由于證券交易的特殊性,證券公司數(shù)據(jù)中心的重要性不言而喻,安全隱患的存在使得證券公司信息網(wǎng)絡往往面臨諸多的威脅。Hillstone山石網(wǎng)科依據(jù)多年從事網(wǎng)絡安全建設的經(jīng)驗,總結(jié)并分析了證券數(shù)據(jù)中心的網(wǎng)絡需求,并對安全設備的選擇提出了一些建議。
關乎交易安全 證券公司數(shù)據(jù)中心容不得安全隱患
證券公司的交易代理業(yè)務,導致其信息網(wǎng)絡很容易成為黑客關注的焦點,使得證券公司的信息網(wǎng)絡往往會受到各種惡意攻擊和滲透。在中國證監(jiān)會組織的證券行業(yè)安全大檢查中,證券公司信息網(wǎng)絡暴露了諸多的安全問題,包括門戶網(wǎng)站與網(wǎng)上交易被惡意攻擊;網(wǎng)上交易掛馬導致客戶資料被竊取;交易網(wǎng)與辦公網(wǎng)沒有隔離導致病毒傳播,影響交易;缺乏必要的災備手段等,這些問題引起了監(jiān)管部門的高度重視。
曾有數(shù)據(jù)顯示,金融行業(yè)一直是黑客攻擊的焦點。證券數(shù)據(jù)中心服務器經(jīng)常面臨網(wǎng)絡欺騙、病毒、入侵威脅等情況,且呈現(xiàn)逐漸成長的勢頭。Hillstone山石網(wǎng)科根據(jù)多年從事網(wǎng)絡安全建設的經(jīng)驗分析認為,證券公司數(shù)據(jù)中心易遭受的攻擊主要包括三類:一是來自黑客的攻擊,出于經(jīng)濟利益,他們往往通過嗅探、滲透等手段,侵入數(shù)據(jù)中心服務器區(qū),獲取并篡改相關數(shù)據(jù),從而謀取利益;二是病毒傳染,作為數(shù)據(jù)交換的場所,數(shù)據(jù)中心經(jīng)常會被病毒感染,為黑客攻擊創(chuàng)造了條件,同時很多時候病毒也會對數(shù)據(jù)中心網(wǎng)絡的正常運行帶來威脅;三是被攻陷的主機給數(shù)據(jù)中心服務器區(qū)帶來的安全威脅。
依據(jù)多年經(jīng)驗積累 Hillstone山石網(wǎng)科分析證券數(shù)據(jù)中心安全需求
為了保護投資人的權(quán)益,保護國家金融安全,我國相關部門已經(jīng)就證券公司信息網(wǎng)絡建設提出了相應的政策標準和解決辦法,特別是證監(jiān)會有關IT技術(shù)的相關政策標準,對信息網(wǎng)絡的安全系統(tǒng)進行了總體設計,其中在證監(jiān)會發(fā)布的《證券期貨業(yè)務信息系統(tǒng)安全檢查貫徹落實指引》中提出,應對核心交易系統(tǒng)實施保護,對交易業(yè)務網(wǎng)引入有效的安全監(jiān)控與管理措施,建立公司全面的信息系統(tǒng)安全防護體系,將"早發(fā)現(xiàn),早報告,早處置"真正落實到實處。
對此,Hillstone山石網(wǎng)科認為,證券公司應在業(yè)務梳理的基礎上,針對支撐不同業(yè)務的信息網(wǎng)絡進行分區(qū)設計,然后針對各分區(qū),從網(wǎng)絡安全的角度,在邊界進行有效隔離,綜合運用控制、檢測、審計、運維等技術(shù)手段,來提升證券公司生產(chǎn)服務器區(qū)的安全性。
依據(jù)多年從事網(wǎng)絡安全建設的經(jīng)驗,Hillstone山石網(wǎng)科認為證券數(shù)據(jù)中心的安全需求具體表現(xiàn)應該在以下方面,其一是滿足合規(guī)性需求,符合國家相關法律法規(guī)的執(zhí)行標準;其二是實現(xiàn)有效邊界隔離與防護,包括各業(yè)務服務器區(qū)間的隔離,和服務器區(qū)內(nèi)各層服務器間的隔離;其三是防范大規(guī)模蠕蟲病毒,在證券數(shù)據(jù)中心服務器區(qū)邊界上采取病毒檢測與隔離手段,很好的防范惡意代碼的傳入;其四是防范黑客的惡意攻擊,對此需要在證券數(shù)據(jù)中心服務器區(qū)邊界進行深度的安全檢測,有效鑒別并阻斷攻擊數(shù)據(jù)包,保障證券數(shù)據(jù)中心服務器區(qū)的業(yè)務訪問。
一切為了安全 Hillstone山石網(wǎng)科提出安全設備選擇的建議
根據(jù)安全需求,Hillstone山石網(wǎng)科認為對于證券數(shù)據(jù)中心服務器區(qū)的網(wǎng)絡安全建設,需要引入有效的安全設備,作用在服務器區(qū)的邊界及其各層服務器間,對業(yè)務實現(xiàn)綜合性的防護。為此,如何對安全設備進行選擇,Hillstone山石網(wǎng)科提出了以下的幾項建議:
首先是合規(guī)性,Hillstone山石網(wǎng)科認為證券公司的業(yè)務特點是監(jiān)管力度高,相關監(jiān)管部門也出臺了對應的綜合安全防護要求,比如證券公司應對核心交易系統(tǒng)、網(wǎng)上交易系統(tǒng)等重要系統(tǒng)進行有效的隔離與保護,定期評估并發(fā)掘系統(tǒng)的漏洞,并采取措施來消除隱患等。因此,這也要求證券公司必須采取多種安全技術(shù)手段來進行防護, 對此在進行設備選型時,設備可提供的安全防護功能應是證券公司首要考慮的因素。
其次是設備的可靠性,證券公司需要在引入安全設備時,要考慮安全設備對系統(tǒng)可靠性的支撐能力,包括設備對冗余環(huán)境的支持,設備的可靠性以及可擴展性,不但要能夠支持HA的全交叉部署模式,保障交易業(yè)務的連續(xù),而且設備自身需有足夠的對抗意外事件的能力,比如支持雙操作系統(tǒng);支持并行進程處理;支持端口聚合等,同時設備還需支持在未來幾年的業(yè)務擴展能力和設備性能可擴展能力。
再次是安全設備的審計能力,用于保證對關鍵業(yè)務的操作行為審計,對訪問行為進行記錄,規(guī)避股民的交易風險,提升系統(tǒng)安全。在本方面包括訪問會話統(tǒng)計、有效的攻擊行為統(tǒng)計和細粒度的流量分配統(tǒng)計三個方面,分別對訪問來源,會話數(shù)量,攻擊行為,傳輸流量,大流量預警等方面進行詳細的記錄,使系統(tǒng)管理人員能夠?qū)ψC券公司信息網(wǎng)絡的安全態(tài)勢有直觀的了解。
最后是設備的可維護性,包括設備的分級管理能力、事件的統(tǒng)一上報能力和集中配置管理能力。方便網(wǎng)絡管理員在各節(jié)點對本地的安全設備,進行本地化管理的基礎上,能夠?qū)崿F(xiàn)安全設備的集中管理,實時監(jiān)測到數(shù)據(jù)中心內(nèi)的安全設備,了解到設備的運行狀態(tài),能夠?qū)⑹占降藐P鍵訪問日志進行上報,同時能夠通過統(tǒng)一的策略配置界面,將全局性策略下發(fā)到每臺安全設備上。
針對證券數(shù)據(jù)中心的安全設備選擇,Hillstone山石網(wǎng)科提出了通過在數(shù)據(jù)中心服務器區(qū)匯聚層部署Hillstone高性能多核安全網(wǎng)關,對數(shù)據(jù)中心服務器區(qū)的訪問進行有效防護與控制,從而保障上層應用的安全性,在此基礎上,依托安全設備在服務器區(qū)收集訪問信息、流量信息、設備運行信息、設備探測到安全事件信息,匯總起來統(tǒng)一提交給數(shù)據(jù)中心運管人員進行深入分析,從而有效掌控數(shù)據(jù)中心服務器區(qū)的安全運行狀態(tài),對存在的安全隱患進行快速定位和響應,并快速形成策略分發(fā)到服務器區(qū)的安全設備中,形成防護、檢測與響應的閉環(huán),從而實現(xiàn)以上安全需求。
京公網(wǎng)安備 11010502049343號