4互联网证券发展中的信息技术安全(国信证券廖亚滨)-.doc

4互联网证券发展中的信息技术安全(国信证券廖亚滨)-
LT
互联网证券与创新发展分论坛 发言材料
互联网证券与创新发展分论坛 发言材料
互联网证券发展中的信息技术安全
廖亚滨1 证券业协会信息技术专业委员会主任委员、国信证券首席工程师


Target信用卡泄露事件
随着互联网的飞速发展，计算机网络的资源共享进一步加强，随之而来的信息安全问题日益突出。去年感恩节前三周，美国零售巨头Target的系统被植入恶意软件，黑客攻击手段很平常，预警系统也多次发出预警，但Target疏于应对，最终导致4000万信用卡号码及7000万顾客住址、电话号码和其它个人信息被盗的美国零售业最大黑客事件，时至今日真凶仍然逍遥法外。事件引发顾客和银行向Target提起90多起诉讼，分析师估计损失达数十亿美元。去年感恩节假期，Target盈利同比下降46%，交易笔数降幅为2008年公布该数据以来最大。Target百货首席执行官Greg Steinhafel为此引咎辞职。
Target信息安全问题的反思
1、APT攻击(高级持续性威胁，Advanced Persistent Threat)---信息泄露之源
主要特点是手段多样、目标明确和持续时间长，有组织性而且隐蔽性强、破坏力大、以获取商业利益为目的。攻击不仅来自互联网的开放式服务，而且还通过企业员工及其合作方进行内部渗透。以定制木马为主要载体，传统的防病毒软件基于已有特征库识别常见的病毒和木马，对于定制木马无法识别。
互联网证券与创新发展分论坛 发言材料
互联网证券与创新发展分论坛 发言材料
2、企业内部往往对APT攻击行为疏于防范，缺乏有效的技术手段及时发现和应对
APT攻击是通过未公开漏洞实现的，这导致通过分析攻击的特征来识别的方式具有明显的滞后性，实时监测发现APT攻击很困难。APT攻击注重对动态行为和静态文件的隐蔽，隐蔽性很强，几乎所有的APT都具有这样的特点。APT行为的识别应基于计算机网络访问行为的大数据分析，这是一个新的课题。
3、安全管理中心（SOC）缺位
企业采取的安全防护系统很多，产生的日志种类很多，但是缺乏相应的技术平台去对这些日志进行统一收集、综合分析，迅速发现问题。除了缺乏技术系统，还缺乏SOC的运营团队，统一监控企业的信息流动，及时发现并处理异常的安全行为和威胁。
4、企业重要的数据资产缺乏有效的管控和隔离措施
随着PC终端、移动设备接入的多样化，移动互联网的普及，企业重要数据泄露的风险增加。企业内外部计算环境隔离不彻底，无法有效控制内外网数据的流转。
互联网证券与创新发展分论坛 发言材料
互联网证券与创新发展分论坛 发言材料
信息技术风险分类
1、技术投资风险
由于并购等原因带来的不适当的技术系统；对选择技术平台和供应商的决策失误，导致错误的建设或购买决定；不正确的业务需求，供应商推荐不合适的系统和功能；淘汰的软件，淘汰的硬件。
2、系统开发及实现
未满足安全开发要求；不完善的项目管理；成本/时间超出限度；编程错误（内部/外部），测试不充分；不能集成或升级现有系统；系统不能满足业务需求（未按要求交付系统，或由于业务需求的变更）。
3、系统处理能力
缺乏足够的系统处理能力计划（系统