【正文】 來防止通信線路上的竊聽、泄漏、篡改和破壞。信息安全控制中心首先確定公司網(wǎng)絡安全管理體系等級，建立總的安全管理機制和各級安全管理中心。 安全產(chǎn)品獲得中國信息安全產(chǎn)品測評認證中心的測評認證。 可評價性原則 ： 如何預先評價一個安全設計并驗證其網(wǎng)絡的安全性，這需要通過國家有關(guān)網(wǎng)絡信息安全測評認證機構(gòu)的評估來實現(xiàn)。取消所有的 Access Server 聯(lián)入公司局域網(wǎng)的方式，使用虛擬局域網(wǎng)（ VPN）技術(shù)，在移動用戶訪問公司網(wǎng)絡時，不僅方便使用，而且進行數(shù)據(jù)傳輸加密。 11） 建立、健全信息安全的管理手段和措施，包括相應的安全制度、規(guī)章和慣例等，并指定專人定期進行相關(guān)工作。 此外，方正 Sniper 支持 8 塊網(wǎng)卡，我們在中心交換機上配置映射口，使得在影射口上可以監(jiān)聽到交換機上其他所有端口的信息數(shù)據(jù)，從 Sniper 服務器上另外接出兩塊千兆光纖網(wǎng)卡聯(lián)入總部網(wǎng)絡的兩個中心交換機的映射口，這樣 內(nèi)部人員互相訪問的數(shù)據(jù)同樣可以通過方正 Sniper 進行監(jiān)視和控制，防止內(nèi)部員工的網(wǎng)絡攻擊行為和非法訪問行為。 在辦公網(wǎng)絡安裝方正 Netinhand 桌面管理軟件，可以大幅度減輕網(wǎng)絡管理員的日常維護工作。對于內(nèi)部員工也使用數(shù)字證書來進行身份認證，保證每個人擁有適當?shù)脑L問權(quán)限，達到管理層面上的網(wǎng)絡安全。通過 Netinway Pro 產(chǎn)品生成整個網(wǎng)絡拓撲，對整個證 券網(wǎng)絡的各個端口的實時狀況、實時流量進行檢測，對于關(guān)鍵的服務器流量異常時及時報警通知網(wǎng)絡管理員。在移動辦公人員的計算機上安裝方正 VPN client軟件，無論移動辦公使用 modern 撥號還是用寬帶上網(wǎng)，都可以對公司內(nèi)部局域網(wǎng)進行加密通訊，感覺就像在公司局域網(wǎng)內(nèi)一樣。兩套網(wǎng)管系統(tǒng)互相補充，可以做到網(wǎng)絡管理最優(yōu)的效果。 通過部署不同類型的安全產(chǎn)品，實現(xiàn)對不同層次、不同類別網(wǎng)絡安全問題的防護。但是建立一個多重保護系統(tǒng)，各層保護相互補充，當一層保護被攻破時，其它層保護仍可保護信息的安全。 4) 數(shù)據(jù)庫恢復小組：負責數(shù)據(jù)庫系統(tǒng)的修復、重起、數(shù)據(jù)恢復和加載，是數(shù)據(jù)庫系統(tǒng)平穩(wěn)運行起來； 5) 應用恢復小組：負責整個應用系統(tǒng)的恢復，為重新業(yè)務系統(tǒng)開始運行做最后的準備。從全局管理角度來看，我們制訂了 全局的安全管理策略；從技術(shù)管理角度來看，實現(xiàn)安全的配置和管理；從人員管理角度來看，實現(xiàn)統(tǒng)一的用戶角色劃分策略，制定一系列的管理規(guī)范；從資源管理角度來看，實現(xiàn)資源的統(tǒng)一配置和管理。 身份鑒別 目前每個證券用戶都是通過用戶名和口令登錄，并且都是明文傳輸，密碼容易被人竊取，給證券用戶帶來了一定的風險。就算是正版軟件也難保證沒有攜帶計算機病毒的可能性，更不要說盜版軟 件了。對于涉密信息的細粒度訪問控制，通常針對不同的應用系統(tǒng)，結(jié)合訪問控制軟件和身份鑒別措施來實現(xiàn)。 第三節(jié) 證券行業(yè)網(wǎng)絡安全需求分析 證券行業(yè)網(wǎng)絡安全需求總體分析： 證券行業(yè)對安全產(chǎn)品有比較深刻的認識，對網(wǎng)絡安全的重要性也有深刻理解，行業(yè)網(wǎng)絡安全要求非常高。病毒程序可以通過網(wǎng)上下載、電子郵件、使用盜版光盤或軟盤、人為投放等傳播途徑潛入內(nèi)部網(wǎng)。目前的操作系統(tǒng)或應用系統(tǒng)無論是 Windows 還是其它任何商用 Unix、 Linux 操作系統(tǒng)以及其它廠商開發(fā)的應用系統(tǒng)，其開發(fā)廠商必然有其 BackDoor。因此，對于證券行業(yè)這種帶有重要資金、帳戶信息傳輸?shù)木W(wǎng)絡，數(shù)據(jù)在公共鏈路上傳輸最好加密。 具體典型拓撲如下： 網(wǎng)絡拓撲結(jié)構(gòu)說明 如上圖所示，整個證券公司網(wǎng)絡采用分層設計，可分為兩層： 核心層 ：由高性能的中心三層交換機、數(shù)據(jù)庫磁盤陣列、業(yè)務服務器構(gòu)成網(wǎng)絡核心層（ 數(shù)據(jù)中心），主干網(wǎng)絡采用千兆以太網(wǎng)，保證了網(wǎng)絡性能。 計算機網(wǎng)絡犯罪所造成的經(jīng)濟損失也令人吃驚。僅在美國每年因計算機犯罪所造成的直接經(jīng)濟損失就達 150 億美 元。 為保障核心層的安全可靠，兩臺中心交換機互為備份，保證了整個網(wǎng)絡始終處于連通狀態(tài)。并通過數(shù)字簽名及認證技術(shù)來保數(shù)據(jù)在網(wǎng)上傳輸?shù)恼鎸嵭?、機密性、可靠性及完整性。而且系統(tǒng)本身必定 存在安全漏洞。因此，病毒的危害的不可以輕視的。 由于目前中國的證券業(yè)普遍沒有手 工報單的業(yè)務，所有交易是電子化的，因此一旦網(wǎng)絡和計算機出故障，整個交易就會癱瘓。 入侵檢測 入侵檢測是對入侵行為的檢測和控制。這在國內(nèi)、外都是有實例的。為保證交易和資金的安全，防止非法人員竊取用戶口令，破壞電子商務和資金結(jié)算系統(tǒng)。 根據(jù)安全防范體系中的各種安全技術(shù)所需的技術(shù)管理工作，設定安全管理的角色，如業(yè)務系統(tǒng)管理員、網(wǎng)絡系統(tǒng)管理員、安全管理員、系統(tǒng)審計分析員等職位。 第四章 網(wǎng)絡安全系統(tǒng)構(gòu)建原則 第一節(jié) 證券網(wǎng)絡 安全 系統(tǒng) 產(chǎn)品選 型原則 網(wǎng)絡安全防范是通過安全技術(shù)、安全產(chǎn)品集成及安全管理來實現(xiàn)。 角色化原則 ：在管理上面，不僅在數(shù)據(jù) 中心可以完全控制外，在地方還需要分配適當?shù)慕巧沟胤娇梢栽谧约旱臋?quán)利下修改和查看安全策略和審計日志。 證券網(wǎng)絡總部是一個信息點較為密集的局域網(wǎng)網(wǎng)絡系統(tǒng)，本方案針對證券行業(yè)現(xiàn)狀，不僅考慮防范來自總部局域網(wǎng)以外的攻擊，同時考慮防范系統(tǒng)內(nèi)部可能發(fā)生的攻擊，嚴格保障證券網(wǎng)絡內(nèi)部關(guān)鍵節(jié)點的安全，從而較為有效地保障整個系統(tǒng)的安全，通過對證券網(wǎng)絡進行網(wǎng)絡風險分析和評估，結(jié)合適度的經(jīng)費預算及未來的網(wǎng)絡安全的 動態(tài)性，我們進行如下方案設計。 8） 在辦公網(wǎng)絡安裝方正 Netinhand 桌面管理軟件，可以大幅度減輕網(wǎng)絡管理員的日常維護工作，不僅可以提供系統(tǒng)和數(shù)據(jù)存儲還原功能，還可以讓管理員在管理端任意配置客戶端計算機。 第三節(jié) 入侵檢測與信息監(jiān)控 子系統(tǒng) 入侵檢測與信息監(jiān)控 子系統(tǒng)如下： 入侵檢測與信息監(jiān)控配置說明 在方正方通 VPN20xx 設備上的黑區(qū)（注：黑區(qū)是防 火墻其余端口的映射口）上接入方正 Sniper 入侵檢測設備。對于整個網(wǎng)絡目前鏈路的情況也可以通過網(wǎng)管軟件實時了解情況。 。兩套網(wǎng)管系統(tǒng)互相補充，可以做到網(wǎng)絡管理最優(yōu)的效果。一旦 Sniper 發(fā)現(xiàn)有來自 Inter 的入侵行為存在，它會通過黑區(qū)口告知防火墻生成臨時規(guī)則阻止這部分非法數(shù)據(jù)流量，使得黑客無從下手。 10） 如果需要，建議在證券網(wǎng)絡中建立證書（ CA）系統(tǒng)，對于用戶和股民發(fā)放 USB證書，保證擁有證書的人員才能夠正常交易，使數(shù)據(jù)篡改不可進行，并使數(shù)據(jù)擁有不可抵賴性。 1） 在證券總部聯(lián)入 Inter 出口處配置一臺方通 VPN20xx 防火墻，在公司內(nèi)部放置一臺服務器做 VPN 設置的管理中心，同時也是系統(tǒng)中所有防火墻的配置中心和安全管理中心（配置方正 Center 20xx 管理軟件）。 適應性及靈活性原則 ： 安全措施必須能隨著網(wǎng)絡性能及安全需求的變化而變化，要容易適應、容易修改和升級。 滿足國家管理部門的政策性方面要求 證券公司 針對相關(guān)的安全產(chǎn)品必須查看其是否得到相應的許可證，如： 安全產(chǎn)品獲得國家公安部頒發(fā)的銷售許可證。 全局安全管理策略 證券公司網(wǎng)絡將建立一個的信息安全控制中心，擔負起集中式的安全管理中心的職能，負責制訂公司網(wǎng)絡的全局安全管理制 度，并且負責協(xié)調(diào)各個部門之間的關(guān)系。 用戶和員工的身份可以使用 USB 證書來識別。 在 mail 和上網(wǎng)成為主流病毒傳播方式的今天，在網(wǎng)絡中使用網(wǎng)絡防病毒系統(tǒng)是非常必要的。同時，記錄受到攻擊的過程，為網(wǎng)絡或系統(tǒng)的恢復和追查攻擊的來源提供基本數(shù)據(jù)。 由于證券行業(yè)擁有眾多的營業(yè)所和分部，公司對接入總部的用戶需要做比較嚴格的控制和監(jiān)視。 數(shù)據(jù)信息 數(shù) 據(jù)安全對證券行業(yè)來說尤其重要，數(shù)據(jù)在廣域網(wǎng)線路上傳輸，很難保證在傳輸過程中不被非法竊聽、竊取和篡改。但是從實際應用上，系統(tǒng)的安全程度跟對其進行安全配置及系統(tǒng)的應用面有很大關(guān)系，操作系統(tǒng)如果沒有采用相應的安全配置，則其是漏洞百出，掌握一般攻擊技術(shù)的人都可能入侵得手?；?Inter 公網(wǎng)的開放性、國際性與自由性，在公司員工享受 Inter 的信息共享的好處同時，內(nèi)部網(wǎng)絡將面臨非常嚴重的安全威脅。 接入層 ：在各個辦公樓層上，樓層交換機使用千兆上行端口采用光纖與中心交換機相連，傳輸速率為 1000M，構(gòu)成網(wǎng)絡主干網(wǎng)；其下行端口到桌面，傳輸速率為 100M。有近 80%的公司至少每周在網(wǎng)絡上要被大規(guī)模的入侵一次，并且一旦黑客找到系統(tǒng)的薄弱環(huán)節(jié)，所有用戶都會遭殃。目前全球已發(fā)現(xiàn)幾萬余種病毒樣本，并且以每月新增 300 多種的速度繼續(xù)破壞著網(wǎng)絡和單機上寶貴的信息資源。同時，公 司又充分運用方正的品牌、技術(shù)、渠道優(yōu)勢，整合國內(nèi)外資源，不斷為廣大用戶提供最好的解決方案與應用服務。物理安 全的風險主要有： 地震、水災、火災等環(huán)境事故造成整個系統(tǒng)毀滅； 電源故障造成設備斷電以至操作系統(tǒng)引導失敗或數(shù)據(jù)庫信息丟失； 設備被盜、被毀造成數(shù)據(jù)丟失或信息泄漏； 電磁輻射可能造成數(shù)據(jù)信息被竊取或偷閱； 報警系統(tǒng)的設計不足可能造成原本可以防止但實際發(fā)生了的事故。種種因素都將網(wǎng)絡安全構(gòu)成很大的威脅。內(nèi)部網(wǎng)用戶可夠通過拔號或其它方式進 行電子郵件發(fā)送和接收這就存在被黑客跟蹤或收到一些特洛伊木馬、