证券行业网络应用安全解决方案

证券行业网络应用安全解决方案内容摘要：

安全特别是防病毒方面很容易出现漏洞，因此分支机构的用户更容易感染计算机病毒；如果分支结构的用户感染计算机病毒，不但对本分支结构造成影响，若不及时处理，病毒会迅速在整个 XX 证券 公司 内部扩散，也会对其他的分支结构及 XX 证券 公司 总部带来影响，因此提高 XX 证券 公司 下面分支结构网络的安全性对整个 XX 证券 公司 网络整体的安全性是非常重要的。 三、 XX 证券公司 安全解决 方案 方案设计 结合以上对 XX 证券公司 网络及网络安全隐 患的分析，结合稳捷科技公司多年安全防护的项目经验。 对 XX 证券公司 网络安全提出如下建议： 1）增加基于 Web 的防病毒，防攻击能力。 防止网络病毒，木马对内部用户的侵害，以及外部威胁对 web 服务器的注入攻击，同时要增加对内网到外网的Web 病毒，木马等恶意程序的检测，防止内部在不知情的情况下成为“黑客”的帮凶，成为新的网络攻击源。 企业 Web 防护基本内容如下：  具备对 Web应用的病毒传播进行防护；  具备对 Web应用的间谍软件进行防护；  具备对 Web应用的网络钓鱼行为进行阻断；  具备对 Web应用的恶意 URL地址进行阻挡；  具备对 web服务器 SQL 注入以及跨站脚本攻击防护 ； 新一代高性能深度内容扫描网关  具备对 Web应用的非工作相关站点的访问进行控制。 2）增加基于 Email（ SMTP,POP3,IMAP）的防病毒，防攻击能力，防止恶意程序通过 Email 方式进行传播，同时增加垃圾邮件控制功能，保护宝贵的网络带宽资源，避免垃圾邮件对员工的骚扰。 同时要增加对内网到外网的 Email 传输检测，防止 Email Server 在不知情的情况下成为网络“僵尸”，成为新的网络攻击源。 建议 IDC Email 防护的基本内容如下：  具备对 Email应用的病毒传播进行防护；  具备对 Email应用的间谍软件进行防护；  具备对 Email应用的网络钓鱼行为进行阻断；  具备对 Email应用的垃圾邮件智能过滤功能；  具备对 Email应用的未知恶意程序启发式扫描功能； 3）增加基于常见网络数据传输协议（ FTP）的防病毒，防攻击能力，增加对用户频繁使用的 FTP 数据传输协议的控制能力，防止恶意程序通过 FTP 协议高速的特点，在短时间内大规模的扩散。 从而对更多的无辜用户造成更大的危害。 解决 方案 本方案将从 WEB 应用安全的角度， 对来 自 Inter 外部 网络 和内部用户的入侵行为进行实时防御 ，保护 XX 证券公司的 邮件服务器、 FTP 服务器、证券交易 WEB 服务器以及对 XX 证券公司 办公网络系统的保护 以 免遭 网络钓鱼、病毒入侵、木马、恶意软件、垃圾邮件 等等攻击等因素 进行综合设计。 同时也保护了访问用户。 XX 证券 公司 下属的分支机构，用户数量多、并且地理分布广泛，收发电子邮件或上网获取信息已经成为工作中不可缺少的部分，由于各分支机构的网管水平不一，在网络安全特别是防病毒方面很容易出现漏洞，因此分支机构的用户更容易感染计算机病毒；如果分支结构的用户感染计算机病毒，不但对 本分支结构造成影响，若不及时处理，病毒会迅速在整个 XX 证券 公司 内部扩散，也会对其他的分支结构及 XX 证券 公司 总部带来影响，因此提高 XX 证券 公司 下面分支结构网络的安全性对整个 XX 证券 公司 网络整体的安全性是非常重要的。 稳捷 公司建议在 XX 证券 公司 的 总部和 各地分支 营业 机构的 Inter 出口处 新一代高性能深度内容扫描网关 部署 Besecure NDP WEB 安 全 网关 进行隔离，做到未雨绸缪，将各类恶意程序抵御 在 XX 证券公司 网络之外；防止各类垃圾邮件进入 XX 证券公司网络 内部， 防止外部以及内部感染肉鸡对 WEB 服务器的篡改攻击。 同 时 总部 交易网的 Inter的入口处 ，部署 稳捷 公 司 NDP WEB 安 全 网关 产品能够对通过 HTTP 协议访问网页进行病毒过滤， 内容清洗， 同时对通过 POP3 以及 IMAP 协议接受公共邮箱邮件进行病毒过滤和垃圾邮件过滤。 稳捷 公 司 NDP WEB 安全网关 通过高效的病毒引擎和透明的工作方式， 不用改动网络配置，实现对应用服务器群进行保护 ， 以及 “零 ”管理成本，能够将流行的计算机病毒拒之 “墙外 ”，从而确保了分支机构局域网的安全 和办公系统的安全， 按照 XX 证券公司 网络实际使用迫切需求， 首先对 XX 证券公司 总部和营业部的办公网络系统进行保护。 同时 ， 证券交 易业务系统 中 证券交易网站服务器的安全 也 是重中之重 ， 所以在 XX 证券公司 总部的交易网的 Inter 出口处部署 稳捷 公 司 NDP WEB 安全网关， 对证券交易网 进行 安全保护。 具体 的网络 拓扑图 如下： 新一代高性能深度内容扫描网关 通过在网络中合理的部署 BeSecure NDP 系列 安全网关设备 ，可以有效的提升网络的安全级别，为网络用户提供良好的保护措施。 其显著的特色如下：  立体式多重防护 通过 BeSecure 保护客户端、保护内网、保护服务器群，配合现有的终端防病毒软件，形成“三位一体”防护理念。 首先是防护由外到内的威胁，其次是防护内部客户端攻击内部服务器，最后是阻止内部重要信息向外传输。 这样就能有效的把威胁降到最低。 新一代高性能深度内容扫描网关  高性能、无瓶颈 在网关 inter 出口处部署高性能的稳捷 web 安全网关，首先 重点解决了网关病毒扫描所造成的性能瓶颈问题，从而在保证安全扫描的前提下，大大提高了用户访问 Web 的速度。  高效，准确，可靠的安全防护技术 稳捷网络安全设备的防病毒技术， 反 垃圾邮件 扫描以及 URL 信誉等 级评分及分类 分别与世界知名的防病毒厂商卡巴斯基 、反垃圾邮件厂商 cloudmark 和世界著名安全厂商 McAfee 共同合作开发， 防病毒特征码数据库已经达到了 400 万条目级别，远远的超出了同类安全厂商的产品。 利用 URL 信誉评分系统 提供的基于信誉和基于分类的过滤组合，拦截通过员工下载入侵网络的病毒和恶意软件 ，URL 库达到 100 种分类， 3000 多 万条目。 全球超过 100 家有线和无线运营商，如 Comcast、 Earthlink、 Cox Communications、 Swiss、 Tele KPN 等，共同使 用稳捷网络 核心邮件安全解决方案。 来自全球范围的 one billion 报告源进行接收、分析、验证和传递的同时，采用高级指纹编码算法实时识别 垃圾邮件威胁变种。  零时差威胁保护 为了达到零时差保护， BeSecure 采用了 启发式智能分析 架构来识别新的安全威胁，在攻击 到达用户网络之前主动阻止新型的恶意软件、钓鱼攻击、垃圾邮件、恶意 URL 站点 和网络僵尸、蠕虫等。 它每天从大量数据源（如 “ 零时差恶意软件特征码 ” 、 “ 钓鱼攻击检测 ” 、 “ 全球威胁响应中心 ” 、 “ URL 信誉 ” “ ip信誉” 等）中探测 20 亿个事件。  简单，便捷的产品 部署 BeSecure 可以 提供安全方便的纯透明网桥部署， 很容易地部署到任何节点的网络上，而不需要网络重新搭建或额外的硬件。 只需要简单的将 NDP 设备安装在受保护网络的网关位置，不需要对网络中的 IP 地址规划做任何修改， 就可以立即提供对网络的保护作用。 真正做到“即插即用”  丰富，详细的日志及用户报表统计功能 BeSecure 在具有强度的安全防护功能的同时，它还可以根据用户的需要，为用户提供了多种多样的统计，及图形化报表。 同时，用户还可以在设备管理界 新一代高性能深度内容扫描网关 面中，实时的查看设备硬件负载情况――包括 CPU 利用率，内存占用率， 协议使用等信息。 极大的方便用户查看，分析，评估网络安全状况。 最后 通过稳捷科技专属咨询服务，帮助用户设计防病毒系统发展规划，梳理内部流程，提供运维支持和专业培训服务、员工科普培训服务，甚至提供外派技术人员常驻客户方，协助用户开展具体的防病毒工作，如支持下属分支机构的产品和病毒问题，定期提供病毒分析报告，评估防病毒体系，分支机构巡检等多种形式的服务。 四、 Besecure NDP 系列安全产品 解决方案 产品介绍 稳捷网络通过始终不移的研发投资以确保全球最高性能的 WEB安全技术领先地位 , 优化整合最优秀的检测算法 (防病毒 ,防垃圾邮件 , 内容过滤 , 网址过滤 , 关键字过滤 ) , 专注于渠道的开发与支持，不断向客户提供卓越易销的 WEB安全功能及成功案例。 NDP (Network Data Processing)是由稳捷网络首创的针对网络应用数据的高精度﹑高速 (吉比特 )深度内容检测技术 ,基于此项技术 ,稳捷网络的 WEB安全设备 ,BeSecure系列产品 ,使企业﹑服务商及运营商准确﹑实时地检测﹑拦截﹑抵御来自 WEB及邮件的威胁 ,提高工作效率 ,有效阻断资料数据的泄露 : BeSecure Inter Gateway – 是 多功能的整合安全设备，提供 Web安全(防病毒，内容过滤，网址拦截 )和邮件安全 (垃圾邮件﹑病毒﹑内容过滤 )服务。 BeSecure Web Gateway – 是提供 Web防病毒，网页内容过滤和网址拦截等服务的高性能整合网络安全设备。 BeSecure Web AV Gateway – 是一个在网络应用数据层拦截网络恶意攻击，间谍软件和病毒的高效能的解决方案。 BeSecure Message Gateway – 能每小时对 650万封邮件进行深度内容检测 , 是一个有效﹑高速的检测﹑拦截﹑抵御垃圾邮件 , 病毒及 资料数据泄露威胁 新一代高性能深度内容扫描网关 的邮件安全设备。 新一代稳捷 WEB 安全网关技术 , 实时﹑准确﹑高效﹑全面地为您提供可靠易行的 WEB 内容安全传统的基于网络的安全解决方案包括防火墙及入侵检测 /入侵防御系统（ IDS/IPS），防火墙通过对数据包包头的检测可决定阻止或允许对特定端口的访问， IDS/IPS 可进一步对数据包内容进行简单检测以发现数据包是否有攻击倾向。 两者对来自互联网的内容攻击及有害内容都是无能为力的，因为这类攻击大多是包含多个数据包且隐含于压缩或混码之中。 通俗的讲，防火墙是闸口，数据只能通过打开的闸口，而 IDS/IPS 就像一个粗筛，对污水只能进行大的污染物的过滤，当前，仅有防火墙和 IDS/IPS 已无法满足对 WEB 安全的要求，而 BeSecure 则像是细筛，过滤后，“水”的品质可达到直接“饮用”，完全满足对 WEB 安全的要求。 主要优势高效率 ,实时 ,深层 ,全覆盖的网络数据处理技术(专利 ) 以提供最完整全面的内容网关安全服务优化整合高精确度 ,世界领先的模式识别算法以提供最准确的识别率高可靠性 ,灵活 ,简便的网络集成及管理界面以提供最快速的 WEB 安全方案实施与维护，主要功能间谍软件﹑广。