二、物理安全
物理安全作为信息安全的基础,在整个信息安全体系建设中扮演着非常重要的作用,而物理安全的好坏直接影响到网络安全、系统安全和安全管理等等层面。对于券商来说,机房是生产的核心工具,这几年来,管理层对此也不断提出要求,目前看来,硬件环境已经比较可靠,空调、湿度控制、防火、区域标识等相对完善,但与之相对应的软件环境却不甚乐观。比如普遍存在的:
2.1 环境
机房进出控制等级没有严格执行,流于形式;
门禁系统虽有,但时常进出没有随手关门;
进出人员所做重大操作没有记录;
第三方人员进入机房没有明显的可视标识,不能立即识别出无人护送的访问者和未佩戴可视标识的人。
2.2 设备
网络设备、主机设备没有有效的标记措施,对资产的界定不清晰;
重要的主机设备没有防盗报警措施;
由于券商在不断地上新项目,经常需要调整网络,网线和电缆的普遍走线比较乱,很多网线、电缆都没有可识别的记号。
2.3 介质
对移动存储设备没有实行有效管理,各服务器的USB口都是开放状态。
没有对移动存储设备上的敏感数据彻底删除或安全重写。
这些问题在很多公司机房都普遍存在,甚至比证券业要差很多。安全不仅仅是网络安全,更是一个整体的木桶,任何的短板都会导致前功尽弃,加强对物理环境的管控应是踏踏实实要做好的事情,这种管控也不仅仅是在硬环境上,更重要的还在软环境上。