如何化解证券业IT安全隐患

基金、证券公司安全“中招”的原因究竟是什么？现阶段的安全现状又如何？如何归规避类似的安全风险呢？

股市指数跳水，基金交易放缓，股民和基民们的心灵本已脆弱得不堪一击。9月份，又曝出多家基金公司在中国证监会的IT系统抽查中“中弹”——17家基金公司的IT系统稳定问题“较为严重”，其中4家基金公司的IT系统安全问题非常严重。某证券公司网站也被成功潜入，由证监会安排的“黑客”轻松窃取该公司客户资料后“神不知鬼不觉”地离开了。

　　这在业内掀起了轩然大波。基金、证券公司安全“中招”的原因究竟是什么？现阶段的安全现状又如何？如何归规避类似的安全风险呢？

　　内情再现

　　“其实，从券商网站遭到入侵这件事本身来看，造成的危害并不像外界想像的那么严重。”在证券行业纵横10年之久的张军(化名)说。通常，了解技术的人都知道，券商和基金公司的核心资料不可能存放到网站上，而且它们基本都采取了内外网隔离技术。

　　但实际上，普通大众不可能拥有IT专业人员的技术背景，在他们眼中，网站就等同于券商和基金公司的核心系统，攻破了网站，也就意味着“踹开”了券商和基金公司的大门，所有有价值的信息将被黑客如探囊取物般掳走。

　　所以尽管此次事件的实质性危害不大，但是证监会“黑客”侵入带来的形象危机和信任度的降低却不可小视。

　　多家券商和基金公司都表示，由于奥运维稳的要求，今年安全工作抓得非常紧，证监会多次下达检查和整改的文件。这次严查后确实暴露出了基金公司和券商的深层安全问题。以券商为例，近几年证券业掀起了一股从分散的营业所向总部大集中的热潮，可是，尽管系统在紧锣密鼓地改造中，但人马还是原来那套人马，安全意识和手段不可能马上提升上去，难免埋下种种安全隐患。加上今年的行情与去年相比出现了截然相反的变化，对CIO来说，IT稳定运行和防护的要求并不亚于峰值不断被刷新的牛市时期。

　　相比较而言，基金公司成立比较晚，资金也比较充足，网络架构相对成熟，系统变革也不像券商那样频繁，具有“后发优势”;加上不少券商的IT人员跳到基金公司，也移植了不少宝贵的经验。不过，基金公司和券商同样面临着日趋敏感的安全大环境。由于国际经济环境的不断恶化，中国市场越来越重要，吸引了越来越多国际黑客的关注。和“法力高强”的黑客相比，基金行业的安全思想和手段尤其薄弱，特别是对很多小基金公司来说，资金少，人手少，网络还是5年前购买的，只是每年打几个补丁，这样很容易成为被黑客盯上的“肥肉”。更可怕的是，大多数小基金公司并没有意识到潜在的危险性，相反却抱着侥幸的心理。

　　从危机到转机

　　环境变了，标准高了，要求高了，基础不牢，安全管理实施难度更大，这就是当前基金和证券行业安全现状的写照。不过，某证券公司相关负责人表示，换一个角度来看，这也可看作是券商和基金公司们“扎好篱笆，勤练内功”的好时机。

　　自今年五一以来，一些证券业CIO就一直在加班加点，周末也不能有闲暇休息。家人和朋友都很疑惑：不是说熊市已经来临了吗？你怎么比去年牛市时还要忙？某证券公司相关负责人表示，市场景气时要忙着系统扩容，市场低迷时责任更大，千方百计都要保护系统稳定，维持市场信心。所以不管熊市牛市，首席信息官(CIO)总是最累的。

　　今年9月4日，中国证券业协会和中国期货业协会联合制定的《证券期货经营机构信息技术治理工作指引(试行)》(下称“工作指引”)正式发布，其中安全是非常重要的一部分。

　　对CIO来说，正好可以借助外部动力，进一步将安全管理落实到位。因为工作指引的颁发，意味着公司领导层必须真正重视和管理企业的IT和安全。在此同时，一直“雷声大，雨点小”，早在10多年前就发布的信息安全等级保护制度也有了初步的进展。此前，国家虽然规定信息系统必须实施等级保护，但是只有一揽子规范，缺乏相关的管理办法和等级标准，导致安全措施的推进很是缓慢。而2007年开展的安全等级保护制度的试验性推广，也取得了一些成效。

　　中信建投证券公司是安全等级保护试点企业之一，他们的安全建设非常注重安全架构的搭建，这正是很多券商和基金公司的薄弱环节。业内资深人士张军表示，搭架构就像建房子之前要画好设计图纸，是安全成败之关键。房子要规划成几室几厅，分别用于什么功能？每个房间上智能锁，普通锁，还是不装锁，要不要装感应探头等？对企业而言，合理的布局相当重要，否则会造成致命的创伤。比如原来用做仓储的房间要改成淋浴房，必须临时破墙安装增加喷头，但是原先没有排过管道线路，不得不绕一大圈连线，还有可能接不上，或者破坏原有设施的一些功能。

　　拥有15年证券行业从业经验的中信建投信息技术部执行总经理宋群力在搭建安全架构时，借鉴了动态防火墙、数据库、应用系统5层企业安全整体架构。

　　同时，宋群力始终将标准化贯穿其中，并力求做到“统一规划，统一部署，统一管理”。以网络架构为例，每个营业部网点都推行标准结构，物理上有两台骨干网络安全信策略，路由器策略等也都统一规划。

　　防范重于治理

　　要想控制基金和证券行业的风险，搭建安全架构是迈出了重要的第一步，但防护同样必不可少。

　　博时基金管理有限公司(下称博时基金)信息技术部总经理林琦表示，随着企业管理资产规模的增大，客户数量增多，更要考虑企业的连续性发展问题。至今为止，博时基金已经在北京和深圳两地建立了5～6个TB的异地准实时灾备中心，并且在今年已经进行了实际演练。

　　尽管购买了安全设备，采取了必要的安全手段，不过，业内人士表示，部分基金公司和券商在安全防范上还存在意识不够问题。比如，一些企业由于惰性或其他原因疏于安全维护，但是安全设备“不更新，不防护，就是一个敞开的后门”。

　　此外，通常网站应该采取纵深防御，也就是说因特网的连接处要有一套防火墙设备，网站后的连接处还要有一套安全设备。出于安全考虑，这两套设备应该采取不同的品牌，但是有些企业只从商业角度考虑这个问题，这就导致前面一套一旦被攻破，后面一套也就不攻自破了。

　　而且“安全是一个整体，出现任何短板，都会使其不攻自破。”资深人士张军说。比如防火墙进入中国市场早，应用范围广，一些企业老总对防火墙过于迷信，造成滥用。其实，防火墙只能解决部分问题。像入侵检测这类对IT人员要求较高的技术应用较少，挖掘得也不够。由于入侵检测会报出几千甚至几万条信息，IT安全人员需要像警察那样，一眼认出形迹可疑的坏人，必须拥有非常丰富的经验。此外，交换机成为短板的情况也很严重。

　　另外一个较严重的问题是安全制度的缺失。令CIO有苦难言的是，老总是制度的制定者，往往也是破坏者。员工不停升级操作系统却不能做到及时更新。而且这种“轻慢心态”，会逐渐从外围系统向核心系统蔓延，最终导致层层失权，层层失守。

　　中国证监会的频繁抽查已经给券商、基金公司们敲响了一记警钟，安全就像逆水行舟，不进则退。对基金公司和券商来说，要想避开“子弹”的袭击，就得制定完整的安全架构，提高安全意识，规范安全制度。业内人士表示，安全管理的道路，没有捷径可言，只有老老实实地做好防范。