FlowEye系統在證券環境下的應用
責編:admin |2014-12-09 16:18:37近日,啟明星辰國內首家發布了金融證劵業"安全域流監控系統",產品英文名稱是FlowEye,對新安全形勢下的證劵業如何進行安全檢測進行了全新的詮釋。
證券系統環境在各個行業的信息系統中,有著較為獨特的系統架構。主要特點表現為:
1、 系統內的網絡區域分隔較多。典型的區域存在辦公網、交易網,在此基礎上可能會存在集中交易內網區域、網上交易系統區域、登記結算系統區域、電子商務(互聯網金融業務)系統區域等子區域。
2、 大量使用雙網卡主機。當前國內各大券商使用的集中交易系統、網上交易系統等核心業務系統基本由恒生與金證兩家開發商壟斷,由這兩家開發商主導的系統架構中大量采用了雙網卡主機,這樣的架構形成了單個業務系統的獨立區域,在早期很好的保障了系統的區域隔離,便于進行訪問控制,同時滿足證監會的監管要求。而在當前業務系統數量急劇增多,增值業務爆發,經營決策時的數據挖掘需求日益增長等因素影響下,同時跨越多個網絡區域主機數量激增,形成了大量的多網卡主機。
3、 業務系統間訪問關系復雜且頻繁。證券行業的業務邏輯較為復雜,各個業務部門之間的交互很多,這就決定了券商的業務系統之間的交互也非常多,而且交互關系復雜,例如:一個客戶在券商開戶時涉及的系統一般是登記結算系統,其個人信息錄入登記結算系統后會被集中交易系統讀取,而客戶的每日交易記錄生成于集中交易系統,而這些交易記錄又會被報盤系統讀取以報送滬市、深市交易所,交易信息也需要被監管類系統讀取,同時交易信息又會被登記結算系統讀取,以便登記結算系統用于和交易所做每日清算,而清算信息又需要通過三方存管系統與資金托管銀行做結算、資金劃轉。這些相對復雜的業務邏輯導致各個信息系統之間的訪問關系非常復雜而且頻繁。
綜上這些證券行業的特性可以明顯的發現,當前券商的信息系統在安全域劃分和訪問控制措施落地這一環節上面臨著巨大的困難,除少數券商能夠利用搬遷改造等機會實現了安全域劃分,大多數券商都難以實現安全域劃分,而即便進行了安全域劃分的,當前也難以將邊界的訪問控制策略準確落地,造成了所謂"有邊無界"的尷尬狀態。
FlowEye在券商系統環境中可以帶來的客戶價值是非常明顯的,關鍵作用點包括:
1、域(系統)間和IP間訪問關系梳理。當前券商的運維人員很難準確給出各個信息系統提供服務的地址端口及對外訪問的地址端口,同樣應用開發(維護)部門及開發商在此環節提供的支持也非常有限,因而通過FlowEye設備的持續監控可以最為準確的提供此類信息。從而支持用戶進行安全域劃分與邊界訪問控制措施的落地。
2、未知(盲區)資產發現。券商系統環境中由于資產數量眾多,在系統上線、下線管理流程無法嚴格執行的情況下,網內會逐漸積累出現大量未知(盲區)資產,這類現象在券商逐漸采用虛擬化技術后越發明顯。FlowEye設備在這個需求點上提供的功能非常適應于客戶需求。
3、敏感操作監控審計。當前券商系統由于業務創新的需求壓力,各個系統的功能擴展、版本更新非常頻繁,信息部門對于系統的掌控程度在逐步下降,無法準確了解各個系統已知服務中包含的具體操作內容,在這個方向上的憂慮程度明顯提升。因而,FlowEye設備對服務中包含的操作信息呈現能夠很好的滿足客戶此類需求。
當前全球化趨勢日益明顯,信息化已成為經濟發展的一大特征及趨勢。證券行業是高度信息化行業,證券公司作為證券行業的主要參與者,其信息化發展亦是如此。中國證券公司發展的驅動力是證券信息技術的進步及其廣泛應用,因此網絡技術的應用,帶來了中國證券公司的深刻變革。然而信息化之后證劵公司的信息安全問題更加突出。由于不正確的安全策略和安全機制以及缺乏先進的網絡安全技術、工具、手段和產品等原因,網絡黑客對網絡的攻擊越來越猛烈并屢屢得手,證券信息系統遭受非法破壞的事情屢有發生,證券公司面臨的信息安全形勢也越來越嚴峻。FlowEye產品應時而生,必將伴隨中國的證劵發展,從信息安全保障的角度為證劵公司實現其組織機構的使命而保駕護航。