證券公司網(wǎng)絡(luò)安全解決專項方案

證券公司網(wǎng)絡(luò)安全處理方案序言Internet發(fā)展給政府機構(gòu)、企機關(guān)、電信系統(tǒng)、金融系統(tǒng)、銀行系統(tǒng)等帶來了革命性改革和改變?；ヂ?lián)網(wǎng)技術(shù)迅猛發(fā)展使各行業(yè)經(jīng)過利用Internet來提升辦事效率、市場反應(yīng)速度，改變經(jīng)營模式等，方便在市場經(jīng)濟大潮中更具競爭力。經(jīng)過使用Internet技術(shù)，任何一個單位或部門數(shù)據(jù)資料傳輸和存取全部變得方便、快捷，也使金融、貿(mào)易往來更方便、愈加快捷、更頻繁。但同時也面對Internet開放帶來數(shù)據(jù)安全新挑戰(zhàn)和新危險：用戶、銷售商、移動用戶、異地職員和內(nèi)部人員安全訪問；保護國家機關(guān)、企事業(yè)機密信息不受黑客和商業(yè)間諜入侵；預(yù)防單位內(nèi)部人員有意或無意使機密外泄。眾所周知，作為全球適用范圍最大信息網(wǎng)，Internet本身協(xié)議開放性極大方便了多種計算機入網(wǎng)、拓寬了共享資源。然而，因為在早期網(wǎng)絡(luò)協(xié)議設(shè)計上對安全問題忽略，和在使用和管理無政府狀態(tài)，逐步使Internet本身安全受到嚴重威脅，和她相關(guān)安全事故屢有發(fā)生。這就要求我們對于Internet互連所帶來安全性問題給予足夠重視。伴隨網(wǎng)絡(luò)普及，安全日益成為影響網(wǎng)絡(luò)效能瓶頸，而證券行業(yè)網(wǎng)絡(luò)安全存在漏洞情況也是眾所周知，多位信息安全領(lǐng)域教授也對證券行業(yè)網(wǎng)絡(luò)安全問題提出了尖銳批評，證券行業(yè)網(wǎng)絡(luò)安全現(xiàn)實狀況已不能適應(yīng)證券業(yè)快速發(fā)展情況。近幾年,不停有證券行業(yè)網(wǎng)絡(luò)被"黑客"入侵,造成重大經(jīng)濟損失和惡劣影響消息見諸報段，證券行業(yè)網(wǎng)絡(luò)安全已經(jīng)成為擺在全部證券機構(gòu)和人員所要考慮事情之一。然而，事物發(fā)展總是利弊共生。當計算機網(wǎng)絡(luò)技術(shù)日益普及和提升，為社會生活各方面帶來極大便利時，不可避免地也帶來了部分負面影響，較為突出是計算機信息網(wǎng)絡(luò)安全保密問題，假如處理不好，國家安全和利益將受到損害，也勢必危及信息化事業(yè)健康，因為部分居心叵測使用者受到部分不可告人利益驅(qū)動，這部分人不可避免地帶來了包含網(wǎng)絡(luò)安全應(yīng)用和服務(wù)種種安全問題。發(fā)生影響尤其突出、為廣大互聯(lián)網(wǎng)使用者所了解安全紕漏問題中，在國外、有美國雅虎()、亞馬遜在線（）等八家國際著名網(wǎng)站受到了黑客攻擊，在中國包含大名鼎鼎新浪網(wǎng)在內(nèi)多家網(wǎng)站也被黑客攻擊，就拿這次五一“中美黑客”大戰(zhàn)來說吧，中國有1200多家網(wǎng)如石家莊市人民政府新聞網(wǎng)、四川旅游信息網(wǎng)、北京證券、中國科學院理化技術(shù)研究所、中國科學院心理研究所等部分網(wǎng)站，這證實中國現(xiàn)在網(wǎng)絡(luò)安全防范越來越嚴峻。網(wǎng)絡(luò)安全有兩方面含義，一是指安全性，即網(wǎng)絡(luò)針對攻擊對象而有意設(shè)置安全系統(tǒng)，如防火墻等。其次，是指網(wǎng)絡(luò)因為本身缺點出現(xiàn)漏洞所產(chǎn)生安全問題，后者威脅其實更大，這種隱患通常存在于軟件操作系統(tǒng)和應(yīng)用系統(tǒng)“BUG”(造成計算機犯錯“臭蟲”)中隨機產(chǎn)生。部分事實證實，其危害遠比黑客攻擊來得大，比如因為軟件故障產(chǎn)生停電、墜機等事件發(fā)生等。而最好預(yù)防機制就是立即修補漏洞，提升管理水平。這么攻擊事件使得被攻擊目標不得不停止了它們長久向國際用戶提供服務(wù)，給對應(yīng)網(wǎng)站造成了極不好影響。受到這么互聯(lián)網(wǎng)上出現(xiàn)風浪影響，業(yè)界普遍認為每個企業(yè)在考慮內(nèi)部共享資源和向公眾提供服務(wù)時，應(yīng)該依據(jù)本身業(yè)務(wù)特點和需求，本著切合實際、保護資源和著眼未來標準，建立一套滿足需求而且安全網(wǎng)絡(luò)結(jié)構(gòu)體系。1、網(wǎng)絡(luò)安全風險分析1.1、風險分析概述通常講計算機網(wǎng)絡(luò)系統(tǒng)所面臨威脅大致可分為兩種：一是對網(wǎng)絡(luò)中信息威脅；二是對網(wǎng)絡(luò)中設(shè)備威脅。人為惡意攻擊網(wǎng)絡(luò)系統(tǒng)資源，這是該系統(tǒng)所面臨最大威脅，非法用戶攻擊和計算機犯罪就屬于這一類。這類攻擊又能夠分為以下兩種：一個是被動攻擊，它是在不影響網(wǎng)絡(luò)正常工作情況下，進行截獲、竊取、破譯以取得關(guān)鍵機密信息、網(wǎng)絡(luò)拓撲結(jié)構(gòu)信息等；另一個是主動攻擊，它以多種方法有選擇地破壞信息有效性和完整性，和非法訪問網(wǎng)絡(luò)設(shè)備和主機系統(tǒng)甚至深入控制網(wǎng)絡(luò)和主機。這兩種攻擊均可對證券企業(yè)網(wǎng)絡(luò)系統(tǒng)造成極大危害，危害網(wǎng)絡(luò)正常運行，并造成敏感數(shù)據(jù)泄漏。被動攻擊通常在信息系統(tǒng)外部進行，即來自從公共網(wǎng)或搭線提議攻擊，它們對信息網(wǎng)絡(luò)本身通常不造成損壞，系統(tǒng)仍可正常運行，但有用信息可能被偷竊并被用于非法目標。被動攻擊關(guān)鍵包含信息竊取、密碼分析和信息流量和流向分析：信息竊?。簝?nèi)外攻擊者從傳輸信道、存放介質(zhì)等處竊取信息。如無線傳輸信號偵收、搭線竊聽、竊收數(shù)據(jù)文件等。密碼分析：對截獲已加密信息進行密碼破譯，從中獲取有價值信息。信息流量和流向分析：對網(wǎng)絡(luò)中信息流量和信息流向進行分析，然后得出有價值情報。主動攻擊直接進入信息系統(tǒng)內(nèi)部，對證券企業(yè)網(wǎng)絡(luò)系統(tǒng)來說，安全系統(tǒng)最大隱患來自中國外機構(gòu)組織、人員，和其它不法份子攻擊，這些攻擊可能造成無法預(yù)料損失。同時，來自內(nèi)部人員有意或無意攻擊，也是必需考慮和預(yù)防原因。可能主動攻擊手段關(guān)鍵包含：入侵：經(jīng)過系統(tǒng)或網(wǎng)絡(luò)漏洞、搭線、遠程訪問、盜取口令、借系統(tǒng)管理之便等方法進入系統(tǒng)，非法查閱文件資料、更改數(shù)據(jù)、拷貝數(shù)據(jù)、甚至破壞系統(tǒng)、使系統(tǒng)癱瘓等。如系統(tǒng)管理員、內(nèi)部操作員全部較輕易進入系統(tǒng)進行攻擊，熟悉計算機系統(tǒng)“黑客”也能輕易進入網(wǎng)絡(luò)提議攻擊。假冒：假冒正當用戶身份、實施和正當用戶一樣操作。篡改：篡改機要數(shù)據(jù)、文件、資料（增加、刪除、修改）。插入：在正常數(shù)據(jù)流中插入偽造信息或數(shù)據(jù)。重放：錄制正當、正常交互信息，然后在合適時機重放。阻塞：使用投放巨量垃圾電子郵件、無休止訪問資源或數(shù)據(jù)庫等手段造成網(wǎng)絡(luò)阻塞，影響正常運行。抵賴：實施某種行為后進行抵賴,如否認發(fā)送過或接收過文件。病毒：向系統(tǒng)注入病毒（能夠進行自我復(fù)制程序），運行后可能損壞文件、使系統(tǒng)癱瘓，造成多種難以預(yù)料后果。2、證券企業(yè)網(wǎng)絡(luò)風險分析2.1、安全風險證券網(wǎng)絡(luò)系統(tǒng)安全風險關(guān)鍵來自網(wǎng)絡(luò)設(shè)施物理特征安全、網(wǎng)絡(luò)系統(tǒng)平臺安全、網(wǎng)上交易安全、數(shù)據(jù)存放安全。2.1.1物理安全風險因為水災(zāi)、火災(zāi)、雷擊、粉塵、靜電等突發(fā)性事故和環(huán)境污染造成網(wǎng)絡(luò)設(shè)施工作停滯人為引發(fā)設(shè)備被盜、被毀或外界電磁干擾使通信線路中止電子、電力設(shè)備本身固有缺點和弱點及所處環(huán)境輕易在人員誤操作或外界誘發(fā)下發(fā)生故障2.1.2、系統(tǒng)安全風險系統(tǒng)風險在三個方面：網(wǎng)絡(luò)系統(tǒng)、操作系統(tǒng)和應(yīng)用系統(tǒng)。網(wǎng)絡(luò)系統(tǒng)在設(shè)計實施不夠完善，比如缺乏正確路由、網(wǎng)絡(luò)容量、帶寬估量不足、對證券系統(tǒng)局域網(wǎng)沒做劃分隔離和關(guān)鍵網(wǎng)絡(luò)設(shè)備沒有冗余設(shè)計，一旦發(fā)生故障，將直接影響網(wǎng)絡(luò)系統(tǒng)安全。網(wǎng)絡(luò)系統(tǒng)缺乏安全可靠網(wǎng)絡(luò)通信協(xié)議和網(wǎng)絡(luò)安全設(shè)備，使網(wǎng)絡(luò)黑客輕易利用網(wǎng)絡(luò)設(shè)計和協(xié)議漏洞進行網(wǎng)絡(luò)攻擊和信息竊取，比如未經(jīng)授權(quán)非法訪問證券系統(tǒng)內(nèi)部網(wǎng)絡(luò)、對電話網(wǎng)進行監(jiān)聽、對系統(tǒng)安全漏洞進行探測掃描、遠程登陸交易、行情服務(wù)器并對數(shù)據(jù)進行篡改、對通信線路、服務(wù)器實施洪流攻擊造成線路涌塞和系統(tǒng)癱瘓等。網(wǎng)絡(luò)操作系統(tǒng)，不管是windows\unix\netware多種商用操作系統(tǒng)，其國外開發(fā)商全部留有后門（backdoor），現(xiàn)在每種操作系統(tǒng)全部發(fā)覺有安全漏洞，一旦被人發(fā)覺利用將對整個證券網(wǎng)絡(luò)系統(tǒng)造成不可估量損失。OA應(yīng)用系統(tǒng)風險關(guān)鍵是包含不一樣地域、不一樣部門資源有限共享時被內(nèi)部人員不安全使用造成口令失竊、文電丟失泄密，和在和外界進行郵件往來時帶來病毒和黑客進入隱患。針對業(yè)務(wù)系統(tǒng)（包含業(yè)務(wù)管理系統(tǒng)、業(yè)務(wù)服務(wù)系統(tǒng)）威脅關(guān)鍵來自于內(nèi)、外界對業(yè)務(wù)系統(tǒng)非授權(quán)訪問、系統(tǒng)管理權(quán)限喪失（因為用戶名、口令、IC卡等身份標志泄漏）、使用不妥或外界攻擊引發(fā)系統(tǒng)瓦解、網(wǎng)絡(luò)病毒傳輸或其它原因造成系統(tǒng)損壞、系統(tǒng)開發(fā)遺留安全漏洞等。2.1.3、網(wǎng)上交易安全風險因特網(wǎng)是全球性公共網(wǎng)絡(luò)，并不由任何一個機構(gòu)所控制。數(shù)據(jù)在因特網(wǎng)上傳輸路徑是不完全確定。因特網(wǎng)本身并不是一個完全安全可靠網(wǎng)絡(luò)環(huán)境。在因特網(wǎng)上可能有些人采取相同名稱和外觀仿冒證券網(wǎng)站和服務(wù)器，用于騙取投資者數(shù)據(jù)資料。假如用于證實投資者身份數(shù)字證書和口令被竊取，她人有可能仿冒投資者身份進行交易委托和查詢。在網(wǎng)上傳輸指令、數(shù)據(jù)有可能被一些個人、團體或機構(gòu)經(jīng)過某種渠道截取、篡改、重發(fā)。但她們并不一定能夠了解該數(shù)據(jù)真實內(nèi)容。因為網(wǎng)絡(luò)交易非接觸性，交易雙方可能對交易結(jié)果進行抵賴。在網(wǎng)上數(shù)據(jù)傳輸可能因通信繁忙出現(xiàn)延遲，或因其它原因出現(xiàn)中止、停頓或數(shù)據(jù)錯誤，從而使得網(wǎng)上交易出現(xiàn)延遲、停頓或中止。網(wǎng)上公布證券交易行情信息可能滯后，和真實情況不完全一致。2.1.4、數(shù)據(jù)安全風險因內(nèi)、外原因造成數(shù)據(jù)庫系統(tǒng)管理失控或破壞使用戶個人資料和業(yè)務(wù)數(shù)據(jù)遭到偷竊、復(fù)制、泄密、丟失，而且無法得到恢復(fù)網(wǎng)絡(luò)病毒傳輸或其它原因造成存放數(shù)據(jù)丟失和損壞網(wǎng)站公布信息數(shù)據(jù)（包含分析、估計性資料）有可能被更改、刪除，給證券企業(yè)帶來損失。2.1.5、局域網(wǎng)上安全風險在局域網(wǎng)中，因為管理不妥，能夠造成物理性網(wǎng)絡(luò)安全問題。另外，假如不采取合理管理方法，經(jīng)過局域網(wǎng)和Internet連接后，會給不合乎國家法規(guī)網(wǎng)絡(luò)行為留下空當，也是網(wǎng)絡(luò)不安全首先。因為局域網(wǎng)中采取廣播方法,所以,在某個廣播域中若采取“嗅探”技術(shù)就能夠偵聽到全部傳輸信息包,攻擊者對信息包進行分析,那么本廣播域全部信息傳輸全部會暴露在攻擊者面前，也會對網(wǎng)絡(luò)造成安全問題。2.1.6、廣域網(wǎng)上安全風險因為廣域網(wǎng)通常采取公網(wǎng)傳輸數(shù)據(jù),所以在廣域網(wǎng)上進行傳輸時信息就可能受到多種多樣攻擊,包含偵聽竊密、非法修改、冒名頂替、惡意破壞等。任何一個有條件對通信進行監(jiān)測人全部能夠進行上述攻擊,這種形式攻擊相對比較輕易成功,且事后極難進行追查。2.1.7、系統(tǒng)平臺內(nèi)在安全風險因為網(wǎng)絡(luò)系統(tǒng)中大量采取不是專門為安全系統(tǒng)設(shè)計基礎(chǔ)軟件,這些軟件在開發(fā)、安裝時缺省配置往往更多照料方便性而忽略了安全性,如考慮不周很輕易留下安全漏洞,比如無意中將關(guān)鍵信息暴露在非授權(quán)用戶面前。需要強調(diào)指出是,管理方面問題，能夠經(jīng)過加強管理、提升認識來增加網(wǎng)絡(luò)安全意識，而其它方面安全威脅可實施性正伴隨網(wǎng)絡(luò)技術(shù)和偵聽工具隱蔽化和智能化而變得越來越輕易實現(xiàn)。如經(jīng)過互聯(lián)網(wǎng)能夠獲取大量相關(guān)系統(tǒng)內(nèi)在缺點最新資料;黑客組織變得越來越龐大而嚴密;協(xié)議分析工具隨地可見,以前購置一套功效強大協(xié)議分析設(shè)備需花費十幾萬乃至幾十萬,能掌握這些設(shè)備人員極為稀少,而現(xiàn)在實現(xiàn)這項功效越來越輕易，使用人員十分龐大,一旦得到適宜機會,后果不堪設(shè)想。2.1.8、來自病毒安全風險每一千臺聯(lián)網(wǎng)電腦中感染病毒電腦數(shù)量每一千臺聯(lián)網(wǎng)電腦中感染病毒電腦數(shù)量（Source:ICSA）6005004003002001000600500400300200100019961997199819991996199719981999網(wǎng)絡(luò)發(fā)展，促進信息大量進行交流，計算機病毒也伴隨信息交流廣泛，危害越來越嚴重,由單機逐步擴展到網(wǎng)絡(luò)，成為了威脅網(wǎng)絡(luò)安全關(guān)鍵一部分。網(wǎng)絡(luò)中任何一臺電腦受到了病毒感染，就有可能感染網(wǎng)絡(luò)中全部計算機。因為病毒造成數(shù)據(jù)丟失或損壞，系統(tǒng)癱瘓，一樣和黑客入侵造成損失一樣嚴重.3、提升網(wǎng)絡(luò)安全性技術(shù)手段處理網(wǎng)絡(luò)安全問題是一個系統(tǒng)、多層次問題,任何一個安全技術(shù)全部無法處理全部安全問題,只有綜合多個安全技術(shù),才有可能全方面提升整個系統(tǒng)安全性及安全等級。所以針對網(wǎng)絡(luò)安全隱患我們應(yīng)該采取對應(yīng)方法，提升網(wǎng)絡(luò)系統(tǒng)安全性。從網(wǎng)絡(luò)安全技術(shù)方面大致能夠分為四個層次:應(yīng)用層、socket層(ssl)、IP層、鏈路層。每種技術(shù)全部有其獨到之處?，F(xiàn)在多種網(wǎng)絡(luò)安全產(chǎn)品大多是基于這四個方面開發(fā)研制。不一樣產(chǎn)品從不一樣角度輕關(guān)鍵加以防護，我們能夠依據(jù)具體要求選擇對應(yīng)產(chǎn)品。4、安全策略傳統(tǒng)安全策略停留在局部、靜態(tài)層面上，僅僅依靠幾項安全技術(shù)和手段達成整個系統(tǒng)安全目標，現(xiàn)代安全策略應(yīng)該緊跟安全行業(yè)發(fā)展趨勢，在進行安全方案設(shè)計、計劃時，遵照以下標準：

（1）體系性：制訂完整安全體系，應(yīng)包含安全管理體系、安全技術(shù)體系和安全保障體系。

（2）系統(tǒng)性：安全模塊和設(shè)引入應(yīng)該表現(xiàn)其系統(tǒng)統(tǒng)一到運行和管理特征，以確保安全策略配置、實施正確性和一致性。應(yīng)該避免安全設(shè)備各自獨立配置和管理工作方法。

（3）層次性安全設(shè)計應(yīng)該按攝影關(guān)應(yīng)用安全需求，在各個層次上采取安全機制來實現(xiàn)所需安全服務(wù)，從而達成網(wǎng)絡(luò)信息安全目標。

（4）綜合性：網(wǎng)絡(luò)信息安全設(shè)計包含從完備性（并有一定冗余）、優(yōu)異性和可擴展性方面技術(shù)方案，和依據(jù)技術(shù)管理、業(yè)務(wù)管理和行政管理要求對應(yīng)安全管理方案，形成網(wǎng)絡(luò)安全工程設(shè)計整體方案，供工程分階段實施和安全系統(tǒng)運行作為指導(dǎo)。

（5）動態(tài)性：因為網(wǎng)絡(luò)信息系統(tǒng)建設(shè)和發(fā)展是逐步進行，而安全技術(shù)和產(chǎn)品也不停更新和完善，所以，安全設(shè)計應(yīng)該在保護現(xiàn)有資源基礎(chǔ)上，表現(xiàn)最新、最成熟安全技術(shù)和產(chǎn)品，以滿足網(wǎng)絡(luò)安全系統(tǒng)安全目標。4.1、安全體系結(jié)構(gòu)依據(jù)上述安全策略，整體安全體系中網(wǎng)絡(luò)安全工程必需實施：安全防護、檢測、響應(yīng)系統(tǒng)，安全體系結(jié)構(gòu)以下表。另外，依據(jù)實際安全需求，提議有選擇實施安全恢復(fù)系統(tǒng)。此次處理方案安全體系結(jié)構(gòu)參考中國證券機構(gòu)營業(yè)部信息系統(tǒng)技術(shù)管理規(guī)范來制訂，見下表：對象層次安全方法分類安全方法和技術(shù)操作管理安全安全防護安全操作規(guī)范安全操作控制系統(tǒng)安全檢測操作安全檢測操作安全審計安全響應(yīng)操作安全預(yù)警操作安全監(jiān)控應(yīng)用系統(tǒng)安全安全防護業(yè)務(wù)應(yīng)用安全等級劃分和訪問控制業(yè)務(wù)系統(tǒng)授權(quán)和訪問權(quán)限控制業(yè)務(wù)系統(tǒng)用戶身份認證密鑰和證書管理技術(shù)資料管理數(shù)據(jù)真實性、完整性數(shù)字署名病毒防殺安全檢測應(yīng)用系統(tǒng)安全檢測業(yè)務(wù)應(yīng)用安全審計病毒檢驗安全響應(yīng)安全預(yù)警安全監(jiān)控權(quán)限變更密鑰更新證書發(fā)放和撤消系統(tǒng)平臺安全防護病毒防殺安全檢測系統(tǒng)安全掃描和檢測安全審計病毒檢驗安全響應(yīng)安全預(yù)警安全監(jiān)控操作系統(tǒng)補丁網(wǎng)絡(luò)平臺安全防護網(wǎng)絡(luò)級身份認證和訪問控制（加密和防火墻）安全網(wǎng)絡(luò)結(jié)構(gòu)安全網(wǎng)絡(luò)管理和配置信息傳輸加密和網(wǎng)絡(luò)安全隔離虛網(wǎng)劃分安全檢測網(wǎng)絡(luò)安全掃描網(wǎng)絡(luò)入侵檢測安全審計安全響應(yīng)網(wǎng)絡(luò)安全監(jiān)控網(wǎng)絡(luò)安全預(yù)警物理安全防護防電磁輻射泄漏防雷防火主機硬件保安電源設(shè)備管理安全檢測電磁輻射檢測機房保安檢測系統(tǒng)環(huán)境建設(shè)檢驗管理檢驗安全響應(yīng)電磁干擾消防報警5、安全防范技術(shù)網(wǎng)絡(luò)隔離技術(shù)訪問控制技術(shù)加密技術(shù)判別技術(shù)數(shù)字署名技術(shù)入侵監(jiān)測技術(shù)信息審計技術(shù)安全評定技術(shù)病毒防治技術(shù)備份和恢復(fù)技術(shù)6、網(wǎng)絡(luò)整體處理方案6.1、安全體系根據(jù)安全策略要求及風險分析結(jié)果，證券網(wǎng)絡(luò)企業(yè)網(wǎng)絡(luò)安全方法應(yīng)依據(jù)證券網(wǎng)絡(luò)行業(yè)特點和符合證監(jiān)會證券經(jīng)營機構(gòu)信息系統(tǒng)安全指標體系，根據(jù)網(wǎng)絡(luò)安全整體構(gòu)想來建立，具體安全控制系統(tǒng)由以下幾方面組成：6.2、物理安全確保計算機信息系統(tǒng)多種設(shè)備物理安全是整個計算機信息系統(tǒng)安全前提。

物理安全是保護計算機網(wǎng)絡(luò)設(shè)備、設(shè)施和其它媒體免遭地震、水災(zāi)、火災(zāi)等環(huán)境事故和人為操作失誤或錯誤及多種計算機犯罪行為造成破壞過程。它關(guān)鍵包含三個方面：

環(huán)境安全：對系統(tǒng)所在環(huán)境安全保護，如區(qū)域保護和災(zāi)難保護；（參見國家標準GB50173－93《電子計算機機房設(shè)計規(guī)范》、國家標準GB2887－89《計算站場地技術(shù)條件》、GB9361－88《計算站場地安全要求》）。

設(shè)備安全：關(guān)鍵包含設(shè)備防盜、防毀、防電磁信息輻射泄漏、預(yù)防線路截獲、抗電磁干擾及電源保護等；

媒體安全：包含媒體數(shù)據(jù)安全及媒體本身安全。6.3、系統(tǒng)安全系統(tǒng)安全關(guān)鍵關(guān)注網(wǎng)絡(luò)系統(tǒng)、操作系統(tǒng)和應(yīng)用系統(tǒng)三個層次。

系統(tǒng)安全采取技術(shù)和手段有冗余技術(shù)、網(wǎng)絡(luò)隔離技術(shù)、訪問控制技術(shù)、身份判別技術(shù)、加密技術(shù)、監(jiān)控審計技術(shù)、安全評定技術(shù)等。6.3.1、網(wǎng)絡(luò)系統(tǒng)網(wǎng)絡(luò)系統(tǒng)安全是網(wǎng)絡(luò)開放性、無邊界性、自由性造成，安全處理關(guān)鍵是把被保護網(wǎng)絡(luò)從開放、無邊界、自由環(huán)境中獨立出來，使網(wǎng)絡(luò)成為可控制、管理內(nèi)部系統(tǒng)，因為網(wǎng)絡(luò)系統(tǒng)是應(yīng)用系統(tǒng)基礎(chǔ)，網(wǎng)絡(luò)安全成為首要問題，處理網(wǎng)絡(luò)安全關(guān)鍵方法有：網(wǎng)絡(luò)冗余處理網(wǎng)絡(luò)系統(tǒng)單點故障關(guān)鍵方法，對關(guān)鍵性網(wǎng)絡(luò)線路、設(shè)備我們通常采取雙備或多備份方法，網(wǎng)絡(luò)運行時雙方對運行狀態(tài)相互實時監(jiān)控并自動調(diào)整，當網(wǎng)絡(luò)一段或一點發(fā)生故障或網(wǎng)絡(luò)信息流量突變時能在有效時間內(nèi)進行切換分配，確保網(wǎng)絡(luò)正常運行。

系統(tǒng)隔離分為物理隔離和邏輯隔離，關(guān)鍵從網(wǎng)絡(luò)安全等級考慮劃分合理網(wǎng)絡(luò)安全邊界，使不一樣安全等級網(wǎng)絡(luò)或信息媒介不能相互訪問，從而達成安全目標。針對證券網(wǎng)絡(luò)系統(tǒng)特點通常把證券交易業(yè)務(wù)系統(tǒng)網(wǎng)絡(luò)和內(nèi)部辦公網(wǎng)絡(luò)進行嚴格物理隔離，存放媒介則依據(jù)關(guān)鍵程度嚴格區(qū)分并只能經(jīng)過第三方進行交換；對業(yè)務(wù)網(wǎng)絡(luò)或辦公網(wǎng)絡(luò)采取VLAN技術(shù)和通信協(xié)議實施邏輯隔離劃分不一樣應(yīng)用子網(wǎng)。

訪問控制對于網(wǎng)絡(luò)不一樣信任域?qū)崿F(xiàn)雙向控制或有限訪問標準，使受控子網(wǎng)或主機訪問權(quán)限和信息流向能得到有效控制。具體相對網(wǎng)絡(luò)對象而言需要處理網(wǎng)絡(luò)邊界控制和網(wǎng)絡(luò)內(nèi)部控制，對于網(wǎng)絡(luò)資源來說保持有限訪問標準，信息流向則可依據(jù)安全需求實現(xiàn)單向或雙向控制。訪問控制最關(guān)鍵設(shè)備就是防火墻，它通常安置在不一樣安全域出入口處，對進出網(wǎng)絡(luò)IP信息包進行過濾并按企業(yè)安全政策進行信息流控制，同時實現(xiàn)網(wǎng)絡(luò)地址轉(zhuǎn)換、實時信息審計告警等功效，高級防火墻還可實現(xiàn)基于用戶細粒度訪問控制。證券系統(tǒng)防火墻配置在證券企業(yè)交易系統(tǒng)和公網(wǎng)交界處（包含INTERNET、系統(tǒng)內(nèi)部廣域網(wǎng)、相關(guān)業(yè)務(wù)網(wǎng)絡(luò)）和企業(yè)關(guān)鍵子網(wǎng)出口。

身份判別是對網(wǎng)絡(luò)訪問者權(quán)限識別，通常經(jīng)過三種方法驗證主體身份，一是主體了解秘密，如用戶名、口令、密鑰；二是主體攜帶物品，如磁卡、IC卡、動態(tài)口令卡和令牌卡等；三是主體特征或能力，如指紋、聲音、視網(wǎng)膜、署名等，在證券網(wǎng)絡(luò)系統(tǒng)中，前兩種方法利用較多。加密為了預(yù)防網(wǎng)絡(luò)上竊聽、泄漏、篡改和破壞，確保信息傳輸安全，對網(wǎng)上數(shù)據(jù)使用加密手段是最為有效方法?，F(xiàn)在加密能夠在三個層次來實現(xiàn)，即鏈路層加密、網(wǎng)絡(luò)層加密和應(yīng)用層加密。鏈路加密側(cè)重通信鏈路而不考慮信源和信宿，她對網(wǎng)絡(luò)高層主體是透明。網(wǎng)絡(luò)層加密采取IPSEC關(guān)鍵協(xié)議，含有加密、認證雙重功效，是在IP層實現(xiàn)安全標準。經(jīng)過網(wǎng)絡(luò)加密能夠結(jié)構(gòu)企業(yè)內(nèi)部虛擬專網(wǎng)（VPN），使企業(yè)在較少投資下得到安全較大回報。

安全監(jiān)測采取信息偵聽方法尋求未授權(quán)網(wǎng)絡(luò)訪問嘗試和違規(guī)行為，包含網(wǎng)絡(luò)系統(tǒng)掃描、預(yù)警、阻斷、統(tǒng)計、跟蹤等，從而發(fā)覺系統(tǒng)遭受攻擊傷害。網(wǎng)絡(luò)掃描監(jiān)測系統(tǒng)作為對付電腦黑客最有效技術(shù)手段，含有實時、自適應(yīng)、主動識別和響應(yīng)等特征，廣泛用于各行各業(yè)。

網(wǎng)絡(luò)掃描針對網(wǎng)絡(luò)設(shè)備安全漏洞進行檢測和分析，包含網(wǎng)絡(luò)通信服務(wù)、路由器、防火墻、郵件、WEB服務(wù)器等，從而識別能被入侵者利用非法進入網(wǎng)絡(luò)漏洞。網(wǎng)絡(luò)掃描系統(tǒng)對檢測到漏洞信息形成具體匯報，包含位置、具體描述和提議改善方案，使網(wǎng)管能檢測和管理安全風險信息。6.3.2、操作系統(tǒng)操作系統(tǒng)是管理計算機資源關(guān)鍵系統(tǒng)負責信息發(fā)送、管理設(shè)備存放空間和多種系統(tǒng)資源調(diào)度，它作為應(yīng)用系統(tǒng)軟件平臺含有通用性和易用性，操作系統(tǒng)安全性直接關(guān)系到應(yīng)用系統(tǒng)安全，操作系統(tǒng)安全分為應(yīng)用安全和安全漏洞掃描。

應(yīng)用安全面向應(yīng)用選擇可靠操作系統(tǒng)并按正確操作步驟使用計算機系統(tǒng)，杜絕使用來歷不明軟件，安裝操作系統(tǒng)保護和恢復(fù)軟件并作對應(yīng)備份。

系統(tǒng)掃描基于主機安全評定系統(tǒng)是在嚴格基礎(chǔ)上對系統(tǒng)安全風險等級進行劃分，并提供完整安全漏洞檢驗列表，經(jīng)過不一樣版本操作系統(tǒng)進行掃描分析，對掃描漏洞自動修補形成匯報，保護應(yīng)用程序、數(shù)據(jù)免受盜用、破壞。6.3.3、應(yīng)用系統(tǒng)證券行業(yè)應(yīng)用系統(tǒng)大致分為辦公系統(tǒng)、業(yè)務(wù)管理系統(tǒng)、業(yè)務(wù)服務(wù)系統(tǒng)，證券應(yīng)用系統(tǒng)安全除采取通用安全手段外關(guān)鍵依據(jù)企業(yè)本身經(jīng)營及管理需求來開發(fā)。

辦公系統(tǒng)文件(郵件)安全存放：利用加密手段，配合對應(yīng)身份判別和密鑰保護機制（IC卡、PCMCIA安全PC卡等），使得存放于本機和網(wǎng)絡(luò)服務(wù)器上個人和單位關(guān)鍵文件處于安全存放狀態(tài)，使得她人即使經(jīng)過多種手段非法獲取相關(guān)文件或存放介質(zhì)（硬盤等），也無法取得相關(guān)文件內(nèi)容。

文件（郵件）安全傳送：對經(jīng)過網(wǎng)絡(luò)（遠程或近程）傳送給她人文件進行安全處理（加密、署名、完整性判別等），使得被傳送文件只有指定收件者經(jīng)過對應(yīng)安全判別機制（IC卡、PCMCIAPC卡）才能解密并閱讀，杜絕了文件在傳送或抵達對方存放過程中被截獲、篡改等，關(guān)鍵用于信息網(wǎng)中報表傳送、公文下發(fā)等。

業(yè)務(wù)系統(tǒng)關(guān)鍵面向業(yè)務(wù)管理和信息服務(wù)安全需求，比如在證券交易管理中采取集中統(tǒng)一監(jiān)管系統(tǒng)，對業(yè)務(wù)流實時進行監(jiān)控、統(tǒng)計、分析、查詢，預(yù)防違規(guī)操作，化解安全風險；對通用信息服務(wù)系統(tǒng)（電子郵件系統(tǒng)、WEB信息服務(wù)系統(tǒng)、FTP服務(wù)系統(tǒng)等）采取基于應(yīng)用開發(fā)安全軟件，如安全郵件系統(tǒng)、WEB頁面保護；對業(yè)務(wù)信息能夠配合管理系統(tǒng)采取對信息內(nèi)容審計稽查，預(yù)防外部非法信息侵入和內(nèi)部敏感信息泄漏。6.4、交易安全現(xiàn)在證券交易方法關(guān)鍵分為營業(yè)部柜臺交易、電話交易、網(wǎng)上交易，前兩種交易方法安全系數(shù)較高，而網(wǎng)上交易關(guān)鍵經(jīng)過公網(wǎng)完成交易全過程，因為公網(wǎng)開放性和復(fù)雜性，使網(wǎng)上交易風險大大高于前者。幾乎全部參與網(wǎng)上證券交易證券企業(yè)采取是TCP/IP標準協(xié)議，應(yīng)用系統(tǒng)全部是基于C/S或B/S（瀏覽器/服務(wù)器）結(jié)構(gòu)，因為交易發(fā)生在兩地，雙方缺乏可靠安全機制確保各自利益，針對網(wǎng)上證券交易風險和特點，保障交易安全通常采取授權(quán)、身份判別、信息加密、完整性校驗、信息審計、防重發(fā)、防抵賴等安全機制，具體實現(xiàn)關(guān)鍵依靠基于PKI（公開密鑰密碼設(shè)施）體系現(xiàn)代密碼技術(shù)及在此基礎(chǔ)上開發(fā)應(yīng)用電子商務(wù)認證加密系統(tǒng)（CA）。

交易安全標準現(xiàn)在在電子商務(wù)中關(guān)鍵安全標準有兩種：應(yīng)用層SET（安全電子交易）和會話層SSL（安全套層）協(xié)議。前者由信用卡機構(gòu)VISA及MasterCard提出針對電子錢包/商場/認證中心安全標準，關(guān)鍵用于銀行等金融機構(gòu)；后者由NETSCAPE企業(yè)提出針對數(shù)據(jù)機密性/完整性/身份確定/開放性安全協(xié)議，實際上已成為WWW應(yīng)用安全標準，也是證券網(wǎng)上交易標準安全協(xié)議。

交易安全基礎(chǔ)體系交易安全基礎(chǔ)在于現(xiàn)代密碼技術(shù)，依靠于加密方法和強度。加密分為單密鑰對稱加密體系和雙密鑰非對稱加密體系。二者各有所長，對稱密鑰含有加密效率高，但存在密鑰分發(fā)困難、管理不便弱點；非對稱密鑰加密速度慢，但便于密鑰分發(fā)管理。在證券交易中通常把二者結(jié)合使用，達成高效安全目標。；

交易安全實現(xiàn)完成證券交易需處理安全問題關(guān)鍵有交易雙方身份確定、交易指令及數(shù)據(jù)加密傳輸、數(shù)據(jù)完整性、預(yù)防雙方對交易結(jié)果抵賴。具體路徑為建立自己CA認證中心或采取權(quán)威CA中心，經(jīng)過頒發(fā)對應(yīng)數(shù)字證書給和交易各方相關(guān)身份證實，同時在SSL協(xié)議體系下完成交易過程中電子證書驗證、數(shù)字署名、指令數(shù)據(jù)加密傳輸、交易結(jié)果確定審計等。6.5、CA認證在電子商務(wù)系統(tǒng)，全部參與活動實體全部必需用證書來表明自己身份，數(shù)字證書就是網(wǎng)絡(luò)通訊中標志通訊各方身份信息一系列數(shù)據(jù)，它提供了一個在Internet上驗證您身份方法，其作用類似于司機駕駛執(zhí)照或日常生活中身份證.它是由一個由權(quán)威機構(gòu)-----CA機構(gòu)，又稱為證書授權(quán)(CertificateAuthority)中心發(fā)行，大家能夠在交往中用它來識別對方身份,首先能夠用來向系統(tǒng)中其它實體證實自己身份，其次每份證書全部攜帶著證書持有者公鑰，證書也能夠向接收者證實某人或某個機構(gòu)對公開密鑰擁有，同時也起著公鑰分發(fā)作用。數(shù)字證書是一個經(jīng)證書授權(quán)中心數(shù)字署名包含公開密鑰擁有者信息和公開密鑰文件。最簡單證書包含一個公開密鑰、名稱和證書授權(quán)中心數(shù)字署名。通常情況下證書中還包括密鑰有效時間，發(fā)證機關(guān)(證書授權(quán)中心)名稱，該證書序列號等信息，證書格式遵循ITUTX.509國際標準CA機構(gòu)數(shù)字署名使得攻擊者不能偽造和篡改證書。證書格式遵照X.509標準證書申請者進行資格審查，并決定是否同意給該申請者發(fā)放證書，并負擔因?qū)徍隋e誤引發(fā)、為不滿足資格證書申請者發(fā)放證書所引發(fā)一切后果，所以它應(yīng)由能夠負擔這些責任機構(gòu)擔任；另一個是證書操作部門（簡稱CP，CertificateProcessor），負責為已授權(quán)申請者制作、發(fā)放和管理證書，并負擔因操作運行錯誤所產(chǎn)生一切后果，包含失密和為沒有取得授權(quán)者發(fā)放證書等，它能夠由審核授權(quán)部門自己擔任，也可委托給第三方擔任。6.5.1、CA認證機構(gòu)面臨威脅CA所提供服務(wù)是經(jīng)過Internet實施，面臨來自Internet攻擊威脅。同時，因為其業(yè)務(wù)特殊性和關(guān)鍵性，還面臨來自內(nèi)部攻擊威脅。攻擊者目標是多方面，其中以竊取CA關(guān)鍵機密（如密鑰對）是最嚴重威脅。1>系統(tǒng)穿透系統(tǒng)穿透系指攻擊者經(jīng)過一定手段對認證性（真實性Authenticity）進行攻擊，假冒正當用戶接入系統(tǒng)，從而達成篡改系統(tǒng)文件、竊取系統(tǒng)機密信息、非法使用系統(tǒng)資源等目標。攻擊者通常采取偽裝或利用系統(tǒng)微弱步驟（如繞過檢測控制）、搜集情報（如口令）等方法實現(xiàn)。在CA系統(tǒng)中，口令登錄大全部被電子令牌或數(shù)字證書登錄替換，所以系統(tǒng)穿透風險較小。2>違反授權(quán)規(guī)則違反授權(quán)標準系指攻擊者盜用一個正當用戶賬號，經(jīng)授權(quán)進入系統(tǒng)后，在系統(tǒng)中進行未經(jīng)授權(quán)操作。一個攻擊者能夠經(jīng)過猜測口令等手段取得一個一般用戶賬號，以正當身份接入系統(tǒng)，進而可查找系統(tǒng)微弱步驟，最終取得系統(tǒng)最高控制權(quán)，從而嚴重危及系統(tǒng)安全。這種攻擊關(guān)鍵發(fā)生在CA管理人員內(nèi)部，需要關(guān)鍵防范，嚴格控制不一樣管理員權(quán)限。3>植入病毒在系統(tǒng)穿透或違反授權(quán)攻擊成功后，攻擊者通常要在系統(tǒng)中植入一個能力，為以后攻擊提供方便條件。如向系統(tǒng)中注入病毒、蛀蟲、特洛伊木馬、限門、邏輯炸彈等來破壞系統(tǒng)正常工作。從Internet下載軟件和使用盜版軟件是病毒關(guān)鍵起源，所以應(yīng)預(yù)防管理員使用CA系統(tǒng)中工作站下載軟件和使用來歷不明軟件。4〉通信監(jiān)視通信監(jiān)視是一個在通信過程中從信道進行搭線竊聽攻擊方法。攻擊者經(jīng)過搭線和電磁泄漏等手段截取通信信息，對信息、業(yè)務(wù)流量等數(shù)據(jù)進行分析，獲取有用情報，取得機密信息。CA認證中心敏感信息在傳輸中，全部是經(jīng)過加密處理，但在機房數(shù)據(jù)處理中，數(shù)據(jù)會以明文形式出現(xiàn)，所以CA機房是反通信監(jiān)視關(guān)鍵部位。5〉中止中止系指對可用性進行攻擊，破壞系統(tǒng)中硬件、硬盤、線路、文件系統(tǒng)等，使系統(tǒng)癱瘓，不能正常工作，破壞信息和網(wǎng)絡(luò)資源。這類攻擊通常采取暴力手段，破壞通信設(shè)施，甚至使用高能量電磁脈沖發(fā)射設(shè)備摧毀系統(tǒng)電子元器件。6〉拒絕服務(wù)拒絕服務(wù)攻擊手段能夠阻塞被攻擊目標正當接入信息、業(yè)務(wù)或其它資源，致使其正常服務(wù)中止。比如，一個業(yè)務(wù)出口被精心地策劃進行濫用而使其它用戶不能正常接入，又如Internet一個地址被大量垃圾信息阻塞等。7>竊取或破解密鑰一個攻擊者假如竊取或破解了認證中心私人密鑰，就能夠偽造數(shù)字證書，進行詐騙活動。8>管理漏洞CA系統(tǒng)安全性除了技術(shù)方面原因外，管理也是一個很關(guān)鍵原因。管理方面存在漏洞往往蘊藏著極大風險和隱患。比如，CA署名私鑰只由一個工作人員管理和控制，當這名工作人員受到賄賂以后，就極有可能簽發(fā)內(nèi)容不實數(shù)字證書。假如機密數(shù)據(jù)僅由一個工作人員管理和控制，那么這個人就有可能竊取和出賣這些資料，牟取非法利益，或有意損毀。所以，CA認證中心在管理上必需制訂嚴密策略。9>數(shù)據(jù)損壞CA認證中心數(shù)據(jù)庫存放了大量數(shù)字證書、用戶注冊資料等數(shù)據(jù)，當發(fā)生電子商務(wù)方面糾紛時，這些數(shù)據(jù)將作為關(guān)鍵舉證依據(jù)。假如這些數(shù)據(jù)損壞，其后果相當嚴重。6.5.2、CA認證安全防范機制1、機房安全CA機房是整個認證系統(tǒng)系統(tǒng)控制關(guān)鍵，必需設(shè)置獨立專用機房。CA中心機房，應(yīng)配置優(yōu)異門禁管理系統(tǒng)，預(yù)防非授權(quán)人員無意或有意進入。對于敏感崗位操作，必需進行身份識別和采取多人控制方法。2、訪問控制CA機房必需受到嚴格、高等級安全保護，最少應(yīng)該設(shè)置3層安全控制保護層，將機房分為不一樣安全區(qū)域。進入數(shù)據(jù)中心和管理控制臺任何人員必需經(jīng)過3層安全控制保護層核準。3、實時監(jiān)控為預(yù)防非法入侵和暴力破壞，CA機房應(yīng)設(shè)置智能化門禁系統(tǒng)，配置實時監(jiān)控系統(tǒng)和安全時鐘，統(tǒng)計開/關(guān)門、每次授權(quán)進出活動。4、全方面設(shè)防CA機房必需能夠屏蔽電磁波，預(yù)防信息經(jīng)由電磁輻射而引發(fā)秘密泄露。機房電力和空調(diào)系統(tǒng)應(yīng)采取主、備兩個系統(tǒng)，當主系統(tǒng)發(fā)生故障時，能夠自動開啟備用系統(tǒng)。機房應(yīng)該配置自動氣體消防系統(tǒng)，能夠在火災(zāi)發(fā)生之初進行預(yù)警檢測和自動滅火。5、CA中心密鑰安全數(shù)字證書安全性和可靠性關(guān)鍵依靠CA認證中心數(shù)字署名來確保，而CA數(shù)字署名是使用本身私有密鑰運算產(chǎn)生。所以，CA中心密鑰安全很關(guān)鍵，一旦密鑰泄露，將引發(fā)整個信任體制瓦解。為此，對于CA中心密鑰安全方法，通常需要注意以下多個方面標準：☆選擇模長較長密鑰認證中心公共密鑰會受到多個攻擊，基于Internet“聯(lián)機運算”就是一個。這種攻擊利用上千臺計算機，采取“窮舉”方法進行計算。密鑰長度越長，密碼空間就越大（對于模長為n位密碼，其有效密碼空間為2n），采取“窮舉”方法攻擊代價就越大。所以，CA中心必需使用很長密鑰。從現(xiàn)在計算機運算速度來看，采取1024位密鑰是安全。CA根節(jié)點密鑰長度最少應(yīng)該達成1024位，最好能做到2048位，但現(xiàn)在很多應(yīng)用軟件還不支持2048位加解密運算。6.6、數(shù)據(jù)安全數(shù)據(jù)安全牽涉到數(shù)據(jù)庫安全和數(shù)據(jù)本身安全，針對二者應(yīng)有對應(yīng)安全方法。

數(shù)據(jù)庫安全證券企業(yè)數(shù)據(jù)庫通常采取含有一定安全等級SYBASE或ORACLE大型分布式數(shù)據(jù)庫，鑒于數(shù)據(jù)庫關(guān)鍵性，還應(yīng)在此基礎(chǔ)上開發(fā)部分安全方法，增加對應(yīng)控件，對數(shù)據(jù)庫分級管理并提供可靠故障恢復(fù)機制，實現(xiàn)數(shù)據(jù)庫訪問、存取、加密控制。具體實現(xiàn)方法有安全數(shù)據(jù)庫系統(tǒng)、數(shù)據(jù)庫保密系統(tǒng)、數(shù)據(jù)庫掃描系統(tǒng)等。

數(shù)據(jù)安全指存放在數(shù)據(jù)庫數(shù)據(jù)本身安全，對應(yīng)保護方法有安裝反病毒軟件，建立可靠數(shù)據(jù)備份和恢復(fù)系統(tǒng)如行情備份系統(tǒng)，對股民個人資料和交易數(shù)據(jù)按安全等級劃分存放，一些關(guān)鍵數(shù)據(jù)甚至能夠采取加密保護。6.7、安全管理面對網(wǎng)絡(luò)安全脆弱性，除了利用優(yōu)異網(wǎng)絡(luò)安全技術(shù)和安全系統(tǒng)外，完善網(wǎng)絡(luò)安全管理將是信息系統(tǒng)建設(shè)關(guān)鍵組成部分，很多不安全原因恰恰反應(yīng)在組織資源管理上，安全管理應(yīng)該貫穿在安全各個層次上。安全管理三標準：

·多人負責標準

每一項和安全相關(guān)活動，全部必需有兩人或多人在場。這些人應(yīng)是系統(tǒng)主管領(lǐng)導(dǎo)指派，她們忠誠可靠，能勝任此項工作；她們應(yīng)該簽署工作情況統(tǒng)計以證實安全工作已得到保障。

·任期有限標準

通常地講，任何人最好不要長久擔任和安全相關(guān)職務(wù)，以免使她認為這個職務(wù)是專有或永久性。為遵照任期有限標準，工作人員應(yīng)不定時地循環(huán)任職，強制實施休假制度，并要求對工作人員進行輪番培訓(xùn)，以使任期有限制度切實可行。

·職責分離標準

在信息處理系統(tǒng)工作人員不要探詢、了解或參與職責以外任何和安全相關(guān)事情，除非系統(tǒng)主管領(lǐng)導(dǎo)同意。信息系統(tǒng)安全管理實現(xiàn)

·安全制度管理依據(jù)證監(jiān)會《證券經(jīng)營機構(gòu)營業(yè)部信息系統(tǒng)管理規(guī)范》、《網(wǎng)上證券委托暫行管理措施》等相關(guān)法規(guī)要求，建立本行業(yè)管理制度，包含機房管理、網(wǎng)絡(luò)管理、數(shù)據(jù)管理、設(shè)備管理、應(yīng)急處理、人員管理、技術(shù)資料管理等相關(guān)信息系統(tǒng)建設(shè)規(guī)范。

·安全目標管理

1.根據(jù)技術(shù)管理目標，展開對最新網(wǎng)絡(luò)安全技術(shù)跟蹤研究，并就證券行業(yè)信息系統(tǒng)安全技術(shù)進行交流、探討，從而提出本企業(yè)網(wǎng)絡(luò)安全技術(shù)和管理策略。

2.根據(jù)資源管理目標，對證券行業(yè)網(wǎng)絡(luò)系統(tǒng)物理資源、網(wǎng)絡(luò)資源、信息資源實現(xiàn)統(tǒng)一資源分配設(shè)置，依據(jù)資源關(guān)鍵程度確定安全等級，從而確立安全管理范圍。

3.根據(jù)用戶管理目標，依據(jù)統(tǒng)一標準劃分用戶角色，對不一樣用戶在交易中風險高低及可能帶來損失采取安全防范方法，比如對常常進行網(wǎng)上交易關(guān)鍵用戶或大用戶設(shè)置虛擬大用戶室，由證券企業(yè)給和必需技術(shù)支援和培訓(xùn)。6.8、安全服務(wù)建立網(wǎng)絡(luò)安全保障體系不能僅僅依靠現(xiàn)有安全機制和設(shè)備，更關(guān)鍵是提供全方位安全服務(wù)。網(wǎng)絡(luò)安全不是多個安全產(chǎn)品集合，它作為一項系統(tǒng)工程已經(jīng)形成了自己專業(yè)體系，沒有優(yōu)異科學知識結(jié)構(gòu)極難對此進行全方面細致把握；網(wǎng)絡(luò)安全系統(tǒng)存在固有弱點，即使最微小安全漏洞全部可能引發(fā)整個網(wǎng)絡(luò)系統(tǒng)瓦解；同時網(wǎng)絡(luò)安全處于信息產(chǎn)業(yè)飛速發(fā)展大環(huán)境下，現(xiàn)有系統(tǒng)安全只是臨時、靜態(tài)，全部這些問題全部必需經(jīng)過連續(xù)全方面安全服務(wù)來處理。完善安全服務(wù)應(yīng)包含全方位安全咨詢，整體系統(tǒng)安全策劃、設(shè)計，優(yōu)質(zhì)工程實施、細致立即售后服務(wù)和技術(shù)培訓(xùn)。除此之外，定時網(wǎng)絡(luò)安全風險評定，幫助用戶制訂尤其事件應(yīng)急響應(yīng)方案擴充了安全服務(wù)內(nèi)涵。6.9、安全目標經(jīng)過計劃建立證券系統(tǒng)安全體系，綜合利用多種安全技術(shù)和手段，我們要達成安全目標為：

靜態(tài)安全目標包含整個證券信息系統(tǒng)物理環(huán)境、系統(tǒng)硬、軟件結(jié)構(gòu)和可用信息資源，確保證券交易系統(tǒng)實體平臺安全。

動態(tài)安全目標提升證券信息系統(tǒng)安全軟環(huán)境，包含安全管理、安全服務(wù)、安全思想意識和人員安全專業(yè)素質(zhì)。7、網(wǎng)絡(luò)系統(tǒng)安全總體方案設(shè)計7.1、網(wǎng)絡(luò)安全步驟設(shè)計網(wǎng)絡(luò)安全步驟圖事故結(jié)束事故發(fā)生網(wǎng)絡(luò)安全步驟圖事故結(jié)束事故發(fā)生事后階段事故階段預(yù)防階段文件恢復(fù)文件備份 事后階段事故階段預(yù)防階段文件恢復(fù)文件備份日志審計、追查責任自動恢復(fù)立即發(fā)覺及報警定時對網(wǎng)絡(luò)檢驗日志審計、追查責任自動恢復(fù)立即發(fā)覺及報警定時對網(wǎng)絡(luò)檢驗 監(jiān)測監(jiān)控系統(tǒng)&恢復(fù)系統(tǒng)備份系統(tǒng)防火墻安全檢驗監(jiān)測監(jiān)控系統(tǒng)&恢復(fù)系統(tǒng)備份系統(tǒng)防火墻安全檢驗系統(tǒng)備份系統(tǒng)病毒防護系統(tǒng)病毒防護系統(tǒng)構(gòu)件一個網(wǎng)絡(luò)安全方案必需依據(jù)網(wǎng)絡(luò)綜合性、均衡性、折衷性、動態(tài)性認真考慮。依據(jù)證券企業(yè)網(wǎng)絡(luò)具體情況和要求，我們提議從以下幾點考慮。預(yù)防方法防護方法補救方法7.1.1、預(yù)防方法一個安全網(wǎng)絡(luò)首先做好預(yù)防方法，做好預(yù)防工作是提升網(wǎng)絡(luò)安全，降低網(wǎng)絡(luò)事故，確保網(wǎng)絡(luò)通暢，降低數(shù)據(jù)丟失前提。預(yù)防方面我們提議采取多個方法：采取網(wǎng)絡(luò)安全檢驗系統(tǒng)采取備份系統(tǒng)網(wǎng)絡(luò)安全檢驗原理模擬用戶輸入檢驗?zāi)繕擞脩糨斎霗z驗?zāi)繕四繕怂阉饕婺繕怂阉饕骊P(guān)鍵檢驗?zāi)K庫安全漏洞檢驗引擎關(guān)鍵檢驗?zāi)K庫安全漏洞檢驗引擎瀏覽器報表生成模塊瀏覽器報表生成模塊采取掃描系統(tǒng)，我們能夠?qū)ξ覀兙W(wǎng)絡(luò)安全性能有個了解。為了預(yù)防黑客攻擊，我們能夠事先采取黑客攻擊手段，對網(wǎng)絡(luò)進行預(yù)防性攻擊，以不破壞系統(tǒng)為目標，預(yù)先發(fā)覺漏洞，進行防范、更正，以提升網(wǎng)絡(luò)安全性。文件備份數(shù)據(jù)庫保護正以迅猛速度發(fā)展成為當今企業(yè)最關(guān)鍵組成原因之一，對于諸如MicrosoftExchangeServer和MicrosoftSQLServer之類關(guān)鍵數(shù)據(jù)庫來說更是如此。數(shù)據(jù)(下至個人郵箱及表格中數(shù)據(jù))必需保持高可用性，且不應(yīng)對整個企業(yè)造成影響。7.1.2、防護方法路由器防火墻用戶用戶路由器防火墻用戶用戶主機傳感器用戶內(nèi)部網(wǎng)公網(wǎng)主機傳感器用戶內(nèi)部網(wǎng)公網(wǎng)網(wǎng)絡(luò)傳感器網(wǎng)絡(luò)傳感器安全監(jiān)控中心網(wǎng)絡(luò)傳感器安全監(jiān)控中心網(wǎng)絡(luò)傳感器在防護方法中，我們采取了防火墻+監(jiān)測監(jiān)控來實現(xiàn)我們目標。因為我們已經(jīng)進行過掃描，降低了防火墻漏洞，當網(wǎng)絡(luò)遭到攻擊時，已經(jīng)有防火墻對網(wǎng)絡(luò)防護，將攻擊抵擋在外面，確保了網(wǎng)絡(luò)安全。同時我們還能夠經(jīng)過對網(wǎng)絡(luò)監(jiān)測監(jiān)控來實現(xiàn)對網(wǎng)絡(luò)安全補充。監(jiān)測監(jiān)控系統(tǒng)能夠達成兩個方面作用，首先監(jiān)測監(jiān)控系統(tǒng)能夠在指定時間內(nèi)統(tǒng)計全部連接信息，任何非法連接信息全部將留下證據(jù)，而且出現(xiàn)指定非法網(wǎng)絡(luò)連接時，系統(tǒng)將進行報警或掛斷連接操作，為管理網(wǎng)絡(luò)安全，確保網(wǎng)絡(luò)上信息符合國家法規(guī)提供了保障，這一點是防火墻無法實現(xiàn)，也是政府網(wǎng)絡(luò)所必需要求，從內(nèi)網(wǎng)方面補充了網(wǎng)絡(luò)安全另一面。其次，監(jiān)測監(jiān)控系統(tǒng)也是對防火墻補充，我們能夠依據(jù)具體情況定義有入侵特征數(shù)據(jù)包，當檢測到有入侵行為可能時進行報警，是我們依據(jù)具體情況，采取對應(yīng)方法，提升了網(wǎng)絡(luò)抗攻擊性。7.1.3、補救方法網(wǎng)絡(luò)安全是相正確，不是絕正確。在我們安全防范方法無法保護我們網(wǎng)絡(luò)時，我們能做就是快速恢復(fù)網(wǎng)頁，恢復(fù)數(shù)據(jù)，降低損失。在這里我們能夠使用恢復(fù)系統(tǒng)，對被破壞網(wǎng)絡(luò)部分進行恢復(fù)，而且經(jīng)過預(yù)防方法中數(shù)據(jù)備份作用，我們能夠有效確保數(shù)據(jù)恢復(fù)可能性和快速性。在這里,我們還要尤其指出貫穿于整個安全實施過程關(guān)鍵步驟—防病毒體系做好網(wǎng)絡(luò)防病毒工作是提升系統(tǒng)安全性一個關(guān)鍵方面，但完美系統(tǒng)是不存在．多數(shù)時間用于系統(tǒng)病毒檢驗以提升一定系統(tǒng)安全性，將使系統(tǒng)失去了可用性和實用性；其次，信息保密要求讓人在泄密和抓住病毒之間無法選擇。這么，病毒和反病毒將成為一個長久技術(shù)對抗．病毒關(guān)鍵由反病毒軟件來對付，而且反病毒技術(shù)將成為一個長久科研做下去．現(xiàn)在，假如需要對整個網(wǎng)絡(luò)進行規(guī)范化網(wǎng)絡(luò)病毒防范，我們就必需了解最新技術(shù)，結(jié)合網(wǎng)絡(luò)病毒入口點分析，很好地將這些技術(shù)應(yīng)用到自己網(wǎng)絡(luò)中去，形成一個協(xié)同作戰(zhàn)、統(tǒng)一管理局面，實現(xiàn)鞏固網(wǎng)絡(luò)安全。7.2、網(wǎng)絡(luò)安全總體拓撲結(jié)構(gòu)示意圖7.3、網(wǎng)絡(luò)安全處理方案證券企業(yè)網(wǎng)絡(luò)安全設(shè)備采取以下產(chǎn)品安全檢驗系統(tǒng)監(jiān)測監(jiān)控系統(tǒng)備份系統(tǒng)防病毒系統(tǒng)防火墻系統(tǒng)VPN系統(tǒng)7.3.1、安全檢驗系統(tǒng)（漏洞掃描系統(tǒng)）依據(jù)需求分析結(jié)果，提議選擇掃描系統(tǒng)應(yīng)綜合基于主機和基于網(wǎng)絡(luò)安全檢測技術(shù)：能尋求網(wǎng)絡(luò)安全漏洞、評定并提出修改提議，模擬黑客攻擊方法，檢測網(wǎng)絡(luò)協(xié)議、網(wǎng)絡(luò)服務(wù)、網(wǎng)絡(luò)設(shè)備等方面漏洞；能夠檢驗操作系統(tǒng)本身固有安全漏洞和系統(tǒng)文件不安全配置，并指示用戶怎樣修補漏洞以使操作系統(tǒng)安全風險降到最??；經(jīng)過上述兩種掃描工具綜合利用，能夠檢驗包含WEB、FTP、郵件系統(tǒng)、DNS等網(wǎng)絡(luò)基礎(chǔ)服務(wù)和業(yè)務(wù)系統(tǒng)、辦公自動化系統(tǒng)、電子商務(wù)系統(tǒng)等應(yīng)用程序本身安全漏洞和因為配置不妥造成安全漏洞，確保用戶在網(wǎng)絡(luò)上應(yīng)用系統(tǒng)安全。本方案所選擇掃描系統(tǒng)含有以下技術(shù)特點：◆含有強大掃描分析能力。網(wǎng)絡(luò)安全掃描系統(tǒng)針對網(wǎng)絡(luò)系統(tǒng)中存在主要弱點和漏洞，能全方位，多側(cè)面地對網(wǎng)絡(luò)安全隱患進行掃描分析，基礎(chǔ)上覆蓋了現(xiàn)在網(wǎng)絡(luò)系統(tǒng)存在關(guān)鍵弱點和漏洞，含有強大掃描分析能力?！艉邪踩呗宰远x能力。網(wǎng)絡(luò)安全掃描系統(tǒng)提供安全策略配置功效，用戶可依據(jù)不一樣安全需求，選擇或自定義不一樣掃描策略，對對應(yīng)網(wǎng)絡(luò)設(shè)施進行掃描分析?！裘嫦蚨嗖僮飨到y(tǒng)，多個網(wǎng)絡(luò)設(shè)備，含有較強適用性◆網(wǎng)絡(luò)安全掃描系統(tǒng)檢測對象覆蓋在用主流操作系統(tǒng)：SunSolaris，IBMAix，DigitalUNIX，SGIIRIX，Linux，WindowsNT等系統(tǒng)。它適適用于TCP/IP網(wǎng)絡(luò)和Internet/Intranet環(huán)境；適適用于WWW服務(wù)器、防火墻、網(wǎng)絡(luò)主機和其它TCP/IP相關(guān)設(shè)備?！艉羞h程和當?shù)貎煞N工作模式◆網(wǎng)絡(luò)安全掃描系統(tǒng)能夠?qū)赥CP/IP網(wǎng)絡(luò)主機實施掃描分析，含有跨網(wǎng)關(guān)操作能力，可經(jīng)過專線或撥號方法接入任何基于TCP/IP網(wǎng)絡(luò)系統(tǒng)，支持當?shù)鼗蜻h程兩種工作模式?！粽_全方面匯報網(wǎng)絡(luò)存在弱點和漏洞。網(wǎng)絡(luò)安全性分析系統(tǒng)能夠正確具體地匯報網(wǎng)絡(luò)系統(tǒng)目前存在弱點和漏洞。弱點和漏洞可能是系統(tǒng)不完善或BUG，也可能是因為系統(tǒng)配置不妥而帶來?！魠R報掃描對象相關(guān)信息和對外提供服務(wù)◆網(wǎng)絡(luò)安全掃描系統(tǒng)能具體匯報掃描對象系統(tǒng)信息，如操作系統(tǒng)版本信息等。網(wǎng)絡(luò)安全性分析系統(tǒng)還能匯報目前掃描對象對外提供服務(wù)信息，這有利于管理人員立即正確地了解自己系統(tǒng)對外提供端口服務(wù)，并立即關(guān)閉對外提供無須要端口服務(wù)?！裟軌蛱嶙h補救方法和安全策略◆網(wǎng)絡(luò)安全掃描系統(tǒng)不僅能發(fā)覺系統(tǒng)中存在弱點和漏洞，而且能向用戶提供修補這些弱點和漏洞提議和可選擇方法、能就用戶系統(tǒng)安全策略制訂提供提議，最大程度地幫助用戶實現(xiàn)信息系統(tǒng)安全。◆含有生成份析匯報能力◆網(wǎng)絡(luò)安全掃描系統(tǒng)在掃描分析目標網(wǎng)絡(luò)后，能夠給用戶提供一份完整安全性分析匯報。匯報將系統(tǒng)地對目標網(wǎng)絡(luò)系統(tǒng)安全性進行具體描述，為用戶確保網(wǎng)絡(luò)安全提供依據(jù)?！艉休^強自我防護能力推薦配置方案生產(chǎn)廠家：XX軟科集團產(chǎn)品名稱：網(wǎng)絡(luò)安全檢驗系統(tǒng)HBNSSXX軟科網(wǎng)絡(luò)安全檢驗系統(tǒng)ZYNSS作為一個全自動安全風險評定工具，側(cè)重于“事前階段”。它模擬黑客進攻手段和技術(shù)，對被檢系統(tǒng)進行黑客攻擊式安全漏洞和安全隱患掃描，并提交風險評定匯報，其中提供了對應(yīng)整改方法。預(yù)防性安全檢驗最大程度地暴露了現(xiàn)存網(wǎng)絡(luò)系統(tǒng)中存在安全隱患，配合行之有效整改方法，能夠?qū)⒕W(wǎng)絡(luò)系統(tǒng)運行風險降至最低。NSS關(guān)鍵特點：綜合了中國外同類安全產(chǎn)品尤其是國外著名安全產(chǎn)品思緒和優(yōu)點，并考慮了中國網(wǎng)絡(luò)系統(tǒng)國情和現(xiàn)實狀況，技術(shù)起點高，實用性強。在系統(tǒng)中尤其集成了完整漏洞修補提議和網(wǎng)絡(luò)安全實用手冊。

檢測范圍廣。系統(tǒng)基于TCP/IP協(xié)議，尤其針對WINNT系統(tǒng)中存在安全問題進行了深入研究。系統(tǒng)能夠檢測基于TCP/IP網(wǎng)絡(luò)軟硬件產(chǎn)品，并能深入檢測WINDOWS系列操作系統(tǒng)尤其是應(yīng)用越來越廣泛WINNT系統(tǒng)和Windows系統(tǒng)，和運行在她們之上多個BackOffice服務(wù)器。

運行在WINNT平臺，全漢字界面，在進行檢測前掃描策略配置簡單明了。對每一項可檢測漏洞全部有詳盡說明。

針對國家信息保密特殊要求，增加了物理安全隔離檢驗、局域網(wǎng)涉密信息檢驗和局域網(wǎng)用戶信息檢驗等多個特色功效。

強大漏洞掃描能力，可對受檢系統(tǒng)進行多視角、多層面黑客攻擊式掃描。7月，國家公安部安全產(chǎn)品評測中心測評認為該產(chǎn)品可對包含當初最新黑客攻擊技術(shù)在內(nèi)500余種攻擊手段進行模擬攻擊。在3月升級版中，模擬攻擊手段已達成900余種。

用戶能夠按計劃中系統(tǒng)安全目標，自定義每次安全掃描策略以對系統(tǒng)和網(wǎng)絡(luò)進行安全掃描。具體掃描策略設(shè)定細化到用戶能夠選擇是否掃描每一個漏洞。系統(tǒng)對漏洞進行了詳盡風險等級管理，漏洞風險一目了然。

細致入微地匯報系統(tǒng)中存在弱點漏洞。列出了從目標操作系統(tǒng)類型、漏洞列表、開放端口號和服務(wù)，直到系統(tǒng)中存在用戶等受檢對象相關(guān)信息。

完善掃描匯報生成能力。掃描結(jié)束后能夠由系統(tǒng)自動生成份析匯報，其中包含了詳盡漏洞說明，風險等級，補救方法，教授提議和相關(guān)資源連接。

工作方法和檢驗方法靈活。能夠檢驗當?shù)鼐钟蚓W(wǎng)，也能夠經(jīng)過撥號接入或以跨網(wǎng)關(guān)方法檢驗?zāi)繕讼到y(tǒng)。能夠單獨檢驗一臺主機，也能夠檢驗整個網(wǎng)段。

系統(tǒng)采取了開放式體系結(jié)構(gòu)和模塊化思想，而且企業(yè)有專業(yè)小組跟蹤黑客攻擊手段和系統(tǒng)漏洞，從而做到動態(tài)更新檢驗?zāi)０鍘?，保護用戶免受最新攻擊手段攻擊。

企業(yè)有著強大開發(fā)和優(yōu)異管理模式，和靈活運作方法。技術(shù)和研究力量雄厚，并能夠根據(jù)用戶具體要求增刪對應(yīng)功效模塊，以滿足用戶要求，確保系統(tǒng)最好性價比。

NSS技術(shù)特點綜合了國外著名安全產(chǎn)品優(yōu)點和思緒，起點高技術(shù)優(yōu)異，檢測范圍廣，可覆蓋INTERNET/INTRANET全部主流部件采取開放式體系結(jié)構(gòu)，可動態(tài)更新關(guān)鍵檢驗?zāi)０鍘?，易于升級運行在WINDOWSNT平臺，漢字界面，配置簡練操作方便針對保密系統(tǒng)領(lǐng)域特殊要求，增加了安全隔離檢驗，涉密信息檢驗等特定功效模塊7.3.2、監(jiān)控監(jiān)測（含入侵檢測）技術(shù)概述入侵檢測技術(shù)就是一個主動保護自己免受黑客攻擊一個網(wǎng)絡(luò)安全技術(shù)。入侵檢測技術(shù)能夠幫助系統(tǒng)對付網(wǎng)絡(luò)攻擊，擴展系統(tǒng)管理員安全管理能力(包含安全審計、監(jiān)視、進攻識別和響應(yīng))，提升信息安全基礎(chǔ)結(jié)構(gòu)完整性。它從計算機網(wǎng)絡(luò)系統(tǒng)中關(guān)鍵點搜集信息，并分析這些信息，看看網(wǎng)絡(luò)中是否有違反安全策略行為和遭到攻擊跡象。入侵檢測被認為是防火墻以后第二道安全閘門，它在不影響網(wǎng)絡(luò)性能情況下能對網(wǎng)絡(luò)進行監(jiān)測，從而提供對內(nèi)部攻擊、外部攻擊和誤操作實時保護。大多數(shù)傳統(tǒng)入侵檢測系統(tǒng)（IDS）采取基于網(wǎng)絡(luò)或基于主機措施來識別并躲避攻擊。在任何一個情況下，該產(chǎn)品全部要尋求“攻擊標志”，即一個代表惡意或可疑意圖攻擊模式。當IDS在網(wǎng)絡(luò)中尋求這些模式時，它是基于網(wǎng)絡(luò)。而當IDS在統(tǒng)計文件中尋求攻擊標志時，它是基于主機。每種方法全部有其優(yōu)勢和劣勢，兩種方法互為補充。一個真正有效入侵檢測系統(tǒng)應(yīng)將二者結(jié)合。本節(jié)討論了基于主機和基于網(wǎng)絡(luò)入侵檢測技術(shù)不一樣之處，以說明怎樣將這二種方法融合在一起，以提供愈加有效入侵檢測和保護方法。◆基于網(wǎng)絡(luò)入侵檢測基于網(wǎng)絡(luò)入侵檢測系統(tǒng)使用原始網(wǎng)絡(luò)包作為數(shù)據(jù)源?；诰W(wǎng)絡(luò)IDS通常利用一個運行在隨機模式下網(wǎng)絡(luò)適配器來實時監(jiān)視并分析經(jīng)過網(wǎng)絡(luò)全部通信業(yè)務(wù)。它攻擊辯識模塊通常使用四種常見技術(shù)來識別攻擊標志：模式、表示式或字節(jié)匹配頻率或穿越閥值低級事件相關(guān)性規(guī)統(tǒng)學意義上很規(guī)現(xiàn)象檢測一旦檢測到了攻擊行為，IDS響應(yīng)模塊就提供多個選項以通知、報警并對攻擊采取對應(yīng)反應(yīng)。反應(yīng)因產(chǎn)品而異，但通常全部包含通知管理員、中止連接而且/或為法庭分析和證據(jù)搜集而做會話統(tǒng)計?！艋谥鳈C入侵檢測基于主機入侵檢測出現(xiàn)在80年代早期，那時網(wǎng)絡(luò)還沒有今天這么普遍、復(fù)雜，且網(wǎng)絡(luò)之間也沒有完全連通。在這一較為簡單環(huán)境里，檢驗可疑行為檢驗統(tǒng)計是很常見操作。因為入侵在當初是相當少見，在對攻擊事后分析就能夠預(yù)防以后攻擊?，F(xiàn)在基于主機入侵檢測系統(tǒng)保留了一個有力工具，以了解以前攻擊形式，并選擇適宜方法去抵御未來攻擊?；谥鳈CIDS仍使用驗證統(tǒng)計，但自動化程度大大提升，并發(fā)展了精密可快速做出響應(yīng)檢測技術(shù)。通常，基于主機IDS可監(jiān)探系統(tǒng)、事件和WindowNT下安全統(tǒng)計和UNIX環(huán)境下系統(tǒng)統(tǒng)計。當有文件發(fā)生改變時，IDS將新統(tǒng)計條目和攻擊標識相比較，看它們是否匹配。假如匹配，系統(tǒng)就會向管理員報警并向別目標匯報，以采取方法?；谥鳈CIDS在發(fā)展過程中融入了其它技術(shù)。對關(guān)鍵系統(tǒng)文件和可實施文件入侵檢測一個常見方法，是經(jīng)過定時檢驗校驗和來進行，方便發(fā)覺意外改變。反應(yīng)快慢和輪詢間隔頻率有直接關(guān)系。最終，很多產(chǎn)品全部是監(jiān)聽端口活動，并在特定端口被訪問時向管理員報警。這類檢測方法將基于網(wǎng)絡(luò)入侵檢測基礎(chǔ)方法融入到基于主機檢測環(huán)境中?！魧⒒诰W(wǎng)絡(luò)和基于主機入侵檢測結(jié)合起來基于網(wǎng)絡(luò)和基于主機IDS方案全部有各自特有優(yōu)點，而且互為補充。所以，下一代IDS必需包含集成主機和網(wǎng)絡(luò)組件。將這兩項技術(shù)結(jié)合，必將大幅度提升網(wǎng)絡(luò)對攻擊和錯誤使用抵御力，使安全策略實施愈加有效，并使設(shè)置選項愈加靈活。設(shè)計標準假如要使網(wǎng)絡(luò)得到高水平安全保護，就應(yīng)該選擇愈加主動和智能網(wǎng)絡(luò)安全技術(shù)。完備網(wǎng)絡(luò)安全系統(tǒng)應(yīng)該能夠監(jiān)視網(wǎng)絡(luò)和識別攻擊信號，能夠做到立即反應(yīng)和保護，能夠在受到攻擊任何階段幫助網(wǎng)絡(luò)管理人員從容應(yīng)付。怎樣選擇入侵檢測系統(tǒng)呢？選擇入侵檢測系統(tǒng)需要考慮多方面原因。但關(guān)鍵應(yīng)考慮以下兩點：首先，考察系統(tǒng)協(xié)議分析及檢測能力，和解碼速率；推薦配置方案生產(chǎn)廠家：XX軟科集團產(chǎn)品名稱：網(wǎng)絡(luò)監(jiān)測監(jiān)控系統(tǒng)ZYNetEyeZYNetEye網(wǎng)絡(luò)安全監(jiān)測監(jiān)控系統(tǒng)是一個基于信息流數(shù)據(jù)采集、分析、識別和資源監(jiān)督封鎖軟件。經(jīng)過實時監(jiān)測網(wǎng)絡(luò)數(shù)據(jù)流，依據(jù)用戶設(shè)定安全控制策略，對受控對象活動進行監(jiān)視。它側(cè)重于“事中”階段。該系統(tǒng)綜合了基于主機、基于網(wǎng)絡(luò)兩種技術(shù)手段，能夠多層次、多手段實現(xiàn)對網(wǎng)絡(luò)控制管理。經(jīng)過多級、分布式網(wǎng)絡(luò)監(jiān)督、管理、控制機制，全方面表現(xiàn)了管理層對內(nèi)部網(wǎng)關(guān)鍵資源全局控制、把握和調(diào)度能力。為全方面管理人員提供了一個監(jiān)督、檢驗?zāi)壳跋到y(tǒng)運行狀態(tài)有效手段。系統(tǒng)組成ZYNetEye系統(tǒng)關(guān)鍵組成部分是：主機傳感器HSP（軟件HostSensorProgram）、網(wǎng)絡(luò)傳感器NSP（硬件NetworkSensorProgram）、監(jiān)控中心/二級監(jiān)控中心MCP（軟件MonitorCenterProgram）。ZYNeteye關(guān)鍵功效ZYNetEye關(guān)鍵有六類功效：監(jiān)視屏幕、監(jiān)視鍵盤、監(jiān)測監(jiān)控RAS連接、監(jiān)測監(jiān)控網(wǎng)絡(luò)連接、入侵檢測、網(wǎng)絡(luò)信息還原。具體功效分類說明以下：監(jiān)視屏幕在用戶指定時間段內(nèi)，系統(tǒng)自動每隔X秒或X分截獲一次屏幕。用戶實時控制屏幕截獲開始和結(jié)束（在不影響被監(jiān)控主機正常工作前提下，以最快頻率截屏）。監(jiān)視鍵盤在用戶指定時間段內(nèi)，截獲HostSensorProgram用戶全部鍵盤輸入。用戶實時控制鍵盤截獲開始和結(jié)束。監(jiān)測監(jiān)控RAS連接在用戶指定時間段內(nèi)，統(tǒng)計全部RAS連接信息。用戶實時控制RAS連接信息截獲開始和結(jié)束。由用戶指定正當RAS連接條件（如：撥號上網(wǎng)電話號碼或撥號時間），當RAS連接非法時，系統(tǒng)將自動進行報警或掛斷連接操作。監(jiān)測監(jiān)控網(wǎng)絡(luò)連接在用戶指定時間段內(nèi)，統(tǒng)計全部網(wǎng)絡(luò)連接信息（包含：TCP、UDP、NetBios）。用戶實時控制網(wǎng)絡(luò)連接信息截獲開始和結(jié)束。由用戶指定非法網(wǎng)絡(luò)連接列表，當出現(xiàn)非法連接時，系統(tǒng)將自動進行報警或掛斷連接操作。入侵檢測對可能入侵行為進行報警（檢測到有入侵特征數(shù)據(jù)包）。用戶可自定義有入侵特征數(shù)據(jù)包。現(xiàn)在可檢測18類入侵企圖：ZYNeteye技術(shù)特點多極控制機制能夠設(shè)置多個層次安全控制中心、傳感器，控制能力強。分部控制機制監(jiān)控網(wǎng)絡(luò)拓撲結(jié)構(gòu)能夠是多樣化，覆蓋計算機局域網(wǎng)絡(luò)、遠程網(wǎng)絡(luò)，控制范圍大?；谥鳈C、基于網(wǎng)絡(luò)相結(jié)合控制機制控制對象即能夠是單臺主機，也能夠是一個網(wǎng)段，控制力度細。ZYNeteye技術(shù)特色系統(tǒng)即可防外也可防內(nèi)，更徹重于防內(nèi)。由軟件和硬件相結(jié)合、克服單一軟件或硬件弊端，以達成卓躍性能系統(tǒng)設(shè)計思想優(yōu)異。主機傳感器、網(wǎng)絡(luò)傳感器和監(jiān)控中心獨立運行，一旦系統(tǒng)安全管理員制訂好安全策略并公布成功，各模塊之間獨立運行工作，相關(guān)性幾乎沒有，整個系統(tǒng)運行效很高，對用戶網(wǎng)絡(luò)正常通信影響微小。系統(tǒng)透明工作，各模塊間通信方法設(shè)計很優(yōu)異?；旌狭薚CP和UDP通訊方法，充足考到了用戶可能網(wǎng)絡(luò)配置，在提供跨路由器、跨網(wǎng)關(guān)能力適應(yīng)復(fù)雜網(wǎng)絡(luò)基礎(chǔ)上，兼顧了系統(tǒng)效率和操作、配置靈活性。監(jiān)控中心開啟后，智能判定并加入能夠監(jiān)測工作站或網(wǎng)絡(luò)傳感器，并提供了手動加入可監(jiān)測計算機功，方便高級用戶使用。融合了中國外同類產(chǎn)品大多數(shù)優(yōu)異思想，并參考了常見同類黑客軟件功效，項目設(shè)計思想和優(yōu)異開發(fā)工具，完全含有知識產(chǎn)權(quán)。企業(yè)研發(fā)實力雄厚，多項產(chǎn)品設(shè)計思想和成品受到技術(shù)判定會上著名教授好評“達成了同期中國甚至國外優(yōu)異水平”。項現(xiàn)在期仔細設(shè)計計劃，中期精細編碼和嚴格測試，后期詳盡系統(tǒng)測試。系統(tǒng)無縫集成了網(wǎng)絡(luò)入侵檢測功效，還開發(fā)了獨立模塊以提供對目標計算機/網(wǎng)絡(luò)多層次多角度監(jiān)視控制，并提供了人性化安全監(jiān)控中心圖形界面，操簡單直接，大大降低了用戶后期投入和網(wǎng)絡(luò)系統(tǒng)/安全管理員工作難度、工作量。7.3.3、防火墻防火墻是指設(shè)置在不一樣網(wǎng)絡(luò)（如可信任內(nèi)部網(wǎng)和不可信任外部網(wǎng)）或網(wǎng)絡(luò)安全域之間一系列部件組合。它是不一樣網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息唯一出口，能依據(jù)企業(yè)安全政策，經(jīng)過對IP地址、TCP/UDP端口、ICMP類型域等各個等級具體配置控制（許可、拒絕、監(jiān)測）出入網(wǎng)絡(luò)信息流，且本身含有較強抗攻擊能力。它是提供信息安全服務(wù)，實現(xiàn)網(wǎng)絡(luò)和信息安全基礎(chǔ)設(shè)施。防火墻是在內(nèi)部網(wǎng)和外部網(wǎng)之間實施安全防范系統(tǒng)，可被認為是一個訪問控制機制，用于確定哪些內(nèi)部服務(wù)許可外部訪問。它由網(wǎng)絡(luò)管理人員為保護自己網(wǎng)絡(luò)免遭外界非授權(quán)訪問但又許可和Internet連接而發(fā)展起來。從網(wǎng)際角度講，防火墻是在兩個網(wǎng)絡(luò)之間實施控制策略系統(tǒng)，目標是保護網(wǎng)絡(luò)不被可疑人侵擾。本質(zhì)上，它遵從是一個許可或阻止業(yè)務(wù)往來網(wǎng)絡(luò)通信安全機制，提供可控過濾網(wǎng)絡(luò)通信。防火墻作為局域網(wǎng)絡(luò)安全屏障，其關(guān)鍵目標是保護局域網(wǎng)絡(luò)資源，強化網(wǎng)絡(luò)安全策略；預(yù)防內(nèi)部信息泄露和外部入侵；提供對網(wǎng)絡(luò)資源訪問控制；提供對網(wǎng)絡(luò)活動審計、監(jiān)督等功效。推薦配置方案生產(chǎn)廠家：XX軟科集團產(chǎn)品名稱：防火墻HBRKFW/IIIXX網(wǎng)絡(luò)防火墻ZYSuperWall是由北京XX軟科數(shù)碼技術(shù)自主研制開發(fā)網(wǎng)絡(luò)安全產(chǎn)品。ZYSuperWall防火墻融合了現(xiàn)在關(guān)鍵防火墻技術(shù)，包含包過濾、透明代理、應(yīng)用代理，對關(guān)鍵網(wǎng)絡(luò)服務(wù)提供基于應(yīng)用代理細粒度控制；對常見網(wǎng)絡(luò)服務(wù)提供透明代理和快速包過濾機制。XX軟科網(wǎng)絡(luò)防火墻在有效地實現(xiàn)內(nèi)部網(wǎng)絡(luò)和公共網(wǎng)絡(luò)隔離同時，管理員可依據(jù)具體安全需求選擇靈活多變安全控制策略進行控制。結(jié)合訪問控制、身份認證、邊界入侵檢測、反IP地址欺騙等一整套安全防護技術(shù)，可為企業(yè)內(nèi)部網(wǎng)提供強大安全防護手段，在抵御來自外部網(wǎng)絡(luò)攻擊、預(yù)防不法分子入侵同時，又能確保安全高速地訪問互聯(lián)網(wǎng)。關(guān)鍵功效：網(wǎng)絡(luò)地址轉(zhuǎn)換功效利用地址轉(zhuǎn)換功效，能夠節(jié)省InternetIP資源。內(nèi)部對外使用統(tǒng)一IP，使外部無法知道內(nèi)部網(wǎng)絡(luò)情況，提升網(wǎng)絡(luò)安全。內(nèi)部能夠透明使用內(nèi)部IP基于網(wǎng)絡(luò)IP和MAC地址綁定經(jīng)過網(wǎng)卡MAC地址和網(wǎng)絡(luò)IP地址綁定，能夠預(yù)防內(nèi)部IP盜用，保障網(wǎng)絡(luò)穩(wěn)定?！耢`活訪問控制功效自主過濾機制能夠依據(jù)本身網(wǎng)絡(luò)要求合理配置網(wǎng)絡(luò)，提升網(wǎng)絡(luò)性能。應(yīng)用代理能夠?qū)?yīng)用服務(wù)（如：HTTP、FTP、SMTP等）提供細粒度訪問機制。透明代理能夠?qū)δ軌驖M足對網(wǎng)絡(luò)高速、通用訪問要求入侵檢測對可能入侵行為進行報警（檢測到有入侵特征數(shù)據(jù)包）。封鎖入侵IP地址對入侵設(shè)置陷阱用戶身份判別功效：為了降低防火墻再Telnet,FTP等服務(wù)和遠程管理上安全風險，HBRKFW/III型防火墻采取了一次性口令認證系統(tǒng)來作為用戶判別手段。防火墻日志、審計功效能夠?qū)ο到y(tǒng)管理體系分類日志（管理日志、通信事件日志），也能夠按日期對應(yīng)運行日志。清楚統(tǒng)計了事件時間及事件摘要等。為管理網(wǎng)絡(luò)，進行審計提供可靠依據(jù)。支持雙機熱備份功效HBRKFW/III型防火墻系統(tǒng)結(jié)構(gòu)了雙機熱備份結(jié)構(gòu)功效，從而提升系統(tǒng)穩(wěn)定性，容錯性。虛擬主機功效虛擬主機技術(shù)很好處理了信息共享性和資源可控性之間矛盾。也就是說，只有防火墻管理員許可訪問內(nèi)部資源，外部用戶才能夠訪問，表現(xiàn)了管理中心對整體內(nèi)部資源控制能力。具體操作時，可依據(jù)管理者管理意圖制訂對應(yīng)安全策略，從而限定對外開放內(nèi)容。7.3.4、防病毒系統(tǒng)目標對郵件服務(wù)器進行檢驗，防范病毒。能夠做到既可自動更新，也可手動更新；備份系統(tǒng)便于管理，有友好界面如GUI。使用產(chǎn)品趨勢企業(yè)InterScanVirusWall防病毒軟件。（XX軟科集團代理產(chǎn)品之一）為何選擇InterScanVirusWall軟件經(jīng)過對中國防病毒企業(yè)了解，現(xiàn)在沒有想應(yīng)得軟件系統(tǒng)。經(jīng)過對國外防病毒企業(yè)考查，我們提議用戶使用趨勢企業(yè)InterScanVirusWall防病毒軟件。趨勢企業(yè)是一家專業(yè)防范計算機病毒、保障監(jiān)控計算機及信息系統(tǒng)安全著名軟件企業(yè),是和美國趨勢科技合作中國企業(yè)。趨勢防病毒關(guān)鍵技術(shù)均經(jīng)過國家檢測中心監(jiān)測，是第一家取得中國公安部計算機安全產(chǎn)品銷售許可證軟件企業(yè)。產(chǎn)品關(guān)鍵功效：實時掃描進出SMTP服務(wù)器郵件及其附加檔案實時掃描FTP傳輸渠道自動清除染毒文件實時掃描HTTP傳輸渠道鎖定惡性Javaapplets和ActiveX物件，和未經(jīng)認證(unsigned)或非商業(yè)性(noncommercial)判定安全判定軟件偵測及清除已知和未知宏病毒將警告信息寄給寄件人、收件人和系統(tǒng)管理者可預(yù)約設(shè)定從Web自動下載最新病毒碼文件含有完整實時性能監(jiān)視功效經(jīng)過詳盡病毒活動統(tǒng)計追蹤病毒起源支持Windows界面和ISAPI/CGIweb瀏覽器設(shè)置界面產(chǎn)品關(guān)鍵特點：符合網(wǎng)絡(luò)病毒發(fā)展特點出色病毒掃描能夠依據(jù)本身情況更新病毒碼快捷救援支持完整事件統(tǒng)計彈性設(shè)定及管理系統(tǒng)組成：InterScanVirusWall是一套完整Internet病毒處理系統(tǒng)，包含三個模塊，能夠分別或統(tǒng)一安裝及管理。我們依據(jù)具體情況，提議使用整套系統(tǒng)中E-mailVirusWall，InterScanVirusWall共包含：E-mailVirusWall：偵測及清除Internet網(wǎng)絡(luò)SMTP電子郵件附件中病毒.---WebVirusWal：偵測及清除病毒，并可鎖定HTTP傳輸中惡性Javaapplets和ActiveX物件，和未經(jīng)認證(unsigned)或非商業(yè)性(noncommercial)判定安全判定軟件（限NT版本）。---FTPVirusWall偵測及清除隱藏在Internet文件傳輸中病毒系統(tǒng)要求：Nt版本：WindowsNT4.0或以上版本，Pentium或DECAlpha處理器PC機，32MB內(nèi)存，12MB磁盤空間。Solaris版本：Solaris2.5或以上版本，32MB內(nèi)存，150MB數(shù)據(jù)交換空間，15MB磁盤安裝空間HP-UX版本：HP-UX10.0或以上版本，64MB內(nèi)存，100MB數(shù)據(jù)交換空間，100MB磁盤安裝空間。7.3.5、VPN系統(tǒng)伴隨企業(yè)網(wǎng)應(yīng)用不停發(fā)展，企業(yè)網(wǎng)范圍也不停擴大，從一個當?shù)鼐W(wǎng)絡(luò)發(fā)展到跨地域跨城市甚至是跨國家網(wǎng)絡(luò)。和此同時伴隨互聯(lián)網(wǎng)絡(luò)迅猛發(fā)展，Internet已經(jīng)遍布世界各地，從物理上講Internet把世界各地資源相互連通。正因為Internet是對全世界開放，假如企業(yè)信息要經(jīng)過Internet進行傳輸，在安全性上可能存在著很多問題。但假如采取專用線路構(gòu)建企業(yè)專網(wǎng)，往往需要租用昂貴跨地域數(shù)據(jù)專線。怎樣能夠利用現(xiàn)有Internet來建立企業(yè)安全專有網(wǎng)絡(luò)呢？虛擬專用網(wǎng)（VPN）技術(shù)就成為一個很好處理方案。虛擬專用網(wǎng)（VPN）是指在公共網(wǎng)絡(luò)中建立專用網(wǎng)絡(luò)，數(shù)據(jù)經(jīng)過安全“加密通道”在公共網(wǎng)絡(luò)中傳輸。企業(yè)只需要租用當?shù)財?shù)據(jù)專線，連接受騙地Internet，各地機構(gòu)就能夠相互傳輸信息；同時，企業(yè)還能夠利用Internet撥號接入設(shè)備，讓自己用戶撥號到Internet上，就能夠連接進入企業(yè)網(wǎng)中。使用VPN有節(jié)省成本、提供遠程訪問、擴展性強、便于管理和實現(xiàn)全方面控制等優(yōu)點，將會成為以后企業(yè)網(wǎng)絡(luò)發(fā)展趨勢。虛擬專用網(wǎng)本質(zhì)實際上包含到密碼問題。在無法確保電路安全、信道安全、網(wǎng)絡(luò)安全、應(yīng)用安全情況下，或也不相信其它安全方法情況下，一個行之有效措施就是加密，而加密就是必需考慮加密算法和密碼問題?？紤]到中國對密碼管理體制情況，密碼是一個單獨領(lǐng)域。對防火墻而言，是否防火墻支持對其它密碼體制支持，支持提供API來調(diào)用第三方加密算法和密碼，很關(guān)鍵。使用產(chǎn)品東方龍馬VPN系統(tǒng)（XX軟科集團代理產(chǎn)品之二）系統(tǒng)組成東方龍馬VPN系統(tǒng)關(guān)鍵包含以下幾部分：加密卡、