从证券业安全大检查的一点经验谈起

核心提示： 1.技术维护人员没有定期对重要服务器和路由器以及防火墙等设备的安全配置、CPU、内存占用率等进行审计和检查2.主要的网络设备和主机均没有定期维护制度3.对网络设备和主机的远程管理没有使用固定的管理终端，4.目前没有对系统进行定期的安全漏洞扫描工作，从证券业安全大检查的一点经验谈起(8)，某

1.技术维护人员没有定期对重要服务器和路由器以及防火墙等设备的安全配置、CPU、内存占用率等进行审计和检查

2.主要的网络设备和主机均没有定期维护制度

3.对网络设备和主机的远程管理没有使用固定的管理终端。

4.目前没有对系统进行定期的安全漏洞扫描工作，某些主机考虑到影响业务原因没有定期对系统的补丁进行修补和加固。

六、总结

6.1安全意识

针对证券行业信息系统网络现状而言，由于发展较快，网络规模较大，对信息系统安全很高，系统的安全状况应成为企业网络关注的重点。在把资金都投在了应用系统建设的同时，不能忽视了信息安全保障投资。在员工的安全意识方面，没有建立长期、系统、有效的安全意识、专业素质、安全管理、服务水平的培训。同时，在责任划分上不够明确，缺乏奖惩机制。因此，提高领导、员工的安全意识是当务之急。

6.2整体安全方案

各券商在安全方面，也投入了一些设备，但总的来说，安全思路仍需拓宽。比如在渗透测试中普遍发现的问题。在防火墙的设置上，也有不足。口令安全、配置安全上的工作也不够完善。没有定期分析日志发现异常，安全制度不完善，如此等等。说到底就是缺乏一套整体安全方案，一个没有整体安全规划的系统，安全是肯定没有保障的。

6.3系统安全

主要是没有安全地安装配置、用户和目录权限设置及建立适当的安全策略等系统安全处理加固。例如：没有打安全补丁、安装时为方便使用简单口令、默认口令，而后来又不更改、没有进行适当的目录和文件权限设置、没有进行适当的用户权限设置、打开了过多的不必要的服务、没有对自己的应用系统进行安全检测等等。事实上系统和应用大多是由系统集成商来完成的，但系统集成商的做法往往是最大化安装，以方便安装调试，把整个系统调通就算完成了任务，会留下很多的安全隐患；而安全却恰恰相反，遵循最小化原则，要求没必要的东西一定不要，有必要的也要严加限制使用。这和系统集成好像构成了一个矛盾，事实上却不是，最小化原则实际上降低了系统负荷、提高了应用系统的性能，增强了安全性，而问题在于大多数集成商不具备专业安全设计和防范能力。

6.4安全管理机制

安全和管理是分不开的，即便有好的安全设备和系统，没有一套好的安全管理方法并贯彻实施，值得注意的是这里强调的不仅要有安全管理方法，而且还要贯彻实施，否则安全就是空谈。安全管理的目的在于两点：一是最大程度地保护网络，使得其安全地运行，再就是一旦发生黑客事件后能最大程度地挽回损失。所以建立定期的安全检测、口令管理、人员管理、策略管理、备份管理、日志管理等一系列管理方法和制度，并严格贯彻执行，与奖惩制度的联动是非常必要的。

6.5动态安全

在这次安全大检查以后，经过专业网络安全设计整改，即进行了安全网络拓朴和路由、安全网络系统设计、安全产品防护、安全系统处理和整体安全检测等安全处理后，系统的安全是有保障的。但需要指出的是安全是相对的，因为随着操作系统和应用系统漏洞的不断发现以及口令很久没有更改等情况的发生，整个系统的安全性就受到了威胁，这时候若不及时进行打安全补丁或更换口令就很可能被一直在企图入侵却未能成功的黑客轻易攻破。所以，安全是相对的，是动态的，只有及时对系统安全问题进行跟踪解决，定期整体安全评估，及时发现问题并解决，才能确保系统具有良好的安全性。

6.6人才培养

在这次检查中，我们也注意到，绝大部分的主机、网络情况都只有个别人了解。这与证券业迅猛发展的信息技术规模是不相适应的。券商也应在下一步的工作中，积极发掘、培养安全方向上的专业人才，注重培训和锻炼，同时也应尽力保证人才的稳定性。