證券行業(yè)網(wǎng)絡(luò)應(yīng)用安全解決方案

新一代高性能深度內(nèi)容掃描網(wǎng)關(guān) XX 證券公司 網(wǎng)絡(luò) 應(yīng)用安全 建議書 穩(wěn)捷網(wǎng)絡(luò)技術(shù)有限公司 2010 年 7 月 新一代高性能深度內(nèi)容掃描網(wǎng)關(guān) 目 錄 一、 證券行業(yè)綜述 . 3 1.1 證券信息系統(tǒng)重要性 . 3 1.2 證券信息系統(tǒng)必要性 . 4 二、 XX 證券公司網(wǎng)絡(luò)安全現(xiàn)狀及需求分析 . 5 2.1 XX 證券公司 安全現(xiàn)狀 . 5 2.2 XX 證券公司安全需求 . 7 2.3 威脅來源 .11 三、 XX 證券公司安全解決方案 . 12 3.1 方案設(shè)計 . 12 3.2 解決方案 . 13 四、 Besecure NDP 系列安全產(chǎn)品解決方案 . 17 4.1 產(chǎn)品介 紹 . 17 4.2 功能描述 . 18 4.3 產(chǎn)品型號說明 . 19 4.4 BeSecure 網(wǎng)絡(luò)數(shù)據(jù)處理技術(shù) . 19 4.5 BESECURE 反惡意軟件掃描技術(shù) . 24 4.6 Web 安全過濾技術(shù) . 24 4.7 Email 過濾技術(shù) . 25 4.8 關(guān)鍵字過濾技術(shù) . 27 4.9 BeSecure 技術(shù)亮點 . 28 五、 技術(shù)支持和售后服務(wù) . 31 5.1 廠家提供的增值服務(wù) . 31 5.2 服務(wù)商提供服務(wù) . 31 新一代高性能深度內(nèi)容掃描網(wǎng)關(guān) 一、 證券行業(yè) 綜述 90 年代以來，我國證券期貨業(yè)以其特有的魅力吸引了千百萬投資者的熱情參與，發(fā)展迅速，成為社會主義市場經(jīng)濟重要組成部分。其間，證券業(yè)信息系統(tǒng)的電子化建 設(shè)取得長足的進(jìn)步。在發(fā)行、交易、清算、信息披露、技術(shù)監(jiān)控、信息咨詢與服務(wù)等方面，計算機技術(shù)的應(yīng)用深度和廣度都大大擴展。各證券經(jīng)營機構(gòu)已全部建立了電子化業(yè)務(wù)處理系統(tǒng)，計算機與網(wǎng)絡(luò)通信技術(shù)成為支撐各項證券業(yè)務(wù)運轉(zhuǎn)的關(guān)鍵設(shè)施。 證券業(yè)務(wù)共包括證券經(jīng)紀(jì) 、證券承銷、自營、兼并與收購、咨詢服務(wù)和基金管理等項業(yè)務(wù)。上述證券經(jīng)紀(jì)業(yè)務(wù)的各項功能、服務(wù)都由證券信息系統(tǒng)處理完成。作為業(yè)務(wù)的載體，證券信息系統(tǒng)應(yīng)具備一定的條件，才能滿足證券業(yè)高質(zhì)量服務(wù)和化解經(jīng)營風(fēng)險的目標(biāo)要求。 目前國內(nèi)的各大證券網(wǎng)絡(luò)經(jīng)過建設(shè)，都已經(jīng)形成比較完善的 綜合網(wǎng)絡(luò)，整體結(jié)構(gòu)是 個通過 WAN 連接的多級網(wǎng)絡(luò)，在網(wǎng)絡(luò)每一級的節(jié)點上具有一個局域網(wǎng)，在多級網(wǎng)絡(luò)上運行著證券業(yè)務(wù)系統(tǒng)、多媒體應(yīng)用系統(tǒng)、辦公自動化等。由于證券業(yè)是個開放化，社會化的行業(yè)，其信息系統(tǒng)已經(jīng)有封閉式轉(zhuǎn)向了開放式系統(tǒng)，存在許多的不安全風(fēng)險因素。由于應(yīng)用系統(tǒng)的復(fù)雜化，網(wǎng)絡(luò)安全體系的建立和網(wǎng)絡(luò)安全的全面解決方案更是迫在眉睫。 1998 年中國證監(jiān)會頒布了證券經(jīng)營機構(gòu)營業(yè)部信息系統(tǒng)技術(shù)管理規(guī)范和關(guān)于加強證券機構(gòu)計算機系統(tǒng)安全管理的通知，明確要求證券業(yè)務(wù)處理系統(tǒng)必須保證數(shù)據(jù)的安全，實現(xiàn)業(yè)務(wù)與技術(shù)的分離 、前臺與后臺分離、網(wǎng)絡(luò)與數(shù)據(jù)分離。中國證監(jiān)會還針對網(wǎng)上交易部分制定了網(wǎng)上證券委托暫行管理辦法，規(guī)定了證券公司應(yīng)采取嚴(yán)格、完善的技術(shù)措施，確保網(wǎng)上委托系統(tǒng)和其他業(yè)務(wù)系統(tǒng)的安全性。 1.1 證券信息系統(tǒng)重要性 證券信息系統(tǒng)是證券公司基本的基礎(chǔ)建設(shè)，是證券業(yè)務(wù)正常進(jìn)行的前提條件。滿足基本的安全要求，是網(wǎng)絡(luò)成功運行的必要條件，在此基礎(chǔ)上提供強有力的安全保障，是證券網(wǎng)絡(luò)系統(tǒng)安全的重要原則。 新一代高性能深度內(nèi)容掃描網(wǎng)關(guān) 證券網(wǎng)絡(luò)內(nèi)部部署了眾多的網(wǎng)絡(luò)設(shè)備、服務(wù)器，保護這些設(shè)備的正常運行，維護主要業(yè)務(wù)系統(tǒng)的安全，是證券網(wǎng)絡(luò)的基本安全需求。但是網(wǎng)絡(luò)安全事 件頻頻威脅到證券信息系統(tǒng)的安全，對證券行業(yè)的正常運作造成了極大的威脅。 無論是有意的攻擊，還是無意的誤操作，都將會給系統(tǒng)帶來不可估量的損失。攻擊者可以竊聽網(wǎng)絡(luò)上的信息，竊取用戶的口令、數(shù)據(jù)庫的信息；還可以篡改數(shù)據(jù)庫內(nèi)容，偽造用戶身份，否認(rèn)自己的簽名。更有甚者，攻擊者可以刪除數(shù)據(jù)庫內(nèi)容，摧毀網(wǎng)絡(luò)節(jié)點，釋放計算機病毒等等。由于內(nèi)部工作人員能較多地接觸內(nèi)部信息，工作中的任何不小心都可能給信息安全帶來危險。這些都使信息安全問題越來越復(fù)雜。另外在交易軟件程序中出現(xiàn)漏洞導(dǎo)致風(fēng)險的發(fā)生，其后果是也非常嚴(yán)重的。 最重要的風(fēng) 險是網(wǎng)絡(luò)系統(tǒng)風(fēng)險。證券營業(yè)部的計算機系統(tǒng)是構(gòu)建在一個內(nèi)部網(wǎng)絡(luò)平臺之上的，利用網(wǎng)絡(luò)平臺使得證券營業(yè)部的計算機實現(xiàn)與服務(wù)器互連。網(wǎng)絡(luò)服務(wù)器內(nèi)裝有證券營業(yè)部所有的交易資料，因此網(wǎng)絡(luò)系統(tǒng)的安全性至關(guān)重要，一旦網(wǎng)絡(luò)系統(tǒng)被黑客進(jìn)入，那么證券營業(yè)部的交易資料將成為黑客進(jìn)行破壞的對象。上海證券市場發(fā)生的“建工事件”就屬于此種，黑客進(jìn)入營業(yè)部交易系統(tǒng)，并將自制的程序加入系統(tǒng)中，使得上海建工股票出現(xiàn)超常大買單，由于交易所發(fā)現(xiàn)及時，并做了緊急處理，才使風(fēng)險降到最小。 面對計算機網(wǎng)絡(luò)的種種安全威脅，必須采取有力的措施來保證安全。無 論是在局域網(wǎng)還是在廣域網(wǎng)中，網(wǎng)絡(luò)的安全措施應(yīng)是能全方位地針對各種不同的威脅和脆弱性，這樣才能確保網(wǎng)絡(luò)信息的保密性、完整性和可用性。 1.2 證券信息系統(tǒng) 必要 性 在目前的證券業(yè)中，電腦系統(tǒng)維護部門和財務(wù)部門已經(jīng)成為支撐證券公司的兩大支柱，系統(tǒng)維護部門尤其承受著巨大的壓力，一旦系統(tǒng)出了故障，將給證券公司造成巨大的經(jīng)濟損失。 面對這樣巨大的壓力，證券公司的信息化建設(shè)一直是在左右搖擺中緩步而行，一方面希望盡快利用新的計算和網(wǎng)絡(luò)技術(shù)提高股票交易效率，方便股民炒股，擴大自身的知名度，從而吸引更多的人加入股民的行列；另一方面又 擔(dān)心技術(shù)的 新一代高性能深度內(nèi)容掃描網(wǎng)關(guān) 不成熟或管理不到位會引發(fā)更多的系統(tǒng)問題，造成巨大的經(jīng)濟損失。尤其是出于對網(wǎng)絡(luò)安全方面的顧慮，大多數(shù)券商采取了謹(jǐn)慎的態(tài)度，內(nèi)部交易網(wǎng)和外部網(wǎng)采取的是物理分離的方式，防止外來的侵襲。 除此之外，證券信息安全化對安全管理的需求也在不斷增加。除了建立好基本的信息化應(yīng)用系統(tǒng)外，如何使這套系統(tǒng)實現(xiàn)設(shè)定的目標(biāo)，牽扯到證券公司的信息制度建立和管理問題。 由于證券行業(yè)的信息系統(tǒng)是實現(xiàn)證券交易經(jīng)紀(jì)業(yè)務(wù)的核心系統(tǒng)，其安全性直接關(guān)系到證券市場的穩(wěn)定發(fā)展和證券經(jīng)營機構(gòu)及廣大投資者的切身利益。同時更加中國證監(jiān)會頒布的證券經(jīng) 營機構(gòu)營業(yè)部信息系統(tǒng)技術(shù)管理規(guī)范和關(guān)于加強證券機構(gòu)計算機系統(tǒng)安全管理的通知，網(wǎng)上證券委托暫行管理辦法等法規(guī)也明確要求證券系統(tǒng)必須保證數(shù)據(jù)的安全，實現(xiàn)三分離等原則。所以說證券行業(yè)的信息系統(tǒng)安全性建設(shè)具有高度的必要性。 二、 XX 證券公司 網(wǎng)絡(luò)安全 現(xiàn)狀及 需求分析 XX 證券股份有限公司（以下簡稱“公司”）公司總部設(shè)在 廣州 ，下設(shè) 167家證券營業(yè)部和 47 家服務(wù)部總計 214 個營業(yè)網(wǎng)點。營銷網(wǎng)絡(luò)分布在全國 29 個省、自治區(qū)、直轄市的 62 個中心城市，直接為 400 余萬客戶服務(wù)，客戶總資產(chǎn)5000 多億元。旗下?lián)碛?XX 期貨經(jīng)紀(jì)公 司。 公司的經(jīng)營范圍包括：證券經(jīng)紀(jì)；證券投資咨詢；與證券交易、證券投資活動有關(guān)的財務(wù)顧問；證券承銷與保薦；證券自營；證券資產(chǎn)管理。 公司被亞太著名金融雜志金融亞洲、亞洲貨幣同時評選為 2006-2008財年“中國內(nèi)地最佳經(jīng)紀(jì)業(yè)務(wù)機構(gòu)”、“中國內(nèi)地最佳債券承銷機構(gòu)”和“ 2009年度中國最佳債券承銷商”。 2.1 XX 證券公司 安全現(xiàn)狀 XX證券 公司 在全國范圍內(nèi)經(jīng)營業(yè)務(wù)，網(wǎng)絡(luò)龐大、結(jié)構(gòu)復(fù)雜，典型業(yè)務(wù)模式有柜臺交易、自助委托、電話 委托、網(wǎng)上委托等。各證券營業(yè)部和總部通過計算機網(wǎng)絡(luò)將交易所、證券公司與交易者三方連接 在一起，共同完成證券交易，并實現(xiàn)行情、交易、結(jié)算、辦公等各個環(huán)節(jié)的自動化。一個典型的 證券公司 網(wǎng)絡(luò)由四個部分組成：總部網(wǎng)絡(luò)、營業(yè)部網(wǎng)絡(luò)、銀證交易系統(tǒng)和網(wǎng)站系統(tǒng)。 如下圖： 新一代高性能深度內(nèi)容掃描網(wǎng)關(guān) XX證券 公司 由于自身經(jīng)營的特點，在安全要求方面一般比較高，在安全設(shè)計上要充分考慮到影響網(wǎng)絡(luò)安全的因素，保證網(wǎng)絡(luò)具有較高 的可靠性、保密性，對病毒、黑客攻擊有較強的防御能力。 隨著證券行業(yè)的發(fā)展和網(wǎng)絡(luò)規(guī)模的擴大，網(wǎng)絡(luò)病毒的種類越來越多，木馬、病毒、黑客等對網(wǎng)絡(luò)進(jìn)行攻擊的事件越來越多，這些安 全方面的威脅對證券行業(yè)的網(wǎng)絡(luò)造成越來越大的影響， 而且證券行業(yè)代表的是廣大股民的利益，一個安全的交易網(wǎng)絡(luò)也能夠增強股民對 證券公司 的信心。 其中，證券交易網(wǎng)站服務(wù)器的安全是重中之重。網(wǎng)站因需要被公眾訪問而暴露于因特網(wǎng)上，由于處于一個相對開放的環(huán)境中，加之各類網(wǎng)頁應(yīng)用系統(tǒng)的復(fù)雜性和多樣性導(dǎo)致系統(tǒng)漏洞層出不窮，極易成為黑客的攻擊目標(biāo)。根據(jù) CNCERT調(diào)查報告顯示， 2007年上半年，中國大陸被篡改網(wǎng)站的數(shù)量相比往年處于明顯上升趨勢，被篡改網(wǎng)站總數(shù)達(dá)到 28367個，比去年全年增加了近 16%。而僅在 2007年 11月 1日至 30日，大陸地區(qū)被篡改網(wǎng)站的數(shù)量就達(dá)到了 5499個，較上月增加 537個，其中代號為“ Kml!”和“ SLN_BEY”的攻擊者對大陸網(wǎng)站進(jìn)行了大量的篡改。針對金融類網(wǎng)站的攻擊事件也呈不斷上升趨勢。 2005年，美國爆發(fā)了當(dāng)今最大的金融數(shù)據(jù)泄密事件，有黑客侵入了為萬事達(dá)、 Visa、 AmericanExpress和 Discover服務(wù)的“信用卡第三方付款處理器”的網(wǎng)絡(luò)系統(tǒng)，造成 4000多萬信用卡用戶的數(shù)據(jù)資料被竊； 2006年，某犯罪組織竟然在某銀行的證券交易服務(wù) 新一代高性能深度內(nèi)容掃描網(wǎng)關(guān) 器內(nèi)成功植入了木馬程序，每隔 0.5秒掃描一次，凡是此時登陸的客戶，其帳號和口令通通被竊取，這一事件甚 至驚動了國務(wù)院。因此，提高證券交易網(wǎng)站的安全性刻不容緩。 下圖是 2009年 網(wǎng)絡(luò)安全事件類型分布 ，可以看得出現(xiàn)在的攻擊主要集中在應(yīng)用層， WEB應(yīng)用的攻擊居于首位：網(wǎng)頁篡改、網(wǎng)絡(luò)仿冒，惡意代碼等等?；诰W(wǎng)絡(luò)層的防護如防火墻對動態(tài)的應(yīng)用層攻擊已無能為力。 2.2 XX 證券 公司 安全需求 證券網(wǎng)絡(luò)是各種經(jīng)濟行為匯集的地方，網(wǎng)絡(luò)安全問題將直接威脅上市公司、投資者、證券公司的經(jīng)濟利益。這個特點決定了證券網(wǎng)絡(luò)安全系統(tǒng)所關(guān)注的重點 : 1、網(wǎng)絡(luò)可用性 :網(wǎng)絡(luò)是證券業(yè)務(wù)的載體 ，網(wǎng)絡(luò)中斷對于業(yè)務(wù)系統(tǒng)來說就意味著業(yè)務(wù)的中斷，其帶來的經(jīng)濟影響和社會影響都十分巨大，因此安全體系必須保證網(wǎng)絡(luò)的持續(xù)有效的運行，防止對關(guān)鍵網(wǎng)絡(luò)設(shè)施的入侵和攻擊、防止通過消耗帶寬等方式破壞網(wǎng)絡(luò)的可用性。 2、業(yè)務(wù)系統(tǒng)的可用性 :運行業(yè)務(wù)系統(tǒng)的各主機、數(shù)據(jù)庫、應(yīng)用服務(wù)器系統(tǒng)的安全運行同樣十分關(guān)鍵，網(wǎng)絡(luò)安全體系必須保證這些系統(tǒng)不會遭受來自網(wǎng)絡(luò)的非法訪問、惡意入侵和破壞 ； 3、數(shù)據(jù)機密性 :保密數(shù)據(jù)的泄密將直接影響導(dǎo)致數(shù)據(jù)擁有者和相關(guān)機構(gòu) (或 新一代高性能深度內(nèi)容掃描網(wǎng)關(guān) 人員 )的經(jīng)濟利益。網(wǎng)絡(luò)安全系統(tǒng)必須保證這些機密信息在傳輸時的保密性。 4、 訪問的可控性 :對關(guān)鍵網(wǎng)絡(luò)、系統(tǒng)和數(shù)據(jù)的訪問必須得到有效的控制，這要求系統(tǒng)能夠可靠確認(rèn)訪問者的身份，謹(jǐn)慎授權(quán)，并對任何訪問進(jìn)行跟蹤記錄。 5、災(zāi)難恢復(fù)能力 :業(yè)務(wù)數(shù)據(jù)是政權(quán)企業(yè)的戰(zhàn)略性資源，經(jīng)常性的備份以及快速、精確的恢復(fù)可以使系統(tǒng)遭到災(zāi)難性破壞時將經(jīng)濟損失降低到最低的程度。 針對以上的安全需求，網(wǎng)絡(luò)安全保護系統(tǒng)應(yīng)該具備如下的特征 : 1.根據(jù)可信任程度的不同，對網(wǎng)絡(luò)區(qū)域進(jìn)行劃分，不同區(qū)域間的訪問要進(jìn)行嚴(yán)格控制 ； 2.進(jìn)入關(guān)鍵系統(tǒng)和關(guān)鍵區(qū)域必須經(jīng)過可靠的身份鑒別 ； 3.安全系統(tǒng)整體具有充分的抗攻擊能力 ； 4.系統(tǒng)具備多層面的完備的審計設(shè)施 ； 5.系統(tǒng)對于異常事件足夠敏感，使整個防御體系在遇到威脅時能夠及的做出正確的響應(yīng)。 6.系統(tǒng)的安全策略可管理、并且易于管理 ； 7.應(yīng)用和數(shù)據(jù)庫安全，包括數(shù)據(jù)庫漏洞掃描，數(shù)據(jù)庫安全管理。 8.數(shù)據(jù)和內(nèi)容安全，包括 防惡意軟件如間諜軟件、廣告軟件、篡權(quán)工具、后門、撥號器、鍵盤記錄器、密碼偷竊，網(wǎng)頁掛馬，反垃圾郵件，內(nèi)容過濾，防數(shù)據(jù)泄漏等 WEB 應(yīng)用安全 網(wǎng)關(guān) 。 基于以上特點， 在考慮 XX 證券公司 的信息安全時，應(yīng)從以下幾個方面來考慮 網(wǎng)絡(luò)安全風(fēng)險 問題 和應(yīng)對策略 ： 網(wǎng)絡(luò)安全風(fēng)險 證券網(wǎng)絡(luò)系統(tǒng)的安全風(fēng)險主要來自網(wǎng)絡(luò)設(shè)施物理特性的安全、網(wǎng)絡(luò)系統(tǒng)平臺的安全、網(wǎng)上交易的安全、數(shù)據(jù)存儲的安全。 物理安全風(fēng)險 由于水災(zāi)、火災(zāi)、雷擊、粉塵、靜電等突發(fā)性事故和環(huán)境污染造成網(wǎng)絡(luò)設(shè)施工作停滯 。 人為引起設(shè)備被盜、被毀或外界的電磁干擾使通信線路中斷 。 電子、電力設(shè)備本身固有缺陷和弱點及所處環(huán)境容易在人員誤操作或 新一代高性能深度內(nèi)容掃描網(wǎng)關(guān) 外界誘發(fā)下發(fā)生故障 。 系統(tǒng)安全風(fēng)險 系統(tǒng)風(fēng)險在三個方面：網(wǎng)絡(luò)系統(tǒng)、操作系統(tǒng)和應(yīng)用系統(tǒng) 。 網(wǎng)絡(luò)系統(tǒng)在設(shè)計實施不夠完善，例如缺乏正確路由、網(wǎng)絡(luò)的容量、帶寬估計不足、對證券系統(tǒng)局域網(wǎng)沒做 劃分隔離以及關(guān)鍵網(wǎng)絡(luò)設(shè)備沒有冗余設(shè)計，一旦發(fā) 生故障，將直接影響網(wǎng)絡(luò)系統(tǒng)安全。 網(wǎng)絡(luò)系統(tǒng)缺乏安全可靠的網(wǎng)絡(luò)通信協(xié)議和網(wǎng)絡(luò)安全設(shè)備，使網(wǎng)絡(luò)黑客容易利用網(wǎng)絡(luò)設(shè)計和協(xié)議漏洞進(jìn)行網(wǎng)絡(luò)攻擊和 信息竊取，例如未經(jīng)授權(quán)非法訪問證券系統(tǒng)內(nèi)部網(wǎng)絡(luò)、對電話網(wǎng)進(jìn)行監(jiān)聽、對系統(tǒng)的安全漏洞進(jìn)行探測掃描、遠(yuǎn)程登陸交易、行情服務(wù)器并對數(shù)據(jù)進(jìn)行篡改、對通信 線路、服務(wù)器實施洪流攻擊造成線路涌塞和系統(tǒng)癱瘓等。 網(wǎng)絡(luò)操作系統(tǒng)，無論是 windowsunixnetware 各種商用操作系統(tǒng)，其國 外開發(fā)商都留有后門（ back door），目前 每種操作系統(tǒng)都發(fā)現(xiàn)有安全漏洞，一旦被人發(fā)現(xiàn)利用將對整個證券網(wǎng)絡(luò)系統(tǒng)造成不可估量的損失。 辦公 應(yīng)用系統(tǒng)的風(fēng)險主要是涉及不同地區(qū)、不同部門的資源有限共享時被內(nèi)部人員不安全使用造成口令失竊、文電丟失泄密，以及在與外界進(jìn)行郵件往來 、訪問 WEB 網(wǎng)站 時帶來病毒和黑客進(jìn)入的隱患。 針對業(yè)務(wù)系統(tǒng)（包括業(yè)務(wù)管理系統(tǒng)、業(yè)務(wù)服務(wù)系統(tǒng)）的威脅主要來自于內(nèi)、外界對業(yè)務(wù)系統(tǒng)非授權(quán)訪問、系統(tǒng)管理權(quán)限喪失（由于用戶 名、口令、 IC 卡等身份標(biāo)志泄漏）、使用不當(dāng)或外界攻擊引起系統(tǒng)崩潰、網(wǎng)絡(luò)病毒的傳播或其他原因造成系統(tǒng)損壞、系統(tǒng)開發(fā)遺留的安全 漏洞等。 網(wǎng)上交易的安全風(fēng)險 因特網(wǎng)是全球性公共網(wǎng)絡(luò)，并不由任何一個機構(gòu)所控制。 數(shù)據(jù)在因特網(wǎng)上傳輸?shù)耐緩绞遣煌耆_定的。 因特網(wǎng)本身并不是一個完全安全可靠的網(wǎng)絡(luò)環(huán)境。 在因特網(wǎng)上可能有人采用相似的名稱和外觀仿冒證券網(wǎng)站和服務(wù)器， 用于騙取投資者的數(shù)據(jù)資料。 新一代高性能深度內(nèi)容掃描網(wǎng)關(guān) 如果用于證實投資者身份的數(shù)字證書和口令被竊取， 他人有可能仿冒投資者身份進(jìn)行交易委托和查詢。 在網(wǎng)上傳輸?shù)闹噶?、?shù)據(jù)有可能 被某些個人、團體或機構(gòu)通過某種渠道截取、篡改、重發(fā)。 但他們并不一定能夠了解該數(shù)據(jù)的真實內(nèi)容。 由于網(wǎng)絡(luò)交易的非接觸性 ，交易雙方可能對 交易結(jié)果進(jìn)行抵賴 。 在網(wǎng)上的數(shù)據(jù)傳輸可能因通信繁忙出現(xiàn)延遲，或因其它原因出現(xiàn)中斷、停頓或數(shù)據(jù)錯誤， 從而使得網(wǎng)上交易出現(xiàn)延遲、停頓或中斷。 網(wǎng)上發(fā)布的證券交易行情信息可能滯后，與真實情況不完全一致。 數(shù)據(jù)的安全風(fēng)險 因內(nèi)、外因素造成數(shù)據(jù)庫系統(tǒng)管理失控或破壞使用戶的個人資料和業(yè)務(wù)數(shù)據(jù)遭到偷竊、復(fù)制、泄密、丟失，并且無法得到恢復(fù) 網(wǎng)絡(luò)病毒的傳播 或其他原因造成存儲數(shù)據(jù)的丟失和損壞 網(wǎng)站發(fā)布的信息數(shù)據(jù)（包括分析、預(yù)測性資料）有可能被更改、刪除，給證券公司帶來損失。 基礎(chǔ)安全策略 對于一個良好的 安全體系的建立，必須擁有一個良好的安全策略，而所有的安全架構(gòu)和安全防護措施，以及在次基礎(chǔ)上實施的安全管理，都必須是建立在安全策略符合的基礎(chǔ)上的。 針對 XX 證券公司 ，我們需要從幾個方面考慮安全策略的建立。 IT 安全架構(gòu)、IT 管理、緊急響應(yīng)機制、自身管理人員和用戶的安全教育和 IT 安全防護手段。 建立 XX 證券公司 IT 安全架構(gòu)，則是構(gòu)建一個 IT 模型，有效標(biāo)識威脅來源，風(fēng)險的定義和承擔(dān)，必須對 XX 證券公司 的所有資源進(jìn)行有效的標(biāo)識和定義，進(jìn)一步劃分其風(fēng)險的大小，同時，采用何種方式防護或者承擔(dān)。 現(xiàn)代的安全體系的建立，是 和有效的管理機制無法分離的，單純的技術(shù)手段已經(jīng)無法保障一個系統(tǒng)的安全了。而管理體系中，很重要的一個因素將是人的因素，內(nèi)部人員，外部人員和第三方人員、外部入侵者等構(gòu)成了 XX 證券公司 的威脅的主要來源，必須有一套良好的管理機制來保障 XX證券公司 系統(tǒng)的安全運作。 任何防護手段都無法保障 100%的安全性，這已經(jīng)是在安全領(lǐng)域內(nèi)大家已經(jīng)產(chǎn)生的共識。關(guān)鍵在于如何在發(fā)生安全事件以后，有沒有一套緊急響應(yīng)處理機制。 新一代高性能深度內(nèi)容掃描網(wǎng)關(guān) 通過一個什么樣的途徑，由什么人人負(fù)責(zé)，由那些人參加，按照什么樣的流程，采用什么樣的手段來處理安全事件，是緊急響應(yīng)機制 中定義的，同時，也能夠保障發(fā)生了安全事件以后，將威脅和風(fēng)險降到最低。 伴隨著 IT 技術(shù)的發(fā)展，安全威脅也逐漸增長，新的安全漏洞和威脅也越來越多，對于 XX 證券公司 管理人員和用戶本身的要求也越來越高，只有不斷的加強對管理員和用戶進(jìn)行持續(xù)的安全教育，才能夠有效降低安全風(fēng)險。 安全體系 按照安全策略的要求及風(fēng)險分析的結(jié)果，整個證券網(wǎng)絡(luò)安全措施應(yīng)根據(jù)證券網(wǎng)絡(luò)的行業(yè)特點，按照網(wǎng)絡(luò)安全的整體構(gòu)想來建立，具體的安全控制系統(tǒng)由以下幾方面組成： 2.3 威脅來源 當(dāng)確定了防護對象后，再來考慮威脅的來源。針對 XX 證券公司 的網(wǎng)絡(luò)結(jié)構(gòu)現(xiàn)狀，可看出威脅的來源主要在于 來自于廣域網(wǎng) Internet 的入侵 Internet 為 XX 證券公司 之間互聯(lián)互通、外界使用 XX 證券公司 服務(wù)提供了極大的便利。但是，由于 Internet 的開放性，使得在享受各種便利的同時也面臨著來自整個 Internet 世界的威脅。雖然將來可能在內(nèi)部網(wǎng)訪問 Internet 的入口處配置防火墻，但防火墻本 身在安全防護方面具存在一定的缺陷，即它只能提供靜 新一代高性能深度內(nèi)容掃描網(wǎng)關(guān) 態(tài)的、被動的保護，而對動態(tài)的 應(yīng)用層 威脅 如惡意軟件，垃圾信息， SQL 注入，垮站 腳 本攻擊等等 無能為力。適當(dāng)配置的防火墻雖然可以將非預(yù)期的信息屏蔽在外，但我們要訪問 Internet、要收發(fā) Email、要 通過 WEB 交易網(wǎng)站 向 外提供 證券 交易信息 ，就必須 防火墻上打開一些固定的的端口，這樣入侵者還是可以利用這些打開的端口滲透到我們的內(nèi)部網(wǎng)絡(luò)，對我們的網(wǎng)絡(luò)資源進(jìn)行破壞，所以我們還是面臨著來自外部世界的安全威脅。 來自于內(nèi)部用戶的入侵 XX 證券 公司 下屬的分支機構(gòu)，用戶數(shù)量多、并 且地理分布廣泛，收發(fā)電子郵件或上網(wǎng)獲取信息已經(jīng)成為工作中不可缺少的部分，由于各分支機構(gòu)的網(wǎng)管水平不一，在網(wǎng)絡(luò)安全特別是防病毒方面很容易出現(xiàn)漏洞，因此分支機構(gòu)的用戶更容易感染計算機病毒；如果分支結(jié)構(gòu)的用戶感染計算機病毒，不但對本分支結(jié)構(gòu)造成影響，若不及時處理，病毒會迅速在整個 XX 證券 公司 內(nèi)部擴散，也會對其他的分支結(jié)構(gòu)及 XX 證券 公司 總部帶來影響，因此提高 XX 證券 公司 下面分支結(jié)構(gòu)網(wǎng)絡(luò)的安全性對整個 XX 證券 公司 網(wǎng)絡(luò)整體的安全性是非常重要的。 三、 XX 證券公司 安全解決 方案 3.1 方案設(shè)計 結(jié)合以上對 XX 證券公司 網(wǎng)絡(luò)及網(wǎng)絡(luò)安全隱 患的分析，結(jié)合穩(wěn)捷科技公司多年安全防護的項目經(jīng)驗。對 XX 證券公司 網(wǎng)絡(luò)安全提出如下建議： 1）增加基于 Web 的防病毒，防攻擊能力。防止網(wǎng)絡(luò)病毒，木馬對內(nèi)部用戶的侵害，以及外部威脅對 web 服務(wù)器的注入攻擊，同時要增加對內(nèi)網(wǎng)到外網(wǎng)的Web 病毒，木馬等惡意程序的檢測，防止內(nèi)部在不知情的情況下成為“黑客”的幫兇，成為新的網(wǎng)絡(luò)攻擊源。企業(yè) Web 防護基本內(nèi)容如下： 具備對 Web應(yīng)用的病毒傳播進(jìn)行防護； 具備對 Web應(yīng)用的間諜軟件進(jìn)行防護； 具備對 Web應(yīng)用的網(wǎng)絡(luò)釣魚行為進(jìn)行阻斷； 具備對 Web應(yīng)用的惡意 URL地址進(jìn)行阻擋； 具備對 web服務(wù)器 SQL 注入以及跨站腳本攻擊防護 ； 新一代高性能深度內(nèi)容掃描網(wǎng)關(guān) 具備對 Web應(yīng)用的非工作相關(guān)站點的訪問進(jìn)行控制。 2）增加基于 Email（ SMTP,POP3,IMAP）的防病毒，防攻擊能力，防止惡意程序通過 Email 方式進(jìn)行傳播，同時增加垃圾郵件控制功能，保護寶貴的網(wǎng)絡(luò)帶寬資源，避免垃圾郵件對員工的騷擾。同時要增加對內(nèi)網(wǎng)到外網(wǎng)的 Email 傳輸檢測，防止 Email Server 在不知情的情況下成為網(wǎng)絡(luò)“僵尸”，成為新的網(wǎng)絡(luò)攻擊源。建議 IDC Email 防護的基本內(nèi)容如下： 具備對 Email應(yīng)用的病毒傳播進(jìn)行防護； 具備對 Email應(yīng)用的間諜軟件進(jìn)行防護； 具備對 Email應(yīng)用的網(wǎng)絡(luò)釣魚行為進(jìn)行阻斷； 具備對 Email應(yīng)用的垃圾郵件智能過濾功能； 具備對 Email應(yīng)用的未知惡意程序啟發(fā)式掃描功能； 3）增加基于常見網(wǎng)絡(luò)數(shù)據(jù)傳輸協(xié)議（ FTP）的防病毒，防攻擊能力，增加對用戶頻繁使用的 FTP 數(shù)據(jù)傳輸協(xié)議的控制能力，防止惡意程序通過 FTP 協(xié)議高速的特點，在短時間內(nèi)大規(guī)模的擴散。從而對更多的無辜用戶造成更大的危害。 3.2 解決 方案 本方案將從 WEB 應(yīng)用安全的角度， 對來 自 Internet 外部 網(wǎng)絡(luò) 和內(nèi)部用戶的入侵行為進(jìn)行實時防御 ，保護 XX 證券公司的 郵件服務(wù)器、 FTP 服務(wù)器、證券交易 WEB 服務(wù)器以及對 XX 證券公司 辦公網(wǎng)絡(luò)系統(tǒng)的保護 以 免遭 網(wǎng)絡(luò)釣魚、病毒入侵、木馬、惡意軟件、垃圾郵件 等等攻擊等因素 進(jìn)行綜合設(shè)計。 同時也保護了訪問用戶。 XX 證券 公司 下屬的分支機構(gòu)，用戶數(shù)量多、并且地理分布廣泛，收發(fā)電子郵件或上網(wǎng)獲取信息已經(jīng)成為工作中不可缺少的部分，由于各分支機構(gòu)的網(wǎng)管水平不一，在網(wǎng)絡(luò)安全特別是防病毒方面很容易出現(xiàn)漏洞，因此分支機構(gòu)的用戶更容易感染計算機病毒；如果分支結(jié)構(gòu)的用戶感染計算機病毒，不但對 本分支結(jié)構(gòu)造成影響，若不及時處理，病毒會迅速在整個 XX 證券 公司 內(nèi)部擴散，也會對其他的分支結(jié)構(gòu)及 XX 證券 公司 總部帶來影響，因此提高 XX 證券 公司 下面分支結(jié)構(gòu)網(wǎng)絡(luò)的安全性對整個 XX 證券 公司 網(wǎng)絡(luò)整體的安全性是非常重要的。 穩(wěn)捷 公司建議在 XX 證券 公司 的 總部和 各地分支 營業(yè) 機構(gòu)的 Internet 出口處 新一代高性能深度內(nèi)容掃描網(wǎng)關(guān) 部署 Besecure NDP WEB 安 全 網(wǎng)關(guān) 進(jìn)行隔離，做到未雨綢繆，將各類惡意程序抵御 在 XX 證券公司 網(wǎng)絡(luò)之外；防止各類垃圾郵件進(jìn)入 XX 證券公司網(wǎng)絡(luò) 內(nèi)部， 防止外部以及內(nèi)部感染肉雞對 WEB 服務(wù)器的篡改攻擊 。 同 時 總部 交易網(wǎng)的 Internet的入口處 ，部署 穩(wěn)捷 公 司 NDP WEB 安 全 網(wǎng)關(guān) 產(chǎn)品能夠?qū)νㄟ^ HTTP 協(xié)議訪問網(wǎng)頁進(jìn)行病毒過濾， 內(nèi)容清洗， 同時對通過 POP3 以及 IMAP 協(xié)議接受公共郵箱郵件進(jìn)行病毒過濾和垃圾郵件過濾。 穩(wěn)捷 公 司 NDP WEB 安全網(wǎng)關(guān) 通過高效的病毒引擎和透明的工作方式， 不用改動網(wǎng)絡(luò)配置，實現(xiàn)對應(yīng)用服務(wù)器群進(jìn)行保護 ， 以及 “零 ”管理成本，能夠?qū)⒘餍械挠嬎銠C病毒拒之 “墻外 ”，從而確保了分支機構(gòu)局域網(wǎng)的安全 和辦公系統(tǒng)的安全， 按照 XX 證券公司 網(wǎng)絡(luò)實際使用迫切需求， 首先對 XX 證券公司 總部和營業(yè)部的辦公網(wǎng)絡(luò)系統(tǒng)進(jìn)行保護。同時 ， 證券交 易業(yè)務(wù)系統(tǒng) 中 證券交易網(wǎng)站服務(wù)器的安全 也 是重中之重 ， 所以在 XX 證券公司 總部的交易網(wǎng)的 Internet 出口處部署 穩(wěn)捷 公 司 NDP WEB 安全網(wǎng)關(guān)， 對證券交易網(wǎng) 進(jìn)行 安全保護。 具體 的網(wǎng)絡(luò) 拓?fù)鋱D 如下： 新一代高性能深度內(nèi)容掃描網(wǎng)關(guān) 通過在網(wǎng)絡(luò)中合理的部署 BeSecure NDP 系列 安全網(wǎng)關(guān)設(shè)備 ，可以有效的提升網(wǎng)絡(luò)的安全級別，為網(wǎng)絡(luò)用戶提供良好的保護措施。其顯著的特色如下： 立體式多重防護 通過 BeSecure 保護客戶端、保護內(nèi)網(wǎng)、保護服務(wù)器群，配合現(xiàn)有的終端防病毒軟件，形成“三位一體”防護理念。首先是防護由外到內(nèi)的威脅，其次是防護內(nèi)部客戶端攻擊內(nèi)部服務(wù)器，最后是阻止內(nèi)部重要信息向外傳輸。這樣就能有效的把威脅降到最低。 新一代高性能深度內(nèi)容掃描網(wǎng)關(guān) 高性能、無瓶頸 在網(wǎng)關(guān) internet 出口處部署高性能的穩(wěn)捷 web 安全網(wǎng)關(guān)，首先 重點解決了網(wǎng)關(guān)病毒掃描所造成的性能瓶頸問題，從而在保證安全掃描的前提下，大大提高了用戶訪問 Web 的速度。 高效，準(zhǔn)確，可靠的安全防護技術(shù) 穩(wěn)捷網(wǎng)絡(luò)安全設(shè)備的防病毒技術(shù)， 反 垃圾郵件 掃描以及 URL 信譽等 級評分及分類 分別與世界知名的防病毒廠商卡巴斯基 、反垃圾郵件廠商 cloudmark 和世界著名安全廠商 McAfee 共同合作開發(fā)， 防病毒特征碼數(shù)據(jù)庫已經(jīng)達(dá)到了 400 萬條目級別，遠(yuǎn)遠(yuǎn)的超出了同類安全廠商的產(chǎn)品 。 利用 URL 信譽評分系統(tǒng) 提供的基于信譽和基于分類的過濾組合，攔截通過員工下載入侵網(wǎng)絡(luò)的病毒和惡意軟件 ，URL 庫達(dá)到 100 種分類， 3000 多 萬條目。 全球超過 100 家有線和無線運營商，如 Comcast、 Earthlink、 Cox Communications、 Swisscom、 Tele2、 KPN 等，共同使 用穩(wěn)捷網(wǎng)絡(luò) 核心郵件安全解決方案。 來自全球范圍的 one billion 報告源進(jìn)行接收、分析、驗證和傳遞的同時，采用高級指紋編碼算法實時識別 垃圾郵件威脅變種。 零時差威脅保護 為了達(dá)到零時差保護， BeSecure 采用了 啟發(fā)式智能分析 架構(gòu)來識別新的安全威脅，在攻擊 到達(dá)用戶網(wǎng)絡(luò)之前主動阻止新型的惡意軟件、釣魚攻擊、垃圾郵件、惡意 URL 站點 和網(wǎng)絡(luò)僵尸、蠕蟲等。它每天從大量數(shù)據(jù)源（如 “ 零時差惡意軟件特征碼 ” 、 “ 釣魚攻擊檢測 ” 、 “ 全球威脅響應(yīng)中心 ” 、 “ URL 信譽 ” “ ip信譽” 等）中探測 20 億個事件。 簡單，便捷的產(chǎn)品 部署 BeSecure 可以 提供安全方便的純透明網(wǎng)橋部署， 很容易地部署到任何節(jié)點的網(wǎng)絡(luò)上，而不需要網(wǎng)絡(luò)重新搭建或額外的硬件。 只需要簡單的將 NDP 設(shè)備安裝在受保護網(wǎng)絡(luò)的網(wǎng)關(guān)位置，不需要對網(wǎng)絡(luò)中的 IP 地址規(guī)劃做任何修改， 就可以立即提供對網(wǎng)絡(luò)的保護作用。真正做到“即插即用” 豐富，詳細(xì)的日志及用戶報表統(tǒng)計功能 BeSecure 在具有強度的安全防護功能的同時，它還可以根據(jù)用戶的需要，為用戶提供了多種多樣的統(tǒng)計，及圖形化報表。同時，用戶還可以在設(shè)備管理界 新一代高性能深度內(nèi)容掃描網(wǎng)關(guān) 面中，實時的查看設(shè)備硬件負(fù)載情況包括 CPU 利用率，內(nèi)存占用率， 協(xié)議使用等信息。極大的方便用戶查看，分析，評估網(wǎng)絡(luò)安全狀況。 最后 通過穩(wěn)捷科技專屬咨詢服務(wù)，幫助用戶設(shè)計防病毒系統(tǒng)發(fā)展規(guī)劃，梳理內(nèi)部流程，提供運維支持和專業(yè)培訓(xùn)服務(wù)、員工科普培訓(xùn)服務(wù)，甚至提供外派技術(shù)人員常駐客戶方，協(xié)助用戶開展具體的防病毒工作，如支持下屬分支機構(gòu)的產(chǎn)品和病毒問題，定期提供病毒分析報告，評估防病毒體系，分支機構(gòu)巡檢等多種形式的服務(wù)。 四、 Besecure NDP 系列安全產(chǎn)品 解決方案 4.1 產(chǎn)品介紹 穩(wěn)捷網(wǎng)絡(luò)通過始終不移的研發(fā)投資以確保全球最高性能的 WEB安全技術(shù)領(lǐng)先地位 , 優(yōu)化整合最優(yōu)秀的檢測算法 (防病毒 ,防垃圾郵件 , 內(nèi)容過濾 , 網(wǎng)址過濾 , 關(guān)鍵字過濾 ) , 專注于渠道的開發(fā)與支持，不斷向客戶提供卓越易銷的 WEB安全功能及成功案例。 NDP (Network Data Processing)是由穩(wěn)捷網(wǎng)絡(luò)首創(chuàng)的針對網(wǎng)絡(luò)應(yīng)用數(shù)據(jù)的高精度高速 (吉比特 )深度內(nèi)容檢測技術(shù) ,基于此項技術(shù) ,穩(wěn)捷網(wǎng)絡(luò)的 WEB安全設(shè)備 ,BeSecure系列產(chǎn)品 ,使企業(yè)服務(wù)商及運營商準(zhǔn)確實時地檢測攔截抵御來自 WEB及郵件的威脅 ,提高工作效率 ,有效阻斷資料數(shù)據(jù)的泄露 : BeSecure Internet Gateway 是 多功能的整合安全設(shè)備，提供 Web安全(防病毒，內(nèi)容過濾，網(wǎng)址攔截 )和郵件安全 (垃圾郵件病毒內(nèi)容過濾 )服務(wù)。 BeSecure Web Gateway 是提供 Web防病毒，網(wǎng)頁內(nèi)容過濾和網(wǎng)址攔截等服務(wù)的高性能整合網(wǎng)絡(luò)安全設(shè)備。 BeSecure Web AV Gateway 是一個在網(wǎng)絡(luò)應(yīng)用數(shù)據(jù)層攔截網(wǎng)絡(luò)惡意攻擊，間諜軟件和病毒的高效能的解決方案。 BeSecure Message Gateway 能每小時對 650萬封郵件進(jìn)行深度內(nèi)容檢測 , 是一個有效高速的檢測攔截抵御垃圾郵件 , 病毒及 資料數(shù)據(jù)泄露威脅 新一代高性能深度內(nèi)容掃描網(wǎng)關(guān) 的郵件安全設(shè)備。 新一代穩(wěn)捷 WEB 安全網(wǎng)關(guān)技術(shù) , 實時準(zhǔn)確高效全面地為您提供可靠易行的 WEB 內(nèi)容安全傳統(tǒng)的基于網(wǎng)絡(luò)的安全解決方案包括防火墻及入侵檢測 /入侵防御系統(tǒng)（ IDS/IPS），防火墻通過對數(shù)據(jù)包包頭的檢測可決定阻止或允許對特定端口的訪問， IDS/IPS 可進(jìn)一步對數(shù)據(jù)包內(nèi)容進(jìn)行簡單檢測以發(fā)現(xiàn)數(shù)據(jù)包是否有攻擊傾向。兩者對來自互聯(lián)網(wǎng)的內(nèi)容攻擊及有害內(nèi)容都是無能為力的，因為這類攻擊大多是包含多個數(shù)據(jù)包且隱含于壓縮或混碼之中。通俗的講，防火墻是閘口，數(shù)據(jù)只能通過打開的閘口，而 IDS/IPS 就像一個粗篩，對污水只能進(jìn)行大的污染物的過濾，當(dāng)前，僅有防火墻和 IDS/IPS 已無法滿足對 WEB 安全的要求，而 BeSecure 則像是細(xì)篩，過濾后，“水”的品質(zhì)可達(dá)到直接“飲用”，完全滿足對 WEB 安全的要求。 主要優(yōu)勢高效率 ,實時 ,深層 ,全覆蓋的網(wǎng)絡(luò)數(shù)據(jù)處理技術(shù)(專利 ) 以提供最完整全面的內(nèi)容網(wǎng)關(guān)安全服務(wù)優(yōu)化整合高精確度 ,世界領(lǐng)先的模式識別算法以提供最準(zhǔn)確的識別率高可靠性 ,靈活 ,簡便的網(wǎng)絡(luò)集成及管理界面以提供最快速的 WEB 安全方案實施與維護，主要功能間諜軟件廣告軟件及惡意軟件實行實時 Web 防護。 4.2 功能描述 對經(jīng)過網(wǎng)關(guān)的 WEB 數(shù)據(jù)進(jìn)行實時深度檢測以鑒別病毒間諜軟件廣告軟件及惡意軟件的攻擊。每小時可檢測 1150 萬個網(wǎng)頁。準(zhǔn)確率達(dá) 100% 可選擇性地根據(jù)網(wǎng)頁內(nèi)容分類以對 WEB 的使用進(jìn)行檢測或阻擋。支持 100 個內(nèi)容分類 庫 ， 3000 多 萬個網(wǎng)址數(shù)據(jù)庫。 可制定對關(guān)鍵字（包括有復(fù)雜結(jié)構(gòu)關(guān)鍵字組）進(jìn)行檢測或阻擋，防止數(shù)據(jù)泄露或?qū)﹂T戶網(wǎng)站的攻擊。 對經(jīng)過網(wǎng)關(guān)的電子郵件進(jìn)行實時深度檢測以鑒別垃圾郵件病毒間諜軟件廣告軟件及惡意軟件的攻擊。每小時可檢測 650 萬封電子郵件。準(zhǔn)確率達(dá) 98%。 可 制定對網(wǎng)址訪問進(jìn)行檢測或阻擋，以檢測或阻攔炒股或?qū)Σ涣純?nèi)容及與工作無關(guān)內(nèi)容的訪問 ,提高工作效率 ,優(yōu)化網(wǎng)絡(luò)使用 。 世界領(lǐng)先全透明嵌入代理模式可快速完成方案整合。 新一代高性能深度內(nèi)容掃描網(wǎng)關(guān) 4.3 產(chǎn)品型號說明 NDP-1005D NDP-1005G NDP-1020N NDP-1038 NDP-2040 在線吞吐量（ Mbps） 150Mbps 500Mbps 700 Mbps 1 Gbps 3Gbps 電子郵件 (封 /小時 ) 150,000 2,250,000 2,500,000 2,850,000 5,000,000 HTTP(頁 /小 時 ) 1,500,000 6,750,000 7,500,000 9,000,000 17,500,000 推薦用戶數(shù) (所有服務(wù)全激合 ) 200 1000 2,000 4,000 10,000 硬件 平臺類型 專用硬件平臺 專用硬件平臺 專用硬件平臺 專用硬件平臺 專用硬件平臺 網(wǎng)絡(luò)接口 10/100/100Bast-TX4w/ LAN Bypass 10/100/100Bast-TX 4w/ LAN Bypass 10/100/100Bast-TX 4w/ LAN Bypass 4GbECopper+2GbE SL w/ LAN Bypass 4GbECopper+2GbE SL w/ LAN Bypass 4.4 BeSecure 網(wǎng)絡(luò)數(shù)據(jù)處理技術(shù) 4.4.1 BeSecure 專利的“ Subsonic”技術(shù) Subsonic 技術(shù)（ PCT/CA2007/000020， USPTO 11/620,556）是為解決 NBCI 應(yīng)用程序的關(guān)鍵性能問題而開發(fā)的。 Subsonic 的關(guān)鍵設(shè)計目標(biāo)是在本地和城域網(wǎng)絡(luò)中克服 NBCI 的性能障礙。今天，繁忙的網(wǎng)絡(luò)連接經(jīng)常通過多種網(wǎng)絡(luò)協(xié)議同時承載著數(shù)百或數(shù)千個網(wǎng)絡(luò)通信會話。 NBCI 設(shè)備需要能夠處理這種大尺度并發(fā)。 Subsonic 的體系結(jié)構(gòu)框架是使用 Linux 內(nèi)核實現(xiàn)的，它使用本機 POSIX 線程庫 (NPTL) 來配合輕型 NPTL 線程所處理的每個傳輸流掃描會話。此途徑有效地減少了處理單個掃描會話的系統(tǒng)資源需求和上下文切換時間。圖 21 將 Subsonic 以 NPTL 為基礎(chǔ)的網(wǎng)絡(luò)吞吐量與常規(guī)的基于 進(jìn)程的吞吐量進(jìn)行比較?？梢杂^察到， Subsonic NPTL 快了至少 10 倍。 新一代高性能深度內(nèi)容掃描網(wǎng)關(guān) 圖 1：多線程與多進(jìn)程 一旦負(fù)載數(shù)據(jù)被獲取并檢查其指紋，該算法可以確定此負(fù)載數(shù)據(jù)是否 已在之前被檢查過。如果是，則直接檢索以前的檢查結(jié)果，而不應(yīng)用通常昂貴的內(nèi)容檢查算法。 因為諸如 SHA-1 這樣的指紋算法是流式算法，并且在應(yīng)用指紋算法時我們可以不擔(dān)心所截取的負(fù)載的內(nèi)部存檔結(jié)構(gòu)，因此，指紋程序的執(zhí)行速度要比運行內(nèi)容檢查算法快很多。圖 22 是通過對負(fù)責(zé)處理有 23 個 LAN 節(jié)點的網(wǎng)絡(luò) NBCI 設(shè)備進(jìn)行常規(guī)內(nèi)容檢查和執(zhí)行 SHA1 算法所產(chǎn)生的性能數(shù)據(jù)進(jìn)行采樣所獲得的?？梢杂^察到，文件越大，則使用內(nèi)容識別途徑時的增益越大，并且可能的性能增益超過 60 倍。通過對負(fù)載進(jìn)行流處理而不做任何 計 算，從而度量出理論上限。 由于 NDP 設(shè)備對網(wǎng)絡(luò)應(yīng)用傳輸流進(jìn)行深度檢測，所以，當(dāng)包含復(fù)雜壓縮組件的大型負(fù)載到達(dá)時， NDP 將花費很多系統(tǒng)資源對此特定通信會話進(jìn)行內(nèi)容檢查。 具體來說， TQD 線程管理器是為管理掃描線程的優(yōu)先級而開發(fā)的。當(dāng)創(chuàng)建掃描線程時，它會注冊到 TQD 線程管理器。管理器按時間循環(huán)，并隨著過去的時間減少每個線程的優(yōu)先級和存活時間 (TTL)。它還會清理掉持續(xù)時間太長的線程，即 TTL 小于 0 的線程?？梢园催\行窗口中每單位時間的哈希沖突概率和傳輸流量的函數(shù)來自動計算 TTL。 圖 3 摘自 2003 年 5 月第 21 卷第 2 號的 ACM Transactions on Computer Systems中的 HARCHOL-BALTER, etc。此研究表明， TQD 算法對最小 80% 的文件的受益為 10 倍以上，而超過最高 1% 的所有請求受益也可達(dá) 5倍以上。 新一代高性能深度內(nèi)容掃描網(wǎng)關(guān) 圖 2： 內(nèi)容檢查（常規(guī)掃描）與指紋 (SHA1) 的性能 圖 3: 平均響應(yīng)時間 (TQD) 與常規(guī)途徑 4.4.2 采用 Green Stream 技術(shù)以降低滯后 將 NBCI 系統(tǒng)部署到網(wǎng)絡(luò)中時，它可能帶來更多滯 后。對于已經(jīng)遇到穩(wěn)定性問題的網(wǎng)絡(luò)來 說，此滯后將使這些問題變得更為嚴(yán)重。據(jù)報告，某些 NBCI 系統(tǒng)會導(dǎo)致應(yīng)用程序發(fā)生更多的連接中斷。由于內(nèi)容檢查所引入的滯后，第一個數(shù) 新一代高性能深度內(nèi)容掃描網(wǎng)關(guān) 據(jù)包會在應(yīng)用程序會話已超時之后才來到。 NDP Green Stream 技術(shù)是為解決此“第一個數(shù)據(jù)包”問題而開發(fā)的。使用 Green Stream 后，將極大減少網(wǎng)絡(luò)滯后。對于大型負(fù)載，這種減少可以是 10 到 20 倍，從而使 Green Stream 成為非常有效的技術(shù)。 4.4.3 支持新協(xié)議 不同的協(xié)議有不同的握手序列和不同的負(fù)載格式。但是，在 NBCI 方面，有很多通用的任務(wù)，比如調(diào)用內(nèi)容檢查算法、連接管理、配置加載 /備份等。 NDP 提供了高級建模能力（稱為協(xié)議工廠），以便跨越特定協(xié)議的細(xì)節(jié)實現(xiàn)來實現(xiàn)這些任務(wù)。對于新協(xié)議，此建模能力允許穩(wěn)捷網(wǎng)絡(luò)迅速開發(fā)出針對此協(xié)議的掃描器。 4.4.4 開放式服務(wù)總線 一旦 Subsonic 引擎重新構(gòu)造數(shù)據(jù)負(fù)載之后，就會將它路由到多種內(nèi)容檢查服務(wù)進(jìn)行數(shù)據(jù)處理，比如標(biāo)識和刪除威脅。這些服務(wù)可以是惡意軟件檢測、垃圾郵件檢測和規(guī)則遵守實施。 為了滿足提供高準(zhǔn)確和高性能內(nèi)容檢查服務(wù)和引入新服務(wù)的需要，BeSecure 采用了開放式 服務(wù)總線 (OSB)。 OSB 是高性能的多線程系統(tǒng)后臺程序，它調(diào)用最佳類型的第三方內(nèi)容檢查服務(wù)。 在作為高性能的多線程系統(tǒng)后臺程序運行時， OSB 將對 Subsonic 引擎所路由的數(shù)據(jù)負(fù)載應(yīng)用一組內(nèi)容檢查和優(yōu)化算法。該路由通過基于共享內(nèi)存機制的進(jìn)程間通信完成。這些內(nèi)容檢查算法通常由第三方供應(yīng)商以軟件庫的形式提供。圖 4 演示了 Subsonic 引擎、 OSB 和內(nèi)容檢查服務(wù)之間的高層關(guān)系。 新一代高性能深度內(nèi)容掃描網(wǎng)關(guān) 圖 4：開放式服務(wù)總線 OSB 體系結(jié)構(gòu)提供以下優(yōu)點： 跨所有應(yīng)用程序協(xié)議的統(tǒng)一內(nèi)容檢查服務(wù)。 對第三方內(nèi)容檢查 服務(wù)容錯。 OSB 監(jiān)視第三方模塊的服務(wù)可用性。如果檢測到失敗，則 OSB 強制啟動另一個服務(wù)實例。 比獨立第三方服務(wù)更高的性能。基于共享內(nèi)存的 IPC 允許檢查吞吐量大幅提高。 多線程服務(wù)調(diào)用機制充分利用了今天的多核多處理器硬件平臺。 數(shù)據(jù)負(fù)載僅需要一次路由到 OSB，便可以完成所有內(nèi)容檢查服務(wù)。 通過對一組簡單的 API 進(jìn)行測試，可以確保第三方服務(wù)的質(zhì)量。因此，具有更新算法的版本可以很容易集成到 NDP OS 中。 可以很容易集成新服務(wù)，以實施針對內(nèi)容的新策略。 新一代高性能深度內(nèi)容掃描網(wǎng)關(guān) 4.5 BESECURE 反惡意軟件掃描 技術(shù) 為了 獲得能夠應(yīng)對提供完整的反惡意軟件保護這一挑戰(zhàn)所需的準(zhǔn)確性和性能，必須采用“最佳”解決方案。同世界知名的防病毒廠商卡巴斯基合作，共同開發(fā)了防病毒引擎并集成了 Kaspersky Lab 的贏得獎項的惡意軟件指紋數(shù)據(jù)庫集成。借助與分布全球 150多個國家的防病毒試驗中心， BeSecure產(chǎn)品具業(yè)界最準(zhǔn)確的惡意軟件掃描能力。 最優(yōu)啟發(fā)式 檢 測技術(shù) 它利用多種主動探測技術(shù)（啟發(fā)式、遺傳式和行為式）的組合對未知惡意軟件程序進(jìn)行零時間檢測。 從惡意軟件產(chǎn)生，到防病毒廠家檢測、分析、并加入特征庫，再到用戶下載并使用新的特征庫 ，存在著一個相當(dāng)大的時差。而 Besecure 的啟發(fā)式檢測 技術(shù)則消除了這個時間差 。 特征庫覆蓋率是其它眾多同類產(chǎn)品的 100 倍，使用這個特征庫，可以全面檢測并阻止病毒、間諜軟件和其它惡意軟件。 可以同時阻止間諜軟件回傳、偷渡式下載等，來避免更大的損失，保護重要信息。 所支持的最大打包格式數(shù) 反病毒解決方案應(yīng)當(dāng)能夠掃描對象，無論它們是如何或多少次被壓縮、打包、存檔或嵌入到安裝程序中的。 BeSecure 支持大約 2,000 種不同類型的打包程序、存檔和安裝程序 。 4.6 Web 安全 過濾 技術(shù) Internet 對于當(dāng) 今業(yè)務(wù)發(fā)展來說不可或缺。 然而，隨著博客、維基、社交站點等多種互動性功能的出現(xiàn)，動態(tài)化的 Web 2.0 環(huán)境給企業(yè)帶來了棘手的安全難題。 當(dāng)用戶訪問被感染的網(wǎng)站時，惡意代碼和 Web 病毒就會“悄無聲息”地進(jìn)入網(wǎng)絡(luò)。 穩(wěn)捷的 web安全過濾功能 將助您遠(yuǎn)離這些風(fēng)險。 這是一款智能化 Web 過濾解決方案，旨在防止員工訪問那些可能導(dǎo)致病毒、惡意軟件和其他安全風(fēng)險的網(wǎng)站，同時幫助您減少法律責(zé)任、充分提升員工效率并節(jié)約帶寬以保證業(yè)務(wù)活動順暢開展，有效確保企業(yè)安全。 新一代高性能深度內(nèi)容掃描網(wǎng)關(guān) 此功能 可以讓您 了解、過濾和監(jiān)控 Internet 的使用情況，同時幫助您有效控制傳出的 Web 訪問，預(yù)防可能出現(xiàn)的各種 Web 威脅。 穩(wěn)捷 WEB安全過濾 采用實時信譽評分和類別過濾組合，前瞻、可靠地執(zhí)行檢測，幫助您有效攔截當(dāng)今 Web 2.0 環(huán)境中的間諜軟件、網(wǎng)絡(luò)釣魚詐騙、惡意軟件以及其他安全威脅。 信譽評分 技術(shù)可以前瞻地查找和報告與可疑來源之間的流量，并通過 BeSecure 進(jìn)行攔截。 信譽評分 借助全局信譽網(wǎng)絡(luò)和 Internet 實體知識，識別潛在的惡意行為，包括指示意圖散播惡意代碼的操作。 對于基于分類的過濾， 穩(wěn)捷網(wǎng)絡(luò) 提供了一個成熟的 URL存儲 庫，包含 100 個分類、 3000 多萬個可阻止站點。 URL存儲庫 由掌握一流技術(shù)的多語 Web 分析專家合力打造，擁有無與倫比的范圍、品質(zhì)和準(zhǔn)確率。 充分利用全面和細(xì)化的類別范圍； 穩(wěn)捷網(wǎng)絡(luò) 提供了一個成熟的存儲庫，包含 100 多個分類、 3000 多萬個可阻止站點 借助 信譽 中心 提供的實時評分功能加強基于類別的過濾；前瞻、可靠地檢測當(dāng)今 Web 2.0 環(huán)境中的間諜軟件、網(wǎng)絡(luò)釣魚詐騙、惡意軟件以及其他安全威脅 快速了解企業(yè)內(nèi)部如何使用 Web，進(jìn)而詳細(xì)分析趨勢、隔離問題、記錄不當(dāng)?shù)?Web 活動并定制過濾 設(shè)置以有效實施 Web 使用策略 指定特定時間里可以覆寫過濾規(guī)則的用戶，排除您希望特定群組或用戶訪問的站點，并創(chuàng)建定制類別以更好地實施企業(yè)獨特的 Internet 訪問策略 4.7 Email 過濾技術(shù) 高性能 BeSecure 網(wǎng)絡(luò)數(shù)據(jù)處理技術(shù)提供了業(yè)界最高級的反垃圾郵件解決方案。 BeSecure 在 OSI 第 7 層工作，并且獨立于任何 MTA，它提供以下功能： 基于頻繁更新的垃圾郵件指紋數(shù)據(jù)庫，檢查通過它傳輸?shù)娜魏坞娮余]件（ POP、 IMAP、 SMTP）中是否有垃圾郵件和仿冒消息。 檢測在圖像中嵌入的垃圾郵 件。 通過一個遍布全球的信任網(wǎng)絡(luò)不斷對新垃圾郵件進(jìn)行特征提取以匯總到垃圾郵件指紋數(shù)據(jù)庫中，從而不斷提高檢測率。 新一代高性能深度內(nèi)容掃描網(wǎng)關(guān) 基于正則表達(dá)式 (regex) 的 IETF 電子郵件標(biāo)題白名單。 可以用于為電子郵件添加戳記以便進(jìn)行下游檢疫、刪除或分析的可自定義垃圾郵件標(biāo)記。 相 比傳統(tǒng)方法或基于直觀判斷的解決方案， BeSecure 獨樹一幟地利用網(wǎng)絡(luò)化智囊資源，以更迅速、更準(zhǔn)確和更理想的性能阻止郵件攻擊及其變種。下列技術(shù)緊密協(xié)作，可確保極高的準(zhǔn)確率，并在面對新威脅時以最快的速度 做出 反應(yīng)： Advanced Message Fingerprinting（高級郵件指紋編碼技術(shù)） 由極其復(fù)雜的指紋編碼算法技術(shù)生成數(shù)字指紋編碼，可準(zhǔn)確識別所有語言和文件格式條件下的郵件濫用及其變種。輕量型的指紋編碼僅占用傳統(tǒng)內(nèi)容過濾系統(tǒng)所用 CPU 的一小部分，可以快速處理郵件。要應(yīng)對新的威脅，只需添加額外的指紋編碼算法即可，而無需重新架構(gòu)方案。 Global Threat Network（全球威脅響應(yīng)網(wǎng)） 依靠 穩(wěn)捷網(wǎng)絡(luò) 的 Advanced Message Fingerprinting（高級郵件指紋編碼技術(shù)）算法和 Global Threat Network（全球威脅響應(yīng)網(wǎng)）系統(tǒng)， 穩(wěn)捷網(wǎng)絡(luò) 能以最快的響應(yīng)速度抵御新的攻擊。全球威脅響應(yīng)網(wǎng)擁有超過 7 億個報告源，包括反濫用團隊、系統(tǒng)管理員、用戶和“蜜罐”系統(tǒng)，這些報告源實時向 穩(wěn)捷網(wǎng)絡(luò)反饋有關(guān)威脅數(shù)據(jù)的信息。 Trust Evaluation System（可信度評估系統(tǒng)） (TES) 穩(wěn)捷網(wǎng)絡(luò) 的 Trust Evaluation System（可信度評估系統(tǒng)）可以實時分析并驗證威脅數(shù)據(jù)信息，只對真正的郵件濫用進(jìn)行堵截，而合法郵件則可以快速地抵達(dá)收件人的郵箱。一旦郵件被定義為威脅或合法郵件，該信息將立 即傳遞給全世界的 穩(wěn)捷網(wǎng)絡(luò) 用戶。 新一代高性能深度內(nèi)容掃描網(wǎng)關(guān) 信任評估系統(tǒng) 4.8 關(guān)鍵字過濾技術(shù) BeSecure 提供的獨特的關(guān)鍵字過濾功能可以讓數(shù)據(jù)會話與關(guān)鍵字類別進(jìn)行匹配，以阻止數(shù)據(jù)泄露。數(shù)據(jù)損失阻止 (DLP) 是一條計算機安全術(shù)語，是指那些通過深入內(nèi)容檢查和集中管理框架對在使用中的數(shù)據(jù)（比如終端節(jié)點操作）、運動中的數(shù)據(jù)（比如網(wǎng)絡(luò)操作）和靜止的數(shù)據(jù)（比如數(shù)據(jù)存儲）進(jìn)行標(biāo)識、監(jiān)視和保護的系統(tǒng)。提供 DLP 措施的主要業(yè)務(wù)動機是： 法規(guī)遵守 很多公司受到政府規(guī)章和報表法律條款的約束，要求他們對信息進(jìn)行控制，這些法規(guī)包括醫(yī)療保 險方面的“健康保險可移植性及可記帳性法案” (HIPAA)、金融方面的“ Gramm-Leach-Bliley 法案” (GLBA) 和 BASEL II 協(xié)議、“支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)” (PCCI DSS) 以及針對公共貿(mào)易公司的 Sarbanes-Oxley 法規(guī)。這些法規(guī)中有一些規(guī)定了信息技術(shù)內(nèi)部控制及審核機制，如果組織缺少適合的 IT 安全控制過程，則會違反相關(guān)法規(guī)。 新一代高性能深度內(nèi)容掃描網(wǎng)關(guān) 客戶信息丟失 客戶信息的大量丟失已經(jīng)成為常見的頭條新聞，這會迫使公司重新發(fā)布卡片、通知客戶并減輕負(fù)面公開造成的信譽損失?？蛻粜畔G失通 常發(fā)生在服務(wù)器被誘惑執(zhí)行暴露其技術(shù)漏洞的命令，從而導(dǎo)致其防御能力降低。例如，以網(wǎng)頁請求提交 SQL 命令的 SQL 注入會導(dǎo)致這類事故。 作為 BeSecure 的服務(wù)的組成部分， BeSecure 的關(guān)鍵字過濾功能可以用于執(zhí)行以下任務(wù)： 防止數(shù)據(jù)在傳輸中被竊取 用戶可設(shè)置策略對與預(yù)置類別（比如信用卡信息、社會安全號碼或使用 POSIX 樣式的通配符語法的用戶編程表達(dá)式）相匹配的內(nèi)容的傳輸情況進(jìn)行阻止和 /或監(jiān)視。 IT 審核 可以對傳輸中數(shù)據(jù)進(jìn)行檢測以判斷是否違反法規(guī)。例如，有人從服務(wù)器群獲取病歷時， 可以對其跟蹤。 提供額外級別的惡意軟件保護 除了 BeSecure 的惡意軟件保護模塊以外，還可防止跨站點腳本攻擊， SQL 注入或惡意文件執(zhí)行。 4.9 BeSecure 技術(shù)亮點 功能 說明 1 管理接口語言支持 提供英語、簡體中文、繁體中文、日語和韓文管理接口 2 配置管理 可以通過基于 HTTPS 的 Web 管理接口從任何聯(lián)網(wǎng)計算機實施管理 基于 XML over HTTPS 的 API，用于自定義的大規(guī)模管理集成 支持 SN