【正文】 侵行為存在，它會(huì)通過黑區(qū)口告知防火墻生成臨時(shí)規(guī)則阻止這部分非法數(shù)據(jù)流量，使得黑客無從下手。我們?cè)诳偛烤W(wǎng)絡(luò)中建立一個(gè)VPN 控制中心，安裝方正的 Center 20xxVPN 控制中心，這樣 VPN 控制中心可以對(duì)以上所有的防火墻進(jìn)行配置并對(duì) VPN 進(jìn)行管理。對(duì)于正常的證券業(yè)務(wù)流量，防火墻允許進(jìn)行數(shù)據(jù)交換，此外的數(shù)據(jù)流量通過防火墻的安全規(guī)則予以阻斷，這樣既提高了安全性又阻止了無關(guān)流量，也杜絕了局部的病毒擴(kuò)散到整個(gè)證券公司的網(wǎng)絡(luò)中。由于在聯(lián)入 Inter 的鏈路上危險(xiǎn)性最大，我們建議在防火墻的 DMZ（非軍事化區(qū)域）內(nèi)接入內(nèi)部系統(tǒng)的郵件代理服務(wù)器、 Web 代理服務(wù)器等等，并在防火墻上配置規(guī)則，保證外部因特網(wǎng)只能訪問 DMZ 區(qū)域中的服務(wù)器的相關(guān)服務(wù)，內(nèi)部網(wǎng)絡(luò)也只能訪問 DMZ 區(qū)域中的服務(wù)器的相關(guān)服務(wù)。 10） 如果需要，建議在證券網(wǎng)絡(luò)中建立證書（ CA）系統(tǒng)，對(duì)于用戶和股民發(fā)放 USB證書，保證擁有證書的人員才能夠正常交易，使數(shù)據(jù)篡改不可進(jìn)行，并使數(shù)據(jù)擁有不可抵賴性。由于證券網(wǎng)絡(luò)中設(shè)備大多數(shù)屬于 Cisco 設(shè)備，因此建議同時(shí)使用 Cisco Works 20xx 軟件，這套軟件可以對(duì)數(shù)據(jù)線路的情況做實(shí)時(shí)的檢測(cè)，而且也可以對(duì) Cisco設(shè)備做細(xì)致的配置工作。 5） 對(duì)于來自 Inter 的網(wǎng)絡(luò)入侵攻擊行為，通過接在方通防火墻黑區(qū)口的方正入侵檢測(cè)設(shè)備進(jìn)行識(shí)別，并通過防火墻聯(lián)動(dòng)進(jìn)行防護(hù)。 3） 在方通 VPN 20xx 的黑區(qū)（可以監(jiān)控進(jìn)出防火墻數(shù)據(jù)的端口）處接入 Founder Sniper入侵監(jiān)測(cè)產(chǎn)品，對(duì)所有訪問 Inter 的數(shù)據(jù)流量進(jìn)行監(jiān)聽和控制，這臺(tái) Founder Sniper 另外兩個(gè)監(jiān)聽口聯(lián)入主干交換機(jī)，對(duì)整個(gè)網(wǎng)絡(luò)的數(shù)據(jù)流量進(jìn)行監(jiān)控，如果發(fā)現(xiàn)內(nèi)部員工的非法訪問和網(wǎng)絡(luò)攻擊行為，及時(shí)進(jìn)行報(bào)警和預(yù)先設(shè)定好的策略進(jìn)行響應(yīng)。 1） 在證券總部聯(lián)入 Inter 出口處配置一臺(tái)方通 VPN20xx 防火墻，在公司內(nèi)部放置一臺(tái)服務(wù)器做 VPN 設(shè)置的管理中心，同時(shí)也是系統(tǒng)中所有防火墻的配置中心和安全管理中心（配置方正 Center 20xx 管理軟件）。我們將證券網(wǎng)絡(luò)網(wǎng)絡(luò)安全的層次劃分為五層：物理層安全、網(wǎng)絡(luò)層安全、系統(tǒng)層安全、應(yīng)用層安全、安全管理。具體而言，我們可以先對(duì)網(wǎng)絡(luò)做 一個(gè)比較全面的安全體系規(guī)劃，然后，根據(jù)我們網(wǎng)絡(luò)的實(shí)際應(yīng)用狀況，先建立一個(gè)基礎(chǔ)的安全防護(hù)體系，保證基本的、應(yīng)有的安全性。安全設(shè)備不是指單一的某種安全設(shè)備，而是指幾種安全設(shè)備的綜合。 適應(yīng)性及靈活性原則 ： 安全措施必須能隨著網(wǎng)絡(luò)性能及安全需求的變化而變化，要容易適應(yīng)、容易修改和升級(jí)。 多重保護(hù)原則 ： 任何安全措施都不是絕對(duì)安全的，都可能被攻破。 均衡性原則 ：安全措施的實(shí)施必須以根據(jù)安全級(jí)別和經(jīng)費(fèi)限度統(tǒng)一考慮。 證券網(wǎng)絡(luò)信息安全產(chǎn)品的選型遵循以下原則： ? 穩(wěn)定（ stabilization） ? 高可用性（ High Availability） ? 易用性 (easy for use) ? 自身安全 (self safety) ? 超越傳統(tǒng)，獨(dú)具特色（ transcend tradition , own feature） 第二節(jié) 網(wǎng)絡(luò)安全方案設(shè)計(jì)原則 證券網(wǎng)絡(luò) 系統(tǒng)安全方案設(shè)計(jì)、規(guī)劃時(shí)， 應(yīng) 遵循 以下原則： 綜合、 整體 性原則 ：網(wǎng)絡(luò)安全不單靠技術(shù)措施，必須結(jié)合管理，當(dāng)前發(fā)生的網(wǎng)絡(luò)安全問題中，管理問題占相當(dāng)大的比例，在建立網(wǎng)絡(luò)安全設(shè)施體系的同時(shí)必須建立相應(yīng)的制度和管理體系。 滿足國家管理部門的政策性方面要求 證券公司 針對(duì)相關(guān)的安全產(chǎn)品必須查看其是否得到相應(yīng)的許可證，如： 安全產(chǎn)品獲得國家公安部頒發(fā)的銷售許可證。 3) 系統(tǒng)恢復(fù)小組：負(fù)責(zé)所有主機(jī)的恢復(fù)工作，使主機(jī)能夠再次平穩(wěn)運(yùn)行起來。 漏洞掃描小組：負(fù)責(zé)對(duì)網(wǎng)絡(luò)漏洞、系統(tǒng)漏洞、數(shù)據(jù)庫漏洞等進(jìn)行掃描并提出改進(jìn)建議和計(jì)劃。響應(yīng)組織一般包括： 安全管理中心：領(lǐng)導(dǎo)整個(gè)安全隊(duì)伍，分配任務(wù)并審計(jì)執(zhí)行情況，負(fù)責(zé)上報(bào)安全狀況或進(jìn)一步向其它組織尋求援助和咨詢。 全局安全管理策略 證券公司網(wǎng)絡(luò)將建立一個(gè)的信息安全控制中心，擔(dān)負(fù)起集中式的安全管理中心的職能，負(fù)責(zé)制訂公司網(wǎng)絡(luò)的全局安全管理制 度，并且負(fù)責(zé)協(xié)調(diào)各個(gè)部門之間的關(guān)系。 安全保密管理 安全管理貫穿在安全的各個(gè)層次實(shí)施。 （ 5） 加密后對(duì)數(shù)據(jù)庫的查詢、檢索、修改、更新要靈活、簡(jiǎn)便。數(shù)據(jù)庫加密滿足以下基本要求： （ 1） 數(shù)據(jù)加密后，存儲(chǔ)空間沒有明顯的增加。 用戶和員工的身份可以使用 USB 證書來識(shí)別。 d) 對(duì)于網(wǎng)絡(luò)行為進(jìn)行記錄和審計(jì)，對(duì)不良的行為進(jìn)行分析并盡快出臺(tái)處理辦法。在證券公司網(wǎng)絡(luò)的安全審計(jì)中，我們應(yīng)該采用入侵檢測(cè)審計(jì)和訪問控制系統(tǒng)審計(jì)相結(jié)合的方法進(jìn)行安全審計(jì)。通過對(duì)安全事件的不斷收集與積累并且加以分析，可以為發(fā)現(xiàn)可能的破壞性 行為提供有力的證據(jù)。 在 mail 和上網(wǎng)成為主流病毒傳播方式的今天，在網(wǎng)絡(luò)中使用網(wǎng)絡(luò)防病毒系統(tǒng)是非常必要的。有些軟件廠商發(fā)售的軟件，可能無意中已被計(jì)算機(jī)病毒感染。 新購置計(jì)算機(jī)的硬盤可以進(jìn)行檢測(cè)或進(jìn)行低級(jí)格式化來確保沒有計(jì)算機(jī)病毒存在。我們從預(yù)防病毒、檢測(cè)病毒和殺毒考慮證券網(wǎng)絡(luò)的網(wǎng)絡(luò)安全。同時(shí)，記錄受到攻擊的過程，為網(wǎng)絡(luò)或系統(tǒng)的恢復(fù)和追查攻擊的來源提供基本數(shù)據(jù)。應(yīng)保證訪問控制規(guī)則設(shè)置的安全。 證券公司應(yīng)根據(jù)信息機(jī)密級(jí)別和信息重要性劃分安全域，在安全域與安全域之間用安全保密設(shè)備進(jìn)行隔離和訪問控制；同一安全域中根據(jù)信息的密級(jí)和信息重要性進(jìn)行分割和訪問控制。 證券網(wǎng)絡(luò)對(duì)于證券業(yè)務(wù)非常關(guān)鍵，因此整個(gè)網(wǎng)絡(luò)的性能和工作狀態(tài)必須實(shí)時(shí)地反映給網(wǎng)絡(luò)管理人員，擁有功能強(qiáng)大、操作簡(jiǎn)便的網(wǎng)絡(luò)管理軟件是非常必要的。 由于證券行業(yè)擁有眾多的營(yíng)業(yè)所和分部，公司對(duì)接入總部的用戶需要做比較嚴(yán)格的控制和監(jiān)視。即除了從技術(shù)上下功夫外，還得依靠安全管理來實(shí)現(xiàn)。如傳出至關(guān)重要的信息、錯(cuò)誤地進(jìn)入數(shù)據(jù)庫、刪除數(shù)據(jù)等等。 機(jī)房重地卻是任何都可以進(jìn)進(jìn)出出，來去自由。 數(shù)據(jù)信息 數(shù) 據(jù)安全對(duì)證券行業(yè)來說尤其重要，數(shù)據(jù)在廣域網(wǎng)線路上傳輸，很難保證在傳輸過程中不被非法竊聽、竊取和篡改。 病毒侵害 網(wǎng)絡(luò)是病毒傳播的最好、最快的途徑之一。而辦公網(wǎng)絡(luò)應(yīng)用通常是共享網(wǎng)絡(luò)資源，比如文件共享、打印機(jī)共享等。應(yīng)用系統(tǒng)是動(dòng)態(tài)的、不斷變化的。但是從實(shí)際應(yīng)用上，系統(tǒng)的安全程度跟對(duì)其進(jìn)行安全配置及系統(tǒng)的應(yīng)用面有很大關(guān)系，操作系統(tǒng)如果沒有采用相應(yīng)的安全配置，則其是漏洞百出，掌握一般攻擊技術(shù)的人都可能入侵得手。 系統(tǒng)的安全風(fēng)險(xiǎn)分析 所謂系統(tǒng)安全通常是指網(wǎng)絡(luò)操作系統(tǒng)、應(yīng)用系統(tǒng)的安全。 惡意攻擊 :入侵者通過使用 Dos（拒絕服務(wù)攻擊）對(duì)內(nèi)部網(wǎng)重要服務(wù)器進(jìn)行攻擊，使得服務(wù)器超負(fù)荷工作以至拒絕服務(wù)甚至系統(tǒng)癱瘓。透過網(wǎng)絡(luò)傳播，還會(huì)影響到與本系統(tǒng)網(wǎng)絡(luò)有連接的外單位網(wǎng)絡(luò)；影響所及，還可能涉及和證券相連的證交所和銀行等安全敏感領(lǐng)域?；?Inter 公網(wǎng)的開放性、國際性與自由性，在公司員工享受 Inter 的信息共享的好處同時(shí)，內(nèi)部網(wǎng)絡(luò)將面臨非常嚴(yán)重的安全威脅。 鏈路傳輸風(fēng)險(xiǎn)分析 網(wǎng)絡(luò)安全不僅是入侵者到證券網(wǎng)絡(luò)內(nèi)部網(wǎng)上進(jìn)行攻擊、竊取或其它破壞，黑客完全有可能在傳輸線路上安裝竊聽裝置，竊取你在網(wǎng)上傳輸?shù)闹匾獢?shù)據(jù)，再通過一些技術(shù)讀出數(shù)據(jù)信息，造成泄密或者做一些篡改來破壞數(shù)據(jù)的完整性；以上種 種不安全因素都對(duì)網(wǎng)絡(luò)構(gòu)成嚴(yán)重的安全危脅。原來由單個(gè)計(jì)算機(jī)安全事故引起的損害可能傳播到其他系統(tǒng)和主機(jī)，引起大范圍的癱瘓和損失；另外加上缺乏安全控制機(jī)制和對(duì)網(wǎng)絡(luò)安全政策及防護(hù)意識(shí)的認(rèn)識(shí)不足，這些風(fēng)險(xiǎn)正日益加重。證券公司也會(huì)與相關(guān)的銀行進(jìn)行數(shù)據(jù)交換，使得股民可以把在銀行的帳戶和證券公司的戶頭相關(guān)聯(lián)，這部分應(yīng)用大多數(shù)采用“銀證通”的服務(wù)。 接入層 ：在各個(gè)辦公樓層上，樓層交換機(jī)使用千兆上行端口采用光纖與中心交換機(jī)相連，傳輸速率為 1000M，構(gòu)成網(wǎng)絡(luò)主干網(wǎng)；其下行端口到桌面，傳輸速率為 100M。 第二章 證券網(wǎng)絡(luò)系統(tǒng)安全需求分析說明 第一節(jié) 證券行業(yè)普遍拓?fù)浣Y(jié)構(gòu) 證券行業(yè)普遍擁有總部和數(shù)據(jù)處理中心，在各地?fù)碛袪I(yíng)業(yè)部和交易所，為了保證交易時(shí)間的不間斷工作，各地營(yíng)業(yè)所到總部擁有雙線路做線路備份，在總部里也是作了線路備份的設(shè)置。同時(shí)網(wǎng)絡(luò)安全問題也是個(gè)長(zhǎng)期，不斷完善的過程。 特別是對(duì)徐匯區(qū)城域網(wǎng)這樣的國家重要政府網(wǎng)絡(luò)，更應(yīng)該考慮到網(wǎng)絡(luò)安全的重要性，一旦重要的信息泄露，將會(huì)給國家造成巨大的損失。有近 80%的公司至少每周在網(wǎng)絡(luò)上要被大規(guī)模的入侵一次，并且一旦黑客找到系統(tǒng)的薄弱環(huán)節(jié)，所有用戶都會(huì)遭殃。病毒給每個(gè)計(jì)算機(jī)用戶和企業(yè)帶來了無法估量和彌補(bǔ)的損失。隨著網(wǎng)絡(luò)上電子商務(wù)，電子政務(wù)，數(shù)字貨幣、網(wǎng)絡(luò)教學(xué)等新興業(yè)務(wù)的興起，網(wǎng)絡(luò)安全問題變得越來越重要。網(wǎng)絡(luò)的開放性，互連性，共享性程度的擴(kuò)大，特別是Inter 的出現(xiàn) ，使網(wǎng)絡(luò)的重要性和對(duì)社會(huì)的影響也越來越大。目前全球已發(fā)現(xiàn)幾萬余種病毒樣本，并且以每月新增 300 多種的速度繼續(xù)破壞著網(wǎng)絡(luò)和單機(jī)上寶貴的信息資源。在全球平均每二十秒就發(fā)生一次網(wǎng)上入侵事件。信息網(wǎng)絡(luò)中的各種犯罪活動(dòng)已經(jīng)嚴(yán)重地威脅著國家、企業(yè)的安全。網(wǎng)絡(luò)與信息安全二者的有機(jī)結(jié)合需要