【正文】 絕大多數(shù)已知的安全漏洞和安全隱患；同時，由于本系統(tǒng)在安裝操作系統(tǒng)時將禁止所有無關的協(xié)議和服務，并制定了備份和防病毒策略，進一步提升操作平臺的牢固性。使攻擊者無機可乘。網(wǎng)絡級隔離我們采用防火墻保護內(nèi)部網(wǎng)絡不受攻擊。我們使用的CISCO PIX 520防火墻可以在基本不影響網(wǎng)絡性能的情況下抵抗類似IP分裂、源路由、偽造IP地址、同步包泛濫、TCP FIN掃描、滴淚等攻擊。應用級隔離 基本的網(wǎng)絡保護是不夠的。大多數(shù)有破壞性的、狡猾的攻擊都不是在IP本身上實現(xiàn)，而是通過應用程序的數(shù)據(jù)流來實現(xiàn)的。保護應用程序的指令和數(shù)據(jù)與保護基本的網(wǎng)絡安全同樣重要。為了在不影響速度的前提下徹底的杜絕通用的服務器操作系統(tǒng)程序和通用的IP應用程序，我們特別提出了一種稱之為雙網(wǎng)卡零服務綁定的解決方案。 在公司端裝有兩臺單機，分別稱之為前置機和網(wǎng)關機（數(shù)據(jù)處理主機）。兩臺主機通過隔離網(wǎng)連接。網(wǎng)關機采用雙網(wǎng)卡設置，其中一塊網(wǎng)卡采用TCP/IP協(xié)議與證券公司內(nèi)部網(wǎng)相連，另一塊網(wǎng)卡采用SNA協(xié)議與前置機相連；與前置相連的網(wǎng)卡被設置成只安裝SNA協(xié)議并在該協(xié)議上不綁定任何服務（該功能由Windows2000提供）。 我們稱之為零服務綁定。這樣，就使與該網(wǎng)卡連接的前置機既不能訪問到券商內(nèi)部網(wǎng)上的其他機器，也不能訪問到網(wǎng)關機上的其他資源，它唯一的功能是完成主機之間相關的應用程序的數(shù)據(jù)通訊，這樣就使任何INTERNET上的未經(jīng)授權的數(shù)據(jù)報文根本無任何可能透過隔離網(wǎng)達到后臺主機。前置機安裝了雙網(wǎng)卡，一塊網(wǎng)卡采用TCP/IP協(xié)議通過網(wǎng)絡和防火墻路由器連接，另一塊網(wǎng)卡通過SNA協(xié)議與總部網(wǎng)關機進行連接。前置機上運行一個協(xié)議翻譯程序，通過協(xié)議翻譯程序?qū)碜訧nternet的TCP/IP數(shù)據(jù)包轉(zhuǎn)換為SNA協(xié)議的數(shù)據(jù)包發(fā)送給網(wǎng)關機，網(wǎng)關機上同樣運行一個協(xié)議翻譯程序?qū)NA協(xié)議數(shù)據(jù)包轉(zhuǎn)換為TCP/IP數(shù)據(jù)包，供交易程序使用。這樣，我們避免了在兩臺機器之間直接使用TCP/IP通訊可能帶來的安全性問題。另一種方案是將SNA協(xié)議替換成非網(wǎng)絡協(xié)議（如：RS232串口協(xié)議）。這種方案乍看上去似乎更安全些，實則不然。采用非網(wǎng)絡協(xié)議的根本動機是為了保證前置機與網(wǎng)關機之間非交易通訊數(shù)據(jù)的徹底杜絕，而上述的采用隔離網(wǎng)的方式能更可靠的作到這一點（因為建立在通訊協(xié)議基礎上的協(xié)議翻譯程序能比建立在非協(xié)議基礎上的同類程序提供更優(yōu)的通訊質(zhì)量和可靠性）。而且采用隔離網(wǎng)技術解決了串口通信帶寬窄，難于擴充的致命問題，更適合大規(guī)模網(wǎng)上交易的需求。協(xié)議翻譯采用自主開發(fā)的軟件，只處理符合要求的通訊數(shù)據(jù)包，起到了應用網(wǎng)關的作用。前置起到了堡壘主機的作用，攻擊者最多可能攻擊到前置機，無法通過繞過前置機進行下一步攻擊。 風險防范網(wǎng)上委托的風險主要來源于數(shù)據(jù)安全和系統(tǒng)本身的可靠性。在數(shù)據(jù)安全方面，我們采取了以下措施：隔離網(wǎng)設計，以保護局域網(wǎng)的內(nèi)部安全，外界不能直接訪問任何旅游公司內(nèi)部業(yè)務系統(tǒng)。在網(wǎng)上委托系統(tǒng)中沒有訪問未開通網(wǎng)上委托游民信息的指令，無法訪問未開通網(wǎng)上委托的游民的任何信息。128位超強加密。對客戶登錄系統(tǒng)設置最大累加重試次數(shù)，以防止密碼被無限測試。可設置用戶每單及每天的最大委托金額，以排除異常數(shù)據(jù)?？稍O置用戶同時連接的最大數(shù)目，可在一定程度上防止或發(fā)現(xiàn)帳號盜用?？稍O置用戶登錄的IP地址網(wǎng)段，可減小系統(tǒng)受攻擊影響的范圍。由于整個系統(tǒng)的復雜性，由硬件或軟件本身引起的交易中斷是不可避免的，因此，我們采取措施，以增加系統(tǒng)運行的可靠性，出現(xiàn)問題時能迅速恢復，事后也容易查找原因：取優(yōu)化調(diào)度，內(nèi)存交換等策略，防止數(shù)據(jù)堵塞，造成交易中斷或延遲。增加監(jiān)控界面，使維護人員能方便地監(jiān)控系統(tǒng)運行，及時發(fā)現(xiàn)及解決問題。線路狀態(tài)檢測及自動報警。記錄交易行為日志，為委托糾紛提供解決的依據(jù)。在關鍵部位記錄日志。 操作系統(tǒng)、數(shù)據(jù)庫的安全性策略我公司網(wǎng)上委托系統(tǒng)所使用的系統(tǒng)平臺包括Client端的Windows平臺，Server端的Windows2000操作系統(tǒng)平臺及Server端 的MS DB2數(shù)據(jù)庫平臺，Web Server平臺，防病毒系統(tǒng)等等，這些平臺都提供了對影響系統(tǒng)安全性諸要素的預防、分析和恢復的能力。合理地使用系統(tǒng)平臺提供的安全機制，發(fā)揮它們的作用，可以事半功倍，達到很好的效果。服務器操作系統(tǒng)平臺Windows2000 ，另外還提供了相當多的安全特色。這使它得到了廣泛的應用并同時接受了實踐的考驗。同樣的，MSDB2也達到了C2級安全標準，另外還具備數(shù)據(jù)庫的安全性、完整性、一致性及可恢復性保障機制。WEB 服務器Microsoft IIS，也提供了相應的安全保護機制，包括基于SSL的安全機制以及防攻擊能力等。首先，在安裝這些系統(tǒng)時，所有的系統(tǒng)軟件我們都打上了最新的補丁程序，這些補丁程序?qū)σ寻l(fā)現(xiàn)的安全漏洞進行了修正，具體包括Windows2000 的SP7， MS DB2 。對于WindowsNT，我們在安裝時所有硬盤分區(qū)采用了NTFS格式，以充分利用Windows2000所帶的安全特性。另外，這些系統(tǒng)軟件平臺具備如下功能，我們在構筑網(wǎng)上委托系統(tǒng)時將利用這些功能提高整個系統(tǒng)的安全性：身份驗證功能：通過用戶/口令機制可以防止非法用戶隨意進入系統(tǒng)，Windows2000及MSSQL均提供基于口令的身份驗證功能，系統(tǒng)還提供用戶組機制，方便了用戶的管理，操作系統(tǒng)為用戶口令數(shù)據(jù)提供了很好的安全保護措施，即使是系統(tǒng)管理員也看不到普通用戶的口令，從而保障了身份驗證功能的可靠運行。訪問控制功能：通過授權機制可以防止系統(tǒng)被非授權訪問，系統(tǒng)提供對各種資源訪問權限的授權機制，包括讀、寫、執(zhí)行等，同時對用戶登錄的時間和地點也可以進行限制；本系統(tǒng)中，我們禁止在登錄窗口的關機功能，禁止遠程訪問系統(tǒng)的注冊表，對于系統(tǒng)管理員和工作用戶我們限制他的登錄時間和登錄地點，對于工作用戶，我們規(guī)定其具有有限的數(shù)據(jù)訪問權限，除進行開關機和日常的日志備份工作外，對其他信息沒有訪問權限，從而保護系統(tǒng)不被有意或無意的損壞。故障恢復功能：能夠自動或人工干預下從故障狀態(tài)下恢復到正常運行狀態(tài)，并保證系統(tǒng)的數(shù)據(jù)不出現(xiàn)混亂或丟失，Windows2000的NTFS文件系統(tǒng)是一個安全的文件系統(tǒng)，對于非正常掉電有很強的抵抗能力，MSSQL數(shù)據(jù)庫系統(tǒng)也能自我保持數(shù)據(jù)庫的一致性；操作系統(tǒng)和數(shù)據(jù)庫還提供了各種檢查和修復工具如ScanDisk，DBCC等等，便于管理員維修系統(tǒng)；系統(tǒng)還提供了各種備份工具，可以自動作定時備份，保障關鍵數(shù)據(jù)的安全性。本系統(tǒng)中，除WEB系統(tǒng)是724小時運行外，其他系統(tǒng)將進行每日開關機操作，所有數(shù)據(jù)包括日志將進行每日備份，操作系統(tǒng)將在每周日定時重新啟動，防止系統(tǒng)長時間運行帶來的不穩(wěn)定因素；所有關鍵服務器采用UPS保護，在市電掉電時，能定時自動當機，保護數(shù)據(jù)不被丟失或損壞。安全保護功能：對關鍵數(shù)據(jù)（如系統(tǒng)配置信息，用戶口令及權限信息等）的存儲和傳輸提供安全保護，包括加密，隱藏，寫保護等等，除了系統(tǒng)本身可以訪問這些信息以外，不提供其他的訪問途徑，本系統(tǒng)中，所有配置信息（INI文件）只有系統(tǒng)管理員才能夠設置，同時對這些設置信息進行打印存檔，工作用戶不能訪問這些數(shù)據(jù)；安全審計功能：建立用戶訪問各類資源的審計記錄，便于事后進行查詢分析；本系統(tǒng)中我們將打開WindowsNT的審計功能，利用WindowsNT提供的事件查看器觀察系統(tǒng)的安全日志，了解系統(tǒng)被訪問的情況，包括用戶的登錄、對關鍵數(shù)據(jù)的訪問等等。分權制約功能：支持操作員和管理員的權限分離與相互制約；通過設置不同的操作用戶，分配不同的操作權限就能達到分權制約的功能。另外，病毒是計算機系統(tǒng)安全的大敵，防病毒系統(tǒng)則是對抗病毒的有力工具，我們將采用國家許可的正版防病毒軟件并及時更新軟件版本，提高系統(tǒng)的免疫力。我們主要使用WindowsNT平臺下的 NORTON AntiVirus防病毒軟件；該軟件提供每個月2次數(shù)據(jù)更新，能有效防止新出現(xiàn)的病毒；防病毒軟件的運行會影響系統(tǒng)的性能，但這是值得的。我們將定期安排對所有系統(tǒng)進行防病毒清查，并作相關記錄，發(fā)現(xiàn)病毒及時上報；防病毒軟件病毒特征數(shù)據(jù)定期由總部下載更新，并在全公司發(fā)布，以保證防病毒軟件的有效性和時效性。 系統(tǒng)安全性分析 1．委托數(shù)據(jù)安全性分析（1）防止非法入侵者窺視用戶委托數(shù)據(jù)（如交易密碼、委托及成交情況、資金余額等）。解決此問題的方法是對交易數(shù)據(jù)加密，以密文的形式在網(wǎng)絡上傳輸。我們采用的密碼算法是128位的對稱加密算法，通過使用動態(tài)會話密鑰和對稱密鑰技術相結合就可達到信息私密的目的?？蛻魴C和服務器之間的所有數(shù)據(jù)使用在握手過程中建立的初始密鑰和算法按照動態(tài)會話密鑰的方法進行加密，即每次會話結束時都由服務器端向客戶端發(fā)放下一次會話的會話密鑰。這樣就防止了某些用戶通過使用IP packet sniffer工具非法竊聽。盡管packet sniffer仍能捕捉到通信的內(nèi)容，但卻無法破譯得到通訊的明文。（2）防止非法入侵者竊取會話鑰匙。由于下次會話的會話密鑰是通過密碼算法加密在本次通訊的應答數(shù)據(jù)包中的，因此要想獲得下次會話的密鑰，就必須首先破解密碼算法，而破解該算法的代價在上面已經(jīng)談及，是非常巨大的；而且，由于會話密鑰是動態(tài)產(chǎn)生的。即使黑客通過復雜的計算獲得了若干時間以前的會話密鑰，也無法通過該密鑰推導出當前時刻會話的會話密鑰。（3）防止非法入侵者偽造或修改委托數(shù)據(jù)。非法入侵者可能會冒充合法用戶，將偽造的委托數(shù)據(jù)提交給委托服務器，或者截取合法用戶的委托請求，加以修改再提交給委托服務器。委托服務器采用對稱加密和HASH算法來驗證接收到的委托數(shù)據(jù)是否有效。采用對稱加密和HASH算法能提供可靠的數(shù)據(jù)完整性服務。HASH算法我們選用MD5，在數(shù)據(jù)包加密之前，首先計算該數(shù)據(jù)包的MD5摘要，然后再對數(shù)據(jù)包用本次的會話密鑰進行加密。解密為其反過程，即先用會話密鑰將數(shù)據(jù)包解密，然后再對其進行MD5摘要校驗。這樣，第三者即使知道數(shù)據(jù)包的結構，但由于無法獲得會話密鑰而無法對數(shù)據(jù)包進行偽造。（4）防止非法入侵者復制合法用戶的委托請求，并多次提交。由于系統(tǒng)采用的是動態(tài)會話密鑰算法。每次委托的請求的會話密鑰既不和前一次請求一致，也不同于下一次請求。這就從根本上徹底杜絕了多次提交或相同數(shù)據(jù)包重發(fā)的問題。（5）為了防止非法入侵者利用在短時間內(nèi)登錄很多次的方法來試探用戶的通訊口令，委托服務器在發(fā)現(xiàn)連續(xù)30次非法登錄時，自動報警并斷開與此用戶的連接，并鎖定該用戶。（6）通過數(shù)字證書技術保證通訊雙方的身份認證。（7）通過數(shù)字簽名技術及交易日志保證交易的不可抵賴性。2．最低限度的安全保證（1）對互連網(wǎng)上“黑客”的防范：我們所采用的安全算法和協(xié)議，如SSF04密碼算法，SSL協(xié)議及動態(tài)密鑰技術，其安全性都是經(jīng)過權威機構認證的，并經(jīng)受住了較長時間的應用考驗。要破譯必須具備很高的專業(yè)知識，并付出極大的代價。這些算法可以保證委托數(shù)據(jù)是無法截取并破譯的，凡是被委托服務器所處理的委托請求都是有效的、可證實的。（2）對自身工作人員的防范；對軟件公司的開發(fā)人員：所有加密算法依賴于龐大的鑰匙空間而不依賴于算法本身,即使是軟件公司的開發(fā)人員,由于不知道密鑰,也無法破譯任何數(shù)據(jù)。對證券公司的機房管理人員：股民的用戶口令經(jīng)過加密后存儲，只有股民可以修改和獲得，其他人員不可破譯。（3）網(wǎng)絡的安全保證：委托數(shù)據(jù)經(jīng)過前置機協(xié)議翻譯程序轉(zhuǎn)發(fā)到達證券公司的委托應用服務器；任何非委托數(shù)據(jù)無法到達證券公司的內(nèi)部網(wǎng)。證券公司局域網(wǎng)上的計算機根本不可能接收到來自外界的非交易IP數(shù)據(jù)報文。因此證券公司局域網(wǎng)的安全是可以根本保證的。注：請老師多多指教電子郵箱： yxp803@25 / 25