證劵行業(yè)信息安全目標(biāo)現(xiàn)狀及對(duì)策

孫　琦鞍山師范學(xué)院商學(xué)院

證劵行業(yè)信息安全目標(biāo)現(xiàn)狀及對(duì)策

孫琦
鞍山師范學(xué)院商學(xué)院

伴隨著著信息經(jīng)濟(jì)化時(shí)代的快節(jié)奏發(fā)展，信息技術(shù)與網(wǎng)絡(luò)應(yīng)用也越來(lái)越普及，進(jìn)而衍生出來(lái)的信息安全問(wèn)題也就備受重視。證劵市場(chǎng)作為市場(chǎng)經(jīng)濟(jì)環(huán)境的重要組成之一，隨著其自身業(yè)務(wù)的不斷擴(kuò)展，網(wǎng)絡(luò)技術(shù)的不斷更新，其信息安全問(wèn)題也就日益突出。如何構(gòu)建一套行之有效的嚴(yán)密的證劵交易信息安全保障體系，也便成為了證劵公司生存和發(fā)展的重點(diǎn)和難點(diǎn)。

證劵公司；信息安全；系統(tǒng)

1、證劵公司信息系統(tǒng)安全目標(biāo)的現(xiàn)狀分析

證劵公司信息系統(tǒng)的安全的目標(biāo)為機(jī)密性、完整性及可使用性。即保障資料傳輸和存儲(chǔ)的私密性，確保資料傳輸和存儲(chǔ)時(shí)進(jìn)行必要的加密處理；數(shù)據(jù)的更改只能由授權(quán)人或透過(guò)授權(quán)機(jī)制進(jìn)行；讓數(shù)據(jù)隨時(shí)保持可用狀態(tài)，必須確保不能中斷服務(wù)。

1.1機(jī)密性現(xiàn)狀分析

目前，證劵公司按照自身業(yè)余需求將網(wǎng)絡(luò)劃分為內(nèi)部廣域網(wǎng)、內(nèi)部局域網(wǎng)及外部網(wǎng)三部分。內(nèi)部廣域網(wǎng)并不對(duì)外開(kāi)放使用，處于網(wǎng)絡(luò)安全保護(hù)，外部用戶不能檢測(cè)到它的IP地址，屬于高級(jí)保護(hù)策略；內(nèi)部局域網(wǎng)是針對(duì)客戶的網(wǎng)絡(luò)，客戶的交易環(huán)境就是這個(gè)網(wǎng)絡(luò)環(huán)境下產(chǎn)生的；外部網(wǎng)主要是通過(guò)國(guó)際互聯(lián)網(wǎng)提供服務(wù)，在此環(huán)境中提供一些公共服務(wù)。為了信息網(wǎng)絡(luò)的安全性，證劵公司的內(nèi)部網(wǎng)和外部網(wǎng)是嚴(yán)格隔離的，所以即使外部網(wǎng)收到黑客的攻擊，內(nèi)部網(wǎng)也可以正常運(yùn)行。系統(tǒng)安全的機(jī)密性除了體現(xiàn)在硬件、軟件的設(shè)置上，管理人員的機(jī)密性素養(yǎng)也是至關(guān)重要的。系統(tǒng)由于內(nèi)部監(jiān)管不嚴(yán)，很容易造成內(nèi)部人員存儲(chǔ)資料時(shí)不進(jìn)行加密或弱加密、甚至在未經(jīng)授權(quán)的情況下將內(nèi)部私密資料傳輸?shù)酵獠康痊F(xiàn)象。

1.2完整性現(xiàn)狀分析

現(xiàn)在證劵公司的內(nèi)部及外部交易均依賴于信息系統(tǒng)進(jìn)行市場(chǎng)分析、委托交易等行為。網(wǎng)上的快捷交易也取得了很多客戶的青睞，但其安全問(wèn)題也成為影響網(wǎng)絡(luò)效能的瓶頸。證劵公司信息系統(tǒng)安全的完整性現(xiàn)狀大致有以下幾個(gè)問(wèn)題：網(wǎng)上交易時(shí)未加強(qiáng)對(duì)交易者身份真假的確認(rèn)；面對(duì)黑客攻擊及信息傳輸?shù)确矫孀龅倪€不夠完善；如交易者的工作站對(duì)應(yīng)的信息節(jié)點(diǎn)較弱，容易被黑客找到漏洞。非法侵入到其電腦中，導(dǎo)致交易者的資金被盜用。近幾年，證劵公司的網(wǎng)絡(luò)被黑客入侵、網(wǎng)絡(luò)設(shè)備出現(xiàn)故障等消息頻頻出現(xiàn)，給證劵行業(yè)造成了一定的經(jīng)濟(jì)損失和不良的社會(huì)影響。

1.3可使用性現(xiàn)狀分析

證劵公司一般在全國(guó)范圍內(nèi)經(jīng)營(yíng)業(yè)務(wù)，網(wǎng)絡(luò)體系龐大，數(shù)據(jù)結(jié)構(gòu)復(fù)雜。交易所、證劵公司及交易者三方的交易環(huán)境均處在計(jì)算機(jī)網(wǎng)絡(luò)中，信息系統(tǒng)將三方連接到一起，完成證劵交易，實(shí)現(xiàn)交易、結(jié)算、辦公等各環(huán)節(jié)的自動(dòng)化，最終使證劵公司的業(yè)務(wù)運(yùn)行能夠順利進(jìn)行。在整個(gè)系統(tǒng)的各部分組成中，交易系統(tǒng)的是基礎(chǔ)性系統(tǒng)，絕大多數(shù)的業(yè)務(wù)均依賴其提供的數(shù)據(jù)信息，但就其安全性而言，其防護(hù)能力又屬最弱。其次系統(tǒng)對(duì)于網(wǎng)絡(luò)的容錯(cuò)性也處于薄弱狀態(tài)，未能建立行之有效的災(zāi)難性系統(tǒng)，在主機(jī)發(fā)生故障時(shí)，不能及時(shí)有效的進(jìn)行災(zāi)難系統(tǒng)的切換，甚至將容錯(cuò)技術(shù)與備份技術(shù)混為一談。

2、證劵公司信息安全目標(biāo)對(duì)策探討

威脅機(jī)密性的攻擊主要分為兩種：窺探攻擊，即一種對(duì)資料的非法存取或攔截；流量分析，透過(guò)監(jiān)控網(wǎng)絡(luò)上傳輸?shù)馁Y料，來(lái)獲得其他類型的信息。威脅完整性的攻擊主要分為四種：篡改，攻擊者攔截信息并修改它；偽裝，攻擊者企圖扮演其他人的角色；重送，攻擊者在得到某一個(gè)使用者傳送的訊息后，在稍后重新傳送它；否認(rèn)，信息發(fā)送者可能稍后歐否認(rèn)曾經(jīng)傳送信息，而信息接受者可能稍后否認(rèn)已經(jīng)收到信息。威脅可使用性的攻擊即為減緩或全部中斷一個(gè)系統(tǒng)的服務(wù)。

2.1機(jī)密性對(duì)策分析

要加強(qiáng)證劵公司信息安全，首先在交易數(shù)據(jù)進(jìn)入柜臺(tái)前預(yù)先對(duì)資金賬戶進(jìn)行合法檢查，防止有意或者無(wú)意的流量攻擊。其次要對(duì)網(wǎng)上交易系統(tǒng)的信息安全進(jìn)行規(guī)范。在互聯(lián)網(wǎng)的環(huán)境中，每臺(tái)計(jì)算機(jī)都有可能被黑客找到漏洞并進(jìn)行攻擊，使系統(tǒng)被損壞、數(shù)據(jù)被盜等情況。防火墻、殺毒軟件的建立與完善雖然在一定程度上降低了被攻擊的危險(xiǎn)系數(shù)，但信息安全防護(hù)除了要采取有效的信息安全技術(shù)手段之外，思想問(wèn)題也一樣值得注意。在現(xiàn)今的網(wǎng)絡(luò)安全環(huán)境中，思想安全意識(shí)應(yīng)被置于首位。適當(dāng)?shù)恼{(diào)整證劵交易處理流程、制定完善的信息系統(tǒng)運(yùn)行保障管理規(guī)范，以便更好的進(jìn)行風(fēng)險(xiǎn)控制和審計(jì)核查。堅(jiān)持以組織體系為核心、管理體系為保障、技術(shù)體系為支撐的信息安全管理體系，將技術(shù)與管理融為一體，明確安全運(yùn)行的不僅僅靠的是技術(shù)，更靠人心。建立完善的懲罰機(jī)制，對(duì)違反職業(yè)操守的人員必將予以嚴(yán)懲。

2.2完整性對(duì)策分析

對(duì)交易數(shù)據(jù)進(jìn)行實(shí)時(shí)監(jiān)控，對(duì)于證劵交易數(shù)量、金額異常的情況及時(shí)進(jìn)行審查、核實(shí)。對(duì)非法數(shù)據(jù)的入侵進(jìn)行記錄，必要時(shí)偵測(cè)其IP地址。建立完善的系統(tǒng)交易日志，以便日后查詢。將漏洞掃描及計(jì)算機(jī)病毒的防范列為系統(tǒng)維護(hù)的日常工作，以便能夠及時(shí)并且有效的防范電腦黑客的攻擊。系統(tǒng)漏洞可以是他人利用這個(gè)缺陷在身份未經(jīng)授權(quán)認(rèn)可的情況下侵入系統(tǒng)內(nèi)部，破壞系統(tǒng)的正常運(yùn)作，實(shí)時(shí)對(duì)網(wǎng)絡(luò)安全進(jìn)行漏洞監(jiān)控，及時(shí)更新漏洞掃描器的版本，使其能夠有效的阻攔非法侵入，并及時(shí)對(duì)發(fā)現(xiàn)的漏洞采取有效的補(bǔ)救措施。實(shí)施層層設(shè)防和集中控制的策略，對(duì)登入者的身份采取對(duì)稱式金鑰加密的方式進(jìn)行雙向認(rèn)證，對(duì)不同登入者的身份權(quán)限進(jìn)行嚴(yán)格的管理，再通過(guò)數(shù)據(jù)加密等技術(shù)保障系統(tǒng)的完整性不被破壞。

2.3可使用性對(duì)策分析

重視核心計(jì)算機(jī)系統(tǒng)的災(zāi)難性備份，妥善保存交易數(shù)據(jù)、財(cái)務(wù)數(shù)據(jù)、客戶信息等，注意不同資料的保存時(shí)長(zhǎng)，數(shù)據(jù)一旦受到破壞，將會(huì)使證劵公司的整體業(yè)務(wù)減緩或者徹底中斷服務(wù)，造成經(jīng)濟(jì)及名譽(yù)上巨大的損失，因此證劵公司的數(shù)據(jù)安全是保障其信息安全的基礎(chǔ)性建設(shè)。建設(shè)一套行之有效的數(shù)據(jù)備份和恢復(fù)系統(tǒng)，以實(shí)現(xiàn)對(duì)所有數(shù)據(jù)庫(kù)能進(jìn)行在線備份，還能對(duì)所有服務(wù)器進(jìn)行災(zāi)難恢復(fù)。還可開(kāi)創(chuàng)證劵證劵公司總機(jī)房的建設(shè)新模式，即證劵公司與當(dāng)?shù)剡m合的電信部門合作，依賴電信公司完善的機(jī)房環(huán)境，向其提供建設(shè)資金及服務(wù)維護(hù)費(fèi)用，探索出集托管和自我建設(shè)二位一體的信息系統(tǒng)新模式。這樣一來(lái)，不僅大大的節(jié)約了成本，還保證了軟硬件設(shè)施的可靠性。構(gòu)建“兩地三中心”的模式，即同城災(zāi)備中心、異地災(zāi)備中心、通訊鏈路雙中心的結(jié)構(gòu)體系，防范系統(tǒng)被攻擊的同時(shí)還可以防止因不可控的自然災(zāi)害帶來(lái)的衍生系統(tǒng)安全危機(jī)。

結(jié)語(yǔ)

經(jīng)過(guò)多年的探索與實(shí)踐，證劵市場(chǎng)的信息產(chǎn)業(yè)發(fā)展逐漸趨于完善。信息安全防護(hù)作為證劵公司系統(tǒng)工程的重要組成部分，不僅僅要從技術(shù)層面不斷的引進(jìn)先進(jìn)的技術(shù)手段和設(shè)備防疏堵漏，還需要強(qiáng)化對(duì)證劵公司信息安全的管理和防范。相信通過(guò)各行各業(yè)領(lǐng)軍人、帶頭人的不斷努力、不懈的堅(jiān)持、不停的創(chuàng)新、不斷的完善，一定能夠構(gòu)建起一個(gè)信息風(fēng)險(xiǎn)可控、運(yùn)營(yíng)安全穩(wěn)定的信息系統(tǒng)。

［1］徐浩.試析證劵公司信息系統(tǒng)的安全與風(fēng)險(xiǎn).科技信息.2012.

［2］游湧.證券公司交易系統(tǒng)信息安全保障體系的構(gòu)建研究.科技創(chuàng)業(yè)

［3］梁國(guó)玉.證券公司信息安全分析與探討.經(jīng)濟(jì)縱橫