西電捷通參與開發(fā)建設(shè)的銀河證券內(nèi)網(wǎng)隔離安全系統(tǒng)通過專家驗收,作為銀河證券網(wǎng)絡(luò)系統(tǒng)安全加固的一部分,西電捷通的TISec系統(tǒng)能夠有效地對用戶內(nèi)網(wǎng)進(jìn)行安全隔離,實(shí)現(xiàn)網(wǎng)絡(luò)訪問的身份鑒別和數(shù)據(jù)加密傳輸,同時滿足網(wǎng)絡(luò)安全策略的建設(shè)。
銀河證券的業(yè)務(wù)網(wǎng)與辦公網(wǎng)采用邏輯隔離,面臨多種安全威脅,辦公網(wǎng)設(shè)備可以自由地訪問互聯(lián)網(wǎng),不受控的辦公網(wǎng)設(shè)備可能為整個網(wǎng)絡(luò)環(huán)境引入內(nèi)部和外部威脅,同時辦公網(wǎng)設(shè)備無身份鑒別保護(hù)。引入IP網(wǎng)絡(luò)設(shè)備鑒別及保密傳輸系統(tǒng),用于解決業(yè)務(wù)網(wǎng)和辦公網(wǎng)邏輯隔離部署帶來的安全問題,為辦公設(shè)備提供身份鑒別機(jī)制、數(shù)據(jù)傳輸安全保護(hù)及訪問控制能力,從而防止辦公網(wǎng)設(shè)備對業(yè)務(wù)網(wǎng)絡(luò)帶來的安全隱患。TISec服務(wù)器跨接于業(yè)務(wù)核心交換與辦公設(shè)備接入之間,能夠?qū)k公設(shè)備的接入進(jìn)行身份鑒別并提供訪問控制服務(wù)。辦公設(shè)備安裝的TISec客戶端采用硬件Key存儲鑒別憑證,鑒別通過后所有的通信都受TISec服務(wù)器策略控制。TISec服務(wù)器采用橋模式跨接于核心交換與辦公終端接入交換機(jī)之間,原有設(shè)備的配置無需改動,安全加固對于最終用戶透明。
TISec服務(wù)器能夠提供用戶所需的自主和強(qiáng)制訪問控制功能,對每個辦公終端所訪問的內(nèi)容進(jìn)行限定,控制單個終端所能訪問辦公資源的范圍和能力,若結(jié)合用戶已有的應(yīng)用層的安全策略,可整體上為用戶建立多層次、多技術(shù)相結(jié)合的立體網(wǎng)絡(luò)安全防御體系,達(dá)到了增加防御縱深的目的,從而實(shí)現(xiàn)全面提升整體系統(tǒng)的安全健壯性的目標(biāo)。
IP網(wǎng)絡(luò)設(shè)備鑒別及保密傳輸系統(tǒng)的引入將會解決用戶關(guān)鍵業(yè)務(wù)對網(wǎng)絡(luò)復(fù)雜部署形態(tài)的依賴,與原網(wǎng)絡(luò)的安全策略進(jìn)行融合,最大限度保護(hù)用戶的原有投資,整體系統(tǒng)導(dǎo)入簡單、透明,降低學(xué)習(xí)成本和管理成本。TISec產(chǎn)品的安全解決方案通過銀河證券的安全評測和驗收,為TISec擴(kuò)展到證券應(yīng)用起到示范作用。
銀河證券系統(tǒng)中部署的TISec產(chǎn)品符合TePA三元對等架構(gòu)國際標(biāo)準(zhǔn)ISO/IEC 9798-3:1998/Amd.1:2010、TePA-AC國家標(biāo)準(zhǔn)GB/T 28455-2012。符合國家密碼管理局商用密碼管理要求,滿足信息安全產(chǎn)品等級保護(hù)三級技術(shù)要求,并通過了公安部信息安全產(chǎn)品檢測中心檢驗。附圖為TISec解決方案部署圖。