劉光強

紐約期貨交易所(NYBOT)是世界上最大的“軟”期貨商品交易所,交易商品包括咖啡、糖、可可、棉花及冷凍濃縮橘子汁。紐約期貨交易所成立于1998年,每年在這里成交的各種大宗全球商品貿(mào)易合同多達2100萬個。另外,紐約期貨交易所還提供外幣及股指期貨等的交易。

紐約期貨交易所最重要的業(yè)務(wù)活動就是交易,因此業(yè)務(wù)連續(xù)性非常重要。2001年,911發(fā)生之時,紐約期貨交易所是四個世界性交易中心之一,也是當時世界上惟一具有備份交易場所的交易所。如今,紐約期貨交易所也是世界上惟一具有三角IT運營的交易所,其三個站點彼此相連,并互為備份。

2002年春天,財務(wù)審核員建議紐約期貨交易所設(shè)立一個新的職務(wù)——首席信息安全官(CISO),其工作職責是標準化和加速各種信息安全的保護措施。這表明各種網(wǎng)絡(luò)攻擊及其他信息技術(shù)的泛濫已經(jīng)威脅到了紐約期貨交易所的運營連續(xù)性。紐約期貨交易所于2002年6月任命Jim DiDominicus為第一任CISO。他的任務(wù)是快速評估數(shù)字安全的狀況,并實施最小化交易中斷風險的控制措施。

DiDominicus很快啟動了每周一次的對紐約期貨交易所外部網(wǎng)絡(luò)的安全性評審。這讓他能夠有規(guī)律并且始終如一地監(jiān)控起紐約期貨交易所的網(wǎng)絡(luò)安全,強化路由器設(shè)置,并對其他基礎(chǔ)架構(gòu)設(shè)備采取保護性措施。他做這些工作的時候,并沒有建立一套攻擊管理基礎(chǔ)架構(gòu),也沒有雇用額外的負責信息安全的工作人員。

紐約期貨交易所要做安全性審核和改進項目,傳統(tǒng)的做法是雇用一個高級安全運維人員來手把手地應(yīng)用開源解決方案實施內(nèi)部審核;另一種做法是,將這樣的安全審核工作外包,要么給做傳統(tǒng)滲透測試的咨詢公司,要么給提供網(wǎng)上自動化解決方案的服務(wù)公司。

“我以前曾經(jīng)使用過像Nessus這樣的開源解決方案,但這需要異常小心,”他說,“而我們所需要的是,基礎(chǔ)的、集中的并且能夠快速運行的安全功能。”DiDominicus更傾向于由一家第三方提供商提供全面的解決方案,因為這樣能夠減輕其他地方的運營負擔,并為紐約期貨交易所提供外部支持,保證其網(wǎng)絡(luò)安全,保護所有的交易運維操作。

紐約期貨交易所選擇的網(wǎng)絡(luò)安全服務(wù)是QualysGuard。不需要添加任何特別的軟件或者硬件設(shè)備,只要使用一個標準的網(wǎng)絡(luò)瀏覽器就可以實施這個網(wǎng)絡(luò)服務(wù)的控制了。這個網(wǎng)絡(luò)服務(wù)還包括每日更新包含3200多個攻擊的數(shù)據(jù)庫,并能夠獲得整個公司范圍內(nèi)的網(wǎng)絡(luò)安全視圖。

紐約期貨交易所的做法是每周對整個網(wǎng)絡(luò)進行一次掃描?！癚ualys公司的網(wǎng)絡(luò)服務(wù)讓我們可以專注于內(nèi)部業(yè)務(wù)活動,對網(wǎng)絡(luò)的外部情況完全放心。如果出現(xiàn)問題,那么需要做的只是打個電話,不到一個小時就能排除故障,正常運行?！盌iDominicus對Qualys公司的服務(wù)頗為滿意。

“我們通過網(wǎng)絡(luò)服務(wù)提供的報告來評估網(wǎng)絡(luò)安全的狀態(tài),”DiDominicus說,“而且報告的格式也比我以往所見到的其他報告更加清晰?！彼J為這樣的結(jié)果很方便與維護系統(tǒng)的相關(guān)責任方共享信息,方便地解決問題。對一般IT人員而言,網(wǎng)絡(luò)攻擊的問題有些太過專業(yè),他們往往認為,只要有防火墻,及時升級補丁并且不使用最高權(quán)限的管理員賬號就足夠應(yīng)付了。

紐約期貨交易所使用了安全審核網(wǎng)絡(luò)服務(wù),讓網(wǎng)絡(luò)和IT職員發(fā)揮出了更大的作用。網(wǎng)絡(luò)服務(wù)提供的數(shù)據(jù)能夠讓職員專注于最重要問題的處理,而不是被一些常規(guī)的監(jiān)視告警迷惑而不知所措。DiDominicus說:“這就相當于在我的團隊中加入了一群專門負責安全問題的專家?！?/p>

紐約期貨交易所使用QualysGuard網(wǎng)絡(luò)服務(wù)來監(jiān)控8個面向互聯(lián)網(wǎng)的IP地址。DiDominicus認為,這個網(wǎng)絡(luò)安全審核服務(wù)解決方案所帶來的回報超過了投入的10倍。如果使用內(nèi)部實現(xiàn)的解決方案,他需要雇用至少一名高級安全技術(shù)專家,每年僅是薪水就要花8.5萬～9萬美元,還需要算上保險和設(shè)備等成本?！皟煞N解決方案孰優(yōu)孰劣是顯而易見的,”他說,“我現(xiàn)在所要做的,僅僅是每周花費15分鐘時間來查看一下安全掃描的結(jié)果報告而已。”

僅僅付出了少量成本,而且不增加人員負擔,紐約期貨交易所就使用安全審核網(wǎng)絡(luò)服務(wù)保證了交易業(yè)務(wù)的連續(xù)性,交易本身也具有良好的安全機密性保障。這個網(wǎng)絡(luò)服務(wù)還作為第三方保證紐約期貨交易所的安全保護活動,這也是這個解決方案吸引人的另一個優(yōu)點。