【正文】 的安全性，降低安全風險。在公司和證交所網(wǎng)絡(luò)、本地營業(yè)部、外地營業(yè)部之間的數(shù)據(jù)鏈路中，配置接入防火墻。主要作用是使外部網(wǎng)絡(luò)只有經(jīng)過了防火墻授權(quán)的數(shù)據(jù)流量才能進入公司內(nèi)部局域網(wǎng)。對于正常的證券業(yè)務流量，防火墻允許進行數(shù)據(jù)交換，此外的數(shù)據(jù)流量通過防火墻的安全規(guī)則予以阻斷，這樣既提高了安全性又阻止了無關(guān)流量，也杜絕了局部的病毒擴散到整個證券公司的網(wǎng)絡(luò)中。與銀行的網(wǎng)絡(luò)連接，由于一般使用“銀證通”的系統(tǒng)，PC服務器采用雙網(wǎng)卡、硬件隔離卡，同時只能連接在證券公司或者銀行網(wǎng)絡(luò)任意一端，每天結(jié)算一次帳戶信息，因此可以保證網(wǎng)絡(luò)安全，故不考慮接入防火墻。在各地的營業(yè)所的路由器后，接入方通防火墻，這些防火墻主要起隔離作用，同樣設(shè)置對保護對象（各地營業(yè)所網(wǎng)絡(luò)）的訪問只允許證券業(yè)務數(shù)據(jù)通過，其他無關(guān)通訊流量通過防火墻安全規(guī)則予以阻斷。由于每個營業(yè)所計算機點數(shù)不會很多，建議使用方通防火墻100型號；由于各地營業(yè)所均與在總部通訊，因此與證交所網(wǎng)絡(luò)、本地營業(yè)部、外地營業(yè)部連接線路的路由器后接入方通防火墻1000型號；在與Internet網(wǎng)絡(luò)連接的網(wǎng)絡(luò)中，我們建議接入方通VPN2000，方通VPN2000不僅帶有防火墻功能，而且?guī)в袕姶蟮腣PN功能。我們在總部網(wǎng)絡(luò)中建立一個VPN控制中心，安裝方正的Center 2000VPN控制中心，這樣VPN控制中心可以對以上所有的防火墻進行配置并對VPN進行管理。在移動辦公人員的計算機上安裝方正VPN client軟件，無論移動辦公使用modern撥號還是用寬帶上網(wǎng)，都可以對公司內(nèi)部局域網(wǎng)進行加密通訊，感覺就像在公司局域網(wǎng)內(nèi)一樣。第三節(jié) 入侵檢測與信息監(jiān)控子系統(tǒng)入侵檢測與信息監(jiān)控子系統(tǒng)如下：入侵檢測與信息監(jiān)控配置說明在方正方通VPN2000設(shè)備上的黑區(qū)（注：黑區(qū)是防火墻其余端口的映射口）上接入方正Sniper入侵檢測設(shè)備。方正Sniper入侵檢測設(shè)備是專業(yè)的入侵檢測設(shè)備，它可以對各種入侵行為作出反應，而且和方通防火墻聯(lián)通良好。一旦Sniper發(fā)現(xiàn)有來自Internet的入侵行為存在，它會通過黑區(qū)口告知防火墻生成臨時規(guī)則阻止這部分非法數(shù)據(jù)流量，使得黑客無從下手。此外，方正Sniper支持8塊網(wǎng)卡，我們在中心交換機上配置映射口，使得在影射口上可以監(jiān)聽到交換機上其他所有端口的信息數(shù)據(jù)，從Sniper服務器上另外接出兩塊千兆光纖網(wǎng)卡聯(lián)入總部網(wǎng)絡(luò)的兩個中心交換機的映射口，這樣內(nèi)部人員互相訪問的數(shù)據(jù)同樣可以通過方正Sniper進行監(jiān)視和控制，防止內(nèi)部員工的網(wǎng)絡(luò)攻擊行為和非法訪問行為。方正Sniper是一個網(wǎng)絡(luò)行為的監(jiān)視響應行為，在進行入侵檢測工作的同時，可以對常用的協(xié)議（比如smtp、ftp、telnet等等）進行監(jiān)控。我們可以借助方正Sniper建立證券網(wǎng)絡(luò)內(nèi)部的信息審計系統(tǒng)，可以記錄下所有網(wǎng)絡(luò)上的數(shù)據(jù)、telnet數(shù)據(jù)、共享文件夾訪問情況和Internet訪問情況等等，使網(wǎng)絡(luò)管理人員能清楚地了解網(wǎng)絡(luò)實際運行情況，并審計網(wǎng)絡(luò)數(shù)據(jù)流，防止信息泄漏和垃圾郵件、騷擾郵件地濫發(fā)。方正Sniper可以做到對Internet的訪問控制（URL控制），可以幫助網(wǎng)絡(luò)管理人員控制網(wǎng)絡(luò)使用，杜絕員工上班時間訪問與工作無關(guān)的網(wǎng)站（例如游戲、色情、聊天網(wǎng)站等等）。方正Sniper采用B/S的架構(gòu)，在任意的Windows環(huán)境下，方便可靠。第四節(jié) VPN子系統(tǒng)VPN子系統(tǒng)如下：VPN子系統(tǒng)配置說明證券公司有些員工在出差的時候需要訪問公司內(nèi)部局域網(wǎng)，可以通過撥號服務器進行接入。但是，這些移動辦公人員的數(shù)據(jù)在公網(wǎng)上傳輸會帶來很大的安全隱患，為了防止數(shù)據(jù)被竊聽和篡改，我們使用方正VPN作為解決方法。方正VPN（虛擬局域網(wǎng)）不僅對數(shù)據(jù)進行加密，而且可以是在外工作的員工感覺就像在公司局域網(wǎng)內(nèi)部一樣，可以訪問經(jīng)過授權(quán)的局域網(wǎng)內(nèi)的任何網(wǎng)絡(luò)資源，給在外的員工帶來了極大的方便。我們在證券公司接入Internet的鏈路上配置方正方通VPN 2000，在內(nèi)部局域網(wǎng)配置一臺VPN控制中心，安裝VPN控制中心（Center 2000），這個VPN控制中心定義每個VPN客戶端的訪問權(quán)限，可以使不同的VPN客戶端擁有不同訪問局域網(wǎng)的權(quán)限。這樣，給移動辦公帶來方便的同時，也根據(jù)不同用戶可以訪問不同網(wǎng)絡(luò)資源的原則，從管理上提高了整個證券網(wǎng)絡(luò)的安全性。第五節(jié) 網(wǎng)絡(luò)管理子系統(tǒng)網(wǎng)絡(luò)管理子系統(tǒng)如下：網(wǎng)絡(luò)管理子系統(tǒng)配置說明：在網(wǎng)絡(luò)中心建立網(wǎng)絡(luò)管理中心，配置網(wǎng)管服務器，安裝方正Netinway Pro產(chǎn)品。Netinway Pro是基于標準SNMP（簡單網(wǎng)絡(luò)管理協(xié)議）的網(wǎng)絡(luò)管理軟件，功能非常強大，可以了解大規(guī)模網(wǎng)絡(luò)中網(wǎng)絡(luò)設(shè)備和計算機實時的狀況，并針對各個級別的故障作出反應。通過Netinway Pro產(chǎn)品生成整個網(wǎng)絡(luò)拓撲，對整個證券網(wǎng)絡(luò)的各個端口的實時狀況、實時流量進行檢測，對于關(guān)鍵的服務器流量異常時及時報警通知網(wǎng)絡(luò)管理員。對于整個網(wǎng)絡(luò)目前鏈路的情況也可以通過網(wǎng)管軟件實時了解情況。由于證券網(wǎng)絡(luò)中設(shè)備大多數(shù)屬于Cisco設(shè)備，因此建議同時使用Cisco Works 2000軟件，Works 2000可以對數(shù)據(jù)線路的情況做實時的檢測，而且也可以對Cisco設(shè)備做細致的配置工作。兩套網(wǎng)管系統(tǒng)互相補充，可以做到網(wǎng)絡(luò)管理最優(yōu)的效果。在辦公網(wǎng)絡(luò)安裝方正Netinhand桌面管理軟件，可以大幅度減輕網(wǎng)絡(luò)管理員的日常維護工作。方正Netinhand提供系統(tǒng)和數(shù)據(jù)存儲備份還原功能，使得在系統(tǒng)出現(xiàn)問題，重要文件丟失的情況下，可以通過Netinhand進行系統(tǒng)和數(shù)據(jù)還原。Netinhand還可以讓管理員在管理端通過抓取客戶端計算機的界面直接操作客戶端計算機，達到遠程控制的目的。同時，Netinhand擁有強大的資產(chǎn)管理功能，可以收集到客戶端計算機上裝有的軟件列表和硬件信息，并生成完善的報表，成為資產(chǎn)審計部門不可或缺的IT資產(chǎn)管理工具。第六節(jié) 網(wǎng)絡(luò)防病毒子系統(tǒng)及其他子系統(tǒng)網(wǎng)絡(luò)防病毒子系統(tǒng)如下：防病毒子系統(tǒng)配置說明在整個證券網(wǎng)絡(luò)中實施熊貓防病毒軟件。我們在方通VPN2000的DMZ區(qū)域中設(shè)立一個防病毒的代理服務器，它的主要作用就是自動定期（每天）到熊貓的網(wǎng)站下去下載最新的病毒庫升級文件，并把自身的病毒庫升級為最新。在整個證券網(wǎng)絡(luò)內(nèi)部，都是指定這臺防病毒代理服務器為升級病毒庫服務器，也是每天把整個證券網(wǎng)絡(luò)中的所有服務器和桌面PC升級到最新版本。其中，在內(nèi)部局域網(wǎng)中，設(shè)立一臺防病毒的分發(fā)和控制服務器，安裝熊貓防病毒軟件的主控端（熊貓管理員Panda Administrator），其主要作用是進行防病毒軟件分發(fā)和作為了解網(wǎng)絡(luò)內(nèi)部查殺病毒情況的服務器。這樣，整個網(wǎng)絡(luò)一直處于熊貓軟件的防護下，而且及時更新病毒庫，如果在管理上能保證不濫用網(wǎng)絡(luò)資源，可以說，整個網(wǎng)絡(luò)對病毒的防范能力是非常高的。防病毒服務器同時也可以作為整個辦公網(wǎng)絡(luò)的域服務器，其他計算機在開機的同時使用各自的域用戶進行域登錄，這樣通過Windows的Active Directory對每個用戶對網(wǎng)絡(luò)資源訪問權(quán)限進行定義，會達到更好的效果。每個操作系統(tǒng)、應用程序（數(shù)據(jù)庫）、防火墻、入侵檢測系統(tǒng)和網(wǎng)管軟件都擁有自己的日志審計系統(tǒng)，每個都記錄下來了很多有用的信息，網(wǎng)絡(luò)管理人員應該定期地仔細查看審計各個系統(tǒng)的日志信息，分析出可能存在的問題，通過修改各個系統(tǒng)的配置來達到性能的最優(yōu)化。如果證券系統(tǒng)開通了網(wǎng)上交易，我們建議在總部建立一個CA（證書服務）服務器，對每個可以網(wǎng)上交易的客戶發(fā)放一個USB證書，在使用口令和密碼保護的同時，使用USB key進行身份認證，保證交易不可抵賴和不被篡改。對于內(nèi)部員工也使用數(shù)字證書來進行身份認證，保證每個人擁有適當?shù)脑L問權(quán)限，達到管理層面上的網(wǎng)絡(luò)安全。