从危机到转机环境变了,标准高了,要求高了,基础不牢,安全管理实施难度更大,这就是当前基金和证券行业安全现状的写照。不过,某证券公司相关负责人表示,换一个角度来看,这也可看作是券商和基金公司们“扎好篱笆,勤练内功”的好时机。
自今年五一以来,一些证券业CIO就一直在加班加点,周末也不能有闲暇休息。家人和朋友都很疑惑:不是说熊市已经来临了吗?你怎么比去年牛市时还要忙?某证券公司相关负责人表示,市场景气时要忙着系统扩容,市场低迷时责任更大,千方百计都要保护系统稳定,维持市场信心。所以不管熊市牛市,首席信息官(CIO)总是最累的。
今年9月4日,中国证券业协会和中国期货业协会联合制定的《证券期货经营机构信息技术治理工作指引(试行)》(下称“工作指引”)正式发布,其中安全是非常重要的一部分。对CIO来说,正好可以借助外部动力,进一步将安全管理落实到位。因为工作指引的颁发,意味着公司领导层必须真正重视和管理企业的IT和安全。在此同时,一直“雷声大,雨点小”,早在10多年前就发布的
信息安全等级保护制度也有了初步的进展。此前,国家虽然规定信息系统必须实施等级保护,但是只有一揽子规范,缺乏相关的管理办法和等级标准,导致安全措施的推进很是缓慢。而2007年开展的安全等级保护制度的试验性推广,也取得了一些成效。
中信建投证券公司是安全等级保护试点企业之一,他们的安全建设非常注重安全架构的搭建,这正是很多券商和基金公司的薄弱环节。业内资深人士张军表示,搭架构就像建房子之前要画好设计图纸,是安全成败之关键。房子要规划成几室几厅,分别用于什么功能?每个房间上智能锁,普通锁,还是不装锁,要不要装感应探头等?对企业而言,合理的布局相当重要,否则会造成致命的创伤。比如原来用做仓储的房间要改成淋浴房,必须临时破墙安装增加喷头,但是原先没有排过管道线路,不得不绕一大圈连线,还有可能接不上,或者破坏原有设施的一些功能。
拥有15年证券行业从业经验的中信建投信息技术部执行总经理宋群力在搭建安全架构时,借鉴了动态
网络安全模型MP2DR。MP2DR模型来自于国外,分别代表了管理、策略、防护、检测、响应和恢复5个方面。这套模型给宋群力提供了清晰、可借鉴的思路来搭建基础环境、网络、操作系统、数据库、应用系统5层企业安全整体架构。
同时,宋群力始终将标准化贯穿其中,并力求做到“统一规划,统一部署,统一管理”。以网络架构为例,每个营业部网点都推行标准结构,物理上有两台骨干交换机和两台机房专用二级交换机,并且根据规模配置数量不等的客户用交换机;同时配置两台路由器;还有两条不一样的电信运营商线路;而广域网通信策略,路由器策略等也都统一规划。
防范重于治理
要想控制基金和证券行业的风险,搭建安全架构是迈出了重要的第一步,但防护同样必不可少。
博时基金管理有限公司(下称博时基金)信息技术部总经理林琦表示,随着企业管理资产规模的增大,客户数量增多,更要考虑企业的连续性发展问题。至今为止,博时基金已经在北京和深圳两地建立了5~6个TB的异地准实时灾备中心,并且在今年已经进行了实际演练。
尽管购买了安全设备,采取了必要的安全手段,不过,业内人士表示,部分基金公司和券商在安全防范上还存在意识不够问题。比如,一些企业由于惰性或其他原因疏于安全维护,但是安全设备“不更新,不防护,就是一个敞开的后门”。
此外,通常网站应该采取纵深防御,也就是说因特网的连接处要有一套防火墙设备,网站后的连接处还要有一套安全设备。出于安全考虑,这两套设备应该采取不同的品牌,但是有些企业只从商业角度考虑这个问题,这就导致前面一套一旦被攻破,后面一套也就不攻自破了。
而且“安全是一个整体,出现任何短板,都会使其不攻自破。”资深人士张军说。比如防火墙进入中国市场早,应用范围广,一些企业老总对防火墙过于迷信,造成滥用。其实,防火墙只能解决部分问题。像入侵检测这类对IT人员要求较高的技术应用较少,挖掘得也不够。由于入侵检测会报出几千甚至几万条信息,IT安全人员需要像警察那样,一眼认出形迹可疑的坏人,必须拥有非常丰富的经验。此外,交换机成为短板的情况也很严重。
另外一个较严重的问题是安全制度的缺失。令CIO有苦难言的是,老总是制度的制定者,往往也是破坏者。员工不停升级杀毒软件,老总的笔记本却不能做到及时更新。而且这种“轻慢心态”,会逐渐从外围系统向核心系统蔓延,最终导致层层失权,层层失守。
中国证监会的频繁抽查已经给券商、基金公司们敲响了一记警钟,安全就像逆水行舟,不进则退。对基金公司和券商来说,要想避开“子弹”的袭击,就得制定完整的安全架构,提高安全意识,规范安全制度。业内人士表示,安全管理的道路,没有捷径可言,只有老老实实地做好防范。
【责任编辑:
董晶晶 TEL:(010)68479336-8033】
|
服 务 CIO 推 进 信 息 化 
