【正文】 絕大多數(shù)已知的安全漏洞和安全隱患；同時(shí)，由于本系統(tǒng)在安裝操作系統(tǒng)時(shí)將禁止所有無關(guān)的協(xié)議和服務(wù)，并制定了備份和防病毒策略，進(jìn)一步提升操作平臺的牢固性。使攻擊者無機(jī)可乘。網(wǎng)絡(luò)級隔離我們采用防火墻保護(hù)內(nèi)部網(wǎng)絡(luò)不受攻擊。我們使用的CISCO PIX 520防火墻可以在基本不影響網(wǎng)絡(luò)性能的情況下抵抗類似IP分裂、源路由、偽造IP地址、同步包泛濫、TCP FIN掃描、滴淚等攻擊。應(yīng)用級隔離 基本的網(wǎng)絡(luò)保護(hù)是不夠的。大多數(shù)有破壞性的、狡猾的攻擊都不是在IP本身上實(shí)現(xiàn)，而是通過應(yīng)用程序的數(shù)據(jù)流來實(shí)現(xiàn)的。保護(hù)應(yīng)用程序的指令和數(shù)據(jù)與保護(hù)基本的網(wǎng)絡(luò)安全同樣重要。為了在不影響速度的前提下徹底的杜絕通用的服務(wù)器操作系統(tǒng)程序和通用的IP應(yīng)用程序，我們特別提出了一種稱之為雙網(wǎng)卡零服務(wù)綁定的解決方案。 在公司端裝有兩臺單機(jī)，分別稱之為前置機(jī)和網(wǎng)關(guān)機(jī)（數(shù)據(jù)處理主機(jī)）。兩臺主機(jī)通過隔離網(wǎng)連接。網(wǎng)關(guān)機(jī)采用雙網(wǎng)卡設(shè)置，其中一塊網(wǎng)卡采用TCP/IP協(xié)議與證券公司內(nèi)部網(wǎng)相連，另一塊網(wǎng)卡采用SNA協(xié)議與前置機(jī)相連；與前置相連的網(wǎng)卡被設(shè)置成只安裝SNA協(xié)議并在該協(xié)議上不綁定任何服務(wù)（該功能由Windows2000提供）。 我們稱之為零服務(wù)綁定。這樣，就使與該網(wǎng)卡連接的前置機(jī)既不能訪問到券商內(nèi)部網(wǎng)上的其他機(jī)器，也不能訪問到網(wǎng)關(guān)機(jī)上的其他資源，它唯一的功能是完成主機(jī)之間相關(guān)的應(yīng)用程序的數(shù)據(jù)通訊，這樣就使任何INTERNET上的未經(jīng)授權(quán)的數(shù)據(jù)報(bào)文根本無任何可能透過隔離網(wǎng)達(dá)到后臺主機(jī)。前置機(jī)安裝了雙網(wǎng)卡，一塊網(wǎng)卡采用TCP/IP協(xié)議通過網(wǎng)絡(luò)和防火墻路由器連接，另一塊網(wǎng)卡通過SNA協(xié)議與總部網(wǎng)關(guān)機(jī)進(jìn)行連接。前置機(jī)上運(yùn)行一個(gè)協(xié)議翻譯程序，通過協(xié)議翻譯程序?qū)碜訧nternet的TCP/IP數(shù)據(jù)包轉(zhuǎn)換為SNA協(xié)議的數(shù)據(jù)包發(fā)送給網(wǎng)關(guān)機(jī)，網(wǎng)關(guān)機(jī)上同樣運(yùn)行一個(gè)協(xié)議翻譯程序?qū)NA協(xié)議數(shù)據(jù)包轉(zhuǎn)換為TCP/IP數(shù)據(jù)包，供交易程序使用。這樣，我們避免了在兩臺機(jī)器之間直接使用TCP/IP通訊可能帶來的安全性問題。另一種方案是將SNA協(xié)議替換成非網(wǎng)絡(luò)協(xié)議（如：RS232串口協(xié)議）。這種方案乍看上去似乎更安全些，實(shí)則不然。采用非網(wǎng)絡(luò)協(xié)議的根本動機(jī)是為了保證前置機(jī)與網(wǎng)關(guān)機(jī)之間非交易通訊數(shù)據(jù)的徹底杜絕，而上述的采用隔離網(wǎng)的方式能更可靠的作到這一點(diǎn)（因?yàn)榻⒃谕ㄓ崊f(xié)議基礎(chǔ)上的協(xié)議翻譯程序能比建立在非協(xié)議基礎(chǔ)上的同類程序提供更優(yōu)的通訊質(zhì)量和可靠性）。而且采用隔離網(wǎng)技術(shù)解決了串口通信帶寬窄，難于擴(kuò)充的致命問題，更適合大規(guī)模網(wǎng)上交易的需求。協(xié)議翻譯采用自主開發(fā)的軟件，只處理符合要求的通訊數(shù)據(jù)包，起到了應(yīng)用網(wǎng)關(guān)的作用。前置起到了堡壘主機(jī)的作用，攻擊者最多可能攻擊到前置機(jī)，無法通過繞過前置機(jī)進(jìn)行下一步攻擊。 風(fēng)險(xiǎn)防范網(wǎng)上委托的風(fēng)險(xiǎn)主要來源于數(shù)據(jù)安全和系統(tǒng)本身的可靠性。在數(shù)據(jù)安全方面，我們采取了以下措施：隔離網(wǎng)設(shè)計(jì)，以保護(hù)局域網(wǎng)的內(nèi)部安全，外界不能直接訪問任何旅游公司內(nèi)部業(yè)務(wù)系統(tǒng)。在網(wǎng)上委托系統(tǒng)中沒有訪問未開通網(wǎng)上委托游民信息的指令，無法訪問未開通網(wǎng)上委托的游民的任何信息。128位超強(qiáng)加密。對客戶登錄系統(tǒng)設(shè)置最大累加重試次數(shù)，以防止密碼被無限測試?？稍O(shè)置用戶每單及每天的最大委托金額，以排除異常數(shù)據(jù)?？稍O(shè)置用戶同時(shí)連接的最大數(shù)目，可在一定程度上防止或發(fā)現(xiàn)帳號盜用?？稍O(shè)置用戶登錄的IP地址網(wǎng)段，可減小系統(tǒng)受攻擊影響的范圍。由于整個(gè)系統(tǒng)的復(fù)雜性，由硬件或軟件本身引起的交易中斷是不可避免的，因此，我們采取措施，以增加系統(tǒng)運(yùn)行的可靠性，出現(xiàn)問題時(shí)能迅速恢復(fù)，事后也容易查找原因：取優(yōu)化調(diào)度，內(nèi)存交換等策略，防止數(shù)據(jù)堵塞，造成交易中斷或延遲。增加監(jiān)控界面，使維護(hù)人員能方便地監(jiān)控系統(tǒng)運(yùn)行，及時(shí)發(fā)現(xiàn)及解決問題。線路狀態(tài)檢測及自動報(bào)警。記錄交易行為日志，為委托糾紛提供解決的依據(jù)。在關(guān)鍵部位記錄日志。 操作系統(tǒng)、數(shù)據(jù)庫的安全性策略我公司網(wǎng)上委托系統(tǒng)所使用的系統(tǒng)平臺包括Client端的Windows平臺，Server端的Windows2000操作系統(tǒng)平臺及Server端 的MS DB2數(shù)據(jù)庫平臺，Web Server平臺，防病毒系統(tǒng)等等，這些平臺都提供了對影響系統(tǒng)安全性諸要素的預(yù)防、分析和恢復(fù)的能力。合理地使用系統(tǒng)平臺提供的安全機(jī)制，發(fā)揮它們的作用，可以事半功倍，達(dá)到很好的效果。服務(wù)器操作系統(tǒng)平臺Windows2000 ，另外還提供了相當(dāng)多的安全特色。這使它得到了廣泛的應(yīng)用并同時(shí)接受了實(shí)踐的考驗(yàn)。同樣的，MSDB2也達(dá)到了C2級安全標(biāo)準(zhǔn)，另外還具備數(shù)據(jù)庫的安全性、完整性、一致性及可恢復(fù)性保障機(jī)制。WEB 服務(wù)器Microsoft IIS，也提供了相應(yīng)的安全保護(hù)機(jī)制，包括基于SSL的安全機(jī)制以及防攻擊能力等。首先，在安裝這些系統(tǒng)時(shí)，所有的系統(tǒng)軟件我們都打上了最新的補(bǔ)丁程序，這些補(bǔ)丁程序?qū)σ寻l(fā)現(xiàn)的安全漏洞進(jìn)行了修正，具體包括Windows2000 的SP7， MS DB2 。對于WindowsNT，我們在安裝時(shí)所有硬盤分區(qū)采用了NTFS格式，以充分利用Windows2000所帶的安全特性。另外，這些系統(tǒng)軟件平臺具備如下功能，我們在構(gòu)筑網(wǎng)上委托系統(tǒng)時(shí)將利用這些功能提高整個(gè)系統(tǒng)的安全性：身份驗(yàn)證功能：通過用戶/口令機(jī)制可以防止非法用戶隨意進(jìn)入系統(tǒng)，Windows2000及MSSQL均提供基于口令的身份驗(yàn)證功能，系統(tǒng)還提供用戶組機(jī)制，方便了用戶的管理，操作系統(tǒng)為用戶口令數(shù)據(jù)提供了很好的安全保護(hù)措施，即使是系統(tǒng)管理員也看不到普通用戶的口令，從而保障了身份驗(yàn)證功能的可靠運(yùn)行。訪問控制功能：通過授權(quán)機(jī)制可以防止系統(tǒng)被非授權(quán)訪問，系統(tǒng)提供對各種資源訪問權(quán)限的授權(quán)機(jī)制，包括讀、寫、執(zhí)行等，同時(shí)對用戶登錄的時(shí)間和地點(diǎn)也可以進(jìn)行限制；本系統(tǒng)中，我們禁止在登錄窗口的關(guān)機(jī)功能，禁止遠(yuǎn)程訪問系統(tǒng)的注冊表，對于系統(tǒng)管理員和工作用戶我們限制他的登錄時(shí)間和登錄地點(diǎn)，對于工作用戶，我們規(guī)定其具有有限的數(shù)據(jù)訪問權(quán)限，除進(jìn)行開關(guān)機(jī)和日常的日志備份工作外，對其他信息沒有訪問權(quán)限，從而保護(hù)系統(tǒng)不被有意或無意的損壞。故障恢復(fù)功能：能夠自動或人工干預(yù)下從故障狀態(tài)下恢復(fù)到正常運(yùn)行狀態(tài)，并保證系統(tǒng)的數(shù)據(jù)不出現(xiàn)混亂或丟失，Windows2000的NTFS文件系統(tǒng)是一個(gè)安全的文件系統(tǒng)，對于非正常掉電有很強(qiáng)的抵抗能力，MSSQL數(shù)據(jù)庫系統(tǒng)也能自我保持?jǐn)?shù)據(jù)庫的一致性；操作系統(tǒng)和數(shù)據(jù)庫還提供了各種檢查和修復(fù)工具如ScanDisk，DBCC等等，便于管理員維修系統(tǒng)；系統(tǒng)還提供了各種備份工具，可以自動作定時(shí)備份，保障關(guān)鍵數(shù)據(jù)的安全性。本系統(tǒng)中，除WEB系統(tǒng)是724小時(shí)運(yùn)行外，其他系統(tǒng)將進(jìn)行每日開關(guān)機(jī)操作，所有數(shù)據(jù)包括日志將進(jìn)行每日備份，操作系統(tǒng)將在每周日定時(shí)重新啟動，防止系統(tǒng)長時(shí)間運(yùn)行帶來的不穩(wěn)定因素；所有關(guān)鍵服務(wù)器采用UPS保護(hù)，在市電掉電時(shí)，能定時(shí)自動當(dāng)機(jī)，保護(hù)數(shù)據(jù)不被丟失或損壞。安全保護(hù)功能：對關(guān)鍵數(shù)據(jù)（如系統(tǒng)配置信息，用戶口令及權(quán)限信息等）的存儲和傳輸提供安全保護(hù)，包括加密，隱藏，寫保護(hù)等等，除了系統(tǒng)本身可以訪問這些信息以外，不提供其他的訪問途徑，本系統(tǒng)中，所有配置信息（INI文件）只有系統(tǒng)管理員才能夠設(shè)置，同時(shí)對這些設(shè)置信息進(jìn)行打印存檔，工作用戶不能訪問這些數(shù)據(jù)；安全審計(jì)功能：建立用戶訪問各類資源的審計(jì)記錄，便于事后進(jìn)行查詢分析；本系統(tǒng)中我們將打開WindowsNT的審計(jì)功能，利用WindowsNT提供的事件查看器觀察系統(tǒng)的安全日志，了解系統(tǒng)被訪問的情況，包括用戶的登錄、對關(guān)鍵數(shù)據(jù)的訪問等等。分權(quán)制約功能：支持操作員和管理員的權(quán)限分離與相互制約；通過設(shè)置不同的操作用戶，分配不同的操作權(quán)限就能達(dá)到分權(quán)制約的功能。另外，病毒是計(jì)算機(jī)系統(tǒng)安全的大敵，防病毒系統(tǒng)則是對抗病毒的有力工具，我們將采用國家許可的正版防病毒軟件并及時(shí)更新軟件版本，提高系統(tǒng)的免疫力。我們主要使用WindowsNT平臺下的 NORTON AntiVirus防病毒軟件；該軟件提供每個(gè)月2次數(shù)據(jù)更新，能有效防止新出現(xiàn)的病毒；防病毒軟件的運(yùn)行會影響系統(tǒng)的性能，但這是值得的。我們將定期安排對所有系統(tǒng)進(jìn)行防病毒清查，并作相關(guān)記錄，發(fā)現(xiàn)病毒及時(shí)上報(bào)；防病毒軟件病毒特征數(shù)據(jù)定期由總部下載更新，并在全公司發(fā)布，以保證防病毒軟件的有效性和時(shí)效性。 系統(tǒng)安全性分析 1．委托數(shù)據(jù)安全性分析（1）防止非法入侵者窺視用戶委托數(shù)據(jù)（如交易密碼、委托及成交情況、資金余額等）。解決此問題的方法是對交易數(shù)據(jù)加密，以密文的形式在網(wǎng)絡(luò)上傳輸。我們采用的密碼算法是128位的對稱加密算法，通過使用動態(tài)會話密鑰和對稱密鑰技術(shù)相結(jié)合就可達(dá)到信息私密的目的。客戶機(jī)和服務(wù)器之間的所有數(shù)據(jù)使用在握手過程中建立的初始密鑰和算法按照動態(tài)會話密鑰的方法進(jìn)行加密，即每次會話結(jié)束時(shí)都由服務(wù)器端向客戶端發(fā)放下一次會話的會話密鑰。這樣就防止了某些用戶通過使用IP packet sniffer工具非法竊聽。盡管packet sniffer仍能捕捉到通信的內(nèi)容，但卻無法破譯得到通訊的明文。（2）防止非法入侵者竊取會話鑰匙。由于下次會話的會話密鑰是通過密碼算法加密在本次通訊的應(yīng)答數(shù)據(jù)包中的，因此要想獲得下次會話的密鑰，就必須首先破解密碼算法，而破解該算法的代價(jià)在上面已經(jīng)談及，是非常巨大的；而且，由于會話密鑰是動態(tài)產(chǎn)生的。即使黑客通過復(fù)雜的計(jì)算獲得了若干時(shí)間以前的會話密鑰，也無法通過該密鑰推導(dǎo)出當(dāng)前時(shí)刻會話的會話密鑰。（3）防止非法入侵者偽造或修改委托數(shù)據(jù)。非法入侵者可能會冒充合法用戶，將偽造的委托數(shù)據(jù)提交給委托服務(wù)器，或者截取合法用戶的委托請求，加以修改再提交給委托服務(wù)器。委托服務(wù)器采用對稱加密和HASH算法來驗(yàn)證接收到的委托數(shù)據(jù)是否有效。采用對稱加密和HASH算法能提供可靠的數(shù)據(jù)完整性服務(wù)。HASH算法我們選用MD5，在數(shù)據(jù)包加密之前，首先計(jì)算該數(shù)據(jù)包的MD5摘要，然后再對數(shù)據(jù)包用本次的會話密鑰進(jìn)行加密。解密為其反過程，即先用會話密鑰將數(shù)據(jù)包解密，然后再對其進(jìn)行MD5摘要校驗(yàn)。這樣，第三者即使知道數(shù)據(jù)包的結(jié)構(gòu)，但由于無法獲得會話密鑰而無法對數(shù)據(jù)包進(jìn)行偽造。（4）防止非法入侵者復(fù)制合法用戶的委托請求，并多次提交。由于系統(tǒng)采用的是動態(tài)會話密鑰算法。每次委托的請求的會話密鑰既不和前一次請求一致，也不同于下一次請求。這就從根本上徹底杜絕了多次提交或相同數(shù)據(jù)包重發(fā)的問題。（5）為了防止非法入侵者利用在短時(shí)間內(nèi)登錄很多次的方法來試探用戶的通訊口令，委托服務(wù)器在發(fā)現(xiàn)連續(xù)30次非法登錄時(shí)，自動報(bào)警并斷開與此用戶的連接，并鎖定該用戶。（6）通過數(shù)字證書技術(shù)保證通訊雙方的身份認(rèn)證。（7）通過數(shù)字簽名技術(shù)及交易日志保證交易的不可抵賴性。2．最低限度的安全保證（1）對互連網(wǎng)上“黑客”的防范：我們所采用的安全算法和協(xié)議，如SSF04密碼算法，SSL協(xié)議及動態(tài)密鑰技術(shù)，其安全性都是經(jīng)過權(quán)威機(jī)構(gòu)認(rèn)證的，并經(jīng)受住了較長時(shí)間的應(yīng)用考驗(yàn)。要破譯必須具備很高的專業(yè)知識，并付出極大的代價(jià)。這些算法可以保證委托數(shù)據(jù)是無法截取并破譯的，凡是被委托服務(wù)器所處理的委托請求都是有效的、可證實(shí)的。（2）對自身工作人員的防范；對軟件公司的開發(fā)人員：所有加密算法依賴于龐大的鑰匙空間而不依賴于算法本身,即使是軟件公司的開發(fā)人員,由于不知道密鑰,也無法破譯任何數(shù)據(jù)。對證券公司的機(jī)房管理人員：股民的用戶口令經(jīng)過加密后存儲，只有股民可以修改和獲得，其他人員不可破譯。（3）網(wǎng)絡(luò)的安全保證：委托數(shù)據(jù)經(jīng)過前置機(jī)協(xié)議翻譯程序轉(zhuǎn)發(fā)到達(dá)證券公司的委托應(yīng)用服務(wù)器；任何非委托數(shù)據(jù)無法到達(dá)證券公司的內(nèi)部網(wǎng)。證券公司局域網(wǎng)上的計(jì)算機(jī)根本不可能接收到來自外界的非交易IP數(shù)據(jù)報(bào)文。因此證券公司局域網(wǎng)的安全是可以根本保證的。注：請老師多多指教電子郵箱： yxp803@25 / 25