【正文】 優(yōu)的效果。其中，在內(nèi)部局域網(wǎng)中，設立一臺防病毒的分發(fā)和控制服務器，安裝熊貓防病毒軟件的主控端（熊貓管理員 Panda Administrator），其主要作用是進行防病毒軟件分發(fā)和作為了解網(wǎng)絡內(nèi)部查殺病毒情況的服務器 。 。我們在方通 VPN20xx 的 DMZ 區(qū)域中設立一個防病毒的代理服務器，它的主要作用就是自動定期（每天）到熊貓的網(wǎng)站下去下載最新的病毒庫升級文件，并把自身的病毒庫升級為最新。對于整個網(wǎng)絡目前鏈路的情況也可以通過網(wǎng)管軟件實時了解情況。 第四節(jié) VPN 子系統(tǒng) VPN 子系統(tǒng)如下： VPN 子系統(tǒng)配置說明 證券公司有些員工在出差的時候需要訪問公司內(nèi)部局域網(wǎng)，可以通過撥號服務器進行接入。 第三節(jié) 入侵檢測與信息監(jiān)控 子系統(tǒng) 入侵檢測與信息監(jiān)控 子系統(tǒng)如下： 入侵檢測與信息監(jiān)控配置說明 在方正方通 VPN20xx 設備上的黑區(qū)（注：黑區(qū)是防 火墻其余端口的映射口）上接入方正 Sniper 入侵檢測設備。 在公司和證交所網(wǎng)絡、本地營業(yè)部、外地營業(yè)部之間的數(shù)據(jù)鏈路中，配置接入防火墻。 8） 在辦公網(wǎng)絡安裝方正 Netinhand 桌面管理軟件，可以大幅度減輕網(wǎng)絡管理員的日常維護工作，不僅可以提供系統(tǒng)和數(shù)據(jù)存儲還原功能，還可以讓管理員在管理端任意配置客戶端計算機。對一些比較敏感的協(xié)議（比如 FTP），可以通過 Sniper 進行控制。 證券網(wǎng)絡總部是一個信息點較為密集的局域網(wǎng)網(wǎng)絡系統(tǒng)，本方案針對證券行業(yè)現(xiàn)狀，不僅考慮防范來自總部局域網(wǎng)以外的攻擊，同時考慮防范系統(tǒng)內(nèi)部可能發(fā)生的攻擊，嚴格保障證券網(wǎng)絡內(nèi)部關鍵節(jié)點的安全，從而較為有效地保障整個系統(tǒng)的安全，通過對證券網(wǎng)絡進行網(wǎng)絡風險分析和評估，結合適度的經(jīng)費預算及未來的網(wǎng)絡安全的 動態(tài)性，我們進行如下方案設計。所以，建立網(wǎng)絡安全系統(tǒng)不是一勞永逸的事情。 角色化原則 ：在管理上面，不僅在數(shù)據(jù) 中心可以完全控制外，在地方還需要分配適當?shù)慕巧沟胤娇梢栽谧约旱臋嗬滦薷暮筒榭窗踩呗院蛯徲嬋罩?。不同的安全措施其代價、效果對不同網(wǎng)絡并不完全相同。 第四章 網(wǎng)絡安全系統(tǒng)構建原則 第一節(jié) 證券網(wǎng)絡 安全 系統(tǒng) 產(chǎn)品選 型原則 網(wǎng)絡安全防范是通過安全技術、安全產(chǎn)品集成及安全管理來實現(xiàn)。平時負責跟蹤入侵 手段、漏洞及其對抗手段的發(fā)展情況，適時提出更新安全工具的必要性和安排計劃。 根據(jù)安全防范體系中的各種安全技術所需的技術管理工作，設定安全管理的角色，如業(yè)務系統(tǒng)管理員、網(wǎng)絡系統(tǒng)管理員、安全管理員、系統(tǒng)審計分析員等職位。 （ 3） 加密系統(tǒng)要有靈活的授權機制，數(shù)據(jù) 庫加密后，應允許用戶以不同的粒度進行訪問控制。為保證交易和資金的安全，防止非法人員竊取用戶口令，破壞電子商務和資金結算系統(tǒng)。系統(tǒng)產(chǎn)生的大量的審計數(shù)據(jù)給出了系統(tǒng)中活動的詳細記錄。這在國內(nèi)、外都是有實例的。 新購置的計算機硬軟件系統(tǒng)的測試 新購置的計算機是有可能攜帶計算機病毒的。 入侵檢測 入侵檢測是對入侵行為的檢測和控制。 證券公司普遍使用 Windows 環(huán)境，可以通過域（ Active Directory）規(guī)劃，通過域用戶的認證達到比較好的權限分配 ，達到網(wǎng)絡的合理合法應用。 由于目前中國的證券業(yè)普遍沒有手 工報單的業(yè)務，所有交易是電子化的，因此一旦網(wǎng)絡和計算機出故障，整個交易就會癱瘓。 內(nèi)部不滿的員工有的可能熟悉服務器、小程序、腳本和系統(tǒng)的弱點。因此，病毒的危害的不可以輕視的。這就需要我們對不同的應用，檢測安全漏洞，采取相應的安全措施，降低應用的安全風險。而且系統(tǒng)本身必定 存在安全漏洞。如： 入侵者通過 Sniffer 等嗅探程序來探測掃描網(wǎng)絡及操作系統(tǒng)存在的安全漏洞，如網(wǎng)絡IP 地址、應用操作系統(tǒng)的類型、開放哪些 TCP/UDP 端口號、系統(tǒng)保存用戶名和口令等安全信息的關鍵文件等，并通過相應攻擊程序對內(nèi)網(wǎng)進行攻擊。并通過數(shù)字簽名及認證技術來保數(shù)據(jù)在網(wǎng)上傳輸?shù)恼鎸嵭?、機密性、可靠性及完整性。辦公網(wǎng)絡是非證券業(yè)務所在，安全級別較低，承擔著與外界聯(lián)系的責任，一般要求接入 Inter，而業(yè)務網(wǎng)絡承擔著每天交易數(shù)據(jù)的處理，安全級別非常高，因此辦公網(wǎng)絡和業(yè)務網(wǎng)絡會采用 VLAN 的形式加以劃分，確保 Inter 上不能直接訪問業(yè)務網(wǎng)絡。 為保障核心層的安全可靠，兩臺中心交換機互為備份，保證了整個網(wǎng)絡始終處于連通狀態(tài)。電子政務網(wǎng)絡與信息安全情況也是如此，主要存在與建設、應用和管理三個方面，而且隨著新技術的發(fā)展，新設備的出現(xiàn)，加上組織結構的變更，應用的深入，會不斷進行變化的。僅在美國每年因計算機犯罪所造成的直接經(jīng)濟損失就達 150 億美 元。 證券行業(yè) 網(wǎng)絡安全及網(wǎng)絡管理解決方案 上海方正科技軟件有限公司 20xx 年 4 月 目錄 第一章 網(wǎng)絡安全現(xiàn)狀和方正軟件公司定位介紹 ........................... 3 第二章 證券網(wǎng)絡系統(tǒng)安全需求分析說明 ................................. 4 第一節(jié) 證券行業(yè)普遍拓撲結構 ................................................................................. 4 第二節(jié) 證券行業(yè)網(wǎng)絡安全風險分析 .......................................................................... 6 物理安全風險分析 .............................................................................................. 6 鏈路傳輸 風險分析 .............................................................................................. 6 網(wǎng)絡結構的安全風險分析 ................................................................................... 6 系統(tǒng)的安全風險分析 .......................................................................................... 7 應用的安全風險分析 .......................................................................................... 8 管理的安全分析 ................................................................................................. 9 第三節(jié) 證券行業(yè)網(wǎng)絡安全需求分析 ........................................................................ 10 證券行業(yè)網(wǎng)絡安全需求總體分析： ................................................................... 10 訪問控制 .......................................................................................................... 10 入侵檢測 ...........................................................................................................11 計算機病毒防治 ................................................................................................11 安全審計 .......................................................................................................... 12 身份鑒別 .......................................................................................................... 12 信息加密 .......................................................................................................... 13 備份與恢復 ............................................................