纽约期货交易所:维护业务连续性是第一要则

刘光强

纽约期货交易所(NYBOT)是世界上最大的“软”期货商品交易所,交易商品包括咖啡、糖、可可、棉花及冷冻浓缩橘子汁。纽约期货交易所成立于1998年,每年在这里成交的各种大宗全球商品贸易合同多达2100万个。另外,纽约期货交易所还提供外币及股指期货等的交易。

纽约期货交易所最重要的业务活动就是交易,因此业务连续性非常重要。2001年,911发生之时,纽约期货交易所是四个世界性交易中心之一,也是当时世界上惟一具有备份交易场所的交易所。如今,纽约期货交易所也是世界上惟一具有三角IT运营的交易所,其三个站点彼此相连,并互为备份。

2002年春天,财务审核员建议纽约期货交易所设立一个新的职务——首席信息安全官(CISO),其工作职责是标准化和加速各种信息安全的保护措施。这表明各种网络攻击及其他信息技术的泛滥已经威胁到了纽约期货交易所的运营连续性。纽约期货交易所于2002年6月任命Jim DiDominicus为第一任CISO。他的任务是快速评估数字安全的状况,并实施最小化交易中断风险的控制措施。

DiDominicus很快启动了每周一次的对纽约期货交易所外部网络的安全性评审。这让他能够有规律并且始终如一地监控起纽约期货交易所的网络安全,强化路由器设置,并对其他基础架构设备采取保护性措施。他做这些工作的时候,并没有建立一套攻击管理基础架构,也没有雇用额外的负责信息安全的工作人员。

纽约期货交易所要做安全性审核和改进项目,传统的做法是雇用一个高级安全运维人员来手把手地应用开源解决方案实施内部审核;另一种做法是,将这样的安全审核工作外包,要么给做传统渗透测试的咨询公司,要么给提供网上自动化解决方案的服务公司。

“我以前曾经使用过像Nessus这样的开源解决方案,但这需要异常小心,”他说,“而我们所需要的是,基础的、集中的并且能够快速运行的安全功能。”DiDominicus更倾向于由一家第三方提供商提供全面的解决方案,因为这样能够减轻其他地方的运营负担,并为纽约期货交易所提供外部支持,保证其网络安全,保护所有的交易运维操作。

纽约期货交易所选择的网络安全服务是QualysGuard。不需要添加任何特别的软件或者硬件设备,只要使用一个标准的网络浏览器就可以实施这个网络服务的控制了。这个网络服务还包括每日更新包含3200多个攻击的数据库,并能够获得整个公司范围内的网络安全视图。

纽约期货交易所的做法是每周对整个网络进行一次扫描。“Qualys公司的网络服务让我们可以专注于内部业务活动,对网络的外部情况完全放心。如果出现问题,那么需要做的只是打个电话,不到一个小时就能排除故障,正常运行。”DiDominicus对Qualys公司的服务颇为满意。

“我们通过网络服务提供的报告来评估网络安全的状态,”DiDominicus说,“而且报告的格式也比我以往所见到的其他报告更加清晰。”他认为这样的结果很方便与维护系统的相关责任方共享信息,方便地解决问题。对一般IT人员而言,网络攻击的问题有些太过专业,他们往往认为,只要有防火墙,及时升级补丁并且不使用最高权限的管理员账号就足够应付了。

纽约期货交易所使用了安全审核网络服务,让网络和IT职员发挥出了更大的作用。网络服务提供的数据能够让职员专注于最重要问题的处理,而不是被一些常规的监视告警迷惑而不知所措。DiDominicus说:“这就相当于在我的团队中加入了一群专门负责安全问题的专家。”

纽约期货交易所使用QualysGuard网络服务来监控8个面向互联网的IP地址。DiDominicus认为,这个网络安全审核服务解决方案所带来的回报超过了投入的10倍。如果使用内部实现的解决方案,他需要雇用至少一名高级安全技术专家,每年仅是薪水就要花8.5万～9万美元,还需要算上保险和设备等成本。“两种解决方案孰优孰劣是显而易见的,”他说,“我现在所要做的,仅仅是每周花费15分钟时间来查看一下安全扫描的结果报告而已。”

仅仅付出了少量成本,而且不增加人员负担,纽约期货交易所就使用安全審核网络服务保证了交易业务的连续性,交易本身也具有良好的安全机密性保障。这个网络服务还作为第三方保证纽约期货交易所的安全保护活动,这也是这个解决方案吸引人的另一个优点。