂 结果手忙脚乱地往里面登录 一 边看一边敲 敲错了还要重来 最后都搞好 半个小时过去了 所以这种安全手段在证券公司没法考虑的 非核心业务的其他终端设备受系统升级和疏于管理等问题 普遍存在着非常多的高风险漏洞 甚至包 括操作系统级的弱口令 不过目前对证券业来说 基本都做到了业务的主辅分离 所以威胁有 但不是很 大 既便如此 非核心系统也应给以更多的关注 五 安全管理 三分技术七分管理 技术是实现的手段 真正要想做到安全 管理上一定要下很大的功夫 5 1 安全策略 相关的管理制度各个券商都有不少 而且也在不断完善修订 但从整个制度规范颁布后执行情况来看 其效果并不是很好 主要问题表现在 可操作性差 甚至很多条款没有奖惩措施 这样可能导致员工很难 理解或记住这些管理性要求 最终执行不起来 针对性差 一份安全管理制度汇编针对了全公司的信息技 术人员 不能有效的区分管理角色和对象 从而最终导致制度面太广而无法实施 某些安全要求深度不够 导致在某些方面的安全管理执行力度不够 由于很多安全制度并没有被太多的人认可和执行 因此就无法 对公布的制度进行回顾审计 检查和修改其中不合适的地方 还存在着另一个普遍问题 缺乏一套高层的安全策略体系来指导安全管理 最终导致安全工作难以条 理化 一方面会造成部分工作的遗漏 另一方面会出现重叠 甚至会出现哪出问题哪出制度的被动局面 安全策略应该建立比较明确 全面的安全规范要求 并确定各策略的制定 维护 变更等管理方面的策略 安全管理制度是建立在公司统一安全策略的基础之上 为公司推行统一的安全要求的一种形式 没有安全 策略指导的安全管理制度只能是片面性 可操作性差 难以推广和执行 5 2 安全组织 在安全组织上 各券商都比较重视 都实现了 统一领导 分布管理 的安全管理体系 建立了安全管 理岗位 建立了信息技术人员的岗位职责 在这次检查结束之后 证监会也发布了行业的 IT 治理指引 明确了安全组织的要求 5 3 资产分类与控制 随着业务资产的不断增加 很多安全管理问题均归到了资产管理问题上 但是 很多人还没有意识到 资产分类控制的重要性 没有对公司内部对公司资产进行整理 存在如下问题 1 没有对所有业务应用系统及资产设备进行安全属性定义 没有明确需要较高安全保护等级的系统和 设备 因此很难提高管理人员的安全重视程度 2 缺乏一套对资产管理清单的维护审计机制 没有专人负责对新增设备 变更设备等管理信息进行及 时更新 导致很多安全事件由此产生 3 缺乏一套对资产变更 系统变更的审计机制 管理人员对较大的变更情况不做记录 在后期可能会 造成很多不必要的麻烦 4 缺乏对设备的保管 使用登记和报废方面的管理 对重要的设备只有出了事故以后才进行保养和维 护 而且没有建立维护记录 5 对各种技术资产及业务资料没有实现密级管理 很多机密资料的借阅 复制 打印 销毁等方面的 管理制度很不完善 执行更不严格 部分员工安全意识较差 所有的技术资料放到办公桌上 很容易被第 三方合法进入公司的人进行翻阅查看 5 4 人员安全 券商在安全岗位建设方面普遍非常重视 建立了技术岗位职责 对各技术岗位有相应的岗位说明 在 系统管理方面根据不同的业务应用系统设置了不同数量的系统管理员 他们在保证应用系统的正常运行的 同时 也身兼对这些主机的安全管理 由于各种安全事件发生后可能的影响面巨大 也都明确了安全事件 发生后的快速报告流程 尽管如此 在人员安全上 存在着较多的问题 1 内部系统管理岗位人员不足 很多系统管理员负责多个重要的应用系统 过多的工作量很可能造成 操作失误情况 更容易造成安全管理的疏忽 2 内部安全管理岗位人力不足 由于券商组织结构和信息网络的庞大性特点 安全管理员不能全权 有效地形成对整个公司自上到下 自本部门至全公司的安全管理 3 没有将公司资产的安全管理责任定义到个人 特别是普通员工办公机的安全性 很多安全事件的发 生不能明确责任 入职说明岗位也没有定义管理员的责任和义务 因此不利于促进和推动安全管理工作的 执行 4 管理员岗位权职不明确 有些工作交叉的任务经常被互相推卸 管理员的权限没有实现 权限最小 化 原则 也没有对这些权限较高管理员的审核 使得内部管理员滥用授权的隐患时刻存在 5 很多员工技术能力有限 某些技术故障和安全事件的发生可能是由于操作失误造成的 而提供对信 息技术人员进行安全技术培训的机会较少 也没有技术或任职资格考试的督促机制 使得内部员工安全意 识较差 从而造成安全事故的可能性增大 6 对信息的保密重视不足 在信息技术人员应聘进公司时签订的合同中没有安全保密条款 尤其是没 有针对某些涉密较高岗位制定具体的保密协议 7 在信息技术人员办理离岗手续方面缺乏明确的制度和流程 8 没有明确的安全管理员和安全审计员角色 所以对网络和系统的管理员所设定的访问权限及日常行 为没有进行过安全审计 5 5 物理环境安全 机房的建设都有标准化的规范 物理环境也大都符合相关安全要求 机房具有防火 防水 防雷等设 备 并均采用双路供电 配备了 UPS 电源 在非本公司员工进入机房时 要求进行出入登记记录 操作 记录 但在机房管理方面还存在以下的问题 1 中心机房有电子门禁系统 但有时没有做到进出时马上关门 2 机房没有设置保安管理制度 3 机房的出入管理不严格 没有严格执行非工作人员必须经过安全责任人许可才可以进入机房的管理 规定 4 机柜和主机没有要求在运行中上锁 以防止外来人员误操作 对主机没有采取对输入输出设备的控 制 5 6 通信与操作安全 证监会要求关键业务有备份链路 对各种网络设备的配置数据 用户数据进行定期备份 各券商做的 都很好 但在管理过程中 还存在以下的问题 1 技术维护人员没有定期对重要服务器和路由器以及防火墙等设备的安全配置 CPU 内存占用率等 进行审计和检查 2 主要的网络设备和主机均没有定期维护制度 3 对网络设备和主机的远程管理没有使用固定的管理终端 4 目前没有对系统进行定期的安全漏洞扫描工作 某些主机考虑到影响业务原因没有定期对系统的补 丁进行修补和加固 六 总结 6 1 安全意识 针对证券行业信息系统网络现状而言 由于发展较快 网络规模较大 对信息系统安全很高 系统的 安全状况应成为企业网络关注的重点 在把资金都投在了应用系统建设的同时 不能忽视了信息安全保障 投资 在员工的安全意识方面 没有建立长期 系统 有效的安全意识 专业素质 安全管理 服务水平 的培训 同时 在责任划分上不够明确 缺乏奖惩机制 因此 提高领导 员工的安全意识是当务之急 6 2 整体安全方案 各券商在安全方面 也投入了一些设备 但总的来说 安全思路仍需拓宽 比如在渗透测试中普遍发 现的问题 在防火墙的设置上 也有不足 口令安全 配置安全上的工作也不够完善 没有定期分析日志 发现异常 安全制度不完善 如此等等 说到底就是缺乏一套整体安全方案 一个没有整体安全规划的系 统 安全是肯定没有保障的 6 3 系统安全 主要是没有安全地安装配置 用户和目录权限设置及建立适当的安全策略等系统安全处理加固 例如 没有打安全补丁 安装时为方便使用简单口令 默认口令 而后来又不更改 没有进行适当的目录和文件 权限设置 没有进行适当的用户权限设置 打开了过多的不必要的服务 没有对自己的应用系统进行安全 检测等等 事实上系统和应用大多是由系统集成商来完成的 但系统集成商的做法往往是最大化安装 以 方便安装调试 把整个系统调通就算完成了任务 会留下很多的安全隐患 而安全却恰恰相反 遵循最小 化原则 要求没必要的东西一定不要 有必要的也要严加限制使用 这和系统集成好像构成了一个矛盾 事实上却不