金融证券业安全解决方案

2004-4-22　发布方：广州红帆　网友评论 0 条　点击进入论坛

    简介
    行业概述
   
    网络以及其中运行的信息系统是证券行业的关键资源，随着证券业务的不断扩展，网络的规模和复杂度都在不断提高，特别是随着Internet证券交易模式的出现，证券网络正逐渐具有了更大的开放性，其安全问题也正日益引起广大证券从业人员和投资者的高度重视。
    然而由于其网络结构和业务系统的复杂性，任何一个单纯的信息安全产品都不能全面的解决证券网络的安全问题，作为国内著名的信息安全解决方案提供商，广州红帆电脑科技有限公司面向金融证券业推出了全面解决方案及网络安全系列产品,包括防火墙系统、入侵检测系统、虚拟专用网系统、网络隔离系统、防病毒系统和数据恢复系统，从网络、系统、数据等多个层面解决证券企业的网络安全问题。
    证券网络的安全需求分析 证券网络是各种经济行为汇集的地方，网络安全问题将直接威胁上市公司、投资者、证券公司的经济利益。这个特点决定了证券网络安全系统所关注的重点：
    ◆ 网络可用性：网络是证券业务的载体，网络中断对于业务系统来说就意味着业务的中断，其带来的经济影响和社会影响都十分巨大，因此安全体系必须保证网络的持续有效的运行，防止对关键网络设施的入侵和攻击、防止通过消耗带宽等方式破坏网络的可用性。
    ◆ 业务系统的可用性：运行业务系统的各主机、数据库、应用服务器系统的安全运行同样十分关键，网络安全体系必须保证这些系统不会遭受来自网络的非法访问、恶意入侵和破坏；
    ◆ 数据机密性：保密数据的泄密将直接影响导致数据拥有者和相关机构（或人员）的经济利益。网络安全系统必须保证这些机密信息在传输时的保密性。
    ◆ 访问的可控性：对关键网络、系统和数据的访问必须得到有效的控制，这要求系统能够可靠确认访问者的身份，谨慎授权，并对任何访问进行跟踪记录。
    ◆ 灾难恢复能力：业务数据是政权企业的战略性资源，经常性的备份以及快速、精确的恢复可以使系统遭到灾难性破坏时将经济损失降低到最低的程度。
    针对以上的安全需求分析，网络安全保护系统应该具备如下的特征：
    ◆ 根据可信任程度的不同，对网络区域进行划分，不同区域间的访问要进行严格控制；
    ◆ 进入关键系统和关键区域必须经过可靠的身份鉴别；
    ◆ 安全系统整体具有充分的抗攻击能力；
    ◆ 系统具备多层面的完备的审计设施；
    ◆ 系统对于异常事件足够敏感，使整个防御体系在遇到威胁时能够及的做出正确的响应。
    ◆ 系统的安全策略可管理、并且易于管理；
   
    金融证券行业的网络安全解决方案
    网络安全体系的目标是保护网络的安全有效的运行，保护网络中的信息的保密性，其主要特点包括：
    系统本身高度可靠，具备识别和防范各类攻击的能力；值得信任的隔离网络和信息保密；支持多种身份鉴别手段，便于证券企业建立集中的身份管理系统；提供丰富的监控、审计和管理工具，使管理人员可以随时了解系统的安全状况并对安全事件迅速响应；
    金融证券行业的安全解决方案由下列产品构成：
    1， 防火墙：实施网络边界防护，保护内部局域网，提供应用级的安全保护，防止来自外部的入侵核攻击；
    2， 入侵检测系统：提供内部局域网关键区域的实时监测、入侵识别和应用级审计；
    3， VPN系统（网络密码机）：采用可靠的加密技术，提供异地区域网络之间的安全互连；
    4， 网络隔离系统：用于建立核心交易系统与Internet的可靠的交易数据通道；
    5， 网络防病毒系统：内部网络的病毒防范；
    6， 数据恢复软件：对业务数据和办公数据的安全保护。
    >> 防火墙系统
    作为保护企业内部网免遭外部攻击，最有效的措施就是在分别在企业系统内部网与外部广域网之间放置防火墙，通过设置有效的安全策略，做到对企业内部网的访问控制。不改变原来网络拓扑结构，且保证通讯速度不受较大影响，故推荐配置使用基于状态检测包过滤技术上的流过滤技术的防火墙。系统提供了丰富的GUI方式的管理（也支持命令行、串口方式的管理）和监控工具，能够方便的对系统进行安全策略配置、用户管理、在线监控、审计查询、流量管理等操作。同时支持远程集中管理。
    >> 虚拟专用网络系统（网络密码机）
    虚拟专网（VPN）技术是采用密码技术，使用IP隧道封装加密数据，进行信息加密传输，保证信息完整，并结合网络访问控制技术，抵抗各种外来攻击。在IP层实现了认证、数据加密、防止DOS攻击、访问控制以及审计等安全机制，从而使其成为安全可靠的网络信息安全传输工具。依据金融证券业的需要，东软推出了高安全强度和高可靠性的VPN系统，其系统可有效保护信息的传输安全和对企业内部网的非法访问和攻击，如侦听破译、篡改报文、重发或少发报文，冒名顶替、非法访问、旁路攻击、黑客攻击等等。
   
    系统功能：
    ◆ 采用国家政策许可的高强度的加密算法，实现数据传输的机密性保护；
    ◆ 利用完整性校验机制，实现数据的完整性保护；
    ◆ 完善的身份认证功能，确认发送方的身份；
    ◆ 完善的安全审计和日志功能；
    ◆ 采用专用安全操作系统，确保系统和算法的安全性；
    ◆ 透明接入，无需改变原有网络结构与配置；
    ◆ 加密实现是在IP层上，与具体的广域网协议无关，因此扩展性好；
    ◆ 全中文管理界面，易于配置与管理；
    >> 入侵检测系统
    作为防火墙的合理补充，入侵检测技术能够帮助系统对付网络攻击，扩展了系统管理员的安全管理能力（包括安全审计、监视、进攻识别和响应），提高了信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息，并分析这些信息。入侵检测被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行监测。入侵监测系统使用独创的数据包截取与分析技术，对网络中所有的通信进行分析，利用预装的攻击和漏洞信息库，使用统计和模式匹配的方法准确识别网络上的入侵和攻击行为。除了入侵识别和报警外，系统还提供了先进的网络信息审计和实时监控的能力，能够记录下网络中所有的HTTP、TELNET、FTP、SMTP、POP3通信的详细过程以便事后管理员检查通信中的非法操作。
    >> 网络隔离系统
    金融领域的交易网关通常采用串口隔离技术，但是由于其速度慢而不能满足大规模交易系统的要求。而网络隔离系统则是代替串口隔离的高速隔离系统。其原理是利用专门设计的特殊网络底层协议，隔离两端的普通网络通讯，保证可靠的交易数据的高速通过。由于嵌如在操作系统的核心，并采用了高速以太网借口，因而可以提供比串口隔离更好的安全性和更高的速度，从而满足大规模网络交易的要求。
    >> 防病毒系统
    企业系统中使用的操作系统有UNIX操作系统及WINDOWS操作系统。为了防止病毒的侵害，根据不同的操作系统类型，配备相应的防病毒系统，比如支持UNIX操作系统的防病毒软件、支持WINDOWS NT或WINDOWS 95/98的防病毒软件。通过这些软件所具有的实时检测功能，达到防范病毒侵害的目的。推荐选用Symantec公司的防病毒系统。

相关案例

• ·黑匣子监控系统[图]
• ·EZ-Lock易锁_文件加密保护系统[图]
• ·东育恒远远程教学资源解决方案[组图]
• ·DCI黑匣子网络安全监控系统[图]
• ·F1JEE ,J2EE业务基础软件和工作流平台[图]

• ·博商零售业网上商店系统解决方案
• ·蓝波物资管理系统——船舶行业软件产品
• ·总体规划下渤船重工管加工分厂的数字化工作
• ·中国舰船研究设计中心PDM系统实施与应用[图]
• ·博商零售业网上商店系统解决方案

推荐解决方案

领军企业实施案例

电子杂志订阅

赞助商链接