【正文】 外網(wǎng)一些不懷好意的入侵者的攻擊。假如內(nèi)部網(wǎng)絡(luò)的一臺機器安全受損（被攻擊或者被病毒感染），就會同時影響在同一網(wǎng)絡(luò)上的許多其他系統(tǒng)。因為，每天黑客都在試圖闖入Internet節(jié)點，假如我們的網(wǎng)絡(luò)不保持警惕，可能連黑客怎么闖入的都不知道，甚至?xí)蔀楹诳腿肭制渌W(wǎng)絡(luò)的跳板。網(wǎng)絡(luò)結(jié)構(gòu)的安全風(fēng)險分析來自與公網(wǎng)互聯(lián)的安全威脅證券行業(yè)的辦公網(wǎng)絡(luò)與Internet連接。因此，對于證券行業(yè)這種帶有重要資金、帳戶信息傳輸?shù)木W(wǎng)絡(luò)，數(shù)據(jù)在公共鏈路上傳輸最好加密。鏈路傳輸風(fēng)險分析網(wǎng)絡(luò)物理安全是整個網(wǎng)絡(luò)系統(tǒng)安全的前提。我們根據(jù)證券行業(yè)的網(wǎng)絡(luò)結(jié)構(gòu)和應(yīng)用情況，從物理安全、鏈路安全、網(wǎng)絡(luò)安全、系統(tǒng)安全、應(yīng)用安全及管理安全進行分類描述：物理安全風(fēng)險分析原來由單個計算機安全事故引起的損害可能傳播到其他系統(tǒng)和主機，引起大范圍的癱瘓和損失；另外加上缺乏安全控制機制和對網(wǎng)絡(luò)安全政策及防護意識的認識不足，這些風(fēng)險正日益加重。辦公網(wǎng)絡(luò)是非證券業(yè)務(wù)所在，安全級別較低，承擔(dān)著與外界聯(lián)系的責(zé)任，一般要求接入Internet，而業(yè)務(wù)網(wǎng)絡(luò)承擔(dān)著每天交易數(shù)據(jù)的處理，安全級別非常高，因此辦公網(wǎng)絡(luò)和業(yè)務(wù)網(wǎng)絡(luò)會采用VLAN的形式加以劃分，確保Internet上不能直接訪問業(yè)務(wù)網(wǎng)絡(luò)。證券公司也會與相關(guān)的銀行進行數(shù)據(jù)交換，使得股民可以把在銀行的帳戶和證券公司的戶頭相關(guān)聯(lián)，這部分應(yīng)用大多數(shù)采用“銀證通”的服務(wù)。此外，證券公司會和證券交易所（上證所和深交所）進行數(shù)據(jù)交換，會有數(shù)據(jù)鏈路存在。接入層：在各個辦公樓層上，樓層交換機使用千兆上行端口采用光纖與中心交換機相連，傳輸速率為1000M，構(gòu)成網(wǎng)絡(luò)主干網(wǎng)；其下行端口到桌面，傳輸速率為100M。為保障核心層的安全可靠，兩臺中心交換機互為備份，保證了整個網(wǎng)絡(luò)始終處于連通狀態(tài)。第二章 證券網(wǎng)絡(luò)系統(tǒng)安全需求分析說明第一節(jié) 證券行業(yè)普遍拓撲結(jié)構(gòu)證券行業(yè)普遍擁有總部和數(shù)據(jù)處理中心，在各地擁有營業(yè)部和交易所，為了保證交易時間的不間斷工作，各地營業(yè)所到總部擁有雙線路做線路備份，在總部里也是作了線路備份的設(shè)置。公司定位為“中國人自己的信息安全衛(wèi)士”和“中國企業(yè)e化的高速公路”。同時網(wǎng)絡(luò)安全問題也是個長期，不斷完善的過程。電子政務(wù)網(wǎng)絡(luò)與信息安全情況也是如此，主要存在與建設(shè)、應(yīng)用和管理三個方面，而且隨著新技術(shù)的發(fā)展，新設(shè)備的出現(xiàn)，加上組織結(jié)構(gòu)的變更，應(yīng)用的深入，會不斷進行變化的。特別是對徐匯區(qū)城域網(wǎng)這樣的國家重要政府網(wǎng)絡(luò)，更應(yīng)該考慮到網(wǎng)絡(luò)安全的重要性，一旦重要的信息泄露，將會給國家造成巨大的損失。而據(jù)調(diào)查，我國電子商務(wù)類網(wǎng)站中90%以上存在信息安全問題。有近80%的公司至少每周在網(wǎng)絡(luò)上要被大規(guī)模的入侵一次，并且一旦黑客找到系統(tǒng)的薄弱環(huán)節(jié)，所有用戶都會遭殃。僅在美國每年因計算機犯罪所造成的直接經(jīng)濟損失就達150億美元。病毒給每個計算機用戶和企業(yè)帶來了無法估量和彌補的損失。幾乎所有的企業(yè)都不同程度的遭受過病毒的侵襲。隨著網(wǎng)絡(luò)上電子商務(wù)，電子政務(wù)，數(shù)字貨幣、網(wǎng)絡(luò)教學(xué)等新興業(yè)務(wù)的興起，網(wǎng)絡(luò)安全問題變得越來越重要。證券行業(yè)網(wǎng)絡(luò)安全及網(wǎng)絡(luò)管理解決方案上海方正科技軟件有限公司2003年4月目錄第一章 網(wǎng)絡(luò)安全現(xiàn)狀和方正軟件公司定位介紹 4第二章 證券網(wǎng)絡(luò)系統(tǒng)安全需求分析說明 5第一節(jié) 證券行業(yè)普遍拓撲結(jié)構(gòu) 5第二節(jié) 證券行業(yè)網(wǎng)絡(luò)安全風(fēng)險分析 7物理安全風(fēng)險分析 7鏈路傳輸風(fēng)險分析 7網(wǎng)絡(luò)結(jié)構(gòu)的安全風(fēng)險分析 7系統(tǒng)的安全風(fēng)險分析 8應(yīng)用的安全風(fēng)險分析 9管理的安全分析 10第三節(jié) 證券行業(yè)網(wǎng)絡(luò)安全需求分析 11證券行業(yè)網(wǎng)絡(luò)安全需求總體分析： 11訪問控制 11入侵檢測 12計算機病毒防治 12安全審計 13身份鑒別 13信息加密 14備份與恢復(fù) 14安全保密管理 14實時響應(yīng)和恢復(fù) 15第四章 網(wǎng)絡(luò)安全系統(tǒng)構(gòu)建原則 17第一節(jié) 證券網(wǎng)絡(luò)安全系統(tǒng)產(chǎn)品選型原則 17第二節(jié) 網(wǎng)絡(luò)安全方案設(shè)計原則 18第五章 證券系統(tǒng)網(wǎng)絡(luò)安全整體設(shè)計方案 20第一節(jié) 整體安全解決方案 21第二節(jié) 防火墻子系統(tǒng) 23第三節(jié) 入侵檢測與信息監(jiān)控子系統(tǒng) 25第四節(jié) VPN子系統(tǒng) 27第五節(jié) 網(wǎng)絡(luò)管理子系統(tǒng) 28第六節(jié) 網(wǎng)絡(luò)防病毒子系統(tǒng)及其他子系統(tǒng) 30第一章 網(wǎng)絡(luò)安全現(xiàn)狀和方正軟件公司定位介紹隨著計算機技術(shù)和通訊技術(shù)的飛速發(fā)展，網(wǎng)絡(luò)正逐步改變著人們的工作方式和生活方式，成為當(dāng)今社會發(fā)展的一個主題。網(wǎng)絡(luò)的開放性，互連性，共享性程度的擴大，特別是Internet的出現(xiàn)，使網(wǎng)絡(luò)的重要性和對社會的影響也越來越大。病毒是網(wǎng)絡(luò)安全最大的隱患，它對網(wǎng)絡(luò)的威脅占導(dǎo)致經(jīng)濟損失的安全問題的76%。目前全球已發(fā)現(xiàn)幾萬余種病毒樣本，并且以每月新增300多種的速度繼續(xù)破壞著網(wǎng)絡(luò)和單機上寶貴的信息資源。計算機網(wǎng)絡(luò)犯罪所造成的經(jīng)濟損失也令人吃驚。在全球平均每二十秒就發(fā)生一次網(wǎng)上入侵事件。面對計算機網(wǎng)絡(luò)的種種安全威脅，必須采取有力的措施來保證安全。信息網(wǎng)絡(luò)中的各種犯罪活動已經(jīng)嚴重地威脅著國家、企業(yè)的安全。網(wǎng)絡(luò)擴展的同時，信息也要求更加安全，實際上網(wǎng)絡(luò)與信息的安全是一個長期的、綜合的系統(tǒng)工程，存在于整個信息時代中。網(wǎng)絡(luò)與信息安全二者的有機結(jié)合需要能提供高技術(shù)和服務(wù)的公司。方正軟件通過自身的研發(fā)以及與國內(nèi)外著名IT公司的合作，形成了方正信息安全與網(wǎng)絡(luò)管理系統(tǒng)及方正中小企業(yè)電子商務(wù)應(yīng)用系統(tǒng)二大產(chǎn)品線。同時，公司又充分運用方正的品牌、技術(shù)、渠道優(yōu)勢，整合國內(nèi)外資源，不斷為廣大用戶提供最好的解決方案與應(yīng)用服務(wù)。具體典型拓撲如下：網(wǎng)絡(luò)拓撲結(jié)構(gòu)說明如上圖所示，整個證券公司網(wǎng)絡(luò)采用分層設(shè)計，可分為兩層：核心層：由高性能的中心三層交換機、數(shù)據(jù)庫磁盤陣列、業(yè)務(wù)服務(wù)器構(gòu)成網(wǎng)絡(luò)核心層（數(shù)據(jù)中心），主干網(wǎng)絡(luò)采用千兆以太網(wǎng)，保證了網(wǎng)絡(luò)性能。在數(shù)據(jù)中心里配置有前端服務(wù)器、中間件服務(wù)器和后臺數(shù)據(jù)庫服務(wù)器，數(shù)據(jù)庫服務(wù)器中存儲有大量戶頭、資金等敏感信息。遠程的營業(yè)部和交易所采用各種廣域網(wǎng)方式接如總部網(wǎng)絡(luò)。移動辦公者采用Access Server撥號進入總部網(wǎng)絡(luò)，訪問相關(guān)網(wǎng)絡(luò)資源?？偛烤W(wǎng)絡(luò)一般劃分為辦公網(wǎng)絡(luò)和業(yè)務(wù)網(wǎng)絡(luò)兩部分。第二節(jié) 證券行業(yè)網(wǎng)絡(luò)安全風(fēng)險分析網(wǎng)絡(luò)應(yīng)用給人們帶來了無盡的好處，但隨著網(wǎng)絡(luò)應(yīng)用擴大網(wǎng)絡(luò)安全風(fēng)險也變得更加嚴重和復(fù)雜。而這些風(fēng)險與網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)和系統(tǒng)的應(yīng)用等因素密切相關(guān)。物理安全的風(fēng)險主要有： 地震、水災(zāi)、火災(zāi)等環(huán)境事故造成整個系統(tǒng)毀滅； 電源故障造成設(shè)備斷電以至操作系統(tǒng)引導(dǎo)失敗或數(shù)據(jù)庫信息丟失； 設(shè)備被盜、被毀造成數(shù)據(jù)丟失或信息泄漏； 電磁輻射可能造成數(shù)據(jù)信息被竊取或偷閱； 報警系統(tǒng)的設(shè)計不足可能造成原本可以防止但實際發(fā)生了的事故。網(wǎng)絡(luò)安全不僅是入侵者到證券網(wǎng)絡(luò)內(nèi)部網(wǎng)上進行攻擊、竊取或其它破壞，黑客完全有可能在傳輸線路上安裝竊聽裝置，竊取你在網(wǎng)上傳輸?shù)闹匾獢?shù)據(jù)，再通過一些技術(shù)讀出數(shù)據(jù)信息，造成泄密或者做一些篡改來破壞數(shù)據(jù)的完整性；以上種種不安全因素都對網(wǎng)絡(luò)構(gòu)成嚴重的安全危脅。并通過數(shù)字簽名及認證技術(shù)來保數(shù)據(jù)在網(wǎng)上傳輸?shù)恼鎸嵭浴C密性、可靠性及完整性?；贗nternet公網(wǎng)的開放性、國際性與自由性，在公司員工享受Internet的信息共享的好處同時，內(nèi)部網(wǎng)絡(luò)將面臨非常嚴重的安全威脅。證券公司內(nèi)部網(wǎng)絡(luò)中擁有非常重要的信息。透過網(wǎng)絡(luò)傳播，還會影響到與本系統(tǒng)網(wǎng)絡(luò)有連接的外單位網(wǎng)絡(luò)；影響所及，還可能涉及和證券相連的證交所和銀行等安全敏感領(lǐng)域。如：入侵者通過Sniffer等嗅探程序來探測掃描網(wǎng)絡(luò)及操作系統(tǒng)存在的安全漏洞，如網(wǎng)絡(luò)IP地址、應(yīng)用操作系統(tǒng)的類型、開放哪些TCP/UDP端口號、系統(tǒng)保存用戶名和口令等安全信息的關(guān)鍵文件等，