当前证券业所面临最大的信息安全问题是什么？有哪些切实可行的安全措施？当许多券商都在试水互联网金融，开展互联网业务时，在信息安全方面又应该注意什么？本期“安全讲堂”为您带来国信证券首席工程师廖亚滨先生的《新技术环境下的信息安全》。

在信息安全形势越来越严峻的今天，证券业已经明显地感觉到信息安全风险的持续性和严重性。

长期以来证券业在确保系统稳定运行方面做了大量工作，取得了显著的成绩，但当前在以下两个方面还需要重点加强安全风险控制：一是应用系统面临来自互联网入侵的安全威胁；二是企业自身及企业所保存的敏感信息泄露的威胁。

近期国内外金融机构发生了多起信用卡信息泄露、网络入侵及系统中断事件，造成了较大的负面影响。我们也在考虑除了利用传统的信息安全管理与技术手段外，还需要针对新时期各类信息安全风险的特征，充分利用新技术来来应对互联网金融发展给券商所带来的新型风险。

在面对互联网外部威胁方面，我们借助社会力量帮助自身防御针对互联网网站及移动应用方面的外部风险。例如最近和谷安天下合作的针对互联网系统的众测，由谷安牵头，通过众测方式，组织业内著名的“白帽子”安全技术专家对国信证券的互联网系统进行深入的渗透测试。

众测模式有别于传统安全评估，是通过第三方平台集合目前活跃的“白帽子”，以项目的方式对目标站点进行漏洞发现。“白帽子”根据发现漏洞的数量和严重程度获取酬劳。利用“白帽子”进行渗透测试的优点：一是“白帽子”的安全测试水平高，可以对应用系统进行深度安全分析；二是测试密度大，同时有几十位安全技术专家独立参与测试，在一定程度上解决了传统安全评估中所存在的漏洞发现思路单一的缺点，可以及时发现各类安全漏洞。

对于前期工作成效来看，我们是满意的，可以提早发现问题并进行及时修复，从而降低互联网应用的外部安全风险。这是我们在信息安全方面应对互联网新技术和新模式的一次重要尝试。

同时，我们还将利用大数据分析技术进行基于业务的安全风险评估。对于交易而言，客户也有“黑与白”之分，对于非法用户需加强管控，以提高业务操作的安全性。 可以针对非正常操作以及电信运营商的网络流量数据进行安全分析，及时发现外部网络攻击的特征，提前做好网络安全的应对措施。

互联网金融存在其固有的信息技术风险，包括技术投资风险、系统开发及实现、系统处理能力、系统故障、系统安全、客户身份识别等。当前适用的信息安全风险的措施具体包括：

一是强化用户身份识别，防止病从口入。对客户采用多因素（如软硬件结合）的用户认证和授权，配合集中化的终端设备和安全管理。

二是加强Web应用和移动APP的开发安全，建立互联网应用的安全流程和安全开发规范，提高互联网应用的安全性，把问题控制在系统上线之前。

三是构建端到端的可信企业应用环境，做到内外网计算环境隔离，在用户终端、传输通道、企业应用系统之间构建起一个可信的闭环体系，有效控制数据泄露。

四是加强SOC(安全管理中心)技术系统和团队建设，各类安全防护手段所产生的安全日志需要统一收集、统一存储、自动化分析，做到系统被非法攻击后能及时发现、及时处理。

五是高度重视信息技术的作用，支持自主创新顺利开展。

对于未知的各类新型风险，我们应加强预警式的各种安全分析，我建议券商可以先从内外部最迫切的风险控制点入手，逐步进行突破。未来券商的移动交易占比还将大幅增加，要重点关注移动终端的安全风险控制，为客户提供优质安全的互联网证券服务奠定基础。

－－－

要闻、干货、原创、专业

关注“信息安全知识”

我们是安全牛！