证券行业网络应用安全解决方案

新一代高性能深度内容扫描网关 XX 证券公司 网络 应用安全 建议书 稳捷网络技术有限公司 2010 年 7 月 新一代高性能深度内容扫描网关 目 录 一、 证券行业综述 . 3 1.1 证券信息系统重要性 . 3 1.2 证券信息系统必要性 . 4 二、 XX 证券公司网络安全现状及需求分析 . 5 2.1 XX 证券公司 安全现状 . 5 2.2 XX 证券公司安全需求 . 7 2.3 威胁来源 .11 三、 XX 证券公司安全解决方案 . 12 3.1 方案设计 . 12 3.2 解决方案 . 13 四、 Besecure NDP 系列安全产品解决方案 . 17 4.1 产品介 绍 . 17 4.2 功能描述 . 18 4.3 产品型号说明 . 19 4.4 BeSecure 网络数据处理技术 . 19 4.5 BESECURE 反恶意软件扫描技术 . 24 4.6 Web 安全过滤技术 . 24 4.7 Email 过滤技术 . 25 4.8 关键字过滤技术 . 27 4.9 BeSecure 技术亮点 . 28 五、 技术支持和售后服务 . 31 5.1 厂家提供的增值服务 . 31 5.2 服务商提供服务 . 31 新一代高性能深度内容扫描网关 一、 证券行业 综述 90 年代以来，我国证券期货业以其特有的魅力吸引了千百万投资者的热情参与，发展迅速，成为社会主义市场经济重要组成部分。其间，证券业信息系统的电子化建 设取得长足的进步。在发行、交易、清算、信息披露、技术监控、信息咨询与服务等方面，计算机技术的应用深度和广度都大大扩展。各证券经营机构已全部建立了电子化业务处理系统，计算机与网络通信技术成为支撑各项证券业务运转的关键设施。 证券业务共包括证券经纪 、证券承销、自营、兼并与收购、咨询服务和基金管理等项业务。上述证券经纪业务的各项功能、服务都由证券信息系统处理完成。作为业务的载体，证券信息系统应具备一定的条件，才能满足证券业高质量服务和化解经营风险的目标要求。 目前国内的各大证券网络经过建设，都已经形成比较完善的 综合网络，整体结构是 个通过 WAN 连接的多级网络，在网络每一级的节点上具有一个局域网，在多级网络上运行着证券业务系统、多媒体应用系统、办公自动化等。由于证券业是个开放化，社会化的行业，其信息系统已经有封闭式转向了开放式系统，存在许多的不安全风险因素。由于应用系统的复杂化，网络安全体系的建立和网络安全的全面解决方案更是迫在眉睫。 1998 年中国证监会颁布了证券经营机构营业部信息系统技术管理规范和关于加强证券机构计算机系统安全管理的通知，明确要求证券业务处理系统必须保证数据的安全，实现业务与技术的分离 、前台与后台分离、网络与数据分离。中国证监会还针对网上交易部分制定了网上证券委托暂行管理办法，规定了证券公司应采取严格、完善的技术措施，确保网上委托系统和其他业务系统的安全性。 1.1 证券信息系统重要性 证券信息系统是证券公司基本的基础建设，是证券业务正常进行的前提条件。满足基本的安全要求，是网络成功运行的必要条件，在此基础上提供强有力的安全保障，是证券网络系统安全的重要原则。 新一代高性能深度内容扫描网关 证券网络内部部署了众多的网络设备、服务器，保护这些设备的正常运行，维护主要业务系统的安全，是证券网络的基本安全需求。但是网络安全事 件频频威胁到证券信息系统的安全，对证券行业的正常运作造成了极大的威胁。 无论是有意的攻击，还是无意的误操作，都将会给系统带来不可估量的损失。攻击者可以窃听网络上的信息，窃取用户的口令、数据库的信息；还可以篡改数据库内容，伪造用户身份，否认自己的签名。更有甚者，攻击者可以删除数据库内容，摧毁网络节点，释放计算机病毒等等。由于内部工作人员能较多地接触内部信息，工作中的任何不小心都可能给信息安全带来危险。这些都使信息安全问题越来越复杂。另外在交易软件程序中出现漏洞导致风险的发生，其后果是也非常严重的。 最重要的风 险是网络系统风险。证券营业部的计算机系统是构建在一个内部网络平台之上的，利用网络平台使得证券营业部的计算机实现与服务器互连。网络服务器内装有证券营业部所有的交易资料，因此网络系统的安全性至关重要，一旦网络系统被黑客进入，那么证券营业部的交易资料将成为黑客进行破坏的对象。上海证券市场发生的“建工事件”就属于此种，黑客进入营业部交易系统，并将自制的程序加入系统中，使得上海建工股票出现超常大买单，由于交易所发现及时，并做了紧急处理，才使风险降到最小。 面对计算机网络的种种安全威胁，必须采取有力的措施来保证安全。无 论是在局域网还是在广域网中，网络的安全措施应是能全方位地针对各种不同的威胁和脆弱性，这样才能确保网络信息的保密性、完整性和可用性。 1.2 证券信息系统 必要 性 在目前的证券业中，电脑系统维护部门和财务部门已经成为支撑证券公司的两大支柱，系统维护部门尤其承受着巨大的压力，一旦系统出了故障，将给证券公司造成巨大的经济损失。 面对这样巨大的压力，证券公司的信息化建设一直是在左右摇摆中缓步而行，一方面希望尽快利用新的计算和网络技术提高股票交易效率，方便股民炒股，扩大自身的知名度，从而吸引更多的人加入股民的行列；另一方面又 担心技术的 新一代高性能深度内容扫描网关 不成熟或管理不到位会引发更多的系统问题，造成巨大的经济损失。尤其是出于对网络安全方面的顾虑，大多数券商采取了谨慎的态度，内部交易网和外部网采取的是物理分离的方式，防止外来的侵袭。 除此之外，证券信息安全化对安全管理的需求也在不断增加。除了建立好基本的信息化应用系统外，如何使这套系统实现设定的目标，牵扯到证券公司的信息制度建立和管理问题。 由于证券行业的信息系统是实现证券交易经纪业务的核心系统，其安全性直接关系到证券市场的稳定发展和证券经营机构及广大投资者的切身利益。同时更加中国证监会颁布的证券经 营机构营业部信息系统技术管理规范和关于加强证券机构计算机系统安全管理的通知，网上证券委托暂行管理办法等法规也明确要求证券系统必须保证数据的安全，实现三分离等原则。所以说证券行业的信息系统安全性建设具有高度的必要性。 二、 XX 证券公司 网络安全 现状及 需求分析 XX 证券股份有限公司（以下简称“公司”）公司总部设在 广州 ，下设 167家证券营业部和 47 家服务部总计 214 个营业网点。营销网络分布在全国 29 个省、自治区、直辖市的 62 个中心城市，直接为 400 余万客户服务，客户总资产5000 多亿元。旗下拥有 XX 期货经纪公 司。 公司的经营范围包括：证券经纪；证券投资咨询；与证券交易、证券投资活动有关的财务顾问；证券承销与保荐；证券自营；证券资产管理。 公司被亚太著名金融杂志金融亚洲、亚洲货币同时评选为 2006-2008财年“中国内地最佳经纪业务机构”、“中国内地最佳债券承销机构”和“ 2009年度中国最佳债券承销商”。 2.1 XX 证券公司 安全现状 XX证券 公司 在全国范围内经营业务，网络庞大、结构复杂，典型业务模式有柜台交易、自助委托、电话 委托、网上委托等。各证券营业部和总部通过计算机网络将交易所、证券公司与交易者三方连接 在一起，共同完成证券交易，并实现行情、交易、结算、办公等各个环节的自动化。一个典型的 证券公司 网络由四个部分组成：总部网络、营业部网络、银证交易系统和网站系统。 如下图： 新一代高性能深度内容扫描网关 XX证券 公司 由于自身经营的特点，在安全要求方面一般比较高，在安全设计上要充分考虑到影响网络安全的因素，保证网络具有较高 的可靠性、保密性，对病毒、黑客攻击有较强的防御能力。 随着证券行业的发展和网络规模的扩大，网络病毒的种类越来越多，木马、病毒、黑客等对网络进行攻击的事件越来越多，这些安 全方面的威胁对证券行业的网络造成越来越大的影响， 而且证券行业代表的是广大股民的利益，一个安全的交易网络也能够增强股民对 证券公司 的信心。 其中，证券交易网站服务器的安全是重中之重。网站因需要被公众访问而暴露于因特网上，由于处于一个相对开放的环境中，加之各类网页应用系统的复杂性和多样性导致系统漏洞层出不穷，极易成为黑客的攻击目标。根据 CNCERT调查报告显示， 2007年上半年，中国大陆被篡改网站的数量相比往年处于明显上升趋势，被篡改网站总数达到 28367个，比去年全年增加了近 16%。而仅在 2007年 11月 1日至 30日，大陆地区被篡改网站的数量就达到了 5499个，较上月增加 537个，其中代号为“ Kml!”和“ SLN_BEY”的攻击者对大陆网站进行了大量的篡改。针对金融类网站的攻击事件也呈不断上升趋势。 2005年，美国爆发了当今最大的金融数据泄密事件，有黑客侵入了为万事达、 Visa、 AmericanExpress和 Discover服务的“信用卡第三方付款处理器”的网络系统，造成 4000多万信用卡用户的数据资料被窃； 2006年，某犯罪组织竟然在某银行的证券交易服务 新一代高性能深度内容扫描网关 器内成功植入了木马程序，每隔 0.5秒扫描一次，凡是此时登陆的客户，其帐号和口令通通被窃取，这一事件甚 至惊动了国务院。因此，提高证券交易网站的安全性刻不容缓。 下图是 2009年 网络安全事件类型分布 ，可以看得出现在的攻击主要集中在应用层， WEB应用的攻击居于首位：网页篡改、网络仿冒，恶意代码等等。基于网络层的防护如防火墙对动态的应用层攻击已无能为力。 2.2 XX 证券 公司 安全需求 证券网络是各种经济行为汇集的地方，网络安全问题将直接威胁上市公司、投资者、证券公司的经济利益。这个特点决定了证券网络安全系统所关注的重点 : 1、网络可用性 :网络是证券业务的载体 ，网络中断对于业务系统来说就意味着业务的中断，其带来的经济影响和社会影响都十分巨大，因此安全体系必须保证网络的持续有效的运行，防止对关键网络设施的入侵和攻击、防止通过消耗带宽等方式破坏网络的可用性。 2、业务系统的可用性 :运行业务系统的各主机、数据库、应用服务器系统的安全运行同样十分关键，网络安全体系必须保证这些系统不会遭受来自网络的非法访问、恶意入侵和破坏 ； 3、数据机密性 :保密数据的泄密将直接影响导致数据拥有者和相关机构 (或 新一代高性能深度内容扫描网关 人员 )的经济利益。网络安全系统必须保证这些机密信息在传输时的保密性。 4、 访问的可控性 :对关键网络、系统和数据的访问必须得到有效的控制，这要求系统能够可靠确认访问者的身份，谨慎授权，并对任何访问进行跟踪记录。 5、灾难恢复能力 :业务数据是政权企业的战略性资源，经常性的备份以及快速、精确的恢复可以使系统遭到灾难性破坏时将经济损失降低到最低的程度。 针对以上的安全需求，网络安全保护系统应该具备如下的特征 : 1.根据可信任程度的不同，对网络区域进行划分，不同区域间的访问要进行严格控制 ； 2.进入关键系统和关键区域必须经过可靠的身份鉴别 ； 3.安全系统整体具有充分的抗攻击能力 ； 4.系统具备多层面的完备的审计设施 ； 5.系统对于异常事件足够敏感，使整个防御体系在遇到威胁时能够及的做出正确的响应。 6.系统的安全策略可管理、并且易于管理 ； 7.应用和数据库安全，包括数据库漏洞扫描，数据库安全管理。 8.数据和内容安全，包括 防恶意软件如间谍软件、广告软件、篡权工具、后门、拨号器、键盘记录器、密码偷窃，网页挂马，反垃圾邮件，内容过滤，防数据泄漏等 WEB 应用安全 网关 。 基于以上特点， 在考虑 XX 证券公司 的信息安全时，应从以下几个方面来考虑 网络安全风险 问题 和应对策略 ： 网络安全风险 证券网络系统的安全风险主要来自网络设施物理特性的安全、网络系统平台的安全、网上交易的安全、数据存储的安全。 物理安全风险 由于水灾、火灾、雷击、粉尘、静电等突发性事故和环境污染造成网络设施工作停滞 。 人为引起设备被盗、被毁或外界的电磁干扰使通信线路中断 。 电子、电力设备本身固有缺陷和弱点及所处环境容易在人员误操作或 新一代高性能深度内容扫描网关 外界诱发下发生故障 。 系统安全风险 系统风险在三个方面：网络系统、操作系统和应用系统 。 网络系统在设计实施不够完善，例如缺乏正确路由、网络的容量、带宽估计不足、对证券系统局域网没做 划分隔离以及关键网络设备没有冗余设计，一旦发 生故障，将直接影响网络系统安全。 网络系统缺乏安全可靠的网络通信协议和网络安全设备，使网络黑客容易利用网络设计和协议漏洞进行网络攻击和 信息窃取，例如未经授权非法访问证券系统内部网络、对电话网进行监听、对系统的安全漏洞进行探测扫描、远程登陆交易、行情服务器并对数据进行篡改、对通信 线路、服务器实施洪流攻击造成线路涌塞和系统瘫痪等。 网络操作系统，无论是 windowsunixnetware 各种商用操作系统，其国 外开发商都留有后门（ back door），目前 每种操作系统都发现有安全漏洞，一旦被人发现利用将对整个证券网络系统造成不可估量的损失。 办公 应用系统的风险主要是涉及不同地区、不同部门的资源有限共享时被内部人员不安全使用造成口令失窃、文电丢失泄密，以及在与外界进行邮件往来 、访问 WEB 网站 时带来病毒和黑客进入的隐患。 针对业务系统（包括业务管理系统、业务服务系统）的威胁主要来自于内、外界对业务系统非授权访问、系统管理权限丧失（由于用户 名、口令、 IC 卡等身份标志泄漏）、使用不当或外界攻击引起系统崩溃、网络病毒的传播或其他原因造成系统损坏、系统开发遗留的安全 漏洞等。 网上交易的安全风险 因特网是全球性公共网络，并不由任何一个机构所控制。 数据在因特网上传输的途径是不完全确定的。 因特网本身并不是一个完全安全可靠的网络环境。 在因特网上可能有人采用相似的名称和外观仿冒证券网站和服务器， 用于骗取投资者的数据资料。 新一代高性能深度内容扫描网关 如果用于证实投资者身份的数字证书和口令被窃取， 他人有可能仿冒投资者身份进行交易委托和查询。 在网上传输的指令、数据有可能 被某些个人、团体或机构通过某种渠道截取、篡改、重发。 但他们并不一定能够了解该数据的真实内容。 由于网络交易的非接触性 ，交易双方可能对 交易结果进行抵赖 。 在网上的数据传输可能因通信繁忙出现延迟，或因其它原因出现中断、停顿或数据错误， 从而使得网上交易出现延迟、停顿或中断。 网上发布的证券交易行情信息可能滞后，与真实情况不完全一致。 数据的安全风险 因内、外因素造成数据库系统管理失控或破坏使用户的个人资料和业务数据遭到偷窃、复制、泄密、丢失，并且无法得到恢复 网络病毒的传播 或其他原因造成存储数据的丢失和损坏 网站发布的信息数据（包括分析、预测性资料）有可能被更改、删除，给证券公司带来损失。 基础安全策略 对于一个良好的 安全体系的建立，必须拥有一个良好的安全策略，而所有的安全架构和安全防护措施，以及在次基础上实施的安全管理，都必须是建立在安全策略符合的基础上的。 针对 XX 证券公司 ，我们需要从几个方面考虑安全策略的建立。 IT 安全架构、IT 管理、紧急响应机制、自身管理人员和用户的安全教育和 IT 安全防护手段。 建立 XX 证券公司 IT 安全架构，则是构建一个 IT 模型，有效标识威胁来源，风险的定义和承担，必须对 XX 证券公司 的所有资源进行有效的标识和定义，进一步划分其风险的大小，同时，采用何种方式防护或者承担。 现代的安全体系的建立，是 和有效的管理机制无法分离的，单纯的技术手段已经无法保障一个系统的安全了。而管理体系中，很重要的一个因素将是人的因素，内部人员，外部人员和第三方人员、外部入侵者等构成了 XX 证券公司 的威胁的主要来源，必须有一套良好的管理机制来保障 XX证券公司 系统的安全运作。 任何防护手段都无法保障 100%的安全性，这已经是在安全领域内大家已经产生的共识。关键在于如何在发生安全事件以后，有没有一套紧急响应处理机制。 新一代高性能深度内容扫描网关 通过一个什么样的途径，由什么人人负责，由那些人参加，按照什么样的流程，采用什么样的手段来处理安全事件，是紧急响应机制 中定义的，同时，也能够保障发生了安全事件以后，将威胁和风险降到最低。 伴随着 IT 技术的发展，安全威胁也逐渐增长，新的安全漏洞和威胁也越来越多，对于 XX 证券公司 管理人员和用户本身的要求也越来越高，只有不断的加强对管理员和用户进行持续的安全教育，才能够有效降低安全风险。 安全体系 按照安全策略的要求及风险分析的结果，整个证券网络安全措施应根据证券网络的行业特点，按照网络安全的整体构想来建立，具体的安全控制系统由以下几方面组成： 2.3 威胁来源 当确定了防护对象后，再来考虑威胁的来源。针对 XX 证券公司 的网络结构现状，可看出威胁的来源主要在于 来自于广域网 Internet 的入侵 Internet 为 XX 证券公司 之间互联互通、外界使用 XX 证券公司 服务提供了极大的便利。但是，由于 Internet 的开放性，使得在享受各种便利的同时也面临着来自整个 Internet 世界的威胁。虽然将来可能在内部网访问 Internet 的入口处配置防火墙，但防火墙本 身在安全防护方面具存在一定的缺陷，即它只能提供静 新一代高性能深度内容扫描网关 态的、被动的保护，而对动态的 应用层 威胁 如恶意软件，垃圾信息， SQL 注入，垮站 脚 本攻击等等 无能为力。适当配置的防火墙虽然可以将非预期的信息屏蔽在外，但我们要访问 Internet、要收发 Email、要 通过 WEB 交易网站 向 外提供 证券 交易信息 ，就必须 防火墙上打开一些固定的的端口，这样入侵者还是可以利用这些打开的端口渗透到我们的内部网络，对我们的网络资源进行破坏，所以我们还是面临着来自外部世界的安全威胁。 来自于内部用户的入侵 XX 证券 公司 下属的分支机构，用户数量多、并 且地理分布广泛，收发电子邮件或上网获取信息已经成为工作中不可缺少的部分，由于各分支机构的网管水平不一，在网络安全特别是防病毒方面很容易出现漏洞，因此分支机构的用户更容易感染计算机病毒；如果分支结构的用户感染计算机病毒，不但对本分支结构造成影响，若不及时处理，病毒会迅速在整个 XX 证券 公司 内部扩散，也会对其他的分支结构及 XX 证券 公司 总部带来影响，因此提高 XX 证券 公司 下面分支结构网络的安全性对整个 XX 证券 公司 网络整体的安全性是非常重要的。 三、 XX 证券公司 安全解决 方案 3.1 方案设计 结合以上对 XX 证券公司 网络及网络安全隐 患的分析，结合稳捷科技公司多年安全防护的项目经验。对 XX 证券公司 网络安全提出如下建议： 1）增加基于 Web 的防病毒，防攻击能力。防止网络病毒，木马对内部用户的侵害，以及外部威胁对 web 服务器的注入攻击，同时要增加对内网到外网的Web 病毒，木马等恶意程序的检测，防止内部在不知情的情况下成为“黑客”的帮凶，成为新的网络攻击源。企业 Web 防护基本内容如下： 具备对 Web应用的病毒传播进行防护； 具备对 Web应用的间谍软件进行防护； 具备对 Web应用的网络钓鱼行为进行阻断； 具备对 Web应用的恶意 URL地址进行阻挡； 具备对 web服务器 SQL 注入以及跨站脚本攻击防护 ； 新一代高性能深度内容扫描网关 具备对 Web应用的非工作相关站点的访问进行控制。 2）增加基于 Email（ SMTP,POP3,IMAP）的防病毒，防攻击能力，防止恶意程序通过 Email 方式进行传播，同时增加垃圾邮件控制功能，保护宝贵的网络带宽资源，避免垃圾邮件对员工的骚扰。同时要增加对内网到外网的 Email 传输检测，防止 Email Server 在不知情的情况下成为网络“僵尸”，成为新的网络攻击源。建议 IDC Email 防护的基本内容如下： 具备对 Email应用的病毒传播进行防护； 具备对 Email应用的间谍软件进行防护； 具备对 Email应用的网络钓鱼行为进行阻断； 具备对 Email应用的垃圾邮件智能过滤功能； 具备对 Email应用的未知恶意程序启发式扫描功能； 3）增加基于常见网络数据传输协议（ FTP）的防病毒，防攻击能力，增加对用户频繁使用的 FTP 数据传输协议的控制能力，防止恶意程序通过 FTP 协议高速的特点，在短时间内大规模的扩散。从而对更多的无辜用户造成更大的危害。 3.2 解决 方案 本方案将从 WEB 应用安全的角度， 对来 自 Internet 外部 网络 和内部用户的入侵行为进行实时防御 ，保护 XX 证券公司的 邮件服务器、 FTP 服务器、证券交易 WEB 服务器以及对 XX 证券公司 办公网络系统的保护 以 免遭 网络钓鱼、病毒入侵、木马、恶意软件、垃圾邮件 等等攻击等因素 进行综合设计。 同时也保护了访问用户。 XX 证券 公司 下属的分支机构，用户数量多、并且地理分布广泛，收发电子邮件或上网获取信息已经成为工作中不可缺少的部分，由于各分支机构的网管水平不一，在网络安全特别是防病毒方面很容易出现漏洞，因此分支机构的用户更容易感染计算机病毒；如果分支结构的用户感染计算机病毒，不但对 本分支结构造成影响，若不及时处理，病毒会迅速在整个 XX 证券 公司 内部扩散，也会对其他的分支结构及 XX 证券 公司 总部带来影响，因此提高 XX 证券 公司 下面分支结构网络的安全性对整个 XX 证券 公司 网络整体的安全性是非常重要的。 稳捷 公司建议在 XX 证券 公司 的 总部和 各地分支 营业 机构的 Internet 出口处 新一代高性能深度内容扫描网关 部署 Besecure NDP WEB 安 全 网关 进行隔离，做到未雨绸缪，将各类恶意程序抵御 在 XX 证券公司 网络之外；防止各类垃圾邮件进入 XX 证券公司网络 内部， 防止外部以及内部感染肉鸡对 WEB 服务器的篡改攻击 。 同 时 总部 交易网的 Internet的入口处 ，部署 稳捷 公 司 NDP WEB 安 全 网关 产品能够对通过 HTTP 协议访问网页进行病毒过滤， 内容清洗， 同时对通过 POP3 以及 IMAP 协议接受公共邮箱邮件进行病毒过滤和垃圾邮件过滤。 稳捷 公 司 NDP WEB 安全网关 通过高效的病毒引擎和透明的工作方式， 不用改动网络配置，实现对应用服务器群进行保护 ， 以及 “零 ”管理成本，能够将流行的计算机病毒拒之 “墙外 ”，从而确保了分支机构局域网的安全 和办公系统的安全， 按照 XX 证券公司 网络实际使用迫切需求， 首先对 XX 证券公司 总部和营业部的办公网络系统进行保护。同时 ， 证券交 易业务系统 中 证券交易网站服务器的安全 也 是重中之重 ， 所以在 XX 证券公司 总部的交易网的 Internet 出口处部署 稳捷 公 司 NDP WEB 安全网关， 对证券交易网 进行 安全保护。 具体 的网络 拓扑图 如下： 新一代高性能深度内容扫描网关 通过在网络中合理的部署 BeSecure NDP 系列 安全网关设备 ，可以有效的提升网络的安全级别，为网络用户提供良好的保护措施。其显著的特色如下： 立体式多重防护 通过 BeSecure 保护客户端、保护内网、保护服务器群，配合现有的终端防病毒软件，形成“三位一体”防护理念。首先是防护由外到内的威胁，其次是防护内部客户端攻击内部服务器，最后是阻止内部重要信息向外传输。这样就能有效的把威胁降到最低。 新一代高性能深度内容扫描网关 高性能、无瓶颈 在网关 internet 出口处部署高性能的稳捷 web 安全网关，首先 重点解决了网关病毒扫描所造成的性能瓶颈问题，从而在保证安全扫描的前提下，大大提高了用户访问 Web 的速度。 高效，准确，可靠的安全防护技术 稳捷网络安全设备的防病毒技术， 反 垃圾邮件 扫描以及 URL 信誉等 级评分及分类 分别与世界知名的防病毒厂商卡巴斯基 、反垃圾邮件厂商 cloudmark 和世界著名安全厂商 McAfee 共同合作开发， 防病毒特征码数据库已经达到了 400 万条目级别，远远的超出了同类安全厂商的产品 。 利用 URL 信誉评分系统 提供的基于信誉和基于分类的过滤组合，拦截通过员工下载入侵网络的病毒和恶意软件 ，URL 库达到 100 种分类， 3000 多 万条目。 全球超过 100 家有线和无线运营商，如 Comcast、 Earthlink、 Cox Communications、 Swisscom、 Tele2、 KPN 等，共同使 用稳捷网络 核心邮件安全解决方案。 来自全球范围的 one billion 报告源进行接收、分析、验证和传递的同时，采用高级指纹编码算法实时识别 垃圾邮件威胁变种。 零时差威胁保护 为了达到零时差保护， BeSecure 采用了 启发式智能分析 架构来识别新的安全威胁，在攻击 到达用户网络之前主动阻止新型的恶意软件、钓鱼攻击、垃圾邮件、恶意 URL 站点 和网络僵尸、蠕虫等。它每天从大量数据源（如 “ 零时差恶意软件特征码 ” 、 “ 钓鱼攻击检测 ” 、 “ 全球威胁响应中心 ” 、 “ URL 信誉 ” “ ip信誉” 等）中探测 20 亿个事件。 简单，便捷的产品 部署 BeSecure 可以 提供安全方便的纯透明网桥部署， 很容易地部署到任何节点的网络上，而不需要网络重新搭建或额外的硬件。 只需要简单的将 NDP 设备安装在受保护网络的网关位置，不需要对网络中的 IP 地址规划做任何修改， 就可以立即提供对网络的保护作用。真正做到“即插即用” 丰富，详细的日志及用户报表统计功能 BeSecure 在具有强度的安全防护功能的同时，它还可以根据用户的需要，为用户提供了多种多样的统计，及图形化报表。同时，用户还可以在设备管理界 新一代高性能深度内容扫描网关 面中，实时的查看设备硬件负载情况包括 CPU 利用率，内存占用率， 协议使用等信息。极大的方便用户查看，分析，评估网络安全状况。 最后 通过稳捷科技专属咨询服务，帮助用户设计防病毒系统发展规划，梳理内部流程，提供运维支持和专业培训服务、员工科普培训服务，甚至提供外派技术人员常驻客户方，协助用户开展具体的防病毒工作，如支持下属分支机构的产品和病毒问题，定期提供病毒分析报告，评估防病毒体系，分支机构巡检等多种形式的服务。 四、 Besecure NDP 系列安全产品 解决方案 4.1 产品介绍 稳捷网络通过始终不移的研发投资以确保全球最高性能的 WEB安全技术领先地位 , 优化整合最优秀的检测算法 (防病毒 ,防垃圾邮件 , 内容过滤 , 网址过滤 , 关键字过滤 ) , 专注于渠道的开发与支持，不断向客户提供卓越易销的 WEB安全功能及成功案例。 NDP (Network Data Processing)是由稳捷网络首创的针对网络应用数据的高精度高速 (吉比特 )深度内容检测技术 ,基于此项技术 ,稳捷网络的 WEB安全设备 ,BeSecure系列产品 ,使企业服务商及运营商准确实时地检测拦截抵御来自 WEB及邮件的威胁 ,提高工作效率 ,有效阻断资料数据的泄露 : BeSecure Internet Gateway 是 多功能的整合安全设备，提供 Web安全(防病毒，内容过滤，网址拦截 )和邮件安全 (垃圾邮件病毒内容过滤 )服务。 BeSecure Web Gateway 是提供 Web防病毒，网页内容过滤和网址拦截等服务的高性能整合网络安全设备。 BeSecure Web AV Gateway 是一个在网络应用数据层拦截网络恶意攻击，间谍软件和病毒的高效能的解决方案。 BeSecure Message Gateway 能每小时对 650万封邮件进行深度内容检测 , 是一个有效高速的检测拦截抵御垃圾邮件 , 病毒及 资料数据泄露威胁 新一代高性能深度内容扫描网关 的邮件安全设备。 新一代稳捷 WEB 安全网关技术 , 实时准确高效全面地为您提供可靠易行的 WEB 内容安全传统的基于网络的安全解决方案包括防火墙及入侵检测 /入侵防御系统（ IDS/IPS），防火墙通过对数据包包头的检测可决定阻止或允许对特定端口的访问， IDS/IPS 可进一步对数据包内容进行简单检测以发现数据包是否有攻击倾向。两者对来自互联网的内容攻击及有害内容都是无能为力的，因为这类攻击大多是包含多个数据包且隐含于压缩或混码之中。通俗的讲，防火墙是闸口，数据只能通过打开的闸口，而 IDS/IPS 就像一个粗筛，对污水只能进行大的污染物的过滤，当前，仅有防火墙和 IDS/IPS 已无法满足对 WEB 安全的要求，而 BeSecure 则像是细筛，过滤后，“水”的品质可达到直接“饮用”，完全满足对 WEB 安全的要求。 主要优势高效率 ,实时 ,深层 ,全覆盖的网络数据处理技术(专利 ) 以提供最完整全面的内容网关安全服务优化整合高精确度 ,世界领先的模式识别算法以提供最准确的识别率高可靠性 ,灵活 ,简便的网络集成及管理界面以提供最快速的 WEB 安全方案实施与维护，主要功能间谍软件广告软件及恶意软件实行实时 Web 防护。 4.2 功能描述 对经过网关的 WEB 数据进行实时深度检测以鉴别病毒间谍软件广告软件及恶意软件的攻击。每小时可检测 1150 万个网页。准确率达 100% 可选择性地根据网页内容分类以对 WEB 的使用进行检测或阻挡。支持 100 个内容分类 库 ， 3000 多 万个网址数据库。 可制定对关键字（包括有复杂结构关键字组）进行检测或阻挡，防止数据泄露或对门户网站的攻击。 对经过网关的电子邮件进行实时深度检测以鉴别垃圾邮件病毒间谍软件广告软件及恶意软件的攻击。每小时可检测 650 万封电子邮件。准确率达 98%。 可 制定对网址访问进行检测或阻挡，以检测或阻拦炒股或对不良内容及与工作无关内容的访问 ,提高工作效率 ,优化网络使用 。 世界领先全透明嵌入代理模式可快速完成方案整合。 新一代高性能深度内容扫描网关 4.3 产品型号说明 NDP-1005D NDP-1005G NDP-1020N NDP-1038 NDP-2040 在线吞吐量（ Mbps） 150Mbps 500Mbps 700 Mbps 1 Gbps 3Gbps 电子邮件 (封 /小时 ) 150,000 2,250,000 2,500,000 2,850,000 5,000,000 HTTP(页 /小 时 ) 1,500,000 6,750,000 7,500,000 9,000,000 17,500,000 推荐用户数 (所有服务全激合 ) 200 1000 2,000 4,000 10,000 硬件 平台类型 专用硬件平台 专用硬件平台 专用硬件平台 专用硬件平台 专用硬件平台 网络接口 10/100/100Bast-TX4w/ LAN Bypass 10/100/100Bast-TX 4w/ LAN Bypass 10/100/100Bast-TX 4w/ LAN Bypass 4GbECopper+2GbE SL w/ LAN Bypass 4GbECopper+2GbE SL w/ LAN Bypass 4.4 BeSecure 网络数据处理技术 4.4.1 BeSecure 专利的“ Subsonic”技术 Subsonic 技术（ PCT/CA2007/000020， USPTO 11/620,556）是为解决 NBCI 应用程序的关键性能问题而开发的。 Subsonic 的关键设计目标是在本地和城域网络中克服 NBCI 的性能障碍。今天，繁忙的网络连接经常通过多种网络协议同时承载着数百或数千个网络通信会话。 NBCI 设备需要能够处理这种大尺度并发。 Subsonic 的体系结构框架是使用 Linux 内核实现的，它使用本机 POSIX 线程库 (NPTL) 来配合轻型 NPTL 线程所处理的每个传输流扫描会话。此途径有效地减少了处理单个扫描会话的系统资源需求和上下文切换时间。图 21 将 Subsonic 以 NPTL 为基础的网络吞吐量与常规的基于 进程的吞吐量进行比较。可以观察到， Subsonic NPTL 快了至少 10 倍。 新一代高性能深度内容扫描网关 图 1：多线程与多进程 一旦负载数据被获取并检查其指纹，该算法可以确定此负载数据是否 已在之前被检查过。如果是，则直接检索以前的检查结果，而不应用通常昂贵的内容检查算法。 因为诸如 SHA-1 这样的指纹算法是流式算法，并且在应用指纹算法时我们可以不担心所截取的负载的内部存档结构，因此，指纹程序的执行速度要比运行内容检查算法快很多。图 22 是通过对负责处理有 23 个 LAN 节点的网络 NBCI 设备进行常规内容检查和执行 SHA1 算法所产生的性能数据进行采样所获得的。可以观察到，文件越大，则使用内容识别途径时的增益越大，并且可能的性能增益超过 60 倍。通过对负载进行流处理而不做任何 计 算，从而度量出理论上限。 由于 NDP 设备对网络应用传输流进行深度检测，所以，当包含复杂压缩组件的大型负载到达时， NDP 将花费很多系统资源对此特定通信会话进行内容检查。 具体来说， TQD 线程管理器是为管理扫描线程的优先级而开发的。当创建扫描线程时，它会注册到 TQD 线程管理器。管理器按时间循环，并随着过去的时间减少每个线程的优先级和存活时间 (TTL)。它还会清理掉持续时间太长的线程，即 TTL 小于 0 的线程。可以按运行窗口中每单位时间的哈希冲突概率和传输流量的函数来自动计算 TTL。 图 3 摘自 2003 年 5 月第 21 卷第 2 号的 ACM Transactions on Computer Systems中的 HARCHOL-BALTER, etc。此研究表明， TQD 算法对最小 80% 的文件的受益为 10 倍以上，而超过最高 1% 的所有请求受益也可达 5倍以上。 新一代高性能深度内容扫描网关 图 2： 内容检查（常规扫描）与指纹 (SHA1) 的性能 图 3: 平均响应时间 (TQD) 与常规途径 4.4.2 采用 Green Stream 技术以降低滞后 将 NBCI 系统部署到网络中时，它可能带来更多滞 后。对于已经遇到稳定性问题的网络来 说，此滞后将使这些问题变得更为严重。据报告，某些 NBCI 系统会导致应用程序发生更多的连接中断。由于内容检查所引入的滞后，第一个数 新一代高性能深度内容扫描网关 据包会在应用程序会话已超时之后才来到。 NDP Green Stream 技术是为解决此“第一个数据包”问题而开发的。使用 Green Stream 后，将极大减少网络滞后。对于大型负载，这种减少可以是 10 到 20 倍，从而使 Green Stream 成为非常有效的技术。 4.4.3 支持新协议 不同的协议有不同的握手序列和不同的负载格式。但是，在 NBCI 方面，有很多通用的任务，比如调用内容检查算法、连接管理、配置加载 /备份等。 NDP 提供了高级建模能力（称为协议工厂），以便跨越特定协议的细节实现来实现这些任务。对于新协议，此建模能力允许稳捷网络迅速开发出针对此协议的扫描器。 4.4.4 开放式服务总线 一旦 Subsonic 引擎重新构造数据负载之后，就会将它路由到多种内容检查服务进行数据处理，比如标识和删除威胁。这些服务可以是恶意软件检测、垃圾邮件检测和规则遵守实施。 为了满足提供高准确和高性能内容检查服务和引入新服务的需要，BeSecure 采用了开放式 服务总线 (OSB)。 OSB 是高性能的多线程系统后台程序，它调用最佳类型的第三方内容检查服务。 在作为高性能的多线程系统后台程序运行时， OSB 将对 Subsonic 引擎所路由的数据负载应用一组内容检查和优化算法。该路由通过基于共享内存机制的进程间通信完成。这些内容检查算法通常由第三方供应商以软件库的形式提供。图 4 演示了 Subsonic 引擎、 OSB 和内容检查服务之间的高层关系。 新一代高性能深度内容扫描网关 图 4：开放式服务总线 OSB 体系结构提供以下优点： 跨所有应用程序协议的统一内容检查服务。 对第三方内容检查 服务容错。 OSB 监视第三方模块的服务可用性。如果检测到失败，则 OSB 强制启动另一个服务实例。 比独立第三方服务更高的性能。基于共享内存的 IPC 允许检查吞吐量大幅提高。 多线程服务调用机制充分利用了今天的多核多处理器硬件平台。 数据负载仅需要一次路由到 OSB，便可以完成所有内容检查服务。 通过对一组简单的 API 进行测试，可以确保第三方服务的质量。因此，具有更新算法的版本可以很容易集成到 NDP OS 中。 可以很容易集成新服务，以实施针对内容的新策略。 新一代高性能深度内容扫描网关 4.5 BESECURE 反恶意软件扫描 技术 为了 获得能够应对提供完整的反恶意软件保护这一挑战所需的准确性和性能，必须采用“最佳”解决方案。同世界知名的防病毒厂商卡巴斯基合作，共同开发了防病毒引擎并集成了 Kaspersky Lab 的赢得奖项的恶意软件指纹数据库集成。借助与分布全球 150多个国家的防病毒试验中心， BeSecure产品具业界最准确的恶意软件扫描能力。 最优启发式 检 测技术 它利用多种主动探测技术（启发式、遗传式和行为式）的组合对未知恶意软件程序进行零时间检测。 从恶意软件产生，到防病毒厂家检测、分析、并加入特征库，再到用户下载并使用新的特征库 ，存在着一个相当大的时差。而 Besecure 的启发式检测 技术则消除了这个时间差 。 特征库覆盖率是其它众多同类产品的 100 倍，使用这个特征库，可以全面检测并阻止病毒、间谍软件和其它恶意软件。 可以同时阻止间谍软件回传、偷渡式下载等，来避免更大的损失，保护重要信息。 所支持的最大打包格式数 反病毒解决方案应当能够扫描对象，无论它们是如何或多少次被压缩、打包、存档或嵌入到安装程序中的。 BeSecure 支持大约 2,000 种不同类型的打包程序、存档和安装程序 。 4.6 Web 安全 过滤 技术 Internet 对于当 今业务发展来说不可或缺。 然而，随着博客、维基、社交站点等多种互动性功能的出现，动态化的 Web 2.0 环境给企业带来了棘手的安全难题。 当用户访问被感染的网站时，恶意代码和 Web 病毒就会“悄无声息”地进入网络。 稳捷的 web安全过滤功能 将助您远离这些风险。 这是一款智能化 Web 过滤解决方案，旨在防止员工访问那些可能导致病毒、恶意软件和其他安全风险的网站，同时帮助您减少法律责任、充分提升员工效率并节约带宽以保证业务活动顺畅开展，有效确保企业安全。 新一代高性能深度内容扫描网关 此功能 可以让您 了解、过滤和监控 Internet 的使用情况，同时帮助您有效控制传出的 Web 访问，预防可能出现的各种 Web 威胁。 稳捷 WEB安全过滤 采用实时信誉评分和类别过滤组合，前瞻、可靠地执行检测，帮助您有效拦截当今 Web 2.0 环境中的间谍软件、网络钓鱼诈骗、恶意软件以及其他安全威胁。 信誉评分 技术可以前瞻地查找和报告与可疑来源之间的流量，并通过 BeSecure 进行拦截。 信誉评分 借助全局信誉网络和 Internet 实体知识，识别潜在的恶意行为，包括指示意图散播恶意代码的操作。 对于基于分类的过滤， 稳捷网络 提供了一个成熟的 URL存储 库，包含 100 个分类、 3000 多万个可阻止站点。 URL存储库 由掌握一流技术的多语 Web 分析专家合力打造，拥有无与伦比的范围、品质和准确率。 充分利用全面和细化的类别范围； 稳捷网络 提供了一个成熟的存储库，包含 100 多个分类、 3000 多万个可阻止站点 借助 信誉 中心 提供的实时评分功能加强基于类别的过滤；前瞻、可靠地检测当今 Web 2.0 环境中的间谍软件、网络钓鱼诈骗、恶意软件以及其他安全威胁 快速了解企业内部如何使用 Web，进而详细分析趋势、隔离问题、记录不当的 Web 活动并定制过滤 设置以有效实施 Web 使用策略 指定特定时间里可以覆写过滤规则的用户，排除您希望特定群组或用户访问的站点，并创建定制类别以更好地实施企业独特的 Internet 访问策略 4.7 Email 过滤技术 高性能 BeSecure 网络数据处理技术提供了业界最高级的反垃圾邮件解决方案。 BeSecure 在 OSI 第 7 层工作，并且独立于任何 MTA，它提供以下功能： 基于频繁更新的垃圾邮件指纹数据库，检查通过它传输的任何电子邮件（ POP、 IMAP、 SMTP）中是否有垃圾邮件和仿冒消息。 检测在图像中嵌入的垃圾邮 件。 通过一个遍布全球的信任网络不断对新垃圾邮件进行特征提取以汇总到垃圾邮件指纹数据库中，从而不断提高检测率。 新一代高性能深度内容扫描网关 基于正则表达式 (regex) 的 IETF 电子邮件标题白名单。 可以用于为电子邮件添加戳记以便进行下游检疫、删除或分析的可自定义垃圾邮件标记。 相 比传统方法或基于直观判断的解决方案， BeSecure 独树一帜地利用网络化智囊资源，以更迅速、更准确和更理想的性能阻止邮件攻击及其变种。下列技术紧密协作，可确保极高的准确率，并在面对新威胁时以最快的速度 做出 反应： Advanced Message Fingerprinting（高级邮件指纹编码技术） 由极其复杂的指纹编码算法技术生成数字指纹编码，可准确识别所有语言和文件格式条件下的邮件滥用及其变种。轻量型的指纹编码仅占用传统内容过滤系统所用 CPU 的一小部分，可以快速处理邮件。要应对新的威胁，只需添加额外的指纹编码算法即可，而无需重新架构方案。 Global Threat Network（全球威胁响应网） 依靠 稳捷网络 的 Advanced Message Fingerprinting（高级邮件指纹编码技术）算法和 Global Threat Network（全球威胁响应网）系统， 稳捷网络 能以最快的响应速度抵御新的攻击。全球威胁响应网拥有超过 7 亿个报告源，包括反滥用团队、系统管理员、用户和“蜜罐”系统，这些报告源实时向 稳捷网络反馈有关威胁数据的信息。 Trust Evaluation System（可信度评估系统） (TES) 稳捷网络 的 Trust Evaluation System（可信度评估系统）可以实时分析并验证威胁数据信息，只对真正的邮件滥用进行堵截，而合法邮件则可以快速地抵达收件人的邮箱。一旦邮件被定义为威胁或合法邮件，该信息将立 即传递给全世界的 稳捷网络 用户。 新一代高性能深度内容扫描网关 信任评估系统 4.8 关键字过滤技术 BeSecure 提供的独特的关键字过滤功能可以让数据会话与关键字类别进行匹配，以阻止数据泄露。数据损失阻止 (DLP) 是一条计算机安全术语，是指那些通过深入内容检查和集中管理框架对在使用中的数据（比如终端节点操作）、运动中的数据（比如网络操作）和静止的数据（比如数据存储）进行标识、监视和保护的系统。提供 DLP 措施的主要业务动机是： 法规遵守 很多公司受到政府规章和报表法律条款的约束，要求他们对信息进行控制，这些法规包括医疗保 险方面的“健康保险可移植性及可记帐性法案” (HIPAA)、金融方面的“ Gramm-Leach-Bliley 法案” (GLBA) 和 BASEL II 协议、“支付卡行业数据安全标准” (PCCI DSS) 以及针对公共贸易公司的 Sarbanes-Oxley 法规。这些法规中有一些规定了信息技术内部控制及审核机制，如果组织缺少适合的 IT 安全控制过程，则会违反相关法规。 新一代高性能深度内容扫描网关 客户信息丢失 客户信息的大量丢失已经成为常见的头条新闻，这会迫使公司重新发布卡片、通知客户并减轻负面公开造成的信誉损失。客户信息丢失通 常发生在服务器被诱惑执行暴露其技术漏洞的命令，从而导致其防御能力降低。例如，以网页请求提交 SQL 命令的 SQL 注入会导致这类事故。 作为 BeSecure 的服务的组成部分， BeSecure 的关键字过滤功能可以用于执行以下任务： 防止数据在传输中被窃取 用户可设置策略对与预置类别（比如信用卡信息、社会安全号码或使用 POSIX 样式的通配符语法的用户编程表达式）相匹配的内容的传输情况进行阻止和 /或监视。 IT 审核 可以对传输中数据进行检测以判断是否违反法规。例如，有人从服务器群获取病历时， 可以对其跟踪。 提供额外级别的恶意软件保护 除了 BeSecure 的恶意软件保护模块以外，还可防止跨站点脚本攻击， SQL 注入或恶意文件执行。 4.9 BeSecure 技术亮点 功能 说明 1 管理接口语言支持 提供英语、简体中文、繁体中文、日语和韩文管理接口 2 配置管理 可以通过基于 HTTPS 的 Web 管理接口从任何联网计算机实施管理 基于 XML over HTTPS 的 API，用于自定义的大规模管理集成 支持 SN