近年來，國內證券行業獲得了迅猛的發展，在國民經濟中起著越來越重要的作用。當前，國內各證券公司已建成了全電子化的交易系統，覆蓋了投資者開戶、訂單報送、交易撮合、市場監察、銀證轉賬、清算交收等全部環節，為資本市場的快速發展提供了有力的支持，也適應了我國證券市場中小投資者多、覆蓋地域廣、換手率高等特點。

隨著互聯網的普及，基于Web架構的網上交易逐漸成為一種先進、便捷、實用的交易方式，目前，證券市場中60%以上的交易訂單都通過網上交易實現，有的交易機構網上交易的比例甚至已經達到90%以上。其中，占證券公司總收入50%以上的證券經紀業務，更是高度依賴電子交易系統。因此，如何能為用戶提供穩定、快捷的交易平臺，同時保障用戶信息的機密性，吸引更多用戶加盟，對證券公司業務的發展至關重要。從社會角度來看，電子交易系統的安全穩定運行也是整個證券市場穩定發展的關鍵因素，因此也受到國家相關部門的高度重視。

圖1證券公司一般網絡結構

對證券公司一般網絡結構（如圖1）分析后發現，網上交易平臺通過互聯網向用戶提供網上交易、實時行情、投資分析等服務；辦公網內的用戶通過互聯網獲取各種資源，因此網上交易平臺和辦公網成為整個網絡中風險級別最高的兩個點。

作為一種基于Web架構的應用，網上交易平臺面臨的風險主要包括拒絕服務攻擊、緩沖區溢出攻擊、Web應用攻擊、SQL注入攻擊及XSS跨站腳本攻擊等。針對HTTP的拒絕服務攻擊（如CC攻擊等），將嚴重影響Web站點的正常訪問，使合法用戶不能得到響應，使用戶的買賣無法及時完成；而緩沖區溢出攻擊帶來的后果則主要是蠕蟲病毒的泛濫，更嚴重的攻擊甚至可能導致整個系統被控制，重要的用戶信息及交易信息遭到竊取，系統的穩定運行被破壞。與這兩種攻擊方式相比，更為嚴重的是SQL注入和XSS攻擊。SQL注入和XSS攻擊可以上傳木馬、篡改頁面、竊取用戶信息、甚至完全控制被攻擊主機，但由于這兩種攻擊方式攻擊過程復雜，因此防范十分困難。

針對網絡中另一個高危險的點——辦公網，面臨的主要問題來自安全管理。因為內網中人員、應用繁多，P2P的泛濫嚴重侵蝕著有限的網絡帶寬；即時通訊軟件（IM）與虛擬隧道成為了信息泄露的重要途徑；在線網絡游戲嚴重降低了工作效率。因此，在防范來自外網的蠕蟲、木馬、后門等攻擊的同時，同樣要關注內網上網行為的管理。

作為國內信息安全廠商，聯想網御傾力打造入侵防護系統，采用了自主研發的VSP通用安全平臺和USE統一檢測引擎，將ASIC硬件檢查、深度內容檢測、安全防護、上網行為管理等技術完美地結合在一起，在有效防范外網攻擊的同時，可以對內網上網行為進行細粒度的訪問控制。因此，對證券行業用戶而言，在網上交易服務器前及辦公網的網絡出口處各部署一臺聯想網御入侵防護系統（Power V IPS）便可以有效解決上述多種安全問題，真正實現“攘外也安內”的安全防護效果。（如圖2）

圖2Power V IPS部署示意圖

在防范DoS及DDoS攻擊方面，聯想網御入侵防護系統并非單純以總量計算數據包的方式統計，而是針對每個源IP在單位時間內符合報文特征的次數，綜合進行判斷，因此可以有效防范CC攻擊，以確保合法用戶順利訪問Web站點。

針對緩沖區溢出攻擊，聯想網御入侵防護系統提供“虛擬補丁”技術，聯想網御的技術專家團隊及時跟蹤網絡中各種系統、軟件存在的bug，第一時間提供檢測特征碼，為用戶網絡提供一個虛擬的安全補丁，防范大部分的零日攻擊。

針對Web應用攻擊，聯想網御入侵防護系統提供了單獨的Web攻擊特征組，對Web應用軟件、應用系統存在的漏洞等進行有針對性的防護。針對SQL注入和XSS攻擊，聯想網御定義了協議自動機（Protocol Automaton，簡稱PA)，用于定義和描述一個特定的網絡攻擊和應用行為，通過PA技術，聯想網御能有效防范SQL注入/XSS攻擊。聯想網御PA技術的主要優勢有以下幾個方面：首先，為每類典型攻擊行為制作了協議模型，這些模型具有通用性，可以涵蓋類型廣泛的攻擊；其次，鑒于SQL注入/XSS的簽名較短的特點，聯想網御在PA技術的基礎上還利用了時序和交叉驗證技術，這樣可以大大提高識別的準確率，最大程度的減少誤報。除此以外，聯想網御還具有完全自主知識產權的IPS引擎和簽名，根據PA的狀態遷移，分層分級進行不同的簽名驗證，只對必要數據進行分析和比對，在保證準確率的同時最大程度上減小了對用戶網絡數據的干擾，保證網絡的訪問質量。

針對辦公網的防護，聯想網御入侵防御系統以內網上網行為管理的細粒度訪問控制為主，有效規范了上網行為，提升了網絡使用的效率。

采用基于協議自動機的流量識別技術，聯想網御入侵防護系統能夠基于軟件應用和內容識別出P2P應用，并對P2P下載進行攔截、限流，以優化網絡資源；此外，可針對加密型或非加密型即時通訊軟件進行管理及攔截，根據不同需求，進行多層次控制，不僅可禁止實時聊天程序，還可對即時通訊軟件的登陸、聊天、傳輸文件、實時語音、實時視頻等進行分項管理。 聯想網御入侵防護系統還支持對多種流行虛擬隧道軟件進行檢測，通過限制隧道連接，讓非法加密隧道無立身之地，針對日益廣泛的在線游戲軟件，也能進行有效監控，支持對多種流行的在線游戲實現阻斷管理，從而提高企業的整體工作效率。