4互联网证券发展中的信息技术安全(国信证券廖亚滨)-.docVIP

互联网证券发展中的信息技术安全 廖亚滨1 Target信用卡泄露事件 随着互联网的飞速发展，计算机网络的资源共享进一步加强，随之而来的信息安全问题日益突出。去年感恩节前三周，美国零售巨头Target的系统被植入恶意软件，黑客攻击手段很平常，预警系统也多次发出预警，但Target疏于应对，最终导致4000万信用卡号码及7000万顾客住址、电话号码和其它个人信息被盗的美国零售业最大黑客事件，时至今日真凶仍然逍遥法外。事件引发顾客和银行向Target提起90多起诉讼，分析师估计损失达数十亿美元。去年感恩节假期，Target盈利同比下降46%，交易笔数降幅为2008年公布该数据以来最大。Target百货首席执行官Greg Steinhafel为此引咎辞职。 Target信息安全问题的反思 1、APT攻击(高级持续性威胁，Advanced Persistent Threat)---信息泄露之源 主要特点是手段多样、目标明确和持续时间长，有组织性而且隐蔽性强、破坏力大、以获取商业利益为目的。攻击不仅来自互联网的开放式服务，而且还通过企业员工及其合作方进行内部渗透。以定制木马为主要载体，传统的防病毒软件基于已有特征库识别常见的病毒和木马，对于定制木马无法识别。 2、企业内部往往对APT攻击行为疏于防范，缺乏有效的技术手段及时发现和应对 APT攻击是通过未公开漏洞实现的，这导致通过分析攻击的特征来识别的方式具有明显的滞后性，实时监测发现APT攻击很困难。APT攻击注重对动态行为和静态文件的隐蔽，隐蔽性很强，几乎所有的APT都具有这样的特点。APT行为的识别应基于计算机网络访问行为的大数据分析，这是一个新的课题。 3、安全管理中心（SOC）缺位 企业采取的安全防护系统很多，产生的日志种类很多，但是缺乏相应的技术平台去对这些日志进行统一收集、综合分析，迅速发现问题。除了缺乏技术系统，还缺乏SOC的运营团队，统一监控企业的信息流动，及时发现并处理异常的安全行为和威胁。 4、企业重要的数据资产缺乏有效的管控和隔离措施 随着PC终端、移动设备接入的多样化，移动互联网的普及，企业重要数据泄露的风险增加。企业内外部计算环境隔离不彻底，无法有效控制内外网数据的流转。 信息技术风险分类 1、技术投资风险 由于并购等原因带来的不适当的技术系统；对选择技术平台和供应商的决策失误，导致错误的建设或购买决定；不正确的业务需求，供应商推荐不合适的系统和功能；淘汰的软件，淘汰的硬件。 2、系统开发及实现 未满足安全开发要求；不完善的项目管理；成本/时间超出限度；编程错误（内部/外部），测试不充分；不能集成或升级现有系统；系统不能满足业务需求（未按要求交付系统，或由于业务需求的变更）。 3、系统处理能力 缺乏足够的系统处理能力计划（系统处理量和灵活性）；不完善的软件设计。 4、系统故障 网络故障；系统依赖性风险；接口故障；硬件故障；软件故障；内部通信故障。 5、系统安全 外部安全失效（防火墙失效）；内部安全失效；编程欺诈行为（外部开发商）；计算机病毒和木马。 6、客户身份识别 非真实的客户签字和业务请求引发法律责任和经济损失；内部人员的越权操作也可能引发道德风险。需要解决：我是谁、我去哪、我做什么。 互联网证券发展面临的技术风险 1、封闭与开放 支付功能发展之后将在一定程度上改变了证券行业客户的资金闭环变成开环系统，从而会对开通支付功能的客户资金风险增加。从支付行业的经验看，一般存在万分之几的差错率，证券行业在这方面除了技术需要进步以外，还建议在业务层面建立赔付基金等配合防范。 2、标准与变化 互联网金融的发展对券商技术体系变革所伴随的风险，互联网金融对信息技术体系要求“迭代、体验、快速”，而券商过去的信息技术从组织架构设置及系统架构上对“刚性”需求相对比较适应，需求和系统相对比较固化，变动相对较少；而互联网金融时代系统需求由刚性转为柔性，需要不断根据用户的反馈快速调整和优化，由于这种变革所带来的对技术能力带来了新的要求，同时在适应期对系统运行的稳定性也面临一定的风险。 3、外购与自主 技术研发跟不上业务需求的发展，复杂业务没有配套的风险控制技术。证券公司从事互联网金融业务，技术实力将是发展的一大障碍。金融互联网技术研发的风险主要表现在，首先是能否正确把握客户的投资需求、甚至于合理的引导和创造客户的潜在需求，并据此设计新的产品和商业模式来满足客户的需求；其次能否正确把握互联网金融技术的发展趋势，使公司开发的产品和商业模式在先进的技术层面得以实现；最后在能否在技术开发过程中实施有效管理、把握开发周期、降低开发成本、迅速占领市场。 4、私有与通用 信息数据、客户资料泄露的风险，原来的架构多是私有协议，原来的风险主要是在于协议控制者以及内部人员的道德风险；互联网证券的发展使