【正文】 析：信息竊取：內(nèi)外攻擊者?從傳輸信道?、存儲介質(zhì)等?處竊取信息?。而最好的預(yù)?防機制就是?及時修補漏?洞，提高管理水?平。伴隨網(wǎng)絡(luò)的?普及，安全日益成?為影響網(wǎng)絡(luò)?效能的瓶頸?，而證券行業(yè)?的網(wǎng)絡(luò)安全?存在漏洞的?狀況也是眾?所周知的，多位信息安?全領(lǐng)域的專?家也對證券?行業(yè)網(wǎng)絡(luò)的?安全問題提?出了尖銳的?批評，證券行業(yè)網(wǎng)?絡(luò)的安全現(xiàn)?狀已不能適?應(yīng)證券業(yè)迅?速發(fā)展的狀?況。 證 券 公 司網(wǎng)絡(luò)安全解?決方案前言Inter?net的發(fā)?展給政府機?構(gòu)、企事業(yè)單位?、電信系統(tǒng)、金融系統(tǒng)、銀行系統(tǒng)等?帶來了革命?性的改革和?變化。近幾年,不斷有證券?行業(yè)網(wǎng)絡(luò)被?黑客入侵,造成重大經(jīng)?濟損失和惡?劣影響的消?息見諸報段?，證券行業(yè)的?網(wǎng)絡(luò)安全已?經(jīng)成為擺在?所有證券機?構(gòu)和人員所?要考慮的事?情之一。這樣的攻擊?事件使得被?攻擊的目標(biāo)?不得不停止?了它們長期?向國際用戶?提供的服務(wù)?，給對應(yīng)的網(wǎng)?站造成了極?不好的影響?。如無線傳輸?信號偵收、搭線竊聽、竊收數(shù)據(jù)文?件等。篡改：篡改機要數(shù)?據(jù)、文件、資料（增加、刪除、修改）。 由于水災(zāi)、火災(zāi)、雷擊、粉塵、靜電等突發(fā)?性事故和環(huán)?境污染造成?網(wǎng)絡(luò)設(shè)施工?作停滯 網(wǎng)絡(luò)操作系?統(tǒng)，無論是wi?ndows?\unix\netwa?re各種商?用操作系統(tǒng)?，其國外開發(fā)?商都留有后?門（back door），目前每種操?作系統(tǒng)都發(fā)?現(xiàn)有安全漏?洞，一旦被人發(fā)?現(xiàn)利用將對?整個證券網(wǎng)?絡(luò)系統(tǒng)造成?不可估量的?損失。 因特網(wǎng)本身?并不是一個?完全安全可?靠的網(wǎng)絡(luò)環(huán)?境。 網(wǎng)絡(luò)病毒的?傳播或其他?原因造成存?儲數(shù)據(jù)的丟?失和損壞 需要強調(diào)指?出的是, 管理方面的?問題，可以通過加?強管理、提高認(rèn)識來?增加網(wǎng)絡(luò)安?全意識，而其它方面?的安全威脅?的可實施性?正隨著網(wǎng)絡(luò)?技術(shù)和偵聽?工具的隱蔽?化和智能化?而變得越來?越容易實現(xiàn)?。從網(wǎng)絡(luò)安全?技術(shù)方面大?致可以分為?四個層次: 應(yīng)用層、socke?t層(ssl) 、IP層、鏈路層。（1） 體系性：制定完整的?安全體系，應(yīng)包括安全?管理體系、安全技術(shù)體?系和安全保?障體系。（4） 綜合性：網(wǎng)絡(luò)信息安?全 的設(shè)計包括?從完備性（并有一定冗?余）、先進性和可?擴展性方面?的技術(shù)方案?，以及根據(jù)技?術(shù)管理、業(yè)務(wù)管理和?行政管理要?求相應(yīng)的安?全管理方案?，形成網(wǎng)絡(luò)安?全工程設(shè)計?整體方案，供工程分階?段實施和安?全系統(tǒng)運行?作為指導(dǎo)。本次解決方?案的安全體?系結(jié)構(gòu)參照?中國證券機?構(gòu)營業(yè)部信?息系統(tǒng)技術(shù)?管理規(guī)范來?制定的，見下表： 對象層次安全措施分?類安全措施與?技術(shù)操作管理安?全安全防護安全操作規(guī)?范安全操作控?制系統(tǒng)安全檢測操作安全檢?測操作安全審?計安全響應(yīng)操作安全預(yù)?警操作安全監(jiān)?控應(yīng)用系統(tǒng)安?全安全防護業(yè)務(wù)應(yīng)用安?全級別劃分?與訪問控制?業(yè)務(wù)系統(tǒng)授?權(quán)與訪問權(quán)?限控制業(yè)務(wù)系統(tǒng)用?戶身份認(rèn)證?密鑰和證書?管理技術(shù)資料的?管理數(shù)據(jù)真實性?、完整性數(shù)字簽名病毒防殺安全檢測應(yīng)用系統(tǒng)安?全檢測業(yè)務(wù)?應(yīng)用安全審?計病毒檢查安全響應(yīng)安全預(yù)警安全監(jiān)控權(quán)限變更密鑰更新證書發(fā)放和?撤消系統(tǒng)平臺安全防護病毒防殺安全檢測系統(tǒng)安全掃?描與檢測安全審計病毒檢查安全響應(yīng)安全預(yù)警安全監(jiān)控操作系統(tǒng)補?丁網(wǎng)絡(luò)平臺安全防護網(wǎng)絡(luò)級身份?認(rèn)證與訪問?控制（加密與防火?墻）安全網(wǎng)絡(luò)結(jié)?構(gòu)安全網(wǎng)絡(luò)管?理與配置信息傳輸加?密與網(wǎng)絡(luò)安?全隔離虛網(wǎng)劃分安全檢測網(wǎng)絡(luò)安全掃?描網(wǎng)絡(luò)入侵檢?測安全審計安全響應(yīng)網(wǎng)絡(luò)安全監(jiān)?控網(wǎng)絡(luò)安全預(yù)?警物理安全防護防電磁輻射?泄漏防雷防火主機硬件保安電源設(shè)備管理安全檢測電磁輻射檢?測機房保安檢?測系統(tǒng)環(huán)境建設(shè)檢?查管理檢查安全響應(yīng)電磁干擾消防報警安全防范技?術(shù) 安全評估技?術(shù) 它主要包括?三個方面：具體相對網(wǎng)?絡(luò)對象而言?需要解決網(wǎng)?絡(luò)的邊界的?控制和網(wǎng)絡(luò)?內(nèi)部的控制?，對于網(wǎng)絡(luò)資?源來說保持?有限訪問的?原則，信息流向則?可根據(jù)安全?需求實現(xiàn)單?向或雙向控?制。加密 為了防止網(wǎng)?絡(luò)上的竊聽?、泄漏、篡改和破壞?，保證信息傳?輸安全，對網(wǎng)上數(shù)據(jù)?使用加密手?段是最為有?效的方式。網(wǎng)絡(luò)掃描系?統(tǒng)對檢測到?的漏洞信息?形成詳細(xì)報?告，包括位置、詳細(xì)描述和?建議的改進?方案，使網(wǎng)管能檢?測和管理安?全風(fēng)險信息?。辦公系統(tǒng) 文件(郵件)的安全存儲?：利用加密手?段，配合相應(yīng)的?身份鑒別和?密鑰保護機?制（IC卡、PCMCI?A 安全PC卡?等），使得存儲于?本機和網(wǎng)絡(luò)?服務(wù)器上的?個人和單位?重要文件處?于安全存儲?的狀態(tài)，使得他人即?使通過各種?手段非法獲?取相關(guān)文件?或存儲介質(zhì)?（硬盤等），也無法獲得?相關(guān)文件的?內(nèi)容。加密分為單?密鑰的對稱?加密體系和?雙密鑰的非?對稱加密體?系。具體途徑為?建立自己的?CA認(rèn)證中?心或采用權(quán)?威的CA中?心，通過頒發(fā)相?應(yīng)的數(shù)字證?書給與交易?各方相關(guān)身?份證明，同時在SS?L協(xié)議體系?下完成交易?過程中電子?證書驗證、數(shù)字簽名、指令數(shù)據(jù)的?加密傳輸、交易結(jié)果確?認(rèn)審計等。攻擊者的目?標(biāo)是多方面?的，其中以竊取?CA核心機?密（如密鑰對）是最嚴(yán)重的?威脅。如向系統(tǒng)中?注入病毒、蛀蟲、特洛伊木馬?、限門、邏輯炸彈等?來破壞系統(tǒng)?正常工作。例如，一個業(yè)務(wù)出?口被精心地?策劃進行濫?用而使其他?用戶不能正?常接入，又如Int?ernet?的一個地址?被大量的垃?圾信息阻塞?等。如果這些數(shù)?據(jù)損壞，其后果相當(dāng)?嚴(yán)重。機房的電力?和空調(diào)系統(tǒng)?應(yīng)采用主、備兩個系統(tǒng)?，當(dāng)主系統(tǒng)發(fā)?生故障時，可以自動啟?動備用系統(tǒng)?。從目前的計?算機運算速?度來看，采用102?4位的密鑰?是安全的。具體實現(xiàn)方?法有安全數(shù)?據(jù)庫系統(tǒng)、數(shù)據(jù)庫保密?系統(tǒng)、數(shù)據(jù)庫掃描?系統(tǒng)等。每一項與安?全有關(guān)的活?動，都必須有兩?人或多人在?場。安全制度管?理根據(jù)證監(jiān)會?《證券經(jīng)營機?構(gòu)營業(yè)部信?息系統(tǒng)管理?規(guī)范》、《網(wǎng)上證券委?托暫行管理?辦法》等有關(guān)法規(guī)?的要求，建立本行業(yè)?的管理制度?，包括機房管?理、網(wǎng)絡(luò)管理、數(shù)據(jù)管理、設(shè)備管理、應(yīng)急處理、人員管理、技術(shù)資料管?理等有關(guān)信?息系統(tǒng)建設(shè)?的規(guī)范。3. 按照客戶管?理目標(biāo)，根據(jù)統(tǒng)一標(biāo)?準(zhǔn)劃分用戶?角色，對不同的用?戶在交易中?風(fēng)險的高低?及可能帶來?的損失采取?安全防范措?施，例如對經(jīng)常?進行網(wǎng)上交?易的重要客?戶或大客戶?設(shè)置虛擬大?客戶室，由證券公司?給與必要的?技術(shù)支援和?培訓(xùn)。恢復(fù)系統(tǒng)備份系統(tǒng)防火墻安全檢查系 統(tǒng)備份系統(tǒng)病毒防護系?統(tǒng)構(gòu)件一個網(wǎng)?絡(luò)安全方案?必須依據(jù)網(wǎng)?絡(luò)的綜合性?、均衡性、折衷性、動態(tài)性認(rèn)真?考慮。因為我們已?經(jīng)進行過掃?描，減少了防火?墻的漏洞，當(dāng)網(wǎng)絡(luò)遭到?攻擊時，已有防火墻?對網(wǎng)絡(luò)的防?護，將攻擊抵擋?在外面，保證了網(wǎng)絡(luò)?的安全。這樣，病毒與反病?毒將成為一?個長期的技?術(shù)對抗．病毒主要由?反病毒軟件?來對付，而且反病毒?技術(shù)將成為?一種長期的?科研做下去?．目前，如果需要對?整個網(wǎng)絡(luò)進?行規(guī)范化的?網(wǎng)絡(luò)病毒防?范，我們就必須?了解最新的?技術(shù)，結(jié)合網(wǎng)絡(luò)的?病毒入口點?分析，很好地將這?些技術(shù)應(yīng)用?到自己的網(wǎng)?絡(luò)中去，形成一個協(xié)?同作戰(zhàn)、統(tǒng)一管理的?局面，實現(xiàn)鞏固網(wǎng)?絡(luò)安全。 ◆ 具有遠(yuǎn)程和?本地兩種工?作模式 ◆ 網(wǎng)絡(luò)安全掃?描系統(tǒng)能夠?對基于TC?P/IP的網(wǎng)絡(luò)?主機實施掃?描分析，具有跨網(wǎng)關(guān)?操作的能力?，可通過專線?或撥號方式?接入任何基?于TCP/IP的網(wǎng)絡(luò)?系統(tǒng)，支持本地或?遠(yuǎn)程兩種工?作模式。報告將系統(tǒng)?地對目的網(wǎng)?絡(luò)系統(tǒng)的安?全性進行詳?細(xì)描述，為用戶確保?網(wǎng)絡(luò)安全提?供依據(jù)。系統(tǒng)可以檢?測基于TC?P/IP的網(wǎng)絡(luò)?軟硬件產(chǎn)品?，并能深入檢?測WIND?OWS系列?操作系統(tǒng)特?別是應(yīng)用越?來越廣泛的?WINNT?系統(tǒng)和Wi?ndows? 2000系?統(tǒng)，以及運行在?他們之上的?多個Bac?k Offic?e服務(wù)器。具體的掃描?策略設(shè)定細(xì)?化到用戶可?以選擇是否?掃描每一個?漏洞?？梢詥为殭z?查一臺主機?，也可以檢查?整個網(wǎng)段。大多數(shù)傳統(tǒng)?入侵檢測系?統(tǒng)（IDS）采取基于網(wǎng)?絡(luò)或基于主?機的辦法來?辨認(rèn)并躲避?攻擊?；诰W(wǎng)絡(luò)的?IDS通常?利用一個運?行在隨機模?式下網(wǎng)絡(luò)的?適配器來實?時監(jiān)視并分?析通過網(wǎng)絡(luò)?的所有通信?業(yè)務(wù)。在這一較為?簡單的環(huán)境?里，檢查可疑行?為的檢驗記?錄是很常見?的操作。對關(guān)鍵系統(tǒng)?文件和可執(zhí)?行文件的入?侵檢測的一?個常用方法?，是通過定期?檢查校驗和?來進行的，以便發(fā)現(xiàn)意?外的變化。完備的網(wǎng)絡(luò)?安全系統(tǒng)應(yīng)?該能夠監(jiān)視?網(wǎng)絡(luò)和識別?攻擊信號，能夠做到及?時反應(yīng)和保?護，能夠在受到?攻擊的任何?階段幫助網(wǎng)?絡(luò)管理人員?從容應(yīng)付。系統(tǒng)構(gòu)成ZYNet?Eye系統(tǒng)?的主要組成?部分是：主機傳感器? HSP（軟件Hos?t Senso?r Progr?am）、網(wǎng)絡(luò)傳感器? NSP（硬件Net?work Senso?r Progr?am）、監(jiān)控中心/二級監(jiān)控中?心 MCP（軟件Mon?itor Cente?r Progr?am）。用戶實時控?制鍵盤截獲?的開始和結(jié)?束。 在用戶指定?的時間段內(nèi)?，記錄所有的?網(wǎng)絡(luò)連接信?息（包括：TCP、UDP、NetBi?os）。 用戶可自定?義有入侵特?征的數(shù)據(jù)包?。l 系統(tǒng)透明工?作，各模塊間通?信方式設(shè)計?非常先進。它是不同網(wǎng)?絡(luò)或網(wǎng)絡(luò)安?全域之間信?息的唯一出?口，能根據(jù)企業(yè)?的安全政策?，通過對IP?地址、TCP/UDP端口?、ICMP類?型域等各個?級別的詳細(xì)?配置控制（允許、拒絕、監(jiān)測）出入網(wǎng)絡(luò)的?信息流，且本身具有?較強的抗攻?擊能力。ZYSup?erWal?l防火墻融?合了目前主?要的防火墻?技術(shù)，包括包過濾?、透明代理、應(yīng)用代理，對關(guān)鍵網(wǎng)絡(luò)?服務(wù)提供基?于應(yīng)用代理?的細(xì)粒度的?控制；對常用網(wǎng)絡(luò)?服務(wù)提供透?明代理以及?快速的包過?濾機制。 內(nèi)部可以透?明的使用內(nèi)?部IPl 基于網(wǎng)絡(luò)的?IP和MA?C地址綁定?通過網(wǎng)卡的?MAC地址?與網(wǎng)絡(luò)的I?P地址的綁?定，可以防止內(nèi)?部IP盜用?，保障網(wǎng)絡(luò)穩(wěn)?定。216。也就是說，只有防火墻?管理員允許?訪問的內(nèi)部?資源，外部用戶才?可以訪問，體現(xiàn)了管理?中心對整體?內(nèi)部資源的?控制能力。趨勢的防病?毒核心技術(shù)?均通過國家?檢測中心的?監(jiān)測，是第一家取?得中國公安?部計算機安?全產(chǎn)品銷售?許可證的軟?件企業(yè)。但如果采用?專用線路構(gòu)?建企業(yè)專網(wǎng)?，往往需要租?用昂貴的跨?地區(qū)數(shù)據(jù)專?線。對防火墻而?言，是否防火墻?支持對其他?密碼體制的?支持，支持提供A?PI來調(diào)用?第三方的加?密算法和密?碼，非常重要。用戶的操作?平臺為Wi?ndows? NT， 主要考慮到?操作簡便。虛擬專用網(wǎng)?（VPN）是指在公共?網(wǎng)絡(luò)中建立?專用網(wǎng)絡(luò)，數(shù)據(jù)通過安?全的“加密通道”在公共網(wǎng)絡(luò)?中傳播。我們根據(jù)具?體情況，建議使用整?套系統(tǒng)中的?Email Virus?Wall，Inter?Scan Virus?Wall共?包括： Email Virus?Wall：偵測及清除?Inter?net網(wǎng)絡(luò)?SMTP電?子郵件附件?中的病毒.Web Virus?Wal：偵測及清除?病毒，并可鎖定H?TTP傳輸?中惡性Ja?va apple?ts和Ac?tiveX?物件，以及未經(jīng)認(rèn)?證(unsig?ned)或非商業(yè)性?(nonco?mmerc?ial)的鑒定安全?鑒定軟件（限NT版本?）。、防病毒系統(tǒng)? 目的u 對郵件服務(wù)?器進行檢查?，防范病毒。 對入侵設(shè)置?陷阱l 用戶身份鑒?別功能：為了降低防?火墻再Te?lnet,FTP等服?務(wù)和遠(yuǎn)程管?理上的安全?風(fēng)險，HBRKF?W/III型防?火墻采用了?一次性口令?認(rèn)證系統(tǒng)來?作為用戶的?鑒別手段。 自主的過濾?機制可以根?據(jù)自身網(wǎng)絡(luò)?的要求合理?配置網(wǎng)絡(luò)，提高網(wǎng)絡(luò)的?性能。結(jié)合訪問控?制、身份認(rèn)證、邊界入侵檢?測、反IP地址?欺騙等一整?套安全防護?技術(shù)，可為企業(yè)內(nèi)?部網(wǎng)提供強?大的安全防?護手段，在抵御來自?外部網(wǎng)絡(luò)的?攻擊、防止不法分?子入侵的同?時，又能保證安?全高速地訪?問互聯(lián)網(wǎng)。 防火墻是在?內(nèi)部網(wǎng)與外?部網(wǎng)之間實?施安全防范?的系統(tǒng)，可被認(rèn)為是?一種訪問控?制機制，用于確定哪?些內(nèi)部服務(wù)?允許外部訪?問。l 監(jiān)控中心啟?動后，智能判斷并?加入可以監(jiān)?測的工作站?或者網(wǎng)絡(luò)傳?感器，并提供了手?動加入可監(jiān)?測計算機的?功，方便高級用?戶使用。 目前可檢測?18類入侵?企圖： ZYNet?eye的技?術(shù)特點l 多極控制機?制可以設(shè)置多?個層次的安?全控制中心?、傳感器，控制能力強?。 用戶實時控?制網(wǎng)絡(luò)連接?信息截獲的?開始和結(jié)束?。 在用戶指定?的時間段內(nèi)?，記錄所有的?RAS連接?信息。具體功能分?類說明如下?：l 監(jiān)視屏幕216。但主要應(yīng)考?慮以下兩點?：首先，考察系統(tǒng)協(xié)?議分析及檢?測能力，以及解碼速?率；推薦配置方?案生產(chǎn)廠家：XX軟科集?團產(chǎn)品名稱：網(wǎng)絡(luò)監(jiān)測監(jiān)?控系統(tǒng)ZY?NetEy?e ZYNet?Eye網(wǎng)絡(luò)?安全監(jiān)測監(jiān)?控系統(tǒng)是一?種基于信息?流的數(shù)據(jù)采?集、分析、識別和資源?監(jiān)督封鎖軟?件。最后，許多產(chǎn)品都?是監(jiān)聽端口?的活動，并在特定端?口被訪問時?向管理員報?警?，F(xiàn)在的基于?主機的入侵?檢測系統(tǒng)保?留了一種有?力的工具，以理解以前?的攻擊形式?，并選擇合適?的方法去抵?御未來的攻?擊。 模式、表達式或字?節(jié)匹配252。當(dāng)IDS在?網(wǎng)絡(luò)中尋找?這些模式時?，它是基于網(wǎng)?絡(luò)的。
公司有著強?大的開發(fā)和?先進的管理?模式，以及靈活的?運作方式。
細(xì)致入微地?報告系統(tǒng)中?存在的弱點?漏洞。對每