證券公司網(wǎng)絡(luò)安全方案

XX證券股份有限公司

網(wǎng)絡(luò)安全方案

建議書美國網(wǎng)絡(luò)聯(lián)盟公司錯誤!未定義書簽。TOC\o"1-5"\h\z\o"CurrentDocument"概述 6\o"CurrentDocument"xx證券股份有限公司網(wǎng)絡(luò)安全項目的建設(shè)意義 6\o"CurrentDocument"xx證券股份有限有限公司的網(wǎng)絡(luò)現(xiàn)狀 6\o"CurrentDocument"物理結(jié)構(gòu) 6\o"CurrentDocument"網(wǎng)絡(luò)結(jié)構(gòu) 6\o"CurrentDocument"xx證券股份有限有限公司的主要網(wǎng)絡(luò)安全威脅 8xx證券股份有限有限公司的網(wǎng)絡(luò)安全需求分析 9總體需求分析 9\o"CurrentDocument"xx證券股份有限有限公司網(wǎng)絡(luò)安全的系統(tǒng)目標(biāo) 11\o"CurrentDocument"近期目標(biāo) 11遠(yuǎn)期目標(biāo) 11\o"CurrentDocument"總體規(guī)劃 12\o"CurrentDocument"安全體系結(jié)構(gòu) 12\o"CurrentDocument"安全體系層次模型 12物理層 12鏈路層 12網(wǎng)絡(luò)層 13操作系統(tǒng) 13應(yīng)用平臺 13應(yīng)用系統(tǒng) 13安全體系設(shè)計 13安全體系設(shè)計原則 131),需求、風(fēng)險、代價平衡分析的原則: 132).綜合性、整體性原則: 133),一致性原則: 134),易操作性原則: 14.適應(yīng)性、靈活性原則 14.多重保護(hù)原則 14\o"CurrentDocument"網(wǎng)絡(luò)安全風(fēng)險分析 14\o"CurrentDocument"網(wǎng)絡(luò)安全策略 14\o"CurrentDocument"安全管理原則 14\o"CurrentDocument"安全管理的實現(xiàn) 15\o"CurrentDocument"網(wǎng)絡(luò)安全設(shè)計 15\o"CurrentDocument"安全產(chǎn)品選型原則 16\o"CurrentDocument"網(wǎng)絡(luò)安全方案設(shè)計 16\o"CurrentDocument"整體結(jié)構(gòu)安全建議描述 17.內(nèi)部網(wǎng)絡(luò)系統(tǒng):包括: 17.外部網(wǎng)絡(luò)系統(tǒng):包括: 17\o"CurrentDocument"對Internet服務(wù)網(wǎng)段 18營的網(wǎng)^^ 19\o"CurrentDocument"內(nèi)部系統(tǒng)及部門之間連接安全分析和建議 20內(nèi)部用戶通過撥號服務(wù)器與遠(yuǎn)程用戶進(jìn)行通信安全優(yōu)化 21外部用戶訪問公司網(wǎng)站安全分析和建議 21\o"CurrentDocument"本方案中防火墻提供的安全措施 22\o"CurrentDocument"防火墻系統(tǒng)的局限性 22防病毒的整體解決方案 23病毒防護(hù)的必要性和發(fā)展趨勢 23\o"CurrentDocument"xx證券股份有限有限公司的多層病毒防御體系 23客戶端的防病毒系統(tǒng) 24服務(wù)器的防病毒系統(tǒng) 24\o"CurrentDocument"Internet的防病毒系統(tǒng) 24\o"CurrentDocument"防黑客的整體解決方案 25\o"CurrentDocument"基于主機(jī)及網(wǎng)絡(luò)的保護(hù) 25\o"CurrentDocument"主動的防御體系 26\o"CurrentDocument"防火墻與防火墻 26\o"CurrentDocument"防火墻與入侵檢測系統(tǒng) 26\o"CurrentDocument"防火墻與防病毒 28\o"CurrentDocument"安全的評估方案 29\o"CurrentDocument"安全產(chǎn)品的平臺建議 29防病毒產(chǎn)品 30桌面保護(hù)套件:VirusScanSecuritySuite(VSS) 30服務(wù)器保護(hù)套件:NetshieldSecuritySuite(NSS) 30網(wǎng)關(guān)保護(hù)套件:InternetSecuritySuite(ISS) 30建議在WindowsNT或UNIX 30防火墻產(chǎn)品一Gauntlet 30技術(shù)規(guī)范 30入侵檢測與風(fēng)險評估套件 31安全產(chǎn)品升級 31\o"CurrentDocument"防病毒系統(tǒng)的升級 32\o"CurrentDocument"入侵檢測系統(tǒng)和防火墻產(chǎn)品的升級 32這兩類產(chǎn)品的升級為ー年內(nèi)免費(fèi)升級,并享受長期的升級支持。 32\o"CurrentDocument"本方案的擴(kuò)充 32\o"CurrentDocument"加密和身份認(rèn)證 32\o"CurrentDocument"內(nèi)部網(wǎng)絡(luò)安全 33\o"CurrentDocument"xx證券股份有限有限公司系統(tǒng)的安全 33\o"CurrentDocument"安全策略制度 33\o"CurrentDocument"本方案的特點 33\o"CurrentDocument"實施計劃 35\o"CurrentDocument"項目建立 35\o"CurrentDocument"項目保障 35.良好的組織 35.嚴(yán)格的管理 35(3),文擋的管理 35\o"CurrentDocument"應(yīng)用實施 35).項目實施范圍 35).提供服務(wù)的內(nèi)容 351),網(wǎng)絡(luò)安全系統(tǒng)需求分析 362),網(wǎng)絡(luò)安全系統(tǒng)客戶化 36.網(wǎng)絡(luò)安全系統(tǒng)的測試 36.網(wǎng)絡(luò)安全系統(tǒng)的試運(yùn)行 36.網(wǎng)絡(luò)安全系統(tǒng)的正式運(yùn)行 36\o"CurrentDocument"實施進(jìn)度表 36\o"CurrentDocument"技術(shù)支持與服務(wù) 38\o"CurrentDocument"支持中心人員配備 38\o"CurrentDocument"支持中心資源配備 38\o"CurrentDocument"熱線電話 38Mcfsstt@vcn 錯誤!未定義書簽。\o"CurrentDocument"WorldWideWeb 38支持產(chǎn)品庫 38\o"CurrentDocument"技術(shù)支持與服務(wù) 38\o"CurrentDocument"服務(wù)內(nèi)容 38服務(wù)方式 39服務(wù)類型 39\o"CurrentDocument"基礎(chǔ)技術(shù)支持(PrimarySupport) 39\o"CurrentDocument"優(yōu)先級服務(wù)(PrioritySupport) 39\o"CurrentDocument"高級技術(shù)支持(PremierSupport) 40\o"CurrentDocument"服務(wù)標(biāo)準(zhǔn) 40\o"CurrentDocument"電話技術(shù)支持服務(wù) 40電子郵件回復(fù)服務(wù) 40WorldWideWeb服務(wù) 40病毒特征碼更新介質(zhì)郵寄服務(wù) 40\o"CurrentDocument"緊急上門服務(wù) 40\o"CurrentDocument"顧問咨詢服務(wù) 41\o"CurrentDocument"產(chǎn)品配置及報價 42\o"CurrentDocument"附錄A:公司介紹 43\o"CurrentDocument"A1.公司簡介 43\o"CurrentDocument"附錄B： NAI產(chǎn)品介紹 43\o"CurrentDocument"A1.第一層安全屏障:計算機(jī)網(wǎng)絡(luò)病毒防護(hù)ーーMcAfeeTVD 43McAfeeTVD由三種安全產(chǎn)品套件組成: 44VirusScanSecurity Suite(VSS) 44VirusScanSecuritySuite 所含產(chǎn)品 44NetShieldSecuritySuite(NSS) 44NetShieldSecuritySuite所含產(chǎn)品 44NetShield 44InternetSecuritySuite(ISS) 44ISS套件所含內(nèi)容 44\o"CurrentDocument"第二層安全屏障:身份驗證以及信息加密ー?PGPTNS 45PGPDesktopSuite提供對所有桌面的多平臺加密保護(hù)。 46PGPCertificatationServer 46第三層安全屏障:防火墻?ーGauntletInternetFirewall 46\o"CurrentDocument"第四層安全屏障：網(wǎng)絡(luò)漏洞探測及黑客探測ーー 48CybercopMonitor,CybercopScanner,CybercopSting,CASL 48\o"CurrentDocument"附錄C:美國網(wǎng)絡(luò)聯(lián)盟(NAI)公司簡介 50NetTools51VISIBILITY 51SERVICE 51NetToolsSecure51McAfeeTotalVirusDefense(TVD) 51PGPTotalNetworkSecurity(TNS) 51NetToolsManager 51SnifferTotalNetworkVisibility(TNV) 52McAfeeTotalServiceDesk(TSD) 52市場份額: 521.概述XX證券股份有限公司網(wǎng)絡(luò)安全項目的建設(shè)意義ー方面,隨著計算機(jī)技術(shù)、信息技術(shù)的發(fā)展,計算機(jī)網(wǎng)絡(luò)系統(tǒng)必將成為公司各項業(yè)務(wù)的關(guān)鍵平臺。另ー方面，隨著計算機(jī)網(wǎng)絡(luò)系統(tǒng)的發(fā)展，計算機(jī)網(wǎng)絡(luò)安全系統(tǒng)必將發(fā)揮越來越重要的作用。公司網(wǎng)絡(luò)安全系統(tǒng)的建立，必將為公司的業(yè)務(wù)信息系統(tǒng)、行政管理、信息交流提供ー個安全的環(huán)境和完整平臺。通過先進(jìn)技術(shù)建立起的網(wǎng)絡(luò)安全系統(tǒng)，可以從根本上解決來自網(wǎng)絡(luò)外部及內(nèi)部對網(wǎng)絡(luò)安全造成的各種威脅，以最優(yōu)秀的網(wǎng)絡(luò)安全整體解決方案為基礎(chǔ)形成一個更加完善的業(yè)務(wù)系統(tǒng)和辦公自動化系統(tǒng)。利用高性能的網(wǎng)絡(luò)安全環(huán)境，提供整體防病毒、防火墻、防黑客、數(shù)據(jù)加密、身份驗證等于一身的功能,有效地保證秘密、機(jī)密文件的安全傳輸，嚴(yán)格地制止經(jīng)濟(jì)情報失、泄密現(xiàn)象發(fā)生,避免重大經(jīng)濟(jì)案件的發(fā)生。另外，公司在當(dāng)前總部的網(wǎng)絡(luò)安全和今后的信息安全上取得的技術(shù)成果，將裝備到各級機(jī)構(gòu)。因此，本項目的實施可以達(dá)到預(yù)期的經(jīng)濟(jì)及社會效益。xx證券股份有限有限公司的網(wǎng)絡(luò)現(xiàn)狀XX證券股份有限有限公司管理信息網(wǎng)是根據(jù)管理需求,采用國際上先進(jìn)的、成熟的、開放的網(wǎng)絡(luò)技術(shù)建立起來的管理網(wǎng)絡(luò)。安全網(wǎng)絡(luò)的建成,對于宏觀調(diào)控、預(yù)測、決策,更好地實現(xiàn)XX證券股份有限中央的監(jiān)管職能起到了積極的作用。物理結(jié)構(gòu)公司的服務(wù)器及重要網(wǎng)絡(luò)設(shè)備都存放在公司的主機(jī)房內(nèi)，主機(jī)房與外部之間沒有很好的進(jìn)行物理上的隔離，其他非IT人員也能夠不通過任何安全防范措施進(jìn)入機(jī)房。系統(tǒng)結(jié)構(gòu)公司服務(wù)器使用的操作系統(tǒng)以Netware,NT為主，還有部分的Unxi服務(wù)器。Netware.NT,Unix的補(bǔ)丁程序都不是最新的程序，對某些安全漏洞及Y2k問題沒有進(jìn)行相應(yīng)的升級。網(wǎng)絡(luò)結(jié)構(gòu)公司的網(wǎng)絡(luò)大致結(jié)構(gòu)示意圖,如下圖所示:

對網(wǎng)絡(luò)結(jié)構(gòu)的具體描述:1）外部用戶訪問網(wǎng)上交易主機(jī)外部用戶通過Internet來訪問網(wǎng)上交易主機(jī),網(wǎng)上交易主機(jī)作為前置機(jī)讓外部用戶進(jìn)行查詢,前置機(jī)使用并口線（RS232）與后臺的服務(wù)器進(jìn)行連接,當(dāng)用戶需要進(jìn)行證券交易時,向交易主機(jī)發(fā)出需要購進(jìn)或拋出的股票的請求,交易主機(jī)再把客戶的信息傳給后臺的處理服務(wù)器,完成整個交易過程。2）外部用戶訪問公司網(wǎng)站外部用戶可以通過Internet訪問公司的網(wǎng)站，網(wǎng)站服務(wù)器現(xiàn)托管在電信局，與公司內(nèi)部沒有固定的連接。當(dāng)管理員需要對網(wǎng)站進(jìn)行維護(hù)的時候,通過撥號的方式。當(dāng)遠(yuǎn)程管理網(wǎng)站服務(wù)器時，因為沒有用到VPN的方式,可能有被竊聽的可能。3）內(nèi)部用戶訪問外部內(nèi)部用戶通過分別撥號上網(wǎng)的方式與外部進(jìn)行信息的交流，可以撥號上網(wǎng)的Modem可能會有十幾個。使用各種服務(wù)對萬步進(jìn)行訪問如:http,ftp,telnet,smtp,pop3,realvideo,realaudio等等。4）交易所與各個營業(yè)點之間的連接交易所內(nèi)部與各個營業(yè)點之間的連接時通過專線的方式,使用了3com的路由器及由電信提供的CSU/DSU設(shè)備?，F(xiàn)ー共有16個營業(yè)點。當(dāng)數(shù)據(jù)由各個營業(yè)點傳送到此后，再通過集中的服務(wù)器進(jìn)行業(yè)務(wù)處理。5）內(nèi)部系統(tǒng)之間的連接公司的內(nèi)部網(wǎng)絡(luò)主要分為網(wǎng)上交易系統(tǒng)、集中報盤系統(tǒng)、OA系統(tǒng)、監(jiān)控系統(tǒng)。這四個系統(tǒng)之間相互連接沒有通過物理或邏輯的方式進(jìn)行分割。所以各個系統(tǒng)之間可以相互對文件及數(shù)據(jù)進(jìn)行傳輸。6）內(nèi)部部門之間的連接公司的各個部門之間的網(wǎng)絡(luò)是相互連接的,對重要部門沒有進(jìn)行很好的安全保護(hù),用戶可通過自己的計算機(jī)訪問本部門和其他重要部門的數(shù)據(jù)。使用的交換機(jī)沒有對網(wǎng)絡(luò)劃分VLAN或使用子網(wǎng)掩碼的方式劃分部門之間的子網(wǎng)。7）其他因為對公司的了解并不是很深,只是對現(xiàn)了解到的情況進(jìn)行分析,希望公司看過本方案以后能夠提供更多的網(wǎng)絡(luò)連接,部門之間通訊的情況。其他對公司的網(wǎng)絡(luò)整體的分析還包括人員管理，應(yīng)用服務(wù)系統(tǒng)。但因為對公司的這些情況并不了解,所以暫時沒有進(jìn)行描述。人員管理是指公司通過網(wǎng)絡(luò)系統(tǒng)進(jìn)行工作的流程,公司對用戶權(quán)限、密碼的設(shè)置，對網(wǎng)絡(luò)管理員、系統(tǒng)管理員、設(shè)備管理員等計算機(jī)管理人的責(zé)權(quán)劃分。應(yīng)用服務(wù)系統(tǒng)是指主機(jī)系統(tǒng)上使用的應(yīng)用軟件,如:Web服務(wù)器、信息交易系統(tǒng)、數(shù)據(jù)庫系統(tǒng),辦公自動化系統(tǒng)等等。13.xx證券股份有限有限公司的主要網(wǎng)絡(luò)安全威脅由于XX證券股份有限有限公司的管理信息網(wǎng)上的網(wǎng)絡(luò)體系越來越復(fù)雜,應(yīng)用系統(tǒng)越來越多,網(wǎng)絡(luò)規(guī)模不斷擴(kuò)大,逐漸由Intranet發(fā)展到Extranet,現(xiàn)在已經(jīng)擴(kuò)展到Internet,網(wǎng)絡(luò)用戶也已經(jīng)不單單為內(nèi)部用戶。而網(wǎng)絡(luò)安全主要是由處于中心節(jié)點的相關(guān)連接廣域網(wǎng)的路由器直接承擔(dān)對外部用戶的訪問控制工作，且內(nèi)部網(wǎng)絡(luò)直接與外部網(wǎng)絡(luò)相連，對整個網(wǎng)絡(luò)安全形成了巨大的威脅。具體分析，對xx證券股份有限有限公司網(wǎng)絡(luò)安全構(gòu)成威脅的主要因素有:1）內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的連接為直接連接,外部用戶不但可以訪問對外服務(wù)的服務(wù)器,同時也容易地訪問內(nèi)部的網(wǎng)絡(luò)服務(wù)器，這樣，由于內(nèi)部和外部沒有隔離措施，內(nèi)部系統(tǒng)較容易遭到攻擊。2）來自內(nèi)部網(wǎng)的病毒的破壞;3）內(nèi)部用戶的惡意攻擊、誤操作，但由于目前發(fā)生的概率較小,本部分暫不作考慮。4）來自外部網(wǎng)絡(luò)的攻擊，具體有三條途徑：令I(lǐng)nternet連接的部分;ぐ與各分部連接的部分:5）外部網(wǎng)的破壞主要的方式為：令黑客用戶的惡意攻擊、竊取信息,令通過網(wǎng)絡(luò)傳送的病毒和Internet的電子郵件夾帶的病毒。令來自Internet的Web瀏覽可能存在的惡意Java/AcliveX控件。6)缺乏有效的手段監(jiān)視、評估網(wǎng)絡(luò)系統(tǒng)和操作系統(tǒng)的安全性。目前流行的許多操作系統(tǒng)均存在網(wǎng)絡(luò)安全漏洞,如UNIX服務(wù)器,NT服務(wù)器及Windows桌面PC。7)缺乏ー套完整的安全策略、政策。其中，目前最主要的安全威脅是來自網(wǎng)絡(luò)外部用戶(主要是分公司用戶和Internet用戶)的攻擊。XX證券股份有限有限公司的網(wǎng)絡(luò)安全需求分析總體需求分析在XX證券股份有限有限公司信息網(wǎng)中，目前我們視各分公司和及!nternet為外部網(wǎng)絡(luò)，xx證券股份有限有限公司樓內(nèi)的局域網(wǎng)為內(nèi)部網(wǎng)。1)?來自于外部網(wǎng)絡(luò)的訪問，除有特定的身份認(rèn)證外,只能到達(dá)指定的訪問目的地，不能訪問內(nèi)部資源。.網(wǎng)絡(luò)內(nèi)部用戶對外的訪問必須經(jīng)過授權(quán)才能訪問外部的Server。授權(quán)和代理由防火墻來完成。.對于外部網(wǎng)絡(luò)來說,內(nèi)部網(wǎng)絡(luò)的核心一交換機(jī)是不可見的，交換機(jī)作為樓內(nèi)網(wǎng)絡(luò)的一部分。4),外部網(wǎng)絡(luò)不能直接對內(nèi)部網(wǎng)絡(luò)進(jìn)行訪問，外部網(wǎng)絡(luò)客戶訪問內(nèi)部Server時通過外部服務(wù)提供設(shè)備進(jìn)行,該外部服務(wù)提供設(shè)備起到訪問的中介作用，保證了內(nèi)部關(guān)鍵信息資源的安全。5),外部服務(wù)提供設(shè)備與內(nèi)部的dBServer之間數(shù)據(jù)交換應(yīng)安全審慎，可選取方式:令禁止兩者之間鏈路通訊,數(shù)據(jù)交換采用文件拷貝方式;令兩者之間采用加密通訊:兩者之間授權(quán)訪問，通過外部服務(wù)提供設(shè)備進(jìn)行代理。1.4.2.具體各子系統(tǒng)的安全需求XX證券股份有限有限公司網(wǎng)絡(luò)部署了眾多的網(wǎng)絡(luò)設(shè)備、服務(wù)器,保護(hù)這些設(shè)備的正常運(yùn)行,維護(hù)主要業(yè)務(wù)系統(tǒng)的安全,是XX證券股份有限有限公司網(wǎng)絡(luò)的基本安全需求。XX證券股份有限有限公司網(wǎng)絡(luò)為多級應(yīng)用網(wǎng)絡(luò)系統(tǒng)，對于各級子系統(tǒng)均在不同程度上要求充分考慮網(wǎng)絡(luò)安全。.交易業(yè)務(wù)系統(tǒng)的安全需求:與普通網(wǎng)絡(luò)應(yīng)用不同的是，業(yè)務(wù)系統(tǒng)是XX證券股份有限XX證券股份有限應(yīng)用的核心。XX證券股份有限有限公司的業(yè)務(wù)系統(tǒng)包括總部和分部所有的業(yè)務(wù)系統(tǒng)。對于業(yè)務(wù)系統(tǒng)應(yīng)該具有最高的網(wǎng)絡(luò)安全措施。XX證券股份有限有限公司網(wǎng)絡(luò)應(yīng)保障:ぐ訪問控調(diào)，確保業(yè)務(wù)系統(tǒng)不被非法訪問。即禁止外部用戶間的非法訪問。ぐ數(shù)據(jù)安全,保證各類服務(wù)器系統(tǒng)的整體安全性和可靠性。ぐ入侵檢測,對于試圖破壞業(yè)務(wù)系統(tǒng)的惡意行為能夠及時發(fā)現(xiàn)、記錄和跟蹤，提供非法攻擊的犯罪證據(jù)。令來自網(wǎng)絡(luò)內(nèi)部其他系統(tǒng)的破壞，或誤操作造成的安全隱患。.Internet服務(wù)平臺的安全需求：Internet服務(wù)平臺分為兩個部分:提供Xx證券股份有限公司的網(wǎng)絡(luò)用戶對Internet的訪問;提供Internet對公司網(wǎng)內(nèi)服務(wù)的訪問。公司內(nèi)網(wǎng)絡(luò)客戶對Internet的訪問，有可能帶來某些類型的網(wǎng)絡(luò)安全。如通過電子郵件、FTP引入病毒、危險的Java或AetiveX應(yīng)用等。因此，需要在網(wǎng)絡(luò)內(nèi)對上述情況提供集成的網(wǎng)絡(luò)病毒檢測、消除等操作。提供給!nternet的網(wǎng)絡(luò)服務(wù)按照應(yīng)用類型可分為:ぐ普通服務(wù):該種服務(wù)通常需要保障系統(tǒng)抵抗和檢測攻擊的能力。即一般的WWW應(yīng)用如:HTTP、FTP、MAIL等服務(wù)。令商業(yè)應(yīng)用:商業(yè)應(yīng)用更要考慮嚴(yán)格的安全要求,而且還希望提供不停頓的服務(wù)。1.5.xx證券股份有限有限公司網(wǎng)絡(luò)安全的系統(tǒng)目標(biāo)伴隨著保險業(yè)務(wù)的不斷深入,XX證券股份有限有限公司電子化應(yīng)用的不斷增強(qiáng),內(nèi)部網(wǎng)絡(luò)上應(yīng)用系統(tǒng)越來越多，更好的、更有效的、更方便的保護(hù)和管理系統(tǒng)資源、網(wǎng)絡(luò)資源，是實現(xiàn)網(wǎng)絡(luò)安全的目標(biāo)。實施網(wǎng)絡(luò)安全系統(tǒng)項目，整體規(guī)劃網(wǎng)絡(luò)安全系統(tǒng),作好以下幾個方面的規(guī)劃和實施:ぐ應(yīng)用程序加密令應(yīng)用完整性ぐ用戶完整性令系統(tǒng)完整性ぐ網(wǎng)絡(luò)完整性151.近期目標(biāo)目前迫在眉睫的工作是保護(hù)整個系統(tǒng)的網(wǎng)絡(luò)完整性和系統(tǒng)的完整性，建立安全的網(wǎng)絡(luò)邏輯結(jié)構(gòu)，為今后的實施應(yīng)用完整性和用戶完整性奠定基礎(chǔ)。網(wǎng)絡(luò)完整性主要是對網(wǎng)絡(luò)系統(tǒng)的保護(hù)，通過設(shè)置防火墻系統(tǒng)等保證通訊安全:系統(tǒng)的完整性是信息系統(tǒng)的保護(hù)主要有防病毒、風(fēng)險評估、入侵檢測、審計分析等方面。1.5.2.遠(yuǎn)期目標(biāo)全面部署XX證券股份有限有限公司全局的整體安全防御系統(tǒng),鞏固和完善網(wǎng)絡(luò)安全及管理系統(tǒng)，使XX證券股份有限有限公司信息網(wǎng)在安全的前提下更好、更方便、更有效的實現(xiàn)中央銀行的監(jiān)管職能。2.總體規(guī)劃安全體系結(jié)構(gòu)網(wǎng)絡(luò)安全體系結(jié)構(gòu)主要考慮安全對象和安全機(jī)制,安全對象主要有網(wǎng)絡(luò)安全、系統(tǒng)安全、數(shù)據(jù)庫安全、信息安全、設(shè)備安全、信息介質(zhì)安全和計算機(jī)病毒防治等,其安全體系結(jié)構(gòu)如下圖所示:安全體系層次模型按照網(wǎng)絡(luò)OSI的7層模型,網(wǎng)絡(luò)安全貫穿于整個7層。針對網(wǎng)絡(luò)系統(tǒng)實際運(yùn)行的TCP/IP協(xié)議,網(wǎng)絡(luò)安全貫穿于信息系統(tǒng)的4個層次。下圖表示了對應(yīng)網(wǎng)絡(luò)系統(tǒng)網(wǎng)絡(luò)的安全體系層次模型:物理層物理層信息安全，主要防止物理通路的損壞、物理通路的竊聽、對物理通路的攻擊（干擾等）鏈路層鏈路層的網(wǎng)絡(luò)安全需要保證通過網(wǎng)絡(luò)鏈路傳送的數(shù)據(jù)不被竊聽。主要采用劃分VLAN（局域網(wǎng)）、加密通訊（遠(yuǎn)程網(wǎng)）等手段。網(wǎng)絡(luò)層網(wǎng)絡(luò)層的安全需要保證網(wǎng)絡(luò)只給授權(quán)的客戶使用授權(quán)的服務(wù),保證網(wǎng)絡(luò)路由正確,避免被攔截或監(jiān)聽。操作系統(tǒng)操作系統(tǒng)安全要求保證客戶資料、操作系統(tǒng)訪問控制的安全,同時能夠?qū)υ摬僮飨到y(tǒng)上的應(yīng)用進(jìn)行審計。應(yīng)用平臺應(yīng)用平臺指建立在網(wǎng)絡(luò)系統(tǒng)之上的應(yīng)用軟件服務(wù)，如數(shù)據(jù)庫服務(wù)器、電子郵件服務(wù)器、Web服務(wù)器等。由于應(yīng)用平臺的系統(tǒng)非常復(fù)雜，通常采用多種技術(shù)（如SSL等）來增強(qiáng)應(yīng)用平臺的安全性。應(yīng)用系統(tǒng)應(yīng)用系統(tǒng)完成網(wǎng)絡(luò)系統(tǒng)的最終目的一為用戶服務(wù)。應(yīng)用系統(tǒng)的安全與系統(tǒng)設(shè)計和實現(xiàn)關(guān)系密切。應(yīng)用系統(tǒng)使用應(yīng)用平臺提供的安全服務(wù)來保證基本安全,如通訊內(nèi)容安全，通訊雙方的認(rèn)證,審計等手段。安全體系設(shè)計安全體系設(shè)計原則在進(jìn)行計算機(jī)網(wǎng)絡(luò)安全設(shè)計、規(guī)劃時,應(yīng)遵循以下原則:1）,需求、風(fēng)險、代價平衡分析的原則:對任一網(wǎng)絡(luò)來說，絕對安全難以達(dá)到，也不一定必要。對ー個網(wǎng)絡(luò)要進(jìn)行實際分析，對網(wǎng)絡(luò)面臨的威脅及可能承擔(dān)的風(fēng)險進(jìn)行定性與定量相結(jié)合的分析，然后制定規(guī)范和措施，確定本系統(tǒng)的安全策略。保護(hù)成本、被保護(hù)信息的價值必須平衡，價值僅1萬元的信息如果用5萬元的技術(shù)和設(shè)備去保護(hù)是ー種不適當(dāng)?shù)谋Ｗo(hù)。.綜合性、整體性原則:運(yùn)用系統(tǒng)工程的觀點、方法，分析網(wǎng)絡(luò)的安全問題，并制定具體措施。ー個較好的安全措施往往是多種方法適當(dāng)綜合的應(yīng)用結(jié)果。ー個計算機(jī)網(wǎng)絡(luò)包括個人、設(shè)備、軟件、數(shù)據(jù)等環(huán)節(jié)。它們在網(wǎng)絡(luò)安全中的地位和影響作用，只有從系統(tǒng)綜合的整體角度去看待和分析，才可能獲得有效、可行的措施。.一致性原則:這主要是指網(wǎng)絡(luò)安全問題應(yīng)與整個網(wǎng)絡(luò)的工作周期（或生命周期）同時存在，制定的安全體系結(jié)構(gòu)必須與網(wǎng)絡(luò)的安全需求相一致。實際上,在網(wǎng)絡(luò)建設(shè)之初就考慮網(wǎng)絡(luò)安全對策，比等網(wǎng)絡(luò)建設(shè)好后再考慮，不但容易，而且花費(fèi)也少得多。4),易操作性原則:安全措施要由人來完成,如果措施過于復(fù)雜,對人的要求過高,本身就降低了安全性。其次，采用的措施不能影響系統(tǒng)正常運(yùn)行。5),適應(yīng)性、靈活性原則安全措施必須能隨著網(wǎng)絡(luò)性能及安全需求的變化而變化,要容易適應(yīng)、容易修改。6).多重保護(hù)原則任何安全保護(hù)措施都不是絕對安全的，都可能被攻破。但是建立一個多重保護(hù)系統(tǒng),各層保護(hù)相互補(bǔ)充,當(dāng)ー層保護(hù)被攻破時,其它層保護(hù)仍可保護(hù)信息的安全。網(wǎng)絡(luò)安全風(fēng)險分析網(wǎng)絡(luò)系統(tǒng)的可靠運(yùn)轉(zhuǎn)是基于通訊子網(wǎng)、計算機(jī)硬件和操作系統(tǒng)及各種應(yīng)用軟件等各方面、各層次的良好運(yùn)行。因此，它的風(fēng)險將來自對企業(yè)的各個關(guān)鍵點可能造成的威脅，這些威脅可能造成總體功能的失效。由于在這種廣域網(wǎng)分布式計算環(huán)境中，相對于過去的局域網(wǎng)、主機(jī)環(huán)境、單機(jī)環(huán)境,安全問題變得越來越復(fù)雜和突出，所以網(wǎng)安全風(fēng)險分析成為制定有效的安全管理策略和選擇有作用的安全技術(shù)實施措施的基礎(chǔ)依據(jù)。安全保障不能完全基于思想教育或信任。而應(yīng)基于“最低權(quán)限”和“相互監(jiān)督”的法則，減少保密信息的介入范圍,盡力消除使用者為使用資源不得不信任他人或被他人信任的問題,建立起完整的安全控制體系和保證體系。網(wǎng)絡(luò)安全策略安全策略分安全管理策略和安全技術(shù)實施策略兩個方面:1),管理策略安全系統(tǒng)需要人來執(zhí)行,即使是最好的、最值得信賴的系統(tǒng)安全措施,也不能完全由計算機(jī)系統(tǒng)來完全承擔(dān)安全保證任務(wù),因此必須建立完備的安全組織和管理制度。.技術(shù)策略技術(shù)策略要針對網(wǎng)絡(luò)、操作系統(tǒng)、數(shù)據(jù)庫、信息共享授權(quán)提出具體的措施。安全管理原則計算機(jī)信息系統(tǒng)的安全管理主要基于三個原則。(I)多人負(fù)責(zé)原則每項與安全有關(guān)的活動都必須有兩人或多人在場。這些人應(yīng)是系統(tǒng)主管領(lǐng)導(dǎo)指派的，應(yīng)忠誠可靠，能勝任此項工作。(2)任期有限原則一般地講,任何人最好不要長期擔(dān)任與安全有關(guān)的職務(wù)，以免誤認(rèn)為這個職務(wù)是專有的或永久性的。(3)職責(zé)分離原則除非系統(tǒng)主管領(lǐng)導(dǎo)批準(zhǔn),在信息處理系統(tǒng)工作的人員不要打聽、了解或參與職責(zé)以外、與安全有關(guān)的任何事情。安全管理的實現(xiàn)信息系統(tǒng)的安全管理部門應(yīng)根據(jù)管理原則和該系統(tǒng)處理數(shù)據(jù)的保密性,制訂相應(yīng)的管理制度或采用相應(yīng)規(guī)范,其具體工作是:令確定該系統(tǒng)的安全等級。ぐ根據(jù)確定的安全等級,確定安全管理的范圍。ぐ制訂相應(yīng)的機(jī)房出入管理制度。對安全等級要求較高的系統(tǒng),要實行分區(qū)控制,限制工作人員出入與己無關(guān)的區(qū)域。ぐ制訂嚴(yán)格的操作規(guī)程。操作規(guī)程要根據(jù)職責(zé)分離和多人負(fù)責(zé)的原則,各負(fù)其責(zé),不能超越自己的管轄范圍。ぐ制訂完備的系統(tǒng)維護(hù)制度。維護(hù)時,要首先經(jīng)主管部門批準(zhǔn)，并有安全管理人員在場，故障原因、維護(hù)內(nèi)容和維護(hù)前后的情況要詳細(xì)記錄。ぐ制訂應(yīng)急措施。要制訂在緊急情況下，系統(tǒng)如何盡快恢復(fù)的應(yīng)急措施，使損失減至最小。令建立人員雇用和解聘制度,對工作調(diào)動和離職人員要及時調(diào)整相應(yīng)的授權(quán)。安全系統(tǒng)需要由人來計劃和管理，任何系統(tǒng)安全設(shè)施也不能完全由計算機(jī)系統(tǒng)獨(dú)立承擔(dān)系統(tǒng)安全保障的任務(wù)。一方面,各級領(lǐng)導(dǎo)一定要高度重視并積極支持有關(guān)系統(tǒng)安全方面的各項措施。其次，對各級用戶的培訓(xùn)也十分重要，只有當(dāng)用戶對網(wǎng)絡(luò)安全性有了深入了解后，才能降低網(wǎng)絡(luò)信息系統(tǒng)的安全風(fēng)險?？傊?，制定系統(tǒng)安全策略、安裝網(wǎng)絡(luò)安全系統(tǒng)只是網(wǎng)絡(luò)系統(tǒng)安全性實施的第一步,只有當(dāng)各級組織機(jī)構(gòu)均嚴(yán)格執(zhí)行網(wǎng)絡(luò)安全的各項規(guī)定，認(rèn)真維護(hù)各自負(fù)責(zé)的分系統(tǒng)的網(wǎng)絡(luò)安全性,才能保證整個系統(tǒng)網(wǎng)絡(luò)的整體安全性。網(wǎng)絡(luò)安全設(shè)計由于網(wǎng)絡(luò)的互連是在鏈路層、網(wǎng)絡(luò)層、傳輸層、應(yīng)用層不同協(xié)議層來實現(xiàn)，各個層的功能特性和安全特性也不同，因而其網(wǎng)絡(luò)安全措施也不相同。物理層安全涉及傳輸介質(zhì)的安全特性，抗干擾、防竊聽將是物理層安全措施制定的重點。在鏈路層，通過“橋”這ー互連設(shè)備的監(jiān)視和控制作用，使我們可以建立一定程度的虛擬局域網(wǎng)，對物理和邏輯網(wǎng)段進(jìn)行有效的分割和隔離,消除不同安全級別邏輯網(wǎng)段間的竊聽可能。在網(wǎng)絡(luò)層，可通過對不同子網(wǎng)的定義和對路由器的路由表控制來限制子網(wǎng)間的接點通信，通過對主機(jī)路由表的控制來控制與之直接通信的節(jié)點。同時,利用網(wǎng)關(guān)的安全控制能力，可以限制節(jié)點的通信、應(yīng)用服務(wù)，并加強(qiáng)外部用戶識別和驗證能力。對網(wǎng)絡(luò)進(jìn)行級別劃分與控制，網(wǎng)絡(luò)級別的劃分大致包括Internet/企業(yè)網(wǎng)、骨干網(wǎng)/區(qū)域網(wǎng)、區(qū)域網(wǎng)/部門網(wǎng)、部門網(wǎng)/工作組網(wǎng)等,其中Internet/企業(yè)網(wǎng)的接口要采用專用防火墻,骨干網(wǎng)/區(qū)域網(wǎng)、區(qū)域網(wǎng)/部門網(wǎng)的接口利用路由器的可控路由表、安全郵件服務(wù)器、安全撥號驗證服務(wù)器和安全級別較高的操作系統(tǒng)。增強(qiáng)網(wǎng)絡(luò)互連的分割和過濾控制,也可以大大提高安全保密性。隨著企業(yè)個人與個人之間、各部門之間、企業(yè)和企業(yè)之間、國際間信息交流的日益頻繁，信息傳輸?shù)陌踩猿蔀椹`個重要的問題。盡管個人、部門和整個企業(yè)都已認(rèn)識到信息的寶貴價值和私有性,但商場上的無情競爭已迫使機(jī)構(gòu)打破原有的界限，在企業(yè)內(nèi)部或企業(yè)之間共享更多的信息,只有這樣才能縮短處理問題的時間，并在相互協(xié)作的環(huán)境中孕育出更多的革新和創(chuàng)造。然而，在群件系統(tǒng)中共享的信息卻必須保證其安全性，以防止有意無意的破壞。物理實體的安全管理現(xiàn)已有大量標(biāo)準(zhǔn)和規(guī)范，如GB9361-88《計算機(jī)場地安全要求》、GFB2887-88《計算機(jī)場地技術(shù)條件》等。2.4.安全產(chǎn)品選型原則在進(jìn)行XX證券股份有限有限公司網(wǎng)絡(luò)安全方案的產(chǎn)品選型時，要求安全產(chǎn)品至少應(yīng)包含以下功能:令訪問控制:通過對特定網(wǎng)段、服務(wù)建立的訪問控制體系，將絕大多數(shù)攻擊阻止在到達(dá)攻擊目標(biāo)之前。令檢査安全漏洞：通過對安全漏洞的周期檢查,即使攻擊可到達(dá)攻擊目標(biāo),也可使絕大多數(shù)攻擊無效。令攻擊監(jiān)控：通過對特定網(wǎng)段、服務(wù)建立的攻擊監(jiān)控體系，可實時檢測出絕大多數(shù)攻擊,并采取相應(yīng)的行動（如斷開網(wǎng)絡(luò)連接、記錄攻擊過程、跟蹤攻擊源等）。令加密通訊:主動的加密通訊,可使攻擊者不能了解、修改敏感信息。令認(rèn)證:良好的認(rèn)證體系可防止攻擊者假冒合法用戶。令備份和恢復(fù):良好的備份和恢復(fù)機(jī)制，可在攻擊造成損失時，盡快地恢復(fù)數(shù)據(jù)和系統(tǒng)服務(wù)。令多層防御：攻擊者在突破第一道防線后，延緩或阻斷其到達(dá)攻擊目標(biāo)。ぐ隱藏內(nèi)部信息：使攻擊者不能了解系統(tǒng)內(nèi)的基本情況。ぐ設(shè)立安全監(jiān)控中心:為信息系統(tǒng)提供安全體系管理、監(jiān)控，保護(hù)及緊急情況服務(wù)。3.網(wǎng)絡(luò)安全方案設(shè)計根據(jù)第二章對XX證券股份有限有限公司的安全需求分析,結(jié)合安全設(shè)計的策略，我們提出網(wǎng)絡(luò)安全設(shè)計方案。本章首先描述安全網(wǎng)絡(luò)的整體結(jié)構(gòu)，然后就各網(wǎng)段采用的防火墻、防病毒、防黑客，以及安全評估等技術(shù)措施作詳細(xì)的描述。各種安全措施之間的相互協(xié)作,構(gòu)成主動的網(wǎng)絡(luò)安全防御體系。為確保系統(tǒng)的安全性保持穩(wěn)定,我們介紹了各種安全產(chǎn)品的平臺要求,以及升級的保證方式和途徑。根據(jù)XX證券股份有限有限公司的網(wǎng)絡(luò)安全需求,目前網(wǎng)絡(luò)安全方案集中考慮外部網(wǎng)絡(luò)的安全性;對于整體網(wǎng)絡(luò)的安全性，我們還分析了網(wǎng)絡(luò)安全方案的可擴(kuò)充性。在本章結(jié)尾,我們總結(jié)了本方案的特點。?整體結(jié)構(gòu)安全建議描述由于XX證券股份有限有限公司網(wǎng)的安全體系包括內(nèi)外兩部分，而目前著重于外部的安全建設(shè)，所以目前的安全假設(shè)為:將公司內(nèi)部網(wǎng)絡(luò)看作信任網(wǎng)絡(luò),暫不考慮安全問題:將外部網(wǎng)視為不信任網(wǎng)絡(luò)，需要采取安全措施。其總體結(jié)構(gòu)如下:.內(nèi)部網(wǎng)絡(luò)系統(tǒng):包括:令LANI,LAN2…LAN8等內(nèi)部網(wǎng)段;ぐ內(nèi)部服務(wù)子網(wǎng)ー即［初步設(shè)想］的VPN的部分。2),外部網(wǎng)絡(luò)系統(tǒng):包括：ぐ對Internet服務(wù)網(wǎng)段。ぐ連接xx證券股份有限各營業(yè)點的網(wǎng)段。令Web網(wǎng)站。在“初步設(shè)想”中，在本方案中，考慮到服務(wù)的交集會給防火墻安全策略的制定帶來不便,形成潛在的安全隱患，并且也不利于整個網(wǎng)絡(luò)安全的管理，因此我們將vpn網(wǎng)關(guān)相應(yīng)服務(wù)器分別部署在對應(yīng)的網(wǎng)段中，而將對內(nèi)服務(wù)的服務(wù)器放到內(nèi)部網(wǎng)絡(luò)中的內(nèi)部服務(wù)子網(wǎng)中。同時，我們在系統(tǒng)中增加了一個網(wǎng)絡(luò)安全管理平臺網(wǎng)段。整個網(wǎng)絡(luò)安全結(jié)構(gòu)如下圖:

DIALnrDIALnrat對Internet服務(wù)網(wǎng)段如上圖示,內(nèi)部用戶訪問Internet,通過撥號上網(wǎng)的方式,通過單個客戶機(jī)分別撥號上網(wǎng)首先會對整個內(nèi)部安全造成很大影響，同時造成資金的浪費(fèi)。因為當(dāng)撥號連接建立以后,會動態(tài)的分配到ー個合法的IP地址，那樣如果有非法用戶對該地址進(jìn)行嘗試的攻擊，很可能通過該機(jī)進(jìn)入整個內(nèi)部系統(tǒng)。建議:a.在撥號上網(wǎng)的主機(jī)上配置物理隔離卡，當(dāng)用戶上網(wǎng)時，物理隔離卡可以把硬盤分為上網(wǎng)部分與安全部分,這兩部分將相互隔離,這樣就保證了有非法用戶通過該機(jī)進(jìn)入內(nèi)部系統(tǒng)。b,使用防火墻同時申請ー根專線上網(wǎng)，這樣既可以防止撥號上網(wǎng)帶來的危險性又可以提高上網(wǎng)速度。在接口處防火墻的配置方法:訪問的安全控制:.DMZ1對外提供服務(wù)DMZ!中的服務(wù)器主要用于對Internet用戶提供服務(wù)，包括DNS、EmaikFTP、HTTP等,其服務(wù)全部由防火墻提供代理，其工作流程如下:aa:由外部Client端向Firewall1提出請求(HTTP,FTP等)；b:通過Firewalll過濾、識別、身份驗證,確定為合法請求,并確定該請求的目標(biāo)服務(wù)器之后由Firewalll向DMZ1里的服務(wù)器提出請求;DMZ1里的目標(biāo)服務(wù)器接受Firewalll的請求并對其作出響應(yīng);Firewall1再將請求傳遞給外部的Client。.內(nèi)部網(wǎng)絡(luò)的用戶對Internet的訪問對于內(nèi)部用戶對Internet的請求包括Email和HTTP、FTP等。令對Email類,內(nèi)部網(wǎng)采用HPOpenMail,而Internet采用SMTP協(xié)議,建議設(shè)立一臺電子郵件轉(zhuǎn)發(fā)服務(wù)器(MX),部署在DMZ1里,對內(nèi)部HPOpenMail的郵件和Internet的SMTP郵件進(jìn)行轉(zhuǎn)發(fā)。令對HTTP、FTP等其他類型的服務(wù)由防火墻作為代理，F(xiàn)irewalll在中間也起到過濾、識別、身份驗證的作用。3),地址轉(zhuǎn)換(NAT)由于目前xx證券股份有限有限公司采用A類地址,而外部采用Internet合法地址,GauntletFirewalll提供內(nèi)、外地址的翻譯，即可隱藏內(nèi)部IP.4).FireWalll未來的GVPN功能將來外匯管理局的內(nèi)部Intranet中的Gauntlet防火墻可形成GVPN,采用Gauntlet的GVPN技術(shù)對內(nèi)部的外出員工可建立一條可信賴的連接，直接訪問內(nèi)部網(wǎng)絡(luò)的資源。c.使用Proxy的方式，讓所有的用戶通過盡量少的電話線上網(wǎng),在該proxy服務(wù)器上安裝物理隔離卡,這樣可以防止不必要的危險性，又可以降低費(fèi)用,同時可以對所有用戶訪問的時間流量進(jìn)行統(tǒng)計。3.1.2,連接各營業(yè)點的網(wǎng)段連接各營業(yè)點的網(wǎng)段是連接公司總部與各分公司的接口，各營業(yè)點通過X.25/PSTN連接到總公司的3com主干路由器上。交易所與營業(yè)點的相互訪問是通過DDN,由于系統(tǒng)本身是ー個很安全的系統(tǒng),我們這里就不對此作一些安全產(chǎn)品的配置,只是對整個系統(tǒng)及應(yīng)用程序的安全進(jìn)行安全性的掃描,如果存在漏洞則對系統(tǒng)進(jìn)行升級和優(yōu)化。因為交易所與營業(yè)點的數(shù)據(jù)傳輸經(jīng)常會突然出現(xiàn)流量增大,影響正常的交易,所以我們認(rèn)為在交易所的路由器到內(nèi)部網(wǎng)之間添加一個百兆的集線器或交換機(jī)在此上的端口處安裝NAI公司的SnifferforLAN,對進(jìn)出的包進(jìn)行解碼分析,區(qū)分出包的類型,對非正常交易的包進(jìn)行分析并且通過一些措施把這些非正常交易的包給過濾掉或通過流量分配軟件進(jìn)行有效的劃分。具體配置:把與交易無關(guān)的包給過濾掉?？梢酝ㄟ^在路由器后面添加防火墻的方式，可以把已經(jīng)通過Sniffer檢查出來的與交易無關(guān)的包的源地址給屏蔽掉，不讓包進(jìn)行內(nèi)部系統(tǒng)。通過流量分配軟件在各個營業(yè)點對出去的包進(jìn)行手工的流量分配。如果是與交易有關(guān)的包讓它占有較大的帶寬，如果與交易無關(guān)的包則讓它占較小的帶寬,這樣可以保證主干業(yè)務(wù)的暢通運(yùn)行?？梢栽诰W(wǎng)段上安裝入侵檢測軟件，它可以對進(jìn)來的包進(jìn)行解碼并且分析包的內(nèi)容,是什么類型的服務(wù)，使用的端口號,源地址及目的地址等。這樣就可以分析出哪些連接是沒有必要的,然后再把該連接通過防火墻給屏蔽掉。內(nèi)部系統(tǒng)及部門之間連接安全分析和建議據(jù)統(tǒng)計在互聯(lián)網(wǎng)上80%的泄密來自于內(nèi)部網(wǎng)絡(luò),在設(shè)計網(wǎng)絡(luò)安全結(jié)構(gòu)時，如何防止內(nèi)部人員的攻擊也是一個很重要的方面，對于某些關(guān)鍵部門,如財務(wù)部門,可能允許上傳數(shù)據(jù)、提供特定數(shù)據(jù)供指定部門的指定人員查閱。而在目前交易所公司的網(wǎng)絡(luò)結(jié)構(gòu)上并未對上述關(guān)鍵部門給予應(yīng)有的特別保護(hù),任何內(nèi)部工作人員都可以進(jìn)入關(guān)鍵部門的計算機(jī)上，獲取機(jī)器上的有用信息。在公司內(nèi)部如果由對公司不滿的員エ,它可以在公司的網(wǎng)絡(luò)段中安裝ー些偵聽軟件,收集進(jìn)入重要部門的信息,如:用戶的密碼,重要的文件,重要的信件等等。這些偵聽軟件在網(wǎng)上面到處可以免費(fèi)獲得，所以如果我們沒有很好的防范措施，重要的系統(tǒng)很容易遭到破壞。a.在幾個重要部門之間相互通信的接口處添加VPN網(wǎng)關(guān)。配置方法:在幾個重要部門的交換機(jī)上安裝一個硬件的的VPN設(shè)備，所有需要到另ー個部門的信息都會通過VPN網(wǎng)關(guān),進(jìn)行加密,根據(jù)IPSEC方式,在IP包頭添加另ー個網(wǎng)段的VPN網(wǎng)關(guān)的IP地址。這樣所有的包在到達(dá)另ー個部門前先需要經(jīng)過該部門的VPN網(wǎng)關(guān)的解密。其他特點：VPN網(wǎng)關(guān)會可以在這幾個部門之間相互建立不同的信任關(guān)系,建立不同的加密算法;作用:防止了不滿員エ的偵聽，保證了信息傳輸過程中的安全性，提髙各個重要部門的安全性等等。b.在重要的部門的網(wǎng)段上添加入侵檢測軟件。配置方法:把入侵檢測軟件安裝在某臺空余的電腦上，并且把它與Hub相連。作用:它能夠?qū)崟r的捕獲通過Hub的包,并且對包進(jìn)行分析,通過離線分析模塊與黑客特征庫進(jìn)行比較看是否有黑客進(jìn)行攻擊，如果有則會報警，并且會自動對進(jìn)來的非法包進(jìn)行阻斷。c.在特別重要的服務(wù)器及主機(jī)上,添加基于主機(jī)的入侵檢測軟件。配置方法：如果需要保護(hù)哪臺主機(jī)，就在它上面安裝入侵檢測軟件。作用：對重要的文件進(jìn)行實時的跟蹤，對用戶的權(quán)限、密碼、注冊表文件或/etc目錄下的文件、數(shù)據(jù)庫內(nèi)的數(shù)據(jù)進(jìn)行保護(hù)。d.使用防病毒系統(tǒng)，配置方法：在文件服務(wù)器，群間服務(wù)器,網(wǎng)關(guān)服務(wù)器,客戶機(jī)上分別安裝防病毒軟件。作用:防止病毒功過客戶端,文件服務(wù)器，全殲服務(wù)器,網(wǎng)關(guān)服務(wù)器進(jìn)行傳播,有效的防止了這種非技術(shù)型的系統(tǒng)破壞。內(nèi)部用戶通過撥號服務(wù)器與遠(yuǎn)程用戶進(jìn)行通信安全優(yōu)化a..在撥號服務(wù)器的網(wǎng)段中再添加一臺身份認(rèn)證服務(wù)器,對通過撥號上來的用戶進(jìn)行兩次身份認(rèn)證,并且如果有能力,可以讓每ー個撥號用戶配置ー個IC卡,該卡上的號碼會根據(jù)身份認(rèn)證服務(wù)器進(jìn)行更新，用戶必須輸入更新后的密碼才能進(jìn)入系統(tǒng)。b.經(jīng)常性更換用戶名及口令,同時限定登入失敗次數(shù),保持較高的保密性及安全性。c.對登入上來的用戶及登入失敗的用戶都進(jìn)行審計，看是否有非法用戶進(jìn)行嘗試性攻擊。d.添加VPN網(wǎng)關(guān)，同時在用戶端添加加密PC卡。作用:保證傳輸過程中用戶密碼的保密性，傳輸信息的保密性;把合法地址轉(zhuǎn)化成了內(nèi)部地址，大大的提高了內(nèi)部網(wǎng)絡(luò)的安全性;對遠(yuǎn)程用戶的訪問進(jìn)行限制，防止非法用戶的惡意攻擊。外部用戶訪問公司網(wǎng)站安全分析和建議當(dāng)外部用戶訪問公司托管的網(wǎng)站服務(wù)器時，因為現(xiàn)在在網(wǎng)站服務(wù)器上沒有做任何的防范所以和容易被黑客破壞,當(dāng)發(fā)生頁面被換成非健康內(nèi)容或整個系統(tǒng)被洗的情況,將造成不良的后果。建議:在網(wǎng)站服務(wù)器前面安裝防火墻。作用:把所有不必要的服務(wù)及端口全部關(guān)閉,防止外部用戶通過其他的掃描軟件或黑可程序進(jìn)行攻擊,同時安裝防火墻后有詳細(xì)的日志文件可以清楚的知道對主機(jī)的訪問情況。同時對服務(wù)器進(jìn)行地址隱藏，使得黑客找不到服務(wù)器的內(nèi)部真實地址,這樣黑客就攻不破。在與網(wǎng)站服務(wù)器同一個hub上安裝入侵檢測軟件或?qū)徲嬒到y(tǒng)。作用:一旦發(fā)現(xiàn)有什么高手黑客闖入,就可以檢測出來，等檢測出來后它會采取有效的報警措施:BP機(jī)呼叫、發(fā)MAIL、拉警報、警報列表等。在網(wǎng)站服務(wù)器上添加網(wǎng)站實時監(jiān)控及恢復(fù)軟件。作用：對網(wǎng)站的主頁及其它需要保護(hù)的頁面，進(jìn)行實時的監(jiān)控，一旦發(fā)現(xiàn)頁面配修改,則會檢查該修改是合法的還是非法的如果為非法的修改則會從備份端把頁面重新恢復(fù)回去。同時還有經(jīng)過加密的客戶端上傳軟件，規(guī)定只有從該客戶端傳上去的文件オ認(rèn)為是合法的，這樣大大的加強(qiáng)了安全性。對編寫程序的方式進(jìn)行調(diào)整,把兩層結(jié)構(gòu)調(diào)整成三層結(jié)構(gòu)，在網(wǎng)頁與數(shù)據(jù)庫之間添加中間層。防止黑客通過分析頁面代碼獲得數(shù)據(jù)庫的管理口令。需要把NT的ServicePack補(bǔ)丁程序打到SP6a,這樣可以防止用戶通過如：http:〃%81或,cn::DATA的萬式對網(wǎng)站進(jìn)行攻擊。如果網(wǎng)站的規(guī)模增加,有多臺WebServer,則需要添加第四層交換機(jī),對流量進(jìn)行智能的、動態(tài)的負(fù)載平衡。安裝此設(shè)備時這樣的好處：可以提高網(wǎng)絡(luò)的訪問速度;可以增加冗余性，萬一某臺WebServer發(fā)生故障，至少還有另外一臺WebServer在正常工作，這樣可以防止非正常網(wǎng)絡(luò)不能夠訪問的現(xiàn)象。當(dāng)由兩臺計算機(jī)在作鏡像后,我們在增加Alton流量分配器,它的作用為:可以動態(tài)的對流量進(jìn)行合理化分配,提高網(wǎng)絡(luò)訪問速度；能夠把網(wǎng)絡(luò)的地址全部轉(zhuǎn)換成內(nèi)部地址,讓用戶無法知道地址為多少，這樣可以大大的提高網(wǎng)絡(luò)服務(wù)器的安全性;能夠配置包過濾策略，對進(jìn)來的訪問進(jìn)行控制。所以我們會把WebServer的外部地址進(jìn)行隱含,改成內(nèi)部地址。如:改成!,29改成。本方案中防火墻提供的安全措施Gauntlet防火墻是基于應(yīng)用層網(wǎng)關(guān)的防火墻,其特點是:令沒有內(nèi)外網(wǎng)絡(luò)的直接連接,比包過濾防火墻更高的安全性。令提供對協(xié)議的過濾,如可以禁止FTP連接的Put命令。ぐ信息隱藏,應(yīng)用網(wǎng)關(guān)為外部連接提供代理。令健壯的認(rèn)證和日志。防火墻能夠記錄所有的網(wǎng)絡(luò)連接和連接企圖，日志能夠顯示出源地址、目的地址、時間和所用的協(xié)議,而且防火墻能夠預(yù)先設(shè)定一個緊急情況的觸發(fā)條件,條件發(fā)生時,防火墻會發(fā)出ー個警報給安全維護(hù)人員或網(wǎng)絡(luò)管理系統(tǒng)。ぐ節(jié)省費(fèi)用，第三方的認(rèn)證設(shè)備（軟件或硬件）只需安裝在應(yīng)用網(wǎng)關(guān)上。令簡化和靈活的過濾規(guī)則，路由器只需簡單地通過到達(dá)應(yīng)用網(wǎng)關(guān)的包并拒絕其余的包通過。令各防火墻可相互配合,具有主動防御的能力。ぐ多個防火墻之間可形成GVPN,為xx證券股份有限有限公司將來的內(nèi)部Intranet建立可信賴的連接?？梢钥闯?Gauntlet防火墻的安全特性遠(yuǎn)比其他類型的防火墻高。以上介紹的三個防火墻所在的網(wǎng)段都有各自獨(dú)立的安全策略,但又相互學(xué)習(xí)，協(xié)同工作。防火墻系統(tǒng)的局限性防火墻能有效地防止外來的入侵,雖然能作到:ぐ控制進(jìn)出網(wǎng)絡(luò)的信息流向和信息包ぐ提供使用和流量的日志和審計;ぐ隱藏內(nèi)部IP地址及網(wǎng)絡(luò)結(jié)構(gòu)的細(xì)節(jié);提供VPN功能;但是所直的防火墻都不能作到:令停止所有外部入侵;令完全不能阻止內(nèi)部襲擊;令防病毒;ぐ終止有經(jīng)驗的黑客;提供完全的網(wǎng)絡(luò)安全性。因此,僅僅在Internet入口處部署防火墻,實際上是ー個不完整的安全解決方案,從總體上系統(tǒng)還應(yīng)該具備防病毒和防黑客的功能。防病毒的整體解決方案病毒防護(hù)的必要性和發(fā)展趨勢眾所周知,計算機(jī)病毒對生產(chǎn)的形響可以稱得上是災(zāi)難性的。盡管人類已和計算機(jī)病毒斗爭了數(shù)年，并已取得了可喜的成績，但是隨著INTERNET的發(fā)展，計算機(jī)病毒的種類急聚增多,擴(kuò)散速度大大加快，對企業(yè)及個人用戶的破壞性加大。與生物病毒類似，計算機(jī)病毒也具有災(zāi)難性的形響。就其本質(zhì)而言,病毒只是ー種具有自我復(fù)制能力的程序。目前,許多計算機(jī)病毒都具有特定的功能，而遠(yuǎn)非僅僅是自我復(fù)制。其功能（常稱為PAYLOAD）可能無害，如，只是在計算機(jī)的監(jiān)視器中顯示消息、，也可能有害，如毀壞系統(tǒng)硬盤中所存儲的數(shù)據(jù)，一旦被觸發(fā)器（比如:特定的組合鍵擊、特定的日期或預(yù)定義操作數(shù)）觸發(fā)，就會引發(fā)病毒。隨著計算機(jī)技術(shù)的不斷發(fā)展,病毒也變得越來越復(fù)雜和高級。最近幾年，病毒的花樣層出不窮，如宏病毒和變形病毒。變形病毒每次感染新文件時都會發(fā)生變化，因此顯得神秘莫測。只要反病毒軟件搜索到病毒的“標(biāo)記”（病毒所特有的代碼段）,那么，反病毒軟件也能檢測到每次感染文件就更改其標(biāo)記的變形病毒。宏病毒主要感染文檔和文檔模板。幾年前,文檔文件都不含可執(zhí)行代碼，因此不會受病毒的感染,現(xiàn)在,應(yīng)用軟件,如MicrosoftWord和MicrosoftExecl,已經(jīng)嵌入了宏命令,病毒就可以通過宏語言來感染由這些軟件創(chuàng)建的文檔。由于INTERNET的迅快發(fā)展，將文件附加在電子郵件中的能力不斷提高以及世界對計算機(jī)的依賴程度不斷提高，使得病毒的擴(kuò)散速度也急驟提高，受感染的范圍越來越廣,據(jù)NCSA調(diào)查,在1994年中，只有約20%的企業(yè)受到過病毒的攻擊，但是在1997年中，就有約99.3%的企業(yè)受到病毒的攻擊,也就是說幾乎沒有那一家企業(yè)可以逃脫病毒的攻擊。而且感染方式也由主要從軟盤介質(zhì)感染轉(zhuǎn)到了從網(wǎng)絡(luò)服務(wù)器或!NTERNET感染。同樣據(jù)NCSA調(diào)查，在1996年只有21%的病毒是通過電子郵件,服務(wù)器或INTERNET下載來感染的，但到!997年，這一比例就達(dá)到52%。xx證券股份有限有限公司的多層病毒防御體系在本系統(tǒng)中采取的安全措施主要考慮分部網(wǎng)絡(luò)安全性，但由于病毒的極大危害及特殊性,建議分部也在其內(nèi)部網(wǎng)絡(luò)布署防病毒系統(tǒng)?；谝陨线@些情況,我們認(rèn)為XX證券股份有限有限公司可能會受到來自于多方面的病毒威脅,包括來自INTERET網(wǎng)關(guān)上、與分部及各地區(qū)公司連接的網(wǎng)段上，為了XX證券股份有限有限公司免受病毒所造成的損失，建議采用多層的病毒防衛(wèi)體系。所謂多層病毒防衛(wèi)體系,是指在公司的每個臺式機(jī)上要安裝臺式機(jī)的反病毒軟件，在服務(wù)器上要安裝基于服務(wù)器的反病毒軟件，在INTERET網(wǎng)關(guān)上要安裝基于INTERNET網(wǎng)關(guān)的反病毒軟件,因為對公司來說,防止病毒的攻擊是每個員エ的責(zé)任,人人都要做到自己使用的臺式機(jī)上不受病毒的感染,從而保證整個企業(yè)網(wǎng)不受病毒的感染?？蛻舳说姆啦《鞠到y(tǒng)根據(jù)統(tǒng)計,50%以上的病毒是通過軟盤進(jìn)入系統(tǒng),因此對桌面系統(tǒng)的病毒應(yīng)嚴(yán)加防范。采用VirusScanSecuritySuite產(chǎn)品,來防止桌面機(jī)受到病毒的侵害。本產(chǎn)品包含以下功能:令WebScanX:保護(hù)系統(tǒng)免受惡意Java和ActiveX小程序的破壞;令PCMedic 保護(hù)系統(tǒng)和應(yīng)用程序免于崩潰:PGPFile;增強(qiáng)機(jī)密信息的安全性;，令QuickBackup保護(hù)數(shù)據(jù)免于意外的丟失SecureCast:自動在Internet上發(fā)布接收病毒更新信息令NetToolsConsole: 具有集中的管理、分發(fā)和警告功能令VirusScan 為全球領(lǐng)先的桌面防病毒產(chǎn)品,可在Dos,Windows3.x,Windows95,WindowsNT,Mac和OS/2等平臺。3.322.服務(wù)器的防病毒系お如果服務(wù)器被感染,其感染文件將成為病毒感染的源頭,它們會迅速從桌面感染發(fā)展到整個網(wǎng)絡(luò)的病毒爆發(fā)。因此,基于服務(wù)器的病毒保護(hù)已成為當(dāng)務(wù)之急。所以,建議在總部的外部網(wǎng)與分部連接的網(wǎng)段上和總部的停火區(qū)中重要的代理服務(wù)器上采用NetShieldSecuritySuite,提供了全面的基于服務(wù)器的病毒保護(hù)?？煞乐箒碜杂诜植?、各地公司的病毒傳染?？梢詮膯为?dú)的直觀控制臺上遠(yuǎn)程管理這些服務(wù)器平臺。其具體的功能有:令Netshield:全球領(lǐng)先的服務(wù)器防病毒解決方案。(Netware,WindowsNT,UNIX)令GroupShield:群件服務(wù)器的防病毒方案。(MicrosoftExchange,LotusNotes/Domino)令SecureCast:自動將病毒更新的信息發(fā)布到Internet上。令NetToolsConsole:提供集中的管理、分發(fā)和警告功能。.Internet的防病毒系統(tǒng)根據(jù)!CSA的報告，一般公司的電腦感染病毒的來源有超過20%是通過網(wǎng)絡(luò)下載文檔感染，另外有26%是經(jīng)電子郵件的附加文檔所感染，由于xx證券股份有限有限公司已連入Interent?很有可能受到來自Interent下載文件的病毒侵害及惡意的Java、ActiveX小程序的威脅。因此,此部分將成為防范的重點。建議在總部的外部網(wǎng)與Interent連接的網(wǎng)段上的?；饏^(qū)中MailServer>Webserver、DNSServer、等代理的服務(wù)器上安裝InternetSecuritySuite,可防止來自于Internet上的病毒、惡意的Java、Active-x對公司所造成的破壞.InternetSecuritySuite載Interent網(wǎng)關(guān)上可以提供全面的病毒防衛(wèi)系統(tǒng),封鎖病毒所有可能的進(jìn)入點。透過管理控制臺可直接在任何服務(wù)器或工作站上進(jìn)行遠(yuǎn)程管理。它可以作到:令WebShieldSMTP:可以掃描全部收發(fā)的電子郵件;令WebShieldProxy:可以掃描位于代理服務(wù)器和網(wǎng)絡(luò)協(xié)議:HTTP,SMTP,FTP等。令SecureCast:自動將病毒更新的信息發(fā)布到Internet上。NetToolsConsole:提供集中的管理、分發(fā)和警告功能。根據(jù)目前的網(wǎng)絡(luò)結(jié)構(gòu),本產(chǎn)品應(yīng)安裝在外部網(wǎng)網(wǎng)段1、網(wǎng)段2、的停火區(qū)中的服務(wù)器上。防黑客的整體解決方案對于XX證券股份有限有限公司的外部網(wǎng)來說，受到黑客的攻擊會來自于與總部連接的兩個外部網(wǎng)段,總部與Interent連接的網(wǎng)段1,總部與分局連接的網(wǎng)段2。(注:來自于內(nèi)部網(wǎng)絡(luò)的威脅我們暫不作考慮，可參看4.9)。為了防止xx證券股份有限有限公司的外部網(wǎng)受到黑客的攻擊,建議采用入侵檢測技術(shù)(CybercopIDS)。提供實時的入侵檢測及采取相應(yīng)的防護(hù)手段，如記錄證據(jù)、跟蹤或斷開網(wǎng)絡(luò)連接等。本IDS系統(tǒng)分成兩個部分?；谥鳈C(jī)及網(wǎng)絡(luò)的保護(hù)在與公司連接的兩個網(wǎng)段的停火區(qū)中都分別設(shè)置了服務(wù)器,提供對外兩個網(wǎng)段的信息服務(wù)，其中存儲了大量的重要數(shù)據(jù),是黑客攻擊的主要目標(biāo)。所以,我們建議在對外兩個網(wǎng)段?；饏^(qū)中的每個服務(wù)器安裝基于主機(jī)及網(wǎng)絡(luò)保護(hù)的入侵檢測系統(tǒng)(CybercopMonitor)在公司外部網(wǎng)絡(luò)關(guān)鍵路徑的信息也需要進(jìn)行實時的監(jiān)控,來防止外部兩個網(wǎng)段受到攻擊。基于系統(tǒng)的入侵檢測系統(tǒng)(CybercopMonitor)用于監(jiān)視關(guān)鍵路徑上的入侵及記錄可疑事件,發(fā)送警報及跟蹤攻擊。CyberCopMonitor實時地檢測攻擊，當(dāng)攻擊發(fā)生時,CyberCopMonitor立即報告并記錄入侵細(xì)節(jié)。CyberCopMonitor會將這些攻擊細(xì)節(jié)記錄在內(nèi)，形成日志文件，并通知管理員,管理員可遠(yuǎn)程登錄到被攻擊的機(jī)器上,修改配置、路由表等,中斷入侵者的攻擊。成功保護(hù)的案例也會被保存，以防備這種形式的攻擊再次發(fā)生。根據(jù)CybercopMonitor的工作原理和公司把其外部網(wǎng)絡(luò)劃分成兩個網(wǎng)段的情況,建議建立ー個Cybercop防護(hù)體系對服務(wù)器及網(wǎng)絡(luò)進(jìn)行實時的保護(hù)。由于公司外部網(wǎng)的網(wǎng)段1、網(wǎng)段2的每ー個網(wǎng)段的合法訪問者都是先由路由器到防火墻過濾，再到?；饏^(qū)(DMZ)內(nèi)瀏覽、抓取數(shù)據(jù)，防火墻與中心交換機(jī)連接。那么,為了防止非法用戶經(jīng)過此途徑訪問到?；饏^(qū)中的數(shù)據(jù)和中心交換機(jī)，建議公司在網(wǎng)段1、網(wǎng)段2的每ー網(wǎng)段中訪問者所經(jīng)過的路徑都設(shè)置智能的CybercopMonitor,即防火墻與?；饏^(qū)之間、防火墻與中心交換機(jī)之間各設(shè)置ー個CybercopMonitor,來監(jiān)視關(guān)鍵路徑上的入侵。CybercopMonitor可實時監(jiān)視:ぐ可疑的連接、異常進(jìn)程、非法訪問的闖入等令檢查系統(tǒng)日志ぐ通過監(jiān)視來自網(wǎng)絡(luò)的攻擊,CyberCopMonitor能夠?qū)崟r地檢測出攻擊,并對非法入侵行為作出切斷服務(wù)、重啟服務(wù)器進(jìn)程、發(fā)出警報、記錄入侵過程等動作。令提供對典型應(yīng)用的監(jiān)視如Web服務(wù)器應(yīng)用因此,使用CyberCopMonitor,在提供關(guān)鍵服務(wù)的服務(wù)器上,安裝實時的安全監(jiān)控系統(tǒng),可以保證公司服務(wù)器系統(tǒng)的可靠性,使內(nèi)部網(wǎng)安全系統(tǒng)更加強(qiáng)鍵。通過設(shè)置基于網(wǎng)絡(luò)的入侵檢測系統(tǒng),xx證券股份有限有限公司能夠?qū)崟r監(jiān)視經(jīng)過本網(wǎng)段的任何活動，監(jiān)視粒度更細(xì)致。使外部網(wǎng)絡(luò)的防護(hù)能力更敏銳。主動的防御體系盡管以上各產(chǎn)品都是獨(dú)立進(jìn)行描述的,實際上,在本系統(tǒng)中它們之間是相互協(xié)同工作的，并且能夠智能地提高防御能力，構(gòu)成了主動的防御體系。防火墻與防火墻Gauntlet防火墻有層次功能,但是在公司外部所劃分的兩個網(wǎng)段中的防火墻處在同一級別，他們在常規(guī)的代理服務(wù)上是獨(dú)立工作的，但是對新的攻擊模式的判別上可以互相交流學(xué)習(xí),從而可以提高其防御能力。防火墻與入侵檢測系統(tǒng)當(dāng)只有防火墻,而無CybercopIDS時，防火墻是被動的防御。一般，黑客對防火墻進(jìn)攻的結(jié)果只有兩種,最好的結(jié)果是被防火墻阻擋住，最壞的結(jié)果是穿透防火墻進(jìn)入到企業(yè)內(nèi)部,為所欲為地進(jìn)行任何破壞活動。但在本方案中，防火墻與CybercopIDS協(xié)同工作。舉例來說,一旦網(wǎng)段1的Firewall1沒有擋住狡猾的入侵者,使入侵者通過FW1進(jìn)入到DMZ1。我們可通過安裝在網(wǎng)段1內(nèi)的基于網(wǎng)絡(luò)的入侵檢測產(chǎn)品CybercopMonitor檢測至リ，并立即通知網(wǎng)段1的Firewall1:有哪些特征的入侵?jǐn)?shù)據(jù)包通過了防火墻，F(xiàn)W1會自動記錄下這些特征，儲備起來，防止以后這種入侵。同時,FW!會通知網(wǎng)段2和網(wǎng)段3中的防火墻記錄入侵特征,共同提高防御能力。

FirewallIFirewall,,CyberCopdetectsattackFirewallIFirewall,?CyberCopalertsGauntlet?Gauntletlocksoutattacker,GauntletalertsotherfirewallsFirewallAttackerCybercopMonitor還具有主動出擊的能力,采用"蜜罐"技術(shù)捕捉攻擊行為。當(dāng)入侵者通過FW1,又躲過CybercopMonitor的檢測,進(jìn)入DMZ1,蜜罐技術(shù)會虛擬ー個重要數(shù)據(jù)即’‘蜜罐”來吸引入侵者。當(dāng)入侵者被“蜜罐”誘惑,試圖在其中發(fā)現(xiàn)重要信息時,CyberCopMonitor可以將此入侵者的攻擊模式進(jìn)行詳細(xì)分析,并作記錄。這樣CyberCopMonitor就自動積累了ー種新的攻擊模式及解決方案。FirewallAttacker同時CyberCopMonitor還會通知FW1:哪些特征的入侵?jǐn)?shù)據(jù)包通過了FWI,FW1會通知網(wǎng)段2和網(wǎng)段3中的防火墻記錄入侵特征,共同提高防御能力。Firewall,AttackerscansnetworkFirewallAttackerFirewall,AttackerscansnetworkFirewallAttacker?*'Honeypot"decoyisdetectedandattacked,Keepsattacker**ontheline"whilethecallistracedFirewzill,Developsevidenceofintent防火墻與防病毒安全體系中,防御和攻擊都是ー個“道高一尺、魔高ー丈”的過程,因此要求安全產(chǎn)品具備學(xué)習(xí)和升級的能力。NAI的防病毒產(chǎn)品就具備這樣的功能。例如,當(dāng)ー個文件進(jìn)入網(wǎng)段1中的防火墻FW1,MacFeeTVD利用啟發(fā)式技術(shù)發(fā)現(xiàn)它帶有一種新病毒，但沒有其消除的程序，此時防火墻FW1會把這種病毒抽取出來,傳給NAI總部。這些，都是防火墻自動完成的。NAI會把這種新病毒的血清傳回給防火墻FW1,防火墻根據(jù)針對這種新病毒的血清樣本把病毒殺死，并對下面的臺式機(jī)、服務(wù)器進(jìn)行升級。這就是本系統(tǒng)中的防火墻與防病毒相互協(xié)作的具體模式。,Infecteddocumententersthenetwork,Heuristictechnologysuspectsnewvirus,Virusextracted,encrypted,senttoNAI,Authenticatedcurereturnedtocustomer,Updatedistributedtoaffectedsystems安全的評估方案XX證券股份有限有限公司的網(wǎng)絡(luò)安全系統(tǒng)中采用了防火墻、防病毒、入侵檢測產(chǎn)品作為外部網(wǎng)絡(luò)的安全措施。有以下問題需要進(jìn)行解決:令如何檢測安全產(chǎn)品的配置達(dá)到了安全的要求。其他系統(tǒng)（操作系統(tǒng)、路由器等）的配置是否真正實現(xiàn)了安全。以上問題實質(zhì)上就是如何對整體系統(tǒng)的安全性進(jìn)行評估。建議XX證券股份有限有限公司采用安全掃描技術(shù)可對公司的外部網(wǎng)絡(luò)進(jìn)行全方面的測試。安全掃描CyberCopScanner是ー套用于網(wǎng)絡(luò)安全掃描的軟件工具,由富有實際經(jīng)驗的安全專家開發(fā)和維護(hù)。建議在內(nèi)部設(shè)置一臺服務(wù)器安裝CyberCopScanner。通過安全掃描技術(shù)。可以掃描到ぐ外部網(wǎng)絡(luò)各?；饏^(qū)內(nèi)服務(wù)器內(nèi)的安全漏洞。如password文件,目錄和文件權(quán)限,共享文件系統(tǒng),敏感服務(wù),軟件,系統(tǒng)漏洞等,并給出相應(yīng)的解決辦法建議。ぐ路由器、防火墻等設(shè)備的安全漏洞,并可設(shè)定模擬攻擊，以測試系統(tǒng)的防御能力。令掃描可定期進(jìn)行（每星期或每月），或不定期進(jìn)行（敏感時期）。安全產(chǎn)品的平臺建議此章節(jié)中的平臺建議包括防病毒產(chǎn)品、入侵檢測與風(fēng)險評估產(chǎn)品、防火墻產(chǎn)品等產(chǎn)品。防病毒產(chǎn)品桌面保護(hù)套件:VirusScanSecuritySuite（VSS）其中的Virusscan支持DOS、Windows3.x\95\98\NT'、Macintosh,OS/2.VirusscanX可以和目前流行的瀏覽器Netscape3.X、4.X；IE3.X,4.X兼容。服務(wù)器保護(hù)套件:NetshieldSecuritySuite（NSS）其中Netshield支持NT、Netware,Solaris,AIX、NCR等多種平臺。GroupShield支持MicrosoftExchange>LotusNotes群件服務(wù)器網(wǎng)關(guān)保護(hù)套件：InternetSecuritySuite（ISS）建議在WindowsNT或UNIX防火墻產(chǎn)品一Gauntlet具有友好的管理界面,基于Java或NT環(huán)境,可運(yùn)行在WEB瀏覽器中,支持遠(yuǎn)程管理和配置,可從網(wǎng)絡(luò)管理平臺上監(jiān)控和配置,如NTserver和Openview.Gauntlet還支持通過服務(wù)器、企業(yè)內(nèi)部網(wǎng)、Internet來存取和管理SNMP。它支持流行的多媒體實時服務(wù),如RealAudio/VideosMicrosoftNetshow,VDOlive、Xing.并支持大多數(shù)認(rèn)證系統(tǒng),SecurityDynamicsxAssurenetPathways,S/KEY.支持幾十種服務(wù),to終端服務(wù)（Telnet、Rlogin）電子郵件（SMTP、POP3）、WWW（HTTP、SHTTP、SSL、Gopher）,遠(yuǎn)程運(yùn)行（RSH）、簡單網(wǎng)絡(luò)管理協(xié)議（SNMP）、DNS、SybaseSQL,OracleSQL*Net.它可運(yùn)行在Intel、SUN、HP、IRIX上的UNIX系統(tǒng),NT支持NT4.0,支持以太和令牌環(huán)網(wǎng)。GauntletGVPN是對標(biāo)準(zhǔn)的Gauntlet防火墻的獨(dú)立升級，可運(yùn)行在Intel、SUN、HP平臺上。GauntletGVPN也可以和Gauntlet防火墻（IntelPentium）,BSKIInternet服務(wù)器軟件ー起打包訂購。技術(shù)規(guī)范系統(tǒng)IntelSUNHP處理器PentiumSparcPA-RISC內(nèi)存32M32M32M磁盤512MB512MB512MB硬盤ISAAdaptecSCSICD-ROMCD-ROMCD-ROM

操作系統(tǒng)BSDIInternetServer3.0Solaris2.5.1HP-X.入侵檢測與風(fēng)險評估套件CybercopMonitor平臺Cybercop平臺CPU200MHzPentiumPro256Kcache200MHzPentiumPro256KcacheFDD13.5“1.44MB13.5“1.44MBHDD9GBSCSI-IIHDD9GBSCSI-IIHDDMEM64MBRAM64MBRAMVideoSVGASVGANIC1IntelEtherExpressPro/1OOMPCI(Ethernet)IMadgeSmart16/4,ISA(forTokenRing)1SMCEtherPowerlO/lOOdualport,PCI(Ethernet)2MadgeSmart16/4,ISA(forTokenRing)OSSolaris2.5.1Solaris2.5.1CD-ROM**所支持的WEB服務(wù)器有:NetcapeEnterpriseServer2.0NetcapeFasttraceServer2.0IIS2.0v.4and3.0CERN1.3NCSA1.0Apache1.0WebsitePro1.1安全產(chǎn)品升級安全系統(tǒng)中,每天都會有新的病毒產(chǎn)生,新的入侵者采用新的方法攻擊網(wǎng)絡(luò),因此安全產(chǎn)品需要不斷的學(xué)習(xí)和升級，來對付各種形式的危害。所以，安全產(chǎn)品的升級也是網(wǎng)絡(luò)安全的ー個重要組成部分。防病毒系統(tǒng)的升級由于防病毒的工作是ー個長期的工作,世界上每十分鐘就有新的病毒出現(xiàn),因此,必須有效的升級服務(wù)。XX證券股份有限有限公司能得到NAI的升級軟件，并提供終身的升級服務(wù)。NAI在全球五大洲擁有由近100名病毒研究專家組成的反病毒緊急響應(yīng)小組，它們將對公司提供每周七天，每天24小時的技術(shù)支持,在平時，NAI的Web站點上將平均每小時更新一次病毒特征文件,供個人用戶下載或自動推向企業(yè)用戶:當(dāng)在病毒發(fā)作的敏感時期內(nèi)，每十分鐘就會更新一次病毒特征文件,以使用戶在最短的時間內(nèi)殺滅新發(fā)現(xiàn)的病毒。公司授權(quán)成立NAI在華東技術(shù)服務(wù)中心，可以提供對xx證券股份有限有限公司的升級服務(wù)。防病毒的特征文件的更新方式為:NetToo1sConsole入侵檢測系統(tǒng)和防火墻產(chǎn)品的升級這兩類產(chǎn)品的升級為一年內(nèi)免費(fèi)升級,并享受長期的升級支持。本方案的擴(kuò)充本方案根據(jù)XX證券股份有限有限公司的安全需求,著重提出了對公司外部網(wǎng)絡(luò)安全方案。但從整體的安全角度來看，在以下三個方面還應(yīng)考慮，可以作為遠(yuǎn)期目標(biāo)考慮。加密和身份認(rèn)證公司與外部連接的部分可分為兩個外部網(wǎng)段，總部與Interent連接的網(wǎng)段1,總部與分部連接的網(wǎng)段2。這些網(wǎng)段中的用戶訪問應(yīng)有身份驗證系統(tǒng)來驗證這些訪問者是不是xx證券股份有限有限公司真正授權(quán)進(jìn)入的用戶，并對訪問的去全過程進(jìn)行加密。這樣才能保證外部網(wǎng)絡(luò)的安全。內(nèi)部網(wǎng)絡(luò)安全有統(tǒng)計表明,對網(wǎng)絡(luò)的攻擊有80%來自內(nèi)。所以,我們建議在內(nèi)部網(wǎng)絡(luò)也設(shè)置入侵檢測、風(fēng)險評估、防病毒系統(tǒng)。作到內(nèi)外防治相結(jié)合的全面防范體制。xx證券股份有限有限公司系統(tǒng)的安全目前總部將各分部看成是ー個不信任的網(wǎng)絡(luò),但對整體上考慮安全性。建議從以下兩個角度考慮: