内外兼修 入侵防护系统护航证券内外网安全

近年来,国内证券行业获得了迅猛的发展,在国民经济中起着越来越重要的作用。当前,国内各证券公司已建成了全电子化的交易系统,覆盖了投资者开户、订单报送、交易撮合、市场监察、银证转账、清算交收等全部环节,为资本市场的快速发展提供了有力的支持,也适应了我国证券市场中小投资者多、覆盖地域广、换手率高等特点。

随着互联网的普及,基于Web架构的网上交易逐渐成为一种先进、便捷、实用的交易方式,目前,证券市场中60%以上的交易订单都通过网上交易实现,有的交易机构网上交易的比例甚至已经达到90%以上。其中,占证券公司总收入50%以上的证券经纪业务,更是高度依赖电子交易系统。因此,如何能为用户提供稳定、快捷的交易平台,同时保障用户信息的机密性,吸引更多用户加盟,对证券公司业务的发展至关重要。从社会角度来看,电子交易系统的安全稳定运行也是整个证券市场稳定发展的关键因素,因此也受到国家相关部门的高度重视。

对证券公司一般网络结构分析后发现,网上交易平台通过互联网向用户提供网上交易、实时行情、投资分析等服务;办公网内的用户通过互联网获取各种资源,因此网上交易平台和办公网成为整个网络中风险级别最高的两个点。

作为一种基于Web架构的应用,网上交易平台面临的风险主要包括拒绝服务攻击、缓冲区溢出攻击、Web应用攻击、SQL注入攻击及XSS跨站脚本攻击等。针对HTTP的拒绝服务攻击(如CC攻击等),将严重影响Web站点的正常访问,使合法用户不能得到响应,使用户的买卖无法及时完成;而缓冲区溢出攻击带来的后果则主要是蠕虫病毒的泛滥,更严重的攻击甚至可能导致整个系统被控制,重要的用户信息及交易信息遭到窃取,系统的稳定运行被破坏。与这两种攻击方式相比,更为严重的是SQL注入和XSS攻击。SQL注入和XSS攻击可以上传木马、篡改页面、窃取用户信息、甚至完全控制被攻击主机,但由于这两种攻击方式攻击过程复杂,因此防范十分困难。

针对网络中另一个高危险的点–办公网,面临的主要问题来自安全管理。因为内网中人员、应用繁多,P2P的泛滥严重侵蚀着有限的网络带宽;即时通讯软件(IM)与虚拟隧道成为了信息泄露的重要途径;在线网络游戏严重降低了工作效率。因此,在防范来自外网的蠕虫、木马、后门等攻击的同时,同样要关注内网上网行为的管理。

作为国内信息安全领军厂商,联想网御倾力打造入侵防护系统,采用了自主研发的VSP通用安全平台和USE统一检测引擎,将ASIC硬件检查、深度内容检测、安全防护、上网行为管理等技术完美地结合在一起,在有效防范外网攻击的同时,可以对内网上网行为进行细粒度的访问控制。因此,对证券行业用户而言,在网上交易服务器前及办公网的网络出口处各部署一台联想网御入侵防护系统(Power V IPS)便可以有效解决上述多种安全问题,真正实现"攘外也安内"的安全防护效果。

在防范DoS及DDoS攻击方面,联想网御入侵防护系统并非单纯以总量计算数据包的方式统计,而是针对每个源IP在单位时间内符合报文特征的次数,综合进行判断,因此可以有效防范CC攻击,以确保合法用户顺利访问Web站点。

针对缓冲区溢出攻击,联想网御入侵防护系统提供"虚拟补丁"技术,联想网御的技术专家团队及时跟踪网络中各种系统、软件存在的bug,第一时间提供检测特征码,为用户网络提供一个虚拟的安全补丁,防范大部分的零日攻击。

针对Web应用攻击,联想网御入侵防护系统提供了单独的Web攻击特征组,对Web应用软件、应用系统存在的漏洞等进行有针对性的防护。针对SQL注入和XSS攻击,联想网御定义了协议自动机(Protocol Automaton,简称PA),用于定义和描述一个特定的网络攻击和应用行为,通过PA技术,联想网御能有效防范SQL注入/XSS攻击。联想网御PA技术的主要优势有以下几个方面:首先,为每类典型攻击行为制作了协议模型,这些模型具有通用性,可以涵盖类型广泛的攻击;其次,鉴于SQL注入/XSS的签名较短的特点,联想网御在PA技术的基础上还利用了时序和交叉验证技术,这样可以大大提高识别的准确率,最大程度的减少误报。除此以外,联想网御还具有完全自主知识产权的IPS引擎和签名,根据PA的状态迁移,分层分级进行不同的签名验证,只对必要数据进行分析和比对,在保证准确率的同时最大程度上减小了对用户网络数据的干扰,保证网络的访问质量。

针对办公网的防护,联想网御入侵防御系统以内网上网行为管理的细粒度访问控制为主,有效规范了上网行为,提升了网络使用的效率。

采用基于协议自动机的流量识别技术,联想网御入侵防护系统能够基于软件应用和内容识别出P2P应用,并对P2P下载进行拦截、限流,以优化网络资源;此外,可针对加密型或非加密型即时通讯软件进行管理及拦截,根据不同需求,进行多层次控制,不仅可禁止实时聊天程序,还可对即时通讯软件的登陆、聊天、传输文件、实时语音、实时视频等进行分项管理。 联想网御入侵防护系统还支持对多种流行虚拟隧道软件进行检测,通过限制隧道连接,让非法加密隧道无立身之地,针对日益广泛的在线游戏软件,也能进行有效监控,支持对多种流行的在线游戏实现阻断管理,从而提高企业的整体工作效率。

作为首款"内外兼修"的产品,联想网御入侵防护系统既保障了网上交易系统的稳定运行,又减少了内网重要信息泄露的几率,为证券公司电子交易系统的稳定运行提供了有力支撑。