从证券业安全大检查的一点经验谈起

今年以来，我国股市接连受到重挫，造成了部分股民的不满，同时也出现了针对证券公司进行网络攻击的恶性事件。因此，证监会组织了对全国证券业的安全大检查。笔者因为工作原因，参与并负责了几个大型证券公司的安全检查。检查的从体情况来看，有喜有忧。喜的是证券业前几年行情不好，一直没有资金进行充分的IT基础建设，造成IT建设欠债太多，但最近两年已经迎头赶上，并且证券业创新产品层出不穷。忧的是这两年券商的IT部门一直被赶着做事情，又造成对信息安全问题重视不够，出现了很多新的风险，尤其在当前股市震荡的情况下，威胁越来越大。它山之石可以攻玉，对于各个行业的安全管理员来说，保障信息安全是一个任重而道远的工作。本文基于在证券业安全问题上的一些经验和思考，希望也能够给其他行业的安全管理员提供帮助。

整个安全大检查从几个方面进行了审查，包括网站安全、物理安全、网络安全、系统安全和管理安全。

一、网站安全

证监会组织了人手对所有券商的网站进行了渗透测试（模拟黑客攻击的方法对网站攻击，但不做破坏性举动），虽然最后证监会没有公布网站渗透测试的结果，但就笔者负责的4个券商安全检查来看，全部都被攻陷，被攻陷的方法全都是sql注入，并且还发现了源代码泄露、跨站漏洞等问题。所幸的是，经过检查，没有发现这几个网站被人入侵过或者有什么远程后门。总的来看，大家对安全补丁、系统自身的加固都很重视，没发现什么明显疏忽，但是在WEB的安全编程上还做得远远不够。究其原因，由于券商自身不具备网站开发能力，网站开发都是外包来做，而外包公司在程序的代码审核上做的远远不够，代码中可能的漏洞有溢出漏洞、跨站脚本漏洞、SQL注入漏洞等，还有一些因为程序设计不周到而导致的信息泄露问题也应该得到重视，这些漏洞本身可能没什么大的威胁，但非常有助于攻击者利用其他漏洞进行攻击。当前总体的网络安全状态是基于操作系统本身漏洞的入侵已经没有大的增加，而由于应用系统的复杂性和特异性，基于应用的入侵已大幅度增加，所以在这方面还有许多需要加强的工作。