從網絡競價淺析產權交易機構信息系統安全防控

◎ 張俊文 陳令穎（廣州產權交易所，廣州510260）

?

從網絡競價淺析產權交易機構信息系統安全防控

◎ 張俊文 陳令穎（廣州產權交易所，廣州510260）

2015年10月，廣州產權交易所運營的廣州市中小客車增量指標競價系統遭到國外黑客組織DDOS的惡意攻擊。交易所立刻啟動應急預案，采取積極應對措施，確保了指標競價系統正常運作，當月競價活動如期順利舉行。

如今，隨著計算機、互聯網的普及應用，網絡競價“客觀性強、靈活度大、保密性高、交易成本低”等方面的優勢在產權交易實踐中已得到充分證實和肯定，網絡競價的應用范圍也隨之不斷擴大，包括從傳統股權項目的“單個標的、單一場次”到公車處置中的“大批量、多場次”等。隨著，廣州、天津、杭州、深圳等地陸續實施中小客車總量調控政策，政府機構委托各地產權交易機構開展網絡競價活動，參與競價的人數從原來單個標的的十幾人、幾百人猛增至成千上萬人，受眾面擴大到整座城市的市民。在競爭激烈的市場經濟驅動下，網絡競價的信息安全需求也與日俱增。因為網絡信息一旦出現安全問題，不僅會造成嚴重的經濟損失，還會引發社會秩序混亂。因此，如何了解掌握主要的安全風險點，如何提高防御能力，實施不同安全等級的控制，杜絕機密信息的泄漏、竊取及系統的中斷等問題就顯得尤為重要。

信息系統安全包括物理安全、信息安全、運行安全、安全保密管理。信息系統安全的威脅是客觀存在的，但安全風險是可以控制和防范的。

1　物理安全是信息系統安全的基礎

信息系統是以物理設備為載體而運行的，保證信息系統安全，就必須實現物理安全。因此，信息設備的場地和機房設備的管理尤為重要，主要包括，一是機房建設標準應按照國家計算機信息系統安全保護等級標準建設，機房要包括主機房和備機房；二是機房內須設置電子門禁系統、防盜報警系統、監控報警系統等設備；三是應從制度上保障設備的防盜、防毀及物理安全管理。制定相關機房管理制度對機房人員日常行為準則、機房保安、機房用電安全、機房消防安全、機房軟硬件設備安全使用、機房資料、文檔和數據安全等內容予以規定和明確。

2　異地容災是保障數據信息安全的重要策略

異地容災是重要的數據安全策略，能有效保障應用系統及數據庫的安全性、業務連續性。異地容災可通過在不同地點建立備份系統，從而進一步提高數據抵抗各種可能安全因素的容災能力。

從互聯互通方面考慮，主機房與備機房之間應有專用線路實現互連，供主機房、備機房之間的業務應用及數據的實時同步，設計需保證主機房所在區域出現電力等故障時，仍可以將業務快速切換到備機房繼續提供服務。

3　明確操作權限保障系統的運行安全

信息系統的安全與運行密不可分。數據中心應配套運行操作審計系統、數據庫審計系統、日志收集及分析系統，做到實時監控并記錄內、外部人員對服務器、網絡設備等IT基礎設施的操作，回放所有操作過程和結果；記錄數據庫的訪問，識別越權使用、權限濫用，跟蹤敏感數據訪問行為，及時發現敏感數據泄漏，規范維護流程，避免惡意破壞系統，確保數據安全。

4　重視信息的安全保密管理

信息系統的安全運行除了需要采用相應的安全技術，還需要制定合理的制度提供保障。信息系統應設置管理員、審計員、安全管理員，采取“任期有限、權限分散”的原則，對重要應用系統管理人員應不定期實行循環任職，并對人員進行輪流培訓，保障信息系統的安全、穩定運行，規范應用的安全配置和日常維護管理。

5　做好應急預案以提升突發事件的快速反應

為最大限度地減輕或消除網絡與信息安全突發事件的危害和影響，應對信息系統安全突發狀況制定應急預案。應急預案預要先明確應急各方職責和響應程序，在應急資源等方面進行先期準備，將網絡與信息安全突發事件的危害和影響降到最低限度。同時，產權交易機構制訂應急預案后還應該組織培訓、演練，不僅是為了相關工作人員熟悉整個過程，還是為了提高工作人員的應急意識、應急知識和應急能力。應急預案的編制、宣傳、培訓、演練都有助于各方了解面臨事故及其相應的應急措施，從而促進提高風險防范意識和能力。