【正文】 湖南證券股份有限公司網(wǎng)絡(luò)安全方案建議書 共 59 頁 第 23 頁 . 外部用戶訪問公司網(wǎng)站安全分析和建議 當(dāng)外部用戶訪問公司托管的網(wǎng)站服務(wù) 器時，因為現(xiàn)在在網(wǎng)站服務(wù)器上沒有做任何的防范所以和容易被黑客破壞，當(dāng)發(fā)生頁面被換成非健康內(nèi)。 VPN 網(wǎng)關(guān)，同時在用戶端添加加密 PC 卡。 ，同時限定登入失敗次數(shù)，保持較高的保密性及安全性。作用：防止病毒功過客戶端，文件服務(wù)器，全殲服務(wù)器，網(wǎng)關(guān)服務(wù)器進行傳播，有效的防止了這種非技術(shù)型的系統(tǒng)破壞。作用：對重要的文件 進行實時的跟蹤，對用戶的權(quán)限、密碼、注冊表文件或 /etc 目錄下的文件、數(shù)據(jù)庫內(nèi)的數(shù)據(jù)進行保護。 ，添加基于主機的入侵檢測軟件。配置方法：把入侵檢測軟件安裝在某臺空余的電腦上，并且把它與 Hub 相連。其他特點： VPN 網(wǎng)關(guān)會可以在這幾個部門之間相互建立不同的信任關(guān)系，建立不同的加密算 法；作用：防止了不滿員工的偵聽，保證了信息傳輸過程中的安全性，提高各個重要部門的安全性等等。 配置方法：在幾個重要部門的交換機上安裝一個硬件的的 VPN 設(shè)備，所有需要到另一個部門的信息都會通過 VPN 網(wǎng)關(guān) ,進行加密，根據(jù) IPSEC 方式，在 IP 包頭添加另一個網(wǎng)段的 VPN網(wǎng)關(guān)的 IP 地址。 這些偵聽軟件在網(wǎng)上面到處可以免費獲得，所以如果我們沒有很好的防范措施，重要的系統(tǒng)很容易遭到破壞。而在目前交易所公司的網(wǎng)絡(luò)結(jié)構(gòu)上并未對上述關(guān)鍵部門給予應(yīng)有的特別保護，任何內(nèi)部工作人員都可以進入關(guān)鍵部門的計算機上，獲取機器上的有用信息。這樣就可以分析出哪些連接是沒有必要的，然后再把該連 接通過防火墻給屏蔽掉。如果是與交易有關(guān)的包讓它占有較大的帶寬，如果與交易無關(guān)的包則讓它占較小的帶寬，這樣可以保證主干業(yè)務(wù)的暢通運行?？梢酝ㄟ^在路由器后面添加防火墻的方式，可以把已經(jīng)通過 Sniffer 檢查出來的與交易無關(guān)的包的源地址給屏蔽掉，不讓包進行內(nèi)部系統(tǒng)。 因為交易所與營業(yè)點的數(shù)據(jù)傳輸經(jīng)常會突然出現(xiàn)流量增大，影響正常的交易，所以我們認(rèn)為在交易所的路由器到內(nèi)部網(wǎng)之間添加一個百兆的集線器或交換機在此上的端口處安裝 NAI 公司的 Sniffer for LAN，對進出的包進行解碼分析，區(qū)分出包的類型，對非正常交易的包進行分析并且通過一些措施把這些非正常交易的包給過濾掉或通過流量分配軟件進行有效的劃分。 . 連接各營業(yè)點的網(wǎng)段 連接各營業(yè)點的網(wǎng)段是連接公司總部與各分公司的接口，各營業(yè)點通過 到總公司的 3 主干路由器上。 3). 地址轉(zhuǎn)換（ NAT） 由于目前湖南證券股份有限有限公司采用 A 類地址，而外部采用 Inter 合法地址，Gauntlet Firewall1 提供內(nèi)、外地址的翻譯，即可隱藏內(nèi)部 IP. 4). FireWall1 未來的 GVPN 功能 將來外匯管理局的內(nèi)部 Intra 中的 Gauntlet 防火墻可形成 GVPN，采用 Gauntlet 的 GVPN技術(shù)對內(nèi)部的外出員工可建立一條可信賴的連接，直接訪問內(nèi)部網(wǎng)絡(luò)的資源。 ? 對 Email 類，內(nèi)部網(wǎng)采用 HP OpenMail ，而 Inter 采用 SMTP 協(xié)議， 建議設(shè)立一臺電子郵件轉(zhuǎn)發(fā)服務(wù)器（ MX），部署在 DMZ1 里，對內(nèi)部 HP OpenMail 的郵件和 Inter 的 SMTP 郵件進行轉(zhuǎn)發(fā)。 在接口處防火墻的配置方法： 訪問的安全控制： 1). DMZ1 對外提供服務(wù) DMZ1 中的服務(wù)器主要用于對 Inter 用戶提供服務(wù)，包括 DNS、 Email、 FTP、 HTTP 等，其服務(wù)全部由防火墻提供代理，其工作流程如下： a: 由外部 Client 端向 Firewall1 提出請求（ HTTP、 FTP 等）； b: 通過 Firewall1 過濾、識別、身份驗證，確定為合法請求，并確定該請求的目標(biāo)服務(wù)器之后由 Firewall1 向 DMZ1 里的服務(wù)器提出請求； c: DMZ1 里的目標(biāo)服務(wù)器接受 Firewall1 的請求并對其作出響應(yīng)； d: Firewall1 再將請求傳遞給外部的 Client。建議： a. 在撥號上網(wǎng)的主機上配置物理隔離卡，當(dāng)用戶上網(wǎng)時，物理隔離卡可以把硬盤分為上網(wǎng)部分與安全部分，這兩部分將相互隔離， 這樣就保證了有非法用戶通過該機進入內(nèi)部系統(tǒng)。 整個網(wǎng)絡(luò)安全結(jié)構(gòu)如下圖： 湖南證券股份有限公司網(wǎng)絡(luò)安全方案建議書 共 59 頁 第 20 頁 . 對 Inter 服務(wù)網(wǎng)段 如上圖示，內(nèi)部用戶訪問 Inter,通過撥號上網(wǎng)的方式，通過單個客戶機分別撥號上網(wǎng)首先會對整個內(nèi)部安全造成很大影響，同時造成資金的浪費。 在“初步設(shè)想”中，在本方案中，考慮到服務(wù)的交集會給防火墻安全策略的制定帶來不便，形成潛在的安全隱患，并且也不利于整個網(wǎng)絡(luò)安全的管理，因此我們將 vpn 網(wǎng)關(guān)相應(yīng)服務(wù)器分別部署在對應(yīng)的網(wǎng)段中，而將對內(nèi)服務(wù)的服務(wù)器放到內(nèi)部網(wǎng)絡(luò)中的內(nèi)部服務(wù) 子網(wǎng)中。 ? 連接湖南證券股份有限各營業(yè)點的網(wǎng)段。 其總體結(jié)構(gòu)如下： 1). 內(nèi)部網(wǎng)絡(luò)系統(tǒng)： 包括： ? LAN1， LAN2…..LAN8 等內(nèi)部網(wǎng)段； ? 內(nèi)部服務(wù)子網(wǎng) 即 [初步設(shè)想 ]的 VPN 的部分。 在本章結(jié)尾，我們總結(jié)了本方案的特點。 為確保系統(tǒng)的安全性保持穩(wěn)定，我們介紹了各種安全產(chǎn)品的平臺要求，以及升級的保證方式和途徑。 本章首先描述安全網(wǎng)絡(luò)的整體結(jié)構(gòu)，然后就各網(wǎng)段采用的防火墻、防病毒、防黑客，以及安全評估等技術(shù)措施作詳細(xì)的描述。 ? 設(shè)立安全監(jiān)控中心： 為信息系統(tǒng)提供安全體系管理、監(jiān)控，保護及緊急情況服務(wù)。 ? 多層防御： 攻擊者在突破第一道防線后，延緩或阻斷其到達攻擊目標(biāo)。 ? 認(rèn)證： 良好的認(rèn)證體系可防止攻擊者假冒合法用戶 。 ? 攻擊監(jiān)控： 通過對特定網(wǎng)段、服務(wù)建立的攻擊監(jiān)控體系，可實時檢測出絕大多數(shù)攻擊，并采取相應(yīng)的行動（如斷開網(wǎng)絡(luò)連接、記錄攻擊過程、跟蹤攻擊源等）。 . 安全產(chǎn)品選型原則 在進行 湖南證券股份有限有限公司網(wǎng)絡(luò)安全方案的產(chǎn)品選型時，要求安全產(chǎn)品至少應(yīng)包含以下功能： ? 訪問控制： 通過對特定網(wǎng)段、服務(wù)建立的訪問控制體系，將絕大多數(shù)攻擊阻止在到達攻擊目標(biāo)之前。然而，在群件系統(tǒng)中共享的信息卻必須保證其安全性，以防止有意無意的破壞。 隨著企業(yè)個人與個人之間、各部門之間、企業(yè)和企 業(yè)之間、國際間信息交流的日益頻繁，信息傳輸?shù)陌踩猿蔀橐粋€重要的問題。對網(wǎng)絡(luò)進行級別劃分與控制，網(wǎng)絡(luò)級別的劃分大致包括 Inter/企業(yè)網(wǎng)、骨干網(wǎng) /區(qū)域網(wǎng)、區(qū)域網(wǎng) /部門網(wǎng)、部門網(wǎng) /工作組網(wǎng)等，其中 Inter/企業(yè)網(wǎng)的接口要采用專用防火墻，骨干網(wǎng) /區(qū)域網(wǎng)、區(qū)域網(wǎng) /部門網(wǎng)的接口利用路由器的可控路由表、安全郵件服務(wù)器、安全撥號驗證服務(wù)器和安全級別較高的操作系統(tǒng)。 在網(wǎng)絡(luò)層，可通過對不同子網(wǎng)的定義和對路由器的路由表控制來限制子網(wǎng)間的接點通信，通過對主機路由表的控制來控 制與之直接通信的節(jié)點。 物理層安全涉及傳輸介質(zhì)的安全特性，抗干擾、防竊聽將是物理層安全措施制定的重點。 湖南證券股份有限公司網(wǎng)絡(luò)安全方案建議書 共 59 頁 第 17 頁 總之，制定系統(tǒng)安全策略、安裝網(wǎng)絡(luò)安全系統(tǒng)只是網(wǎng)絡(luò)系統(tǒng)安全性實施的第一步，只有當(dāng)各級組織機構(gòu)均嚴(yán)格執(zhí)行網(wǎng)絡(luò)安全的各項規(guī)定，認(rèn)真維護各自負(fù)責(zé)的分系統(tǒng)的網(wǎng)絡(luò)安全性，才能保證整個系統(tǒng) 網(wǎng)絡(luò)的整體安全性。一方面，各級領(lǐng)導(dǎo)一定要高度重視并積極支持有關(guān)系統(tǒng)安全方面的各項措施。 ? 建立人員雇用和解聘制度，對工作調(diào)動和離職人員要及時調(diào)整相應(yīng)的授權(quán)。 ? 制訂應(yīng)急措施。 ? 制訂完備的系統(tǒng)維護制度。 ? 制訂嚴(yán)格的操作規(guī)程。 ? 制訂相應(yīng)的機房出入管理制度。 . 安全管理的實現(xiàn) 信息系統(tǒng)的安全管理部門應(yīng)根據(jù)管理原則和該系統(tǒng)處理數(shù)據(jù)的保密性，制訂相應(yīng)的 管理制度或采用相應(yīng)規(guī)范，其具體工作是： ? 確定該系統(tǒng)的安全等級。 (2)任期有限原則 一般地講，任何人最好不要長期擔(dān)任與安全有關(guān)的職務(wù)，以免誤認(rèn)為這個職務(wù)是專有的或永久性的。 (1)多人負(fù)責(zé)原則 每項與安全有關(guān)的活動都必須有兩人或多人在場。 2). 技術(shù)策略 技術(shù)策略要針對網(wǎng)絡(luò)、操作系統(tǒng)、數(shù)據(jù)庫、信息共享授權(quán)提出具 體的措施。而應(yīng)基于“最低權(quán)限”和“相互監(jiān)督”的法則，減少保密信息的介入范圍，盡力消除使用者為使用資源不得不信任他人或被他人信任的問題，建立起完整的安全控制體系和保證體系。由于在這種廣域網(wǎng)分布式計算環(huán)境中，相對于過去的局域網(wǎng)、主機環(huán)境、單機環(huán)境，安全問題變得越來越復(fù)雜和突出，所以網(wǎng)安全風(fēng)險分析成為制定有效的安全管理策略和選擇有作用的安全技術(shù)實施措施的基礎(chǔ) 依據(jù)。 . 網(wǎng)絡(luò)安全風(fēng)險分析 網(wǎng)絡(luò)系統(tǒng)的可靠運轉(zhuǎn)是基于通訊子網(wǎng)、計算機硬件和操作系統(tǒng)及各種應(yīng)用軟件等各方面、各層次的良好運行。 6). 多重保護原則 任何安全保護措施 都不是絕對安全的，都可能被攻破。其次，采用的措施不能影響系統(tǒng)正常運行。實際上，在網(wǎng)絡(luò)建設(shè)之初就考慮網(wǎng)絡(luò)安全對策，比等網(wǎng)絡(luò)建設(shè)好后再考慮，不但容易，而且花費也少得多。它們在網(wǎng)絡(luò)安全中的地位和影響作用，只有從系統(tǒng)綜合的整體角度去看待和分析，才 湖南證券股份有限公司網(wǎng)絡(luò)安全方案建議書 共 59 頁 第 15 頁 可能獲得有效、可行的措施。一個較好的安全措施往往是多種方法適當(dāng)綜合的應(yīng)用結(jié)果。保護成本、被保護信息的價值必須平衡，價值僅 1 萬元的信息如果用 5萬元的技術(shù)和設(shè)備去保護是一種不適當(dāng)?shù)谋Ｗo。 . 安全體系設(shè)計 . 安全體系設(shè)計原則 在進行計算機網(wǎng)絡(luò)安全設(shè)計、規(guī)劃時，應(yīng)遵循以下原則： 1). 需求、風(fēng)險、代價平衡分析的原則 ： 對任一網(wǎng)絡(luò)來說，絕對安全難以達到，也不一定必要。應(yīng)用系統(tǒng)的安全與系統(tǒng)設(shè)計和實現(xiàn)關(guān)系密切。由于應(yīng)用平臺的系統(tǒng)非常復(fù)雜，通常采用多種技術(shù)（如 SSL 等）來增強應(yīng)用平臺的安全性。 操作系統(tǒng) 操作系統(tǒng)安全要求保證客戶資料、操作系統(tǒng)訪問控制的安全，同時能夠?qū)υ摬僮飨到y(tǒng)上的應(yīng)用進行審計。主要采用劃分 VLAN（局域網(wǎng)）、加密通訊（遠(yuǎn)程網(wǎng)）等手段。針對網(wǎng)絡(luò)系統(tǒng)實際運行的 TCP/IP協(xié)議，網(wǎng)絡(luò)安全貫穿于信息系統(tǒng)的 4 個層次。 . 遠(yuǎn)期目標(biāo) 全面部署湖南證券股份有限有限公司全局的整體安全防御系 統(tǒng)，鞏固和完善網(wǎng)絡(luò)安全及管理系統(tǒng)，使湖南證券股份有限有限公司信息網(wǎng)在安全的前提下更好、更方便、更有效的實現(xiàn)中央銀行的監(jiān)管職能。實施網(wǎng)絡(luò)安全系統(tǒng)項目，整體規(guī)劃網(wǎng)絡(luò)安全系統(tǒng)，作好以下幾個方面的規(guī)劃和實施： ? 應(yīng)用程序加密 ? 應(yīng)用完整性 ? 用戶完整性 ? 系統(tǒng)完整性 ? 網(wǎng)絡(luò)完整性 . 近期目標(biāo) 目前迫在眉睫的工作是保護整個系統(tǒng)的網(wǎng)絡(luò)完整性和系統(tǒng)的完整性，建立安全的網(wǎng)絡(luò)邏輯結(jié)構(gòu)，為今后的實施應(yīng)用完整性和用戶完整性奠定基礎(chǔ)。 ? 商業(yè)應(yīng)用： 商業(yè)應(yīng)用更要考慮嚴(yán)格的安全要求，而且還希望提供不停頓的服務(wù)。 提供給 Inter 的網(wǎng)絡(luò)服務(wù)按照應(yīng)用類型可分為： ? 普通服務(wù)： 該種服務(wù)通常需要保障系統(tǒng)抵抗和檢測攻擊的能力。如通過電子郵件、FTP 引入病毒、危險的 Java 或 ActiveX 應(yīng) 用等。 2). Inter 服務(wù)平臺的安全需求： 安聯(lián)內(nèi)部網(wǎng) DMZ 外部服務(wù)區(qū) 外部用戶 湖南證券股份有限公司網(wǎng)絡(luò)安全方案建議書 共 59 頁 第 12 頁 Inter 服務(wù)平臺分為兩個部分：提供湖南證券股份有限公司的網(wǎng)絡(luò)用戶對 Inter 的訪問；提供 Inter 對公司網(wǎng)內(nèi)服務(wù)的訪問。 ? 入侵檢測，對于試圖破壞業(yè)務(wù)系統(tǒng)的惡意行為能夠及時發(fā)現(xiàn)、記錄和跟蹤，提供非法攻擊的犯罪證據(jù)。即禁止外部用戶間的非法訪問。對于業(yè)務(wù)系統(tǒng)應(yīng)該具有最高的網(wǎng)絡(luò)安全措施。 1). 交易業(yè)務(wù)系統(tǒng)的安全需求： 與普通網(wǎng)絡(luò)應(yīng)用不同的是，業(yè)務(wù)系統(tǒng)是湖南證券股份有限湖南證券股份有限應(yīng)用的核心。 . 具體各子系統(tǒng)的安全需求 湖南證券股份有限有限公司網(wǎng)絡(luò)部署了眾多的網(wǎng)絡(luò)設(shè)備、服務(wù)器，保護這些設(shè)備 的正常運行，維護主要業(yè)務(wù)系統(tǒng)的安全，是湖南證券股份有限有限公司網(wǎng)絡(luò)的基本安全需求。 4). 外部網(wǎng)絡(luò)不能直接對內(nèi)部網(wǎng)絡(luò)進行訪問，外部網(wǎng)絡(luò)客戶訪問內(nèi)部 Server 時通過外部服務(wù)提供設(shè)備進行，該外部服務(wù)提供設(shè)備起到訪問的中介作用，保證了內(nèi)部關(guān)鍵信息資源的安全。授權(quán)和代理由防火墻來完成。 1). 來自于外部網(wǎng)絡(luò)的訪問