【正文】 P地址、應用操作系統(tǒng)的類型、開放哪些TCP/UDP端口號、系統(tǒng)保存用戶名和口令等安全信息的關鍵文件等，并通過相應攻擊程序?qū)?nèi)網(wǎng)進行攻擊。入侵者通過網(wǎng)絡監(jiān)聽等先進手段獲得內(nèi)部網(wǎng)用戶的用戶名、口令等信息，進而假冒內(nèi)部合法身份進行非法登錄，竊取內(nèi)部網(wǎng)重要信息。惡意攻擊:入侵者通過使用Dos（拒絕服務攻擊）對內(nèi)部網(wǎng)重要服務器進行攻擊，使得服務器超負荷工作以至拒絕服務甚至系統(tǒng)癱瘓。內(nèi)部局域網(wǎng)的安全威脅據(jù)調(diào)查在已有的網(wǎng)絡安全攻擊事件中約70%是來自內(nèi)部網(wǎng)絡的侵犯。比如內(nèi)部人員故意泄漏內(nèi)部網(wǎng)絡的網(wǎng)絡結(jié)構(gòu)；安全管理員有意透露其用戶名及口令；內(nèi)部員工惡意攻擊局域網(wǎng)中重要數(shù)據(jù)存放的服務器（例如數(shù)據(jù)庫服務器）；內(nèi)部人員惡意使用網(wǎng)絡資源，濫發(fā)垃圾郵件等等；內(nèi)部不懷好意員工編些破壞程序在內(nèi)部網(wǎng)上傳播或者內(nèi)部人員通過各種方式盜取他人涉密信息傳播出去。種種因素都將網(wǎng)絡安全構(gòu)成很大的威脅。系統(tǒng)的安全風險分析所謂系統(tǒng)安全通常是指網(wǎng)絡操作系統(tǒng)、應用系統(tǒng)的安全。目前的操作系統(tǒng)或應用系統(tǒng)無論是Windows還是其它任何商用Unix、Linux操作系統(tǒng)以及其它廠商開發(fā)的應用系統(tǒng)，其開發(fā)廠商必然有其BackDoor。而且系統(tǒng)本身必定存在安全漏洞。這些后門或安全漏洞都將存在重大安全隱患。但是從實際應用上，系統(tǒng)的安全程度跟對其進行安全配置及系統(tǒng)的應用面有很大關系，操作系統(tǒng)如果沒有采用相應的安全配置，則其是漏洞百出，掌握一般攻擊技術的人都可能入侵得手。如果進行安全配置，比如：填補安全漏洞，關閉一些不常用的服務，禁止開放一些不常用而又比較敏感的端口等，那么入侵者要成功進入內(nèi)部網(wǎng)就會難得多，這需要相當高的技術水平及相當長時間。因此應正確估價自己的網(wǎng)絡風險并根據(jù)自己的網(wǎng)絡風險大小作出相應的安全解決方案。應用的安全風險分析應用系統(tǒng)的安全涉及很多方面。應用系統(tǒng)是動態(tài)的、不斷變化的。應用的安全性也是動態(tài)的。這就需要我們對不同的應用，檢測安全漏洞，采取相應的安全措施，降低應用的安全風險。資源共享證券網(wǎng)絡內(nèi)部擁有自動化辦公系統(tǒng)。而辦公網(wǎng)絡應用通常是共享網(wǎng)絡資源，比如文件共享、打印機共享等。由此就可能存在著：員工有意、無意把硬盤中重要信息目錄共享，長期暴露在網(wǎng)絡鄰居上，可能被外部人員輕易偷取或被內(nèi)部其他員工竊取并傳播出去造成泄密，因為缺少必要的訪問控制策略。電子郵件系統(tǒng)電子郵件為網(wǎng)系統(tǒng)用戶提供電子郵件應用。內(nèi)部網(wǎng)用戶可夠通過拔號或其它方式進行電子郵件發(fā)送和接收這就存在被黑客跟蹤或收到一些特洛伊木馬、病毒程序等，由于許多用戶安全意識比較淡薄，對一些來歷不明的郵件，沒有警惕性，給入侵者提供機會，給系統(tǒng)帶來不安全因至素。病毒侵害網(wǎng)絡是病毒傳播的最好、最快的途徑之一。病毒程序可以通過網(wǎng)上下載、電子郵件、使用盜版光盤或軟盤、人為投放等傳播途徑潛入內(nèi)部網(wǎng)。因此，病毒的危害的不可以輕視的。網(wǎng)絡中一旦有一臺主機受病毒感染，則病毒程序就完全可能在極短的時間內(nèi)迅速擴散，傳播到網(wǎng)絡上的所有主機，可能造成信息泄漏、文件丟失、機器死機等安全事件。數(shù)據(jù)信息數(shù)據(jù)安全對證券行業(yè)來說尤其重要，數(shù)據(jù)在廣域網(wǎng)線路上傳輸，很難保證在傳輸過程中不被非法竊聽、竊取和篡改。現(xiàn)今借助很多先進技術，黑客或一些工業(yè)間諜會設法在線路上做些手腳，獲得在網(wǎng)上傳輸?shù)臄?shù)據(jù)信息，也就造成了泄密。這對證券行業(yè)的用戶來說，是決不允許的。管理的安全分析內(nèi)部管理人員或員工把內(nèi)部網(wǎng)絡結(jié)構(gòu)、管理員用戶名及口令以及系統(tǒng)的一些重要信息傳播給外人帶來信息泄漏風險。機房重地卻是任何都可以進進出出，來去自由。存有惡意的入侵者便有機會得到入侵的條件。內(nèi)部不滿的員工有的可能熟悉服務器、小程序、腳本和系統(tǒng)的弱點。利用網(wǎng)絡開些小玩笑，甚至破壞。如傳出至關重要的信息、錯誤地進入數(shù)據(jù)庫、刪除數(shù)據(jù)等等。這些都將給網(wǎng)絡造成極大的破壞。管理是網(wǎng)絡中安全得到保證的重要組成部分，是防止來自內(nèi)部網(wǎng)絡入侵必須的部分。責權(quán)不明，管理混亂、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的風險。即除了從技術上下功夫外，還得依靠安全管理來實現(xiàn)。第三節(jié) 證券行業(yè)網(wǎng)絡安全需求分析證券行業(yè)網(wǎng)絡安全需求總體分析：證券行業(yè)對安全產(chǎn)品有比較深刻的認識，對網(wǎng)絡安全的重要性也有深刻理解，行業(yè)網(wǎng)絡安全要求非常高。由于目前中國的證券業(yè)普遍沒有手工報單的業(yè)務，所有交易是電子化的，因此一旦網(wǎng)絡和計算機出故障，整個交易就會癱瘓。曾經(jīng)有些證券公司就出現(xiàn)過由于病毒泛濫造成的交易中止的情況，不僅經(jīng)濟損失慘重，而且證券公司的信譽也遭受了很大打擊。由于證券行業(yè)擁有眾多的營業(yè)所和分部，公司對接入總部的用戶需要做比較嚴格的控制和監(jiān)視。在通過撥號服務器進行的訪問中，公司需要可以對撥上來的用戶進行時間、數(shù)據(jù)流量和其他訪問細節(jié)進行審計和控制。由于網(wǎng)絡入侵和攻擊會對證券系統(tǒng)和網(wǎng)絡產(chǎn)生毀滅性的打擊，由于證券行業(yè)的網(wǎng)絡帶寬普遍較高，網(wǎng)絡設備很先進，數(shù)據(jù)流也比較大，故高效先進的入侵檢測設備是證券行業(yè)網(wǎng)絡所必須配備的。遠程移動人員的辦公需要接入公司局域網(wǎng)內(nèi)部，由于這部分數(shù)據(jù)在公網(wǎng)上傳送，需要進行加密傳輸，因此VPN的應用擺在眼前。證券網(wǎng)絡對于證券業(yè)務非常關鍵，因此整個網(wǎng)絡的性能和工作狀態(tài)必須實時地反映給網(wǎng)絡管理人員，擁有功能強大、操作簡便的網(wǎng)絡管理軟件是非常必要的。對于各個網(wǎng)絡設備（路由器、交換機等等）來說，可以配置和實時狀態(tài)檢測的網(wǎng)管軟件也勢在必行。證券公司普遍使用Windows環(huán)境，可以通過域（Active Directory）規(guī)劃，通過域用戶的認證達到比較好的權(quán)限分配，達到網(wǎng)絡的合理合法應用。分析后，歸納出如下的網(wǎng)絡安全子需求：訪問控制訪問控制是對用戶進行文件和數(shù)據(jù)操作權(quán)限的限制，主要防范用戶的越權(quán)訪問。證券公司應根據(jù)信息機密級別和信息重要性劃分安全域，在安全域與安全域之間用安全保密設備進行隔離和訪問控制；同一安全域中根據(jù)信息的密級和信息重要性進行分割和訪問控制。通常將證券公司的重要服務器所在的子網(wǎng)和重要的業(yè)務工作子網(wǎng)分別劃分為單獨的安全域。當局域網(wǎng)與遠程網(wǎng)絡連接時，通常在局域網(wǎng)與遠程網(wǎng)絡之間的接口處配置安全保密產(chǎn)品 （如防火墻、保密網(wǎng)關等）進行網(wǎng)絡邊界安全保護，并采取數(shù)據(jù)加密設備（如VPN、DDN機密機、PSTN加密機等）保證信息遠程傳輸?shù)陌踩?。處理秘密級、機密級信息的涉密服務器，訪問應當按照用戶類別、信息類別控制，訪問必須控制到單個用戶、單個文件。應保證訪問控制規(guī)則設置的安全。對于涉密信息的細粒度訪問控制，通常針對不同的應用系統(tǒng)，結(jié)合訪問控制軟件和身份鑒別措施來實現(xiàn)。入侵檢測入侵檢測是對入侵行為的檢測和控制。它通過監(jiān)視計算機網(wǎng)絡或計算機系統(tǒng)的運行，從中發(fā)現(xiàn)網(wǎng)絡或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象，一旦發(fā)現(xiàn)攻擊能夠發(fā)出報警并采取相應的措施，如阻斷、跟蹤和反擊等。同時，記錄受到攻擊的過程，為網(wǎng)絡或系統(tǒng)的恢復和追查攻擊的來源提供基本數(shù)據(jù)。計算機病毒防治由于在網(wǎng)絡環(huán)境下，計算機病毒有不可估量的威脅性和破壞力。我們都知道，證券網(wǎng)絡系統(tǒng)中使用的操作系統(tǒng)大部分為WINDOWS系統(tǒng)，比較容易感染病毒。因此計算機病毒的防范也是網(wǎng)絡安全建設中應該考濾的重要的環(huán)節(jié)之一。我們從預防病毒、檢測病毒和殺毒考慮證券網(wǎng)絡的網(wǎng)絡安全。下面總結(jié)出一系列行之有效的計算機病毒防護措施供參考。新購置的計算機硬軟件系統(tǒng)的測試新購置的計算機是有可能攜帶計算機病毒的。因此，在條件許可的情況下，要用檢測計算機病毒軟件檢查已知計算機病毒，用人工檢測方法檢查未知計算機病毒，并經(jīng)過證實沒有計算機病毒感染和破壞跡象后再使用。新購置計算機的硬盤可以進行檢測或進行低級格式化來確保沒有計算機病毒存在。對硬盤只在DOS下做FORMAT格式化是不能去除