【正文】 。（1） 體系性：制定完整的?安全體系，應包括安全?管理體系、安全技術體?系和安全保?障體系。（2） 系統(tǒng)性：安全模塊和?設的引入應?該體現其系?統(tǒng)統(tǒng)一到運?行和管理的?特性，以確保安全?策略配置、實施的正確?性和一致性?。應該避免安?全設備各自?獨立配置和?管理 的工作方式?。（3） 層次性安全?設計應該按?照相關應用?安全需求，在各個層次?上采用的安?全機制來實?現所需的安?全服務，從而達到網?絡信息安全?的目的。（4） 綜合性：網絡信息安?全 的設計包括?從完備性（并有一定冗?余）、先進性和可?擴展性方面?的技術方案?，以及根據技?術管理、業(yè)務管理和?行政管理要?求相應的安?全管理方案?，形成網絡安?全工程設計?整體方案，供工程分階?段實施和安?全系統(tǒng)運行?作為指導。（5） 動態(tài)性：由于網絡信?息系統(tǒng)的建?設和發(fā)展是?逐步進行的?，而安全技術?和產品也不?斷更新和完?善，因此，安全設計應?該在保護現?有資源的基?礎上，體現最新、最成熟的安?全技術和產?品，以滿足網絡?安全系統(tǒng)安?全目標。、安全體系結?構根據上述安?全策略，整體安全體?系中網絡安?全工程必須?實施：安全防護、檢測、響應系統(tǒng)，安全體系結?構如下表。另外，根據實際安?全需求，建議有選擇?的實施安全?恢復系統(tǒng)。本次解決方?案的安全體?系結構參照?中國證券機?構營業(yè)部信?息系統(tǒng)技術?管理規(guī)范來?制定的，見下表： 對象層次安全措施分?類安全措施與?技術操作管理安?全安全防護安全操作規(guī)?范安全操作控?制系統(tǒng)安全檢測操作安全檢?測操作安全審?計安全響應操作安全預?警操作安全監(jiān)?控應用系統(tǒng)安?全安全防護業(yè)務應用安?全級別劃分?與訪問控制?業(yè)務系統(tǒng)授?權與訪問權?限控制業(yè)務系統(tǒng)用?戶身份認證?密鑰和證書?管理技術資料的?管理數據真實性?、完整性數字簽名病毒防殺安全檢測應用系統(tǒng)安?全檢測業(yè)務?應用安全審?計病毒檢查安全響應安全預警安全監(jiān)控權限變更密鑰更新證書發(fā)放和?撤消系統(tǒng)平臺安全防護病毒防殺安全檢測系統(tǒng)安全掃?描與檢測安全審計病毒檢查安全響應安全預警安全監(jiān)控操作系統(tǒng)補?丁網絡平臺安全防護網絡級身份?認證與訪問?控制（加密與防火?墻）安全網絡結?構安全網絡管?理與配置信息傳輸加?密與網絡安?全隔離虛網劃分安全檢測網絡安全掃?描網絡入侵檢?測安全審計安全響應網絡安全監(jiān)?控網絡安全預?警物理安全防護防電磁輻射?泄漏防雷防火主機硬件保安電源設備管理安全檢測電磁輻射檢?測機房保安檢?測系統(tǒng)環(huán)境建設檢?查管理檢查安全響應電磁干擾消防報警安全防范技?術 網絡隔離技?術 訪問控制技?術 加密技術 鑒別技術 數字簽名技?術 入侵監(jiān)測技?術 信息審計技?術 安全評估技?術 病毒防治技?術 備份與恢復?技術網絡整體解?決方案、安全體系 按照安全策?略的要求及?風險分析的?結果，證券網絡公?司網絡安全?措施應根據?證券網絡的?行業(yè)特點以?及符合證監(jiān)?會的證券經?營機構信息?系統(tǒng)安全指?標體系，按照網絡安?全的整體構?想來建立，具體的安全?控制系統(tǒng)由?以下幾方面?組成： 、物理安全 保證計算機?信息系統(tǒng)各?種設備的物?理安全是整?個計算機信?息系統(tǒng)安全?的前提。物理安全是?保護計算機?網絡設備、設施以及其?它媒體免遭?地震、水災、火災等環(huán)境?事故以及人?為操作失誤?或錯誤及各?種計算機犯?罪行為導致?的破壞過程?。它主要包括?三個方面：環(huán)境安全：對系統(tǒng)所在?環(huán)境的安全?保護，如區(qū)域保護?和災難保護?；（參見國家標?準GB50?173－93《電子計算機?機房設計規(guī)?范》、國標GB2?887－89《計算站場地?技術條件》、GB936?1－88《計算站場地?安全要求》）。設備安全：主要包括設?備的防盜、防毀、防電磁信息?輻射泄漏、防止線路截?獲、抗電磁干擾?及電源保護?等；媒體安全：包括媒體數?據的安全及?媒體本身的?安全。、系統(tǒng)安全系統(tǒng)安全主?要關注網絡?系統(tǒng)、操作系統(tǒng)和?應用系統(tǒng)三?個層次。 系統(tǒng)安全采?用的技術和?手段有冗余?技術、網絡隔離技?術、訪問控制技?術、身份鑒別技?術、加密技術、監(jiān)控審計技?術、安全評估技?術等。、網絡系統(tǒng) 網絡系統(tǒng)安?全是網絡的?開放性、無邊界性、自由性造成?，安全解決關?鍵是把被保?護的網絡從?開放、無邊界、自由的環(huán)境?中獨立出來?，使網絡成為?可控制、管理的內部?系統(tǒng)，由于網絡系?統(tǒng)是應用系?統(tǒng)的基礎，網絡安全成?為首要問題?，解決網絡安?全主要方式?有： 網絡冗余 解決網絡系?統(tǒng)單點故障?的重要措施?，對關鍵性的?網絡線路、設備我們通?常采用雙備?或多備份的?方式，網絡運行時?雙方對運營?狀態(tài)相互實?時監(jiān)控并自?動調整，當網絡的一?段或一點發(fā)?生故障或網?絡信息流量?突變時能在?有效時間內?進行切換分?配，保證網絡正?常的運行。系統(tǒng)隔離 分為物理隔?離和邏輯隔?離，主要從網絡?安全等級考?慮劃分合理?的網絡安全?邊界，使不同安全?級別的網絡?或信息媒介?不能相互訪?問，從而達到安?全目的。針對證券網?絡系統(tǒng)特點?一般把證券?交易的業(yè)務?系統(tǒng)網絡與?內部辦公網?絡進行嚴格?的物理隔離?，存儲媒介則?根據重要程?度嚴格區(qū)分?并只能通過?第三方進行?交換；對業(yè)務網絡?或辦公網絡?采用VLA?N技術和通?信協(xié)議實行?邏輯隔離劃?分不同的應?用子網。訪問控制 對于網絡不?同信任域實?現雙向控制?或有限訪問?原則，使受控的子?網或主機訪?問權限和信?息流向能得?到有效控制?。具體相對網?絡對象而言?需要解決網?絡的邊界的?控制和網絡?內部的控制?，對于網絡資?源來說保持?有限訪問的?原則，信息流向則?可根據安全?需求實現單?向或雙向控?制。訪問控制最?重要的設備?就是防火墻?，它一般安置?在不同安全?域出入口處?，對進出網絡?的IP信息?包進行過濾?并按企業(yè)安?全政策進行?信息流控制?，同時實現網?絡地址轉換?、實時信息審?計告警等功?能，高級防火墻?還可實現基?于用戶的細?粒度的訪問?控制。證券系統(tǒng)的?防火墻配置?在證券公司?交易系統(tǒng)與?公網的交界?處（包括INT?ERNET?、系統(tǒng)內部廣?域網、相關業(yè)務網?絡）和公司重要?的子網出口?。身份鑒別 是對網絡訪?問者權限的?識別，一般通過三?種方式驗證?主體身份，一是主體了?解的秘密，如用戶名、口令、密鑰；二是主體攜?帶的物品，如磁卡、IC卡、動態(tài)口令卡?和令牌卡等?；三是主體特?征或能力，如指紋、聲音、視網膜、簽名等，在證券網絡?系統(tǒng)中，前兩種方式?運用較多。加密 為了防止網?絡上的竊聽?、泄漏、篡改和破壞?，保證信息傳?輸安全，對網上數據?使用加密手?段是最為有?效的方式。目前加密可?以在三個層?次來實現，即鏈路層加?密、網絡層加密?和應用層加?密。鏈路加密側?重通信鏈路?而不考慮信?源和信宿，他對網絡高?層主體是透?明的。網絡層加密?采用IPS?EC核心協(xié)?議，具有加密、認證雙重功?能，是在IP層?實現的安全?標準。通過網絡加?密可以構造?企業(yè)內部的?虛擬專網（VPN），使企業(yè)在較?少投資下得?到安全較大?的回報。安全監(jiān)測 采取信息偵?聽的方式尋?找未授權的?網絡訪問嘗?試和違規(guī)行?為，包括網絡系?統(tǒng)的掃描、預警、阻斷、記錄、跟蹤等，從而發(fā)現系?統(tǒng)遭受的攻?擊傷害。網絡掃描監(jiān)?測系統(tǒng)作為?對付電腦黑?客最有效的?技術手段，具有實時、自適應、主動識別和?響應等特征?，廣泛用于各?行各業(yè)。網絡掃描 針對網絡設?備的安全漏?洞進行檢測?和分析，包括網絡通?信服務、路由器、防火墻、郵件、WEB服務?器等，從而識別能?被入侵者利?用非法進入?的網絡漏洞?。網絡掃描系?統(tǒng)對檢測到?的漏洞信息?形成詳細報?告，包括位置、詳細描述和?建議的改進?方案，使網管能檢?測和管理安?全風險信息?。、操作系統(tǒng) 操作系統(tǒng)是?管理計算機?資源的核心?系統(tǒng)負責信?息發(fā)送、管理設備存?儲空間和各?種系統(tǒng)資源?的調度，它作為應用?系統(tǒng)的軟件?平臺具有通?用性和易用?性，操作系統(tǒng)安?全性直接關?系到應用系?統(tǒng)的安全，操作系統(tǒng)安?全分為應用?安全和安全?漏洞掃描。應用安全 面向應用選?擇可靠的操?作系統(tǒng)并按?正確的操作?流程使用計?算機系統(tǒng)，杜絕使用來?歷不明的軟?件，安裝操作系?統(tǒng)保護與恢?復軟件并作?相應的備份?。系統(tǒng)掃描 基于主機的?安全評估系?統(tǒng)是在嚴格?的基礎上對?系統(tǒng)的安全?風險級別進?行劃分，并提供完整?的安全漏洞?檢查列表，通過不同版?本的操作系?統(tǒng)進行掃描?分析，對掃描漏洞?自動修補形?成報告，保護應用程?序、數據免受盜?用、破壞。、應用系統(tǒng) 證券行業(yè)應?用系統(tǒng)大體?分為辦公系?統(tǒng)、業(yè)務管理系?統(tǒng)、業(yè)務服務系?統(tǒng)，證券應用系?統(tǒng)安全除采?用通用的安?全手段外主?要根據企業(yè)?自身經營及?管理需求來?開發(fā)。辦公系統(tǒng) 文件(郵件)的安全存儲?：利用加密手?段，配合相應的?身份鑒別和?密鑰保護機?制（IC卡、PCMCI?A 安全PC卡?等），使得存儲于?本機和網絡?服務器上的?個人和單位?重要文件處?于安全存儲?的狀態(tài)，使得他人即?使通過各種?手段非法獲?取相關文件?或存儲介質?（硬盤等），也無法獲得?相關文件的?內容。 文件（郵件）的安全傳送?：對通過網絡?（遠程或近程?）傳送給他人?的文件進行?安全處理（加密、簽名、完整性鑒別?等），使得被傳送?的文件只有?指定的收件?者通過相應?的安全鑒別?機制（IC卡、PCMCI?A PC 卡）才能解密并?閱讀，杜絕了文件?在傳送或到?達對方的存?儲過程中被?截獲、篡改等，主要用于信?息網中的報?表傳送、公文下發(fā)等?。業(yè)務系統(tǒng) 主要面向業(yè)?務管理和信?息服務的安?全需求，例如在證券?交易管理中?采取集中統(tǒng)?一的監(jiān)管系?統(tǒng)，對業(yè)務流實?時進行監(jiān)控?、統(tǒng)計、分析、查詢，防止違規(guī)操?作，化解安全風?險；對通用信息?服務系統(tǒng)（電子郵件系?統(tǒng)、WEB信息?服務系統(tǒng)、FTP服務?系統(tǒng)等）采用基于應?用開發(fā)安全?軟件，如安全郵件?系統(tǒng)、WEB頁面?保護；對業(yè)務信息?可以配合管?理系統(tǒng)采取?對信息內容?的審計稽查?，防止外部非?法信息侵入?和內部敏感?信息泄漏。、交易安全 目前證券交?易方式主要?分為營業(yè)部?柜臺交易、電話交易、網上交易，前兩種交易?方式安全系?數較高，而網上交易?主要通過公?網完成交易?的全過程，由于公網的?開放性和復?雜性，使網上交易?風險大大高?于前者。幾乎所有參?加網上證券?交易的證券?公司采用的?是TCP/IP標準協(xié)?議，應用系統(tǒng)都?是基于C/S或B/S（瀏覽器/服務器）結構，由于交易發(fā)?生在兩地，雙方缺乏可?靠的安全機?制保證各自?的利益，針對網上證?券交易的風?險和特點，保障交易安?全通常采用?授權、身份鑒別、信息加密、完整性校驗?、信息審計、防重發(fā)、防抵賴等安?全機制，具體實現主?要依靠基于?PKI（公開密鑰密?碼設施）體系現代密?碼技術及在?此基礎上開?發(fā)應用的電?子商務認證?加密系統(tǒng)（CA）。交易安全標?準 目前在電子?商務中主要?的安全標準?有兩種：應用層的S?ET（安全電子交?易）和會話層S?SL（安全套層）協(xié)議。前者由信用?卡機構VI?SA及Ma?sterC?ard提出?的針對電子?錢包/商場/認證中心的?安全標準，主要用于銀?行等金融機?構；后者由NE?TSCAP?E公司提出?針對數據的?機密性/完整性/身份確認/開放性的安?全協(xié)議，事實上已成?為WWW應?用安全標準?，也是證券網?上交易的標?準安全協(xié)議?。交易安全基?礎體系 交易安全基?礎在于現代?密碼技術，依賴于加密?方法和強度?。加密分為單?密鑰的對稱?加密體系和?雙密鑰的非?對稱加密體?系。兩者各有所?長，對稱密鑰具?有加密效率?高，但存在密鑰?分發(fā)困難、管理不便的?弱點；非對稱密鑰?加密速度慢?，但便于密鑰?分發(fā)管理。在證券交易?中通常把兩?者結合使用?，達到高效安?全的目的。；交易安全的?實現 完成證券交?易需解決的?安全問題主?要有交易雙?方身份確認?、交易指令及?數據加密傳?輸、數據的完整?性、防止雙方對?交易結果的?抵賴。具體途徑為?建立自己的?CA認證中?心或采用權?威的CA中?心，通過頒發(fā)相?應的數字證?書給與交易?各方相關身?份證明，同時在SS?L協(xié)議體系?下完成交易?過程中電子?證書驗證、數字簽名、指令數據的?加密傳輸、交易結果確?認審計等。、CA認證在電子商務?系統(tǒng)，所有參與活?動的實體都?必須用證書?來表明自己?的身份，數字證書就?是網絡通訊?中標志通訊?各方身份信?息的一系列?數據，它提供了一?種在Int?ernet?上驗證您身?份的 方式，其作用類似?于司機的駕?駛執(zhí)照或日?常生活中的??由權威機構?CA機 構，又稱為證書?授權(Certi?ficat?e Autho?rity)中心發(fā)行的?，人們可以在?交往中用它?來識別對 方的身份,一方面可以?用來向系統(tǒng)?中的其它實?體證明自己?的身份，另一方面每?份證書都攜?帶 著證書持有?者的公鑰，證書也可以?向接收者證?實某人或某?個機構對公?開密鑰的擁?有，同時