Hillstone安全护航券商轻型营业部
责编:cnetsec |2015-04-09 10:04:44概述
轻型营业部是证券公司在进行业务创新与拓展过程中,产生的一种新的营业部经营模式。相比原来传统营业部,其信息系统、网络架构均有很大不同。Hillstone针对客户需求及自身技术优势,提出了针对轻型营业部的网络安全解决方案,以应对新业务环境下所面临的安全挑战,保障券商业务系统安全。方案实现:
● 提供高性价比的综合安全防护,抵御网络攻击和恶意代码,保障营业部网络系统安全;
● 支持丰富的VPN接入方式,保障营业部与证券公司数据中心网络安全连接;
● 支持集中的安全策略与安全事件管理功能,实现全网高效安全运维。
1、用户需求
轻型营业部是指不设现场交易大厅、不提供现场交易、仅提供开户和投资理财咨询等功能的小型营业部,通过业务服务类型和规模上的缩减,降低券商运营成本,因此得到广大券商的青睐。从信息系统的特点来说,由于营业部工作人员较少,终端数量通常要远远少于传统营业部。此外,由于涉及到开户、投资理财等功能,营业部网络仍然需要和总部数据中心的生产网、办公网进行连接。因此,虽然营业部在业务和规模上进行了轻型化,但在信息安全上,并不能忽视,同样要采取有力的安全措施保护券商业务系统安全。从信息安全需求来看:
● 需要高性价比的安全。由于设立轻型营业部的出发点是要降低券商的投资和运营成本,因此在信息化建设上,需要在保证安全的前提下,提供更佳的成本控制;
● 具有灵活的VPN接入功能。由于专线成本昂贵,因此轻型营业部通常采用普通宽带接入,这时就需要VPN技术实现和总部之间的安全网络连接;
● 需要支持全网安全运维能力。由于轻型营业部存在多节点、分布广的特点,并且缺乏驻地网络管理员,因此,需要在总部或分中心统一进行安全策略和安全事件的管理。
2、解决方案
本方案中,通过在轻型营业部网络出口部署Hillstone下一代防火墙,通过内置入侵防御模块抵御来自互联网的威胁,如恶意木马、黑客攻击、网络病毒等,同时采用VPN技术实现与总部数据中心之间的安全连接,既满足券商低建设、低运营成本的要求,又能提供足够安全保障。
为降低网络接入成本,轻型营业部通常采用普通宽带网络接入互联网及总部数据中心,这种接入方式和传统营业部的专线接入方式相比,优点在于便捷和低成本,但最大的缺点在于安全性低。因此,必须在网络出口采取必要的安全措施保障网络安全性。Hillstone下一代防火墙通过两个层面设计来提供安全保障。
首先,Hillstone下一代防火墙在传统防火墙的基础上,融合了多种安全防护功能,如防病毒、入侵防御、流量管控等功能,能够屏蔽如IP地址扫描、SYN Flood、Smurf等各种网络攻击,特别是Hillstone下一代防火墙支持基于行为特征的安全攻击检测,能够有效识别并阻断如CC等新型网络攻击,弥补了传统防火墙面对这类复杂、新型网络攻击无能为力的弊端。此外,Hillstone下一代防火墙内置了世界知名防病毒厂商的病毒库,能够有效清除网络恶意代码,并可自动更新病毒数据库信息,为业务安全提供实时保护。这种集成多功能安全的解决方案,对于轻型营业部而言,最重要的一点在于具备高性价比。和单一功能的安全设备如防火墙相比,一台集成多种安全功能的Hillstone下一代防火墙在实现全面保护的同时,与采购多台安全设备的方案相比具有明显的价格优势。
其次,互联网的开放性使轻型营业部在接入总部网络时必须采取严格的身份认证和数据传输加密保护。Hillstone下一代防火墙支持丰富和灵活的VPN技术,包括L2TP,IPSec,SSL等多种VPN类型,能够根据网络特点和安全需求,为用户提供最适用的身份认证与数据加密功能,实现远程接入时的网络安全保护。特别是具有专利技术的PnP VPN技术,能够实现IPSec VPN的简单和快速部署。
安全具有动态属性,要实现持续安全,网络管理员需要根据威胁的不断变化而即时调整相应的安全策略,即具备全网安全运维能力。Hillstone提供了HSM集中安全管理平台,通过数据深度挖掘和可视化技术,网络管理员只需在总部通过HSM即可了解当前网络中各个安全设备的工作状态和安全事件信息。在此基础上,借助HSM安全策略统一下发功能,实现对安全威胁的快速响应。
3、方案效果
本方案通过在轻型营业部网络出口部署Hillstone下一代防火墙,带来的效果:
● 更加全面的业务安全保护。下一代防火墙内置的安全防护功能,能够抵御复杂和多样的互联网安全威胁,弥补传统防火墙在复杂攻击防护上的劣势,提供更全面的保护。同时,相比分别采购单一功能安全设备的方案,具有明显的成本优势,符合轻型营业部的设计思路;
● 丰富的VPN接入技术。下一代防火墙支持多种VPN技术,可为用户提供丰富的接入方式选择和高强度的身份认证与数据加密功能,保障营业部与总部的网络连接安全;
● 支持全网安全运维。通过集中安全管理平台,网络管理员能够及时掌握全网安全设备的工作状态和安全事件信息,实现跨地域、分布式网络下的高效运维与安全事件的快速响应。