监理公司管理系统 | 工程企业管理系统 | OA系统 | ERP系统 | 造价咨询管理系统 | 工程设计管理系统 | 签约案例 | 购买价格 | 在线试用 | 手机APP | 产品资料
X 关闭

安全是一门“平衡”的艺术

申请免费试用、咨询电话:400-8352-114

来源:泛普软件 从自己创业、民营企业、外资企业、国有企业,从各种企业历练过来,在业务和技术上都有独到的见解。一个以技术见长的管理人员是怎样看待金融行业信息安全的呢,王博士畅谈了其中的“平衡”之道。
 

非常荣幸您接受我们的采访,上海期货交易所是中国第一的期货交易所,你作为上期所的技术公司的副总,那么请您能谈一下上期所近三年的信息化规划情况?


最核心的就是建设交易所的应用系统,把现有的业务系统彻底的换掉,换一套全新的系统,包括交易系统、结算系统,交割系统、行情、风险控制等各项业务系统,目前正在做的交易和行情系统。整个换新工作是一项庞大的项目,我们正在招聘新的人员,也在寻找外部的支持力量,致力于出色的完成这个项目。

那贵公司的业务专注在什么方面呢?


我们公司致力于经营一种细水长流的服务,使用IT技术,由资深人员去设计应用,而对应用执行的人员的要求不高,比如我们为会员提供一种共享的灾难备份中心,由我们来投资,我们来建设,我们为会员公司提供租赁服务。经纪公司里面基本了没有自己做灾难备份中心的,这为会员公司节省了大量的成本,他们基本上都是委托给我们做这个业务。对于灾难备份中心,在初期的规划和建设是一件繁杂的事情,但是一旦建设好,通过固化操作流程,只要很少的人员就可以运维了。大连、郑州、上海三地交易所的联网的目的就是为期货交易所为经纪公司节约成本,三地联网形成闭环,让各经纪公司视其经济实力进行不同程度的网络互联,并在通信过程中保证无断点故障,这样的费用由交易所替经纪公司承担。我们也在挖掘会员的其他需求,我们公司致力于为这个行业提供需求驱动的服务,通过网络为客户提供一种长期稳定的服务。

刚才您谈到的“细水长流”服务,应该叫做“委外”或是“外包”吧,最近兴起了一个名词就是BPO(Business Process Outsourcing,业务流程外包),如在大连那里有GE、IBM、埃森哲等这样的公司为日本和韩国的客户做外包,现在印度也有很多公司来到中国开展外包业务,您是怎么看待BPO业务的呢?


通过外包,来降低成本,我想中国公司对这样的需求不会很大,因为国内中西部的差异并没有达到做外包的地步,国内市场对这方面的需求不是很明显。
对于国际市场外包业务,我觉得我国的外包业务针对日本的做的比较的成功,因为文化的差异,而外包很专长的印度对日本开展外包缺少这方面的优势。印度对美国做外包,一方面是语言的相通,同时印度有很多人在美国工作,这样印度对美国的外包业务是很有优势的。

我们这一期主要的话题是关于金融行业的信息安全,那么期货行业的信息安全有没有金融业的代表性,如银行、保险、证券,请您谈一下对金融行业信息安全的认识?


银行、保险、证券是金融业的三大块,我们是专注在证券行业当中的期货这一块,其他方面也是具有相关性的。怎么看待信息安全,任何一个机构对安全问题首要任务是识别,很多公司讲安全,总是停留在几个固定的模式上,如网络安全、身份认证、加密、防病毒,上面所有的这些只是安全的手段,我们还缺乏一整套的认知体系,我们真正应该关注的是风险的识别。

那么上期所的信息风险主要从哪些方面来识别呢?


对风险的识别具有行业的特征,比方说,在我们金融行业,首先,要定义什么叫做我们目前的这个情况是在正常运行的,什么情况是出问题的状况,这些我们应该定义好。其次,我们才能知道什么是风险、什么是安全隐患。对于我们期货交易所来说,我们的整个交易系统要正常运行,这个听上去很简单,但是这就是我们的基本目标;我们的结算系统要安全运行,我们的行情系统要安全运行,所有的核心数据不能泄露不能被窜改来保障数据安全,所有系统能够安全平稳运行和数据的安全就是整个交易所安全运行的状态。交易系统安全运行状态主要包括:交易主机要安全运行,交易网络要安全运行,交易中的操作要符合安全规范,会员能够安全的访问系统。

在确定了交易系统安全运行状态后,安全防范的主要工作是什么?


安全防范在各个行业是不同的,在金融行业中的差别也比较的大。对于期货行业,行业内有很多不同的角色,不仅仅是交易所,还有期货经纪公司、券商、基金公司,从各个角度看都是不同的。每一角色都是重要的,关键是安全保障切实的被执行好。首先,我们要保障交易主机的安全,如电源突然中断必须有相应的继电设备;还需要相应的操作安全;即使这些都很安全,交易主机也可能崩溃,还需要有硬件的安全性,如适宜的温度、湿度环境,甚至还要预防恐怖主义的袭击等等。其次,交易网络也有安全性,网络的安全也很重要,首先是不是一个合法的访问者,有没有人在窃听信息,有没有人在利用对我们的主机发动攻击,导致我们的主机失去工作能力,有没有人在利用通信协议的漏洞,来直接控制我们的主机等,这些都是我们网络安全威胁的来源。最后,我们还要保证交易操作是符合安全规范的,在安全访问系统的基础上,相应的操作要符合安全操作的规范。

那么在对风险识别完成之后,应该做什么工作呢?


在对风险进行识别的基础上,对每一个风险寻找解决方案、措施和紧急预案,从而形成一个系统的规划方案。我们就要对每一个安全威胁有相应的措施,这个措施有很多因素,如:威胁到底有多大,影响到底有多大,发生的概率有多高,解决的成本有多高。也有可能有些威胁很大,但是由于解决的成本太高我们就不做了,不处理也是一种处理。

怎么理解不处理也是一种处理呢?


举个例子来说,很多的期货经纪公司很多交易系统直接放在互联网上,不做加密,安全性很难保障,因为其IT投入少,更不用说IT安全投入了,还是需要“平衡”的。虽然威胁是存在的,但是威胁不见得想象的那么大,像网络监听除非在国家机要部门可以做到,一般人是做不到的,在这样的前提下,宁可冒风险也不花大成本来规避。再举个例子来说,客户下一个委托要填单子并签字,证明下了委托,等以后出问题了,就有了法律依据,这是一个很安全的做法,但是它有代价,有效率低、成本高的代价,单子要是每个人都填的话,还要专门的仓库来存放,形成了证券业的“库存”,而且纸的保存也存在困难,会花费大量的成本。那是以前的手工阶段,现在没有一家证券公司做这样的事情,人们都知道用电子化处理会有风险,也确实产生了纠纷。对于这样的突发事件,宁可花10万元来赔偿给客户,也不会用巨额的资金来规避风险,即使拿出10万元也建不了这样的安全防范系统,也就是做防范的成本已经超过了风险发生时付出的代价。

既然不处理也是一种处理,那这个问题就算解决了吗?

怎么看待“解决”呢?既然它是一个风险,它永远是存在的,有的解决是让外界一点都看不见,即形成一个“黑盒”,这是最高级别的“解决”;最低级别的“解决”,比如现在的系统出了许多的问题,但至少数据不能丢,千万不要出现这种情况,这就需要我们做灾难备份。灾难备份又可以分为系统的灾难备份还是数据的灾难备份,这也是一个“平衡”,数据的灾难备份很容易,其花费的代价很小,但保证不了系统的实时性;系统的灾难备份就是当现在的系统崩溃的时候,还有一个备份的系统,马上可以接管并提供服务,其花费的代价很大,可以保证系统的实时性,这是一种平衡。

那么有没有考虑为客户建立一个安全审计的体系,把现有的安全水平控制在一个可以接受的水平呢?

安全审计其实是一个手段,我们应该分清楚什么是风险,什么是规避风险的手段,审计是为了发现并解决内部的数据泄露、数据窜改和非法操作的手段。当我们识别一定风险的时候,我们就会采取一定的手段,这些手段包括审计、授权体系的建立、详细的受理的日志,根据日志也可以识别风险,这是更深入的,这些都是风险识别后的措施。

在对上期所技术总监严先生采访中,严先生对安全运维机制谈到两点,一是把安全规划落实到实际中去,二是形成一种稳定的安全策略,您是怎样看待运维中的信息安全问题的?

我想期货交易所有自身的考虑,他们所说的运维和我们公司的运维是不同的,但是我们为什么要建立这样的机制,我们都是要解决问题,防范风险的,以事前的流程来解决问题和防范风险。安全的核心就是“平衡”,因为事先做就要增加流程、增加成本,而风险也会造成危害,这两者之间构成的平衡,与很多事情是相通的。信息安全大家都在提,但是其实企业重视的程度还不够,很多人并没有真正理解什么是信息安全,第一件事情,“识别风险是什么”,在全中国就没有看到有人好好的做出来。连问题都没有识别出来,那怎么解决问题呢?现在做的主要工作主要是用一些安全的手段,我们做的还远远不够,在我的期望里面,我们应该有应对各种风险的防范措施,包括很多方面,很有很多工作需要进一步的做下去。其实,安全是一个平衡,跟业务发展程度有关,是风险可能造成的危害与安全防范成本之间的平衡。

作为公司常务副总,您的主要工作是什么呢?

我们是一个技术型的公司,我现在花的相当多的时间在技术上,我们这里有一个不成文的规定,每个人都要进入第一线的,我们这里没有一个纯粹的做技术管理工作的人。我们接手项目,我们的项目经理一定是在这个项目成员中技术最好,能够解决问题的人,能解决所有的技术问题,这是第一。第二,我们公司是在不断发展的公司,在不断的开拓新业务,要通过更多的外部的沟通和协调,推动公司业务的发展。第三,公司的规模不大,只有三十多个人,作为一个管理者来说呢,最重要是就协调大家的思想,让所有的人能够力气往一处使,需要花很多时间帮助大家解决问题,当然作为国有企业来说会比较注重流程,我们要保障做的每一件事情都是严格的按照流程规范来执行。

从各种企业历练过来,您有什么感想呢?


感慨很多了,从自己创业、民营企业、外资企业、国有企业,基本上所有的企业都经历过,经历了不同的企业风格,在业务技术上都学了很多东西。价值标准的不同,行为方式的差异,这是正常的,从个人来说的话,在不同类型的公司中待一待,经历一下,是一件有趣的事情,我的爱好就是人生追求多种经历,这是我生活的心态。(amt)

发布:2007-04-22 10:42    编辑:泛普软件 · xiaona    [打印此页]    [关闭]
长春OA系统
联系方式

成都公司:成都市成华区建设南路160号1层9号

重庆公司:重庆市江北区红旗河沟华创商务大厦18楼

咨询:400-8352-114

加微信,免费获取试用系统

QQ在线咨询

泛普长春OA快博其他应用

长春OA软件 长春OA新闻动态 长春OA信息化 长春OA快博 长春OA行业资讯 长春软件开发公司 长春门禁系统 长春物业管理软件 长春仓库管理软件 长春餐饮管理软件 长春网站建设公司