查看详情

PGM方案-证券系统网络安全体系架构解决方案

发表于2016-11-18 02:12:13

问题和挑战

随着公司业务的迅速发展,对于信息化建设以及网络基础设施的发展提出了更高的要求,另一方面,证监会对券商的网络安全提出了更高的标准与要求。证券公司对自身的网络安全建设提出了更高的要求,希望将增强现有的网络安全措施,提升现有的网络安全防御体系。

当前银行网络的特点:

 

建设目标

采用PGM防火墙和IDP解决方案为证券所有的网上交易平台提供了全面的安全防护;采用PGM SSG140为全国58家营业部提供业务网安全防护;采用PGM SA4000为OA用户提供远程安全接入。通过部署PGM的解决方案,证券网络构架实现了最高的安全性,任意区域间的互访都经过了防火墙的访问控制,实现了完美、集成化的网络安全体系。

 

解决方案

金融数据中心整体架构

  • 营业部网络安全改造

协助完成营业部内网的核心交易和非核心交易网段分离,并达到交易及办公通讯线路的分离。设置调整营业部交易防火墙策略,满足营业部各网段间及营业部与总部交易、办公网的访问控制。完成营业部防火墙主备模式配置,并制定相关应急措施以满足主备防火墙同时故障下的交易业务的正常开展。根据需求,在每个营业部部署2台PGM SSG140防火墙作为营业部业务网络的核心防火墙。通过PGM安全设备的部署,满足了证券营业部安全改造的需求,提升了证券营业部网络的整体安全性和可靠性。

  • 总部核心交易区边界防护

为了真正实现网络防火墙全异构,在总部核心交易区边界处部署两台PGMISG1000防火墙,提高整体网络的安全等级。防火墙部署为透明模式,与总部原有防火墙配合完成各应用系统的访问控制,确保业务数据的安全。利用ISG1000基于安全域的策略配置,可以灵活针对交易流量,非交易流量,营业部数据流量设置相关安全策略和策略行为,最大化提升核心网络内网安全级别。托管机房防火墙及入侵防护设备的部署证券在全国有7个托管机房,主要提供网上行情、网上交易业务及网站发布等功能。主要实施内容如下:

各托管站点互联网防火墙采用PGM SSG 550M(100兆带宽)及PGMISG1000(1000兆带宽)防火墙,每条线路一台,配置相关访问策略以满足各互联网应用的访问控制。

每个站点部署一台PGM IDP 250防入侵设备或ISG 1000附带防入侵模块,做到满足业务应用情况下的入侵检测防范。

IDC安全部署说明证券的IDC托管机房有不同的出口带宽,其中,3个有千兆Internet出口的IDC机房,部署PGM ISG 1000防火墙加IDP模块,每个IDC部署2台PGM ISG1000,每台PGM ISG1000配置1块IDP模块,两台PGM ISG1000以主备的高可靠方式部署,提供高性能的防火墙与IPS。其余4个站点为百兆Internet出口,其中两个部署2台PGMSSG550M以HA的方式部署,另两个站点为Internet出口部署单台PGM SSG550M。配置相关访问策略以满足各互联网应用的访问控制。4个部署SSG550M的站点部署一台PGM IDP 250入侵防御设备,部署在IDC托管机房,对来自Internet的流量进行应用层检测期货交易主机房安全防护和营业部网络类似,证券采用两台PGM SSG140作为期货交易主机房的核心防火墙,分别作主/备高可用性模式,避免单点故障。对于期货总部网络,根据业务和安全性将网络分成不同安全区域,实现逻辑上的安全隔离。对于各网段之间访问,可以根据安全需求,在PGM SSG140上配置相应的访问策略和攻击防护策略,并可以对不同种数据流执行分类和服务质量的保障。除了定义上述这些主要参数以外,在策略中还可以定义用户的认证、根据安全需要在策略里定义地址翻译等功能。通过这些主要的安全元素和附加元素的控制,PGM SSG140可以对进出期货网络的数据流量进行严格的访问控制,达到保护内网系统资源安全的目的。

  • 统一安全管理平台的部署

网络的安全离不开对设备安全的管理。PGM防火墙支持丰富的管理功能,防火墙本身自带Web Ui管理界面和命令行管理界面,可以方便的通过图形界面或命令行完成防火墙的配置和维护。由于证券部署了大量的PGM安全设备,为了能够对分布在各处的安全设备进行统一管理,证券还采用了部署PGMNSM集中管理平台系统对各PGM设备进行统一配置、日志收集、性能监控。证券在数据中心部署了一套NSMXpress集中管理系统。由于它提供的统一集成式管理界面能够控制所有的设备参数,因此大大降低了安全设备管理的复杂性。NSMXpress管理系统只需几分钟就能安装完毕,并且易于扩展和部署。对安全管理用户来说能够从NSMXpress获得很多收益。它为IT部门提供了一套简单易用的管理方案,同时控制数据中心、站点托管机房和营业部安全设备,包括设备配置、网络设置、安全策略管理、设备性能监控等。借助NSM,IT部门不但能利用统一的集中式解决方案管理整个设备生命周期,还能全面了解整套的调查和报告工具,对于需要存储180天的日志,NSMXpress本身自带高容量存储单元,同时可将日志导出到其他存储设备进行保存。数据中心技术人员能够和IDC或营业部安全管理员通力合作,提高管理效率和安全性,减少支出,降低运营成本。