从证券业安全大检查的一点经验谈起
2008-12-13 13:39:39 来源:WEB开发网核心提示: 还有一方面就是对网络的管理:目前的网络设备基本都具备日志功能,但是由于人手不足,从证券业安全大检查的一点经验谈起(4),业务繁忙,管理粗放都很多原因,但不是很大,既便如此,并没有人去定期核查这些日志信息,也没有专用终端记录处理日志
还有一方面就是对网络的管理:目前的网络设备基本都具备日志功能,但是由于人手不足,业务繁忙,管理粗放都很多原因,并没有人去定期核查这些日志信息,也没有专用终端记录处理日志,这会造成即使已经被攻击了,管理人员仍然不知道。并且在网络管理上没有指定专用终端操作,为了方便很多机器都可以连上去更改配置。
四、系统安全
券商核心业务系统多是LINUX、HP-UX等,这些系统流行面较窄,精通该类系统的人不多,且由于系统的不兼容性使得受攻击的可能性大大降低。但同时,也由于大家都不精通,系统上发现的一些已知的安全补丁都没打,不是不知道安全漏洞,而是因为不敢做,做了以后会对应用产生什么样的影响大家都不知道。这种情况在很多行业都存在,比如近期我接触过的一个煤矿有个瓦斯监控系统,1分钟都不能停。这种形势下,就要求对核心生产设备做足够的外围安全防护。
还有一个老生常谈的话题就是口令安全,网络设备口令、操作系统口令、应用系统口令、数据库口令等等,实际对口令的管理和要求始终会有差别。在调研中,我们也和老总们谈过,大家都说:我们都知道口令的管理,也知道怎么加强,但在实际中要考虑证券公司的特殊性,例如报盘系统登陆易所,20多个席位要登录,有一次系统意外重启,我们每个席位口令都很长,够复杂,结果手忙脚乱地往里面登录,一边看一边敲,敲错了还要重来,最后都搞好,半个小时过去了,所以这种安全手段在证券公司没法考虑的。
非核心业务的其他终端设备受系统升级和疏于管理等问题,普遍存在着非常多的高风险漏洞,甚至包括操作系统级的弱口令。不过目前对证券业来说,基本都做到了业务的主辅分离,所以威胁有,但不是很大。既便如此,非核心系统也应给以更多的关注。
更多精彩
赞助商链接