期货行业作为资本市场的一个重要组成部分,对深化经济体制改革、推动企业发展壮大、促进经济结构调整起到了重要的推动作用。期货行业的国内网上交易额占期货交易总额的比例也逐年提升,并呈现出加速发展的趋势,根据最新统计,目前我国期货公司中 90%以上的交易通过互联网进行。 目前我国期货行业的业务开展已高度依赖信息系统。 通过互联网进行网上交易具有成本低、效率高、便捷性和覆盖范围广等优点,因此,网上交易已成为期货交易的主要方式。
网络交易便捷的同时,随之而来安全风险也逐步增加,针对网络黑客的攻击动机和攻击方式的变化带来的网络安全问题,单纯的网络安全防护手段已经难以适应期货网上交易安全要求,为此我们需要通过多个维度建立适应行业发展的安全防护要求。
随着《证券公司信息技术管理规范》、《证券公司集中交易安全管理技术指引》、《证券公司风险处置条例》等一系列行业规定、标准的颁布,监管机构对于证券行业信息安全的理解渐渐由管理和技术保障体系转换到了风险管理层次。
本文从期货行业网络架构方式出发,分析其面临着的安全威胁,并提出整体安全架构的整体设计思路。
期货行业网络架构方式
当前,期货行业网络架构方式如下:
期货行业网络架构方式
期货行业网络架构方式:
-
报盘区;
-
银期前置区;
-
广域网接入区;
-
客户托管交易前置区;
-
核心交换区;
-
异地数据中心区;
-
互联网交易区 ;
-
运维管理中心区;
-
系统监控中心区。
期货业务面临的安全隐患
通过对30家证券期货公司信息系统渗透测试结果发现:
85%证券期货企业存在不同程度的安全漏洞,而75%企业存在严重安全漏洞。约50%证券期货企业安全防护能力严重不足,被成功渗入企业内部网络。近25%证券期货企业交易、行情、委托报盘等核心业务能够被完全远程控制,可关闭被控的交易服务器,中断交易服务,影响投资者正常交易;可通过控制的委托报盘系统,伪造大量委托报盘,向交易所发起拒绝服务攻击,进而威胁到证券交易所核心交易系统的安全;可获取用户资金、交易记录、个人信息等核心敏感信息。
(数据来源:证监会委托某检查机构)
期货行业面临的主要安全隐患包括敏感信息泄露、交易数据篡改以及拒绝服务攻击,具体分析如下:
敏感信息泄露
“其实IT系统存在BUG是正常的,也是可以被接受的,只是看不同行业,像金融业对系统漏洞的容忍度应该比较低,因为涉及到资金往来,许多信息更加敏感,所以一旦出现外泄后果也更严重。”
相应的设计缺陷也曾存在于部分期货公司,例如国内某期货官网主站就被曝存在权限漏洞,而该问题易导致其注册会员的用户名、电话、邮箱、姓名等相关资料出现泄露;此外,该期货公司网站被曝还存在XSS漏洞等问题。
“一些漏洞如果被利用,造成内网信息外泄的后果可能很严重,比如黑客会利用漏洞盗取用户信息,甚至查看到对应的交易动作,进而从事内幕交易。”随着互联网金融的渗透,IT技术在金融业务中的应用更加广泛,证券期货经营机构应进一步提高IT系统的风控及安全建设标准,适应新形势下的网络安全要求。
交易数据篡改
黑客攻击与服务器入侵获得利益或是盗取名单或是破坏正常交易在交易场所一直都存在。究其原因主要有二点:第一、报复交易场所,如北京石油交易所之前的521事件是投资者在交易场所亏损后进行恶意报复。第二、通过入侵服务器,修改数据获利。国内很多交易场所就出现账目对不齐的情况,这就是被人入侵了服务器,黑客可以轻松从自己设置的一个账户里,通过银行卡取走大量的资金。
造成交易数据被篡改的主要原因,一方面安全防护建设不到位,另一方面缺乏健全的风控管理标注以及应用软件自身的安全性等。
拒绝服务攻击
鉴于当前安全设备(防火墙、入侵检测等)对DDoS攻击防护能力的不足,当前证券期货业的均采用线上交易,线上交易平台经常是黑客实施DDoS攻击的对象,,该类业务系统遭受DDoS攻击时,系统将无法提供正常服务,而由此引起的业务无法访问、支付错误、交易量下降、品牌损失、系统恢复的代价等等,都会造成直接经济损失。甚至有些黑客还利用DDoS攻击对网站进行敲诈勒索,给线上交易的正常运营带来极大的影响。
安全防护思路
对一个期货行业来说,各业务的重要程度应能很方便的进行区分。信息系统的建设应根据各业务的不同重要性,划分多个具有不同安全保护等级的安全域,实现不同强度的安全保护,具体包括的内容如下:
1、重点保护思想:在分区域保护原则基础上,对于其中某些应用由于其处理、存储或传输的信息的性质,或者由于其对机构完成任务使命非常关键,需得到重点的保护;应集中资源首先确保重点应用安全,安全需求高安全域的重要应用应优先实施保护。
2、共同的安全需求的思想:安全域内的系统应具有相同或者相近的保护等级,实施统一的安全策略管理;
3、建立责任明确、保障有力的证券期货业信息安全治理体系,健全信息技术治理机制,提升信息安全地位,突出顶层设计能力;
4、加强行业信息安全公共基础设施建设,促进资源整合和安全服务共享,提升信息安全风险管理水平;
5、大幅提高信息系统风险防范能力和重大网络攻击抵御能力;
6、健全行业信息安全监管体系,提升监管效能,形成适应资本市场发展的监管机制;
7、提升信息技术安全可控水平,增强应急响应能力,保障行业信息系统的安全稳定运行。
期货公司安全架构设计
当前网络安全防护体系设计需要包含网络与信息安全风险检测、监测、评估和预警机制,发现风险隐患并能及时处置。具体网络结构如下图:
期货行业网络结构图
具体防范思路
报盘区
期货公司与中金所、大商所、上期所、郑商所四家交易所以及开展业务,交易、查询及行情等主要业务都是通过此区域线路实现的,四家交易所相对属于可信区域,从信息安全角度来说,建设时应充分考虑以下内容:
◆ 链路冗余:建设时应充分考虑链路冗余机制,以便能够有效因某一运营商链路故障引发的网络中断;
◆ 安全逻辑隔离:边界应建立防火墙进行逻辑隔离,利用防火墙系统实现期货公司与四家交易所以及保证金中心进行逻辑隔离,对进出IP地址、端口等进行严格控制。
银期前置区
银期前置区放置的服务器系统旨在实现银行与期货公司之间的业务连接,为期货投资者提供资金转账服务,实现资金在本人银行结算账户与期货保证金账户之间定向实时划转。银行、期货公司分别通过各自渠道为客户提供查询服务。
在银期前置区边界建立防火墙,利用防火墙系统实现区域的隔离,从而限制了局部重点或敏感网络安全问题对全局网络造成的影响
广域网接入区
广域网接入区由广域网银期区、广域网客户服务区、广域网内联区组成,该区域的网络一旦出现异常,导致的将是业务中断,为此进行网络结构设计过程中需要根据具体处理业务的不同以及应用范围等情况,可以按照业务服务进一步划分安全子域,需要对其进行深入的调研分析后,根据安全域划分原则开展进一步的安全域规划。
对边界防火墙对的安全策略进行优化,安全策略应细化到IP地址和服务端口,以规范数据流的走向,实现业务安全访问。
客户托管交易前置区
该区域主要负责客户托管交易,该系统的安全性将关系到客户托管交易能否成功,从安全角度考虑,增加防火墙系统作为安全域边界防控隔离。
核心交换区
在期货公司网络系统的核心交换区,建议采用如下安全防护措施:
1、对核心交换机器设备进行安全加固;
2、合理划分VLAN:根据其他安全域所承担的业务功能的不同,在核心交换机上划分相应的VLAN,并根据其业务通信流的需要设置相应的VLAN间路由策略和ACL访问控制策略。
3、IP、MAC、交换机端口绑定:在核心交换机上将重要主机和设备的IP地址、MAC地址、交换机端口进行绑定。
4、部署网络入侵检测系统:在核心交换机上部署基于网络的入侵检测系统,对通过此交换机中的网络流量中存在的攻击行为进行检测和分析,同时制定有序的监控策略,实现全维度监控,以有效的避免监控死角带来的隐患。
异地数据中心区
为了保障数据的安全,需要建立对应的数据中心,根据情况可考虑建立“同城灾备”、“两地三中心”等模式,由于双中心或三中心具备基本等同的业务处理能力并通过高速链路实时同步数据,日常情况下可同时分担业务及管理系统的运行,并可切换运行;灾难情况下可在基本不丢失数据的情况下进行灾备应急切换,保持业务连续运行。
互联网交易区
互联网交易区为整个期货公司唯一具备互联网出口的访问通道,出口要求具备双链路的前提下,需要增加必要的安全防护系统。为此在该区域增加专业的抗拒绝服务系统(ANTI-DDoS)实现对网络层攻击(SYN Flood,SYN-ACK Flood,ACK Flood,FIN/RST Flood ,UDP Flood,ICMP Flood,IP Fragment Flood、Stream flood等)以及应用层DDoS(HTTP get /post flood 攻击,慢速攻击,TCP连接耗尽攻击,TCP空连接攻击等)流量实现清洗;由于当前攻击方式、攻击类型极为繁多,建立在互联网交易区增加防火墙的基础上,应部署网络入侵防御系统(NIPS)以实现对应用层攻击进行拦截,更为重要的是利用网络入侵防御系统(NIPS)流式技术对网络中传送的文件,进行快速检测,比对文件信誉,对发现恶意的文件进行告警和阻断,同时还能够将恶意文件进行还原保存,用于恶意行为分析,还可以实现取证调查工作。
由于该区域是整个期货公司中安全事件高发区域,防护的同时应增加对数据库(DATABASE)系统的异常操作行为进行追踪、取证、分析。
运维管理中心区
运维管理中心区域一直是安全运维管理的核心区域,该区域的具备对整个网络的运维操作、管控权限,安全一旦“失手”将导致整个网络的“沦陷”。为此,应建立一台专门的安全管理服务器实现对网络中部署的全部安全系统实现集中、统一管控;增加漏洞扫描系统实现常态化的漏洞监控机制,以降低安全漏洞对应用系统构成的安全隐患;由于网络较为庞大,需要管理的各类主机、网络设备、安全设备较多,建议增加专业的安全运维管控系统即堡垒机,通过堡垒机系统可以帮助期货公司建立面向用户的集中、有序、主动的运维安全管控平台,通过基于唯一身份标识的集中账号与访问控制策略,与各服务器、网络设备等无缝连接,实现集中精细化运维操作管控与审计, 降低人为安全风险,避免安全损失,满足合规要求,保障期货公司效益。
在后续的安全建设过程中,可以利用该区域管理服务器、安全设备所捕获的各位告警分析数据以及外部云安全平台可以形成一个完善的安全态势感知,通过态势感知平台可以快速、准确了解当前网络安装状况。
系统监控中心区
系统监控中心主要负责期货交易时间段的交易监控,在该中心区采取的边界防控为防火墙系统实现区域的逻辑隔离。该区域的组网模式与其他安全域的模式一致,均需采用冗余链路以及冗余主机系统。
总结
在期货公司IT架构设计的过程中,需要充分考虑规划对象系统的具体应用属性的同时应充分调研期货公司现网的技术风险、管理风险、制定和完善信息技术风险以及管理管理风险需要的安全防范思路,从而能够更好的优化信息技术基础架构、数据架构、应用架构、安全架构,提高信息技术系统的可用性、灵活性和可扩展性,以满足业务高速发展的需要。
同时,应推动期货业开展信息安全意识教育和安全技能培训,提高信息安全管理的专业化程度与安全防范意识。加强以数据安全为核心的防护体系建设,提升行业机构对重大网络攻击的响应和处置能力以及提高行业对安全管控水平。
编辑:刘帅 校稿:张龙飞 王宁 审阅:徐特
绿盟科技微信公众号: NSFOCUS-weixin
绿盟安全管家APP:
全网最新安全资讯,让您一手掌握,并能随时随地查看绿盟安全设备运行状态,给您带来最好的服务体验。想要了解更多,快来扫描二维码下载吧!
点击“阅读原文”阅读绿盟科技金融事业部安全月刊。
原文始发于微信公众号(绿盟科技金融事业部):期货行业网络威胁及防护思路
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论