证券行业客户托管区安全解决方案-深信服

需求背景

证券期货托管用户通过VPN或者其他方式访问托管的服务器。在托管服务器内，会运行交易客户端，执行自动化交易策略。利用与交易所直连的良好链路第一时间捕捉市场行情完成交易订单。

业务需求

低延时，由于网络延时情况直接影响终端客户的交易收益，因此证券托管用户都对低延时有很高的要求。

节省机柜空间

对于证券公司来说，优质机柜空间有限。提升单台机柜资源利用率可以提升证券公司整体效益。

满足看穿式监管

监管要求能够采集到客户端的终端信息，部分使用虚拟化或云主机交易的用户无法满足看穿式要求。

下一代防火墙

互联网线路接入，具备传统防火墙、入侵防护、Web应用防护、防病毒、联动防御等功能。

托管服务器超融合

普通标准X86服务器+交换机，实现传统数据中心的所有功能。

虚拟化低延时

由于虚拟化网卡经过虚拟化后，时延相对较高，目前比较主流的方法是通过SRIOV技术来将物理网卡虚拟出来的PF、VF映射到虚拟机来降低时延。而低延时网卡结合VMA方案可以绕过内核协议栈直接操作网卡来进行收发包操作，因此可以进一步降低网络的交互时延。

SSL VPN

托管用户通过SSL VPN方式远程登录其托管服务器，具备加密传输、双因素认证、硬件特征码绑定、权限控制等安全功能。

堡垒机

托管用户远程接入运维操作留痕审计。

NTA

全流量感知系统，托管用户外部接入至交易前置完整镜像流量分析，安全态势感知。

构建安全的远程接入环境，摒弃原互联网直接映射访问，并可对接入终端的安全基线进一步核查和准入，同时提供终端的硬件特征码绑定，和多种方式的认证。

构建事前风险预知道，事中立体联动防御，和事后及时发现及止损的动态安全防护体系。对托管业务资产漏洞、风险做到预知，基于威胁的全面动态能力，实现L2-L7层防护，形成网络边界、业务内网闭环的防护能力，NTA全流量威胁检测，发现问题联动防火墙、VPN实现实时阻断威胁，并给出安全建设建议。

为证券托管用户提供了虚拟化环境下的低延时解决方案，降低了证券公司和其客户的IT运营成本，提升了机柜和硬件服务器的利用率，增大了投入产出比。