法规要求交易时钟同步 ── 您的网络准备好了吗?
何金融机构的重点。如果网络时间容易遭到攻击,或会将网络其它部分在黑客面前暴露,则计时架构的准确性也无用武之地了。
幸好,现代NTP服务器实施的几种安全特征能够克服这些脆弱性。基本的安全特征包括访问控制清单和安全管理访问,例如,防止这些服务被用作未经授权使用或进入服务器的网络攻击向量。防止DDoS攻击的更值得注意的高级特征,则利用了完全基于硬件的时间戳和CPU带宽限制。
下表列出了最新NTP服务器中可以包括的安全特征。
适用于NTP服务器的安全特征
| 特征 | 功能 | 益处 |
| 具有硬件时间戳的NTP反射器 | 100%基于硬件的NTP时间戳运行 | 极高准确度和较高吞吐量的NTP运行 确保DoS攻击不会使NTP服务器崩溃 检测DoS攻击,从而能够通知系统管理员 限制非NTP流量的带宽 主要仅处理NTP包,不允许任何服务器管理访问 |
| 基于CPU的带宽限制 | 仅允许预定数量和类型的数据包到达NTP服务器CPU | 防止DoS攻击 |
| HTTPS/SSL | 对服务器及其网页界面之间的管理流量进行加密 | 防止数据盗取和窃听 |
| 密码访问 | 需要采用密码来管理服务器 | 确保仅允许授权管理访问 |
| NTP MD5验证 | 在客户端和服务器之间提供基于密钥的散列NTP数据包交换 | 确保NTP数据包不会被篡改,成为破坏时间服务器和时间客户端之间时间的一种方法 |
| NTP自动键 | 在客户端和服务器之间提供基于密钥的散列NTP数据包交换 | 确保NTP数据包不会被篡改,以破坏时间服务器和时间客户端之间的时间 |
| 访问控制清单 | 施加限制,规定只有管理人员清单的上的客户端可以访问管理界面和特征 | 防止未授权服务器使用或进入,以避免服务器被用作网络攻击向量 |
| TACACS+、RADIUS和LDAP验证 | 以业界领先的访问管理系统为基础,限制只有拥有证书的人员才可以管理服务器 | 把服务器作为网络访问管理系统的一部分,进行很好的管理(管理员不需现场管理每台设备的证书) |
选择合适的前进道路
采用网络时间服务器、原子时钟和软件实现硬件时间戳、GPS保持和漂移性能,可以满足甚至超出金融法规要求。但是,金融网络没有一个"放之四海而皆准"的解决方案。显然,金融机构必须重视网络时间准确度,其中他们的网络计时架构和审计时间同步基础设施具有长期影响。现在,随着监管时间要求日趋严格,做出正确的选择,将有助于实现永不过时的网络。