证券内联网防火墙安全系统方案(编辑修改稿)

证券内联网防火墙安全系统方案(编辑修改稿)内容摘要：

............................................................................................ 92 预置包过滤规则集 .............................................................................................. 93 总结 .............................................................................................................................. 93  北大方正集团、方正数码公司简介 北京北大方正集团公司是北京大学创建的高新技术企业。 方正集团拥有３个控股的上市公司，方正（控股）有限公司 、 方正数码有限公司 、 上海方正延中 科技集团股份有限公司， 17 家独资、合资企业。 员工总数约 6000 人，总资产 50 亿元， 2020 年销售规模达 101 亿元。 1997 年， 方正 集团已成为国家 120 家大型试点企业集团之一，国家首批６家技术创新试点企业之一，国家重点支持的５家 PC 生产厂家之一。 创造科技与文明，是北大方正的一贯宗旨，集团坚持以人为本 的宗旨 ， 以 创新为先导，产 、 学 、 研结合，不断以优质产品和技术服务于社会。 方正数码有限公司（ ECFounder Co., Ltd.）是从事发展互联网应用技术及电子商务的软件技术公司。 其业务专注于互联网 安 全产品及网络安全服务 等 领域 ，是互联网时代的软件技术公司。 方正数码借助技术、研发方面的优势，借鉴世界上最先进的管理运作经验，定位于 电子商务赋能者 （ emerce enabler），用不断创新的技术与 优质的 服务赋予客户新经济时代可持续发展的能力，帮助政府、 证券、金融、 行业、企业、网站、电子商务的运营者运用先进技术和高效管理手段在互联网时代健康发展，取得成功。 方正数码有限公司的业务围绕 在 互联网安全技术应用、 网络安全服务 及 网络安全 知识管理等主要领域，在技术开发、应用解决方案和运营 服务方面为用户提供先进 的网络安全产品和 技术。 为此方正数码推出 SHARKS 互联网安全解决方案。 SHARKS 解决方案是在深入的研究后，提出的一套基于中国国情、全部自主开发、具有领先优势的解决方案。 它是一套整体的集群平台，可以解决企业最为关切的安全性、高可靠性、可扩展性和易于远程管理的问题。 目前这套方案已经得到国家有关部门的大力支持，被国家经贸委列为国家创新计划项目之一，还得到了国家“ 863”计划的肯定与支持。 方正方御防火墙是 SHARKS 安全解决方案中的主要安全产品之一。 方正方御防火墙凭借其独特的技术优势，在 保证系统自身的安全性的同时又保证了其运行效率。 方正方御防火墙中还融入了入侵检测技术，可以有效地防范攻击企图的试探；另外利用先进的 III 技术，方正方御防火墙可以有效滤除著名的 DDoS 攻击，正是这种攻击曾迫使包括美国雅虎在内的若干世界最大的网站停止服务。 除防火墙之外，方正数码有限公司还向用户提供 VPN、安全扫描系统、入侵检测系统（ IDS）等安全产品及方案，从多层次、多角度、全方位保护用户的网络。 在立身自主开发外，方正数码还与 CA、 ISS、 Symantec 等众多国际知名的安全公司保持着良好的合作关系，集成国内外 最优秀的公司安全产品，为国内Inter 的安全建设保驾护航。  网络证券业务分析 证券业务是改革开放以来，金融系统中增长最快的业务之一，它从无到有，从小到大。 在证券交易所注册开户的用户飞速增长，而关心证券交易的人更是成倍的增长，不论大人还是小孩，似乎都知道证券一词。 传统的证券交易大概需要以下几个步骤：首先，需要到证券交易机构注册开户；其次，需要将用户的资金从银行转入证券交易的账户中；第三，进行证券信息处理和各种交易。 然而在传统的证券交易中，用户需要到证券营业厅进行交易或通过电话等手段进行交易，虽然其交 易速度很快，但是和计算机网络相比仍然是小巫见大巫。 由于不用担心支付手段、不用担心实物配送等原因，证券业是最适合使用互联网的行业之一。 网络证券交易，就是要将传统的证券交易转变为以计算机互联网络为基础的交易方式。 用户可以充分利用 Inter 或无线互联网的优势，快捷方便的进行交易。 网络证券交易主要业务包括以下几个方面： 用户注册开户 网上身份验证 证券信息浏览 在线证券交易 证券交易和用户的网络化管理维护 与安全相关业务： 在以上几个方面中，用户的网上身份验证、证券信息传输、在线交易和在线管理与维护是非常 需要安全保护的，而用户的注册开户是要到证券机构进行申请的，所以不涉及网络的安全性的。 涉密信息： 上面我们分析了需要安全保护的网络证券交易业务，那么，哪些信息是涉及加密的呢。 首先，用户的身份、账户等信息是用户进行交易是需要进行验证的，这些信息若被窃取或破坏，不但无法进行网上的交易，更为严重的可能直接影响用户使用传统形式进行交易，所以需要安全加密；其次，交易数据是涉及用户直接的经济利益，也是需要安全加密的；第三，网络证券交易的管理与维护是网络化的，而这些信息是直接关系到网络证券交易系统自身的安全性的，这些信息 是需要安全加密的。 经过分析，涉密信息主要有用户信息、交易数据、管理信息三个方面。 网络证券的管理模式： 由于网络证券交易时使用 Inter 或无线互联网，用户信息，证券信息，交易数据等是由多台不同的服务器来承担的，同时在其上要运行多种服务的，所以应该采用集中管理的方式对网络证券交易进行管理，这样能减轻管理员的劳动强度，提高工作效率。 安全风险及威胁： 前面我们分析了网上证券交易需要安全保护的业务，也分析了有哪些是涉密信息。 通过这些分析我们可以很容易的得出网络证券交易的安全风险及威胁来自以下几个方面： 用户信息会受到黑客的窃取、破坏以及病毒的破坏 交易数据会受到黑客的窃取、破坏以及病毒的破坏 系统信息会受到黑客的窃取、破坏以及病毒的破坏 服务的正常运行会受到黑客的攻击、破坏以及病毒的破坏 系统安全目的： 通过以上的分析，网络证券交易系统的 安全目的是 ： 要保护用户的信息和数据、系统的资源和信息不被非法窃取和破坏，保护各项网络服务能正常运转，免受入侵和攻击。  网络证券安全需求分析 前面分析了网络证券业务是需要安全保障的。 由于证券业自身的特殊性，对安全性也有不同于其他行业的要求。 网络证券业务中对安全的要求为 安全性 、高效性、可靠性、可伸缩性、易于使用性和安全服务体制。  安全性 证券的网上交易往往涉及巨额资金，一旦受外部攻击造成系统中断，或网络犯罪使信息泄露，将会造成重大损失。 证券的网上交易的安全性主要有以下几个方面： 网络环境、操作系统与数据的安全性 证券交易通过网络来实现，如果这个网络环境直接暴露于 Inter 上，那么将是可怕的，所以我们需要用 防火墙 来隔离 Inter 和网络证券交易系统。 由于防火墙能够阻挡黑客的攻击行为和异常的网络事件，这样可以保护我们的网络交易环境、网络中计算机的操作系统和数据。 防火墙是网 络安全的第一道屏障，单有防火墙是不能进行全面保护的，我们还需要 入侵监测系统（ IDS） 来对黑客的攻击进行报警和自动防范，并使用 防病毒模块 来保证我们的操作系统和存储的数据免遭病毒的侵害。 系统的数据和用户的数据有可能遭到破坏，那么需要 应急恢复系统 ERS 来帮助解决这些问题。 用户标识与鉴别，抗抵赖程度 用户在网上进行证券交易前，必须要用到自己的身份信息，而这些信息必须加以保护，以防止被不法之徒窃取或利用给用户造成不必要的损失。 为此，在登录环节就要开始实施防护。 为达到保护目的，使用 CA 技术，利用数字证书来确保双方是可 以互相信任的。 并需要使用 加密 措施来保护用户的标识。 密码支持的安全程度和可信信道的安全性 整个信息传输过程使用 SSL进行加密传输，传输信息和存储信息加密后，就把计算机数据变成一堆无规律的、杂乱无章的字符。 攻击者即使得到经过加密的信息即密文、也无法辨认原文，防止信息被窃取。 交易服务的防攻击能力 保护证券交易的各项网上服务正常的运行，能过滤主要的攻击和异常的网络事件，使用防火墙来完成要求；保护用户的数据和交易的信息不被非法窃取、破坏，拥有入侵检测系统（ IDS）进行预警和自动防护，防治病毒的破坏，在紧急情况 下能获得最快的服务响应  高效性 证券的网上交易集中在几个特定的时段，对系统的反应速度有相当高的要求。 要求安全系统具有优秀的数据吞吐能力，在保证安全的同时，效率的损失要减到最小。 需要达到这个要求，就需要防火墙和 IDS 系统尽可能小的对网络的吞吐量产生影响。 而我们向用户提供的防火墙产品和 IDS 产品在安装到系统中去后能够完美满足用户的要求，这主要来自 产品的优秀性能和针对行业的专门设计 ，具体性能请参看产品介绍与性能参数。  可靠性 在服务致胜的今天，服务的中断就意味着风险。 在 Inter 上，早已不再沿用传统上朝九 晚五的商业时间。 365 24 7 的不间断运营对系统的可靠性提出了挑战。 可靠性主要表现在： 安全功能和机制的可靠程度 在网络环境下，安全功能和机制本身就会成为黑客入侵和破坏的目标，所以安全的可靠性成为网络安全不可缺少的一环。 只有在保证了安全功能和机制自身安全下，才能更好的保护网络的安全性。 对于防火墙来讲，使用双机热备的方法是目前最可靠，最实用的提高可靠性的手段。 数据存储的可靠程度，数据的备份与恢复 除了安全功能和机制的可靠性外，数据存储的可靠性也是不可忽视的重要环节。 这就必须使用备份与恢复系统，来确保数据损 坏后能及时的恢复。  可伸缩性 证券网络会随着证券业务的发展而迅速壮大。 一个优秀的安全解决方案必须从开始就考虑到这种需求。 系统需要基于高可伸缩便于扩充的集群构架。 以跟上券商发展的脚步，防止出现大量的设备淘汰造成的资源浪费。  易用性 不易使用的安全系统是不安全的。 充斥着英文术语的管理界面会大大的增加系统管理人员的工作量，也容易导致不应有的漏洞的出现或安全策略的僵化。 易用性主要包括： 要界面清晰易懂 方便的集中管理 安全性的实时监控。  完善的服务体制 券商不是专业的安全公司。 不可能随时全面的跟踪安全动态。 安全是动 态的过程，今天安全的系统明天就可能不安全，这就要求提供安全方案的公司有优秀的服务体制进行跟踪服务。 再严密的系统也可能出现漏洞，当紧急事件发生时，能不能在最短时间内获得紧急响应服务经常决定了损失的大小，而且这种时候，需要的是极其专业的服务，没有强大开发实力的公司是无法满足这种需求的，而在国内没有开发部门的国外著名公司则往往鞭长莫及。  安全系统结构 为了满足上述需求，从安全方面就需以下模块： 防火墙、入侵检测、防病毒、CA 和加密。 在系统设计一级，就要考虑到各模块的位置。 同时，整个系统需要按照业务流程来进行设计。 多级用户身份验证 登录保护： 网上证券的用户与服务器之间需要建立一种信任关系。 必须要防止入侵者通过种种手段进行冒充和欺骗。 为此，在登录环节就要开始实施防护。 首先使用 CA 技术，利用数字证书来确保双方是可以互相信任的。 其次，在登录时进行用户名、密码验证。 整个登录过程使用 SSL 加密传输，防止登录信息被窃取。 密码保护： 对于前面提到的用户信息、交易数据、管理信息等涉密信息，提供全程的密码保护。 在系统访问层，通过授权和认证机制，保证涉密信息只提供给有访问权限的人员。 访问密码和交易密码分开，加强高敏感的 涉密信息的安全级别。 密钥密码体系 在网上证券应用中，使用基于公开密钥密码体系（ PKI）的加密安全体系。 其目的是保证以下四点： 可信任的服务器 可信任的用户 可信任的传输 不容抵赖的审计 使用密钥密码的主要目的是防止信息的非授权泄露。 加密用于传输信息和存储信息，把计算机数据变成一堆无规律的、杂乱无章的字符。 攻击者即使得到经过加密的信息即密文、也无法辨认原文。 因此，加密可以有效地对抗截收、非法访问数据库窃取信息等威胁。 为保证安全， 组合应用对称密码算法和非对称密码算法，对称密码算法用于信息加密、非对 称密码算法用于密钥分发、数字签名、完整性及身份鉴别等。 如果一个加密系统的加密密钥和解密密钥相同，或者虽然不相同，但是由其中任意一个可以很容易地推导出另一个，所采用的就是对称密码算法。 如果一个加密系统的加密密钥和解密密钥不相同、并且由加密密钥推导出解密密钥 (或者由解密密钥推导出加密密钥 )是计算上不可行的、所采用的就是非对称密码算法。 信息加密传输的实际过程包括四步 ： 第一步，信息发送方产生一个对称密钥，并将此密钥用信息接收方的公钥加密后，通过网络传送给接收方。 第二步，信息发送方用对称密钥将需要传输的文件加密 后，通过网络传送给接收方。 第三步，接收方用自己的私钥将收到的经过加密的对称密钥进行解密，得到发送方的对称密钥。 第四步，接收方用得到的对称密钥将接收到的经过加密的信息进行解密，从。