洛阳证券公司联盟

证券行业信息系统安全防护能力建设浅析

金融时代网2020-03-27 13:28:11

  一、信息安全概述

  首先概要介绍国内外的信息安全标准化组织、相关的国内外信息安全技术标准,以及国内证券期货行业的信息安全标准。

  ISO是国际上最具有权威性的标准化组织,ISO/IEC JTC 1/SC27是ISO中专门从事信息安全标准化工作的分技术委员,ISO/TC68 SC2是ISO中专门负责金融行业信息安全标准的分技术委员会。ISO/TC68 SC2正在与ISO/IEC JTC 1/SC27合作,共同为金融机构制定ISO 27015(金融机构信息安全管理指南标准)。

  全国信息安全标准化技术委员会目前是我国最权威的信息安全标准化组织,全国金融标准化技术委员下设的证券分技术委员会负责证券期货业的信息安全相关技术标准,根据中国国家标准化委员会下的信息安全标准化技术委员会牵头编写的等级保护国家标准,目前已经制定了完成《证券期货业信息系统安全等级保护基本要求》(试行)和《证券期货业信息系统安全等级保护测评要求》(试行)。

  其次介绍证券期货行业近几年的信息安全建设概况,总结过去几年的工作经验与不足,以及面临的挑战和机遇。

  证券期货交易类信息系统高度依赖计算机和网络技术,信息系统的安全稳定运行已经成为整个资本市场稳定发展的最关键因素之一。

  近年来,行业各机构在面临各种恶意网络犯罪的挑战下,始终保持着重要系统稳定运行的良好状态。具体表现在以下三个方面:

  一、初步形成了行业信息安全等级保护机制,防护恶意攻击的能力明显提高。为未来行业全面开展等保测评和整改加固工作打下了坚实的制度基础。

  二、应急演练效果明显,行业防范恶意攻击应急处置水平大幅提升。

  三、建立了高效有力的信息安全组织保障机制,科学地规划了行业信息安全战略,形成了安全与业务监管联动机制,促进行业防范恶意攻击能力的提高。

  行业信息安全防护工作尽管取得了一定的成绩,但同时也面临着新的挑战:

  一、恶意攻击者在利益的驱动下已经形成了有组织、有分工的犯罪团体,甚至是跨国犯罪集团,其犯罪后果可以不仅严重威胁到投资者的切身利益,而且威胁到资本市场的稳定运行乃至国家金融安全,严重威胁资本市场运行安全。

  二、三网融合后的复杂网络环境使得信息安全防范难度加大。

  三、互联网攻击态势愈加恶劣。

  随着信息技术的发展和互联网的普及,国内外信息安全形势发生了重大变化。世界各国普遍将网络信息安全提升到了一个前所未有的战略高度,我国高度重视信息安全,始终强调要从维护国家政权稳定的高度,提高对信息安全极端重要性的认识,不断加大资金投入和人员投入的力度。

  在此情况下,证券期货业信息系统安全工作面临着新的机遇:

  一、行业信息安全战略和方针逐渐清晰,组织领导体系基本建立,监管力度不断加强,各机构安全基础设备持续提升抗攻击能力,安全技术标准有序推进,信息安全法律法规逐步健全,为整个行业信息安全工作提供了有力的保障。

  二、不断优化的信息技术和互联网技术为建立安全有效的信息系统提供了新的防护手段。

  三、行业信息化建设跨越式发展创造了更多的高端就业机会,为吸引更多的信息安全优秀人才加入证券期货行业创造了条件,促进了行业信息安全队伍建设。

  四、国内信息安全厂商技术不断完善,在病毒防范、访问控制、防范DDoS攻击、终端准入、敏感信息防泄漏等方面的新技术和新产品也层出不穷,为行业各机构信息安全建设提供多层次、多种类的防范手段。

  二、信息系统安全威胁分析

  通过对典型安全威胁案例的解读和安全威胁的分类说明来分析行业信息系统所面临的安全威胁。

  1 、典型安全事件分析

  主要对近两年较有影响力的各类安全事件进行分析。这些事件造成了广泛严重的影响,同时也给行业信息系统的安全防护带来启示和反思。

  “Stuxnet”震网蠕虫的出现标志着网络攻击开始向网络武器、网络战争时代转变的开始。这说明:漏洞尤其是零日漏洞仍是系统入侵主流手段;物理隔离手段不是万能的,需要整个体系共同确保安全;工业控制系统等行业专用软件遭到攻击,行业内柜台系统、TA系统等行业专用软件的安全性验证工作需要加强;加强对信息系统内部使用的移动存储介质管理。

  维基解密Wikileaks的爆发,使得信息安全业界对信息保密这一传统课题进行新的反思。结合行业情况,重要敏感信息泄露问题对于行业有较大影响,尤其是对于各类投资者的利益,所以行业机构要加强对重要敏感信息的保护,采取多种手段保护敏感数据安全。

  2011年初,某银行的网上银行嵌入的第三方网页被黑客挂马。行业机构网站嵌入第三方内容的也不在少数,也缺乏对于第三方内容的管理和对应的安全检查。应该持续加强对网站安全的技术检查、评估和管理,尤其是存在第三方内容页面和关系到投资者个人账户信息页面;信息系统安全体系设计要全面,任何一个疏忽点都可能造成整体防护失败。

  2010年底,某银行网上银行遭受大面积的钓鱼攻击。黑客利用大量伪造域名,结合短信诈骗诱使客户访问短信中的仿冒的页面地址。社会工程学等直接诱骗用户的攻击是当前行业信息系统所面临的安全威胁;行业机构要建立一套针对钓鱼网站的发现、监控、关闭的有效流程;加强投资者的安全意识培养教育也是重要环节。

  港交所遭受DDoS攻击事件。2011年8月10日,港交所信息披露网站——“披露易”网站攻击,导致投资者无法从网站上查阅上市公司公告。为此,共有7只股票及1只债券被迫停牌,相应的相关衍生工具亦全部停牌,市场影响巨大。

  国内大规模互联网用户信息泄密事件。

  根据国家互联网信息办在2011年1月的公布的信息泄露事件信息:CSDN、天涯网站、京东商城等多起用户信息泄露事件。CSDN、天涯网站被曾在2009年以前被入侵,数据遭泄露也发生在两年前。网名“臭小子”的许某某(男,19岁,无业人员)出于个人炫耀的目的,于去年12月4日在乌云网上发帖称CSDN等网站数据密码被泄露,并公布泄露的数据包截图。

  2 、行业信息安全风险分析

  近年来,全行业在基础架构安全方面的重视程度明显增强,整体的安全防护水平大幅度提升,能抵御一定程度的网络攻击。但随着信息系统规模日趋庞大、架构日趋复杂,仍有一些安全风险值得关注。

  网络系统、服务器主机缺乏统一安全配置。行业机构信息系统实施建设多依赖外包集成商,多使用出厂默认配置,缺乏统一的安全配置。对比同样依赖外包集成商的电信运营商正在推广的安全基线配置规范有明显差距。

  海量日志统一收集监控分析能力缺乏。大多行业机构包括核心机构在内关键信息系统的主机、网络、管理终端均各自独立监控,海量日志并未进行统一收集,这一风险与目前银行业、电信运营商均配置统一安全管理平台的做法有明显差距。

  缺乏抵御大规模拒绝服务攻击的能力。中国债券信息网被攻击事件、港交所“披露易”网站瘫痪事件表明当前拒绝服务攻击仍是黑客攻击的主要手段之一。行业大多机构缺乏专业人员技术支持,大多未通过有效的应急演练来切实提升防护能力

  缺乏集中身份管理与统一认证授权控制。当前行业机构信息系统的用户管理多为分散式管理,存在共用账户、审计分散等问题。如何建立统一管理“用户-岗位-角色-账户”的关联是个挑战。

  Web应用安全隐患突出。Web应用占据行业机构业务应用系统的主流,由于行业大多依赖外包开发,开发不同应用的团队在应用安全的开发能力和测试规范各不相同,很难保证安全效果。

  应用安全需求设计严重缺失。不少行业机构在应用系统建设时由于种种原因,安全人员无法将安全需求、安全设计要求导入应用系统开发设计的前期阶段。

  数据信息防泄漏须待重视。信息泄露已经成为近年来最大的数据安全威胁。行业数据信息敏感程度高,受关注度高。如何在满足业务发展的同时确保数据信息安全访问成为挑战。

  从业人员的信息安全意识缺失的安全风险。RSA2011大会提出:众多缺乏安全意识的员工,正在成为黑客突破企业安全防护的薄弱环节中最容易利用的漏洞。安全意识的培养工作涉及内部的所有员工,是一项长期的基础工作。

  小结:国家对信息安全的重视程度不断增强,新的标准要求越来越高,很多原来看似“安全”的系统,现在已难以满足新的安全标准。围绕各种敏感时期“维稳”要求日益常态化,信息安全保障的工作压力持续增加。信息安全已经成为行业机构商誉和风险管控的关键因素。

  三、 信息系统安全框架

  信息安全框架是信息安全体系建设的基础与蓝本,通过讲述信息安全管理体系建设的5个层面来展开。

  安全政策、标准——管理规定。信息安全政策与标准是信息安全管理、运作、技术体系标准化、制度化后形成的一整套对信息安全的管理规定,是安全意识培养的内容来源,是组织管理控制和审计的依据,是技术方案必须遵从的基础要求。

  安全意识培养——宣传教育。员工在信息安全方面的自我约束、自我控制,是信息安全管理体系的一个重要层次。安全意识培养是信息安全管理控制的基础,实际工作中大部分的信息安全控制需要依靠员工的主观能动性。

  安全组织——管理控制。通过完善的组织架构,明确不同安全组织、不同安全角色的定位和职责以及相互关系,对信息安全风险进行控制管理。这里包含了“管理”和“监控”两方面的含义,特别是对专职的信息安全管理部门而言,“监控”是极其重要的职责。

  审计——监督。审计监督是企业内部风险控制的重要组成部分。内部审计是企业内部控制的一种自我监督机制。信息安全审计一般是在信息安全管理控制的基础上,由企业内部相对独立的专职部门对信息安全管理控制的效果进行监督。

  风险评估——发现问题。信息安全风险评估的目标是了解支撑企业关键业务运作的信息系统的安全状况,评估核心信息资产所面临的风险,发现信息安全实践中的薄弱环节和改进机会,明确信息系统的安全需求,提出信息安全控制措施改进方案。

  然后针对信息系统的基础安全设施从纵向以及横向分别进行了安全分析,将信息系统层次结构从纵向的角度展开,把信息系统的构成划分为六个层次,物理层、网络层、操作系统层、数据库层、应用层及操作层。从横向的角度又划分为客户端安全、数据链路安全以及服务器端安全。并从这些不同的角度进行安全分析、评估。

  通过结合证券行业信息系统的现状进行分析、评估,针对目前行业内存在的风险以及潜在的风险给出了解决方案,并从构建合理的网络拓扑、明确网络边界、实施网络边界防护、DDOS攻击的防护、构建VPN安全系统、WEB应用防护、安全基线建设、部署安全评估系统、内部攻击的防范、防病毒系统建设、办公端安全等几个方面进行了详细描述。

  最后针对信息系统的安全运维进行整体的规划设计,安全运维主要包含威胁分析与预警,安全状态和事件的监控,安全事件或事故的响应,以及基于安全管控目标的操作行为和日志审计系统,企业信息安全运维体系的建设通常体现为安全运维中心的建设。

  四、安全新技术应用及发展趋势

  随着黑客攻击技术的不断增强,信息安全防护技术也得到了快速的发展,近年来涌现了一批具有新特点的安全技术,有些是在原有安全技术上进一步拓展应用,有些则是完全新的安全技术,行业内机构可以根据自己实际情况,选择相应的安全新技术,增强和提高现有安全防护能力,如自动化安全基线检查技术,安全管理中心技术,身份识别与访问管理技术,防盗买盗卖技术都是证券行业的新技术并得到了业内广泛的应用。

  同时展望未来证券行业的发现趋势必定会结合云计算、云安全,因此结合云计算与安全威胁变化、证券移动交易的安全、移动互联网交易安全威胁形式、证券交易安全防护方法都详细说明了证券交易的未来发展方向。

  1 、自动化安全基线技术

  安全基线定义一个信息系统最基本需要满足的安全标准和要求。自动化安全基线技术源于美国国家标准和技术研究所(NIST)主导的SCAP框架以及联邦桌面的核心配置FDCC。国内的运营商如中国移动也制定了对应系统的配置规范并开发对应检查工具,为快速实现上线验收、安全检查提供了参考依据。

  证券期货业机构系统设备多、种类多、跨地区部署,IT运维人员操作任务繁重,缺乏及时全面掌握系统配置是否正确的手段。传统的人工检查、人工扫描都是事后分析,缺乏效率。自动化安全基线检查技术通过配置标准的检查工具对目标系统的漏洞、配置和重要状态定期进行检查,获得当前系统的安全状况。准确衡量系统安全运行状态,比照量化系统的安全状况,提高自动化运维水平。

  2 、安全管理中心技术

  安全管理中心技术是当前安全事件管理上的研究热点,包括采集、分析、展现三个层次,利用事件关联分析和业务层面的威胁分析等算法,发现海量日志中有价值的重要信息并提供报警。在行业中应用不广泛,通过通用数据接口,与各种安全设备、网络设备、操作系统、数据库、应用系统对接,并采集日志,利用自身算法对日志进行联动分析,并根据自定义的安全策略和阀值,发现异常和报警。

  3 、身份识别与访问管理技术(IAM)

  身份识别与访问管理技术通过建立统一的用户身份管理模型、统一的认证管理模式、基于策略的集中式授权和审计服务等措施覆盖整个用户管理的生命周期,统一管理“用户-岗位-角色-账号”的管理,全方位规范化管理信息系统用户的授权与访问行为。

  国内最典型的应用是电信运营商的4A系统,实现了用户身份和账号在各系统的统一管理,提供了多种认证方式,使得安全认证和访问控制独立于各业务系统之外,用较低的代价实现了强身份认证,统一规范了各应用系统的用户权限,实现细粒度的访问控制,有效提升系统安全性。

  4、 防盗买盗卖技术

  证券交易与资金密切相关,盗买盗卖活动不仅可能造成投资者经济损失,而且还有可能扰乱资本市场正常秩序。目前常见的盗买盗卖技术有两类:一类是通过木马病毒窃取客户账号密码,然后自行进行委托操作。一类是通过后门程序控制客户计算机,然后在客户计算机上进行委托操作。

  为提升证券交易的安全性,可采用在交易客户端应用防劫持、防进程扫描等客户端防御技术,开发客户端网上交易安全控件,通过键盘过滤驱动程序、键盘反过滤中断、防内存读取和反逆向分析技术,阻止木马程序或病毒窃取账号密码。

  5 、云计算与安全威胁变化

  当前由互联网行业兴起的“云计算”给传统的计算模式和商业服务模式带来了巨大的改变。“云计算”拥有其超大规模、虚拟资源池、高可扩展性、高可靠性、强容错性以及通用性等一系列的特点,帮助实现业务系统按需部署,支持业务系统弹性架构,适合行业建立高可用性、扩展性好的IT系统的需求。

  云安全”也随之成为国内外安全行业讨论研究的热点。行业机构在享受“云计算”的便利同时,也需要“云计算”“安全威胁保持清晰认识:云计算的滥用和拒绝服务攻击、不安全的接口开放、恶意的内部员工、共享导致的数据扩散、数据泄露、账号和服务劫持等安全威胁。

  6 、证券移动交易安全

  随着移动互联网大规模的应用,给投资者的投资理财方式带来革命性变化。近年来移动互联网交易量快速上升,部分券商其交易量占比已达到10%,越来越多的投资者使用移动互联网交易终端。

  与网上交易遭受安全威胁类似,移动交易享受着便利性的同时,其安全风险也在不断加大。特别是目前有报道黑客同行货在Android电子市场发布假冒软件窃取客户的交易账号、密码等重要身份信息,未来这种趋势可能会呈现出威胁不断增长的趋势。

  智能终端面对的恶意代码威胁和移动平台漏洞双重威胁。根据公开报道,自今年一月份至七月份,Android平台上的恶意软件数量已经激增了1400%。2010年底美国软件分析公司Coverity宣布在2.6.32版本的Android操作系统内核存在359个重大漏洞,其中包括88个被定为高危漏洞。特别是国内还存在大量的水货智能手机,大部分都存在安全漏洞,很多山寨手机已经被预置恶意软件。

  在移动交易安全防护方面,我们应该未雨绸缪,着手开始进行安全防护体系建设。依靠国家相关安全机构的支持,大力发展移动平台安全模块集成、移动平台及交易客户端安全加固、数据安全等防护措施。

  五、总结与建议

  面对日趋复杂的网络安全形势和层出不穷的网络攻击,信息系统安全范围已经从原来的基础架构安全扩展到应用、数据、用户等多方面的安全管理,信息安全保障的边界逐渐延伸。行业信息系统安全建设须以国家信息安全战略方针为指导思想,稳步有序地推进行业整体信息安全工作,综合利用多种信息安全技术领域成果,端到端的管理各类信息安全风险。

  为此,提出以下建议:

  1、对行业监管部门的建议

  行业监管部门应进一步加强信息安全管理体系建设。以等级保护工作为抓手,结合ISO27001、ITIL等国际标准,系统化、规范化落实不同业务系统的安全要求,形成一系列比较完整的规范、指引和标准,用于从技术方面度量证券期货行业信息系统所达到的安全标准尺度,在整个行业推进信息安全等级保护工作,有效落实国家信息安全战略要求。

  行业监管部门应结合国家金融标准化工作,深入开展信息安全技术标准化应用工作。借鉴FIX、SWIFT和ISO20022等金融数据交换国际标准中有关信息安全设计理念,引进安全交易接口、安全报文等成熟技术,持续消化、吸收国际标准和国外先进标准,提高了行业标准化水平,缩小国内证券期货业与国际同行的差距。

  行业监管部门应引导业内机构、软件开发商参与国际和国内信息安全技术标准化工作,锻炼和培养专业人才。在全国金融标准化技术委员会指导下,进一步增强证标委与与全国信息安全标准化技术委员会、密码行业标准化技术委员会等信息安全标准化组织的合作,积极参与国内外信息安全技术标准化会议,培养行业信息安全专家,提升行业信息安全整体水平。

  行业监管部门应加强宣传信息安全法律知识,加强投资者教育工作。一方面有效惩治和威慑不法分子,通过法律手段实施制裁和惩罚措施、切断黑色产业链,有效遏制危害行业信息系统安全犯罪的蔓延和泛滥,另一方面提升行业机构司法维权意识,提高保护自身利益的能力。

  2、 对行业参与机构的建议

  随着行业机构内信息系统IT基础设施越来越复杂,面临的网络攻击行为越来越多样化,行业信息系统现有的各种独立实施的安全技术和安全设备已经不足应对新的风险,行业机构应该以整体安全保障的指导思想,跨越多个信息安全技术领域,从以下几个方面加强信息安全风险管理。

  加强用户安全管理。建立行之有效的人员和身份识别系统,做好用户审计、身份与账号管理、认证管理、权限与访问管理四大方面,保障合法用户在容许的时间访问合适的资源。

  完善网络安全基础架构。网络、服务器和终端构成信息系统的基础架构,通过安全域边界保护、内容安全保护、弱点漏洞管理、安全事件管理四大基础安全功能,对存在于基础架构中安全隐患的主动监控和控制,避免或减少技术设施带来的风险,确保上层应用系统的安全和稳定。

  突出应用安全管理。加强应用安全管理,重点关注整个应用开发生命周期的安全,加强开发安全管理、安全编码和安全测试,切实提高应用系统安全能力。

  加强数据安全管理。数据和信息是企业的核心资产,信息系统中的数据和信息在存储、转移、使用、传输、交换等过程中,都有可能受到安全威胁。数据安全管理主要针对数据发现和分类、应用数据保护、终端数据保护、数据归档与销毁四大部分。

  对于某些涉及范围广、解决难度较高的安全问题如客户端抵御恶意攻击能力、移动终端加密算法、大范围攻击监控、行业专用系统的安全漏洞等,仅仅依靠行业机构、行业软件开发商、某些安全厂商的分散努力往往不能得到很好的解决。信息安全必须整合组织与人员、管理体系与流程、技术手段三方面因素,设计完整的安全架构、并持续实施才能获得理想的效果。

(来源:交易技术前沿)