近年來(lái)，國(guó)內(nèi)證券行業(yè)獲得了迅猛的發(fā)展，在國(guó)民經(jīng)濟(jì)中起著越來(lái)越重要的作用。當(dāng)前，國(guó)內(nèi)各證券公司已建成了全電子化的交易系統(tǒng)，覆蓋了投資者開(kāi)戶、訂單報(bào)送、交易撮合、市場(chǎng)監(jiān)察、銀證轉(zhuǎn)賬、清算交收等全部環(huán)節(jié)，為資本市場(chǎng)的快速發(fā)展提供了有力的支持，也適應(yīng)了我國(guó)證券市場(chǎng)中小投資者多、覆蓋地域廣、換手率高等特點(diǎn)。 

　　隨著互聯(lián)網(wǎng)的普及，基于Web架構(gòu)的網(wǎng)上交易逐漸成為一種先進(jìn)、便捷、實(shí)用的交易方式，目前，證券市場(chǎng)中60%以上的交易訂單都通過(guò)網(wǎng)上交易實(shí)現(xiàn)，有的交易機(jī)構(gòu)網(wǎng)上交易的比例甚至已經(jīng)達(dá)到90%以上。其中，占證券公司總收入50%以上的證券經(jīng)紀(jì)業(yè)務(wù)，更是高度依賴電子交易系統(tǒng)。因此，如何能為用戶提供穩(wěn)定、快捷的交易平臺(tái)，同時(shí)保障用戶信息的機(jī)密性，吸引更多用戶加盟，對(duì)證券公司業(yè)務(wù)的發(fā)展至關(guān)重要。從社會(huì)角度來(lái)看，電子交易系統(tǒng)的安全穩(wěn)定運(yùn)行也是整個(gè)證券市場(chǎng)穩(wěn)定發(fā)展的關(guān)鍵因素，因此也受到國(guó)家相關(guān)部門(mén)的高度重視。 

　　【圖1】證券公司一般網(wǎng)絡(luò)結(jié)構(gòu) 

　　對(duì)證券公司一般網(wǎng)絡(luò)結(jié)構(gòu)（如圖1）分析后發(fā)現(xiàn)，網(wǎng)上交易平臺(tái)通過(guò)互聯(lián)網(wǎng)向用戶提供網(wǎng)上交易、實(shí)時(shí)行情、投資分析等服務(wù)；辦公網(wǎng)內(nèi)的用戶通過(guò)互聯(lián)網(wǎng)獲取各種資源，因此網(wǎng)上交易平臺(tái)和辦公網(wǎng)成為整個(gè)網(wǎng)絡(luò)中風(fēng)險(xiǎn)級(jí)別最高的兩個(gè)點(diǎn)。

　　作為一種基于Web架構(gòu)的應(yīng)用，網(wǎng)上交易平臺(tái)面臨的風(fēng)險(xiǎn)主要包括拒絕服務(wù)攻擊、緩沖區(qū)溢出攻擊、Web應(yīng)用攻擊、SQL注入攻擊及XSS跨站腳本攻擊等。針對(duì)HTTP的拒絕服務(wù)攻擊（如CC攻擊等），將嚴(yán)重影響Web站點(diǎn)的正常訪問(wèn)，使合法用戶不能得到響應(yīng)，使用戶的買賣無(wú)法及時(shí)完成；而緩沖區(qū)溢出攻擊帶來(lái)的后果則主要是蠕蟲(chóng)病毒的泛濫，更嚴(yán)重的攻擊甚至可能導(dǎo)致整個(gè)系統(tǒng)被控制，重要的用戶信息及交易信息遭到竊取，系統(tǒng)的穩(wěn)定運(yùn)行被破壞。與這兩種攻擊方式相比，更為嚴(yán)重的是SQL注入和XSS攻擊。SQL注入和XSS攻擊可以上傳木馬、篡改頁(yè)面、竊取用戶信息、甚至完全控制被攻擊主機(jī)，但由于這兩種攻擊方式攻擊過(guò)程復(fù)雜，因此防范十分困難。 

　　針對(duì)網(wǎng)絡(luò)中另一個(gè)高危險(xiǎn)的點(diǎn)——辦公網(wǎng)，面臨的主要問(wèn)題來(lái)自安全管理。因?yàn)閮?nèi)網(wǎng)中人員、應(yīng)用繁多，P2P的泛濫嚴(yán)重侵蝕著有限的網(wǎng)絡(luò)帶寬；即時(shí)通訊軟件（IM）與虛擬隧道成為了信息泄露的重要途徑；在線網(wǎng)絡(luò)游戲嚴(yán)重降低了工作效率。因此，在防范來(lái)自外網(wǎng)的蠕蟲(chóng)、木馬、后門(mén)等攻擊的同時(shí)，同樣要關(guān)注內(nèi)網(wǎng)上網(wǎng)行為的管理。 

　　作為國(guó)內(nèi)信息安全領(lǐng)軍廠商，聯(lián)想網(wǎng)御傾力打造入侵防護(hù)系統(tǒng)，采用了自主研發(fā)的VSP通用安全平臺(tái)和USE統(tǒng)一檢測(cè)引擎，將ASIC硬件檢查、深度內(nèi)容檢測(cè)、安全防護(hù)、上網(wǎng)行為管理等技術(shù)完美地結(jié)合在一起，在有效防范外網(wǎng)攻擊的同時(shí)，可以對(duì)內(nèi)網(wǎng)上網(wǎng)行為進(jìn)行細(xì)粒度的訪問(wèn)控制。因此，對(duì)證券行業(yè)用戶而言，在網(wǎng)上交易服務(wù)器前及辦公網(wǎng)的網(wǎng)絡(luò)出口處各部署一臺(tái)聯(lián)想網(wǎng)御入侵防護(hù)系統(tǒng)（Power V IPS）便可以有效解決上述多種安全問(wèn)題，真正實(shí)現(xiàn)“攘外也安內(nèi)”的安全防護(hù)效果。（如圖2） 

　　【圖2】Power V IPS部署示意圖 

　　在防范DoS及DDoS攻擊方面，聯(lián)想網(wǎng)御入侵防護(hù)系統(tǒng)并非單純以總量計(jì)算數(shù)據(jù)包的方式統(tǒng)計(jì)，而是針對(duì)每個(gè)源IP在單位時(shí)間內(nèi)符合報(bào)文特征的次數(shù)，綜合進(jìn)行判斷，因此可以有效防范CC攻擊，以確保合法用戶順利訪問(wèn)Web站點(diǎn)。 

　　針對(duì)緩沖區(qū)溢出攻擊，聯(lián)想網(wǎng)御入侵防護(hù)系統(tǒng)提供“虛擬補(bǔ)丁”技術(shù)，聯(lián)想網(wǎng)御的技術(shù)專家團(tuán)隊(duì)及時(shí)跟蹤網(wǎng)絡(luò)中各種系統(tǒng)、軟件存在的bug，第一時(shí)間提供檢測(cè)特征碼，為用戶網(wǎng)絡(luò)提供一個(gè)虛擬的安全補(bǔ)丁，防范大部分的零日攻擊。 

　　針對(duì)Web應(yīng)用攻擊，聯(lián)想網(wǎng)御入侵防護(hù)系統(tǒng)提供了單獨(dú)的Web攻擊特征組，對(duì)Web應(yīng)用軟件、應(yīng)用系統(tǒng)存在的漏洞等進(jìn)行有針對(duì)性的防護(hù)。針對(duì)SQL注入和XSS攻擊，聯(lián)想網(wǎng)御定義了協(xié)議自動(dòng)機(jī)（Protocol Automaton，簡(jiǎn)稱PA)，用于定義和描述一個(gè)特定的網(wǎng)絡(luò)攻擊和應(yīng)用行為，通過(guò)PA技術(shù)，聯(lián)想網(wǎng)御能有效防范SQL注入/XSS攻擊。聯(lián)想網(wǎng)御PA技術(shù)的主要優(yōu)勢(shì)有以下幾個(gè)方面：首先，為每類典型攻擊行為制作了協(xié)議模型，這些模型具有通用性，可以涵蓋類型廣泛的攻擊；其次，鑒于SQL注入/XSS的簽名較短的特點(diǎn)，聯(lián)想網(wǎng)御在PA技術(shù)的基礎(chǔ)上還利用了時(shí)序和交叉驗(yàn)證技術(shù)，這樣可以大大提高識(shí)別的準(zhǔn)確率，最大程度的減少誤報(bào)。除此以外，聯(lián)想網(wǎng)御還具有完全自主知識(shí)產(chǎn)權(quán)的IPS引擎和簽名，根據(jù)PA的狀態(tài)遷移，分層分級(jí)進(jìn)行不同的簽名驗(yàn)證，只對(duì)必要數(shù)據(jù)進(jìn)行分析和比對(duì)，在保證準(zhǔn)確率的同時(shí)最大程度上減小了對(duì)用戶網(wǎng)絡(luò)數(shù)據(jù)的干擾，保證網(wǎng)絡(luò)的訪問(wèn)質(zhì)量。 

　　針對(duì)辦公網(wǎng)的防護(hù)，聯(lián)想網(wǎng)御入侵防御系統(tǒng)以內(nèi)網(wǎng)上網(wǎng)行為管理的細(xì)粒度訪問(wèn)控制為主，有效規(guī)范了上網(wǎng)行為，提升了網(wǎng)絡(luò)使用的效率。 

　　采用基于協(xié)議自動(dòng)機(jī)的流量識(shí)別技術(shù)，聯(lián)想網(wǎng)御入侵防護(hù)系統(tǒng)能夠基于軟件應(yīng)用和內(nèi)容識(shí)別出P2P應(yīng)用，并對(duì)P2P下載進(jìn)行攔截、限流，以優(yōu)化網(wǎng)絡(luò)資源；此外，可針對(duì)加密型或非加密型即時(shí)通訊軟件進(jìn)行管理及攔截，根據(jù)不同需求，進(jìn)行多層次控制，不僅可禁止實(shí)時(shí)聊天程序，還可對(duì)即時(shí)通訊軟件的登陸、聊天、傳輸文件、實(shí)時(shí)語(yǔ)音、實(shí)時(shí)視頻等進(jìn)行分項(xiàng)管理。 聯(lián)想網(wǎng)御入侵防護(hù)系統(tǒng)還支持對(duì)多種流行虛擬隧道軟件進(jìn)行檢測(cè)，通過(guò)限制隧道連接，讓非法加密隧道無(wú)立身之地，針對(duì)日益廣泛的在線游戲軟件，也能進(jìn)行有效監(jiān)控，支持對(duì)多種流行的在線游戲?qū)崿F(xiàn)阻斷管理，從而提高企業(yè)的整體工作效率。 

　　作為首款“內(nèi)外兼修”的產(chǎn)品，聯(lián)想網(wǎng)御入侵防護(hù)系統(tǒng)既保障了網(wǎng)上交易系統(tǒng)的穩(wěn)定運(yùn)行，又減少了內(nèi)網(wǎng)重要信息泄露的幾率，為證券公司電子交易系統(tǒng)的穩(wěn)定運(yùn)行提供了有力支撐。

文章作者：eNet硅谷動(dòng)力