網(wǎng)絡(luò)應(yīng)用安全解決方案證券行業(yè).doc

XX證券公司網(wǎng)絡(luò)應(yīng)用安全建議書穩(wěn)捷網(wǎng)絡(luò)技術(shù)有限公司2010年7月目 錄一、證券行業(yè)綜述31.1證券信息系統(tǒng)重要性31.2證券信息系統(tǒng)必要性4二、XX證券公司網(wǎng)絡(luò)安全現(xiàn)狀及需求分析52.1XX證券公司安全現(xiàn)狀52.2XX證券公司安全需求72.3威脅來源11三、XX證券公司安全解決方案123.1方案設(shè)計(jì)123.2解決方案13四、Besecure NDP系列安全產(chǎn)品解決方案174.1產(chǎn)品介紹174.2功能描述184.3產(chǎn)品型號(hào)說明194.4BeSecure 網(wǎng)絡(luò)數(shù)據(jù)處理技術(shù)194.5BESECURE反惡意軟件掃描技術(shù)244.6Web安全過濾技術(shù)244.7Email 過濾技術(shù)254.8關(guān)鍵字過濾技術(shù)274.9BeSecure技術(shù)亮點(diǎn)28五、技術(shù)支持和售后服務(wù)315.1廠家提供的增值服務(wù)315.2服務(wù)商提供服務(wù)31一、 證券行業(yè)綜述90 年代以來，我國證券期貨業(yè)以其特有的魅力吸引了千百萬投資者的熱情參與，發(fā)展迅速，成為社會(huì)主義市場(chǎng)經(jīng)濟(jì)重要組成部分。其間，證券業(yè)信息系統(tǒng)的電子化建設(shè)取得長足的進(jìn)步。在發(fā)行、交易、清算、信息披露、技術(shù)監(jiān)控、信息咨詢與服務(wù)等方面，計(jì)算機(jī)技術(shù)的應(yīng)用深度和廣度都大大擴(kuò)展。各證券經(jīng)營機(jī)構(gòu)已全部建立了電子化業(yè)務(wù)處理系統(tǒng)，計(jì)算機(jī)與網(wǎng)絡(luò)通信技術(shù)成為支撐各項(xiàng)證券業(yè)務(wù)運(yùn)轉(zhuǎn)的關(guān)鍵設(shè)施。證券業(yè)務(wù)共包括證券經(jīng)紀(jì) 、證券承銷、自營、兼并與收購、咨詢服務(wù)和基金管理等項(xiàng)業(yè)務(wù)。上述證券經(jīng)紀(jì)業(yè)務(wù)的各項(xiàng)功能、服務(wù)都由證券信息系統(tǒng)處理完成。作為業(yè)務(wù)的載體，證券信息系統(tǒng)應(yīng)具備一定的條件，才能滿足證券業(yè)高質(zhì)量服務(wù)和化解經(jīng)營風(fēng)險(xiǎn)的目標(biāo)要求。目前國內(nèi)的各大證券網(wǎng)絡(luò)經(jīng)過建設(shè)，都已經(jīng)形成比較完善的綜合網(wǎng)絡(luò)，整體結(jié)構(gòu)是個(gè)通過WAN 連接的多級(jí)網(wǎng)絡(luò)，在網(wǎng)絡(luò)每一級(jí)的節(jié)點(diǎn)上具有一個(gè)局域網(wǎng)，在多級(jí)網(wǎng)絡(luò)上運(yùn)行著證券業(yè)務(wù)系統(tǒng)、多媒體應(yīng)用系統(tǒng)、辦公自動(dòng)化等。由于證券業(yè)是個(gè)開放化，社會(huì)化的行業(yè)，其信息系統(tǒng)已經(jīng)有封閉式轉(zhuǎn)向了開放式系統(tǒng)，存在許多的不安全風(fēng)險(xiǎn)因素。由于應(yīng)用系統(tǒng)的復(fù)雜化，網(wǎng)絡(luò)安全體系的建立和網(wǎng)絡(luò)安全的全面解決方案更是迫在眉睫。1998 年中國證監(jiān)會(huì)頒布了證券經(jīng)營機(jī)構(gòu)營業(yè)部信息系統(tǒng)技術(shù)管理規(guī)范和關(guān)于加強(qiáng)證券機(jī)構(gòu)計(jì)算機(jī)系統(tǒng)安全管理的通知，明確要求證券業(yè)務(wù)處理系統(tǒng)必須保證數(shù)據(jù)的安全，實(shí)現(xiàn)業(yè)務(wù)與技術(shù)的分離、前臺(tái)與后臺(tái)分離、網(wǎng)絡(luò)與數(shù)據(jù)分離。中國證監(jiān)會(huì)還針對(duì)網(wǎng)上交易部分制定了網(wǎng)上證券委托暫行管理辦法，規(guī)定了證券公司應(yīng)采取嚴(yán)格、完善的技術(shù)措施，確保網(wǎng)上委托系統(tǒng)和其他業(yè)務(wù)系統(tǒng)的安全性。 1.1 證券信息系統(tǒng)重要性證券信息系統(tǒng)是證券公司基本的基礎(chǔ)建設(shè)，是證券業(yè)務(wù)正常進(jìn)行的前提條件。滿足基本的安全要求，是網(wǎng)絡(luò)成功運(yùn)行的必要條件，在此基礎(chǔ)上提供強(qiáng)有力的安全保障，是證券網(wǎng)絡(luò)系統(tǒng)安全的重要原則。證券網(wǎng)絡(luò)內(nèi)部部署了眾多的網(wǎng)絡(luò)設(shè)備、服務(wù)器，保護(hù)這些設(shè)備的正常運(yùn)行，維護(hù)主要業(yè)務(wù)系統(tǒng)的安全，是證券網(wǎng)絡(luò)的基本安全需求。但是網(wǎng)絡(luò)安全事件頻頻威脅到證券信息系統(tǒng)的安全，對(duì)證券行業(yè)的正常運(yùn)作造成了極大的威脅。無論是有意的攻擊，還是無意的誤操作，都將會(huì)給系統(tǒng)帶來不可估量的損失。攻擊者可以竊聽網(wǎng)絡(luò)上的信息，竊取用戶的口令、數(shù)據(jù)庫的信息；還可以篡改數(shù)據(jù)庫內(nèi)容，偽造用戶身份，否認(rèn)自己的簽名。更有甚者，攻擊者可以刪除數(shù)據(jù)庫內(nèi)容，摧毀網(wǎng)絡(luò)節(jié)點(diǎn)，釋放計(jì)算機(jī)病毒等等。由于內(nèi)部工作人員能較多地接觸內(nèi)部信息，工作中的任何不小心都可能給信息安全帶來危險(xiǎn)。這些都使信息安全問題越來越復(fù)雜。另外在交易軟件程序中出現(xiàn)漏洞導(dǎo)致風(fēng)險(xiǎn)的發(fā)生，其后果是也非常嚴(yán)重的。最重要的風(fēng)險(xiǎn)是網(wǎng)絡(luò)系統(tǒng)風(fēng)險(xiǎn)。證券營業(yè)部的計(jì)算機(jī)系統(tǒng)是構(gòu)建在一個(gè)內(nèi)部網(wǎng)絡(luò)平臺(tái)之上的，利用網(wǎng)絡(luò)平臺(tái)使得證券營業(yè)部的計(jì)算機(jī)實(shí)現(xiàn)與服務(wù)器互連。網(wǎng)絡(luò)服務(wù)器內(nèi)裝有證券營業(yè)部所有的交易資料，因此網(wǎng)絡(luò)系統(tǒng)的安全性至關(guān)重要，一旦網(wǎng)絡(luò)系統(tǒng)被黑客進(jìn)入，那么證券營業(yè)部的交易資料將成為黑客進(jìn)行破壞的對(duì)象。上海證券市場(chǎng)發(fā)生的“建工事件”就屬于此種，黑客進(jìn)入營業(yè)部交易系統(tǒng)，并將自制的程序加入系統(tǒng)中，使得上海建工股票出現(xiàn)超常大買單，由于交易所發(fā)現(xiàn)及時(shí)，并做了緊急處理，才使風(fēng)險(xiǎn)降到最小。面對(duì)計(jì)算機(jī)網(wǎng)絡(luò)的種種安全威脅，必須采取有力的措施來保證安全。無論是在局域網(wǎng)還是在廣域網(wǎng)中，網(wǎng)絡(luò)的安全措施應(yīng)是能全方位地針對(duì)各種不同的威脅和脆弱性，這樣才能確保網(wǎng)絡(luò)信息的保密性、完整性和可用性。1.2 證券信息系統(tǒng)必要性在目前的證券業(yè)中，電腦系統(tǒng)維護(hù)部門和財(cái)務(wù)部門已經(jīng)成為支撐證券公司的兩大支柱，系統(tǒng)維護(hù)部門尤其承受著巨大的壓力，一旦系統(tǒng)出了故障，將給證券公司造成巨大的經(jīng)濟(jì)損失。面對(duì)這樣巨大的壓力，證券公司的信息化建設(shè)一直是在左右搖擺中緩步而行，一方面希望盡快利用新的計(jì)算和網(wǎng)絡(luò)技術(shù)提高股票交易效率，方便股民炒股，擴(kuò)大自身的知名度，從而吸引更多的人加入股民的行列；另一方面又擔(dān)心技術(shù)的不成熟或管理不到位會(huì)引發(fā)更多的系統(tǒng)問題，造成巨大的經(jīng)濟(jì)損失。尤其是出于對(duì)網(wǎng)絡(luò)安全方面的顧慮，大多數(shù)券商采取了謹(jǐn)慎的態(tài)度，內(nèi)部交易網(wǎng)和外部網(wǎng)采取的是物理分離的方式，防止外來的侵襲。除此之外，證券信息安全化對(duì)安全管理的需求也在不斷增加。除了建立好基本的信息化應(yīng)用系統(tǒng)外，如何使這套系統(tǒng)實(shí)現(xiàn)設(shè)定的目標(biāo)，牽扯到證券公司的信息制度建立和管理問題。由于證券行業(yè)的信息系統(tǒng)是實(shí)現(xiàn)證券交易經(jīng)紀(jì)業(yè)務(wù)的核心系統(tǒng)，其安全性直接關(guān)系到證券市場(chǎng)的穩(wěn)定發(fā)展和證券經(jīng)營機(jī)構(gòu)及廣大投資者的切身利益。同時(shí)更加中國證監(jiān)會(huì)頒布的證券經(jīng)營機(jī)構(gòu)營業(yè)部信息系統(tǒng)技術(shù)管理規(guī)范和關(guān)于加強(qiáng)證券機(jī)構(gòu)計(jì)算機(jī)系統(tǒng)安全管理的通知，網(wǎng)上證券委托暫行管理辦法等法規(guī)也明確要求證券系統(tǒng)必須保證數(shù)據(jù)的安全，實(shí)現(xiàn)三分離等原則。所以說證券行業(yè)的信息系統(tǒng)安全性建設(shè)具有高度的必要性。二、 XX證券公司網(wǎng)絡(luò)安全現(xiàn)狀及需求分析XX證券股份有限公司（以下簡(jiǎn)稱“公司”）公司總部設(shè)在廣州，下設(shè)167家證券營業(yè)部和47家服務(wù)部總計(jì)214個(gè)營業(yè)網(wǎng)點(diǎn)。營銷網(wǎng)絡(luò)分布在全國29個(gè)省、自治區(qū)、直轄市的62個(gè)中心城市，直接為400余萬客戶服務(wù)，客戶總資產(chǎn)5000多億元。旗下?lián)碛蠿X期貨經(jīng)紀(jì)公司。公司的經(jīng)營范圍包括：證券經(jīng)紀(jì)；證券投資咨詢；與證券交易、證券投資活動(dòng)有關(guān)的財(cái)務(wù)顧問；證券承銷與保薦；證券自營；證券資產(chǎn)管理。 公司被亞太著名金融雜志金融亞洲、亞洲貨幣同時(shí)評(píng)選為2006-2008財(cái)年“中國內(nèi)地最佳經(jīng)紀(jì)業(yè)務(wù)機(jī)構(gòu)”、“中國內(nèi)地最佳債券承銷機(jī)構(gòu)”和“2009年度中國最佳債券承銷商”。2.1 XX證券公司安全現(xiàn)狀XX證券公司在全國范圍內(nèi)經(jīng)營業(yè)務(wù)，網(wǎng)絡(luò)龐大、結(jié)構(gòu)復(fù)雜，典型業(yè)務(wù)模式有柜臺(tái)交易、自助委托、電話 委托、網(wǎng)上委托等。各證券營業(yè)部和總部通過計(jì)算機(jī)網(wǎng)絡(luò)將交易所、證券公司與交易者三方連接在一起，共同完成證券交易，并實(shí)現(xiàn)行情、交易、結(jié)算、辦公等各個(gè)環(huán)節(jié)的自動(dòng)化。一個(gè)典型的證券公司網(wǎng)絡(luò)由四個(gè)部分組成：總部網(wǎng)絡(luò)、營業(yè)部網(wǎng)絡(luò)、銀證交易系統(tǒng)和網(wǎng)站系統(tǒng)。如下圖：XX證券公司由于自身經(jīng)營的特點(diǎn)，在安全要求方面一般比較高，在安全設(shè)計(jì)上要充分考慮到影響網(wǎng)絡(luò)安全的因素，保證網(wǎng)絡(luò)具有較高 的可靠性、保密性，對(duì)病毒、黑客攻擊有較強(qiáng)的防御能力。隨著證券行業(yè)的發(fā)展和網(wǎng)絡(luò)規(guī)模的擴(kuò)大，網(wǎng)絡(luò)病毒的種類越來越多，木馬、病毒、黑客等對(duì)網(wǎng)絡(luò)進(jìn)行攻擊的事件越來越多，這些安 全方面的威脅對(duì)證券行業(yè)的網(wǎng)絡(luò)造成越來越大的影響，而且證券行業(yè)代表的是廣大股民的利益，一個(gè)安全的交易網(wǎng)絡(luò)也能夠增強(qiáng)股民對(duì)證券公司的信心。其中，證券交易網(wǎng)站服務(wù)器的安全是重中之重。網(wǎng)站因需要被公眾訪問而暴露于因特網(wǎng)上，由于處于一個(gè)相對(duì)開放的環(huán)境中，加之各類網(wǎng)頁應(yīng)用系統(tǒng)的復(fù)雜性和多樣性導(dǎo)致系統(tǒng)漏洞層出不窮，極易成為黑客的攻擊目標(biāo)。根據(jù)CNCERT調(diào)查報(bào)告顯示，2007年上半年，中國大陸被篡改網(wǎng)站的數(shù)量相比往年處于明顯上升趨勢(shì)，被篡改網(wǎng)站總數(shù)達(dá)到28367個(gè)，比去年全年增加了近16%。而僅在2007年11月1日至30日，大陸地區(qū)被篡改網(wǎng)站的數(shù)量就達(dá)到了5499個(gè)，較上月增加537個(gè)，其中代號(hào)為“Kml!”和“SLN_BEY”的攻擊者對(duì)大陸網(wǎng)站進(jìn)行了大量的篡改。針對(duì)金融類網(wǎng)站的攻擊事件也呈不斷上升趨勢(shì)。2005年，美國爆發(fā)了當(dāng)今最大的金融數(shù)據(jù)泄密事件，有黑客侵入了為萬事達(dá)、Visa、AmericanExpress和Discover服務(wù)的“信用卡第三方付款處理器”的網(wǎng)絡(luò)系統(tǒng)，造成4000多萬信用卡用戶的數(shù)據(jù)資料被竊；2006年，某犯罪組織竟然在某銀行的證券交易服務(wù)器內(nèi)成功植入了木馬程序，每隔0.5秒掃描一次，凡是此時(shí)登陸的客戶，其帳號(hào)和口令通通被竊取，這一事件甚至驚動(dòng)了國務(wù)院。因此，提高證券交易網(wǎng)站的安全性刻不容緩。下圖是2009年網(wǎng)絡(luò)安全事件類型分布，可以看得出現(xiàn)在的攻擊主要集中在應(yīng)用層，WEB應(yīng)用的攻擊居于首位：網(wǎng)頁篡改、網(wǎng)絡(luò)仿冒，惡意代碼等等?；诰W(wǎng)絡(luò)層的防護(hù)如防火墻對(duì)動(dòng)態(tài)的應(yīng)用層攻擊已無能為力。2.2 XX證券公司安全需求證券網(wǎng)絡(luò)是各種經(jīng)濟(jì)行為匯集的地方，網(wǎng)絡(luò)安全問題將直接威脅上市公司、投資者、證券公司的經(jīng)濟(jì)利益。這個(gè)特點(diǎn)決定了證券網(wǎng)絡(luò)安全系統(tǒng)所關(guān)注的重點(diǎn): 1、網(wǎng)絡(luò)可用性:網(wǎng)絡(luò)是證券業(yè)務(wù)的載體，網(wǎng)絡(luò)中斷對(duì)于業(yè)務(wù)系統(tǒng)來說就意味著業(yè)務(wù)的中斷，其帶來的經(jīng)濟(jì)影響和社會(huì)影響都十分巨大，因此安全體系必須保證網(wǎng)絡(luò)的持續(xù)有效的運(yùn)行，防止對(duì)關(guān)鍵網(wǎng)絡(luò)設(shè)施的入侵和攻擊、防止通過消耗帶寬等方式破壞網(wǎng)絡(luò)的可用性。 2、業(yè)務(wù)系統(tǒng)的可用性:運(yùn)行業(yè)務(wù)系統(tǒng)的各主機(jī)、數(shù)據(jù)庫、應(yīng)用服務(wù)器系統(tǒng)的安全運(yùn)行同樣十分關(guān)鍵，網(wǎng)絡(luò)安全體系必須保證這些系統(tǒng)不會(huì)遭受來自網(wǎng)絡(luò)的非法訪問、惡意入侵和破壞; 3、數(shù)據(jù)機(jī)密性:保密數(shù)據(jù)的泄密將直接影響導(dǎo)致數(shù)據(jù)擁有者和相關(guān)機(jī)構(gòu)(或人員)的經(jīng)濟(jì)利益。網(wǎng)絡(luò)安全系統(tǒng)必須保證這些機(jī)密信息在傳輸時(shí)的保密性。 4、訪問的可控性:對(duì)關(guān)鍵網(wǎng)絡(luò)、系統(tǒng)和數(shù)據(jù)的訪問必須得到有效的控制，這要求系統(tǒng)能夠可靠確認(rèn)訪問者的身份，謹(jǐn)慎授權(quán)，并對(duì)任何訪問進(jìn)行跟蹤記錄。 5、災(zāi)難恢復(fù)能力:業(yè)務(wù)數(shù)據(jù)是政權(quán)企業(yè)的戰(zhàn)略性資源，經(jīng)常性的備份以及快速、精確的恢復(fù)可以使系統(tǒng)遭到災(zāi)難性破壞時(shí)將經(jīng)濟(jì)損失降低到最低的程度。 針對(duì)以上的安全需求，網(wǎng)絡(luò)安全保護(hù)系統(tǒng)應(yīng)該具備如下的特征: 1.根據(jù)可信任程度的不同，對(duì)網(wǎng)絡(luò)區(qū)域進(jìn)行劃分，不同區(qū)域間的訪問要進(jìn)行嚴(yán)格控制; 2.進(jìn)入關(guān)鍵系統(tǒng)和關(guān)鍵區(qū)域必須經(jīng)過可靠的身份鑒別; 3.安全系統(tǒng)整體具有充分的抗攻擊能力; 4.系統(tǒng)具備多層面的完備的審計(jì)設(shè)施; 5.系統(tǒng)對(duì)于異常事件足夠敏感，使整個(gè)防御體系在遇到威脅時(shí)能夠及的做出正確的響應(yīng)。 6.系統(tǒng)的安全策略可管理、并且易于管理; 7.應(yīng)用和數(shù)據(jù)庫安全，包括數(shù)據(jù)庫漏洞掃描，數(shù)據(jù)庫安全管理。8.數(shù)據(jù)和內(nèi)容安全，包括防惡意軟件如間諜軟件、廣告軟件、篡權(quán)工具、后門、撥號(hào)器、鍵盤記錄器、密碼偷竊，網(wǎng)頁掛馬，反垃圾郵件，內(nèi)容過濾，防數(shù)據(jù)泄漏等WEB應(yīng)用安全網(wǎng)關(guān)?；谝陨咸攸c(diǎn)，在考慮XX證券公司的信息安全時(shí)，應(yīng)從以下幾個(gè)方面來考慮網(wǎng)絡(luò)安全風(fēng)險(xiǎn)問題和應(yīng)對(duì)策略： 網(wǎng)絡(luò)安全風(fēng)險(xiǎn)證券網(wǎng)絡(luò)系統(tǒng)的安全風(fēng)險(xiǎn)主要來自網(wǎng)絡(luò)設(shè)施物理特性的安全、網(wǎng)絡(luò)系統(tǒng)平臺(tái)的安全、網(wǎng)上交易的安全、數(shù)據(jù)存儲(chǔ)的安全。 物理安全風(fēng)險(xiǎn)l 由于水災(zāi)、火災(zāi)、雷擊、粉塵、靜電等突發(fā)性事故和環(huán)境污染造成網(wǎng)絡(luò)設(shè)施工作停滯 。l 人為引起設(shè)備被盜、被毀或外界的電磁干擾使通信線路中斷。l 電子、電力設(shè)備本身固有缺陷和弱點(diǎn)及所處環(huán)境容易在人員誤操作或外界誘發(fā)下發(fā)生故障 。 系統(tǒng)安全風(fēng)險(xiǎn) 系統(tǒng)風(fēng)險(xiǎn)在三個(gè)方面：網(wǎng)絡(luò)系統(tǒng)、操作系統(tǒng)和應(yīng)用系統(tǒng)。l 網(wǎng)絡(luò)系統(tǒng)在設(shè)計(jì)實(shí)施不夠完善，例如缺乏正確路由、網(wǎng)絡(luò)的容量、帶寬估計(jì)不足、對(duì)證券系統(tǒng)局域網(wǎng)沒做劃分隔離以及關(guān)鍵網(wǎng)絡(luò)設(shè)備沒有冗余設(shè)計(jì)，一旦發(fā) 生故障，將直接影響網(wǎng)絡(luò)系統(tǒng)安全。 l 網(wǎng)絡(luò)系統(tǒng)缺乏安全可靠的網(wǎng)絡(luò)通信協(xié)議和網(wǎng)絡(luò)安全設(shè)備，使網(wǎng)絡(luò)黑客容易利用網(wǎng)絡(luò)設(shè)計(jì)和協(xié)議漏洞進(jìn)行網(wǎng)絡(luò)攻擊和 信息竊取，例如未經(jīng)授權(quán)非法訪問證券系統(tǒng)內(nèi)部網(wǎng)絡(luò)、對(duì)電話網(wǎng)進(jìn)行監(jiān)聽、對(duì)系統(tǒng)的安全漏洞進(jìn)行探測(cè)掃描、遠(yuǎn)程登陸交易、行情服務(wù)器并對(duì)數(shù)據(jù)進(jìn)行篡改、對(duì)通信 線路、服務(wù)器實(shí)施洪流攻擊造成線路涌塞和系統(tǒng)癱瘓等。l 網(wǎng)絡(luò)操作系統(tǒng)，無論是windowsunixnetware各種商用操作系統(tǒng)，其國 外開發(fā)商都留有后門（back door），目前每種操作系統(tǒng)都發(fā)現(xiàn)有安全漏洞，一旦被人發(fā)現(xiàn)利用將對(duì)整個(gè)證券網(wǎng)絡(luò)系統(tǒng)造成不可估量的損失。 l 辦公應(yīng)用系統(tǒng)的風(fēng)險(xiǎn)主要是涉及不同地區(qū)、不同部門的資源有限共享時(shí)被內(nèi)部人員不安全使用造成口令失竊、文電丟失泄密，以及在與外界進(jìn)行郵件往來、訪問WEB網(wǎng)站時(shí)帶來病毒和黑客進(jìn)入的隱患。l 針對(duì)業(yè)務(wù)系統(tǒng)（包括業(yè)務(wù)管理系統(tǒng)、業(yè)務(wù)服務(wù)系統(tǒng)）的威脅主要來自于內(nèi)、外界對(duì)業(yè)務(wù)系統(tǒng)非授權(quán)訪問、系統(tǒng)管理權(quán)限喪失（由于用戶 名、口令、IC卡等身份標(biāo)志泄漏）、使用不當(dāng)或外界攻擊引起系統(tǒng)崩潰、網(wǎng)絡(luò)病毒的傳播或其他原因造成系統(tǒng)損壞、系統(tǒng)開發(fā)遺留的安全漏洞等。 網(wǎng)上交易的安全風(fēng)險(xiǎn) l 因特網(wǎng)是全球性公共網(wǎng)絡(luò)，并不由任何一個(gè)機(jī)構(gòu)所控制。 數(shù)據(jù)在因特網(wǎng)上傳輸?shù)耐緩绞遣煌耆_定的。 因特網(wǎng)本身并不是一個(gè)完全安全可靠的網(wǎng)絡(luò)環(huán)境。l 在因特網(wǎng)上可能有人采用相似的名稱和外觀仿冒證券網(wǎng)站和服務(wù)器， 用于騙取投資者的數(shù)據(jù)資料。l 如果用于證實(shí)投資者身份的數(shù)字證書和口令被竊取， 他人有可能仿冒投資者身份進(jìn)行交易委托和查詢。l 在網(wǎng)上傳輸?shù)闹噶?、?shù)據(jù)有可能 被某些個(gè)人、團(tuán)體或機(jī)構(gòu)通過某種渠道截取、篡改、重發(fā)。 但他們并不一定能夠了解該數(shù)據(jù)的真實(shí)內(nèi)容。 由于網(wǎng)絡(luò)交易的非接觸性，交易雙方可能對(duì) 交易結(jié)果進(jìn)行抵賴。l 在網(wǎng)上的數(shù)據(jù)傳輸可能因通信繁忙出現(xiàn)延遲，或因其它原因出現(xiàn)中斷、停頓或數(shù)據(jù)錯(cuò)誤， 從而使得網(wǎng)上交易出現(xiàn)延遲、停頓或中斷。l 網(wǎng)上發(fā)布的證券交易行情信息可能滯后，與真實(shí)情況不完全一致。 數(shù)據(jù)的安全風(fēng)險(xiǎn)l 因內(nèi)、外因素造成數(shù)據(jù)庫系統(tǒng)管理失控或破壞使用戶的個(gè)人資料和業(yè)務(wù)數(shù)據(jù)遭到偷竊、復(fù)制、泄密、丟失，并且無法得到恢復(fù)l 網(wǎng)絡(luò)病毒的傳播 或其他原因造成存儲(chǔ)數(shù)據(jù)的丟失和損壞l 網(wǎng)站發(fā)布的信息數(shù)據(jù)（包括分析、預(yù)測(cè)性資料）有可能被更改、刪除，給證券公司帶來損失。 基礎(chǔ)安全策略對(duì)于一個(gè)良好的安全體系的建立，必須擁有一個(gè)良好的安全策略，而所有的安全架構(gòu)和安全防護(hù)措施，以及在次基礎(chǔ)上實(shí)施的安全管理，都必須是建立在安全策略符合的基礎(chǔ)上的。針對(duì)XX證券公司，我們需要從幾個(gè)方面考慮安全策略的建立。IT安全架構(gòu)、IT管理、緊急響應(yīng)機(jī)制、自身管理人員和用戶的安全教育和IT安全防護(hù)手段。建立XX證券公司 IT安全架構(gòu)，則是構(gòu)建一個(gè)IT模型，有效標(biāo)識(shí)威脅來源，風(fēng)險(xiǎn)的定義和承擔(dān)，必須對(duì)XX證券公司的所有資源進(jìn)行有效的標(biāo)識(shí)和定義，進(jìn)一步劃分其風(fēng)險(xiǎn)的大小，同時(shí)，采用何種方式防護(hù)或者承擔(dān)?，F(xiàn)代的安全體系的建立，是和有效的管理機(jī)制無法分離的，單純的技術(shù)手段已經(jīng)無法保障一個(gè)系統(tǒng)的安全了。而管理體系中，很重要的一個(gè)因素將是人的因素，內(nèi)部人員，外部人員和第三方人員、外部入侵者等構(gòu)成了XX證券公司的威脅的主要來源，必須有一套良好的管理機(jī)制來保障XX證券公司系統(tǒng)的安全運(yùn)作。任何防護(hù)手段都無法保障100%的安全性，這已經(jīng)是在安全領(lǐng)域內(nèi)大家已經(jīng)產(chǎn)生的共識(shí)。關(guān)鍵在于如何在發(fā)生安全事件以后，有沒有一套緊急響應(yīng)處理機(jī)制。通過一個(gè)什么樣的途徑，由什么人人負(fù)責(zé)，由那些人參加，按照什么樣的流程，采用什么樣的手段來處理安全事件，是緊急響應(yīng)機(jī)制中定義的，同時(shí)，也能夠保障發(fā)生了安全事件以后，將威脅和風(fēng)險(xiǎn)降到最低。伴隨著IT技術(shù)的發(fā)展，安全威脅也逐漸增長，新的安全漏洞和威脅也越來越多，對(duì)于XX證券公司管理人員和用戶本身的要求也越來越高，只有不斷的加強(qiáng)對(duì)管理員和用戶進(jìn)行持續(xù)的安全教育，才能夠有效降低安全風(fēng)險(xiǎn)。 安全體系按照安全策略的要求及風(fēng)險(xiǎn)分析的結(jié)果，整個(gè)證券網(wǎng)絡(luò)安全措施應(yīng)根據(jù)證券網(wǎng)絡(luò)的行業(yè)特點(diǎn)，按照網(wǎng)絡(luò)安全的整體構(gòu)想來建立，具體的安全控制系統(tǒng)由以下幾方面組成：2.3 威脅來源當(dāng)確定了防護(hù)對(duì)象后，再來考慮威脅的來源。針對(duì)XX證券公司的網(wǎng)絡(luò)結(jié)構(gòu)現(xiàn)狀，可看出威脅的來源主要在于 來自于廣域網(wǎng)Internet的入侵Internet為XX證券公司之間互聯(lián)互通、外界使用XX證券公司服務(wù)提供了極大的便利。但是，由于Internet的開放性，使得在享受各種便利的同時(shí)也面臨著來自整個(gè)Internet世界的威脅。雖然將來可能在內(nèi)部網(wǎng)訪問Internet的入口處配置防火墻，但防火墻本身在安全防護(hù)方面具存在一定的缺陷，即它只能提供靜態(tài)的、被動(dòng)的保護(hù)，而對(duì)動(dòng)態(tài)的應(yīng)用層威脅如惡意軟件，垃圾信息，SQL注入，垮站腳本攻擊等等無能為力。適當(dāng)配置的防火墻雖然可以將非預(yù)期的信息屏蔽在外，但我們要訪問Internet、要收發(fā)Email、要通過WEB交易網(wǎng)站向外提供證券交易信息，就必須防火墻上打開一些固定的的端口，這樣入侵者還是可以利用這些打開的端口滲透到我們的內(nèi)部網(wǎng)絡(luò)，對(duì)我們的網(wǎng)絡(luò)資源進(jìn)行破壞，所以我們還是面臨著來自外部世界的安全威脅。來自于內(nèi)部用戶的入侵XX證券公司下屬的分支機(jī)構(gòu)，用戶數(shù)量多、并且地理分布廣泛，收發(fā)電子郵件或上網(wǎng)獲取信息已經(jīng)成為工作中不可缺少的部分，由于各分支機(jī)構(gòu)的網(wǎng)管水平不一，在網(wǎng)絡(luò)安全特別是防病毒方面很容易出現(xiàn)漏洞，因此分支機(jī)構(gòu)的用戶更容易感染計(jì)算機(jī)病毒；如果分支結(jié)構(gòu)的用戶感染計(jì)算機(jī)病毒，不但對(duì)本分支結(jié)構(gòu)造成影響，若不及時(shí)處理，病毒會(huì)迅速在整個(gè)XX證券公司內(nèi)部擴(kuò)散，也會(huì)對(duì)其他的分支結(jié)構(gòu)及XX證券公司總部帶來影響，因此提高XX證券公司下面分支結(jié)構(gòu)網(wǎng)絡(luò)的安全性對(duì)整個(gè)XX證券公司網(wǎng)絡(luò)整體的安全性是非常重要的。三、 XX證券公司安全解決方案3.1 方案設(shè)計(jì)結(jié)合以上對(duì)XX證券公司網(wǎng)絡(luò)及網(wǎng)絡(luò)安全隱患的分析，結(jié)合穩(wěn)捷科技公司多年安全防護(hù)的項(xiàng)目經(jīng)驗(yàn)。對(duì)XX證券公司網(wǎng)絡(luò)安全提出如下建議：1）增加基于Web的防病毒，防攻擊能力。防止網(wǎng)絡(luò)病毒，木馬對(duì)內(nèi)部用戶的侵害，以及外部威脅對(duì)web服務(wù)器的注入攻擊，同時(shí)要增加對(duì)內(nèi)網(wǎng)到外網(wǎng)的Web病毒，木馬等惡意程序的檢測(cè)，防止內(nèi)部在不知情的情況下成為“黑客”的幫兇，成為新的網(wǎng)絡(luò)攻擊源。企業(yè)Web防護(hù)基本內(nèi)容如下： 具備對(duì)Web應(yīng)用的病毒傳播進(jìn)行防護(hù)； 具備對(duì)Web應(yīng)用的間諜軟件進(jìn)行防護(hù)； 具備對(duì)Web應(yīng)用的網(wǎng)絡(luò)釣魚行為進(jìn)行阻斷； 具備對(duì)Web應(yīng)用的惡意URL地址進(jìn)行阻擋； 具備對(duì)web服務(wù)器SQL 注入以及跨站腳本攻擊防護(hù)； 具備對(duì)Web應(yīng)用的非工作相關(guān)站點(diǎn)的訪問進(jìn)行控制。2）增加基于Email（SMTP,POP3,IMAP）的防病毒，防攻擊能力，防止惡意程序通過Email方式進(jìn)行傳播，同時(shí)增加垃圾郵件控制功能，保護(hù)寶貴的網(wǎng)絡(luò)帶寬資源，避免垃圾郵件對(duì)員工的騷擾。同時(shí)要增加對(duì)內(nèi)網(wǎng)到外網(wǎng)的Email傳輸檢測(cè)，防止Email Server在不知情的情況下成為網(wǎng)絡(luò)“僵尸”，成為新的網(wǎng)絡(luò)攻擊源。建議IDC Email防護(hù)的基本內(nèi)容如下： 具備對(duì)Email應(yīng)用的病毒傳播進(jìn)行防護(hù)； 具備對(duì)Email應(yīng)用的間諜軟件進(jìn)行防護(hù)； 具備對(duì)Email應(yīng)用的網(wǎng)絡(luò)釣魚行為進(jìn)行阻斷； 具備對(duì)Email應(yīng)用的垃圾郵件智能過濾功能； 具備對(duì)Email應(yīng)用的未知惡意程序啟發(fā)式掃描功能；3）增加基于常見網(wǎng)絡(luò)數(shù)據(jù)傳輸協(xié)議（FTP）的防病毒，防攻擊能力，增加對(duì)用戶頻繁使用的FTP數(shù)據(jù)傳輸協(xié)議的控制能力，防止惡意程序通過FTP協(xié)議高速的特點(diǎn)，在短時(shí)間內(nèi)大規(guī)模的擴(kuò)散。從而對(duì)更多的無辜用戶造成更大的危害。3.2 解決方案本方案將從WEB應(yīng)用安全的角度，對(duì)來自Internet外部網(wǎng)絡(luò)和內(nèi)部用戶的入侵行為進(jìn)行實(shí)時(shí)防御，保護(hù)XX證券公司的郵件服務(wù)器、FTP服務(wù)器、證券交易WEB服務(wù)器以及對(duì)XX證券公司辦公網(wǎng)絡(luò)系統(tǒng)的保護(hù)以免遭網(wǎng)絡(luò)釣魚、病毒入侵、木馬、惡意軟件、垃圾郵件等等攻擊等因素進(jìn)行綜合設(shè)計(jì)。同時(shí)也保護(hù)了訪問用戶。XX證券公司下屬的分支機(jī)構(gòu)，用戶數(shù)量多、并且地理分布廣泛，收發(fā)電子郵件或上網(wǎng)獲取信息已經(jīng)成為工作中不可缺少的部分，由于各分支機(jī)構(gòu)的網(wǎng)管水平不一，在網(wǎng)絡(luò)安全特別是防病毒方面很容易出現(xiàn)漏洞，因此分支機(jī)構(gòu)的用戶更容易感染計(jì)算機(jī)病毒；如果分支結(jié)構(gòu)的用戶感染計(jì)算機(jī)病毒，不但對(duì)本分支結(jié)構(gòu)造成影響，若不及時(shí)處理，病毒會(huì)迅速在整個(gè)XX證券公司內(nèi)部擴(kuò)散，也會(huì)對(duì)其他的分支結(jié)構(gòu)及XX證券公司總部帶來影響，因此提高XX證券公司下面分支結(jié)構(gòu)網(wǎng)絡(luò)的安全性對(duì)整個(gè)XX證券公司網(wǎng)絡(luò)整體的安全性是非常重要的。穩(wěn)捷公司建議在XX證券公司的總部和各地分支營業(yè)機(jī)構(gòu)的Internet出口處部署B(yǎng)esecure NDP WEB安全網(wǎng)關(guān)進(jìn)行隔離，做到未雨綢繆，將各類惡意程序抵御在XX證券公司網(wǎng)絡(luò)之外；防止各類垃圾郵件進(jìn)入XX證券公司網(wǎng)絡(luò)內(nèi)部，防止外部以及內(nèi)部感染肉雞對(duì)WEB服務(wù)器的篡改攻擊。同時(shí)總部交易網(wǎng)的Internet的入口處，部署穩(wěn)捷公司NDP WEB安全網(wǎng)關(guān)產(chǎn)品能夠?qū)νㄟ^HTTP協(xié)議訪問網(wǎng)頁進(jìn)行病毒過濾，內(nèi)容清洗，同時(shí)對(duì)通過POP3以及IMAP協(xié)議接受公共郵箱郵件進(jìn)行病毒過濾和垃圾郵件過濾。穩(wěn)捷公司NDP WEB安全網(wǎng)關(guān)通過高效的病毒引擎和透明的工作方式，不用改動(dòng)網(wǎng)絡(luò)配置，實(shí)現(xiàn)對(duì)應(yīng)用服務(wù)器群進(jìn)行保護(hù)，以及“零”管理成本，能夠?qū)⒘餍械挠?jì)算機(jī)病毒拒之“墻外”，從而確保了分支機(jī)構(gòu)局域網(wǎng)的安全和辦公系統(tǒng)的安全，按照XX證券公司網(wǎng)絡(luò)實(shí)際使用迫切需求，首先對(duì)XX證券公司總部和營業(yè)部的辦公網(wǎng)絡(luò)系統(tǒng)進(jìn)行保護(hù)。同時(shí)，證券交易業(yè)務(wù)系統(tǒng)中證券交易網(wǎng)站服務(wù)器的安全也是重中之重，所以在XX證券公司總部的交易網(wǎng)的Internet出口處部署穩(wěn)捷公司NDP WEB安全網(wǎng)關(guān)，對(duì)證券交易網(wǎng)進(jìn)行安全保護(hù)。 具體的網(wǎng)絡(luò)拓?fù)鋱D如下：通過在網(wǎng)絡(luò)中合理的部署B(yǎng)eSecure NDP系列安全網(wǎng)關(guān)設(shè)備，可以有效的提升網(wǎng)絡(luò)的安全級(jí)別，為網(wǎng)絡(luò)用戶提供良好的保護(hù)措施。其顯著的特色如下： 立體式多重防護(hù)通過BeSecure保護(hù)客戶端、保護(hù)內(nèi)網(wǎng)、保護(hù)服務(wù)器群，配合現(xiàn)有的終端防病毒軟件，形成“三位一體”防護(hù)理念。首先是防護(hù)由外到內(nèi)的威脅，其次是防護(hù)內(nèi)部客戶端攻擊內(nèi)部服務(wù)器，最后是阻止內(nèi)部重要信息向外傳輸。這樣就能有效的把威脅降到最低。 高性能、無瓶頸在網(wǎng)關(guān)internet出口處部署高性能的穩(wěn)捷web安全網(wǎng)關(guān)，首先重點(diǎn)解決了網(wǎng)關(guān)病毒掃描所造成的性能瓶頸問題，從而在保證安全掃描的前提下，大大提高了用戶訪問Web的速度。 高效，準(zhǔn)確，可靠的安全防護(hù)技術(shù)穩(wěn)捷網(wǎng)絡(luò)安全設(shè)備的防病毒技術(shù)，反垃圾郵件掃描以及URL信譽(yù)等級(jí)評(píng)分及分類分別與世界知名的防病毒廠商卡巴斯基、反垃圾郵件廠商cloudmark和世界著名安全廠商McAfee共同合作開發(fā)，防病毒特征碼數(shù)據(jù)庫已經(jīng)達(dá)到了400萬條目級(jí)別，遠(yuǎn)遠(yuǎn)的超出了同類安全廠商的產(chǎn)品。利用 URL信譽(yù)評(píng)分系統(tǒng)提供的基于信譽(yù)和基于分類的過濾組合，攔截通過員工下載入侵網(wǎng)絡(luò)的病毒和惡意軟件，URL庫達(dá)到100種分類，3000多萬條目。全球超過 100 家有線和無線運(yùn)營商，如 Comcast、Earthlink、Cox Communications、Swisscom、Tele2、KPN 等，共同使用穩(wěn)捷網(wǎng)絡(luò)核心郵件安全解決方案。來自全球范圍的 one billion 報(bào)告源進(jìn)行接收、分析、驗(yàn)證和傳遞的同時(shí)，采用高級(jí)指紋編碼算法實(shí)時(shí)識(shí)別垃圾郵件威脅變種。 零時(shí)差威脅保護(hù)為了達(dá)到零時(shí)差保護(hù)，BeSecure采用了啟發(fā)式智能分析架構(gòu)來識(shí)別新的安全威脅，在攻擊到達(dá)用戶網(wǎng)絡(luò)之前主動(dòng)阻止新型的惡意軟件、釣魚攻擊、垃圾郵件、惡意URL站點(diǎn)和網(wǎng)絡(luò)僵尸、蠕蟲等。它每天從大量數(shù)據(jù)源（如“零時(shí)差惡意軟件特征碼”、“釣魚攻擊檢測(cè)”、“全球威脅響應(yīng)中心”、“URL信譽(yù)”“ip信譽(yù)”等）中探測(cè)20億個(gè)事件。 簡(jiǎn)單，便捷的產(chǎn)品部署B(yǎng)eSecure可以提供安全方便的純透明網(wǎng)橋部署，很容易地部署到任何節(jié)點(diǎn)的網(wǎng)絡(luò)上，而不需要網(wǎng)絡(luò)重新搭建或額外的硬件。只需要簡(jiǎn)單的將NDP設(shè)備安裝在受保護(hù)網(wǎng)絡(luò)的網(wǎng)關(guān)位置，不需要對(duì)網(wǎng)絡(luò)中的IP地址規(guī)劃做任何修改，就可以立即提供對(duì)網(wǎng)絡(luò)的保護(hù)作用。真正做到“即插即用” 豐富，詳細(xì)的日志及用戶報(bào)表統(tǒng)計(jì)功能BeSecure在具有強(qiáng)度的安全防護(hù)功能的同時(shí)，它還可以根據(jù)用戶的需要，為用戶提供了多種多樣的統(tǒng)計(jì)，及圖形化報(bào)表。同時(shí)，用戶還可以在設(shè)備管理界面中，實(shí)時(shí)的查看設(shè)備硬件負(fù)載情況包括CPU利用率，內(nèi)存占用率，協(xié)議使用等信息。極大的方便用戶查看，分析，評(píng)估網(wǎng)絡(luò)安全狀況。最后通過穩(wěn)捷科技專屬咨詢服務(wù)，幫助用戶設(shè)計(jì)防病毒系統(tǒng)發(fā)展規(guī)劃，梳理內(nèi)部流程，提供運(yùn)維支持和專業(yè)培訓(xùn)服務(wù)、員工科普培訓(xùn)服務(wù)，甚至提供外派技術(shù)人員常駐客戶方，協(xié)助用戶開展具體的防病毒工作，如支持下屬分支機(jī)構(gòu)的產(chǎn)品和病毒問題，定期提供病毒分析報(bào)告，評(píng)估防病毒體系，分支機(jī)構(gòu)巡檢等多種形式的服務(wù)。四、 Besecure NDP系列安全產(chǎn)品解決方案4.1 產(chǎn)品介紹穩(wěn)捷網(wǎng)絡(luò)通過始終不移的研發(fā)投資以確保全球最高性能的WEB安全技術(shù)領(lǐng)先地位, 優(yōu)化整合最優(yōu)秀的檢測(cè)算法(防病毒,防垃圾郵件, 內(nèi)容過濾, 網(wǎng)址過濾, 關(guān)鍵字過濾) , 專注于渠道的開發(fā)與支持，不斷向客戶提供卓越易銷的WEB安全功能及成功案例。NDP (Network Data Processing)是由穩(wěn)捷網(wǎng)絡(luò)首創(chuàng)的針對(duì)網(wǎng)絡(luò)應(yīng)用數(shù)據(jù)的高精度高速(吉比特)深度內(nèi)容檢測(cè)技術(shù),基于此項(xiàng)技術(shù),穩(wěn)捷網(wǎng)絡(luò)的WEB安全設(shè)備,BeSecure系列產(chǎn)品,使企業(yè)服務(wù)商及運(yùn)營商準(zhǔn)確實(shí)時(shí)地檢測(cè)攔截抵御來自WEB及郵件的威脅,提高工作效率,有效阻斷資料數(shù)據(jù)的泄露:BeSecure Internet Gateway 是多功能的整合安全設(shè)備，提供Web安全(防病毒，內(nèi)容過濾，網(wǎng)址攔截)和郵件安全(垃圾郵件病毒內(nèi)容過濾)服務(wù)。BeSecure Web Gateway 是提供Web防病毒，網(wǎng)頁內(nèi)容過濾和網(wǎng)址攔截等服務(wù)的高性能整合網(wǎng)絡(luò)安全設(shè)備。BeSecure Web AV Gateway 是一個(gè)在網(wǎng)絡(luò)應(yīng)用數(shù)據(jù)層攔截網(wǎng)絡(luò)惡意攻擊，間諜軟件和病毒的高效能的解決方案。BeSecure Message Gateway 能每小時(shí)對(duì)650萬封郵件進(jìn)行深度內(nèi)容檢測(cè), 是一個(gè)有效高速的檢測(cè)攔截抵御垃圾郵件, 病毒及資料數(shù)據(jù)泄露威脅的郵件安全設(shè)備。新一代穩(wěn)捷WEB 安全網(wǎng)關(guān)技術(shù), 實(shí)時(shí)準(zhǔn)確高效全面地為您提供可靠易行的WEB 內(nèi)容安全傳統(tǒng)的基于網(wǎng)絡(luò)的安全解決方案包括防火墻及入侵檢測(cè)/入侵防御系統(tǒng)（IDS/IPS），防火墻通過對(duì)數(shù)據(jù)包包頭的檢測(cè)可決定阻止或允許對(duì)特定端口的訪問，IDS/IPS 可進(jìn)一步對(duì)數(shù)據(jù)包內(nèi)容進(jìn)行簡(jiǎn)單檢測(cè)以發(fā)現(xiàn)數(shù)據(jù)包是否有攻擊傾向。兩者對(duì)來自互聯(lián)網(wǎng)的內(nèi)容攻擊及有害內(nèi)容都是無能為力的，因?yàn)檫@類攻擊大多是包含多個(gè)數(shù)據(jù)包且隱含于壓縮或混碼之中。通俗的講，防火墻是閘口，數(shù)據(jù)只能通過打開的閘口，而IDS/IPS 就像一個(gè)粗篩，對(duì)污水只能進(jìn)行大的污染物的過濾，當(dāng)前，僅有防火墻和IDS/IPS 已無法滿足對(duì)WEB 安全的要求，而BeSecure 則像是細(xì)篩，過濾后，“水”的品質(zhì)可達(dá)到直接“飲用”，完全滿足對(duì)WEB 安全的要求。 主要優(yōu)勢(shì)高效率,實(shí)時(shí),深層,全覆蓋的網(wǎng)絡(luò)數(shù)據(jù)處理技術(shù)(專利) 以提供最完整全面的內(nèi)容網(wǎng)關(guān)安全服務(wù)優(yōu)化整合高精確度,世界領(lǐng)先的模式識(shí)別算法以提供最準(zhǔn)確的識(shí)別率高可靠性,靈活,簡(jiǎn)便的網(wǎng)絡(luò)集成及管理界面以提供最快速的WEB 安全方案實(shí)施與維護(hù)，主要功能間諜軟件廣告軟件及惡意軟件實(shí)行實(shí)時(shí)Web 防護(hù)。4.2 功能描述 對(duì)經(jīng)過網(wǎng)關(guān)的WEB 數(shù)據(jù)進(jìn)行實(shí)時(shí)深度檢測(cè)以鑒別病毒間諜軟件廣告軟件及惡意軟件的攻擊。每小時(shí)可檢測(cè)1150 萬個(gè)網(wǎng)頁。準(zhǔn)確率達(dá)100% 可選擇性地根據(jù)網(wǎng)頁內(nèi)容分類以對(duì)WEB 的使用進(jìn)行檢測(cè)或阻擋。支持100 個(gè)內(nèi)容分類庫，3000 多萬個(gè)網(wǎng)址數(shù)據(jù)庫。 可制定對(duì)關(guān)鍵字（包括有復(fù)雜結(jié)構(gòu)關(guān)鍵字組）進(jìn)行檢測(cè)或阻擋，防止數(shù)據(jù)泄露或?qū)﹂T戶網(wǎng)站的攻擊。 對(duì)經(jīng)過網(wǎng)關(guān)的電子郵件進(jìn)行實(shí)時(shí)深度檢測(cè)以鑒別垃圾郵件病毒間諜軟件廣告軟件及惡意軟件的攻擊。每小時(shí)可檢測(cè)650 萬封電子郵件。準(zhǔn)確率達(dá)98%。 可制定對(duì)網(wǎng)址訪問進(jìn)行檢測(cè)或阻擋，以檢測(cè)或阻攔炒股或?qū)Σ涣純?nèi)容及與工作無關(guān)內(nèi)容的訪問,提高工作效率,優(yōu)化網(wǎng)絡(luò)使用。 世界領(lǐng)先全透明嵌入代理模式可快速完成方案整合。4.3 產(chǎn)品型號(hào)說明NDP-1005DNDP-1005GNDP-1020NNDP-1038NDP-2040在線吞吐量（Mbps）150Mbps500Mbps700 Mbps1 Gbps3Gbps電子郵件(封/小時(shí))150,0002,250,0002,500,0002,850,0005,000,000HTTP(頁/小時(shí))1,500,0006,750,0007,500,0009,000,00017,500,000推薦用戶數(shù)(所有服務(wù)全激合)20010002,0004,00010,000硬件平臺(tái)類型專用硬件平臺(tái)專用硬件平臺(tái)專用硬件平臺(tái)專用硬件平臺(tái)專用硬件平臺(tái)網(wǎng)絡(luò)接口10/100/100Bast-TX4w/ LAN Bypass10/100/100Bast-TX4w/ LAN Bypass10/100/100Bast-TX4w/ LAN Bypass4GbECopper+2GbE SL w/ LAN Bypass4GbECopper+2GbE SL w/ LAN Bypass4.4 BeSecure 網(wǎng)絡(luò)數(shù)據(jù)處理技術(shù)4.4.1 BeSecure專利的“Subsonic”技術(shù)Subsonic 技術(shù)（PCT/CA2007/000020，USPTO 11/620,556）是為解決 NBCI 應(yīng)用程序的關(guān)鍵性能問題而開發(fā)的。Subsonic 的關(guān)鍵設(shè)計(jì)目標(biāo)是在本地和城域網(wǎng)絡(luò)中克服 NBCI 的性能障礙。今天，繁忙的網(wǎng)絡(luò)連接經(jīng)常通過多種網(wǎng)絡(luò)協(xié)議同時(shí)承載著數(shù)百或數(shù)千個(gè)網(wǎng)絡(luò)通信會(huì)話。NBCI 設(shè)備需要能夠處理這種大尺度并發(fā)。Subsonic 的體系結(jié)構(gòu)框架是使用 Linux 內(nèi)核實(shí)現(xiàn)的，它使用本機(jī) POSIX 線程庫 (NPTL) 來配合輕型 NPTL 線程所處理的每個(gè)傳輸流掃描會(huì)話。此途徑有效地減少了處理單個(gè)掃描會(huì)話的系統(tǒng)資源需求和上下文切換時(shí)間。圖 21 將 Subsonic 以 NPTL 為基礎(chǔ)的網(wǎng)絡(luò)吞吐量與常規(guī)的基于進(jìn)程的吞吐量進(jìn)行比較?？梢杂^察到，Subsonic NPTL 快了至少 10 倍。圖 1：多線程與多進(jìn)程一旦負(fù)載數(shù)據(jù)被獲取并檢查其指紋，該算法可以確定此負(fù)載數(shù)據(jù)是否已在之前被檢查過。如果是，則直接檢索以前的檢查結(jié)果，而不應(yīng)用通常昂貴的內(nèi)容檢查算法。因?yàn)橹T如 SHA-1 這樣的指紋算法是流式算法，并且在應(yīng)用指紋算法時(shí)我們可以不擔(dān)心所截取的負(fù)載的內(nèi)部存檔結(jié)構(gòu)，因此，指紋程序的執(zhí)行速度要比運(yùn)行內(nèi)容檢查算法快很多。圖 22 是通過對(duì)負(fù)責(zé)處理有 23 個(gè) LAN 節(jié)點(diǎn)的網(wǎng)絡(luò) NBCI 設(shè)備進(jìn)行常規(guī)內(nèi)容檢查和執(zhí)行 SHA1 算法所產(chǎn)生的性能數(shù)據(jù)進(jìn)行采樣所獲得的?？梢杂^察到，文件越大，則使用內(nèi)容識(shí)別途徑時(shí)的增益越大，并且可能的性能增益超過 60 倍。通過對(duì)負(fù)載進(jìn)行流處理而不做任何計(jì) 算，從而度量出理論上限。由于 NDP 設(shè)備對(duì)網(wǎng)絡(luò)應(yīng)用傳輸流進(jìn)行深度檢測(cè)，所以，當(dāng)包含復(fù)雜壓縮組件的大型負(fù)載到達(dá)時(shí)，NDP 將花費(fèi)很多系統(tǒng)資源對(duì)此特定通信會(huì)話進(jìn)行內(nèi)容檢查。具體來說，TQD 線程管理器是為管理掃描線程的優(yōu)先級(jí)而開發(fā)的。當(dāng)創(chuàng)建掃描線程時(shí)，它會(huì)注冊(cè)到 TQD 線程管理器。管理器按時(shí)間循環(huán)，并隨著過去的時(shí)間減少每個(gè)線程的優(yōu)先級(jí)和存活時(shí)間 (TTL)。它還會(huì)清理掉持續(xù)時(shí)間太長的線程，即 TTL 小于 0 的線程?？梢园催\(yùn)行窗口中每單位時(shí)間的哈希沖突概率和傳輸流量的函數(shù)來自動(dòng)計(jì)算 TTL。圖 3 摘自 2003 年 5 月第 21 卷第 2 號(hào)的ACM Transactions on Computer Systems中的 HARCHOL-BALTER, etc。此研究表明，TQD 算法對(duì)最小 80% 的文件的受益為 10 倍以上，而超過最高 1% 的所有請(qǐng)求受益也可達(dá)5倍以上。圖 2：內(nèi)容檢查（常規(guī)掃描）與指紋 (SHA1) 的性能圖 3: 平均響應(yīng)時(shí)間 (TQD) 與常規(guī)途徑4.4.2 采用 Green Stream 技術(shù)以降低滯后將 NBCI 系統(tǒng)部署到網(wǎng)絡(luò)中時(shí)，它可能帶來更多滯后。對(duì)于已經(jīng)遇到穩(wěn)定性問題的網(wǎng)絡(luò)來 說，此滯后將使這些問題變得更為嚴(yán)重。據(jù)報(bào)告，某些 NBCI 系統(tǒng)會(huì)導(dǎo)致應(yīng)用程序發(fā)生更多的連接中斷。由于內(nèi)容檢查所引入的滯后，第一個(gè)數(shù)據(jù)包會(huì)在應(yīng)用程序會(huì)話已超時(shí)之后才來到。NDP Green Stream 技術(shù)是為解決此“第一個(gè)數(shù)據(jù)包”問題而開發(fā)的。使用 Green Stream 后，將極大減少網(wǎng)絡(luò)滯后。對(duì)于大型負(fù)載，這種減少可以是 10 到 20 倍，從而使 Green Stream 成為非常有效的技術(shù)。4.4.3 支持新協(xié)議不同的協(xié)議有不同的握手序列和不同的負(fù)載格式。但是，在 NBCI 方面，有很多通用的任務(wù)，比如調(diào)用內(nèi)容檢查算法、連接管理、配置加載/備份等。NDP 提供了高級(jí)建模能力（稱為協(xié)議工廠），以便跨越特定協(xié)議的細(xì)節(jié)實(shí)現(xiàn)來實(shí)現(xiàn)這些任務(wù)。對(duì)于新協(xié)議，此建模能力允許穩(wěn)捷網(wǎng)絡(luò)迅速開發(fā)出針對(duì)此協(xié)議的掃描器。4.4.4 開放式服務(wù)總線一旦 Subsonic 引擎重新構(gòu)造數(shù)據(jù)負(fù)載之后，就會(huì)將它路由到多種內(nèi)容檢查服務(wù)進(jìn)行數(shù)據(jù)處理，比如標(biāo)識(shí)和刪除威脅。這些服務(wù)可以是惡意軟件檢測(cè)、垃圾郵件檢測(cè)和規(guī)則遵守實(shí)施。為了滿足提供高準(zhǔn)確和高性能內(nèi)容檢查服務(wù)和引入新服務(wù)的需要，BeSecure 采用了開放式服務(wù)總線 (OSB)。OSB 是高性能的多線程系統(tǒng)后臺(tái)程序，它調(diào)用最佳類型的第三方內(nèi)容檢查服務(wù)。在作為高性能的多線程系統(tǒng)后臺(tái)程序運(yùn)行時(shí)，OSB 將對(duì) Subsonic 引擎所路由的數(shù)據(jù)負(fù)載應(yīng)用一組內(nèi)容檢查和優(yōu)化算法。該路由通過基于共享內(nèi)存機(jī)制的進(jìn)程間通信完成。這些內(nèi)容檢查算法通常由第三方供應(yīng)商以軟件庫的形式提供。圖 4 演示了 Subsonic 引擎、OSB 和內(nèi)容檢查服務(wù)之間的高層關(guān)系。圖 4：開放式服務(wù)總線OSB 體系結(jié)構(gòu)提供以下優(yōu)點(diǎn)： 跨所有應(yīng)用程序協(xié)議的統(tǒng)一內(nèi)容檢查服務(wù)。 對(duì)第三方內(nèi)容檢查服務(wù)容錯(cuò)。OSB 監(jiān)視第三方模塊的服務(wù)可用性。如果檢測(cè)到失敗，則 OSB 強(qiáng)制啟動(dòng)另一個(gè)服務(wù)實(shí)例。 比獨(dú)立第三方服務(wù)更高的性能?；诠蚕韮?nèi)存的 IPC 允許檢查吞吐量大幅提高。 多線程服務(wù)調(diào)用機(jī)制充分利用了今天的多核多處理器硬件平臺(tái)。 數(shù)據(jù)負(fù)載僅需要一次路由到 OSB，便可以完成所有內(nèi)容檢查服務(wù)。 通過對(duì)一組簡(jiǎn)單的 API 進(jìn)行測(cè)試，可以確保第三方服務(wù)的質(zhì)量。因此，具有更新算法的版本可以很容易集成到 NDP OS 中。 可以很容易集成新服務(wù)，以實(shí)施針對(duì)內(nèi)容的新策略。4.5 BESECURE反惡意軟件掃描技術(shù)為了獲得能夠應(yīng)對(duì)提供完整的反惡意軟件保護(hù)這一挑戰(zhàn)所需的準(zhǔn)確性和性能，必須采用“最佳”解決方案。同世界知名的防病毒廠商卡巴斯基合作，共同開發(fā)了防病毒引擎并集成了Kaspersky Lab 的贏得獎(jiǎng)項(xiàng)的惡意軟件指紋數(shù)據(jù)庫集成。借助與分布全球150多個(gè)國家的防病毒試驗(yàn)中心，BeSecure產(chǎn)品具業(yè)界最準(zhǔn)確的惡意軟件掃描能力。 最優(yōu)啟發(fā)式檢測(cè)技術(shù) 它利用多種主動(dòng)探測(cè)技術(shù)（啟發(fā)式、遺傳式和行為式）的組合對(duì)未知惡意軟件程序進(jìn)行零時(shí)間檢測(cè)。從惡意軟件產(chǎn)生，到防病毒廠家檢測(cè)、分析、并加入特征庫，再到用戶下載并使用新的特征庫，存在著一個(gè)相當(dāng)大的時(shí)差。而Besecure的啟發(fā)式檢測(cè)技術(shù)則消除了這個(gè)時(shí)間差。 特征庫覆蓋率是其它眾多同類產(chǎn)品的100倍，使用這個(gè)特征庫，可以全面檢測(cè)并阻止病毒、間諜軟件和其它惡意軟件。 可以同時(shí)阻止間諜軟件回傳、偷渡式下載等，來避免更大的損失，保護(hù)重要信息。 所支持的最大打包格式數(shù) 反病毒解決方案應(yīng)當(dāng)能夠掃描對(duì)象，無論它們是如何或多少次被壓縮、打包、存檔或嵌入到安裝程序中的。BeSecure支持大約 2,000 種不同類型的打包程序、存檔和安裝程序。4.6 Web安全過濾技術(shù)Internet 對(duì)于當(dāng)今業(yè)務(wù)發(fā)展來說不可或缺。 然而，隨著博客、維基、社交站點(diǎn)等多種互動(dòng)性功能的出現(xiàn)，動(dòng)態(tài)化的 Web 2.0 環(huán)境給企業(yè)帶來了棘手的安全難題。 當(dāng)用戶訪問被感染的網(wǎng)站時(shí)，惡意代碼和 Web 病毒就會(huì)“悄無聲息”地進(jìn)入網(wǎng)絡(luò)。穩(wěn)捷的web安全過濾功能將助您遠(yuǎn)離這些風(fēng)險(xiǎn)。 這是一款智能化 Web 過濾解決方案，旨在防止員工訪問那些可能導(dǎo)致病毒、惡意軟件和其他安全風(fēng)險(xiǎn)的網(wǎng)站，同時(shí)幫助您減少法律責(zé)任、充分提升員工效率并節(jié)約帶寬以保證業(yè)務(wù)活動(dòng)順暢開展，有效確保企業(yè)安全。此功能可以讓您了解、過濾和監(jiān)控 Internet 的使用情況，同時(shí)幫助您有效控制傳出的 Web 訪問，預(yù)防可能出現(xiàn)的各種 Web 威脅。穩(wěn)捷WEB安全過濾采用實(shí)時(shí)信譽(yù)評(píng)分和類別過濾組合，前瞻、可靠地執(zhí)行檢測(cè)，幫助您有效攔截當(dāng)今 Web 2.0 環(huán)境中的間諜軟件、網(wǎng)絡(luò)釣魚詐騙、惡意軟件以及其他安全威脅。信譽(yù)評(píng)分技術(shù)可以前瞻地查找和報(bào)告與可疑來源之間的流量，并通過 BeSecure 進(jìn)行攔截。 信譽(yù)評(píng)分借助全局信譽(yù)網(wǎng)絡(luò)和 Internet 實(shí)體知識(shí)，識(shí)別潛在的惡意行為，包括指示意圖散播惡意代碼的操作。 對(duì)于基于分類的過濾，穩(wěn)捷網(wǎng)絡(luò) 提供了一個(gè)成熟的URL存儲(chǔ)庫，包含 100 個(gè)分類、3000 多萬個(gè)可阻止站點(diǎn)。 URL存儲(chǔ)庫 由掌握一流技術(shù)的多語 Web 分析專家合力打造，擁有無與倫比的范圍、品質(zhì)和準(zhǔn)確率。 充分利用全面和細(xì)化的類別范圍；穩(wěn)捷網(wǎng)絡(luò)提供了一個(gè)成熟的存儲(chǔ)庫，包含 100多個(gè)分類、3000 多萬個(gè)可阻止站點(diǎn) 借助信譽(yù)中心提供的實(shí)時(shí)評(píng)分功能加強(qiáng)基于類別的過濾；前瞻、可靠地檢測(cè)當(dāng)今 Web 2.0 環(huán)境中的間諜軟件、網(wǎng)絡(luò)釣魚詐騙、惡意軟件以及其他安全威脅 快速了解企業(yè)內(nèi)部如何使用 Web，進(jìn)而詳細(xì)分析趨勢(shì)、隔離問題、記錄不當(dāng)?shù)?Web 活動(dòng)并定制過濾設(shè)置以有效實(shí)施 Web 使用策略 指定特定時(shí)間里可以覆寫過濾規(guī)則的用戶，排除您希望特定群組或用戶訪問的站點(diǎn)，并創(chuàng)建定制類別以更好地實(shí)施企業(yè)獨(dú)特的 Internet 訪問策略4.7 Email 過濾技術(shù)高性能 BeSecure 網(wǎng)絡(luò)數(shù)據(jù)處理技術(shù)提供了業(yè)界最高級(jí)的反垃圾郵件解決方案。BeSecure 在 OSI 第 7 層工作，并且獨(dú)立于任何 MTA，它提供以下功能： 基于頻繁更新的垃圾郵件指紋數(shù)據(jù)庫，檢查通過它傳輸?shù)娜魏坞娮余]件（POP、IMAP、SMTP）中是否有垃圾郵件和仿冒消息。 檢測(cè)在圖像中嵌入的垃圾郵件。 通過一個(gè)遍布全球的信任網(wǎng)絡(luò)不斷對(duì)新垃圾郵件進(jìn)行特征提取以匯總到垃圾郵件指紋數(shù)據(jù)庫中，從而不斷提高檢測(cè)率。 基于正則表達(dá)式 (regex) 的 IETF 電子郵件標(biāo)題白名單。 可以用于為電子郵件添加戳記以便進(jìn)行下游檢疫、刪除或分析的可自定義垃圾郵件標(biāo)記。相比傳統(tǒng)方法或基于直觀判斷的解決方案，BeSecure 獨(dú)樹一幟地利用網(wǎng)絡(luò)化智囊資源，以更迅速、更準(zhǔn)確和更理想的性能阻止郵件攻擊及其變種。下列技術(shù)緊密協(xié)作，可確保極高的準(zhǔn)確率，并在面對(duì)新威脅時(shí)以最快的速度做出反應(yīng)：Advanced Message Fingerprinting（高級(jí)郵件指紋編碼技術(shù)）由極其復(fù)雜的指紋編碼算法技術(shù)生成數(shù)字指紋編碼，可準(zhǔn)確識(shí)別所有語言和文件格式條件下的郵件濫用及其變種。輕量型的指紋編碼僅占用傳統(tǒng)內(nèi)容過濾系統(tǒng)所用 CPU 的一小部分，可以快速處理郵件。要應(yīng)對(duì)新的威脅，只需添加額外的指紋編碼算法即可，而無需重新架構(gòu)方案。Global Threat Network（全球威脅響應(yīng)網(wǎng)）依靠穩(wěn)捷網(wǎng)絡(luò)的 Advanced Message Fingerprinting（高級(jí)郵件指紋編碼技術(shù)）算法和 Global Threat Network（全球威脅響應(yīng)網(wǎng)）系統(tǒng)，穩(wěn)捷網(wǎng)絡(luò)能以最快的響應(yīng)速度抵御新的攻擊。全球威脅響應(yīng)網(wǎng)擁有超過 7 億個(gè)報(bào)告源，包括反濫用團(tuán)隊(duì)、系統(tǒng)管理員、用戶和“蜜罐”系統(tǒng)，這些報(bào)告源實(shí)時(shí)向 穩(wěn)捷網(wǎng)絡(luò)反饋有關(guān)威脅數(shù)據(jù)的信息。Trust Evaluation System（可信度評(píng)估系統(tǒng)） (TES)穩(wěn)捷網(wǎng)絡(luò)的 Trust Evaluation System（可信度評(píng)估系統(tǒng)）可以實(shí)時(shí)分析并驗(yàn)證威脅數(shù)據(jù)信息，只對(duì)真正的郵件濫用進(jìn)行堵截，而合法郵件則可以快速地抵達(dá)收件人的郵箱。一旦郵件被定義為威脅或合法郵件，該信息將立即傳遞給全世界的穩(wěn)捷網(wǎng)絡(luò)用戶。 信任評(píng)估系統(tǒng)4.8 關(guān)鍵字過濾技術(shù)BeSecure 提供的獨(dú)特的關(guān)鍵字過濾功能可以讓數(shù)據(jù)會(huì)話與關(guān)鍵字類別進(jìn)行匹配，以阻止數(shù)據(jù)泄露。數(shù)據(jù)損失阻止 (DLP) 是一條計(jì)算機(jī)安全術(shù)語，是指那些通過深入內(nèi)容檢查和集中管理框架對(duì)在使用中的數(shù)據(jù)（比如終端節(jié)點(diǎn)操作）、運(yùn)動(dòng)中的數(shù)據(jù)（比如網(wǎng)絡(luò)操作）和靜止的數(shù)據(jù)（比如數(shù)據(jù)存儲(chǔ)）進(jìn)行標(biāo)識(shí)、監(jiān)視和保護(hù)的系統(tǒng)。提供 DLP 措施的主要業(yè)務(wù)動(dòng)機(jī)是： 法規(guī)遵守 很多公司受到政府規(guī)章和報(bào)表法律條款的約束，要求他們對(duì)信息進(jìn)行控制，這些法規(guī)包括醫(yī)療保險(xiǎn)方面的“健康保險(xiǎn)可移植性及可記帳性法案”(HIPAA)、金融方面的“Gramm-Leach-Bliley 法案”(GLBA) 和 BASEL II 協(xié)議、“支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)”(PCCI DSS) 以及針對(duì)公共貿(mào)易公司的 Sarbanes-Oxley 法規(guī)。這些法規(guī)中有一些規(guī)定了信息技術(shù)內(nèi)部控制及審核機(jī)制，如果組織缺少適合的 IT 安全控制過程，則會(huì)違反相關(guān)法規(guī)。 客戶信息丟失 客戶信息的大量丟失已經(jīng)成為常見的頭條新聞，這會(huì)迫使公司重新發(fā)布卡片、通知客戶并減輕負(fù)面公開造成的信譽(yù)損失?？蛻粜畔G失通常發(fā)生在服務(wù)器被誘惑執(zhí)行暴露其技術(shù)漏洞的命令，從而導(dǎo)致其防御能力降低。例如，以網(wǎng)頁請(qǐng)求提交 SQL 命令的 SQL 注入會(huì)導(dǎo)致這類事故。作為 BeSecure 的服務(wù)的組成部分，BeSecure 的關(guān)鍵字過濾功能