一位離職的期貨公司網(wǎng)絡(luò)安全員工，能對原來供職的期貨公司造成多大風(fēng)險？

　　對不少期貨公司而言，這個問題沒有答案。因為這名離職的員工可能在原來供職公司的多個外部網(wǎng)絡(luò)接入端口擁有多個賬戶，只要有一個賬戶沒有關(guān)閉，他就可以進(jìn)入公司內(nèi)部網(wǎng)絡(luò)，查看到公司的所有資料。

　　實際上，對于這一問題，中國期貨業(yè)協(xié)會之前發(fā)布的《期貨公司信息技術(shù)管理指引》（下稱《指引》）已有所考慮，并作出了相關(guān)規(guī)定?！吨敢芬?，期貨公司網(wǎng)絡(luò)安全部門必須有生產(chǎn)環(huán)境內(nèi)關(guān)鍵系統(tǒng)賬戶與權(quán)限的關(guān)系表，賬戶和權(quán)限變更應(yīng)有審批和完整的記錄，崗位變動應(yīng)及時調(diào)整對應(yīng)系統(tǒng)的賬戶和權(quán)限，應(yīng)避免使用超級管理員賬戶完成日常業(yè)務(wù)操作。

　　這種安排正是根據(jù)國內(nèi)外金融機(jī)構(gòu)的實際情況做出的。

　　據(jù)了解，許多成熟金融機(jī)構(gòu)早已在整體網(wǎng)絡(luò)安全策略中將技術(shù)人員的操作風(fēng)險考慮在內(nèi)，制訂了嚴(yán)格的技術(shù)界限和權(quán)限管理。光大期貨技術(shù)部門負(fù)責(zé)人顧長偉介紹，光大期貨也按照相似安排，對公司員工的賬戶實現(xiàn)相應(yīng)的權(quán)限管理，確保員工離職后公司網(wǎng)絡(luò)信息安全。

　　“但是整體而言，行業(yè)性的風(fēng)險一直存在。”東方期貨技術(shù)總監(jiān)陳學(xué)軍對期貨日報記者說，目前國內(nèi)多數(shù)期貨公司的技術(shù)人員可以通過數(shù)十個接入點進(jìn)入公司內(nèi)部網(wǎng)絡(luò)，這些接入點的賬號和密碼各自獨立且由接入點設(shè)備本身認(rèn)證，一旦人員變動，必須將所有與此人相關(guān)的賬戶和密碼進(jìn)行變更，“現(xiàn)實的情況是，這種變更總是不徹底，因此網(wǎng)絡(luò)技術(shù)人員總是可以輕易進(jìn)入原來供職公司的網(wǎng)絡(luò)”。

　　據(jù)了解，東方期貨為此推出了信息系統(tǒng)統(tǒng)一身份認(rèn)證的解決方案。陳學(xué)軍解釋，實現(xiàn)統(tǒng)一身份認(rèn)證后，公司所有員工的電腦必須通過登錄AD賬戶才能進(jìn)入工作界面，且該賬戶密碼的復(fù)雜性由AD控制服務(wù)器統(tǒng)一制訂規(guī)則，并可要求強(qiáng)制定期更改。該賬戶同時也是員工通過WIFI接入網(wǎng)絡(luò)、進(jìn)入公司郵箱、訪問OA、訪問網(wǎng)絡(luò)共享資源的通行證，若員工需從公司外部進(jìn)入公司內(nèi)部網(wǎng)絡(luò)，同樣用此賬戶并經(jīng)過VPN驗證實現(xiàn)登錄。管理數(shù)十臺網(wǎng)絡(luò)交換機(jī)、防火墻及各類服務(wù)器的技術(shù)人員，也是通過該賬戶進(jìn)行認(rèn)證的。

　　陳學(xué)軍說，雖然大家都是通過AD賬戶訪問各類資源，但不同類型的權(quán)限是嚴(yán)格劃分的，不同部門的人員訪問共享服務(wù)器上的資源時，看到的內(nèi)容不盡相同。

　　除統(tǒng)一身份認(rèn)證外，該公司還在所有關(guān)鍵節(jié)點，如互聯(lián)網(wǎng)線路接入、專線接入、防火墻、交換機(jī)等采用雙份實時切換，通過動態(tài)VLAN技術(shù)、負(fù)載均衡技術(shù)和大量使用虛擬化技術(shù)，將信息系統(tǒng)的可靠性、安全性、可管理性及靈活性提升到了新的高度。

　　“實現(xiàn)了統(tǒng)一身份認(rèn)證，就可以在一個地方更改一個人的訪問權(quán)限。若該人離開公司，在一個地方禁用其賬戶，他就不能再訪問公司的任何資源了?！标悓W(xué)軍說。

　　不過，對于統(tǒng)一身份認(rèn)證的作用有多大，有期貨公司技術(shù)部負(fù)責(zé)人提出了疑問?！澳壳捌谪浌镜暮诵纳a(chǎn)系統(tǒng)都與公共網(wǎng)絡(luò)實現(xiàn)物理隔離，這套認(rèn)證系統(tǒng)防范的更多是公司辦公系統(tǒng)的泄密風(fēng)險，而這可以通過相關(guān)制度的完善來規(guī)避。”上述期貨公司技術(shù)部負(fù)責(zé)人表示。

　　對此，陳學(xué)軍稱，統(tǒng)一身份認(rèn)證并不在于技術(shù)上有重大突破，而是通過用技術(shù)實現(xiàn)管理的優(yōu)化，為期貨公司的健康發(fā)展提供更多保障。