|
近年来,国内证券行业获得了迅猛的发展,在国民经济中起着越来越重要的作用。当前,国内各证券公司已建成了全电子化的交易系统,覆盖了投资者开户、订单报送、交易撮合、市场监察、银证转账、清算交收等全部环节,为资本市场的快速发展提供了有力的支持,也适应了我国证券市场中小投资者多、覆盖地域广、换手率高等特点。 随着互联网的普及,基于Web架构的网上交易逐渐成为一种先进、便捷、实用的交易方式,目前,证券市场中60%以上的交易订单都通过网上交易实现,有的交易机构网上交易的比例甚至已经达到90%以上。其中,占证券公司总收入50%以上的证券经纪业务,更是高度依赖电子交易系统。因此,如何能为用户提供稳定、快捷的交易平台,同时保障用户信息的机密性,吸引更多用户加盟,对证券公司业务的发展至关重要。从社会角度来看,电子交易系统的安全稳定运行也是整个证券市场稳定发展的关键因素,因此也受到国家相关部门的高度重视。
【图1】证券公司一般网络结构 对证券公司一般网络结构(如图1)分析后发现,网上交易平台通过互联网向用户提供网上交易、实时行情、投资分析等服务;办公网内的用户通过互联网获取各种资源,因此网上交易平台和办公网成为整个网络中风险级别最高的两个点。 作为一种基于Web架构的应用,网上交易平台面临的风险主要包括拒绝服务攻击、缓冲区溢出攻击、Web应用攻击、SQL注入攻击及XSS跨站脚本攻击等。针对HTTP的拒绝服务攻击(如CC攻击等),将严重影响Web站点的正常访问,使合法用户不能得到响应,使用户的买卖无法及时完成;而缓冲区溢出攻击带来的后果则主要是蠕虫病毒的泛滥,更严重的攻击甚至可能导致整个系统被控制,重要的用户信息及交易信息遭到窃取,系统的稳定运行被破坏。与这两种攻击方式相比,更为严重的是SQL注入和XSS攻击。SQL注入和XSS攻击可以上传木马、篡改页面、窃取用户信息、甚至完全控制被攻击主机,但由于这两种攻击方式攻击过程复杂,因此防范十分困难。 针对网络中另一个高危险的点——办公网,面临的主要问题来自安全管理。因为内网中人员、应用繁多,P2P的泛滥严重侵蚀着有限的网络带宽;即时通讯软件(IM)与虚拟隧道成为了信息泄露的重要途径;在线网络游戏严重降低了工作效率。因此,在防范来自外网的蠕虫、木马、后门等攻击的同时,同样要关注内网上网行为的管理。 作为国内信息安全领军厂商,联想网御倾力打造入侵防护系统,采用了自主研发的VSP通用安全平台和USE统一检测引擎,将ASIC硬件检查、深度内容检测、安全防护、上网行为管理等技术完美地结合在一起,在有效防范外网攻击的同时,可以对内网上网行为进行细粒度的访问控制。因此,对证券行业用户而言,在网上交易服务器前及办公网的网络出口处各部署一台联想网御入侵防护系统(Power V IPS)便可以有效解决上述多种安全问题,真正实现“攘外也安内”的安全防护效果。(如图2)
【图2】Power V IPS部署示意图 在防范DoS及DDoS攻击方面,联想网御入侵防护系统并非单纯以总量计算数据包的方式统计,而是针对每个源IP在单位时间内符合报文特征的次数,综合进行判断,因此可以有效防范CC攻击,以确保合法用户顺利访问Web站点。
|
