【正文】 的安全性，降低安全風(fēng)險(xiǎn)。在公司和證交所網(wǎng)絡(luò)、本地營(yíng)業(yè)部、外地營(yíng)業(yè)部之間的數(shù)據(jù)鏈路中，配置接入防火墻。主要作用是使外部網(wǎng)絡(luò)只有經(jīng)過(guò)了防火墻授權(quán)的數(shù)據(jù)流量才能進(jìn)入公司內(nèi)部局域網(wǎng)。對(duì)于正常的證券業(yè)務(wù)流量，防火墻允許進(jìn)行數(shù)據(jù)交換，此外的數(shù)據(jù)流量通過(guò)防火墻的安全規(guī)則予以阻斷，這樣既提高了安全性又阻止了無(wú)關(guān)流量，也杜絕了局部的病毒擴(kuò)散到整個(gè)證券公司的網(wǎng)絡(luò)中。與銀行的網(wǎng)絡(luò)連接，由于一般使用“銀證通”的系統(tǒng)，PC服務(wù)器采用雙網(wǎng)卡、硬件隔離卡，同時(shí)只能連接在證券公司或者銀行網(wǎng)絡(luò)任意一端，每天結(jié)算一次帳戶信息，因此可以保證網(wǎng)絡(luò)安全，故不考慮接入防火墻。在各地的營(yíng)業(yè)所的路由器后，接入方通防火墻，這些防火墻主要起隔離作用，同樣設(shè)置對(duì)保護(hù)對(duì)象（各地營(yíng)業(yè)所網(wǎng)絡(luò)）的訪問(wèn)只允許證券業(yè)務(wù)數(shù)據(jù)通過(guò)，其他無(wú)關(guān)通訊流量通過(guò)防火墻安全規(guī)則予以阻斷。由于每個(gè)營(yíng)業(yè)所計(jì)算機(jī)點(diǎn)數(shù)不會(huì)很多，建議使用方通防火墻100型號(hào)；由于各地營(yíng)業(yè)所均與在總部通訊，因此與證交所網(wǎng)絡(luò)、本地營(yíng)業(yè)部、外地營(yíng)業(yè)部連接線路的路由器后接入方通防火墻1000型號(hào)；在與Internet網(wǎng)絡(luò)連接的網(wǎng)絡(luò)中，我們建議接入方通VPN2000，方通VPN2000不僅帶有防火墻功能，而且?guī)в袕?qiáng)大的VPN功能。我們?cè)诳偛烤W(wǎng)絡(luò)中建立一個(gè)VPN控制中心，安裝方正的Center 2000VPN控制中心，這樣VPN控制中心可以對(duì)以上所有的防火墻進(jìn)行配置并對(duì)VPN進(jìn)行管理。在移動(dòng)辦公人員的計(jì)算機(jī)上安裝方正VPN client軟件，無(wú)論移動(dòng)辦公使用modern撥號(hào)還是用寬帶上網(wǎng)，都可以對(duì)公司內(nèi)部局域網(wǎng)進(jìn)行加密通訊，感覺(jué)就像在公司局域網(wǎng)內(nèi)一樣。第三節(jié) 入侵檢測(cè)與信息監(jiān)控子系統(tǒng)入侵檢測(cè)與信息監(jiān)控子系統(tǒng)如下：入侵檢測(cè)與信息監(jiān)控配置說(shuō)明在方正方通VPN2000設(shè)備上的黑區(qū)（注：黑區(qū)是防火墻其余端口的映射口）上接入方正Sniper入侵檢測(cè)設(shè)備。方正Sniper入侵檢測(cè)設(shè)備是專業(yè)的入侵檢測(cè)設(shè)備，它可以對(duì)各種入侵行為作出反應(yīng)，而且和方通防火墻聯(lián)通良好。一旦Sniper發(fā)現(xiàn)有來(lái)自Internet的入侵行為存在，它會(huì)通過(guò)黑區(qū)口告知防火墻生成臨時(shí)規(guī)則阻止這部分非法數(shù)據(jù)流量，使得黑客無(wú)從下手。此外，方正Sniper支持8塊網(wǎng)卡，我們?cè)谥行慕粨Q機(jī)上配置映射口，使得在影射口上可以監(jiān)聽(tīng)到交換機(jī)上其他所有端口的信息數(shù)據(jù)，從Sniper服務(wù)器上另外接出兩塊千兆光纖網(wǎng)卡聯(lián)入總部網(wǎng)絡(luò)的兩個(gè)中心交換機(jī)的映射口，這樣內(nèi)部人員互相訪問(wèn)的數(shù)據(jù)同樣可以通過(guò)方正Sniper進(jìn)行監(jiān)視和控制，防止內(nèi)部員工的網(wǎng)絡(luò)攻擊行為和非法訪問(wèn)行為。方正Sniper是一個(gè)網(wǎng)絡(luò)行為的監(jiān)視響應(yīng)行為，在進(jìn)行入侵檢測(cè)工作的同時(shí)，可以對(duì)常用的協(xié)議（比如smtp、ftp、telnet等等）進(jìn)行監(jiān)控。我們可以借助方正Sniper建立證券網(wǎng)絡(luò)內(nèi)部的信息審計(jì)系統(tǒng)，可以記錄下所有網(wǎng)絡(luò)上的數(shù)據(jù)、telnet數(shù)據(jù)、共享文件夾訪問(wèn)情況和Internet訪問(wèn)情況等等，使網(wǎng)絡(luò)管理人員能清楚地了解網(wǎng)絡(luò)實(shí)際運(yùn)行情況，并審計(jì)網(wǎng)絡(luò)數(shù)據(jù)流，防止信息泄漏和垃圾郵件、騷擾郵件地濫發(fā)。方正Sniper可以做到對(duì)Internet的訪問(wèn)控制（URL控制），可以幫助網(wǎng)絡(luò)管理人員控制網(wǎng)絡(luò)使用，杜絕員工上班時(shí)間訪問(wèn)與工作無(wú)關(guān)的網(wǎng)站（例如游戲、色情、聊天網(wǎng)站等等）。方正Sniper采用B/S的架構(gòu)，在任意的Windows環(huán)境下，方便可靠。第四節(jié) VPN子系統(tǒng)VPN子系統(tǒng)如下：VPN子系統(tǒng)配置說(shuō)明證券公司有些員工在出差的時(shí)候需要訪問(wèn)公司內(nèi)部局域網(wǎng)，可以通過(guò)撥號(hào)服務(wù)器進(jìn)行接入。但是，這些移動(dòng)辦公人員的數(shù)據(jù)在公網(wǎng)上傳輸會(huì)帶來(lái)很大的安全隱患，為了防止數(shù)據(jù)被竊聽(tīng)和篡改，我們使用方正VPN作為解決方法。方正VPN（虛擬局域網(wǎng)）不僅對(duì)數(shù)據(jù)進(jìn)行加密，而且可以是在外工作的員工感覺(jué)就像在公司局域網(wǎng)內(nèi)部一樣，可以訪問(wèn)經(jīng)過(guò)授權(quán)的局域網(wǎng)內(nèi)的任何網(wǎng)絡(luò)資源，給在外的員工帶來(lái)了極大的方便。我們?cè)谧C券公司接入Internet的鏈路上配置方正方通VPN 2000，在內(nèi)部局域網(wǎng)配置一臺(tái)VPN控制中心，安裝VPN控制中心（Center 2000），這個(gè)VPN控制中心定義每個(gè)VPN客戶端的訪問(wèn)權(quán)限，可以使不同的VPN客戶端擁有不同訪問(wèn)局域網(wǎng)的權(quán)限。這樣，給移動(dòng)辦公帶來(lái)方便的同時(shí)，也根據(jù)不同用戶可以訪問(wèn)不同網(wǎng)絡(luò)資源的原則，從管理上提高了整個(gè)證券網(wǎng)絡(luò)的安全性。第五節(jié) 網(wǎng)絡(luò)管理子系統(tǒng)網(wǎng)絡(luò)管理子系統(tǒng)如下：網(wǎng)絡(luò)管理子系統(tǒng)配置說(shuō)明：在網(wǎng)絡(luò)中心建立網(wǎng)絡(luò)管理中心，配置網(wǎng)管服務(wù)器，安裝方正Netinway Pro產(chǎn)品。Netinway Pro是基于標(biāo)準(zhǔn)SNMP（簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議）的網(wǎng)絡(luò)管理軟件，功能非常強(qiáng)大，可以了解大規(guī)模網(wǎng)絡(luò)中網(wǎng)絡(luò)設(shè)備和計(jì)算機(jī)實(shí)時(shí)的狀況，并針對(duì)各個(gè)級(jí)別的故障作出反應(yīng)。通過(guò)Netinway Pro產(chǎn)品生成整個(gè)網(wǎng)絡(luò)拓?fù)?，?duì)整個(gè)證券網(wǎng)絡(luò)的各個(gè)端口的實(shí)時(shí)狀況、實(shí)時(shí)流量進(jìn)行檢測(cè)，對(duì)于關(guān)鍵的服務(wù)器流量異常時(shí)及時(shí)報(bào)警通知網(wǎng)絡(luò)管理員。對(duì)于整個(gè)網(wǎng)絡(luò)目前鏈路的情況也可以通過(guò)網(wǎng)管軟件實(shí)時(shí)了解情況。由于證券網(wǎng)絡(luò)中設(shè)備大多數(shù)屬于Cisco設(shè)備，因此建議同時(shí)使用Cisco Works 2000軟件，Works 2000可以對(duì)數(shù)據(jù)線路的情況做實(shí)時(shí)的檢測(cè)，而且也可以對(duì)Cisco設(shè)備做細(xì)致的配置工作。兩套網(wǎng)管系統(tǒng)互相補(bǔ)充，可以做到網(wǎng)絡(luò)管理最優(yōu)的效果。在辦公網(wǎng)絡(luò)安裝方正Netinhand桌面管理軟件，可以大幅度減輕網(wǎng)絡(luò)管理員的日常維護(hù)工作。方正Netinhand提供系統(tǒng)和數(shù)據(jù)存儲(chǔ)備份還原功能，使得在系統(tǒng)出現(xiàn)問(wèn)題，重要文件丟失的情況下，可以通過(guò)Netinhand進(jìn)行系統(tǒng)和數(shù)據(jù)還原。Netinhand還可以讓管理員在管理端通過(guò)抓取客戶端計(jì)算機(jī)的界面直接操作客戶端計(jì)算機(jī)，達(dá)到遠(yuǎn)程控制的目的。同時(shí)，Netinhand擁有強(qiáng)大的資產(chǎn)管理功能，可以收集到客戶端計(jì)算機(jī)上裝有的軟件列表和硬件信息，并生成完善的報(bào)表，成為資產(chǎn)審計(jì)部門不可或缺的IT資產(chǎn)管理工具。第六節(jié) 網(wǎng)絡(luò)防病毒子系統(tǒng)及其他子系統(tǒng)網(wǎng)絡(luò)防病毒子系統(tǒng)如下：防病毒子系統(tǒng)配置說(shuō)明在整個(gè)證券網(wǎng)絡(luò)中實(shí)施熊貓防病毒軟件。我們?cè)诜酵╒PN2000的DMZ區(qū)域中設(shè)立一個(gè)防病毒的代理服務(wù)器，它的主要作用就是自動(dòng)定期（每天）到熊貓的網(wǎng)站下去下載最新的病毒庫(kù)升級(jí)文件，并把自身的病毒庫(kù)升級(jí)為最新。在整個(gè)證券網(wǎng)絡(luò)內(nèi)部，都是指定這臺(tái)防病毒代理服務(wù)器為升級(jí)病毒庫(kù)服務(wù)器，也是每天把整個(gè)證券網(wǎng)絡(luò)中的所有服務(wù)器和桌面PC升級(jí)到最新版本。其中，在內(nèi)部局域網(wǎng)中，設(shè)立一臺(tái)防病毒的分發(fā)和控制服務(wù)器，安裝熊貓防病毒軟件的主控端（熊貓管理員Panda Administrator），其主要作用是進(jìn)行防病毒軟件分發(fā)和作為了解網(wǎng)絡(luò)內(nèi)部查殺病毒情況的服務(wù)器。這樣，整個(gè)網(wǎng)絡(luò)一直處于熊貓軟件的防護(hù)下，而且及時(shí)更新病毒庫(kù)，如果在管理上能保證不濫用網(wǎng)絡(luò)資源，可以說(shuō)，整個(gè)網(wǎng)絡(luò)對(duì)病毒的防范能力是非常高的。防病毒服務(wù)器同時(shí)也可以作為整個(gè)辦公網(wǎng)絡(luò)的域服務(wù)器，其他計(jì)算機(jī)在開(kāi)機(jī)的同時(shí)使用各自的域用戶進(jìn)行域登錄，這樣通過(guò)Windows的Active Directory對(duì)每個(gè)用戶對(duì)網(wǎng)絡(luò)資源訪問(wèn)權(quán)限進(jìn)行定義，會(huì)達(dá)到更好的效果。每個(gè)操作系統(tǒng)、應(yīng)用程序（數(shù)據(jù)庫(kù)）、防火墻、入侵檢測(cè)系統(tǒng)和網(wǎng)管軟件都擁有自己的日志審計(jì)系統(tǒng)，每個(gè)都記錄下來(lái)了很多有用的信息，網(wǎng)絡(luò)管理人員應(yīng)該定期地仔細(xì)查看審計(jì)各個(gè)系統(tǒng)的日志信息，分析出可能存在的問(wèn)題，通過(guò)修改各個(gè)系統(tǒng)的配置來(lái)達(dá)到性能的最優(yōu)化。如果證券系統(tǒng)開(kāi)通了網(wǎng)上交易，我們建議在總部建立一個(gè)CA（證書服務(wù)）服務(wù)器，對(duì)每個(gè)可以網(wǎng)上交易的客戶發(fā)放一個(gè)USB證書，在使用口令和密碼保護(hù)的同時(shí)，使用USB key進(jìn)行身份認(rèn)證，保證交易不可抵賴和不被篡改。對(duì)于內(nèi)部員工也使用數(shù)字證書來(lái)進(jìn)行身份認(rèn)證，保證每個(gè)人擁有適當(dāng)?shù)脑L問(wèn)權(quán)限，達(dá)到管理層面上的網(wǎng)絡(luò)安全。