◎ 張俊文 陳令穎（廣州產(chǎn)權(quán)交易所，廣州510260）

?

從網(wǎng)絡(luò)競(jìng)價(jià)淺析產(chǎn)權(quán)交易機(jī)構(gòu)信息系統(tǒng)安全防控

◎ 張俊文 陳令穎（廣州產(chǎn)權(quán)交易所，廣州510260）

2015年10月，廣州產(chǎn)權(quán)交易所運(yùn)營(yíng)的廣州市中小客車增量指標(biāo)競(jìng)價(jià)系統(tǒng)遭到國(guó)外黑客組織DDOS的惡意攻擊。交易所立刻啟動(dòng)應(yīng)急預(yù)案，采取積極應(yīng)對(duì)措施，確保了指標(biāo)競(jìng)價(jià)系統(tǒng)正常運(yùn)作，當(dāng)月競(jìng)價(jià)活動(dòng)如期順利舉行。

如今，隨著計(jì)算機(jī)、互聯(lián)網(wǎng)的普及應(yīng)用，網(wǎng)絡(luò)競(jìng)價(jià)“客觀性強(qiáng)、靈活度大、保密性高、交易成本低”等方面的優(yōu)勢(shì)在產(chǎn)權(quán)交易實(shí)踐中已得到充分證實(shí)和肯定，網(wǎng)絡(luò)競(jìng)價(jià)的應(yīng)用范圍也隨之不斷擴(kuò)大，包括從傳統(tǒng)股權(quán)項(xiàng)目的“單個(gè)標(biāo)的、單一場(chǎng)次”到公車處置中的“大批量、多場(chǎng)次”等。隨著，廣州、天津、杭州、深圳等地陸續(xù)實(shí)施中小客車總量調(diào)控政策，政府機(jī)構(gòu)委托各地產(chǎn)權(quán)交易機(jī)構(gòu)開展網(wǎng)絡(luò)競(jìng)價(jià)活動(dòng)，參與競(jìng)價(jià)的人數(shù)從原來(lái)單個(gè)標(biāo)的的十幾人、幾百人猛增至成千上萬(wàn)人，受眾面擴(kuò)大到整座城市的市民。在競(jìng)爭(zhēng)激烈的市場(chǎng)經(jīng)濟(jì)驅(qū)動(dòng)下，網(wǎng)絡(luò)競(jìng)價(jià)的信息安全需求也與日俱增。因?yàn)榫W(wǎng)絡(luò)信息一旦出現(xiàn)安全問(wèn)題，不僅會(huì)造成嚴(yán)重的經(jīng)濟(jì)損失，還會(huì)引發(fā)社會(huì)秩序混亂。因此，如何了解掌握主要的安全風(fēng)險(xiǎn)點(diǎn)，如何提高防御能力，實(shí)施不同安全等級(jí)的控制，杜絕機(jī)密信息的泄漏、竊取及系統(tǒng)的中斷等問(wèn)題就顯得尤為重要。

信息系統(tǒng)安全包括物理安全、信息安全、運(yùn)行安全、安全保密管理。信息系統(tǒng)安全的威脅是客觀存在的，但安全風(fēng)險(xiǎn)是可以控制和防范的。

1　物理安全是信息系統(tǒng)安全的基礎(chǔ)

信息系統(tǒng)是以物理設(shè)備為載體而運(yùn)行的，保證信息系統(tǒng)安全，就必須實(shí)現(xiàn)物理安全。因此，信息設(shè)備的場(chǎng)地和機(jī)房設(shè)備的管理尤為重要，主要包括，一是機(jī)房建設(shè)標(biāo)準(zhǔn)應(yīng)按照國(guó)家計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)標(biāo)準(zhǔn)建設(shè)，機(jī)房要包括主機(jī)房和備機(jī)房；二是機(jī)房?jī)?nèi)須設(shè)置電子門禁系統(tǒng)、防盜報(bào)警系統(tǒng)、監(jiān)控報(bào)警系統(tǒng)等設(shè)備；三是應(yīng)從制度上保障設(shè)備的防盜、防毀及物理安全管理。制定相關(guān)機(jī)房管理制度對(duì)機(jī)房人員日常行為準(zhǔn)則、機(jī)房保安、機(jī)房用電安全、機(jī)房消防安全、機(jī)房軟硬件設(shè)備安全使用、機(jī)房資料、文檔和數(shù)據(jù)安全等內(nèi)容予以規(guī)定和明確。

2　異地容災(zāi)是保障數(shù)據(jù)信息安全的重要策略

異地容災(zāi)是重要的數(shù)據(jù)安全策略，能有效保障應(yīng)用系統(tǒng)及數(shù)據(jù)庫(kù)的安全性、業(yè)務(wù)連續(xù)性。異地容災(zāi)可通過(guò)在不同地點(diǎn)建立備份系統(tǒng)，從而進(jìn)一步提高數(shù)據(jù)抵抗各種可能安全因素的容災(zāi)能力。

從互聯(lián)互通方面考慮，主機(jī)房與備機(jī)房之間應(yīng)有專用線路實(shí)現(xiàn)互連，供主機(jī)房、備機(jī)房之間的業(yè)務(wù)應(yīng)用及數(shù)據(jù)的實(shí)時(shí)同步，設(shè)計(jì)需保證主機(jī)房所在區(qū)域出現(xiàn)電力等故障時(shí)，仍可以將業(yè)務(wù)快速切換到備機(jī)房繼續(xù)提供服務(wù)。

3　明確操作權(quán)限保障系統(tǒng)的運(yùn)行安全

信息系統(tǒng)的安全與運(yùn)行密不可分。數(shù)據(jù)中心應(yīng)配套運(yùn)行操作審計(jì)系統(tǒng)、數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)、日志收集及分析系統(tǒng)，做到實(shí)時(shí)監(jiān)控并記錄內(nèi)、外部人員對(duì)服務(wù)器、網(wǎng)絡(luò)設(shè)備等IT基礎(chǔ)設(shè)施的操作，回放所有操作過(guò)程和結(jié)果；記錄數(shù)據(jù)庫(kù)的訪問(wèn)，識(shí)別越權(quán)使用、權(quán)限濫用，跟蹤敏感數(shù)據(jù)訪問(wèn)行為，及時(shí)發(fā)現(xiàn)敏感數(shù)據(jù)泄漏，規(guī)范維護(hù)流程，避免惡意破壞系統(tǒng)，確保數(shù)據(jù)安全。

4　重視信息的安全保密管理

信息系統(tǒng)的安全運(yùn)行除了需要采用相應(yīng)的安全技術(shù)，還需要制定合理的制度提供保障。信息系統(tǒng)應(yīng)設(shè)置管理員、審計(jì)員、安全管理員，采取“任期有限、權(quán)限分散”的原則，對(duì)重要應(yīng)用系統(tǒng)管理人員應(yīng)不定期實(shí)行循環(huán)任職，并對(duì)人員進(jìn)行輪流培訓(xùn)，保障信息系統(tǒng)的安全、穩(wěn)定運(yùn)行，規(guī)范應(yīng)用的安全配置和日常維護(hù)管理。

5　做好應(yīng)急預(yù)案以提升突發(fā)事件的快速反應(yīng)

為最大限度地減輕或消除網(wǎng)絡(luò)與信息安全突發(fā)事件的危害和影響，應(yīng)對(duì)信息系統(tǒng)安全突發(fā)狀況制定應(yīng)急預(yù)案。應(yīng)急預(yù)案預(yù)要先明確應(yīng)急各方職責(zé)和響應(yīng)程序，在應(yīng)急資源等方面進(jìn)行先期準(zhǔn)備，將網(wǎng)絡(luò)與信息安全突發(fā)事件的危害和影響降到最低限度。同時(shí)，產(chǎn)權(quán)交易機(jī)構(gòu)制訂應(yīng)急預(yù)案后還應(yīng)該組織培訓(xùn)、演練，不僅是為了相關(guān)工作人員熟悉整個(gè)過(guò)程，還是為了提高工作人員的應(yīng)急意識(shí)、應(yīng)急知識(shí)和應(yīng)急能力。應(yīng)急預(yù)案的編制、宣傳、培訓(xùn)、演練都有助于各方了解面臨事故及其相應(yīng)的應(yīng)急措施，從而促進(jìn)提高風(fēng)險(xiǎn)防范意識(shí)和能力。