【IT168 应用】由于证券交易的特殊性,证券公司数据中心的重要性不言而喻,安全隐患的存在使得证券公司信息网络往往面临诸多的威胁。Hillstone山石网科依据多年从事网络安全建设的经验,总结并分析了证券数据中心的网络需求,并对安全设备的选择提出了一些建议。
关乎交易安全 证券公司数据中心容不得安全隐患
证券公司的交易代理业务,导致其信息网络很容易成为黑客关注的焦点,使得证券公司的信息网络往往会受到各种恶意攻击和渗透。在中国证监会组织的证券行业安全大检查中,证券公司信息网络暴露了诸多的安全问题,包括门户网站与网上交易被恶意攻击;网上交易挂马导致客户资料被窃取;交易网与办公网没有隔离导致病毒传播,影响交易;缺乏必要的灾备手段等,这些问题引起了监管部门的高度重视。
曾有数据显示,金融行业一直是黑客攻击的焦点。证券数据中心服务器经常面临网络欺骗、病毒、入侵威胁等情况,且呈现逐渐成长的势头。Hillstone山石网科根据多年从事网络安全建设的经验分析认为,证券公司数据中心易遭受的攻击主要包括三类:一是来自黑客的攻击,出于经济利益,他们往往通过嗅探、渗透等手段,侵入数据中心服务器区,获取并篡改相关数据,从而谋取利益;二是病毒传染,作为数据交换的场所,数据中心经常会被病毒感染,为黑客攻击创造了条件,同时很多时候病毒也会对数据中心网络的正常运行带来威胁;三是被攻陷的主机给数据中心服务器区带来的安全威胁。
证券数据中心安全需求
为了保护投资人的权益,保护国家金融安全,我国相关部门已经就证券公司信息网络建设提出了相应的政策标准和解决办法,特别是证监会有关IT技术的相关政策标准,对信息网络的安全系统进行了总体设计,其中在证监会发布的《证券期货业务信息系统安全检查贯彻落实指引》中提出,应对核心交易系统实施保护,对交易业务网引入有效的安全监控与管理措施,建立公司全面的信息系统安全防护体系,将“早发现,早报告,早处置“真正落实到实处。
对此,Hillstone山石网科认为,证券公司应在业务梳理的基础上,针对支撑不同业务的信息网络进行分区设计,然后针对各分区,从网络安全的角度,在边界进行有效隔离,综合运用控制、检测、审计、运维等技术手段,来提升证券公司生产服务器区的安全性。
依据多年从事网络安全建设的经验,Hillstone山石网科认为证券数据中心的安全需求具体表现应该在以下方面,其一是满足合规性需求,符合国家相关法律法规的执行标准;其二是实现有效边界隔离与防护,包括各业务服务器区间的隔离,和服务器区内各层服务器间的隔离;其三是防范大规模蠕虫病毒,在证券数据中心服务器区边界上采取病毒检测与隔离手段,很好的防范恶意代码的传入;其四是防范黑客的恶意攻击,对此需要在证券数据中心服务器区边界进行深度的安全检测,有效鉴别并阻断攻击数据包,保障证券数据中心服务器区的业务访问。
安全设备选择建议
根据安全需求,Hillstone山石网科认为对于证券数据中心服务器区的网络安全建设,需要引入有效的安全设备,作用在服务器区的边界及其各层服务器间,对业务实现综合性的防护。为此,如何对安全设备进行选择,Hillstone山石网科提出了以下的几项建议:
首先是合规性,Hillstone山石网科认为证券公司的业务特点是监管力度高,相关监管部门也出台了对应的综合安全防护要求,比如证券公司应对核心交易系统、网上交易系统等重要系统进行有效的隔离与保护,定期评估并发掘系统的漏洞,并采取措施来消除隐患等。因此,这也要求证券公司必须采取多种安全技术手段来进行防护,对此在进行设备选型时,设备可提供的安全防护功能应是证券公司首要考虑的因素。
其次是设备的可靠性,证券公司需要在引入安全设备时,要考虑安全设备对系统可靠性的支撑能力,包括设备对冗余环境的支持,设备的可靠性以及可扩展性,不但要能够支持HA的全交叉部署模式,保障交易业务的连续,而且设备自身需有足够的对抗意外事件的能力,比如支持双操作系统;支持并行进程处理;支持端口聚合等,同时设备还需支持在未来几年的业务扩展能力和设备性能可扩展能力。
再次是安全设备的审计能力,用于保证对关键业务的操作行为审计,对访问行为进行记录,规避股民的交易风险,提升系统安全。在本方面包括访问会话统计、有效的攻击行为统计和细粒度的流量分配统计三个方面,分别对访问来源,会话数量,攻击行为,传输流量,大流量预警等方面进行详细的记录,使系统管理人员能够对证券公司信息网络的安全态势有直观的了解。
最后是设备的可维护性,包括设备的分级管理能力、事件的统一上报能力和集中配置管理能力。方便网络管理员在各节点对本地的安全设备,进行本地化管理的基础上,能够实现安全设备的集中管理,实时监测到数据中心内的安全设备,了解到设备的运行状态,能够将收集到得关键访问日志进行上报,同时能够通过统一的策略配置界面,将全局性策略下发到每台安全设备上。
针对证券数据中心的安全设备选择,Hillstone山石网科提出了通过在数据中心服务器区汇聚层部署Hillstone高性能多核安全网关,对数据中心服务器区的访问进行有效防护与控制,从而保障上层应用的安全性,在此基础上,依托安全设备在服务器区收集访问信息、流量信息、设备运行信息、设备探测到安全事件信息,汇总起来统一提交给数据中心运管人员进行深入分析,从而有效掌控数据中心服务器区的安全运行状态,对存在的安全隐患进行快速定位和响应,并快速形成策略分发到服务器区的安全设备中,形成防护、检测与响应的闭环,从而实现以上安全需求。