證券行業信息系統安全等級保護工作現狀分析

任擎基+顧建新

摘 要：證券市場是經濟體系中的重要組成部分，證券行業業務創新也如雨后春筍般層出不窮，行業整體都處于快速發展的階段。隨著證券業務的發展，證券行業對信息系統依賴的程度也越來越高，證券行業信息系統具有應用廣泛、業務種類繁多、系統結構復雜的特點，證券行業信息系統的信息安全應得到極高的重視。文章從測評證券行業的信息系統出發，對證券行業信息系統安全等級保護工作的現狀進行分析，并提出如何推進相關工作的建議。

關鍵詞：證券行業信息系統安全；等級保護；現狀分析

中圖分類號： TP393 文獻標識碼：A

Analysis on the Present Situation of the Classified Protection of Information System in Securities Industry

Ren Qing-ji， Gu Jian-xin

（The Third Research Institute of Ministry of Public Security， Shanghai Engineering Research Center of Cyber and Information Security Evaluation， Shanghai 200031）

Abstract： The securities market is an important part of the economic system， the securities industry business innovation is also mushrooming， the industry as a whole are in the stage of rapid development. With the development of securities business， the securities industry is increasingly dependent on the degree of information system， the securities system has a wide range of applications， a wide range of business， complex system structure characteristics， the securities industry system information security should be extremely high attention. Based on the information system of the securities industry， this paper analyzes the status quo of the security level protection of the securities industry information system and puts forward some suggestions on how to promote the related work.

Key words： Securities Industry Information System Security； Level Protection； Situation Analysis

1 引言

改革開放后，我國經濟飛速發展，特別是證券行業，我國證券市場已經成為世界金融領域中重要的組成部分，于此同時我國證券業的信息系統在全世界中也處于領先地位。證券行業的信息系統除了要保障證券公司自身的正確和高效的運行以外，隨著業務的發展還可推動整個證券市場的發展。

我國證券公司的信息系統從早期基于 Novell 系統的服務器，到目前普遍基于Unix、Linux、Windows等小型機系統的平臺；從初期的現場交易到現在普遍的非現場交易。各項業務全部建立了電子化的業務處理系統，同時這些業務系統的展開都高度依賴信息網絡。有網絡就有風險，例如設備可能出現病毒感染或被黑客攻擊成功，會造成單點故障，甚至波及整個交易系統；網絡擁堵傳輸速度緩慢，也可導致系統陷入癱瘓狀態。這些問題輕則導致部分的行情處理和交易業務陷于停滯，重則還可能造成證券數據的丟失、損壞，嚴重影響證券公司和整個證券行業的運轉，給證券公司和交易投資者帶來損失。

要保證證券公司的信息系統正確運行，信息安全工作必須放到首位，因此結合我國國情，在證券行業實行信息安全等級保護，是解決我國證券行業信息安全問題的有效途徑。

2 證券行業信息系統的主要構成

證券行業信息系統是證券公司的基礎設施，是證券業務正常運行的前提條件。安全高效的證券行業信息系統，應在解決網絡連通性和可用性的同時，支持在線開展的各種證券業務服務。證券行業信息系統由三部分組成。

2.1 證券公司計算機網絡系統

證券公司信息系統的業務由內部生產業務和對外服務業務兩部分組成： 內部生產業務、對外服務業務。根據系統的業務需要，網絡由三內部廣域網、內部局域網和外部網三部分組成。

內部廣域網由證券公司信息中心，網絡連接設備和分支機構的內部主管、業務部門的中間件和業務處理主機組成。證券業務在內部廣域網處理等重要工作中，如客戶管理、委托交易、周轉回報、清算等工作完成。內部廣域網是網絡安全策略中的保護對象，對外界并不開放。外部用戶無法檢測到其IP地址，無法對其進行攻擊。

內部局域網包括分公司、銷售部銷售部門和工作站委托的客戶、信息發布中的證券業務、實時分析等活動也在內部局域網內完成。內部局域網是客戶服務網絡，客戶使用的工作站屬于該網絡。外部網絡主要通過互聯網提供外部服務，公司的開放信息和提供客戶的公共服務都是建立在這個網絡中的。通常內部網絡和外部網絡是嚴格隔離的，所以即使攻擊也不會危及內部網絡。endprint

證券公司信息系統的三個網絡相互分離。網絡具有獨立的功能劃分和操作系統，安全邊界清晰，共同構成了證券公司的計算機網絡架構。

2.2 證券公司業務運行環境系統

證券公司一般在全國經營，網絡龐大，結構復雜，典型的商業模式包括柜臺交易，自營傭金、電話傭金、網上交易。證券業務部門和總部通過計算機網絡交流，證券公司和交易商將三方連接起來完成證券交易，實現市場、交易、結算，辦公等方面的自動化，最終構成證券公司的經營環境體系。在證券公司經營環境中的各個組成部分，交易系統對實時要求最高，但信息安全保障能力最弱。

2.3 證券公司網上交易系統

網上交易系統是指使用互聯網投資者，分析市場情況，委托訂單實現即時交易。隨著網絡的普及，網絡交易等待廣大客戶的同意和采納，但其安全性日益成為影響網絡性能的瓶頸，而證券業網絡安全漏洞的情況也是眾所周知的。近年來，證券行業網絡經常出現被“黑客”入侵和網絡設備故障，造成重大經濟損失和消息新聞。可以說，網絡安全已成為證券公司安全的最大威脅，是證券公司在設計安全系統時要注重考慮和維護的因素。目前，證券公司使用的網絡安全技術有：防火墻技術，非法入侵檢測軟件和防病毒軟件，身份認證技術，數據加密技術。

3 等級保護工作的重要性

目前，中國網絡安全體系相關層級保護制度仍處于發展階段。現有的資源和技術無法實現整個網絡安全系統的完整性和完善性，直接導致一些保護工作的水平不能完全實現。

首先，網絡信息系統中的大部分數據信息涉及到一些重要的商業秘密。如果信息安全系統由于安全設計缺陷和安全問題，將對整個國家經濟的整體發展產生不利影響。同時由于法律中絕大多數機密信息數據未被確定為保密級別，所以不會有明確的分類信息登記制度或記錄，相關信息的保密性無法針對性地進行管理，最終導致各種信息泄露問題。

其次，網絡本身是一個更開放的資源信息網絡平臺，在這種模式下的信息平臺涉及到很多貿易業務，在網絡日常數據交換中比較頻繁。這種環境導致數據信息極有可能被破壞和入侵的可能性，其管理過程如果沒有制定明確的保護制度，就會導致相關數據泄露問題的出現，為整個社會的發展造成不可估量的不良影響。

最后，考慮到網絡信息安全系統的復雜性和廣域特征，如果不是在網絡信息和數據分類不同層次上，會導致整個網絡在管理過程中的可操作性變得非常差。

基于上述問題，有必要在網絡安全建設過程中構建等級保護制度。只有這樣才能實現信息系統整體結構的優化和完善，從而提高整個網絡信息的安全性。

4 證券行業信息系統的現狀分析

2016 年，我們對證券行業 4 個擬定級為三級等級保護的信息系統和8個擬定級為二級等級保護的信息系統，按照國家相關等級保護標準進行了測評。4個三級系統的綜合得分平均值為85.73分，其中測評項符合率平均值為78.35%，部分符合率平均值為15.00%，不符合率平均值為6.65%；8個二級系統的綜合得分平均值為90.8分，其中測評項符合率平均值為80.32%，部分符合率平均值為14.9%，不符合率平均值為4.78%。將4個三級系統的測評指標按照物理安全、網絡安全、主機安全、應用安全、數據安全及備份恢復、安全管理制度、安全管理機構、人員安全管理、系統建設管理和系統運維管理分別進行統計，計算每種測評指標的符合項、部分符合項和不符合項占總測評項的百分比。對8個二級系統采用同樣的方法進行統計，結果分別如圖1和圖2所示。

由圖1和圖2對比可以看出，二級系統的網絡安全、主機安全、應用安全和系統建設管理的符合程度較高。盡管測評的12個信息系統都達到了基本符合的要求，但被測系統無論是技術方面還是管理方面都有一定的缺失和不足，主要集中在幾個方面的問題。

物理安全方面：問題主要集中在溫度控制、電力供應、防盜報警和電磁防護方面。例如機房UPS供電能力未達到證券業要求、機房未采取電磁屏蔽措施、機房未利用光、點等技術設置機房防盜報警系統，以及機房溫濕度范圍超出證券業要求等。

網絡安全方面：問題主要集中在安全審計、網絡設備防護、邊界完整性檢查和入侵防范方面。例如系統未對重要訪問控制策略設置日志記錄、部分網絡邊界未部署訪問控制設備、未采取防地址欺騙相關措施、未采用技術手段對非授權設備私自聯到內部網絡的行為進行檢查、定位和阻斷等。

主機安全方面：問題主要集中在入侵防范、資源控制和剩余信息保護等方面。例如未對操作系統及時升級、操作系統口令未定期更換、操作系統和數據庫默認賬戶未重命名等。

應用安全方面：問題主要集中在多鑒別和資源控制等方面。例如未采用兩種或兩種以上的組合鑒別技術、未對系統應用的用戶所分配的資源進行限制、未限制單個賬號的并發會話等。

數據安全及備份恢復方面：問題主要集中在數據完整性方面，例如未提供存儲過程中的數據完整性校驗和恢復措施等。

安全管理方面：問題主要集中在安全管理制度上的執行方面。例如未定義關鍵崗位。

5 證券行業安全保障措施建議

上述證券行業信息系統存在的主要問題，可以按照改進的成本和對系統運營造成的影響不同進行分級，并相應地采取相應措施加以改進。

（1）下面幾方面的問題改進成本低或對系統運營造成影響較小，可以通過更改已有設備的配置或安全管理制度等方式解決。

網絡安全方面：針對系統未對重要訪問控制策略設置日志記錄的問題，建議對重要訪問控制策略設置日志記錄，對設備的配置管理操作行為、重要的業務操作等行為進行審計；針對未采取防地址欺騙相關措施的問題，建議在相關網絡設備上配置重要終端（包括管理終端和業務終端）的IP/MAC地址綁定。

主機安全方面：針對未對操作系統及時升級的問題，建議加強操作系統的管理，在不影響正常應用的情況下及時更新補丁，消除相關安全漏洞；針對操作系統口令未定期更換的問題，建議在操作系統中設置口令長度大于12位，并定期更換；針對操作系統和數據庫默認賬戶未重命名的問題，建議修改操作系統和數據庫的默認管理員賬戶名。endprint

安全管理方面：針對未定義關鍵崗位的問題，建議從內部人員中選拔從事關鍵崗位的人員，并簽署崗位安全協議。

（2）下面幾方面的問題改進成本較高或可能對系統運營造成一定影響，可以通過增添新設備等方式解決。

網絡安全方面：針對部分網絡邊界未部署訪問控制設備的問題，建議在所有網絡邊界均部署防火墻等網絡控制設備，并根據系統應用需求最小化原則設置訪問控制策略，其顆粒度應達到端口級；針對未采用技術手段對非授權設備私自聯到內部網絡的行為進行檢查、定位和阻斷的問題，建議假設能夠檢測內部用戶非法接入行為的設備或采取其他同等效力的監控、管理措施，對非法接入行為進行檢查、定位和阻斷。

物理安全方面：針對機房UPS供電能力未達到證券業要求的問題，建議配備容量合理的后備電源，供電能力能夠滿足主要設備在斷電情況下運行2個小時以上；針對機房未采取電磁屏蔽措施的問題，建議為關鍵設備和磁介質實施電磁屏蔽；針對機房未利用光、點等技術設置機房防盜報警系統的問題，建議安裝有資質的專用防盜報警系統；針對機房溫濕度范圍超出證券業要求的問題，建議配備機房精密空調進行溫濕度控制，溫度22-24°C，濕度40～55%。

數據安全及備份恢復方面：針對未提供存儲過程中的數據完整性校驗和恢復措施的問題，建議對重要數據采用密碼技術保證存儲過程中數據的完整性。

（3）下面幾方面的問題改進成本極高或可能對系統運營造成重大影響，涉及到核心業務的更改，可以通過改進核心業務等方式解決。

應用安全方面：針對未采用兩種或兩種以上的組合鑒別技術的問題，建議對系統采用兩種或兩種以上組合的鑒別技術實現用戶身份鑒別，如數字證書、令牌等；針對未對系統應用的用戶所分配的資源進行限制的問題，建議應用系統根據需要對一個賬戶或進程占用的資源進行最大/最小額度限制；針對未限制單個賬號的并發會話的問題，建議對單個賬戶的多重并發會話進行限制，禁止同一用戶的多次重復登錄操作。

6 結束語

本文對當前證券行業信息系統安全面臨的主要問題進行了深入分析，并針對這些問題提出了相應的解決方案，并將解決方案按照改進的成本和對系統運營造成的影響不同進行分級，希望能對各地證券行業信息系統安全保障建設起到一定的借鑒作用，可以按照的實際情況對自身信息系統進行改進。

參考文獻

[1] 公通字[2007] 43號 信息安全等級保護管理辦法 [S].

[2] GB/T 20269-2006. 信息安全技術 信息系統安全管理要求 [S].

[3] GB/T 20270-2006. 信息安全技術 網絡基礎安全技術要求 [S].

[4] GB/T 20271-2006. 信息安全技術 信息系統通用安全技術要求 [S].

[5] GB/T 20272-2006. 信息安全技術 操作系統安全技術要求 [S].

[6] GB/T 20273-2006. 信息安全技術 數據庫管理系統安全技術要求 [S].

[7] 郭寧. 構建證券信息系統的安全體系[J]. 網絡安全技術與應用，2005，（1）：22-23.

[8] 張偉麗. 信息安全等級保護現狀淺析[J]. 信息安全與技術，2014，（9）：9-13.

[9] 王強民.張保穩.張競. 高校信息系統安全等級保護工作的現狀分析[J]. 網絡安全技術與應用，2005，（1）：22-23.

[10] 葉青等.關于信息安全宣傳教育的幾點思考[J].信息安全與通信保密，2014（12）：67-69.

[11] 呂寒冰.網絡信息安全監測系統的設計與實現[D]. 北京：北京交通大學，2007.

[12] 劉永華.網絡信息安全技術[M].中國鐵道出版社，2011.

[13] 徐湧捷.網絡竊取犯罪研究[D].華東政法大學，2007.endprint