【正文】 、改變網(wǎng)絡拓撲、改變設備配置、升級系統(tǒng)等。 2) 網(wǎng)絡恢復小組：負責恢復整個網(wǎng)絡基礎設施，如線路、路由器、交換機等功能。 4) 數(shù)據(jù)庫恢復小組：負責數(shù)據(jù)庫系統(tǒng)的修復、重起、數(shù)據(jù)恢復和加載，是數(shù)據(jù)庫系統(tǒng)平穩(wěn)運行起來； 5) 應用恢復小組：負責整個應用系統(tǒng)的恢復，為重新業(yè)務系統(tǒng)開始運行做最后的準備。其中安全產(chǎn)品的集成便涉及如何選擇網(wǎng)絡安全產(chǎn)品？在進行網(wǎng)絡安全產(chǎn)品選型時，應該要求網(wǎng)絡安全產(chǎn)品滿足兩方面的要求：一是安全產(chǎn)品必須符合國家有關安全管理部門的政策要求；二是安全產(chǎn)品的功能與性能要求。 安全產(chǎn)品獲得中國信息安全產(chǎn)品測評認證中心的測評認證。 安全產(chǎn)品的選型原則 證券網(wǎng)絡安全系統(tǒng)的設計 從安全產(chǎn)品選擇考慮 了 產(chǎn)品功能、性能、運行穩(wěn)定性以及擴展性，并且對安全產(chǎn)品，還考查其產(chǎn)品自身的安全性。 計算機網(wǎng)絡的各個環(huán)節(jié)，包括個人 (使用、維護、管理 )、設備 (含設施 )、軟件 (含應用系統(tǒng) )、數(shù)據(jù)等，在網(wǎng)絡安全中的地位和影響作用，也只有從系統(tǒng)整體的角度去看待、分析，才可能得到有效、可行的措施。計算機網(wǎng)絡安全應遵循整體安全性原則，根據(jù)確定的安全策略制定出合理的網(wǎng)絡體系結構及網(wǎng)絡安全體系結構 。網(wǎng)絡中相同安全級別的保密強度要一致。 集中性原則 ：所有的產(chǎn)品要求在網(wǎng)絡或數(shù)據(jù)中心可以進行集中管理，這樣才能保證在網(wǎng)絡或數(shù)據(jù)中心的服務器上可以掌握全局。但是建立一個多重保護系統(tǒng)，各層保護相互補充，當一層保護被攻破時，其它層保護仍可保護信息的安全。 可擴展原則 ：隨著網(wǎng)絡規(guī)劃和規(guī)模的改變，以后必然會有新的需求，因此在設計時必須考慮該因素。 可評價性原則 ： 如何預先評價一個安全設計并驗證其網(wǎng)絡的安全性，這需要通過國家有關網(wǎng)絡信息安全測評認證機構的評估來實現(xiàn)。網(wǎng)絡安全的整體性是指一個安全系統(tǒng)的建立，即包括采用相應的安全設備，又 包括相應的管理手段。網(wǎng)絡安全的動態(tài)性是指，網(wǎng)絡安全是隨著環(huán)境、時間的變化而變化的，在一定環(huán)境下是安全的系統(tǒng)，環(huán)境發(fā)生變化了（如更換了某個機器），原來安全的系統(tǒng)就變的不安全了；在一段時間里安全的系統(tǒng)，時間發(fā)生變化了（如今天是安全的系統(tǒng)，可能因為黑客發(fā)現(xiàn)了某種系統(tǒng)的漏洞，明天就會變的不安全了），原來的系統(tǒng)就會變的不安全。 針對安全體系的特性，我們可以采用 統(tǒng)一規(guī)劃、分步實施 的原則。隨著今后應用的種類和復雜程度的增加，再在原來基礎防護體系之上，建立增強的安全防護體系。 第五章 證券系統(tǒng)網(wǎng)絡安全整體設計方案 本方案旨在為證券行業(yè)網(wǎng)絡提供全面的網(wǎng)絡系統(tǒng)安全解決方案，網(wǎng)絡 安 全是分層次的，需要在不同層次解決不同的安全問題。 通過部署不同類型的安全產(chǎn)品，實現(xiàn)對不同層次、不同類別網(wǎng)絡安全問題的防護。 針對上面的安全層次，結合證券網(wǎng)絡系統(tǒng)的實際情況和需求，采用一系列產(chǎn)品搭建安全防范體系，安全解決方案中包括以下幾個部分： 1) 網(wǎng) 絡安全整體系統(tǒng) 2) 防 火墻子系統(tǒng) 3) 入 侵檢測與信息監(jiān)控子系統(tǒng) 4) VPN 子系統(tǒng) 5) 網(wǎng)絡管理子系統(tǒng) 6) 網(wǎng) 絡防病毒系統(tǒng) 7) 安 全審計子系統(tǒng) 8) 身 份認證子系統(tǒng) 第一節(jié) 整體 安全解決方案 整體安全系統(tǒng)設計如下： 安全系統(tǒng)設計說明 主要考慮通用的證券行業(yè)目前網(wǎng)絡的實際應用情況，對局域網(wǎng)總部的核心服務器進行最關鍵的保護。取消所有的 Access Server 聯(lián)入公司局域網(wǎng)的方式，使用虛擬局域網(wǎng)（ VPN）技術，在移動用戶訪問公司網(wǎng)絡時，不僅方便使用，而且進行數(shù)據(jù)傳輸加密。這樣可以防止各地營業(yè)部對總部網(wǎng)絡關鍵數(shù)據(jù)的非故意的訪問造成 的危害，而且也能防止網(wǎng)絡病毒通過此鏈路傳播。 4） 使用方通防火墻和方正 Sniper 的信息審計功能，建立信息審計和防信息泄漏系統(tǒng)，對主要的網(wǎng)絡協(xié)議（比如 smtp、 tel 等等）的 網(wǎng)絡行為進行記錄，供網(wǎng)絡管理人員進行信息審計。此外，通過數(shù)據(jù)庫和服務器自身的操作記錄日志審計功能，建立起完善的訪問審計系統(tǒng)。 6） 在全網(wǎng)實施網(wǎng)絡防病毒產(chǎn)品，在各個服務器上安裝熊貓防病毒服務器版，在各個桌面計算機上配置熊貓網(wǎng)絡防病毒客戶端產(chǎn)品，通過 Inter 的定期更新病毒庫，保證整個證券網(wǎng)絡一直保持最新的防病毒能力，不被 最新爆發(fā)的病毒感染。對于整個網(wǎng)絡目前鏈路的情況也可以通過網(wǎng)管軟件實時了解情況。兩套網(wǎng)管系統(tǒng)互相補充，可以做到網(wǎng)絡管理最優(yōu)的效果。 9） 建議在全網(wǎng)中安裝操作系統(tǒng)、數(shù)據(jù)備份系統(tǒng)，定期對重點服務器提供數(shù)據(jù)備份。 11） 建立、健全信息安全的管理手段和措施，包括相應的安全制度、規(guī)章和慣例等，并指定專人定期進行相關工作。在此拓撲結構下，總部網(wǎng)絡需要 3 臺防火墻和一臺 VPN 對所有出口進行防護。這時， DMZ區(qū)域中的服務器就成為了內(nèi)部網(wǎng)絡和外部網(wǎng)絡的中間地帶，成為了堡壘主機，可以提 高證券公司內(nèi)部網(wǎng)絡的安全性，降低安全風險。主要作用是使外部網(wǎng)絡只有經(jīng)過了防火墻授權的數(shù)據(jù)流量才能進入公司內(nèi)部局域網(wǎng)。與銀行的網(wǎng)絡連接，由于一般使用“銀證通”的系統(tǒng)， PC 服務器采用雙網(wǎng)卡、硬件隔離卡，同時只能連接在證券公司或者銀行網(wǎng)絡任意一端，每天結算一次帳戶信 息，因此可以保證網(wǎng)絡安全，故不考慮接入防火墻。 由于每個營業(yè)所計算機點數(shù)不會很多，建議使用方通防火墻 100 型號；由于各地營業(yè)所均與在總部通訊，因此與證交所網(wǎng)絡、本地營業(yè)部、外地營業(yè)部連接線路的路由器后接入方通防火墻 1000 型號；在與 Inter 網(wǎng)絡連接的網(wǎng)絡中，我們建議接入方通 VPN20xx，方通VPN20xx 不僅帶有防火墻功 能，而且?guī)в袕姶蟮?VPN 功能。在移動辦公人員的計算機上安裝方正 VPN client軟件，無論移動辦公使用 modern 撥號還是用寬帶上網(wǎng)，都可以對公司內(nèi)部局域網(wǎng)進行加密通訊，感覺就像在公司局域網(wǎng)內(nèi)一樣。方正 Sniper 入侵檢測設備是專業(yè)的入侵檢測設備，它可以對各種入侵行為作出反應，而且和方通防火墻聯(lián)通良好。 此外，方正 Sniper 支持 8 塊網(wǎng)卡，我們在中心交換機上配置映射口，使得在影射口上可以監(jiān)聽到交換機上其他所有端口的信息數(shù)據(jù)，從 Sniper 服務器上另外接出兩塊千兆光纖網(wǎng)卡聯(lián)入總部網(wǎng)絡的兩個中心交換機的映射口，這樣 內(nèi)部人員互相訪問的數(shù)據(jù)同樣可以通過方正 Sniper 進行監(jiān)視和控制，防止內(nèi)部員工的網(wǎng)絡攻擊行為和非法訪問行為。我們可以借助方正 Sniper 建立證券網(wǎng)絡內(nèi)部的信息審計系統(tǒng)，可以記錄下所有網(wǎng)絡上的 數(shù)據(jù)、 tel 數(shù)據(jù)、共享文件夾訪問情況和 Inter 訪問情況等等，使網(wǎng)絡管理人員能清楚地了解網(wǎng)絡實際運行情況，并審計網(wǎng)絡數(shù)據(jù)流，防止信息泄漏和垃圾郵件、騷擾郵件地 濫發(fā)。 方正 Sniper 采用 B/S 的架構，在任意的 Windows 環(huán)境下，采用 以上的瀏覽器都可以通過 SSL 連接到 Sniper 服務器上進行管理，方便可靠。但是，這些移動辦公人員的數(shù) 據(jù)在公網(wǎng)上傳輸會帶來很大的安全隱患，為了防止數(shù)據(jù)被竊聽和篡改，我們使用方正 VPN 作為解決方法。 我們在證券公司接入 Inter 的鏈路上配置方正方通 VPN 20xx，在內(nèi)部局域網(wǎng)配置一臺 VPN 控制中心，安裝 VPN 控制中心（ Center 20xx），這個 VPN 控制中心定義每個 VPN客戶端的訪問權限，可以使不同的 VPN 客戶端擁有不同訪問局域網(wǎng) 的權限。 第五節(jié) 網(wǎng)絡管理子系統(tǒng) 網(wǎng)絡管理子系統(tǒng)如下： 網(wǎng)絡管理子系統(tǒng)配置說明： 在網(wǎng)絡中心建立網(wǎng)絡管理中心，配置網(wǎng)管服務器，安裝方正 Netinway Pro產(chǎn)品。通過 Netinway Pro 產(chǎn)品生成整個網(wǎng)絡拓撲，對整個證 券網(wǎng)絡的各個端口的實時狀況、實時流量進行檢測，對于關鍵的服務器流量異常時及時報警通知網(wǎng)絡管理員。 由于證券網(wǎng)絡中設備大多數(shù)屬于 Cisco 設備，因此建議同時使用 Cisco Works 20xx 軟件， Works 20xx 可以對數(shù)據(jù)線路的情況做實時的檢測，而且也可以對 Cisco 設備做細致的配置工作。 在辦公網(wǎng)絡安裝方正 Netinhand 桌面管理軟件，可以大幅度減輕網(wǎng)絡管理員的日常維護工作。 Netinhand 還可以讓管理員在管理端通過抓取客戶端計算機的界面直接操作客戶端計算機，達到遠程控制的目的。 第六節(jié) 網(wǎng)絡防病毒子系統(tǒng)及其他子系統(tǒng) 網(wǎng)絡防病毒子系統(tǒng)如下： 防病毒子系統(tǒng)配置說明 在整個證券網(wǎng)絡中實施熊貓防 病毒軟件。在整個證券網(wǎng)絡內(nèi)部，都是指定這臺防病毒代理服務器為升級病毒庫服務器，也是每天把整個證券網(wǎng)絡中的所有服務器和桌面 PC 升級到最新版本。這樣，整個網(wǎng)絡一直處于熊貓軟件的防護下，而且及時更新病毒庫，如果在管理上能保證不濫用網(wǎng)絡資源，可以說，整個網(wǎng)絡對病毒的防范能力是非常高的。 每個操作系統(tǒng)、應用程序（數(shù)據(jù)庫）、防火墻、入侵檢測系統(tǒng)和網(wǎng)管軟件都擁有自己的日志審計系統(tǒng)，每個都記錄下來了很多有用的信息，網(wǎng)絡管理人員應該定期地仔細查看審計各 個系統(tǒng)的日志信息，分析出可能存在的問題，通過修改各個系統(tǒng)的配置來達到性能的最優(yōu)化。對于內(nèi)部員工也使用數(shù)字證書來進行身份認證，保證每個人擁有適當?shù)脑L問權限，達到管理層面上的網(wǎng)絡