【正文】 的方式，可以把已經(jīng)通過(guò) Sniffer 檢查出來(lái)的與交易無(wú)關(guān)的包的源地址給屏蔽掉，不讓包進(jìn)行內(nèi)部系統(tǒng)。 . 連接各營(yíng)業(yè)點(diǎn)的網(wǎng)段 連接各營(yíng)業(yè)點(diǎn)的網(wǎng)段是連接公司總部與各分公司的接口，各營(yíng)業(yè)點(diǎn)通過(guò) 到總公司的 3 主干路由器上。 ? 對(duì) Email 類，內(nèi)部網(wǎng)采用 HP OpenMail ，而 Inter 采用 SMTP 協(xié)議， 建議設(shè)立一臺(tái)電子郵件轉(zhuǎn)發(fā)服務(wù)器（ MX），部署在 DMZ1 里，對(duì)內(nèi)部 HP OpenMail 的郵件和 Inter 的 SMTP 郵件進(jìn)行轉(zhuǎn)發(fā)。建議： a. 在撥號(hào)上網(wǎng)的主機(jī)上配置物理隔離卡，當(dāng)用戶上網(wǎng)時(shí)，物理隔離卡可以把硬盤(pán)分為上網(wǎng)部分與安全部分，這兩部分將相互隔離， 這樣就保證了有非法用戶通過(guò)該機(jī)進(jìn)入內(nèi)部系統(tǒng)。 在“初步設(shè)想”中，在本方案中，考慮到服務(wù)的交集會(huì)給防火墻安全策略的制定帶來(lái)不便，形成潛在的安全隱患，并且也不利于整個(gè)網(wǎng)絡(luò)安全的管理，因此我們將 vpn 網(wǎng)關(guān)相應(yīng)服務(wù)器分別部署在對(duì)應(yīng)的網(wǎng)段中，而將對(duì)內(nèi)服務(wù)的服務(wù)器放到內(nèi)部網(wǎng)絡(luò)中的內(nèi)部服務(wù) 子網(wǎng)中。 其總體結(jié)構(gòu)如下： 1). 內(nèi)部網(wǎng)絡(luò)系統(tǒng)： 包括： ? LAN1， LAN2…..LAN8 等內(nèi)部網(wǎng)段； ? 內(nèi)部服務(wù)子網(wǎng) 即 [初步設(shè)想 ]的 VPN 的部分。 為確保系統(tǒng)的安全性保持穩(wěn)定，我們介紹了各種安全產(chǎn)品的平臺(tái)要求，以及升級(jí)的保證方式和途徑。 ? 設(shè)立安全監(jiān)控中心： 為信息系統(tǒng)提供安全體系管理、監(jiān)控，保護(hù)及緊急情況服務(wù)。 ? 認(rèn)證： 良好的認(rèn)證體系可防止攻擊者假冒合法用戶 。 . 安全產(chǎn)品選型原則 在進(jìn)行 湖南證券股份有限有限公司網(wǎng)絡(luò)安全方案的產(chǎn)品選型時(shí)，要求安全產(chǎn)品至少應(yīng)包含以下功能： ? 訪問(wèn)控制： 通過(guò)對(duì)特定網(wǎng)段、服務(wù)建立的訪問(wèn)控制體系，將絕大多數(shù)攻擊阻止在到達(dá)攻擊目標(biāo)之前。 隨著企業(yè)個(gè)人與個(gè)人之間、各部門之間、企業(yè)和企 業(yè)之間、國(guó)際間信息交流的日益頻繁，信息傳輸?shù)陌踩猿蔀橐粋€(gè)重要的問(wèn)題。 在網(wǎng)絡(luò)層，可通過(guò)對(duì)不同子網(wǎng)的定義和對(duì)路由器的路由表控制來(lái)限制子網(wǎng)間的接點(diǎn)通信，通過(guò)對(duì)主機(jī)路由表的控制來(lái)控 制與之直接通信的節(jié)點(diǎn)。 湖南證券股份有限公司網(wǎng)絡(luò)安全方案建議書(shū) 共 59 頁(yè) 第 17 頁(yè) 總之，制定系統(tǒng)安全策略、安裝網(wǎng)絡(luò)安全系統(tǒng)只是網(wǎng)絡(luò)系統(tǒng)安全性實(shí)施的第一步，只有當(dāng)各級(jí)組織機(jī)構(gòu)均嚴(yán)格執(zhí)行網(wǎng)絡(luò)安全的各項(xiàng)規(guī)定，認(rèn)真維護(hù)各自負(fù)責(zé)的分系統(tǒng)的網(wǎng)絡(luò)安全性，才能保證整個(gè)系統(tǒng) 網(wǎng)絡(luò)的整體安全性。 ? 建立人員雇用和解聘制度，對(duì)工作調(diào)動(dòng)和離職人員要及時(shí)調(diào)整相應(yīng)的授權(quán)。 ? 制訂完備的系統(tǒng)維護(hù)制度。 ? 制訂相應(yīng)的機(jī)房出入管理制度。 (2)任期有限原則 一般地講，任何人最好不要長(zhǎng)期擔(dān)任與安全有關(guān)的職務(wù)，以免誤認(rèn)為這個(gè)職務(wù)是專有的或永久性的。 2). 技術(shù)策略 技術(shù)策略要針對(duì)網(wǎng)絡(luò)、操作系統(tǒng)、數(shù)據(jù)庫(kù)、信息共享授權(quán)提出具 體的措施。由于在這種廣域網(wǎng)分布式計(jì)算環(huán)境中，相對(duì)于過(guò)去的局域網(wǎng)、主機(jī)環(huán)境、單機(jī)環(huán)境，安全問(wèn)題變得越來(lái)越復(fù)雜和突出，所以網(wǎng)安全風(fēng)險(xiǎn)分析成為制定有效的安全管理策略和選擇有作用的安全技術(shù)實(shí)施措施的基礎(chǔ) 依據(jù)。 6). 多重保護(hù)原則 任何安全保護(hù)措施 都不是絕對(duì)安全的，都可能被攻破。實(shí)際上，在網(wǎng)絡(luò)建設(shè)之初就考慮網(wǎng)絡(luò)安全對(duì)策，比等網(wǎng)絡(luò)建設(shè)好后再考慮，不但容易，而且花費(fèi)也少得多。一個(gè)較好的安全措施往往是多種方法適當(dāng)綜合的應(yīng)用結(jié)果。 . 安全體系設(shè)計(jì) . 安全體系設(shè)計(jì)原則 在進(jìn)行計(jì)算機(jī)網(wǎng)絡(luò)安全設(shè)計(jì)、規(guī)劃時(shí)，應(yīng)遵循以下原則： 1). 需求、風(fēng)險(xiǎn)、代價(jià)平衡分析的原則 ： 對(duì)任一網(wǎng)絡(luò)來(lái)說(shuō)，絕對(duì)安全難以達(dá)到，也不一定必要。由于應(yīng)用平臺(tái)的系統(tǒng)非常復(fù)雜，通常采用多種技術(shù)（如 SSL 等）來(lái)增強(qiáng)應(yīng)用平臺(tái)的安全性。主要采用劃分 VLAN（局域網(wǎng)）、加密通訊（遠(yuǎn)程網(wǎng)）等手段。 . 遠(yuǎn)期目標(biāo) 全面部署湖南證券股份有限有限公司全局的整體安全防御系 統(tǒng)，鞏固和完善網(wǎng)絡(luò)安全及管理系統(tǒng)，使湖南證券股份有限有限公司信息網(wǎng)在安全的前提下更好、更方便、更有效的實(shí)現(xiàn)中央銀行的監(jiān)管職能。 ? 商業(yè)應(yīng)用： 商業(yè)應(yīng)用更要考慮嚴(yán)格的安全要求，而且還希望提供不停頓的服務(wù)。如通過(guò)電子郵件、FTP 引入病毒、危險(xiǎn)的 Java 或 ActiveX 應(yīng) 用等。 ? 入侵檢測(cè)，對(duì)于試圖破壞業(yè)務(wù)系統(tǒng)的惡意行為能夠及時(shí)發(fā)現(xiàn)、記錄和跟蹤，提供非法攻擊的犯罪證據(jù)。對(duì)于業(yè)務(wù)系統(tǒng)應(yīng)該具有最高的網(wǎng)絡(luò)安全措施。 . 具體各子系統(tǒng)的安全需求 湖南證券股份有限有限公司網(wǎng)絡(luò)部署了眾多的網(wǎng)絡(luò)設(shè)備、服務(wù)器，保護(hù)這些設(shè)備 的正常運(yùn)行，維護(hù)主要業(yè)務(wù)系統(tǒng)的安全，是湖南證券股份有限有限公司網(wǎng)絡(luò)的基本安全需求。授權(quán)和代理由防火墻來(lái)完成。 其中，目前最主要的安全威脅是來(lái)自網(wǎng)絡(luò)外部用戶（主要是分公司用戶和 Inter 用戶）的攻擊。 ? 來(lái)自 Inter 的 Web 瀏覽可能存在的惡意 Java/ActiveX 控件。而網(wǎng)絡(luò)安全主要是由處于中心節(jié)點(diǎn)的相關(guān)連接廣域網(wǎng)的路由器直接承擔(dān)對(duì)外部用戶的訪問(wèn)控制工作，且內(nèi)部網(wǎng)絡(luò)直接與外部網(wǎng)絡(luò)相連，對(duì)整個(gè)網(wǎng)絡(luò)安全形成了巨大的威脅。但因?yàn)閷?duì)公司的這些情況并不了解，所以暫時(shí)沒(méi)有進(jìn)行描述。 6）內(nèi)部部門之間的連接 公司的各個(gè)部門之間的網(wǎng)絡(luò)是相互連接的，對(duì)重要部門沒(méi)有進(jìn)行很好的安全保護(hù)，用戶可通過(guò)自己的計(jì)算機(jī)訪問(wèn)本部門和其他重要部門的數(shù)據(jù)。當(dāng)數(shù)據(jù) 由各個(gè)營(yíng)業(yè)點(diǎn)傳送到此后，再通過(guò)集中的服務(wù)器進(jìn)行業(yè)務(wù)處理。 3）內(nèi)部用戶訪問(wèn)外部 內(nèi)部用戶通過(guò)分別撥號(hào)上網(wǎng)的方式與外部進(jìn)行信息的交流，可以撥號(hào)上網(wǎng)的 Modem 可能 會(huì) 有 十 幾 個(gè) 。 . 網(wǎng)絡(luò)結(jié)構(gòu) 公司的網(wǎng)絡(luò)大致結(jié)構(gòu)示意圖，如下 圖所示 : 湖南證券股份有限公司網(wǎng)絡(luò)安全方案建議書(shū) 共 59 頁(yè) 第 8 頁(yè) 對(duì)網(wǎng)絡(luò)結(jié)構(gòu)的具體描述： 1) 外部用戶訪問(wèn)網(wǎng)上交易主機(jī) 外部用戶通過(guò) Inter 來(lái)訪問(wèn)網(wǎng)上交易主機(jī)，網(wǎng)上交易主機(jī)作為前置機(jī)讓外部用戶進(jìn)行查詢，前置機(jī)使用并口線（ RS232）與后臺(tái)的服務(wù)器進(jìn)行連接 ,當(dāng)用戶需要進(jìn)行證券交易時(shí)，向交易主機(jī)發(fā)出需要購(gòu)進(jìn)或拋出的股票的請(qǐng)求，交易主機(jī)再把客戶的信息傳給后臺(tái)的處理服務(wù)器，完成整個(gè)交易過(guò)程。安全網(wǎng)絡(luò)的建成，對(duì)于宏觀調(diào)控、預(yù)測(cè)、決策，更好地實(shí)現(xiàn)湖南證券股份有限中央的監(jiān)管職能起到了積極的作用。利用高性能的網(wǎng)絡(luò)安全環(huán)境，提供整體防病毒、防火墻、防黑客、數(shù)據(jù)加密、身份驗(yàn)證等于一身的功能，有效地保證秘密、機(jī)密文件的安全傳輸，嚴(yán)格地制止經(jīng)濟(jì)情報(bào)失、泄密現(xiàn)象發(fā)生，避免重大經(jīng)濟(jì)案件的發(fā)生。 .................................................. 48 PGP Certificatation Server .................................................. 48 第三層安全屏障：防火墻 Gauntlet Inter Firewall...................................................... 49 第四層安全屏障：網(wǎng)絡(luò)漏洞探測(cè)及黑客探測(cè) .............................................................. 50 Cybercop Monitor, Cybercop Scanner, Cybercop Sting， CASL ............................................... 50 附錄 C:美國(guó)網(wǎng)絡(luò)聯(lián)盟 (NAI)公司簡(jiǎn)介 .................................................................................. 53 Net Tools 54 VISIBILITY ..................................................................................................................... 54 SERVICE ......................................................................................................................... 54 Net Tools Secure 54 McAfee Total Virus Defense (TVD) .............................. 54 PGP Total Network Security (TNS) ............................... 55 Net Tools Manager ...................................................... 55 Sniffer Total Network Visibility (TNV).......................... 55 McAfee Total Service Desk (TSD) ................................ 55 湖南證券股份有限公司網(wǎng)絡(luò)安全方案建議書(shū) 共 59 頁(yè) 第 6 頁(yè) 市場(chǎng)份額： ............................................................... 55 湖南證券股份有限公司網(wǎng)絡(luò)安全方案建議書(shū) 共 59 頁(yè) 第 7 頁(yè) 1. 概述 . 湖南證券股份有限公司網(wǎng)絡(luò)安全項(xiàng)目的建設(shè)意義 一方面，隨著計(jì)算機(jī)技術(shù)、信息技術(shù)的發(fā)展，計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)必將成為公司各項(xiàng)業(yè)務(wù)的關(guān)鍵平臺(tái)。 湖南證券股份有限公司網(wǎng)絡(luò)安全方案建議書(shū) 共 59 頁(yè) 第 1 頁(yè) 湖南證券股份有限公司 網(wǎng)絡(luò)安全方案 建議書(shū) 湖南證券股份有限公司網(wǎng)絡(luò)安全方案建議書(shū) 共 59 頁(yè) 第 2 頁(yè) 目 錄 美國(guó)網(wǎng)絡(luò)聯(lián)盟公司 ................................................................................... 錯(cuò)誤 !未定義書(shū)簽。 . World Wide Web............................................................................................ 40 . 支持產(chǎn)品庫(kù) .................................................................................................. 40 . 技術(shù)支持與服務(wù) ........................................................................................... 40 . 服務(wù)內(nèi)容 ...................................................................................................... 40 . 服務(wù)方式 ...................................................................................................... 41 . 服務(wù)類型 ...................................................................................................... 41 . 基礎(chǔ)技術(shù)支持（ Primary Support） .................................... 41 . 優(yōu)先級(jí)服務(wù)（ Priority Support） .............