1、证 券 公 司网络安全解决方案前言Internet的发展给政府机构、企事业单位、电信系统、金融系统、银行系统等带来了革命性的改革和变化。互联网技术的迅猛发展使各行业通过利用Internet来提高办事效率、市场反应速度,改变经营模式等,以便在市场经济的大潮中更具竞争力。通过使用Internet技术,任何一个单位或部门的数据资料的传输和存取都变得方便、快捷,也使金融、贸易往来更方便、更快捷、更频繁。但同时也面对Internet开放带来的数据安全的新挑战和新危险:客户、销售商、移动用户、异地员工和内部人员的安全访问;保护国家机关、企事业的机密信息不受黑客和商业间谍的入侵;防止单位内部人员有意或无意的
2、使机密外泄.众所周知,作为全球适用范围最大的信息网,Internet自身协议的开放性极大的方便了各种计算机入网、拓宽了共享资源.然而,由于在早期网络协议设计上对安全问题的忽视,以及在使用和管理的无政府状态,逐渐使Internet自身的安全受到严重威胁,与他有关的安全事故屡有发生。这就要求我们对于Internet互连所带来的安全性问题予以足够重视。伴随网络的普及,安全日益成为影响网络效能的瓶颈,而证券行业的网络安全存在漏洞的状况也是众所周知的,多位信息安全领域的专家也对证券行业网络的安全问题提出了尖锐的批评,证券行业网络的安全现状已不能适应证券业迅速发展的状况.近几年,不断有证券行业网络被”黑客
3、”入侵,造成重大经济损失和恶劣影响的消息见诸报段,证券行业的网络安全已经成为摆在所有证券机构和人员所要考虑的事情之一。然而,事物的发展总是利弊共生的。当计算机网络技术日益普及与提高,为社会生活各方面带来极大便利时,不可避免地也带来了一些负面影响,较为突出的是计算机信息网络的安全保密问题,如果解决不好,国家安全和利益将受到损害,也势必危及信息化事业的健康,由于部分居心叵测的使用者受到一些不可告人的利益的驱动,这部分人不可避免地带来了涉及网络安全应用和服务的种种安全问题。 2000年发生的影响特别突出的、为广大互联网使用者所了解的安全纰漏问题中,在国外、有美国雅虎(http:/www。yahoo。
4、com/)、亚马逊在线(http:/www。amazon。com/)等八家国际著名网站受到了黑客攻击,在国内包括大名鼎鼎的新浪网在内的多家网站也被黑客攻击,就拿这次五一“中美黑客”大战来说吧,我国有1200多家网如石家庄市人民政府新闻网、四川旅游信息网、北京证券、中国科学院理化技术研究所、中国科学院心理研究所等一些网站,这证明中国目前的网络安全防范越来越严峻。网络安全有两方面的含义,一是指安全性,即网络针对攻击对象而有意设置的安全系统,如防火墙等.另一方面,是指网络由于自身缺陷出现漏洞所产生的安全问题,后者的威胁其实更大,这种隐患一般存在于软件操作系统和应用系统的“BUG”(导致计算机出错的“
5、臭虫)中随机产生。一些事实证明,其危害远比黑客的攻击来得大,比如由于软件故障产生的停电、坠机等事件的发生等。而最好的预防机制就是及时修补漏洞,提高管理水平。这样的攻击事件使得被攻击的目标不得不停止了它们长期向国际用户提供的服务,给对应的网站造成了极不好的影响。受到这样的互联网上出现的风浪的影响,业界普遍认为每个企业在考虑内部共享资源和向公众提供服务时,应该根据自身业务的特点和需求,本着切合实际、保护资源和着眼未来的原则, 建立一套满足需求而且安全的网络结构体系。1、网络安全风险分析1。1、风险分析概述通常讲计算机网络系统所面临的威胁大体可分为两种:一是对网络中信息的威胁;二是对网络中设备的威胁
6、。人为的恶意攻击网络系统资源,这是该系统所面临的最大威胁,非法用户的攻击和计算机犯罪就属于这一类.此类攻击又可以分为以下两种:一种是被动攻击,它是在不影响网络正常工作的情况下,进行截获、窃取、破译以获得重要机密信息、网络拓扑结构信息等;另一种是主动攻击,它以各种方式有选择地破坏信息的有效性和完整性,以及非法访问网络设备和主机系统甚至进一步控制网络和主机.这两种攻击均可对证券公司网络系统造成极大的危害,危害网络的正常运行,并导致敏感数据的泄漏。被动攻击一般在信息系统的外部进行,即来自从公共网或搭线发起的攻击,它们对信息网络本身一般不造成损坏,系统仍可正常运行,但有用的信息可能被盗窃并被用于非法目
7、的.被动攻击主要包括信息窃取、密码分析和信息流量和流向分析:信息窃取:内外攻击者从传输信道、存储介质等处窃取信息。如无线传输信号侦收、搭线窃听、窃收数据文件等。密码分析:对截获的已加密信息进行密码破译,从中获取有价值的信息。信息流量和流向分析:对网络中的信息流量和信息流向进行分析,然后得出有价值的情报。主动攻击直接进入信息系统内部,对证券公司网络系统来说,安全系统的最大隐患来自国内外机构组织、人员,以及其它不法份子的攻击,这些攻击可能造成无法预料的损失.同时,来自内部人员有意或无意的攻击,也是必须考虑和预防的因素。可能的主动攻击手段主要包括:入侵:通过系统或网络的漏洞、搭线、远程访问、盗取口令
8、、借系统管理之便等方法进入系统,非法查阅文件资料、更改数据、拷贝数据、甚至破坏系统、使系统瘫痪等。如系统管理员、内部操作员都较容易进入系统进行攻击,熟悉计算机系统的“黑客”也能轻易进入网络发起攻击。假冒:假冒合法用户身份、执行与合法用户同样的操作。篡改:篡改机要数据、文件、资料(增加、删除、修改)。插入:在正常的数据流中插入伪造的信息或数据。重放:录制合法、正常的交互信息,然后在适当时机重放。阻塞:使用投放巨量垃圾电子邮件、无休止访问资源或数据库等手段造成网络的阻塞,影响正常运行。抵赖:实施某种行为后进行抵赖,如否认发送过或接受过文件.病毒:向系统注入病毒(能够进行自我复制的程序),运行后可能
9、损坏文件、使系统瘫痪,造成各种难以预料的后果。2、证券公司网络风险分析2。1、安全风险 证券网络系统的安全风险主要来自网络设施物理特性的安全、网络系统平台的安全、网上交易的安全、数据存储的安全。2。1.1 物理安全风险 由于水灾、火灾、雷击、粉尘、静电等突发性事故和环境污染造成网络设施工作停滞 人为引起设备被盗、被毁或外界的电磁干扰使通信线路中断 电子、电力设备本身固有缺陷和弱点及所处环境容易在人员误操作或外界诱发下发生故障 2。1。2、系统安全风险系统风险在三个方面:网络系统、操作系统和应用系统。 网络系统在设计实施不够完善,例如缺乏正确路由、网络的容量、带宽估计不足、对证券系统局域网没做划
10、分隔离以及关键网络设备没有冗余设计,一旦发生故障,将直接影响网络系统安全。 网络系统缺乏安全可靠的网络通信协议和网络安全设备,使网络黑客容易利用网络设计和协议漏洞进行网络攻击和信息窃取,例如未经授权非法访问证券系统内部网络、对电话网进行监听、对系统的安全漏洞进行探测扫描、远程登陆交易、行情服务器并对数据进行篡改、对通信线路、服务器实施洪流攻击造成线路涌塞和系统瘫痪等。 网络操作系统,无论是windowsunixnetware各种商用操作系统,其国外开发商都留有后门(back door),目前每种操作系统都发现有安全漏洞,一旦被人发现利用将对整个证券网络系统造成不可估量的损失。 OA应用系统的风
11、险主要是涉及不同地区、不同部门的资源有限共享时被内部人员不安全使用造成口令失窃、文电丢失泄密,以及在与外界进行邮件往来时带来病毒和黑客进入的隐患。 针对业务系统(包括业务管理系统、业务服务系统)的威胁主要来自于内、外界对业务系统非授权访问、系统管理权限丧失(由于用户名、口令、IC卡等身份标志泄漏)、使用不当或外界攻击引起系统崩溃、网络病毒的传播或其他原因造成系统损坏、系统开发遗留的安全漏洞等。 2.1。3、网上交易的安全风险 因特网是全球性公共网络,并不由任何一个机构所控制。 数据在因特网上传输的途径是不完全确定的。 因特网本身并不是一个完全安全可靠的网络环境。 在因特网上可能有人采用相似的名
12、称和外观仿冒证券网站和服务器, 用于骗取投资者的数据资料。 如果用于证实投资者身份的数字证书和口令被窃取, 他人有可能仿冒投资者身份进行交易委托和查询. 在网上传输的指令、数据有可能被某些个人、团体或机构通过某种渠道截取、篡改、重发。 但他们并不一定能够了解该数据的真实内容。 由于网络交易的非接触性,交易双方可能对交易结果进行抵赖。 在网上的数据传输可能因通信繁忙出现延迟,或因其它原因出现中断、停顿或数据错误, 从而使得网上交易出现延迟、停顿或中断. 网上发布的证券交易行情信息可能滞后,与真实情况不完全一致。 2。1。4、数据的安全风险 因内、外因素造成数据库系统管理失控或破坏使用户的个人资料
13、和业务数据遭到偷窃、复制、泄密、丢失,并且无法得到恢复 网络病毒的传播或其他原因造成存储数据的丢失和损坏 网站发布的信息数据(包括分析、预测性资料)有可能被更改、删除,给证券公司带来损失. 2。1。5、局域网上的安全风险 在局域网中,由于管理不当,可以造成物理性网络安全问题。另外,如果不采取合理的管理方法,通过局域网与Internet连接后,会给不合乎国家法规的网络行为留下空当,也是网络不安全的一方面。由于局域网中采用广播方式,因此,在某个广播域中若采用“嗅探”技术就可以侦听到所有传输的信息包, 攻击者对信息包进行分析,那么本广播域的所有信息传递都会暴露在攻击者的面前,也会对网络造成安全问题。
14、2.1。6、广域网上的安全风险 由于广域网通常采用公网传输数据, 因而在广域网上进行传输时信息就可能受到各种各样的攻击, 包括侦听窃密、非法修改、冒名顶替、恶意破坏等。任何一个有条件对通信进行监测的人都可以进行上述攻击, 这种形式的攻击相对比较容易成功, 且事后很难进行追查。2。1。7、系统平台内在的安全风险由于网络系统中大量采用不是专门为安全系统设计的基础软件,这些软件在开发、安装时的缺省配置往往更多的照顾方便性而忽略了安全性, 如考虑不周很容易留下安全漏洞,比如无意中将重要信息暴露在非授权用户面前。需要强调指出的是, 管理方面的问题,可以通过加强管理、提高认识来增加网络安全意识,而其它方面
15、的安全威胁的可实施性正随着网络技术和侦听工具的隐蔽化和智能化而变得越来越容易实现。如通过互联网可以获取大量关于系统内在缺陷的最新资料; 黑客组织变得越来越庞大而严密; 协议分析工具随处可见,以前购置一套功能强大的协议分析设备需花费十几万乃至几十万, 能掌握这些设备的人员极为稀少, 而现在实现这项功能越来越容易,使用人员十分庞大, 一旦得到合适的机会, 后果不堪设想.2.1。8、来自病毒的安全风险 每一千台联网电脑中感染病毒的电脑数量 (Source : ICSA)6005004003002001000 1996 1997 1998 1999网络的发展,促使信息大量的进行交流,计算机病毒也随着信
16、息交流的广泛,危害越来越严重, 由单机逐渐扩展到网络,成为了威胁网络安全的重要一部分。网络中任何一台电脑受到了病毒的感染,就有可能感染网络中的所有计算机。由于病毒造成数据丢失或损坏,系统瘫痪,同样和黑客入侵造成的损失一样严重.3、提高网络安全性的技术手段解决网络安全问题是一个系统的、多层次的问题, 任何一种安全技术都无法解决所有的安全问题, 只有综合多种安全技术, 才有可能全面提高整个系统的安全性及安全级别。所以针对网络安全隐患我们应该采取相应的方法,提高网络系统的安全性。从网络安全技术方面大致可以分为四个层次: 应用层、socket层(ssl) 、IP层、链路层。每种技术都有其独到之处.目前
17、的各种网络安全产品大多是基于这四个方面开发研制的。不同的产品从不同的角度轻重点加以防护,我们可以根据具体的要求选择相应的产品.4、安全策略传统的安全策略停留在局部、静态的层面上,仅仅依靠几项安全技术和手段达到整个系统的安全目的,现代的安全策略应当紧跟安全行业的发展趋势,在进行安全方案设计、规划时,遵循以下原则:(1) 体系性:制定完整的安全体系,应包括安全管理体系、安全技术体系和安全保障体系。(2) 系统性:安全模块和设的引入应该体现其系统统一到运行和管理的特性,以确保安全策略配置、实施的正确性和一致性。应该避免安全设备各自独立配置和管理 的工作方式.(3) 层次性安全设计应该按照相关应用安全
18、需求,在各个层次上采用的安全机制来实现所需的安全服务,从而达到网络信息安全的目的.(4) 综合性:网络信息安全 的设计包括从完备性(并有一定冗余)、先进性和可扩展性方面的技术方案,以及根据技术管理、业务管理和行政管理要求相应的安全管理方案,形成网络安全工程设计整体方案,供工程分阶段实施和安全系统运行作为指导。(5) 动态性:由于网络信息系统的建设和发展是逐步进行的,而安全技术和产品也不断更新和完善,因此,安全设计应该在保护现有资源的基础上,体现最新、最成熟的安全技术和产品,以满足网络安全系统安全目标。4。1、安全体系结构根据上述安全策略,整体安全体系中网络安全工程必须实施:安全防护、检测、响应
19、系统,安全体系结构如下表。另外,根据实际安全需求,建议有选择的实施安全恢复系统。本次解决方案的安全体系结构参照中国证券机构营业部信息系统技术管理规范来制定的,见下表:对象层次安全措施分类安全措施与技术操作管理安全安全防护安全操作规范安全操作控制系统安全检测操作安全检测操作安全审计安全响应操作安全预警操作安全监控应用系统安全安全防护业务应用安全级别划分与访问控制业务系统授权与访问权限控制业务系统用户身份认证密钥和证书管理技术资料的管理数据真实性、完整性数字签名病毒防杀安全检测应用系统安全检测业务应用安全审计病毒检查安全响应安全预警安全监控权限变更密钥更新证书发放和撤消系统平台安全防护病毒防杀安全
20、检测系统安全扫描与检测安全审计病毒检查安全响应安全预警安全监控操作系统补丁网络平台安全防护网络级身份认证与访问控制(加密与防火墙)安全网络结构安全网络管理与配置信息传输加密与网络安全隔离虚网划分安全检测网络安全扫描网络入侵检测安全审计安全响应网络安全监控网络安全预警物理安全防护防电磁辐射泄漏防雷防火主机硬件保安电源设备管理安全检测电磁辐射检测机房保安检测系统环境建设检查管理检查安全响应电磁干扰消防报警5、安全防范技术 网络隔离技术 访问控制技术 加密技术 鉴别技术 数字签名技术 入侵监测技术 信息审计技术 安全评估技术 病毒防治技术 备份与恢复技术6、网络整体解决方案6。1、安全体系 按照安全
21、策略的要求及风险分析的结果,证券网络公司网络安全措施应根据证券网络的行业特点以及符合证监会的证券经营机构信息系统安全指标体系,按照网络安全的整体构想来建立,具体的安全控制系统由以下几方面组成: 6.2、物理安全 保证计算机信息系统各种设备的物理安全是整个计算机信息系统安全的前提。物理安全是保护计算机网络设备、设施以及其它媒体免遭地震、水灾、火灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过程.它主要包括三个方面:环境安全:对系统所在环境的安全保护,如区域保护和灾难保护;(参见国家标准GB5017393电子计算机机房设计规范、国标GB288789计算站场地技术条件、GB9361
22、88计算站场地安全要求)。设备安全:主要包括设备的防盗、防毁、防电磁信息辐射泄漏、防止线路截获、抗电磁干扰及电源保护等;媒体安全:包括媒体数据的安全及媒体本身的安全。6。3、系统安全系统安全主要关注网络系统、操作系统和应用系统三个层次。 系统安全采用的技术和手段有冗余技术、网络隔离技术、访问控制技术、身份鉴别技术、加密技术、监控审计技术、安全评估技术等。6。3.1、网络系统 网络系统安全是网络的开放性、无边界性、自由性造成,安全解决关键是把被保护的网络从开放、无边界、自由的环境中独立出来,使网络成为可控制、管理的内部系统,由于网络系统是应用系统的基础,网络安全成为首要问题,解决网络安全主要方式
23、有: 网络冗余 解决网络系统单点故障的重要措施,对关键性的网络线路、设备我们通常采用双备或多备份的方式,网络运行时双方对运营状态相互实时监控并自动调整,当网络的一段或一点发生故障或网络信息流量突变时能在有效时间内进行切换分配,保证网络正常的运行。系统隔离 分为物理隔离和逻辑隔离,主要从网络安全等级考虑划分合理的网络安全边界,使不同安全级别的网络或信息媒介不能相互访问,从而达到安全目的。针对证券网络系统特点一般把证券交易的业务系统网络与内部办公网络进行严格的物理隔离,存储媒介则根据重要程度严格区分并只能通过第三方进行交换;对业务网络或办公网络采用VLAN技术和通信协议实行逻辑隔离划分不同的应用子
24、网。访问控制 对于网络不同信任域实现双向控制或有限访问原则,使受控的子网或主机访问权限和信息流向能得到有效控制.具体相对网络对象而言需要解决网络的边界的控制和网络内部的控制,对于网络资源来说保持有限访问的原则,信息流向则可根据安全需求实现单向或双向控制。访问控制最重要的设备就是防火墙,它一般安置在不同安全域出入口处,对进出网络的IP信息包进行过滤并按企业安全政策进行信息流控制,同时实现网络地址转换、实时信息审计告警等功能,高级防火墙还可实现基于用户的细粒度的访问控制。证券系统的防火墙配置在证券公司交易系统与公网的交界处(包括INTERNET、系统内部广域网、相关业务网络)和公司重要的子网出口.
25、身份鉴别 是对网络访问者权限的识别,一般通过三种方式验证主体身份,一是主体了解的秘密,如用户名、口令、密钥;二是主体携带的物品,如磁卡、IC卡、动态口令卡和令牌卡等;三是主体特征或能力,如指纹、声音、视网膜、签名等,在证券网络系统中,前两种方式运用较多。加密 为了防止网络上的窃听、泄漏、篡改和破坏,保证信息传输安全,对网上数据使用加密手段是最为有效的方式.目前加密可以在三个层次来实现,即链路层加密、网络层加密和应用层加密。链路加密侧重通信链路而不考虑信源和信宿,他对网络高层主体是透明的。网络层加密采用IPSEC核心协议,具有加密、认证双重功能,是在IP层实现的安全标准。通过网络加密可以构造企业
26、内部的虚拟专网(VPN),使企业在较少投资下得到安全较大的回报。安全监测 采取信息侦听的方式寻找未授权的网络访问尝试和违规行为,包括网络系统的扫描、预警、阻断、记录、跟踪等,从而发现系统遭受的攻击伤害。网络扫描监测系统作为对付电脑黑客最有效的技术手段,具有实时、自适应、主动识别和响应等特征,广泛用于各行各业。网络扫描 针对网络设备的安全漏洞进行检测和分析,包括网络通信服务、路由器、防火墙、邮件、WEB服务器等,从而识别能被入侵者利用非法进入的网络漏洞。网络扫描系统对检测到的漏洞信息形成详细报告,包括位置、详细描述和建议的改进方案,使网管能检测和管理安全风险信息。6。3。2、操作系统 操作系统是
27、管理计算机资源的核心系统负责信息发送、管理设备存储空间和各种系统资源的调度,它作为应用系统的软件平台具有通用性和易用性,操作系统安全性直接关系到应用系统的安全,操作系统安全分为应用安全和安全漏洞扫描.应用安全 面向应用选择可靠的操作系统并按正确的操作流程使用计算机系统,杜绝使用来历不明的软件,安装操作系统保护与恢复软件并作相应的备份.系统扫描 基于主机的安全评估系统是在严格的基础上对系统的安全风险级别进行划分,并提供完整的安全漏洞检查列表,通过不同版本的操作系统进行扫描分析,对扫描漏洞自动修补形成报告,保护应用程序、数据免受盗用、破坏。6.3.3、应用系统 证券行业应用系统大体分为办公系统、业
28、务管理系统、业务服务系统,证券应用系统安全除采用通用的安全手段外主要根据企业自身经营及管理需求来开发.办公系统 文件(邮件)的安全存储:利用加密手段,配合相应的身份鉴别和密钥保护机制(IC卡、PCMCIA 安全PC卡等),使得存储于本机和网络服务器上的个人和单位重要文件处于安全存储的状态,使得他人即使通过各种手段非法获取相关文件或存储介质(硬盘等),也无法获得相关文件的内容。 文件(邮件)的安全传送:对通过网络(远程或近程)传送给他人的文件进行安全处理(加密、签名、完整性鉴别等),使得被传送的文件只有指定的收件者通过相应的安全鉴别机制(IC卡、PCMCIA PC 卡)才能解密并阅读,杜绝了文件
29、在传送或到达对方的存储过程中被截获、篡改等,主要用于信息网中的报表传送、公文下发等。业务系统 主要面向业务管理和信息服务的安全需求,例如在证券交易管理中采取集中统一的监管系统,对业务流实时进行监控、统计、分析、查询,防止违规操作,化解安全风险;对通用信息服务系统(电子邮件系统、WEB信息服务系统、FTP服务系统等)采用基于应用开发安全软件,如安全邮件系统、WEB页面保护;对业务信息可以配合管理系统采取对信息内容的审计稽查,防止外部非法信息侵入和内部敏感信息泄漏.6.4、交易安全 目前证券交易方式主要分为营业部柜台交易、电话交易、网上交易,前两种交易方式安全系数较高,而网上交易主要通过公网完成交
30、易的全过程,由于公网的开放性和复杂性,使网上交易风险大大高于前者。几乎所有参加网上证券交易的证券公司采用的是TCP/IP标准协议,应用系统都是基于C/S或B/S(浏览器/服务器)结构,由于交易发生在两地,双方缺乏可靠的安全机制保证各自的利益,针对网上证券交易的风险和特点,保障交易安全通常采用授权、身份鉴别、信息加密、完整性校验、信息审计、防重发、防抵赖等安全机制,具体实现主要依靠基于PKI(公开密钥密码设施)体系现代密码技术及在此基础上开发应用的电子商务认证加密系统(CA)。交易安全标准 目前在电子商务中主要的安全标准有两种:应用层的SET(安全电子交易)和会话层SSL(安全套层)协议。前者由
31、信用卡机构VISA及MasterCard提出的针对电子钱包/商场/认证中心的安全标准,主要用于银行等金融机构;后者由NETSCAPE公司提出针对数据的机密性/完整性/身份确认/开放性的安全协议,事实上已成为WWW应用安全标准,也是证券网上交易的标准安全协议.交易安全基础体系 交易安全基础在于现代密码技术,依赖于加密方法和强度。加密分为单密钥的对称加密体系和双密钥的非对称加密体系。两者各有所长,对称密钥具有加密效率高,但存在密钥分发困难、管理不便的弱点;非对称密钥加密速度慢,但便于密钥分发管理。在证券交易中通常把两者结合使用,达到高效安全的目的。;交易安全的实现 完成证券交易需解决的安全问题主要
32、有交易双方身份确认、交易指令及数据加密传输、数据的完整性、防止双方对交易结果的抵赖。具体途径为建立自己的CA认证中心或采用权威的CA中心,通过颁发相应的数字证书给与交易各方相关身份证明,同时在SSL协议体系下完成交易过程中电子证书验证、数字签名、指令数据的加密传输、交易结果确认审计等。6。5、CA认证在电子商务系统,所有参与活动的实体都必须用证书来表明自己的身份,数字证书就是网络通讯中标志通讯各方身份信息的一系列数据,它提供了一种在Internet上验证您身份的 方式,其作用类似于司机的驾驶执照或日常生活中的身份证.它是由一个由权威机构-CA机 构,又称为证书授权(Certificate Au
33、thority)中心发行的,人们可以在交往中用它来识别对 方的身份,一方面可以用来向系统中的其它实体证明自己的身份,另一方面每份证书都携带 着证书持有者的公钥,证书也可以向接收者证实某人或某个机构对公开密钥的拥有,同时也起 着公钥分发的作用。数字证书是一个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件。 最简单的证书包含一个公开密钥、名称以及证书授权中心的数字签名。一般情况下证书中还包 括密钥的有效时间,发证机关(证书授权中心)的名称,该证书的序列号等信息,证书的格式遵 循ITUTX.509国际标准CA机构的数字签名使得攻击者不能伪造和篡改证书。证书的格式遵循X。509标准证
34、书申请者 进行资格审查,并决定是否同意给该申请者发放证书,并承担因审核错误引起的、为不满足资格 的证书申请者发放证书所引起的一切后果,因此它应由能够承担这些责任的机构担任;另一个是 证书操作部门(简称CP,Certificate Processor),负责为已授权的申请者制作、发放和管理 证书,并承担因操作运营错误所产生的一切后果,包括失密和为没有获得授权者发放证书等,它可以由审核授权部门自己担任,也可委托给第三方担任.6。5。1、CA认证机构面临的威胁CA所提供的服务是通过Internet实施的,面临来自Internet攻击威胁.同时,由于其业务的特殊性和重要性,还面临来自内部的攻击威胁.攻
35、击者的目标是多方面的,其中以窃取CA核心机密(如密钥对)是最严重的威胁。1 系统穿透 系统穿透系指攻击者通过一定的手段对认证性(真实性Authenticity)进行攻击,假冒合法用户接入系统,从而达到篡改系统文件、窃取系统机密信息、非法使用系统资源等目的。攻击者一般采取伪装或利用系统的薄弱环节(如绕过检测控制)、收集情报(如口令)等方式实现。在CA系统中,口令登录大都被电子令牌或数字证书登录替代,所以系统穿透的风险较小。2 违反授权规则 违反授权原则系指攻击者盗用一个合法用户账号,经授权进入系统后,在系统中进行未经授权的操作。一个攻击者可以通过猜测口令等手段取得一个普通用户账号,以合法的身份接
36、入系统,进而可查找系统的薄弱环节,最后取得系统的最高控制权,从而严重危及系统的安全。这种攻击主要发生在CA管理人员内部,需要重点防范,严格控制不同管理员的权限。3 植入病毒 在系统穿透或违反授权攻击成功后,攻击者通常要在系统中植入一种能力,为以后攻击提供方便条件.如向系统中注入病毒、蛀虫、特洛伊木马、限门、逻辑炸弹等来破坏系统正常工作。从Internet下载软件和使用盗版软件是病毒的主要来源,所以应防止管理员使用CA系统中的工作站下载软件和使用来历不明的软件。4通信监视 通信监视是一种在通信过程中从信道进行搭线窃听的攻击方式。攻击者通过搭线和电磁泄漏等手段截取通信信息,对信息、业务流量等数据进
37、行分析,获取有用的情报,获得机密信息。CA认证中心的敏感信息在传输中,都是经过加密处理的,但在机房数据处理中,数据会以明文形式出现,所以CA机房是反通信监视的重点部位.5中断中断系指对可用性进行攻击,破坏系统中的硬件、硬盘、线路、文件系统等,使系统瘫痪,不能正常工作,破坏信息和网络资源.这类攻击一般采取暴力手段,破坏通信设施,甚至使用高能量的电磁脉冲发射设备摧毁系统的电子元器件。6拒绝服务 拒绝服务的攻击手段能够阻塞被攻击目标的合法接入信息、业务或其他资源,致使其正常服务中断。例如,一个业务出口被精心地策划进行滥用而使其他用户不能正常接入,又如Internet的一个地址被大量的垃圾信息阻塞等.
38、7 窃取或破解密钥一个攻击者假如窃取或破解了认证中心的私人密钥,就可以伪造数字证书,进行诈骗活动。 8 管理漏洞 CA系统的安全性除了技术方面的因素外,管理也是一个非常重要的因素。管理方面存在的漏洞往往蕴藏着极大的风险和隐患。例如,CA的签名私钥只由一个工作人员管理和控制,当这名工作人员受到贿赂以后,就极有可能签发内容不实的数字证书.如果机密数据仅由一个工作人员管理和控制,那么这个人就有可能窃取和出卖这些资料,牟取非法利益,或者故意损毁。所以,CA认证中心在管理上必须制定严密的策略。 9 数据损坏 CA认证中心的数据库存储了大量的数字证书、用户注册资料等数据,当发生电子商务方面的纠纷时,这些数
39、据将作为重要的举证依据。如果这些数据损坏,其后果相当严重。6。5.2、CA认证安全防范机制1、机房的安全CA机房是整个认证系统的系统控制核心,必须设置独立的专用机房。CA中心机房,应配备先进的门禁管理系统,防止非授权人员的无意或有意进入.对于敏感岗位的操作,必须进行身份识别和采用多人控制的方式。2、访问控制 CA机房必须受到严格的、高等级的安全保护,至少应该设置3层安全控制保护层,将机房分为不同的安全区域。进入数据中心和管理控制台任何人员必须通过3层安全控制保护层的核准。3、实时监控 为防止非法入侵和暴力破坏,CA机房应设立智能化门禁系统,配备实时监控系统和安全时钟,记录开/关门、每次授权进出
40、的活动.4、全面设防 CA机房必须能够屏蔽电磁波,防止信息经由电磁辐射而引起的秘密泄露。机房的电力和空调系统应采用主、备两个系统,当主系统发生故障时,可以自动启动备用系统。机房应该配备自动气体消防系统,能够在火灾发生之初进行预警检测和自动灭火。5、CA中心的密钥安全 数字证书的安全性和可靠性主要依靠CA认证中心的数字签名来保证,而CA的数字签名是使用自身的私有密钥运算产生的。所以,CA中心的密钥安全非常重要,一旦密钥泄露,将引起整个信任体制的崩溃。为此,对于CA中心的密钥安全措施,一般需要注意以下几个方面的原则: 选择模长较长的密钥认证中心的公共密钥会受到多种攻击,基于Internet的“联机
41、运算”就是一种。这种攻击利用上千台计算机,采用“穷举”方式进行计算。密钥的长度越长,密码空间就越大(对于模长为n位的密码,其有效密码空间为2n),采用“穷举方式攻击的代价就越大。所以,CA中心必须使用很长的密钥。从目前的计算机运算速度来看,采用1024位的密钥是安全的。CA根节点的密钥长度至少应该达到1024位,最好能做到2048位,但目前许多应用软件还不支持2048位的加解密运算。6。6、数据安全 数据安全牵涉到数据库的安全和数据本身安全,针对两者应有相应的安全措施。数据库安全 证券公司的数据库一般采用具有一定安全级别的SYBASE或ORACLE大型分布式数据库,鉴于数据库的重要性,还应在此
42、基础上开发一些安全措施,增加相应控件,对数据库分级管理并提供可靠的故障恢复机制,实现数据库的访问、存取、加密控制。具体实现方法有安全数据库系统、数据库保密系统、数据库扫描系统等。数据安全 指存储在数据库数据本身的安全,相应的保护措施有安装反病毒软件,建立可靠的数据备份与恢复系统如行情备份系统,对股民的个人资料和交易数据按安全等级划分存储,某些重要数据甚至可以采取加密保护。6。7、安全管理面对网络安全的脆弱性,除了运用先进的网络安全技术和安全系统外,完善的网络安全管理将是信息系统建设重要组成部分,许多不安全的因素恰恰反映在组织资源管理上,安全管理应该贯穿在安全的各个层次上。安全管理三原则:多人负
43、责原则每一项与安全有关的活动,都必须有两人或多人在场。这些人应是系统主管领导指派的,他们忠诚可靠,能胜任此项工作;他们应该签署工作情况记录以证明安全工作已得到保障。任期有限原则一般地讲,任何人最好不要长期担任与安全有关的职务,以免使他认为这个职务是专有的或永久性的。为遵循任期有限原则,工作人员应不定期地循环任职,强制实行休假制度,并规定对工作人员进行轮流培训,以使任期有限制度切实可行。职责分离原则在信息处理系统工作的人员不要打听、了解或参与职责以外的任何与安全有关的事情,除非系统主管领导批准。信息系统安全管理的实现安全制度管理根据证监会证券经营机构营业部信息系统管理规范、网上证券委托暂行管理办
44、法等有关法规的要求,建立本行业的管理制度,包括机房管理、网络管理、数据管理、设备管理、应急处理、人员管理、技术资料管理等有关信息系统建设的规范.安全目标管理1. 按照技术管理目标,展开对最新网络安全技术的跟踪研究,并就证券行业信息系统的安全技术进行交流、探讨,从而提出本公司的网络安全技术和管理策略.2. 按照资源管理目标,对证券行业网络系统的物理资源、网络资源、信息资源实现统一的资源分配设置,根据资源的重要程度确定安全等级,从而确立安全管理范围。3. 按照客户管理目标,根据统一标准划分用户角色,对不同的用户在交易中风险的高低及可能带来的损失采取安全防范措施,例如对经常进行网上交易的重要客户或大
45、客户设置虚拟大客户室,由证券公司给与必要的技术支援和培训。6.8、安全服务建立网络安全保障体系不能仅仅依靠现有的安全机制和设备,更重要的是提供全方位的安全服务.网络安全不是几种安全产品的集合,它作为一项系统工程已经形成了自己的专业体系,没有先进科学的知识结构很难对此进行全面细致的把握;网络安全系统存在固有弱点,即使最微小的安全漏洞都可能引发整个网络系统的崩溃;同时网络安全处在信息产业飞速发展的大环境下,现有的系统安全只是暂时的、静态的,所有这些问题都必须通过持续全面的安全服务来解决。完善的安全服务应包括全方位的安全咨询,整体系统安全的策划、设计,优质的工程实施、细致及时的售后服务和技术培训.除
46、此之外,定期的网络安全风险评估,帮助客户制定特别事件应急响应方案扩充了安全服务的内涵。6。9、安全目标 通过规划建立证券系统安全体系,综合运用各种安全技术和手段,我们要达到的安全目标为:静态安全目标 包括整个证券信息系统的物理环境、系统硬、软件结构和可用的信息资源,保证证券交易系统实体平台安全。动态安全目标 提升证券信息系统的安全软环境,包括安全管理、安全服务、安全思想意识和人员的安全专业素质。7、网络系统的安全总体方案设计7。1、网络安全流程设计 网络安全流程图事故结束事故发生事 后 阶 段事 故 阶 段预 防 阶 段文件恢复文件备份日志审计、追查责任自动恢复及时发现及报警定时对网络检查监测监控系统&恢复系统备份系统防火墙安全检查系 统备份系统病毒防护系统构件一个网络安全方案必须依据网络的综合性、均衡性、折衷性、动态性认真考虑。根据证券公司网络具体情况和要求,我们建议从以下几点考虑.l 预防措施l 防护措施l 补救措施7.1。1、预防措施一个安全的网络首先做好预防措施,做好预防工作是提高网络安全,减少网络事故,保证网络畅通,减少数据丢失的前提。预防方面我们建议采取多种方式:l 采取网络安全检查系统l 采取备份系统网络安全检查 原理模拟用户输入检
