基金公司IT安全刻不容緩 化解“中彈”危機(jī)

申請(qǐng)免費(fèi)試用、咨詢電話：400-8352-114

股市指數(shù)跳水，基金交易放緩，股民和基民們的心靈本已脆弱得不堪一擊。

9月份，又曝出多家基金公司在中國(guó)證監(jiān)會(huì)的IT系統(tǒng)抽查中“中彈”——17家基金公司的IT系統(tǒng)穩(wěn)定問(wèn)題“較為嚴(yán)重”，其中4家基金公司的IT系統(tǒng)安全問(wèn)題非常嚴(yán)重。某證券公司網(wǎng)站也被成功潛入，由證監(jiān)會(huì)安排的“黑客”輕松竊取該公司客戶資料后“神不知鬼不覺(jué)”地離開(kāi)了。

這在業(yè)內(nèi)掀起了軒然大波?；?、證券公司安全“中招”的原因究竟是什么？現(xiàn)階段的安全現(xiàn)狀又如何？如何歸規(guī)避類似的安全風(fēng)險(xiǎn)呢？

內(nèi)情再現(xiàn)

“其實(shí)，從券商網(wǎng)站遭到入侵這件事本身來(lái)看，造成的危害并不像外界想像的那么嚴(yán)重?！痹谧C券行業(yè)縱橫10年之久的張軍（化名）說(shuō)。通常，了解技術(shù)的人都知道，券商和基金公司的核心資料不可能存放到網(wǎng)站上，而且它們基本都采取了內(nèi)外網(wǎng)隔離技術(shù)。

但實(shí)際上，普通大眾不可能擁有IT專業(yè)人員的技術(shù)背景，在他們眼中，網(wǎng)站就等同于券商和基金公司的核心系統(tǒng)，攻破了網(wǎng)站，也就意味著“踹開(kāi)”了券商和基金公司的大門，所有有價(jià)值的信息將被黑客如探囊取物般擄走。

所以盡管此次事件的實(shí)質(zhì)性危害不大，但是證監(jiān)會(huì)“黑客”侵入帶來(lái)的形象危機(jī)和信任度的降低卻不可小視。

多家券商和基金公司都表示，由于奧運(yùn)維穩(wěn)的要求，今年安全工作抓得非常緊，證監(jiān)會(huì)多次下達(dá)檢查和整改的文件。這次嚴(yán)查后確實(shí)暴露出了基金公司和券商的深層安全問(wèn)題。以券商為例，近幾年證券業(yè)掀起了一股從分散的營(yíng)業(yè)所向總部大集中的熱潮，可是，盡管系統(tǒng)在緊鑼密鼓地改造中，但人馬還是原來(lái)那套人馬，安全意識(shí)和手段不可能馬上提升上去，難免埋下種種安全隱患。加上今年的行情與去年相比出現(xiàn)了截然相反的變化，對(duì)CIO來(lái)說(shuō)，IT穩(wěn)定運(yùn)行和防護(hù)的要求并不亞于峰值不斷被刷新的牛市時(shí)期。

相比較而言，基金公司成立比較晚，資金也比較充足，網(wǎng)絡(luò)架構(gòu)相對(duì)成熟，系統(tǒng)變革也不像券商那樣頻繁，具有“后發(fā)優(yōu)勢(shì)”；加上不少券商的IT人員跳到基金公司，也移植了不少寶貴的經(jīng)驗(yàn)。不過(guò)，基金公司和券商同樣面臨著日趨敏感的安全大環(huán)境。由于國(guó)際經(jīng)濟(jì)環(huán)境的不斷惡化，中國(guó)市場(chǎng)越來(lái)越重要，吸引了越來(lái)越多國(guó)際黑客的關(guān)注。和“法力高強(qiáng)”的黑客相比，基金行業(yè)的安全思想和手段尤其薄弱，特別是對(duì)很多小基金公司來(lái)說(shuō)，資金少，人手少，防火墻還是5年前購(gòu)買的，只是每年打幾個(gè)補(bǔ)丁，這樣很容易成為被黑客盯上的“肥肉”。更可怕的是，大多數(shù)小基金公司并沒(méi)有意識(shí)到潛在的危險(xiǎn)性，相反卻抱著僥幸的心理。

從危機(jī)到轉(zhuǎn)機(jī)

環(huán)境變了，標(biāo)準(zhǔn)高了，要求高了，基礎(chǔ)不牢，安全管理實(shí)施難度更大，這就是當(dāng)前基金和證券行業(yè)安全現(xiàn)狀的寫(xiě)照。不過(guò)，某證券公司相關(guān)負(fù)責(zé)人表示，換一個(gè)角度來(lái)看，這也可看作是券商和基金公司們“扎好籬笆，勤練內(nèi)功”的好時(shí)機(jī)。

自今年五一以來(lái)，一些證券業(yè)CIO就一直在加班加點(diǎn)，周末也不能有閑暇休息。家人和朋友都很疑惑：不是說(shuō)熊市已經(jīng)來(lái)臨了嗎？你怎么比去年牛市時(shí)還要忙？某證券公司相關(guān)負(fù)責(zé)人表示，市場(chǎng)景氣時(shí)要忙著系統(tǒng)擴(kuò)容，市場(chǎng)低迷時(shí)責(zé)任更大，千方百計(jì)都要保護(hù)系統(tǒng)穩(wěn)定，維持市場(chǎng)信心。所以不管熊市牛市，首席信息官（CIO）總是最累的。

今年9月4日，中國(guó)證券業(yè)協(xié)會(huì)和中國(guó)期貨業(yè)協(xié)會(huì)聯(lián)合制定的《證券期貨經(jīng)營(yíng)機(jī)構(gòu)信息技術(shù)治理工作指引（試行）》（下稱 “工作指引”）正式發(fā)布，其中安全是非常重要的一部分。對(duì)CIO來(lái)說(shuō)，正好可以借助外部動(dòng)力，進(jìn)一步將安全管理落實(shí)到位。因?yàn)楣ぷ髦敢念C發(fā)，意味著公司領(lǐng)導(dǎo)層必須真正重視和管理企業(yè)的IT和安全。在此同時(shí)，一直“雷聲大，雨點(diǎn)小”，早在10多年前就發(fā)布的信息安全等級(jí)保護(hù)制度也有了初步的進(jìn)展。此前，國(guó)家雖然規(guī)定信息系統(tǒng)必須實(shí)施等級(jí)保護(hù)，但是只有一攬子規(guī)范，缺乏相關(guān)的管理辦法和等級(jí)標(biāo)準(zhǔn)，導(dǎo)致安全措施的推進(jìn)很是緩慢。而2007年開(kāi)展的安全等級(jí)保護(hù)制度的試驗(yàn)性推廣，也取得了一些成效。

中信建投證券公司是安全等級(jí)保護(hù)試點(diǎn)企業(yè)之一，他們的安全建設(shè)非常注重安全架構(gòu)的搭建，這正是很多券商和基金公司的薄弱環(huán)節(jié)。業(yè)內(nèi)資深人士張軍表示，搭架構(gòu)就像建房子之前要畫(huà)好設(shè)計(jì)圖紙，是安全成敗之關(guān)鍵。房子要規(guī)劃成幾室?guī)讖d，分別用于什么功能？每個(gè)房間上智能鎖，普通鎖，還是不裝鎖，要不要裝感應(yīng)探頭等？對(duì)企業(yè)而言，合理的布局相當(dāng)重要，否則會(huì)造成致命的創(chuàng)傷。比如原來(lái)用做倉(cāng)儲(chǔ)的房間要改成淋浴房，必須臨時(shí)破墻安裝增加噴頭，但是原先沒(méi)有排過(guò)管道線路，不得不繞一大圈連線，還有可能接不上，或者破壞原有設(shè)施的一些功能。

擁有15年證券行業(yè)從業(yè)經(jīng)驗(yàn)的中信建投信息技術(shù)部執(zhí)行總經(jīng)理宋群力在搭建安全架構(gòu)時(shí)，借鑒了動(dòng)態(tài)網(wǎng)絡(luò)安全模型MP2DR。MP2DR模型來(lái)自于國(guó)外，分別代表了管理、策略、防護(hù)、檢測(cè)、響應(yīng)和恢復(fù)5個(gè)方面。這套模型給宋群力提供了清晰、可借鑒的思路來(lái)搭建基礎(chǔ)環(huán)境、網(wǎng)絡(luò)、操作系統(tǒng)、數(shù)據(jù)庫(kù)、應(yīng)用系統(tǒng)5層企業(yè)安全整體架構(gòu)。

同時(shí)，宋群力始終將標(biāo)準(zhǔn)化貫穿其中，并力求做到“統(tǒng)一規(guī)劃，統(tǒng)一部署，統(tǒng)一管理”。以網(wǎng)絡(luò)架構(gòu)為例，每個(gè)營(yíng)業(yè)部網(wǎng)點(diǎn)都推行標(biāo)準(zhǔn)結(jié)構(gòu)，物理上有兩臺(tái)骨干交換機(jī)和兩臺(tái)機(jī)房專用二級(jí)交換機(jī)，并且根據(jù)規(guī)模配置數(shù)量不等的客戶用交換機(jī)；同時(shí)配置兩臺(tái)路由器；還有兩條不一樣的電信運(yùn)營(yíng)商線路；而廣域網(wǎng)通信策略，路由器策略等也都統(tǒng)一規(guī)劃。