【文章內(nèi)容簡介】 ............. 45 附錄 B： NAI 產(chǎn)品介紹 ...................................................................................................... 45 A1. 第一層安全屏障 ：計算機網(wǎng)絡(luò)病毒防護 McAfee TVD .......................................... 45 McAfee TVD 由三種安全產(chǎn)品套件組成： .................. 46 VirusScan Security Suite（ VSS） ........................................................................................ 46 VirusScan Security Suite 所含產(chǎn)品 ............................... 46 NetShield Security Suite(NSS) ............................................................................................. 46 NetShield Security Suite 所含產(chǎn)品 ............................... 46 NetShield.......................................................................... 46 GroupShield ...................................................................... 46 Inter Security Suite(ISS) .................................................................................................. 46 ISS 套件所含內(nèi)容 ...................................................... 47 第二層安全屏障：身份驗證以及信息加密 PGP TNS .................................................. 47 PGP Desktop Suite 提供對所有桌面的多平臺加密保護。 .................................................. 48 PGP Certificatation Server .................................................. 48 第三層安全屏障：防火墻 Gauntlet Inter Firewall...................................................... 49 第四層安全屏障：網(wǎng)絡(luò)漏洞探測及黑客探測 .............................................................. 50 Cybercop Monitor, Cybercop Scanner, Cybercop Sting， CASL ............................................... 50 附錄 C:美國網(wǎng)絡(luò)聯(lián)盟 (NAI)公司簡介 .................................................................................. 53 Net Tools 54 VISIBILITY ..................................................................................................................... 54 SERVICE ......................................................................................................................... 54 Net Tools Secure 54 McAfee Total Virus Defense (TVD) .............................. 54 PGP Total Network Security (TNS) ............................... 55 Net Tools Manager ...................................................... 55 Sniffer Total Network Visibility (TNV).......................... 55 McAfee Total Service Desk (TSD) ................................ 55 湖南證券股份有限公司網(wǎng)絡(luò)安全方案建議書 共 59 頁 第 6 頁 市場份額： ............................................................... 55 湖南證券股份有限公司網(wǎng)絡(luò)安全方案建議書 共 59 頁 第 7 頁 1. 概述 . 湖南證券股份有限公司網(wǎng)絡(luò)安全項目的建設(shè)意義 一方面，隨著計算機技術(shù)、信息技術(shù)的發(fā)展，計算機網(wǎng)絡(luò)系統(tǒng)必將成為公司各項業(yè)務(wù)的關(guān)鍵平臺。另一方面，隨著計算機網(wǎng)絡(luò)系統(tǒng)的發(fā)展，計算機網(wǎng)絡(luò)安全系統(tǒng)必將發(fā)揮越來越重要的作用。 公司網(wǎng)絡(luò)安全系統(tǒng)的建立，必將為公司的業(yè)務(wù)信息系統(tǒng)、行政管理、信息交流提供一個安全的環(huán)境和完整平臺。通過先進技術(shù)建立起的網(wǎng)絡(luò)安全系統(tǒng)，可以從根本上解決來自網(wǎng)絡(luò)外部及內(nèi)部對網(wǎng)絡(luò)安全造成的各種威脅，以最優(yōu)秀的網(wǎng)絡(luò)安全 整體解決方案為基礎(chǔ)形成一個更加完善的業(yè)務(wù)系統(tǒng)和辦公自動化系統(tǒng)。利用高性能的網(wǎng)絡(luò)安全環(huán)境，提供整體防病毒、防火墻、防黑客、數(shù)據(jù)加密、身份驗證等于一身的功能，有效地保證秘密、機密文件的安全傳輸，嚴(yán)格地制止經(jīng)濟情報失、泄密現(xiàn)象發(fā)生，避免重大經(jīng)濟案件的發(fā)生。 另外，公司在當(dāng)前總部的網(wǎng)絡(luò)安全和今后的信息安全上取得的技術(shù)成果，將裝備到各級機構(gòu)。因此，本項目的實施可以達到預(yù)期的經(jīng)濟及社會效益。 . 湖南證券股份有限有限公司的網(wǎng)絡(luò)現(xiàn)狀 湖南證券股份有限有限公司管理信息網(wǎng)是根據(jù)管理需求，采用國際上先進的、成熟的、開放的網(wǎng)絡(luò)技術(shù)建 立起來的管理網(wǎng)絡(luò)。安全網(wǎng)絡(luò)的建成，對于宏觀調(diào)控、預(yù)測、決策，更好地實現(xiàn)湖南證券股份有限中央的監(jiān)管職能起到了積極的作用。 . 物理結(jié)構(gòu) 公司的服務(wù)器及重要網(wǎng)絡(luò)設(shè)備都存放在公司的主機房內(nèi)，主機房與外部之間沒有很好的進行物理上的隔離，其他非 IT 人員也能夠不通過任何安全防范措施進入機房。 . 系統(tǒng)結(jié)構(gòu) 公司服務(wù)器使用的操作系統(tǒng)以 Netware,NT 為主，還有部分的 Unxi 服務(wù)器。 Netware、 NT、Unix 的補丁程序都不是最新的程序，對某些安全漏洞及 Y2k 問題沒有進行相應(yīng)的升級。 . 網(wǎng)絡(luò)結(jié)構(gòu) 公司的網(wǎng)絡(luò)大致結(jié)構(gòu)示意圖，如下 圖所示 : 湖南證券股份有限公司網(wǎng)絡(luò)安全方案建議書 共 59 頁 第 8 頁 對網(wǎng)絡(luò)結(jié)構(gòu)的具體描述： 1) 外部用戶訪問網(wǎng)上交易主機 外部用戶通過 Inter 來訪問網(wǎng)上交易主機，網(wǎng)上交易主機作為前置機讓外部用戶進行查詢，前置機使用并口線（ RS232）與后臺的服務(wù)器進行連接 ,當(dāng)用戶需要進行證券交易時，向交易主機發(fā)出需要購進或拋出的股票的請求，交易主機再把客戶的信息傳給后臺的處理服務(wù)器，完成整個交易過程。 2）外部用戶訪問公司網(wǎng)站 外部用戶可以通過 Inter 訪問公司的網(wǎng)站，網(wǎng)站服務(wù)器現(xiàn)托管在電信局，與公司內(nèi)部沒有固定的連接。當(dāng)管理員需要對網(wǎng)站進行維護的時候 ，通過撥號的方式。當(dāng)遠程管理網(wǎng)站服務(wù)器時，因為沒有用到 VPN 的方式，可能有被竊聽的可能。 3）內(nèi)部用戶訪問外部 內(nèi)部用戶通過分別撥號上網(wǎng)的方式與外部進行信息的交流，可以撥號上網(wǎng)的 Modem 可能 會 有 十 幾 個 。 使 用 各 種 服 務(wù) 對 萬 步 進 行 訪 問 如 ：,ftp,tel,smtp,pop3,realvideo,realaudio 等等。 湖南證券股份有限公司網(wǎng)絡(luò)安全方案建議書 共 59 頁 第 9 頁 4）交易所與各個營業(yè)點之間的連接 交易所內(nèi)部與各個營業(yè)點之間的連接時通過專線的方式，使用了 3 的路由器及由電信提供的 CSU/DSU 設(shè)備?，F(xiàn)一共有 16 個營業(yè)點。當(dāng)數(shù)據(jù) 由各個營業(yè)點傳送到此后，再通過集中的服務(wù)器進行業(yè)務(wù)處理。 5）內(nèi)部系統(tǒng)之間的連接 公司的內(nèi)部網(wǎng)絡(luò)主要分為網(wǎng)上交易系統(tǒng)、集中報盤系統(tǒng)、 OA 系統(tǒng)、監(jiān)控系統(tǒng)。這四個系統(tǒng)之間相互連接沒有通過物理或邏輯的方式進行分割。所以各個系統(tǒng)之間可以相互對文件及數(shù)據(jù)進行傳輸。 6）內(nèi)部部門之間的連接 公司的各個部門之間的網(wǎng)絡(luò)是相互連接的，對重要部門沒有進行很好的安全保護，用戶可通過自己的計算機訪問本部門和其他重要部門的數(shù)據(jù)。使用的交換機沒有對網(wǎng)絡(luò)劃分VLAN 或使用子網(wǎng)掩碼的方式劃分部門之間的子網(wǎng)。 7）其他 因 為對公司的了解并不是很深，只是對現(xiàn)了解到的情況進行分析，希望公司看過本方案以后能夠提供更多的網(wǎng)絡(luò)連接，部門之間通訊的情況。 . 其他 對公司的網(wǎng)絡(luò)整體的分析還包括人員管理，應(yīng)用服務(wù)系統(tǒng)。但因為對公司的這些情況并不了解，所以暫時沒有進行描述。人員管理是指公司通過網(wǎng)絡(luò)系統(tǒng)進行工作的流程，公司對用戶權(quán)限、密碼的設(shè)置，對網(wǎng)絡(luò)管理員、系統(tǒng)管理員、設(shè)備管理員等計算機管理人的責(zé)權(quán)劃分。應(yīng)用服務(wù)系統(tǒng)是指主機系統(tǒng)上使用的應(yīng)用軟件，如： Web 服務(wù)器、信息交易系統(tǒng)、數(shù)據(jù)庫系統(tǒng)，辦公自動化系統(tǒng)等等。 . 湖南證券股份有限有限公司的主要 網(wǎng)絡(luò)安全威脅 由于湖南證券股份有限有限公司的管理信息網(wǎng)上的網(wǎng)絡(luò)體系越來越復(fù)雜，應(yīng)用系統(tǒng)越來越多，網(wǎng)絡(luò)規(guī)模不斷擴大，逐漸由 Intra 發(fā)展到 Extra，現(xiàn)在已經(jīng)擴展到 Inter，網(wǎng)絡(luò)用戶也已經(jīng)不單單為內(nèi)部用戶。而網(wǎng)絡(luò)安全主要是由處于中心節(jié)點的相關(guān)連接廣域網(wǎng)的路由器直接承擔(dān)對外部用戶的訪問控制工作，且內(nèi)部網(wǎng)絡(luò)直接與外部網(wǎng)絡(luò)相連，對整個網(wǎng)絡(luò)安全形成了巨大的威脅。 具體分析，對湖南證券股份有限有限公司網(wǎng)絡(luò)安全構(gòu)成威脅的主要因素有： 1) 內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的連接為直接連接，外部用戶不但可以訪問對外服務(wù) 的服務(wù)器，同時也容易地訪問內(nèi)部的網(wǎng)絡(luò)服務(wù)器，這樣，由于內(nèi)部和外部沒有隔離措施，內(nèi)部系統(tǒng)較容易遭到攻擊。 2) 來自內(nèi)部網(wǎng)的病毒的破壞； 3) 內(nèi)部用戶的惡意攻擊、誤操作，但由于目前發(fā)生的概率較小，本部分暫不作考慮。 4) 來自外部網(wǎng)絡(luò)的攻擊，具體有三條途徑： 湖南證券股份有限公司網(wǎng)絡(luò)安全方案建議書 共 59 頁 第 10 頁 ? Inter 連接的部分； ? 與各分部連接的部分； 5) 外部網(wǎng)的破壞主要的方式為： ? 黑客用戶的惡意攻擊、竊取信息， ? 通過網(wǎng)絡(luò)傳送的病毒和 Inter 的電子郵件夾帶的病毒。 ? 來自 Inter 的 Web 瀏覽可能存在的惡意 Java/ActiveX 控件。 6) 缺乏有效的手段監(jiān)視、 評估網(wǎng)絡(luò)系統(tǒng)和操作系統(tǒng)的安全性。目前流行的許多操作系統(tǒng)均存在網(wǎng)絡(luò)安全漏洞，如 UNIX 服務(wù)器， NT 服務(wù)器及 Windows 桌面 PC。 7) 缺乏一套完整的安全策略、政策。 其中，目前最主要的安全威脅是來自網(wǎng)絡(luò)外部用戶（主要是分公司用戶和 Inter 用戶）的攻擊。 . 湖南證券股份有限有限公司的網(wǎng)絡(luò)安全需求分析 . 總體需求分析 在湖南證券股份有限有限公司信息網(wǎng)中，目前我們視各分公司和及 Inter 為外部網(wǎng)絡(luò)，湖南證券股份有限有限公司樓內(nèi)的局域網(wǎng)為內(nèi)部網(wǎng)。 1). 來自于外部網(wǎng)絡(luò)的訪問，除有特定的身份認(rèn)證外，只