网络应用安全解决方案证券行业.doc
- 文档编号:338800
- 上传时间:2022-10-09
- 格式:DOC
- 页数:32
- 大小:864KB
网络应用安全解决方案证券行业.doc
《网络应用安全解决方案证券行业.doc》由会员分享,可在线阅读,更多相关《网络应用安全解决方案证券行业.doc(32页珍藏版)》请在冰豆网上搜索。
新一代高性能深度内容扫描网关
XX证券公司
网络应用安全建议书
稳捷网络技术有限公司
2010年7月
目录
一、 证券行业综述 3
1.1 证券信息系统重要性 3
1.2 证券信息系统必要性 4
二、 XX证券公司网络安全现状及需求分析 5
2.1 XX证券公司安全现状 5
2.2 XX证券公司安全需求 7
2.3 威胁来源 11
三、 XX证券公司安全解决方案 12
3.1 方案设计 12
3.2 解决方案 13
四、 BesecureNDP系列安全产品解决方案 17
4.1 产品介绍 17
4.2 功能描述 18
4.3 产品型号说明 19
4.4 BeSecure网络数据处理技术 19
4.5 BESECURE反恶意软件扫描技术 24
4.6 Web安全过滤技术 24
4.7 Email过滤技术 25
4.8 关键字过滤技术 27
4.9 BeSecure技术亮点 28
五、 技术支持和售后服务 31
5.1 厂家提供的增值服务 31
5.2 服务商提供服务 31
一、证券行业综述
90年代以来,我国证券期货业以其特有的魅力吸引了千百万投资者的热情参与,发展迅速,成为社会主义市场经济重要组成部分。
其间,证券业信息系统的电子化建设取得长足的进步。
在发行、交易、清算、信息披露、技术监控、信息咨询与服务等方面,计算机技术的应用深度和广度都大大扩展。
各证券经营机构已全部建立了电子化业务处理系统,计算机与网络通信技术成为支撑各项证券业务运转的关键设施。
证券业务共包括证券经纪、证券承销、自营、兼并与收购、咨询服务和基金管理等项业务。
上述证券经纪业务的各项功能、服务都由证券信息系统处理完成。
作为业务的载体,证券信息系统应具备一定的条件,才能满足证券业高质量服务和化解经营风险的目标要求。
目前国内的各大证券网络经过建设,都已经形成比较完善的综合网络,整体结构是—个通过WAN连接的多级网络,在网络每一级的节点上具有一个局域网,在多级网络上运行着证券业务系统、多媒体应用系统、办公自动化等。
由于证券业是个开放化,社会化的行业,其信息系统已经有封闭式转向了开放式系统,存在许多的不安全风险因素。
由于应用系统的复杂化,网络安全体系的建立和网络安全的全面解决方案更是迫在眉睫。
1998年中国证监会颁布了《证券经营机构营业部信息系统技术管理规范》和《关于加强证券机构计算机系统安全管理的通知》,明确要求证券业务处理系统必须保证数据的安全,实现业务与技术的分离、前台与后台分离、网络与数据分离。
中国证监会还针对网上交易部分制定了《网上证券委托暂行管理办法》,规定了证券公司应采取严格、完善的技术措施,确保网上委托系统和其他业务系统的安全性。
1.1证券信息系统重要性
证券信息系统是证券公司基本的基础建设,是证券业务正常进行的前提条件。
满足基本的安全要求,是网络成功运行的必要条件,在此基础上提供强有力的安全保障,是证券网络系统安全的重要原则。
证券网络内部部署了众多的网络设备、服务器,保护这些设备的正常运行,维护主要业务系统的安全,是证券网络的基本安全需求。
但是网络安全事件频频威胁到证券信息系统的安全,对证券行业的正常运作造成了极大的威胁。
无论是有意的攻击,还是无意的误操作,都将会给系统带来不可估量的损失。
攻击者可以窃听网络上的信息,窃取用户的口令、数据库的信息;还可以篡改数据库内容,伪造用户身份,否认自己的签名。
更有甚者,攻击者可以删除数据库内容,摧毁网络节点,释放计算机病毒等等。
由于内部工作人员能较多地接触内部信息,工作中的任何不小心都可能给信息安全带来危险。
这些都使信息安全问题越来越复杂。
另外在交易软件程序中出现漏洞导致风险的发生,其后果是也非常严重的。
最重要的风险是网络系统风险。
证券营业部的计算机系统是构建在一个内部网络平台之上的,利用网络平台使得证券营业部的计算机实现与服务器互连。
网络服务器内装有证券营业部所有的交易资料,因此网络系统的安全性至关重要,一旦网络系统被黑客进入,那么证券营业部的交易资料将成为黑客进行破坏的对象。
上海证券市场发生的“建工事件”就属于此种,黑客进入营业部交易系统,并将自制的程序加入系统中,使得上海建工股票出现超常大买单,由于交易所发现及时,并做了紧急处理,才使风险降到最小。
面对计算机网络的种种安全威胁,必须采取有力的措施来保证安全。
无论是在局域网还是在广域网中,网络的安全措施应是能全方位地针对各种不同的威胁和脆弱性,这样才能确保网络信息的保密性、完整性和可用性。
1.2证券信息系统必要性
在目前的证券业中,电脑系统维护部门和财务部门已经成为支撑证券公司的两大支柱,系统维护部门尤其承受着巨大的压力,一旦系统出了故障,将给证券公司造成巨大的经济损失。
面对这样巨大的压力,证券公司的信息化建设一直是在左右摇摆中缓步而行,一方面希望尽快利用新的计算和网络技术提高股票交易效率,方便股民炒股,扩大自身的知名度,从而吸引更多的人加入股民的行列;另一方面又担心技术的不成熟或管理不到位会引发更多的系统问题,造成巨大的经济损失。
尤其是出于对网络安全方面的顾虑,大多数券商采取了谨慎的态度,内部交易网和外部网采取的是物理分离的方式,防止外来的侵袭。
除此之外,证券信息安全化对安全管理的需求也在不断增加。
除了建立好基本的信息化应用系统外,如何使这套系统实现设定的目标,牵扯到证券公司的信息制度建立和管理问题。
由于证券行业的信息系统是实现证券交易经纪业务的核心系统,其安全性直接关系到证券市场的稳定发展和证券经营机构及广大投资者的切身利益。
同时更加中国证监会颁布的《证券经营机构营业部信息系统技术管理规范》和《关于加强证券机构计算机系统安全管理的通知》,《网上证券委托暂行管理办法》等法规也明确要求证券系统必须保证数据的安全,实现三分离等原则。
所以说证券行业的信息系统安全性建设具有高度的必要性。
二、XX证券公司网络安全现状及需求分析
XX证券股份有限公司(以下简称“公司”)公司总部设在广州,下设167家证券营业部和47家服务部总计214个营业网点。
营销网络分布在全国29个省、自治区、直辖市的62个中心城市,直接为400余万客户服务,客户总资产5000多亿元。
旗下拥有XX期货经纪公司。
公司的经营范围包括:
证券经纪;证券投资咨询;与证券交易、证券投资活动有关的财务顾问;证券承销与保荐;证券自营;证券资产管理。
公司被亚太著名金融杂志《金融亚洲》、《亚洲货币》同时评选为2006-2008财年“中国内地最佳经纪业务机构”、“中国内地最佳债券承销机构”和“2009年度中国最佳债券承销商”。
2.1XX证券公司安全现状
XX证券公司在全国范围内经营业务,网络庞大、结构复杂,典型业务模式有柜台交易、自助委托、电话委托、网上委托等。
各证券营业部和总部通过计算机网络将交易所、证券公司与交易者三方连接在一起,共同完成证券交易,并实现行情、交易、结算、办公等各个环节的自动化。
一个典型的证券公司网络由四个部分组成:
总部网络、营业部网络、银证交易系统和网站系统。
如下图:
XX证券公司由于自身经营的特点,在安全要求方面一般比较高,在安全设计上要充分考虑到影响网络安全的因素,保证网络具有较高的可靠性、保密性,对病毒、黑客攻击有较强的防御能力。
随着证券行业的发展和网络规模的扩大,网络病毒的种类越来越多,木马、病毒、黑客等对网络进行攻击的事件越来越多,这些安全方面的威胁对证券行业的网络造成越来越大的影响,而且证券行业代表的是广大股民的利益,一个安全的交易网络也能够增强股民对证券公司的信心。
其中,证券交易网站服务器的安全是重中之重。
网站因需要被公众访问而暴露于因特网上,由于处于一个相对开放的环境中,加之各类网页应用系统的复杂性和多样性导致系统漏洞层出不穷,极易成为黑客的攻击目标。
根据CNCERT调查报告显示,2007年上半年,中国大陆被篡改网站的数量相比往年处于明显上升趋势,被篡改网站总数达到28367个,比去年全年增加了近16%。
而仅在2007年11月1日至30日,大陆地区被篡改网站的数量就达到了5499个,较上月增加537个,其中代号为“Kml!
”和“@SL@N_BEY”的攻击者对大陆网站进行了大量的篡改。
针对金融类网站的攻击事件也呈不断上升趋势。
2005年,美国爆发了当今最大的金融数据泄密事件,有黑客侵入了为万事达、Visa、AmericanExpress和Discover服务的“信用卡第三方付款处理器”的网络系统,造成4000多万信用卡用户的数据资料被窃;2006年,某犯罪组织竟然在某银行的证券交易服务器内成功植入了木马程序,每隔0.5秒扫描一次,凡是此时登陆的客户,其帐号和口令通通被窃取,这一事件甚至惊动了国务院……。
因此,提高证券交易网站的安全性刻不容缓。
下图是2009年网络安全事件类型分布,可以看得出现在的攻击主要集中在应用层,WEB应用的攻击居于首位:
网页篡改、网络仿冒,恶意代码等等。
基于网络层的防护如防火墙对动态的应用层攻击已无能为力。
2.2XX证券公司安全需求
证券网络是各种经济行为汇集的地方,网络安全问题将直接威胁上市公司、投资者、证券公司的经济利益。
这个特点决定了证券网络安全系统所关注的重点:
1、网络可用性:
网络是证券业务的载体,网络中断对于业务系统来说就意味着业务的中断,其带来的经济影响和社会影响都十分巨大,因此安全体系必须保证网络的持续有效的运行,防止对关键网络设施的入侵和攻击、防止通过消耗带宽等方式破坏网络的可用性。
2、业务系统的可用性:
运行业务系统的各主机、数据库、应用服务器系统的安全运行同样十分关键,网络安全体系必须保证这些系统不会遭受来自网络的非法访问、恶意入侵和破坏;
3、数据机密性:
保密数据的泄密将直接影响导致数据拥有者和相关机构(或人员)的经济利益。
网络安全系统必须保证这些机密信息在传输时的保密性。
4、访问的可控性:
对关键网络、系统和数据的访问必须得到有效的控制,这要求系统能够可靠确认访问者的身份,谨慎授权,并对任何访问进行跟踪记录。
5、灾难恢复能力:
业务数据是政权企业的战略性资源,经常性的备份以及快速、精确的恢复可以使系统遭到灾难性破坏时将经济损失降低到最低的程度。
针对以上的安全需求,网络安全保护系统应该具备如下的特征:
1.根据可信任程度的不同,对网络区域进行划分,不同区域间的访问要进行严格控制;
2.进入关键系统和关键区域必须经过可靠的身份鉴别;
3.安全系统整体具有充分的抗攻击能力;
4.系统具备多层面的完备的审计设施;
5.系统对于异常事件足够敏感,使整个防御体系在遇到威胁时能够及的做出正确的响应。
6.系统的安全策略可管理、并且易于管理;
7.应用和数据库安全,包括数据库漏洞扫描,数据库安全管理。
8.数据和内容安全,包括防恶意软件如间谍软件、广告软件、篡权工具、后门、拨号器、键盘记录器、密码偷窃,网页挂马,反垃圾邮件,内容过滤,防数据泄漏等WEB应用安全网关。
基于以上特点,在考虑XX证券公司的信息安全时,应从以下几个方面来考虑网络安全风险问题和应对策略:
Ø网络安全风险
证券网络系统的安全风险主要来自网络设施物理特性的安全、网络系统平台的安全、网上交易的安全、数据存储的安全。
Ø物理安全风险
l由于水灾、火灾、雷击、粉尘、静电等突发性事故和环境污染造成网络设施工作停滞。
l人为引起设备被盗、被毁或外界的电磁干扰使通信线路中断。
l电子、电力设备本身固有缺陷和弱点及所处环境容易在人员误操作或外界诱发下发生故障。
Ø系统安全风
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 网络 应用 安全 解决方案 证券 行业