联储证券被曝存在多项信息安全漏洞
5月21日,深圳证监局公布对联储证券有限责任公司采取出具警示函行政监管措施的决定 。深圳证监局表示,根据中国信息安全测评中心出具的信息系统渗透测试报告显示,联储证券存在多项信息安全漏洞。
据了解,中国信息安全测评中心自1998年创立,依据中央授权,测评中心主要开展信息安全漏洞分析与风险评估等,是中央批准成立的国家信息安全权威测评机构。
中国信息安全测评中心的报告显示,联储证券主要存在以下问题:
一是存在内网安全策略不合理、SVN源代码泄露、不安全关联等安全漏洞,导致存在通过外部网络直接渗透入公司内部网络的风险,个别信息系统被上传恶意后门文件且长期未发现;
二是未执行内部制度关于密码策略、端口设置、数据传输、漏洞检测等安全规定。
按照《证券期货业信息安全保障管理办法》基本要求第12、15条规定,核心机构和经营机构应当设置合理的网络结构,划分安全区域,各安全区域之间应当进行有效隔离。应当具有防范木马、病毒等恶意代码的能力,防止恶意代码对信息系统造成破坏,防止信息泄露或者被篡改。
深圳证监局指出,联储证券存在的上述安全漏洞行为违反了《证券期货业信息安全保障管理办法》等相关规定。据此,深圳证监局决定,对联储证券采取出具警示函的行政监管措施。
资料显示,联储证券原名众成证券,成立于2001年2月28日,注册资本25.731亿元人民币,净资产56亿元人民币,注册地为深圳。目前全国已设立57家证券营业部、18家分公司和2家子公司。
证券行业作为我国金融领域重点行业之—,自中国证券市场起步以来,信息与通信技术就在证券业得到了广泛应用。证券行业的信息系统漏洞和安全隐患不容小视,其甚至将导致用户、员工存在账号、密码泄露或重置风险。
在信息安全人士看来,随着互联网金融的渗透,IT技术在金融业务中的应用更加广泛,证券期货经营机构应进一步提高IT系统的风控标准,适应新形势下的网络安全要求。
据和讯网了解,证券公司由于存在安全漏洞被黑客攻击的案例也不在少数。
2014年6月,黑客利用摩根大通官网的漏洞,开始攻击其数据库系统。黑客发出恶意软件渗透摩根大通的企业网络,并利用复杂的工具深入到摩根大通的网络基础设施中,在这个过程中,成功躲过了全球规模最大、功能最先进的检测系统,随后窃取约8300万家庭和小企业的账户资料,这也是历史上最大的泄密事件之一。
2015年10月,美国证券商史考特公司460万客户信息泄露,史考特公司负责人表示两年前网站遭受攻击埋下的定时炸弹,在两年后终于被引爆。
在国内,2016年9月,国都证券简讯平台系统被黑客从外部攻入,黑客通过破解密码强度较低的用户帐户,并透过这个帐户登陆简讯平台,向85万客户发送诈骗短信。