【正文】 6） 在全網(wǎng)實(shí)施網(wǎng)絡(luò)防病毒產(chǎn)品，在各個(gè)服務(wù)器上安裝熊貓防病毒服務(wù)器版，在各個(gè)桌面計(jì)算機(jī)上配置熊貓網(wǎng)絡(luò)防病毒客戶端產(chǎn)品，通過 Inter 的定期更新病毒庫，保證整個(gè)證券網(wǎng)絡(luò)一直保持最新的防病毒能力，不被 最新爆發(fā)的病毒感染。取消所有的 Access Server 聯(lián)入公司局域網(wǎng)的方式，使用虛擬局域網(wǎng)（ VPN）技術(shù)，在移動(dòng)用戶訪問公司網(wǎng)絡(luò)時(shí)，不僅方便使用，而且進(jìn)行數(shù)據(jù)傳輸加密。隨著今后應(yīng)用的種類和復(fù)雜程度的增加，再在原來基礎(chǔ)防護(hù)體系之上，建立增強(qiáng)的安全防護(hù)體系。 可評(píng)價(jià)性原則 ： 如何預(yù)先評(píng)價(jià)一個(gè)安全設(shè)計(jì)并驗(yàn)證其網(wǎng)絡(luò)的安全性，這需要通過國家有關(guān)網(wǎng)絡(luò)信息安全測(cè)評(píng)認(rèn)證機(jī)構(gòu)的評(píng)估來實(shí)現(xiàn)。網(wǎng)絡(luò)中相同安全級(jí)別的保密強(qiáng)度要一致。 安全產(chǎn)品獲得中國信息安全產(chǎn)品測(cè)評(píng)認(rèn)證中心的測(cè)評(píng)認(rèn)證。平時(shí)注意漏洞及其攻擊技術(shù)的發(fā)展情況，及時(shí)提出彌補(bǔ)漏洞的措施，如使用最新補(bǔ)丁、改變網(wǎng)絡(luò)拓?fù)?、改變?cè)O(shè)備配置、升級(jí)系統(tǒng)等。信息安全控制中心首先確定公司網(wǎng)絡(luò)安全管理體系等級(jí)，建立總的安全管理機(jī)制和各級(jí)安全管理中心。 備份與恢復(fù) 證券公司網(wǎng)絡(luò)的主要設(shè)備、軟件、數(shù)據(jù)、電源等都應(yīng)有備份，并有技術(shù)措施和組織措施能夠在較短時(shí)間內(nèi)恢復(fù)系統(tǒng)運(yùn)行。 信息加密 信息傳輸加密 信息傳輸加密用來防止通信線路上的竊聽、泄漏、篡改和破壞。 審計(jì)需求： a) 操作系統(tǒng)：操作系統(tǒng)必須啟動(dòng)日志與審計(jì)的功能。網(wǎng)絡(luò)防病毒系統(tǒng)可以實(shí)時(shí)更新病毒庫，網(wǎng)絡(luò)管理員對(duì)網(wǎng)絡(luò)中所有計(jì)算機(jī)均可做到防病毒控制，可以有效阻止網(wǎng)絡(luò)病毒爆發(fā)和泛濫。對(duì)硬盤只在 DOS 下做 FORMAT 格式化是不能去除主引導(dǎo)區(qū)（分區(qū)表）計(jì)算機(jī)病毒的。 計(jì)算機(jī)病毒防治 由于在網(wǎng)絡(luò)環(huán)境下，計(jì)算機(jī)病毒有不可估量的威脅性和破壞力。 通常將證券公司的重要服務(wù)器所在的子網(wǎng)和重要的業(yè)務(wù)工作子網(wǎng)分別劃分為單獨(dú)的安全域。在通過撥號(hào)服務(wù)器進(jìn)行的訪問中，公司需要可以對(duì)撥上來的用戶進(jìn)行時(shí)間、數(shù)據(jù)流量和其他訪問細(xì)節(jié)進(jìn)行審計(jì)和控制。這些都將給網(wǎng)絡(luò)造成極大的破壞?，F(xiàn)今借助很多先進(jìn)技術(shù)，黑客或一些工業(yè)間諜會(huì)設(shè)法在線路上做些手腳，獲得在網(wǎng)上傳輸?shù)臄?shù)據(jù)信息，也就造成了泄密。由此就可能存在著：?jiǎn)T工有意、無意把硬盤中重要信息目錄共享，長期暴露在網(wǎng)絡(luò)鄰居上，可能被外部人員輕易偷取或被內(nèi)部其他員工竊取并傳播出去造成泄密，因?yàn)槿鄙俦匾脑L問控制策略。如果進(jìn)行安全配置，比如：填補(bǔ)安全漏洞，關(guān)閉一些不常用的服務(wù)，禁止開放一些不常用而又比較敏感的端口等，那么入侵者要成功進(jìn)入內(nèi)部網(wǎng)就會(huì)難得多，這需要相當(dāng)高的技術(shù)水平及相當(dāng)長時(shí)間。 內(nèi)部局域網(wǎng)的安全威脅 據(jù)調(diào)查在已有的網(wǎng)絡(luò)安全攻擊事件中約 70%是來自內(nèi)部網(wǎng)絡(luò)的侵犯。因?yàn)?，每天黑客都在試圖闖入 Inter 節(jié)點(diǎn)，假如我們的網(wǎng)絡(luò)不保持警惕，可能連 黑客怎么闖入的都不知道，甚至?xí)蔀楹诳腿肭制渌W(wǎng)絡(luò)的跳板。而這些風(fēng)險(xiǎn)與網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)和系統(tǒng)的應(yīng)用等因素密切相關(guān)。遠(yuǎn)程的營業(yè)部和交易所采用各種廣域網(wǎng)方式接如總部網(wǎng)絡(luò)。 方正軟件通過自身的研發(fā)以及與國內(nèi)外著名 IT 公司的合作，形成了方正信息安全與網(wǎng)絡(luò)管理系統(tǒng)及方正中小企業(yè)電子商務(wù)應(yīng)用系統(tǒng)二大產(chǎn)品線。面對(duì)計(jì)算機(jī)網(wǎng)絡(luò)的種種安全威脅，必須采取有力的措施來保證安全。 病毒是網(wǎng)絡(luò)安全最大的隱患，它對(duì)網(wǎng)絡(luò)的威脅占導(dǎo)致經(jīng)濟(jì)損失的安全問題的 76%。幾乎所有的企業(yè)都不同程度的遭受過病毒的侵襲。 而據(jù)調(diào)查，我國電子商務(wù)類網(wǎng)站中 90%以上存在信息安全問題。公司定位為“中國人自己的信息安全衛(wèi)士”和“中國企業(yè) e 化的高速公路”。此外，證券公司會(huì)和證券交易所（上證所和深交所）進(jìn)行數(shù)據(jù)交換，會(huì) 有數(shù)據(jù)鏈路存在。我們根據(jù)證券行業(yè)的網(wǎng)絡(luò)結(jié)構(gòu)和應(yīng)用情況，從物理安全、鏈路安全、網(wǎng)絡(luò)安全、系統(tǒng)安全、應(yīng)用安全及管理安全進(jìn)行分類描述： 物理安全風(fēng)險(xiǎn)分析 網(wǎng)絡(luò)物理安全是整個(gè)網(wǎng)絡(luò)系統(tǒng)安全的前提。證券公司內(nèi)部網(wǎng)絡(luò)中擁有非常重要的信息。比如內(nèi)部人員故意泄漏內(nèi)部網(wǎng)絡(luò)的網(wǎng)絡(luò)結(jié)構(gòu)；安全 管理員有意透露其用戶名及口令；內(nèi)部員工惡意攻擊局域網(wǎng)中重要數(shù)據(jù)存放的服務(wù)器（例如數(shù)據(jù)庫服務(wù)器）；內(nèi)部人員惡意使用網(wǎng)絡(luò)資源，濫發(fā)垃圾郵件等等；內(nèi)部不懷好意員工編些破壞程序在內(nèi)部網(wǎng)上傳播或者內(nèi)部人員通過各種方式盜取他人涉密信息傳播出去。因此應(yīng)正確估價(jià)自己的網(wǎng)絡(luò)風(fēng)險(xiǎn)并根據(jù)自己的網(wǎng)絡(luò)風(fēng)險(xiǎn)大小作出相應(yīng)的安全解決方案。 電子郵件系統(tǒng) 電子郵件為網(wǎng)系統(tǒng)用戶提供電子郵件應(yīng)用。這對(duì)證券行業(yè)的用戶來說，是決不允許的。 管理是網(wǎng)絡(luò)中安全得到保證的重要組成部分，是防止來自內(nèi)部網(wǎng)絡(luò)入侵必須的部分。 由于網(wǎng)絡(luò)入侵和攻擊會(huì)對(duì)證券系統(tǒng)和網(wǎng)絡(luò)產(chǎn)生毀滅性的打擊，由于證券行業(yè)的網(wǎng)絡(luò)帶寬普遍較高，網(wǎng)絡(luò)設(shè)備很先進(jìn)，數(shù)據(jù)流也比較大，故高效先進(jìn) 的入侵檢測(cè)設(shè)備是證券行業(yè)網(wǎng)絡(luò)所必須配備的。當(dāng)局域網(wǎng)與遠(yuǎn)程網(wǎng)絡(luò)連接時(shí)，通常在局域網(wǎng)與遠(yuǎn)程網(wǎng)絡(luò)之間的接口處配置安全保密產(chǎn)品 （如防火墻、保密網(wǎng)關(guān)等）進(jìn)行網(wǎng)絡(luò)邊界安全保 護(hù)，并采取數(shù)據(jù)加密設(shè)備（如 VPN、 DDN機(jī)密機(jī)、 PSTN 加密機(jī)等）保證信息遠(yuǎn)程傳輸?shù)陌踩?。我們都知道，證券網(wǎng)絡(luò)系統(tǒng)中使用的操作系統(tǒng)大部分為 WINDOWS 系統(tǒng)，比較容易感染病毒。軟盤在 DOS下做 FORMAT 格式化可以去除感染的計(jì)算機(jī)病毒。 安全審計(jì) 安全審計(jì)有助于對(duì)入侵進(jìn)行評(píng)估，是提高安全性的重要工具。 b) 辦公系統(tǒng)等應(yīng)用軟件應(yīng)該具有日志和審記功能，以便 于安全事故原因的分析和漏洞的彌補(bǔ)，同時(shí)也非常有利于系統(tǒng)的快速恢復(fù)，從而將損失降低到最小程度。 信息存儲(chǔ)加密 信息存儲(chǔ)加密的主要方式有文件加密和數(shù)據(jù)庫加密。如果日常工作對(duì)涉密系統(tǒng)的依賴性特別強(qiáng)，則建立遠(yuǎn)程的應(yīng)急處理和災(zāi)難恢復(fù)中心。此外，還負(fù)責(zé)制定一批合理可行的安全管理制度，督促并保障制度的實(shí)施。 恢復(fù)是指將受損失的系統(tǒng)復(fù)原到發(fā)生安全事故以前的 狀態(tài)，這是一個(gè)復(fù)雜和煩瑣的過程，需要信心、細(xì)心和耐心，一般包括如下幾個(gè)方面： 1) 恢復(fù)領(lǐng)導(dǎo)小組：負(fù)責(zé)協(xié)調(diào)整個(gè)恢復(fù)工作，分配人員、任務(wù)并審計(jì)進(jìn)展情況。 符合國家保密局有關(guān)國際聯(lián)網(wǎng)管理規(guī)定以及涉密網(wǎng)審批管理規(guī) 定。 節(jié)約性原則 ：整體方案的設(shè)計(jì)應(yīng)該盡可能的不改變?cè)瓉砭W(wǎng)絡(luò)的設(shè)備和環(huán)境，以免資源的浪費(fèi)和重復(fù)投資。 網(wǎng)絡(luò)安全是整體的 、 動(dòng)態(tài)的。 對(duì)于 證券網(wǎng)絡(luò) 安全體系的建立，我們建議采取以上的原則，先對(duì)整個(gè)網(wǎng)絡(luò)進(jìn)行整體的安全規(guī)劃，然后根據(jù)實(shí)際狀況建立一個(gè)從防護(hù) 檢測(cè) 響應(yīng)的基礎(chǔ)的安全防護(hù)體系，提高整個(gè)網(wǎng)絡(luò)基礎(chǔ)的安全性，保證應(yīng)用系統(tǒng)的安全性。 2） 在公司總部和各地營業(yè)部連接的路由器之后接入防火墻，保證各地營業(yè)部聯(lián)入總部的數(shù)據(jù)是網(wǎng)絡(luò)安全管理員認(rèn)為合法的，其他非法的數(shù)據(jù)流量通過防火墻進(jìn)行硬件阻斷。 7） 在網(wǎng)絡(luò)中心建立網(wǎng)絡(luò)管理服務(wù)器，使用方正 Netinway Pro 產(chǎn)品對(duì)整個(gè)證券網(wǎng)絡(luò)的目前各個(gè)端口的狀況、實(shí)時(shí)流量做到心里有數(shù)，對(duì)于關(guān)鍵的服務(wù)器流量異常時(shí)報(bào)警通知網(wǎng)絡(luò)管理員。 第二節(jié) 防火墻子系統(tǒng) 防火墻子系統(tǒng)如 下： 防火墻配置說明 對(duì)于證券總部網(wǎng)絡(luò)與所有外網(wǎng)連接出口，都需要使用防火墻進(jìn)行防護(hù)。 在各地的營業(yè)所的路由器后，接入方通防火墻，這些防火墻主要起隔離作用，同樣設(shè)置對(duì)保護(hù)對(duì)象（各地營業(yè)所網(wǎng)絡(luò)）的訪問只允許證券業(yè)務(wù)數(shù)據(jù)通過，其他無關(guān)通訊流量通過防火墻安全規(guī)則予以阻斷。 方正 Sniper 是一個(gè)網(wǎng)絡(luò)行為的監(jiān)視響應(yīng)行為，在進(jìn)行入侵檢測(cè)工作的同時(shí)，可以對(duì)常用的協(xié)議（比如 smtp、 ftp、 tel 等等）進(jìn)行監(jiān)控。這樣，給移動(dòng)辦公帶來方便的同時(shí)，也根據(jù)不同用戶可以訪問不同網(wǎng)絡(luò)資源的原則，從管理上提高了整個(gè)證券網(wǎng)絡(luò)的安全性。方正 Netinhand 提供系統(tǒng)和數(shù)據(jù)存儲(chǔ)備份還原功能，使得在系統(tǒng)出現(xiàn)問題，重要文件丟失的情況下，可以通過 Netinhand 進(jìn)行系統(tǒng)和數(shù)據(jù)還原。防病毒服務(wù)器同時(shí)也可以作為整個(gè)辦公網(wǎng)絡(luò)的域服務(wù)器，其他計(jì)算機(jī)在開機(jī)的同時(shí)使用各自的域用戶進(jìn)行域登錄，這樣通過 Windows 的 Active Directory 對(duì)每個(gè)用戶對(duì)網(wǎng)絡(luò)資源訪問權(quán)限進(jìn)行定義，會(huì)達(dá)到更好的效果。 如果證券系統(tǒng)開通了網(wǎng)上交易，我們建議在總部建立一個(gè) CA（證書服務(wù)）服務(wù)器，對(duì)每個(gè)可以網(wǎng)上交易的客戶發(fā)放一個(gè) USB 證書，在使用口令和密碼保護(hù)的同時(shí)，使用 USB key進(jìn)行身份認(rèn)證，保證交易不可抵賴和不被篡改。同時(shí)，Netinhand 擁有強(qiáng)大的資產(chǎn)管理功能，可以收集到客戶端計(jì)算機(jī)上裝有的軟件列表和硬件信息，并生成完善的報(bào)表，成為資產(chǎn)審計(jì)部門不可或缺的 IT 資產(chǎn)管理工具。 Netinway Pro 是基于標(biāo)準(zhǔn) SNMP（簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議）的網(wǎng)絡(luò)管理軟件，功能非常強(qiáng)大，可以了解大規(guī)模網(wǎng)絡(luò)中網(wǎng)絡(luò)設(shè)備和計(jì)算機(jī)實(shí)時(shí)的狀況，并針對(duì)各個(gè)級(jí)別的故障作出反應(yīng)。方正 Sniper 可以做到對(duì) Inter 的訪問控制（ URL 控制），可以幫助網(wǎng)絡(luò)管理人員控制網(wǎng)絡(luò)使用，杜絕員工上班時(shí)間訪問與工作無關(guān)的網(wǎng)站（例如游戲、色情、聊天網(wǎng)站等等）。我們?cè)诳偛烤W(wǎng)絡(luò)中建立一個(gè)VPN 控制中心，安裝方正的 Center 20xxVPN 控制中心，這樣 VPN 控制中心可以對(duì)以上所有的防火墻進(jìn)行配置并對(duì) VPN 進(jìn)行管理。由于在聯(lián)入 Inter 的鏈路上危險(xiǎn)性最大，我們建議在防火墻的 DMZ（非軍事化區(qū)域）