【正文】 的可?能性和快速?性。 監(jiān)測監(jiān)控系?統(tǒng)可以達到?兩個方面作?用，首先監(jiān)測監(jiān)?控系統(tǒng)可以?在指定的時?間內(nèi)記錄所?有的連接信?息，任何非法的?連接信息都?將留下證據(jù)?，而且出現(xiàn)指?定的非法網(wǎng)?絡(luò)連接時，系統(tǒng)將進行?報警或掛斷?連接操作，為管理網(wǎng)絡(luò)?安全，保證網(wǎng)絡(luò)上?的信息符合?國家法規(guī)提?供了保障，這一點是防?火墻無法實?現(xiàn)的，也是政府網(wǎng)?絡(luò)所必須要?求的，從內(nèi)網(wǎng)方面?補充了網(wǎng)絡(luò)?的安全另一?面。數(shù)據(jù)(下至個人郵?箱及表格中?的數(shù)據(jù))必須保持高?可用性，且不應(yīng)對整?個企業(yè)造成?影響。l 預(yù)防措施l 防護措施l 補救措施、預(yù)防措施一個安全的?網(wǎng)絡(luò)首先做?好預(yù)防措施?，做好預(yù)防工?作是提高網(wǎng)?絡(luò)安全，減少網(wǎng)絡(luò)事?故，保證網(wǎng)絡(luò)暢?通，減少數(shù)據(jù)丟?失的前提。動態(tài)安全目?標 提升證券信?息系統(tǒng)的安?全軟環(huán)境，包括安全管?理、安全服務(wù)、安全思想意?識和人員的?安全專業(yè)素?質(zhì)。網(wǎng)絡(luò)安全不?是幾種安全?產(chǎn)品的集合?，它作為一項?系統(tǒng)工程已?經(jīng)形成了自?己的專業(yè)體?系，沒有先進科?學(xué)的知識結(jié)?構(gòu)很難對此?進行全面細?致的把握；網(wǎng)絡(luò)安全系?統(tǒng)存在固有?弱點，即使最微小?的安全漏洞?都可能引發(fā)?整個網(wǎng)絡(luò)系?統(tǒng)的崩潰；同時網(wǎng)絡(luò)安?全處在信息?產(chǎn)業(yè)飛速發(fā)?展的大環(huán)境?下，現(xiàn)有的系統(tǒng)?安全只是暫?時的、靜態(tài)的，所有這些問?題都必須通?過持續(xù)全面?的安全服務(wù)?來解決。1. 按照技術(shù)管?理目標，展開對最新?網(wǎng)絡(luò)安全技?術(shù)的跟蹤研?究，并就證券行?業(yè)信息系統(tǒng)?的安全技術(shù)?進行交流、探討，從而提出本?公司的網(wǎng)絡(luò)?安全技術(shù)和?管理策略。安全目標管?理在信息處理?系統(tǒng)工作的?人員不要打?聽、了解或參與?職責(zé)以外的?任何與安全?有關(guān)的事情?，除非系統(tǒng)主?管領(lǐng)導(dǎo)批準?。職責(zé)分離原?則、安全管理面對網(wǎng)絡(luò)安?全的脆弱性?，除了運用先?進的網(wǎng)絡(luò)安?全技術(shù)和安?全系統(tǒng)外，完善的網(wǎng)絡(luò)?安全管理將?是信息系統(tǒng)?建設(shè)重要組?成部分，許多不安全?的因素恰恰?反映在組織?資源管理上?，安全管理應(yīng)?該貫穿在安?全的各個層?次上。、數(shù)據(jù)安全 數(shù)據(jù)安全牽?涉到數(shù)據(jù)庫?的安全和數(shù)?據(jù)本身安全?，針對兩者應(yīng)?有相應(yīng)的安?全措施。密鑰的長度?越長，密碼空間就?越大（對于模長為?n位的密碼?，其有效密碼?空間為2n?），采用“窮舉”方式攻擊的?代價就越大?。CA中心的?密鑰安全 數(shù)字證書的?安全性和可?靠性主要依?靠CA認證?中心的數(shù)字?簽名來保證?，而CA的數(shù)?字簽名是使?用自身的私?有密鑰運算?產(chǎn)生的。實時監(jiān)控 為防止非法?入侵和暴力?破壞，CA機房應(yīng)?設(shè)立智能化?門禁系統(tǒng)，配備實時監(jiān)?控系統(tǒng)和安?全時鐘，記錄開/關(guān)門、每次授權(quán)進?出的活動。CA中心機?房，應(yīng)配備先進?的門禁管理?系統(tǒng)，防止非授權(quán)?人員的無意?或有意進入?。所以，CA認證中?心在管理上?必須制定嚴?密的策略。 8 管理漏洞 CA系統(tǒng)的?安全性除了?技術(shù)方面的?因素外，管理也是一?個非常重要?的因素。這類攻擊一?般采取暴力?手段，破壞通信設(shè)?施，甚至使用高?能量的電磁?脈沖發(fā)射設(shè)?備摧毀系統(tǒng)?的電子元器?件。4〉通信監(jiān)視 通信監(jiān)視是?一種在通信?過程中從信?道進行搭線?竊聽的攻擊?方式。這種攻擊主?要發(fā)生在C?A管理人員?內(nèi)部，需要重點防?范，嚴格控制不?同管理員的?權(quán)限。攻擊者一般?采取偽裝或?利用系統(tǒng)的?薄弱環(huán)節(jié)（如繞過檢測?控制）、收集情報（如口令）等方式實現(xiàn)?。、CA認證機?構(gòu)面臨的威?脅CA所提供?的服務(wù)是通?過Inte?rnet實?施的，面臨來自I?ntern?et攻擊威?脅。數(shù)字證書是?一個經(jīng)證書?授權(quán)中心數(shù)?字簽名的包?含公開密鑰?擁有者信息?以及公開密?鑰的文件。在證券交易?中通常把兩?者結(jié)合使用?，達到高效安?全的目的。前者由信用?卡機構(gòu)VI?SA及Ma?sterC?ard提出?的針對電子?錢包/商場/認證中心的?安全標準，主要用于銀?行等金融機?構(gòu)；后者由NE?TSCAP?E公司提出?針對數(shù)據(jù)的?機密性/完整性/身份確認/開放性的安?全協(xié)議，事實上已成?為WWW應(yīng)?用安全標準?，也是證券網(wǎng)?上交易的標?準安全協(xié)議?。業(yè)務(wù)系統(tǒng) 主要面向業(yè)?務(wù)管理和信?息服務(wù)的安?全需求，例如在證券?交易管理中?采取集中統(tǒng)?一的監(jiān)管系?統(tǒng)，對業(yè)務(wù)流實?時進行監(jiān)控?、統(tǒng)計、分析、查詢，防止違規(guī)操?作，化解安全風(fēng)?險；對通用信息?服務(wù)系統(tǒng)（電子郵件系?統(tǒng)、WEB信息?服務(wù)系統(tǒng)、FTP服務(wù)?系統(tǒng)等）采用基于應(yīng)?用開發(fā)安全?軟件，如安全郵件?系統(tǒng)、WEB頁面?保護；對業(yè)務(wù)信息?可以配合管?理系統(tǒng)采取?對信息內(nèi)容?的審計稽查?，防止外部非?法信息侵入?和內(nèi)部敏感?信息泄漏。系統(tǒng)掃描 基于主機的?安全評估系?統(tǒng)是在嚴格?的基礎(chǔ)上對?系統(tǒng)的安全?風(fēng)險級別進?行劃分，并提供完整?的安全漏洞?檢查列表，通過不同版?本的操作系?統(tǒng)進行掃描?分析，對掃描漏洞?自動修補形?成報告，保護應(yīng)用程?序、數(shù)據(jù)免受盜?用、破壞。應(yīng)用安全 面向應(yīng)用選?擇可靠的操?作系統(tǒng)并按?正確的操作?流程使用計?算機系統(tǒng)，杜絕使用來?歷不明的軟?件，安裝操作系?統(tǒng)保護與恢?復(fù)軟件并作?相應(yīng)的備份?。網(wǎng)絡(luò)掃描監(jiān)?測系統(tǒng)作為?對付電腦黑?客最有效的?技術(shù)手段，具有實時、自適應(yīng)、主動識別和?響應(yīng)等特征?，廣泛用于各?行各業(yè)。鏈路加密側(cè)?重通信鏈路?而不考慮信?源和信宿，他對網(wǎng)絡(luò)高?層主體是透?明的。證券系統(tǒng)的?防火墻配置?在證券公司?交易系統(tǒng)與?公網(wǎng)的交界?處（包括INT?ERNET?、系統(tǒng)內(nèi)部廣?域網(wǎng)、相關(guān)業(yè)務(wù)網(wǎng)?絡(luò)）和公司重要?的子網(wǎng)出口?。針對證券網(wǎng)?絡(luò)系統(tǒng)特點?一般把證券?交易的業(yè)務(wù)?系統(tǒng)網(wǎng)絡(luò)與?內(nèi)部辦公網(wǎng)?絡(luò)進行嚴格?的物理隔離?，存儲媒介則?根據(jù)重要程?度嚴格區(qū)分?并只能通過?第三方進行?交換；對業(yè)務(wù)網(wǎng)絡(luò)?或辦公網(wǎng)絡(luò)?采用VLA?N技術(shù)和通?信協(xié)議實行?邏輯隔離劃?分不同的應(yīng)?用子網(wǎng)。、系統(tǒng)安全系統(tǒng)安全主?要關(guān)注網(wǎng)絡(luò)?系統(tǒng)、操作系統(tǒng)和?應(yīng)用系統(tǒng)三?個層次。 備份與恢復(fù)?技術(shù)網(wǎng)絡(luò)整體解?決方案、安全體系 按照安全策?略的要求及?風(fēng)險分析的?結(jié)果，證券網(wǎng)絡(luò)公?司網(wǎng)絡(luò)安全?措施應(yīng)根據(jù)?證券網(wǎng)絡(luò)的?行業(yè)特點以?及符合證監(jiān)?會的證券經(jīng)?營機構(gòu)信息?系統(tǒng)安全指?標體系，按照網(wǎng)絡(luò)安?全的整體構(gòu)?想來建立，具體的安全?控制系統(tǒng)由?以下幾方面?組成： 、物理安全 保證計算機?信息系統(tǒng)各?種設(shè)備的物?理安全是整?個計算機信?息系統(tǒng)安全?的前提。 入侵監(jiān)測技?術(shù) 訪問控制技?術(shù) 、安全體系結(jié)?構(gòu)根據(jù)上述安?全策略，整體安全體?系中網(wǎng)絡(luò)安?全工程必須?實施：安全防護、檢測、響應(yīng)系統(tǒng)，安全體系結(jié)?構(gòu)如下表。應(yīng)該避免安?全設(shè)備各自?獨立配置和?管理 的工作方式?。目前的各種?網(wǎng)絡(luò)安全產(chǎn)?品大多是基?于這四個方?面開發(fā)研制?的。由于病毒造?成數(shù)據(jù)丟失?或損壞，系統(tǒng)癱瘓，同樣和黑客?入侵造成的?損失一樣嚴?重.提高網(wǎng)絡(luò)安?全性的技術(shù)?手段解決網(wǎng)絡(luò)安?全問題是一?個系統(tǒng)的、多層次的問?題, 任何一種安?全技術(shù)都無?法解決所有?的安全問題?, 只有綜合多?種安全技術(shù)?, 才有可能全?面提高整個?系統(tǒng)的安全?性及安全級?別。 黑客組織變?得越來越龐?大而嚴密。任何一個有?條件對通信?進行監(jiān)測的?人都可以進?行上述攻擊?, 這種形式的?攻擊相對比?較容易成功?, 且事后很難?進行追查。 、局域網(wǎng)上的?安全風(fēng)險 在局域網(wǎng)中?，由于管理不?當(dāng)，可以造成物?理性網(wǎng)絡(luò)安?全問題。 、數(shù)據(jù)的安全?風(fēng)險 在網(wǎng)上傳輸?的指令、數(shù)據(jù)有可能?被某些個人?、團體或機構(gòu)?通過某種渠?道截取、篡改、重發(fā)。 在因特網(wǎng)上?可能有人采?用相似的名?稱和外觀仿?冒證券網(wǎng)站?和服務(wù)器， 用于騙取投?資者的數(shù)據(jù)?資料。 因特網(wǎng)是全?球性公共網(wǎng)?絡(luò)，并不由任何?一個機構(gòu)所?控制。 OA應(yīng)用系?統(tǒng)的風(fēng)險主?要是涉及不?同地區(qū)、不同部門的?資源有限共?享時被內(nèi)部?人員不安全?使用造成口?令失竊、文電丟失泄?密，以及在與外?界進行郵件?往來時帶來?病毒和黑客?進入的隱患?。 網(wǎng)絡(luò)系統(tǒng)缺?乏安全可靠?的網(wǎng)絡(luò)通信?協(xié)議和網(wǎng)絡(luò)?安全設(shè)備，使網(wǎng)絡(luò)黑客?容易利用網(wǎng)?絡(luò)設(shè)計和協(xié)?議漏洞進行?網(wǎng)絡(luò)攻擊和?信息竊取，例如未經(jīng)授?權(quán)非法訪問?證券系統(tǒng)內(nèi)?部網(wǎng)絡(luò)、對電話網(wǎng)進?行監(jiān)聽、對系統(tǒng)的安?全漏洞進行?探測掃描、遠程登陸交?易、行情服務(wù)器?并對數(shù)據(jù)進?行篡改、對通信線路?、服務(wù)器實施?洪流攻擊造?成線路涌塞?和系統(tǒng)癱瘓?等。 電子、電力設(shè)備本?身固有缺陷?和弱點及所?處環(huán)境容易?在人員誤操?作或外界誘?發(fā)下發(fā)生故?障 、系統(tǒng)安全風(fēng)險系統(tǒng)風(fēng)?險在三個方?面：網(wǎng)絡(luò)系統(tǒng)、操作系統(tǒng)和?應(yīng)用系統(tǒng)。證券公司網(wǎng)?絡(luò)風(fēng)險分析?、安全風(fēng)險 證券網(wǎng)絡(luò)系?統(tǒng)的安全風(fēng)?險主要來自?網(wǎng)絡(luò)設(shè)施物?理特性的安?全、網(wǎng)絡(luò)系統(tǒng)平?臺的安全、網(wǎng)上交易的?安全、數(shù)據(jù)存儲的?安全。重放：錄制合法、正常的交互?信息，然后在適當(dāng)?時機重放。如系統(tǒng)管理?員、內(nèi)部操作員?都較容易進?入系統(tǒng)進行?攻擊，熟悉計算機?系統(tǒng)的“黑客”也能輕易進?入網(wǎng)絡(luò)發(fā)起?攻擊。信息流量和?流向分析：對網(wǎng)絡(luò)中的?信息流量和?信息流向進?行分析，然后得出有?價值的情報?。被動攻擊一?般在信息系?統(tǒng)的外部進?行，即來自從公?共網(wǎng)或搭線?發(fā)起的攻擊?，它們對信息?網(wǎng)絡(luò)本身一?般不造成損?壞，系統(tǒng)仍可正?常運行，但有用的信?息可能被盜?竊并被用于?非法目的。網(wǎng)絡(luò)安全風(fēng)?險分析、風(fēng)險分析概?述通常講計算?機網(wǎng)絡(luò)系統(tǒng)?所面臨的威?脅大體可分?為兩種：一是對網(wǎng)絡(luò)?中信息的威?脅；二是對網(wǎng)絡(luò)?中設(shè)備的威?脅。一些事實證?明，其危害遠比?黑客的攻擊?來得大，比如由于軟?件故障產(chǎn)生?的停電、墜機等事件?的發(fā)生等。當(dāng)計算機網(wǎng)?絡(luò)技術(shù)日益?普及與提高?，為社會生活?各方面帶來?極大便利時?，不可避免地?也帶來了一?些負面影響?，較為突出的?是計算機信?息網(wǎng)絡(luò)的安?全保密問題?，如果解決不?好，國家安全和?利益將受到?損害，也勢必危及?信息化事業(yè)?的健康，由于部分居?心叵測的使?用者受到一?些不可告人?的利益的驅(qū)?動，這部分人不?可避免地帶?來了涉及網(wǎng)?絡(luò)安全應(yīng)用?和服務(wù)的種?種安全問題?。這就要求我?們對于In?terne?t互連所帶?來的安全性?問題予以足?夠重視。通過使用I?ntern?et技術(shù)，任何一個單?位或部門的?數(shù)據(jù)資料的?傳輸和存取?都變得方便?、快捷，也使金融、貿(mào)易往來更?方便、更快捷、更頻繁?；ヂ?lián)網(wǎng)技術(shù)?的迅猛發(fā)展?使各行業(yè)通?過利用In?terne?t來提高辦?事效率、市場反應(yīng)速?度，改變經(jīng)營模?式等，以便在市場?經(jīng)濟的大潮?中更具競爭?力。然而，由于在早期?網(wǎng)絡(luò)協(xié)議設(shè)?計上對安全?問題的忽視?，以及在使用?和管理的無?政府狀態(tài)，逐漸使In?terne?t自身的安?全受到嚴重?威脅，與他有關(guān)的?安全事故屢?有發(fā)生。然而，事物的發(fā)展?總是利弊共?生的。另一方面，是指網(wǎng)絡(luò)由?于自身缺陷?出現(xiàn)漏洞所?產(chǎn)生的安全?問題，后者的威脅?其實更大，這種隱患一?般存在于軟?件操作系統(tǒng)?和應(yīng)用系統(tǒng)?的“BUG”(導(dǎo)致計算機?出錯的“臭蟲”)中隨機產(chǎn)生?。受到這樣的?互聯(lián)網(wǎng)上出?現(xiàn)的風(fēng)浪的?影響，業(yè)界普遍認?為每個企業(yè)?在考慮內(nèi)部?共享資源和?向公眾提供?服務(wù)時，應(yīng)該根據(jù)自?身業(yè)務(wù)的特?點和需求，本著切合實?際、保護資源和?著眼未來的?原則， 建立一套滿?足需求而且?安全的網(wǎng)絡(luò)?結(jié)構(gòu)體系。這兩種攻擊?均可對證券?公司網(wǎng)絡(luò)系?統(tǒng)造成極大?的危害，危害網(wǎng)絡(luò)的?正常運行，并導(dǎo)致敏感?數(shù)據(jù)的泄漏?。密碼分析：對截獲的已?加密信息進?行密碼破譯?，從中獲取有?價值的信息??？赡艿闹鲃?攻擊手段主?要包括：入侵：通過系統(tǒng)或?網(wǎng)絡(luò)的漏洞?、搭線、遠程訪問、盜取口令、借系統(tǒng)管理?之便等方法?進入系統(tǒng)，非法查閱文?件資料、更改數(shù)據(jù)、拷貝數(shù)據(jù)、甚至破壞系?統(tǒng)、使系統(tǒng)癱瘓?等。插入：在正常的數(shù)?據(jù)流中插入?偽造的信息?或數(shù)據(jù)。病毒：向系統(tǒng)注入?病毒（能夠進行自?我復(fù)制的程?序），運行后可能?損壞文件、使系統(tǒng)癱瘓?，造成各種難?以預(yù)料的后?果。 人為引起設(shè)?備被盜、被毀或外界?的電磁干擾?使通信線路?中斷 、網(wǎng)上交易的?安全風(fēng)險 由于網(wǎng)絡(luò)交?易的非接觸?性，交易雙方可?能對交易結(jié)?果進行抵賴?。 網(wǎng)上發(fā)布的?證券交易行?情信息可能?滯后，與真實情況?不完全一致?。 網(wǎng)站發(fā)布的?信息數(shù)據(jù)（包括分析、預(yù)測性資料?）有可能被更?改、刪除，給證券公司?帶來損失。、廣域網(wǎng)上的?安全風(fēng)險 由于廣域網(wǎng)?通常采用公?網(wǎng)傳輸數(shù)據(jù)?, 因而在廣域?網(wǎng)上進行傳?輸時信息就?可能受到各?種各樣的攻?擊, 包括偵聽竊?密、非法修改、冒名頂替、惡意破壞等?。如通過互聯(lián)?網(wǎng)可以獲取?大量關(guān)于系?統(tǒng)內(nèi)在缺陷?的最新資料?。網(wǎng)絡(luò)中任何?一臺電腦受?到了病毒的?感染，就有可能感?染網(wǎng)絡(luò)中的?所有計算機?。每種技術(shù)都?有其獨到之?處。（2） 系統(tǒng)性：安全模塊和?設(shè)的引入應(yīng)?該體現(xiàn)其系?統(tǒng)統(tǒng)一到運?行和管理的?特性，以確保安全?策略配置、實施的正確?性和一致性?。（5） 動態(tài)性：由于網(wǎng)絡(luò)信?息系統(tǒng)的建?設(shè)和發(fā)展是?逐步進行的?，而安全技術(shù)?和產(chǎn)品也不?斷更新和完?善，因此，安全設(shè)計應(yīng)?該在保護現(xiàn)?有資源的基?礎(chǔ)上，體現(xiàn)最新、最成熟的安?全技術(shù)和產(chǎn)?品，以滿足網(wǎng)絡(luò)?安全系統(tǒng)安?全目標。 網(wǎng)絡(luò)隔離技?術(shù) 數(shù)字簽名技?術(shù) 病毒防治技?術(shù) 設(shè)備安全：主要包括設(shè)?備的防盜、防毀、防電磁信息?輻射泄漏、防止線路截?獲、抗電磁干擾?及電源保護?等；媒體安全：包括媒體數(shù)?據(jù)的安全及?媒體本身的?安全。系統(tǒng)隔離 分為物理隔?離和邏輯隔?離，主要從網(wǎng)絡(luò)?安全等級考?慮劃分合理?的網(wǎng)絡(luò)安全?邊界，使不同安全?級別的網(wǎng)絡(luò)?或信息媒介?不能相互訪?問，從而達到安?全目的。訪問控制最?重要的設(shè)備?