从证券业安全大检查的一点经验谈起

核心提示： 从证券业的网站安全来看，入侵甚至在C盘根目录上写入文件，从证券业安全大检查的一点经验谈起(2)，都不是什么难事，笔者在其他一些行业的评估中，加强对物理环境的管控应是踏踏实实要做好的事情，这种管控也不仅仅是在硬环境上，也发现同样问题的存在，并且今年的安全形势报告中也提到

从证券业的网站安全来看，入侵甚至在C盘根目录上写入文件，都不是什么难事。笔者在其他一些行业的评估中，也发现同样问题的存在，并且今年的安全形势报告中也提到，仅在5月份，全国就有12万网站受到sql注入式的攻击。因此可见，面对新型的攻击手段，安全部门响应速度迟缓。网站是一个企业的门面，如果网站被篡改，带来的负面影响会很大，加强网站的安全防护，应是当务之急。

二、物理安全

物理安全作为信息安全的基础，在整个信息安全体系建设中扮演着非常重要的作用，而物理安全的好坏直接影响到网络安全、系统安全和安全管理等等层面。对于券商来说，机房是生产的核心工具，这几年来，管理层对此也不断提出要求，目前看来，硬件环境已经比较可靠，空调、湿度控制、防火、区域标识等相对完善，但与之相对应的软件环境却不甚乐观。比如普遍存在的：

2.1 环境

机房进出控制等级没有严格执行，流于形式；

门禁系统虽有，但时常进出没有随手关门；

进出人员所做重大操作没有记录；

第三方人员进入机房没有明显的可视标识，不能立即识别出无人护送的访问者和未佩戴可视标识的人。

2.2 设备

网络设备、主机设备没有有效的标记措施，对资产的界定不清晰；

重要的主机设备没有防盗报警措施；

由于券商在不断地上新项目，经常需要调整网络，网线和电缆的普遍走线比较乱，很多网线、电缆都没有可识别的记号。

2.3 介质

对移动存储设备没有实行有效管理，各服务器的USB口都是开放状态。

没有对移动存储设备上的敏感数据彻底删除或安全重写。

这些问题在很多公司机房都普遍存在，甚至比证券业要差很多。安全不仅仅是网络安全，更是一个整体的木桶，任何的短板都会导致前功尽弃，加强对物理环境的管控应是踏踏实实要做好的事情，这种管控也不仅仅是在硬环境上，更重要的还在软环境上。