【正文】 戶來說，是決不允許的。這些都將給網(wǎng)絡(luò)造成極大的破壞。在通過撥號(hào)服務(wù)器進(jìn)行的訪問中，公司需要可以對(duì)撥上來的用戶進(jìn)行時(shí)間、數(shù)據(jù)流量和其他訪問細(xì)節(jié)進(jìn)行審計(jì)和控制。通常將證券公司的重要服務(wù)器所在的子網(wǎng)和重要的業(yè)務(wù)工作子網(wǎng)分別劃分為單獨(dú)的安全域。計(jì)算機(jī)病毒防治由于在網(wǎng)絡(luò)環(huán)境下，計(jì)算機(jī)病毒有不可估量的威脅性和破壞力。對(duì)硬盤只在DOS下做FORMAT格式化是不能去除主引導(dǎo)區(qū)（分區(qū)表）計(jì)算機(jī)病毒的。網(wǎng)絡(luò)防病毒系統(tǒng)可以實(shí)時(shí)更新病毒庫(kù)，網(wǎng)絡(luò)管理員對(duì)網(wǎng)絡(luò)中所有計(jì)算機(jī)均可做到防病毒控制，可以有效阻止網(wǎng)絡(luò)病毒爆發(fā)和泛濫。審計(jì)需求：a) 操作系統(tǒng)：操作系統(tǒng)必須啟動(dòng)日志與審計(jì)的功能。信息加密信息傳輸加密信息傳輸加密用來防止通信線路上的竊聽、泄漏、篡改和破壞。備份與恢復(fù)證券公司網(wǎng)絡(luò)的主要設(shè)備、軟件、數(shù)據(jù)、電源等都應(yīng)有備份，并有技術(shù)措施和組織措施能夠在較短時(shí)間內(nèi)恢復(fù)系統(tǒng)運(yùn)行。信息安全控制中心首先確定公司網(wǎng)絡(luò)安全管理體系等級(jí)，建立總的安全管理機(jī)制和各級(jí)安全管理中心。平時(shí)注意漏洞及其攻擊技術(shù)的發(fā)展情況，及時(shí)提出彌補(bǔ)漏洞的措施，如使用最新補(bǔ)丁、改變網(wǎng)絡(luò)拓?fù)?、改變?cè)O(shè)備配置、升級(jí)系統(tǒng)等。 安全產(chǎn)品獲得中國(guó)信息安全產(chǎn)品測(cè)評(píng)認(rèn)證中心的測(cè)評(píng)認(rèn)證。 超越傳統(tǒng)，獨(dú)具特色（transcend tradition , own feature）第二節(jié) 網(wǎng)絡(luò)安全方案設(shè)計(jì)原則證券網(wǎng)絡(luò)系統(tǒng)安全方案設(shè)計(jì)、規(guī)劃時(shí)，應(yīng)遵循以下原則：綜合、整體性原則：網(wǎng)絡(luò)安全不單靠技術(shù)措施，必須結(jié)合管理，當(dāng)前發(fā)生的網(wǎng)絡(luò)安全問題中，管理問題占相當(dāng)大的比例，在建立網(wǎng)絡(luò)安全設(shè)施體系的同時(shí)必須建立相應(yīng)的制度和管理體系。多重保護(hù)原則：任何安全措施都不是絕對(duì)安全的，都可能被攻破。安全設(shè)備不是指單一的某種安全設(shè)備，而是指幾種安全設(shè)備的綜合。我們將證券網(wǎng)絡(luò)網(wǎng)絡(luò)安全的層次劃分為五層：物理層安全、網(wǎng)絡(luò)層安全、系統(tǒng)層安全、應(yīng)用層安全、安全管理。3） 在方通VPN 2000的黑區(qū)（可以監(jiān)控進(jìn)出防火墻數(shù)據(jù)的端口）處接入Founder Sniper入侵監(jiān)測(cè)產(chǎn)品，對(duì)所有訪問Internet的數(shù)據(jù)流量進(jìn)行監(jiān)聽和控制，這臺(tái)Founder Sniper另外兩個(gè)監(jiān)聽口聯(lián)入主干交換機(jī)，對(duì)整個(gè)網(wǎng)絡(luò)的數(shù)據(jù)流量進(jìn)行監(jiān)控，如果發(fā)現(xiàn)內(nèi)部員工的非法訪問和網(wǎng)絡(luò)攻擊行為，及時(shí)進(jìn)行報(bào)警和預(yù)先設(shè)定好的策略進(jìn)行響應(yīng)。由于證券網(wǎng)絡(luò)中設(shè)備大多數(shù)屬于Cisco設(shè)備，因此建議同時(shí)使用Cisco Works 2000軟件，這套軟件可以對(duì)數(shù)據(jù)線路的情況做實(shí)時(shí)的檢測(cè)，而且也可以對(duì)Cisco設(shè)備做細(xì)致的配置工作。由于在聯(lián)入Internet的鏈路上危險(xiǎn)性最大，我們建議在防火墻的DMZ（非軍事化區(qū)域）內(nèi)接入內(nèi)部系統(tǒng)的郵件代理服務(wù)器、Web代理服務(wù)器等等，并在防火墻上配置規(guī)則，保證外部因特網(wǎng)只能訪問DMZ區(qū)域中的服務(wù)器的相關(guān)服務(wù)，內(nèi)部網(wǎng)絡(luò)也只能訪問DMZ區(qū)域中的服務(wù)器的相關(guān)服務(wù)。我們?cè)诳偛烤W(wǎng)絡(luò)中建立一個(gè)VPN控制中心，安裝方正的Center 2000VPN控制中心，這樣VPN控制中心可以對(duì)以上所有的防火墻進(jìn)行配置并對(duì)VPN進(jìn)行管理。方正Sniper可以做到對(duì)Internet的訪問控制（URL控制），可以幫助網(wǎng)絡(luò)管理人員控制網(wǎng)絡(luò)使用，杜絕員工上班時(shí)間訪問與工作無關(guān)的網(wǎng)站（例如游戲、色情、聊天網(wǎng)站等等）。Netinway Pro是基于標(biāo)準(zhǔn)SNMP（簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議）的網(wǎng)絡(luò)管理軟件，功能非常強(qiáng)大，可以了解大規(guī)模網(wǎng)絡(luò)中網(wǎng)絡(luò)設(shè)備和計(jì)算機(jī)實(shí)時(shí)的狀況，并針對(duì)各個(gè)級(jí)別的故障作出反應(yīng)。同時(shí)，Netinhand擁有強(qiáng)大的資產(chǎn)管理功能，可以收集到客戶端計(jì)算機(jī)上裝有的軟件列表和硬件信息，并生成完善的報(bào)表，成為資產(chǎn)審計(jì)部門不可或缺的IT資產(chǎn)管理工具。如果證券系統(tǒng)開通了網(wǎng)上交易，我們建議在總部建立一個(gè)CA（證書服務(wù)）服務(wù)器，對(duì)每個(gè)可以網(wǎng)上交易的客戶發(fā)放一個(gè)USB證書，在使用口令和密碼保護(hù)的同時(shí)，使用USB key進(jìn)行身份認(rèn)證，保證交易不可抵賴和不被篡改。防病毒服務(wù)器同時(shí)也可以作為整個(gè)辦公網(wǎng)絡(luò)的域服務(wù)器，其他計(jì)算機(jī)在開機(jī)的同時(shí)使用各自的域用戶進(jìn)行域登錄，這樣通過Windows的Active Directory對(duì)每個(gè)用戶對(duì)網(wǎng)絡(luò)資源訪問權(quán)限進(jìn)行定義，會(huì)達(dá)到更好的效果。方正Netinhand提供系統(tǒng)和數(shù)據(jù)存儲(chǔ)備份還原功能，使得在系統(tǒng)出現(xiàn)問題，重要文件丟失的情況下，可以通過Netinhand進(jìn)行系統(tǒng)和數(shù)據(jù)還原。這樣，給移動(dòng)辦公帶來方便的同時(shí)，也根據(jù)不同用戶可以訪問不同網(wǎng)絡(luò)資源的原則，從管理上提高了整個(gè)證券網(wǎng)絡(luò)的安全性。方正Sniper是一個(gè)網(wǎng)絡(luò)行為的監(jiān)視響應(yīng)行為，在進(jìn)行入侵檢測(cè)工作的同時(shí)，可以對(duì)常用的協(xié)議（比如smtp、ftp、telnet等等）進(jìn)行監(jiān)控。在各地的營(yíng)業(yè)所的路由器后，接入方通防火墻，這些防火墻主要起隔離作用，同樣設(shè)置對(duì)保護(hù)對(duì)象（各地營(yíng)業(yè)所網(wǎng)絡(luò)）的訪問只允許證券業(yè)務(wù)數(shù)據(jù)通過，其他無關(guān)通訊流量通過防火墻安全規(guī)則予以阻斷。第二節(jié) 防火墻子系統(tǒng)防火墻子系統(tǒng)如下：防火墻配置說明對(duì)于證券總部網(wǎng)絡(luò)與所有外網(wǎng)連接出口，都需要使用防火墻進(jìn)行防護(hù)。7） 在網(wǎng)絡(luò)中心建立網(wǎng)絡(luò)管理服務(wù)器，使用方正Netinway Pro產(chǎn)品對(duì)整個(gè)證券網(wǎng)絡(luò)的目前各個(gè)端口的狀況、實(shí)時(shí)流量做到心里有數(shù)，對(duì)于關(guān)鍵的服務(wù)器流量異常時(shí)報(bào)警通知網(wǎng)絡(luò)管理員。2） 在公司總部和各地營(yíng)業(yè)部連接的路由器之后接入防火墻，保證各地營(yíng)業(yè)部聯(lián)入總部的數(shù)據(jù)是網(wǎng)絡(luò)安全管理員認(rèn)為合法的，其他非法的數(shù)據(jù)流量通過防火墻進(jìn)行硬件阻斷。 對(duì)于證券網(wǎng)絡(luò)安全體系的建立，我們建議采取以上的原則，先對(duì)整個(gè)網(wǎng)絡(luò)進(jìn)行整體的安全規(guī)劃，然后根據(jù)實(shí)際狀況建立一個(gè)從防護(hù)檢測(cè)響應(yīng)的基礎(chǔ)的安全防護(hù)體系，提高整個(gè)網(wǎng)絡(luò)基礎(chǔ)的安全性，保證應(yīng)用系統(tǒng)的安全性。網(wǎng)絡(luò)安全是整體的、動(dòng)態(tài)的。節(jié)約性原則：整體方案的設(shè)計(jì)應(yīng)該盡可能的不改變?cè)瓉砭W(wǎng)絡(luò)的設(shè)備和環(huán)境，以免資源的浪費(fèi)和重復(fù)投資。 易用性(easy for use)178。其中安全產(chǎn)品的集成便涉及如何選擇網(wǎng)絡(luò)安全產(chǎn)品？在進(jìn)行網(wǎng)絡(luò)安全產(chǎn)品選型時(shí)，應(yīng)該要求網(wǎng)絡(luò)安全產(chǎn)品滿足兩方面的要求：一是安全產(chǎn)品必須符合國(guó)家有關(guān)安全管理部門的政策要求；二是安全產(chǎn)品的功能與性能要求。病毒預(yù)警和防護(hù)小組：負(fù)責(zé)整個(gè)網(wǎng)絡(luò)在病毒預(yù)警和防護(hù)方面的工作，對(duì)病毒預(yù)警和清除負(fù)責(zé)，平時(shí)負(fù)責(zé)跟蹤病毒的產(chǎn)生和傳播情況，注意防病毒技術(shù)的發(fā)展情況，及時(shí)提出病毒庫(kù)更新要求或升級(jí)防病毒軟件的要求。根據(jù)不同的職能，定義不同角色的責(zé)任和權(quán)利，制定相應(yīng)的操作規(guī)范。（4） 加密系統(tǒng)應(yīng)提供一套安全的、使用靈活的密鑰管理機(jī)制。針對(duì)目前身份認(rèn)證中普遍存在的不安全問題，通過為所有員工和用戶發(fā)放簽名數(shù)字證書來進(jìn)行身份標(biāo)識(shí)，并通過使用數(shù)字證書對(duì)通信的雙方進(jìn)行身份驗(yàn)證和簽名驗(yàn)證，最終滿足證券行業(yè)網(wǎng)絡(luò)信息化的安全需求，有效地防止各種信息安全隱患。利用系統(tǒng)安全自動(dòng)分析或檢測(cè)工具對(duì)審計(jì)數(shù)據(jù)進(jìn)行分析，可盡量早地發(fā)現(xiàn)那些可疑事件或行為的線索，發(fā)現(xiàn)網(wǎng)絡(luò)中存在的不穩(wěn)定因素（如服務(wù)器死機(jī)），給出報(bào)警或應(yīng)對(duì)措施。這時(shí)不僅要用殺毒軟件查找已知的計(jì)算機(jī)病毒，還要用人工檢測(cè)和實(shí)驗(yàn)的方法檢測(cè)。因此，在條件許可的情況下，要用檢測(cè)計(jì)算機(jī)病毒軟件檢查已知計(jì)算機(jī)病毒，用人工檢測(cè)方法檢查未知計(jì)算機(jī)病毒，并經(jīng)過證實(shí)沒有計(jì)算機(jī)病毒感染和破壞跡象后再使用。它通過監(jiān)視計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)的運(yùn)行，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象，一旦發(fā)現(xiàn)攻擊能夠發(fā)出報(bào)警并采取相應(yīng)的措施，如阻斷、跟蹤和反擊等。分析后，歸納出如下的網(wǎng)絡(luò)安全子需求：訪問控制訪問控制是對(duì)用戶進(jìn)行文件和數(shù)據(jù)操作權(quán)限的限制，主要防范用戶的越權(quán)訪問。曾經(jīng)有些證券公司就出現(xiàn)過由于病毒泛濫造成的交易中止的情況，不僅經(jīng)濟(jì)損失慘重，而且證券公司的信譽(yù)也遭受了很大打擊。利用網(wǎng)絡(luò)開些小玩笑，甚至破壞。數(shù)據(jù)信息數(shù)據(jù)安