【正文】 主機路由表的控制來控 制與之直接通信的節(jié)點。同時，利用網(wǎng)關的安全控制能力，可以限制節(jié)點的通信、應用服務，并加強外部用戶識別和驗證能力。對網(wǎng)絡進行級別劃分與控制，網(wǎng)絡級別的劃分大致包括 Inter/企業(yè)網(wǎng)、骨干網(wǎng) /區(qū)域網(wǎng)、區(qū)域網(wǎng) /部門網(wǎng)、部門網(wǎng) /工作組網(wǎng)等，其中 Inter/企業(yè)網(wǎng)的接口要采用專用防火墻，骨干網(wǎng) /區(qū)域網(wǎng)、區(qū)域網(wǎng) /部門網(wǎng)的接口利用路由器的可控路由表、安全郵件服務器、安全撥號驗證服務器和安全級別較高的操作系統(tǒng)。增強網(wǎng)絡互連的分割和過濾控制，也可以大大提高安全保密性。 隨著企業(yè)個人與個人之間、各部門之間、企業(yè)和企 業(yè)之間、國際間信息交流的日益頻繁，信息傳輸?shù)陌踩猿蔀橐粋€重要的問題。盡管個人、部門和整個企業(yè)都已認識到信息的寶貴價值和私有性，但商場上的無情競爭已迫使機構打破原有的界限，在企業(yè)內部或企業(yè)之間共享更多的信息，只有這樣才能縮短處理問題的時間，并在相互協(xié)作的環(huán)境中孕育出更多的革新和創(chuàng)造。然而，在群件系統(tǒng)中共享的信息卻必須保證其安全性，以防止有意無意的破壞。 物理實體的安全管理現(xiàn)已有大量標準和規(guī)范，如 GB936188《計算機場地安全要求》、GFB288788《計算機場地技術條件》等。 . 安全產品選型原則 在進行 湖南證券股份有限有限公司網(wǎng)絡安全方案的產品選型時，要求安全產品至少應包含以下功能： ? 訪問控制： 通過對特定網(wǎng)段、服務建立的訪問控制體系，將絕大多數(shù)攻擊阻止在到達攻擊目標之前。 ? 檢查安全漏洞： 通過對安全漏洞的周期檢查，即使攻擊可到達攻擊目標，也可使絕大多數(shù)攻擊無效。 ? 攻擊監(jiān)控： 通過對特定網(wǎng)段、服務建立的攻擊監(jiān)控體系，可實時檢測出絕大多數(shù)攻擊，并采取相應的行動（如斷開網(wǎng)絡連接、記錄攻擊過程、跟蹤攻擊源等）。 湖南證券股份有限公司網(wǎng)絡安全方案建議書 共 59 頁 第 18 頁 ? 加密通訊： 主動的加密通訊，可使攻擊者不能了解、修改敏感信息。 ? 認證： 良好的認證體系可防止攻擊者假冒合法用戶 。 ? 備份和恢復： 良好的備份和恢復機制，可在攻擊造成損失時，盡快地恢復數(shù)據(jù)和系統(tǒng)服務。 ? 多層防御： 攻擊者在突破第一道防線后，延緩或阻斷其到達攻擊目標。 ? 隱藏內部信息： 使攻擊者不能了解系統(tǒng)內的基本情況。 ? 設立安全監(jiān)控中心： 為信息系統(tǒng)提供安全體系管理、監(jiān)控，保護及緊急情況服務。 3. 網(wǎng)絡安全方案設計 根據(jù)第二章對湖南證券股份有限有限公司的安全需求分析，結合安全設計的策略，我們提出網(wǎng)絡安全設計方案。 本章首先描述安全網(wǎng)絡的整體結構，然后就各網(wǎng)段采用的防火墻、防病毒、防黑客，以及安全評估等技術措施作詳細的描述。各種安全措 施之間的相互協(xié)作，構成主動的網(wǎng)絡安全防御體系。 為確保系統(tǒng)的安全性保持穩(wěn)定，我們介紹了各種安全產品的平臺要求，以及升級的保證方式和途徑。 根據(jù)湖南證券股份有限有限公司的網(wǎng)絡安全需求，目前網(wǎng)絡安全方案集中考慮外部網(wǎng)絡的安全性；對于整體網(wǎng)絡的安全性，我們還分析了網(wǎng)絡安全方案的可擴充性。 在本章結尾，我們總結了本方案的特點。 . 整體結構安全建議描述 由于湖南證券股份有限有限公司網(wǎng)的安全體系包括內外兩部分，而目前著重于外部的安全建設，所以目前的安全假設為： 將公司內部網(wǎng)絡看作信任網(wǎng)絡，暫不考慮安全問題；將外部網(wǎng)視為不信 任網(wǎng)絡，需要采取安全措施。 其總體結構如下： 1). 內部網(wǎng)絡系統(tǒng)： 包括： ? LAN1， LAN2…..LAN8 等內部網(wǎng)段； ? 內部服務子網(wǎng) 即 [初步設想 ]的 VPN 的部分。 湖南證券股份有限公司網(wǎng)絡安全方案建議書 共 59 頁 第 19 頁 2). 外部網(wǎng)絡系統(tǒng)： 包括： ? 對 Inter 服務網(wǎng)段。 ? 連接湖南證券股份有限各營業(yè)點的網(wǎng)段。 ? Web 網(wǎng)站。 在“初步設想”中，在本方案中，考慮到服務的交集會給防火墻安全策略的制定帶來不便，形成潛在的安全隱患，并且也不利于整個網(wǎng)絡安全的管理，因此我們將 vpn 網(wǎng)關相應服務器分別部署在對應的網(wǎng)段中，而將對內服務的服務器放到內部網(wǎng)絡中的內部服務 子網(wǎng)中。 同時，我們在系統(tǒng)中增加了一個網(wǎng)絡安全管理平臺網(wǎng)段。 整個網(wǎng)絡安全結構如下圖： 湖南證券股份有限公司網(wǎng)絡安全方案建議書 共 59 頁 第 20 頁 . 對 Inter 服務網(wǎng)段 如上圖示，內部用戶訪問 Inter,通過撥號上網(wǎng)的方式，通過單個客戶機分別撥號上網(wǎng)首先會對整個內部安全造成很大影響，同時造成資金的浪費。因為當撥號連接建立以后，會動態(tài)的分配到一個合法的 IP 地址，那樣如果有非法用戶對該地址進行嘗試的攻擊，很可能通過該機進入整個內部系統(tǒng)。建議： a. 在撥號上網(wǎng)的主機上配置物理隔離卡，當用戶上網(wǎng)時，物理隔離卡可以把硬盤分為上網(wǎng)部分與安全部分，這兩部分將相互隔離， 這樣就保證了有非法用戶通過該機進入內部系統(tǒng)。 b. 使用防火墻同時申請一根專線上網(wǎng)，這樣既可以防止撥號上網(wǎng)帶來的危險性又可以提高上網(wǎng)速度。 在接口處防火墻的配置方法： 訪問的安全控制： 1). DMZ1 對外提供服務 DMZ1 中的服務器主要用于對 Inter 用戶提供服務，包括 DNS、 Email、 FTP、 HTTP 等，其服務全部由防火墻提供代理，其工作流程如下： a: 由外部 Client 端向 Firewall1 提出請求（ HTTP、 FTP 等）； b: 通過 Firewall1 過濾、識別、身份驗證，確定為合法請求，并確定該請求的目標服務器之后由 Firewall1 向 DMZ1 里的服務器提出請求； c: DMZ1 里的目標服務器接受 Firewall1 的請求并對其作出響應； d: Firewall1 再將請求傳遞給外部的 Client。 2). 內部網(wǎng)絡的用戶對 Inter 的訪問 對于內部用戶對 Inter 的請求包括 Email 和 HTTP、 FTP 等。 ? 對 Email 類，內部網(wǎng)采用 HP OpenMail ，而 Inter 采用 SMTP 協(xié)議， 建議設立一臺電子郵件轉發(fā)服務器（ MX），部署在 DMZ1 里，對內部 HP OpenMail 的郵件和 Inter 的 SMTP 郵件進行轉發(fā)。 b a c d FireWall Client DMZ 湖南證券股份有限公司網(wǎng)絡安全方案建議書 共 59 頁 第 21 頁 ? 對 HTTP、 FTP 等其他類型的服務由防火墻作為代理， Firewall1 在中間也起到過濾、識別、身份驗證的作用。 3). 地址轉換（ NAT） 由于目前湖南證券股份有限有限公司采用 A 類地址，而外部采用 Inter 合法地址，Gauntlet Firewall1 提供內、外地址的翻譯，即可隱藏內部 IP. 4). FireWall1 未來的 GVPN 功能 將來外匯管理局的內部 Intra 中的 Gauntlet 防火墻可形成 GVPN，采用 Gauntlet 的 GVPN技術對內部的外出員工可建立一條可信賴的連接，直接訪問內部網(wǎng)絡的資源。 c. 使用 Proxy 的方式，讓所有的用戶通過盡量少的電話線上網(wǎng)，在該 proxy 服務器上安裝物理隔離卡，這樣可以防止不必要的危險性，又可以降低費用，同時可以對所有用戶訪問的時間流量進行統(tǒng)計。 . 連接各營業(yè)點的網(wǎng)段 連接各營業(yè)點的網(wǎng)段是連接公司總部與各分公司的接口，各營業(yè)點通過 到總公司的 3 主干路由器上。 交易所與營業(yè)點的相互訪問是通過 DDN,由于系統(tǒng)本身是一個很安全的系統(tǒng)，我們這里就不對此作一些安全產品的配置，只是對整個系統(tǒng)及應用程序的安全進行安全性的掃描，如果存在漏洞則對系統(tǒng)進行升級和優(yōu)化。 因為交易所與營業(yè)點的數(shù)據(jù)傳輸經常會突然出現(xiàn)流量增大，影響正常的交易，所以我們認為在交易所的路由器到內部網(wǎng)之間添加一個百兆的集線器或交換機在此上的端口處安裝 NAI 公司的 Sniffer for LAN，對進出的包進行解碼分析，區(qū)分出包的類型，對非正常交易的包進行分析并且通過一些措施把這些非正常交易的包給過濾掉或通過流量分配軟件進行有效的劃分。 具體配置： a. 把 與交易無關的包給過濾掉?？梢酝ㄟ^在路由器后面添加防火墻的方式，可以把已經通過 Sniffer 檢查出來的與交易無關的包的源地址給屏蔽掉，不讓包進行內部系統(tǒng)。 b. 通過流量分配軟件在各個營業(yè)點對出去的包進行手工的流量分配。如果是與交易有關的包讓它占有較大的帶寬，如果與交易無關的包則讓它占較小的帶寬，這樣可以保證主干業(yè)務的暢通運行。 c. 可以在網(wǎng)段上安裝入侵檢測軟件，它可以對進來的包進行解碼并且分析包的內容，是什么類型的服務，使用的端口號，源地址及目的地址等。這樣就可以分析出哪些連接是沒有必要的，然后再把該連 接通過防火墻給屏蔽掉。 湖南證券股份有限公司網(wǎng)絡安全方案建議書 共 59 頁 第 22 頁 . 內部系統(tǒng)及部門之間連接安全分析和建議 據(jù)統(tǒng)計在互聯(lián)網(wǎng)上 80%的泄密來自于內部網(wǎng)絡，在設計網(wǎng)絡安全結構時，如何防止內部人員的攻擊也是一個很重要的方面，對于某些關鍵部門，如財務部門，可能允許上傳數(shù)據(jù)、提供特定數(shù)據(jù)供指定部門的指定人員查閱。而在目前交易所公司的網(wǎng)絡結構上并未對上述關鍵部門給予應有的特別保護，任何內部工作人員都可以進入關鍵部門的計算機上，獲取機器上的有用信息。 在公司內部如果由對公司不滿的員工，它可以在公司的網(wǎng)絡段中安裝一些偵聽軟件，收集進入重要部門的信息，如：用戶的密碼，重 要的文件，重要的信件等等。 這些偵聽軟件在網(wǎng)上面到處可以免費獲得，所以如果我們沒有很好的防范措施，重要的系統(tǒng)很容易遭到破壞。 a. 在幾個重要部門之間相互通信的接口處添加 VPN 網(wǎng)關。 配置方法：在幾個重要部門的交換機上安裝一個硬件的的 VPN 設備，所有需要到另一個部門的信息都會通過 VPN 網(wǎng)關 ,進行加密，根據(jù) IPSEC 方式，在 IP 包頭添加另一個網(wǎng)段的 VPN網(wǎng)關的 IP 地址。這樣所有的包在到達另一個部門前先需要經過該部門的 VPN 網(wǎng)關的解密。其他特點： VPN 網(wǎng)關會可以在這幾個部門之間相互建立不同的信任關系，建立不同的加密算 法；作用：防止了不滿員工的偵聽，保證了信息傳輸過程中的安全性，提高各個重要部門的安全性等等。 。配置方法：把入侵檢測軟件安裝在某臺空余的電腦上，并且把它與 Hub 相連。作用：它能夠實時的捕獲通過 Hub 的包，并且對包進行分析，通過離線分析模塊與黑客特征庫進行比較看是否有黑客進行攻擊，如果有則會報警，并且會自動對進來的非法包進行阻斷。 ，添加基于主機的入侵檢測軟件。 配置方法：如果需要保護哪臺主機，就在它上面安裝入侵檢測軟件。作用：對重要的文件 進行實時的跟蹤，對用戶的權限、密碼、注冊表文件或 /etc 目錄下的文件、數(shù)據(jù)庫內的數(shù)據(jù)進行保護。 ，配置方法：在文件服務器，群間服務器，網(wǎng)關服務器，客戶機上分別安裝防病毒軟件。作用：防止病毒功過客戶端，文件服務器，全殲服務器，網(wǎng)關服務器進行傳播，有效的防止了這種非技術型的系統(tǒng)破壞。 . 內部用戶通過撥號服務器與遠程用戶進行通信安全優(yōu)化 a..在撥號服務器的網(wǎng)段中再添加一臺身份認證服務器，對通過撥號上來的用戶進行兩次身份認證，并且如果有能力，可以讓每一個撥號用戶配置一個 IC 卡，該卡上的號碼 會根據(jù)身份認證服務器進行更新，用戶必須輸入更新后的密碼才能進入系統(tǒng)。 ，同時限定登入失敗次數(shù)，保持較高的保密性及安全性。 ，看是否有非法用戶進行嘗試性攻擊。 VPN 網(wǎng)關，同時在用戶端添加加密 PC 卡。作用：保證傳輸過程中用戶密碼的保密性，傳輸信息的保密性；把合法地址轉化成了內部地址，大大的提高了內部網(wǎng)絡的安全性；對遠程用戶的訪問進行限制，防止非法用戶的惡意攻擊。 湖南證券股份有限公司網(wǎng)絡安全方案建議書 共 59 頁 第 23 頁 . 外部用戶訪問公司網(wǎng)站安全分析和建議 當外部用戶訪問公司托管的網(wǎng)站服務 器時，因為現(xiàn)在在網(wǎng)站服務器上沒有做任何的防范所以和容易被黑客破壞，當發(fā)生頁面被換成非健康內