一位离职的期货公司网络安全员工，能对原来供职的期货公司造成多大风险？

　　对不少期货公司而言，这个问题没有答案。因为这名离职的员工可能在原来供职公司的多个外部网络接入端口拥有多个账户，只要有一个账户没有关闭，他就可以进入公司内部网络，查看到公司的所有资料。

　　实际上，对于这一问题，中国期货业协会之前发布的《期货公司信息技术管理指引》（下称《指引》）已有所考虑，并作出了相关规定。《指引》要求，期货公司网络安全部门必须有生产环境内关键系统账户与权限的关系表，账户和权限变更应有审批和完整的记录，岗位变动应及时调整对应系统的账户和权限，应避免使用超级管理员账户完成日常业务操作。

　　这种安排正是根据国内外金融机构的实际情况做出的。

　　据了解，许多成熟金融机构早已在整体网络安全策略中将技术人员的操作风险考虑在内，制订了严格的技术界限和权限管理。光大期货技术部门负责人顾长伟介绍，光大期货也按照相似安排，对公司员工的账户实现相应的权限管理，确保员工离职后公司网络信息安全。

　　“但是整体而言，行业性的风险一直存在。”东方期货技术总监陈学军对期货日报记者说，目前国内多数期货公司的技术人员可以通过数十个接入点进入公司内部网络，这些接入点的账号和密码各自独立且由接入点设备本身认证，一旦人员变动，必须将所有与此人相关的账户和密码进行变更，“现实的情况是，这种变更总是不彻底，因此网络技术人员总是可以轻易进入原来供职公司的网络”。

　　据了解，东方期货为此推出了信息系统统一身份认证的解决方案。陈学军解释，实现统一身份认证后，公司所有员工的电脑必须通过登录AD账户才能进入工作界面，且该账户密码的复杂性由AD控制服务器统一制订规则，并可要求强制定期更改。该账户同时也是员工通过WIFI接入网络、进入公司邮箱、访问OA、访问网络共享资源的通行证，若员工需从公司外部进入公司内部网络，同样用此账户并经过VPN验证实现登录。管理数十台网络交换机、防火墙及各类服务器的技术人员，也是通过该账户进行认证的。

　　陈学军说，虽然大家都是通过AD账户访问各类资源，但不同类型的权限是严格划分的，不同部门的人员访问共享服务器上的资源时，看到的内容不尽相同。

　　除统一身份认证外，该公司还在所有关键节点，如互联网线路接入、专线接入、防火墙、交换机等采用双份实时切换，通过动态VLAN技术、负载均衡技术和大量使用虚拟化技术，将信息系统的可靠性、安全性、可管理性及灵活性提升到了新的高度。

　　“实现了统一身份认证，就可以在一个地方更改一个人的访问权限。若该人离开公司，在一个地方禁用其账户，他就不能再访问公司的任何资源了。”陈学军说。

　　不过，对于统一身份认证的作用有多大，有期货公司技术部负责人提出了疑问。“目前期货公司的核心生产系统都与公共网络实现物理隔离，这套认证系统防范的更多是公司办公系统的泄密风险，而这可以通过相关制度的完善来规避。”上述期货公司技术部负责人表示。

　　对此，陈学军称，统一身份认证并不在于技术上有重大突破，而是通过用技术实现管理的优化，为期货公司的健康发展提供更多保障。