【正文】 ，在各個(gè)桌面計(jì)算機(jī)上配置熊貓網(wǎng)絡(luò)防病毒客戶端產(chǎn)品，通過Internet的定期更新病毒庫，保證整個(gè)證券網(wǎng)絡(luò)一直保持最新的防病毒能力，不被最新爆發(fā)的病毒感染。取消所有的Access Server聯(lián)入公司局域網(wǎng)的方式，使用虛擬局域網(wǎng)（VPN）技術(shù)，在移動用戶訪問公司網(wǎng)絡(luò)時(shí)，不僅方便使用，而且進(jìn)行數(shù)據(jù)傳輸加密。隨著今后應(yīng)用的種類和復(fù)雜程度的增加，再在原來基礎(chǔ)防護(hù)體系之上，建立增強(qiáng)的安全防護(hù)體系。 可評價(jià)性原則：如何預(yù)先評價(jià)一個(gè)安全設(shè)計(jì)并驗(yàn)證其網(wǎng)絡(luò)的安全性，這需要通過國家有關(guān)網(wǎng)絡(luò)信息安全測評認(rèn)證機(jī)構(gòu)的評估來實(shí)現(xiàn)。網(wǎng)絡(luò)中相同安全級別的保密強(qiáng)度要一致。 高可用性（High Availability）178。第四章 網(wǎng)絡(luò)安全系統(tǒng)構(gòu)建原則第一節(jié) 證券網(wǎng)絡(luò)安全系統(tǒng)產(chǎn)品選型原則網(wǎng)絡(luò)安全防范是通過安全技術(shù)、安全產(chǎn)品集成及安全管理來實(shí)現(xiàn)。平時(shí)負(fù)責(zé)跟蹤入侵手段、漏洞及其對抗手段的發(fā)展情況，適時(shí)提出更新安全工具的必要性和安排計(jì)劃。根據(jù)安全防范體系中的各種安全技術(shù)所需的技術(shù)管理工作，設(shè)定安全管理的角色，如業(yè)務(wù)系統(tǒng)管理員、網(wǎng)絡(luò)系統(tǒng)管理員、安全管理員、系統(tǒng)審計(jì)分析員等職位。（3） 加密系統(tǒng)要有靈活的授權(quán)機(jī)制，數(shù)據(jù)庫加密后，應(yīng)允許用戶以不同的粒度進(jìn)行訪問控制。為保證交易和資金的安全，防止非法人員竊取用戶口令，破壞電子商務(wù)和資金結(jié)算系統(tǒng)。系統(tǒng)產(chǎn)生的大量的審計(jì)數(shù)據(jù)給出了系統(tǒng)中活動的詳細(xì)記錄。這在國內(nèi)、外都是有實(shí)例的。新購置的計(jì)算機(jī)硬軟件系統(tǒng)的測試新購置的計(jì)算機(jī)是有可能攜帶計(jì)算機(jī)病毒的。入侵檢測入侵檢測是對入侵行為的檢測和控制。證券公司普遍使用Windows環(huán)境，可以通過域（Active Directory）規(guī)劃，通過域用戶的認(rèn)證達(dá)到比較好的權(quán)限分配，達(dá)到網(wǎng)絡(luò)的合理合法應(yīng)用。由于目前中國的證券業(yè)普遍沒有手工報(bào)單的業(yè)務(wù)，所有交易是電子化的，因此一旦網(wǎng)絡(luò)和計(jì)算機(jī)出故障，整個(gè)交易就會癱瘓。內(nèi)部不滿的員工有的可能熟悉服務(wù)器、小程序、腳本和系統(tǒng)的弱點(diǎn)。網(wǎng)絡(luò)中一旦有一臺主機(jī)受病毒感染，則病毒程序就完全可能在極短的時(shí)間內(nèi)迅速擴(kuò)散，傳播到網(wǎng)絡(luò)上的所有主機(jī)，可能造成信息泄漏、文件丟失、機(jī)器死機(jī)等安全事件。資源共享證券網(wǎng)絡(luò)內(nèi)部擁有自動化辦公系統(tǒng)。這些后門或安全漏洞都將存在重大安全隱患。惡意攻擊:入侵者通過使用Dos（拒絕服務(wù)攻擊）對內(nèi)部網(wǎng)重要服務(wù)器進(jìn)行攻擊，使得服務(wù)器超負(fù)荷工作以至拒絕服務(wù)甚至系統(tǒng)癱瘓?；贗nternet公網(wǎng)的開放性、國際性與自由性，在公司員工享受Internet的信息共享的好處同時(shí)，內(nèi)部網(wǎng)絡(luò)將面臨非常嚴(yán)重的安全威脅。移動辦公者采用Access Server撥號進(jìn)入總部網(wǎng)絡(luò)，訪問相關(guān)網(wǎng)絡(luò)資源。同時(shí)，公司又充分運(yùn)用方正的品牌、技術(shù)、渠道優(yōu)勢，整合國內(nèi)外資源，不斷為廣大用戶提供最好的解決方案與應(yīng)用服務(wù)。信息網(wǎng)絡(luò)中的各種犯罪活動已經(jīng)嚴(yán)重地威脅著國家、企業(yè)的安全。目前全球已發(fā)現(xiàn)幾萬余種病毒樣本，并且以每月新增300多種的速度繼續(xù)破壞著網(wǎng)絡(luò)和單機(jī)上寶貴的信息資源。隨著網(wǎng)絡(luò)上電子商務(wù)，電子政務(wù)，數(shù)字貨幣、網(wǎng)絡(luò)教學(xué)等新興業(yè)務(wù)的興起，網(wǎng)絡(luò)安全問題變得越來越重要。有近80%的公司至少每周在網(wǎng)絡(luò)上要被大規(guī)模的入侵一次，并且一旦黑客找到系統(tǒng)的薄弱環(huán)節(jié)，所有用戶都會遭殃。同時(shí)網(wǎng)絡(luò)安全問題也是個(gè)長期，不斷完善的過程。接入層：在各個(gè)辦公樓層上，樓層交換機(jī)使用千兆上行端口采用光纖與中心交換機(jī)相連，傳輸速率為1000M，構(gòu)成網(wǎng)絡(luò)主干網(wǎng)；其下行端口到桌面，傳輸速率為100M。原來由單個(gè)計(jì)算機(jī)安全事故引起的損害可能傳播到其他系統(tǒng)和主機(jī)，引起大范圍的癱瘓和損失；另外加上缺乏安全控制機(jī)制和對網(wǎng)絡(luò)安全政策及防護(hù)意識的認(rèn)識不足，這些風(fēng)險(xiǎn)正日益加重。因此，對于證券行業(yè)這種帶有重要資金、帳戶信息傳輸?shù)木W(wǎng)絡(luò)，數(shù)據(jù)在公共鏈路上傳輸最好加密。如果系統(tǒng)內(nèi)部局域網(wǎng)絡(luò)與系統(tǒng)外部網(wǎng)絡(luò)間沒有采取一定的安全防護(hù)措施，內(nèi)部網(wǎng)絡(luò)容易造到來自外網(wǎng)一些不懷好意的入侵者的攻擊。所謂系統(tǒng)安全通常是指網(wǎng)絡(luò)操作系統(tǒng)、應(yīng)用系統(tǒng)的安全。應(yīng)用系統(tǒng)是動態(tài)的、不斷變化的。病毒侵害網(wǎng)絡(luò)是病毒傳播的最好、最快的途徑之一。機(jī)房重地卻是任何都可以進(jìn)進(jìn)出出，來去自由。責(zé)權(quán)不明，管理混亂、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的風(fēng)險(xiǎn)。遠(yuǎn)程移動人員的辦公需要接入公司局域網(wǎng)內(nèi)部，由于這部分?jǐn)?shù)據(jù)在公網(wǎng)上傳送，需要進(jìn)行加密傳輸，因此VPN的應(yīng)用擺在眼前。處理秘密級、機(jī)密級信息的涉密服務(wù)器，訪問應(yīng)當(dāng)按照用戶類別、信息類別控制，訪問必須控制到單個(gè)用戶、單個(gè)文件。因此計(jì)算機(jī)病毒的防范也是網(wǎng)絡(luò)安全建設(shè)中應(yīng)該考濾的重要的環(huán)節(jié)之一。新購置的計(jì)算機(jī)軟件也要進(jìn)行計(jì)算機(jī)病毒檢測。審計(jì)信息對于確定是否有網(wǎng)絡(luò)攻擊的情況發(fā)生，以及確定問題和攻擊源都非常重要。c) 數(shù)據(jù)庫系統(tǒng)：做好數(shù)據(jù)庫操作的日志和審計(jì)工作。數(shù)據(jù)庫加密的基本方式可以分為庫外加密和庫內(nèi)加密。我們考慮的備份主要包括數(shù)據(jù)備份、服務(wù)器系統(tǒng)備份、線路備份等幾個(gè)方面。實(shí)時(shí)響應(yīng)和恢復(fù)響應(yīng)是指發(fā)生安全事故后的緊急處理程序。2) 網(wǎng)絡(luò)恢復(fù)小組：負(fù)責(zé)恢復(fù)整個(gè)網(wǎng)絡(luò)基礎(chǔ)設(shè)施，如線路、路由器、交換機(jī)等功能。 安全產(chǎn)品的選型原則證券網(wǎng)絡(luò)安全系統(tǒng)的設(shè)計(jì)從安全產(chǎn)品選擇考慮了產(chǎn)品功能、性能、運(yùn)行穩(wěn)定性以及擴(kuò)展性，并且對安全產(chǎn)品，還考查其產(chǎn)品自身的安全性。不同的安全措施其代價(jià)、效果對不同網(wǎng)絡(luò)并不完全相同。角色化原則：在管理上面，不僅在數(shù)據(jù)中心可以完全控制外，在地方還需要分配適當(dāng)?shù)慕巧沟胤娇梢栽谧约旱臋?quán)利下修改和查看安全策略和審計(jì)日志。所以，建立網(wǎng)絡(luò)安全系統(tǒng)不是一勞永逸的事情。證券網(wǎng)絡(luò)總部是一個(gè)信息點(diǎn)較為密集的局域網(wǎng)網(wǎng)絡(luò)系統(tǒng)，本方案針對證券行業(yè)現(xiàn)狀，不僅考慮防范來自總部局域網(wǎng)以外的攻擊，同時(shí)考慮防范系統(tǒng)內(nèi)部可能發(fā)生的攻擊，嚴(yán)格保障證券網(wǎng)絡(luò)內(nèi)部關(guān)鍵節(jié)點(diǎn)的安全，從而較為有效地保障整個(gè)系統(tǒng)的安全，通過對證券網(wǎng)絡(luò)進(jìn)行網(wǎng)絡(luò)風(fēng)險(xiǎn)分析和評估，結(jié)合適度的經(jīng)費(fèi)預(yù)算及未來的網(wǎng)絡(luò)安全的動態(tài)性，我們進(jìn)行如下方案設(shè)計(jì)。對一些比較敏感的協(xié)議（比如FTP），可以通過Sniper進(jìn)行控制。8） 在辦公網(wǎng)絡(luò)安裝方正Netinhand桌面管理軟件，可以大幅度減輕網(wǎng)絡(luò)管理員的日常維護(hù)工作，不僅可以提供系統(tǒng)和數(shù)據(jù)存儲還原功能，還可以讓管理員在管理端任意配置客戶端計(jì)算機(jī)。在公司和證交所網(wǎng)絡(luò)、本地營業(yè)部、外地營業(yè)部之間的數(shù)據(jù)鏈路中，配置接入防火墻。第三節(jié) 入侵檢測與信息監(jiān)控子系統(tǒng)入侵檢測與信息監(jiān)控子系統(tǒng)如下：入侵檢測與信息監(jiān)控配置說明在方正方通VPN2000設(shè)備上的黑區(qū)（注：黑區(qū)是防火墻其余端口的映射口）上接入方正Sniper入侵檢測設(shè)備。第四節(jié) VPN子系統(tǒng)VPN子系統(tǒng)如下：VPN子系統(tǒng)配置說明證券公司有些員工在出差的時(shí)候需要訪問公司內(nèi)部局域網(wǎng)，可以通過撥號服務(wù)器進(jìn)行接入。對于整個(gè)網(wǎng)絡(luò)目前鏈路的情況也可以通過網(wǎng)管軟件實(shí)時(shí)了解情況。我們在方通VPN2000的DMZ區(qū)域中設(shè)立一個(gè)防病毒的代理服務(wù)器，它的主要作用就是自動定期（每天）到熊貓的網(wǎng)站下去下載最新的病毒庫升級文件，并把自身的病毒庫升級為最新。其中，在內(nèi)部局域網(wǎng)中，設(shè)立一臺防病毒的分發(fā)和控制服務(wù)器，安裝熊貓防病毒軟件的主控端（熊貓管理員Panda Administrator），其主要作用是進(jìn)行防病毒軟件分發(fā)和作為了解網(wǎng)絡(luò)內(nèi)部查殺病毒情況的服務(wù)器。兩套網(wǎng)管系統(tǒng)互相補(bǔ)充，可以做到網(wǎng)絡(luò)管理最優(yōu)的效果。方正VPN（虛擬局域網(wǎng)）不僅對數(shù)據(jù)進(jìn)行加密，而且可以是在外工作的員工感覺就像在公司局域網(wǎng)內(nèi)部一樣，可以訪問經(jīng)過授權(quán)的局域網(wǎng)內(nèi)的任何網(wǎng)絡(luò)資源，給在外的員工帶來了極大的方便。一旦Sniper發(fā)現(xiàn)有來自Internet的入侵行為存在，它會通過黑區(qū)口告知防火墻生成臨時(shí)規(guī)則阻止這部分非法數(shù)據(jù)流量，使