【正文】 。如果證券系統(tǒng)開通了網上交易，我們建議在總部建立一個CA（證書服務）服務器，對每個可以網上交易的客戶發(fā)放一個USB證書，在使用口令和密碼保護的同時，使用USB key進行身份認證，保證交易不可抵賴和不被篡改。防病毒服務器同時也可以作為整個辦公網絡的域服務器，其他計算機在開機的同時使用各自的域用戶進行域登錄，這樣通過Windows的Active Directory對每個用戶對網絡資源訪問權限進行定義，會達到更好的效果。其中，在內部局域網中，設立一臺防病毒的分發(fā)和控制服務器，安裝熊貓防病毒軟件的主控端（熊貓管理員Panda Administrator），其主要作用是進行防病毒軟件分發(fā)和作為了解網絡內部查殺病毒情況的服務器。我們在方通VPN2000的DMZ區(qū)域中設立一個防病毒的代理服務器，它的主要作用就是自動定期（每天）到熊貓的網站下去下載最新的病毒庫升級文件，并把自身的病毒庫升級為最新。同時，Netinhand擁有強大的資產管理功能，可以收集到客戶端計算機上裝有的軟件列表和硬件信息，并生成完善的報表，成為資產審計部門不可或缺的IT資產管理工具。方正Netinhand提供系統(tǒng)和數據存儲備份還原功能，使得在系統(tǒng)出現問題，重要文件丟失的情況下，可以通過Netinhand進行系統(tǒng)和數據還原。兩套網管系統(tǒng)互相補充，可以做到網絡管理最優(yōu)的效果。對于整個網絡目前鏈路的情況也可以通過網管軟件實時了解情況。Netinway Pro是基于標準SNMP（簡單網絡管理協(xié)議）的網絡管理軟件，功能非常強大，可以了解大規(guī)模網絡中網絡設備和計算機實時的狀況，并針對各個級別的故障作出反應。這樣，給移動辦公帶來方便的同時，也根據不同用戶可以訪問不同網絡資源的原則，從管理上提高了整個證券網絡的安全性。方正VPN（虛擬局域網）不僅對數據進行加密，而且可以是在外工作的員工感覺就像在公司局域網內部一樣，可以訪問經過授權的局域網內的任何網絡資源，給在外的員工帶來了極大的方便。第四節(jié) VPN子系統(tǒng)VPN子系統(tǒng)如下：VPN子系統(tǒng)配置說明證券公司有些員工在出差的時候需要訪問公司內部局域網，可以通過撥號服務器進行接入。方正Sniper可以做到對Internet的訪問控制（URL控制），可以幫助網絡管理人員控制網絡使用，杜絕員工上班時間訪問與工作無關的網站（例如游戲、色情、聊天網站等等）。方正Sniper是一個網絡行為的監(jiān)視響應行為，在進行入侵檢測工作的同時，可以對常用的協(xié)議（比如smtp、ftp、telnet等等）進行監(jiān)控。一旦Sniper發(fā)現有來自Internet的入侵行為存在，它會通過黑區(qū)口告知防火墻生成臨時規(guī)則阻止這部分非法數據流量，使得黑客無從下手。第三節(jié) 入侵檢測與信息監(jiān)控子系統(tǒng)入侵檢測與信息監(jiān)控子系統(tǒng)如下：入侵檢測與信息監(jiān)控配置說明在方正方通VPN2000設備上的黑區(qū)（注：黑區(qū)是防火墻其余端口的映射口）上接入方正Sniper入侵檢測設備。我們在總部網絡中建立一個VPN控制中心，安裝方正的Center 2000VPN控制中心，這樣VPN控制中心可以對以上所有的防火墻進行配置并對VPN進行管理。在各地的營業(yè)所的路由器后，接入方通防火墻，這些防火墻主要起隔離作用，同樣設置對保護對象（各地營業(yè)所網絡）的訪問只允許證券業(yè)務數據通過，其他無關通訊流量通過防火墻安全規(guī)則予以阻斷。對于正常的證券業(yè)務流量，防火墻允許進行數據交換，此外的數據流量通過防火墻的安全規(guī)則予以阻斷，這樣既提高了安全性又阻止了無關流量，也杜絕了局部的病毒擴散到整個證券公司的網絡中。在公司和證交所網絡、本地營業(yè)部、外地營業(yè)部之間的數據鏈路中，配置接入防火墻。由于在聯入Internet的鏈路上危險性最大，我們建議在防火墻的DMZ（非軍事化區(qū)域）內接入內部系統(tǒng)的郵件代理服務器、Web代理服務器等等，并在防火墻上配置規(guī)則，保證外部因特網只能訪問DMZ區(qū)域中的服務器的相關服務，內部網絡也只能訪問DMZ區(qū)域中的服務器的相關服務。第二節(jié) 防火墻子系統(tǒng)防火墻子系統(tǒng)如下：防火墻配置說明對于證券總部網絡與所有外網連接出口，都需要使用防火墻進行防護。10） 如果需要，建議在證券網絡中建立證書（CA）系統(tǒng)，對于用戶和股民發(fā)放USB證書，保證擁有證書的人員才能夠正常交易，使數據篡改不可進行，并使數據擁有不可抵賴性。8） 在辦公網絡安裝方正Netinhand桌面管理軟件，可以大幅度減輕網絡管理員的日常維護工作，不僅可以提供系統(tǒng)和數據存儲還原功能，還可以讓管理員在管理端任意配置客戶端計算機。由于證券網絡中設備大多數屬于Cisco設備，因此建議同時使用Cisco Works 2000軟件，這套軟件可以對數據線路的情況做實時的檢測，而且也可以對Cisco設備做細致的配置工作。7） 在網絡中心建立網絡管理服務器，使用方正Netinway Pro產品對整個證券網絡的目前各個端口的狀況、實時流量做到心里有數，對于關鍵的服務器流量異常時報警通知網絡管理員。5） 對于來自Internet的網絡入侵攻擊行為，通過接在方通防火墻黑區(qū)口的方正入侵檢測設備進行識別，并通過防火墻聯動進行防護。對一些比較敏感的協(xié)議（比如FTP），可以通過Sniper進行控制。3） 在方通VPN 2000的黑區(qū)（可以監(jiān)控進出防火墻數據的端口）處接入Founder Sniper入侵監(jiān)測產品，對所有訪問Internet的數據流量進行監(jiān)聽和控制，這臺Founder Sniper另外兩個監(jiān)聽口聯入主干交換機，對整個網絡的數據流量進行監(jiān)控，如果發(fā)現內部員工的非法訪問和網絡攻擊行為，及時進行報警和預先設定好的策略進行響應。2） 在公司總部和各地營業(yè)部連接的路由器之后接入防火墻，保證各地營業(yè)部聯入總部的數據是網絡安全管理員認為合法的，其他非法的數據流量通過防火墻進行硬件阻斷。1） 在證券總部聯入Internet出口處配置一臺方通VPN2000防火墻，在公司內部放置一臺服務器做VPN設置的管理中心，同時也是系統(tǒng)中所有防火墻的配置中心和安全管理中心（配置方正Center 2000管理軟件）。證券網絡總部是一個信息點較為密集的局域網網絡系統(tǒng)，本方案針對證券行業(yè)現狀，不僅考慮防范來自總部局域網以外的攻擊，同時考慮防范系統(tǒng)內部可能發(fā)生的攻擊，嚴格保障證券網絡內部關鍵節(jié)點的安全，從而較為有效地保障整個系統(tǒng)的安全，通過對證券網絡進行網絡風險分析和評估，結合適度的經費預算及未來的網絡安全的動態(tài)性，我們進行如下方案設計。我們將證券網絡網絡安全的層次劃分為五層：物理層安全、網絡層安全、系統(tǒng)層安全、應用層安全、安全管理。 對于證券網絡安全體系的建立，我們建議采取以上的原則，先對整個網絡進行整體的安全規(guī)劃，然后根據實際狀況建立一個從防護檢測響應的基礎的安全防護體系，提高整個網絡基礎的安全性，保證應用系統(tǒng)的安全性。具體而言，我們可以先對網絡做一個比較全面的安全體系規(guī)劃，然后，根據我們網絡的實際應用狀況，先建立一個基礎的安全防護體系，保證基本的、應有的安全性。所以，建立網絡安全系統(tǒng)不是一勞永逸的事情。安全設備不是指單一的某種安全設備，而是指幾種安全設備的綜合。網絡安全是整體的、動態(tài)的。適應性及靈活性原則：安全措施必須能隨著網絡性能及安全需求的變化而變化，要容易適應、容易修改和升級。角色化原則：在管理上面，不僅在數據中心可以完全控制外，在地方還需要分配適當的角色使地方可以在自己的權利下修改和查看安全策略和審計日志。多重保護原則：任何安全措施都不是絕對安全的，都可能被攻破。節(jié)約性原則：整體方案的設計應該盡可能的不改變原來網絡的設備和環(huán)境，以免資源的浪費和重復投資。均衡性原則：安全措施的實施必須以根