如何为基金用户设置安全的网上交易保护
摘 要:本文主要阐述了基金行业网上交易的安全问题,着重论述了网上交易的安全架构规划和数据安全传输两个议题。
关键词:网上交易安全;安全架构规划;数据安全传输;SSL
1.基金行业网上交易的发展背景
随着网络技术的发展、网民素质和数量的增加,购买基金的方式已经不仅仅局限于银行柜台、券商柜台等传统渠道,更多的投资人选择了网上买卖基金这种交易方式。各个基金公司为了方便投资者,也相继提供了方便、快捷的网上交易服务。
在网上交易快速发展的同时,安全性问题也日益突出。网络上病毒的传播、木马的肆虐、系统漏洞的攻击、钓鱼网站的欺诈等等,这些都给网上交易的安全带来巨大的风险,如何更好的保障广大投资者网上交易的安全性成为各个基金公司必须面对的问题。
2.基金行业网上交易的安全问题
提到安全问题,是个老生常谈的问题,涉及的方面非常多,从不同的角度出发,可以分成不同方面的问题。比如,既可以包括技术问题,又可以包括管理问题;既可以是客户端问题,也可以是服务端问题;既可以是投资者问题,也可以是基金公司问题等等。在这里,着重介绍基金公司方面的安全规划和数据安全传输两个问题。
2.1安全架构的规划
每个基金公司都有自己的安全架构规划,考虑的方面也不尽相同。但每个好的安全架构规划一定是结合其业务特点,并且考虑其网络安全特点形成的一套整体安全设计,既包括了网络数据访问的安全,也包括了业务应用访问的安全。常见的安全规划结构如下:
这张图中即包括了网络安全层面的考虑,也包括了应用安全层面的考虑,下面分别进行描述。
2.1.1 网络安全层面的特点
(1)防火墙多层异构方式部署
网上交易防火墙一般采用多层架构及异构方式的部署。最外面一层防火墙一般是网络防火墙,提供基本的外网网络层访问安全;中间一层防火墙一般是应用防火墙,提供应用层访问安全,可以阻止恶意目的的浏览器和HTTP攻击,可以防御大量的SQL注入攻击等;最内一层防火墙一般是网络防火墙,提供对核心应用即数据库的访问安全。这三层防火墙采用不同厂商的防火墙,实现防火墙异构,进一步保证网络的访问安全。
(2) 部署IDS和IPS对关键网段进行检测及防护
在防火墙后部署IDS和IPS设备,对关键的网段进行检测,提供入侵防御与检测功能。IDS及IPS最好选用不同厂商的设备,这样可以相互进行验证,减少误报率。同时定时跟踪及升级IDS及IPS特征库,保证能够对最新的安全问题进行防护。
(3) 部署负载均衡设备
考虑到基金网上交易的行情突发性,服务器承担的流量压力比较大,因此需要部署负载均衡设备。一方面扩展服务器带宽和增加吞吐量,加强网络数据处理能力,一方面提高网络的灵活性和可用性,方面系统容量的扩容。
2.1.2 应用安全层面的特点
应用层系统一般都采用多层体系架构,一般包括web服务器、应用服务器、数据库服务器等。
(1) web服务器
这里的Web服务器只解析HTTP协议。当Web服务器接收到一个HTTP请求,会返回一个HTTP响应,例如送回一个HTML页面, Web服务器不对事务进行处理或进行数据库连接。一般都采用IIS或者Apache系统。
为了保证web服务的可靠性,这里采用多台web服务器部署,通过负载均衡设备进行负载分担,为客户提供http访问服务。
(2) 应用服务器
它是网上交易平台的核心,负责完成对系统操作的处理和业务逻辑的处理;实现业务逻辑处理、业务流程控制等功能。应用程序服务器同时可以管理自己的资源,例如安全,事务处理,资源池,和消息处理。应用程序服务器配置了多种可扩展和容错技术。一般都采用weblogic或者websphere系统,同时以双机高可靠性方式部署。
(3) 数据库
这是网上交易系统中真正进行数据存储的层面。用户所有的访问及业务修改全部通过应用服务器写入数据库中。数据库一般采用oracle平台,部署高可靠性特性。
2.2数据安全传输的部署
考虑完安全规划方面的问题,接下来看看数据传输的安全问题,一般数据传输的安全都是通过SSL安全连接来实现的。结合上面的网络安全架构的规划,SSL的部署一般采用以下的方式部署:
(1) 客户端的SSL连接
客户从客户端访问基金公司的网上交易服务器,一般都采用了128位高强度的加密算法。服务器证书一般部署在第一道防火墙之后的负载均衡设备上。这样既保证了客户端的数据安全传输,也减低了对服务器的负载压力。
(2)服务器端的SSL连接
从第一道防火墙到服务器之间的数据是经过加密的数据,为了减少对服务器端的解密处理要求,一般在第二道防火墙对加密数据进行解密,解密后的数据再发给服务器。
3.基金行业网上交易的安全总结
网上交易做为基金行业快速发展的交易渠道,在给客户带来便利快捷的同时,也面临着诸多的安全问题。上面谈到的安全架构规划和数据安全传输仅仅是众多安全方面的一部分,其他安全问题,比如用户身份识别的方法和安全隐患、基金交易高峰期的系统安全处理能力的规划、如何防止基金网上支付终端对基金网上交易系统的安全攻击等等安全问题,可以参考其他相关论述。
上一篇:浅析计算机信息传输安全及防护技术
下一篇:浅谈计算机网络的未来发展趋势