【正文】 及操作系統(tǒng)存在的安全漏洞，如網(wǎng)絡(luò)IP 地址、應(yīng)用操作系統(tǒng)的類型、開放哪些 TCP/UDP 端口號(hào)、系統(tǒng)保存用戶名和口令等安全信息的關(guān)鍵文件等，并通過相應(yīng)攻擊程序?qū)?nèi)網(wǎng)進(jìn)行攻擊。比如內(nèi)部人員故意泄漏內(nèi)部網(wǎng)絡(luò)的網(wǎng)絡(luò)結(jié)構(gòu)；安全 管理員有意透露其用戶名及口令；內(nèi)部員工惡意攻擊局域網(wǎng)中重要數(shù)據(jù)存放的服務(wù)器（例如數(shù)據(jù)庫服務(wù)器）；內(nèi)部人員惡意使用網(wǎng)絡(luò)資源，濫發(fā)垃圾郵件等等；內(nèi)部不懷好意員工編些破壞程序在內(nèi)部網(wǎng)上傳播或者內(nèi)部人員通過各種方式盜取他人涉密信息傳播出去。而且系統(tǒng)本身必定 存在安全漏洞。因此應(yīng)正確估價(jià)自己的網(wǎng)絡(luò)風(fēng)險(xiǎn)并根據(jù)自己的網(wǎng)絡(luò)風(fēng)險(xiǎn)大小作出相應(yīng)的安全解決方案。這就需要我們對不同的應(yīng)用，檢測安全漏洞，采取相應(yīng)的安全措施，降低應(yīng)用的安全風(fēng)險(xiǎn)。 電子郵件系統(tǒng) 電子郵件為網(wǎng)系統(tǒng)用戶提供電子郵件應(yīng)用。因此，病毒的危害的不可以輕視的。這對證券行業(yè)的用戶來說，是決不允許的。 內(nèi)部不滿的員工有的可能熟悉服務(wù)器、小程序、腳本和系統(tǒng)的弱點(diǎn)。 管理是網(wǎng)絡(luò)中安全得到保證的重要組成部分，是防止來自內(nèi)部網(wǎng)絡(luò)入侵必須的部分。 由于目前中國的證券業(yè)普遍沒有手 工報(bào)單的業(yè)務(wù)，所有交易是電子化的，因此一旦網(wǎng)絡(luò)和計(jì)算機(jī)出故障，整個(gè)交易就會(huì)癱瘓。 由于網(wǎng)絡(luò)入侵和攻擊會(huì)對證券系統(tǒng)和網(wǎng)絡(luò)產(chǎn)生毀滅性的打擊，由于證券行業(yè)的網(wǎng)絡(luò)帶寬普遍較高，網(wǎng)絡(luò)設(shè)備很先進(jìn)，數(shù)據(jù)流也比較大，故高效先進(jìn) 的入侵檢測設(shè)備是證券行業(yè)網(wǎng)絡(luò)所必須配備的。 證券公司普遍使用 Windows 環(huán)境，可以通過域（ Active Directory）規(guī)劃，通過域用戶的認(rèn)證達(dá)到比較好的權(quán)限分配 ，達(dá)到網(wǎng)絡(luò)的合理合法應(yīng)用。當(dāng)局域網(wǎng)與遠(yuǎn)程網(wǎng)絡(luò)連接時(shí)，通常在局域網(wǎng)與遠(yuǎn)程網(wǎng)絡(luò)之間的接口處配置安全保密產(chǎn)品 （如防火墻、保密網(wǎng)關(guān)等）進(jìn)行網(wǎng)絡(luò)邊界安全保 護(hù)，并采取數(shù)據(jù)加密設(shè)備（如 VPN、 DDN機(jī)密機(jī)、 PSTN 加密機(jī)等）保證信息遠(yuǎn)程傳輸?shù)陌踩? 入侵檢測 入侵檢測是對入侵行為的檢測和控制。我們都知道，證券網(wǎng)絡(luò)系統(tǒng)中使用的操作系統(tǒng)大部分為 WINDOWS 系統(tǒng)，比較容易感染病毒。 新購置的計(jì)算機(jī)硬軟件系統(tǒng)的測試 新購置的計(jì)算機(jī)是有可能攜帶計(jì)算機(jī)病毒的。軟盤在 DOS下做 FORMAT 格式化可以去除感染的計(jì)算機(jī)病毒。這在國內(nèi)、外都是有實(shí)例的。 安全審計(jì) 安全審計(jì)有助于對入侵進(jìn)行評(píng)估，是提高安全性的重要工具。系統(tǒng)產(chǎn)生的大量的審計(jì)數(shù)據(jù)給出了系統(tǒng)中活動(dòng)的詳細(xì)記錄。 b) 辦公系統(tǒng)等應(yīng)用軟件應(yīng)該具有日志和審記功能，以便 于安全事故原因的分析和漏洞的彌補(bǔ)，同時(shí)也非常有利于系統(tǒng)的快速恢復(fù)，從而將損失降低到最小程度。為保證交易和資金的安全，防止非法人員竊取用戶口令，破壞電子商務(wù)和資金結(jié)算系統(tǒng)。 信息存儲(chǔ)加密 信息存儲(chǔ)加密的主要方式有文件加密和數(shù)據(jù)庫加密。 （ 3） 加密系統(tǒng)要有靈活的授權(quán)機(jī)制，數(shù)據(jù) 庫加密后，應(yīng)允許用戶以不同的粒度進(jìn)行訪問控制。如果日常工作對涉密系統(tǒng)的依賴性特別強(qiáng)，則建立遠(yuǎn)程的應(yīng)急處理和災(zāi)難恢復(fù)中心。 根據(jù)安全防范體系中的各種安全技術(shù)所需的技術(shù)管理工作，設(shè)定安全管理的角色，如業(yè)務(wù)系統(tǒng)管理員、網(wǎng)絡(luò)系統(tǒng)管理員、安全管理員、系統(tǒng)審計(jì)分析員等職位。此外，還負(fù)責(zé)制定一批合理可行的安全管理制度，督促并保障制度的實(shí)施。平時(shí)負(fù)責(zé)跟蹤入侵 手段、漏洞及其對抗手段的發(fā)展情況，適時(shí)提出更新安全工具的必要性和安排計(jì)劃。 恢復(fù)是指將受損失的系統(tǒng)復(fù)原到發(fā)生安全事故以前的 狀態(tài)，這是一個(gè)復(fù)雜和煩瑣的過程，需要信心、細(xì)心和耐心，一般包括如下幾個(gè)方面： 1) 恢復(fù)領(lǐng)導(dǎo)小組：負(fù)責(zé)協(xié)調(diào)整個(gè)恢復(fù)工作，分配人員、任務(wù)并審計(jì)進(jìn)展情況。 第四章 網(wǎng)絡(luò)安全系統(tǒng)構(gòu)建原則 第一節(jié) 證券網(wǎng)絡(luò) 安全 系統(tǒng) 產(chǎn)品選 型原則 網(wǎng)絡(luò)安全防范是通過安全技術(shù)、安全產(chǎn)品集成及安全管理來實(shí)現(xiàn)。 符合國家保密局有關(guān)國際聯(lián)網(wǎng)管理規(guī)定以及涉密網(wǎng)審批管理規(guī) 定。不同的安全措施其代價(jià)、效果對不同網(wǎng)絡(luò)并不完全相同。 節(jié)約性原則 ：整體方案的設(shè)計(jì)應(yīng)該盡可能的不改變原來網(wǎng)絡(luò)的設(shè)備和環(huán)境，以免資源的浪費(fèi)和重復(fù)投資。 角色化原則 ：在管理上面，不僅在數(shù)據(jù) 中心可以完全控制外，在地方還需要分配適當(dāng)?shù)慕巧沟胤娇梢栽谧约旱臋?quán)利下修改和查看安全策略和審計(jì)日志。 網(wǎng)絡(luò)安全是整體的 、 動(dòng)態(tài)的。所以，建立網(wǎng)絡(luò)安全系統(tǒng)不是一勞永逸的事情。 對于 證券網(wǎng)絡(luò) 安全體系的建立，我們建議采取以上的原則，先對整個(gè)網(wǎng)絡(luò)進(jìn)行整體的安全規(guī)劃，然后根據(jù)實(shí)際狀況建立一個(gè)從防護(hù) 檢測 響應(yīng)的基礎(chǔ)的安全防護(hù)體系，提高整個(gè)網(wǎng)絡(luò)基礎(chǔ)的安全性，保證應(yīng)用系統(tǒng)的安全性。 證券網(wǎng)絡(luò)總部是一個(gè)信息點(diǎn)較為密集的局域網(wǎng)網(wǎng)絡(luò)系統(tǒng)，本方案針對證券行業(yè)現(xiàn)狀，不僅考慮防范來自總部局域網(wǎng)以外的攻擊，同時(shí)考慮防范系統(tǒng)內(nèi)部可能發(fā)生的攻擊，嚴(yán)格保障證券網(wǎng)絡(luò)內(nèi)部關(guān)鍵節(jié)點(diǎn)的安全，從而較為有效地保障整個(gè)系統(tǒng)的安全，通過對證券網(wǎng)絡(luò)進(jìn)行網(wǎng)絡(luò)風(fēng)險(xiǎn)分析和評(píng)估，結(jié)合適度的經(jīng)費(fèi)預(yù)算及未來的網(wǎng)絡(luò)安全的 動(dòng)態(tài)性，我們進(jìn)行如下方案設(shè)計(jì)。 2） 在公司總部和各地營業(yè)部連接的路由器之后接入防火墻，保證各地營業(yè)部聯(lián)入總部的數(shù)據(jù)是網(wǎng)絡(luò)安全管理員認(rèn)為合法的，其他非法的數(shù)據(jù)流量通過防火墻進(jìn)行硬件阻斷。對一些比較敏感的協(xié)議（比如 FTP），可以通過 Sniper 進(jìn)行控制。 7） 在網(wǎng)絡(luò)中心建立網(wǎng)絡(luò)管理服務(wù)器，使用方正 Netinway Pro 產(chǎn)品對整個(gè)證券網(wǎng)絡(luò)的目前各個(gè)端口的狀況、實(shí)時(shí)流量做到心里有數(shù)，對于關(guān)鍵的服務(wù)器流量異常時(shí)報(bào)警通知網(wǎng)絡(luò)管理員。 8） 在辦公網(wǎng)絡(luò)安裝方正 Netinhand 桌面管理軟件，可以大幅度減輕網(wǎng)絡(luò)管理員的日常維護(hù)工作，不僅可以提供系統(tǒng)和數(shù)據(jù)存儲(chǔ)還原功能，還可以讓管理員在管理端任意配置客戶端計(jì)算機(jī)。 第二節(jié) 防火墻子系統(tǒng) 防火墻子系統(tǒng)如 下： 防火墻配置說明 對于證券總部網(wǎng)絡(luò)與所有外網(wǎng)連接出口，都需要使用防火墻進(jìn)行防護(hù)。 在公司和證交所網(wǎng)絡(luò)、本地營業(yè)部、外地營業(yè)部之間的數(shù)據(jù)鏈路中，配置接入防火墻。 在各地的營業(yè)所的路由器后，接入方通防火墻，這些防火墻主要起隔離作用，同樣設(shè)置對保護(hù)對象（各地營業(yè)所網(wǎng)絡(luò)）的訪問只允許證券業(yè)務(wù)數(shù)據(jù)通過，其他無關(guān)通訊流量通過防火墻安全規(guī)則予以阻斷。 第三節(jié) 入侵檢測與信息監(jiān)控 子系統(tǒng) 入侵檢測與信息監(jiān)控 子系統(tǒng)如下： 入侵檢測與信息監(jiān)控配置說明 在方正方通 VPN20xx 設(shè)備上的黑區(qū)（注：黑區(qū)是防 火墻其余端口的映射口）上接入方正 Sniper 入侵檢測設(shè)備。 方正 Sniper 是一個(gè)網(wǎng)絡(luò)行為的監(jiān)視響應(yīng)行為，在進(jìn)行入侵檢測工作的同時(shí)，可以對常用的協(xié)議（比如 smtp、 ftp、 tel 等等）進(jìn)行監(jiān)控。 第四節(jié) VPN 子系統(tǒng) VPN 子系統(tǒng)如下： VPN 子系統(tǒng)配置說明 證券公司有些員工在出差的時(shí)候需要訪問公司內(nèi)部局域網(wǎng)，可以通過撥號(hào)服務(wù)器進(jìn)行接入。這樣，給移動(dòng)辦公帶來方便的同時(shí)，也根據(jù)不同用戶可以訪問不同網(wǎng)絡(luò)資源的原則，從管理上提高了整個(gè)證券網(wǎng)絡(luò)的安全性。對于整個(gè)網(wǎng)絡(luò)目前鏈路的情況也可以通過網(wǎng)管軟件實(shí)時(shí)了解情況。方正 Netinhand 提供系統(tǒng)和數(shù)據(jù)存儲(chǔ)備份還原功能，使得在系統(tǒng)出現(xiàn)問題，重要文件丟失的情況下，可以通過 Netinhand 進(jìn)行系統(tǒng)和數(shù)據(jù)還原。我們在方通 VPN20xx 的 DMZ 區(qū)域中設(shè)立一個(gè)防病毒的代理服務(wù)器，它的主要作用就是自動(dòng)定期（每天）到熊貓的網(wǎng)站下去下載最新的病毒庫升級(jí)文件，并把自身的病毒庫升級(jí)為最新。防病毒服務(wù)器同時(shí)也可以作為整個(gè)辦公網(wǎng)絡(luò)的域服務(wù)器，其他計(jì)算機(jī)在開機(jī)的同時(shí)使用各自的域用戶進(jìn)行域登錄，這樣通過 Windows 的 Active Directory 對每個(gè)用戶對網(wǎng)絡(luò)資源訪問權(quán)限進(jìn)行定義，會(huì)達(dá)到更好的效果。 。 如果證券系統(tǒng)開通了網(wǎng)上交易，我們建議在總部建立一個(gè) CA（證書服務(wù)）服務(wù)器，對每個(gè)可以網(wǎng)上交易的客戶發(fā)放一個(gè) USB 證書，在使用口令和密碼保護(hù)的同時(shí)，使用 USB key進(jìn)行身份認(rèn)證，保證交易不可抵賴和不被篡改。其中，在內(nèi)部局域網(wǎng)中，設(shè)立一臺(tái)防病毒的分發(fā)和控制服務(wù)器，安裝熊貓防病毒軟件的主控端（熊貓管理員 Panda Administrator），其主要作用是進(jìn)行防病毒軟件分發(fā)和作為了解網(wǎng)絡(luò)內(nèi)部查殺病毒情況的服務(wù)器 。同時(shí)，Netinhand 擁有強(qiáng)大的資產(chǎn)管理功能，可以收集到客戶端計(jì)算機(jī)上裝有的軟件列表和硬件信息，并生成完善的報(bào)表，成為資產(chǎn)審計(jì)部門不可或缺的 IT 資產(chǎn)管理工具。兩套網(wǎng)管系統(tǒng)互相補(bǔ)充，可以做到網(wǎng)絡(luò)管理最優(yōu)的效果。 Netinway Pro 是基于標(biāo)準(zhǔn) SNMP（簡單網(wǎng)絡(luò)管理協(xié)議）的網(wǎng)絡(luò)管理軟件，功能非常強(qiáng)大，可以了解大規(guī)模網(wǎng)絡(luò)中網(wǎng)絡(luò)設(shè)備和計(jì)算機(jī)實(shí)時(shí)的狀況，并針對各個(gè)級(jí)別的故障作出反應(yīng)。方正 VPN（虛擬局域網(wǎng)）不僅對數(shù)據(jù)進(jìn)行加密，而且可以是在外工作的員工感覺就像在公司局域網(wǎng)內(nèi)部一樣，可以訪問經(jīng)過授權(quán)的局域網(wǎng)內(nèi)的任何網(wǎng)絡(luò)資源，給在外的員工帶來了極大的方便。方正 Sniper 可以做到對 Inter 的訪問控制（ URL 控制），可以幫助網(wǎng)絡(luò)管理人員控制網(wǎng)絡(luò)使用，杜絕員工上班時(shí)間訪問與工作無關(guān)的網(wǎng)站（例如游戲、色情、聊天網(wǎng)站等等）。一旦 Sniper 發(fā)現(xiàn)有來自 Inter 的入