【正文】 對于內(nèi)部員工也使用數(shù)字證書來進行身份認(rèn)證，保證每個人擁有適當(dāng)?shù)脑L問權(quán)限，達到管理層面上的網(wǎng)絡(luò)安全。這樣，整個網(wǎng)絡(luò)一直處于熊貓軟件的防護下，而且及時更新病毒庫，如果在管理上能保證不濫用網(wǎng)絡(luò)資源，可以說，整個網(wǎng)絡(luò)對病毒的防范能力是非常高的。 第六節(jié) 網(wǎng)絡(luò)防病毒子系統(tǒng)及其他子系統(tǒng) 網(wǎng)絡(luò)防病毒子系統(tǒng)如下： 防病毒子系統(tǒng)配置說明 在整個證券網(wǎng)絡(luò)中實施熊貓防 病毒軟件。 在辦公網(wǎng)絡(luò)安裝方正 Netinhand 桌面管理軟件，可以大幅度減輕網(wǎng)絡(luò)管理員的日常維護工作。通過 Netinway Pro 產(chǎn)品生成整個網(wǎng)絡(luò)拓?fù)?，對整個證 券網(wǎng)絡(luò)的各個端口的實時狀況、實時流量進行檢測，對于關(guān)鍵的服務(wù)器流量異常時及時報警通知網(wǎng)絡(luò)管理員。 我們在證券公司接入 Inter 的鏈路上配置方正方通 VPN 20xx，在內(nèi)部局域網(wǎng)配置一臺 VPN 控制中心，安裝 VPN 控制中心（ Center 20xx），這個 VPN 控制中心定義每個 VPN客戶端的訪問權(quán)限，可以使不同的 VPN 客戶端擁有不同訪問局域網(wǎng) 的權(quán)限。 方正 Sniper 采用 B/S 的架構(gòu)，在任意的 Windows 環(huán)境下，采用 以上的瀏覽器都可以通過 SSL 連接到 Sniper 服務(wù)器上進行管理，方便可靠。 此外，方正 Sniper 支持 8 塊網(wǎng)卡，我們在中心交換機上配置映射口，使得在影射口上可以監(jiān)聽到交換機上其他所有端口的信息數(shù)據(jù)，從 Sniper 服務(wù)器上另外接出兩塊千兆光纖網(wǎng)卡聯(lián)入總部網(wǎng)絡(luò)的兩個中心交換機的映射口，這樣 內(nèi)部人員互相訪問的數(shù)據(jù)同樣可以通過方正 Sniper 進行監(jiān)視和控制，防止內(nèi)部員工的網(wǎng)絡(luò)攻擊行為和非法訪問行為。在移動辦公人員的計算機上安裝方正 VPN client軟件，無論移動辦公使用 modern 撥號還是用寬帶上網(wǎng)，都可以對公司內(nèi)部局域網(wǎng)進行加密通訊，感覺就像在公司局域網(wǎng)內(nèi)一樣。與銀行的網(wǎng)絡(luò)連接，由于一般使用“銀證通”的系統(tǒng)， PC 服務(wù)器采用雙網(wǎng)卡、硬件隔離卡，同時只能連接在證券公司或者銀行網(wǎng)絡(luò)任意一端，每天結(jié)算一次帳戶信 息，因此可以保證網(wǎng)絡(luò)安全，故不考慮接入防火墻。這時， DMZ區(qū)域中的服務(wù)器就成為了內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)的中間地帶，成為了堡壘主機，可以提 高證券公司內(nèi)部網(wǎng)絡(luò)的安全性，降低安全風(fēng)險。 11） 建立、健全信息安全的管理手段和措施，包括相應(yīng)的安全制度、規(guī)章和慣例等，并指定專人定期進行相關(guān)工作。兩套網(wǎng)管系統(tǒng)互相補充，可以做到網(wǎng)絡(luò)管理最優(yōu)的效果。 6） 在全網(wǎng)實施網(wǎng)絡(luò)防病毒產(chǎn)品，在各個服務(wù)器上安裝熊貓防病毒服務(wù)器版，在各個桌面計算機上配置熊貓網(wǎng)絡(luò)防病毒客戶端產(chǎn)品，通過 Inter 的定期更新病毒庫，保證整個證券網(wǎng)絡(luò)一直保持最新的防病毒能力，不被 最新爆發(fā)的病毒感染。 4） 使用方通防火墻和方正 Sniper 的信息審計功能，建立信息審計和防信息泄漏系統(tǒng)，對主要的網(wǎng)絡(luò)協(xié)議（比如 smtp、 tel 等等）的 網(wǎng)絡(luò)行為進行記錄，供網(wǎng)絡(luò)管理人員進行信息審計。取消所有的 Access Server 聯(lián)入公司局域網(wǎng)的方式，使用虛擬局域網(wǎng)（ VPN）技術(shù)，在移動用戶訪問公司網(wǎng)絡(luò)時，不僅方便使用，而且進行數(shù)據(jù)傳輸加密。 通過部署不同類型的安全產(chǎn)品，實現(xiàn)對不同層次、不同類別網(wǎng)絡(luò)安全問題的防護。隨著今后應(yīng)用的種類和復(fù)雜程度的增加，再在原來基礎(chǔ)防護體系之上，建立增強的安全防護體系。網(wǎng)絡(luò)安全的動態(tài)性是指，網(wǎng)絡(luò)安全是隨著環(huán)境、時間的變化而變化的，在一定環(huán)境下是安全的系統(tǒng)，環(huán)境發(fā)生變化了（如更換了某個機器），原來安全的系統(tǒng)就變的不安全了；在一段時間里安全的系統(tǒng)，時間發(fā)生變化了（如今天是安全的系統(tǒng)，可能因為黑客發(fā)現(xiàn)了某種系統(tǒng)的漏洞，明天就會變的不安全了），原來的系統(tǒng)就會變的不安全。 可評價性原則 ： 如何預(yù)先評價一個安全設(shè)計并驗證其網(wǎng)絡(luò)的安全性，這需要通過國家有關(guān)網(wǎng)絡(luò)信息安全測評認(rèn)證機構(gòu)的評估來實現(xiàn)。但是建立一個多重保護系統(tǒng)，各層保護相互補充，當(dāng)一層保護被攻破時，其它層保護仍可保護信息的安全。網(wǎng)絡(luò)中相同安全級別的保密強度要一致。 計算機網(wǎng)絡(luò)的各個環(huán)節(jié)，包括個人 (使用、維護、管理 )、設(shè)備 (含設(shè)施 )、軟件 (含應(yīng)用系統(tǒng) )、數(shù)據(jù)等，在網(wǎng)絡(luò)安全中的地位和影響作用，也只有從系統(tǒng)整體的角度去看待、分析，才可能得到有效、可行的措施。 安全產(chǎn)品獲得中國信息安全產(chǎn)品測評認(rèn)證中心的測評認(rèn)證。 4) 數(shù)據(jù)庫恢復(fù)小組：負(fù)責(zé)數(shù)據(jù)庫系統(tǒng)的修復(fù)、重起、數(shù)據(jù)恢復(fù)和加載，是數(shù)據(jù)庫系統(tǒng)平穩(wěn)運行起來； 5) 應(yīng)用恢復(fù)小組：負(fù)責(zé)整個應(yīng)用系統(tǒng)的恢復(fù)，為重新業(yè)務(wù)系統(tǒng)開始運行做最后的準(zhǔn)備。平時注意漏洞及其攻擊技術(shù)的發(fā)展情況，及時提出彌補漏洞的措施，如使用最新補丁、改變網(wǎng)絡(luò)拓?fù)洹⒏淖冊O(shè)備配置、升級系統(tǒng)等。 入侵預(yù)警和跟蹤小組：負(fù)責(zé)監(jiān)控整個網(wǎng)絡(luò)的入侵檢測、預(yù)警、跟蹤，估計造成損失的情況，可以選擇中斷服務(wù)等措施以避免更大的損失。信息安全控制中心首先確定公司網(wǎng)絡(luò)安全管理體系等級，建立總的安全管理機制和各級安全管理中心。從全局管理角度來看，我們制訂了 全局的安全管理策略；從技術(shù)管理角度來看，實現(xiàn)安全的配置和管理；從人員管理角度來看，實現(xiàn)統(tǒng)一的用戶角色劃分策略，制定一系列的管理規(guī)范；從資源管理角度來看，實現(xiàn)資源的統(tǒng)一配置和管理。 備份與恢復(fù) 證券公司網(wǎng)絡(luò)的主要設(shè)備、軟件、數(shù)據(jù)、電源等都應(yīng)有備份，并有技術(shù)措施和組織措施能夠在較短時間內(nèi)恢復(fù)系統(tǒng)運行。 （ 2） 為維護系統(tǒng)原有性能，加密和解密的速度足夠快。 信息加密 信息傳輸加密 信息傳輸加密用來防止通信線路上的竊聽、泄漏、篡改和破壞。 身份鑒別 目前每個證券用戶都是通過用戶名和口令登錄，并且都是明文傳輸，密碼容易被人竊取，給證券用戶帶來了一定的風(fēng)險。 審計需求： a) 操作系統(tǒng)：操作系統(tǒng)必須啟動日志與審計的功能。 證券公司網(wǎng)絡(luò)系統(tǒng)中，計算機操作系統(tǒng)、網(wǎng)絡(luò)管理、應(yīng)用系統(tǒng)都應(yīng)具有相應(yīng)的安全審計功能。網(wǎng)絡(luò)防病毒系統(tǒng)可以實時更新病毒庫，網(wǎng)絡(luò)管理員對網(wǎng)絡(luò)中所有計算機均可做到防病毒控制，可以有效阻止網(wǎng)絡(luò)病毒爆發(fā)和泛濫。就算是正版軟件也難保證沒有攜帶計算機病毒的可能性，更不要說盜版軟 件了。對硬盤只在 DOS 下做 FORMAT 格式化是不能去除主引導(dǎo)區(qū)（分區(qū)表）計算機病毒的。 下面總結(jié)出一系列行之有效的 計算機病毒防護 措施供參考。 計算機病毒防治 由于在網(wǎng)絡(luò)環(huán)境下，計算機病毒有不可估量的威脅性和破壞力。對于涉密信息的細(xì)粒度訪問控制，通常針對不同的應(yīng)用系統(tǒng)，結(jié)合訪問控制軟件和身份鑒別措施來實現(xiàn)。 通常將證券公司的重要服務(wù)器所在的子網(wǎng)和重要的業(yè)務(wù)工作子網(wǎng)分別劃分為單獨的安全域。對于各個網(wǎng)絡(luò)設(shè)備（路由器、交換機等等）來說，可以配置和實時狀態(tài)檢測的網(wǎng)管軟件也勢在必行。在通過撥號服務(wù)器進行的訪問中，公司需要可以對撥上來的用戶進行時間、數(shù)據(jù)流量和其他訪問細(xì)節(jié)進行審計和控制。 第三節(jié) 證券行業(yè)網(wǎng)絡(luò)安全需求分析 證券行業(yè)網(wǎng)絡(luò)安全需求總體分析： 證券行業(yè)對安全產(chǎn)品有比較深刻的認(rèn)識，對網(wǎng)絡(luò)安全的重要性也有深刻理解，行業(yè)網(wǎng)絡(luò)安全要求非常高。這些都將給網(wǎng)絡(luò)造成極大的破壞。存有惡意的入侵者便有機會得到入侵的條件。現(xiàn)今借助很多先進技術(shù)，黑客或一些工業(yè)間諜會設(shè)法在線路上做些手腳，獲得在網(wǎng)上傳輸?shù)臄?shù)據(jù)信息，也就造成了泄密。病毒程序可以通過網(wǎng)上下載、電子郵件、使用盜版光盤或軟盤、人為投放等傳播途徑潛入內(nèi)部網(wǎng)。由此就可能存在著：員工有意、無意把硬盤中重要信息目錄共享，長期暴露在網(wǎng)絡(luò)鄰居上，可能被外部人員輕易偷取或被內(nèi)部其他員工竊取并傳播出去造成泄密，因為缺少必要的訪問控制策略。應(yīng)用的安全性也是動態(tài)的。如果進行安全配置，比如：填補安全漏洞，關(guān)閉一些不常用的服務(wù)，禁止開放一些不常用而又比較敏感的端口等，那么入侵者要成功進入內(nèi)部網(wǎng)就會難得多，這需要相當(dāng)高的技術(shù)水平及相當(dāng)長時間。目前的操作系統(tǒng)或應(yīng)用系統(tǒng)無論是 Windows 還是其它任何商用 Unix、 Linux 操作系統(tǒng)以及其它廠商開發(fā)的應(yīng)用系統(tǒng)，其開發(fā)廠商必然有其 BackDoor。 內(nèi)部局域網(wǎng)的安全威脅 據(jù)調(diào)查在已有的網(wǎng)絡(luò)安全攻擊事件中約 70%是來自內(nèi)部網(wǎng)絡(luò)的侵犯。 如果系統(tǒng)內(nèi)部局域網(wǎng)絡(luò)與系統(tǒng)外部網(wǎng)絡(luò)間沒有采取一定的安全防護措施，內(nèi)部網(wǎng)絡(luò)容易造到來自外網(wǎng)一些不懷好意的入侵者的攻擊。因為，每天黑客都在試圖闖入 Inter 節(jié)點，假如我們的網(wǎng)絡(luò)不保持警惕，可能連 黑客怎么闖入的都不知道，甚至?xí)蔀楹诳腿肭制渌W(wǎng)絡(luò)的跳板。因此，對于證券行業(yè)這種帶有重要資金、帳戶信息傳輸?shù)木W(wǎng)絡(luò)，數(shù)據(jù)在公共鏈路上傳輸最好加密。而這些風(fēng)險與網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)和系統(tǒng)的應(yīng)用等因素密切相關(guān)?？偛烤W(wǎng)絡(luò)一般劃分為辦公網(wǎng)絡(luò)和業(yè)務(wù)網(wǎng)絡(luò)兩部分。遠(yuǎn)程的營業(yè)部和交易所采用各種廣域網(wǎng)方式接如總部網(wǎng)絡(luò)。 具體典型拓?fù)淙缦拢? 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)說明 如上圖所示，整個證券公司網(wǎng)絡(luò)采用分層設(shè)計，可分為兩層： 核心層 ：由高性能的中心三層交換機、數(shù)據(jù)庫磁盤陣列、業(yè)務(wù)服務(wù)器構(gòu)成網(wǎng)絡(luò)核心層（ 數(shù)據(jù)中心），主干網(wǎng)絡(luò)采用千兆以太網(wǎng)，保證了網(wǎng)絡(luò)性能。 方正軟件通過自身的研發(fā)以及與國內(nèi)外著名 IT 公司的合作，形成了方正信息安全與網(wǎng)絡(luò)管理系統(tǒng)及方正中小企業(yè)電子商務(wù)應(yīng)用系統(tǒng)二大產(chǎn)品線。網(wǎng)絡(luò)擴