证券行业网络安全需求

证券行业网络安全整体解决方案证券行业网络安全整体解决方案 用户需求篇 浙江证券目前网络结构和应用情况浙江证券目前网络结构和应用情况 网络拓扑见后 广域网和局域网 网络拓扑见后 广域网和局域网 证券规模和应用情况证券规模和应用情况 浙江证券共有十五个营业部 除了在浙江地区 杭州 台州 宁波 金华 绍兴等等 之外 在全国其他地方也有营业部存在 主要是北京 天津 武汉 广州 深圳和上海等 证券总部在杭州 今后规划把咨询部和业务中心移至上海 行政中心和总部仍然留在杭州 由于目前浙江证券的业务中心和总部在杭州 所有证券交易最后的处理工作都在杭州 总部完成 目前杭州的营业部都是通过光纤和杭州总部直接相连 其他外地所有的营业部 都是通过卫星网络和总部进行网络连接的 所有的营业部 包括杭州本地的 都有备份线 路 杭州本地营业部是使用 DDN 和总部作备份线路 外地营业部使用 ISDN 进行线路备份 总部和深圳交易所 上海交易所具体采用什么线路 忘了 总部网络采用 Cisco6509 两台作核心交换 各楼层均是光纤连接 所有服务器和楼层 交换机都是双线路备份到两台 Cisco6509 上 Cisco6509 上主要分成 10 20 20 40 等几 个 VLAN 40VLAN 为总部办公网络 通过 PIX525 防火墙可以访问 Internet 30VLAN 为 总部业务网络 不允许上 Internet 其中最为关键的是 20VLAN 均为服务器群 其中主要 的是数据库服务器 MS SQL 数据库服务器之间有中间件服务器 然后是前置服务器 AR AS 什么意思我也不知道 整套数据库 业务系统都是杭州恒生公司集成的 数据 库中存放的是客户户头 交易状况等 拥有数据备份设备 证券公司拥有拨号服务器 提 供给外地移动办公进行远程接入 具体 拨号服务器不太清楚 证券使用一台 PC 双网卡 隔离卡的方法连接银行的业务 银证通 用户的帐户可以和银行帐户沟通 此 PC 每天工 作一次数据交流 不是连在证券就是连接银行网络 所有营业所中 用户在进行交易时使用股票交易卡并输入用户名和口令就可以交易 主要靠用户名和口令进行保护 电话交易时需要输入交易卡号 用户名 口令就可以了 在每个交易日交易时间结束后 总部会把各地营业部当日所有的交易信息和上海 深圳交 易所返回的信息进行一次轧帐 确认无误后当天工作结束 目前网络中网络安全产品分别使用了 PIX525 做接入到公网的防火墙 对进出公网的 数据流量进行了入侵检测 IDS 4230 整个网络中采用 VRV 网络防病毒产品 整体网 络中没有 OA mail 应用 只有打印 文件共享等办公应用 网络管理使用 Cisco Works2000 用户需求 用户需求 证券管理人员对安全产品还是有比较深刻的认识 也正在考虑全线安全产品项目 目 前虽然已经使用了各项安全产品 仍然对安全性能不甚放心 首先是针对病毒的惧怕心里 由于目前中国的证券业普遍没有手工报单的业务 所有 交易是电子化的 因此一旦网络和计算机出故障 整个交易就会瘫痪 在有些证券公司就 出现过由于病毒泛滥造成的交易中止的情况 损失惨重 然后 用户对接入总部的用户需要做比较严格的控制和监视 在拨号服务器中 证券 希望可以对拨上来的用户进行时间 数据流量和其他访问细节进行审计 虽然使用了入侵检测产品 但是从使用频率和效果来说 还不甚满意 用户希望可以 拥有一个安全管理平台 可以整合所有网络安全产品 然后对数据流量和非法访问留下细 致的审计记录 用户比较关注的网络安全方案是一个能说明什么产品做什么用 可以解决 什么问题 不足的部分由另外的哪个产品来弥补 最后由综合安全管理平台整合后的效果 如何这样一个方案 用户对网络管理软件也有着比较浓厚的兴趣 但是对 Cisco Works 的表现比较满意 因为他们比较关注网络设备的情况 一旦线路出现故障 需要做最快的反应 用户对桌面 机的控制力度并要求不高 对于访问控制 用户希望可以使用网络管理软件对交换机做一 些控制 是否可以发现交换机某个端口上接入的计算机的 MAC 地址和 IP 地址不匹配的时 候 由网络管理软件发出命令 使得交换机此端口失效 这样 就可以杜绝所有的更改 IP 地址的情况了 此外 证券方面也希望可以指定一整套有关网络安全的管理方法和基于 Windows 的认 证权限控制体系 拥有整套的安全管理制度 可以让管理员把网络安全工作程序化 并按 时审计该审计的信息 在目前的网络上还没有实施 Windows 域环境 证券也希望进行域规 划 通过域用户的认证达到比较好的权限分配 初步方案建议 初步方案建议 1 采用更加容易操作 性能更加好的网络防病毒产品 2 和用户沟通 用户目前表示卫星网络不是很稳定 而且费用较高 正在考虑进行常规 的线路进行数据传输 但是需要比较高的安全性 是否可以使用 VPN 或者其他接入 方法加防火墙 3 防火墙和入侵检测的联动非常关键 而且使用 Sniper 可以监视拨号和 ISDN 用户的动 作和时间 不过还要看看是否有其他办法对拨号的用户名和口令进行记录 包括拨号 此时的时间等等具体细节 4 可否提出安全管理平台的概念 如何实现 5 网络管理方面 安全管理 主要是在服务器性能监视 网络情况监视方面突出优势 6 通过 Windows 的安全机制和安全的管理机制来整合目前松散的网络安全管理 7 在交易中考虑使用用户名和密码交易安全与否 是否