【正文】 □ 硬件工程組 負責機房及設(shè)施布置規(guī)劃 硬件設(shè)備的安裝、測試及維護工作 網(wǎng)絡(luò)規(guī)劃及網(wǎng)絡(luò)設(shè)備的安裝與測試 □ 技術(shù)支持組 負責數(shù)據(jù)的移植工作 在系統(tǒng)試運行階段，確保整。我們建議該項工程的管理組織機構(gòu)如下圖所示： 工程領(lǐng)導小組 項目經(jīng)理 證券南寧營業(yè)部網(wǎng)絡(luò)系統(tǒng)方案 ３４ 各小組具體職責如下所述： □ 工程領(lǐng)導小組 由雙方高層領(lǐng)導人員組成，主要負責重大決策、組織、協(xié)調(diào)工作，并對工程項目建設(shè)過程中的進度、計劃和質(zhì)量進行監(jiān)督。多年來，我們一直致力于各行業(yè)應(yīng)用軟件的設(shè)計、開發(fā)與系統(tǒng)集成的實施，形成了從產(chǎn)品的設(shè)計 /開發(fā)、生產(chǎn)，到安裝及售后服務(wù)的工程化管理體制，建立起了一套完善的質(zhì)量控制體系。 公司集多年的開發(fā)管理與工程實施經(jīng)驗，對業(yè)務(wù)的發(fā)展有著充分的了解，在后續(xù)支持與服務(wù)方面有多年的經(jīng)驗和熟練的技術(shù)隊伍，我們有信心把證券網(wǎng)絡(luò)系統(tǒng)建設(shè)成最好的計算機網(wǎng)絡(luò)系統(tǒng)。 一個網(wǎng)絡(luò)系統(tǒng)的生命周期不僅依賴于它對用戶現(xiàn)在需求的適用性，而且依賴于它對用戶將來不斷變化和發(fā)展的適用性。 證券南寧營業(yè)部網(wǎng)絡(luò)系統(tǒng)方案 ３３ 工程化的管理要求在工程實施以前制定出詳細的工程實施計劃與步驟，對系統(tǒng)硬件、網(wǎng)絡(luò)、系統(tǒng)軟件等的安裝測試，業(yè)務(wù)應(yīng)用軟 件的開發(fā)與測試、系統(tǒng)集成、培訓等各項工作做出合理的安排，并成立工程實施領(lǐng)導小組，有效地把握與控制工程實施的進度。 多年來一直致力于系統(tǒng)集成和應(yīng)用軟件系統(tǒng)的設(shè)計、開發(fā)與實施，產(chǎn)品應(yīng)用于證券、銀行、社保等多個重要行業(yè)。另外，用戶的參與和配合也是一個接受培訓的過程，這對整個系統(tǒng)能夠順利投入運行起著重要的作用。在工程實施的過程中，領(lǐng)導的支持與協(xié)調(diào)起著關(guān)鍵的作用，是工程得以順利實施的重要保障，特別是在大型信息管理網(wǎng)絡(luò)工程的實施中，這一點顯得尤為重要。 ”網(wǎng)警入侵檢測系統(tǒng) ”將有助于建立正確的安全服務(wù)理念，增強網(wǎng)絡(luò)安全意識，促進安全操作規(guī)范的形成；從而在整體上加強網(wǎng)絡(luò)建設(shè)的質(zhì)量，提供更完善，更安全的服務(wù)。 良好的基礎(chǔ)使 ”網(wǎng)警入侵檢測系統(tǒng) ”具有可靠、持久的發(fā)展?jié)摿Α? 證券南寧營業(yè)部網(wǎng)絡(luò)系統(tǒng)方案 ３２ “網(wǎng)警入侵檢測系統(tǒng) ”的安全基礎(chǔ)是 Netware 目錄服務(wù) (NDS)。 ”網(wǎng)警入侵檢測系統(tǒng) ”將網(wǎng)絡(luò)中的設(shè)備注冊信息按照層次型的結(jié)構(gòu)存放在目錄服務(wù)數(shù)據(jù)庫 (NDS)中，無形地為今后其它對網(wǎng)絡(luò)設(shè)備的管理 (不僅僅是安全方面 )建立了數(shù)據(jù)庫基礎(chǔ)，并且開拓了思路。 ”網(wǎng)警入侵檢測系統(tǒng) ”對關(guān)鍵數(shù)據(jù)的訪問記錄可以幫助了解破壞數(shù)據(jù)的現(xiàn)場情況。 而分析的信息除了 人的活動線索以外，還要有數(shù)據(jù)的線索。 有了 ”網(wǎng)警入侵檢測系統(tǒng) ”這些彌補性的功能后，在對付外來網(wǎng)絡(luò)入侵的手段方面，只要網(wǎng)絡(luò)環(huán)境配置得當，網(wǎng)絡(luò)安全的技術(shù)保障基本上能滿足網(wǎng)絡(luò)安全的需要。 2)迅速定位非法請求 的工作站，查明具體操作原因。 當出現(xiàn)關(guān)鍵數(shù)據(jù)有非法寫請求時，系統(tǒng)將否定該請求，產(chǎn)生報警信息。 3)依據(jù)日志和在線信息調(diào)查過去的相關(guān)歷史情況。 系統(tǒng)對入侵事件處理 當網(wǎng)絡(luò)發(fā)生非法登錄事件時，系統(tǒng)將產(chǎn)生報警信息，管理員收到報警后可以進行如下響應(yīng)： 1)了解非法登錄的設(shè)備信息和服務(wù)器連接信息。 由于服務(wù)器記錄信息或監(jiān)控信息較多，可以有選擇地進行記錄和監(jiān)視。控制臺還能做所有的管理工作。 7)控制臺上可以了解更多的信息。 6)如果有監(jiān)視臺與服務(wù)器連接，服務(wù)器向監(jiān)視臺傳送實時日志信息。服務(wù)器每次事件 (合法 /非法 )處理的記錄以日志文件的形式保存在服務(wù)器上。 4)任何違反登錄規(guī)則的網(wǎng)絡(luò)登錄將被視為網(wǎng)絡(luò)入侵，服務(wù)器將產(chǎn)生報警信息。 2)所有的客戶機按照登錄規(guī)則以合法的用戶在合法的時間和網(wǎng)段上登錄。這樣，系統(tǒng)能保證只有專用報盤機才可以寫這些數(shù)據(jù)，而其它機器則不能寫報盤數(shù)據(jù)，即使是超級用戶。在實際應(yīng)用中，可以用此手段保護營業(yè)部向上交所和深交所提交的交易數(shù)據(jù) (報盤數(shù)據(jù) )。 數(shù)據(jù)保安 關(guān)鍵數(shù)據(jù)寫規(guī)則制定 由于證券營業(yè)部對系統(tǒng)性能的要求較高，因此只制定一些簡單的規(guī)則，否則會影響 系統(tǒng)的整體性能。管理員可以按照位置 (此位置可以包含多臺設(shè)備 )或某具體設(shè)備的名稱、登錄的用戶或組織、登錄的時間、登錄網(wǎng)段等多方面因素的組合來設(shè)定具體的登錄檢查規(guī)則。經(jīng)注冊的設(shè)備會在 NDS庫中以 ”Computer”類的目標實體方式保存一份唯一標識其身份的驗證指紋，這樣，合法的工作站設(shè)備每次在連接 Server 時， NDS 庫中的驗證指紋會對其身份的合法性進行“設(shè)備驗證”。 多重防范手段 設(shè)備的注冊和管理 要使用 ”網(wǎng)警入侵檢測系統(tǒng) ”，首先要對網(wǎng)絡(luò)系統(tǒng)的合法設(shè)備 (主要是工作站 )進行注冊。 2)由 ”網(wǎng)警入侵檢測系統(tǒng) ”進行登錄合法性的附加管理，對客戶機設(shè)備的真?zhèn)芜M行識別。 “網(wǎng)警入侵檢測系統(tǒng)”的安全防范 安全防范層次 “網(wǎng)警入侵檢測系統(tǒng) ”是基于原有 NetWare NDS 目錄服務(wù)的安全基礎(chǔ) ， 以外掛式的形式對網(wǎng)絡(luò)的登錄和數(shù)據(jù)訪問進行附加的安全處理。 形象地說， 網(wǎng)警系統(tǒng) 象是一名真正的網(wǎng)絡(luò)警察，它對任何網(wǎng)絡(luò)的連接和登錄請求進行附加的登錄安全規(guī)則檢查，并加以記錄，備案待查。 “網(wǎng)警入侵檢測系統(tǒng)”的設(shè)計思想 ”網(wǎng)警 ”入侵檢測系統(tǒng) 是在 “網(wǎng)絡(luò)巡警 ” 的基礎(chǔ)之上開發(fā)和設(shè)計的網(wǎng)絡(luò)安全產(chǎn)品。內(nèi)部人員入侵指營業(yè)部內(nèi)部工作人員發(fā)起的網(wǎng)絡(luò)入侵 ， 其侵入的方式有 ： 利用工作之便 ， 修改應(yīng)用程序和數(shù)據(jù)、利用超級用戶權(quán)限 ， 非法修改系統(tǒng)數(shù)據(jù)和應(yīng)用數(shù)據(jù)、改變系統(tǒng)配置和權(quán)限配置 ， 為外部人證券南寧營業(yè)部網(wǎng)絡(luò)系統(tǒng)方案 ２９ 員入侵創(chuàng)造條件等等。 外部人員的入侵過程一般不易一次完成，通常需要多次試探，逐步深入，最后達到入侵的目的。 從入侵手段上看，可能會 1)竊取管理員的口令 2)利用無口令用戶 3)假冒網(wǎng)卡 MAC 地址 4)利用隱藏目標或隱藏權(quán)限躲避網(wǎng)絡(luò)管理員的檢查等 外部入侵所能產(chǎn)生的危害程度可輕可重 ： 有的無關(guān)痛癢 ， 有的干擾網(wǎng)絡(luò)的正常 運行 ， 嚴重的會更改或刪除系統(tǒng) /應(yīng)用關(guān)鍵數(shù)據(jù) ， 甚至使整個系統(tǒng)癱瘓 。 3)直接利用營業(yè)部的無盤站 ， 中斷批處理 ， 奪取對網(wǎng)絡(luò)的自由訪問能力。 外部人員入侵指由非 營業(yè)部工作人員發(fā)起的入侵 ， 其入侵方式主要有 ： 1)自帶筆記本計算機自行接入營業(yè)部網(wǎng)絡(luò)或篡改網(wǎng)絡(luò)布線系統(tǒng)接入網(wǎng)絡(luò)。 證券網(wǎng)絡(luò)安全面臨挑戰(zhàn) 計算機網(wǎng)絡(luò)安全涉及許多方面 ， 對網(wǎng)絡(luò)的入侵也是形形色色 ， 手段更是多種多樣 。 NetCop 系統(tǒng)擁有設(shè)備指紋驗證、網(wǎng)絡(luò)登錄規(guī)則審查、關(guān)鍵數(shù)據(jù)保護三層安全防護功能，彌補了諸如網(wǎng)絡(luò)地址假冒、超級用戶特權(quán)利用、隱藏用戶或隱藏權(quán)限、自帶 PC 機上 網(wǎng)等證券網(wǎng)絡(luò)安全應(yīng)用方面的主要不足，為網(wǎng)絡(luò)入侵設(shè)置了多重屏障。 NetCop網(wǎng)警入侵檢測系統(tǒng)是北京中洲基業(yè)軟件技術(shù)有限公司作為 Novell公司 Netware 平臺、 NDS 目錄服務(wù)平臺應(yīng)用產(chǎn)品研發(fā)中心開發(fā)出的國內(nèi)第一套成熟的證券網(wǎng)絡(luò)安全防護系統(tǒng)。 網(wǎng)絡(luò)安全 在內(nèi)部網(wǎng)絡(luò)設(shè)計中主要考慮的是網(wǎng)絡(luò)的可靠性和性能，而如何確 保網(wǎng)絡(luò)安全也是一個不容忽視的問題。對日志的分析還可用于預(yù)防入侵，提高網(wǎng)絡(luò)安全。在網(wǎng)絡(luò)系統(tǒng)中，應(yīng)增加管理員、一般使用員等多種操作員類型，以便對用戶的網(wǎng)絡(luò)行為進行限制。所以用戶口令需要采取加密方式存儲和 傳輸。 2)用戶口令加密存儲和傳輸 目前，絕大多數(shù)應(yīng)用仍采用口令來確保安全，口令需要通過網(wǎng)絡(luò)傳輸，并且作為數(shù)據(jù)存儲在計算機硬盤中。 IPSec 基于標準的安全性與英特爾 174。英特爾與微軟合作，開發(fā)了一款能夠同時為您帶來安全性和高性能的解決方案：即 Intel Pro/100 S 安全網(wǎng)卡，它可以將加密 解密過程卸載至 網(wǎng)卡 板上的英特爾 174。 ■ 對數(shù)據(jù)包進行加密，有助于確保數(shù)據(jù)的機密性。 IPSec具有以下能力： ■ 對用戶進行身份驗證，幫助防止未經(jīng)授權(quán)的數(shù)據(jù)訪問。 PRO/100 S 網(wǎng)卡通過提供 IPSec（互聯(lián)網(wǎng)協(xié)議安全）加 密能力，可幫助保護局域網(wǎng)上的敏感數(shù)據(jù)。但是，根據(jù) FBI 的調(diào)查，大多數(shù)安全破壞行為發(fā)生在局域網(wǎng)內(nèi)部，未經(jīng)授權(quán)的訪問、欺詐、竊取和其它違反使用規(guī)章的行為。 1)在工作站上采用支持 IPSec 加密能力的網(wǎng)卡 網(wǎng)絡(luò)內(nèi)部人員的安全破壞行為超過了網(wǎng)絡(luò)外部入侵者（兩者的比例分別為 55： 30）。同時使用中間件技術(shù)，不允許直接訪問業(yè)務(wù)主機，所有的應(yīng)用連接都通過代理來完成，這不僅僅增強了業(yè)務(wù) 主機的隱蔽性，也提高了業(yè)務(wù)處理效率。 另外，在安全方面有一個最基本的原則：系統(tǒng)的安全性與它被暴露的程度成反比。網(wǎng)段分離可以采用物理方式以及邏輯方式來實現(xiàn)。下面我們將從三個方面來討論保障網(wǎng)絡(luò)安全的若干措施。他們能 在你的眼皮底下偷走或修改你的數(shù)據(jù)，能讓你在正常操作中丟失你的管理員密碼，能刪掉你的重要數(shù)據(jù)，更能讓你的服務(wù)器在開市時宕機；對內(nèi)，系統(tǒng)則會時刻受到在你身邊而不為你察覺的內(nèi)網(wǎng)用戶的攻擊威脅。 可以說，我們今天所面對的安全問題已不再局限于系統(tǒng)本身。對證券行業(yè)而言，計算機網(wǎng)絡(luò)業(yè)已成為證券營業(yè)部業(yè)務(wù)運作不可缺少的工具。因此 在交易服務(wù)器中選用的是 Microsoft 的 WINDOWS NT SERVER 網(wǎng)絡(luò)操作系統(tǒng)。因此我們采用 NETWARE 作為行情服務(wù)器的網(wǎng)絡(luò)操作系統(tǒng)。不同的網(wǎng)絡(luò)操作系統(tǒng)建立在不同的網(wǎng)絡(luò)體系基礎(chǔ)之上的， WINDOWS NT 網(wǎng)絡(luò)操作系統(tǒng)是建立在 TCP/IP 網(wǎng)絡(luò)體系之上的，而 NETWARE 網(wǎng)絡(luò)操作系統(tǒng)則主要是以 NOVELL IPX/SPX 為基礎(chǔ)。在選擇好主機系統(tǒng)硬件之后，還必須選擇能充分發(fā)揮網(wǎng)絡(luò)整體性能的操作系統(tǒng)。所有這些對主機來說，都是透明的 DFT5000 控制器 主機 /硬盤接口 2 個主機通道， 2 個磁盤通道（可擴 充為 6 個） RAID Level 0,1(0+1),3,5,30,50,JBOD 基本的 SCSI 通道 28 個 Ultra2 Wide or Ultra3 Wide SCSI 通道 硬盤位 6,8,12,16 四種標準配置 高速緩存 32M to 1Gbytes，標準配置 64M 后備電池 可選 ,DFT9070c 電源 300W*2 /400W*2（可選） 容錯總線（ falut bus） 支持 (DFT 專有 ) 國際認證 FCC,CE,Y2K MTBF 500000 尺寸 (H) x (W) x (D) (H) x (W) x (D) 證券南寧營業(yè)部網(wǎng)絡(luò)系統(tǒng)方案 ２５ 操作系統(tǒng)平臺選擇 網(wǎng)絡(luò)操作系統(tǒng)是網(wǎng)絡(luò)軟件系統(tǒng)的核心。每個 SCSI通道，可定義主機或設(shè)備通道，實現(xiàn)多主機連接。最多可達 8 個 SCSI 通道。 證券南寧營業(yè)部網(wǎng)絡(luò)系統(tǒng)方案 ２４ 高數(shù)據(jù)容錯能力 DFT5008U3 提供 RAID 0, 1(0+1), 3 , 5,3+spare,5+spare 可供選擇 . 這些RAID 功能給用戶數(shù)據(jù)的高可靠性提供了保證?，F(xiàn)在，康柏 ProLiant 8000 服務(wù)器將為您提供取得成功所需的強勁性能 標準配置： 雙 PIII Xeon 700Mhz CPU（ 1M 二級高速緩存） 1Gb ECC 內(nèi)存（ 可擴至 8Gb） Wide Ultra2 SCSI 硬盤（一萬轉(zhuǎn)） 12 個 1 英寸熱插拔 Wide Ultra2 SCSI 驅(qū)動器 集成的雙通道 WideUltra2 SCSI 適配器 內(nèi)置 100M PCI 服務(wù)器專用網(wǎng)卡 雙冗余電源 Compaq Proliant ML570 ? ProLiant ML570 基于 ProLiant 5500、 6000和 6500 的強大功能而構(gòu)建，將最新的性能和高度可用性引入富含功能的四處理器服務(wù)器平臺中 ? Proliant ML570 具有卓越的可靠性和容錯能力，提供了企業(yè)級 系統(tǒng)可用性和 最大內(nèi)置存儲器容量 ? 客戶們可以依賴這款高度可管理性服務(wù)器降低擁有成本，并提供更安全、可靠的計算環(huán)境 標準配置： 雙 PIII Xeon 700Mhz CPU（ 1M 二級高速緩存） 512Mb ECC 內(nèi)存（可擴至 8Gb） Wide Ultra2 SCSI 硬盤（一萬轉(zhuǎn)） 12 個 1 英寸熱插拔 Wide Ultra2 SCSI 驅(qū)動器 證券南寧營業(yè)部網(wǎng)絡(luò)系統(tǒng)方案 ２３