某證券公司網絡安全體系結構的研究

劉世軍 （蚌埠學院，安徽 蚌埠233000）

隨著計算機網絡技術的快速發展，以及電子銀行、電子商務和電子政務的廣泛應用，計算機網絡已經深入到國家的政治、經濟、文化和國防建設的各個領域，遍及了現代信息化社會工作和生活的各個層面，“數字化經濟”和全球電子交易一體化正在形成。計算機網絡安全不但關系到國家軍事、政治和經濟各個方面，而且涉及了國計民生和國家的安全與主權。隨著計算機網絡被廣泛應用以及網絡數據傳輸量不斷增大，網絡安全的重要性更為突出。隨著互聯網的日益普及，信息安全逐漸成為網絡性能的影響瓶頸［1］。這些年來，證券行業網絡被 “黑客”入侵而造成經濟損失與不良影響的現象不斷出現。因此，證券行業網絡安全早已成為證券機構與相關人員需要重視的問題。

1 證券公司網絡安全現狀與分析

目前，證券公司的網絡安全現狀和問題主要體現在以下3個方面：①黑客攻擊證券交易網站。黑客對交易網站進行攻擊干擾和破壞，非法獲取交易信息，特別是一些有重大經濟價值的信息。同時，網上證券交易雙方通常互不相識且互不見面，因而很難識別交易者的身份，這便涉及了對交易身份的鑒定與辨別。通過病毒等攻擊手段，黑客對密碼和信用卡號等資料進行竊取，然后利用個人資料冒充目標人來從事交易活動，從而獲得一定的經濟利益。此外，高級黑客還會惡意篡改網上傳輸的證券交易信息，而破壞數據信息的完整性與正確性，因此如何保護證券信息的傳輸也是-個重要的問題。②病毒攻擊與內部管理問題。計算機病毒是一段具有傳染性、復制性、破壞性和隱蔽性并通過系統漏洞和文件共享等多種途徑進行傳播與感染的惡意代碼。近些年來，新型計算機病毒在不斷地出現，倘若證券公司網絡系統中存在著這些隱藏的病毒，很可能會引起災難性的后果［2］。大量數據事實顯示，內部管理或者監督不嚴是造成證券公司計算機網絡系統的出現問題的主要原因，比如：設備管理員只是設置弱口令甚至不設置口令，以及內部人員進行違規操作等。因為證券行業的特殊性，其內部人員對公司網絡系統的重要信息進行惡意破壞、修改和泄漏等事件的發生是最難防范的，其發生的概率也較高，因而對于這類事件的解決措施也必須同時從技術和管理等方面入手。③證券公司業務通常與銀行、電信公司、證券交易所等單位聯系緊密，因而它們的網絡信息系統也是互相連接的。但是，這些單位與證券公司的網絡之間不是完全的信任關系，因而它們的互聯也給證券公司的網絡信息系統帶來了外在的安全威脅［3］。怎么進行網絡操作者身份的確認，如何確定消息的可信性，怎樣避免信息交換雙方事后抵賴各自所發送信息，如怎樣避免網上傳輸信息的重發與竊取，怎么避免信息傳輸的阻塞與網絡攻擊，以及如何保證銀行和證券公司轉賬系統的安全性，如何避免虛假交易和繞過系統的惡意破壞等等，這些都是需要迫切關注的問題［4］。

2 安全體系結構設計原則

網絡安全的傳統設計方法只是依靠幾項安全手段與技術來確保整個系統的安全，依然停留在靜態與局部的層面上。證券行業網絡安全的現代設計應該緊跟行業發展趨勢，在規劃網絡安全方案時要遵守以下幾個原則：①體系性。制定完整的安全保障、安全技術與安全管理體系。②系統性。引入的安全模塊要體現系統的統一管理與運行的特點，從而保證安全策略實施的一致性與正確性，防止獨立管理和配置安全設備的工作方式［5］。③層次性。依據相關的安全需求進行安全設計，采用安全機制實現各個層次所需的安全服務，以便保護網絡信息的安全。④綜合性。網絡信息安全設計包括了行政管理、技術管理與業務管理所要求安全管理方案，以及完備性、可擴展性與先進性等方面的技術方案，從而形成了設計的總體方案，以供工程安全系統運行和分階段實施提供指導。⑤動態性。隨著網絡安全技術與產品的不斷更新與完善，網絡信息系統也在逐步建設與發展。所以，要在保護現有資源的基礎上，體現出最新與最成熟的安全設計技術與產品，從而達到網絡系統安全的目標。

3 安全體系結構設計方案

根據上述的網絡安全設計原則，整體安全體系中的網絡安全工程應該要進行安全防護、檢測和系統響應。此外，根據實際的安全需求，建議有選擇的進行安全系統恢復［6］。筆者所提出的安全體系結構是參照中國證券機構營業部信息系統技術管理規范來制定的，安全體系結構如表1所示，整個網絡安全結構如圖1所示。

表1 證券公司網絡安全體系結構

4 證券公司網絡安全管理設計

信息安全管理機制的建設按照自上而下的垂直管理原則，也就是指：上一級機關信息安全管理機構對下一級機關信息系統安全管理機構的工作進行指導；下一級機關信息安全管理機構必須對上一級機關信息安全管理機構的安全策略進行接受和執行；信息系統安全管理機構不屬于同級管理機構［7］。

根據信息系統數據的保密性與管理原則，信息安全管理部門要制訂相應規范與管理制度，具體工作如下：①明確系統的安全級別。②依照系統的安全級別來制定安全管理范圍。③制定機房出入管理制度，分區控制安全等級高的系統，并限制工作人員出入與自己工作無關的區域。④根據職責分離與多人負責的原則，制定合適的操作規程，同時要求工作人員各負其責并不能超過自己管轄范圍。⑤制定相關系統維護制度，進行安全維護之前經過主管部門批準配備在場的安全管理人員，從而詳細記錄故障的原因、維護內容和維護前后的情況。⑥在緊急情況下，制定盡快進行系統恢復的應急措施，從而盡量減小損失。⑦制定工作人員的聘用與解聘制度，及時進行工作人員與離職人員的調動與調整。

圖1 證券公司網絡安全結構圖

5 結 語

隨著網絡應用的不斷普及，網絡安全問題顯得愈來愈重要。對于建立安全可靠的網絡，國家和企業有了更高的要求。鑒于國家與企事業單位以及社會的重視，用于信息安全方面的資金在逐年上升。然而，信息安全并不是堆疊市場上的所有安全產品，因為這種堆疊不但會造成經濟和人力上的巨大浪費，而且達不到防護效果。所以，計算機網絡安全方案的建立與完善顯得非常重要。一個具體的網絡系統安全方案，要建立在網絡風險分析的基礎上，并結合系統的實際應用進行實施和執行［7］。因為各種系統的應用領域不同，不能把網絡信息系統的安全方案簡單地固定為一個模式，然后用對所有的網絡系統套用這個模式。通過對網絡的連通性、網絡管理功能和應用系統功能的實現以及實際數據傳輸的測試結果表明，筆者提出的網絡安全設計與管理方案均達到了證券公司中小型網絡管理的需求。

［1］徐廣，王海春 ．證券公司網絡安全探討與策略分析 ［J］．科技風，2010（13）：80-81．

［2］潘瑩 ．證券公司網絡系統的安全和備份 ［J］．商業研究，2001（10）：164-166．

［3］萬長林，曾煒，占傳杰，等 ．證券網絡安全監控系統的設計與實現 ［J］．計算機與現代化，2003（11）：65-67．

［4］段宏偉，張震，曾游 ．證券資金結算通信網絡安全系統的設計和實現 ［J］．信息工程大學學報，2002（4）：40-41．

［5］戴庶 ．遼寧證券網絡安全系統的設計與實現 ［D］．大連：大連理工大學，2006．

［6］高夯 ．中信證券網絡安全建設方案 ［D］．成都：四川大學，2003．

［7］楊靜，劉巨洪 ．淺談網絡安全體系的特性與建設策略 ［J］．甘肅科技縱橫，2006（6）：8-9．