证券行业信息系统安全等级保护工作现状分析
2018-01-20任擎基顾建新
任擎基+顾建新
摘 要:证券市场是经济体系中的重要组成部分,证券行业业务创新也如雨后春笋般层出不穷,行业整体都处于快速发展的阶段。随着证券业务的发展,证券行业对信息系统依赖的程度也越来越高,证券行业信息系统具有应用广泛、业务种类繁多、系统结构复杂的特点,证券行业信息系统的信息安全应得到极高的重视。文章从测评证券行业的信息系统出发,对证券行业信息系统安全等级保护工作的现状进行分析,并提出如何推进相关工作的建议。
关键词:证券行业信息系统安全;等级保护;现状分析
中图分类号: TP393 文献标识码:A
Analysis on the Present Situation of the Classified Protection of Information System in Securities Industry
Ren Qing-ji, Gu Jian-xin
(The Third Research Institute of Ministry of Public Security, Shanghai Engineering Research Center of Cyber and Information Security Evaluation, Shanghai 200031)
Abstract: The securities market is an important part of the economic system, the securities industry business innovation is also mushrooming, the industry as a whole are in the stage of rapid development. With the development of securities business, the securities industry is increasingly dependent on the degree of information system, the securities system has a wide range of applications, a wide range of business, complex system structure characteristics, the securities industry system information security should be extremely high attention. Based on the information system of the securities industry, this paper analyzes the status quo of the security level protection of the securities industry information system and puts forward some suggestions on how to promote the related work.
Key words: Securities Industry Information System Security; Level Protection; Situation Analysis
1 引言
改革開放后,我国经济飞速发展,特别是证券行业,我国证券市场已经成为世界金融领域中重要的组成部分,于此同时我国证券业的信息系统在全世界中也处于领先地位。证券行业的信息系统除了要保障证券公司自身的正确和高效的运行以外,随着业务的发展还可推动整个证券市场的发展。
我国证券公司的信息系统从早期基于 Novell 系统的服务器,到目前普遍基于Unix、Linux、Windows等小型机系统的平台;从初期的现场交易到现在普遍的非现场交易。各项业务全部建立了电子化的业务处理系统,同时这些业务系统的展开都高度依赖信息网络。有网络就有风险,例如设备可能出现病毒感染或被黑客攻击成功,会造成单点故障,甚至波及整个交易系统;网络拥堵传输速度缓慢,也可导致系统陷入瘫痪状态。这些问题轻则导致部分的行情处理和交易业务陷于停滞,重则还可能造成证券数据的丢失、损坏,严重影响证券公司和整个证券行业的运转,给证券公司和交易投资者带来损失。
要保证证券公司的信息系统正确运行,信息安全工作必须放到首位,因此结合我国国情,在证券行业实行信息安全等级保护,是解决我国证券行业信息安全问题的有效途径。
2 证券行业信息系统的主要构成
证券行业信息系统是证券公司的基础设施,是证券业务正常运行的前提条件。安全高效的证券行业信息系统,应在解决网络连通性和可用性的同时,支持在线开展的各种证券业务服务。证券行业信息系统由三部分组成。
2.1 证券公司计算机网络系统
证券公司信息系统的业务由内部生产业务和对外服务业务两部分组成: 内部生产业务、对外服务业务。根据系统的业务需要,网络由三内部广域网、内部局域网和外部网三部分组成。
内部广域网由证券公司信息中心,网络连接设备和分支机构的内部主管、业务部门的中间件和业务处理主机组成。证券业务在内部广域网处理等重要工作中,如客户管理、委托交易、周转回报、清算等工作完成。内部广域网是网络安全策略中的保护对象,对外界并不开放。外部用户无法检测到其IP地址,无法对其进行攻击。
内部局域网包括分公司、销售部销售部门和工作站委托的客户、信息发布中的证券业务、实时分析等活动也在内部局域网内完成。内部局域网是客户服务网络,客户使用的工作站属于该网络。外部网络主要通过互联网提供外部服务,公司的开放信息和提供客户的公共服务都是建立在这个网络中的。通常内部网络和外部网络是严格隔离的,所以即使攻击也不会危及内部网络。endprint
证券公司信息系统的三个网络相互分离。网络具有独立的功能划分和操作系统,安全边界清晰,共同构成了证券公司的计算机网络架构。
2.2 证券公司业务运行环境系统
证券公司一般在全国经营,网络庞大,结构复杂,典型的商业模式包括柜台交易,自营佣金、电话佣金、网上交易。证券业务部门和总部通过计算机网络交流,证券公司和交易商将三方连接起来完成证券交易,实现市场、交易、结算,办公等方面的自动化,最终构成证券公司的经营环境体系。在证券公司经营环境中的各个组成部分,交易系统对实时要求最高,但信息安全保障能力最弱。
2.3 证券公司网上交易系统
网上交易系统是指使用互联网投资者,分析市场情况,委托订单实现即时交易。随着网络的普及,网络交易等待广大客户的同意和采纳,但其安全性日益成为影响网络性能的瓶颈,而证券业网络安全漏洞的情况也是众所周知的。近年来,证券行业网络经常出现被“黑客”入侵和网络设备故障,造成重大经济损失和消息新闻。可以说,网络安全已成为证券公司安全的最大威胁,是证券公司在设计安全系统时要注重考虑和维护的因素。目前,证券公司使用的网络安全技术有:防火墙技术,非法入侵检测软件和防病毒软件,身份认证技术,数据加密技术。
3 等级保护工作的重要性
目前,中国网络安全体系相关层级保护制度仍处于发展阶段。现有的资源和技术无法实现整个网络安全系统的完整性和完善性,直接导致一些保护工作的水平不能完全实现。
首先,网络信息系统中的大部分数据信息涉及到一些重要的商业秘密。如果信息安全系统由于安全设计缺陷和安全问题,将对整个国家经济的整体发展产生不利影响。同时由于法律中绝大多数机密信息数据未被确定为保密级别,所以不会有明确的分类信息登记制度或记录,相关信息的保密性无法针对性地进行管理,最终导致各种信息泄露问题。
其次,网络本身是一个更开放的资源信息网络平台,在这种模式下的信息平台涉及到很多贸易业务,在网络日常数据交换中比较频繁。这种环境导致数据信息极有可能被破坏和入侵的可能性,其管理过程如果没有制定明确的保护制度,就会导致相关数据泄露问题的出现,为整个社会的发展造成不可估量的不良影响。
最后,考虑到网络信息安全系统的复杂性和广域特征,如果不是在网络信息和数据分类不同层次上,会导致整个网络在管理过程中的可操作性变得非常差。
基于上述问题,有必要在网络安全建设过程中构建等级保护制度。只有这样才能实现信息系统整体结构的优化和完善,从而提高整个网络信息的安全性。
4 证券行业信息系统的现状分析
2016 年,我们对证券行业 4 个拟定级为三级等级保护的信息系统和8个拟定级为二级等级保护的信息系统,按照国家相关等级保护标准进行了测评。4个三级系统的综合得分平均值为85.73分,其中测评项符合率平均值为78.35%,部分符合率平均值为15.00%,不符合率平均值为6.65%;8个二级系统的综合得分平均值为90.8分,其中测评项符合率平均值为80.32%,部分符合率平均值为14.9%,不符合率平均值为4.78%。将4个三级系统的测评指标按照物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复、安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理分别进行统计,计算每种测评指标的符合项、部分符合项和不符合项占总测评项的百分比。对8个二级系统采用同样的方法进行统计,结果分别如图1和图2所示。
由图1和图2对比可以看出,二级系统的网络安全、主机安全、应用安全和系统建设管理的符合程度较高。尽管测评的12个信息系统都达到了基本符合的要求,但被测系统无论是技术方面还是管理方面都有一定的缺失和不足,主要集中在几个方面的问题。
物理安全方面:問题主要集中在温度控制、电力供应、防盗报警和电磁防护方面。例如机房UPS供电能力未达到证券业要求、机房未采取电磁屏蔽措施、机房未利用光、点等技术设置机房防盗报警系统,以及机房温湿度范围超出证券业要求等。
网络安全方面:问题主要集中在安全审计、网络设备防护、边界完整性检查和入侵防范方面。例如系统未对重要访问控制策略设置日志记录、部分网络边界未部署访问控制设备、未采取防地址欺骗相关措施、未采用技术手段对非授权设备私自联到内部网络的行为进行检查、定位和阻断等。
主机安全方面:问题主要集中在入侵防范、资源控制和剩余信息保护等方面。例如未对操作系统及时升级、操作系统口令未定期更换、操作系统和数据库默认账户未重命名等。
应用安全方面:问题主要集中在多鉴别和资源控制等方面。例如未采用两种或两种以上的组合鉴别技术、未对系统应用的用户所分配的资源进行限制、未限制单个账号的并发会话等。
数据安全及备份恢复方面:问题主要集中在数据完整性方面,例如未提供存储过程中的数据完整性校验和恢复措施等。
安全管理方面:问题主要集中在安全管理制度上的执行方面。例如未定义关键岗位。
5 证券行业安全保障措施建议
上述证券行业信息系统存在的主要问题,可以按照改进的成本和对系统运营造成的影响不同进行分级,并相应地采取相应措施加以改进。
(1)下面几方面的问题改进成本低或对系统运营造成影响较小,可以通过更改已有设备的配置或安全管理制度等方式解决。
网络安全方面:针对系统未对重要访问控制策略设置日志记录的问题,建议对重要访问控制策略设置日志记录,对设备的配置管理操作行为、重要的业务操作等行为进行审计;针对未采取防地址欺骗相关措施的问题,建议在相关网络设备上配置重要终端(包括管理终端和业务终端)的IP/MAC地址绑定。
主机安全方面:针对未对操作系统及时升级的问题,建议加强操作系统的管理,在不影响正常应用的情况下及时更新补丁,消除相关安全漏洞;针对操作系统口令未定期更换的问题,建议在操作系统中设置口令长度大于12位,并定期更换;针对操作系统和数据库默认账户未重命名的问题,建议修改操作系统和数据库的默认管理员账户名。endprint
安全管理方面:针对未定义关键岗位的问题,建议从内部人员中选拔从事关键岗位的人员,并签署岗位安全协议。
(2)下面几方面的问题改进成本较高或可能对系统运营造成一定影响,可以通过增添新设备等方式解决。
网络安全方面:针对部分网络边界未部署访问控制设备的问题,建议在所有网络边界均部署防火墙等网络控制设备,并根据系统应用需求最小化原则设置访问控制策略,其颗粒度应达到端口级;针对未采用技术手段对非授权设备私自联到内部网络的行为进行检查、定位和阻断的问题,建议假设能够检测内部用户非法接入行为的设备或采取其他同等效力的监控、管理措施,对非法接入行为进行检查、定位和阻断。
物理安全方面:针对机房UPS供电能力未达到证券业要求的问题,建议配备容量合理的后备电源,供电能力能够满足主要设备在断电情况下运行2个小时以上;针对机房未采取电磁屏蔽措施的问题,建议为关键设备和磁介质实施电磁屏蔽;针对机房未利用光、点等技术设置机房防盗报警系统的问题,建议安装有资质的专用防盗报警系统;针对机房温湿度范围超出证券业要求的问题,建议配备机房精密空调进行温湿度控制,温度22-24°C,湿度40~55%。
数据安全及备份恢复方面:针对未提供存储过程中的数据完整性校验和恢复措施的问题,建议对重要数据采用密码技术保证存储过程中数据的完整性。
(3)下面几方面的问题改进成本极高或可能对系统运营造成重大影响,涉及到核心业务的更改,可以通过改进核心业务等方式解决。
应用安全方面:针对未采用两种或两种以上的组合鉴别技术的问题,建议对系统采用两种或两种以上组合的鉴别技术实现用户身份鉴别,如数字证书、令牌等;针对未对系统应用的用户所分配的资源进行限制的问题,建议应用系统根据需要对一个账户或进程占用的资源進行最大/最小额度限制;针对未限制单个账号的并发会话的问题,建议对单个账户的多重并发会话进行限制,禁止同一用户的多次重复登录操作。
6 结束语
本文对当前证券行业信息系统安全面临的主要问题进行了深入分析,并针对这些问题提出了相应的解决方案,并将解决方案按照改进的成本和对系统运营造成的影响不同进行分级,希望能对各地证券行业信息系统安全保障建设起到一定的借鉴作用,可以按照的实际情况对自身信息系统进行改进。
参考文献
[1] 公通字[2007] 43号 信息安全等级保护管理办法 [S].
[2] GB/T 20269-2006. 信息安全技术 信息系统安全管理要求 [S].
[3] GB/T 20270-2006. 信息安全技术 网络基础安全技术要求 [S].
[4] GB/T 20271-2006. 信息安全技术 信息系统通用安全技术要求 [S].
[5] GB/T 20272-2006. 信息安全技术 操作系统安全技术要求 [S].
[6] GB/T 20273-2006. 信息安全技术 数据库管理系统安全技术要求 [S].
[7] 郭宁. 构建证券信息系统的安全体系[J]. 网络安全技术与应用,2005,(1):22-23.
[8] 张伟丽. 信息安全等级保护现状浅析[J]. 信息安全与技术,2014,(9):9-13.
[9] 王强民.张保稳.张竞. 高校信息系统安全等级保护工作的现状分析[J]. 网络安全技术与应用,2005,(1):22-23.
[10] 叶青等.关于信息安全宣传教育的几点思考[J].信息安全与通信保密,2014(12):67-69.
[11] 吕寒冰.网络信息安全监测系统的设计与实现[D]. 北京:北京交通大学,2007.
[12] 刘永华.网络信息安全技术[M].中国铁道出版社,2011.
[13] 徐湧捷.网络窃取犯罪研究[D].华东政法大学,2007.endprint