【正文】 證券行業(yè)網(wǎng)絡安全及網(wǎng)絡管理解決方案上海方正科技軟件有限公司2003年4月目錄第一章 網(wǎng)絡安全現(xiàn)狀和方正軟件公司定位介紹 4第二章 證券網(wǎng)絡系統(tǒng)安全需求分析說明 5第一節(jié) 證券行業(yè)普遍拓撲結(jié)構(gòu) 5第二節(jié) 證券行業(yè)網(wǎng)絡安全風險分析 7物理安全風險分析 7鏈路傳輸風險分析 7網(wǎng)絡結(jié)構(gòu)的安全風險分析 7系統(tǒng)的安全風險分析 8應用的安全風險分析 9管理的安全分析 10第三節(jié) 證券行業(yè)網(wǎng)絡安全需求分析 11證券行業(yè)網(wǎng)絡安全需求總體分析： 11訪問控制 11入侵檢測 12計算機病毒防治 12安全審計 13身份鑒別 13信息加密 14備份與恢復 14安全保密管理 14實時響應和恢復 15第四章 網(wǎng)絡安全系統(tǒng)構(gòu)建原則 17第一節(jié) 證券網(wǎng)絡安全系統(tǒng)產(chǎn)品選型原則 17第二節(jié) 網(wǎng)絡安全方案設(shè)計原則 18第五章 證券系統(tǒng)網(wǎng)絡安全整體設(shè)計方案 20第一節(jié) 整體安全解決方案 21第二節(jié) 防火墻子系統(tǒng) 23第三節(jié) 入侵檢測與信息監(jiān)控子系統(tǒng) 25第四節(jié) VPN子系統(tǒng) 27第五節(jié) 網(wǎng)絡管理子系統(tǒng) 28第六節(jié) 網(wǎng)絡防病毒子系統(tǒng)及其他子系統(tǒng) 30第一章 網(wǎng)絡安全現(xiàn)狀和方正軟件公司定位介紹隨著計算機技術(shù)和通訊技術(shù)的飛速發(fā)展，網(wǎng)絡正逐步改變著人們的工作方式和生活方式，成為當今社會發(fā)展的一個主題。網(wǎng)絡的開放性，互連性，共享性程度的擴大，特別是Internet的出現(xiàn)，使網(wǎng)絡的重要性和對社會的影響也越來越大。隨著網(wǎng)絡上電子商務，電子政務，數(shù)字貨幣、網(wǎng)絡教學等新興業(yè)務的興起，網(wǎng)絡安全問題變得越來越重要。病毒是網(wǎng)絡安全最大的隱患，它對網(wǎng)絡的威脅占導致經(jīng)濟損失的安全問題的76%。幾乎所有的企業(yè)都不同程度的遭受過病毒的侵襲。目前全球已發(fā)現(xiàn)幾萬余種病毒樣本，并且以每月新增300多種的速度繼續(xù)破壞著網(wǎng)絡和單機上寶貴的信息資源。病毒給每個計算機用戶和企業(yè)帶來了無法估量和彌補的損失。計算機網(wǎng)絡犯罪所造成的經(jīng)濟損失也令人吃驚。僅在美國每年因計算機犯罪所造成的直接經(jīng)濟損失就達150億美元。在全球平均每二十秒就發(fā)生一次網(wǎng)上入侵事件。有近80%的公司至少每周在網(wǎng)絡上要被大規(guī)模的入侵一次，并且一旦黑客找到系統(tǒng)的薄弱環(huán)節(jié)，所有用戶都會遭殃。面對計算機網(wǎng)絡的種種安全威脅，必須采取有力的措施來保證安全。而據(jù)調(diào)查，我國電子商務類網(wǎng)站中90%以上存在信息安全問題。信息網(wǎng)絡中的各種犯罪活動已經(jīng)嚴重地威脅著國家、企業(yè)的安全。特別是對徐匯區(qū)城域網(wǎng)這樣的國家重要政府網(wǎng)絡，更應該考慮到網(wǎng)絡安全的重要性，一旦重要的信息泄露，將會給國家造成巨大的損失。網(wǎng)絡擴展的同時，信息也要求更加安全，實際上網(wǎng)絡與信息的安全是一個長期的、綜合的系統(tǒng)工程，存在于整個信息時代中。電子政務網(wǎng)絡與信息安全情況也是如此，主要存在與建設(shè)、應用和管理三個方面，而且隨著新技術(shù)的發(fā)展，新設(shè)備的出現(xiàn)，加上組織結(jié)構(gòu)的變更，應用的深入，會不斷進行變化的。網(wǎng)絡與信息安全二者的有機結(jié)合需要能提供高技術(shù)和服務的公司。同時網(wǎng)絡安全問題也是個長期，不斷完善的過程。方正軟件通過自身的研發(fā)以及與國內(nèi)外著名IT公司的合作，形成了方正信息安全與網(wǎng)絡管理系統(tǒng)及方正中小企業(yè)電子商務應用系統(tǒng)二大產(chǎn)品線。公司定位為“中國人自己的信息安全衛(wèi)士”和“中國企業(yè)e化的高速公路”。同時，公司又充分運用方正的品牌、技術(shù)、渠道優(yōu)勢，整合國內(nèi)外資源，不斷為廣大用戶提供最好的解決方案與應用服務。第二章 證券網(wǎng)絡系統(tǒng)安全需求分析說明第一節(jié) 證券行業(yè)普遍拓撲結(jié)構(gòu)證券行業(yè)普遍擁有總部和數(shù)據(jù)處理中心，在各地擁有營業(yè)部和交易所，為了保證交易時間的不間斷工作，各地營業(yè)所到總部擁有雙線路做線路備份，在總部里也是作了線路備份的設(shè)置。具體典型拓撲如下：網(wǎng)絡拓撲結(jié)構(gòu)說明如上圖所示，整個證券公司網(wǎng)絡采用分層設(shè)計，可分為兩層：核心層：由高性能的中心三層交換機、數(shù)據(jù)庫磁盤陣列、業(yè)務服務器構(gòu)成網(wǎng)絡核心層（數(shù)據(jù)中心），主干網(wǎng)絡采用千兆以太網(wǎng)，保證了網(wǎng)絡性能。為保障核心層的安全可靠，兩臺中心交換機互為備份，保證了整個網(wǎng)絡始終處于連通狀態(tài)。在數(shù)據(jù)中心里配置有前端服務器、中間件服務器和后臺數(shù)據(jù)庫服務器，數(shù)據(jù)庫服務器中存儲有大量戶頭、資金等敏感信息。接入層：在各個辦公樓層上，樓層交換機使用千兆上行端口采用光纖與中心交換機相連，傳輸速率為1000M，構(gòu)成網(wǎng)絡主干網(wǎng)；其下行端口到桌面，傳輸速率為100M。遠程的營業(yè)部和交易所采用各種廣域網(wǎng)方式接如總部網(wǎng)絡。此外，證券公司會和證券交易所（上證所和深交所）進行數(shù)據(jù)交換，會有數(shù)據(jù)鏈路存在。移動辦公者采用Access Server撥號進入總部網(wǎng)絡，訪問相關(guān)網(wǎng)絡資源。證券公司也會與相關(guān)的銀行進行數(shù)據(jù)交換，使得股民可以把在銀行的帳戶和證券公司的戶頭相關(guān)聯(lián)，這部分應用大多數(shù)采用“銀證通”的服務?？偛烤W(wǎng)絡一般劃分為辦公網(wǎng)絡和業(yè)務網(wǎng)絡兩部分。辦公網(wǎng)絡是非證券業(yè)務所在，安全級別較低，承擔著與外界聯(lián)系的責任，一般要求接入Internet，而業(yè)務網(wǎng)絡承擔著每天交易數(shù)據(jù)的處理，安全級別非常高，因此辦公網(wǎng)絡和業(yè)務網(wǎng)絡會采用VLAN的形式加以劃分，確保Internet上不能直接訪問業(yè)務網(wǎng)絡。第二節(jié) 證券行業(yè)網(wǎng)絡安全風險分析網(wǎng)絡應用給人們帶來了無盡的好處，但隨著網(wǎng)絡應用擴大網(wǎng)絡安全風險也變得更加嚴重和復雜。原來由單個計算機安全事故引起的損害可能傳播到其他系統(tǒng)和主機，引起大范圍的癱瘓和損失；另外加上缺乏安全控制機制和對網(wǎng)絡安全政策及防護意識的認識不足，這些風險正日益加重。而這些風險與網(wǎng)絡系統(tǒng)結(jié)構(gòu)和系統(tǒng)的應用等因素密切相關(guān)。我們根據(jù)證券行業(yè)的網(wǎng)絡結(jié)構(gòu)和應用情況，從物理安全、鏈路安全、網(wǎng)絡安全、系統(tǒng)安全、應用安全及管理安全進行分類描述：物理安全風險分析網(wǎng)絡物理安全是整個網(wǎng)絡系統(tǒng)安全的前提。物理安全的風險主要有： 地震、水災、火災等環(huán)境事故造成整個系統(tǒng)毀滅； 電源故障造成設(shè)備斷電以至操作系統(tǒng)引導失敗或數(shù)據(jù)庫信息丟失； 設(shè)備被盜、被毀造成數(shù)據(jù)丟失或信息泄漏； 電磁輻射可能造成數(shù)據(jù)信息被竊取或偷閱； 報警系統(tǒng)的設(shè)計不足可能造成原本可以防止但實際發(fā)生了的事故。鏈路傳輸風險分析網(wǎng)絡安全不僅是入侵者到證券網(wǎng)絡內(nèi)部網(wǎng)上進行攻擊、竊取或其它破壞，黑客完全有可能在傳輸線路上安裝竊聽裝置，竊取你在網(wǎng)上傳輸?shù)闹匾獢?shù)據(jù)，再通過一些技術(shù)讀出數(shù)據(jù)信息，造成泄密或者做一些篡改來破壞數(shù)據(jù)的完整性；以上種種不安全因素都對網(wǎng)絡構(gòu)成嚴重的安全危脅。因此，對于證券行業(yè)這種帶有重要資金、帳戶信息傳輸?shù)木W(wǎng)絡，數(shù)據(jù)在公共鏈路上傳輸最好加密。并通過數(shù)字簽名及認證技術(shù)來保數(shù)據(jù)在網(wǎng)上傳輸?shù)恼鎸嵭?、機密性、可靠性及完整性。網(wǎng)絡結(jié)構(gòu)的安全風險分析來自與公網(wǎng)互聯(lián)的安全威脅證券行業(yè)的辦公網(wǎng)絡與Internet連接?；贗nternet公網(wǎng)的開放性、國際性與自由性，在公司員工享受Internet的信息共享的好處同時，內(nèi)部網(wǎng)絡將面臨非常嚴重的安全威脅。因為，每天黑客都在試圖闖入Internet節(jié)點，假如我們的網(wǎng)絡不保持警惕，可能連黑客怎么闖入的都不知道，甚至會成為黑客入侵其他網(wǎng)絡的跳板。證券公司內(nèi)部網(wǎng)絡中擁有非常重要的信息。假如內(nèi)部網(wǎng)絡的一臺機器安全受損（被攻擊或者被病毒感染），就會同時影響在同一網(wǎng)絡上的許多其他系統(tǒng)。透過網(wǎng)絡傳播，還會影響到與本系統(tǒng)網(wǎng)絡有連接的外單位網(wǎng)絡；影響所及，還可能涉及和證券相連的證交所和銀行等安全敏感領(lǐng)域。如果系統(tǒng)內(nèi)部局域網(wǎng)絡與系統(tǒng)外部網(wǎng)絡間沒有采取一定的安全防護措施，內(nèi)部網(wǎng)絡容易造到來自外網(wǎng)一些不懷好意的入侵者的攻擊。如：入侵者通過Sniffer等嗅探程序來探測掃描網(wǎng)絡及操作系統(tǒng)存在的安全漏洞，如網(wǎng)絡I