证劵行业信息安全目标现状及对策

孙　琦鞍山师范学院商学院

证劵行业信息安全目标现状及对策

孙琦
鞍山师范学院商学院

伴随着着信息经济化时代的快节奏发展，信息技术与网络应用也越来越普及，进而衍生出来的信息安全问题也就备受重视。证劵市场作为市场经济环境的重要组成之一，随着其自身业务的不断扩展，网络技术的不断更新，其信息安全问题也就日益突出。如何构建一套行之有效的严密的证劵交易信息安全保障体系，也便成为了证劵公司生存和发展的重点和难点。

证劵公司；信息安全；系统

1、证劵公司信息系统安全目标的现状分析

证劵公司信息系统的安全的目标为机密性、完整性及可使用性。即保障资料传输和存储的私密性，确保资料传输和存储时进行必要的加密处理；数据的更改只能由授权人或透过授权机制进行；让数据随时保持可用状态，必须确保不能中断服务。

1.1机密性现状分析

目前，证劵公司按照自身业余需求将网络划分为内部广域网、内部局域网及外部网三部分。内部广域网并不对外开放使用，处于网络安全保护，外部用户不能检测到它的IP地址，属于高级保护策略；内部局域网是针对客户的网络，客户的交易环境就是这个网络环境下产生的；外部网主要是通过国际互联网提供服务，在此环境中提供一些公共服务。为了信息网络的安全性，证劵公司的内部网和外部网是严格隔离的，所以即使外部网收到黑客的攻击，内部网也可以正常运行。系统安全的机密性除了体现在硬件、软件的设置上，管理人员的机密性素养也是至关重要的。系统由于内部监管不严，很容易造成内部人员存储资料时不进行加密或弱加密、甚至在未经授权的情况下将内部私密资料传输到外部等现象。

1.2完整性现状分析

现在证劵公司的内部及外部交易均依赖于信息系统进行市场分析、委托交易等行为。网上的快捷交易也取得了很多客户的青睐，但其安全问题也成为影响网络效能的瓶颈。证劵公司信息系统安全的完整性现状大致有以下几个问题：网上交易时未加强对交易者身份真假的确认；面对黑客攻击及信息传输等方面做的还不够完善；如交易者的工作站对应的信息节点较弱，容易被黑客找到漏洞。非法侵入到其电脑中，导致交易者的资金被盗用。近几年，证劵公司的网络被黑客入侵、网络设备出现故障等消息频频出现，给证劵行业造成了一定的经济损失和不良的社会影响。

1.3可使用性现状分析

证劵公司一般在全国范围内经营业务，网络体系庞大，数据结构复杂。交易所、证劵公司及交易者三方的交易环境均处在计算机网络中，信息系统将三方连接到一起，完成证劵交易，实现交易、结算、办公等各环节的自动化，最终使证劵公司的业务运行能够顺利进行。在整个系统的各部分组成中，交易系统的是基础性系统，绝大多数的业务均依赖其提供的数据信息，但就其安全性而言，其防护能力又属最弱。其次系统对于网络的容错性也处于薄弱状态，未能建立行之有效的灾难性系统，在主机发生故障时，不能及时有效的进行灾难系统的切换，甚至将容错技术与备份技术混为一谈。

2、证劵公司信息安全目标对策探讨

威胁机密性的攻击主要分为两种：窥探攻击，即一种对资料的非法存取或拦截；流量分析，透过监控网络上传输的资料，来获得其他类型的信息。威胁完整性的攻击主要分为四种：篡改，攻击者拦截信息并修改它；伪装，攻击者企图扮演其他人的角色；重送，攻击者在得到某一个使用者传送的讯息后，在稍后重新传送它；否认，信息发送者可能稍后欧否认曾经传送信息，而信息接受者可能稍后否认已经收到信息。威胁可使用性的攻击即为减缓或全部中断一个系统的服务。

2.1机密性对策分析

要加强证劵公司信息安全，首先在交易数据进入柜台前预先对资金账户进行合法检查，防止有意或者无意的流量攻击。其次要对网上交易系统的信息安全进行规范。在互联网的环境中，每台计算机都有可能被黑客找到漏洞并进行攻击，使系统被损坏、数据被盗等情况。防火墙、杀毒软件的建立与完善虽然在一定程度上降低了被攻击的危险系数，但信息安全防护除了要采取有效的信息安全技术手段之外，思想问题也一样值得注意。在现今的网络安全环境中，思想安全意识应被置于首位。适当的调整证劵交易处理流程、制定完善的信息系统运行保障管理规范，以便更好的进行风险控制和审计核查。坚持以组织体系为核心、管理体系为保障、技术体系为支撑的信息安全管理体系，将技术与管理融为一体，明确安全运行的不仅仅靠的是技术，更靠人心。建立完善的惩罚机制，对违反职业操守的人员必将予以严惩。

2.2完整性对策分析

对交易数据进行实时监控，对于证劵交易数量、金额异常的情况及时进行审查、核实。对非法数据的入侵进行记录，必要时侦测其IP地址。建立完善的系统交易日志，以便日后查询。将漏洞扫描及计算机病毒的防范列为系统维护的日常工作，以便能够及时并且有效的防范电脑黑客的攻击。系统漏洞可以是他人利用这个缺陷在身份未经授权认可的情况下侵入系统内部，破坏系统的正常运作，实时对网络安全进行漏洞监控，及时更新漏洞扫描器的版本，使其能够有效的阻拦非法侵入，并及时对发现的漏洞采取有效的补救措施。实施层层设防和集中控制的策略，对登入者的身份采取对称式金钥加密的方式进行双向认证，对不同登入者的身份权限进行严格的管理，再通过数据加密等技术保障系统的完整性不被破坏。

2.3可使用性对策分析

重视核心计算机系统的灾难性备份，妥善保存交易数据、财务数据、客户信息等，注意不同资料的保存时长，数据一旦受到破坏，将会使证劵公司的整体业务减缓或者彻底中断服务，造成经济及名誉上巨大的损失，因此证劵公司的数据安全是保障其信息安全的基础性建设。建设一套行之有效的数据备份和恢复系统，以实现对所有数据库能进行在线备份，还能对所有服务器进行灾难恢复。还可开创证劵证劵公司总机房的建设新模式，即证劵公司与当地适合的电信部门合作，依赖电信公司完善的机房环境，向其提供建设资金及服务维护费用，探索出集托管和自我建设二位一体的信息系统新模式。这样一来，不仅大大的节约了成本，还保证了软硬件设施的可靠性。构建“两地三中心”的模式，即同城灾备中心、异地灾备中心、通讯链路双中心的结构体系，防范系统被攻击的同时还可以防止因不可控的自然灾害带来的衍生系统安全危机。

结语

经过多年的探索与实践，证劵市场的信息产业发展逐渐趋于完善。信息安全防护作为证劵公司系统工程的重要组成部分，不仅仅要从技术层面不断的引进先进的技术手段和设备防疏堵漏，还需要强化对证劵公司信息安全的管理和防范。相信通过各行各业领军人、带头人的不断努力、不懈的坚持、不停的创新、不断的完善，一定能够构建起一个信息风险可控、运营安全稳定的信息系统。

［1］徐浩.试析证劵公司信息系统的安全与风险.科技信息.2012.

［2］游湧.证券公司交易系统信息安全保障体系的构建研究.科技创业

［3］梁国玉.证券公司信息安全分析与探讨.经济纵横