从证券业安全大检查的一点经验谈起

三、网络安全　　

近年来证券整体行业效益不错，因此在网络上投入很大，起点较高，并且由于券商大多数都是跨地域的，整个IP地址的规划也都比较合理，具有连续性，能够与网络拓扑层次结构相适应，便于进行管理。作为网络建设重要规范性之一的可靠性建设也受到很大重视，针对故障恢复、承载能力以及安全配置均充分考虑了关键网络设备和重要链路的可靠性建设：通过交换机之间Trunk互联和专用负载均衡设备，实现动态的冗余热备和流量分担，有效提高了网络的可靠性和可用性。对于重要的主机设备同样部署了完善的链路和设备双备份，通过双归属方式的互联和采用主备设备的方式，可确保一旦出现问题可以实现快速的切换，把对业务的不利影响降低。同时在交换机上根据业务的需要划分了相应的VLAN，通过二层隔离有效杜绝了蠕虫病毒的扩散和广播、组播数据流的防洪，提高了网络的安全和承载效率，确保网络系统具有了良好的扩展性和健壮性。

但是安全问题也总是伴随着网络建设而来，创新业务不断出现也要求对外的接口越来越多，例如对各个银行、上交所、深交所的接口。在出口很多的问题下需要认真对待各出口的分界线控制，这方面，已经有很多机构提出了安全域架构的方法，在实践中也取得了认可。

再有就是对网络保密的情况考虑不足，在这方面银行走在了前面，对链路都是由加密机来加密。券商对此尚没有顾及，关键的业务数据在传输时zheng没有加密手段，可能被监听泄露。据笔者和各信息部门老总交流的情况看，也并不是没有考虑，他们担心加密以后对网络的实时性造成影响，而且券商内跑的应用很多，业务系统与加密机的配合会不会出问题，再者，券商的网络多是专线连接，被窃听的可能并不很大。我承认，老总们的担忧很有道理，在现有技术情况下，如何进行无障碍的链路加密？这也是咱们国内的安全厂家应该去深入研究的课题。