一、概述
网络以及其中运行的信息系统是证券行业的关键资源,随着证券业务的不断扩展,网络的规模和复杂度都在不断提高,特别是随着Internet证券交易模式的出现,证券网络正逐渐具有了更大的开放性,其安全问题也正日益引起广大证券从业人员和投资者的高度重视。
然而由于其网络结构和业务系统的复杂性,任何一个单纯的信息安全产品都不能全面的解决证券网络的安全问题,作为国内著名的信息安全产品厂商,东软软件股份公司面向金融证券业推出了全面解决方案及网络安全系列产品,包括防火墙系统、入侵检测系统、虚拟专用网系统、网络隔离系统、防病毒系统和数据恢复系统,从网络、系统、数据等多个层面解决证券企业的网络安全问题。
二、证券网络的安全需求
证券网络是各种经济行为汇集的地方,网络安全问题将直接威胁上市公司、投资者、证券公司的经济利益。这个特点决定了证券网络安全系统所关注的重点:
1、网络可用性:网络是证券业务的载体,网络中断对于业务系统来说就意味着业务的中断,其带来的经济影响和社会影响都十分巨大,因此安全体系必须保证网络的持续有效的运行,防止对关键网络设施的入侵和攻击、防止通过消耗带宽等方式破坏网络的可用性。
2、业务系统的可用性:运行业务系统的各主机、数据库、应用服务器系统的安全运行同样十分关键,网络安全体系必须保证这些系统不会遭受来自网络的非法访问、恶意入侵和破坏;
3、数据机密性:保密数据的泄密将直接影响导致数据拥有者和相关机构(或人员)的经济利益。网络安全系统必须保证这些机密信息在传输时的保密性。
4、访问的可控性:对关键网络、系统和数据的访问必须得到有效的控制,这要求系统能够可靠确认访问者的身份,谨慎授权,并对任何访问进行跟踪记录。
5、灾难恢复能力:业务数据是政权企业的战略性资源,经常性的备份以及快速、精确的恢复可以使系统遭到灾难性破坏时将经济损失降低到最低的程度。
针对以上的安全需求,网络安全保护系统应该具备如下的特征:
1.根据可信任程度的不同,对网络区域进行划分,不同区域间的访问要进行严格控制;
2.进入关键系统和关键区域必须经过可靠的身份鉴别;
3.安全系统整体具有充分的抗攻击能力;
4.系统具备多层面的完备的审计设施;
5.系统对于异常事件足够敏感,使整个防御体系在遇到威胁时能够及的做出正确的响应。
6.系统的安全策略可管理、并且易于管理;
东软面向证券行业的网络安全解决方案
东软的网络安全体系的目标是保护网络的安全有效的运行,保护网络中的信息的保密性,其主要特点包括:
系统本身高度可靠,具备识别和防范各类攻击的能力;值得信任的隔离网络和信息保密;支持多种身份鉴别手段,便于证券企业建立集中的身份管理系统;提供丰富的监控、审计和管理工具,使管理人员可以随时了解系统的安全状况并对安全事件迅速响应;
东软证券行业的安全解决方案由下列产品构成:
1、东软NetEye防火墙:实施网络边界防护,保护内部局域网,提供应用级的安全保护,防止来自外部的入侵核攻击;
2、东软NetEye入侵检测系统:提供内部局域网关键区域的实时监测、入侵识别和应用级审计;
3、东软NetEye VPN系统(SJW20网络密码计):采用可靠的加密技术,提供异地区域网络之间的安全互连;
4、东软NetEye网络隔离系统:用于建立核心交易系统与Internet的可靠的交易数据通道;
5、KILL防病毒系统:内部网络的病毒防范;
6、CA 数据恢复软件FinalData:对业务数据和办公数据的安全保护。
◆防火墙系统
NetEye防火墙3.0是东软NetEye防火墙产品系列中的最新版本,产品采用软、硬件一体化设计,采用具有自主知识版权的专用的安全操作系统。该系统在状态检测包过滤的基础上,采用了专门设计的TCP协议栈实现对应用协议信息流的过滤,能够实现在透明方式下的对应用层协议的控制能力。系统的整体结构严格按照国家应用级防火墙的最新标准设计,具备完善的身份鉴别、访问控制和审计能力。经国家权威部门检测,NetEye防火墙3.0符合GB/T 18019-1999(包过滤防火墙安全技术要求)和GB/T 18020-1999(应用级防火墙安全技术要求)两个标准的技术要求。
系统提供了丰富的GUI方式的管理(也支持命令行、串口方式的管理)和监控工具,能够方便的对系统进行安全策略配置、用户管理、在线监控、审计查询、流量管理等操作。同时支持远程集中管理。
系统实现了对攻击的识别模块,能够有效的防范多种DoS的攻击手段,并能够对攻击事件进行报警。同时为了保证用户网络的可靠运行,系统还实现了双机热备份的功能,并且主、备防火墙可以在1秒钟内完成切换。系统的高性能、高可靠性得到很多用户的肯定。
系统提供了架构于Stateful Inspection机制之上的透明代理的功能,对FTP、SMTP、HTTP等协议提供了细粒度的内容过滤功能。
系统主要功能特点:
●基于状态包过滤的流过滤:以包过滤的形态提供了强大的应用层保护能力。
●支持动态规则
●对网络访问的身份认证,支持第三方人证系统
●扩充的双向NAT
●完善的审计功能,包括对网络访问的记录
●攻击识别和报警
●支持VLAN Trunk(IEEE802.1Q)
●IP与MAC地址绑定
●灵活的流量管理和实时的流量控制
●网络实时监控
●双机热备
●便于使用的图形管理界面
●提供审计、管理、安全控制等多种管理角色和工具
●支持通过SNMP进行监控和接收报警信息
◆虚拟专用网络系统(SJW20网络密码机)
虚拟专网(VPN)技术是采用密码技术,使用IP隧道封装加密数据,进行信息加密传输,保证信息完整,并结合网络访问控制技术,抵抗各种外来攻击。在IP层实现了认证、数据加密、防止DOS攻击、访问控制以及审计等安全机制,从而使其成为安全可靠的网络信息安全传输工具。依据金融证券业的需要,东软推出了高安全强度和高可靠性的VPN系统NetEyeVPN,其系统可有效保护信息的传输安全和对企业内部网的非法访问和攻击,如侦听破译、篡改报文、重发或少发报文,冒名顶替、非法访问、旁路攻击、黑客攻击等等。
系统功能:
●采用国家政策许可的高强度的加密算法,实现数据传输的机密性保护;
●利用完整性校验机制,实现数据的完整性保护;
●完善的身份认证功能,确认发送方的身份;
●完善的安全审计和日志功能;
●采用专用安全操作系统,确保系统和算法的安全性;
●透明接入,无需改变原有网络结构与配置;
●加密实现是在IP层上,与具体的广域网协议无关,因此扩展性好;
●全中文管理界面,易于配置与管理;
◆NetEye入侵检测系统
作为防火墙的合理补充,入侵检测技术能够帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高了信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息,并分析这些信息。入侵检测被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行监测。
NetEye入侵监测系统是东软集团自主研发成功的具有自主版权的网络入侵监测系统。NetEye_IDS 1.0入侵监测系统使用独创的数据包截取与分析技术,对网络中所有的通信进行分析,利用预装的攻击和漏洞信息库,使用统计和模式匹配的方法准确识别网络上的入侵和攻击行为。除了入侵识别和报警外,系统还提供了先进的网络信息审计和实时监控的能力,能够记录下网络中所有的HTTP、TELNET、FTP、SMTP、POP3通信的详细过程以便事后管理员检查通信中的非法操作。
◆网络隔离系统
金融领域的交易网关通常采用串口隔离技术,但是由于其速度慢而不能满足大规模交易系统的要求。而网络隔离系统则是代替串口隔离的高速隔离系统。其原理是利用专门设计的特殊网络底层协议,隔离两端的普通网络通讯,保证可靠的交易数据的高速通过。由于嵌如在操作系统的核心,并采用了高速以太网借口,因而可以提供比串口隔离更好的安全性和更高的速度,从而满足大规模网络交易的要求。
本系统是用对接的100M以太网线代替串口通信,在网线上仅使用改造的LLC协议交换数据,禁止任何非LLC协议及建立在LLC之上的任何高层协议的使用。由于禁止任何网络层协议,其安全性与串口隔离相当,而通过速率则是串口方案的860倍,每秒通过的交易数达到了50000个。
持术特点
系统由两个通过100M以太网线连接起来的计算机构成,运行的操作系统是Linux。其中两个主机的操作系统核心经过改造,禁止在对接的网卡上使用任何高层协议。其中一台主机通过另一个网卡,连接到外部网络,作为交易网关与交易受理系统相连;另一台计算机连接到内部网络,通过TCP/IP访问交易系统。
本系统两个隔离主机采用了Linux操作系统,使用Linux操作系统,可以实现对底层进行严格控制,经过对操作系统底层的修改,可以严格限制其他协议的使用。从而保证了网络安全隔离,限制跨网访问。
本系统隔离两台主机之间不支持除LLC以外的任何协议,所以即使外部的计算机被入侵者控制,也无法通过网线访问内部主机。更不可能通过该网线构成连接内外网的网络层通路。所以这种隔离可以起到足够高的安全性。
◆防病毒系统
KILL的主动内核技术(ActiveK)是将已经开发的各种防病毒技术从源程序级嵌入操作系统和网络系统内核,实现无缝连接。如将实时防毒墙、文件动态解压缩、病毒陷阱、宏病毒分析器等功能,组合起来嵌入操作系统和网络系统,作为操作系统本身的一个“补丁”,与其浑然一体。这种技术可以保证防病毒模块从底层内核与各种操作系统、网络、硬件、应用环境密切协调,确保了在发生病毒入侵反应时,防毒操作不会伤及到操作系统内核,同时确保杀灭来犯的病毒。即使用户是一个全球性的大型异构网络,KILL也能自动探测到网络中的每一台计算机是否都安装了主动内核,是否都已升级到了最新版本,如果有一台计算机没有做到,KILL就能补上这个漏洞。用户所使用的计算机系统处于主动内核保护之下,任何已知病毒的入侵都会被KILL拒之门外,防患于未然。
系统功能
●VXD机制
VXD(虚拟设备驱动),是微软专门为Windows制定的设备驱动程序接口规范,专门用于管理系统所加载的各种设备。VXD不仅适用于硬件设备,Windows反病毒技术也需要利用VXD机制,这是因为VXD程序具有比其它类型应用程序更高的优先级,而且更靠近系统底层资源。只有这样,防病毒软件才有可能全面、彻底的控制系统资源,并在病毒入侵时及时报警。
●实时防治病毒
KILL实时防病毒技术能够作用于计算机系统整个工作过程中,随时防止病毒从外界侵入您的系统,全面提高了计算机系统整体的防护水平。KILL实时防病毒技术不但可以时刻检测和清除各种引导型和文件型病毒,还可以自动对压缩文件的内部进行查毒和杀毒。 KILL还支持用户自定义的压缩格式。通过用户添加的压缩文件扩展名,KILL可以自动解压这些压缩文件,同时进行病毒检测,避免留下防病毒的“死角”。KILL能够支持压缩工具的自解压功能,可以自动检测出可执行“自解压”文件内隐藏的病毒。
●病毒检测技术
KILL的特征代码检查方式应用病毒留在受感染文件中的病毒特征值(即每种病毒所独有的十六位代码集)进行检测。通过搜索带有这些代码的程序文件,特征代码扫描程序可以检测到已知的病毒。对于未知病毒和类似病毒的行为,KILL的探视扫描引擎采用启发式技术,可以检测出未知的计算机病毒。探视扫描引擎包含以下四种检测及分析手段:完整性检查 (Integrity Checking)——确定程序的内容是否因感染病毒而发生了改变;基于规则的动态分析器检测——观察程序的运行方式,以检测可疑的程序行为;中断监视——观察所有试图进行的程序系统调用,停止可能存在病毒的调用序列;宏病毒分析——能够充分阻止未知病毒特别是宏病毒对系统造成的威胁。
◆数据恢复系统
由于病毒,误操作,存储介质故障和黑客袭击造成重要数据丢失,使得数据安全的重要性日益提上人们的日程,为此东软的网络安全解决方案引入CA数据恢复软件FinalData.
当文件被误删除(并从回收站中清除)、FAT表或者磁盘根区被病毒侵蚀造成文件信息全部丢失、其他情况引起的FAT表或者磁盘根区不可读,以及磁盘格式化造成的全部文件信息丢失之后,FinalData都能够通过直接扫描磁盘读取并恢复出文件信息(包括文件名、文件类型、原始位置、创建日期、文件长度等),用户可以根据这些信息方便地查找和恢复自己需要的文件。
软件创造客户价值
东软以“软件创造客户价值”作为公司的经营理念,开发各种大型平台软件、中间件、开发工具与行业应用系统,面向国民经济与企业信息化建设提供全面解决方案,在电信、金融、社保、企业、电力、教育等重点行业拥有大型用户2000余家。随着东软的行业解决方案与用户核心业务结合得不断紧密,随着东软对信息安全技术和市场的不断把握,公司对用户在信息安全方面需求的理解也越来越深刻。凭借服务于金融行业丰富的应用经验, 以及在网络安全领域深厚的技术积累,东软将所有领先的软件技术和产品,为客户提供优化的、前瞻的解决方案,不仅满足客户的实际需求,而且为未来的需求奠定基础,从而具有最优的性价比.
完善的安全保障还来自完善的服务,服务是软件的生命,是软件实现价值的保证。作为一家专业的软件公司,东软将“为客户提供满意的服务”作为宗旨,通过在全国30多家分支机构,结成严密的服务网络,在全国31个城市开通了免费技术服务专线800 890 8000,在技术支持、用户培训及售后服务方面,向广大客户提供系统、全面、及时、周到和本地化的服务。作为国内最优秀的解决方案提供商之一,东软“软件创造客户价值”的理念及其完善的本地化服务体系赢得了广大用户的广泛认可。正是这些优势,为该安全解决方案在证券企业中的应用实施提供了强大的服务保障。