邢 悦
中国科技国际信托投资有限责任公司(简称中科信)是1989年成立的全国性非银行金融机构,中国科技证券公司(简称中科信证券)是以中科信为控股股东,注册资本22亿元的证券公司,公司于近期经中国证监会批准筹建成立。
由于金融证券业的信息化程度相对较高,中科信证券成立之后的头等大事就是将分布在全国的23家营业部联网,为公司集中交易系统建设网络通信平台,同时为公司的财务及办公网络建设广域网平台。建设之初,中科信证券提出,建成后的网络要能够实现5大功能:交易功能、财务功能、Internet接入功能、办公网络功能以及未来的可扩展功能。
一、证券网建设要求
网络系统是证券公司的“中枢神经系统”,关系到证券公司现有业务的运行以及未来业务的拓展,中科信证券为了给自己打造一个强大的“神经系统”, 在网络中就明确提出建网的目的和详细要求。
交易功能是组建中科信网络最主要的目的。中科信证券明确提出,联网后的网络须具备集中交易功能,中科信证券在全国的23家营业部的所有交易数据和客户资料数据都将存储在数据中心机房内,进行集中交易,而营业部自身不存储数据。所有的交易请求都要通过数据中心向交易所发送,所有的查询请求也将由数据中心主机进行处理。中科信证券要求建成后的广域网必须保证现有的23家营业部和未来可能增加的营业部有足够的带宽,都能实时、高速、顺畅地与数据中心进行通信,也就是要保证所有营业部的业务都能正常进行。另外,中科信证券强调整个网络的安全和稳定是建设这个网络系统重中之重。
首先,系统要具有高可靠性、高安全性,系统不能有单点故障,要能有效地防止外界的非法入侵,在发生故障的情况下,系统能够迅速找出最佳方法来恢复业务。
其次,系统要有较高的实用性,网络具有足够的带宽,保障各种业务的顺畅进行,尤其要保证证券交易相关业务的迅速处理。
第三,系统要有先进性,要考虑到公司未来3~5年的发展需要,可适应公司不断发展而增长的业务和管理需求。核心设备要具有相当的富余插槽与处理能力,以满足业务发展和营业部增加的需要。边缘设备具有足够的处理能力,要能满足可预见的多种需求。
第四,系统要有可扩展性和可升级性,随着业务的增长和应用水平的提高,网络中的数据和信息流将按指数级增长,需要网络有很好的可扩展性,并能随着技术的发展不断升级。网络的配置和带宽应该是灵活和可扩展的。
第五,系统要易于维护管理,由于新的广域网网络系统规模较大,设备复杂,需要网络系统具有良好的可管理性,网管系统具有监测、故障诊断、故障隔离、过滤设置等功能,以便于系统的管理和维护。
第六,广域网可以对流量进行分级控制,交易数据流、财务数据流及办公数据流处理优先级应有区别,任何情况下交易数据流是最优先保证的,其次是财务数据流。
中科信证券以上几点要求都是建立在“安全性,可靠性”的基础上的,此次网络建设采用的思科网络安全方案也是以“高安全性,高可靠性”作为系统建设的首要原则。思科的方案不但满足了中科信证券的所有安全方面的要求,还与中科信证券一起分享了先进的思科“SAFE蓝图”理念。基于SAFE蓝图,安全被认为是整体策略,而不仅仅是单点产品的集合,安全应该是集成在网络系统中的,而不能在网络建成后加在系统中。思科认为只有建立在深度防御基础上的整体安全系统,才能有效地保护系统中每一个点的安全;才能有效地防止外界的非法入侵;才能在发生故障的情况下,迅速找出最佳方法来恢复业务。
二、网络安全部署
网络安全并不仅仅是一项技术,更重要的是策略规划。中科信证券网络安全系统采用了思科安全系统,考虑到网络安全问题的来源不仅是来自于技术和设备上,还包括管理因素,安全问题产生的来源归纳为3类:技术的漏洞、策略的漏洞和人员管理上的漏洞。
其中最难防范的就是由于内部人员管理不善造成的漏洞。思科针对中科信证券的行业特点提出了整个网络安全的首要因素,即加强内部安全防范。思科的整体安全策略是,必须采取有力的技术手段加强对中科信证券的计算机系统的用户资源的安全保护,防止无关人员访问敏感数据。
安全防范需要通过一定的技术手段来实现,如果采用过于繁杂的网络安全技术和使用太多的安全产品,不但会增加中科信证券网络费用的支出,而且还会带来管理上的复杂化,进而可能影响网络的传输性能。所以思科以制定合理的安全策略为主,辅以适当的设备安全,以访问控制的方式来实现现行网络的安全防范。
中科信证券网的具体安全策略包括:(1)确保设备的物理安全,保证只有有关的人员才可以接近网络设备;(2)用设置密码的方式控制内部人员登陆设备,不同的设备设立不同级别的安全密码,限制可以改动设备配置信息的人数;(3)通过对内部用户设置虚拟网(VLAN),对用户群体进行隔离。
三、网络安全的实施情况
中科信证券网在部署了安全策略的基础上,又设置了4道防线。这4道防线既分工明确,又相互配合,构成了一套严密的防护体系。这4道防线具体包括:用防火墙保护本网和其它网络互联的安全,用ACS对拨号用户和网络设备访问进行集中安全认证,用IDS实时监测网络入侵和路由器级的安全控制。
首先,用防火墙保护本网和其它网络互联的安全。由于中科信证券在业务上需要和其它业务单位进行频繁的数据交换,如各个商业银行等。思科在中科信证券的网络和其它业务单位的网络之间,部署了思科的防火墙产品,保证进入网络的访问都是经过授权的访问。
其次,用ACS对拨号用户和网络设备访问进行集中安全认证。该网络采用Cisco Secure ACS为拨号用户和网络设备访问提供集中的、安全的认证。 ACS软件可以为作为AAA client的网络设备以及拨号用户提供AAA级认证服务。
第三, 用ACS对拨号用户和网络设备访问进行集中安全认证。IDS是Cisco安全系列产品(包括防火墙、加密组件和认证组件)中的动态安全组件。IDS可以在Intranet和Internet的环境中运行,从而保护用户整个网络的安全。
第四,路由器级的安全控制由4部分组成,包括使用访问控制列表(ACL)技术、IP地址转换技术、路由认证技术和路由器的自身保护等。
以上4道防线的部署都是依照“SAFE蓝图”进行的。“四道防线”和安全策略相结合构筑了中科信证券整体的安全体系。中科信证券的有关人员认为该网络安全体系既稳定又灵活,“稳定”是指这个安全体系考虑周密、部署周到,完全解决了中科信在安全方面的后顾之忧;“灵活”是指这个体系可以随着公司业务的发展而调整,避免了重复建设方面的浪费。
在严密的部署下,中科信证券的网络建设顺利完成。建成后的网络完全满足了中科信证券在交易功能、财务功能、Internet接入功能、办公网络功能和未来可能的扩展功能等方面的要求。整个系统在性能上具有很好的先进性和灵活性。在网络安全方面,“SAFE蓝图”的部署既考虑全局,又突出重点的安全解决方案,使中科信证券的网络在“外忧内患”面前都能保证安全可靠,从而为中科信证券扬帆商海打下了一个坚实的基础。
