【導(dǎo)讀】網(wǎng)絡(luò)安全及網(wǎng)絡(luò)管理解決方案。上海方正科技軟件有限公司

　　

【正文】 證書（ CA）系統(tǒng)，對(duì)于用戶和股民發(fā)放 USB證書，保證擁有證書的人員才能夠正常交易，使數(shù)據(jù)篡改不可進(jìn)行，并使數(shù)據(jù)擁有不可抵賴性。 11） 建立、健全信息安全的管理手段和措施，包括相應(yīng)的安全制度、規(guī)章和慣例等，并指定專人定期進(jìn)行相關(guān)工作。 第二節(jié) 防火墻子系統(tǒng) 防火墻子系統(tǒng)如 下： 防火墻配置說明 對(duì)于證券總部網(wǎng)絡(luò)與所有外網(wǎng)連接出口，都需要使用防火墻進(jìn)行防護(hù)。在此拓?fù)浣Y(jié)構(gòu)下，總部網(wǎng)絡(luò)需要 3 臺(tái)防火墻和一臺(tái) VPN 對(duì)所有出口進(jìn)行防護(hù)。由于在聯(lián)入 Inter 的鏈路上危險(xiǎn)性最大，我們建議在防火墻的 DMZ（非軍事化區(qū)域）內(nèi)接入內(nèi)部系統(tǒng)的郵件代理服務(wù)器、 Web 代理服務(wù)器等等，并在防火墻上配置規(guī)則，保證外部因特網(wǎng)只能訪問 DMZ 區(qū)域中的服務(wù)器的相關(guān)服務(wù)，內(nèi)部網(wǎng)絡(luò)也只能訪問 DMZ 區(qū)域中的服務(wù)器的相關(guān)服務(wù)。這時(shí)， DMZ區(qū)域中的服務(wù)器就成為了內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)的中間地帶，成為了堡壘主機(jī)，可以提 高證券公司內(nèi)部網(wǎng)絡(luò)的安全性，降低安全風(fēng)險(xiǎn)。 在公司和證交所網(wǎng)絡(luò)、本地營業(yè)部、外地營業(yè)部之間的數(shù)據(jù)鏈路中，配置接入防火墻。主要作用是使外部網(wǎng)絡(luò)只有經(jīng)過了防火墻授權(quán)的數(shù)據(jù)流量才能進(jìn)入公司內(nèi)部局域網(wǎng)。對(duì)于正常的證券業(yè)務(wù)流量，防火墻允許進(jìn)行數(shù)據(jù)交換，此外的數(shù)據(jù)流量通過防火墻的安全規(guī)則予以阻斷，這樣既提高了安全性又阻止了無關(guān)流量，也杜絕了局部的病毒擴(kuò)散到整個(gè)證券公司的網(wǎng)絡(luò)中。與銀行的網(wǎng)絡(luò)連接，由于一般使用“銀證通”的系統(tǒng)， PC 服務(wù)器采用雙網(wǎng)卡、硬件隔離卡，同時(shí)只能連接在證券公司或者銀行網(wǎng)絡(luò)任意一端，每天結(jié)算一次帳戶信 息，因此可以保證網(wǎng)絡(luò)安全，故不考慮接入防火墻。 在各地的營業(yè)所的路由器后，接入方通防火墻，這些防火墻主要起隔離作用，同樣設(shè)置對(duì)保護(hù)對(duì)象（各地營業(yè)所網(wǎng)絡(luò)）的訪問只允許證券業(yè)務(wù)數(shù)據(jù)通過，其他無關(guān)通訊流量通過防火墻安全規(guī)則予以阻斷。 由于每個(gè)營業(yè)所計(jì)算機(jī)點(diǎn)數(shù)不會(huì)很多，建議使用方通防火墻 100 型號(hào)；由于各地營業(yè)所均與在總部通訊，因此與證交所網(wǎng)絡(luò)、本地營業(yè)部、外地營業(yè)部連接線路的路由器后接入方通防火墻 1000 型號(hào)；在與 Inter 網(wǎng)絡(luò)連接的網(wǎng)絡(luò)中，我們建議接入方通 VPN20xx，方通VPN20xx 不僅帶有防火墻功 能，而且?guī)в袕?qiáng)大的 VPN 功能。我們?cè)诳偛烤W(wǎng)絡(luò)中建立一個(gè)VPN 控制中心，安裝方正的 Center 20xxVPN 控制中心，這樣 VPN 控制中心可以對(duì)以上所有的防火墻進(jìn)行配置并對(duì) VPN 進(jìn)行管理。在移動(dòng)辦公人員的計(jì)算機(jī)上安裝方正 VPN client軟件，無論移動(dòng)辦公使用 modern 撥號(hào)還是用寬帶上網(wǎng)，都可以對(duì)公司內(nèi)部局域網(wǎng)進(jìn)行加密通訊，感覺就像在公司局域網(wǎng)內(nèi)一樣。 第三節(jié) 入侵檢測(cè)與信息監(jiān)控 子系統(tǒng) 入侵檢測(cè)與信息監(jiān)控 子系統(tǒng)如下： 入侵檢測(cè)與信息監(jiān)控配置說明 在方正方通 VPN20xx 設(shè)備上的黑區(qū)（注：黑區(qū)是防 火墻其余端口的映射口）上接入方正 Sniper 入侵檢測(cè)設(shè)備。方正 Sniper 入侵檢測(cè)設(shè)備是專業(yè)的入侵檢測(cè)設(shè)備，它可以對(duì)各種入侵行為作出反應(yīng)，而且和方通防火墻聯(lián)通良好。一旦 Sniper 發(fā)現(xiàn)有來自 Inter 的入侵行為存在，它會(huì)通過黑區(qū)口告知防火墻生成臨時(shí)規(guī)則阻止這部分非法數(shù)據(jù)流量，使得黑客無從下手。 此外，方正 Sniper 支持 8 塊網(wǎng)卡，我們?cè)谥行慕粨Q機(jī)上配置映射口，使得在影射口上可以監(jiān)聽到交換機(jī)上其他所有端口的信息數(shù)據(jù)，從 Sniper 服務(wù)器上另外接出兩塊千兆光纖網(wǎng)卡聯(lián)入總部網(wǎng)絡(luò)的兩個(gè)中心交換機(jī)的映射口，這樣 內(nèi)部人員互相訪問的數(shù)據(jù)同樣可以通過方正 Sniper 進(jìn)行監(jiān)視和控制，防止內(nèi)部員工的網(wǎng)絡(luò)攻擊行為和非法訪問行為。 方正 Sniper 是一個(gè)網(wǎng)絡(luò)行為的監(jiān)視響應(yīng)行為，在進(jìn)行入侵檢測(cè)工作的同時(shí)，可以對(duì)常用的協(xié)議（比如 smtp、 ftp、 tel 等等）進(jìn)行監(jiān)控。我們可以借助方正 Sniper 建立證券網(wǎng)絡(luò)內(nèi)部的信息審計(jì)系統(tǒng)，可以記錄下所有網(wǎng)絡(luò)上的 數(shù)據(jù)、 tel 數(shù)據(jù)、共享文件夾訪問情況和 Inter 訪問情況等等，使網(wǎng)絡(luò)管理人員能清楚地了解網(wǎng)絡(luò)實(shí)際運(yùn)行情況，并審計(jì)網(wǎng)絡(luò)數(shù)據(jù)流，防止信息泄漏和垃圾郵件、騷擾郵件地 濫發(fā)。方正 Sniper 可以做到對(duì) Inter 的訪問控制（ URL 控制），可以幫助網(wǎng)絡(luò)管理人員控制網(wǎng)絡(luò)使用，杜絕員工上班時(shí)間訪問與工作無關(guān)的網(wǎng)站（例如游戲、色情、聊天網(wǎng)站等等）。 方正 Sniper 采用 B/S 的架構(gòu)，在任意的 Windows 環(huán)境下，采用 以上的瀏覽器都可以通過 SSL 連接到 Sniper 服務(wù)器上進(jìn)行管理，方便可靠。 第四節(jié) VPN 子系統(tǒng) VPN 子系統(tǒng)如下： VPN 子系統(tǒng)配置說明 證券公司有些員工在出差的時(shí)候需要訪問公司內(nèi)部局域網(wǎng)，可以通過撥號(hào)服務(wù)器進(jìn)行接入。但是，這些移動(dòng)辦公人員的數(shù) 據(jù)在公網(wǎng)上傳輸會(huì)帶來很大的安全隱患，為了防止數(shù)據(jù)被竊聽和篡改，我們使用方正 VPN 作為解決方法。方正 VPN（虛擬局域網(wǎng)）不僅對(duì)數(shù)據(jù)進(jìn)行加密，而且可以是在外工作的員工感覺就像在公司局域網(wǎng)內(nèi)部一樣，可以訪問經(jīng)過授權(quán)的局域網(wǎng)內(nèi)的任何網(wǎng)絡(luò)資源，給在外的員工帶來了極大的方便。 我們?cè)谧C券公司接入 Inter 的鏈路上配置方正方通 VPN 20xx，在內(nèi)部局域網(wǎng)配置一臺(tái) VPN 控制中心，安裝 VPN 控制中心（ Center 20xx），這個(gè) VPN 控制中心定義每個(gè) VPN客戶端的訪問權(quán)限，可以使不同的 VPN 客戶端擁有不同訪問局域網(wǎng) 的權(quán)限。這樣，給移動(dòng)辦公帶來方便的同時(shí)，也根據(jù)不同用戶可以訪問不同網(wǎng)絡(luò)資源的原則，從管理上提高了整個(gè)證券網(wǎng)絡(luò)的安全性。 第五節(jié) 網(wǎng)絡(luò)管理子系統(tǒng) 網(wǎng)絡(luò)管理子系統(tǒng)如下： 網(wǎng)絡(luò)管理子系統(tǒng)配置說明： 在網(wǎng)絡(luò)中心建立網(wǎng)絡(luò)管理中心，配置網(wǎng)管服務(wù)器，安裝方正 Netinway Pro產(chǎn)品。 Netinway Pro 是基于標(biāo)準(zhǔn) SNMP（簡單網(wǎng)絡(luò)管理協(xié)議）的網(wǎng)絡(luò)管理軟件，功能非常強(qiáng)大，可以了解大規(guī)模網(wǎng)絡(luò)中網(wǎng)絡(luò)設(shè)備和計(jì)算機(jī)實(shí)時(shí)的狀況，并針對(duì)各個(gè)級(jí)別的故障作出反應(yīng)。通過 Netinway Pro 產(chǎn)品生成整個(gè)網(wǎng)絡(luò)拓?fù)?，?duì)整個(gè)證 券網(wǎng)絡(luò)的各個(gè)端口的實(shí)時(shí)狀況、實(shí)時(shí)流量進(jìn)行檢測(cè)，對(duì)于關(guān)鍵的服務(wù)器流量異常時(shí)及時(shí)報(bào)警通知網(wǎng)絡(luò)管理員。對(duì)于整個(gè)網(wǎng)絡(luò)目前鏈路的情況也可以通過網(wǎng)管軟件實(shí)時(shí)了解情況。 由于證券網(wǎng)絡(luò)中設(shè)備大多數(shù)屬于 Cisco 設(shè)備，因此建議同時(shí)使用 Cisco Works 20xx 軟件， Works 20xx 可以對(duì)數(shù)據(jù)線路的情況做實(shí)時(shí)的檢測(cè)，而且也可以對(duì) Cisco 設(shè)備做細(xì)致的配置工作。兩套網(wǎng)管系統(tǒng)互相補(bǔ)充，可以做到網(wǎng)絡(luò)管理最優(yōu)的效果。 在辦公網(wǎng)絡(luò)安裝方正 Netinhand 桌面管理軟件，可以大幅度減輕網(wǎng)絡(luò)管理員的日常維護(hù)工作。方正 Netinhand 提供系統(tǒng)和數(shù)據(jù)存儲(chǔ)備份還原功能，使得在系統(tǒng)出現(xiàn)問題，重要文件丟失的情況下，可以通過 Netinhand 進(jìn)行系統(tǒng)和數(shù)據(jù)還原。 Netinhand 還可以讓管理員在管理端通過抓取客戶端計(jì)算機(jī)的界面直接操作客戶端計(jì)算機(jī)，達(dá)到遠(yuǎn)程控制的目的。同時(shí)，Netinhand 擁有強(qiáng)大的資產(chǎn)管理功能，可以收集到客戶端計(jì)算機(jī)上裝有的軟件列表和硬件信息，并生成完善的報(bào)表，成為資產(chǎn)審計(jì)部門不可或缺的 IT 資產(chǎn)管理工具。 第六節(jié) 網(wǎng)絡(luò)防病毒子系統(tǒng)及其他子系統(tǒng) 網(wǎng)絡(luò)防病毒子系統(tǒng)如下： 防病毒子系統(tǒng)配置說明 在整個(gè)證券網(wǎng)絡(luò)中實(shí)施熊貓防 病毒軟件。我們?cè)诜酵?VPN20xx 的 DMZ 區(qū)域中設(shè)立一個(gè)防病毒的代理服務(wù)器，它的主要作用就是自動(dòng)定期（每天）到熊貓的網(wǎng)站下去下載最新的病毒庫升級(jí)文件，并把自身的病毒庫升級(jí)為最新。在整個(gè)證券網(wǎng)絡(luò)內(nèi)部，都是指定這臺(tái)防病毒代理服務(wù)器為升級(jí)病毒庫服務(wù)器，也是每天把整個(gè)證券網(wǎng)絡(luò)中的所有服務(wù)器和桌面 PC 升級(jí)到最新版本。其中，在內(nèi)部局域網(wǎng)中，設(shè)立一臺(tái)防病毒的分發(fā)和控制服務(wù)器，安裝熊貓防病毒軟件的主控端（熊貓管理員 Panda Administrator），其主要作用是進(jìn)行防病毒軟件分發(fā)和作為了解網(wǎng)絡(luò)內(nèi)部查殺病毒情況的服務(wù)器 。這樣，整個(gè)網(wǎng)絡(luò)一直處于熊貓軟件的防護(hù)下，而且及時(shí)更新病毒庫，如果在管理上能保證不濫用網(wǎng)絡(luò)資源，可以說，整個(gè)網(wǎng)絡(luò)對(duì)病毒的防范能力是非常高的。防病毒服務(wù)器同時(shí)也可以作為整個(gè)辦公網(wǎng)絡(luò)的域服務(wù)器，其他計(jì)算機(jī)在開機(jī)的同時(shí)使用各自的域用戶進(jìn)行域登錄，這樣通過 Windows 的 Active Directory 對(duì)每個(gè)用戶對(duì)網(wǎng)絡(luò)資源訪問權(quán)限進(jìn)行定義，會(huì)達(dá)到更好的效果。 每個(gè)操作系統(tǒng)、應(yīng)用程序（數(shù)據(jù)庫）、防火墻、入侵檢測(cè)系統(tǒng)和網(wǎng)管軟件都擁有自己的日志審計(jì)系統(tǒng)，每個(gè)都記錄下來了很多有用的信息，網(wǎng)絡(luò)管理人員應(yīng)該定期地仔細(xì)查看審計(jì)各 個(gè)系統(tǒng)的日志信息，分析出可能存在的問題，通過修改各個(gè)系統(tǒng)的配置來達(dá)到性能的最優(yōu)化。 如果證券系統(tǒng)開通了網(wǎng)上交易，我們建議在總部建立一個(gè) CA（證書服務(wù)）服務(wù)器，對(duì)每個(gè)可以網(wǎng)上交易的客戶發(fā)放一個(gè) USB 證書，在使用口令和密碼保護(hù)的同時(shí)，使用 USB key進(jìn)行身份認(rèn)證，保證交易不可抵賴和不被篡改。對(duì)于內(nèi)部員工也使用數(shù)字證書來進(jìn)行身份認(rèn)證，保證每個(gè)人擁有適當(dāng)?shù)脑L問權(quán)限，達(dá)到管理層面上的網(wǎng)絡(luò)安全。