【正文】 每個(gè)操作系統(tǒng)、應(yīng)用程序（數(shù)據(jù)庫(kù)）、防火墻、入侵檢測(cè)系統(tǒng)和網(wǎng)管軟件都擁有自己的日志審計(jì)系統(tǒng)，每個(gè)都記錄下來(lái)了很多有用的信息，網(wǎng)絡(luò)管理人員應(yīng)該定期地仔細(xì)查看審計(jì)各 個(gè)系統(tǒng)的日志信息，分析出可能存在的問(wèn)題，通過(guò)修改各個(gè)系統(tǒng)的配置來(lái)達(dá)到性能的最優(yōu)化。 Netinhand 還可以讓管理員在管理端通過(guò)抓取客戶端計(jì)算機(jī)的界面直接操作客戶端計(jì)算機(jī)，達(dá)到遠(yuǎn)程控制的目的。 第五節(jié) 網(wǎng)絡(luò)管理子系統(tǒng) 網(wǎng)絡(luò)管理子系統(tǒng)如下： 網(wǎng)絡(luò)管理子系統(tǒng)配置說(shuō)明： 在網(wǎng)絡(luò)中心建立網(wǎng)絡(luò)管理中心，配置網(wǎng)管服務(wù)器，安裝方正 Netinway Pro產(chǎn)品。我們可以借助方正 Sniper 建立證券網(wǎng)絡(luò)內(nèi)部的信息審計(jì)系統(tǒng)，可以記錄下所有網(wǎng)絡(luò)上的 數(shù)據(jù)、 tel 數(shù)據(jù)、共享文件夾訪問(wèn)情況和 Inter 訪問(wèn)情況等等，使網(wǎng)絡(luò)管理人員能清楚地了解網(wǎng)絡(luò)實(shí)際運(yùn)行情況，并審計(jì)網(wǎng)絡(luò)數(shù)據(jù)流，防止信息泄漏和垃圾郵件、騷擾郵件地 濫發(fā)。 由于每個(gè)營(yíng)業(yè)所計(jì)算機(jī)點(diǎn)數(shù)不會(huì)很多，建議使用方通防火墻 100 型號(hào)；由于各地營(yíng)業(yè)所均與在總部通訊，因此與證交所網(wǎng)絡(luò)、本地營(yíng)業(yè)部、外地營(yíng)業(yè)部連接線路的路由器后接入方通防火墻 1000 型號(hào)；在與 Inter 網(wǎng)絡(luò)連接的網(wǎng)絡(luò)中，我們建議接入方通 VPN20xx，方通VPN20xx 不僅帶有防火墻功 能，而且?guī)в袕?qiáng)大的 VPN 功能。在此拓?fù)浣Y(jié)構(gòu)下，總部網(wǎng)絡(luò)需要 3 臺(tái)防火墻和一臺(tái) VPN 對(duì)所有出口進(jìn)行防護(hù)。對(duì)于整個(gè)網(wǎng)絡(luò)目前鏈路的情況也可以通過(guò)網(wǎng)管軟件實(shí)時(shí)了解情況。這樣可以防止各地營(yíng)業(yè)部對(duì)總部網(wǎng)絡(luò)關(guān)鍵數(shù)據(jù)的非故意的訪問(wèn)造成 的危害，而且也能防止網(wǎng)絡(luò)病毒通過(guò)此鏈路傳播。 第五章 證券系統(tǒng)網(wǎng)絡(luò)安全整體設(shè)計(jì)方案 本方案旨在為證券行業(yè)網(wǎng)絡(luò)提供全面的網(wǎng)絡(luò)系統(tǒng)安全解決方案，網(wǎng)絡(luò) 安 全是分層次的，需要在不同層次解決不同的安全問(wèn)題。網(wǎng)絡(luò)安全的整體性是指一個(gè)安全系統(tǒng)的建立，即包括采用相應(yīng)的安全設(shè)備，又 包括相應(yīng)的管理手段。 集中性原則 ：所有的產(chǎn)品要求在網(wǎng)絡(luò)或數(shù)據(jù)中心可以進(jìn)行集中管理，這樣才能保證在網(wǎng)絡(luò)或數(shù)據(jù)中心的服務(wù)器上可以掌握全局。 安全產(chǎn)品的選型原則 證券網(wǎng)絡(luò)安全系統(tǒng)的設(shè)計(jì) 從安全產(chǎn)品選擇考慮 了 產(chǎn)品功能、性能、運(yùn)行穩(wěn)定性以及擴(kuò)展性，并且對(duì)安全產(chǎn)品，還考查其產(chǎn)品自身的安全性。 2) 網(wǎng)絡(luò)恢復(fù)小組：負(fù)責(zé)恢復(fù)整個(gè)網(wǎng)絡(luò)基礎(chǔ)設(shè)施，如線路、路由器、交換機(jī)等功能。 實(shí)時(shí)響應(yīng)和恢復(fù) 響應(yīng)是指發(fā)生安全事故后的緊急處理程序。 我們考慮的備份主要包括數(shù)據(jù)備份、服務(wù)器系統(tǒng)備份、線路備份等幾個(gè)方面。 數(shù)據(jù)庫(kù)加密的基本方式可以分為庫(kù)外加密和庫(kù)內(nèi)加密。 c) 數(shù)據(jù)庫(kù)系統(tǒng)：做好數(shù)據(jù)庫(kù)操作的日志和審計(jì)工作。審計(jì)信息對(duì)于確定是否有網(wǎng)絡(luò)攻擊的情況發(fā)生，以及確定問(wèn)題和攻擊源都非常重要。 新購(gòu)置的計(jì)算機(jī)軟件也要進(jìn)行計(jì)算機(jī)病毒檢測(cè)。因此計(jì)算機(jī)病毒的防范也是網(wǎng)絡(luò)安全建設(shè)中應(yīng)該考濾的重要的環(huán)節(jié)之一。 處理秘密級(jí)、機(jī)密級(jí)信息的涉密服務(wù)器，訪問(wèn)應(yīng)當(dāng)按照用戶類別、信息類別控制，訪問(wèn)必須控制到單個(gè)用戶、單個(gè)文件。 遠(yuǎn)程移動(dòng)人員的辦公需要接入公司局域網(wǎng)內(nèi)部，由于這部分?jǐn)?shù)據(jù)在公網(wǎng)上傳送，需要進(jìn)行加密傳輸，因此 VPN 的應(yīng)用擺在眼前。責(zé)權(quán)不明，管理混亂、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的風(fēng)險(xiǎn)。 管理的安全分析 內(nèi)部管理人員或員工把內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)、管理員用戶名及口令以及系統(tǒng)的一些重要信息傳播給外人帶來(lái)信息泄漏風(fēng)險(xiǎn)。內(nèi)部網(wǎng)用戶可夠通過(guò)拔號(hào)或其它方式進(jìn) 行電子郵件發(fā)送和接收這就存在被黑客跟蹤或收到一些特洛伊木馬、病毒程序等，由于許多用戶安全意識(shí)比較淡薄，對(duì)一些來(lái)歷不明的郵件，沒(méi)有警惕性，給入侵者提供機(jī)會(huì)，給系統(tǒng)帶來(lái)不安全因至素。 應(yīng)用的安全風(fēng)險(xiǎn)分析 應(yīng)用系統(tǒng)的安全涉及 很多方面。種種因素都將網(wǎng)絡(luò)安全構(gòu)成很大的威脅。假如內(nèi)部網(wǎng)絡(luò)的一臺(tái)機(jī)器安全受損（被攻擊或者被病毒感染），就會(huì)同時(shí)影響在同一網(wǎng)絡(luò)上的許多其他系統(tǒng)。物理安 全的風(fēng)險(xiǎn)主要有： 地震、水災(zāi)、火災(zāi)等環(huán)境事故造成整個(gè)系統(tǒng)毀滅； 電源故障造成設(shè)備斷電以至操作系統(tǒng)引導(dǎo)失敗或數(shù)據(jù)庫(kù)信息丟失； 設(shè)備被盜、被毀造成數(shù)據(jù)丟失或信息泄漏； 電磁輻射可能造成數(shù)據(jù)信息被竊取或偷閱； 報(bào)警系統(tǒng)的設(shè)計(jì)不足可能造成原本可以防止但實(shí)際發(fā)生了的事故。移動(dòng)辦公者采用 Access Server 撥號(hào)進(jìn)入總部網(wǎng)絡(luò)，訪問(wèn)相關(guān)網(wǎng)絡(luò)資源。同時(shí)，公 司又充分運(yùn)用方正的品牌、技術(shù)、渠道優(yōu)勢(shì)，整合國(guó)內(nèi)外資源，不斷為廣大用戶提供最好的解決方案與應(yīng)用服務(wù)。信息網(wǎng)絡(luò)中的各種犯罪活動(dòng)已經(jīng)嚴(yán)重地威脅著國(guó)家、企業(yè)的安全。目前全球已發(fā)現(xiàn)幾萬(wàn)余種病毒樣本，并且以每月新增 300 多種的速度繼續(xù)破壞著網(wǎng)絡(luò)和單機(jī)上寶貴的信息資源。隨著網(wǎng)絡(luò)上電子商務(wù)，電子政務(wù)，數(shù)字貨幣、網(wǎng)絡(luò)教學(xué)等新興業(yè)務(wù)的興起，網(wǎng)絡(luò)安全問(wèn)題變得越來(lái)越重要。有近 80%的公司至少每周在網(wǎng)絡(luò)上要被大規(guī)模的入侵一次，并且一旦黑客找到系統(tǒng)的薄弱環(huán)節(jié)，所有用戶都會(huì)遭殃。同時(shí)網(wǎng)絡(luò)安全問(wèn)題也是個(gè)長(zhǎng)期，不斷完善的過(guò)程。 接入層 ：在各個(gè)辦公樓層上，樓層交換機(jī)使用千兆上行端口采用光纖與中心交換機(jī)相連，傳輸速率為 1000M，構(gòu)成網(wǎng)絡(luò)主干網(wǎng)；其下行端口到桌面，傳輸速率為 100M。原來(lái)由單個(gè)計(jì)算機(jī)安全事故引起的損害可能傳播到其他系統(tǒng)和主機(jī)，引起大范圍的癱瘓和損失；另外加上缺乏安全控制機(jī)制和對(duì)網(wǎng)絡(luò)安全政策及防護(hù)意識(shí)的認(rèn)識(shí)不足，這些風(fēng)險(xiǎn)正日益加重?；?Inter 公網(wǎng)的開(kāi)放性、國(guó)際性與自由性，在公司員工享受 Inter 的信息共享的好處同時(shí)，內(nèi)部網(wǎng)絡(luò)將面臨非常嚴(yán)重的安全威脅。 惡意攻擊 :入侵者通過(guò)使用 Dos（拒絕服務(wù)攻擊）對(duì)內(nèi)部網(wǎng)重要服務(wù)器進(jìn)行攻擊，使得服務(wù)器超負(fù)荷工作以至拒絕服務(wù)甚至系統(tǒng)癱瘓。但是從實(shí)際應(yīng)用上，系統(tǒng)的安全程度跟對(duì)其進(jìn)行安全配置及系統(tǒng)的應(yīng)用面有很大關(guān)系，操作系統(tǒng)如果沒(méi)有采用相應(yīng)的安全配置，則其是漏洞百出，掌握一般攻擊技術(shù)的人都可能入侵得手。而辦公網(wǎng)絡(luò)應(yīng)用通常是共享網(wǎng)絡(luò)資源，比如文件共享、打印機(jī)共享等。 數(shù)據(jù)信息 數(shù) 據(jù)安全對(duì)證券行業(yè)來(lái)說(shuō)尤其重要，數(shù)據(jù)在廣域網(wǎng)線路上傳輸，很難保證在傳輸過(guò)程中不被非法竊聽(tīng)、竊取和篡改。如傳出至關(guān)重要的信息、錯(cuò)誤地進(jìn)入數(shù)據(jù)庫(kù)、刪除數(shù)據(jù)等等。 由于證券行業(yè)擁有眾多的營(yíng)業(yè)所和分部，公司對(duì)接入總部的用戶需要做比較嚴(yán)格的控制和監(jiān)視。 證券公司應(yīng)根據(jù)信息機(jī)密級(jí)別和信息重要性劃分安全域，在安全域與安全域之間用安全保密設(shè)備進(jìn)行隔離和訪問(wèn)控制；同一安全域中根據(jù)信息的密級(jí)和信息重要性進(jìn)行分割和訪問(wèn)控制。同時(shí)，記錄受到攻擊的過(guò)程，為網(wǎng)絡(luò)或系統(tǒng)的恢復(fù)和追查攻擊的來(lái)源提供基本數(shù)據(jù)。 新購(gòu)置計(jì)算機(jī)的硬盤可以進(jìn)行檢測(cè)或進(jìn)行低級(jí)格式化來(lái)確保沒(méi)有計(jì)算機(jī)病毒存在。 在 mail 和上網(wǎng)成為主流病毒傳播方式的今天，在網(wǎng)絡(luò)中使用網(wǎng)絡(luò)防病毒系統(tǒng)是非常必要的。在證券公司網(wǎng)絡(luò)的安全審計(jì)中，我們應(yīng)該采用入侵檢測(cè)審計(jì)和訪問(wèn)控制系統(tǒng)審計(jì)相結(jié)合的方法進(jìn)行安全審計(jì)。 用戶和員工的身份可以使用 USB 證書來(lái)識(shí)別。 （ 5） 加密后對(duì)數(shù)據(jù)庫(kù)的查詢、檢索、修改、更新要靈活、簡(jiǎn)便。 全局安全管理策略 證券公司網(wǎng)絡(luò)將建立一個(gè)的信息安全控制中心，擔(dān)負(fù)起集中式的安全管理中心的職能，負(fù)責(zé)制訂公司網(wǎng)絡(luò)的全局安全管理制 度，并且負(fù)責(zé)協(xié)調(diào)各個(gè)部門之間的關(guān)系。 漏洞掃描小組：負(fù)責(zé)對(duì)網(wǎng)絡(luò)漏洞、系統(tǒng)漏洞、數(shù)據(jù)庫(kù)漏洞等進(jìn)行掃描并提出改進(jìn)建議和計(jì)劃。 滿足國(guó)家管理部門的政策性方面要求 證券公司 針對(duì)相關(guān)的安全產(chǎn)品必須查看其是否得到相應(yīng)的許可證，如： 安全產(chǎn)品獲得國(guó)家公安部頒發(fā)的銷售許可證。 均衡性原則 ：安全措施的實(shí)施必須以根據(jù)安全級(jí)別和經(jīng)費(fèi)限度統(tǒng)一考慮。 適應(yīng)性及靈活性原則 ： 安全措施必須能隨著網(wǎng)絡(luò)性能及安全需求的變化而變化，要容易適應(yīng)、容易修改和升級(jí)。具體而言，我們可以先對(duì)網(wǎng)絡(luò)做 一個(gè)比較全面的安全體系規(guī)劃，然后，根據(jù)我們網(wǎng)絡(luò)的實(shí)際應(yīng)用狀況，先建立一個(gè)基礎(chǔ)的安全防護(hù)體系，保證基本的、應(yīng)有的安全性。 1） 在證券總部聯(lián)入 Inter 出口處配置一臺(tái)方通 VPN20xx 防火墻，在公司內(nèi)部放置一臺(tái)服務(wù)器做 VPN 設(shè)置的管理中心，同時(shí)也是系統(tǒng)中所有防火墻的配置中心和安全管理中心（配置方正 Center 20xx 管理軟件）。 5） 對(duì)于來(lái)自 Inter 的網(wǎng)絡(luò)入侵攻擊行為，通過(guò)接在方通防火墻黑區(qū)口的方正入侵檢測(cè)設(shè)備進(jìn)行識(shí)別，并通過(guò)防火墻聯(lián)動(dòng)進(jìn)行防護(hù)。 10） 如果需要，建議在證券網(wǎng)絡(luò)中建立證書（ CA）系統(tǒng)，對(duì)于用戶和股民發(fā)放 USB證書，保證擁有證書的人員才能夠正常交易，使數(shù)據(jù)篡改不可進(jìn)行，并使數(shù)據(jù)擁有不可抵賴性。對(duì)于正常的證券業(yè)務(wù)流量，防火墻允許進(jìn)行數(shù)據(jù)交換，此外的數(shù)據(jù)流量通過(guò)防火墻的安全規(guī)則予以阻斷，這樣既提高了安全性又阻止了無(wú)關(guān)流量，也杜絕了局部的病毒擴(kuò)散到整個(gè)證券公司的網(wǎng)絡(luò)中。一旦 Sniper 發(fā)現(xiàn)有來(lái)自 Inter 的入侵行為存在，它會(huì)通過(guò)黑區(qū)口告知防火墻生成臨時(shí)規(guī)則阻止這部分非法數(shù)據(jù)流量，使得黑客無(wú)從下手。方正 VPN（虛擬局域網(wǎng)）不僅對(duì)數(shù)據(jù)進(jìn)行加密，而且可以是在外工作的員工感覺(jué)就像在公司局域網(wǎng)內(nèi)部一樣，可以訪問(wèn)經(jīng)過(guò)授權(quán)的局域網(wǎng)內(nèi)的任何網(wǎng)絡(luò)資源，給在外的員工帶來(lái)了極大的方便。兩套網(wǎng)管系統(tǒng)互相補(bǔ)充，可以做到網(wǎng)絡(luò)管理最