【正文】 ........................................... 37 (3). 文擋的管理 ........................................................ 37 . 應用實施 ...................................................................................................... 37 (1). 項目實施范圍 ..................................................... 37 (2). 提供服務的內容 ................................................. 38 1). 網絡安全系統需求分析 ........................................ 38 2). 網絡安全系統客戶化 ............................................ 38 3). 網絡安全系統的測試 ............................................ 38 4). 網絡安全系統的試運行 ........................................ 38 5). 網絡安全系統的正式運行 ..................................... 38 6). 培訓 .................................................................... 38 . 實施進度表 .................................................................................................. 39 5. 技術支持與服務 ........................................................................................... 40 . 支持中心人員配備 ........................................................................................ 40 . 支持中心資源配備 ........................................................................................ 40 . 熱線電話 ...................................................................................................... 40 . Email .......................................................................................................... 40 ................. 錯誤 !未定義書簽。 公司網絡安全系統的建立，必將為公司的業(yè)務信息系統、行政管理、信息交流提供一個安全的環(huán)境和完整平臺。因此，本項目的實施可以達到預期的經濟及社會效益。 . 系統結構 公司服務器使用的操作系統以 Netware,NT 為主，還有部分的 Unxi 服務器。當管理員需要對網站進行維護的時候 ，通過撥號的方式。 湖南證券股份有限公司網絡安全方案建議書 共 59 頁 第 9 頁 4）交易所與各個營業(yè)點之間的連接 交易所內部與各個營業(yè)點之間的連接時通過專線的方式，使用了 3 的路由器及由電信提供的 CSU/DSU 設備。這四個系統之間相互連接沒有通過物理或邏輯的方式進行分割。 7）其他 因 為對公司的了解并不是很深，只是對現了解到的情況進行分析，希望公司看過本方案以后能夠提供更多的網絡連接，部門之間通訊的情況。應用服務系統是指主機系統上使用的應用軟件，如： Web 服務器、信息交易系統、數據庫系統，辦公自動化系統等等。 2) 來自內部網的病毒的破壞； 3) 內部用戶的惡意攻擊、誤操作，但由于目前發(fā)生的概率較小，本部分暫不作考慮。目前流行的許多操作系統均存在網絡安全漏洞，如 UNIX 服務器， NT 服務器及 Windows 桌面 PC。 1). 來自于外部網絡的訪問，除有特定的身份認證外，只能到達 指定的訪問目的地，不能訪問內部資源。 4). 外部網絡不能直接對內部網絡進行訪問，外部網絡客戶訪問內部 Server 時通過外部服務提供設備進行，該外部服務提供設備起到訪問的中介作用，保證了內部關鍵信息資源的安全。 1). 交易業(yè)務系統的安全需求： 與普通網絡應用不同的是，業(yè)務系統是湖南證券股份有限湖南證券股份有限應用的核心。即禁止外部用戶間的非法訪問。 2). Inter 服務平臺的安全需求： 安聯內部網 DMZ 外部服務區(qū) 外部用戶 湖南證券股份有限公司網絡安全方案建議書 共 59 頁 第 12 頁 Inter 服務平臺分為兩個部分：提供湖南證券股份有限公司的網絡用戶對 Inter 的訪問；提供 Inter 對公司網內服務的訪問。 提供給 Inter 的網絡服務按照應用類型可分為： ? 普通服務： 該種服務通常需要保障系統抵抗和檢測攻擊的能力。實施網絡安全系統項目，整體規(guī)劃網絡安全系統，作好以下幾個方面的規(guī)劃和實施： ? 應用程序加密 ? 應用完整性 ? 用戶完整性 ? 系統完整性 ? 網絡完整性 . 近期目標 目前迫在眉睫的工作是保護整個系統的網絡完整性和系統的完整性，建立安全的網絡邏輯結構，為今后的實施應用完整性和用戶完整性奠定基礎。針對網絡系統實際運行的 TCP/IP協議，網絡安全貫穿于信息系統的 4 個層次。 操作系統 操作系統安全要求保證客戶資料、操作系統訪問控制的安全，同時能夠對該操作系統上的應用進行審計。應用系統的安全與系統設計和實現關系密切。保護成本、被保護信息的價值必須平衡，價值僅 1 萬元的信息如果用 5萬元的技術和設備去保護是一種不適當的保護。它們在網絡安全中的地位和影響作用，只有從系統綜合的整體角度去看待和分析，才 湖南證券股份有限公司網絡安全方案建議書 共 59 頁 第 15 頁 可能獲得有效、可行的措施。其次，采用的措施不能影響系統正常運行。 . 網絡安全風險分析 網絡系統的可靠運轉是基于通訊子網、計算機硬件和操作系統及各種應用軟件等各方面、各層次的良好運行。而應基于“最低權限”和“相互監(jiān)督”的法則，減少保密信息的介入范圍，盡力消除使用者為使用資源不得不信任他人或被他人信任的問題，建立起完整的安全控制體系和保證體系。 (1)多人負責原則 每項與安全有關的活動都必須有兩人或多人在場。 . 安全管理的實現 信息系統的安全管理部門應根據管理原則和該系統處理數據的保密性，制訂相應的 管理制度或采用相應規(guī)范，其具體工作是： ? 確定該系統的安全等級。 ? 制訂嚴格的操作規(guī)程。 ? 制訂應急措施。一方面，各級領導一定要高度重視并積極支持有關系統安全方面的各項措施。 物理層安全涉及傳輸介質的安全特性，抗干擾、防竊聽將是物理層安全措施制定的重點。對網絡進行級別劃分與控制，網絡級別的劃分大致包括 Inter/企業(yè)網、骨干網 /區(qū)域網、區(qū)域網 /部門網、部門網 /工作組網等，其中 Inter/企業(yè)網的接口要采用專用防火墻，骨干網 /區(qū)域網、區(qū)域網 /部門網的接口利用路由器的可控路由表、安全郵件服務器、安全撥號驗證服務器和安全級別較高的操作系統。然而，在群件系統中共享的信息卻必須保證其安全性，以防止有意無意的破壞。 ? 攻擊監(jiān)控： 通過對特定網段、服務建立的攻擊監(jiān)控體系，可實時檢測出絕大多數攻擊，并采取相應的行動（如斷開網絡連接、記錄攻擊過程、跟蹤攻擊源等）。 ? 多層防御： 攻擊者在突破第一道防線后，延緩或阻斷其到達攻擊目標。 本章首先描述安全網絡的整體結構，然后就各網段采用的防火墻、防病毒、防黑客，以及安全評估等技術措施作詳細的描述。 在本章結尾，我們總結了本方案的特點。 ? 連接湖南證券股份有限各營業(yè)點的網段。 整個網絡安全結構如下圖： 湖南證券股份有限公司網絡安全方案建議書 共 59 頁 第 20 頁 . 對 Inter 服務網段 如上圖示，內部用戶訪問 Inter,通過撥號上網的方式，通過單個客戶機分別撥號上網首先會對整個內部安全造成很大影響，同時造成資金的浪費。 在接口處防火墻的配置方法： 訪問的安全控制： 1). DMZ1 對外提供服務 DMZ1 中的服務器主要用于對 Inter 用戶提供服務，包括 DNS、 Email、 FTP、 HTTP 等，其服務全部由防火墻提供代理，其工作流程如下： a: 由外部 Client 端向 Firewall1 提出請求（ HTTP、 FTP 等）； b: 通過 Firewall1 過濾、識別、身份驗證，確定為合法請求，并確定該請求的目標服務器之后由 Firewall1 向 DMZ1 里的服務器提出請求； c: DMZ1 里的目標服務器接受 Firewall1 的請求并對其作出響應； d: Firewall1 再將請求傳遞給外部的 Client。 3). 地址轉換（ NAT） 由于目前湖南證券股份有限有限公司采用 A 類地址，而外部采用 Inter 合法地址，Gauntlet Firewall1 提供內、外地址的翻譯，即可隱藏內部 IP. 4). FireWall1 未來的 GVPN 功能 將來外匯管理局的內部 Intra 中的 Gauntlet 防火墻可形成 GVPN，采用 Gauntlet 的 GVPN技術對內部的外出員工可建立一條可信賴的連接，直接訪問內部網絡的資源。 因為交易所與營業(yè)點的數據傳輸經常會突然出現流量增大，影響正常的交易，所以我們認為在交易所的路由器到內部網之間添加一個百兆的集線器或交換機在此上的端口處安裝 NAI 公司的 Sniffer for LAN，對進出的包進行解碼分析，區(qū)分出包的類型，對非正常交易的包進行分析并且通過一些措施把這些非正常交易的包給過濾掉或通過流量分配軟件進行有效的劃分。如果是與交易有關的包讓它占有較大的帶寬，如果與交易無關的包則讓它占較小的帶寬，這樣可以保證主干業(yè)務的暢通運行。而在目前交易所公司的網絡結構上并未對上述關鍵部門給予應有的特別保護，任何內部工作人員都可以進入關鍵部門的計算機上，獲取機器上的有用信息。 配置方法：在幾個重要部門的交換機上安裝一個硬件的的 VPN 設備，所有需要到另一個部門的信息都會通過 VPN 網關 ,進行加密，根據 IPSEC 方式，在 IP 包頭添加另一個網段的 VPN網關的 IP 地址。配置方法：把入侵檢測軟件安裝在某臺空余的電腦上，并且把它與 Hub 相連。作用：對重要的文件 進行實時的跟蹤，對用戶的權限、密碼、注冊表文件或 /etc 目錄下的文件、數據庫內的數據進行保護。 ，同時限定登入失敗次數，保持較高的保密性及安全性。 湖南證券股份有限公司網絡安全方案建議書 共 59 頁 第 23 頁 . 外部用戶訪問公司網站安全分析和建議 當外部用戶訪問公司托管的網站服務 器時，因為現在在網站服務器上沒有做任何的防范所以和容易被黑客破壞，當發(fā)生頁面被換成非健康內。 VPN 網關，同時在用戶端添加加密 PC 卡。作用：防止病毒功過客戶端，文件服務器，全殲服務器，網關服務器進行傳播，有效的防止了這種非技術型的系統破壞。 ，添加基于主機的入侵檢測軟件。其他特點： VPN 網關會可以在這幾個部門之間相互建立不同的信任關系，建立不同的加密算 法；作用：防止了不滿員工的偵聽，保證了信息傳輸過程中的安全性，提高各個重要部門的安全性等等。 這些偵聽軟件在網上面到處可以免費獲得，所以如果我們沒有很好的防范措施，重要的系統很容易遭到破壞。這樣就可以分析出哪些連接是沒有必要的，然后再把該連 接通過防火墻給屏蔽掉?？梢酝ㄟ^在路由器后面添加防火墻