安全是一门“平衡”的艺术 （上海期货信息技术有限公司 王肇东）

对于信息安全，任何一个机构对安全问题首要任务是识别，很多公司讲安全，总是停留在几个固定的模式上，如网络安全、身份认证、加密、防病毒，上面所有的这些只是安全的手段，我们还缺乏一整套的认知体系，我们真正应该关注的是风险的识别。

风险识别是安全工作的首要工作

对于风险的识别，要定义什么叫做目前的这个情况是在正常运行的，什么情况是出问题的状况。定义好安全运行状态，我们才能知道什么是风险、什么是安全隐患。对于我们期货交易所来说，我们的整个交易、结算、行情等应用系统要安全稳定的运行，还有所有的核心数据不能泄露不能被窜改来保障数据安全，所有系统能够安全平稳运行和数据的安全就是整个交易所安全运行的状态。

就拿交易系统来说，交易系统安全运行状态主要包括：交易主机要安全运行，交易网络要安全运行，交易中的操作要符合安全规范，会员能够安全的访问系统。

首先，我们要保障交易主机的安全。如电源突然中断必须有相应的继电设备，还需要相应的操作安全。即使这些都很安全，交易主机也可能崩溃，还需要有硬件的安全性，如适宜的温度、湿度环境，甚至还要预防恐怖主义的袭击等等。

其次，也需要保障交易网络的安全性。要确认访问网络的是合法的访问者，还要杜绝他人恶意窃听信息，阻止破坏者利用对我们的主机发动攻击，还要防止利用通信协议的漏洞来直接控制我们的主机等，这些都是我们网络安全威胁的来源。

最后，我们还要保证交易操作是符合安全规范的。在安全访问系统的基础上，相应的操作要符合安全操作的规范。

安全的核心是“平衡”

在识别风险的基础上，我们应该做好安全防范工作。安全防范在各个行业是不同的，在金融行业中的差别也比较的大。对于期货行业，行业内有很多不同的角色，不仅仅是交易所，还有期货经纪公司、券商、基金公司，从各个角度看都是不同的。每一角色都特别的重要，关键是安全保障切实的被执行好。在对不同角色风险进行识别的基础上，对每一个风险寻找解决方案、措施和紧急预案，从而形成一个系统的规划方案。我们就要对每一个安全威胁有相应的措施，影响措施有很多的因素，如：威胁到底有多大，影响到底有多大，发生的概率有多高，解决的成本有多高。

值得注意的是，有一种可能有些威胁很大，但是由于解决的成本太高就不做了，不处理也是一种处理。举个例子来说，很多的期货经纪公司很多交易系统直接放在互联网上，不做加密，安全性很难保障，因为其IT投入少，更不用说IT安全投入了，还是需要“平衡”的。虽然威胁是存在的，但是威胁不见得想象的那么大，像网络监听除非在国家机要部门可以做到，一般人是做不到的，在这样的前提下，宁可冒风险也不花大成本来规避。

信息处理经历了从手工时代到自动化时代，这确实是一个进步，但是也存在着相当的风险。以前，客户下一个委托要填单子并签字，证明下了委托，等以后出问题了，就有了法律依据，这是一个很安全的做法。但是这样做是有代价的，单子要是每个人都填的话，还要专门的仓库来存放，形成了证券业的“库存”，而且纸的保存也存在困难，会花费大量的成本，效率低、成本高就是手工时代的代价。而现在，现在没有一家证券公司做这样的事情，人们都知道用电子化处理会有风险，也确实产生了纠纷。对于这样的突发事件，宁可花10万元来赔偿给客户，也不会用巨额的资金来规避风险，即使拿出10万元也建不了这样的安全防范系统，也就是做防范的成本已经超过了风险发生时付出的代价。

安全工作中，有风险的存在，我们也不能袖手旁观，还是需要用相应的手段来解决的。既然它是一个风险，它永远是存在的，有的“解决”是让外界一点都看不见，即形成一个“黑盒”，这是最高级别的“解决”。而最低级别的“解决”就是备份。比如现在的系统出了许多的问题，但至少数据不能丢，而且千万不要出现这种情况，这就需要我们做灾难备份。灾难备份又可以分为系统灾难备份和数据灾难备份。数据灾难备份很容易，其花费的代价很小，但保证不了系统的实时性；系统灾难备份就是当现在的系统崩溃的时候，还有一个备份的系统，马上可以接管并提供服务，其花费的代价很大，可以保证系统的实时性。系统灾难备份和数据灾难备份之间的取舍可以看作一种“平衡”。

在安全运维中，我们的工作就是防范风险和解决问题，以事前的流程来防范风险和解决问题。因为事先做就要增加流程、增加成本，而风险也会造成危害，这两者之间构成的平衡，与很多事情是相通的，安全的核心就是“平衡”。

信息安全大家都在提，但是其实企业重视的程度还不够，很多人并没有真正理解什么是信息安全，识别风险的工作没有做好，那么安全工作就做的不彻底不全面。我们做的还远远不够，不应该把所有的工作停留在应用安全的手段，应该有应对全部风险的防范措施。其实，安全是一种平衡，跟业务发展程度有关，是风险可能造成的危害与安全防范成本之间的平衡。

 王肇东 上海期货信息技术有限公司 副总经理 wang.zd@sfit.com.cn

王肇东博士：毕业于上海交通大学计算机专业，在读博士的时候，1997年开始创业，于1999年毕业的之际，正赶上互联网的春天，吸引风险投资，并且融资成功，公司规模也不断壮大，最高的时候达到80多个人。然而到2001年的时候，遭遇了互联网的冬天。此后，便去了复旦金仕达，担任金融事业部技术总监，开始涉足金融行业。在复旦金仕达做了一年，来到惠普的中国软件中心，做了一年的首席体系架构师。后来，正式进入期货业，时任上海期货信息技术有限公司副总经理。

从自己创业、民营企业、外资企业、国有企业，从各种企业历练过来，在业务和技术上都有独到的见解。一个以技术见长的管理人员是怎样看待金融行业信息安全的呢，王博士畅谈了其中的“平衡”之道。