【正文】 ，在內(nèi)部局域網(wǎng)配置一臺VPN控制中心，安裝VPN控制中心（Center 2000），這個VPN控制中心定義每個VPN客戶端的訪問權(quán)限，可以使不同的VPN客戶端擁有不同訪問局域網(wǎng)的權(quán)限。這樣，整個網(wǎng)絡(luò)一直處于熊貓軟件的防護(hù)下，而且及時更新病毒庫，如果在管理上能保證不濫用網(wǎng)絡(luò)資源，可以說，整個網(wǎng)絡(luò)對病毒的防范能力是非常高的。第六節(jié) 網(wǎng)絡(luò)防病毒子系統(tǒng)及其他子系統(tǒng)網(wǎng)絡(luò)防病毒子系統(tǒng)如下：防病毒子系統(tǒng)配置說明在整個證券網(wǎng)絡(luò)中實(shí)施熊貓防病毒軟件。方正Sniper采用B/S的架構(gòu)，在任意的Windows環(huán)境下，方便可靠。這時，DMZ區(qū)域中的服務(wù)器就成為了內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)的中間地帶，成為了堡壘主機(jī)，可以提高證券公司內(nèi)部網(wǎng)絡(luò)的安全性，降低安全風(fēng)險。4） 使用方通防火墻和方正Sniper的信息審計功能，建立信息審計和防信息泄漏系統(tǒng)，對主要的網(wǎng)絡(luò)協(xié)議（比如smtp、telnet等等）的網(wǎng)絡(luò)行為進(jìn)行記錄，供網(wǎng)絡(luò)管理人員進(jìn)行信息審計。網(wǎng)絡(luò)安全的動態(tài)性是指，網(wǎng)絡(luò)安全是隨著環(huán)境、時間的變化而變化的，在一定環(huán)境下是安全的系統(tǒng)，環(huán)境發(fā)生變化了（如更換了某個機(jī)器），原來安全的系統(tǒng)就變的不安全了；在一段時間里安全的系統(tǒng)，時間發(fā)生變化了（如今天是安全的系統(tǒng)，可能因?yàn)楹诳桶l(fā)現(xiàn)了某種系統(tǒng)的漏洞，明天就會變的不安全了），原來的系統(tǒng)就會變的不安全。計算機(jī)網(wǎng)絡(luò)的各個環(huán)節(jié)，包括個人(使用、維護(hù)、管理)、設(shè)備(含設(shè)施)、軟件(含應(yīng)用系統(tǒng))、數(shù)據(jù)等，在網(wǎng)絡(luò)安全中的地位和影響作用，也只有從系統(tǒng)整體的角度去看待、分析，才可能得到有效、可行的措施?；謴?fù)是指將受損失的系統(tǒng)復(fù)原到發(fā)生安全事故以前的狀態(tài)，這是一個復(fù)雜和煩瑣的過程，需要信心、細(xì)心和耐心，一般包括如下幾個方面：1) 恢復(fù)領(lǐng)導(dǎo)小組：負(fù)責(zé)協(xié)調(diào)整個恢復(fù)工作，分配人員、任務(wù)并審計進(jìn)展情況。如果日常工作對涉密系統(tǒng)的依賴性特別強(qiáng)，則建立遠(yuǎn)程的應(yīng)急處理和災(zāi)難恢復(fù)中心。b) 辦公系統(tǒng)等應(yīng)用軟件應(yīng)該具有日志和審記功能，以便于安全事故原因的分析和漏洞的彌補(bǔ)，同時也非常有利于系統(tǒng)的快速恢復(fù)，從而將損失降低到最小程度。軟盤在DOS下做FORMAT格式化可以去除感染的計算機(jī)病毒。當(dāng)局域網(wǎng)與遠(yuǎn)程網(wǎng)絡(luò)連接時，通常在局域網(wǎng)與遠(yuǎn)程網(wǎng)絡(luò)之間的接口處配置安全保密產(chǎn)品 （如防火墻、保密網(wǎng)關(guān)等）進(jìn)行網(wǎng)絡(luò)邊界安全保護(hù)，并采取數(shù)據(jù)加密設(shè)備（如VPN、DDN機(jī)密機(jī)、PSTN加密機(jī)等）保證信息遠(yuǎn)程傳輸?shù)陌踩?。管理是網(wǎng)絡(luò)中安全得到保證的重要組成部分，是防止來自內(nèi)部網(wǎng)絡(luò)入侵必須的部分。內(nèi)部網(wǎng)用戶可夠通過拔號或其它方式進(jìn)行電子郵件發(fā)送和接收這就存在被黑客跟蹤或收到一些特洛伊木馬、病毒程序等，由于許多用戶安全意識比較淡薄，對一些來歷不明的郵件，沒有警惕性，給入侵者提供機(jī)會，給系統(tǒng)帶來不安全因至素。系統(tǒng)的安全風(fēng)險分析網(wǎng)絡(luò)安全不僅是入侵者到證券網(wǎng)絡(luò)內(nèi)部網(wǎng)上進(jìn)行攻擊、竊取或其它破壞，黑客完全有可能在傳輸線路上安裝竊聽裝置，竊取你在網(wǎng)上傳輸?shù)闹匾獢?shù)據(jù)，再通過一些技術(shù)讀出數(shù)據(jù)信息，造成泄密或者做一些篡改來破壞數(shù)據(jù)的完整性；以上種種不安全因素都對網(wǎng)絡(luò)構(gòu)成嚴(yán)重的安全危脅。在數(shù)據(jù)中心里配置有前端服務(wù)器、中間件服務(wù)器和后臺數(shù)據(jù)庫服務(wù)器，數(shù)據(jù)庫服務(wù)器中存儲有大量戶頭、資金等敏感信息。在全球平均每二十秒就發(fā)生一次網(wǎng)上入侵事件。病毒給每個計算機(jī)用戶和企業(yè)帶來了無法估量和彌補(bǔ)的損失。第二章 證券網(wǎng)絡(luò)系統(tǒng)安全需求分析說明第一節(jié) 證券行業(yè)普遍拓?fù)浣Y(jié)構(gòu)證券行業(yè)普遍擁有總部和數(shù)據(jù)處理中心，在各地?fù)碛袪I業(yè)部和交易所，為了保證交易時間的不間斷工作，各地營業(yè)所到總部擁有雙線路做線路備份，在總部里也是作了線路備份的設(shè)置。網(wǎng)絡(luò)物理安全是整個網(wǎng)絡(luò)系統(tǒng)安全的前提。內(nèi)部局域網(wǎng)的安全威脅據(jù)調(diào)查在已有的網(wǎng)絡(luò)安全攻擊事件中約70%是來自內(nèi)部網(wǎng)絡(luò)的侵犯。而辦公網(wǎng)絡(luò)應(yīng)用通常是共享網(wǎng)絡(luò)資源，比如文件共享、打印機(jī)共享等。利用網(wǎng)絡(luò)開些小玩笑，甚至破壞。分析后，歸納出如下的網(wǎng)絡(luò)安全子需求：訪問控制訪問控制是對用戶進(jìn)行文件和數(shù)據(jù)操作權(quán)限的限制，主要防范用戶的越權(quán)訪問。因此，在條件許可的情況下，要用檢測計算機(jī)病毒軟件檢查已知計算機(jī)病毒，用人工檢測方法檢查未知計算機(jī)病毒，并經(jīng)過證實(shí)沒有計算機(jī)病毒感染和破壞跡象后再使用。利用系統(tǒng)安全自動分析或檢測工具對審計數(shù)據(jù)進(jìn)行分析，可盡量早地發(fā)現(xiàn)那些可疑事件或行為的線索，發(fā)現(xiàn)網(wǎng)絡(luò)中存在的不穩(wěn)定因素（如服務(wù)器死機(jī)），給出報警或應(yīng)對措施。（4） 加密系統(tǒng)應(yīng)提供一套安全的、使用靈活的密鑰管理機(jī)制。病毒預(yù)警和防護(hù)小組：負(fù)責(zé)整個網(wǎng)絡(luò)在病毒預(yù)警和防護(hù)方面的工作，對病毒預(yù)警和清除負(fù)責(zé)，平時負(fù)責(zé)跟蹤病毒的產(chǎn)生和傳播情況，注意防病毒技術(shù)的發(fā)展情況，及時提出病毒庫更新要求或升級防病毒軟件的要求。 易用性(easy for use)178。網(wǎng)絡(luò)安全是整體的、動態(tài)的。2） 在公司總部和各地營業(yè)部連接的路由器之后接入防火墻，保證各地營業(yè)部聯(lián)入總部的數(shù)據(jù)是網(wǎng)絡(luò)安全管理員認(rèn)為合法的，其他非法的數(shù)據(jù)流量通過防火墻進(jìn)行硬件阻斷。第二節(jié) 防火墻子系統(tǒng)防火墻子系統(tǒng)如下：防火墻配置說明對于證券總部網(wǎng)絡(luò)與所有外網(wǎng)連接出口，都需要使用防火墻進(jìn)行防護(hù)。方正Sniper是一個網(wǎng)絡(luò)行為的監(jiān)視響應(yīng)行為，在進(jìn)行入侵檢測工作的同時，可以對常用的協(xié)議（比如smtp、ftp、telnet等等）進(jìn)行監(jiān)控。方正Netinhand提供系統(tǒng)和數(shù)據(jù)存儲備份還原功能，使得在系統(tǒng)出現(xiàn)問題，重要文件丟失的情況下，可以通過Netinhand進(jìn)行系統(tǒng)和數(shù)據(jù)還原。如果證券系統(tǒng)開通了網(wǎng)上交易，我們建議在總部建立一個CA（證書服務(wù)）服務(wù)器，對每個可以網(wǎng)上交易的客戶發(fā)放一個USB證書，在使用口令和密碼保護(hù)的同時，使用USB key進(jìn)行身份認(rèn)證，保證交易不可抵賴和不被篡改。Netinway Pro是基于標(biāo)準(zhǔn)SNMP（簡單網(wǎng)絡(luò)管理協(xié)議）的網(wǎng)絡(luò)管理軟件，功能非常強(qiáng)大，可以了解大規(guī)模網(wǎng)絡(luò)中網(wǎng)絡(luò)設(shè)備和計算機(jī)實(shí)時的狀況，并針對各個級別的故障作出反應(yīng)。我們在總部網(wǎng)絡(luò)中建立一個VPN控制中心，安裝方正的Center 2000VPN控制中心，這樣VPN控制中心可以對以上所有的防火墻進(jìn)行配置并對VPN進(jìn)行管理。由于證券網(wǎng)絡(luò)中設(shè)備大多數(shù)屬于Cisco設(shè)備，因此建議同時使用Cisco Works 2000軟件，這套軟件可以對數(shù)據(jù)線路的情況做實(shí)時的檢測，而且也可以對Cisco設(shè)備做細(xì)致的配置工作。我們將證券網(wǎng)絡(luò)網(wǎng)絡(luò)安全的層次劃分為五層：物理層安全、網(wǎng)絡(luò)層安全、系統(tǒng)層安全、應(yīng)用層安全、安全管理。多重保護(hù)原則：任何安全措施都不是絕對安全的，都可能被攻破。 安全產(chǎn)品獲得中國信息安全產(chǎn)品測評認(rèn)證中心的測評認(rèn)證。信息安全控制中心首先確定公司網(wǎng)絡(luò)安全管理體系等級，建立總的安全管理機(jī)制和各級安全管理中心。信息加密信息傳輸加密信息傳輸加密用來防止通信線路上的竊聽、泄漏、篡改和破壞。網(wǎng)絡(luò)防病毒系統(tǒng)可以實(shí)時更新病毒庫，網(wǎng)絡(luò)管理員對網(wǎng)絡(luò)中所有計算機(jī)均可做到防病毒控制，可以有效阻止網(wǎng)絡(luò)病毒爆發(fā)和泛濫。計算機(jī)病毒防治由于在網(wǎng)絡(luò)環(huán)境下，計算機(jī)病毒有不可估量的威脅性和破壞力。在通過撥號服務(wù)器進(jìn)行的訪問中，公司需要可以對撥上來的用戶進(jìn)行時間、數(shù)據(jù)流量和其他訪問細(xì)節(jié)進(jìn)行審計和控制。這對證券行業(yè)的用戶來說，是決不允許的。因此應(yīng)正確估價自己的網(wǎng)絡(luò)風(fēng)險并根據(jù)自己的網(wǎng)絡(luò)風(fēng)險大小作出相應(yīng)的安全解決方案。假如內(nèi)部網(wǎng)絡(luò)的一臺機(jī)器安全受損（被攻擊或者被病毒感染），就會同時影響在同一網(wǎng)絡(luò)上的許多其他系統(tǒng)。辦公網(wǎng)絡(luò)是非證券業(yè)務(wù)所在，安全級別較低，承擔(dān)著與外界聯(lián)系的責(zé)任，一般要求接入Internet，而業(yè)務(wù)網(wǎng)絡(luò)承擔(dān)著每天交易數(shù)據(jù)的處理，安全級別非常高，因此辦公網(wǎng)絡(luò)和業(yè)務(wù)網(wǎng)絡(luò)會采用VLAN的形式加以劃分，確保Internet上不能直接訪問業(yè)務(wù)網(wǎng)絡(luò)。電子政務(wù)網(wǎng)絡(luò)與信