【文章內容簡介】 ............. 45 附錄 B： NAI 產品介紹 ...................................................................................................... 45 A1. 第一層安全屏障 ：計算機網(wǎng)絡病毒防護 McAfee TVD .......................................... 45 McAfee TVD 由三種安全產品套件組成： .................. 46 VirusScan Security Suite（ VSS） ........................................................................................ 46 VirusScan Security Suite 所含產品 ............................... 46 NetShield Security Suite(NSS) ............................................................................................. 46 NetShield Security Suite 所含產品 ............................... 46 NetShield.......................................................................... 46 GroupShield ...................................................................... 46 Inter Security Suite(ISS) .................................................................................................. 46 ISS 套件所含內容 ...................................................... 47 第二層安全屏障：身份驗證以及信息加密 PGP TNS .................................................. 47 PGP Desktop Suite 提供對所有桌面的多平臺加密保護。 .................................................. 48 PGP Certificatation Server .................................................. 48 第三層安全屏障：防火墻 Gauntlet Inter Firewall...................................................... 49 第四層安全屏障：網(wǎng)絡漏洞探測及黑客探測 .............................................................. 50 Cybercop Monitor, Cybercop Scanner, Cybercop Sting， CASL ............................................... 50 附錄 C:美國網(wǎng)絡聯(lián)盟 (NAI)公司簡介 .................................................................................. 53 Net Tools 54 VISIBILITY ..................................................................................................................... 54 SERVICE ......................................................................................................................... 54 Net Tools Secure 54 McAfee Total Virus Defense (TVD) .............................. 54 PGP Total Network Security (TNS) ............................... 55 Net Tools Manager ...................................................... 55 Sniffer Total Network Visibility (TNV).......................... 55 McAfee Total Service Desk (TSD) ................................ 55 湖南證券股份有限公司網(wǎng)絡安全方案建議書 共 59 頁 第 6 頁 市場份額： ............................................................... 55 湖南證券股份有限公司網(wǎng)絡安全方案建議書 共 59 頁 第 7 頁 1. 概述 . 湖南證券股份有限公司網(wǎng)絡安全項目的建設意義 一方面，隨著計算機技術、信息技術的發(fā)展，計算機網(wǎng)絡系統(tǒng)必將成為公司各項業(yè)務的關鍵平臺。另一方面，隨著計算機網(wǎng)絡系統(tǒng)的發(fā)展，計算機網(wǎng)絡安全系統(tǒng)必將發(fā)揮越來越重要的作用。 公司網(wǎng)絡安全系統(tǒng)的建立，必將為公司的業(yè)務信息系統(tǒng)、行政管理、信息交流提供一個安全的環(huán)境和完整平臺。通過先進技術建立起的網(wǎng)絡安全系統(tǒng)，可以從根本上解決來自網(wǎng)絡外部及內部對網(wǎng)絡安全造成的各種威脅，以最優(yōu)秀的網(wǎng)絡安全 整體解決方案為基礎形成一個更加完善的業(yè)務系統(tǒng)和辦公自動化系統(tǒng)。利用高性能的網(wǎng)絡安全環(huán)境，提供整體防病毒、防火墻、防黑客、數(shù)據(jù)加密、身份驗證等于一身的功能，有效地保證秘密、機密文件的安全傳輸，嚴格地制止經(jīng)濟情報失、泄密現(xiàn)象發(fā)生，避免重大經(jīng)濟案件的發(fā)生。 另外，公司在當前總部的網(wǎng)絡安全和今后的信息安全上取得的技術成果，將裝備到各級機構。因此，本項目的實施可以達到預期的經(jīng)濟及社會效益。 . 湖南證券股份有限有限公司的網(wǎng)絡現(xiàn)狀 湖南證券股份有限有限公司管理信息網(wǎng)是根據(jù)管理需求，采用國際上先進的、成熟的、開放的網(wǎng)絡技術建 立起來的管理網(wǎng)絡。安全網(wǎng)絡的建成，對于宏觀調控、預測、決策，更好地實現(xiàn)湖南證券股份有限中央的監(jiān)管職能起到了積極的作用。 . 物理結構 公司的服務器及重要網(wǎng)絡設備都存放在公司的主機房內，主機房與外部之間沒有很好的進行物理上的隔離，其他非 IT 人員也能夠不通過任何安全防范措施進入機房。 . 系統(tǒng)結構 公司服務器使用的操作系統(tǒng)以 Netware,NT 為主，還有部分的 Unxi 服務器。 Netware、 NT、Unix 的補丁程序都不是最新的程序，對某些安全漏洞及 Y2k 問題沒有進行相應的升級。 . 網(wǎng)絡結構 公司的網(wǎng)絡大致結構示意圖，如下 圖所示 : 湖南證券股份有限公司網(wǎng)絡安全方案建議書 共 59 頁 第 8 頁 對網(wǎng)絡結構的具體描述： 1) 外部用戶訪問網(wǎng)上交易主機 外部用戶通過 Inter 來訪問網(wǎng)上交易主機，網(wǎng)上交易主機作為前置機讓外部用戶進行查詢，前置機使用并口線（ RS232）與后臺的服務器進行連接 ,當用戶需要進行證券交易時，向交易主機發(fā)出需要購進或拋出的股票的請求，交易主機再把客戶的信息傳給后臺的處理服務器，完成整個交易過程。 2）外部用戶訪問公司網(wǎng)站 外部用戶可以通過 Inter 訪問公司的網(wǎng)站，網(wǎng)站服務器現(xiàn)托管在電信局，與公司內部沒有固定的連接。當管理員需要對網(wǎng)站進行維護的時候 ，通過撥號的方式。當遠程管理網(wǎng)站服務器時，因為沒有用到 VPN 的方式，可能有被竊聽的可能。 3）內部用戶訪問外部 內部用戶通過分別撥號上網(wǎng)的方式與外部進行信息的交流，可以撥號上網(wǎng)的 Modem 可能 會 有 十 幾 個 。 使 用 各 種 服 務 對 萬 步 進 行 訪 問 如 ：,ftp,tel,smtp,pop3,realvideo,realaudio 等等。 湖南證券股份有限公司網(wǎng)絡安全方案建議書 共 59 頁 第 9 頁 4）交易所與各個營業(yè)點之間的連接 交易所內部與各個營業(yè)點之間的連接時通過專線的方式，使用了 3 的路由器及由電信提供的 CSU/DSU 設備。現(xiàn)一共有 16 個營業(yè)點。當數(shù)據(jù) 由各個營業(yè)點傳送到此后，再通過集中的服務器進行業(yè)務處理。 5）內部系統(tǒng)之間的連接 公司的內部網(wǎng)絡主要分為網(wǎng)上交易系統(tǒng)、集中報盤系統(tǒng)、 OA 系統(tǒng)、監(jiān)控系統(tǒng)。這四個系統(tǒng)之間相互連接沒有通過物理或邏輯的方式進行分割。所以各個系統(tǒng)之間可以相互對文件及數(shù)據(jù)進行傳輸。 6）內部部門之間的連接 公司的各個部門之間的網(wǎng)絡是相互連接的，對重要部門沒有進行很好的安全保護，用戶可通過自己的計算機訪問本部門和其他重要部門的數(shù)據(jù)。使用的交換機沒有對網(wǎng)絡劃分VLAN 或使用子網(wǎng)掩碼的方式劃分部門之間的子網(wǎng)。 7）其他 因 為對公司的了解并不是很深，只是對現(xiàn)了解到的情況進行分析，希望公司看過本方案以后能夠提供更多的網(wǎng)絡連接，部門之間通訊的情況。 . 其他 對公司的網(wǎng)絡整體的分析還包括人員管理，應用服務系統(tǒng)。但因為對公司的這些情況并不了解，所以暫時沒有進行描述。人員管理是指公司通過網(wǎng)絡系統(tǒng)進行工作的流程，公司對用戶權限、密碼的設置，對網(wǎng)絡管理員、系統(tǒng)管理員、設備管理員等計算機管理人的責權劃分。應用服務系統(tǒng)是指主機系統(tǒng)上使用的應用軟件，如： Web 服務器、信息交易系統(tǒng)、數(shù)據(jù)庫系統(tǒng)，辦公自動化系統(tǒng)等等。 . 湖南證券股份有限有限公司的主要 網(wǎng)絡安全威脅 由于湖南證券股份有限有限公司的管理信息網(wǎng)上的網(wǎng)絡體系越來越復雜，應用系統(tǒng)越來越多，網(wǎng)絡規(guī)模不斷擴大，逐漸由 Intra 發(fā)展到 Extra，現(xiàn)在已經(jīng)擴展到 Inter，網(wǎng)絡用戶也已經(jīng)不單單為內部用戶。而網(wǎng)絡安全主要是由處于中心節(jié)點的相關連接廣域網(wǎng)的路由器直接承擔對外部用戶的訪問控制工作，且內部網(wǎng)絡直接與外部網(wǎng)絡相連，對整個網(wǎng)絡安全形成了巨大的威脅。 具體分析，對湖南證券股份有限有限公司網(wǎng)絡安全構成威脅的主要因素有： 1) 內部網(wǎng)絡和外部網(wǎng)絡之間的連接為直接連接，外部用戶不但可以訪問對外服務 的服務器，同時也容易地訪問內部的網(wǎng)絡服務器，這樣，由于內部和外部沒有隔離措施，內部系統(tǒng)較容易遭到攻擊。 2) 來自內部網(wǎng)的病毒的破壞； 3) 內部用戶的惡意攻擊、誤操作，但由于目前發(fā)生的概率較小，本部分暫不作考慮。 4) 來自外部網(wǎng)絡的攻擊，具體有三條途徑： 湖南證券股份有限公司網(wǎng)絡安全方案建議書 共 59 頁 第 10 頁 ? Inter 連接的部分； ? 與各分部連接的部分； 5) 外部網(wǎng)的破壞主要的方式為： ? 黑客用戶的惡意攻擊、竊取信息， ? 通過網(wǎng)絡傳送的病毒和 Inter 的電子郵件夾帶的病毒。 ? 來自 Inter 的 Web 瀏覽可能存在的惡意 Java/ActiveX 控件。 6) 缺乏有效的手段監(jiān)視、 評估網(wǎng)絡系統(tǒng)和操作系統(tǒng)的安全性。目前流行的許多操作系統(tǒng)均存在網(wǎng)絡安全漏洞，如 UNIX 服務器， NT 服務器及 Windows 桌面 PC。 7) 缺乏一套完整的安全策略、政策。 其中，目前最主要的安全威脅是來自網(wǎng)絡外部用戶（主要是分公司用戶和 Inter 用戶）的攻擊。 . 湖南證券股份有限有限公司的網(wǎng)絡安全需求分析 . 總體需求分析 在湖南證券股份有限有限公司信息網(wǎng)中，目前我們視各分公司和及 Inter 為外部網(wǎng)絡，湖南證券股份有限有限公司樓內的局域網(wǎng)為內部網(wǎng)。 1). 來自于外部網(wǎng)絡的訪問，除有特定的身份認證外，只