【導讀】網絡安全及網絡管理解決方案。上海方正科技軟件有限公司

　　

【正文】 證書（ CA）系統，對于用戶和股民發(fā)放 USB證書，保證擁有證書的人員才能夠正常交易，使數據篡改不可進行，并使數據擁有不可抵賴性。 11） 建立、健全信息安全的管理手段和措施，包括相應的安全制度、規(guī)章和慣例等，并指定專人定期進行相關工作。 第二節(jié) 防火墻子系統 防火墻子系統如 下： 防火墻配置說明 對于證券總部網絡與所有外網連接出口，都需要使用防火墻進行防護。在此拓撲結構下，總部網絡需要 3 臺防火墻和一臺 VPN 對所有出口進行防護。由于在聯入 Inter 的鏈路上危險性最大，我們建議在防火墻的 DMZ（非軍事化區(qū)域）內接入內部系統的郵件代理服務器、 Web 代理服務器等等，并在防火墻上配置規(guī)則，保證外部因特網只能訪問 DMZ 區(qū)域中的服務器的相關服務，內部網絡也只能訪問 DMZ 區(qū)域中的服務器的相關服務。這時， DMZ區(qū)域中的服務器就成為了內部網絡和外部網絡的中間地帶，成為了堡壘主機，可以提 高證券公司內部網絡的安全性，降低安全風險。 在公司和證交所網絡、本地營業(yè)部、外地營業(yè)部之間的數據鏈路中，配置接入防火墻。主要作用是使外部網絡只有經過了防火墻授權的數據流量才能進入公司內部局域網。對于正常的證券業(yè)務流量，防火墻允許進行數據交換，此外的數據流量通過防火墻的安全規(guī)則予以阻斷，這樣既提高了安全性又阻止了無關流量，也杜絕了局部的病毒擴散到整個證券公司的網絡中。與銀行的網絡連接，由于一般使用“銀證通”的系統， PC 服務器采用雙網卡、硬件隔離卡，同時只能連接在證券公司或者銀行網絡任意一端，每天結算一次帳戶信 息，因此可以保證網絡安全，故不考慮接入防火墻。 在各地的營業(yè)所的路由器后，接入方通防火墻，這些防火墻主要起隔離作用，同樣設置對保護對象（各地營業(yè)所網絡）的訪問只允許證券業(yè)務數據通過，其他無關通訊流量通過防火墻安全規(guī)則予以阻斷。 由于每個營業(yè)所計算機點數不會很多，建議使用方通防火墻 100 型號；由于各地營業(yè)所均與在總部通訊，因此與證交所網絡、本地營業(yè)部、外地營業(yè)部連接線路的路由器后接入方通防火墻 1000 型號；在與 Inter 網絡連接的網絡中，我們建議接入方通 VPN20xx，方通VPN20xx 不僅帶有防火墻功 能，而且?guī)в袕姶蟮?VPN 功能。我們在總部網絡中建立一個VPN 控制中心，安裝方正的 Center 20xxVPN 控制中心，這樣 VPN 控制中心可以對以上所有的防火墻進行配置并對 VPN 進行管理。在移動辦公人員的計算機上安裝方正 VPN client軟件，無論移動辦公使用 modern 撥號還是用寬帶上網，都可以對公司內部局域網進行加密通訊，感覺就像在公司局域網內一樣。 第三節(jié) 入侵檢測與信息監(jiān)控 子系統 入侵檢測與信息監(jiān)控 子系統如下： 入侵檢測與信息監(jiān)控配置說明 在方正方通 VPN20xx 設備上的黑區(qū)（注：黑區(qū)是防 火墻其余端口的映射口）上接入方正 Sniper 入侵檢測設備。方正 Sniper 入侵檢測設備是專業(yè)的入侵檢測設備，它可以對各種入侵行為作出反應，而且和方通防火墻聯通良好。一旦 Sniper 發(fā)現有來自 Inter 的入侵行為存在，它會通過黑區(qū)口告知防火墻生成臨時規(guī)則阻止這部分非法數據流量，使得黑客無從下手。 此外，方正 Sniper 支持 8 塊網卡，我們在中心交換機上配置映射口，使得在影射口上可以監(jiān)聽到交換機上其他所有端口的信息數據，從 Sniper 服務器上另外接出兩塊千兆光纖網卡聯入總部網絡的兩個中心交換機的映射口，這樣 內部人員互相訪問的數據同樣可以通過方正 Sniper 進行監(jiān)視和控制，防止內部員工的網絡攻擊行為和非法訪問行為。 方正 Sniper 是一個網絡行為的監(jiān)視響應行為，在進行入侵檢測工作的同時，可以對常用的協議（比如 smtp、 ftp、 tel 等等）進行監(jiān)控。我們可以借助方正 Sniper 建立證券網絡內部的信息審計系統，可以記錄下所有網絡上的 數據、 tel 數據、共享文件夾訪問情況和 Inter 訪問情況等等，使網絡管理人員能清楚地了解網絡實際運行情況，并審計網絡數據流，防止信息泄漏和垃圾郵件、騷擾郵件地 濫發(fā)。方正 Sniper 可以做到對 Inter 的訪問控制（ URL 控制），可以幫助網絡管理人員控制網絡使用，杜絕員工上班時間訪問與工作無關的網站（例如游戲、色情、聊天網站等等）。 方正 Sniper 采用 B/S 的架構，在任意的 Windows 環(huán)境下，采用 以上的瀏覽器都可以通過 SSL 連接到 Sniper 服務器上進行管理，方便可靠。 第四節(jié) VPN 子系統 VPN 子系統如下： VPN 子系統配置說明 證券公司有些員工在出差的時候需要訪問公司內部局域網，可以通過撥號服務器進行接入。但是，這些移動辦公人員的數 據在公網上傳輸會帶來很大的安全隱患，為了防止數據被竊聽和篡改，我們使用方正 VPN 作為解決方法。方正 VPN（虛擬局域網）不僅對數據進行加密，而且可以是在外工作的員工感覺就像在公司局域網內部一樣，可以訪問經過授權的局域網內的任何網絡資源，給在外的員工帶來了極大的方便。 我們在證券公司接入 Inter 的鏈路上配置方正方通 VPN 20xx，在內部局域網配置一臺 VPN 控制中心，安裝 VPN 控制中心（ Center 20xx），這個 VPN 控制中心定義每個 VPN客戶端的訪問權限，可以使不同的 VPN 客戶端擁有不同訪問局域網 的權限。這樣，給移動辦公帶來方便的同時，也根據不同用戶可以訪問不同網絡資源的原則，從管理上提高了整個證券網絡的安全性。 第五節(jié) 網絡管理子系統 網絡管理子系統如下： 網絡管理子系統配置說明： 在網絡中心建立網絡管理中心，配置網管服務器，安裝方正 Netinway Pro產品。 Netinway Pro 是基于標準 SNMP（簡單網絡管理協議）的網絡管理軟件，功能非常強大，可以了解大規(guī)模網絡中網絡設備和計算機實時的狀況，并針對各個級別的故障作出反應。通過 Netinway Pro 產品生成整個網絡拓撲，對整個證 券網絡的各個端口的實時狀況、實時流量進行檢測，對于關鍵的服務器流量異常時及時報警通知網絡管理員。對于整個網絡目前鏈路的情況也可以通過網管軟件實時了解情況。 由于證券網絡中設備大多數屬于 Cisco 設備，因此建議同時使用 Cisco Works 20xx 軟件， Works 20xx 可以對數據線路的情況做實時的檢測，而且也可以對 Cisco 設備做細致的配置工作。兩套網管系統互相補充，可以做到網絡管理最優(yōu)的效果。 在辦公網絡安裝方正 Netinhand 桌面管理軟件，可以大幅度減輕網絡管理員的日常維護工作。方正 Netinhand 提供系統和數據存儲備份還原功能，使得在系統出現問題，重要文件丟失的情況下，可以通過 Netinhand 進行系統和數據還原。 Netinhand 還可以讓管理員在管理端通過抓取客戶端計算機的界面直接操作客戶端計算機，達到遠程控制的目的。同時，Netinhand 擁有強大的資產管理功能，可以收集到客戶端計算機上裝有的軟件列表和硬件信息，并生成完善的報表，成為資產審計部門不可或缺的 IT 資產管理工具。 第六節(jié) 網絡防病毒子系統及其他子系統 網絡防病毒子系統如下： 防病毒子系統配置說明 在整個證券網絡中實施熊貓防 病毒軟件。我們在方通 VPN20xx 的 DMZ 區(qū)域中設立一個防病毒的代理服務器，它的主要作用就是自動定期（每天）到熊貓的網站下去下載最新的病毒庫升級文件，并把自身的病毒庫升級為最新。在整個證券網絡內部，都是指定這臺防病毒代理服務器為升級病毒庫服務器，也是每天把整個證券網絡中的所有服務器和桌面 PC 升級到最新版本。其中，在內部局域網中，設立一臺防病毒的分發(fā)和控制服務器，安裝熊貓防病毒軟件的主控端（熊貓管理員 Panda Administrator），其主要作用是進行防病毒軟件分發(fā)和作為了解網絡內部查殺病毒情況的服務器 。這樣，整個網絡一直處于熊貓軟件的防護下，而且及時更新病毒庫，如果在管理上能保證不濫用網絡資源，可以說，整個網絡對病毒的防范能力是非常高的。防病毒服務器同時也可以作為整個辦公網絡的域服務器，其他計算機在開機的同時使用各自的域用戶進行域登錄，這樣通過 Windows 的 Active Directory 對每個用戶對網絡資源訪問權限進行定義，會達到更好的效果。 每個操作系統、應用程序（數據庫）、防火墻、入侵檢測系統和網管軟件都擁有自己的日志審計系統，每個都記錄下來了很多有用的信息，網絡管理人員應該定期地仔細查看審計各 個系統的日志信息，分析出可能存在的問題，通過修改各個系統的配置來達到性能的最優(yōu)化。 如果證券系統開通了網上交易，我們建議在總部建立一個 CA（證書服務）服務器，對每個可以網上交易的客戶發(fā)放一個 USB 證書，在使用口令和密碼保護的同時，使用 USB key進行身份認證，保證交易不可抵賴和不被篡改。對于內部員工也使用數字證書來進行身份認證，保證每個人擁有適當的訪問權限，達到管理層面上的網絡安全。