證券公司網(wǎng)絡(luò)安全方案

XX證券股份有限公司

網(wǎng)絡(luò)安全方案

建議書美國(guó)網(wǎng)絡(luò)聯(lián)盟公司錯(cuò)誤!未定義書簽。TOC\o"1-5"\h\z\o"CurrentDocument"概述 6\o"CurrentDocument"xx證券股份有限公司網(wǎng)絡(luò)安全項(xiàng)目的建設(shè)意義 6\o"CurrentDocument"xx證券股份有限有限公司的網(wǎng)絡(luò)現(xiàn)狀 6\o"CurrentDocument"物理結(jié)構(gòu) 6\o"CurrentDocument"網(wǎng)絡(luò)結(jié)構(gòu) 6\o"CurrentDocument"xx證券股份有限有限公司的主要網(wǎng)絡(luò)安全威脅 8xx證券股份有限有限公司的網(wǎng)絡(luò)安全需求分析 9總體需求分析 9\o"CurrentDocument"xx證券股份有限有限公司網(wǎng)絡(luò)安全的系統(tǒng)目標(biāo) 11\o"CurrentDocument"近期目標(biāo) 11遠(yuǎn)期目標(biāo) 11\o"CurrentDocument"總體規(guī)劃 12\o"CurrentDocument"安全體系結(jié)構(gòu) 12\o"CurrentDocument"安全體系層次模型 12物理層 12鏈路層 12網(wǎng)絡(luò)層 13操作系統(tǒng) 13應(yīng)用平臺(tái) 13應(yīng)用系統(tǒng) 13安全體系設(shè)計(jì) 13安全體系設(shè)計(jì)原則 131),需求、風(fēng)險(xiǎn)、代價(jià)平衡分析的原則: 132).綜合性、整體性原則: 133),一致性原則: 134),易操作性原則: 14.適應(yīng)性、靈活性原則 14.多重保護(hù)原則 14\o"CurrentDocument"網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析 14\o"CurrentDocument"網(wǎng)絡(luò)安全策略 14\o"CurrentDocument"安全管理原則 14\o"CurrentDocument"安全管理的實(shí)現(xiàn) 15\o"CurrentDocument"網(wǎng)絡(luò)安全設(shè)計(jì) 15\o"CurrentDocument"安全產(chǎn)品選型原則 16\o"CurrentDocument"網(wǎng)絡(luò)安全方案設(shè)計(jì) 16\o"CurrentDocument"整體結(jié)構(gòu)安全建議描述 17.內(nèi)部網(wǎng)絡(luò)系統(tǒng):包括: 17.外部網(wǎng)絡(luò)系統(tǒng):包括: 17\o"CurrentDocument"對(duì)Internet服務(wù)網(wǎng)段 18營(yíng)的網(wǎng)^^ 19\o"CurrentDocument"內(nèi)部系統(tǒng)及部門之間連接安全分析和建議 20內(nèi)部用戶通過撥號(hào)服務(wù)器與遠(yuǎn)程用戶進(jìn)行通信安全優(yōu)化 21外部用戶訪問公司網(wǎng)站安全分析和建議 21\o"CurrentDocument"本方案中防火墻提供的安全措施 22\o"CurrentDocument"防火墻系統(tǒng)的局限性 22防病毒的整體解決方案 23病毒防護(hù)的必要性和發(fā)展趨勢(shì) 23\o"CurrentDocument"xx證券股份有限有限公司的多層病毒防御體系 23客戶端的防病毒系統(tǒng) 24服務(wù)器的防病毒系統(tǒng) 24\o"CurrentDocument"Internet的防病毒系統(tǒng) 24\o"CurrentDocument"防黑客的整體解決方案 25\o"CurrentDocument"基于主機(jī)及網(wǎng)絡(luò)的保護(hù) 25\o"CurrentDocument"主動(dòng)的防御體系 26\o"CurrentDocument"防火墻與防火墻 26\o"CurrentDocument"防火墻與入侵檢測(cè)系統(tǒng) 26\o"CurrentDocument"防火墻與防病毒 28\o"CurrentDocument"安全的評(píng)估方案 29\o"CurrentDocument"安全產(chǎn)品的平臺(tái)建議 29防病毒產(chǎn)品 30桌面保護(hù)套件:VirusScanSecuritySuite(VSS) 30服務(wù)器保護(hù)套件:NetshieldSecuritySuite(NSS) 30網(wǎng)關(guān)保護(hù)套件:InternetSecuritySuite(ISS) 30建議在WindowsNT或UNIX 30防火墻產(chǎn)品一Gauntlet 30技術(shù)規(guī)范 30入侵檢測(cè)與風(fēng)險(xiǎn)評(píng)估套件 31安全產(chǎn)品升級(jí) 31\o"CurrentDocument"防病毒系統(tǒng)的升級(jí) 32\o"CurrentDocument"入侵檢測(cè)系統(tǒng)和防火墻產(chǎn)品的升級(jí) 32這兩類產(chǎn)品的升級(jí)為ー年內(nèi)免費(fèi)升級(jí),并享受長(zhǎng)期的升級(jí)支持。 32\o"CurrentDocument"本方案的擴(kuò)充 32\o"CurrentDocument"加密和身份認(rèn)證 32\o"CurrentDocument"內(nèi)部網(wǎng)絡(luò)安全 33\o"CurrentDocument"xx證券股份有限有限公司系統(tǒng)的安全 33\o"CurrentDocument"安全策略制度 33\o"CurrentDocument"本方案的特點(diǎn) 33\o"CurrentDocument"實(shí)施計(jì)劃 35\o"CurrentDocument"項(xiàng)目建立 35\o"CurrentDocument"項(xiàng)目保障 35.良好的組織 35.嚴(yán)格的管理 35(3),文擋的管理 35\o"CurrentDocument"應(yīng)用實(shí)施 35).項(xiàng)目實(shí)施范圍 35).提供服務(wù)的內(nèi)容 351),網(wǎng)絡(luò)安全系統(tǒng)需求分析 362),網(wǎng)絡(luò)安全系統(tǒng)客戶化 36.網(wǎng)絡(luò)安全系統(tǒng)的測(cè)試 36.網(wǎng)絡(luò)安全系統(tǒng)的試運(yùn)行 36.網(wǎng)絡(luò)安全系統(tǒng)的正式運(yùn)行 36\o"CurrentDocument"實(shí)施進(jìn)度表 36\o"CurrentDocument"技術(shù)支持與服務(wù) 38\o"CurrentDocument"支持中心人員配備 38\o"CurrentDocument"支持中心資源配備 38\o"CurrentDocument"熱線電話 38Mcfsstt@vcn 錯(cuò)誤!未定義書簽。\o"CurrentDocument"WorldWideWeb 38支持產(chǎn)品庫(kù) 38\o"CurrentDocument"技術(shù)支持與服務(wù) 38\o"CurrentDocument"服務(wù)內(nèi)容 38服務(wù)方式 39服務(wù)類型 39\o"CurrentDocument"基礎(chǔ)技術(shù)支持(PrimarySupport) 39\o"CurrentDocument"優(yōu)先級(jí)服務(wù)(PrioritySupport) 39\o"CurrentDocument"高級(jí)技術(shù)支持(PremierSupport) 40\o"CurrentDocument"服務(wù)標(biāo)準(zhǔn) 40\o"CurrentDocument"電話技術(shù)支持服務(wù) 40電子郵件回復(fù)服務(wù) 40WorldWideWeb服務(wù) 40病毒特征碼更新介質(zhì)郵寄服務(wù) 40\o"CurrentDocument"緊急上門服務(wù) 40\o"CurrentDocument"顧問咨詢服務(wù) 41\o"CurrentDocument"產(chǎn)品配置及報(bào)價(jià) 42\o"CurrentDocument"附錄A:公司介紹 43\o"CurrentDocument"A1.公司簡(jiǎn)介 43\o"CurrentDocument"附錄B： NAI產(chǎn)品介紹 43\o"CurrentDocument"A1.第一層安全屏障:計(jì)算機(jī)網(wǎng)絡(luò)病毒防護(hù)ーーMcAfeeTVD 43McAfeeTVD由三種安全產(chǎn)品套件組成: 44VirusScanSecurity Suite(VSS) 44VirusScanSecuritySuite 所含產(chǎn)品 44NetShieldSecuritySuite(NSS) 44NetShieldSecuritySuite所含產(chǎn)品 44NetShield 44InternetSecuritySuite(ISS) 44ISS套件所含內(nèi)容 44\o"CurrentDocument"第二層安全屏障:身份驗(yàn)證以及信息加密ー?PGPTNS 45PGPDesktopSuite提供對(duì)所有桌面的多平臺(tái)加密保護(hù)。 46PGPCertificatationServer 46第三層安全屏障:防火墻?ーGauntletInternetFirewall 46\o"CurrentDocument"第四層安全屏障：網(wǎng)絡(luò)漏洞探測(cè)及黑客探測(cè)ーー 48CybercopMonitor,CybercopScanner,CybercopSting,CASL 48\o"CurrentDocument"附錄C:美國(guó)網(wǎng)絡(luò)聯(lián)盟(NAI)公司簡(jiǎn)介 50NetTools51VISIBILITY 51SERVICE 51NetToolsSecure51McAfeeTotalVirusDefense(TVD) 51PGPTotalNetworkSecurity(TNS) 51NetToolsManager 51SnifferTotalNetworkVisibility(TNV) 52McAfeeTotalServiceDesk(TSD) 52市場(chǎng)份額: 521.概述XX證券股份有限公司網(wǎng)絡(luò)安全項(xiàng)目的建設(shè)意義ー方面,隨著計(jì)算機(jī)技術(shù)、信息技術(shù)的發(fā)展,計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)必將成為公司各項(xiàng)業(yè)務(wù)的關(guān)鍵平臺(tái)。另ー方面，隨著計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的發(fā)展，計(jì)算機(jī)網(wǎng)絡(luò)安全系統(tǒng)必將發(fā)揮越來(lái)越重要的作用。公司網(wǎng)絡(luò)安全系統(tǒng)的建立，必將為公司的業(yè)務(wù)信息系統(tǒng)、行政管理、信息交流提供ー個(gè)安全的環(huán)境和完整平臺(tái)。通過先進(jìn)技術(shù)建立起的網(wǎng)絡(luò)安全系統(tǒng)，可以從根本上解決來(lái)自網(wǎng)絡(luò)外部及內(nèi)部對(duì)網(wǎng)絡(luò)安全造成的各種威脅，以最優(yōu)秀的網(wǎng)絡(luò)安全整體解決方案為基礎(chǔ)形成一個(gè)更加完善的業(yè)務(wù)系統(tǒng)和辦公自動(dòng)化系統(tǒng)。利用高性能的網(wǎng)絡(luò)安全環(huán)境，提供整體防病毒、防火墻、防黑客、數(shù)據(jù)加密、身份驗(yàn)證等于一身的功能,有效地保證秘密、機(jī)密文件的安全傳輸，嚴(yán)格地制止經(jīng)濟(jì)情報(bào)失、泄密現(xiàn)象發(fā)生,避免重大經(jīng)濟(jì)案件的發(fā)生。另外，公司在當(dāng)前總部的網(wǎng)絡(luò)安全和今后的信息安全上取得的技術(shù)成果，將裝備到各級(jí)機(jī)構(gòu)。因此，本項(xiàng)目的實(shí)施可以達(dá)到預(yù)期的經(jīng)濟(jì)及社會(huì)效益。xx證券股份有限有限公司的網(wǎng)絡(luò)現(xiàn)狀XX證券股份有限有限公司管理信息網(wǎng)是根據(jù)管理需求,采用國(guó)際上先進(jìn)的、成熟的、開放的網(wǎng)絡(luò)技術(shù)建立起來(lái)的管理網(wǎng)絡(luò)。安全網(wǎng)絡(luò)的建成,對(duì)于宏觀調(diào)控、預(yù)測(cè)、決策,更好地實(shí)現(xiàn)XX證券股份有限中央的監(jiān)管職能起到了積極的作用。物理結(jié)構(gòu)公司的服務(wù)器及重要網(wǎng)絡(luò)設(shè)備都存放在公司的主機(jī)房?jī)?nèi)，主機(jī)房與外部之間沒有很好的進(jìn)行物理上的隔離，其他非IT人員也能夠不通過任何安全防范措施進(jìn)入機(jī)房。系統(tǒng)結(jié)構(gòu)公司服務(wù)器使用的操作系統(tǒng)以Netware,NT為主，還有部分的Unxi服務(wù)器。Netware.NT,Unix的補(bǔ)丁程序都不是最新的程序，對(duì)某些安全漏洞及Y2k問題沒有進(jìn)行相應(yīng)的升級(jí)。網(wǎng)絡(luò)結(jié)構(gòu)公司的網(wǎng)絡(luò)大致結(jié)構(gòu)示意圖,如下圖所示:

對(duì)網(wǎng)絡(luò)結(jié)構(gòu)的具體描述:1）外部用戶訪問網(wǎng)上交易主機(jī)外部用戶通過Internet來(lái)訪問網(wǎng)上交易主機(jī),網(wǎng)上交易主機(jī)作為前置機(jī)讓外部用戶進(jìn)行查詢,前置機(jī)使用并口線（RS232）與后臺(tái)的服務(wù)器進(jìn)行連接,當(dāng)用戶需要進(jìn)行證券交易時(shí),向交易主機(jī)發(fā)出需要購(gòu)進(jìn)或拋出的股票的請(qǐng)求,交易主機(jī)再把客戶的信息傳給后臺(tái)的處理服務(wù)器,完成整個(gè)交易過程。2）外部用戶訪問公司網(wǎng)站外部用戶可以通過Internet訪問公司的網(wǎng)站，網(wǎng)站服務(wù)器現(xiàn)托管在電信局，與公司內(nèi)部沒有固定的連接。當(dāng)管理員需要對(duì)網(wǎng)站進(jìn)行維護(hù)的時(shí)候,通過撥號(hào)的方式。當(dāng)遠(yuǎn)程管理網(wǎng)站服務(wù)器時(shí)，因?yàn)闆]有用到VPN的方式,可能有被竊聽的可能。3）內(nèi)部用戶訪問外部?jī)?nèi)部用戶通過分別撥號(hào)上網(wǎng)的方式與外部進(jìn)行信息的交流，可以撥號(hào)上網(wǎng)的Modem可能會(huì)有十幾個(gè)。使用各種服務(wù)對(duì)萬(wàn)步進(jìn)行訪問如:http,ftp,telnet,smtp,pop3,realvideo,realaudio等等。4）交易所與各個(gè)營(yíng)業(yè)點(diǎn)之間的連接交易所內(nèi)部與各個(gè)營(yíng)業(yè)點(diǎn)之間的連接時(shí)通過專線的方式,使用了3com的路由器及由電信提供的CSU/DSU設(shè)備?，F(xiàn)ー共有16個(gè)營(yíng)業(yè)點(diǎn)。當(dāng)數(shù)據(jù)由各個(gè)營(yíng)業(yè)點(diǎn)傳送到此后，再通過集中的服務(wù)器進(jìn)行業(yè)務(wù)處理。5）內(nèi)部系統(tǒng)之間的連接公司的內(nèi)部網(wǎng)絡(luò)主要分為網(wǎng)上交易系統(tǒng)、集中報(bào)盤系統(tǒng)、OA系統(tǒng)、監(jiān)控系統(tǒng)。這四個(gè)系統(tǒng)之間相互連接沒有通過物理或邏輯的方式進(jìn)行分割。所以各個(gè)系統(tǒng)之間可以相互對(duì)文件及數(shù)據(jù)進(jìn)行傳輸。6）內(nèi)部部門之間的連接公司的各個(gè)部門之間的網(wǎng)絡(luò)是相互連接的,對(duì)重要部門沒有進(jìn)行很好的安全保護(hù),用戶可通過自己的計(jì)算機(jī)訪問本部門和其他重要部門的數(shù)據(jù)。使用的交換機(jī)沒有對(duì)網(wǎng)絡(luò)劃分VLAN或使用子網(wǎng)掩碼的方式劃分部門之間的子網(wǎng)。7）其他因?yàn)閷?duì)公司的了解并不是很深,只是對(duì)現(xiàn)了解到的情況進(jìn)行分析,希望公司看過本方案以后能夠提供更多的網(wǎng)絡(luò)連接,部門之間通訊的情況。其他對(duì)公司的網(wǎng)絡(luò)整體的分析還包括人員管理，應(yīng)用服務(wù)系統(tǒng)。但因?yàn)閷?duì)公司的這些情況并不了解,所以暫時(shí)沒有進(jìn)行描述。人員管理是指公司通過網(wǎng)絡(luò)系統(tǒng)進(jìn)行工作的流程,公司對(duì)用戶權(quán)限、密碼的設(shè)置，對(duì)網(wǎng)絡(luò)管理員、系統(tǒng)管理員、設(shè)備管理員等計(jì)算機(jī)管理人的責(zé)權(quán)劃分。應(yīng)用服務(wù)系統(tǒng)是指主機(jī)系統(tǒng)上使用的應(yīng)用軟件,如:Web服務(wù)器、信息交易系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng),辦公自動(dòng)化系統(tǒng)等等。13.xx證券股份有限有限公司的主要網(wǎng)絡(luò)安全威脅由于XX證券股份有限有限公司的管理信息網(wǎng)上的網(wǎng)絡(luò)體系越來(lái)越復(fù)雜,應(yīng)用系統(tǒng)越來(lái)越多,網(wǎng)絡(luò)規(guī)模不斷擴(kuò)大,逐漸由Intranet發(fā)展到Extranet,現(xiàn)在已經(jīng)擴(kuò)展到Internet,網(wǎng)絡(luò)用戶也已經(jīng)不單單為內(nèi)部用戶。而網(wǎng)絡(luò)安全主要是由處于中心節(jié)點(diǎn)的相關(guān)連接廣域網(wǎng)的路由器直接承擔(dān)對(duì)外部用戶的訪問控制工作，且內(nèi)部網(wǎng)絡(luò)直接與外部網(wǎng)絡(luò)相連，對(duì)整個(gè)網(wǎng)絡(luò)安全形成了巨大的威脅。具體分析，對(duì)xx證券股份有限有限公司網(wǎng)絡(luò)安全構(gòu)成威脅的主要因素有:1）內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的連接為直接連接,外部用戶不但可以訪問對(duì)外服務(wù)的服務(wù)器,同時(shí)也容易地訪問內(nèi)部的網(wǎng)絡(luò)服務(wù)器，這樣，由于內(nèi)部和外部沒有隔離措施，內(nèi)部系統(tǒng)較容易遭到攻擊。2）來(lái)自內(nèi)部網(wǎng)的病毒的破壞;3）內(nèi)部用戶的惡意攻擊、誤操作，但由于目前發(fā)生的概率較小,本部分暫不作考慮。4）來(lái)自外部網(wǎng)絡(luò)的攻擊，具體有三條途徑：令I(lǐng)nternet連接的部分;ぐ與各分部連接的部分:5）外部網(wǎng)的破壞主要的方式為：令黑客用戶的惡意攻擊、竊取信息,令通過網(wǎng)絡(luò)傳送的病毒和Internet的電子郵件夾帶的病毒。令來(lái)自Internet的Web瀏覽可能存在的惡意Java/AcliveX控件。6)缺乏有效的手段監(jiān)視、評(píng)估網(wǎng)絡(luò)系統(tǒng)和操作系統(tǒng)的安全性。目前流行的許多操作系統(tǒng)均存在網(wǎng)絡(luò)安全漏洞,如UNIX服務(wù)器,NT服務(wù)器及Windows桌面PC。7)缺乏ー套完整的安全策略、政策。其中，目前最主要的安全威脅是來(lái)自網(wǎng)絡(luò)外部用戶(主要是分公司用戶和Internet用戶)的攻擊。XX證券股份有限有限公司的網(wǎng)絡(luò)安全需求分析總體需求分析在XX證券股份有限有限公司信息網(wǎng)中，目前我們視各分公司和及!nternet為外部網(wǎng)絡(luò)，xx證券股份有限有限公司樓內(nèi)的局域網(wǎng)為內(nèi)部網(wǎng)。1)?來(lái)自于外部網(wǎng)絡(luò)的訪問，除有特定的身份認(rèn)證外,只能到達(dá)指定的訪問目的地，不能訪問內(nèi)部資源。.網(wǎng)絡(luò)內(nèi)部用戶對(duì)外的訪問必須經(jīng)過授權(quán)才能訪問外部的Server。授權(quán)和代理由防火墻來(lái)完成。.對(duì)于外部網(wǎng)絡(luò)來(lái)說(shuō),內(nèi)部網(wǎng)絡(luò)的核心一交換機(jī)是不可見的，交換機(jī)作為樓內(nèi)網(wǎng)絡(luò)的一部分。4),外部網(wǎng)絡(luò)不能直接對(duì)內(nèi)部網(wǎng)絡(luò)進(jìn)行訪問，外部網(wǎng)絡(luò)客戶訪問內(nèi)部Server時(shí)通過外部服務(wù)提供設(shè)備進(jìn)行,該外部服務(wù)提供設(shè)備起到訪問的中介作用，保證了內(nèi)部關(guān)鍵信息資源的安全。5),外部服務(wù)提供設(shè)備與內(nèi)部的dBServer之間數(shù)據(jù)交換應(yīng)安全審慎，可選取方式:令禁止兩者之間鏈路通訊,數(shù)據(jù)交換采用文件拷貝方式;令兩者之間采用加密通訊:兩者之間授權(quán)訪問，通過外部服務(wù)提供設(shè)備進(jìn)行代理。1.4.2.具體各子系統(tǒng)的安全需求XX證券股份有限有限公司網(wǎng)絡(luò)部署了眾多的網(wǎng)絡(luò)設(shè)備、服務(wù)器,保護(hù)這些設(shè)備的正常運(yùn)行,維護(hù)主要業(yè)務(wù)系統(tǒng)的安全,是XX證券股份有限有限公司網(wǎng)絡(luò)的基本安全需求。XX證券股份有限有限公司網(wǎng)絡(luò)為多級(jí)應(yīng)用網(wǎng)絡(luò)系統(tǒng)，對(duì)于各級(jí)子系統(tǒng)均在不同程度上要求充分考慮網(wǎng)絡(luò)安全。.交易業(yè)務(wù)系統(tǒng)的安全需求:與普通網(wǎng)絡(luò)應(yīng)用不同的是，業(yè)務(wù)系統(tǒng)是XX證券股份有限XX證券股份有限應(yīng)用的核心。XX證券股份有限有限公司的業(yè)務(wù)系統(tǒng)包括總部和分部所有的業(yè)務(wù)系統(tǒng)。對(duì)于業(yè)務(wù)系統(tǒng)應(yīng)該具有最高的網(wǎng)絡(luò)安全措施。XX證券股份有限有限公司網(wǎng)絡(luò)應(yīng)保障:ぐ訪問控調(diào)，確保業(yè)務(wù)系統(tǒng)不被非法訪問。即禁止外部用戶間的非法訪問。ぐ數(shù)據(jù)安全,保證各類服務(wù)器系統(tǒng)的整體安全性和可靠性。ぐ入侵檢測(cè),對(duì)于試圖破壞業(yè)務(wù)系統(tǒng)的惡意行為能夠及時(shí)發(fā)現(xiàn)、記錄和跟蹤，提供非法攻擊的犯罪證據(jù)。令來(lái)自網(wǎng)絡(luò)內(nèi)部其他系統(tǒng)的破壞，或誤操作造成的安全隱患。.Internet服務(wù)平臺(tái)的安全需求：Internet服務(wù)平臺(tái)分為兩個(gè)部分:提供Xx證券股份有限公司的網(wǎng)絡(luò)用戶對(duì)Internet的訪問;提供Internet對(duì)公司網(wǎng)內(nèi)服務(wù)的訪問。公司內(nèi)網(wǎng)絡(luò)客戶對(duì)Internet的訪問，有可能帶來(lái)某些類型的網(wǎng)絡(luò)安全。如通過電子郵件、FTP引入病毒、危險(xiǎn)的Java或AetiveX應(yīng)用等。因此，需要在網(wǎng)絡(luò)內(nèi)對(duì)上述情況提供集成的網(wǎng)絡(luò)病毒檢測(cè)、消除等操作。提供給!nternet的網(wǎng)絡(luò)服務(wù)按照應(yīng)用類型可分為:ぐ普通服務(wù):該種服務(wù)通常需要保障系統(tǒng)抵抗和檢測(cè)攻擊的能力。即一般的WWW應(yīng)用如:HTTP、FTP、MAIL等服務(wù)。令商業(yè)應(yīng)用:商業(yè)應(yīng)用更要考慮嚴(yán)格的安全要求,而且還希望提供不停頓的服務(wù)。1.5.xx證券股份有限有限公司網(wǎng)絡(luò)安全的系統(tǒng)目標(biāo)伴隨著保險(xiǎn)業(yè)務(wù)的不斷深入,XX證券股份有限有限公司電子化應(yīng)用的不斷增強(qiáng),內(nèi)部網(wǎng)絡(luò)上應(yīng)用系統(tǒng)越來(lái)越多，更好的、更有效的、更方便的保護(hù)和管理系統(tǒng)資源、網(wǎng)絡(luò)資源，是實(shí)現(xiàn)網(wǎng)絡(luò)安全的目標(biāo)。實(shí)施網(wǎng)絡(luò)安全系統(tǒng)項(xiàng)目，整體規(guī)劃網(wǎng)絡(luò)安全系統(tǒng),作好以下幾個(gè)方面的規(guī)劃和實(shí)施:ぐ應(yīng)用程序加密令應(yīng)用完整性ぐ用戶完整性令系統(tǒng)完整性ぐ網(wǎng)絡(luò)完整性151.近期目標(biāo)目前迫在眉睫的工作是保護(hù)整個(gè)系統(tǒng)的網(wǎng)絡(luò)完整性和系統(tǒng)的完整性，建立安全的網(wǎng)絡(luò)邏輯結(jié)構(gòu)，為今后的實(shí)施應(yīng)用完整性和用戶完整性奠定基礎(chǔ)。網(wǎng)絡(luò)完整性主要是對(duì)網(wǎng)絡(luò)系統(tǒng)的保護(hù)，通過設(shè)置防火墻系統(tǒng)等保證通訊安全:系統(tǒng)的完整性是信息系統(tǒng)的保護(hù)主要有防病毒、風(fēng)險(xiǎn)評(píng)估、入侵檢測(cè)、審計(jì)分析等方面。1.5.2.遠(yuǎn)期目標(biāo)全面部署XX證券股份有限有限公司全局的整體安全防御系統(tǒng),鞏固和完善網(wǎng)絡(luò)安全及管理系統(tǒng)，使XX證券股份有限有限公司信息網(wǎng)在安全的前提下更好、更方便、更有效的實(shí)現(xiàn)中央銀行的監(jiān)管職能。2.總體規(guī)劃安全體系結(jié)構(gòu)網(wǎng)絡(luò)安全體系結(jié)構(gòu)主要考慮安全對(duì)象和安全機(jī)制,安全對(duì)象主要有網(wǎng)絡(luò)安全、系統(tǒng)安全、數(shù)據(jù)庫(kù)安全、信息安全、設(shè)備安全、信息介質(zhì)安全和計(jì)算機(jī)病毒防治等,其安全體系結(jié)構(gòu)如下圖所示:安全體系層次模型按照網(wǎng)絡(luò)OSI的7層模型,網(wǎng)絡(luò)安全貫穿于整個(gè)7層。針對(duì)網(wǎng)絡(luò)系統(tǒng)實(shí)際運(yùn)行的TCP/IP協(xié)議,網(wǎng)絡(luò)安全貫穿于信息系統(tǒng)的4個(gè)層次。下圖表示了對(duì)應(yīng)網(wǎng)絡(luò)系統(tǒng)網(wǎng)絡(luò)的安全體系層次模型:物理層物理層信息安全，主要防止物理通路的損壞、物理通路的竊聽、對(duì)物理通路的攻擊（干擾等）鏈路層鏈路層的網(wǎng)絡(luò)安全需要保證通過網(wǎng)絡(luò)鏈路傳送的數(shù)據(jù)不被竊聽。主要采用劃分VLAN（局域網(wǎng)）、加密通訊（遠(yuǎn)程網(wǎng)）等手段。網(wǎng)絡(luò)層網(wǎng)絡(luò)層的安全需要保證網(wǎng)絡(luò)只給授權(quán)的客戶使用授權(quán)的服務(wù),保證網(wǎng)絡(luò)路由正確,避免被攔截或監(jiān)聽。操作系統(tǒng)操作系統(tǒng)安全要求保證客戶資料、操作系統(tǒng)訪問控制的安全,同時(shí)能夠?qū)υ摬僮飨到y(tǒng)上的應(yīng)用進(jìn)行審計(jì)。應(yīng)用平臺(tái)應(yīng)用平臺(tái)指建立在網(wǎng)絡(luò)系統(tǒng)之上的應(yīng)用軟件服務(wù)，如數(shù)據(jù)庫(kù)服務(wù)器、電子郵件服務(wù)器、Web服務(wù)器等。由于應(yīng)用平臺(tái)的系統(tǒng)非常復(fù)雜，通常采用多種技術(shù)（如SSL等）來(lái)增強(qiáng)應(yīng)用平臺(tái)的安全性。應(yīng)用系統(tǒng)應(yīng)用系統(tǒng)完成網(wǎng)絡(luò)系統(tǒng)的最終目的一為用戶服務(wù)。應(yīng)用系統(tǒng)的安全與系統(tǒng)設(shè)計(jì)和實(shí)現(xiàn)關(guān)系密切。應(yīng)用系統(tǒng)使用應(yīng)用平臺(tái)提供的安全服務(wù)來(lái)保證基本安全,如通訊內(nèi)容安全，通訊雙方的認(rèn)證,審計(jì)等手段。安全體系設(shè)計(jì)安全體系設(shè)計(jì)原則在進(jìn)行計(jì)算機(jī)網(wǎng)絡(luò)安全設(shè)計(jì)、規(guī)劃時(shí),應(yīng)遵循以下原則:1）,需求、風(fēng)險(xiǎn)、代價(jià)平衡分析的原則:對(duì)任一網(wǎng)絡(luò)來(lái)說(shuō)，絕對(duì)安全難以達(dá)到，也不一定必要。對(duì)ー個(gè)網(wǎng)絡(luò)要進(jìn)行實(shí)際分析，對(duì)網(wǎng)絡(luò)面臨的威脅及可能承擔(dān)的風(fēng)險(xiǎn)進(jìn)行定性與定量相結(jié)合的分析，然后制定規(guī)范和措施，確定本系統(tǒng)的安全策略。保護(hù)成本、被保護(hù)信息的價(jià)值必須平衡，價(jià)值僅1萬(wàn)元的信息如果用5萬(wàn)元的技術(shù)和設(shè)備去保護(hù)是ー種不適當(dāng)?shù)谋Ｗo(hù)。.綜合性、整體性原則:運(yùn)用系統(tǒng)工程的觀點(diǎn)、方法，分析網(wǎng)絡(luò)的安全問題，并制定具體措施。ー個(gè)較好的安全措施往往是多種方法適當(dāng)綜合的應(yīng)用結(jié)果。ー個(gè)計(jì)算機(jī)網(wǎng)絡(luò)包括個(gè)人、設(shè)備、軟件、數(shù)據(jù)等環(huán)節(jié)。它們?cè)诰W(wǎng)絡(luò)安全中的地位和影響作用，只有從系統(tǒng)綜合的整體角度去看待和分析，才可能獲得有效、可行的措施。.一致性原則:這主要是指網(wǎng)絡(luò)安全問題應(yīng)與整個(gè)網(wǎng)絡(luò)的工作周期（或生命周期）同時(shí)存在，制定的安全體系結(jié)構(gòu)必須與網(wǎng)絡(luò)的安全需求相一致。實(shí)際上,在網(wǎng)絡(luò)建設(shè)之初就考慮網(wǎng)絡(luò)安全對(duì)策，比等網(wǎng)絡(luò)建設(shè)好后再考慮，不但容易，而且花費(fèi)也少得多。4),易操作性原則:安全措施要由人來(lái)完成,如果措施過于復(fù)雜,對(duì)人的要求過高,本身就降低了安全性。其次，采用的措施不能影響系統(tǒng)正常運(yùn)行。5),適應(yīng)性、靈活性原則安全措施必須能隨著網(wǎng)絡(luò)性能及安全需求的變化而變化,要容易適應(yīng)、容易修改。6).多重保護(hù)原則任何安全保護(hù)措施都不是絕對(duì)安全的，都可能被攻破。但是建立一個(gè)多重保護(hù)系統(tǒng),各層保護(hù)相互補(bǔ)充,當(dāng)ー層保護(hù)被攻破時(shí),其它層保護(hù)仍可保護(hù)信息的安全。網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析網(wǎng)絡(luò)系統(tǒng)的可靠運(yùn)轉(zhuǎn)是基于通訊子網(wǎng)、計(jì)算機(jī)硬件和操作系統(tǒng)及各種應(yīng)用軟件等各方面、各層次的良好運(yùn)行。因此，它的風(fēng)險(xiǎn)將來(lái)自對(duì)企業(yè)的各個(gè)關(guān)鍵點(diǎn)可能造成的威脅，這些威脅可能造成總體功能的失效。由于在這種廣域網(wǎng)分布式計(jì)算環(huán)境中，相對(duì)于過去的局域網(wǎng)、主機(jī)環(huán)境、單機(jī)環(huán)境,安全問題變得越來(lái)越復(fù)雜和突出，所以網(wǎng)安全風(fēng)險(xiǎn)分析成為制定有效的安全管理策略和選擇有作用的安全技術(shù)實(shí)施措施的基礎(chǔ)依據(jù)。安全保障不能完全基于思想教育或信任。而應(yīng)基于“最低權(quán)限”和“相互監(jiān)督”的法則，減少保密信息的介入范圍,盡力消除使用者為使用資源不得不信任他人或被他人信任的問題,建立起完整的安全控制體系和保證體系。網(wǎng)絡(luò)安全策略安全策略分安全管理策略和安全技術(shù)實(shí)施策略兩個(gè)方面:1),管理策略安全系統(tǒng)需要人來(lái)執(zhí)行,即使是最好的、最值得信賴的系統(tǒng)安全措施,也不能完全由計(jì)算機(jī)系統(tǒng)來(lái)完全承擔(dān)安全保證任務(wù),因此必須建立完備的安全組織和管理制度。.技術(shù)策略技術(shù)策略要針對(duì)網(wǎng)絡(luò)、操作系統(tǒng)、數(shù)據(jù)庫(kù)、信息共享授權(quán)提出具體的措施。安全管理原則計(jì)算機(jī)信息系統(tǒng)的安全管理主要基于三個(gè)原則。(I)多人負(fù)責(zé)原則每項(xiàng)與安全有關(guān)的活動(dòng)都必須有兩人或多人在場(chǎng)。這些人應(yīng)是系統(tǒng)主管領(lǐng)導(dǎo)指派的，應(yīng)忠誠(chéng)可靠，能勝任此項(xiàng)工作。(2)任期有限原則一般地講,任何人最好不要長(zhǎng)期擔(dān)任與安全有關(guān)的職務(wù)，以免誤認(rèn)為這個(gè)職務(wù)是專有的或永久性的。(3)職責(zé)分離原則除非系統(tǒng)主管領(lǐng)導(dǎo)批準(zhǔn),在信息處理系統(tǒng)工作的人員不要打聽、了解或參與職責(zé)以外、與安全有關(guān)的任何事情。安全管理的實(shí)現(xiàn)信息系統(tǒng)的安全管理部門應(yīng)根據(jù)管理原則和該系統(tǒng)處理數(shù)據(jù)的保密性,制訂相應(yīng)的管理制度或采用相應(yīng)規(guī)范,其具體工作是:令確定該系統(tǒng)的安全等級(jí)。ぐ根據(jù)確定的安全等級(jí),確定安全管理的范圍。ぐ制訂相應(yīng)的機(jī)房出入管理制度。對(duì)安全等級(jí)要求較高的系統(tǒng),要實(shí)行分區(qū)控制,限制工作人員出入與己無(wú)關(guān)的區(qū)域。ぐ制訂嚴(yán)格的操作規(guī)程。操作規(guī)程要根據(jù)職責(zé)分離和多人負(fù)責(zé)的原則,各負(fù)其責(zé),不能超越自己的管轄范圍。ぐ制訂完備的系統(tǒng)維護(hù)制度。維護(hù)時(shí),要首先經(jīng)主管部門批準(zhǔn)，并有安全管理人員在場(chǎng)，故障原因、維護(hù)內(nèi)容和維護(hù)前后的情況要詳細(xì)記錄。ぐ制訂應(yīng)急措施。要制訂在緊急情況下，系統(tǒng)如何盡快恢復(fù)的應(yīng)急措施，使損失減至最小。令建立人員雇用和解聘制度,對(duì)工作調(diào)動(dòng)和離職人員要及時(shí)調(diào)整相應(yīng)的授權(quán)。安全系統(tǒng)需要由人來(lái)計(jì)劃和管理，任何系統(tǒng)安全設(shè)施也不能完全由計(jì)算機(jī)系統(tǒng)獨(dú)立承擔(dān)系統(tǒng)安全保障的任務(wù)。一方面,各級(jí)領(lǐng)導(dǎo)一定要高度重視并積極支持有關(guān)系統(tǒng)安全方面的各項(xiàng)措施。其次，對(duì)各級(jí)用戶的培訓(xùn)也十分重要，只有當(dāng)用戶對(duì)網(wǎng)絡(luò)安全性有了深入了解后，才能降低網(wǎng)絡(luò)信息系統(tǒng)的安全風(fēng)險(xiǎn)?？傊?，制定系統(tǒng)安全策略、安裝網(wǎng)絡(luò)安全系統(tǒng)只是網(wǎng)絡(luò)系統(tǒng)安全性實(shí)施的第一步,只有當(dāng)各級(jí)組織機(jī)構(gòu)均嚴(yán)格執(zhí)行網(wǎng)絡(luò)安全的各項(xiàng)規(guī)定，認(rèn)真維護(hù)各自負(fù)責(zé)的分系統(tǒng)的網(wǎng)絡(luò)安全性,才能保證整個(gè)系統(tǒng)網(wǎng)絡(luò)的整體安全性。網(wǎng)絡(luò)安全設(shè)計(jì)由于網(wǎng)絡(luò)的互連是在鏈路層、網(wǎng)絡(luò)層、傳輸層、應(yīng)用層不同協(xié)議層來(lái)實(shí)現(xiàn)，各個(gè)層的功能特性和安全特性也不同，因而其網(wǎng)絡(luò)安全措施也不相同。物理層安全涉及傳輸介質(zhì)的安全特性，抗干擾、防竊聽將是物理層安全措施制定的重點(diǎn)。在鏈路層，通過“橋”這ー互連設(shè)備的監(jiān)視和控制作用，使我們可以建立一定程度的虛擬局域網(wǎng)，對(duì)物理和邏輯網(wǎng)段進(jìn)行有效的分割和隔離,消除不同安全級(jí)別邏輯網(wǎng)段間的竊聽可能。在網(wǎng)絡(luò)層，可通過對(duì)不同子網(wǎng)的定義和對(duì)路由器的路由表控制來(lái)限制子網(wǎng)間的接點(diǎn)通信，通過對(duì)主機(jī)路由表的控制來(lái)控制與之直接通信的節(jié)點(diǎn)。同時(shí),利用網(wǎng)關(guān)的安全控制能力，可以限制節(jié)點(diǎn)的通信、應(yīng)用服務(wù)，并加強(qiáng)外部用戶識(shí)別和驗(yàn)證能力。對(duì)網(wǎng)絡(luò)進(jìn)行級(jí)別劃分與控制，網(wǎng)絡(luò)級(jí)別的劃分大致包括Internet/企業(yè)網(wǎng)、骨干網(wǎng)/區(qū)域網(wǎng)、區(qū)域網(wǎng)/部門網(wǎng)、部門網(wǎng)/工作組網(wǎng)等,其中Internet/企業(yè)網(wǎng)的接口要采用專用防火墻,骨干網(wǎng)/區(qū)域網(wǎng)、區(qū)域網(wǎng)/部門網(wǎng)的接口利用路由器的可控路由表、安全郵件服務(wù)器、安全撥號(hào)驗(yàn)證服務(wù)器和安全級(jí)別較高的操作系統(tǒng)。增強(qiáng)網(wǎng)絡(luò)互連的分割和過濾控制,也可以大大提高安全保密性。隨著企業(yè)個(gè)人與個(gè)人之間、各部門之間、企業(yè)和企業(yè)之間、國(guó)際間信息交流的日益頻繁，信息傳輸?shù)陌踩猿蔀椹`個(gè)重要的問題。盡管個(gè)人、部門和整個(gè)企業(yè)都已認(rèn)識(shí)到信息的寶貴價(jià)值和私有性,但商場(chǎng)上的無(wú)情競(jìng)爭(zhēng)已迫使機(jī)構(gòu)打破原有的界限，在企業(yè)內(nèi)部或企業(yè)之間共享更多的信息,只有這樣才能縮短處理問題的時(shí)間，并在相互協(xié)作的環(huán)境中孕育出更多的革新和創(chuàng)造。然而，在群件系統(tǒng)中共享的信息卻必須保證其安全性，以防止有意無(wú)意的破壞。物理實(shí)體的安全管理現(xiàn)已有大量標(biāo)準(zhǔn)和規(guī)范，如GB9361-88《計(jì)算機(jī)場(chǎng)地安全要求》、GFB2887-88《計(jì)算機(jī)場(chǎng)地技術(shù)條件》等。2.4.安全產(chǎn)品選型原則在進(jìn)行XX證券股份有限有限公司網(wǎng)絡(luò)安全方案的產(chǎn)品選型時(shí)，要求安全產(chǎn)品至少應(yīng)包含以下功能:令訪問控制:通過對(duì)特定網(wǎng)段、服務(wù)建立的訪問控制體系，將絕大多數(shù)攻擊阻止在到達(dá)攻擊目標(biāo)之前。令檢査安全漏洞：通過對(duì)安全漏洞的周期檢查,即使攻擊可到達(dá)攻擊目標(biāo),也可使絕大多數(shù)攻擊無(wú)效。令攻擊監(jiān)控：通過對(duì)特定網(wǎng)段、服務(wù)建立的攻擊監(jiān)控體系，可實(shí)時(shí)檢測(cè)出絕大多數(shù)攻擊,并采取相應(yīng)的行動(dòng)（如斷開網(wǎng)絡(luò)連接、記錄攻擊過程、跟蹤攻擊源等）。令加密通訊:主動(dòng)的加密通訊,可使攻擊者不能了解、修改敏感信息。令認(rèn)證:良好的認(rèn)證體系可防止攻擊者假冒合法用戶。令備份和恢復(fù):良好的備份和恢復(fù)機(jī)制，可在攻擊造成損失時(shí)，盡快地恢復(fù)數(shù)據(jù)和系統(tǒng)服務(wù)。令多層防御：攻擊者在突破第一道防線后，延緩或阻斷其到達(dá)攻擊目標(biāo)。ぐ隱藏內(nèi)部信息：使攻擊者不能了解系統(tǒng)內(nèi)的基本情況。ぐ設(shè)立安全監(jiān)控中心:為信息系統(tǒng)提供安全體系管理、監(jiān)控，保護(hù)及緊急情況服務(wù)。3.網(wǎng)絡(luò)安全方案設(shè)計(jì)根據(jù)第二章對(duì)XX證券股份有限有限公司的安全需求分析,結(jié)合安全設(shè)計(jì)的策略，我們提出網(wǎng)絡(luò)安全設(shè)計(jì)方案。本章首先描述安全網(wǎng)絡(luò)的整體結(jié)構(gòu)，然后就各網(wǎng)段采用的防火墻、防病毒、防黑客，以及安全評(píng)估等技術(shù)措施作詳細(xì)的描述。各種安全措施之間的相互協(xié)作,構(gòu)成主動(dòng)的網(wǎng)絡(luò)安全防御體系。為確保系統(tǒng)的安全性保持穩(wěn)定,我們介紹了各種安全產(chǎn)品的平臺(tái)要求,以及升級(jí)的保證方式和途徑。根據(jù)XX證券股份有限有限公司的網(wǎng)絡(luò)安全需求,目前網(wǎng)絡(luò)安全方案集中考慮外部網(wǎng)絡(luò)的安全性;對(duì)于整體網(wǎng)絡(luò)的安全性，我們還分析了網(wǎng)絡(luò)安全方案的可擴(kuò)充性。在本章結(jié)尾,我們總結(jié)了本方案的特點(diǎn)。?整體結(jié)構(gòu)安全建議描述由于XX證券股份有限有限公司網(wǎng)的安全體系包括內(nèi)外兩部分，而目前著重于外部的安全建設(shè)，所以目前的安全假設(shè)為:將公司內(nèi)部網(wǎng)絡(luò)看作信任網(wǎng)絡(luò),暫不考慮安全問題:將外部網(wǎng)視為不信任網(wǎng)絡(luò)，需要采取安全措施。其總體結(jié)構(gòu)如下:.內(nèi)部網(wǎng)絡(luò)系統(tǒng):包括:令LANI,LAN2…LAN8等內(nèi)部網(wǎng)段;ぐ內(nèi)部服務(wù)子網(wǎng)ー即［初步設(shè)想］的VPN的部分。2),外部網(wǎng)絡(luò)系統(tǒng):包括：ぐ對(duì)Internet服務(wù)網(wǎng)段。ぐ連接xx證券股份有限各營(yíng)業(yè)點(diǎn)的網(wǎng)段。令Web網(wǎng)站。在“初步設(shè)想”中，在本方案中，考慮到服務(wù)的交集會(huì)給防火墻安全策略的制定帶來(lái)不便,形成潛在的安全隱患，并且也不利于整個(gè)網(wǎng)絡(luò)安全的管理，因此我們將vpn網(wǎng)關(guān)相應(yīng)服務(wù)器分別部署在對(duì)應(yīng)的網(wǎng)段中，而將對(duì)內(nèi)服務(wù)的服務(wù)器放到內(nèi)部網(wǎng)絡(luò)中的內(nèi)部服務(wù)子網(wǎng)中。同時(shí)，我們?cè)谙到y(tǒng)中增加了一個(gè)網(wǎng)絡(luò)安全管理平臺(tái)網(wǎng)段。整個(gè)網(wǎng)絡(luò)安全結(jié)構(gòu)如下圖:

DIALnrDIALnrat對(duì)Internet服務(wù)網(wǎng)段如上圖示,內(nèi)部用戶訪問Internet,通過撥號(hào)上網(wǎng)的方式,通過單個(gè)客戶機(jī)分別撥號(hào)上網(wǎng)首先會(huì)對(duì)整個(gè)內(nèi)部安全造成很大影響，同時(shí)造成資金的浪費(fèi)。因?yàn)楫?dāng)撥號(hào)連接建立以后,會(huì)動(dòng)態(tài)的分配到ー個(gè)合法的IP地址，那樣如果有非法用戶對(duì)該地址進(jìn)行嘗試的攻擊，很可能通過該機(jī)進(jìn)入整個(gè)內(nèi)部系統(tǒng)。建議:a.在撥號(hào)上網(wǎng)的主機(jī)上配置物理隔離卡，當(dāng)用戶上網(wǎng)時(shí)，物理隔離卡可以把硬盤分為上網(wǎng)部分與安全部分,這兩部分將相互隔離,這樣就保證了有非法用戶通過該機(jī)進(jìn)入內(nèi)部系統(tǒng)。b,使用防火墻同時(shí)申請(qǐng)ー根專線上網(wǎng)，這樣既可以防止撥號(hào)上網(wǎng)帶來(lái)的危險(xiǎn)性又可以提高上網(wǎng)速度。在接口處防火墻的配置方法:訪問的安全控制:.DMZ1對(duì)外提供服務(wù)DMZ!中的服務(wù)器主要用于對(duì)Internet用戶提供服務(wù)，包括DNS、EmaikFTP、HTTP等,其服務(wù)全部由防火墻提供代理，其工作流程如下:aa:由外部Client端向Firewall1提出請(qǐng)求(HTTP,FTP等)；b:通過Firewalll過濾、識(shí)別、身份驗(yàn)證,確定為合法請(qǐng)求,并確定該請(qǐng)求的目標(biāo)服務(wù)器之后由Firewalll向DMZ1里的服務(wù)器提出請(qǐng)求;DMZ1里的目標(biāo)服務(wù)器接受Firewalll的請(qǐng)求并對(duì)其作出響應(yīng);Firewall1再將請(qǐng)求傳遞給外部的Client。.內(nèi)部網(wǎng)絡(luò)的用戶對(duì)Internet的訪問對(duì)于內(nèi)部用戶對(duì)Internet的請(qǐng)求包括Email和HTTP、FTP等。令對(duì)Email類,內(nèi)部網(wǎng)采用HPOpenMail,而Internet采用SMTP協(xié)議,建議設(shè)立一臺(tái)電子郵件轉(zhuǎn)發(fā)服務(wù)器(MX),部署在DMZ1里,對(duì)內(nèi)部HPOpenMail的郵件和Internet的SMTP郵件進(jìn)行轉(zhuǎn)發(fā)。令對(duì)HTTP、FTP等其他類型的服務(wù)由防火墻作為代理，F(xiàn)irewalll在中間也起到過濾、識(shí)別、身份驗(yàn)證的作用。3),地址轉(zhuǎn)換(NAT)由于目前xx證券股份有限有限公司采用A類地址,而外部采用Internet合法地址,GauntletFirewalll提供內(nèi)、外地址的翻譯，即可隱藏內(nèi)部IP.4).FireWalll未來(lái)的GVPN功能將來(lái)外匯管理局的內(nèi)部Intranet中的Gauntlet防火墻可形成GVPN,采用Gauntlet的GVPN技術(shù)對(duì)內(nèi)部的外出員工可建立一條可信賴的連接，直接訪問內(nèi)部網(wǎng)絡(luò)的資源。c.使用Proxy的方式，讓所有的用戶通過盡量少的電話線上網(wǎng),在該proxy服務(wù)器上安裝物理隔離卡,這樣可以防止不必要的危險(xiǎn)性，又可以降低費(fèi)用,同時(shí)可以對(duì)所有用戶訪問的時(shí)間流量進(jìn)行統(tǒng)計(jì)。3.1.2,連接各營(yíng)業(yè)點(diǎn)的網(wǎng)段連接各營(yíng)業(yè)點(diǎn)的網(wǎng)段是連接公司總部與各分公司的接口，各營(yíng)業(yè)點(diǎn)通過X.25/PSTN連接到總公司的3com主干路由器上。交易所與營(yíng)業(yè)點(diǎn)的相互訪問是通過DDN,由于系統(tǒng)本身是ー個(gè)很安全的系統(tǒng),我們這里就不對(duì)此作一些安全產(chǎn)品的配置,只是對(duì)整個(gè)系統(tǒng)及應(yīng)用程序的安全進(jìn)行安全性的掃描,如果存在漏洞則對(duì)系統(tǒng)進(jìn)行升級(jí)和優(yōu)化。因?yàn)榻灰姿c營(yíng)業(yè)點(diǎn)的數(shù)據(jù)傳輸經(jīng)常會(huì)突然出現(xiàn)流量增大,影響正常的交易,所以我們認(rèn)為在交易所的路由器到內(nèi)部網(wǎng)之間添加一個(gè)百兆的集線器或交換機(jī)在此上的端口處安裝NAI公司的SnifferforLAN,對(duì)進(jìn)出的包進(jìn)行解碼分析,區(qū)分出包的類型,對(duì)非正常交易的包進(jìn)行分析并且通過一些措施把這些非正常交易的包給過濾掉或通過流量分配軟件進(jìn)行有效的劃分。具體配置:把與交易無(wú)關(guān)的包給過濾掉。可以通過在路由器后面添加防火墻的方式，可以把已經(jīng)通過Sniffer檢查出來(lái)的與交易無(wú)關(guān)的包的源地址給屏蔽掉，不讓包進(jìn)行內(nèi)部系統(tǒng)。通過流量分配軟件在各個(gè)營(yíng)業(yè)點(diǎn)對(duì)出去的包進(jìn)行手工的流量分配。如果是與交易有關(guān)的包讓它占有較大的帶寬，如果與交易無(wú)關(guān)的包則讓它占較小的帶寬,這樣可以保證主干業(yè)務(wù)的暢通運(yùn)行?？梢栽诰W(wǎng)段上安裝入侵檢測(cè)軟件，它可以對(duì)進(jìn)來(lái)的包進(jìn)行解碼并且分析包的內(nèi)容,是什么類型的服務(wù)，使用的端口號(hào),源地址及目的地址等。這樣就可以分析出哪些連接是沒有必要的,然后再把該連接通過防火墻給屏蔽掉。內(nèi)部系統(tǒng)及部門之間連接安全分析和建議據(jù)統(tǒng)計(jì)在互聯(lián)網(wǎng)上80%的泄密來(lái)自于內(nèi)部網(wǎng)絡(luò),在設(shè)計(jì)網(wǎng)絡(luò)安全結(jié)構(gòu)時(shí)，如何防止內(nèi)部人員的攻擊也是一個(gè)很重要的方面，對(duì)于某些關(guān)鍵部門,如財(cái)務(wù)部門,可能允許上傳數(shù)據(jù)、提供特定數(shù)據(jù)供指定部門的指定人員查閱。而在目前交易所公司的網(wǎng)絡(luò)結(jié)構(gòu)上并未對(duì)上述關(guān)鍵部門給予應(yīng)有的特別保護(hù),任何內(nèi)部工作人員都可以進(jìn)入關(guān)鍵部門的計(jì)算機(jī)上，獲取機(jī)器上的有用信息。在公司內(nèi)部如果由對(duì)公司不滿的員エ,它可以在公司的網(wǎng)絡(luò)段中安裝ー些偵聽軟件,收集進(jìn)入重要部門的信息,如:用戶的密碼,重要的文件,重要的信件等等。這些偵聽軟件在網(wǎng)上面到處可以免費(fèi)獲得，所以如果我們沒有很好的防范措施，重要的系統(tǒng)很容易遭到破壞。a.在幾個(gè)重要部門之間相互通信的接口處添加VPN網(wǎng)關(guān)。配置方法:在幾個(gè)重要部門的交換機(jī)上安裝一個(gè)硬件的的VPN設(shè)備，所有需要到另ー個(gè)部門的信息都會(huì)通過VPN網(wǎng)關(guān),進(jìn)行加密,根據(jù)IPSEC方式,在IP包頭添加另ー個(gè)網(wǎng)段的VPN網(wǎng)關(guān)的IP地址。這樣所有的包在到達(dá)另ー個(gè)部門前先需要經(jīng)過該部門的VPN網(wǎng)關(guān)的解密。其他特點(diǎn)：VPN網(wǎng)關(guān)會(huì)可以在這幾個(gè)部門之間相互建立不同的信任關(guān)系,建立不同的加密算法;作用:防止了不滿員エ的偵聽，保證了信息傳輸過程中的安全性，提髙各個(gè)重要部門的安全性等等。b.在重要的部門的網(wǎng)段上添加入侵檢測(cè)軟件。配置方法:把入侵檢測(cè)軟件安裝在某臺(tái)空余的電腦上，并且把它與Hub相連。作用:它能夠?qū)崟r(shí)的捕獲通過Hub的包,并且對(duì)包進(jìn)行分析,通過離線分析模塊與黑客特征庫(kù)進(jìn)行比較看是否有黑客進(jìn)行攻擊，如果有則會(huì)報(bào)警，并且會(huì)自動(dòng)對(duì)進(jìn)來(lái)的非法包進(jìn)行阻斷。c.在特別重要的服務(wù)器及主機(jī)上,添加基于主機(jī)的入侵檢測(cè)軟件。配置方法：如果需要保護(hù)哪臺(tái)主機(jī)，就在它上面安裝入侵檢測(cè)軟件。作用：對(duì)重要的文件進(jìn)行實(shí)時(shí)的跟蹤，對(duì)用戶的權(quán)限、密碼、注冊(cè)表文件或/etc目錄下的文件、數(shù)據(jù)庫(kù)內(nèi)的數(shù)據(jù)進(jìn)行保護(hù)。d.使用防病毒系統(tǒng)，配置方法：在文件服務(wù)器，群間服務(wù)器,網(wǎng)關(guān)服務(wù)器,客戶機(jī)上分別安裝防病毒軟件。作用:防止病毒功過客戶端,文件服務(wù)器，全殲服務(wù)器,網(wǎng)關(guān)服務(wù)器進(jìn)行傳播,有效的防止了這種非技術(shù)型的系統(tǒng)破壞。內(nèi)部用戶通過撥號(hào)服務(wù)器與遠(yuǎn)程用戶進(jìn)行通信安全優(yōu)化a..在撥號(hào)服務(wù)器的網(wǎng)段中再添加一臺(tái)身份認(rèn)證服務(wù)器,對(duì)通過撥號(hào)上來(lái)的用戶進(jìn)行兩次身份認(rèn)證,并且如果有能力,可以讓每ー個(gè)撥號(hào)用戶配置ー個(gè)IC卡,該卡上的號(hào)碼會(huì)根據(jù)身份認(rèn)證服務(wù)器進(jìn)行更新，用戶必須輸入更新后的密碼才能進(jìn)入系統(tǒng)。b.經(jīng)常性更換用戶名及口令,同時(shí)限定登入失敗次數(shù),保持較高的保密性及安全性。c.對(duì)登入上來(lái)的用戶及登入失敗的用戶都進(jìn)行審計(jì)，看是否有非法用戶進(jìn)行嘗試性攻擊。d.添加VPN網(wǎng)關(guān)，同時(shí)在用戶端添加加密PC卡。作用:保證傳輸過程中用戶密碼的保密性，傳輸信息的保密性;把合法地址轉(zhuǎn)化成了內(nèi)部地址，大大的提高了內(nèi)部網(wǎng)絡(luò)的安全性;對(duì)遠(yuǎn)程用戶的訪問進(jìn)行限制，防止非法用戶的惡意攻擊。外部用戶訪問公司網(wǎng)站安全分析和建議當(dāng)外部用戶訪問公司托管的網(wǎng)站服務(wù)器時(shí)，因?yàn)楝F(xiàn)在在網(wǎng)站服務(wù)器上沒有做任何的防范所以和容易被黑客破壞,當(dāng)發(fā)生頁(yè)面被換成非健康內(nèi)容或整個(gè)系統(tǒng)被洗的情況,將造成不良的后果。建議:在網(wǎng)站服務(wù)器前面安裝防火墻。作用:把所有不必要的服務(wù)及端口全部關(guān)閉,防止外部用戶通過其他的掃描軟件或黑可程序進(jìn)行攻擊,同時(shí)安裝防火墻后有詳細(xì)的日志文件可以清楚的知道對(duì)主機(jī)的訪問情況。同時(shí)對(duì)服務(wù)器進(jìn)行地址隱藏，使得黑客找不到服務(wù)器的內(nèi)部真實(shí)地址,這樣黑客就攻不破。在與網(wǎng)站服務(wù)器同一個(gè)hub上安裝入侵檢測(cè)軟件或?qū)徲?jì)系統(tǒng)。作用:一旦發(fā)現(xiàn)有什么高手黑客闖入,就可以檢測(cè)出來(lái)，等檢測(cè)出來(lái)后它會(huì)采取有效的報(bào)警措施:BP機(jī)呼叫、發(fā)MAIL、拉警報(bào)、警報(bào)列表等。在網(wǎng)站服務(wù)器上添加網(wǎng)站實(shí)時(shí)監(jiān)控及恢復(fù)軟件。作用：對(duì)網(wǎng)站的主頁(yè)及其它需要保護(hù)的頁(yè)面，進(jìn)行實(shí)時(shí)的監(jiān)控，一旦發(fā)現(xiàn)頁(yè)面配修改,則會(huì)檢查該修改是合法的還是非法的如果為非法的修改則會(huì)從備份端把頁(yè)面重新恢復(fù)回去。同時(shí)還有經(jīng)過加密的客戶端上傳軟件，規(guī)定只有從該客戶端傳上去的文件オ認(rèn)為是合法的，這樣大大的加強(qiáng)了安全性。對(duì)編寫程序的方式進(jìn)行調(diào)整,把兩層結(jié)構(gòu)調(diào)整成三層結(jié)構(gòu)，在網(wǎng)頁(yè)與數(shù)據(jù)庫(kù)之間添加中間層。防止黑客通過分析頁(yè)面代碼獲得數(shù)據(jù)庫(kù)的管理口令。需要把NT的ServicePack補(bǔ)丁程序打到SP6a,這樣可以防止用戶通過如：http:〃%81或,cn::DATA的萬(wàn)式對(duì)網(wǎng)站進(jìn)行攻擊。如果網(wǎng)站的規(guī)模增加,有多臺(tái)WebServer,則需要添加第四層交換機(jī),對(duì)流量進(jìn)行智能的、動(dòng)態(tài)的負(fù)載平衡。安裝此設(shè)備時(shí)這樣的好處：可以提高網(wǎng)絡(luò)的訪問速度;可以增加冗余性，萬(wàn)一某臺(tái)WebServer發(fā)生故障，至少還有另外一臺(tái)WebServer在正常工作，這樣可以防止非正常網(wǎng)絡(luò)不能夠訪問的現(xiàn)象。當(dāng)由兩臺(tái)計(jì)算機(jī)在作鏡像后,我們?cè)谠黾覣lton流量分配器,它的作用為:可以動(dòng)態(tài)的對(duì)流量進(jìn)行合理化分配,提高網(wǎng)絡(luò)訪問速度；能夠把網(wǎng)絡(luò)的地址全部轉(zhuǎn)換成內(nèi)部地址,讓用戶無(wú)法知道地址為多少，這樣可以大大的提高網(wǎng)絡(luò)服務(wù)器的安全性;能夠配置包過濾策略，對(duì)進(jìn)來(lái)的訪問進(jìn)行控制。所以我們會(huì)把WebServer的外部地址進(jìn)行隱含,改成內(nèi)部地址。如:改成!,29改成。本方案中防火墻提供的安全措施Gauntlet防火墻是基于應(yīng)用層網(wǎng)關(guān)的防火墻,其特點(diǎn)是:令沒有內(nèi)外網(wǎng)絡(luò)的直接連接,比包過濾防火墻更高的安全性。令提供對(duì)協(xié)議的過濾,如可以禁止FTP連接的Put命令。ぐ信息隱藏,應(yīng)用網(wǎng)關(guān)為外部連接提供代理。令健壯的認(rèn)證和日志。防火墻能夠記錄所有的網(wǎng)絡(luò)連接和連接企圖，日志能夠顯示出源地址、目的地址、時(shí)間和所用的協(xié)議,而且防火墻能夠預(yù)先設(shè)定一個(gè)緊急情況的觸發(fā)條件,條件發(fā)生時(shí),防火墻會(huì)發(fā)出ー個(gè)警報(bào)給安全維護(hù)人員或網(wǎng)絡(luò)管理系統(tǒng)。ぐ節(jié)省費(fèi)用，第三方的認(rèn)證設(shè)備（軟件或硬件）只需安裝在應(yīng)用網(wǎng)關(guān)上。令簡(jiǎn)化和靈活的過濾規(guī)則，路由器只需簡(jiǎn)單地通過到達(dá)應(yīng)用網(wǎng)關(guān)的包并拒絕其余的包通過。令各防火墻可相互配合,具有主動(dòng)防御的能力。ぐ多個(gè)防火墻之間可形成GVPN,為xx證券股份有限有限公司將來(lái)的內(nèi)部Intranet建立可信賴的連接?？梢钥闯?Gauntlet防火墻的安全特性遠(yuǎn)比其他類型的防火墻高。以上介紹的三個(gè)防火墻所在的網(wǎng)段都有各自獨(dú)立的安全策略,但又相互學(xué)習(xí)，協(xié)同工作。防火墻系統(tǒng)的局限性防火墻能有效地防止外來(lái)的入侵,雖然能作到:ぐ控制進(jìn)出網(wǎng)絡(luò)的信息流向和信息包ぐ提供使用和流量的日志和審計(jì);ぐ隱藏內(nèi)部IP地址及網(wǎng)絡(luò)結(jié)構(gòu)的細(xì)節(jié);提供VPN功能;但是所直的防火墻都不能作到:令停止所有外部入侵;令完全不能阻止內(nèi)部襲擊;令防病毒;ぐ終止有經(jīng)驗(yàn)的黑客;提供完全的網(wǎng)絡(luò)安全性。因此,僅僅在Internet入口處部署防火墻,實(shí)際上是ー個(gè)不完整的安全解決方案,從總體上系統(tǒng)還應(yīng)該具備防病毒和防黑客的功能。防病毒的整體解決方案病毒防護(hù)的必要性和發(fā)展趨勢(shì)眾所周知,計(jì)算機(jī)病毒對(duì)生產(chǎn)的形響可以稱得上是災(zāi)難性的。盡管人類已和計(jì)算機(jī)病毒斗爭(zhēng)了數(shù)年，并已取得了可喜的成績(jī)，但是隨著INTERNET的發(fā)展，計(jì)算機(jī)病毒的種類急聚增多,擴(kuò)散速度大大加快，對(duì)企業(yè)及個(gè)人用戶的破壞性加大。與生物病毒類似，計(jì)算機(jī)病毒也具有災(zāi)難性的形響。就其本質(zhì)而言,病毒只是ー種具有自我復(fù)制能力的程序。目前,許多計(jì)算機(jī)病毒都具有特定的功能，而遠(yuǎn)非僅僅是自我復(fù)制。其功能（常稱為PAYLOAD）可能無(wú)害，如，只是在計(jì)算機(jī)的監(jiān)視器中顯示消息、，也可能有害，如毀壞系統(tǒng)硬盤中所存儲(chǔ)的數(shù)據(jù)，一旦被觸發(fā)器（比如:特定的組合鍵擊、特定的日期或預(yù)定義操作數(shù)）觸發(fā)，就會(huì)引發(fā)病毒。隨著計(jì)算機(jī)技術(shù)的不斷發(fā)展,病毒也變得越來(lái)越復(fù)雜和高級(jí)。最近幾年，病毒的花樣層出不窮，如宏病毒和變形病毒。變形病毒每次感染新文件時(shí)都會(huì)發(fā)生變化，因此顯得神秘莫測(cè)。只要反病毒軟件搜索到病毒的“標(biāo)記”（病毒所特有的代碼段）,那么，反病毒軟件也能檢測(cè)到每次感染文件就更改其標(biāo)記的變形病毒。宏病毒主要感染文檔和文檔模板。幾年前,文檔文件都不含可執(zhí)行代碼，因此不會(huì)受病毒的感染,現(xiàn)在,應(yīng)用軟件,如MicrosoftWord和MicrosoftExecl,已經(jīng)嵌入了宏命令,病毒就可以通過宏語(yǔ)言來(lái)感染由這些軟件創(chuàng)建的文檔。由于INTERNET的迅快發(fā)展，將文件附加在電子郵件中的能力不斷提高以及世界對(duì)計(jì)算機(jī)的依賴程度不斷提高，使得病毒的擴(kuò)散速度也急驟提高，受感染的范圍越來(lái)越廣,據(jù)NCSA調(diào)查,在1994年中，只有約20%的企業(yè)受到過病毒的攻擊，但是在1997年中，就有約99.3%的企業(yè)受到病毒的攻擊,也就是說(shuō)幾乎沒有那一家企業(yè)可以逃脫病毒的攻擊。而且感染方式也由主要從軟盤介質(zhì)感染轉(zhuǎn)到了從網(wǎng)絡(luò)服務(wù)器或!NTERNET感染。同樣據(jù)NCSA調(diào)查，在1996年只有21%的病毒是通過電子郵件,服務(wù)器或INTERNET下載來(lái)感染的，但到!997年，這一比例就達(dá)到52%。xx證券股份有限有限公司的多層病毒防御體系在本系統(tǒng)中采取的安全措施主要考慮分部網(wǎng)絡(luò)安全性，但由于病毒的極大危害及特殊性,建議分部也在其內(nèi)部網(wǎng)絡(luò)布署防病毒系統(tǒng)?；谝陨线@些情況,我們認(rèn)為XX證券股份有限有限公司可能會(huì)受到來(lái)自于多方面的病毒威脅,包括來(lái)自INTERET網(wǎng)關(guān)上、與分部及各地區(qū)公司連接的網(wǎng)段上，為了XX證券股份有限有限公司免受病毒所造成的損失，建議采用多層的病毒防衛(wèi)體系。所謂多層病毒防衛(wèi)體系,是指在公司的每個(gè)臺(tái)式機(jī)上要安裝臺(tái)式機(jī)的反病毒軟件，在服務(wù)器上要安裝基于服務(wù)器的反病毒軟件，在INTERET網(wǎng)關(guān)上要安裝基于INTERNET網(wǎng)關(guān)的反病毒軟件,因?yàn)閷?duì)公司來(lái)說(shuō),防止病毒的攻擊是每個(gè)員エ的責(zé)任,人人都要做到自己使用的臺(tái)式機(jī)上不受病毒的感染,從而保證整個(gè)企業(yè)網(wǎng)不受病毒的感染?？蛻舳说姆啦《鞠到y(tǒng)根據(jù)統(tǒng)計(jì),50%以上的病毒是通過軟盤進(jìn)入系統(tǒng),因此對(duì)桌面系統(tǒng)的病毒應(yīng)嚴(yán)加防范。采用VirusScanSecuritySuite產(chǎn)品,來(lái)防止桌面機(jī)受到病毒的侵害。本產(chǎn)品包含以下功能:令WebScanX:保護(hù)系統(tǒng)免受惡意Java和ActiveX小程序的破壞;令PCMedic 保護(hù)系統(tǒng)和應(yīng)用程序免于崩潰:PGPFile;增強(qiáng)機(jī)密信息的安全性;，令QuickBackup保護(hù)數(shù)據(jù)免于意外的丟失SecureCast:自動(dòng)在Internet上發(fā)布接收病毒更新信息令NetToolsConsole: 具有集中的管理、分發(fā)和警告功能令VirusScan 為全球領(lǐng)先的桌面防病毒產(chǎn)品,可在Dos,Windows3.x,Windows95,WindowsNT,Mac和OS/2等平臺(tái)。3.322.服務(wù)器的防病毒系お如果服務(wù)器被感染,其感染文件將成為病毒感染的源頭,它們會(huì)迅速?gòu)淖烂娓腥景l(fā)展到整個(gè)網(wǎng)絡(luò)的病毒爆發(fā)。因此,基于服務(wù)器的病毒保護(hù)已成為當(dāng)務(wù)之急。所以,建議在總部的外部網(wǎng)與分部連接的網(wǎng)段上和總部的?；饏^(qū)中重要的代理服務(wù)器上采用NetShieldSecuritySuite,提供了全面的基于服務(wù)器的病毒保護(hù)?？煞乐箒?lái)自于分部、各地公司的病毒傳染?？梢詮膯为?dú)的直觀控制臺(tái)上遠(yuǎn)程管理這些服務(wù)器平臺(tái)。其具體的功能有:令Netshield:全球領(lǐng)先的服務(wù)器防病毒解決方案。(Netware,WindowsNT,UNIX)令GroupShield:群件服務(wù)器的防病毒方案。(MicrosoftExchange,LotusNotes/Domino)令SecureCast:自動(dòng)將病毒更新的信息發(fā)布到Internet上。令NetToolsConsole:提供集中的管理、分發(fā)和警告功能。.Internet的防病毒系統(tǒng)根據(jù)!CSA的報(bào)告，一般公司的電腦感染病毒的來(lái)源有超過20%是通過網(wǎng)絡(luò)下載文檔感染，另外有26%是經(jīng)電子郵件的附加文檔所感染，由于xx證券股份有限有限公司已連入Interent?很有可能受到來(lái)自Interent下載文件的病毒侵害及惡意的Java、ActiveX小程序的威脅。因此,此部分將成為防范的重點(diǎn)。建議在總部的外部網(wǎng)與Interent連接的網(wǎng)段上的?；饏^(qū)中MailServer>Webserver、DNSServer、等代理的服務(wù)器上安裝InternetSecuritySuite,可防止來(lái)自于Internet上的病毒、惡意的Java、Active-x對(duì)公司所造成的破壞.InternetSecuritySuite載Interent網(wǎng)關(guān)上可以提供全面的病毒防衛(wèi)系統(tǒng),封鎖病毒所有可能的進(jìn)入點(diǎn)。透過管理控制臺(tái)可直接在任何服務(wù)器或工作站上進(jìn)行遠(yuǎn)程管理。它可以作到:令WebShieldSMTP:可以掃描全部收發(fā)的電子郵件;令WebShieldProxy:可以掃描位于代理服務(wù)器和網(wǎng)絡(luò)協(xié)議:HTTP,SMTP,FTP等。令SecureCast:自動(dòng)將病毒更新的信息發(fā)布到Internet上。NetToolsConsole:提供集中的管理、分發(fā)和警告功能。根據(jù)目前的網(wǎng)絡(luò)結(jié)構(gòu),本產(chǎn)品應(yīng)安裝在外部網(wǎng)網(wǎng)段1、網(wǎng)段2、的?；饏^(qū)中的服務(wù)器上。防黑客的整體解決方案對(duì)于XX證券股份有限有限公司的外部網(wǎng)來(lái)說(shuō)，受到黑客的攻擊會(huì)來(lái)自于與總部連接的兩個(gè)外部網(wǎng)段,總部與Interent連接的網(wǎng)段1,總部與分局連接的網(wǎng)段2。(注:來(lái)自于內(nèi)部網(wǎng)絡(luò)的威脅我們暫不作考慮，可參看4.9)。為了防止xx證券股份有限有限公司的外部網(wǎng)受到黑客的攻擊,建議采用入侵檢測(cè)技術(shù)(CybercopIDS)。提供實(shí)時(shí)的入侵檢測(cè)及采取相應(yīng)的防護(hù)手段，如記錄證據(jù)、跟蹤或斷開網(wǎng)絡(luò)連接等。本IDS系統(tǒng)分成兩個(gè)部分。基于主機(jī)及網(wǎng)絡(luò)的保護(hù)在與公司連接的兩個(gè)網(wǎng)段的?；饏^(qū)中都分別設(shè)置了服務(wù)器,提供對(duì)外兩個(gè)網(wǎng)段的信息服務(wù)，其中存儲(chǔ)了大量的重要數(shù)據(jù),是黑客攻擊的主要目標(biāo)。所以,我們建議在對(duì)外兩個(gè)網(wǎng)段?；饏^(qū)中的每個(gè)服務(wù)器安裝基于主機(jī)及網(wǎng)絡(luò)保護(hù)的入侵檢測(cè)系統(tǒng)(CybercopMonitor)在公司外部網(wǎng)絡(luò)關(guān)鍵路徑的信息也需要進(jìn)行實(shí)時(shí)的監(jiān)控,來(lái)防止外部?jī)蓚€(gè)網(wǎng)段受到攻擊?；谙到y(tǒng)的入侵檢測(cè)系統(tǒng)(CybercopMonitor)用于監(jiān)視關(guān)鍵路徑上的入侵及記錄可疑事件,發(fā)送警報(bào)及跟蹤攻擊。CyberCopMonitor實(shí)時(shí)地檢測(cè)攻擊，當(dāng)攻擊發(fā)生時(shí),CyberCopMonitor立即報(bào)告并記錄入侵細(xì)節(jié)。CyberCopMonitor會(huì)將這些攻擊細(xì)節(jié)記錄在內(nèi)，形成日志文件，并通知管理員,管理員可遠(yuǎn)程登錄到被攻擊的機(jī)器上,修改配置、路由表等,中斷入侵者的攻擊。成功保護(hù)的案例也會(huì)被保存，以防備這種形式的攻擊再次發(fā)生。根據(jù)CybercopMonitor的工作原理和公司把其外部網(wǎng)絡(luò)劃分成兩個(gè)網(wǎng)段的情況,建議建立ー個(gè)Cybercop防護(hù)體系對(duì)服務(wù)器及網(wǎng)絡(luò)進(jìn)行實(shí)時(shí)的保護(hù)。由于公司外部網(wǎng)的網(wǎng)段1、網(wǎng)段2的每ー個(gè)網(wǎng)段的合法訪問者都是先由路由器到防火墻過濾，再到?；饏^(qū)(DMZ)內(nèi)瀏覽、抓取數(shù)據(jù)，防火墻與中心交換機(jī)連接。那么,為了防止非法用戶經(jīng)過此途徑訪問到?；饏^(qū)中的數(shù)據(jù)和中心交換機(jī)，建議公司在網(wǎng)段1、網(wǎng)段2的每ー網(wǎng)段中訪問者所經(jīng)過的路徑都設(shè)置智能的CybercopMonitor,即防火墻與停火區(qū)之間、防火墻與中心交換機(jī)之間各設(shè)置ー個(gè)CybercopMonitor,來(lái)監(jiān)視關(guān)鍵路徑上的入侵。CybercopMonitor可實(shí)時(shí)監(jiān)視:ぐ可疑的連接、異常進(jìn)程、非法訪問的闖入等令檢查系統(tǒng)日志ぐ通過監(jiān)視來(lái)自網(wǎng)絡(luò)的攻擊,CyberCopMonitor能夠?qū)崟r(shí)地檢測(cè)出攻擊,并對(duì)非法入侵行為作出切斷服務(wù)、重啟服務(wù)器進(jìn)程、發(fā)出警報(bào)、記錄入侵過程等動(dòng)作。令提供對(duì)典型應(yīng)用的監(jiān)視如Web服務(wù)器應(yīng)用因此,使用CyberCopMonitor,在提供關(guān)鍵服務(wù)的服務(wù)器上,安裝實(shí)時(shí)的安全監(jiān)控系統(tǒng),可以保證公司服務(wù)器系統(tǒng)的可靠性,使內(nèi)部網(wǎng)安全系統(tǒng)更加強(qiáng)鍵。通過設(shè)置基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng),xx證券股份有限有限公司能夠?qū)崟r(shí)監(jiān)視經(jīng)過本網(wǎng)段的任何活動(dòng)，監(jiān)視粒度更細(xì)致。使外部網(wǎng)絡(luò)的防護(hù)能力更敏銳。主動(dòng)的防御體系盡管以上各產(chǎn)品都是獨(dú)立進(jìn)行描述的,實(shí)際上,在本系統(tǒng)中它們之間是相互協(xié)同工作的，并且能夠智能地提高防御能力，構(gòu)成了主動(dòng)的防御體系。防火墻與防火墻Gauntlet防火墻有層次功能,但是在公司外部所劃分的兩個(gè)網(wǎng)段中的防火墻處在同一級(jí)別，他們?cè)诔Ｒ?guī)的代理服務(wù)上是獨(dú)立工作的，但是對(duì)新的攻擊模式的判別上可以互相交流學(xué)習(xí),從而可以提高其防御能力。防火墻與入侵檢測(cè)系統(tǒng)當(dāng)只有防火墻,而無(wú)CybercopIDS時(shí)，防火墻是被動(dòng)的防御。一般，黑客對(duì)防火墻進(jìn)攻的結(jié)果只有兩種,最好的結(jié)果是被防火墻阻擋住，最壞的結(jié)果是穿透防火墻進(jìn)入到企業(yè)內(nèi)部,為所欲為地進(jìn)行任何破壞活動(dòng)。但在本方案中，防火墻與CybercopIDS協(xié)同工作。舉例來(lái)說(shuō),一旦網(wǎng)段1的Firewall1沒有擋住狡猾的入侵者,使入侵者通過FW1進(jìn)入到DMZ1。我們可通過安裝在網(wǎng)段1內(nèi)的基于網(wǎng)絡(luò)的入侵檢測(cè)產(chǎn)品CybercopMonitor檢測(cè)至リ，并立即通知網(wǎng)段1的Firewall1:有哪些特征的入侵?jǐn)?shù)據(jù)包通過了防火墻，F(xiàn)W1會(huì)自動(dòng)記錄下這些特征，儲(chǔ)備起來(lái)，防止以后這種入侵。同時(shí),FW!會(huì)通知網(wǎng)段2和網(wǎng)段3中的防火墻記錄入侵特征,共同提高防御能力。

FirewallIFirewall,,CyberCopdetectsattackFirewallIFirewall,?CyberCopalertsGauntlet?Gauntletlocksoutattacker,GauntletalertsotherfirewallsFirewallAttackerCybercopMonitor還具有主動(dòng)出擊的能力,采用"蜜罐"技術(shù)捕捉攻擊行為。當(dāng)入侵者通過FW1,又躲過CybercopMonitor的檢測(cè),進(jìn)入DMZ1,蜜罐技術(shù)會(huì)虛擬ー個(gè)重要數(shù)據(jù)即’‘蜜罐”來(lái)吸引入侵者。當(dāng)入侵者被“蜜罐”誘惑,試圖在其中發(fā)現(xiàn)重要信息時(shí),CyberCopMonitor可以將此入侵者的攻擊模式進(jìn)行詳細(xì)分析,并作記錄。這樣CyberCopMonitor就自動(dòng)積累了ー種新的攻擊模式及解決方案。FirewallAttacker同時(shí)CyberCopMonitor還會(huì)通知FW1:哪些特征的入侵?jǐn)?shù)據(jù)包通過了FWI,FW1會(huì)通知網(wǎng)段2和網(wǎng)段3中的防火墻記錄入侵特征,共同提高防御能力。Firewall,AttackerscansnetworkFirewallAttackerFirewall,AttackerscansnetworkFirewallAttacker?*'Honeypot"decoyisdetectedandattacked,Keepsattacker**ontheline"whilethecallistracedFirewzill,Developsevidenceofintent防火墻與防病毒安全體系中,防御和攻擊都是ー個(gè)“道高一尺、魔高ー丈”的過程,因此要求安全產(chǎn)品具備學(xué)習(xí)和升級(jí)的能力。NAI的防病毒產(chǎn)品就具備這樣的功能。例如,當(dāng)ー個(gè)文件進(jìn)入網(wǎng)段1中的防火墻FW1,MacFeeTVD利用啟發(fā)式技術(shù)發(fā)現(xiàn)它帶有一種新病毒，但沒有其消除的程序，此時(shí)防火墻FW1會(huì)把這種病毒抽取出來(lái),傳給NAI總部。這些，都是防火墻自動(dòng)完成的。NAI會(huì)把這種新病毒的血清傳回給防火墻FW1,防火墻根據(jù)針對(duì)這種新病毒的血清樣本把病毒殺死，并對(duì)下面的臺(tái)式機(jī)、服務(wù)器進(jìn)行升級(jí)。這就是本系統(tǒng)中的防火墻與防病毒相互協(xié)作的具體模式。,Infecteddocumententersthenetwork,Heuristictechnologysuspectsnewvirus,Virusextracted,encrypted,senttoNAI,Authenticatedcurereturnedtocustomer,Updatedistributedtoaffectedsystems安全的評(píng)估方案XX證券股份有限有限公司的網(wǎng)絡(luò)安全系統(tǒng)中采用了防火墻、防病毒、入侵檢測(cè)產(chǎn)品作為外部網(wǎng)絡(luò)的安全措施。有以下問題需要進(jìn)行解決:令如何檢測(cè)安全產(chǎn)品的配置達(dá)到了安全的要求。其他系統(tǒng)（操作系統(tǒng)、路由器等）的配置是否真正實(shí)現(xiàn)了安全。以上問題實(shí)質(zhì)上就是如何對(duì)整體系統(tǒng)的安全性進(jìn)行評(píng)估。建議XX證券股份有限有限公司采用安全掃描技術(shù)可對(duì)公司的外部網(wǎng)絡(luò)進(jìn)行全方面的測(cè)試。安全掃描CyberCopScanner是ー套用于網(wǎng)絡(luò)安全掃描的軟件工具,由富有實(shí)際經(jīng)驗(yàn)的安全專家開發(fā)和維護(hù)。建議在內(nèi)部設(shè)置一臺(tái)服務(wù)器安裝CyberCopScanner。通過安全掃描技術(shù)?？梢話呙璧饯巴獠烤W(wǎng)絡(luò)各?；饏^(qū)內(nèi)服務(wù)器內(nèi)的安全漏洞。如password文件,目錄和文件權(quán)限,共享文件系統(tǒng),敏感服務(wù),軟件,系統(tǒng)漏洞等,并給出相應(yīng)的解決辦法建議。ぐ路由器、防火墻等設(shè)備的安全漏洞,并可設(shè)定模擬攻擊，以測(cè)試系統(tǒng)的防御能力。令掃描可定期進(jìn)行（每星期或每月），或不定期進(jìn)行（敏感時(shí)期）。安全產(chǎn)品的平臺(tái)建議此章節(jié)中的平臺(tái)建議包括防病毒產(chǎn)品、入侵檢測(cè)與風(fēng)險(xiǎn)評(píng)估產(chǎn)品、防火墻產(chǎn)品等產(chǎn)品。防病毒產(chǎn)品桌面保護(hù)套件:VirusScanSecuritySuite（VSS）其中的Virusscan支持DOS、Windows3.x\95\98\NT'、Macintosh,OS/2.VirusscanX可以和目前流行的瀏覽器Netscape3.X、4.X；IE3.X,4.X兼容。服務(wù)器保護(hù)套件:NetshieldSecuritySuite（NSS）其中Netshield支持NT、Netware,Solaris,AIX、NCR等多種平臺(tái)。GroupShield支持MicrosoftExchange>LotusNotes群件服務(wù)器網(wǎng)關(guān)保護(hù)套件：InternetSecuritySuite（ISS）建議在WindowsNT或UNIX防火墻產(chǎn)品一Gauntlet具有友好的管理界面,基于Java或NT環(huán)境,可運(yùn)行在WEB瀏覽器中,支持遠(yuǎn)程管理和配置,可從網(wǎng)絡(luò)管理平臺(tái)上監(jiān)控和配置,如NTserver和Openview.Gauntlet還支持通過服務(wù)器、企業(yè)內(nèi)部網(wǎng)、Internet來(lái)存取和管理SNMP。它支持流行的多媒體實(shí)時(shí)服務(wù),如RealAudio/VideosMicrosoftNetshow,VDOlive、Xing.并支持大多數(shù)認(rèn)證系統(tǒng),SecurityDynamicsxAssurenetPathways,S/KEY.支持幾十種服務(wù),to終端服務(wù)（Telnet、Rlogin）電子郵件（SMTP、POP3）、WWW（HTTP、SHTTP、SSL、Gopher）,遠(yuǎn)程運(yùn)行（RSH）、簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議（SNMP）、DNS、SybaseSQL,OracleSQL*Net.它可運(yùn)行在Intel、SUN、HP、IRIX上的UNIX系統(tǒng),NT支持NT4.0,支持以太和令牌環(huán)網(wǎng)。GauntletGVPN是對(duì)標(biāo)準(zhǔn)的Gauntlet防火墻的獨(dú)立升級(jí)，可運(yùn)行在Intel、SUN、HP平臺(tái)上。GauntletGVPN也可以和Gauntlet防火墻（IntelPentium）,BSKIInternet服務(wù)器軟件ー起打包訂購(gòu)。技術(shù)規(guī)范系統(tǒng)IntelSUNHP處理器PentiumSparcPA-RISC內(nèi)存32M32M32M磁盤512MB512MB512MB硬盤ISAAdaptecSCSICD-ROMCD-ROMCD-ROM

操作系統(tǒng)BSDIInternetServer3.0Solaris2.5.1HP-X.入侵檢測(cè)與風(fēng)險(xiǎn)評(píng)估套件CybercopMonitor平臺(tái)Cybercop平臺(tái)CPU200MHzPentiumPro256Kcache200MHzPentiumPro256KcacheFDD13.5“1.44MB13.5“1.44MBHDD9GBSCSI-IIHDD9GBSCSI-IIHDDMEM64MBRAM64MBRAMVideoSVGASVGANIC1IntelEtherExpressPro/1OOMPCI(Ethernet)IMadgeSmart16/4,ISA(forTokenRing)1SMCEtherPowerlO/lOOdualport,PCI(Ethernet)2MadgeSmart16/4,ISA(forTokenRing)OSSolaris2.5.1Solaris2.5.1CD-ROM**所支持的WEB服務(wù)器有:NetcapeEnterpriseServer2.0NetcapeFasttraceServer2.0IIS2.0v.4and3.0CERN1.3NCSA1.0Apache1.0WebsitePro1.1安全產(chǎn)品升級(jí)安全系統(tǒng)中,每天都會(huì)有新的病毒產(chǎn)生,新的入侵者采用新的方法攻擊網(wǎng)絡(luò),因此安全產(chǎn)品需要不斷的學(xué)習(xí)和升級(jí)，來(lái)對(duì)付各種形式的危害。所以，安全產(chǎn)品的升級(jí)也是網(wǎng)絡(luò)安全的ー個(gè)重要組成部分。防病毒系統(tǒng)的升級(jí)由于防病毒的工作是ー個(gè)長(zhǎng)期的工作,世界上每十分鐘就有新的病毒出現(xiàn),因此,必須有效的升級(jí)服務(wù)。XX證券股份有限有限公司能得到NAI的升級(jí)軟件，并提供終身的升級(jí)服務(wù)。NAI在全球五大洲擁有由近100名病毒研究專家組成的反病毒緊急響應(yīng)小組，它們將對(duì)公司提供每周七天，每天24小時(shí)的技術(shù)支持,在平時(shí)，NAI的Web站點(diǎn)上將平均每小時(shí)更新一次病毒特征文件,供個(gè)人用戶下載或自動(dòng)推向企業(yè)用戶:當(dāng)在病毒發(fā)作的敏感時(shí)期內(nèi)，每十分鐘就會(huì)更新一次病毒特征文件,以使用戶在最短的時(shí)間內(nèi)殺滅新發(fā)現(xiàn)的病毒。公司授權(quán)成立NAI在華東技術(shù)服務(wù)中心，可以提供對(duì)xx證券股份有限有限公司的升級(jí)服務(wù)。防病毒的特征文件的更新方式為:NetToo1sConsole入侵檢測(cè)系統(tǒng)和防火墻產(chǎn)品的升級(jí)這兩類產(chǎn)品的升級(jí)為一年內(nèi)免費(fèi)升級(jí),并享受長(zhǎng)期的升級(jí)支持。本方案的擴(kuò)充本方案根據(jù)XX證券股份有限有限公司的安全需求,著重提出了對(duì)公司外部網(wǎng)絡(luò)安全方案。但從整體的安全角度來(lái)看，在以下三個(gè)方面還應(yīng)考慮，可以作為遠(yuǎn)期目標(biāo)考慮。加密和身份認(rèn)證公司與外部連接的部分可分為兩個(gè)外部網(wǎng)段，總部與Interent連接的網(wǎng)段1,總部與分部連接的網(wǎng)段2。這些網(wǎng)段中的用戶訪問應(yīng)有身份驗(yàn)證系統(tǒng)來(lái)驗(yàn)證這些訪問者是不是xx證券股份有限有限公司真正授權(quán)進(jìn)入的用戶，并對(duì)訪問的去全過程進(jìn)行加密。這樣才能保證外部網(wǎng)絡(luò)的安全。內(nèi)部網(wǎng)絡(luò)安全有統(tǒng)計(jì)表明,對(duì)網(wǎng)絡(luò)的攻擊有80%來(lái)自內(nèi)。所以,我們建議在內(nèi)部網(wǎng)絡(luò)也設(shè)置入侵檢測(cè)、風(fēng)險(xiǎn)評(píng)估、防病毒系統(tǒng)。作到內(nèi)外防治相結(jié)合的全面防范體制。xx證券股份有限有限公司系統(tǒng)的安全目前總部將各分部看成是ー個(gè)不信任的網(wǎng)絡(luò),但對(duì)整體上考慮安全性。建議從以下兩個(gè)角度考慮: