Check-Point證券行業(yè)應用案例

證券行業(yè)應用案例業(yè)務系統背景業(yè)務系統介紹券商的重要業(yè)務系統包括交易、清算、行情、財務、辦公等系統。其中，交易與行情系統主要用于對外發(fā)布給客戶使用，清算系統主要用于連接第三方合作伙伴(如銀行、證券交易所等)使用，而辦公與財務系統僅供內部使用；交易與行情系統又劃分為兩大類：網上交易與行情發(fā)布系統基于B/S架構的網上交易與行情發(fā)布系統基于C/S架構的網上交易與行情發(fā)布系統基于WAP的手機網上交易與行情發(fā)布系統柜臺交易與行情系統公司正常運營依賴于以上的信息系統，尤其對外的集中交易與行情系統面臨更為嚴峻的安全挑戰(zhàn)。安全需求分析交易與行情系統問題：由于通過Internet對外發(fā)布，極易遭受來自Internet的各種攻擊，包括：數據篡改與截取、惡意訪問、密碼破解、系統攻擊、WEB攻擊、DDoS攻擊等需求：結合身份驗證、訪問控制、數據加密、入侵防御、數據備份與審計等多種技術手段保障業(yè)務系統的安全性內部辦公系統問題：移動辦公用戶需要隨時隨地的訪問企業(yè)內部辦公系統，黑客通過控制終端系統實施對企業(yè)內部的滲透與攻擊需求：通過身份認證、訪問控制、終端安全、數據加密等技術保證遠程辦公用戶能夠安全、簡單、快速的訪問企業(yè)內部資源安全域的劃分問題：由于網絡系統極其龐大與復雜，各個系統之間的安全策略與管理需求不盡相同，如果不加以區(qū)分，將無法把大規(guī)模復雜的安全問題簡單化，出現安全事件時難以定位及恢復需求：通過訪問控制、入侵防御、防違規(guī)操作等技術手段，按照不同的訪問規(guī)則、應用需求、安全等級及控制目標，實現大規(guī)模復雜信息系統安全簡化安全需求分析營業(yè)部生產系統問題：柜臺交易與行情等系統需要與總部數據中心互聯，如何保障互聯的安全、可靠性？同時，各種法規(guī)要求營業(yè)部的辦公網與生產網實現物理分離，而如此之多的防火墻又如何才能簡單有效的管理起來？需求：通過訪問控制、VPN等技術實現營業(yè)部與總部之間建立安全可信的數據通道，結合鏈路、防火墻、數據中心的容災技術，保障業(yè)務系統能夠持續(xù)可靠的運行經紀人，大客戶問題：大客戶交易時客戶端的安全性其他安全系統設計(一)交易與行情系統安全設計設計目標：保障系統免遭來自外部的各種攻擊，并實現訪問行為的可視化分析與統計設計方案：CheckPointFW刀片：實現安全的訪問控制，非法請求將被拒絕CheckPointIPS刀片：實現系統入侵檢測/防御，針對系統及應用程序的攻擊將被攔截并記錄CheckPointSecurityManagement：實現訪問行為與攻擊行為的可視化分析與報表統計，幫助安全管理人員快速發(fā)現問題、解決問題設計實現案例防御了不可信網絡的非授權訪問，保證了交易服務器群組的安全性及可控性實現了內網的細粒度策略及通信行為控制實現多安全區(qū)域劃分，保證重要業(yè)務區(qū)域的安全性

安全系統設計(二)內部辦公系統安全設計設計目標：保障移動辦公用戶能夠安全、快速、簡單的訪問企業(yè)內部資源；設計方案CheckPointConnectra：部署基于瀏覽器的SSLVPN，保證數據傳輸的完整性與機密性，并無需安裝任何客戶端就可以隨時隨地的訪問企業(yè)內部資源CheckPointICS：對SSLVPN客戶端系統進行合規(guī)性檢查與安全掃描，避免客戶端的安全隱患通過VPN滲透到企業(yè)內部UserDirectory：實現有效的身份認證與用戶集中管理，加強系統安全性CheckPointSecurityManagement：實現訪問行為與攻擊行為的可視化分析與報表統計，幫助安全管理人員快速發(fā)現問題、解決問題備選方案在防火墻系統上直接擴展SNX，實現一體化的SSLVPN解決方案設計實現案例設計實現案例通過部署Connectra安全接入網關，不但保證了訪問的快捷性，即保障了訪問的可靠性與安全性；實現了員工在出差過程中可以訪問企業(yè)內部網絡的資源，這些資源包括辦公系統，郵件系統，文件共享系統，企業(yè)內部網和其他企業(yè)應用；保證了員工遠程訪問不會給內網帶來安全隱患；保障員工和內企業(yè)內網間數據交換的安全性（防止截聽和篡改）；解決了移動用戶所面臨的威脅和風險；細化的遠程移動用戶的安全訪問策略，解決了端點所有面臨的各種風險。安全系統設計(三)安全域的劃分設計目標：按照不同的訪問規(guī)則、應用需求、安全等級及控制目標，劃分出多個安全域，力圖把企業(yè)內部的安全風險控制在有限的范圍內，避免安全事故在無法控制的情況下蔓延開來，并可滿足等級保護法的設計要求。設計方案CheckPointFW刀片：實現安全的訪問控制，非法請求將被拒絕CheckPointIPS刀片：實現系統入侵檢測/防御，針對系統及應用程序的攻擊將被攔截并記錄，并有效控制蠕蟲、病毒的傳播CheckPointSecurityManagement：實現訪問行為與攻擊行為的可視化分析與報表統計，幫助安全管理人員快速發(fā)現問題、解決問題備選方案結合CheckPoint防火墻與專業(yè)級的IPS-1設計實現案例采用CheckPoint軟件刀片防火墻，再結合集成的IPS系統，實現了企業(yè)基礎網絡安全架構的建設，具備動態(tài)防御與學習能力。這種安全域設計完成后，我們可以更快速的評估出企業(yè)所面臨的安全威脅有哪些、這些威脅發(fā)生的可能性有多大、發(fā)生后對企業(yè)造成損失由多大，而企業(yè)根據這些評估結果則可以采取更適合的安全策略與防御技術，這從另一個角度來看，可以更合理的利用安全投資，針對不同安全域所具備的安全等級，設計出更適合的安全解決方案。設計實現案例安全系統設計(四)營業(yè)部生產系統安全設計設計目標：實現營業(yè)部與總部之間建立安全可信的數據通道，結合鏈路、防火墻、數據中心的容災技術，保障業(yè)務系統能夠持續(xù)可靠的運行，并能簡單有效管理各營業(yè)部安全設備設計方案：CheckPointFW刀片：實現安全的訪問控制，非法請求將被拒絕CheckPointVPN刀片：保障數據傳輸的機密性、完整性與可靠性CheckPointSecurityManagement：實現訪問行為與攻擊行為的可視化分析與報表統計，幫助安全管理人員快速發(fā)現問題、解決問題CheckPointProvider-1：通過集中授權的方式，把日常運維的工作委派給分公司，由分公司統一管理各個營業(yè)部，總部只需制訂全局化的策略，并對各個分公司、營業(yè)部實施管制與監(jiān)控。設計實現案例設計實現案例營業(yè)部可以通過ADSL線路同時與兩大數據中心建立多條VPN隧道，實現雙向的安全數據交換；各VPN隧道之間可實現冗余或負載；總部數據中心防火墻接口能夠實現物理端口的冗余；可實現多VPN隧道的靈活管理；支持多鏈路的Internet接入；實現營業(yè)部網上交易系統的鏈路備份（默認走SDH專線，當專線中斷后自動切換到VPN鏈路）；其他系統（如行情、柜臺）通過VPN鏈路直接訪問數據中心；實現VPN設備的集中管理，所有營業(yè)部防火墻設備的日志需傳輸到總部的管理服務器；技術的實現必須靈活、簡單、穩(wěn)定安全系統設計(五)為VIP用戶或經紀人的客戶端做重點保護設計目標：為券商的VIP用戶或者經紀人移動終端進行保護設計方案：使用Abra進行安全應用連接設計實現案例AbraCheckpointGateway交易應用網段internetVIPunsecuredPCVirtualSecured