【正文】 就是防火墻?，它一般安置?在不同安全?域出入口處?，對(duì)進(jìn)出網(wǎng)絡(luò)?的IP信息?包進(jìn)行過(guò)濾?并按企業(yè)安?全政策進(jìn)行?信息流控制?，同時(shí)實(shí)現(xiàn)網(wǎng)?絡(luò)地址轉(zhuǎn)換?、實(shí)時(shí)信息審?計(jì)告警等功?能，高級(jí)防火墻?還可實(shí)現(xiàn)基?于用戶(hù)的細(xì)?粒度的訪(fǎng)問(wèn)?控制。目前加密可?以在三個(gè)層?次來(lái)實(shí)現(xiàn)，即鏈路層加?密、網(wǎng)絡(luò)層加密?和應(yīng)用層加?密。安全監(jiān)測(cè) 采取信息偵?聽(tīng)的方式尋?找未授權(quán)的?網(wǎng)絡(luò)訪(fǎng)問(wèn)嘗?試和違規(guī)行?為，包括網(wǎng)絡(luò)系?統(tǒng)的掃描、預(yù)警、阻斷、記錄、跟蹤等，從而發(fā)現(xiàn)系?統(tǒng)遭受的攻?擊傷害。、操作系統(tǒng) 操作系統(tǒng)是?管理計(jì)算機(jī)?資源的核心?系統(tǒng)負(fù)責(zé)信?息發(fā)送、管理設(shè)備存?儲(chǔ)空間和各?種系統(tǒng)資源?的調(diào)度，它作為應(yīng)用?系統(tǒng)的軟件?平臺(tái)具有通?用性和易用?性，操作系統(tǒng)安?全性直接關(guān)?系到應(yīng)用系?統(tǒng)的安全，操作系統(tǒng)安?全分為應(yīng)用?安全和安全?漏洞掃描。 文件（郵件）的安全傳送?：對(duì)通過(guò)網(wǎng)絡(luò)?（遠(yuǎn)程或近程?）傳送給他人?的文件進(jìn)行?安全處理（加密、簽名、完整性鑒別?等），使得被傳送?的文件只有?指定的收件?者通過(guò)相應(yīng)?的安全鑒別?機(jī)制（IC卡、PCMCI?A PC 卡）才能解密并?閱讀，杜絕了文件?在傳送或到?達(dá)對(duì)方的存?儲(chǔ)過(guò)程中被?截獲、篡改等，主要用于信?息網(wǎng)中的報(bào)?表傳送、公文下發(fā)等?。交易安全標(biāo)?準(zhǔn) 目前在電子?商務(wù)中主要?的安全標(biāo)準(zhǔn)?有兩種：應(yīng)用層的S?ET（安全電子交?易）和會(huì)話(huà)層S?SL（安全套層）協(xié)議。兩者各有所?長(zhǎng)，對(duì)稱(chēng)密鑰具?有加密效率?高，但存在密鑰?分發(fā)困難、管理不便的?弱點(diǎn)；非對(duì)稱(chēng)密鑰?加密速度慢?，但便于密鑰?分發(fā)管理。、CA認(rèn)證在電子商務(wù)?系統(tǒng)，所有參與活?動(dòng)的實(shí)體都?必須用證書(shū)?來(lái)表明自己?的身份，數(shù)字證書(shū)就?是網(wǎng)絡(luò)通訊?中標(biāo)志通訊?各方身份信?息的一系列?數(shù)據(jù)，它提供了一?種在Int?ernet?上驗(yàn)證您身?份的 方式，其作用類(lèi)似?于司機(jī)的駕?駛執(zhí)照或日?常生活中的??由權(quán)威機(jī)構(gòu)?CA機(jī) 構(gòu)，又稱(chēng)為證書(shū)?授權(quán)(Certi?ficat?e Autho?rity)中心發(fā)行的?，人們可以在?交往中用它?來(lái)識(shí)別對(duì) 方的身份,一方面可以?用來(lái)向系統(tǒng)?中的其它實(shí)?體證明自己?的身份，另一方面每?份證書(shū)都攜?帶 著證書(shū)持有?者的公鑰，證書(shū)也可以?向接收者證?實(shí)某人或某?個(gè)機(jī)構(gòu)對(duì)公?開(kāi)密鑰的擁?有，同時(shí)也起 著公鑰分發(fā)?的作用。證書(shū)的格式??證書(shū)申請(qǐng)者? 　 進(jìn)行資格審?查，并決定是否?同意給該申?請(qǐng)者發(fā)放證?書(shū)，并承擔(dān)因?qū)?核錯(cuò)誤引起?的、為不滿(mǎn)足資?格 的證書(shū)申請(qǐng)?者發(fā)放證書(shū)?所引起的一?切后果，因此它應(yīng)由?能夠承擔(dān)這?些責(zé)任的機(jī)?構(gòu)擔(dān)任；另一個(gè)是 證書(shū)操作部?門(mén)（簡(jiǎn)稱(chēng)CP，Certi?ficat?e Proce?ssor），負(fù)責(zé)為已授?權(quán)的申請(qǐng)者?制作、發(fā)放和管理? 證書(shū)，并承擔(dān)因操?作運(yùn)營(yíng)錯(cuò)誤?所產(chǎn)生的一?切后果，包括失密和?為沒(méi)有獲得?授權(quán)者發(fā)放?證書(shū)等，它可以由審?核授權(quán)部門(mén)?自己擔(dān)任，也可委托給?第三方擔(dān)任?。1 系統(tǒng)穿透 系統(tǒng)穿透系?指攻擊者通?過(guò)一定的手?段對(duì)認(rèn)證性?（真實(shí)性Au?thent?icity?）進(jìn)行攻擊，假冒合法用?戶(hù)接入系統(tǒng)?，從而達(dá)到篡?改系統(tǒng)文件?、竊取系統(tǒng)機(jī)?密信息、非法使用系?統(tǒng)資源等目?的。一個(gè)攻擊者?可以通過(guò)猜?測(cè)口令等手?段取得一個(gè)?普通用戶(hù)賬?號(hào)，以合法的身?份接入系統(tǒng)?，進(jìn)而可查找?系統(tǒng)的薄弱?環(huán)節(jié)，最后取得系?統(tǒng)的最高控?制權(quán)，從而嚴(yán)重危?及系統(tǒng)的安?全。從Inte?rnet下?載軟件和使?用盜版軟件?是病毒的主?要來(lái)源，所以應(yīng)防止?管理員使用?CA系統(tǒng)中?的工作站下?載軟件和使?用來(lái)歷不明?的軟件。5〉中斷中斷系指對(duì)?可用性進(jìn)行?攻擊，破壞系統(tǒng)中?的硬件、硬盤(pán)、線(xiàn)路、文件系統(tǒng)等?，使系統(tǒng)癱瘓?，不能正常工?作，破壞信息和?網(wǎng)絡(luò)資源。7 竊取或破解?密鑰一個(gè)攻擊者?假如竊取或?破解了認(rèn)證?中心的私人?密鑰，就可以偽造?數(shù)字證書(shū)，進(jìn)行詐騙活?動(dòng)。如果機(jī)密數(shù)?據(jù)僅由一個(gè)?工作人員管?理和控制，那么這個(gè)人?就有可能竊?取和出賣(mài)這?些資料，牟取非法利?益，或者故意損?毀。、CA認(rèn)證安?全防范機(jī)制?機(jī)房的安全?CA機(jī)房是?整個(gè)認(rèn)證系?統(tǒng)的系統(tǒng)控?制核心，必須設(shè)置獨(dú)?立的專(zhuān)用機(jī)?房。進(jìn)入數(shù)據(jù)中?心和管理控?制臺(tái)任何人?員必須通過(guò)?3層安全控?制保護(hù)層的?核準(zhǔn)。機(jī)房應(yīng)該配?備自動(dòng)氣體?消防系統(tǒng)，能夠在火災(zāi)?發(fā)生之初進(jìn)?行預(yù)警檢測(cè)?和自動(dòng)滅火?。這種攻擊利?用上千臺(tái)計(jì)?算機(jī)，采用“窮舉”方式進(jìn)行計(jì)?算。CA根節(jié)點(diǎn)?的密鑰長(zhǎng)度?至少應(yīng)該達(dá)?到1024?位，最好能做到?2048位?，但目前許多?應(yīng)用軟件還?不支持20?48位的加?解密運(yùn)算。數(shù)據(jù)安全 指存儲(chǔ)在數(shù)?據(jù)庫(kù)數(shù)據(jù)本?身的安全，相應(yīng)的保護(hù)?措施有安裝?反病毒軟件?，建立可靠的?數(shù)據(jù)備份與?恢復(fù)系統(tǒng)如?行情備份系?統(tǒng)，對(duì)股民的個(gè)?人資料和交?易數(shù)據(jù)按安?全等級(jí)劃分?存儲(chǔ)，某些重要數(shù)?據(jù)甚至可以?采取加密保?護(hù)。這些人應(yīng)是?系統(tǒng)主管領(lǐng)?導(dǎo)指派的，他們忠誠(chéng)可?靠，能勝任此項(xiàng)?工作；他們應(yīng)該簽?署工作情況?記錄以證明?安全工作已?得到保障。、安全服務(wù)建立網(wǎng)絡(luò)安?全保障體系?不能僅僅依?靠現(xiàn)有的安?全機(jī)制和設(shè)?備，更重要的是?提供全方位?的安全服務(wù)?。、安全目標(biāo) 通過(guò)規(guī)劃建?立證券系統(tǒng)?安全體系，綜合運(yùn)用各?種安全技術(shù)?和手段，我們要達(dá)到?的安全目標(biāo)?為：靜態(tài)安全目?標(biāo) 包括整個(gè)證?券信息系統(tǒng)?的物理環(huán)境?、系統(tǒng)硬、軟件結(jié)構(gòu)和?可用的信息?資源，保證證券交?易系統(tǒng)實(shí)體?平臺(tái)安全。根據(jù)證券公?司網(wǎng)絡(luò)具體?情況和要求?，我們建議從?以下幾點(diǎn)考?慮。文件備份數(shù)據(jù)庫(kù)保護(hù)?正以迅猛的?速度發(fā)展成?為當(dāng)今企業(yè)?最重要的組?成因素之一?，對(duì)于諸如M?icros?oft Excha?nge Serve?r和Mic?rosof?t SQL Serve?r之類(lèi)的關(guān)?鍵數(shù)據(jù)庫(kù)來(lái)?說(shuō)更是如此?。同時(shí)我們還?可以通過(guò)對(duì)?網(wǎng)絡(luò)監(jiān)測(cè)監(jiān)?控來(lái)實(shí)現(xiàn)對(duì)?網(wǎng)絡(luò)安全的?補(bǔ)充。在我們的安?全防范措施?無(wú)法保護(hù)我?們的網(wǎng)絡(luò)時(shí)?，我們能做的?就是快速恢?復(fù)網(wǎng)頁(yè)，恢復(fù)數(shù)據(jù)，減少損失。、網(wǎng)絡(luò)安全總?體拓?fù)浣Y(jié)構(gòu)?示意圖 、網(wǎng)絡(luò)安全解?決方案證券公司網(wǎng)?絡(luò)安全設(shè)備?采用以下產(chǎn)?品l 安全檢查系?統(tǒng)l 監(jiān)測(cè)監(jiān)控系?統(tǒng)l 備份系統(tǒng)l 防病毒系統(tǒng)?l 防火墻系統(tǒng)?l VPN系統(tǒng)?、安全檢查系?統(tǒng)（漏洞掃描系?統(tǒng)） 根據(jù)需求分?析的結(jié)果，建議選用的?掃描系統(tǒng)應(yīng)?綜合基于主?機(jī)的和基于?網(wǎng)絡(luò)的安全?檢測(cè)技術(shù)：能尋找網(wǎng)絡(luò)?安全漏洞、評(píng)估并提出?修改建議，模擬黑客攻?擊的方法，檢測(cè)網(wǎng)絡(luò)協(xié)?議、網(wǎng)絡(luò)服務(wù)、網(wǎng)絡(luò)設(shè)備等?方面的漏洞?；能夠檢查操?作系統(tǒng)本身?固有的安全?漏洞和系統(tǒng)?文件的不安?全配置，并指示用戶(hù)?如何修補(bǔ)漏?洞以使操作?系統(tǒng)安全風(fēng)?險(xiǎn)降到最小?；通過(guò)上述兩?種掃描工具?的綜合運(yùn)用?，可以檢查包?括WEB、FTP、郵件系統(tǒng)、DNS等網(wǎng)?絡(luò)基本服務(wù)?以及業(yè)務(wù)系?統(tǒng)、辦公自動(dòng)化?系統(tǒng)、電子商務(wù)系?統(tǒng)等應(yīng)用程?序自身的安?全漏洞和由?于配置不當(dāng)?造成的安全?漏洞，保證用戶(hù)在?網(wǎng)絡(luò)上的應(yīng)?用系統(tǒng)的安?全。網(wǎng)絡(luò)安全掃?描系統(tǒng)提供?安全策略配?置功能，用戶(hù)可根據(jù)?不同的安全?需求，選取或自定?義不同的掃?描策略，對(duì)相應(yīng)的網(wǎng)?絡(luò)設(shè)施進(jìn)行?掃描分析。 ◆ 準(zhǔn)確全面報(bào)?告網(wǎng)絡(luò)存在?的弱點(diǎn)和漏?洞。網(wǎng)絡(luò)安全性?分析系統(tǒng)還?能報(bào)告當(dāng)前?掃描對(duì)象對(duì)?外提供的服?務(wù)信息，這有利于管?理人員及時(shí)?準(zhǔn)確地了解?自己的系統(tǒng)?對(duì)外提供的?端口服務(wù)，并及時(shí)關(guān)閉?對(duì)外提供的?不必要的端?口服務(wù)。 ◆ 具有較強(qiáng)的?自我防護(hù)能?力 推薦配置方?案 生產(chǎn)廠(chǎng)家：XX軟科集?團(tuán)產(chǎn)品名稱(chēng)：網(wǎng)絡(luò)安全檢?查系統(tǒng)HB?NSS XX軟科的?網(wǎng)絡(luò)安全檢?查系統(tǒng)ZY?NSS作為?一種全自動(dòng)?安全風(fēng)險(xiǎn)評(píng)?估工具，側(cè)重于“事前階段”。在系統(tǒng)中特?別集成了完?整的漏洞修?補(bǔ)建議以及?網(wǎng)絡(luò)安全實(shí)?用手冊(cè)。
運(yùn)行在WI?NNT平臺(tái)?，全中文界面?，在進(jìn)行檢測(cè)?前掃描策略?配置簡(jiǎn)單明?了。2000年?7月，國(guó)家公安部?安全產(chǎn)品評(píng)?測(cè)中心測(cè)評(píng)?認(rèn)為該產(chǎn)品?可對(duì)包括當(dāng)?時(shí)最新黑客?攻擊技術(shù)在?內(nèi)的500?余種攻擊手?段進(jìn)行模擬?攻擊。系統(tǒng)對(duì)漏洞?進(jìn)行了詳盡?的風(fēng)險(xiǎn)等級(jí)?管理，漏洞風(fēng)險(xiǎn)一?目了然。掃描結(jié)束后?可以由系統(tǒng)?自動(dòng)生成分?析報(bào)告，其中包括了?詳盡的漏洞?說(shuō)明，風(fēng)險(xiǎn)等級(jí)，補(bǔ)救措施，專(zhuān)家建議以?及相關(guān)資源?連接。
系統(tǒng)采用了?開(kāi)放式體系?結(jié)構(gòu)和模塊?化思想，而且公司有?專(zhuān)業(yè)小組跟?蹤黑客攻擊?手段以及系?統(tǒng)漏洞，從而做到動(dòng)?態(tài)更新檢查?模板庫(kù)，保護(hù)客戶(hù)免?受最新攻擊?手段的攻擊?。入侵檢測(cè)技?術(shù)可以幫助?系統(tǒng)對(duì)付網(wǎng)?絡(luò)攻擊，擴(kuò)展系統(tǒng)管?理員的安全?管理能力(包括安全審?計(jì)、監(jiān)視、進(jìn)攻識(shí)別和?響應(yīng))，提高信息安?全基礎(chǔ)結(jié)構(gòu)?的完整性。在任何一種?情況下，該產(chǎn)品都要?尋找“攻擊標(biāo)志”，即一種代表?惡意或可疑?意圖攻擊的?模式。一種真正有?效的入侵檢?測(cè)系統(tǒng)應(yīng)將?二者結(jié)合。它的攻擊辯?識(shí)模塊通常?使用四種常?用技術(shù)來(lái)識(shí)?別攻擊標(biāo)志?：252。 規(guī)統(tǒng)學(xué)意義?上的非常規(guī)?現(xiàn)象檢測(cè)一旦檢測(cè)到?了攻擊行為?，IDS的響?應(yīng)模塊就提?供多種選項(xiàng)?以通知、報(bào)警并對(duì)攻?擊采取相應(yīng)?的反應(yīng)。由于入侵在?當(dāng)時(shí)是相當(dāng)?少見(jiàn)的，在對(duì)攻擊的?事后分析就?可以防止今?后的攻擊。當(dāng)有文件發(fā)?生變化時(shí)，IDS將新?的記錄條目?與攻擊標(biāo)記?相比較，看它們是否?匹配。反應(yīng)的快慢?與輪詢(xún)間隔?的頻率有直?接的關(guān)系。因此，下一代的I?DS必須包?括集成的主?機(jī)和網(wǎng)絡(luò)組?件。如何選擇入?侵檢測(cè)系統(tǒng)?呢？選擇入侵檢?測(cè)系統(tǒng)需要?考慮多方面?因素。該系統(tǒng)綜合?了基于主機(jī)?、基于網(wǎng)絡(luò)的?兩種技術(shù)手?段，可以多層次?、多手段的實(shí)?現(xiàn)對(duì)網(wǎng)絡(luò)的?控制管理。ZYNet?eye的主?要功能ZYNet?Eye主要?有六類(lèi)功能?：監(jiān)視屏幕、監(jiān)視鍵盤(pán)、監(jiān)測(cè)監(jiān)控R?AS連接、監(jiān)測(cè)監(jiān)控網(wǎng)?絡(luò)連接、入侵檢測(cè)、網(wǎng)絡(luò)信息還?原。 用戶(hù)實(shí)時(shí)控?制屏幕截獲?的開(kāi)始和結(jié)?束（在不影響被?監(jiān)控主機(jī)正?常工作的前?提下，以最快頻率?的截屏）。l 監(jiān)測(cè)監(jiān)控R?AS連接216。216。216。l 入侵檢測(cè)216。168。ZYNet?eye的技?術(shù)特色l 系統(tǒng)即可防?外也可防內(nèi)?，更徹重于防?內(nèi)?；旌狭薚C?P和UDP?通訊方式，充分考 到了用戶(hù)可?能的網(wǎng)絡(luò)配?置，在提供跨路?由器、跨網(wǎng)關(guān)能力?適應(yīng)復(fù)雜網(wǎng)?絡(luò)的基礎(chǔ)上?，兼顧了系統(tǒng)?的效率以及?操作、配置的靈活?性。l 項(xiàng)目前期仔?細(xì)的設(shè)計(jì)規(guī)?劃，中期精細(xì)編?碼以及嚴(yán)格?測(cè)試，后期詳盡的?系統(tǒng)測(cè)試。它是提供信?息安全服務(wù)?，實(shí)現(xiàn)網(wǎng)絡(luò)和?信息安全的?基礎(chǔ)設(shè)施。本質(zhì)上，它遵從的是?一種允許或?阻止業(yè)務(wù)往?來(lái)的網(wǎng)絡(luò)通?信安全機(jī)制?，提供可控的?過(guò)濾網(wǎng)絡(luò)通?信。XX軟科網(wǎng)?絡(luò)防火墻在?有效地實(shí)現(xiàn)?內(nèi)部網(wǎng)絡(luò)與?公共網(wǎng)絡(luò)隔?離的同時(shí)，管理員可根?據(jù)具體的安?全需求選擇?靈活多變的?安全控制策?略進(jìn)行控制?。216?！?靈活的訪(fǎng)問(wèn)?控制功能216。216。 封鎖入侵的?IP地址216。為管理網(wǎng)絡(luò)?，進(jìn)行審計(jì)提?供可靠的依?據(jù)。具體操作時(shí)?，可根據(jù)管理?者的管理意?圖制定相應(yīng)?的安全策略?，從而限定對(duì)?外開(kāi)放的內(nèi)?容。（XX軟科集?團(tuán)代理產(chǎn)品?之一）為什么選擇?Inter?Scan Virus?Wall軟?件經(jīng)過(guò)對(duì)國(guó)內(nèi)?防病毒企業(yè)?的了解，目前沒(méi)有想?應(yīng)得軟件系?統(tǒng)。產(chǎn)品主要功?能：u 實(shí)時(shí)掃描進(jìn)?出SMTP?服務(wù)器的郵?件及其附加?檔案u 實(shí)時(shí)掃描F?TP傳輸渠?道u 自動(dòng)清除染?毒文件u 實(shí)時(shí)掃描H?TTP傳輸?渠道u 鎖定惡性的?Java apple?ts和Ac?tiveX?物件，以及未經(jīng)認(rèn)?證(unsig?ned)或非商業(yè)性?(nonco?mmerc?ial)的鑒定安全?鑒定軟件u 偵測(cè)及清除?已知和未知?宏病毒u 將警告信息?寄給寄件人?、收件人和系?統(tǒng)管理者u 可預(yù)約設(shè)定?從Web自?動(dòng)下載最新?病毒碼文件?u 具有完整的?實(shí)時(shí)性能監(jiān)?視功能u 通過(guò)詳盡的?病毒活動(dòng)記?錄追蹤病毒?來(lái)源u 支持Win?dows界?面和ISA?PI/CGI web瀏覽?器設(shè)置界面?產(chǎn)品主要特?點(diǎn)：u 符合網(wǎng)絡(luò)病?毒發(fā)展的特?點(diǎn)u 出色的病毒?掃描u 可以根據(jù)自?身情況更新?病毒碼u 快捷的救援?支持u 完整的事件?記錄u 彈性設(shè)定及?管理系統(tǒng)構(gòu)成：Inter?Scan Virus?Wall是?一套完整的?Inter?net病毒?解決系統(tǒng)，包括三個(gè)模?塊，可以分別或?統(tǒng)一安裝及?管理。、VPN系統(tǒng)?隨著企業(yè)網(wǎng)?應(yīng)用的不斷?發(fā)展，企業(yè)網(wǎng)的范?圍也不斷擴(kuò)?大，從一個(gè)本地?網(wǎng)絡(luò)發(fā)展到?跨地區(qū)跨城?市甚至是跨?國(guó)家的網(wǎng)絡(luò)?。如何能夠利?用現(xiàn)有的I?ntern?et來(lái)建立?企業(yè)的安全?的專(zhuān)有網(wǎng)絡(luò)?呢？虛擬專(zhuān)用網(wǎng)?（VPN）技術(shù)就成為?一個(gè)很好的?解決方案。虛擬專(zhuān)用網(wǎng)?的本質(zhì)實(shí)際?上涉及到密?碼的問(wèn)題。使用產(chǎn)品 東方龍馬V?PN系統(tǒng) （XX軟科集?團(tuán)代理產(chǎn)品?之二） 系統(tǒng)組成東方龍馬V?PN系統(tǒng)主?要包括以下?幾部分：加密卡、IPSec?引擎，JAVA用?戶(hù)界面（GUI），等等。本系統(tǒng)支持?眾多的加密?標(biāo)準(zhǔn)及硬件?加密卡，如DES，3DES，MD5，SHA及北?大青鳥(niǎo)，華正天網(wǎng)等?公司的加密?卡，用戶(hù)可以根?據(jù)自己的需?要靈活的選?擇任一種加?密算法，用戶(hù)也可提