一、现状
证券公司作为涉足证券业务的证券机构通常都在全国范围内经营业务，网络庞大、结构复杂是其主要的特点。证券公司主要的业务系统包括：行情发送系统，行情传送系统，行情接收系统，行情客户端系统，交易系统，结算系统，开户系统。其各营业部和总部是通过计算机网络将交易所、证券公司与交易者三方连接在一起，共同来完成证券交易的，并实现行情、交易、结算、办公等各个环节的自动化。
证券公司由于自身经营的特点，在信息安全方面有较高的要求，如何保证网络具有较高的可靠性、保密性，以及如何提高对病毒、黑客攻击有较强的防御能力是目前证券公司信息安全建设的基础目标。

二、应用需求
证券公司一般需要通过公网完成网上交易，由于公网的开放性和复杂性，必然要遭到外部网络的普遍攻击风险，其次，外部大量的用户需要访问内部网络，对于内部网络的安全带来巨大风险，对于外部用户的访问安全需要控制。再次，证券公司的大多是用户的帐户，资金，股票信息等重要数据，对于机密数据的传输安全更是重中之重。
     ⊙ 需要对网络区域进行区分，对重要边界进行逻辑隔离，不同区域间的访问要进行严格控制；
 ⊙ 对所有进出的信息和数据都能进行严格的控制，防止对网络进行非法访问；
 ⊙ 能及时发现和相应来自互联网的攻击和破坏行为；
 ⊙ 能有效防止病毒、恶意代码对证券公司信息系统的入侵和泛滥；
 ⊙ 数据传输的安全，需要保证机密数据的传输安全，数据的泄密将直接影响导致相关机构（或人员）的经济利益；
 ⊙ 能够有效防止非授权用户接入证券公司信息系统；
 ⊙ 能够实现基于角色访问控制机制，防止非授权用户使用非授权资源；
 ⊙ 能够确认访问者的身份，对于访问进行跟踪记录，能识别假冒行为；
 ⊙ 能够有效隔离节点区域与服务器区域，阻止内部人员对服务器的攻击和误用；

 三、 解决方案
通过对证券系统的应用需求进行详细的分析，我们采用“中华卫士防火墙+中华卫士安全接入网关(SSL VPN)”来解决证券系统的网络安全问题。
1.中华卫士防火墙主要用来解决下列需求：
1) 网络区域划分
    • 证券公司内部办公网与外网在逻辑上进行隔离；
    • 证券公司DMZ区与办公内网、外网进行逻辑隔离，保护关键业务系统（如：交易/行情服务器、邮件服务器、WEB服务器等）；
    • 内网部门网络区域隔离，实现不同部门之间的访问控制，保护重要部门（如财务部）的信息安全
2) 访问控制
    • 通过防火墙策略，实现证券公司内部办公网对互联网的访问控制，避免关键系统和信息的外泄；
    • 通过防火墙策略，实现来自互联网对证券公司内网的访问控制，防止对内网的非法访问，保护内部重要业务系统和数据的安全；
3)入侵检测与攻击防御
    • 证券公司业务系统数据非常重要，不仅关系到公司自身业务，而且牵涉到广大股民的经济利益，因此，必须要保证相关业务数据的安全与可靠。面对来自网络中的各种入侵攻击，我们推荐使用中华卫士防火墙支持IDP（Intrusion Detection & Prevention，入侵检测和防御）技术，其在线的入侵防御模式不仅能准确地检测攻击，同时能够主动分析和阻止入侵。具备高效处理数据包能力，基于规则的管理保证了精确的控制，为网络安全提供更为出色的实时防护。
    • 证券公司网络中提供了许多应用服务，如行情/交易服务，邮件服务，WEB服务等，如果这些相关服务器遭受到来自网络中的的DOS/DDOS攻击，会带来不可预期的后果。对于此类攻击，我们推荐采用中华卫士防火墙的抗攻击功能，它能够抵挡常见的SYN攻击、UDP Flooding、ICMP Flooding、Tear DROP、UDP Scan、Smurf 等DOS/DDOS攻击，同时保证正常的通信数据不受影响。
4)VPN数据加密传输
   • 采用中华卫士的IPSec VPN功能，在证券公司总部与各个银行之间组建网关－网关的IPSec VPN，实现数据加密传输，保障机密数据的传输安全；
   • 采用中华卫士的IPSec VPN功能，在证券公司总部与各个银行营业部之间组建网关－网关的IPSec VPN，实现数据加密传输，保障证券公司关键数据的传输安全；
   • 采用中华卫士的PPTP/L2TP  VPN功能，实现大客户与证券公司之间的数据加密传输，加强对大客户的数据保障；
4)带宽管理
   • 采用中华卫士的带宽管理功能，实现对证券公司关键业务数据的带宽保障，保障核心业务信息的畅通；
   • 采用中华卫士的带宽管理功能，对证券公司内网流量和带宽进行合理有效的分配，避免对网络带宽资源的滥用。
2.中华卫士安全接入网关（SSL VPN）主要用来解决下列需求：
   • 能够有效防止非授权用户接入证券公司信息系统；
   • 能够实现基于角色访问控制机制，防止非授权用户使用非授权资源；
   • 能够确认访问者的身份，对于访问进行跟踪记录，能识别假冒行为；
   • 能够有效隔离节点区域与服务器区域，阻止内部人员对服务器的攻击和误用；
   • 能够实现用户个人文件的集中存储和备份；
   • 能够实现用户个人文件的安全交换；
   • 能够实现用户终端计算机的安全保护，增强Windows系统单机登录、离机保护、增强终端用户管理、增强关键应用程序保护和终端行为审计。

四、 产品部属

五、 应用效果
应用本方案后，证券系统达到了下列效果：
     ⊙ 中华卫士防火墙在各个边界保护了证券公司内网的安全，并实现各个安全区域的逻辑划分，并实施相应的访问控制策略；
     ⊙ 中华卫士防火墙实现了证券公司网络内外网之间的访问控制，确保内网关键数据信息的安全；
     ⊙ 中华卫士防火墙的抗攻击功能有效的抵制了DOS/DDOS等网络攻击行为，保障了证券公司网络信息的安全可靠；
     ⊙ 中华卫士防火墙内的VPN系统实现了证券公司与银行网络、营业部之间的加密传输，保障了关键数据的传输安全；
     ⊙ 中华卫士防火墙内的带宽管理功能，使证券公司能够合理分配网络资源，取保核心业务系统的信息畅通；