|
【电脑商网专稿】一、 证券网络系统的现状
当前,证券行业的网络安全存在漏洞的状况也是众所周知的,多位信息安全领域的专家也对证券行业网络的安全问题提出了尖锐的批评,证券行业网络的安全现状已不能适应证券业迅速发展的状况。近几年,不断有证券行业网络被”黑客” 入侵,造成重大经济损失和恶劣影响的消息见诸报端。证券行业的网络安全尤其是Internet/Intranet 网络的安全已经成为摆在所有证券行业的机构和人员面前的一个重要问题。
证券行业网络的安全问题是由来已久的,初期的一些行情系统和交易系统在开发时基本没有考虑安全问题,直至后来发生力几起黑客攻击事件,才引起券商对安全性的重视,但对网络先天存在的安全隐患采取的是头痛医头、脚痛医脚,以及一些不正规的方法,没有考虑从根本上解决安全问题。
目前,部分证券公司已经在总部和分支机构之间建立起在功能上比较完备的Intranet 网络,有近百家证券公司除了有比较完善的Intranet 网络之外,在总部或者以各分支机构为单位,实现了Internet 的接入,并开展了网上业务。对这部分证券公司的实际需求,我公司将结合自身在安全领域的经验,提出了证券公司网络安全解决方案。
二、证券网络系统的安全风险
证券网络系统的安全风险主要来自网络设施物理特性的安全、网络系统平台的安全、网上交易的安全、数据存储的安全。
2.1 物理安全风险
由于水灾、火灾、雷击、粉尘、静电等突发性事故和环境污染造成网络设施工作停滞。人为引起设备被盗、被毁或外界的电磁干扰使通信线路中断。
电子、电力设备本身固有缺陷和弱点及所处环境容易在人员误操作或外界诱发下发生故障。
2.2 系统安全风险
系统风险在三个方面:网络系统、操作系统和应用系统。
网络系统在设计实施不够完善,例如缺乏正确路由、网络的容量、带宽估计不足、对证券系统局域网没做划分隔离以及关键网络设备没有冗余设计,一旦发生故障,将直接影响网络系统安全。
网络系统缺乏安全可靠的网络通信协议和网络安全设备,使网络黑客容易利用网络设计和协议漏洞进行网络攻击和信息窃取,例如未经授权非法访问证券系统内部网络、对电话网进行监听、对系统的安全漏洞进行探测扫描、远程登陆交易、行情服务器并对数据进行篡改、对通信线路、服务器实施洪流攻击造成线路涌塞和系统瘫痪等。
网络操作系统,无论是Windows\Unix\Linux 各种商用操作系统,其国外开发商都留有后门(back door),目前每种操作系统都发现有安全漏洞,一旦被人发现利用将对整个证券网络系统造成不可估量的损失。
OA 应用系统的风险主要是涉及不同地区、不同部门的资源有限共享时被内部人员不安全使用造成口令失窃、文电丢失泄密,以及在与外界进行邮件往来时带来病毒和黑客进入的隐患针对业务系统(包括业务管理系统、业务服务系统)的威胁主要来自于内、外界对业务系统非授权访问、系统管理权限丧失(由于用户名、口令、IC 卡等身份标志泄漏)、使用不当或外界攻击引起系统崩溃、网络病毒的传播或其他原因造成系统损坏、系统开发遗留的安全漏洞等。
2.3 网上交易的安全风险
Internet是全球性公共网络,并不由任何一个机构所控制。 数据在因特网上传输的途径是不完全确定的。 因特网本身并不是一个完全安全可靠的网络环境。
在Internet上可能有人采用相似的名称和外观仿冒证券网站和服务器, 用于骗取投资者的数据资料。如果用于证实投资者身份的数字证书和口令被窃取, 他人有可能仿冒投资者身份进行交易委托和查询。
在网上传输的指令、数据有可能被某些个人、团体或机构通过某种渠道截取、篡改、重发。 但他们并不一定能够了解该数据的真实内容。由于网络交易的非接触性,交易双方可能对交易结果进行抵赖。
在网上的数据传输可能因通信繁忙出现延迟,或因其它原因出现中断、停顿或数据错误,从而使得网上交易出现延迟、停顿或中断。网上发布的证券交易行情信息可能滞后,与真实情况不完全一致。
2.4 数据的安全风险
因内、外因素造成数据库系统管理失控或破坏使用户的个人资料和业务数据遭到偷窃、复制、泄密、丢失,并且无法得到恢复。
网络病毒的传播或其他原因造成存储数据的丢失和损坏。
网站发布的信息数据(包括分析、预测性资料)有可能被更改、删除,给证券公司带来损失。
通过上述诸多风险的分析,我们认为对于证券网络系统的安全性来说,确实存在着更高的要求,主要有以下四点:
可靠性
由于网络关系到很多关键的行情系统和交易系统,证券系统对安全产品的可靠性要求是均衡的,必须在部署安全设备后,系统整体的可靠性不能有任何降低。高可靠性在证券系统应用比较多也是这个原因。
实时性
行情和交易系统的实时性要求比一般应用系统要求严格。实时性时对设备性能要求的直接体现。安全设备在处理网络流量、延时、丢包率和DDOS 攻击的防御综合的因素都会在这点上反映出来。所以实时性考验设备的综合指标,是保障系统在任何安全条件下的实时性。
安全性
安全性要求高,证券网络系统需要最严格的访问控制和安全策略。系统的及时更新和打补丁等因素在维护系统整体安全性时,应该有所考虑。
可管理性
证券系统在网络的建立初期就已经建立了良好的远程管理系统,同样,安全系统的远程、中心管理也同样需要。
三、证券网络系统的安全解决方案
证券中心网络部署众多的业务.行情交易系统、OA,并包含与银行等合作伙伴以及各种服务系统的接口。各种业务流量全部汇集在这一中心,其可靠性要求极高。O2Micro建议部署2台防火墙实现HA作为证券中心网络的安全核心,其可靠性可以达到最高,并具有完全的冗余能力,可以满足骨干级网络的要求。
该方案具有具有2项任务:第一,分割外部接口区域和内部服务区域;第二:利用VLAN Trank设计,区分各个业务接口,使各个业务系统在各自的VLAN中运行,各个VLAN间的流量均经过防火墙控制,安全区域被明确划分,保证每个区域的访都经过安全策略的检查。在证券中心网络,建议部署性能相当SifoWorks集群,各个营业部,建议部署企业级的防火墙设备,并通过在网络层加密构建基于IPSEC VPN,保证证券中心和各个营业部之间信息传输的机密性。
|
