【正文】 證券行業(yè)網(wǎng)絡(luò)安全及網(wǎng)絡(luò)管理解決方案上海方正科技軟件有限公司2003年4月目錄第一章 網(wǎng)絡(luò)安全現(xiàn)狀和方正軟件公司定位介紹 4第二章 證券網(wǎng)絡(luò)系統(tǒng)安全需求分析說明 5第一節(jié) 證券行業(yè)普遍拓?fù)浣Y(jié)構(gòu) 5第二節(jié) 證券行業(yè)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析 7物理安全風(fēng)險(xiǎn)分析 7鏈路傳輸風(fēng)險(xiǎn)分析 7網(wǎng)絡(luò)結(jié)構(gòu)的安全風(fēng)險(xiǎn)分析 7系統(tǒng)的安全風(fēng)險(xiǎn)分析 8應(yīng)用的安全風(fēng)險(xiǎn)分析 9管理的安全分析 10第三節(jié) 證券行業(yè)網(wǎng)絡(luò)安全需求分析 11證券行業(yè)網(wǎng)絡(luò)安全需求總體分析： 11訪問控制 11入侵檢測(cè) 12計(jì)算機(jī)病毒防治 12安全審計(jì) 13身份鑒別 13信息加密 14備份與恢復(fù) 14安全保密管理 14實(shí)時(shí)響應(yīng)和恢復(fù) 15第四章 網(wǎng)絡(luò)安全系統(tǒng)構(gòu)建原則 17第一節(jié) 證券網(wǎng)絡(luò)安全系統(tǒng)產(chǎn)品選型原則 17第二節(jié) 網(wǎng)絡(luò)安全方案設(shè)計(jì)原則 18第五章 證券系統(tǒng)網(wǎng)絡(luò)安全整體設(shè)計(jì)方案 20第一節(jié) 整體安全解決方案 21第二節(jié) 防火墻子系統(tǒng) 23第三節(jié) 入侵檢測(cè)與信息監(jiān)控子系統(tǒng) 25第四節(jié) VPN子系統(tǒng) 27第五節(jié) 網(wǎng)絡(luò)管理子系統(tǒng) 28第六節(jié) 網(wǎng)絡(luò)防病毒子系統(tǒng)及其他子系統(tǒng) 30第一章 網(wǎng)絡(luò)安全現(xiàn)狀和方正軟件公司定位介紹隨著計(jì)算機(jī)技術(shù)和通訊技術(shù)的飛速發(fā)展，網(wǎng)絡(luò)正逐步改變著人們的工作方式和生活方式，成為當(dāng)今社會(huì)發(fā)展的一個(gè)主題。網(wǎng)絡(luò)的開放性，互連性，共享性程度的擴(kuò)大，特別是Internet的出現(xiàn)，使網(wǎng)絡(luò)的重要性和對(duì)社會(huì)的影響也越來越大。隨著網(wǎng)絡(luò)上電子商務(wù)，電子政務(wù)，數(shù)字貨幣、網(wǎng)絡(luò)教學(xué)等新興業(yè)務(wù)的興起，網(wǎng)絡(luò)安全問題變得越來越重要。病毒是網(wǎng)絡(luò)安全最大的隱患，它對(duì)網(wǎng)絡(luò)的威脅占導(dǎo)致經(jīng)濟(jì)損失的安全問題的76%。幾乎所有的企業(yè)都不同程度的遭受過病毒的侵襲。目前全球已發(fā)現(xiàn)幾萬余種病毒樣本，并且以每月新增300多種的速度繼續(xù)破壞著網(wǎng)絡(luò)和單機(jī)上寶貴的信息資源。病毒給每個(gè)計(jì)算機(jī)用戶和企業(yè)帶來了無法估量和彌補(bǔ)的損失。計(jì)算機(jī)網(wǎng)絡(luò)犯罪所造成的經(jīng)濟(jì)損失也令人吃驚。僅在美國(guó)每年因計(jì)算機(jī)犯罪所造成的直接經(jīng)濟(jì)損失就達(dá)150億美元。在全球平均每二十秒就發(fā)生一次網(wǎng)上入侵事件。有近80%的公司至少每周在網(wǎng)絡(luò)上要被大規(guī)模的入侵一次，并且一旦黑客找到系統(tǒng)的薄弱環(huán)節(jié)，所有用戶都會(huì)遭殃。面對(duì)計(jì)算機(jī)網(wǎng)絡(luò)的種種安全威脅，必須采取有力的措施來保證安全。而據(jù)調(diào)查，我國(guó)電子商務(wù)類網(wǎng)站中90%以上存在信息安全問題。信息網(wǎng)絡(luò)中的各種犯罪活動(dòng)已經(jīng)嚴(yán)重地威脅著國(guó)家、企業(yè)的安全。特別是對(duì)徐匯區(qū)城域網(wǎng)這樣的國(guó)家重要政府網(wǎng)絡(luò)，更應(yīng)該考慮到網(wǎng)絡(luò)安全的重要性，一旦重要的信息泄露，將會(huì)給國(guó)家造成巨大的損失。網(wǎng)絡(luò)擴(kuò)展的同時(shí)，信息也要求更加安全，實(shí)際上網(wǎng)絡(luò)與信息的安全是一個(gè)長(zhǎng)期的、綜合的系統(tǒng)工程，存在于整個(gè)信息時(shí)代中。電子政務(wù)網(wǎng)絡(luò)與信息安全情況也是如此，主要存在與建設(shè)、應(yīng)用和管理三個(gè)方面，而且隨著新技術(shù)的發(fā)展，新設(shè)備的出現(xiàn)，加上組織結(jié)構(gòu)的變更，應(yīng)用的深入，會(huì)不斷進(jìn)行變化的。網(wǎng)絡(luò)與信息安全二者的有機(jī)結(jié)合需要能提供高技術(shù)和服務(wù)的公司。同時(shí)網(wǎng)絡(luò)安全問題也是個(gè)長(zhǎng)期，不斷完善的過程。方正軟件通過自身的研發(fā)以及與國(guó)內(nèi)外著名IT公司的合作，形成了方正信息安全與網(wǎng)絡(luò)管理系統(tǒng)及方正中小企業(yè)電子商務(wù)應(yīng)用系統(tǒng)二大產(chǎn)品線。公司定位為“中國(guó)人自己的信息安全衛(wèi)士”和“中國(guó)企業(yè)e化的高速公路”。同時(shí)，公司又充分運(yùn)用方正的品牌、技術(shù)、渠道優(yōu)勢(shì)，整合國(guó)內(nèi)外資源，不斷為廣大用戶提供最好的解決方案與應(yīng)用服務(wù)。第二章 證券網(wǎng)絡(luò)系統(tǒng)安全需求分析說明第一節(jié) 證券行業(yè)普遍拓?fù)浣Y(jié)構(gòu)證券行業(yè)普遍擁有總部和數(shù)據(jù)處理中心，在各地?fù)碛袪I(yíng)業(yè)部和交易所，為了保證交易時(shí)間的不間斷工作，各地營(yíng)業(yè)所到總部擁有雙線路做線路備份，在總部里也是作了線路備份的設(shè)置。具體典型拓?fù)淙缦拢壕W(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)說明如上圖所示，整個(gè)證券公司網(wǎng)絡(luò)采用分層設(shè)計(jì)，可分為兩層：核心層：由高性能的中心三層交換機(jī)、數(shù)據(jù)庫(kù)磁盤陣列、業(yè)務(wù)服務(wù)器構(gòu)成網(wǎng)絡(luò)核心層（數(shù)據(jù)中心），主干網(wǎng)絡(luò)采用千兆以太網(wǎng)，保證了網(wǎng)絡(luò)性能。為保障核心層的安全可靠，兩臺(tái)中心交換機(jī)互為備份，保證了整個(gè)網(wǎng)絡(luò)始終處于連通狀態(tài)。在數(shù)據(jù)中心里配置有前端服務(wù)器、中間件服務(wù)器和后臺(tái)數(shù)據(jù)庫(kù)服務(wù)器，數(shù)據(jù)庫(kù)服務(wù)器中存儲(chǔ)有大量戶頭、資金等敏感信息。接入層：在各個(gè)辦公樓層上，樓層交換機(jī)使用千兆上行端口采用光纖與中心交換機(jī)相連，傳輸速率為1000M，構(gòu)成網(wǎng)絡(luò)主干網(wǎng)；其下行端口到桌面，傳輸速率為100M。遠(yuǎn)程的營(yíng)業(yè)部和交易所采用各種廣域網(wǎng)方式接如總部網(wǎng)絡(luò)。此外，證券公司會(huì)和證券交易所（上證所和深交所）進(jìn)行數(shù)據(jù)交換，會(huì)有數(shù)據(jù)鏈路存在。移動(dòng)辦公者采用Access Server撥號(hào)進(jìn)入總部網(wǎng)絡(luò)，訪問相關(guān)網(wǎng)絡(luò)資源。證券公司也會(huì)與相關(guān)的銀行進(jìn)行數(shù)據(jù)交換，使得股民可以把在銀行的帳戶和證券公司的戶頭相關(guān)聯(lián)，這部分應(yīng)用大多數(shù)采用“銀證通”的服務(wù)?？偛烤W(wǎng)絡(luò)一般劃分為辦公網(wǎng)絡(luò)和業(yè)務(wù)網(wǎng)絡(luò)兩部分。辦公網(wǎng)絡(luò)是非證券業(yè)務(wù)所在，安全級(jí)別較低，承擔(dān)著與外界聯(lián)系的責(zé)任，一般要求接入Internet，而業(yè)務(wù)網(wǎng)絡(luò)承擔(dān)著每天交易數(shù)據(jù)的處理，安全級(jí)別非常高，因此辦公網(wǎng)絡(luò)和業(yè)務(wù)網(wǎng)絡(luò)會(huì)采用VLAN的形式加以劃分，確保Internet上不能直接訪問業(yè)務(wù)網(wǎng)絡(luò)。第二節(jié) 證券行業(yè)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析網(wǎng)絡(luò)應(yīng)用給人們帶來了無盡的好處，但隨著網(wǎng)絡(luò)應(yīng)用擴(kuò)大網(wǎng)絡(luò)安全風(fēng)險(xiǎn)也變得更加嚴(yán)重和復(fù)雜。原來由單個(gè)計(jì)算機(jī)安全事故引起的損害可能傳播到其他系統(tǒng)和主機(jī)，引起大范圍的癱瘓和損失；另外加上缺乏安全控制機(jī)制和對(duì)網(wǎng)絡(luò)安全政策及防護(hù)意識(shí)的認(rèn)識(shí)不足，這些風(fēng)險(xiǎn)正日益加重。而這些風(fēng)險(xiǎn)與網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)和系統(tǒng)的應(yīng)用等因素密切相關(guān)。我們根據(jù)證券行業(yè)的網(wǎng)絡(luò)結(jié)構(gòu)和應(yīng)用情況，從物理安全、鏈路安全、網(wǎng)絡(luò)安全、系統(tǒng)安全、應(yīng)用安全及管理安全進(jìn)行分類描述：物理安全風(fēng)險(xiǎn)分析網(wǎng)絡(luò)物理安全是整個(gè)網(wǎng)絡(luò)系統(tǒng)安全的前提。物理安全的風(fēng)險(xiǎn)主要有： 地震、水災(zāi)、火災(zāi)等環(huán)境事故造成整個(gè)系統(tǒng)毀滅； 電源故障造成設(shè)備斷電以至操作系統(tǒng)引導(dǎo)失敗或數(shù)據(jù)庫(kù)信息丟失； 設(shè)備被盜、被毀造成數(shù)據(jù)丟失或信息泄漏； 電磁輻射可能造成數(shù)據(jù)信息被竊取或偷閱； 報(bào)警系統(tǒng)的設(shè)計(jì)不足可能造成原本可以防止但實(shí)際發(fā)生了的事故。鏈路傳輸風(fēng)險(xiǎn)分析網(wǎng)絡(luò)安全不僅是入侵者到證券網(wǎng)絡(luò)內(nèi)部網(wǎng)上進(jìn)行攻擊、竊取或其它破壞，黑客完全有可能在傳輸線路上安裝竊聽裝置，竊取你在網(wǎng)上傳輸?shù)闹匾獢?shù)據(jù)，再通過一些技術(shù)讀出數(shù)據(jù)信息，造成泄密或者做一些篡改來破壞數(shù)據(jù)的完整性；以上種種不安全因素都對(duì)網(wǎng)絡(luò)構(gòu)成嚴(yán)重的安全危脅。因此，對(duì)于證券行業(yè)這種帶有重要資金、帳戶信息傳輸?shù)木W(wǎng)絡(luò)，數(shù)據(jù)在公共鏈路上傳輸最好加密。并通過數(shù)字簽名及認(rèn)證技術(shù)來保數(shù)據(jù)在網(wǎng)上傳輸?shù)恼鎸?shí)性、機(jī)密性、可靠性及完整性。網(wǎng)絡(luò)結(jié)構(gòu)的安全風(fēng)險(xiǎn)分析來自與公網(wǎng)互聯(lián)的安全威脅證券行業(yè)的辦公網(wǎng)絡(luò)與Internet連接。基于Internet公網(wǎng)的開放性、國(guó)際性與自由性，在公司員工享受Internet的信息共享的好處同時(shí)，內(nèi)部網(wǎng)絡(luò)將面臨非常嚴(yán)重的安全威脅。因?yàn)?，每天黑客都在試圖闖入Internet節(jié)點(diǎn)，假如我們的網(wǎng)絡(luò)不保持警惕，可能連黑客怎么闖入的都不知道，甚至?xí)蔀楹诳腿肭制渌W(wǎng)絡(luò)的跳板。證券公司內(nèi)部網(wǎng)絡(luò)中擁有非常重要的信息。假如內(nèi)部網(wǎng)絡(luò)的一臺(tái)機(jī)器安全受損（被攻擊或者被病毒感染），就會(huì)同時(shí)影響在同一網(wǎng)絡(luò)上的許多其他系統(tǒng)。透過網(wǎng)絡(luò)傳播，還會(huì)影響到與本系統(tǒng)網(wǎng)絡(luò)有連接的外單位網(wǎng)絡(luò)；影響所及，還可能涉及和證券相連的證交所和銀行等安全敏感領(lǐng)域。如果系統(tǒng)內(nèi)部局域網(wǎng)絡(luò)與系統(tǒng)外部網(wǎng)絡(luò)間沒有采取一定的安全防護(hù)措施，內(nèi)部網(wǎng)絡(luò)容易造到來自外網(wǎng)一些不懷好意的入侵者的攻擊。如：入侵者通過Sniffer等嗅探程序來探測(cè)掃描網(wǎng)絡(luò)及操作系統(tǒng)存在的安全漏洞，如網(wǎng)絡(luò)I