随着国内股市的火爆,各家证券公司的交易量节节攀升。但与之而来的是,证券公司的信息安全隐患逐渐显现。近日有报道指出,某证券交易所的数据库被非法入侵,12条上市公司的公告还未披露就已遭盗取。与此同时,该证券公司内部的多份研究报告与23条内幕消息也一同被盗取。
据公安机关透露,目前该案主犯已经被抓获。案犯梁某供职于该证券公司电脑部,他通过境内多个网站开设个人博客,并在博客网页中嵌入自己编写的控制指令,利用已存在于证券交易机构网络中的程序自动读取、执行这些指令,攻击数据库,并有选择地将数据库中尚未发布的上市公司公告通过网络泄露到境外网站。这些信息涵盖了上市公司股权分置改革、股改方案、收购、重组、整体上市等内部报告,梁某还利用公司电脑以电子邮件、FTP上传等方式泄露给他人。
有安全专家表示说,这一事件反映出两大问题:第一,证券公司内部员工管理有缺陷,特别是对于IT部门员工的管理没有有效的约束手段;第二,证券公司自身安全防御体系建设不够全面,具有大量明显漏洞。
事实上,早先国内的证券行业经历了多年的熊市,造成相当一部分证券公司资金不足,特别是系统维护和建设的预算严重不足,留下了太多的漏洞。即便在目前牛市阶段,券商对于IT系统建设的投入仍有短板,特别是对于信息安全的投入仍旧停留在较低水平,这对于防御日益增多的安全威胁显然是不利的。
另外,目前中国证券行业的IT建设思路比起银行和保险业仍有较大差距。无论是信息系统的集中程度,还是安全防御体系的建设思路,特别是对于内网安全、身份认证、行为管理建设的关注度不够,导致了对于员工内部管控的缺失。事实上,入侵金融机构数据库原则上讲是难以个人操作的,而且非常容易留下蛛丝马迹。但本案的入侵行为能够长期得逞,明显反映了该证券交易所在信息安全建设中的漏洞,特别是在安全规范与风险评估中的不足。
据该案律师透露,此前像泄露内幕信息罪、内幕交易罪类的案子比较少见,一般都是在人与人之间传播。通过盗用数据库的手段构成内幕信息泄露的,在国内还是第一次。应该说,这个事件为国内证券行业的安全建设敲响了警钟。事实上,对于证券公司来说,构筑基于行为的权限管理与内网风险防御方案,对提高证券公司的管理水平也有好处。
网友评论