FlowEye系统在证券环境下的应用

近日，启明星辰国内首家发布了金融证劵业“安全域流监控系统”，产品英文名称是FlowEye，对新安全形势下的证劵业如何进行安全检测进行了全新的诠释。

证券系统环境在各个行业的信息系统中，有着较为独特的系统架构。主要特点表现为：

1、系统内的网络区域分隔较多。典型的区域存在办公网、交易网，在此基础上可能会存在集中交易内网区域、网上交易系统区域、登记结算系统区域、电子商务（互联网金融业务）系统区域等子区域。

2、大量使用双网卡主机。当前国内各大券商使用的集中交易系统、网上交易系统等核心业务系统基本由恒生与金证两家开发商垄断，由这两家开发商主导的系统架构中大量采用了双网卡主机，这样的架构形成了单个业务系统的独立区域，在早期很好的保障了系统的区域隔离，便于进行访问控制，同时满足证监会的监管要求。而在当前业务系统数量急剧增多，增值业务爆发，经营决策时的数据挖掘需求日益增长等因素影响下，同时跨越多个网络区域主机数量激增，形成了大量的多网卡主机。

3、业务系统间访问关系复杂且频繁。证券行业的业务逻辑较为复杂，各个业务部门之间的交互很多，这就决定了券商的业务系统之间的交互也非常多，而且交互关系复杂，例如：一个客户在券商开户时涉及的系统一般是登记结算系统，其个人信息录入登记结算系统后会被集中交易系统读取，而客户的每日交易记录生成于集中交易系统，而这些交易记录又会被报盘系统读取以报送沪市、深市交易所，交易信息也需要被监管类系统读取，同时交易信息又会被登记结算系统读取，以便登记结算系统用于和交易所做每日清算，而清算信息又需要通过三方存管系统与资金托管银行做结算、资金划转。这些相对复杂的业务逻辑导致各个信息系统之间的访问关系非常复杂而且频繁。

综上这些证券行业的特性可以明显的发现，当前券商的信息系统在安全域划分和访问控制措施落地这一环节上面临着巨大的困难，除少数券商能够利用搬迁改造等机会实现了安全域划分，大多数券商都难以实现安全域划分，而即便进行了安全域划分的，当前也难以将边界的访问控制策略准确落地，造成了所谓“有边无界”的尴尬状态。

FlowEye在券商系统环境中可以带来的客户价值是非常明显的，关键作用点包括：

1、域（系统）间和IP间访问关系梳理。当前券商的运维人员很难准确给出各个信息系统提供服务的地址端口及对外访问的地址端口，同样应用开发（维护）部门及开发商在此环节提供的支持也非常有限，因而通过FlowEye设备的持续监控可以最为准确的提供此类信息。从而支持用户进行安全域划分与边界访问控制措施的落地。

2、未知（盲区）资产发现。券商系统环境中由于资产数量众多，在系统上线、下线管理流程无法严格执行的情况下，网内会逐渐积累出现大量未知（盲区）资产，这类现象在券商逐渐采用虚拟化技术后越发明显。FlowEye设备在这个需求点上提供的功能非常适应于客户需求。

3、敏感操作监控审计。当前券商系统由于业务创新的需求压力，各个系统的功能扩展、版本更新非常频繁，信息部门对于系统的掌控程度在逐步下降，无法准确了解各个系统已知服务中包含的具体操作内容，在这个方向上的忧虑程度明显提升。因而，FlowEye设备对服务中包含的操作信息呈现能够很好的满足客户此类需求。

当前全球化趋势日益明显，信息化已成为经济发展的一大特征及趋势。证券行业是高度信息化行业，证券公司作为证券行业的主要参与者，其信息化发展亦是如此。中国证券公司发展的驱动力是证券信息技术的进步及其广泛应用，因此网络技术的应用，带来了中国证券公司的深刻变革。然而信息化之后证劵公司的信息安全问题更加突出。由于不正确的安全策略和安全机制以及缺乏先进的网络安全技术、工具、手段和产品等原因，网络黑客对网络的攻击越来越猛烈并屡屡得手，证券信息系统遭受非法破坏的事情屡有发生，证券公司面临的信息安全形势也越来越严峻。FlowEye产品应时而生，必将伴随中国的证劵发展，从信息安全保障的角度为证劵公司实现其组织机构的使命而保驾护航。