集中交易系统整体安全解决方案
发布时间:2011-01-21   作者:启明星辰

1、背景概述


证券经纪业务是我国券商的主要业务,也是其重要的核心收入来源之一。因此,券商经纪业务经营模式的构建是否科学、合理,是否与其经营环境相适应,关系到券商盈利的高低甚至关系到其生死存亡。


近年来,随着证券市场的持续发展和证券行业竞争的加剧,经纪业务已开始进入“微利时代”,原先“坐商”式等客上门的服务方式已越来越不适应证券经纪业务发展的需要。因此,使券商真正有可能实现将来进行经纪业务以及对客户服务变革的数据大集中成了中国证券行业变革的热点。


金融业信息化在发展上有着基本一致的特点,一般都要经过三个主要阶段:第一阶段是以电子化代替手工劳动的“账务或交易电子化”阶段;第二阶段是网络互联和数据集中阶段,即“数据大集中”阶段;第三阶段是业务、管理和决策的全面信息化阶段,要对集中的数据进行全面分析,以支持以客户为中心的业务创新、管理和决策信息化,即“管理和决策信息化”阶段。证券业在交易电子化之后也将按金融业信息化的发展过程进行数据大集中。


据研究表明,80%的安全事件来自于内部,其可能的安全威胁分析如下:

 

内部人员由于缺乏责任心,或者由于不关心和不专注,或者没有遵循规章制度和操作流程而导致集中交易系统故障或被攻击;如,没有按照终端操作要求打补丁,或安装相应的防病毒软件,或没有及时升级病毒库,而导致使用的PC终端感染病毒后在内网进行传播,有可能会传染给集中交易系统主机,其严重后果会导致业务主机不正常运行,甚或宕机,影响集中交易系统的正常运行。


内部人员由于缺乏培训,专业技能不足、不具备岗位技能要求而导致集中交易系统故障或被攻击。如,缺乏安全意识,在感染病毒或受到攻击后,不能正确处理,而导致对集中交易系统的影响。


不满的或有预谋的内部人员对集中交易系统进行恶意破坏;采用自主的或内外勾结的方式盗窃机密信息或进行篡改,获取利益。如,越权访问,非法修改核心业务的数据库,破坏重要资产数据的完整性。
?

内部员工通过总部的办公网出口上互联网,若进行非法的上网行为操作(如访问非法网页,发表非法言论,通过信件或聊天软件泄漏公司内部商业秘密信息等),则会给公司的形象、信誉等无形资产造成损害,甚或是直接政治、经济上的损失。

 

2、设计原则

 

启明星辰公司在设计本技术方案时将严格遵从以下原则:合规性原则,区域等级原则,安全目标与效率、投入之间的平衡原则,整体均衡原则,可靠性和安全性原则,高扩展性原则,先进性原则,可管理性原则,规范化原则,实用性原则等。

 

3、安全理论指导

 

3.1、 安全域理论

 

安全域是将具有相同和相似的安全要求和策略的IT要素的集合。经过安全域的分析和整合,可以更好地体现一个机构的业务和网络的特征。

 

用安全域方法论为技术主线来阐述,从安全的角度来分析业务流的安全风险。通过安全域划分的方法,将网络系统按照业务流程的不同层面划分为不同的安全域,各个安全域内部又可以根据业务元素对象划分为不同的安全子域;针对每个安全域或安全子域来标识其中的关键资产,分析所存在的安全隐患和面临的安全风险,得出相应的安全防护措施和安全防护需求。分成以下步骤(如下图):
 

图1. 安全域划分步骤示意图

 

3.2、 动态安全模型

 

基于闭环控制的动态网络安全理论模型在90年代开始逐渐形成并得到了迅速发展,1995年12月美国国防部提出了信息安全的动态模型,即保护(Protection)—检测(Detection)—响应(Response)多环节保障体系,后来被通称为PDR模型。随着人们对PDR模型应用和研究的深入,PDR模型中又融入了策略(Policy)和恢复(Restore)两个组件,逐渐形成了以安全策略为中心,集防护、检测、响应和恢复于一体的动态安全模型。
 

 

图2. PDR模型

 

3.3、 安全保障总体框架

 

安全体系的建设不是盲目的,必须具有针对性、阶段性和延续性。启明星辰公司结合多年来从事网络安全建设的经验,借鉴国内外经验,总结出一套独有的安全保障总体框架,为网络的安全建设提供理论指导。
 

 

图3. 启明星辰信息安全保障总体框架图? 

 

首先对网络的资产和业务进行分析,根据资产和业务的价值,提供相应的安全防护,提高系统的投资回报率。
?

然后要针对分析面临的威胁进行分析,根据实际情况,采取相应的安全保障措施。

其中安全保障措施与三个方面,即人,过程,技术(简称PPT)相关,人是安全保障措施的首要因素,也是安全管理的中心,同时其也与安全组织息息相关,只有建立健全的安全组织,才有可能保障系统安全;过程是具体安全策略的体现,其中有静态与动态之分,策略就是静态过程的体现,运营则是动态策略的体现;技术可分为鉴别认证、访问控制、检测、监控和预警、审计跟踪、冗余恢复、内容安全,其又具体表现为相应的安全产品。

 

4、 方案总体设计

 

依据上述章节对集中交易系统安全安全需求分析和风险分析以及整体、动态的安全策略,结合目前实际情况,针对集中交易系统主要面临的被攻击行为,对它的信息安全保障体系进行总体设计。具体通过分区防护、立体防御、动态安全三个方面的详细设计,能防范网络中的攻击行为,抑制攻击行为带来的结果,从而消除攻击产生的负面影响,达到预期的信息安全目标。

 

4.1、 分区防护体系设计

 

系统的业务特性、安全需求和等级、使用的对象、面对的威胁和风险各不相同。针对当前系统,需要在支持业务不断发展的前提下,保证其系统的安全性。

安全服务域

 

安全服务域按其所提供的服务,分为两个安全子域(区):总部交易区、业务服务区。

 

服务区中包括承载服务的应用服务器和数据库服务器。从服务器所承载的业务的不同,其服务器域的安全级别也不相同,应选择不同安全强度的机制和技术予以保护。

安全接入域

 

安全接入域按其所提供的服务,分为楼层业务区、视频会议区、办公区,将其与其他的应用服务器、管理服务器都应进行逻辑隔离。

安全互联域

 

安全互联域分为外联区、网上交易系统区与广域网区。
?

安全管理域

 

安全运维服务区是为整个IT架构提供集中的安全服务,进行集中的安全管理和监控以及响应。如病毒监控中心、安全事件监控中心、网络管理中心、安全管理中心等。

 

在安全域的划分过程中,仅仅定义哪个系统属于哪个域是没有意义的,如果不同域之间、同域的不同系统之间没有完善的访问控制规则,域之间也就没有清晰的边界。所以我们还要建立、明确和整合各个域之间的边界,并制定域之间的访问控制策略,才能真正体现安全域划分的意义。

 

4.2、 立体防御体系设计

 

传统的安全只是通过各种控制措施有效的抑制各种威胁,并为将各种控制措施高效有序的结合在一起,本方案通过统一设计考虑边界、服务器、终端等方面的控制措施,将打造一个立体的防御体系。 

 

4.3、 动态安全体系设计

 

本方案中我们利用PDR的理论模型,通过安全管理平台将安全设备融合在一起,使他们发挥出的超常的效能。

 

安全管理平台以实用性和可扩展性为设计指导思想,将安全管理员从复杂的设备配置和海量日志信息中解脱出来,把精力专注于发现和处理各种重要安全事件;同时又将各自独立的安全设备组成为一个有机的整体,通过基于资产管理的事件关联分析和管理,及时发现安全风险、安全事件和业务安全隐患,并结合安全策略和安全知识的管理,提供多种安全响应机制,从而使得客户能够实时掌控网络的安全态势。

 

安全管理中心与各类安全设备形成一个完整的安全保障体系,从而实现了高效、全面的网络安全防护、检测和响应。它完全具备监控、预警、响应、追踪等功能,并具备可审计功能,即对内部安全管理人员的相关操作进行日志记录。
 

 

图4. 动态安全体系逻辑关系

 

通过IDS、漏扫等检测类设备实时发现信息系统中各资产的脆弱性,然后再通过UTM、网络设备、AV、终端管理、审计等防御类设备或系统软件实时了解各类告警信息,通过这两方面信息的结合发现风险或攻击,启动运维管理工作流程及时修改或增加相应的防护措施,抵御威胁或控制风险。

文章来源:
  • 公司总部 | 分支机构 | 法律声明 | 投资者关系 | 400-624-3900 800-810-6038
  • © 启明星辰1996-2015 版权所有 京ICP备05032414号 京公网安备110108003435号