四、系统安全

　　券商核心业务系统多是LINUX、HP-UX等，这些系统流行面较窄，精通该类系统的人不多，且由于系统的不兼容性使得受攻击的可能性大大降低。但同时，也由于大家都不精通，系统上发现的一些已知的安全补丁都没打，不是不知道安全漏洞，而是因为不敢做，做了以后会对应用产生什么样的影响大家都不知道。这种情况在很多行业都存在，比如近期我接触过的一个煤矿有个瓦斯监控系统，1分钟都不能停。这种形势下，就要求对核心生产设备做足够的外围安全防护。

　　还有一个老生常谈的话题就是口令安全，网络设备口令、操作系统口令、应用系统口令、数据库口令等等，实际对口令的管理和要求始终会有差别。在调研中，我们也和老总们谈过，大家都说：我们都知道口令的管理，也知道怎么加强，但在实际中要考虑证券公司的特殊性，例如报盘系统登陆易所，20多个席位要登录，有一次系统意外重启，我们每个席位口令都很长，够复杂，结果手忙脚乱地往里面登录，一边看一边敲，敲错了还要重来，最后都搞好，半个小时过去了，所以这种安全手段在证券公司没法考虑的。

　　非核心业务的其他终端设备受系统升级和疏于管理等问题，普遍存在着非常多的高风险漏洞，甚至包括操作系统级的弱口令。不过目前对证券业来说，基本都做到了业务的主辅分离，所以威胁有，但不是很大。既便如此，非核心系统也应给以更多的关注。