邢 悅
中國科技國際信托投資有限責任公司(簡稱中科信)是1989年成立的全國性非銀行金融機構,中國科技證券公司(簡稱中科信證券)是以中科信為控股股東,注冊資本22億元的證券公司,公司于近期經中國證監會批準籌建成立。
由于金融證券業的信息化程度相對較高,中科信證券成立之后的頭等大事就是將分布在全國的23家營業部聯網,為公司集中交易系統建設網絡通信平臺,同時為公司的財務及辦公網絡建設廣域網平臺。建設之初,中科信證券提出,建成后的網絡要能夠實現5大功能:交易功能、財務功能、Internet接入功能、辦公網絡功能以及未來的可擴展功能。
一、證券網建設要求
網絡系統是證券公司的“中樞神經系統”,關系到證券公司現有業務的運行以及未來業務的拓展,中科信證券為了給自己打造一個強大的“神經系統”, 在網絡中就明確提出建網的目的和詳細要求。
交易功能是組建中科信網絡最主要的目的。中科信證券明確提出,聯網后的網絡須具備集中交易功能,中科信證券在全國的23家營業部的所有交易數據和客戶資料數據都將存儲在數據中心機房內,進行集中交易,而營業部自身不存儲數據。所有的交易請求都要通過數據中心向交易所發送,所有的查詢請求也將由數據中心主機進行處理。中科信證券要求建成后的廣域網必須保證現有的23家營業部和未來可能增加的營業部有足夠的帶寬,都能實時、高速、順暢地與數據中心進行通信,也就是要保證所有營業部的業務都能正常進行。另外,中科信證券強調整個網絡的安全和穩定是建設這個網絡系統重中之重。
首先,系統要具有高可靠性、高安全性,系統不能有單點故障,要能有效地防止外界的非法入侵,在發生故障的情況下,系統能夠迅速找出最佳方法來恢復業務。
其次,系統要有較高的實用性,網絡具有足夠的帶寬,保障各種業務的順暢進行,尤其要保證證券交易相關業務的迅速處理。
第三,系統要有先進性,要考慮到公司未來3~5年的發展需要,可適應公司不斷發展而增長的業務和管理需求。核心設備要具有相當的富余插槽與處理能力,以滿足業務發展和營業部增加的需要。邊緣設備具有足夠的處理能力,要能滿足可預見的多種需求。
第四,系統要有可擴展性和可升級性,隨著業務的增長和應用水平的提高,網絡中的數據和信息流將按指數級增長,需要網絡有很好的可擴展性,并能隨著技術的發展不斷升級。網絡的配置和帶寬應該是靈活和可擴展的。
第五,系統要易于維護管理,由于新的廣域網網絡系統規模較大,設備復雜,需要網絡系統具有良好的可管理性,網管系統具有監測、故障診斷、故障隔離、過濾設置等功能,以便于系統的管理和維護。
第六,廣域網可以對流量進行分級控制,交易數據流、財務數據流及辦公數據流處理優先級應有區別,任何情況下交易數據流是最優先保證的,其次是財務數據流。
中科信證券以上幾點要求都是建立在“安全性,可靠性”的基礎上的,此次網絡建設采用的思科網絡安全方案也是以“高安全性,高可靠性”作為系統建設的首要原則。思科的方案不但滿足了中科信證券的所有安全方面的要求,還與中科信證券一起分享了先進的思科“SAFE藍圖”理念。基于SAFE藍圖,安全被認為是整體策略,而不僅僅是單點產品的集合,安全應該是集成在網絡系統中的,而不能在網絡建成后加在系統中。思科認為只有建立在深度防御基礎上的整體安全系統,才能有效地保護系統中每一個點的安全;才能有效地防止外界的非法入侵;才能在發生故障的情況下,迅速找出最佳方法來恢復業務。
二、網絡安全部署
網絡安全并不僅僅是一項技術,更重要的是策略規劃。中科信證券網絡安全系統采用了思科安全系統,考慮到網絡安全問題的來源不僅是來自于技術和設備上,還包括管理因素,安全問題產生的來源歸納為3類:技術的漏洞、策略的漏洞和人員管理上的漏洞。
其中最難防范的就是由于內部人員管理不善造成的漏洞。思科針對中科信證券的行業特點提出了整個網絡安全的首要因素,即加強內部安全防范。思科的整體安全策略是,必須采取有力的技術手段加強對中科信證券的計算機系統的用戶資源的安全保護,防止無關人員訪問敏感數據。
安全防范需要通過一定的技術手段來實現,如果采用過于繁雜的網絡安全技術和使用太多的安全產品,不但會增加中科信證券網絡費用的支出,而且還會帶來管理上的復雜化,進而可能影響網絡的傳輸性能。所以思科以制定合理的安全策略為主,輔以適當的設備安全,以訪問控制的方式來實現現行網絡的安全防范。
中科信證券網的具體安全策略包括:(1)確保設備的物理安全,保證只有有關的人員才可以接近網絡設備;(2)用設置密碼的方式控制內部人員登陸設備,不同的設備設立不同級別的安全密碼,限制可以改動設備配置信息的人數;(3)通過對內部用戶設置虛擬網(VLAN),對用戶群體進行隔離。
三、網絡安全的實施情況
中科信證券網在部署了安全策略的基礎上,又設置了4道防線。這4道防線既分工明確,又相互配合,構成了一套嚴密的防護體系。這4道防線具體包括:用防火墻保護本網和其它網絡互聯的安全,用ACS對撥號用戶和網絡設備訪問進行集中安全認證,用IDS實時監測網絡入侵和路由器級的安全控制。
首先,用防火墻保護本網和其它網絡互聯的安全。由于中科信證券在業務上需要和其它業務單位進行頻繁的數據交換,如各個商業銀行等。思科在中科信證券的網絡和其它業務單位的網絡之間,部署了思科的防火墻產品,保證進入網絡的訪問都是經過授權的訪問。
其次,用ACS對撥號用戶和網絡設備訪問進行集中安全認證。該網絡采用Cisco Secure ACS為撥號用戶和網絡設備訪問提供集中的、安全的認證。 ACS軟件可以為作為AAA client的網絡設備以及撥號用戶提供AAA級認證服務。
第三, 用ACS對撥號用戶和網絡設備訪問進行集中安全認證。IDS是Cisco安全系列產品(包括防火墻、加密組件和認證組件)中的動態安全組件。IDS可以在Intranet和Internet的環境中運行,從而保護用戶整個網絡的安全。
第四,路由器級的安全控制由4部分組成,包括使用訪問控制列表(ACL)技術、IP地址轉換技術、路由認證技術和路由器的自身保護等。
以上4道防線的部署都是依照“SAFE藍圖”進行的。“四道防線”和安全策略相結合構筑了中科信證券整體的安全體系。中科信證券的有關人員認為該網絡安全體系既穩定又靈活,“穩定”是指這個安全體系考慮周密、部署周到,完全解決了中科信在安全方面的后顧之憂;“靈活”是指這個體系可以隨著公司業務的發展而調整,避免了重復建設方面的浪費。
在嚴密的部署下,中科信證券的網絡建設順利完成。建成后的網絡完全滿足了中科信證券在交易功能、財務功能、Internet接入功能、辦公網絡功能和未來可能的擴展功能等方面的要求。整個系統在性能上具有很好的先進性和靈活性。在網絡安全方面,“SAFE藍圖”的部署既考慮全局,又突出重點的安全解決方案,使中科信證券的網絡在“外憂內患”面前都能保證安全可靠,從而為中科信證券揚帆商海打下了一個堅實的基礎。
