內(nèi)聯(lián)網(wǎng)防火墻安全系統(tǒng)設(shè)計(jì)方案

1、 .DOC資料. 證券內(nèi)聯(lián)網(wǎng)防火墻安全系統(tǒng)方案方正數(shù)碼有限公司2001年12月 TOC o h z HYPERLINK l _Toc532706700 1北大方正集團(tuán)、方正數(shù)碼公司簡(jiǎn)介 PAGEREF _Toc532706700 h 8 HYPERLINK l _Toc532706701 2網(wǎng)絡(luò)證券業(yè)務(wù)分析 PAGEREF _Toc532706701 h 10 HYPERLINK l _Toc532706702 3網(wǎng)絡(luò)證券安全需求分析 PAGEREF _Toc532706702 h 13 HYPERLINK l _Toc532706703 3.1安全性 PAGEREF _Toc53270670

2、3 h 13 HYPERLINK l _Toc532706704 3.2高效性 PAGEREF _Toc532706704 h 14 HYPERLINK l _Toc532706705 3.3可靠性 PAGEREF _Toc532706705 h 15 HYPERLINK l _Toc532706706 3.4可伸縮性 PAGEREF _Toc532706706 h 15 HYPERLINK l _Toc532706707 3.5易用性 PAGEREF _Toc532706707 h 15 HYPERLINK l _Toc532706708 3.6完善的服務(wù)體制 PAGEREF _Toc532

3、706708 h 16 HYPERLINK l _Toc532706709 4安全系統(tǒng)結(jié)構(gòu) PAGEREF _Toc532706709 h 16 HYPERLINK l _Toc532706710 5安全系統(tǒng)實(shí)施 PAGEREF _Toc532706710 h 19 HYPERLINK l _Toc532706711 5.1.1主要應(yīng)用服務(wù)的安全風(fēng)險(xiǎn) PAGEREF _Toc532706711 h 22 HYPERLINK l _Toc532706712 5.1.2網(wǎng)絡(luò)中主要系統(tǒng)的安全風(fēng)險(xiǎn) PAGEREF _Toc532706712 h 23 HYPERLINK l _Toc532706713

4、 5.1.3數(shù)據(jù)庫(kù)系統(tǒng)安全分析 PAGEREF _Toc532706713 h 23 HYPERLINK l _Toc532706714 5.1.4管理系統(tǒng)的安全風(fēng)險(xiǎn) PAGEREF _Toc532706714 h 24 HYPERLINK l _Toc532706715 6方正數(shù)碼防火墻解決方案 PAGEREF _Toc532706715 h 24 HYPERLINK l _Toc532706716 6.1本方案設(shè)計(jì)的原則和目標(biāo) PAGEREF _Toc532706716 h 24 HYPERLINK l _Toc532706717 6.2防火墻選型 PAGEREF _Toc53270671

5、7 h 25 HYPERLINK l _Toc532706718 6.3防火墻設(shè)置及工作模式 PAGEREF _Toc532706718 h 26 HYPERLINK l _Toc532706719 6.4防火墻功能設(shè)置及安全策略 PAGEREF _Toc532706719 h 26 HYPERLINK l _Toc532706720 6.4.1完善的訪問(wèn)控制 PAGEREF _Toc532706720 h 26 HYPERLINK l _Toc532706721 6.4.2內(nèi)置入侵檢測(cè)（IDS） PAGEREF _Toc532706721 h 27 HYPERLINK l _Toc53270

6、6722 6.4.3代理服務(wù) PAGEREF _Toc532706722 h 27 HYPERLINK l _Toc532706723 6.4.4NAT地址轉(zhuǎn)換 PAGEREF _Toc532706723 h 28 HYPERLINK l _Toc532706724 6.4.5日志系統(tǒng)及系統(tǒng)報(bào)警 PAGEREF _Toc532706724 h 28 HYPERLINK l _Toc532706725 6.4.6帶寬分配，流量管理 PAGEREF _Toc532706725 h 28 HYPERLINK l _Toc532706726 6.4.7集中管理 PAGEREF _Toc53270672

7、6 h 29 HYPERLINK l _Toc532706727 6.4.8預(yù)制模板 PAGEREF _Toc532706727 h 29 HYPERLINK l _Toc532706728 6.4.9系統(tǒng)升級(jí) PAGEREF _Toc532706728 h 29 HYPERLINK l _Toc532706729 6.4.10雙機(jī)備份 PAGEREF _Toc532706729 h 30 HYPERLINK l _Toc532706730 6.4.11防火墻方案特點(diǎn) PAGEREF _Toc532706730 h 30 HYPERLINK l _Toc532706731 7證券內(nèi)聯(lián)網(wǎng)防火墻安

8、全需求及方案對(duì)照說(shuō)明 PAGEREF _Toc532706731 h 31 HYPERLINK l _Toc532706732 7.1內(nèi)聯(lián)網(wǎng)防火墻基本要求 PAGEREF _Toc532706732 h 31 HYPERLINK l _Toc532706733 7.2證券內(nèi)聯(lián)網(wǎng)防火墻功能要求 PAGEREF _Toc532706733 h 33 HYPERLINK l _Toc532706734 7.2.1必備功能 PAGEREF _Toc532706734 h 33 HYPERLINK l _Toc532706735 7.2.2增強(qiáng)功能 PAGEREF _Toc532706735 h 36

9、HYPERLINK l _Toc532706736 7.3防火墻性能 PAGEREF _Toc532706736 h 36 HYPERLINK l _Toc532706737 7.4防火墻管理 PAGEREF _Toc532706737 h 38 HYPERLINK l _Toc532706738 8證券內(nèi)聯(lián)網(wǎng)安全管理建議 PAGEREF _Toc532706738 h 39 HYPERLINK l _Toc532706739 8.1整體思路 PAGEREF _Toc532706739 h 39 HYPERLINK l _Toc532706740 8.2集中管理，統(tǒng)一規(guī)劃 PAGEREF _T

10、oc532706740 h 39 HYPERLINK l _Toc532706741 8.3嚴(yán)格規(guī)章 安全教育 PAGEREF _Toc532706741 h 40 HYPERLINK l _Toc532706742 8.4明確責(zé)任 技術(shù)培訓(xùn) PAGEREF _Toc532706742 h 40 HYPERLINK l _Toc532706743 8.5動(dòng)態(tài)監(jiān)控 專家咨詢 PAGEREF _Toc532706743 h 41 HYPERLINK l _Toc532706744 9證券內(nèi)聯(lián)網(wǎng)防火墻安全系統(tǒng)實(shí)施方案 PAGEREF _Toc532706744 h 42 HYPERLINK l _T

11、oc532706745 9.1合同簽訂階段的工作實(shí)施 PAGEREF _Toc532706745 h 42 HYPERLINK l _Toc532706746 9.2發(fā)貨階段的實(shí)施 PAGEREF _Toc532706746 h 43 HYPERLINK l _Toc532706747 9.3到貨后工作的實(shí)施 PAGEREF _Toc532706747 h 45 HYPERLINK l _Toc532706748 9.4測(cè)試及驗(yàn)收 PAGEREF _Toc532706748 h 46 HYPERLINK l _Toc532706749 9.4.1測(cè)試及驗(yàn)收描述 PAGEREF _Toc5327

12、06749 h 46 HYPERLINK l _Toc532706750 10證券內(nèi)聯(lián)網(wǎng)防火墻系統(tǒng)培訓(xùn) PAGEREF _Toc532706750 h 48 HYPERLINK l _Toc532706751 10.1培訓(xùn)目標(biāo) PAGEREF _Toc532706751 h 48 HYPERLINK l _Toc532706752 10.2培訓(xùn)課程 PAGEREF _Toc532706752 h 48 HYPERLINK l _Toc532706753 10.3培訓(xùn)方式 PAGEREF _Toc532706753 h 48 HYPERLINK l _Toc532706754 10.4培訓(xùn)時(shí)長(zhǎng)

13、PAGEREF _Toc532706754 h 48 HYPERLINK l _Toc532706755 10.5培訓(xùn)地點(diǎn) PAGEREF _Toc532706755 h 48 HYPERLINK l _Toc532706756 10.6培訓(xùn)人數(shù) PAGEREF _Toc532706756 h 49 HYPERLINK l _Toc532706757 10.7學(xué)員要求 PAGEREF _Toc532706757 h 49 HYPERLINK l _Toc532706758 11方正方御防火墻技術(shù)支持與服務(wù) PAGEREF _Toc532706758 h 50 HYPERLINK l _Toc5

14、32706759 11.1方正數(shù)碼綠色服務(wù)體系結(jié)構(gòu)介紹 PAGEREF _Toc532706759 h 50 HYPERLINK l _Toc532706760 11.2完善的技術(shù)支持與服務(wù) PAGEREF _Toc532706760 h 52 HYPERLINK l _Toc532706761 11.2.1售前服務(wù)內(nèi)容 PAGEREF _Toc532706761 h 53 HYPERLINK l _Toc532706762 11.2.2售前服務(wù)流程 PAGEREF _Toc532706762 h 54 HYPERLINK l _Toc532706763 11.2.3售后服務(wù)內(nèi)容 PAGERE

15、F _Toc532706763 h 55 HYPERLINK l _Toc532706764 11.2.4售后服務(wù)流程 PAGEREF _Toc532706764 h 56 HYPERLINK l _Toc532706765 11.3服務(wù)方式 PAGEREF _Toc532706765 h 57 HYPERLINK l _Toc532706766 11.4服務(wù)監(jiān)督 PAGEREF _Toc532706766 h 57 HYPERLINK l _Toc532706767 12方正方御防火墻成功案例 PAGEREF _Toc532706767 h 59 HYPERLINK l _Toc532706

16、768 12.1鞍山市商業(yè)銀行應(yīng)用案例 PAGEREF _Toc532706768 h 59 HYPERLINK l _Toc532706769 12.1.1鞍山市商業(yè)銀行需求分析 PAGEREF _Toc532706769 h 59 HYPERLINK l _Toc532706770 12.1.2系統(tǒng)安全目的 PAGEREF _Toc532706770 h 60 HYPERLINK l _Toc532706771 12.1.3安全體系結(jié)構(gòu) PAGEREF _Toc532706771 h 60 HYPERLINK l _Toc532706772 12.1.4安全系統(tǒng)實(shí)施 PAGEREF _To

17、c532706772 h 60 HYPERLINK l _Toc532706773 12.2沈陽(yáng)建設(shè)銀行安全應(yīng)用實(shí)例 PAGEREF _Toc532706773 h 61 HYPERLINK l _Toc532706774 12.2.1沈陽(yáng)建設(shè)銀行需求分析 PAGEREF _Toc532706774 h 61 HYPERLINK l _Toc532706775 12.2.2系統(tǒng)安全目的 PAGEREF _Toc532706775 h 63 HYPERLINK l _Toc532706776 12.2.3用戶安全需求分析 PAGEREF _Toc532706776 h 63 HYPERLINK

18、l _Toc532706777 安全性 PAGEREF _Toc532706777 h 63 HYPERLINK l _Toc532706778 高效性 PAGEREF _Toc532706778 h 63 HYPERLINK l _Toc532706779 可擴(kuò)展性 PAGEREF _Toc532706779 h 64 HYPERLINK l _Toc532706780 易用性（管理控制） PAGEREF _Toc532706780 h 64 HYPERLINK l _Toc532706781 完善的服務(wù)體制 PAGEREF _Toc532706781 h 64 HYPERLINK l _T

19、oc532706782 12.2.4安全體系結(jié)構(gòu) PAGEREF _Toc532706782 h 64 HYPERLINK l _Toc532706783 12.2.5安全系統(tǒng)實(shí)施 PAGEREF _Toc532706783 h 66 HYPERLINK l _Toc532706784 12.3部分方正方御防火墻客戶名單 PAGEREF _Toc532706784 h 67 HYPERLINK l _Toc532706785 13證券內(nèi)聯(lián)網(wǎng)防火墻安全子系統(tǒng)建設(shè)報(bào)價(jià) PAGEREF _Toc532706785 h 70 HYPERLINK l _Toc532706786 14方正數(shù)碼聯(lián)系方式 P

20、AGEREF _Toc532706786 h 71 HYPERLINK l _Toc532706787 附錄一：授權(quán)服務(wù)商名單 PAGEREF _Toc532706787 h 72 HYPERLINK l _Toc532706788 附錄二：防御防火墻所獲證書(shū) PAGEREF _Toc532706788 h 77 HYPERLINK l _Toc532706789 附件三：資格證明文件 PAGEREF _Toc532706789 h 82 HYPERLINK l _Toc532706790 附錄四：方正方御防火墻產(chǎn)品說(shuō)明 PAGEREF _Toc532706790 h 87 HYPERLINK

21、 l _Toc532706791 產(chǎn)品概述 PAGEREF _Toc532706791 h 87 HYPERLINK l _Toc532706792 系統(tǒng)特點(diǎn) PAGEREF _Toc532706792 h 88 HYPERLINK l _Toc532706793 防火墻功能說(shuō)明 PAGEREF _Toc532706793 h 91 HYPERLINK l _Toc532706794 多種工作模式 PAGEREF _Toc532706794 h 91 HYPERLINK l _Toc532706795 包過(guò)濾防火墻 PAGEREF _Toc532706795 h 93 HYPERLINK l

22、_Toc532706796 高效的過(guò)濾 PAGEREF _Toc532706796 h 93 HYPERLINK l _Toc532706797 碎片處理功能 PAGEREF _Toc532706797 h 94 HYPERLINK l _Toc532706798 防SYN Flood攻擊 PAGEREF _Toc532706798 h 94 HYPERLINK l _Toc532706799 強(qiáng)大的狀態(tài)檢測(cè)功能 PAGEREF _Toc532706799 h 95 HYPERLINK l _Toc532706800 輕型/復(fù)雜IDS(入侵檢測(cè)系統(tǒng)) PAGEREF _Toc532706800

23、 h 95 HYPERLINK l _Toc532706801 反端口掃描 PAGEREF _Toc532706801 h 95 HYPERLINK l _Toc532706802 可以防范20類1500余種攻擊方式 PAGEREF _Toc532706802 h 96 HYPERLINK l _Toc532706803 在線升級(jí)和實(shí)時(shí)報(bào)警 PAGEREF _Toc532706803 h 98 HYPERLINK l _Toc532706804 入侵檢測(cè)和防火墻的互動(dòng) PAGEREF _Toc532706804 h 99 HYPERLINK l _Toc532706805 雙向NAT PAGE

24、REF _Toc532706805 h 99 HYPERLINK l _Toc532706806 帶寬管理和流量統(tǒng)計(jì) PAGEREF _Toc532706806 h 100 HYPERLINK l _Toc532706807 代理服務(wù)器功能 PAGEREF _Toc532706807 h 100 HYPERLINK l _Toc532706808 雙機(jī)熱備 PAGEREF _Toc532706808 h 101 HYPERLINK l _Toc532706809 強(qiáng)大的審計(jì)功能 PAGEREF _Toc532706809 h 101 HYPERLINK l _Toc532706810 基于PK

25、I的高級(jí)授權(quán)認(rèn)證 PAGEREF _Toc532706810 h 102 HYPERLINK l _Toc532706811 集中管理 PAGEREF _Toc532706811 h 102 HYPERLINK l _Toc532706812 實(shí)時(shí)控制和日志轉(zhuǎn)存 PAGEREF _Toc532706812 h 102 HYPERLINK l _Toc532706813 靈活的配置方式 PAGEREF _Toc532706813 h 103 HYPERLINK l _Toc532706814 可視化配置 PAGEREF _Toc532706814 h 103 HYPERLINK l _Toc53

26、2706815 預(yù)置包過(guò)濾規(guī)則集 PAGEREF _Toc532706815 h 103 HYPERLINK l _Toc532706816 總結(jié) PAGEREF _Toc532706816 h 103北大方正集團(tuán)、方正數(shù)碼公司簡(jiǎn)介北京北大方正集團(tuán)公司是北京大學(xué)創(chuàng)建的高新技術(shù)企業(yè)。方正集團(tuán)擁有個(gè)控股的上市公司，方正（控股）有限公司、方正數(shù)碼有限公司、上海方正延中科技集團(tuán)股份有限公司，17家獨(dú)資、合資企業(yè)。員工總數(shù)約6000人，總資產(chǎn)50億元，2000年銷(xiāo)售規(guī)模達(dá)101億元。1997年，方正集團(tuán)已成為國(guó)家120家大型試點(diǎn)企業(yè)集團(tuán)之一，國(guó)家首批家技術(shù)創(chuàng)新試點(diǎn)企業(yè)之一，國(guó)家重點(diǎn)支持的家PC生產(chǎn)廠家之

27、一。創(chuàng)造科技與文明，是北大方正的一貫宗旨，集團(tuán)堅(jiān)持以人為本的宗旨，以創(chuàng)新為先導(dǎo)，產(chǎn)、學(xué)、研結(jié)合，不斷以優(yōu)質(zhì)產(chǎn)品和技術(shù)服務(wù)于社會(huì)。方正數(shù)碼有限公司（EC-Founder Co., Ltd.）是從事發(fā)展互聯(lián)網(wǎng)應(yīng)用技術(shù)及電子商務(wù)的軟件技術(shù)公司。其業(yè)務(wù)專注于互聯(lián)網(wǎng)安全產(chǎn)品及網(wǎng)絡(luò)安全服務(wù)等領(lǐng)域，是互聯(lián)網(wǎng)時(shí)代的軟件技術(shù)公司。 方正數(shù)碼借助技術(shù)、研發(fā)方面的優(yōu)勢(shì)，借鑒世界上最先進(jìn)的管理運(yùn)作經(jīng)驗(yàn)，定位于電子商務(wù)賦能者（ e-commerce enabler），用不斷創(chuàng)新的技術(shù)與優(yōu)質(zhì)的服務(wù)賦予客戶新經(jīng)濟(jì)時(shí)代可持續(xù)發(fā)展的能力，幫助政府、證券、金融、行業(yè)、企業(yè)、網(wǎng)站、電子商務(wù)的運(yùn)營(yíng)者運(yùn)用先進(jìn)技術(shù)和高效管理手段在互聯(lián)網(wǎng)

28、時(shí)代健康發(fā)展，取得成功。 方正數(shù)碼有限公司的業(yè)務(wù)圍繞在互聯(lián)網(wǎng)安全技術(shù)應(yīng)用、網(wǎng)絡(luò)安全服務(wù)及網(wǎng)絡(luò)安全知識(shí)管理等主要領(lǐng)域，在技術(shù)開(kāi)發(fā)、應(yīng)用解決方案和運(yùn)營(yíng)服務(wù)方面為用戶提供先進(jìn)的網(wǎng)絡(luò)安全產(chǎn)品和技術(shù)。為此方正數(shù)碼推出SHARKS互聯(lián)網(wǎng)安全解決方案。SHARKS解決方案是在深入的研究后，提出的一套基于中國(guó)國(guó)情、全部自主開(kāi)發(fā)、具有領(lǐng)先優(yōu)勢(shì)的解決方案。它是一套整體的集群平臺(tái)，可以解決企業(yè)最為關(guān)切的安全性、高可靠性、可擴(kuò)展性和易于遠(yuǎn)程管理的問(wèn)題。目前這套方案已經(jīng)得到國(guó)家有關(guān)部門(mén)的大力支持，被國(guó)家經(jīng)貿(mào)委列為國(guó)家創(chuàng)新計(jì)劃項(xiàng)目之一，還得到了國(guó)家“863”計(jì)劃的肯定與支持。方正方御防火墻是SHARKS安全解決方案中的主

29、要安全產(chǎn)品之一。方正方御防火墻憑借其獨(dú)特的技術(shù)優(yōu)勢(shì)，在保證系統(tǒng)自身的安全性的同時(shí)又保證了其運(yùn)行效率。方正方御防火墻中還融入了入侵檢測(cè)技術(shù)，可以有效地防范攻擊企圖的試探；另外利用先進(jìn)的III技術(shù)，方正方御防火墻可以有效濾除著名的DDoS攻擊，正是這種攻擊曾迫使包括美國(guó)雅虎在內(nèi)的若干世界最大的網(wǎng)站停止服務(wù)。除防火墻之外，方正數(shù)碼有限公司還向用戶提供VPN、安全掃描系統(tǒng)、入侵檢測(cè)系統(tǒng)（IDS）等安全產(chǎn)品及方案，從多層次、多角度、全方位保護(hù)用戶的網(wǎng)絡(luò)。在立身自主開(kāi)發(fā)外，方正數(shù)碼還與CA、ISS、Symantec等眾多國(guó)際知名的安全公司保持著良好的合作關(guān)系，集成國(guó)內(nèi)外最優(yōu)秀的公司安全產(chǎn)品，為國(guó)內(nèi)Inte

30、rnet的安全建設(shè)保駕護(hù)航。網(wǎng)絡(luò)證券業(yè)務(wù)分析證券業(yè)務(wù)是改革開(kāi)放以來(lái)，金融系統(tǒng)中增長(zhǎng)最快的業(yè)務(wù)之一，它從無(wú)到有，從小到大。在證券交易所注冊(cè)開(kāi)戶的用戶飛速增長(zhǎng)，而關(guān)心證券交易的人更是成倍的增長(zhǎng)，不論大人還是小孩，似乎都知道證券一詞。傳統(tǒng)的證券交易大概需要以下幾個(gè)步驟：首先，需要到證券交易機(jī)構(gòu)注冊(cè)開(kāi)戶；其次，需要將用戶的資金從銀行轉(zhuǎn)入證券交易的賬戶中；第三，進(jìn)行證券信息處理和各種交易。然而在傳統(tǒng)的證券交易中，用戶需要到證券營(yíng)業(yè)廳進(jìn)行交易或通過(guò)電話等手段進(jìn)行交易，雖然其交易速度很快，但是和計(jì)算機(jī)網(wǎng)絡(luò)相比仍然是小巫見(jiàn)大巫。由于不用擔(dān)心支付手段、不用擔(dān)心實(shí)物配送等原因，證券業(yè)是最適合使用互聯(lián)網(wǎng)的行業(yè)之一。

31、網(wǎng)絡(luò)證券交易，就是要將傳統(tǒng)的證券交易轉(zhuǎn)變?yōu)橐杂?jì)算機(jī)互聯(lián)網(wǎng)絡(luò)為基礎(chǔ)的交易方式。用戶可以充分利用Internet或無(wú)線互聯(lián)網(wǎng)的優(yōu)勢(shì)，快捷方便的進(jìn)行交易。網(wǎng)絡(luò)證券交易主要業(yè)務(wù)包括以下幾個(gè)方面：用戶注冊(cè)開(kāi)戶網(wǎng)上身份驗(yàn)證證券信息瀏覽在線證券交易證券交易和用戶的網(wǎng)絡(luò)化管理維護(hù)與安全相關(guān)業(yè)務(wù)：在以上幾個(gè)方面中，用戶的網(wǎng)上身份驗(yàn)證、證券信息傳輸、在線交易和在線管理與維護(hù)是非常需要安全保護(hù)的，而用戶的注冊(cè)開(kāi)戶是要到證券機(jī)構(gòu)進(jìn)行申請(qǐng)的，所以不涉及網(wǎng)絡(luò)的安全性的。涉密信息：上面我們分析了需要安全保護(hù)的網(wǎng)絡(luò)證券交易業(yè)務(wù)，那么，哪些信息是涉及加密的呢？首先，用戶的身份、賬戶等信息是用戶進(jìn)行交易是需要進(jìn)行驗(yàn)證的，這些信息

32、若被竊取或破壞，不但無(wú)法進(jìn)行網(wǎng)上的交易，更為嚴(yán)重的可能直接影響用戶使用傳統(tǒng)形式進(jìn)行交易，所以需要安全加密；其次，交易數(shù)據(jù)是涉及用戶直接的經(jīng)濟(jì)利益，也是需要安全加密的；第三，網(wǎng)絡(luò)證券交易的管理與維護(hù)是網(wǎng)絡(luò)化的，而這些信息是直接關(guān)系到網(wǎng)絡(luò)證券交易系統(tǒng)自身的安全性的，這些信息是需要安全加密的。經(jīng)過(guò)分析，涉密信息主要有用戶信息、交易數(shù)據(jù)、管理信息三個(gè)方面。網(wǎng)絡(luò)證券的管理模式：由于網(wǎng)絡(luò)證券交易時(shí)使用Internet或無(wú)線互聯(lián)網(wǎng)，用戶信息，證券信息，交易數(shù)據(jù)等是由多臺(tái)不同的服務(wù)器來(lái)承擔(dān)的，同時(shí)在其上要運(yùn)行多種服務(wù)的，所以應(yīng)該采用集中管理的方式對(duì)網(wǎng)絡(luò)證券交易進(jìn)行管理，這樣能減輕管理員的勞動(dòng)強(qiáng)度，提高工作效率

33、。安全風(fēng)險(xiǎn)及威脅：前面我們分析了網(wǎng)上證券交易需要安全保護(hù)的業(yè)務(wù)，也分析了有哪些是涉密信息。通過(guò)這些分析我們可以很容易的得出網(wǎng)絡(luò)證券交易的安全風(fēng)險(xiǎn)及威脅來(lái)自以下幾個(gè)方面：用戶信息會(huì)受到黑客的竊取、破壞以及病毒的破壞交易數(shù)據(jù)會(huì)受到黑客的竊取、破壞以及病毒的破壞系統(tǒng)信息會(huì)受到黑客的竊取、破壞以及病毒的破壞服務(wù)的正常運(yùn)行會(huì)受到黑客的攻擊、破壞以及病毒的破壞系統(tǒng)安全目的：通過(guò)以上的分析，網(wǎng)絡(luò)證券交易系統(tǒng)的安全目的是：要保護(hù)用戶的信息和數(shù)據(jù)、系統(tǒng)的資源和信息不被非法竊取和破壞，保護(hù)各項(xiàng)網(wǎng)絡(luò)服務(wù)能正常運(yùn)轉(zhuǎn)，免受入侵和攻擊。網(wǎng)絡(luò)證券安全需求分析前面分析了網(wǎng)絡(luò)證券業(yè)務(wù)是需要安全保障的。由于證券業(yè)自身的特殊性，對(duì)

34、安全性也有不同于其他行業(yè)的要求。網(wǎng)絡(luò)證券業(yè)務(wù)中對(duì)安全的要求為安全性、高效性、可靠性、可伸縮性、易于使用性和安全服務(wù)體制。安全性證券的網(wǎng)上交易往往涉及巨額資金，一旦受外部攻擊造成系統(tǒng)中斷，或網(wǎng)絡(luò)犯罪使信息泄露，將會(huì)造成重大損失。證券的網(wǎng)上交易的安全性主要有以下幾個(gè)方面：網(wǎng)絡(luò)環(huán)境、操作系統(tǒng)與數(shù)據(jù)的安全性證券交易通過(guò)網(wǎng)絡(luò)來(lái)實(shí)現(xiàn)，如果這個(gè)網(wǎng)絡(luò)環(huán)境直接暴露于Internet上，那么將是可怕的，所以我們需要用防火墻來(lái)隔離Internet和網(wǎng)絡(luò)證券交易系統(tǒng)。由于防火墻能夠阻擋黑客的攻擊行為和異常的網(wǎng)絡(luò)事件，這樣可以保護(hù)我們的網(wǎng)絡(luò)交易環(huán)境、網(wǎng)絡(luò)中計(jì)算機(jī)的操作系統(tǒng)和數(shù)據(jù)。防火墻是網(wǎng)絡(luò)安全的第一道屏障，單有防火墻

35、是不能進(jìn)行全面保護(hù)的，我們還需要入侵監(jiān)測(cè)系統(tǒng)（IDS）來(lái)對(duì)黑客的攻擊進(jìn)行報(bào)警和自動(dòng)防范，并使用防病毒模塊來(lái)保證我們的操作系統(tǒng)和存儲(chǔ)的數(shù)據(jù)免遭病毒的侵害。系統(tǒng)的數(shù)據(jù)和用戶的數(shù)據(jù)有可能遭到破壞，那么需要應(yīng)急恢復(fù)系統(tǒng)ERS來(lái)幫助解決這些問(wèn)題。用戶標(biāo)識(shí)與鑒別，抗抵賴程度用戶在網(wǎng)上進(jìn)行證券交易前，必須要用到自己的身份信息，而這些信息必須加以保護(hù)，以防止被不法之徒竊取或利用給用戶造成不必要的損失。為此，在登錄環(huán)節(jié)就要開(kāi)始實(shí)施防護(hù)。為達(dá)到保護(hù)目的，使用CA技術(shù)，利用數(shù)字證書(shū)來(lái)確保雙方是可以互相信任的。并需要使用加密措施來(lái)保護(hù)用戶的標(biāo)識(shí)。密碼支持的安全程度和可信信道的安全性整個(gè)信息傳輸過(guò)程使用SSL進(jìn)行加密傳

36、輸，傳輸信息和存儲(chǔ)信息加密后，就把計(jì)算機(jī)數(shù)據(jù)變成一堆無(wú)規(guī)律的、雜亂無(wú)章的字符。攻擊者即使得到經(jīng)過(guò)加密的信息即密文、也無(wú)法辨認(rèn)原文，防止信息被竊取。交易服務(wù)的防攻擊能力保護(hù)證券交易的各項(xiàng)網(wǎng)上服務(wù)正常的運(yùn)行，能過(guò)濾主要的攻擊和異常的網(wǎng)絡(luò)事件，使用防火墻來(lái)完成要求；保護(hù)用戶的數(shù)據(jù)和交易的信息不被非法竊取、破壞，擁有入侵檢測(cè)系統(tǒng)（IDS）進(jìn)行預(yù)警和自動(dòng)防護(hù)，防治病毒的破壞，在緊急情況下能獲得最快的服務(wù)響應(yīng)高效性 證券的網(wǎng)上交易集中在幾個(gè)特定的時(shí)段，對(duì)系統(tǒng)的反應(yīng)速度有相當(dāng)高的要求。要求安全系統(tǒng)具有優(yōu)秀的數(shù)據(jù)吞吐能力，在保證安全的同時(shí)，效率的損失要減到最小。需要達(dá)到這個(gè)要求，就需要防火墻和IDS系統(tǒng)盡可能

37、小的對(duì)網(wǎng)絡(luò)的吞吐量產(chǎn)生影響。而我們向用戶提供的防火墻產(chǎn)品和IDS產(chǎn)品在安裝到系統(tǒng)中去后能夠完美滿足用戶的要求，這主要來(lái)自產(chǎn)品的優(yōu)秀性能和針對(duì)行業(yè)的專門(mén)設(shè)計(jì)，具體性能請(qǐng)參看產(chǎn)品介紹與性能參數(shù)?？煽啃栽诜?wù)致勝的今天，服務(wù)的中斷就意味著風(fēng)險(xiǎn)。在Internet上，早已不再沿用傳統(tǒng)上朝九晚五的商業(yè)時(shí)間。365247的不間斷運(yùn)營(yíng)對(duì)系統(tǒng)的可靠性提出了挑戰(zhàn)?？煽啃灾饕憩F(xiàn)在：安全功能和機(jī)制的可靠程度在網(wǎng)絡(luò)環(huán)境下，安全功能和機(jī)制本身就會(huì)成為黑客入侵和破壞的目標(biāo)，所以安全的可靠性成為網(wǎng)絡(luò)安全不可缺少的一環(huán)。只有在保證了安全功能和機(jī)制自身安全下，才能更好的保護(hù)網(wǎng)絡(luò)的安全性。對(duì)于防火墻來(lái)講，使用雙機(jī)熱備的方法是目

38、前最可靠，最實(shí)用的提高可靠性的手段。數(shù)據(jù)存儲(chǔ)的可靠程度，數(shù)據(jù)的備份與恢復(fù)除了安全功能和機(jī)制的可靠性外，數(shù)據(jù)存儲(chǔ)的可靠性也是不可忽視的重要環(huán)節(jié)。這就必須使用備份與恢復(fù)系統(tǒng)，來(lái)確保數(shù)據(jù)損壞后能及時(shí)的恢復(fù)。可伸縮性證券網(wǎng)絡(luò)會(huì)隨著證券業(yè)務(wù)的發(fā)展而迅速壯大。一個(gè)優(yōu)秀的安全解決方案必須從開(kāi)始就考慮到這種需求。系統(tǒng)需要基于高可伸縮便于擴(kuò)充的集群構(gòu)架。以跟上券商發(fā)展的腳步，防止出現(xiàn)大量的設(shè)備淘汰造成的資源浪費(fèi)。易用性不易使用的安全系統(tǒng)是不安全的。充斥著英文術(shù)語(yǔ)的管理界面會(huì)大大的增加系統(tǒng)管理人員的工作量，也容易導(dǎo)致不應(yīng)有的漏洞的出現(xiàn)或安全策略的僵化。易用性主要包括：要界面清晰易懂方便的集中管理安全性的實(shí)時(shí)監(jiān)控。

39、完善的服務(wù)體制券商不是專業(yè)的安全公司。不可能隨時(shí)全面的跟蹤安全動(dòng)態(tài)。安全是動(dòng)態(tài)的過(guò)程，今天安全的系統(tǒng)明天就可能不安全，這就要求提供安全方案的公司有優(yōu)秀的服務(wù)體制進(jìn)行跟蹤服務(wù)。再嚴(yán)密的系統(tǒng)也可能出現(xiàn)漏洞，當(dāng)緊急事件發(fā)生時(shí)，能不能在最短時(shí)間內(nèi)獲得緊急響應(yīng)服務(wù)經(jīng)常決定了損失的大小，而且這種時(shí)候，需要的是極其專業(yè)的服務(wù)，沒(méi)有強(qiáng)大開(kāi)發(fā)實(shí)力的公司是無(wú)法滿足這種需求的，而在國(guó)內(nèi)沒(méi)有開(kāi)發(fā)部門(mén)的國(guó)外著名公司則往往鞭長(zhǎng)莫及。安全系統(tǒng)結(jié)構(gòu)為了滿足上述需求，從安全方面就需以下模塊：防火墻、入侵檢測(cè)、防病毒、CA和加密。在系統(tǒng)設(shè)計(jì)一級(jí)，就要考慮到各模塊的位置。同時(shí)，整個(gè)系統(tǒng)需要按照業(yè)務(wù)流程來(lái)進(jìn)行設(shè)計(jì)。4.1 多級(jí)用戶身

40、份驗(yàn)證登錄保護(hù)：網(wǎng)上證券的用戶與服務(wù)器之間需要建立一種信任關(guān)系。必須要防止入侵者通過(guò)種種手段進(jìn)行冒充和欺騙。為此，在登錄環(huán)節(jié)就要開(kāi)始實(shí)施防護(hù)。首先使用CA技術(shù)，利用數(shù)字證書(shū)來(lái)確保雙方是可以互相信任的。其次，在登錄時(shí)進(jìn)行用戶名、密碼驗(yàn)證。整個(gè)登錄過(guò)程使用SSL加密傳輸，防止登錄信息被竊取。密碼保護(hù)：對(duì)于前面提到的用戶信息、交易數(shù)據(jù)、管理信息等涉密信息，提供全程的密碼保護(hù)。在系統(tǒng)訪問(wèn)層，通過(guò)授權(quán)和認(rèn)證機(jī)制，保證涉密信息只提供給有訪問(wèn)權(quán)限的人員。訪問(wèn)密碼和交易密碼分開(kāi)，加強(qiáng)高敏感的涉密信息的安全級(jí)別。4.2 密鑰密碼體系在網(wǎng)上證券應(yīng)用中，使用基于公開(kāi)密鑰密碼體系（PKI）的加密安全體系。其目的是保證

41、以下四點(diǎn)：可信任的服務(wù)器可信任的用戶可信任的傳輸不容抵賴的審計(jì)使用密鑰密碼的主要目的是防止信息的非授權(quán)泄露。加密用于傳輸信息和存儲(chǔ)信息，把計(jì)算機(jī)數(shù)據(jù)變成一堆無(wú)規(guī)律的、雜亂無(wú)章的字符。攻擊者即使得到經(jīng)過(guò)加密的信息即密文、也無(wú)法辨認(rèn)原文。因此，加密可以有效地對(duì)抗截收、非法訪問(wèn)數(shù)據(jù)庫(kù)竊取信息等威脅。為保證安全，組合應(yīng)用對(duì)稱密碼算法和非對(duì)稱密碼算法，對(duì)稱密碼算法用于信息加密、非對(duì)稱密碼算法用于密鑰分發(fā)、數(shù)字簽名、完整性及身份鑒別等。如果一個(gè)加密系統(tǒng)的加密密鑰和解密密鑰相同，或者雖然不相同，但是由其中任意一個(gè)可以很容易地推導(dǎo)出另一個(gè)，所采用的就是對(duì)稱密碼算法。如果一個(gè)加密系統(tǒng)的加密密鑰和解密密鑰不相同、

42、并且由加密密鑰推導(dǎo)出解密密鑰(或者由解密密鑰推導(dǎo)出加密密鑰)是計(jì)算上不可行的、所采用的就是非對(duì)稱密碼算法。信息加密傳輸?shù)膶?shí)際過(guò)程包括四步：第一步，信息發(fā)送方產(chǎn)生一個(gè)對(duì)稱密鑰，并將此密鑰用信息接收方的公鑰加密后，通過(guò)網(wǎng)絡(luò)傳送給接收方。第二步，信息發(fā)送方用對(duì)稱密鑰將需要傳輸?shù)奈募用芎?，通過(guò)網(wǎng)絡(luò)傳送給接收方。第三步，接收方用自己的私鑰將收到的經(jīng)過(guò)加密的對(duì)稱密鑰進(jìn)行解密，得到發(fā)送方的對(duì)稱密鑰。第四步，接收方用得到的對(duì)稱密鑰將接收到的經(jīng)過(guò)加密的信息進(jìn)行解密，從而得到信息的原文。4.3 結(jié)構(gòu)框架說(shuō)明系統(tǒng)結(jié)構(gòu)框架如下：用戶使用PC或手機(jī)接入互聯(lián)網(wǎng)，在穿過(guò)防火墻以后，連接上券商的Internet Serve

43、r。在用戶端和Internet Server端，均使用CA證書(shū)，以保證用戶和服務(wù)器的可相互信任。傳輸過(guò)程中，對(duì)涉密信息均使用SSL加密。在服務(wù)器與Internet之間，使用防火墻隔離，使用IDS系統(tǒng)進(jìn)行預(yù)警。同時(shí)IDS與防火墻聯(lián)動(dòng)，在遭PC手機(jī)Interner防火墻/IDS券商Internet Server防火墻券商Intranet Server日志數(shù)據(jù)庫(kù)控制中心券商柜臺(tái)交易系統(tǒng)IDS模塊防病毒模塊SSL加密傳輸CACA遇高風(fēng)險(xiǎn)性攻擊時(shí)，實(shí)施自動(dòng)阻斷。根據(jù)國(guó)家要求，券商的Internet Server和Intranet Server再利用一道防火墻物理隔離。在Intranet內(nèi)部，使用IDS對(duì)

44、系統(tǒng)內(nèi)異常事件進(jìn)行監(jiān)控。為了保護(hù)數(shù)據(jù)的完整性和安全性，在整個(gè)系統(tǒng)中，還要布署完整的防病毒體系。在控制中心?？梢詫?duì)整個(gè)安全系統(tǒng)進(jìn)行實(shí)時(shí)監(jiān)控和集中管理。對(duì)所有的安全事件，保留詳細(xì)的日志記錄，以備定期的安全審計(jì)使用。最后，券商的Intranet Server接入券商柜臺(tái)交易系統(tǒng)，最終實(shí)現(xiàn)網(wǎng)上證券交易。整個(gè)安全系統(tǒng)結(jié)構(gòu)可以總結(jié)為：多層隔離、實(shí)時(shí)監(jiān)控、立體防護(hù)、集中管理。安全系統(tǒng)實(shí)施通過(guò)上面對(duì)需求的分析，我們提出了解決需求所要使用到的安全模塊，主要由防火墻來(lái)對(duì)網(wǎng)絡(luò)上的入侵、攻擊以及異常的行為進(jìn)行阻擋。使用方正數(shù)碼的FireBridge防火墻作為系統(tǒng)安全的第一道屏障，F(xiàn)ireBridge防火墻的優(yōu)異性能及

45、雙機(jī)熱備的方式可以滿足網(wǎng)絡(luò)安全性及可靠性的要求。對(duì)于IDS使用ISS公司的產(chǎn)品，這樣不但可以檢測(cè)來(lái)自外部的威脅，還可以檢測(cè)來(lái)自系統(tǒng)內(nèi)部的侵害。防病毒模塊使用業(yè)內(nèi)著名的冠群金辰公司的KILL產(chǎn)品保障系統(tǒng)免受病毒侵?jǐn)_。還有CA系統(tǒng)保證用戶的身份鑒定。具體實(shí)施如下圖所示：說(shuō)明：如圖所示安全系統(tǒng)的實(shí)施主要在兩個(gè)部分，網(wǎng)上證券交易平臺(tái)和證券公司總部。在網(wǎng)上證券交易平臺(tái)中，Router與第一層Switch或Hub相連接，Switch或Hub與兩臺(tái)FireBridge防火墻相連接，然后兩臺(tái)FireBridge防火墻再與第二層Switch或Hub相連接。這樣就構(gòu)成了一個(gè)防火墻的雙機(jī)熱備方式，保證了網(wǎng)絡(luò)的安全性

46、，同時(shí)提供了安全機(jī)制的可靠性。第二層Switch或Hub與交易服務(wù)器、WEB服務(wù)器、Router連接，并在服務(wù)器上安裝IDS、防病毒模塊、CA模塊，這樣在網(wǎng)上證券交易平臺(tái)上實(shí)現(xiàn)了整體的多層次的安全防護(hù)措施。在證券公司總部里，在Router后安裝一道FireBridge防火墻，其后部是證券公司總部的證券交易網(wǎng)絡(luò)，在這個(gè)網(wǎng)絡(luò)里需要安裝一臺(tái)控制主機(jī)，通過(guò)它對(duì)網(wǎng)上證券交易平臺(tái)里的服務(wù)器、防火墻進(jìn)行集中管理，同時(shí)對(duì)系統(tǒng)及其安全性、可靠性進(jìn)行集中管理。除了上面所說(shuō)的兩個(gè)部分外，我們需要在用戶端，安裝CA的客戶模塊，認(rèn)證的流程見(jiàn)下圖：按照上面的方法來(lái)實(shí)施網(wǎng)絡(luò)證券的安全解決方案，就可以完整的實(shí)現(xiàn)立體的安全防護(hù)

47、體系，從多層次、多角度來(lái)保護(hù)用戶和券商的交易安全。我們的方案里使用的產(chǎn)品將在下面有進(jìn)一步的介紹。主要應(yīng)用服務(wù)的安全風(fēng)險(xiǎn)應(yīng)用服務(wù)系統(tǒng)中各個(gè)葉節(jié)點(diǎn)有各種應(yīng)用服務(wù)，這些應(yīng)用服務(wù)提供給證券各級(jí)營(yíng)業(yè)點(diǎn)或合作的商業(yè)銀行使用。不能防止未經(jīng)驗(yàn)證的操作人員利用應(yīng)用系統(tǒng)的脆弱性來(lái)攻擊應(yīng)用系統(tǒng)，使得系統(tǒng)數(shù)據(jù)丟失、數(shù)據(jù)更改、獲得非法數(shù)據(jù)等。而證券機(jī)房的這些應(yīng)用系統(tǒng)是證券內(nèi)聯(lián)網(wǎng)中最重要的組成部分。DNS服務(wù)DNS是網(wǎng)絡(luò)正常運(yùn)作的基本元素，它們是由運(yùn)行專門(mén)的或操作系統(tǒng)提供的服務(wù)的Unix或NT主機(jī)構(gòu)成。這些系統(tǒng)很容易成為外部網(wǎng)絡(luò)攻擊的目標(biāo)或跳板。對(duì)DNS的攻擊通常是對(duì)其他遠(yuǎn)程主機(jī)進(jìn)行攻擊做準(zhǔn)備，如篡改域名解析記錄以欺騙被

48、攻擊的系統(tǒng)，或通過(guò)獲取DNS的區(qū)域文件而得到進(jìn)一步入侵的重要信息。著名的域名服務(wù)系統(tǒng)BIND就存在眾多的可以被入侵者利用的漏洞。證券商對(duì)外各種應(yīng)用，特別是基于URL的應(yīng)用依賴于DNS系統(tǒng)，DNS的安全性也是網(wǎng)絡(luò)安全關(guān)注的焦點(diǎn)。E-Mail由于郵件服務(wù)器軟件的眾多廣為人知的安全漏洞，郵件服務(wù)器成為進(jìn)行遠(yuǎn)程攻擊的首選目標(biāo)之一。如利用公共的郵件服務(wù)器進(jìn)行的郵件欺騙或郵件炸彈的中轉(zhuǎn)站或引擎；利用sendmail的漏洞直接入侵到郵件服務(wù)器的主機(jī)等。而證券營(yíng)業(yè)的內(nèi)部E-mail系統(tǒng)覆蓋面廣，所以迫切需要使用防火墻來(lái)保護(hù)證券業(yè)的內(nèi)部E-mail系統(tǒng)。WWW利用HTTP服務(wù)器的一些漏洞，特別是在大量使用服務(wù)器

49、腳本的系統(tǒng)上，利用這些可執(zhí)行的腳本程序，未經(jīng)授權(quán)的操作者可以很容易地獲得系統(tǒng)的控制權(quán)。在證券存在各種WWW服務(wù)，這些服務(wù)協(xié)議或多或少存在安全隱患。FTP一些FTP服務(wù)器的缺陷會(huì)使服務(wù)器很容易被錯(cuò)誤的配置，從而導(dǎo)致安全問(wèn)題，如被匿名用戶上載的木馬程序，下載系統(tǒng)中的重要信息（如口令文件）并導(dǎo)致最終的入侵。有些服務(wù)器版本帶有嚴(yán)重的錯(cuò)誤，比如可以使任何人獲得對(duì)包括root在內(nèi)的任何帳號(hào)的訪問(wèn)。網(wǎng)絡(luò)中主要系統(tǒng)的安全風(fēng)險(xiǎn)整個(gè)系統(tǒng)中網(wǎng)絡(luò)設(shè)備主要采用路由器設(shè)備，有必要分析這些設(shè)備的風(fēng)險(xiǎn)。路由器是證券內(nèi)聯(lián)網(wǎng)的核心部件，路由器的安全將直接影響整個(gè)網(wǎng)絡(luò)的安全。下面列舉了一些路由器所存在的主要安全風(fēng)險(xiǎn)：路由器缺省情況

50、下只使用簡(jiǎn)單的口令驗(yàn)證用戶身份，并且遠(yuǎn)程TELNET登錄時(shí)以明文傳輸口令。一旦口令泄密路由器將失去所有的保護(hù)能力。 路由器口令的弱點(diǎn)是沒(méi)有計(jì)數(shù)器功能，所以每個(gè)人都可以不限次數(shù)的嘗試登錄口令，在口令字典等工具的幫助下很容易破解登錄口令。 每個(gè)管理員都可能使用相同的口令，因此，路由器對(duì)于誰(shuí)曾經(jīng)作過(guò)什么修改，系統(tǒng)沒(méi)有跟蹤審計(jì)的能力。 路由器實(shí)現(xiàn)的某些動(dòng)態(tài)路由協(xié)議存在一定的安全漏洞，有可能被惡意的攻擊者利用來(lái)破壞網(wǎng)絡(luò)的路由設(shè)置，達(dá)到破壞網(wǎng)絡(luò)或?yàn)楣糇鰷?zhǔn)備的目的。針對(duì)這種情況，必須采取措施，有效防止非法對(duì)網(wǎng)絡(luò)設(shè)備訪問(wèn)。 TCP/IP風(fēng)險(xiǎn)：系統(tǒng)采用TCP/IP協(xié)議進(jìn)行通信，而因?yàn)門(mén)CP/IP協(xié)議中存在固有

51、的漏洞，比如：針對(duì)TCP序號(hào)的攻擊，TCP會(huì)話劫持，TCP SYN攻擊等。同時(shí)系統(tǒng)的DNS采用UDP協(xié)議，因?yàn)閁DP協(xié)議是非面向連接的協(xié)議，對(duì)系統(tǒng)中的DNS等相關(guān)應(yīng)用帶來(lái)安全風(fēng)險(xiǎn)。數(shù)據(jù)庫(kù)系統(tǒng)安全分析數(shù)據(jù)庫(kù)系統(tǒng)是存儲(chǔ)重要信息的場(chǎng)所并擔(dān)負(fù)著管理這些數(shù)據(jù)信息的任務(wù)。數(shù)據(jù)庫(kù)的安全問(wèn)題，在數(shù)據(jù)庫(kù)技術(shù)誕生之后就一直存在，并隨著數(shù)據(jù)庫(kù)技術(shù)的發(fā)展而不斷深化。不法份子利用已有的或者更加先進(jìn)的技術(shù)手段通常對(duì)數(shù)據(jù)庫(kù)進(jìn)行偽造數(shù)據(jù)庫(kù)中的數(shù)據(jù)、損壞數(shù)據(jù)庫(kù)、竊取數(shù)據(jù)庫(kù)中的數(shù)據(jù)。如何保證和加強(qiáng)數(shù)據(jù)庫(kù)系統(tǒng)的安全性和保密性對(duì)于網(wǎng)絡(luò)的正常、安全運(yùn)行至關(guān)重要。管理系統(tǒng)的安全風(fēng)險(xiǎn) 管理系統(tǒng)的安全風(fēng)險(xiǎn)除了上面提到的系統(tǒng)風(fēng)險(xiǎn)之外，系統(tǒng)之間

52、，特別是其他商業(yè)銀行和證券之間存在很大的安全隱患。系統(tǒng)結(jié)構(gòu)復(fù)雜、管理難度大，存在各種服務(wù)，哪些服務(wù)對(duì)哪些人是開(kāi)放的、哪些是拒絕的都沒(méi)有一定的安全劃分。必須防止內(nèi)部不相關(guān)人員非法訪問(wèn)安全程度要求高的數(shù)據(jù)，而且整個(gè)系統(tǒng)的正常運(yùn)行也是保證證券系統(tǒng)日常工作正常進(jìn)行的一個(gè)十分重要的方面。必須限制管理系統(tǒng)內(nèi)各個(gè)部門(mén)之間訪問(wèn)權(quán)限，維護(hù)各個(gè)系統(tǒng)的安全訪問(wèn)。而由于整個(gè)系統(tǒng)是一個(gè)體系，任何一個(gè)點(diǎn)出現(xiàn)安全問(wèn)題，都可能給相關(guān)人員帶來(lái)?yè)p失。方正數(shù)碼防火墻解決方案本方案設(shè)計(jì)的原則和目標(biāo)原則：從網(wǎng)絡(luò)安全整個(gè)體系考慮，本次防火墻選擇原則是：安全性：防火墻提供一整套訪問(wèn)控制/防護(hù)的安全策略，保證系統(tǒng)的安全性；開(kāi)放性：防火墻采用

53、國(guó)家防火墻相關(guān)標(biāo)準(zhǔn)和網(wǎng)絡(luò)安全領(lǐng)域相關(guān)技術(shù)標(biāo)準(zhǔn)；高可靠性：防火墻采用軟件、硬件結(jié)合的形式，保證系統(tǒng)長(zhǎng)期穩(wěn)定、安全運(yùn)行；可擴(kuò)充性：防火墻采用模塊化設(shè)計(jì)方式，方便產(chǎn)品升級(jí)、功能增強(qiáng)、調(diào)整系統(tǒng)結(jié)構(gòu)；可管理性：防火墻采用基于windows平臺(tái)GUI模式進(jìn)行管理，方便各種安全策略設(shè)置；可維護(hù)性：防火墻軟件維護(hù)方便，便于操作管理；目標(biāo)：網(wǎng)絡(luò)安全包括很多方面，如：訪問(wèn)控制、身份認(rèn)證、數(shù)據(jù)加密、入侵檢測(cè)、防止病毒、數(shù)據(jù)備份等。本次證券內(nèi)聯(lián)網(wǎng)防火墻系統(tǒng)建設(shè)的目標(biāo)是通過(guò)在證券同外部遠(yuǎn)程交易以及其他商業(yè)銀行、金融機(jī)構(gòu)連接處采用防火墻技術(shù)，防止外部網(wǎng)絡(luò)和用戶對(duì)證券內(nèi)聯(lián)網(wǎng)數(shù)據(jù)的非法使用和訪問(wèn)，監(jiān)控整個(gè)網(wǎng)絡(luò)數(shù)據(jù)過(guò)程。有效防

54、止來(lái)自外部的攻擊行為。限制對(duì)內(nèi)部資源和系統(tǒng)的訪問(wèn)范圍。通過(guò)在證券內(nèi)聯(lián)網(wǎng)系統(tǒng)中設(shè)置防火墻的安全措施將達(dá)到以下目標(biāo)：保護(hù)基于證券內(nèi)聯(lián)網(wǎng)的業(yè)務(wù)不間斷的正常運(yùn)作。包括構(gòu)成證券系統(tǒng)網(wǎng)絡(luò)的所有設(shè)施、系統(tǒng)、以及系統(tǒng)所處理的數(shù)據(jù)（信息）。證券的重要信息在可控的范圍內(nèi)傳播，即有效的控制信息傳播的范圍，防止重要信息泄露給證券外部的組織或人員。解決網(wǎng)絡(luò)的邊界安全問(wèn)題保證網(wǎng)絡(luò)內(nèi)部的安全實(shí)現(xiàn)系統(tǒng)安全及數(shù)據(jù)安全在用戶和資源之間進(jìn)行嚴(yán)格的訪問(wèn)控制（通過(guò)身份認(rèn)證，訪問(wèn)控制）建立一套數(shù)據(jù)審計(jì)、記錄的安全管理機(jī)制（網(wǎng)絡(luò)數(shù)據(jù)采集，審計(jì)）融合技術(shù)手段和行政手段，形成全局的安全管理。為了解決證券內(nèi)聯(lián)網(wǎng)面臨的安全問(wèn)題，有必要建立一整套安

55、全機(jī)制，包括：訪問(wèn)控制、入侵檢測(cè)等多個(gè)方面。信息系統(tǒng)的安全是一個(gè)復(fù)雜的系統(tǒng)工程，涉及到技術(shù)和管理等多個(gè)層面。為達(dá)成以上目標(biāo)，方正數(shù)碼在充分調(diào)研和分析比較的基礎(chǔ)上采用合理的技術(shù)手段和產(chǎn)品以構(gòu)建一個(gè)完整的安全技術(shù)體系，同時(shí)通過(guò)與證券的共同工作，協(xié)助證券建立完善的安全管理體系。防火墻選型防火墻是網(wǎng)絡(luò)安全領(lǐng)域首要的、基礎(chǔ)的設(shè)施，它對(duì)維護(hù)內(nèi)部網(wǎng)絡(luò)的安全起著重要的作用。利用防火墻可以有效地劃分網(wǎng)絡(luò)不同安全級(jí)別區(qū)域間的邊界，并在邊界上對(duì)不同區(qū)域間的訪問(wèn)實(shí)施訪問(wèn)控制、身份鑒別、和安全審計(jì)等功能。防火墻按實(shí)現(xiàn)的方式不同，其基本類型有：包過(guò)濾型、代理(應(yīng)用網(wǎng)關(guān))型和復(fù)合型。復(fù)合型防火墻是在綜合動(dòng)態(tài)包過(guò)濾技術(shù)和代理

56、技術(shù)的優(yōu)點(diǎn)的情況下采取的一種更加完善和安全的防火墻技術(shù)。其功能強(qiáng)大，是未來(lái)防火墻技術(shù)發(fā)展的一個(gè)主要趨勢(shì)。綜合考慮證券網(wǎng)絡(luò)安全實(shí)際情況，在本方案中采用方正數(shù)碼的方正方御（FG-P）復(fù)合型防火墻，放置在證券與遠(yuǎn)程交易和各個(gè)商業(yè)銀行以及其它金融機(jī)構(gòu)連接的各個(gè)葉節(jié)點(diǎn)。防火墻設(shè)置及工作模式防火墻提供三個(gè)接口：內(nèi)網(wǎng)、外網(wǎng)、DMZ；防火墻工作在路由模式，對(duì)外采用NAT技術(shù)，隱藏內(nèi)部真實(shí)地址；將對(duì)外服務(wù)的各種服務(wù)設(shè)備放置在DMZ區(qū)域，和內(nèi)部網(wǎng)絡(luò)嚴(yán)格區(qū)分開(kāi)，保證內(nèi)部系統(tǒng)安全?？紤]到安全問(wèn)題，系統(tǒng)中的結(jié)構(gòu)需要調(diào)整，將原來(lái)各商業(yè)銀行對(duì)證券內(nèi)部網(wǎng)絡(luò)的訪問(wèn)調(diào)整到對(duì)DMZ的訪問(wèn)。不輕易允許各商業(yè)銀行對(duì)證券內(nèi)部網(wǎng)絡(luò)進(jìn)行訪問(wèn)

57、。防火墻功能設(shè)置及安全策略完善的訪問(wèn)控制規(guī)則控制：通過(guò)方正方御防火墻提供的基于TCP/IP協(xié)議中各個(gè)環(huán)節(jié)進(jìn)行安全控制，生成完整安全的訪問(wèn)控制表，這個(gè)表包括： 外網(wǎng)（商業(yè)銀行和其他金融機(jī)構(gòu)）對(duì)DMZ內(nèi)服務(wù)訪問(wèn)控制。將外部對(duì)內(nèi)部、DMZ內(nèi)服務(wù)訪問(wèn)明確限制，防止非法對(duì)內(nèi)部重要系統(tǒng)，特別是業(yè)務(wù)系統(tǒng)的訪問(wèn)。利用DMZ的隔離效果，盡量將對(duì)外服務(wù)的部分服務(wù)器放置在DMZ區(qū)域，通過(guò)NAT方式，保護(hù)內(nèi)部網(wǎng)絡(luò)免受攻擊。關(guān)閉操作系統(tǒng)提供的除需要以外的所有服務(wù)和應(yīng)用，防止因?yàn)檫@些服務(wù)和應(yīng)用自身的漏洞給系統(tǒng)帶來(lái)的風(fēng)險(xiǎn)。對(duì)內(nèi)部E-mail、 FTP、 WWW、數(shù)據(jù)庫(kù)的訪問(wèn)做嚴(yán)格的規(guī)劃和限制，防止惡意攻擊行為發(fā)生。 內(nèi)部網(wǎng)

58、絡(luò)：內(nèi)部網(wǎng)絡(luò)對(duì)外部網(wǎng)絡(luò)（商業(yè)銀行和其他金融機(jī)構(gòu)）的訪問(wèn)也要進(jìn)行嚴(yán)格的限制。防止內(nèi)部員工對(duì)外網(wǎng)資源的非法訪問(wèn)。對(duì)內(nèi)部員工對(duì)外訪問(wèn)采用NAT方式訪問(wèn)。同時(shí)內(nèi)部員工對(duì)DMZ區(qū)域服務(wù)器訪問(wèn)也必須做限制。內(nèi)部員工對(duì)外網(wǎng)WWW訪問(wèn)采用代理方式。 DMZ訪問(wèn)：通常情況下DMZ對(duì)外部和內(nèi)部都不能主動(dòng)進(jìn)行訪問(wèn)，除非特殊的應(yīng)用需要到內(nèi)部網(wǎng)絡(luò)采集數(shù)據(jù)，可以有限地開(kāi)放部分服務(wù)。借助方正方御防火墻提供的基于狀態(tài)包過(guò)濾技術(shù)對(duì)數(shù)據(jù)的各個(gè)方向采用全面安全的技術(shù)策略，制定嚴(yán)格完善的訪問(wèn)控制策略保證從IP到傳輸層的數(shù)據(jù)安全。針對(duì)證券系統(tǒng)中的網(wǎng)絡(luò)風(fēng)險(xiǎn)可以通過(guò)嚴(yán)格的訪問(wèn)控制表來(lái)進(jìn)行限制。內(nèi)置入侵檢測(cè)（IDS）方正數(shù)碼公司和國(guó)際網(wǎng)絡(luò)安

59、全組織合作，能夠?qū)崟r(shí)獲得最新系統(tǒng)入侵庫(kù)代碼，動(dòng)態(tài)地將這些攻擊技術(shù)的解決方案加入到方正方御防火墻中,同時(shí)在方正方御防火墻內(nèi)部采用3I技術(shù)，加速應(yīng)用層安全防護(hù)查詢過(guò)程。方正方御防火墻目前能夠支持1500種以上的入侵檢測(cè)并能夠成功阻斷這樣的攻擊行為，比如最近的紅色代碼。針對(duì)各種攻擊行為，比如TCP序列號(hào)攻擊、劫持、碎片攻擊、端口掃描能夠識(shí)別阻斷。而這個(gè)數(shù)據(jù)庫(kù)可以實(shí)時(shí)更新、升級(jí)。升級(jí)在方正方御防火墻界面即可完成。IDS和訪問(wèn)策略形成互動(dòng)。通過(guò)防火墻嵌入的IDS功能能夠有效防范對(duì)內(nèi)部Windows/NT，Unix、Novell系統(tǒng)的攻擊行為。電子欺騙：防火墻能夠自動(dòng)識(shí)別各種電子欺騙行為并進(jìn)行阻斷。同時(shí)防

60、火墻能夠?qū)窝bIP地址進(jìn)行識(shí)別。代理服務(wù)方正方御防火墻對(duì)外提供代理服務(wù)功能，證券內(nèi)部網(wǎng)絡(luò)對(duì)外訪問(wèn)可以通過(guò)防火墻提供的代理服務(wù)功能，同時(shí)代理服務(wù)可以針對(duì)URL,SSL,FTP進(jìn)行應(yīng)用攔截，防止內(nèi)部人員對(duì)外網(wǎng)的非法訪問(wèn)。NAT地址轉(zhuǎn)換將證券內(nèi)部網(wǎng)絡(luò)和DMZ區(qū)域網(wǎng)絡(luò)地址通過(guò)NAT方式轉(zhuǎn)換，隱藏真實(shí)IP地址，防止內(nèi)部網(wǎng)絡(luò)受到攻擊。具體轉(zhuǎn)換方式就是將內(nèi)部網(wǎng)絡(luò)和DMZ區(qū)域機(jī)器的地址全部轉(zhuǎn)換成防火墻外網(wǎng)卡地址，對(duì)外證券只有一個(gè)地址。而借助防火墻的多映射功能，可以將對(duì)外的同一地址映射為內(nèi)部網(wǎng)絡(luò)和DMZ區(qū)域不同服務(wù)的不同端口。日志系統(tǒng)及系統(tǒng)報(bào)警方正方御防火墻提供強(qiáng)大的日志系統(tǒng)，將通過(guò)防火墻的數(shù)據(jù)、防火墻管理數(shù)據(jù)