浅析证券内外网安全需求及解决方案

核心提示： 针对网络中另一个高危险的点——办公网，面临的主要问题来自安全管理，浅析证券内外网安全需求及解决方案(2)，因为内网中人员、应用繁多，P2P的泛滥严重侵蚀着有限的网络带宽;即时通讯软件(IM)与虚拟隧道成为了信息泄露的重要途径;在线网络游戏严重降低了工作效率，联想网御

针对网络中另一个高危险的点——办公网，面临的主要问题来自安全管理。因为内网中人员、应用繁多，P2P的泛滥严重侵蚀着有限的网络带宽;即时通讯软件(IM)与虚拟隧道成为了信息泄露的重要途径;在线网络游戏严重降低了工作效率。因此，在防范来自外网的蠕虫、木马、后门等攻击的同时，同样要关注内网上网行为的管理。

作为国内信息安全领军厂商，联想网御倾力打造入侵防护系统，采用了自主研发的VSP通用安全平台和USE统一检测引擎，将ASIC硬件检查、深度内容检测、安全防护、上网行为管理等技术完美地结合在一起，在有效防范外网攻击的同时，可以对内网上网行为进行细粒度的访问控制。因此，对证券行业用户而言，在网上交易服务器前及办公网的网络出口处各部署一台联想网御入侵防护系统(Power V IPS)便可以有效解决上述多种安全问题，真正实现“攘外也安内”的安全防护效果。(如图2)

【图2】Power V IPS部署示意图

在防范DoS及DDoS攻击方面，联想网御入侵防护系统并非单纯以总量计算数据包的方式统计，而是针对每个源IP在单位时间内符合报文特征的次数，综合进行判断，因此可以有效防范CC攻击，以确保合法用户顺利访问Web站点。

针对缓冲区溢出攻击，联想网御入侵防护系统提供“虚拟补丁”技术，联想网御的技术专家团队及时跟踪网络中各种系统、软件存在的bug，第一时间提供检测特征码，为用户网络提供一个虚拟的安全补丁，防范大部分的零日攻击。

针对Web应用攻击，联想网御入侵防护系统提供了单独的Web攻击特征组，对Web应用软件、应用系统存在的漏洞等进行有针对性的防护。针对SQL注入和XSS攻击，联想网御定义了协议自动机(Protocol Automaton，简称PA)，用于定义和描述一个特定的网络攻击和应用行为，通过PA技术，联想网御能有效防范SQL注入/XSS攻击。联想网御PA技术的主要优势有以下几个方面：首先，为每类典型攻击行为制作了协议模型，这些模型具有通用性，可以涵盖类型广泛的攻击;其次，鉴于SQL注入/XSS的签名较短的特点，联想网御在PA技术的基础上还利用了时序和交叉验证技术，这样可以大大提高识别的准确率，最大程度的减少误报。除此以外，联想网御还具有完全自主知识产权的IPS引擎和签名，根据PA的状态迁移，分层分级进行不同的签名验证，只对必要数据进行分析和比对，在保证准确率的同时最大程度上减小了对用户网络数据的干扰，保证网络的访问质量。

针对办公网的防护，联想网御入侵防御系统以内网上网行为管理的细粒度访问控制为主，有效规范了上网行为，提升了网络使用的效率。

采用基于协议自动机的流量识别技术，联想网御入侵防护系统能够基于软件应用和内容识别出P2P应用，并对P2P下载进行拦截、限流，以优化网络资源;此外，可针对加密型或非加密型即时通讯软件进行管理及拦截，根据不同需求，进行多层次控制，不仅可禁止实时聊天程序，还可对即时通讯软件的登陆、聊天、传输文件、实时语音、实时视频等进行分项管理。联想网御入侵防护系统还支持对多种流行虚拟隧道软件进行检测，通过限制隧道连接，让非法加密隧道无立身之地，针对日益广泛的在线游戏软件，也能进行有效监控，支持对多种流行的在线游戏实现阻断管理，从而提高企业的整体工作效率。

作为首款“内外兼修”的产品，联想网御入侵防护系统既保障了网上交易系统的稳定运行，又减少了内网重要信息泄露的几率，为证券公司电子交易系统的稳定运行提供了有力支撑。