【文章內(nèi)容簡介】 ..................................................103總結(jié) ............................................................................................................................1038 / 1031 北大方正集團(tuán)、方正數(shù)碼公司簡介北京北大方正集團(tuán)公司是北京大學(xué)創(chuàng)建的高新技術(shù)企業(yè)?！　》秸瘓F(tuán)擁有３個(gè)控股的上市公司，方正（控股）有限公司、方正數(shù)碼有限公司、上海方正延中科技集團(tuán)股份有限公司，17 家獨(dú)資、合資企業(yè)。員工總數(shù)約 6000 人，總資產(chǎn) 50 億元，2022 年銷售規(guī)模達(dá) 101 億元?！　?997 年，方正集團(tuán)已成為國家 120 家大型試點(diǎn)企業(yè)集團(tuán)之一，國家首批６家技術(shù)創(chuàng)新試點(diǎn)企業(yè)之一，國家重點(diǎn)支持的５家 PC 生產(chǎn)廠家之一?！　?chuàng)造科技與文明，是北大方正的一貫宗旨，集團(tuán)堅(jiān)持以人為本的宗旨，以創(chuàng)新為先導(dǎo)，產(chǎn)、學(xué)、研結(jié)合，不斷以優(yōu)質(zhì)產(chǎn)品和技術(shù)服務(wù)于社會(huì)。方正數(shù)碼有限公司（ECFounder Co., Ltd.）是從事發(fā)展互聯(lián)網(wǎng)應(yīng)用技術(shù)及電子商務(wù)的軟件技術(shù)公司。其業(yè)務(wù)專注于互聯(lián)網(wǎng)安全產(chǎn)品及網(wǎng)絡(luò)安全服務(wù)等領(lǐng)域，是互聯(lián)網(wǎng)時(shí)代的軟件技術(shù)公司。 方正數(shù)碼借助技術(shù)、研發(fā)方面的優(yōu)勢，借鑒世界上最先進(jìn)的管理運(yùn)作經(jīng)驗(yàn)，定位于電子商務(wù)賦能者 （ emerce enabler） ，用不斷創(chuàng)新的技術(shù)與優(yōu)質(zhì)的服務(wù)賦予客戶新經(jīng)濟(jì)時(shí)代可持續(xù)發(fā)展的能力，幫助政府、證券、金融、行業(yè)、企業(yè)、網(wǎng)站、電子商務(wù)的運(yùn)營者運(yùn)用先進(jìn)技術(shù)和高效管理手段在互聯(lián)網(wǎng)時(shí)代健9 / 103康發(fā)展，取得成功。 方正數(shù)碼有限公司的業(yè)務(wù)圍繞在互聯(lián)網(wǎng)安全技術(shù)應(yīng)用、網(wǎng)絡(luò)安全服務(wù)及網(wǎng)絡(luò)安全知識(shí)管理等主要領(lǐng)域，在技術(shù)開發(fā)、應(yīng)用解決方案和運(yùn)營服務(wù)方面為用戶提供先進(jìn)的網(wǎng)絡(luò)安全產(chǎn)品和技術(shù)。為此方正數(shù)碼推出 SHARKS 互聯(lián)網(wǎng)安全解決方案。SHARKS 解決方案是在深入的研究后，提出的一套基于中國國情、全部自主開發(fā)、具有領(lǐng)先優(yōu)勢的解決方案。它是一套整體的集群平臺(tái)，可以解決企業(yè)最為關(guān)切的安全性、高可靠性、可擴(kuò)展性和易于遠(yuǎn)程管理的問題。目前這套方案已經(jīng)得到國家有關(guān)部門的大力支持，被國家經(jīng)貿(mào)委列為國家創(chuàng)新計(jì)劃項(xiàng)目之一，還得到了國家“863”計(jì)劃的肯定與支持。方正方御防火墻是 SHARKS 安全解決方案中的主要安全產(chǎn)品之一。方正方御防火墻憑借其獨(dú)特的技術(shù)優(yōu)勢，在保證系統(tǒng)自身的安全性的同時(shí)又保證了其運(yùn)行效率。方正方御防火墻中還融入了入侵檢測技術(shù)，可以有效地防范攻擊企圖的試探；另外利用先進(jìn)的 III 技術(shù)，方正方御防火墻可以有效濾除著名的DDoS 攻擊，正是這種攻擊曾迫使包括美國雅虎在內(nèi)的若干世界最大的網(wǎng)站停止服務(wù)。除防火墻之外，方正數(shù)碼有限公司還向用戶提供 VPN、安全掃描系統(tǒng)、入侵檢測系統(tǒng)（IDS）等安全產(chǎn)品及方案，從多層次、多角度、全方位保護(hù)用戶的網(wǎng)絡(luò)。在立身自主開發(fā)外，方正數(shù)碼還與 CA、ISS 、Symantec 等眾多國際知名的安全公司保持著良好的合作關(guān)系，集成國內(nèi)外最優(yōu)秀的公司安全產(chǎn)品，為國內(nèi)10 / 103Inter 的安全建設(shè)保駕護(hù)航。2 網(wǎng)絡(luò)證券業(yè)務(wù)分析證券業(yè)務(wù)是改革開放以來，金融系統(tǒng)中增長最快的業(yè)務(wù)之一，它從無到有，從小到大。在證券交易所注冊開戶的用戶飛速增長，而關(guān)心證券交易的人更是成倍的增長，不論大人還是小孩，似乎都知道證券一詞。傳統(tǒng)的證券交易大概需要以下幾個(gè)步驟：首先，需要到證券交易機(jī)構(gòu)注冊開戶；其次，需要將用戶的資金從銀行轉(zhuǎn)入證券交易的賬戶中；第三，進(jìn)行證券信息處理和各種交易。然而在傳統(tǒng)的證券交易中，用戶需要到證券營業(yè)廳進(jìn)行交易或通過電話等手段進(jìn)行交易，雖然其交易速度很快，但是和計(jì)算機(jī)網(wǎng)絡(luò)相比仍然是小巫見大巫。由于不用擔(dān)心支付手段、不用擔(dān)心實(shí)物配送等原因，證券業(yè)是最適合使用互聯(lián)網(wǎng)的行業(yè)之一。網(wǎng)絡(luò)證券交易，就是要將傳統(tǒng)的證券交易轉(zhuǎn)變?yōu)橐杂?jì)算機(jī)互聯(lián)網(wǎng)絡(luò)為基礎(chǔ)的交易方式。用戶可以充分利用 Inter 或無線互聯(lián)網(wǎng)的優(yōu)勢，快捷方便的進(jìn)行交易。網(wǎng)絡(luò)證券交易主要業(yè)務(wù)包括以下幾個(gè)方面：用戶注冊開戶網(wǎng)上身份驗(yàn)證證券信息瀏覽在線證券交易證券交易和用戶的網(wǎng)絡(luò)化管理維護(hù)與安全相關(guān)業(yè)務(wù)：在以上幾個(gè)方面中，用戶的網(wǎng)上身份驗(yàn)證、證券信息傳輸、在線交易和在線管理與維護(hù)是非常需要安全保護(hù)的，而用戶的注冊開戶是要到證券機(jī)構(gòu)進(jìn)行申請的，所以不涉及網(wǎng)絡(luò)的安全性的。涉密信息：上面我們分析了需要安全保護(hù)的網(wǎng)絡(luò)證券交易業(yè)務(wù)，那么，哪些信息是涉及加密的呢？首先，用戶的身份、賬戶等信息是用戶進(jìn)行交易是需要進(jìn)行驗(yàn)證11 / 103的，這些信息若被竊取或破壞，不但無法進(jìn)行網(wǎng)上的交易，更為嚴(yán)重的可能直接影響用戶使用傳統(tǒng)形式進(jìn)行交易，所以需要安全加密；其次，交易數(shù)據(jù)是涉及用戶直接的經(jīng)濟(jì)利益，也是需要安全加密的；第三，網(wǎng)絡(luò)證券交易的管理與維護(hù)是網(wǎng)絡(luò)化的，而這些信息是直接關(guān)系到網(wǎng)絡(luò)證券交易系統(tǒng)自身的安全性的，這些信息是需要安全加密的。經(jīng)過分析，涉密信息主要有用戶信息、交易數(shù)據(jù)、管理信息三個(gè)方面。12 / 103網(wǎng)絡(luò)證券的管理模式：由于網(wǎng)絡(luò)證券交易時(shí)使用 Inter 或無線互聯(lián)網(wǎng)，用戶信息，證券信息，交易數(shù)據(jù)等是由多臺(tái)不同的服務(wù)器來承擔(dān)的，同時(shí)在其上要運(yùn)行多種服務(wù)的，所以應(yīng)該采用集中管理的方式對網(wǎng)絡(luò)證券交易進(jìn)行管理，這樣能減輕管理員的勞動(dòng)強(qiáng)度，提高工作效率。13 / 103安全風(fēng)險(xiǎn)及威脅：前面我們分析了網(wǎng)上證券交易需要安全保護(hù)的業(yè)務(wù)，也分析了有哪些是涉密信息。通過這些分析我們可以很容易的得出網(wǎng)絡(luò)證券交易的安全風(fēng)險(xiǎn)及威脅來自以下幾個(gè)方面：用戶信息會(huì)受到黑客的竊取、破壞以及病毒的破壞交易數(shù)據(jù)會(huì)受到黑客的竊取、破壞以及病毒的破壞系統(tǒng)信息會(huì)受到黑客的竊取、破壞以及病毒的破壞服務(wù)的正常運(yùn)行會(huì)受到黑客的攻擊、破壞以及病毒的破壞系統(tǒng)安全目的：通過以上的分析，網(wǎng)絡(luò)證券交易系統(tǒng)的安全目的是：要保護(hù)用戶的信息和數(shù)據(jù)、系統(tǒng)的資源和信息不被非法竊取和破壞，保護(hù)各項(xiàng)網(wǎng)絡(luò)服務(wù)能正常運(yùn)轉(zhuǎn)，免受入侵和攻擊。3 網(wǎng)絡(luò)證券安全需求分析前面分析了網(wǎng)絡(luò)證券業(yè)務(wù)是需要安全保障的。由于證券業(yè)自身的特殊性，對安全性也有不同于其他行業(yè)的要求。網(wǎng)絡(luò)證券業(yè)務(wù)中對安全的要求為安全性、高效性、可靠性、可伸縮性、易于使用性和安全服務(wù)體制。 安全性證券的網(wǎng)上交易往往涉及巨額資金，一旦受外部攻擊造成系統(tǒng)中斷，或網(wǎng)絡(luò)犯罪使信息泄露，將會(huì)造成重大損失。證券的網(wǎng)上交易的安全性主要有以下幾個(gè)方面：網(wǎng)絡(luò)環(huán)境、操作系統(tǒng)與數(shù)據(jù)的安全性證券交易通過網(wǎng)絡(luò)來實(shí)現(xiàn)，如果這個(gè)網(wǎng)絡(luò)環(huán)境直接暴露于 Inter 上，那么將是可怕的，所以我們需要用防火墻來隔離 Inter 和網(wǎng)絡(luò)證券交易系統(tǒng)。由于防火墻能夠阻擋黑客的攻擊行為和異常的網(wǎng)絡(luò)事件，這樣可以保護(hù)我們的網(wǎng)絡(luò)交易環(huán)境、網(wǎng)絡(luò)中計(jì)算機(jī)的操作系統(tǒng)和數(shù)據(jù)。防火墻是網(wǎng)絡(luò)安全的第一道屏障，單有防火墻是不能進(jìn)行全面保護(hù)的，我們還需要入14 / 103侵監(jiān)測系統(tǒng)（IDS）來對黑客的攻擊進(jìn)行報(bào)警和自動(dòng)防范，并使用防病毒模塊來保證我們的操作系統(tǒng)和存儲(chǔ)的數(shù)據(jù)免遭病毒的侵害。系統(tǒng)的數(shù)據(jù)和用戶的數(shù)據(jù)有可能遭到破壞，那么需要應(yīng)急恢復(fù)系統(tǒng) ERS 來幫助解決這些問題。用戶標(biāo)識(shí)與鑒別，抗抵賴程度用戶在網(wǎng)上進(jìn)行證券交易前，必須要用到自己的身份信息，而這些信息必須加以保護(hù)，以防止被不法之徒竊取或利用給用戶造成不必要的損失。為此，在登錄環(huán)節(jié)就要開始實(shí)施防護(hù)。為達(dá)到保護(hù)目的，使用 CA 技術(shù)，利用數(shù)字證書來確保雙方是可以互相信任的。并需要使用加密措施來保護(hù)用戶的標(biāo)識(shí)。密碼支持的安全程度和可信信道的安全性整個(gè)信息傳輸過程使用 SSL 進(jìn)行加密傳輸，傳輸信息和存儲(chǔ)信息加密后，就把計(jì)算機(jī)數(shù)據(jù)變成一堆無規(guī)律的、雜亂無章的字符。攻擊者即使得到經(jīng)過加密的信息即密文、也無法辨認(rèn)原文，防止信息被竊取。交易服務(wù)的防攻擊能力保護(hù)證券交易的各項(xiàng)網(wǎng)上服務(wù)正常的運(yùn)行，能過濾主要的攻擊和異常的網(wǎng)絡(luò)事件，使用防火墻來完成要求；保護(hù)用戶的數(shù)據(jù)和交易的信息不被非法竊取、破壞，擁有入侵檢測系統(tǒng)（IDS）進(jìn)行預(yù)警和自動(dòng)防護(hù)，防治病毒的破壞，在緊急情況下能獲得最快的服務(wù)響應(yīng) 高效性 證券的網(wǎng)上交易集中在幾個(gè)特定的時(shí)段，對系統(tǒng)的反應(yīng)速度有相當(dāng)高的要求。要求安全系統(tǒng)具有優(yōu)秀的數(shù)據(jù)吞吐能力，在保證安全的同時(shí)，效率的損失要減到最小。需要達(dá)到這個(gè)要求，就需要防火墻和 IDS 系統(tǒng)盡可能小的對網(wǎng)絡(luò)的吞吐量產(chǎn)生影響。而我們向用戶提供的防火墻產(chǎn)品和 IDS 產(chǎn)品在安裝到系統(tǒng)中去后能夠完美滿足用戶的要求，這主要來自產(chǎn)品的優(yōu)秀性能和針對行業(yè)的專15 / 103門設(shè)計(jì)，具體性能請參看產(chǎn)品介紹與性能參數(shù)。 可靠性在服務(wù)致勝的今天，服務(wù)的中斷就意味著風(fēng)險(xiǎn)。在 Inter 上，早已不再沿用傳統(tǒng)上朝九晚五的商業(yè)時(shí)間。365247 的不間斷運(yùn)營對系統(tǒng)的可靠性提出了挑戰(zhàn)?？煽啃灾饕憩F(xiàn)在：安全功能和機(jī)制的可靠程度在網(wǎng)絡(luò)環(huán)境下，安全功能和機(jī)制本身就會(huì)成為黑客入侵和破壞的目標(biāo)，所以安全的可靠性成為網(wǎng)絡(luò)安全不可缺少的一環(huán)。只有在保證了安全功能和機(jī)制自身安全下，才能更好的保護(hù)網(wǎng)絡(luò)的安全性。對于防火墻來講，使用雙機(jī)熱備的方法是目前最可靠，最實(shí)用的提高可靠性的手段。數(shù)據(jù)存儲(chǔ)的可靠程度，數(shù)據(jù)的備份與恢復(fù)除了安全功能和機(jī)制的可靠性外，數(shù)據(jù)存儲(chǔ)的可靠性也是不可忽視的重要環(huán)節(jié)。這就必須使用備份與恢復(fù)系統(tǒng)，來確保數(shù)據(jù)損壞后能及時(shí)的恢復(fù)。 可伸縮性證券網(wǎng)絡(luò)會(huì)隨著證券業(yè)務(wù)的發(fā)展而迅速壯大。一個(gè)優(yōu)秀的安全解決方案必須從開始就考慮到這種需求。系統(tǒng)需要基于高可伸縮便于擴(kuò)充的集群構(gòu)架。以跟上券商發(fā)展的腳步，防止出現(xiàn)大量的設(shè)備淘汰造成的資源浪費(fèi)。 易用性不易使用的安全系統(tǒng)是不安全的。充斥著英文術(shù)語的管理界面會(huì)大大的增加系統(tǒng)管理人員的工作量，也容易導(dǎo)致不應(yīng)有的漏洞的出現(xiàn)或安全策略的僵化。易用性主要包括：要界面清晰易懂方便的集中管理安全性的實(shí)時(shí)監(jiān)控。16 / 103 完善的服務(wù)體制券商不是專業(yè)的安全公司。不可能隨時(shí)全面的跟蹤安全動(dòng)態(tài)。安全是動(dòng)態(tài)的過程，今天安全的系統(tǒng)明天就可能不安全，這就要求提供安全方案的公司有優(yōu)秀的服務(wù)體制進(jìn)行跟蹤服務(wù)。再嚴(yán)密的系統(tǒng)也可能出現(xiàn)漏洞，當(dāng)緊急事件發(fā)生時(shí)，能不能在最短時(shí)間內(nèi)獲得緊急響應(yīng)服務(wù)經(jīng)常決定了損失的大小，而且這種時(shí)候，需要的是極其專業(yè)的服務(wù)，沒有強(qiáng)大開發(fā)實(shí)力的公司是無法滿足這種需求的，而在國內(nèi)沒有開發(fā)部門的國外著名公司則往往鞭長莫及。4 安全系統(tǒng)結(jié)構(gòu)為了滿足上述需求，從安全方面就需以下模塊：防火墻、入侵檢測、防病毒、CA 和加密。在系統(tǒng)設(shè)計(jì)一級(jí)，就要考慮到各模塊的位置。同時(shí)，整個(gè)系統(tǒng)需要按照業(yè)務(wù)流程來進(jìn)行設(shè)計(jì)。 多級(jí)用戶身份驗(yàn)證登錄保護(hù)：網(wǎng)上證券的用戶與服務(wù)器之間需要建立一種信任關(guān)系。必須要防止入侵者通過種種手段進(jìn)行冒充和欺騙。為此，在登錄環(huán)節(jié)就要開始實(shí)施防護(hù)。首先使用 CA 技術(shù)，利用數(shù)字證書來確保雙方是可以互相信任的。其次，在登錄時(shí)進(jìn)行用戶名、密碼驗(yàn)證。整個(gè)登錄過程使用 SSL 加密傳輸，防止登錄信息被竊取。密碼保護(hù)：對于前面提到的用戶信息、交易數(shù)據(jù)、管理信息等涉密信息，提供全程的密碼保護(hù)。在系統(tǒng)訪問層，通過授權(quán)和認(rèn)證機(jī)制，保證涉密信息只提供給有訪問權(quán)限的人員。訪問密碼和交易密碼分開，加強(qiáng)高敏感的涉密信息的安全級(jí)別。17 / 103 密鑰密碼體系在網(wǎng)上證券應(yīng)用中，使用基于公開密鑰密碼體系（PKI）的加密安全體系。其目的是保證以下四點(diǎn)：可信任的服務(wù)器可信任的用戶可信任的傳輸不容抵賴的審計(jì)使用密鑰密碼的主要目的是防止信息的非授權(quán)泄露。加密用于傳輸信息和存儲(chǔ)信息，把計(jì)算機(jī)數(shù)據(jù)變成一堆無規(guī)律的、雜亂無章的字符。攻擊者即使得到經(jīng)過加密的信息即密文、也無法辨認(rèn)原文。因此，加密可以有效地對抗截收、非法訪問數(shù)據(jù)庫竊取信息等威脅。為保證安全，組合應(yīng)用對稱密碼算法和非對稱密碼算法，對稱密碼算法用于信息加密、非對稱密碼算法用于密鑰分發(fā)、數(shù)字簽名、完整性及身份鑒別等。如果一個(gè)加密系統(tǒng)的加密密鑰和解密密鑰相同，或者雖然不相同，但是由其中任意一個(gè)可以很容易地推導(dǎo)出另一個(gè)，所采用的就是對稱密碼算法。如果一個(gè)加密系統(tǒng)的加密密鑰和解密密鑰不相同、并且由加密密鑰推導(dǎo)出解密密鑰(或者由解密密鑰推導(dǎo)出加密密鑰)是計(jì)算上不可行的、所采用的就是非對稱密碼算法。信息加密傳輸?shù)膶?shí)際過程包括四步：第一步，信息發(fā)送方產(chǎn)生一個(gè)對稱密鑰，并將此密鑰用信息接收方的公鑰加密后，通過網(wǎng)絡(luò)傳送給接收方。第二步，信息發(fā)送方用對稱密鑰將需要傳輸?shù)奈募用芎?，通過網(wǎng)絡(luò)傳送給接收方。第三步，接收方用自己的私鑰將收到的經(jīng)過加密的對稱密鑰進(jìn)行解密，得到發(fā)送方的對稱密鑰。第四步，接收方用得到的對稱密鑰將接收到的經(jīng)過加密的信息進(jìn)行解密，從而得到信息的原文。 結(jié)構(gòu)框架說明系統(tǒng)結(jié)構(gòu)框架如下：18 / 103用戶使用 PC 或手機(jī)接入互聯(lián)網(wǎng)，在穿過防火墻以后，連接上券商的Inter Server。在用戶端和 Inter Server 端，均使用 CA 證書，以保證用戶和服務(wù)器的可相互信任。傳輸過程中，對涉密信息均使用 SSL 加密。在服務(wù)器與Inter 之間，使用防火墻隔離，使用 IDS 系統(tǒng)進(jìn)行預(yù)警。同時(shí) IDS 與防火墻聯(lián)動(dòng)，在遭遇高風(fēng)險(xiǎn)性攻擊時(shí)，實(shí)施自動(dòng)阻斷。根據(jù)國家要求，券商的 Inter Server 和 Intra Server 再利用一道防火墻物理隔離。在 Intra 內(nèi)部，使用 IDS 對系統(tǒng)內(nèi)異常事件進(jìn)行監(jiān)控。為了保護(hù)數(shù)據(jù)的完整性和安全