一位離職的期貨公司網(wǎng)絡安全員工，能對原來供職的期貨公司造成多大風險？

　　對不少期貨公司而言，這個問題沒有答案。因為這名離職的員工可能在原來供職公司的多個外部網(wǎng)絡接入端口擁有多個賬戶，只要有一個賬戶沒有關閉，他就可以進入公司內部網(wǎng)絡，查看到公司的所有資料。

　　實際上，對于這一問題，中國期貨業(yè)協(xié)會之前發(fā)布的《期貨公司信息技術管理指引》（下稱《指引》）已有所考慮，并作出了相關規(guī)定。《指引》要求，期貨公司網(wǎng)絡安全部門必須有生產環(huán)境內關鍵系統(tǒng)賬戶與權限的關系表，賬戶和權限變更應有審批和完整的記錄，崗位變動應及時調整對應系統(tǒng)的賬戶和權限，應避免使用超級管理員賬戶完成日常業(yè)務操作。

　　這種安排正是根據(jù)國內外金融機構的實際情況做出的。

　　據(jù)了解，許多成熟金融機構早已在整體網(wǎng)絡安全策略中將技術人員的操作風險考慮在內，制訂了嚴格的技術界限和權限管理。光大期貨技術部門負責人顧長偉介紹，光大期貨也按照相似安排，對公司員工的賬戶實現(xiàn)相應的權限管理，確保員工離職后公司網(wǎng)絡信息安全。

　　“但是整體而言，行業(yè)性的風險一直存在?！睎|方期貨技術總監(jiān)陳學軍對期貨日報記者說，目前國內多數(shù)期貨公司的技術人員可以通過數(shù)十個接入點進入公司內部網(wǎng)絡，這些接入點的賬號和密碼各自獨立且由接入點設備本身認證，一旦人員變動，必須將所有與此人相關的賬戶和密碼進行變更，“現(xiàn)實的情況是，這種變更總是不徹底，因此網(wǎng)絡技術人員總是可以輕易進入原來供職公司的網(wǎng)絡”。

　　據(jù)了解，東方期貨為此推出了信息系統(tǒng)統(tǒng)一身份認證的解決方案。陳學軍解釋，實現(xiàn)統(tǒng)一身份認證后，公司所有員工的電腦必須通過登錄AD賬戶才能進入工作界面，且該賬戶密碼的復雜性由AD控制服務器統(tǒng)一制訂規(guī)則，并可要求強制定期更改。該賬戶同時也是員工通過WIFI接入網(wǎng)絡、進入公司郵箱、訪問OA、訪問網(wǎng)絡共享資源的通行證，若員工需從公司外部進入公司內部網(wǎng)絡，同樣用此賬戶并經(jīng)過VPN驗證實現(xiàn)登錄。管理數(shù)十臺網(wǎng)絡交換機、防火墻及各類服務器的技術人員，也是通過該賬戶進行認證的。

　　陳學軍說，雖然大家都是通過AD賬戶訪問各類資源，但不同類型的權限是嚴格劃分的，不同部門的人員訪問共享服務器上的資源時，看到的內容不盡相同。

　　除統(tǒng)一身份認證外，該公司還在所有關鍵節(jié)點，如互聯(lián)網(wǎng)線路接入、專線接入、防火墻、交換機等采用雙份實時切換，通過動態(tài)VLAN技術、負載均衡技術和大量使用虛擬化技術，將信息系統(tǒng)的可靠性、安全性、可管理性及靈活性提升到了新的高度。

　　“實現(xiàn)了統(tǒng)一身份認證，就可以在一個地方更改一個人的訪問權限。若該人離開公司，在一個地方禁用其賬戶，他就不能再訪問公司的任何資源了。”陳學軍說。

　　不過，對于統(tǒng)一身份認證的作用有多大，有期貨公司技術部負責人提出了疑問?！澳壳捌谪浌镜暮诵纳a系統(tǒng)都與公共網(wǎng)絡實現(xiàn)物理隔離，這套認證系統(tǒng)防范的更多是公司辦公系統(tǒng)的泄密風險，而這可以通過相關制度的完善來規(guī)避?！鄙鲜銎谪浌炯夹g部負責人表示。

　　對此，陳學軍稱，統(tǒng)一身份認證并不在于技術上有重大突破，而是通過用技術實現(xiàn)管理的優(yōu)化，為期貨公司的健康發(fā)展提供更多保障。