基金公司IT安全刻不容緩 化解“中彈”危機

申請免費試用、咨詢電話：400-8352-114

股市指數(shù)跳水，基金交易放緩，股民和基民們的心靈本已脆弱得不堪一擊。

9月份，又曝出多家基金公司在中國證監(jiān)會的IT系統(tǒng)抽查中“中彈”——17家基金公司的IT系統(tǒng)穩(wěn)定問題“較為嚴重”，其中4家基金公司的IT系統(tǒng)安全問題非常嚴重。某證券公司網站也被成功潛入，由證監(jiān)會安排的“黑客”輕松竊取該公司客戶資料后“神不知鬼不覺”地離開了。

這在業(yè)內掀起了軒然大波?；?、證券公司安全“中招”的原因究竟是什么？現(xiàn)階段的安全現(xiàn)狀又如何？如何歸規(guī)避類似的安全風險呢？

內情再現(xiàn)

“其實，從券商網站遭到入侵這件事本身來看，造成的危害并不像外界想像的那么嚴重?！痹谧C券行業(yè)縱橫10年之久的張軍（化名）說。通常，了解技術的人都知道，券商和基金公司的核心資料不可能存放到網站上，而且它們基本都采取了內外網隔離技術。

但實際上，普通大眾不可能擁有IT專業(yè)人員的技術背景，在他們眼中，網站就等同于券商和基金公司的核心系統(tǒng)，攻破了網站，也就意味著“踹開”了券商和基金公司的大門，所有有價值的信息將被黑客如探囊取物般擄走。

所以盡管此次事件的實質性危害不大，但是證監(jiān)會“黑客”侵入帶來的形象危機和信任度的降低卻不可小視。

多家券商和基金公司都表示，由于奧運維穩(wěn)的要求，今年安全工作抓得非常緊，證監(jiān)會多次下達檢查和整改的文件。這次嚴查后確實暴露出了基金公司和券商的深層安全問題。以券商為例，近幾年證券業(yè)掀起了一股從分散的營業(yè)所向總部大集中的熱潮，可是，盡管系統(tǒng)在緊鑼密鼓地改造中，但人馬還是原來那套人馬，安全意識和手段不可能馬上提升上去，難免埋下種種安全隱患。加上今年的行情與去年相比出現(xiàn)了截然相反的變化，對CIO來說，IT穩(wěn)定運行和防護的要求并不亞于峰值不斷被刷新的牛市時期。

相比較而言，基金公司成立比較晚，資金也比較充足，網絡架構相對成熟，系統(tǒng)變革也不像券商那樣頻繁，具有“后發(fā)優(yōu)勢”；加上不少券商的IT人員跳到基金公司，也移植了不少寶貴的經驗。不過，基金公司和券商同樣面臨著日趨敏感的安全大環(huán)境。由于國際經濟環(huán)境的不斷惡化，中國市場越來越重要，吸引了越來越多國際黑客的關注。和“法力高強”的黑客相比，基金行業(yè)的安全思想和手段尤其薄弱，特別是對很多小基金公司來說，資金少，人手少，防火墻還是5年前購買的，只是每年打幾個補丁，這樣很容易成為被黑客盯上的“肥肉”。更可怕的是，大多數(shù)小基金公司并沒有意識到潛在的危險性，相反卻抱著僥幸的心理。

從危機到轉機

環(huán)境變了，標準高了，要求高了，基礎不牢，安全管理實施難度更大，這就是當前基金和證券行業(yè)安全現(xiàn)狀的寫照。不過，某證券公司相關負責人表示，換一個角度來看，這也可看作是券商和基金公司們“扎好籬笆，勤練內功”的好時機。

自今年五一以來，一些證券業(yè)CIO就一直在加班加點，周末也不能有閑暇休息。家人和朋友都很疑惑：不是說熊市已經來臨了嗎？你怎么比去年牛市時還要忙？某證券公司相關負責人表示，市場景氣時要忙著系統(tǒng)擴容，市場低迷時責任更大，千方百計都要保護系統(tǒng)穩(wěn)定，維持市場信心。所以不管熊市牛市，首席信息官（CIO）總是最累的。

今年9月4日，中國證券業(yè)協(xié)會和中國期貨業(yè)協(xié)會聯(lián)合制定的《證券期貨經營機構信息技術治理工作指引（試行）》（下稱 “工作指引”）正式發(fā)布，其中安全是非常重要的一部分。對CIO來說，正好可以借助外部動力，進一步將安全管理落實到位。因為工作指引的頒發(fā)，意味著公司領導層必須真正重視和管理企業(yè)的IT和安全。在此同時，一直“雷聲大，雨點小”，早在10多年前就發(fā)布的信息安全等級保護制度也有了初步的進展。此前，國家雖然規(guī)定信息系統(tǒng)必須實施等級保護，但是只有一攬子規(guī)范，缺乏相關的管理辦法和等級標準，導致安全措施的推進很是緩慢。而2007年開展的安全等級保護制度的試驗性推廣，也取得了一些成效。

中信建投證券公司是安全等級保護試點企業(yè)之一，他們的安全建設非常注重安全架構的搭建，這正是很多券商和基金公司的薄弱環(huán)節(jié)。業(yè)內資深人士張軍表示，搭架構就像建房子之前要畫好設計圖紙，是安全成敗之關鍵。房子要規(guī)劃成幾室?guī)讖d，分別用于什么功能？每個房間上智能鎖，普通鎖，還是不裝鎖，要不要裝感應探頭等？對企業(yè)而言，合理的布局相當重要，否則會造成致命的創(chuàng)傷。比如原來用做倉儲的房間要改成淋浴房，必須臨時破墻安裝增加噴頭，但是原先沒有排過管道線路，不得不繞一大圈連線，還有可能接不上，或者破壞原有設施的一些功能。

擁有15年證券行業(yè)從業(yè)經驗的中信建投信息技術部執(zhí)行總經理宋群力在搭建安全架構時，借鑒了動態(tài)網絡安全模型MP2DR。MP2DR模型來自于國外，分別代表了管理、策略、防護、檢測、響應和恢復5個方面。這套模型給宋群力提供了清晰、可借鑒的思路來搭建基礎環(huán)境、網絡、操作系統(tǒng)、數(shù)據庫、應用系統(tǒng)5層企業(yè)安全整體架構。

同時，宋群力始終將標準化貫穿其中，并力求做到“統(tǒng)一規(guī)劃，統(tǒng)一部署，統(tǒng)一管理”。以網絡架構為例，每個營業(yè)部網點都推行標準結構，物理上有兩臺骨干交換機和兩臺機房專用二級交換機，并且根據規(guī)模配置數(shù)量不等的客戶用交換機；同時配置兩臺路由器；還有兩條不一樣的電信運營商線路；而廣域網通信策略，路由器策略等也都統(tǒng)一規(guī)劃。