从证券业安全大检查的一点经验谈起
2008-12-13 13:39:39 来源:WEB开发网核心提示: 从证券业的网站安全来看,入侵甚至在C盘根目录上写入文件,从证券业安全大检查的一点经验谈起(2),都不是什么难事,笔者在其他一些行业的评估中,加强对物理环境的管控应是踏踏实实要做好的事情,这种管控也不仅仅是在硬环境上,也发现同样问题的存在,并且今年的安全形势报告中也提到
从证券业的网站安全来看,入侵甚至在C盘根目录上写入文件,都不是什么难事。笔者在其他一些行业的评估中,也发现同样问题的存在,并且今年的安全形势报告中也提到,仅在5月份,全国就有12万网站受到sql注入式的攻击。因此可见,面对新型的攻击手段,安全部门响应速度迟缓。网站是一个企业的门面,如果网站被篡改,带来的负面影响会很大,加强网站的安全防护,应是当务之急。
二、物理安全
物理安全作为信息安全的基础,在整个信息安全体系建设中扮演着非常重要的作用,而物理安全的好坏直接影响到网络安全、系统安全和安全管理等等层面。对于券商来说,机房是生产的核心工具,这几年来,管理层对此也不断提出要求,目前看来,硬件环境已经比较可靠,空调、湿度控制、防火、区域标识等相对完善,但与之相对应的软件环境却不甚乐观。比如普遍存在的:
2.1 环境
机房进出控制等级没有严格执行,流于形式;
门禁系统虽有,但时常进出没有随手关门;
进出人员所做重大操作没有记录;
第三方人员进入机房没有明显的可视标识,不能立即识别出无人护送的访问者和未佩戴可视标识的人。
2.2 设备
网络设备、主机设备没有有效的标记措施,对资产的界定不清晰;
重要的主机设备没有防盗报警措施;
由于券商在不断地上新项目,经常需要调整网络,网线和电缆的普遍走线比较乱,很多网线、电缆都没有可识别的记号。
2.3 介质
对移动存储设备没有实行有效管理,各服务器的USB口都是开放状态。
没有对移动存储设备上的敏感数据彻底删除或安全重写。
这些问题在很多公司机房都普遍存在,甚至比证券业要差很多。安全不仅仅是网络安全,更是一个整体的木桶,任何的短板都会导致前功尽弃,加强对物理环境的管控应是踏踏实实要做好的事情,这种管控也不仅仅是在硬环境上,更重要的还在软环境上。
更多精彩
赞助商链接