由于證券交易的特殊性,證券公司數據中心的重要性不言而喻,安全隱患的存在使得證券公司信息網絡往往面臨諸多的威脅。
關乎交易安全 證券公司數據中心容不得安全隱患
證券公司的交易代理業務,導致其信息網絡很容易成為黑客關注的焦點,使得證券公司的信息網絡往往會受到各種惡意攻擊和滲透。在中國證監會組織的證券行業安全大檢查中,證券公司信息網絡暴露了諸多的安全問題,包括門戶網站與網上交易被惡意攻擊;網上交易掛馬導致客戶資料被竊取;交易網與辦公網沒有隔離導致病毒傳播,影響交易;缺乏必要的災備手段等,這些問題引起了監管部門的高度重視。
曾有數據顯示,金融行業一直是黑客攻擊的焦點。證券數據中心服務器經常面臨網絡欺騙、病毒、入侵威脅等情況,且呈現逐漸成長的勢頭。證券公司數據中心易遭受的攻擊主要包括三類:一是來自黑客的攻擊,出于經濟利益,他們往往通過嗅探、滲透等手段,侵入數據中心服務器區,獲取并篡改相關數據,從而謀取利益;二是病毒傳染,作為數據交換的場所,數據中心經常會被病毒感染,為黑客攻擊創造了條件,同時很多時候病毒也會對數據中心網絡的正常運行帶來威脅;三是被攻陷的主機給數據中心服務器區帶來的安全威脅。
證券數據中心安全需求
為了保護投資人的權益,保護國家金融安全,我國相關部門已經就證券公司信息網絡建設提出了相應的政策標準和解決辦法,特別是證監會有關IT技術的相關政策標準,對信息網絡的安全系統進行了總體設計,其中在證監會發布的《證券期貨業務信息系統安全檢查貫徹落實指引》中提出,應對核心交易系統實施保護,對交易業務網引入有效的安全監控與管理措施,建立公司全面的信息系統安全防護體系,將“早發現,早報告,早處置“真正落實到實處。
對此,證券公司應在業務梳理的基礎上,針對支撐不同業務的信息網絡進行分區設計,然后針對各分區,從網絡安全的角度,在邊界進行有效隔離,綜合運用控制、檢測、審計、運維等技術手段,來提升證券公司生產服務器區的安全性。
證券數據中心的安全需求具體表現應該在以下方面,其一是滿足合規性需求,符合國家相關法律法規的執行標準;其二是實現有效邊界隔離與防護,包括各業務服務器區間的隔離,和服務器區內各層服務器間的隔離;其三是防范大規模蠕蟲病毒,在證券數據中心服務器區邊界上采取病毒檢測與隔離手段,很好的防范惡意代碼的傳入;其四是防范黑客的惡意攻擊,對此需要在證券數據中心服務器區邊界進行深度的安全檢測,有效鑒別并阻斷攻擊數據包,保障證券數據中心服務器區的業務訪問。
安全設備選擇建議
根據安全需求,證券數據中心服務器區的網絡安全建設需要引入有效的安全設備,作用在服務器區的邊界及其各層服務器間,對業務實現綜合性的防護。為此,如何對安全設備進行選擇,小編提出了以下的幾項建議:
首先是合規性,證券公司的業務特點是監管力度高,相關監管部門也出臺了對應的綜合安全防護要求,比如證券公司應對核心交易系統、網上交易系統等重要系統進行有效的隔離與保護,定期評估并發掘系統的漏洞,并采取措施來消除隱患等。因此,這也要求證券公司必須采取多種安全技術手段來進行防護,對此在進行設備選型時,設備可提供的安全防護功能應是證券公司首要考慮的因素。
其次是設備的可靠性,證券公司需要在引入安全設備時,要考慮安全設備對系統可靠性的支撐能力,包括設備對冗余環境的支持,設備的可靠性以及可擴展性,不但要能夠支持HA的全交叉部署模式,保障交易業務的連續,而且設備自身需有足夠的對抗意外事件的能力,比如支持雙操作系統;支持并行進程處理;支持端口聚合等,同時設備還需支持在未來幾年的業務擴展能力和設備性能可擴展能力。
再次是安全設備的審計能力,用于保證對關鍵業務的操作行為審計,對訪問行為進行記錄,規避股民的交易風險,提升系統安全。在本方面包括訪問會話統計、有效的攻擊行為統計和細粒度的流量分配統計三個方面,分別對訪問來源,會話數量,攻擊行為,傳輸流量,大流量預警等方面進行詳細的記錄,使系統管理人員能夠對證券公司信息網絡的安全態勢有直觀的了解。
最后是設備的可維護性,包括設備的分級管理能力、事件的統一上報能力和集中配置管理能力。方便網絡管理員在各節點對本地的安全設備,進行本地化管理的基礎上,能夠實現安全設備的集中管理,實時監測到數據中心內的安全設備,了解到設備的運行狀態,能夠將收集到得關鍵訪問日志進行上報,同時能夠通過統一的策略配置界面,將全局性策略下發到每臺安全設備上。
京公網安備 11010502049343號