【正文】 據(jù)安全級別和經費限度統(tǒng)一考慮。不同的安全措施其代價、效果對不同網(wǎng)絡并不完全相同。 超越傳統(tǒng)，獨具特色（transcend tradition , own feature）第二節(jié) 網(wǎng)絡安全方案設計原則證券網(wǎng)絡系統(tǒng)安全方案設計、規(guī)劃時，應遵循以下原則：綜合、整體性原則：網(wǎng)絡安全不單靠技術措施，必須結合管理，當前發(fā)生的網(wǎng)絡安全問題中，管理問題占相當大的比例，在建立網(wǎng)絡安全設施體系的同時必須建立相應的制度和管理體系。 易用性(easy for use)178。 穩(wěn)定（stabilization）178。 安全產品的選型原則證券網(wǎng)絡安全系統(tǒng)的設計從安全產品選擇考慮了產品功能、性能、運行穩(wěn)定性以及擴展性，并且對安全產品，還考查其產品自身的安全性。 安全產品獲得中國信息安全產品測評認證中心的測評認證。其中安全產品的集成便涉及如何選擇網(wǎng)絡安全產品？在進行網(wǎng)絡安全產品選型時，應該要求網(wǎng)絡安全產品滿足兩方面的要求：一是安全產品必須符合國家有關安全管理部門的政策要求；二是安全產品的功能與性能要求。4) 數(shù)據(jù)庫恢復小組：負責數(shù)據(jù)庫系統(tǒng)的修復、重起、數(shù)據(jù)恢復和加載，是數(shù)據(jù)庫系統(tǒng)平穩(wěn)運行起來；5) 應用恢復小組：負責整個應用系統(tǒng)的恢復，為重新業(yè)務系統(tǒng)開始運行做最后的準備。2) 網(wǎng)絡恢復小組：負責恢復整個網(wǎng)絡基礎設施，如線路、路由器、交換機等功能。平時注意漏洞及其攻擊技術的發(fā)展情況，及時提出彌補漏洞的措施，如使用最新補丁、改變網(wǎng)絡拓撲、改變設備配置、升級系統(tǒng)等。病毒預警和防護小組：負責整個網(wǎng)絡在病毒預警和防護方面的工作，對病毒預警和清除負責，平時負責跟蹤病毒的產生和傳播情況，注意防病毒技術的發(fā)展情況，及時提出病毒庫更新要求或升級防病毒軟件的要求。入侵預警和跟蹤小組：負責監(jiān)控整個網(wǎng)絡的入侵檢測、預警、跟蹤，估計造成損失的情況，可以選擇中斷服務等措施以避免更大的損失。實時響應和恢復響應是指發(fā)生安全事故后的緊急處理程序。信息安全控制中心首先確定公司網(wǎng)絡安全管理體系等級，建立總的安全管理機制和各級安全管理中心。根據(jù)不同的職能，定義不同角色的責任和權利，制定相應的操作規(guī)范。從全局管理角度來看，我們制訂了全局的安全管理策略；從技術管理角度來看，實現(xiàn)安全的配置和管理；從人員管理角度來看，實現(xiàn)統(tǒng)一的用戶角色劃分策略，制定一系列的管理規(guī)范；從資源管理角度來看，實現(xiàn)資源的統(tǒng)一配置和管理。我們考慮的備份主要包括數(shù)據(jù)備份、服務器系統(tǒng)備份、線路備份等幾個方面。備份與恢復證券公司網(wǎng)絡的主要設備、軟件、數(shù)據(jù)、電源等都應有備份，并有技術措施和組織措施能夠在較短時間內恢復系統(tǒng)運行。（4） 加密系統(tǒng)應提供一套安全的、使用靈活的密鑰管理機制。（2） 為維護系統(tǒng)原有性能，加密和解密的速度足夠快。數(shù)據(jù)庫加密的基本方式可以分為庫外加密和庫內加密。信息加密信息傳輸加密信息傳輸加密用來防止通信線路上的竊聽、泄漏、篡改和破壞。針對目前身份認證中普遍存在的不安全問題，通過為所有員工和用戶發(fā)放簽名數(shù)字證書來進行身份標識，并通過使用數(shù)字證書對通信的雙方進行身份驗證和簽名驗證，最終滿足證券行業(yè)網(wǎng)絡信息化的安全需求，有效地防止各種信息安全隱患。身份鑒別目前每個證券用戶都是通過用戶名和口令登錄，并且都是明文傳輸，密碼容易被人竊取，給證券用戶帶來了一定的風險。c) 數(shù)據(jù)庫系統(tǒng)：做好數(shù)據(jù)庫操作的日志和審計工作。審計需求：a) 操作系統(tǒng)：操作系統(tǒng)必須啟動日志與審計的功能。利用系統(tǒng)安全自動分析或檢測工具對審計數(shù)據(jù)進行分析，可盡量早地發(fā)現(xiàn)那些可疑事件或行為的線索，發(fā)現(xiàn)網(wǎng)絡中存在的不穩(wěn)定因素（如服務器死機），給出報警或應對措施。證券公司網(wǎng)絡系統(tǒng)中，計算機操作系統(tǒng)、網(wǎng)絡管理、應用系統(tǒng)都應具有相應的安全審計功能。審計信息對于確定是否有網(wǎng)絡攻擊的情況發(fā)生，以及確定問題和攻擊源都非常重要。網(wǎng)絡防病毒系統(tǒng)可以實時更新病毒庫，網(wǎng)絡管理員對網(wǎng)絡中所有計算機均可做到防病毒控制，可以有效阻止網(wǎng)絡病毒爆發(fā)和泛濫。這時不僅要用殺毒軟件查找已知的計算機病毒，還要用人工檢測和實驗的方法檢測。就算是正版軟件也難保證沒有攜帶計算機病毒的可能性，更不要說盜版軟件了。新購置的計算機軟件也要進行計算機病毒檢測。對硬盤只在DOS下做FORMAT格式化是不能去除主引導區(qū)（分區(qū)表）計算機病毒的。因此，在條件許可的情況下，要用檢測計算機病毒軟件檢查已知計算機病毒，用人工檢測方法檢查未知計算機病毒，并經過證實沒有計算機病毒感染和破壞跡象后再使用。下面總結出一系列行之有效的計算機病毒防護措施供參考。因此計算機病毒的防范也是網(wǎng)絡安全建設中應該考濾的重要的環(huán)節(jié)之一。計算機病毒防治由于在網(wǎng)絡環(huán)境下，計算機病毒有不可估量的威脅性和破壞力。它通過監(jiān)視計算機網(wǎng)絡或計算機系統(tǒng)的運行，從中發(fā)現(xiàn)網(wǎng)絡或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象，一旦發(fā)現(xiàn)攻擊能夠發(fā)出報警并采取相應的措施，如阻斷、跟蹤和反擊等。對于涉密信息的細粒度訪問控制，通常針對不同的應用系統(tǒng)，結合訪問控制軟件和身份鑒別措施來實現(xiàn)。處理秘密級、機密級信息的涉密服務器，訪問應當按照用戶類別、信息類別控制，訪問必須控制到單個用戶、單個文件。通常將證券公司的重要服務器所在的子網(wǎng)和重要的業(yè)務工作子網(wǎng)分別劃分為單獨的安全域。分析后，歸納出如下的網(wǎng)絡安全子需求：訪問控制訪問控制是對用戶進行文件和數(shù)據(jù)操作權限的限制，主要防范用戶的越權訪問。對于各個網(wǎng)絡設備（路由器、交換機等等）來說，可以配置和實時狀態(tài)檢測的網(wǎng)管軟件也勢在必行。遠程移動人員的辦公需要接入公司局域網(wǎng)內部，由于這部分數(shù)據(jù)在公網(wǎng)上傳送，需要進行加密傳輸，因此VPN的應用擺在眼前。在通過撥號服務器進行的訪問中，公司需要可以對撥上來的用戶進行時間、數(shù)據(jù)流量和其他訪問細節(jié)進行審計和控制。曾經有些證券公司就出現(xiàn)過由于病毒泛濫造成的交易中止的情況，不僅經濟損失慘重，而且證券公司的信譽也遭受了很大打擊。第三節(jié) 證券行業(yè)網(wǎng)絡安全需求分析證券行業(yè)網(wǎng)絡安全需求總體分析：證券行業(yè)對安全產品有比較深刻的認識，對網(wǎng)絡安全的重要性也有深刻理解，行業(yè)網(wǎng)絡安全要求非常高。責權不明，管理混亂、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的風險。這些都將給網(wǎng)絡造成極大的破壞。利用網(wǎng)絡開些小玩笑，甚至破壞。機房重地卻是任何都可以進進出出，來去自由。這對證券行業(yè)的用戶來說，是決不允許的。數(shù)據(jù)信息數(shù)據(jù)安全對證券行業(yè)來說尤其重要，數(shù)據(jù)在廣域網(wǎng)線路上傳輸，很難保證在傳輸過程中不被非法竊聽、竊取和篡改。因此，病毒的危害的不可以輕視的。病毒侵害網(wǎng)絡是病毒傳播的最好、最快的途徑之一。電子郵件系統(tǒng)電子郵件為網(wǎng)系統(tǒng)用戶提供電子郵件應用。而辦公網(wǎng)絡應用通常是共享網(wǎng)絡資源，比如文件共享、打印機共享等。這就需要我們對不同的應用，檢測安全漏洞，采取相應的安全措施，降低應用的安全風險。應用系統(tǒng)是動態(tài)的、不斷變化的。因此應正確估價自己的網(wǎng)絡風險并根據(jù)自己的網(wǎng)絡風險大小作出相應的安全解決方案。但是從實際應用上，系統(tǒng)的安全程度跟對其進行安全配置及系統(tǒng)的應用面有很大關系，操作系統(tǒng)如果沒有采用相應的安全配置，則其是漏洞百出，掌握一般攻擊技術的人都可能入侵得手。而且系統(tǒng)本身必定存在安全漏洞。所謂系統(tǒng)安全通常是指網(wǎng)絡操作系統(tǒng)、應用系統(tǒng)的安全。種種因素都將網(wǎng)絡安全構成很大的威脅。內部局域網(wǎng)的安全威脅據(jù)調查在已有的網(wǎng)絡安全攻擊事件中約70%是來自內部網(wǎng)絡的侵犯。入侵者通過網(wǎng)絡監(jiān)聽等先進手段獲得內部網(wǎng)用戶的用戶名、口令等信息，進而假冒內部合法身份進行非法登錄，竊取內部網(wǎng)重要信息。如果系統(tǒng)內部局域網(wǎng)絡與系統(tǒng)外部網(wǎng)絡間沒有采取一定的安全防護措施，內部網(wǎng)絡容易造到來自