新一代高性能深度內容掃描網關 XX 證券公司 網絡 應用安全 建議書 穩捷網絡技術有限公司 2010 年 7 月 新一代高性能深度內容掃描網關 目 錄 一、 證券行業綜述 . 3 1.1 證券信息系統重要性 . 3 1.2 證券信息系統必要性 . 4 二、 XX 證券公司網絡安全現狀及需求分析 . 5 2.1 XX 證券公司 安全現狀 . 5 2.2 XX 證券公司安全需求 . 7 2.3 威脅來源 .11 三、 XX 證券公司安全解決方案 . 12 3.1 方案設計 . 12 3.2 解決方案 . 13 四、 Besecure NDP 系列安全產品解決方案 . 17 4.1 產品介 紹 . 17 4.2 功能描述 . 18 4.3 產品型號說明 . 19 4.4 BeSecure 網絡數據處理技術 . 19 4.5 BESECURE 反惡意軟件掃描技術 . 24 4.6 Web 安全過濾技術 . 24 4.7 Email 過濾技術 . 25 4.8 關鍵字過濾技術 . 27 4.9 BeSecure 技術亮點 . 28 五、 技術支持和售后服務 . 31 5.1 廠家提供的增值服務 . 31 5.2 服務商提供服務 . 31 新一代高性能深度內容掃描網關 一、 證券行業 綜述 90 年代以來，我國證券期貨業以其特有的魅力吸引了千百萬投資者的熱情參與，發展迅速，成為社會主義市場經濟重要組成部分。其間，證券業信息系統的電子化建 設取得長足的進步。在發行、交易、清算、信息披露、技術監控、信息咨詢與服務等方面，計算機技術的應用深度和廣度都大大擴展。各證券經營機構已全部建立了電子化業務處理系統，計算機與網絡通信技術成為支撐各項證券業務運轉的關鍵設施。 證券業務共包括證券經紀 、證券承銷、自營、兼并與收購、咨詢服務和基金管理等項業務。上述證券經紀業務的各項功能、服務都由證券信息系統處理完成。作為業務的載體，證券信息系統應具備一定的條件，才能滿足證券業高質量服務和化解經營風險的目標要求。 目前國內的各大證券網絡經過建設，都已經形成比較完善的 綜合網絡，整體結構是 個通過 WAN 連接的多級網絡，在網絡每一級的節點上具有一個局域網，在多級網絡上運行著證券業務系統、多媒體應用系統、辦公自動化等。由于證券業是個開放化，社會化的行業，其信息系統已經有封閉式轉向了開放式系統，存在許多的不安全風險因素。由于應用系統的復雜化，網絡安全體系的建立和網絡安全的全面解決方案更是迫在眉睫。 1998 年中國證監會頒布了證券經營機構營業部信息系統技術管理規范和關于加強證券機構計算機系統安全管理的通知，明確要求證券業務處理系統必須保證數據的安全，實現業務與技術的分離 、前臺與后臺分離、網絡與數據分離。中國證監會還針對網上交易部分制定了網上證券委托暫行管理辦法，規定了證券公司應采取嚴格、完善的技術措施，確保網上委托系統和其他業務系統的安全性。 1.1 證券信息系統重要性 證券信息系統是證券公司基本的基礎建設，是證券業務正常進行的前提條件。滿足基本的安全要求，是網絡成功運行的必要條件，在此基礎上提供強有力的安全保障，是證券網絡系統安全的重要原則。 新一代高性能深度內容掃描網關 證券網絡內部部署了眾多的網絡設備、服務器，保護這些設備的正常運行，維護主要業務系統的安全，是證券網絡的基本安全需求。但是網絡安全事 件頻頻威脅到證券信息系統的安全，對證券行業的正常運作造成了極大的威脅。 無論是有意的攻擊，還是無意的誤操作，都將會給系統帶來不可估量的損失。攻擊者可以竊聽網絡上的信息，竊取用戶的口令、數據庫的信息；還可以篡改數據庫內容，偽造用戶身份，否認自己的簽名。更有甚者，攻擊者可以刪除數據庫內容，摧毀網絡節點，釋放計算機病毒等等。由于內部工作人員能較多地接觸內部信息，工作中的任何不小心都可能給信息安全帶來危險。這些都使信息安全問題越來越復雜。另外在交易軟件程序中出現漏洞導致風險的發生，其后果是也非常嚴重的。 最重要的風 險是網絡系統風險。證券營業部的計算機系統是構建在一個內部網絡平臺之上的，利用網絡平臺使得證券營業部的計算機實現與服務器互連。網絡服務器內裝有證券營業部所有的交易資料，因此網絡系統的安全性至關重要，一旦網絡系統被黑客進入，那么證券營業部的交易資料將成為黑客進行破壞的對象。上海證券市場發生的“建工事件”就屬于此種，黑客進入營業部交易系統，并將自制的程序加入系統中，使得上海建工股票出現超常大買單，由于交易所發現及時，并做了緊急處理，才使風險降到最小。 面對計算機網絡的種種安全威脅，必須采取有力的措施來保證安全。無 論是在局域網還是在廣域網中，網絡的安全措施應是能全方位地針對各種不同的威脅和脆弱性，這樣才能確保網絡信息的保密性、完整性和可用性。 1.2 證券信息系統 必要 性 在目前的證券業中，電腦系統維護部門和財務部門已經成為支撐證券公司的兩大支柱，系統維護部門尤其承受著巨大的壓力，一旦系統出了故障，將給證券公司造成巨大的經濟損失。 面對這樣巨大的壓力，證券公司的信息化建設一直是在左右搖擺中緩步而行，一方面希望盡快利用新的計算和網絡技術提高股票交易效率，方便股民炒股，擴大自身的知名度，從而吸引更多的人加入股民的行列；另一方面又 擔心技術的 新一代高性能深度內容掃描網關 不成熟或管理不到位會引發更多的系統問題，造成巨大的經濟損失。尤其是出于對網絡安全方面的顧慮，大多數券商采取了謹慎的態度，內部交易網和外部網采取的是物理分離的方式，防止外來的侵襲。 除此之外，證券信息安全化對安全管理的需求也在不斷增加。除了建立好基本的信息化應用系統外，如何使這套系統實現設定的目標，牽扯到證券公司的信息制度建立和管理問題。 由于證券行業的信息系統是實現證券交易經紀業務的核心系統，其安全性直接關系到證券市場的穩定發展和證券經營機構及廣大投資者的切身利益。同時更加中國證監會頒布的證券經 營機構營業部信息系統技術管理規范和關于加強證券機構計算機系統安全管理的通知，網上證券委托暫行管理辦法等法規也明確要求證券系統必須保證數據的安全，實現三分離等原則。所以說證券行業的信息系統安全性建設具有高度的必要性。 二、 XX 證券公司 網絡安全 現狀及 需求分析 XX 證券股份有限公司（以下簡稱“公司”）公司總部設在 廣州 ，下設 167家證券營業部和 47 家服務部總計 214 個營業網點。營銷網絡分布在全國 29 個省、自治區、直轄市的 62 個中心城市，直接為 400 余萬客戶服務，客戶總資產5000 多億元。旗下擁有 XX 期貨經紀公 司。 公司的經營范圍包括：證券經紀；證券投資咨詢；與證券交易、證券投資活動有關的財務顧問；證券承銷與保薦；證券自營；證券資產管理。 公司被亞太著名金融雜志金融亞洲、亞洲貨幣同時評選為 2006-2008財年“中國內地最佳經紀業務機構”、“中國內地最佳債券承銷機構”和“ 2009年度中國最佳債券承銷商”。 2.1 XX 證券公司 安全現狀 XX證券 公司 在全國范圍內經營業務，網絡龐大、結構復雜，典型業務模式有柜臺交易、自助委托、電話 委托、網上委托等。各證券營業部和總部通過計算機網絡將交易所、證券公司與交易者三方連接 在一起，共同完成證券交易，并實現行情、交易、結算、辦公等各個環節的自動化。一個典型的 證券公司 網絡由四個部分組成：總部網絡、營業部網絡、銀證交易系統和網站系統。 如下圖： 新一代高性能深度內容掃描網關 XX證券 公司 由于自身經營的特點，在安全要求方面一般比較高，在安全設計上要充分考慮到影響網絡安全的因素，保證網絡具有較高 的可靠性、保密性，對病毒、黑客攻擊有較強的防御能力。 隨著證券行業的發展和網絡規模的擴大，網絡病毒的種類越來越多，木馬、病毒、黑客等對網絡進行攻擊的事件越來越多，這些安 全方面的威脅對證券行業的網絡造成越來越大的影響， 而且證券行業代表的是廣大股民的利益，一個安全的交易網絡也能夠增強股民對 證券公司 的信心。 其中，證券交易網站服務器的安全是重中之重。網站因需要被公眾訪問而暴露于因特網上，由于處于一個相對開放的環境中，加之各類網頁應用系統的復雜性和多樣性導致系統漏洞層出不窮，極易成為黑客的攻擊目標。根據 CNCERT調查報告顯示， 2007年上半年，中國大陸被篡改網站的數量相比往年處于明顯上升趨勢，被篡改網站總數達到 28367個，比去年全年增加了近 16%。而僅在 2007年 11月 1日至 30日，大陸地區被篡改網站的數量就達到了 5499個，較上月增加 537個，其中代號為“ Kml!”和“ SLN_BEY”的攻擊者對大陸網站進行了大量的篡改。針對金融類網站的攻擊事件也呈不斷上升趨勢。 2005年，美國爆發了當今最大的金融數據泄密事件，有黑客侵入了為萬事達、 Visa、 AmericanExpress和 Discover服務的“信用卡第三方付款處理器”的網絡系統，造成 4000多萬信用卡用戶的數據資料被竊； 2006年，某犯罪組織竟然在某銀行的證券交易服務 新一代高性能深度內容掃描網關 器內成功植入了木馬程序，每隔 0.5秒掃描一次，凡是此時登陸的客戶，其帳號和口令通通被竊取，這一事件甚 至驚動了國務院。因此，提高證券交易網站的安全性刻不容緩。 下圖是 2009年 網絡安全事件類型分布 ，可以看得出現在的攻擊主要集中在應用層， WEB應用的攻擊居于首位：網頁篡改、網絡仿冒，惡意代碼等等。基于網絡層的防護如防火墻對動態的應用層攻擊已無能為力。 2.2 XX 證券 公司 安全需求 證券網絡是各種經濟行為匯集的地方，網絡安全問題將直接威脅上市公司、投資者、證券公司的經濟利益。這個特點決定了證券網絡安全系統所關注的重點 : 1、網絡可用性 :網絡是證券業務的載體 ，網絡中斷對于業務系統來說就意味著業務的中斷，其帶來的經濟影響和社會影響都十分巨大，因此安全體系必須保證網絡的持續有效的運行，防止對關鍵網絡設施的入侵和攻擊、防止通過消耗帶寬等方式破壞網絡的可用性。 2、業務系統的可用性 :運行業務系統的各主機、數據庫、應用服務器系統的安全運行同樣十分關鍵，網絡安全體系必須保證這些系統不會遭受來自網絡的非法訪問、惡意入侵和破壞 ； 3、數據機密性 :保密數據的泄密將直接影響導致數據擁有者和相關機構 (或 新一代高性能深度內容掃描網關 人員 )的經濟利益。網絡安全系統必須保證這些機密信息在傳輸時的保密性。 4、 訪問的可控性 :對關鍵網絡、系統和數據的訪問必須得到有效的控制，這要求系統能夠可靠確認訪問者的身份，謹慎授權，并對任何訪問進行跟蹤記錄。 5、災難恢復能力 :業務數據是政權企業的戰略性資源，經常性的備份以及快速、精確的恢復可以使系統遭到災難性破壞時將經濟損失降低到最低的程度。 針對以上的安全需求，網絡安全保護系統應該具備如下的特征 : 1.根據可信任程度的不同，對網絡區域進行劃分，不同區域間的訪問要進行嚴格控制 ； 2.進入關鍵系統和關鍵區域必須經過可靠的身份鑒別 ； 3.安全系統整體具有充分的抗攻擊能力 ； 4.系統具備多層面的完備的審計設施 ； 5.系統對于異常事件足夠敏感，使整個防御體系在遇到威脅時能夠及的做出正確的響應。 6.系統的安全策略可管理、并且易于管理 ； 7.應用和數據庫安全，包括數據庫漏洞掃描，數據庫安全管理。 8.數據和內容安全，包括 防惡意軟件如間諜軟件、廣告軟件、篡權工具、后門、撥號器、鍵盤記錄器、密碼偷竊，網頁掛馬，反垃圾郵件，內容過濾，防數據泄漏等 WEB 應用安全 網關 。 基于以上特點， 在考慮 XX 證券公司 的信息安全時，應從以下幾個方面來考慮 網絡安全風險 問題 和應對策略 ： 網絡安全風險 證券網絡系統的安全風險主要來自網絡設施物理特性的安全、網絡系統平臺的安全、網上交易的安全、數據存儲的安全。 物理安全風險 由于水災、火災、雷擊、粉塵、靜電等突發性事故和環境污染造成網絡設施工作停滯 。 人為引起設備被盜、被毀或外界的電磁干擾使通信線路中斷 。 電子、電力設備本身固有缺陷和弱點及所處環境容易在人員誤操作或 新一代高性能深度內容掃描網關 外界誘發下發生故障 。 系統安全風險 系統風險在三個方面：網絡系統、操作系統和應用系統 。 網絡系統在設計實施不夠完善，例如缺乏正確路由、網絡的容量、帶寬估計不足、對證券系統局域網沒做 劃分隔離以及關鍵網絡設備沒有冗余設計，一旦發 生故障，將直接影響網絡系統安全。 網絡系統缺乏安全可靠的網絡通信協議和網絡安全設備，使網絡黑客容易利用網絡設計和協議漏洞進行網絡攻擊和 信息竊取，例如未經授權非法訪問證券系統內部網絡、對電話網進行監聽、對系統的安全漏洞進行探測掃描、遠程登陸交易、行情服務器并對數據進行篡改、對通信 線路、服務器實施洪流攻擊造成線路涌塞和系統癱瘓等。 網絡操作系統，無論是 windowsunixnetware 各種商用操作系統，其國 外開發商都留有后門（ back door），目前 每種操作系統都發現有安全漏洞，一旦被人發現利用將對整個證券網絡系統造成不可估量的損失。 辦公 應用系統的風險主要是涉及不同地區、不同部門的資源有限共享時被內部人員不安全使用造成口令失竊、文電丟失泄密，以及在與外界進行郵件往來 、訪問 WEB 網站 時帶來病毒和黑客進入的隱患。 針對業務系統（包括業務管理系統、業務服務系統）的威脅主要來自于內、外界對業務系統非授權訪問、系統管理權限喪失（由于用戶 名、口令、 IC 卡等身份標志泄漏）、使用不當或外界攻擊引起系統崩潰、網絡病毒的傳播或其他原因造成系統損壞、系統開發遺留的安全 漏洞等。 網上交易的安全風險 因特網是全球性公共網絡，并不由任何一個機構所控制。 數據在因特網上傳輸的途徑是不完全確定的。 因特網本身并不是一個完全安全可靠的網絡環境。 在因特網上可能有人采用相似的名稱和外觀仿冒證券網站和服務器， 用于騙取投資者的數據資料。 新一代高性能深度內容掃描網關 如果用于證實投資者身份的數字證書和口令被竊取， 他人有可能仿冒投資者身份進行交易委托和查詢。 在網上傳輸的指令、數據有可能 被某些個人、團體或機構通過某種渠道截取、篡改、重發。 但他們并不一定能夠了解該數據的真實內容。 由于網絡交易的非接觸性 ，交易雙方可能對 交易結果進行抵賴 。 在網上的數據傳輸可能因通信繁忙出現延遲，或因其它原因出現中斷、停頓或數據錯誤， 從而使得網上交易出現延遲、停頓或中斷。 網上發布的證券交易行情信息可能滯后，與真實情況不完全一致。 數據的安全風險 因內、外因素造成數據庫系統管理失控或破壞使用戶的個人資料和業務數據遭到偷竊、復制、泄密、丟失，并且無法得到恢復 網絡病毒的傳播 或其他原因造成存儲數據的丟失和損壞 網站發布的信息數據（包括分析、預測性資料）有可能被更改、刪除，給證券公司帶來損失。 基礎安全策略 對于一個良好的 安全體系的建立，必須擁有一個良好的安全策略，而所有的安全架構和安全防護措施，以及在次基礎上實施的安全管理，都必須是建立在安全策略符合的基礎上的。 針對 XX 證券公司 ，我們需要從幾個方面考慮安全策略的建立。 IT 安全架構、IT 管理、緊急響應機制、自身管理人員和用戶的安全教育和 IT 安全防護手段。 建立 XX 證券公司 IT 安全架構，則是構建一個 IT 模型，有效標識威脅來源，風險的定義和承擔，必須對 XX 證券公司 的所有資源進行有效的標識和定義，進一步劃分其風險的大小，同時，采用何種方式防護或者承擔。 現代的安全體系的建立，是 和有效的管理機制無法分離的，單純的技術手段已經無法保障一個系統的安全了。而管理體系中，很重要的一個因素將是人的因素，內部人員，外部人員和第三方人員、外部入侵者等構成了 XX 證券公司 的威脅的主要來源，必須有一套良好的管理機制來保障 XX證券公司 系統的安全運作。 任何防護手段都無法保障 100%的安全性，這已經是在安全領域內大家已經產生的共識。關鍵在于如何在發生安全事件以后，有沒有一套緊急響應處理機制。 新一代高性能深度內容掃描網關 通過一個什么樣的途徑，由什么人人負責，由那些人參加，按照什么樣的流程，采用什么樣的手段來處理安全事件，是緊急響應機制 中定義的，同時，也能夠保障發生了安全事件以后，將威脅和風險降到最低。 伴隨著 IT 技術的發展，安全威脅也逐漸增長，新的安全漏洞和威脅也越來越多，對于 XX 證券公司 管理人員和用戶本身的要求也越來越高，只有不斷的加強對管理員和用戶進行持續的安全教育，才能夠有效降低安全風險。 安全體系 按照安全策略的要求及風險分析的結果，整個證券網絡安全措施應根據證券網絡的行業特點，按照網絡安全的整體構想來建立，具體的安全控制系統由以下幾方面組成： 2.3 威脅來源 當確定了防護對象后，再來考慮威脅的來源。針對 XX 證券公司 的網絡結構現狀，可看出威脅的來源主要在于 來自于廣域網 Internet 的入侵 Internet 為 XX 證券公司 之間互聯互通、外界使用 XX 證券公司 服務提供了極大的便利。但是，由于 Internet 的開放性，使得在享受各種便利的同時也面臨著來自整個 Internet 世界的威脅。雖然將來可能在內部網訪問 Internet 的入口處配置防火墻，但防火墻本 身在安全防護方面具存在一定的缺陷，即它只能提供靜 新一代高性能深度內容掃描網關 態的、被動的保護，而對動態的 應用層 威脅 如惡意軟件，垃圾信息， SQL 注入，垮站 腳 本攻擊等等 無能為力。適當配置的防火墻雖然可以將非預期的信息屏蔽在外，但我們要訪問 Internet、要收發 Email、要 通過 WEB 交易網站 向 外提供 證券 交易信息 ，就必須 防火墻上打開一些固定的的端口，這樣入侵者還是可以利用這些打開的端口滲透到我們的內部網絡，對我們的網絡資源進行破壞，所以我們還是面臨著來自外部世界的安全威脅。 來自于內部用戶的入侵 XX 證券 公司 下屬的分支機構，用戶數量多、并 且地理分布廣泛，收發電子郵件或上網獲取信息已經成為工作中不可缺少的部分，由于各分支機構的網管水平不一，在網絡安全特別是防病毒方面很容易出現漏洞，因此分支機構的用戶更容易感染計算機病毒；如果分支結構的用戶感染計算機病毒，不但對本分支結構造成影響，若不及時處理，病毒會迅速在整個 XX 證券 公司 內部擴散，也會對其他的分支結構及 XX 證券 公司 總部帶來影響，因此提高 XX 證券 公司 下面分支結構網絡的安全性對整個 XX 證券 公司 網絡整體的安全性是非常重要的。 三、 XX 證券公司 安全解決 方案 3.1 方案設計 結合以上對 XX 證券公司 網絡及網絡安全隱 患的分析，結合穩捷科技公司多年安全防護的項目經驗。對 XX 證券公司 網絡安全提出如下建議： 1）增加基于 Web 的防病毒，防攻擊能力。防止網絡病毒，木馬對內部用戶的侵害，以及外部威脅對 web 服務器的注入攻擊，同時要增加對內網到外網的Web 病毒，木馬等惡意程序的檢測，防止內部在不知情的情況下成為“黑客”的幫兇，成為新的網絡攻擊源。企業 Web 防護基本內容如下： 具備對 Web應用的病毒傳播進行防護； 具備對 Web應用的間諜軟件進行防護； 具備對 Web應用的網絡釣魚行為進行阻斷； 具備對 Web應用的惡意 URL地址進行阻擋； 具備對 web服務器 SQL 注入以及跨站腳本攻擊防護 ； 新一代高性能深度內容掃描網關 具備對 Web應用的非工作相關站點的訪問進行控制。 2）增加基于 Email（ SMTP,POP3,IMAP）的防病毒，防攻擊能力，防止惡意程序通過 Email 方式進行傳播，同時增加垃圾郵件控制功能，保護寶貴的網絡帶寬資源，避免垃圾郵件對員工的騷擾。同時要增加對內網到外網的 Email 傳輸檢測，防止 Email Server 在不知情的情況下成為網絡“僵尸”，成為新的網絡攻擊源。建議 IDC Email 防護的基本內容如下： 具備對 Email應用的病毒傳播進行防護； 具備對 Email應用的間諜軟件進行防護； 具備對 Email應用的網絡釣魚行為進行阻斷； 具備對 Email應用的垃圾郵件智能過濾功能； 具備對 Email應用的未知惡意程序啟發式掃描功能； 3）增加基于常見網絡數據傳輸協議（ FTP）的防病毒，防攻擊能力，增加對用戶頻繁使用的 FTP 數據傳輸協議的控制能力，防止惡意程序通過 FTP 協議高速的特點，在短時間內大規模的擴散。從而對更多的無辜用戶造成更大的危害。 3.2 解決 方案 本方案將從 WEB 應用安全的角度， 對來 自 Internet 外部 網絡 和內部用戶的入侵行為進行實時防御 ，保護 XX 證券公司的 郵件服務器、 FTP 服務器、證券交易 WEB 服務器以及對 XX 證券公司 辦公網絡系統的保護 以 免遭 網絡釣魚、病毒入侵、木馬、惡意軟件、垃圾郵件 等等攻擊等因素 進行綜合設計。 同時也保護了訪問用戶。 XX 證券 公司 下屬的分支機構，用戶數量多、并且地理分布廣泛，收發電子郵件或上網獲取信息已經成為工作中不可缺少的部分，由于各分支機構的網管水平不一，在網絡安全特別是防病毒方面很容易出現漏洞，因此分支機構的用戶更容易感染計算機病毒；如果分支結構的用戶感染計算機病毒，不但對 本分支結構造成影響，若不及時處理，病毒會迅速在整個 XX 證券 公司 內部擴散，也會對其他的分支結構及 XX 證券 公司 總部帶來影響，因此提高 XX 證券 公司 下面分支結構網絡的安全性對整個 XX 證券 公司 網絡整體的安全性是非常重要的。 穩捷 公司建議在 XX 證券 公司 的 總部和 各地分支 營業 機構的 Internet 出口處 新一代高性能深度內容掃描網關 部署 Besecure NDP WEB 安 全 網關 進行隔離，做到未雨綢繆，將各類惡意程序抵御 在 XX 證券公司 網絡之外；防止各類垃圾郵件進入 XX 證券公司網絡 內部， 防止外部以及內部感染肉雞對 WEB 服務器的篡改攻擊 。 同 時 總部 交易網的 Internet的入口處 ，部署 穩捷 公 司 NDP WEB 安 全 網關 產品能夠對通過 HTTP 協議訪問網頁進行病毒過濾， 內容清洗， 同時對通過 POP3 以及 IMAP 協議接受公共郵箱郵件進行病毒過濾和垃圾郵件過濾。 穩捷 公 司 NDP WEB 安全網關 通過高效的病毒引擎和透明的工作方式， 不用改動網絡配置，實現對應用服務器群進行保護 ， 以及 “零 ”管理成本，能夠將流行的計算機病毒拒之 “墻外 ”，從而確保了分支機構局域網的安全 和辦公系統的安全， 按照 XX 證券公司 網絡實際使用迫切需求， 首先對 XX 證券公司 總部和營業部的辦公網絡系統進行保護。同時 ， 證券交 易業務系統 中 證券交易網站服務器的安全 也 是重中之重 ， 所以在 XX 證券公司 總部的交易網的 Internet 出口處部署 穩捷 公 司 NDP WEB 安全網關， 對證券交易網 進行 安全保護。 具體 的網絡 拓撲圖 如下： 新一代高性能深度內容掃描網關 通過在網絡中合理的部署 BeSecure NDP 系列 安全網關設備 ，可以有效的提升網絡的安全級別，為網絡用戶提供良好的保護措施。其顯著的特色如下： 立體式多重防護 通過 BeSecure 保護客戶端、保護內網、保護服務器群，配合現有的終端防病毒軟件，形成“三位一體”防護理念。首先是防護由外到內的威脅，其次是防護內部客戶端攻擊內部服務器，最后是阻止內部重要信息向外傳輸。這樣就能有效的把威脅降到最低。 新一代高性能深度內容掃描網關 高性能、無瓶頸 在網關 internet 出口處部署高性能的穩捷 web 安全網關，首先 重點解決了網關病毒掃描所造成的性能瓶頸問題，從而在保證安全掃描的前提下，大大提高了用戶訪問 Web 的速度。 高效，準確，可靠的安全防護技術 穩捷網絡安全設備的防病毒技術， 反 垃圾郵件 掃描以及 URL 信譽等 級評分及分類 分別與世界知名的防病毒廠商卡巴斯基 、反垃圾郵件廠商 cloudmark 和世界著名安全廠商 McAfee 共同合作開發， 防病毒特征碼數據庫已經達到了 400 萬條目級別，遠遠的超出了同類安全廠商的產品 。 利用 URL 信譽評分系統 提供的基于信譽和基于分類的過濾組合，攔截通過員工下載入侵網絡的病毒和惡意軟件 ，URL 庫達到 100 種分類， 3000 多 萬條目。 全球超過 100 家有線和無線運營商，如 Comcast、 Earthlink、 Cox Communications、 Swisscom、 Tele2、 KPN 等，共同使 用穩捷網絡 核心郵件安全解決方案。 來自全球范圍的 one billion 報告源進行接收、分析、驗證和傳遞的同時，采用高級指紋編碼算法實時識別 垃圾郵件威脅變種。 零時差威脅保護 為了達到零時差保護， BeSecure 采用了 啟發式智能分析 架構來識別新的安全威脅，在攻擊 到達用戶網絡之前主動阻止新型的惡意軟件、釣魚攻擊、垃圾郵件、惡意 URL 站點 和網絡僵尸、蠕蟲等。它每天從大量數據源（如 “ 零時差惡意軟件特征碼 ” 、 “ 釣魚攻擊檢測 ” 、 “ 全球威脅響應中心 ” 、 “ URL 信譽 ” “ ip信譽” 等）中探測 20 億個事件。 簡單，便捷的產品 部署 BeSecure 可以 提供安全方便的純透明網橋部署， 很容易地部署到任何節點的網絡上，而不需要網絡重新搭建或額外的硬件。 只需要簡單的將 NDP 設備安裝在受保護網絡的網關位置，不需要對網絡中的 IP 地址規劃做任何修改， 就可以立即提供對網絡的保護作用。真正做到“即插即用” 豐富，詳細的日志及用戶報表統計功能 BeSecure 在具有強度的安全防護功能的同時，它還可以根據用戶的需要，為用戶提供了多種多樣的統計，及圖形化報表。同時，用戶還可以在設備管理界 新一代高性能深度內容掃描網關 面中，實時的查看設備硬件負載情況包括 CPU 利用率，內存占用率， 協議使用等信息。極大的方便用戶查看，分析，評估網絡安全狀況。 最后 通過穩捷科技專屬咨詢服務，幫助用戶設計防病毒系統發展規劃，梳理內部流程，提供運維支持和專業培訓服務、員工科普培訓服務，甚至提供外派技術人員常駐客戶方，協助用戶開展具體的防病毒工作，如支持下屬分支機構的產品和病毒問題，定期提供病毒分析報告，評估防病毒體系，分支機構巡檢等多種形式的服務。 四、 Besecure NDP 系列安全產品 解決方案 4.1 產品介紹 穩捷網絡通過始終不移的研發投資以確保全球最高性能的 WEB安全技術領先地位 , 優化整合最優秀的檢測算法 (防病毒 ,防垃圾郵件 , 內容過濾 , 網址過濾 , 關鍵字過濾 ) , 專注于渠道的開發與支持，不斷向客戶提供卓越易銷的 WEB安全功能及成功案例。 NDP (Network Data Processing)是由穩捷網絡首創的針對網絡應用數據的高精度高速 (吉比特 )深度內容檢測技術 ,基于此項技術 ,穩捷網絡的 WEB安全設備 ,BeSecure系列產品 ,使企業服務商及運營商準確實時地檢測攔截抵御來自 WEB及郵件的威脅 ,提高工作效率 ,有效阻斷資料數據的泄露 : BeSecure Internet Gateway 是 多功能的整合安全設備，提供 Web安全(防病毒，內容過濾，網址攔截 )和郵件安全 (垃圾郵件病毒內容過濾 )服務。 BeSecure Web Gateway 是提供 Web防病毒，網頁內容過濾和網址攔截等服務的高性能整合網絡安全設備。 BeSecure Web AV Gateway 是一個在網絡應用數據層攔截網絡惡意攻擊，間諜軟件和病毒的高效能的解決方案。 BeSecure Message Gateway 能每小時對 650萬封郵件進行深度內容檢測 , 是一個有效高速的檢測攔截抵御垃圾郵件 , 病毒及 資料數據泄露威脅 新一代高性能深度內容掃描網關 的郵件安全設備。 新一代穩捷 WEB 安全網關技術 , 實時準確高效全面地為您提供可靠易行的 WEB 內容安全傳統的基于網絡的安全解決方案包括防火墻及入侵檢測 /入侵防御系統（ IDS/IPS），防火墻通過對數據包包頭的檢測可決定阻止或允許對特定端口的訪問， IDS/IPS 可進一步對數據包內容進行簡單檢測以發現數據包是否有攻擊傾向。兩者對來自互聯網的內容攻擊及有害內容都是無能為力的，因為這類攻擊大多是包含多個數據包且隱含于壓縮或混碼之中。通俗的講，防火墻是閘口，數據只能通過打開的閘口，而 IDS/IPS 就像一個粗篩，對污水只能進行大的污染物的過濾，當前，僅有防火墻和 IDS/IPS 已無法滿足對 WEB 安全的要求，而 BeSecure 則像是細篩，過濾后，“水”的品質可達到直接“飲用”，完全滿足對 WEB 安全的要求。 主要優勢高效率 ,實時 ,深層 ,全覆蓋的網絡數據處理技術(專利 ) 以提供最完整全面的內容網關安全服務優化整合高精確度 ,世界領先的模式識別算法以提供最準確的識別率高可靠性 ,靈活 ,簡便的網絡集成及管理界面以提供最快速的 WEB 安全方案實施與維護，主要功能間諜軟件廣告軟件及惡意軟件實行實時 Web 防護。 4.2 功能描述 對經過網關的 WEB 數據進行實時深度檢測以鑒別病毒間諜軟件廣告軟件及惡意軟件的攻擊。每小時可檢測 1150 萬個網頁。準確率達 100% 可選擇性地根據網頁內容分類以對 WEB 的使用進行檢測或阻擋。支持 100 個內容分類 庫 ， 3000 多 萬個網址數據庫。 可制定對關鍵字（包括有復雜結構關鍵字組）進行檢測或阻擋，防止數據泄露或對門戶網站的攻擊。 對經過網關的電子郵件進行實時深度檢測以鑒別垃圾郵件病毒間諜軟件廣告軟件及惡意軟件的攻擊。每小時可檢測 650 萬封電子郵件。準確率達 98%。 可 制定對網址訪問進行檢測或阻擋，以檢測或阻攔炒股或對不良內容及與工作無關內容的訪問 ,提高工作效率 ,優化網絡使用 。 世界領先全透明嵌入代理模式可快速完成方案整合。 新一代高性能深度內容掃描網關 4.3 產品型號說明 NDP-1005D NDP-1005G NDP-1020N NDP-1038 NDP-2040 在線吞吐量（ Mbps） 150Mbps 500Mbps 700 Mbps 1 Gbps 3Gbps 電子郵件 (封 /小時 ) 150,000 2,250,000 2,500,000 2,850,000 5,000,000 HTTP(頁 /小 時 ) 1,500,000 6,750,000 7,500,000 9,000,000 17,500,000 推薦用戶數 (所有服務全激合 ) 200 1000 2,000 4,000 10,000 硬件 平臺類型 專用硬件平臺 專用硬件平臺 專用硬件平臺 專用硬件平臺 專用硬件平臺 網絡接口 10/100/100Bast-TX4w/ LAN Bypass 10/100/100Bast-TX 4w/ LAN Bypass 10/100/100Bast-TX 4w/ LAN Bypass 4GbECopper+2GbE SL w/ LAN Bypass 4GbECopper+2GbE SL w/ LAN Bypass 4.4 BeSecure 網絡數據處理技術 4.4.1 BeSecure 專利的“ Subsonic”技術 Subsonic 技術（ PCT/CA2007/000020， USPTO 11/620,556）是為解決 NBCI 應用程序的關鍵性能問題而開發的。 Subsonic 的關鍵設計目標是在本地和城域網絡中克服 NBCI 的性能障礙。今天，繁忙的網絡連接經常通過多種網絡協議同時承載著數百或數千個網絡通信會話。 NBCI 設備需要能夠處理這種大尺度并發。 Subsonic 的體系結構框架是使用 Linux 內核實現的，它使用本機 POSIX 線程庫 (NPTL) 來配合輕型 NPTL 線程所處理的每個傳輸流掃描會話。此途徑有效地減少了處理單個掃描會話的系統資源需求和上下文切換時間。圖 21 將 Subsonic 以 NPTL 為基礎的網絡吞吐量與常規的基于 進程的吞吐量進行比較。可以觀察到， Subsonic NPTL 快了至少 10 倍。 新一代高性能深度內容掃描網關 圖 1：多線程與多進程 一旦負載數據被獲取并檢查其指紋，該算法可以確定此負載數據是否 已在之前被檢查過。如果是，則直接檢索以前的檢查結果，而不應用通常昂貴的內容檢查算法。 因為諸如 SHA-1 這樣的指紋算法是流式算法，并且在應用指紋算法時我們可以不擔心所截取的負載的內部存檔結構，因此，指紋程序的執行速度要比運行內容檢查算法快很多。圖 22 是通過對負責處理有 23 個 LAN 節點的網絡 NBCI 設備進行常規內容檢查和執行 SHA1 算法所產生的性能數據進行采樣所獲得的。可以觀察到，文件越大，則使用內容識別途徑時的增益越大，并且可能的性能增益超過 60 倍。通過對負載進行流處理而不做任何 計 算，從而度量出理論上限。 由于 NDP 設備對網絡應用傳輸流進行深度檢測，所以，當包含復雜壓縮組件的大型負載到達時， NDP 將花費很多系統資源對此特定通信會話進行內容檢查。 具體來說， TQD 線程管理器是為管理掃描線程的優先級而開發的。當創建掃描線程時，它會注冊到 TQD 線程管理器。管理器按時間循環，并隨著過去的時間減少每個線程的優先級和存活時間 (TTL)。它還會清理掉持續時間太長的線程，即 TTL 小于 0 的線程。可以按運行窗口中每單位時間的哈希沖突概率和傳輸流量的函數來自動計算 TTL。 圖 3 摘自 2003 年 5 月第 21 卷第 2 號的 ACM Transactions on Computer Systems中的 HARCHOL-BALTER, etc。此研究表明， TQD 算法對最小 80% 的文件的受益為 10 倍以上，而超過最高 1% 的所有請求受益也可達 5倍以上。 新一代高性能深度內容掃描網關 圖 2： 內容檢查（常規掃描）與指紋 (SHA1) 的性能 圖 3: 平均響應時間 (TQD) 與常規途徑 4.4.2 采用 Green Stream 技術以降低滯后 將 NBCI 系統部署到網絡中時，它可能帶來更多滯 后。對于已經遇到穩定性問題的網絡來 說，此滯后將使這些問題變得更為嚴重。據報告，某些 NBCI 系統會導致應用程序發生更多的連接中斷。由于內容檢查所引入的滯后，第一個數 新一代高性能深度內容掃描網關 據包會在應用程序會話已超時之后才來到。 NDP Green Stream 技術是為解決此“第一個數據包”問題而開發的。使用 Green Stream 后，將極大減少網絡滯后。對于大型負載，這種減少可以是 10 到 20 倍，從而使 Green Stream 成為非常有效的技術。 4.4.3 支持新協議 不同的協議有不同的握手序列和不同的負載格式。但是，在 NBCI 方面，有很多通用的任務，比如調用內容檢查算法、連接管理、配置加載 /備份等。 NDP 提供了高級建模能力（稱為協議工廠），以便跨越特定協議的細節實現來實現這些任務。對于新協議，此建模能力允許穩捷網絡迅速開發出針對此協議的掃描器。 4.4.4 開放式服務總線 一旦 Subsonic 引擎重新構造數據負載之后，就會將它路由到多種內容檢查服務進行數據處理，比如標識和刪除威脅。這些服務可以是惡意軟件檢測、垃圾郵件檢測和規則遵守實施。 為了滿足提供高準確和高性能內容檢查服務和引入新服務的需要，BeSecure 采用了開放式 服務總線 (OSB)。 OSB 是高性能的多線程系統后臺程序，它調用最佳類型的第三方內容檢查服務。 在作為高性能的多線程系統后臺程序運行時， OSB 將對 Subsonic 引擎所路由的數據負載應用一組內容檢查和優化算法。該路由通過基于共享內存機制的進程間通信完成。這些內容檢查算法通常由第三方供應商以軟件庫的形式提供。圖 4 演示了 Subsonic 引擎、 OSB 和內容檢查服務之間的高層關系。 新一代高性能深度內容掃描網關 圖 4：開放式服務總線 OSB 體系結構提供以下優點： 跨所有應用程序協議的統一內容檢查服務。 對第三方內容檢查 服務容錯。 OSB 監視第三方模塊的服務可用性。如果檢測到失敗，則 OSB 強制啟動另一個服務實例。 比獨立第三方服務更高的性能。基于共享內存的 IPC 允許檢查吞吐量大幅提高。 多線程服務調用機制充分利用了今天的多核多處理器硬件平臺。 數據負載僅需要一次路由到 OSB，便可以完成所有內容檢查服務。 通過對一組簡單的 API 進行測試，可以確保第三方服務的質量。因此，具有更新算法的版本可以很容易集成到 NDP OS 中。 可以很容易集成新服務，以實施針對內容的新策略。 新一代高性能深度內容掃描網關 4.5 BESECURE 反惡意軟件掃描 技術 為了 獲得能夠應對提供完整的反惡意軟件保護這一挑戰所需的準確性和性能，必須采用“最佳”解決方案。同世界知名的防病毒廠商卡巴斯基合作，共同開發了防病毒引擎并集成了 Kaspersky Lab 的贏得獎項的惡意軟件指紋數據庫集成。借助與分布全球 150多個國家的防病毒試驗中心， BeSecure產品具業界最準確的惡意軟件掃描能力。 最優啟發式 檢 測技術 它利用多種主動探測技術（啟發式、遺傳式和行為式）的組合對未知惡意軟件程序進行零時間檢測。 從惡意軟件產生，到防病毒廠家檢測、分析、并加入特征庫，再到用戶下載并使用新的特征庫 ，存在著一個相當大的時差。而 Besecure 的啟發式檢測 技術則消除了這個時間差 。 特征庫覆蓋率是其它眾多同類產品的 100 倍，使用這個特征庫，可以全面檢測并阻止病毒、間諜軟件和其它惡意軟件。 可以同時阻止間諜軟件回傳、偷渡式下載等，來避免更大的損失，保護重要信息。 所支持的最大打包格式數 反病毒解決方案應當能夠掃描對象，無論它們是如何或多少次被壓縮、打包、存檔或嵌入到安裝程序中的。 BeSecure 支持大約 2,000 種不同類型的打包程序、存檔和安裝程序 。 4.6 Web 安全 過濾 技術 Internet 對于當 今業務發展來說不可或缺。 然而，隨著博客、維基、社交站點等多種互動性功能的出現，動態化的 Web 2.0 環境給企業帶來了棘手的安全難題。 當用戶訪問被感染的網站時，惡意代碼和 Web 病毒就會“悄無聲息”地進入網絡。 穩捷的 web安全過濾功能 將助您遠離這些風險。 這是一款智能化 Web 過濾解決方案，旨在防止員工訪問那些可能導致病毒、惡意軟件和其他安全風險的網站，同時幫助您減少法律責任、充分提升員工效率并節約帶寬以保證業務活動順暢開展，有效確保企業安全。 新一代高性能深度內容掃描網關 此功能 可以讓您 了解、過濾和監控 Internet 的使用情況，同時幫助您有效控制傳出的 Web 訪問，預防可能出現的各種 Web 威脅。 穩捷 WEB安全過濾 采用實時信譽評分和類別過濾組合，前瞻、可靠地執行檢測，幫助您有效攔截當今 Web 2.0 環境中的間諜軟件、網絡釣魚詐騙、惡意軟件以及其他安全威脅。 信譽評分 技術可以前瞻地查找和報告與可疑來源之間的流量，并通過 BeSecure 進行攔截。 信譽評分 借助全局信譽網絡和 Internet 實體知識，識別潛在的惡意行為，包括指示意圖散播惡意代碼的操作。 對于基于分類的過濾， 穩捷網絡 提供了一個成熟的 URL存儲 庫，包含 100 個分類、 3000 多萬個可阻止站點。 URL存儲庫 由掌握一流技術的多語 Web 分析專家合力打造，擁有無與倫比的范圍、品質和準確率。 充分利用全面和細化的類別范圍； 穩捷網絡 提供了一個成熟的存儲庫，包含 100 多個分類、 3000 多萬個可阻止站點 借助 信譽 中心 提供的實時評分功能加強基于類別的過濾；前瞻、可靠地檢測當今 Web 2.0 環境中的間諜軟件、網絡釣魚詐騙、惡意軟件以及其他安全威脅 快速了解企業內部如何使用 Web，進而詳細分析趨勢、隔離問題、記錄不當的 Web 活動并定制過濾 設置以有效實施 Web 使用策略 指定特定時間里可以覆寫過濾規則的用戶，排除您希望特定群組或用戶訪問的站點，并創建定制類別以更好地實施企業獨特的 Internet 訪問策略 4.7 Email 過濾技術 高性能 BeSecure 網絡數據處理技術提供了業界最高級的反垃圾郵件解決方案。 BeSecure 在 OSI 第 7 層工作，并且獨立于任何 MTA，它提供以下功能： 基于頻繁更新的垃圾郵件指紋數據庫，檢查通過它傳輸的任何電子郵件（ POP、 IMAP、 SMTP）中是否有垃圾郵件和仿冒消息。 檢測在圖像中嵌入的垃圾郵 件。 通過一個遍布全球的信任網絡不斷對新垃圾郵件進行特征提取以匯總到垃圾郵件指紋數據庫中，從而不斷提高檢測率。 新一代高性能深度內容掃描網關 基于正則表達式 (regex) 的 IETF 電子郵件標題白名單。 可以用于為電子郵件添加戳記以便進行下游檢疫、刪除或分析的可自定義垃圾郵件標記。 相 比傳統方法或基于直觀判斷的解決方案， BeSecure 獨樹一幟地利用網絡化智囊資源，以更迅速、更準確和更理想的性能阻止郵件攻擊及其變種。下列技術緊密協作，可確保極高的準確率，并在面對新威脅時以最快的速度 做出 反應： Advanced Message Fingerprinting（高級郵件指紋編碼技術） 由極其復雜的指紋編碼算法技術生成數字指紋編碼，可準確識別所有語言和文件格式條件下的郵件濫用及其變種。輕量型的指紋編碼僅占用傳統內容過濾系統所用 CPU 的一小部分，可以快速處理郵件。要應對新的威脅，只需添加額外的指紋編碼算法即可，而無需重新架構方案。 Global Threat Network（全球威脅響應網） 依靠 穩捷網絡 的 Advanced Message Fingerprinting（高級郵件指紋編碼技術）算法和 Global Threat Network（全球威脅響應網）系統， 穩捷網絡 能以最快的響應速度抵御新的攻擊。全球威脅響應網擁有超過 7 億個報告源，包括反濫用團隊、系統管理員、用戶和“蜜罐”系統，這些報告源實時向 穩捷網絡反饋有關威脅數據的信息。 Trust Evaluation System（可信度評估系統） (TES) 穩捷網絡 的 Trust Evaluation System（可信度評估系統）可以實時分析并驗證威脅數據信息，只對真正的郵件濫用進行堵截，而合法郵件則可以快速地抵達收件人的郵箱。一旦郵件被定義為威脅或合法郵件，該信息將立 即傳遞給全世界的 穩捷網絡 用戶。 新一代高性能深度內容掃描網關 信任評估系統 4.8 關鍵字過濾技術 BeSecure 提供的獨特的關鍵字過濾功能可以讓數據會話與關鍵字類別進行匹配，以阻止數據泄露。數據損失阻止 (DLP) 是一條計算機安全術語，是指那些通過深入內容檢查和集中管理框架對在使用中的數據（比如終端節點操作）、運動中的數據（比如網絡操作）和靜止的數據（比如數據存儲）進行標識、監視和保護的系統。提供 DLP 措施的主要業務動機是： 法規遵守 很多公司受到政府規章和報表法律條款的約束，要求他們對信息進行控制，這些法規包括醫療保 險方面的“健康保險可移植性及可記帳性法案” (HIPAA)、金融方面的“ Gramm-Leach-Bliley 法案” (GLBA) 和 BASEL II 協議、“支付卡行業數據安全標準” (PCCI DSS) 以及針對公共貿易公司的 Sarbanes-Oxley 法規。這些法規中有一些規定了信息技術內部控制及審核機制，如果組織缺少適合的 IT 安全控制過程，則會違反相關法規。 新一代高性能深度內容掃描網關 客戶信息丟失 客戶信息的大量丟失已經成為常見的頭條新聞，這會迫使公司重新發布卡片、通知客戶并減輕負面公開造成的信譽損失。客戶信息丟失通 常發生在服務器被誘惑執行暴露其技術漏洞的命令，從而導致其防御能力降低。例如，以網頁請求提交 SQL 命令的 SQL 注入會導致這類事故。 作為 BeSecure 的服務的組成部分， BeSecure 的關鍵字過濾功能可以用于執行以下任務： 防止數據在傳輸中被竊取 用戶可設置策略對與預置類別（比如信用卡信息、社會安全號碼或使用 POSIX 樣式的通配符語法的用戶編程表達式）相匹配的內容的傳輸情況進行阻止和 /或監視。 IT 審核 可以對傳輸中數據進行檢測以判斷是否違反法規。例如，有人從服務器群獲取病歷時， 可以對其跟蹤。 提供額外級別的惡意軟件保護 除了 BeSecure 的惡意軟件保護模塊以外，還可防止跨站點腳本攻擊， SQL 注入或惡意文件執行。 4.9 BeSecure 技術亮點 功能 說明 1 管理接口語言支持 提供英語、簡體中文、繁體中文、日語和韓文管理接口 2 配置管理 可以通過基于 HTTPS 的 Web 管理接口從任何聯網計算機實施管理 基于 XML over HTTPS 的 API，用于自定義的大規模管理集成 支持 SN