【正文】 戶來說，是決不允許的。這些都將給網(wǎng)絡(luò)造成極大的破壞。在通過撥號服務(wù)器進行的訪問中，公司需要可以對撥上來的用戶進行時間、數(shù)據(jù)流量和其他訪問細節(jié)進行審計和控制。通常將證券公司的重要服務(wù)器所在的子網(wǎng)和重要的業(yè)務(wù)工作子網(wǎng)分別劃分為單獨的安全域。計算機病毒防治由于在網(wǎng)絡(luò)環(huán)境下，計算機病毒有不可估量的威脅性和破壞力。對硬盤只在DOS下做FORMAT格式化是不能去除主引導(dǎo)區(qū)（分區(qū)表）計算機病毒的。網(wǎng)絡(luò)防病毒系統(tǒng)可以實時更新病毒庫，網(wǎng)絡(luò)管理員對網(wǎng)絡(luò)中所有計算機均可做到防病毒控制，可以有效阻止網(wǎng)絡(luò)病毒爆發(fā)和泛濫。審計需求：a) 操作系統(tǒng)：操作系統(tǒng)必須啟動日志與審計的功能。信息加密信息傳輸加密信息傳輸加密用來防止通信線路上的竊聽、泄漏、篡改和破壞。備份與恢復(fù)證券公司網(wǎng)絡(luò)的主要設(shè)備、軟件、數(shù)據(jù)、電源等都應(yīng)有備份，并有技術(shù)措施和組織措施能夠在較短時間內(nèi)恢復(fù)系統(tǒng)運行。信息安全控制中心首先確定公司網(wǎng)絡(luò)安全管理體系等級，建立總的安全管理機制和各級安全管理中心。平時注意漏洞及其攻擊技術(shù)的發(fā)展情況，及時提出彌補漏洞的措施，如使用最新補丁、改變網(wǎng)絡(luò)拓撲、改變設(shè)備配置、升級系統(tǒng)等。 安全產(chǎn)品獲得中國信息安全產(chǎn)品測評認證中心的測評認證。 超越傳統(tǒng)，獨具特色（transcend tradition , own feature）第二節(jié) 網(wǎng)絡(luò)安全方案設(shè)計原則證券網(wǎng)絡(luò)系統(tǒng)安全方案設(shè)計、規(guī)劃時，應(yīng)遵循以下原則：綜合、整體性原則：網(wǎng)絡(luò)安全不單靠技術(shù)措施，必須結(jié)合管理，當前發(fā)生的網(wǎng)絡(luò)安全問題中，管理問題占相當大的比例，在建立網(wǎng)絡(luò)安全設(shè)施體系的同時必須建立相應(yīng)的制度和管理體系。多重保護原則：任何安全措施都不是絕對安全的，都可能被攻破。安全設(shè)備不是指單一的某種安全設(shè)備，而是指幾種安全設(shè)備的綜合。我們將證券網(wǎng)絡(luò)網(wǎng)絡(luò)安全的層次劃分為五層：物理層安全、網(wǎng)絡(luò)層安全、系統(tǒng)層安全、應(yīng)用層安全、安全管理。3） 在方通VPN 2000的黑區(qū)（可以監(jiān)控進出防火墻數(shù)據(jù)的端口）處接入Founder Sniper入侵監(jiān)測產(chǎn)品，對所有訪問Internet的數(shù)據(jù)流量進行監(jiān)聽和控制，這臺Founder Sniper另外兩個監(jiān)聽口聯(lián)入主干交換機，對整個網(wǎng)絡(luò)的數(shù)據(jù)流量進行監(jiān)控，如果發(fā)現(xiàn)內(nèi)部員工的非法訪問和網(wǎng)絡(luò)攻擊行為，及時進行報警和預(yù)先設(shè)定好的策略進行響應(yīng)。由于證券網(wǎng)絡(luò)中設(shè)備大多數(shù)屬于Cisco設(shè)備，因此建議同時使用Cisco Works 2000軟件，這套軟件可以對數(shù)據(jù)線路的情況做實時的檢測，而且也可以對Cisco設(shè)備做細致的配置工作。由于在聯(lián)入Internet的鏈路上危險性最大，我們建議在防火墻的DMZ（非軍事化區(qū)域）內(nèi)接入內(nèi)部系統(tǒng)的郵件代理服務(wù)器、Web代理服務(wù)器等等，并在防火墻上配置規(guī)則，保證外部因特網(wǎng)只能訪問DMZ區(qū)域中的服務(wù)器的相關(guān)服務(wù)，內(nèi)部網(wǎng)絡(luò)也只能訪問DMZ區(qū)域中的服務(wù)器的相關(guān)服務(wù)。我們在總部網(wǎng)絡(luò)中建立一個VPN控制中心，安裝方正的Center 2000VPN控制中心，這樣VPN控制中心可以對以上所有的防火墻進行配置并對VPN進行管理。方正Sniper可以做到對Internet的訪問控制（URL控制），可以幫助網(wǎng)絡(luò)管理人員控制網(wǎng)絡(luò)使用，杜絕員工上班時間訪問與工作無關(guān)的網(wǎng)站（例如游戲、色情、聊天網(wǎng)站等等）。Netinway Pro是基于標準SNMP（簡單網(wǎng)絡(luò)管理協(xié)議）的網(wǎng)絡(luò)管理軟件，功能非常強大，可以了解大規(guī)模網(wǎng)絡(luò)中網(wǎng)絡(luò)設(shè)備和計算機實時的狀況，并針對各個級別的故障作出反應(yīng)。同時，Netinhand擁有強大的資產(chǎn)管理功能，可以收集到客戶端計算機上裝有的軟件列表和硬件信息，并生成完善的報表，成為資產(chǎn)審計部門不可或缺的IT資產(chǎn)管理工具。如果證券系統(tǒng)開通了網(wǎng)上交易，我們建議在總部建立一個CA（證書服務(wù)）服務(wù)器，對每個可以網(wǎng)上交易的客戶發(fā)放一個USB證書，在使用口令和密碼保護的同時，使用USB key進行身份認證，保證交易不可抵賴和不被篡改。防病毒服務(wù)器同時也可以作為整個辦公網(wǎng)絡(luò)的域服務(wù)器，其他計算機在開機的同時使用各自的域用戶進行域登錄，這樣通過Windows的Active Directory對每個用戶對網(wǎng)絡(luò)資源訪問權(quán)限進行定義，會達到更好的效果。方正Netinhand提供系統(tǒng)和數(shù)據(jù)存儲備份還原功能，使得在系統(tǒng)出現(xiàn)問題，重要文件丟失的情況下，可以通過Netinhand進行系統(tǒng)和數(shù)據(jù)還原。這樣，給移動辦公帶來方便的同時，也根據(jù)不同用戶可以訪問不同網(wǎng)絡(luò)資源的原則，從管理上提高了整個證券網(wǎng)絡(luò)的安全性。方正Sniper是一個網(wǎng)絡(luò)行為的監(jiān)視響應(yīng)行為，在進行入侵檢測工作的同時，可以對常用的協(xié)議（比如smtp、ftp、telnet等等）進行監(jiān)控。在各地的營業(yè)所的路由器后，接入方通防火墻，這些防火墻主要起隔離作用，同樣設(shè)置對保護對象（各地營業(yè)所網(wǎng)絡(luò)）的訪問只允許證券業(yè)務(wù)數(shù)據(jù)通過，其他無關(guān)通訊流量通過防火墻安全規(guī)則予以阻斷。第二節(jié) 防火墻子系統(tǒng)防火墻子系統(tǒng)如下：防火墻配置說明對于證券總部網(wǎng)絡(luò)與所有外網(wǎng)連接出口，都需要使用防火墻進行防護。7） 在網(wǎng)絡(luò)中心建立網(wǎng)絡(luò)管理服務(wù)器，使用方正Netinway Pro產(chǎn)品對整個證券網(wǎng)絡(luò)的目前各個端口的狀況、實時流量做到心里有數(shù)，對于關(guān)鍵的服務(wù)器流量異常時報警通知網(wǎng)絡(luò)管理員。2） 在公司總部和各地營業(yè)部連接的路由器之后接入防火墻，保證各地營業(yè)部聯(lián)入總部的數(shù)據(jù)是網(wǎng)絡(luò)安全管理員認為合法的，其他非法的數(shù)據(jù)流量通過防火墻進行硬件阻斷。 對于證券網(wǎng)絡(luò)安全體系的建立，我們建議采取以上的原則，先對整個網(wǎng)絡(luò)進行整體的安全規(guī)劃，然后根據(jù)實際狀況建立一個從防護檢測響應(yīng)的基礎(chǔ)的安全防護體系，提高整個網(wǎng)絡(luò)基礎(chǔ)的安全性，保證應(yīng)用系統(tǒng)的安全性。網(wǎng)絡(luò)安全是整體的、動態(tài)的。節(jié)約性原則：整體方案的設(shè)計應(yīng)該盡可能的不改變原來網(wǎng)絡(luò)的設(shè)備和環(huán)境，以免資源的浪費和重復(fù)投資。 易用性(easy for use)178。其中安全產(chǎn)品的集成便涉及如何選擇網(wǎng)絡(luò)安全產(chǎn)品？在進行網(wǎng)絡(luò)安全產(chǎn)品選型時，應(yīng)該要求網(wǎng)絡(luò)安全產(chǎn)品滿足兩方面的要求：一是安全產(chǎn)品必須符合國家有關(guān)安全管理部門的政策要求；二是安全產(chǎn)品的功能與性能要求。病毒預(yù)警和防護小組：負責(zé)整個網(wǎng)絡(luò)在病毒預(yù)警和防護方面的工作，對病毒預(yù)警和清除負責(zé)，平時負責(zé)跟蹤病毒的產(chǎn)生和傳播情況，注意防病毒技術(shù)的發(fā)展情況，及時提出病毒庫更新要求或升級防病毒軟件的要求。根據(jù)不同的職能，定義不同角色的責(zé)任和權(quán)利，制定相應(yīng)的操作規(guī)范。（4） 加密系統(tǒng)應(yīng)提供一套安全的、使用靈活的密鑰管理機制。針對目前身份認證中普遍存在的不安全問題，通過為所有員工和用戶發(fā)放簽名數(shù)字證書來進行身份標識，并通過使用數(shù)字證書對通信的雙方進行身份驗證和簽名驗證，最終滿足證券行業(yè)網(wǎng)絡(luò)信息化的安全需求，有效地防止各種信息安全隱患。利用系統(tǒng)安全自動分析或檢測工具對審計數(shù)據(jù)進行分析，可盡量早地發(fā)現(xiàn)那些可疑事件或行為的線索，發(fā)現(xiàn)網(wǎng)絡(luò)中存在的不穩(wěn)定因素（如服務(wù)器死機），給出報警或應(yīng)對措施。這時不僅要用殺毒軟件查找已知的計算機病毒，還要用人工檢測和實驗的方法檢測。因此，在條件許可的情況下，要用檢測計算機病毒軟件檢查已知計算機病毒，用人工檢測方法檢查未知計算機病毒，并經(jīng)過證實沒有計算機病毒感染和破壞跡象后再使用。它通過監(jiān)視計算機網(wǎng)絡(luò)或計算機系統(tǒng)的運行，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象，一旦發(fā)現(xiàn)攻擊能夠發(fā)出報警并采取相應(yīng)的措施，如阻斷、跟蹤和反擊等。分析后，歸納出如下的網(wǎng)絡(luò)安全子需求：訪問控制訪問控制是對用戶進行文件和數(shù)據(jù)操作權(quán)限的限制，主要防范用戶的越權(quán)訪問。曾經(jīng)有些證券公司就出現(xiàn)過由于病毒泛濫造成的交易中止的情況，不僅經(jīng)濟損失慘重，而且證券公司的信譽也遭受了很大打擊。利用網(wǎng)絡(luò)開些小玩笑，甚至破壞。數(shù)據(jù)信息數(shù)據(jù)安