證券公司網(wǎng)絡(luò)安全解決專項(xiàng)方案

證券公司網(wǎng)絡(luò)安全處理方案序言Internet發(fā)展給政府機(jī)構(gòu)、企機(jī)關(guān)、電信系統(tǒng)、金融系統(tǒng)、銀行系統(tǒng)等帶來了革命性改革和改變?；ヂ?lián)網(wǎng)技術(shù)迅猛發(fā)展使各行業(yè)經(jīng)過利用Internet來提升辦事效率、市場反應(yīng)速度，改變經(jīng)營模式等，方便在市場經(jīng)濟(jì)大潮中更具競爭力。經(jīng)過使用Internet技術(shù)，任何一個(gè)單位或部門數(shù)據(jù)資料傳輸和存取全部變得方便、快捷，也使金融、貿(mào)易往來更方便、愈加快捷、更頻繁。但同時(shí)也面對Internet開放帶來數(shù)據(jù)安全新挑戰(zhàn)和新危險(xiǎn)：用戶、銷售商、移動(dòng)用戶、異地職員和內(nèi)部人員安全訪問；保護(hù)國家機(jī)關(guān)、企事業(yè)機(jī)密信息不受黑客和商業(yè)間諜入侵；預(yù)防單位內(nèi)部人員有意或無意使機(jī)密外泄。眾所周知，作為全球適用范圍最大信息網(wǎng)，Internet本身協(xié)議開放性極大方便了多種計(jì)算機(jī)入網(wǎng)、拓寬了共享資源。然而，因?yàn)樵谠缙诰W(wǎng)絡(luò)協(xié)議設(shè)計(jì)上對安全問題忽略，和在使用和管理無政府狀態(tài)，逐步使Internet本身安全受到嚴(yán)重威脅，和她相關(guān)安全事故屢有發(fā)生。這就要求我們對于Internet互連所帶來安全性問題給予足夠重視。伴隨網(wǎng)絡(luò)普及，安全日益成為影響網(wǎng)絡(luò)效能瓶頸，而證券行業(yè)網(wǎng)絡(luò)安全存在漏洞情況也是眾所周知，多位信息安全領(lǐng)域教授也對證券行業(yè)網(wǎng)絡(luò)安全問題提出了尖銳批評，證券行業(yè)網(wǎng)絡(luò)安全現(xiàn)實(shí)狀況已不能適應(yīng)證券業(yè)快速發(fā)展情況。近幾年,不停有證券行業(yè)網(wǎng)絡(luò)被"黑客"入侵,造成重大經(jīng)濟(jì)損失和惡劣影響消息見諸報(bào)段，證券行業(yè)網(wǎng)絡(luò)安全已經(jīng)成為擺在全部證券機(jī)構(gòu)和人員所要考慮事情之一。然而，事物發(fā)展總是利弊共生。當(dāng)計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)日益普及和提升，為社會(huì)生活各方面帶來極大便利時(shí)，不可避免地也帶來了部分負(fù)面影響，較為突出是計(jì)算機(jī)信息網(wǎng)絡(luò)安全保密問題，假如處理不好，國家安全和利益將受到損害，也勢必危及信息化事業(yè)健康，因?yàn)椴糠志有呢蠝y使用者受到部分不可告人利益驅(qū)動(dòng)，這部分人不可避免地帶來了包含網(wǎng)絡(luò)安全應(yīng)用和服務(wù)種種安全問題。發(fā)生影響尤其突出、為廣大互聯(lián)網(wǎng)使用者所了解安全紕漏問題中，在國外、有美國雅虎()、亞馬遜在線（）等八家國際著名網(wǎng)站受到了黑客攻擊，在中國包含大名鼎鼎新浪網(wǎng)在內(nèi)多家網(wǎng)站也被黑客攻擊，就拿這次五一“中美黑客”大戰(zhàn)來說吧，中國有1200多家網(wǎng)如石家莊市人民政府新聞網(wǎng)、四川旅游信息網(wǎng)、北京證券、中國科學(xué)院理化技術(shù)研究所、中國科學(xué)院心理研究所等部分網(wǎng)站，這證實(shí)中國現(xiàn)在網(wǎng)絡(luò)安全防范越來越嚴(yán)峻。網(wǎng)絡(luò)安全有兩方面含義，一是指安全性，即網(wǎng)絡(luò)針對攻擊對象而有意設(shè)置安全系統(tǒng)，如防火墻等。其次，是指網(wǎng)絡(luò)因?yàn)楸旧砣秉c(diǎn)出現(xiàn)漏洞所產(chǎn)生安全問題，后者威脅其實(shí)更大，這種隱患通常存在于軟件操作系統(tǒng)和應(yīng)用系統(tǒng)“BUG”(造成計(jì)算機(jī)犯錯(cuò)“臭蟲”)中隨機(jī)產(chǎn)生。部分事實(shí)證實(shí)，其危害遠(yuǎn)比黑客攻擊來得大，比如因?yàn)檐浖收袭a(chǎn)生停電、墜機(jī)等事件發(fā)生等。而最好預(yù)防機(jī)制就是立即修補(bǔ)漏洞，提升管理水平。這么攻擊事件使得被攻擊目標(biāo)不得不停止了它們長久向國際用戶提供服務(wù)，給對應(yīng)網(wǎng)站造成了極不好影響。受到這么互聯(lián)網(wǎng)上出現(xiàn)風(fēng)浪影響，業(yè)界普遍認(rèn)為每個(gè)企業(yè)在考慮內(nèi)部共享資源和向公眾提供服務(wù)時(shí)，應(yīng)該依據(jù)本身業(yè)務(wù)特點(diǎn)和需求，本著切合實(shí)際、保護(hù)資源和著眼未來標(biāo)準(zhǔn)，建立一套滿足需求而且安全網(wǎng)絡(luò)結(jié)構(gòu)體系。1、網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析1.1、風(fēng)險(xiǎn)分析概述通常講計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)所面臨威脅大致可分為兩種：一是對網(wǎng)絡(luò)中信息威脅；二是對網(wǎng)絡(luò)中設(shè)備威脅。人為惡意攻擊網(wǎng)絡(luò)系統(tǒng)資源，這是該系統(tǒng)所面臨最大威脅，非法用戶攻擊和計(jì)算機(jī)犯罪就屬于這一類。這類攻擊又能夠分為以下兩種：一個(gè)是被動(dòng)攻擊，它是在不影響網(wǎng)絡(luò)正常工作情況下，進(jìn)行截獲、竊取、破譯以取得關(guān)鍵機(jī)密信息、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)信息等；另一個(gè)是主動(dòng)攻擊，它以多種方法有選擇地破壞信息有效性和完整性，和非法訪問網(wǎng)絡(luò)設(shè)備和主機(jī)系統(tǒng)甚至深入控制網(wǎng)絡(luò)和主機(jī)。這兩種攻擊均可對證券企業(yè)網(wǎng)絡(luò)系統(tǒng)造成極大危害，危害網(wǎng)絡(luò)正常運(yùn)行，并造成敏感數(shù)據(jù)泄漏。被動(dòng)攻擊通常在信息系統(tǒng)外部進(jìn)行，即來自從公共網(wǎng)或搭線提議攻擊，它們對信息網(wǎng)絡(luò)本身通常不造成損壞，系統(tǒng)仍可正常運(yùn)行，但有用信息可能被偷竊并被用于非法目標(biāo)。被動(dòng)攻擊關(guān)鍵包含信息竊取、密碼分析和信息流量和流向分析：信息竊?。簝?nèi)外攻擊者從傳輸信道、存放介質(zhì)等處竊取信息。如無線傳輸信號(hào)偵收、搭線竊聽、竊收數(shù)據(jù)文件等。密碼分析：對截獲已加密信息進(jìn)行密碼破譯，從中獲取有價(jià)值信息。信息流量和流向分析：對網(wǎng)絡(luò)中信息流量和信息流向進(jìn)行分析，然后得出有價(jià)值情報(bào)。主動(dòng)攻擊直接進(jìn)入信息系統(tǒng)內(nèi)部，對證券企業(yè)網(wǎng)絡(luò)系統(tǒng)來說，安全系統(tǒng)最大隱患來自中國外機(jī)構(gòu)組織、人員，和其它不法份子攻擊，這些攻擊可能造成無法預(yù)料損失。同時(shí)，來自內(nèi)部人員有意或無意攻擊，也是必需考慮和預(yù)防原因?？赡苤鲃?dòng)攻擊手段關(guān)鍵包含：入侵：經(jīng)過系統(tǒng)或網(wǎng)絡(luò)漏洞、搭線、遠(yuǎn)程訪問、盜取口令、借系統(tǒng)管理之便等方法進(jìn)入系統(tǒng)，非法查閱文件資料、更改數(shù)據(jù)、拷貝數(shù)據(jù)、甚至破壞系統(tǒng)、使系統(tǒng)癱瘓等。如系統(tǒng)管理員、內(nèi)部操作員全部較輕易進(jìn)入系統(tǒng)進(jìn)行攻擊，熟悉計(jì)算機(jī)系統(tǒng)“黑客”也能輕易進(jìn)入網(wǎng)絡(luò)提議攻擊。假冒：假冒正當(dāng)用戶身份、實(shí)施和正當(dāng)用戶一樣操作。篡改：篡改機(jī)要數(shù)據(jù)、文件、資料（增加、刪除、修改）。插入：在正常數(shù)據(jù)流中插入偽造信息或數(shù)據(jù)。重放：錄制正當(dāng)、正常交互信息，然后在合適時(shí)機(jī)重放。阻塞：使用投放巨量垃圾電子郵件、無休止訪問資源或數(shù)據(jù)庫等手段造成網(wǎng)絡(luò)阻塞，影響正常運(yùn)行。抵賴：實(shí)施某種行為后進(jìn)行抵賴,如否認(rèn)發(fā)送過或接收過文件。病毒：向系統(tǒng)注入病毒（能夠進(jìn)行自我復(fù)制程序），運(yùn)行后可能損壞文件、使系統(tǒng)癱瘓，造成多種難以預(yù)料后果。2、證券企業(yè)網(wǎng)絡(luò)風(fēng)險(xiǎn)分析2.1、安全風(fēng)險(xiǎn)證券網(wǎng)絡(luò)系統(tǒng)安全風(fēng)險(xiǎn)關(guān)鍵來自網(wǎng)絡(luò)設(shè)施物理特征安全、網(wǎng)絡(luò)系統(tǒng)平臺(tái)安全、網(wǎng)上交易安全、數(shù)據(jù)存放安全。2.1.1物理安全風(fēng)險(xiǎn)因?yàn)樗疄?zāi)、火災(zāi)、雷擊、粉塵、靜電等突發(fā)性事故和環(huán)境污染造成網(wǎng)絡(luò)設(shè)施工作停滯人為引發(fā)設(shè)備被盜、被毀或外界電磁干擾使通信線路中止電子、電力設(shè)備本身固有缺點(diǎn)和弱點(diǎn)及所處環(huán)境輕易在人員誤操作或外界誘發(fā)下發(fā)生故障2.1.2、系統(tǒng)安全風(fēng)險(xiǎn)系統(tǒng)風(fēng)險(xiǎn)在三個(gè)方面：網(wǎng)絡(luò)系統(tǒng)、操作系統(tǒng)和應(yīng)用系統(tǒng)。網(wǎng)絡(luò)系統(tǒng)在設(shè)計(jì)實(shí)施不夠完善，比如缺乏正確路由、網(wǎng)絡(luò)容量、帶寬估量不足、對證券系統(tǒng)局域網(wǎng)沒做劃分隔離和關(guān)鍵網(wǎng)絡(luò)設(shè)備沒有冗余設(shè)計(jì)，一旦發(fā)生故障，將直接影響網(wǎng)絡(luò)系統(tǒng)安全。網(wǎng)絡(luò)系統(tǒng)缺乏安全可靠網(wǎng)絡(luò)通信協(xié)議和網(wǎng)絡(luò)安全設(shè)備，使網(wǎng)絡(luò)黑客輕易利用網(wǎng)絡(luò)設(shè)計(jì)和協(xié)議漏洞進(jìn)行網(wǎng)絡(luò)攻擊和信息竊取，比如未經(jīng)授權(quán)非法訪問證券系統(tǒng)內(nèi)部網(wǎng)絡(luò)、對電話網(wǎng)進(jìn)行監(jiān)聽、對系統(tǒng)安全漏洞進(jìn)行探測掃描、遠(yuǎn)程登陸交易、行情服務(wù)器并對數(shù)據(jù)進(jìn)行篡改、對通信線路、服務(wù)器實(shí)施洪流攻擊造成線路涌塞和系統(tǒng)癱瘓等。網(wǎng)絡(luò)操作系統(tǒng)，不管是windows\unix\netware多種商用操作系統(tǒng)，其國外開發(fā)商全部留有后門（backdoor），現(xiàn)在每種操作系統(tǒng)全部發(fā)覺有安全漏洞，一旦被人發(fā)覺利用將對整個(gè)證券網(wǎng)絡(luò)系統(tǒng)造成不可估量損失。OA應(yīng)用系統(tǒng)風(fēng)險(xiǎn)關(guān)鍵是包含不一樣地域、不一樣部門資源有限共享時(shí)被內(nèi)部人員不安全使用造成口令失竊、文電丟失泄密，和在和外界進(jìn)行郵件往來時(shí)帶來病毒和黑客進(jìn)入隱患。針對業(yè)務(wù)系統(tǒng)（包含業(yè)務(wù)管理系統(tǒng)、業(yè)務(wù)服務(wù)系統(tǒng)）威脅關(guān)鍵來自于內(nèi)、外界對業(yè)務(wù)系統(tǒng)非授權(quán)訪問、系統(tǒng)管理權(quán)限喪失（因?yàn)橛脩裘⒖诹?、IC卡等身份標(biāo)志泄漏）、使用不妥或外界攻擊引發(fā)系統(tǒng)瓦解、網(wǎng)絡(luò)病毒傳輸或其它原因造成系統(tǒng)損壞、系統(tǒng)開發(fā)遺留安全漏洞等。2.1.3、網(wǎng)上交易安全風(fēng)險(xiǎn)因特網(wǎng)是全球性公共網(wǎng)絡(luò)，并不由任何一個(gè)機(jī)構(gòu)所控制。數(shù)據(jù)在因特網(wǎng)上傳輸路徑是不完全確定。因特網(wǎng)本身并不是一個(gè)完全安全可靠網(wǎng)絡(luò)環(huán)境。在因特網(wǎng)上可能有些人采取相同名稱和外觀仿冒證券網(wǎng)站和服務(wù)器，用于騙取投資者數(shù)據(jù)資料。假如用于證實(shí)投資者身份數(shù)字證書和口令被竊取，她人有可能仿冒投資者身份進(jìn)行交易委托和查詢。在網(wǎng)上傳輸指令、數(shù)據(jù)有可能被一些個(gè)人、團(tuán)體或機(jī)構(gòu)經(jīng)過某種渠道截取、篡改、重發(fā)。但她們并不一定能夠了解該數(shù)據(jù)真實(shí)內(nèi)容。因?yàn)榫W(wǎng)絡(luò)交易非接觸性，交易雙方可能對交易結(jié)果進(jìn)行抵賴。在網(wǎng)上數(shù)據(jù)傳輸可能因通信繁忙出現(xiàn)延遲，或因其它原因出現(xiàn)中止、停頓或數(shù)據(jù)錯(cuò)誤，從而使得網(wǎng)上交易出現(xiàn)延遲、停頓或中止。網(wǎng)上公布證券交易行情信息可能滯后，和真實(shí)情況不完全一致。2.1.4、數(shù)據(jù)安全風(fēng)險(xiǎn)因內(nèi)、外原因造成數(shù)據(jù)庫系統(tǒng)管理失控或破壞使用戶個(gè)人資料和業(yè)務(wù)數(shù)據(jù)遭到偷竊、復(fù)制、泄密、丟失，而且無法得到恢復(fù)網(wǎng)絡(luò)病毒傳輸或其它原因造成存放數(shù)據(jù)丟失和損壞網(wǎng)站公布信息數(shù)據(jù)（包含分析、估計(jì)性資料）有可能被更改、刪除，給證券企業(yè)帶來損失。2.1.5、局域網(wǎng)上安全風(fēng)險(xiǎn)在局域網(wǎng)中，因?yàn)楣芾聿煌?，能夠造成物理性網(wǎng)絡(luò)安全問題。另外，假如不采取合理管理方法，經(jīng)過局域網(wǎng)和Internet連接后，會(huì)給不合乎國家法規(guī)網(wǎng)絡(luò)行為留下空當(dāng)，也是網(wǎng)絡(luò)不安全首先。因?yàn)榫钟蚓W(wǎng)中采取廣播方法,所以,在某個(gè)廣播域中若采取“嗅探”技術(shù)就能夠偵聽到全部傳輸信息包,攻擊者對信息包進(jìn)行分析,那么本廣播域全部信息傳輸全部會(huì)暴露在攻擊者面前，也會(huì)對網(wǎng)絡(luò)造成安全問題。2.1.6、廣域網(wǎng)上安全風(fēng)險(xiǎn)因?yàn)閺V域網(wǎng)通常采取公網(wǎng)傳輸數(shù)據(jù),所以在廣域網(wǎng)上進(jìn)行傳輸時(shí)信息就可能受到多種多樣攻擊,包含偵聽竊密、非法修改、冒名頂替、惡意破壞等。任何一個(gè)有條件對通信進(jìn)行監(jiān)測人全部能夠進(jìn)行上述攻擊,這種形式攻擊相對比較輕易成功,且事后極難進(jìn)行追查。2.1.7、系統(tǒng)平臺(tái)內(nèi)在安全風(fēng)險(xiǎn)因?yàn)榫W(wǎng)絡(luò)系統(tǒng)中大量采取不是專門為安全系統(tǒng)設(shè)計(jì)基礎(chǔ)軟件,這些軟件在開發(fā)、安裝時(shí)缺省配置往往更多照料方便性而忽略了安全性,如考慮不周很輕易留下安全漏洞,比如無意中將關(guān)鍵信息暴露在非授權(quán)用戶面前。需要強(qiáng)調(diào)指出是,管理方面問題，能夠經(jīng)過加強(qiáng)管理、提升認(rèn)識(shí)來增加網(wǎng)絡(luò)安全意識(shí)，而其它方面安全威脅可實(shí)施性正伴隨網(wǎng)絡(luò)技術(shù)和偵聽工具隱蔽化和智能化而變得越來越輕易實(shí)現(xiàn)。如經(jīng)過互聯(lián)網(wǎng)能夠獲取大量相關(guān)系統(tǒng)內(nèi)在缺點(diǎn)最新資料;黑客組織變得越來越龐大而嚴(yán)密;協(xié)議分析工具隨地可見,以前購置一套功效強(qiáng)大協(xié)議分析設(shè)備需花費(fèi)十幾萬乃至幾十萬,能掌握這些設(shè)備人員極為稀少,而現(xiàn)在實(shí)現(xiàn)這項(xiàng)功效越來越輕易，使用人員十分龐大,一旦得到適宜機(jī)會(huì),后果不堪設(shè)想。2.1.8、來自病毒安全風(fēng)險(xiǎn)每一千臺(tái)聯(lián)網(wǎng)電腦中感染病毒電腦數(shù)量每一千臺(tái)聯(lián)網(wǎng)電腦中感染病毒電腦數(shù)量（Source:ICSA）6005004003002001000600500400300200100019961997199819991996199719981999網(wǎng)絡(luò)發(fā)展，促進(jìn)信息大量進(jìn)行交流，計(jì)算機(jī)病毒也伴隨信息交流廣泛，危害越來越嚴(yán)重,由單機(jī)逐步擴(kuò)展到網(wǎng)絡(luò)，成為了威脅網(wǎng)絡(luò)安全關(guān)鍵一部分。網(wǎng)絡(luò)中任何一臺(tái)電腦受到了病毒感染，就有可能感染網(wǎng)絡(luò)中全部計(jì)算機(jī)。因?yàn)椴《驹斐蓴?shù)據(jù)丟失或損壞，系統(tǒng)癱瘓，一樣和黑客入侵造成損失一樣嚴(yán)重.3、提升網(wǎng)絡(luò)安全性技術(shù)手段處理網(wǎng)絡(luò)安全問題是一個(gè)系統(tǒng)、多層次問題,任何一個(gè)安全技術(shù)全部無法處理全部安全問題,只有綜合多個(gè)安全技術(shù),才有可能全方面提升整個(gè)系統(tǒng)安全性及安全等級(jí)。所以針對網(wǎng)絡(luò)安全隱患我們應(yīng)該采取對應(yīng)方法，提升網(wǎng)絡(luò)系統(tǒng)安全性。從網(wǎng)絡(luò)安全技術(shù)方面大致能夠分為四個(gè)層次:應(yīng)用層、socket層(ssl)、IP層、鏈路層。每種技術(shù)全部有其獨(dú)到之處。現(xiàn)在多種網(wǎng)絡(luò)安全產(chǎn)品大多是基于這四個(gè)方面開發(fā)研制。不一樣產(chǎn)品從不一樣角度輕關(guān)鍵加以防護(hù)，我們能夠依據(jù)具體要求選擇對應(yīng)產(chǎn)品。4、安全策略傳統(tǒng)安全策略停留在局部、靜態(tài)層面上，僅僅依靠幾項(xiàng)安全技術(shù)和手段達(dá)成整個(gè)系統(tǒng)安全目標(biāo)，現(xiàn)代安全策略應(yīng)該緊跟安全行業(yè)發(fā)展趨勢，在進(jìn)行安全方案設(shè)計(jì)、計(jì)劃時(shí)，遵照以下標(biāo)準(zhǔn)：

（1）體系性：制訂完整安全體系，應(yīng)包含安全管理體系、安全技術(shù)體系和安全保障體系。

（2）系統(tǒng)性：安全模塊和設(shè)引入應(yīng)該表現(xiàn)其系統(tǒng)統(tǒng)一到運(yùn)行和管理特征，以確保安全策略配置、實(shí)施正確性和一致性。應(yīng)該避免安全設(shè)備各自獨(dú)立配置和管理工作方法。

（3）層次性安全設(shè)計(jì)應(yīng)該按攝影關(guān)應(yīng)用安全需求，在各個(gè)層次上采取安全機(jī)制來實(shí)現(xiàn)所需安全服務(wù)，從而達(dá)成網(wǎng)絡(luò)信息安全目標(biāo)。

（4）綜合性：網(wǎng)絡(luò)信息安全設(shè)計(jì)包含從完備性（并有一定冗余）、優(yōu)異性和可擴(kuò)展性方面技術(shù)方案，和依據(jù)技術(shù)管理、業(yè)務(wù)管理和行政管理要求對應(yīng)安全管理方案，形成網(wǎng)絡(luò)安全工程設(shè)計(jì)整體方案，供工程分階段實(shí)施和安全系統(tǒng)運(yùn)行作為指導(dǎo)。

（5）動(dòng)態(tài)性：因?yàn)榫W(wǎng)絡(luò)信息系統(tǒng)建設(shè)和發(fā)展是逐步進(jìn)行，而安全技術(shù)和產(chǎn)品也不停更新和完善，所以，安全設(shè)計(jì)應(yīng)該在保護(hù)現(xiàn)有資源基礎(chǔ)上，表現(xiàn)最新、最成熟安全技術(shù)和產(chǎn)品，以滿足網(wǎng)絡(luò)安全系統(tǒng)安全目標(biāo)。4.1、安全體系結(jié)構(gòu)依據(jù)上述安全策略，整體安全體系中網(wǎng)絡(luò)安全工程必需實(shí)施：安全防護(hù)、檢測、響應(yīng)系統(tǒng)，安全體系結(jié)構(gòu)以下表。另外，依據(jù)實(shí)際安全需求，提議有選擇實(shí)施安全恢復(fù)系統(tǒng)。此次處理方案安全體系結(jié)構(gòu)參考中國證券機(jī)構(gòu)營業(yè)部信息系統(tǒng)技術(shù)管理規(guī)范來制訂，見下表：對象層次安全方法分類安全方法和技術(shù)操作管理安全安全防護(hù)安全操作規(guī)范安全操作控制系統(tǒng)安全檢測操作安全檢測操作安全審計(jì)安全響應(yīng)操作安全預(yù)警操作安全監(jiān)控應(yīng)用系統(tǒng)安全安全防護(hù)業(yè)務(wù)應(yīng)用安全等級(jí)劃分和訪問控制業(yè)務(wù)系統(tǒng)授權(quán)和訪問權(quán)限控制業(yè)務(wù)系統(tǒng)用戶身份認(rèn)證密鑰和證書管理技術(shù)資料管理數(shù)據(jù)真實(shí)性、完整性數(shù)字署名病毒防殺安全檢測應(yīng)用系統(tǒng)安全檢測業(yè)務(wù)應(yīng)用安全審計(jì)病毒檢驗(yàn)安全響應(yīng)安全預(yù)警安全監(jiān)控權(quán)限變更密鑰更新證書發(fā)放和撤消系統(tǒng)平臺(tái)安全防護(hù)病毒防殺安全檢測系統(tǒng)安全掃描和檢測安全審計(jì)病毒檢驗(yàn)安全響應(yīng)安全預(yù)警安全監(jiān)控操作系統(tǒng)補(bǔ)丁網(wǎng)絡(luò)平臺(tái)安全防護(hù)網(wǎng)絡(luò)級(jí)身份認(rèn)證和訪問控制（加密和防火墻）安全網(wǎng)絡(luò)結(jié)構(gòu)安全網(wǎng)絡(luò)管理和配置信息傳輸加密和網(wǎng)絡(luò)安全隔離虛網(wǎng)劃分安全檢測網(wǎng)絡(luò)安全掃描網(wǎng)絡(luò)入侵檢測安全審計(jì)安全響應(yīng)網(wǎng)絡(luò)安全監(jiān)控網(wǎng)絡(luò)安全預(yù)警物理安全防護(hù)防電磁輻射泄漏防雷防火主機(jī)硬件保安電源設(shè)備管理安全檢測電磁輻射檢測機(jī)房保安檢測系統(tǒng)環(huán)境建設(shè)檢驗(yàn)管理檢驗(yàn)安全響應(yīng)電磁干擾消防報(bào)警5、安全防范技術(shù)網(wǎng)絡(luò)隔離技術(shù)訪問控制技術(shù)加密技術(shù)判別技術(shù)數(shù)字署名技術(shù)入侵監(jiān)測技術(shù)信息審計(jì)技術(shù)安全評定技術(shù)病毒防治技術(shù)備份和恢復(fù)技術(shù)6、網(wǎng)絡(luò)整體處理方案6.1、安全體系根據(jù)安全策略要求及風(fēng)險(xiǎn)分析結(jié)果，證券網(wǎng)絡(luò)企業(yè)網(wǎng)絡(luò)安全方法應(yīng)依據(jù)證券網(wǎng)絡(luò)行業(yè)特點(diǎn)和符合證監(jiān)會(huì)證券經(jīng)營機(jī)構(gòu)信息系統(tǒng)安全指標(biāo)體系，根據(jù)網(wǎng)絡(luò)安全整體構(gòu)想來建立，具體安全控制系統(tǒng)由以下幾方面組成：6.2、物理安全確保計(jì)算機(jī)信息系統(tǒng)多種設(shè)備物理安全是整個(gè)計(jì)算機(jī)信息系統(tǒng)安全前提。

物理安全是保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備、設(shè)施和其它媒體免遭地震、水災(zāi)、火災(zāi)等環(huán)境事故和人為操作失誤或錯(cuò)誤及多種計(jì)算機(jī)犯罪行為造成破壞過程。它關(guān)鍵包含三個(gè)方面：

環(huán)境安全：對系統(tǒng)所在環(huán)境安全保護(hù)，如區(qū)域保護(hù)和災(zāi)難保護(hù)；（參見國家標(biāo)準(zhǔn)GB50173－93《電子計(jì)算機(jī)機(jī)房設(shè)計(jì)規(guī)范》、國家標(biāo)準(zhǔn)GB2887－89《計(jì)算站場地技術(shù)條件》、GB9361－88《計(jì)算站場地安全要求》）。

設(shè)備安全：關(guān)鍵包含設(shè)備防盜、防毀、防電磁信息輻射泄漏、預(yù)防線路截獲、抗電磁干擾及電源保護(hù)等；

媒體安全：包含媒體數(shù)據(jù)安全及媒體本身安全。6.3、系統(tǒng)安全系統(tǒng)安全關(guān)鍵關(guān)注網(wǎng)絡(luò)系統(tǒng)、操作系統(tǒng)和應(yīng)用系統(tǒng)三個(gè)層次。

系統(tǒng)安全采取技術(shù)和手段有冗余技術(shù)、網(wǎng)絡(luò)隔離技術(shù)、訪問控制技術(shù)、身份判別技術(shù)、加密技術(shù)、監(jiān)控審計(jì)技術(shù)、安全評定技術(shù)等。6.3.1、網(wǎng)絡(luò)系統(tǒng)網(wǎng)絡(luò)系統(tǒng)安全是網(wǎng)絡(luò)開放性、無邊界性、自由性造成，安全處理關(guān)鍵是把被保護(hù)網(wǎng)絡(luò)從開放、無邊界、自由環(huán)境中獨(dú)立出來，使網(wǎng)絡(luò)成為可控制、管理內(nèi)部系統(tǒng)，因?yàn)榫W(wǎng)絡(luò)系統(tǒng)是應(yīng)用系統(tǒng)基礎(chǔ)，網(wǎng)絡(luò)安全成為首要問題，處理網(wǎng)絡(luò)安全關(guān)鍵方法有：網(wǎng)絡(luò)冗余處理網(wǎng)絡(luò)系統(tǒng)單點(diǎn)故障關(guān)鍵方法，對關(guān)鍵性網(wǎng)絡(luò)線路、設(shè)備我們通常采取雙備或多備份方法，網(wǎng)絡(luò)運(yùn)行時(shí)雙方對運(yùn)行狀態(tài)相互實(shí)時(shí)監(jiān)控并自動(dòng)調(diào)整，當(dāng)網(wǎng)絡(luò)一段或一點(diǎn)發(fā)生故障或網(wǎng)絡(luò)信息流量突變時(shí)能在有效時(shí)間內(nèi)進(jìn)行切換分配，確保網(wǎng)絡(luò)正常運(yùn)行。

系統(tǒng)隔離分為物理隔離和邏輯隔離，關(guān)鍵從網(wǎng)絡(luò)安全等級(jí)考慮劃分合理網(wǎng)絡(luò)安全邊界，使不一樣安全等級(jí)網(wǎng)絡(luò)或信息媒介不能相互訪問，從而達(dá)成安全目標(biāo)。針對證券網(wǎng)絡(luò)系統(tǒng)特點(diǎn)通常把證券交易業(yè)務(wù)系統(tǒng)網(wǎng)絡(luò)和內(nèi)部辦公網(wǎng)絡(luò)進(jìn)行嚴(yán)格物理隔離，存放媒介則依據(jù)關(guān)鍵程度嚴(yán)格區(qū)分并只能經(jīng)過第三方進(jìn)行交換；對業(yè)務(wù)網(wǎng)絡(luò)或辦公網(wǎng)絡(luò)采取VLAN技術(shù)和通信協(xié)議實(shí)施邏輯隔離劃分不一樣應(yīng)用子網(wǎng)。

訪問控制對于網(wǎng)絡(luò)不一樣信任域?qū)崿F(xiàn)雙向控制或有限訪問標(biāo)準(zhǔn)，使受控子網(wǎng)或主機(jī)訪問權(quán)限和信息流向能得到有效控制。具體相對網(wǎng)絡(luò)對象而言需要處理網(wǎng)絡(luò)邊界控制和網(wǎng)絡(luò)內(nèi)部控制，對于網(wǎng)絡(luò)資源來說保持有限訪問標(biāo)準(zhǔn)，信息流向則可依據(jù)安全需求實(shí)現(xiàn)單向或雙向控制。訪問控制最關(guān)鍵設(shè)備就是防火墻，它通常安置在不一樣安全域出入口處，對進(jìn)出網(wǎng)絡(luò)IP信息包進(jìn)行過濾并按企業(yè)安全政策進(jìn)行信息流控制，同時(shí)實(shí)現(xiàn)網(wǎng)絡(luò)地址轉(zhuǎn)換、實(shí)時(shí)信息審計(jì)告警等功效，高級(jí)防火墻還可實(shí)現(xiàn)基于用戶細(xì)粒度訪問控制。證券系統(tǒng)防火墻配置在證券企業(yè)交易系統(tǒng)和公網(wǎng)交界處（包含INTERNET、系統(tǒng)內(nèi)部廣域網(wǎng)、相關(guān)業(yè)務(wù)網(wǎng)絡(luò)）和企業(yè)關(guān)鍵子網(wǎng)出口。

身份判別是對網(wǎng)絡(luò)訪問者權(quán)限識(shí)別，通常經(jīng)過三種方法驗(yàn)證主體身份，一是主體了解秘密，如用戶名、口令、密鑰；二是主體攜帶物品，如磁卡、IC卡、動(dòng)態(tài)口令卡和令牌卡等；三是主體特征或能力，如指紋、聲音、視網(wǎng)膜、署名等，在證券網(wǎng)絡(luò)系統(tǒng)中，前兩種方法利用較多。加密為了預(yù)防網(wǎng)絡(luò)上竊聽、泄漏、篡改和破壞，確保信息傳輸安全，對網(wǎng)上數(shù)據(jù)使用加密手段是最為有效方法?，F(xiàn)在加密能夠在三個(gè)層次來實(shí)現(xiàn)，即鏈路層加密、網(wǎng)絡(luò)層加密和應(yīng)用層加密。鏈路加密側(cè)重通信鏈路而不考慮信源和信宿，她對網(wǎng)絡(luò)高層主體是透明。網(wǎng)絡(luò)層加密采取IPSEC關(guān)鍵協(xié)議，含有加密、認(rèn)證雙重功效，是在IP層實(shí)現(xiàn)安全標(biāo)準(zhǔn)。經(jīng)過網(wǎng)絡(luò)加密能夠結(jié)構(gòu)企業(yè)內(nèi)部虛擬專網(wǎng)（VPN），使企業(yè)在較少投資下得到安全較大回報(bào)。

安全監(jiān)測采取信息偵聽方法尋求未授權(quán)網(wǎng)絡(luò)訪問嘗試和違規(guī)行為，包含網(wǎng)絡(luò)系統(tǒng)掃描、預(yù)警、阻斷、統(tǒng)計(jì)、跟蹤等，從而發(fā)覺系統(tǒng)遭受攻擊傷害。網(wǎng)絡(luò)掃描監(jiān)測系統(tǒng)作為對付電腦黑客最有效技術(shù)手段，含有實(shí)時(shí)、自適應(yīng)、主動(dòng)識(shí)別和響應(yīng)等特征，廣泛用于各行各業(yè)。

網(wǎng)絡(luò)掃描針對網(wǎng)絡(luò)設(shè)備安全漏洞進(jìn)行檢測和分析，包含網(wǎng)絡(luò)通信服務(wù)、路由器、防火墻、郵件、WEB服務(wù)器等，從而識(shí)別能被入侵者利用非法進(jìn)入網(wǎng)絡(luò)漏洞。網(wǎng)絡(luò)掃描系統(tǒng)對檢測到漏洞信息形成具體匯報(bào)，包含位置、具體描述和提議改善方案，使網(wǎng)管能檢測和管理安全風(fēng)險(xiǎn)信息。6.3.2、操作系統(tǒng)操作系統(tǒng)是管理計(jì)算機(jī)資源關(guān)鍵系統(tǒng)負(fù)責(zé)信息發(fā)送、管理設(shè)備存放空間和多種系統(tǒng)資源調(diào)度，它作為應(yīng)用系統(tǒng)軟件平臺(tái)含有通用性和易用性，操作系統(tǒng)安全性直接關(guān)系到應(yīng)用系統(tǒng)安全，操作系統(tǒng)安全分為應(yīng)用安全和安全漏洞掃描。

應(yīng)用安全面向應(yīng)用選擇可靠操作系統(tǒng)并按正確操作步驟使用計(jì)算機(jī)系統(tǒng)，杜絕使用來歷不明軟件，安裝操作系統(tǒng)保護(hù)和恢復(fù)軟件并作對應(yīng)備份。

系統(tǒng)掃描基于主機(jī)安全評定系統(tǒng)是在嚴(yán)格基礎(chǔ)上對系統(tǒng)安全風(fēng)險(xiǎn)等級(jí)進(jìn)行劃分，并提供完整安全漏洞檢驗(yàn)列表，經(jīng)過不一樣版本操作系統(tǒng)進(jìn)行掃描分析，對掃描漏洞自動(dòng)修補(bǔ)形成匯報(bào)，保護(hù)應(yīng)用程序、數(shù)據(jù)免受盜用、破壞。6.3.3、應(yīng)用系統(tǒng)證券行業(yè)應(yīng)用系統(tǒng)大致分為辦公系統(tǒng)、業(yè)務(wù)管理系統(tǒng)、業(yè)務(wù)服務(wù)系統(tǒng)，證券應(yīng)用系統(tǒng)安全除采取通用安全手段外關(guān)鍵依據(jù)企業(yè)本身經(jīng)營及管理需求來開發(fā)。

辦公系統(tǒng)文件(郵件)安全存放：利用加密手段，配合對應(yīng)身份判別和密鑰保護(hù)機(jī)制（IC卡、PCMCIA安全PC卡等），使得存放于本機(jī)和網(wǎng)絡(luò)服務(wù)器上個(gè)人和單位關(guān)鍵文件處于安全存放狀態(tài)，使得她人即使經(jīng)過多種手段非法獲取相關(guān)文件或存放介質(zhì)（硬盤等），也無法取得相關(guān)文件內(nèi)容。

文件（郵件）安全傳送：對經(jīng)過網(wǎng)絡(luò)（遠(yuǎn)程或近程）傳送給她人文件進(jìn)行安全處理（加密、署名、完整性判別等），使得被傳送文件只有指定收件者經(jīng)過對應(yīng)安全判別機(jī)制（IC卡、PCMCIAPC卡）才能解密并閱讀，杜絕了文件在傳送或抵達(dá)對方存放過程中被截獲、篡改等，關(guān)鍵用于信息網(wǎng)中報(bào)表傳送、公文下發(fā)等。

業(yè)務(wù)系統(tǒng)關(guān)鍵面向業(yè)務(wù)管理和信息服務(wù)安全需求，比如在證券交易管理中采取集中統(tǒng)一監(jiān)管系統(tǒng)，對業(yè)務(wù)流實(shí)時(shí)進(jìn)行監(jiān)控、統(tǒng)計(jì)、分析、查詢，預(yù)防違規(guī)操作，化解安全風(fēng)險(xiǎn)；對通用信息服務(wù)系統(tǒng)（電子郵件系統(tǒng)、WEB信息服務(wù)系統(tǒng)、FTP服務(wù)系統(tǒng)等）采取基于應(yīng)用開發(fā)安全軟件，如安全郵件系統(tǒng)、WEB頁面保護(hù)；對業(yè)務(wù)信息能夠配合管理系統(tǒng)采取對信息內(nèi)容審計(jì)稽查，預(yù)防外部非法信息侵入和內(nèi)部敏感信息泄漏。6.4、交易安全現(xiàn)在證券交易方法關(guān)鍵分為營業(yè)部柜臺(tái)交易、電話交易、網(wǎng)上交易，前兩種交易方法安全系數(shù)較高，而網(wǎng)上交易關(guān)鍵經(jīng)過公網(wǎng)完成交易全過程，因?yàn)楣W(wǎng)開放性和復(fù)雜性，使網(wǎng)上交易風(fēng)險(xiǎn)大大高于前者。幾乎全部參與網(wǎng)上證券交易證券企業(yè)采取是TCP/IP標(biāo)準(zhǔn)協(xié)議，應(yīng)用系統(tǒng)全部是基于C/S或B/S（瀏覽器/服務(wù)器）結(jié)構(gòu)，因?yàn)榻灰装l(fā)生在兩地，雙方缺乏可靠安全機(jī)制確保各自利益，針對網(wǎng)上證券交易風(fēng)險(xiǎn)和特點(diǎn)，保障交易安全通常采取授權(quán)、身份判別、信息加密、完整性校驗(yàn)、信息審計(jì)、防重發(fā)、防抵賴等安全機(jī)制，具體實(shí)現(xiàn)關(guān)鍵依靠基于PKI（公開密鑰密碼設(shè)施）體系現(xiàn)代密碼技術(shù)及在此基礎(chǔ)上開發(fā)應(yīng)用電子商務(wù)認(rèn)證加密系統(tǒng)（CA）。

交易安全標(biāo)準(zhǔn)現(xiàn)在在電子商務(wù)中關(guān)鍵安全標(biāo)準(zhǔn)有兩種：應(yīng)用層SET（安全電子交易）和會(huì)話層SSL（安全套層）協(xié)議。前者由信用卡機(jī)構(gòu)VISA及MasterCard提出針對電子錢包/商場/認(rèn)證中心安全標(biāo)準(zhǔn)，關(guān)鍵用于銀行等金融機(jī)構(gòu)；后者由NETSCAPE企業(yè)提出針對數(shù)據(jù)機(jī)密性/完整性/身份確定/開放性安全協(xié)議，實(shí)際上已成為WWW應(yīng)用安全標(biāo)準(zhǔn)，也是證券網(wǎng)上交易標(biāo)準(zhǔn)安全協(xié)議。

交易安全基礎(chǔ)體系交易安全基礎(chǔ)在于現(xiàn)代密碼技術(shù)，依靠于加密方法和強(qiáng)度。加密分為單密鑰對稱加密體系和雙密鑰非對稱加密體系。二者各有所長，對稱密鑰含有加密效率高，但存在密鑰分發(fā)困難、管理不便弱點(diǎn)；非對稱密鑰加密速度慢，但便于密鑰分發(fā)管理。在證券交易中通常把二者結(jié)合使用，達(dá)成高效安全目標(biāo)。；

交易安全實(shí)現(xiàn)完成證券交易需處理安全問題關(guān)鍵有交易雙方身份確定、交易指令及數(shù)據(jù)加密傳輸、數(shù)據(jù)完整性、預(yù)防雙方對交易結(jié)果抵賴。具體路徑為建立自己CA認(rèn)證中心或采取權(quán)威CA中心，經(jīng)過頒發(fā)對應(yīng)數(shù)字證書給和交易各方相關(guān)身份證實(shí)，同時(shí)在SSL協(xié)議體系下完成交易過程中電子證書驗(yàn)證、數(shù)字署名、指令數(shù)據(jù)加密傳輸、交易結(jié)果確定審計(jì)等。6.5、CA認(rèn)證在電子商務(wù)系統(tǒng)，全部參與活動(dòng)實(shí)體全部必需用證書來表明自己身份，數(shù)字證書就是網(wǎng)絡(luò)通訊中標(biāo)志通訊各方身份信息一系列數(shù)據(jù)，它提供了一個(gè)在Internet上驗(yàn)證您身份方法，其作用類似于司機(jī)駕駛執(zhí)照或日常生活中身份證.它是由一個(gè)由權(quán)威機(jī)構(gòu)-----CA機(jī)構(gòu)，又稱為證書授權(quán)(CertificateAuthority)中心發(fā)行，大家能夠在交往中用它來識(shí)別對方身份,首先能夠用來向系統(tǒng)中其它實(shí)體證實(shí)自己身份，其次每份證書全部攜帶著證書持有者公鑰，證書也能夠向接收者證實(shí)某人或某個(gè)機(jī)構(gòu)對公開密鑰擁有，同時(shí)也起著公鑰分發(fā)作用。數(shù)字證書是一個(gè)經(jīng)證書授權(quán)中心數(shù)字署名包含公開密鑰擁有者信息和公開密鑰文件。最簡單證書包含一個(gè)公開密鑰、名稱和證書授權(quán)中心數(shù)字署名。通常情況下證書中還包括密鑰有效時(shí)間，發(fā)證機(jī)關(guān)(證書授權(quán)中心)名稱，該證書序列號(hào)等信息，證書格式遵循ITUTX.509國際標(biāo)準(zhǔn)CA機(jī)構(gòu)數(shù)字署名使得攻擊者不能偽造和篡改證書。證書格式遵照X.509標(biāo)準(zhǔn)證書申請者進(jìn)行資格審查，并決定是否同意給該申請者發(fā)放證書，并負(fù)擔(dān)因?qū)徍隋e(cuò)誤引發(fā)、為不滿足資格證書申請者發(fā)放證書所引發(fā)一切后果，所以它應(yīng)由能夠負(fù)擔(dān)這些責(zé)任機(jī)構(gòu)擔(dān)任；另一個(gè)是證書操作部門（簡稱CP，CertificateProcessor），負(fù)責(zé)為已授權(quán)申請者制作、發(fā)放和管理證書，并負(fù)擔(dān)因操作運(yùn)行錯(cuò)誤所產(chǎn)生一切后果，包含失密和為沒有取得授權(quán)者發(fā)放證書等，它能夠由審核授權(quán)部門自己擔(dān)任，也可委托給第三方擔(dān)任。6.5.1、CA認(rèn)證機(jī)構(gòu)面臨威脅CA所提供服務(wù)是經(jīng)過Internet實(shí)施，面臨來自Internet攻擊威脅。同時(shí)，因?yàn)槠錁I(yè)務(wù)特殊性和關(guān)鍵性，還面臨來自內(nèi)部攻擊威脅。攻擊者目標(biāo)是多方面，其中以竊取CA關(guān)鍵機(jī)密（如密鑰對）是最嚴(yán)重威脅。1>系統(tǒng)穿透系統(tǒng)穿透系指攻擊者經(jīng)過一定手段對認(rèn)證性（真實(shí)性Authenticity）進(jìn)行攻擊，假冒正當(dāng)用戶接入系統(tǒng)，從而達(dá)成篡改系統(tǒng)文件、竊取系統(tǒng)機(jī)密信息、非法使用系統(tǒng)資源等目標(biāo)。攻擊者通常采取偽裝或利用系統(tǒng)微弱步驟（如繞過檢測控制）、搜集情報(bào)（如口令）等方法實(shí)現(xiàn)。在CA系統(tǒng)中，口令登錄大全部被電子令牌或數(shù)字證書登錄替換，所以系統(tǒng)穿透風(fēng)險(xiǎn)較小。2>違反授權(quán)規(guī)則違反授權(quán)標(biāo)準(zhǔn)系指攻擊者盜用一個(gè)正當(dāng)用戶賬號(hào)，經(jīng)授權(quán)進(jìn)入系統(tǒng)后，在系統(tǒng)中進(jìn)行未經(jīng)授權(quán)操作。一個(gè)攻擊者能夠經(jīng)過猜測口令等手段取得一個(gè)一般用戶賬號(hào)，以正當(dāng)身份接入系統(tǒng)，進(jìn)而可查找系統(tǒng)微弱步驟，最終取得系統(tǒng)最高控制權(quán)，從而嚴(yán)重危及系統(tǒng)安全。這種攻擊關(guān)鍵發(fā)生在CA管理人員內(nèi)部，需要關(guān)鍵防范，嚴(yán)格控制不一樣管理員權(quán)限。3>植入病毒在系統(tǒng)穿透或違反授權(quán)攻擊成功后，攻擊者通常要在系統(tǒng)中植入一個(gè)能力，為以后攻擊提供方便條件。如向系統(tǒng)中注入病毒、蛀蟲、特洛伊木馬、限門、邏輯炸彈等來破壞系統(tǒng)正常工作。從Internet下載軟件和使用盜版軟件是病毒關(guān)鍵起源，所以應(yīng)預(yù)防管理員使用CA系統(tǒng)中工作站下載軟件和使用來歷不明軟件。4〉通信監(jiān)視通信監(jiān)視是一個(gè)在通信過程中從信道進(jìn)行搭線竊聽攻擊方法。攻擊者經(jīng)過搭線和電磁泄漏等手段截取通信信息，對信息、業(yè)務(wù)流量等數(shù)據(jù)進(jìn)行分析，獲取有用情報(bào)，取得機(jī)密信息。CA認(rèn)證中心敏感信息在傳輸中，全部是經(jīng)過加密處理，但在機(jī)房數(shù)據(jù)處理中，數(shù)據(jù)會(huì)以明文形式出現(xiàn)，所以CA機(jī)房是反通信監(jiān)視關(guān)鍵部位。5〉中止中止系指對可用性進(jìn)行攻擊，破壞系統(tǒng)中硬件、硬盤、線路、文件系統(tǒng)等，使系統(tǒng)癱瘓，不能正常工作，破壞信息和網(wǎng)絡(luò)資源。這類攻擊通常采取暴力手段，破壞通信設(shè)施，甚至使用高能量電磁脈沖發(fā)射設(shè)備摧毀系統(tǒng)電子元器件。6〉拒絕服務(wù)拒絕服務(wù)攻擊手段能夠阻塞被攻擊目標(biāo)正當(dāng)接入信息、業(yè)務(wù)或其它資源，致使其正常服務(wù)中止。比如，一個(gè)業(yè)務(wù)出口被精心地策劃進(jìn)行濫用而使其它用戶不能正常接入，又如Internet一個(gè)地址被大量垃圾信息阻塞等。7>竊取或破解密鑰一個(gè)攻擊者假如竊取或破解了認(rèn)證中心私人密鑰，就能夠偽造數(shù)字證書，進(jìn)行詐騙活動(dòng)。8>管理漏洞CA系統(tǒng)安全性除了技術(shù)方面原因外，管理也是一個(gè)很關(guān)鍵原因。管理方面存在漏洞往往蘊(yùn)藏著極大風(fēng)險(xiǎn)和隱患。比如，CA署名私鑰只由一個(gè)工作人員管理和控制，當(dāng)這名工作人員受到賄賂以后，就極有可能簽發(fā)內(nèi)容不實(shí)數(shù)字證書。假如機(jī)密數(shù)據(jù)僅由一個(gè)工作人員管理和控制，那么這個(gè)人就有可能竊取和出賣這些資料，牟取非法利益，或有意損毀。所以，CA認(rèn)證中心在管理上必需制訂嚴(yán)密策略。9>數(shù)據(jù)損壞CA認(rèn)證中心數(shù)據(jù)庫存放了大量數(shù)字證書、用戶注冊資料等數(shù)據(jù)，當(dāng)發(fā)生電子商務(wù)方面糾紛時(shí)，這些數(shù)據(jù)將作為關(guān)鍵舉證依據(jù)。假如這些數(shù)據(jù)損壞，其后果相當(dāng)嚴(yán)重。6.5.2、CA認(rèn)證安全防范機(jī)制1、機(jī)房安全CA機(jī)房是整個(gè)認(rèn)證系統(tǒng)系統(tǒng)控制關(guān)鍵，必需設(shè)置獨(dú)立專用機(jī)房。CA中心機(jī)房，應(yīng)配置優(yōu)異門禁管理系統(tǒng)，預(yù)防非授權(quán)人員無意或有意進(jìn)入。對于敏感崗位操作，必需進(jìn)行身份識(shí)別和采取多人控制方法。2、訪問控制CA機(jī)房必需受到嚴(yán)格、高等級(jí)安全保護(hù)，最少應(yīng)該設(shè)置3層安全控制保護(hù)層，將機(jī)房分為不一樣安全區(qū)域。進(jìn)入數(shù)據(jù)中心和管理控制臺(tái)任何人員必需經(jīng)過3層安全控制保護(hù)層核準(zhǔn)。3、實(shí)時(shí)監(jiān)控為預(yù)防非法入侵和暴力破壞，CA機(jī)房應(yīng)設(shè)置智能化門禁系統(tǒng)，配置實(shí)時(shí)監(jiān)控系統(tǒng)和安全時(shí)鐘，統(tǒng)計(jì)開/關(guān)門、每次授權(quán)進(jìn)出活動(dòng)。4、全方面設(shè)防CA機(jī)房必需能夠屏蔽電磁波，預(yù)防信息經(jīng)由電磁輻射而引發(fā)秘密泄露。機(jī)房電力和空調(diào)系統(tǒng)應(yīng)采取主、備兩個(gè)系統(tǒng)，當(dāng)主系統(tǒng)發(fā)生故障時(shí)，能夠自動(dòng)開啟備用系統(tǒng)。機(jī)房應(yīng)該配置自動(dòng)氣體消防系統(tǒng)，能夠在火災(zāi)發(fā)生之初進(jìn)行預(yù)警檢測和自動(dòng)滅火。5、CA中心密鑰安全數(shù)字證書安全性和可靠性關(guān)鍵依靠CA認(rèn)證中心數(shù)字署名來確保，而CA數(shù)字署名是使用本身私有密鑰運(yùn)算產(chǎn)生。所以，CA中心密鑰安全很關(guān)鍵，一旦密鑰泄露，將引發(fā)整個(gè)信任體制瓦解。為此，對于CA中心密鑰安全方法，通常需要注意以下多個(gè)方面標(biāo)準(zhǔn)：☆選擇模長較長密鑰認(rèn)證中心公共密鑰會(huì)受到多個(gè)攻擊，基于Internet“聯(lián)機(jī)運(yùn)算”就是一個(gè)。這種攻擊利用上千臺(tái)計(jì)算機(jī)，采取“窮舉”方法進(jìn)行計(jì)算。密鑰長度越長，密碼空間就越大（對于模長為n位密碼，其有效密碼空間為2n），采取“窮舉”方法攻擊代價(jià)就越大。所以，CA中心必需使用很長密鑰。從現(xiàn)在計(jì)算機(jī)運(yùn)算速度來看，采取1024位密鑰是安全。CA根節(jié)點(diǎn)密鑰長度最少應(yīng)該達(dá)成1024位，最好能做到2048位，但現(xiàn)在很多應(yīng)用軟件還不支持2048位加解密運(yùn)算。6.6、數(shù)據(jù)安全數(shù)據(jù)安全牽涉到數(shù)據(jù)庫安全和數(shù)據(jù)本身安全，針對二者應(yīng)有對應(yīng)安全方法。

數(shù)據(jù)庫安全證券企業(yè)數(shù)據(jù)庫通常采取含有一定安全等級(jí)SYBASE或ORACLE大型分布式數(shù)據(jù)庫，鑒于數(shù)據(jù)庫關(guān)鍵性，還應(yīng)在此基礎(chǔ)上開發(fā)部分安全方法，增加對應(yīng)控件，對數(shù)據(jù)庫分級(jí)管理并提供可靠故障恢復(fù)機(jī)制，實(shí)現(xiàn)數(shù)據(jù)庫訪問、存取、加密控制。具體實(shí)現(xiàn)方法有安全數(shù)據(jù)庫系統(tǒng)、數(shù)據(jù)庫保密系統(tǒng)、數(shù)據(jù)庫掃描系統(tǒng)等。

數(shù)據(jù)安全指存放在數(shù)據(jù)庫數(shù)據(jù)本身安全，對應(yīng)保護(hù)方法有安裝反病毒軟件，建立可靠數(shù)據(jù)備份和恢復(fù)系統(tǒng)如行情備份系統(tǒng)，對股民個(gè)人資料和交易數(shù)據(jù)按安全等級(jí)劃分存放，一些關(guān)鍵數(shù)據(jù)甚至能夠采取加密保護(hù)。6.7、安全管理面對網(wǎng)絡(luò)安全脆弱性，除了利用優(yōu)異網(wǎng)絡(luò)安全技術(shù)和安全系統(tǒng)外，完善網(wǎng)絡(luò)安全管理將是信息系統(tǒng)建設(shè)關(guān)鍵組成部分，很多不安全原因恰恰反應(yīng)在組織資源管理上，安全管理應(yīng)該貫穿在安全各個(gè)層次上。安全管理三標(biāo)準(zhǔn)：

·多人負(fù)責(zé)標(biāo)準(zhǔn)

每一項(xiàng)和安全相關(guān)活動(dòng)，全部必需有兩人或多人在場。這些人應(yīng)是系統(tǒng)主管領(lǐng)導(dǎo)指派，她們忠誠可靠，能勝任此項(xiàng)工作；她們應(yīng)該簽署工作情況統(tǒng)計(jì)以證實(shí)安全工作已得到保障。

·任期有限標(biāo)準(zhǔn)

通常地講，任何人最好不要長久擔(dān)任和安全相關(guān)職務(wù)，以免使她認(rèn)為這個(gè)職務(wù)是專有或永久性。為遵照任期有限標(biāo)準(zhǔn)，工作人員應(yīng)不定時(shí)地循環(huán)任職，強(qiáng)制實(shí)施休假制度，并要求對工作人員進(jìn)行輪番培訓(xùn)，以使任期有限制度切實(shí)可行。

·職責(zé)分離標(biāo)準(zhǔn)

在信息處理系統(tǒng)工作人員不要探詢、了解或參與職責(zé)以外任何和安全相關(guān)事情，除非系統(tǒng)主管領(lǐng)導(dǎo)同意。信息系統(tǒng)安全管理實(shí)現(xiàn)

·安全制度管理依據(jù)證監(jiān)會(huì)《證券經(jīng)營機(jī)構(gòu)營業(yè)部信息系統(tǒng)管理規(guī)范》、《網(wǎng)上證券委托暫行管理措施》等相關(guān)法規(guī)要求，建立本行業(yè)管理制度，包含機(jī)房管理、網(wǎng)絡(luò)管理、數(shù)據(jù)管理、設(shè)備管理、應(yīng)急處理、人員管理、技術(shù)資料管理等相關(guān)信息系統(tǒng)建設(shè)規(guī)范。

·安全目標(biāo)管理

1.根據(jù)技術(shù)管理目標(biāo)，展開對最新網(wǎng)絡(luò)安全技術(shù)跟蹤研究，并就證券行業(yè)信息系統(tǒng)安全技術(shù)進(jìn)行交流、探討，從而提出本企業(yè)網(wǎng)絡(luò)安全技術(shù)和管理策略。

2.根據(jù)資源管理目標(biāo)，對證券行業(yè)網(wǎng)絡(luò)系統(tǒng)物理資源、網(wǎng)絡(luò)資源、信息資源實(shí)現(xiàn)統(tǒng)一資源分配設(shè)置，依據(jù)資源關(guān)鍵程度確定安全等級(jí)，從而確立安全管理范圍。

3.根據(jù)用戶管理目標(biāo)，依據(jù)統(tǒng)一標(biāo)準(zhǔn)劃分用戶角色，對不一樣用戶在交易中風(fēng)險(xiǎn)高低及可能帶來損失采取安全防范方法，比如對常常進(jìn)行網(wǎng)上交易關(guān)鍵用戶或大用戶設(shè)置虛擬大用戶室，由證券企業(yè)給和必需技術(shù)支援和培訓(xùn)。6.8、安全服務(wù)建立網(wǎng)絡(luò)安全保障體系不能僅僅依靠現(xiàn)有安全機(jī)制和設(shè)備，更關(guān)鍵是提供全方位安全服務(wù)。網(wǎng)絡(luò)安全不是多個(gè)安全產(chǎn)品集合，它作為一項(xiàng)系統(tǒng)工程已經(jīng)形成了自己專業(yè)體系，沒有優(yōu)異科學(xué)知識(shí)結(jié)構(gòu)極難對此進(jìn)行全方面細(xì)致把握；網(wǎng)絡(luò)安全系統(tǒng)存在固有弱點(diǎn)，即使最微小安全漏洞全部可能引發(fā)整個(gè)網(wǎng)絡(luò)系統(tǒng)瓦解；同時(shí)網(wǎng)絡(luò)安全處于信息產(chǎn)業(yè)飛速發(fā)展大環(huán)境下，現(xiàn)有系統(tǒng)安全只是臨時(shí)、靜態(tài)，全部這些問題全部必需經(jīng)過連續(xù)全方面安全服務(wù)來處理。完善安全服務(wù)應(yīng)包含全方位安全咨詢，整體系統(tǒng)安全策劃、設(shè)計(jì)，優(yōu)質(zhì)工程實(shí)施、細(xì)致立即售后服務(wù)和技術(shù)培訓(xùn)。除此之外，定時(shí)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評定，幫助用戶制訂尤其事件應(yīng)急響應(yīng)方案擴(kuò)充了安全服務(wù)內(nèi)涵。6.9、安全目標(biāo)經(jīng)過計(jì)劃建立證券系統(tǒng)安全體系，綜合利用多種安全技術(shù)和手段，我們要達(dá)成安全目標(biāo)為：

靜態(tài)安全目標(biāo)包含整個(gè)證券信息系統(tǒng)物理環(huán)境、系統(tǒng)硬、軟件結(jié)構(gòu)和可用信息資源，確保證券交易系統(tǒng)實(shí)體平臺(tái)安全。

動(dòng)態(tài)安全目標(biāo)提升證券信息系統(tǒng)安全軟環(huán)境，包含安全管理、安全服務(wù)、安全思想意識(shí)和人員安全專業(yè)素質(zhì)。7、網(wǎng)絡(luò)系統(tǒng)安全總體方案設(shè)計(jì)7.1、網(wǎng)絡(luò)安全步驟設(shè)計(jì)網(wǎng)絡(luò)安全步驟圖事故結(jié)束事故發(fā)生網(wǎng)絡(luò)安全步驟圖事故結(jié)束事故發(fā)生事后階段事故階段預(yù)防階段文件恢復(fù)文件備份 事后階段事故階段預(yù)防階段文件恢復(fù)文件備份日志審計(jì)、追查責(zé)任自動(dòng)恢復(fù)立即發(fā)覺及報(bào)警定時(shí)對網(wǎng)絡(luò)檢驗(yàn)日志審計(jì)、追查責(zé)任自動(dòng)恢復(fù)立即發(fā)覺及報(bào)警定時(shí)對網(wǎng)絡(luò)檢驗(yàn) 監(jiān)測監(jiān)控系統(tǒng)&恢復(fù)系統(tǒng)備份系統(tǒng)防火墻安全檢驗(yàn)監(jiān)測監(jiān)控系統(tǒng)&恢復(fù)系統(tǒng)備份系統(tǒng)防火墻安全檢驗(yàn)系統(tǒng)備份系統(tǒng)病毒防護(hù)系統(tǒng)病毒防護(hù)系統(tǒng)構(gòu)件一個(gè)網(wǎng)絡(luò)安全方案必需依據(jù)網(wǎng)絡(luò)綜合性、均衡性、折衷性、動(dòng)態(tài)性認(rèn)真考慮。依據(jù)證券企業(yè)網(wǎng)絡(luò)具體情況和要求，我們提議從以下幾點(diǎn)考慮。預(yù)防方法防護(hù)方法補(bǔ)救方法7.1.1、預(yù)防方法一個(gè)安全網(wǎng)絡(luò)首先做好預(yù)防方法，做好預(yù)防工作是提升網(wǎng)絡(luò)安全，降低網(wǎng)絡(luò)事故，確保網(wǎng)絡(luò)通暢，降低數(shù)據(jù)丟失前提。預(yù)防方面我們提議采取多個(gè)方法：采取網(wǎng)絡(luò)安全檢驗(yàn)系統(tǒng)采取備份系統(tǒng)網(wǎng)絡(luò)安全檢驗(yàn)原理模擬用戶輸入檢驗(yàn)?zāi)繕?biāo)用戶輸入檢驗(yàn)?zāi)繕?biāo)目標(biāo)搜索引擎目標(biāo)搜索引擎關(guān)鍵檢驗(yàn)?zāi)K庫安全漏洞檢驗(yàn)引擎關(guān)鍵檢驗(yàn)?zāi)K庫安全漏洞檢驗(yàn)引擎瀏覽器報(bào)表生成模塊瀏覽器報(bào)表生成模塊采取掃描系統(tǒng)，我們能夠?qū)ξ覀兙W(wǎng)絡(luò)安全性能有個(gè)了解。為了預(yù)防黑客攻擊，我們能夠事先采取黑客攻擊手段，對網(wǎng)絡(luò)進(jìn)行預(yù)防性攻擊，以不破壞系統(tǒng)為目標(biāo)，預(yù)先發(fā)覺漏洞，進(jìn)行防范、更正，以提升網(wǎng)絡(luò)安全性。文件備份數(shù)據(jù)庫保護(hù)正以迅猛速度發(fā)展成為當(dāng)今企業(yè)最關(guān)鍵組成原因之一，對于諸如MicrosoftExchangeServer和MicrosoftSQLServer之類關(guān)鍵數(shù)據(jù)庫來說更是如此。數(shù)據(jù)(下至個(gè)人郵箱及表格中數(shù)據(jù))必需保持高可用性，且不應(yīng)對整個(gè)企業(yè)造成影響。7.1.2、防護(hù)方法路由器防火墻用戶用戶路由器防火墻用戶用戶主機(jī)傳感器用戶內(nèi)部網(wǎng)公網(wǎng)主機(jī)傳感器用戶內(nèi)部網(wǎng)公網(wǎng)網(wǎng)絡(luò)傳感器網(wǎng)絡(luò)傳感器安全監(jiān)控中心網(wǎng)絡(luò)傳感器安全監(jiān)控中心網(wǎng)絡(luò)傳感器在防護(hù)方法中，我們采取了防火墻+監(jiān)測監(jiān)控來實(shí)現(xiàn)我們目標(biāo)。因?yàn)槲覀円呀?jīng)進(jìn)行過掃描，降低了防火墻漏洞，當(dāng)網(wǎng)絡(luò)遭到攻擊時(shí)，已經(jīng)有防火墻對網(wǎng)絡(luò)防護(hù)，將攻擊抵擋在外面，確保了網(wǎng)絡(luò)安全。同時(shí)我們還能夠經(jīng)過對網(wǎng)絡(luò)監(jiān)測監(jiān)控來實(shí)現(xiàn)對網(wǎng)絡(luò)安全補(bǔ)充。監(jiān)測監(jiān)控系統(tǒng)能夠達(dá)成兩個(gè)方面作用，首先監(jiān)測監(jiān)控系統(tǒng)能夠在指定時(shí)間內(nèi)統(tǒng)計(jì)全部連接信息，任何非法連接信息全部將留下證據(jù)，而且出現(xiàn)指定非法網(wǎng)絡(luò)連接時(shí)，系統(tǒng)將進(jìn)行報(bào)警或掛斷連接操作，為管理網(wǎng)絡(luò)安全，確保網(wǎng)絡(luò)上信息符合國家法規(guī)提供了保障，這一點(diǎn)是防火墻無法實(shí)現(xiàn)，也是政府網(wǎng)絡(luò)所必需要求，從內(nèi)網(wǎng)方面補(bǔ)充了網(wǎng)絡(luò)安全另一面。其次，監(jiān)測監(jiān)控系統(tǒng)也是對防火墻補(bǔ)充，我們能夠依據(jù)具體情況定義有入侵特征數(shù)據(jù)包，當(dāng)檢測到有入侵行為可能時(shí)進(jìn)行報(bào)警，是我們依據(jù)具體情況，采取對應(yīng)方法，提升了網(wǎng)絡(luò)抗攻擊性。7.1.3、補(bǔ)救方法網(wǎng)絡(luò)安全是相正確，不是絕正確。在我們安全防范方法無法保護(hù)我們網(wǎng)絡(luò)時(shí)，我們能做就是快速恢復(fù)網(wǎng)頁，恢復(fù)數(shù)據(jù)，降低損失。在這里我們能夠使用恢復(fù)系統(tǒng)，對被破壞網(wǎng)絡(luò)部分進(jìn)行恢復(fù)，而且經(jīng)過預(yù)防方法中數(shù)據(jù)備份作用，我們能夠有效確保數(shù)據(jù)恢復(fù)可能性和快速性。在這里,我們還要尤其指出貫穿于整個(gè)安全實(shí)施過程關(guān)鍵步驟—防病毒體系做好網(wǎng)絡(luò)防病毒工作是提升系統(tǒng)安全性一個(gè)關(guān)鍵方面，但完美系統(tǒng)是不存在．多數(shù)時(shí)間用于系統(tǒng)病毒檢驗(yàn)以提升一定系統(tǒng)安全性，將使系統(tǒng)失去了可用性和實(shí)用性；其次，信息保密要求讓人在泄密和抓住病毒之間無法選擇。這么，病毒和反病毒將成為一個(gè)長久技術(shù)對抗．病毒關(guān)鍵由反病毒軟件來對付，而且反病毒技術(shù)將成為一個(gè)長久科研做下去．現(xiàn)在，假如需要對整個(gè)網(wǎng)絡(luò)進(jìn)行規(guī)范化網(wǎng)絡(luò)病毒防范，我們就必需了解最新技術(shù)，結(jié)合網(wǎng)絡(luò)病毒入口點(diǎn)分析，很好地將這些技術(shù)應(yīng)用到自己網(wǎng)絡(luò)中去，形成一個(gè)協(xié)同作戰(zhàn)、統(tǒng)一管理局面，實(shí)現(xiàn)鞏固網(wǎng)絡(luò)安全。7.2、網(wǎng)絡(luò)安全總體拓?fù)浣Y(jié)構(gòu)示意圖7.3、網(wǎng)絡(luò)安全處理方案證券企業(yè)網(wǎng)絡(luò)安全設(shè)備采取以下產(chǎn)品安全檢驗(yàn)系統(tǒng)監(jiān)測監(jiān)控系統(tǒng)備份系統(tǒng)防病毒系統(tǒng)防火墻系統(tǒng)VPN系統(tǒng)7.3.1、安全檢驗(yàn)系統(tǒng)（漏洞掃描系統(tǒng)）依據(jù)需求分析結(jié)果，提議選擇掃描系統(tǒng)應(yīng)綜合基于主機(jī)和基于網(wǎng)絡(luò)安全檢測技術(shù)：能尋求網(wǎng)絡(luò)安全漏洞、評定并提出修改提議，模擬黑客攻擊方法，檢測網(wǎng)絡(luò)協(xié)議、網(wǎng)絡(luò)服務(wù)、網(wǎng)絡(luò)設(shè)備等方面漏洞；能夠檢驗(yàn)操作系統(tǒng)本身固有安全漏洞和系統(tǒng)文件不安全配置，并指示用戶怎樣修補(bǔ)漏洞以使操作系統(tǒng)安全風(fēng)險(xiǎn)降到最??；經(jīng)過上述兩種掃描工具綜合利用，能夠檢驗(yàn)包含WEB、FTP、郵件系統(tǒng)、DNS等網(wǎng)絡(luò)基礎(chǔ)服務(wù)和業(yè)務(wù)系統(tǒng)、辦公自動(dòng)化系統(tǒng)、電子商務(wù)系統(tǒng)等應(yīng)用程序本身安全漏洞和因?yàn)榕渲貌煌自斐砂踩┒?，確保用戶在網(wǎng)絡(luò)上應(yīng)用系統(tǒng)安全。本方案所選擇掃描系統(tǒng)含有以下技術(shù)特點(diǎn)：◆含有強(qiáng)大掃描分析能力。網(wǎng)絡(luò)安全掃描系統(tǒng)針對網(wǎng)絡(luò)系統(tǒng)中存在主要弱點(diǎn)和漏洞，能全方位，多側(cè)面地對網(wǎng)絡(luò)安全隱患進(jìn)行掃描分析，基礎(chǔ)上覆蓋了現(xiàn)在網(wǎng)絡(luò)系統(tǒng)存在關(guān)鍵弱點(diǎn)和漏洞，含有強(qiáng)大掃描分析能力?！艉邪踩呗宰远x能力。網(wǎng)絡(luò)安全掃描系統(tǒng)提供安全策略配置功效，用戶可依據(jù)不一樣安全需求，選擇或自定義不一樣掃描策略，對對應(yīng)網(wǎng)絡(luò)設(shè)施進(jìn)行掃描分析。◆面向多操作系統(tǒng)，多個(gè)網(wǎng)絡(luò)設(shè)備，含有較強(qiáng)適用性◆網(wǎng)絡(luò)安全掃描系統(tǒng)檢測對象覆蓋在用主流操作系統(tǒng)：SunSolaris，IBMAix，DigitalUNIX，SGIIRIX，Linux，WindowsNT等系統(tǒng)。它適適用于TCP/IP網(wǎng)絡(luò)和Internet/Intranet環(huán)境；適適用于WWW服務(wù)器、防火墻、網(wǎng)絡(luò)主機(jī)和其它TCP/IP相關(guān)設(shè)備?！艉羞h(yuǎn)程和當(dāng)?shù)貎煞N工作模式◆網(wǎng)絡(luò)安全掃描系統(tǒng)能夠?qū)赥CP/IP網(wǎng)絡(luò)主機(jī)實(shí)施掃描分析，含有跨網(wǎng)關(guān)操作能力，可經(jīng)過專線或撥號(hào)方法接入任何基于TCP/IP網(wǎng)絡(luò)系統(tǒng)，支持當(dāng)?shù)鼗蜻h(yuǎn)程兩種工作模式?！粽_全方面匯報(bào)網(wǎng)絡(luò)存在弱點(diǎn)和漏洞。網(wǎng)絡(luò)安全性分析系統(tǒng)能夠正確具體地匯報(bào)網(wǎng)絡(luò)系統(tǒng)目前存在弱點(diǎn)和漏洞。弱點(diǎn)和漏洞可能是系統(tǒng)不完善或BUG，也可能是因?yàn)橄到y(tǒng)配置不妥而帶來。◆匯報(bào)掃描對象相關(guān)信息和對外提供服務(wù)◆網(wǎng)絡(luò)安全掃描系統(tǒng)能具體匯報(bào)掃描對象系統(tǒng)信息，如操作系統(tǒng)版本信息等。網(wǎng)絡(luò)安全性分析系統(tǒng)還能匯報(bào)目前掃描對象對外提供服務(wù)信息，這有利于管理人員立即正確地了解自己系統(tǒng)對外提供端口服務(wù)，并立即關(guān)閉對外提供無須要端口服務(wù)。◆能夠提議補(bǔ)救方法和安全策略◆網(wǎng)絡(luò)安全掃描系統(tǒng)不僅能發(fā)覺系統(tǒng)中存在弱點(diǎn)和漏洞，而且能向用戶提供修補(bǔ)這些弱點(diǎn)和漏洞提議和可選擇方法、能就用戶系統(tǒng)安全策略制訂提供提議，最大程度地幫助用戶實(shí)現(xiàn)信息系統(tǒng)安全?！艉猩煞菸鰠R報(bào)能力◆網(wǎng)絡(luò)安全掃描系統(tǒng)在掃描分析目標(biāo)網(wǎng)絡(luò)后，能夠給用戶提供一份完整安全性分析匯報(bào)。匯報(bào)將系統(tǒng)地對目標(biāo)網(wǎng)絡(luò)系統(tǒng)安全性進(jìn)行具體描述，為用戶確保網(wǎng)絡(luò)安全提供依據(jù)?！艉休^強(qiáng)自我防護(hù)能力推薦配置方案生產(chǎn)廠家：XX軟科集團(tuán)產(chǎn)品名稱：網(wǎng)絡(luò)安全檢驗(yàn)系統(tǒng)HBNSSXX軟科網(wǎng)絡(luò)安全檢驗(yàn)系統(tǒng)ZYNSS作為一個(gè)全自動(dòng)安全風(fēng)險(xiǎn)評定工具，側(cè)重于“事前階段”。它模擬黑客進(jìn)攻手段和技術(shù)，對被檢系統(tǒng)進(jìn)行黑客攻擊式安全漏洞和安全隱患掃描，并提交風(fēng)險(xiǎn)評定匯報(bào)，其中提供了對應(yīng)整改方法。預(yù)防性安全檢驗(yàn)最大程度地暴露了現(xiàn)存網(wǎng)絡(luò)系統(tǒng)中存在安全隱患，配合行之有效整改方法，能夠?qū)⒕W(wǎng)絡(luò)系統(tǒng)運(yùn)行風(fēng)險(xiǎn)降至最低。NSS關(guān)鍵特點(diǎn)：綜合了中國外同類安全產(chǎn)品尤其是國外著名安全產(chǎn)品思緒和優(yōu)點(diǎn)，并考慮了中國網(wǎng)絡(luò)系統(tǒng)國情和現(xiàn)實(shí)狀況，技術(shù)起點(diǎn)高，實(shí)用性強(qiáng)。在系統(tǒng)中尤其集成了完整漏洞修補(bǔ)提議和網(wǎng)絡(luò)安全實(shí)用手冊。

檢測范圍廣。系統(tǒng)基于TCP/IP協(xié)議，尤其針對WINNT系統(tǒng)中存在安全問題進(jìn)行了深入研究。系統(tǒng)能夠檢測基于TCP/IP網(wǎng)絡(luò)軟硬件產(chǎn)品，并能深入檢測WINDOWS系列操作系統(tǒng)尤其是應(yīng)用越來越廣泛WINNT系統(tǒng)和Windows系統(tǒng)，和運(yùn)行在她們之上多個(gè)BackOffice服務(wù)器。

運(yùn)行在WINNT平臺(tái)，全漢字界面，在進(jìn)行檢測前掃描策略配置簡單明了。對每一項(xiàng)可檢測漏洞全部有詳盡說明。

針對國家信息保密特殊要求，增加了物理安全隔離檢驗(yàn)、局域網(wǎng)涉密信息檢驗(yàn)和局域網(wǎng)用戶信息檢驗(yàn)等多個(gè)特色功效。

強(qiáng)大漏洞掃描能力，可對受檢系統(tǒng)進(jìn)行多視角、多層面黑客攻擊式掃描。7月，國家公安部安全產(chǎn)品評測中心測評認(rèn)為該產(chǎn)品可對包含當(dāng)初最新黑客攻擊技術(shù)在內(nèi)500余種攻擊手段進(jìn)行模擬攻擊。在3月升級(jí)版中，模擬攻擊手段已達(dá)成900余種。

用戶能夠按計(jì)劃中系統(tǒng)安全目標(biāo)，自定義每次安全掃描策略以對系統(tǒng)和網(wǎng)絡(luò)進(jìn)行安全掃描。具體掃描策略設(shè)定細(xì)化到用戶能夠選擇是否掃描每一個(gè)漏洞。系統(tǒng)對漏洞進(jìn)行了詳盡風(fēng)險(xiǎn)等級(jí)管理，漏洞風(fēng)險(xiǎn)一目了然。

細(xì)致入微地匯報(bào)系統(tǒng)中存在弱點(diǎn)漏洞。列出了從目標(biāo)操作系統(tǒng)類型、漏洞列表、開放端口號(hào)和服務(wù)，直到系統(tǒng)中存在用戶等受檢對象相關(guān)信息。

完善掃描匯報(bào)生成能力。掃描結(jié)束后能夠由系統(tǒng)自動(dòng)生成份析匯報(bào)，其中包含了詳盡漏洞說明，風(fēng)險(xiǎn)等級(jí)，補(bǔ)救方法，教授提議和相關(guān)資源連接。

工作方法和檢驗(yàn)方法靈活。能夠檢驗(yàn)當(dāng)?shù)鼐钟蚓W(wǎng)，也能夠經(jīng)過撥號(hào)接入或以跨網(wǎng)關(guān)方法檢驗(yàn)?zāi)繕?biāo)系統(tǒng)。能夠單獨(dú)檢驗(yàn)一臺(tái)主機(jī)，也能夠檢驗(yàn)整個(gè)網(wǎng)段。

系統(tǒng)采取了開放式體系結(jié)構(gòu)和模塊化思想，而且企業(yè)有專業(yè)小組跟蹤黑客攻擊手段和系統(tǒng)漏洞，從而做到動(dòng)態(tài)更新檢驗(yàn)?zāi)０鍘?，保護(hù)用戶免受最新攻擊手段攻擊。

企業(yè)有著強(qiáng)大開發(fā)和優(yōu)異管理模式，和靈活運(yùn)作方法。技術(shù)和研究力量雄厚，并能夠根據(jù)用戶具體要求增刪對應(yīng)功效模塊，以滿足用戶要求，確保系統(tǒng)最好性價(jià)比。

NSS技術(shù)特點(diǎn)綜合了國外著名安全產(chǎn)品優(yōu)點(diǎn)和思緒，起點(diǎn)高技術(shù)優(yōu)異，檢測范圍廣，可覆蓋INTERNET/INTRANET全部主流部件采取開放式體系結(jié)構(gòu)，可動(dòng)態(tài)更新關(guān)鍵檢驗(yàn)?zāi)０鍘欤子谏?jí)運(yùn)行在WINDOWSNT平臺(tái)，漢字界面，配置簡練操作方便針對保密系統(tǒng)領(lǐng)域特殊要求，增加了安全隔離檢驗(yàn)，涉密信息檢驗(yàn)等特定功效模塊7.3.2、監(jiān)控監(jiān)測（含入侵檢測）技術(shù)概述入侵檢測技術(shù)就是一個(gè)主動(dòng)保護(hù)自己免受黑客攻擊一個(gè)網(wǎng)絡(luò)安全技術(shù)。入侵檢測技術(shù)能夠幫助系統(tǒng)對付網(wǎng)絡(luò)攻擊，擴(kuò)展系統(tǒng)管理員安全管理能力(包含安全審計(jì)、監(jiān)視、進(jìn)攻識(shí)別和響應(yīng))，提升信息安全基礎(chǔ)結(jié)構(gòu)完整性。它從計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中關(guān)鍵點(diǎn)搜集信息，并分析這些信息，看看網(wǎng)絡(luò)中是否有違反安全策略行為和遭到攻擊跡象。入侵檢測被認(rèn)為是防火墻以后第二道安全閘門，它在不影響網(wǎng)絡(luò)性能情況下能對網(wǎng)絡(luò)進(jìn)行監(jiān)測，從而提供對內(nèi)部攻擊、外部攻擊和誤操作實(shí)時(shí)保護(hù)。大多數(shù)傳統(tǒng)入侵檢測系統(tǒng)（IDS）采取基于網(wǎng)絡(luò)或基于主機(jī)措施來識(shí)別并躲避攻擊。在任何一個(gè)情況下，該產(chǎn)品全部要尋求“攻擊標(biāo)志”，即一個(gè)代表惡意或可疑意圖攻擊模式。當(dāng)IDS在網(wǎng)絡(luò)中尋求這些模式時(shí)，它是基于網(wǎng)絡(luò)。而當(dāng)IDS在統(tǒng)計(jì)文件中尋求攻擊標(biāo)志時(shí)，它是基于主機(jī)。每種方法全部有其優(yōu)勢和劣勢，兩種方法互為補(bǔ)充。一個(gè)真正有效入侵檢測系統(tǒng)應(yīng)將二者結(jié)合。本節(jié)討論了基于主機(jī)和基于網(wǎng)絡(luò)入侵檢測技術(shù)不一樣之處，以說明怎樣將這二種方法融合在一起，以提供愈加有效入侵檢測和保護(hù)方法?！艋诰W(wǎng)絡(luò)入侵檢測基于網(wǎng)絡(luò)入侵檢測系統(tǒng)使用原始網(wǎng)絡(luò)包作為數(shù)據(jù)源。基于網(wǎng)絡(luò)IDS通常利用一個(gè)運(yùn)行在隨機(jī)模式下網(wǎng)絡(luò)適配器來實(shí)時(shí)監(jiān)視并分析經(jīng)過網(wǎng)絡(luò)全部通信業(yè)務(wù)。它攻擊辯識(shí)模塊通常使用四種常見技術(shù)來識(shí)別攻擊標(biāo)志：模式、表示式或字節(jié)匹配頻率或穿越閥值低級(jí)事件相關(guān)性規(guī)統(tǒng)學(xué)意義上很規(guī)現(xiàn)象檢測一旦檢測到了攻擊行為，IDS響應(yīng)模塊就提供多個(gè)選項(xiàng)以通知、報(bào)警并對攻擊采取對應(yīng)反應(yīng)。反應(yīng)因產(chǎn)品而異，但通常全部包含通知管理員、中止連接而且/或?yàn)榉ㄍシ治龊妥C據(jù)搜集而做會(huì)話統(tǒng)計(jì)?！艋谥鳈C(jī)入侵檢測基于主機(jī)入侵檢測出現(xiàn)在80年代早期，那時(shí)網(wǎng)絡(luò)還沒有今天這么普遍、復(fù)雜，且網(wǎng)絡(luò)之間也沒有完全連通。在這一較為簡單環(huán)境里，檢驗(yàn)可疑行為檢驗(yàn)統(tǒng)計(jì)是很常見操作。因?yàn)槿肭衷诋?dāng)初是相當(dāng)少見，在對攻擊事后分析就能夠預(yù)防以后攻擊?，F(xiàn)在基于主機(jī)入侵檢測系統(tǒng)保留了一個(gè)有力工具，以了解以前攻擊形式，并選擇適宜方法去抵御未來攻擊?；谥鳈C(jī)IDS仍使用驗(yàn)證統(tǒng)計(jì)，但自動(dòng)化程度大大提升，并發(fā)展了精密可快速做出響應(yīng)檢測技術(shù)。通常，基于主機(jī)IDS可監(jiān)探系統(tǒng)、事件和WindowNT下安全統(tǒng)計(jì)和UNIX環(huán)境下系統(tǒng)統(tǒng)計(jì)。當(dāng)有文件發(fā)生改變時(shí)，IDS將新統(tǒng)計(jì)條目和攻擊標(biāo)識(shí)相比較，看它們是否匹配。假如匹配，系統(tǒng)就會(huì)向管理員報(bào)警并向別目標(biāo)匯報(bào)，以采取方法。基于主機(jī)IDS在發(fā)展過程中融入了其它技術(shù)。對關(guān)鍵系統(tǒng)文件和可實(shí)施文件入侵檢測一個(gè)常見方法，是經(jīng)過定時(shí)檢驗(yàn)校驗(yàn)和來進(jìn)行，方便發(fā)覺意外改變。反應(yīng)快慢和輪詢間隔頻率有直接關(guān)系。最終，很多產(chǎn)品全部是監(jiān)聽端口活動(dòng)，并在特定端口被訪問時(shí)向管理員報(bào)警。這類檢測方法將基于網(wǎng)絡(luò)入侵檢測基礎(chǔ)方法融入到基于主機(jī)檢測環(huán)境中。◆將基于網(wǎng)絡(luò)和基于主機(jī)入侵檢測結(jié)合起來基于網(wǎng)絡(luò)和基于主機(jī)IDS方案全部有各自特有優(yōu)點(diǎn)，而且互為補(bǔ)充。所以，下一代IDS必需包含集成主機(jī)和網(wǎng)絡(luò)組件。將這兩項(xiàng)技術(shù)結(jié)合，必將大幅度提升網(wǎng)絡(luò)對攻擊和錯(cuò)誤使用抵御力，使安全策略實(shí)施愈加有效，并使設(shè)置選項(xiàng)愈加靈活。設(shè)計(jì)標(biāo)準(zhǔn)假如要使網(wǎng)絡(luò)得到高水平安全保護(hù)，就應(yīng)該選擇愈加主動(dòng)和智能網(wǎng)絡(luò)安全技術(shù)。完備網(wǎng)絡(luò)安全系統(tǒng)應(yīng)該能夠監(jiān)視網(wǎng)絡(luò)和識(shí)別攻擊信號(hào)，能夠做到立即反應(yīng)和保護(hù)，能夠在受到攻擊任何階段幫助網(wǎng)絡(luò)管理人員從容應(yīng)付。怎樣選擇入侵檢測系統(tǒng)呢？選擇入侵檢測系統(tǒng)需要考慮多方面原因。但關(guān)鍵應(yīng)考慮以下兩點(diǎn)：首先，考察系統(tǒng)協(xié)議分析及檢測能力，和解碼速率；推薦配置方案生產(chǎn)廠家：XX軟科集團(tuán)產(chǎn)品名稱：網(wǎng)絡(luò)監(jiān)測監(jiān)控系統(tǒng)ZYNetEyeZYNetEye網(wǎng)絡(luò)安全監(jiān)測監(jiān)控系統(tǒng)是一個(gè)基于信息流數(shù)據(jù)采集、分析、識(shí)別和資源監(jiān)督封鎖軟件。經(jīng)過實(shí)時(shí)監(jiān)測網(wǎng)絡(luò)數(shù)據(jù)流，依據(jù)用戶設(shè)定安全控制策略，對受控對象活動(dòng)進(jìn)行監(jiān)視。它側(cè)重于“事中”階段。該系統(tǒng)綜合了基于主機(jī)、基于網(wǎng)絡(luò)兩種技術(shù)手段，能夠多層次、多手段實(shí)現(xiàn)對網(wǎng)絡(luò)控制管理。經(jīng)過多級(jí)、分布式網(wǎng)絡(luò)監(jiān)督、管理、控制機(jī)制，全方面表現(xiàn)了管理層對內(nèi)部網(wǎng)關(guān)鍵資源全局控制、把握和調(diào)度能力。為全方面管理人員提供了一個(gè)監(jiān)督、檢驗(yàn)?zāi)壳跋到y(tǒng)運(yùn)行狀態(tài)有效手段。系統(tǒng)組成ZYNetEye系統(tǒng)關(guān)鍵組成部分是：主機(jī)傳感器HSP（軟件HostSensorProgram）、網(wǎng)絡(luò)傳感器NSP（硬件NetworkSensorProgram）、監(jiān)控中心/二級(jí)監(jiān)控中心MCP（軟件MonitorCenterProgram）。ZYNeteye關(guān)鍵功效ZYNetEye關(guān)鍵有六類功效：監(jiān)視屏幕、監(jiān)視鍵盤、監(jiān)測監(jiān)控RAS連接、監(jiān)測監(jiān)控網(wǎng)絡(luò)連接、入侵檢測、網(wǎng)絡(luò)信息還原。具體功效分類說明以下：監(jiān)視屏幕在用戶指定時(shí)間段內(nèi)，系統(tǒng)自動(dòng)每隔X秒或X分截獲一次屏幕。用戶實(shí)時(shí)控制屏幕截獲開始和結(jié)束（在不影響被監(jiān)控主機(jī)正常工作前提下，以最快頻率截屏）。監(jiān)視鍵盤在用戶指定時(shí)間段內(nèi)，截獲HostSensorProgram用戶全部鍵盤輸入。用戶實(shí)時(shí)控制鍵盤截獲開始和結(jié)束。監(jiān)測監(jiān)控RAS連接在用戶指定時(shí)間段內(nèi)，統(tǒng)計(jì)全部RAS連接信息。用戶實(shí)時(shí)控制RAS連接信息截獲開始和結(jié)束。由用戶指定正當(dāng)RAS連接條件（如：撥號(hào)上網(wǎng)電話號(hào)碼或撥號(hào)時(shí)間），當(dāng)RAS連接非法時(shí)，系統(tǒng)將自動(dòng)進(jìn)行報(bào)警或掛斷連接操作。監(jiān)測監(jiān)控網(wǎng)絡(luò)連接在用戶指定時(shí)間段內(nèi)，統(tǒng)計(jì)全部網(wǎng)絡(luò)連接信息（包含：TCP、UDP、NetBios）。用戶實(shí)時(shí)控制網(wǎng)絡(luò)連接信息截獲開始和結(jié)束。由用戶指定非法網(wǎng)絡(luò)連接列表，當(dāng)出現(xiàn)非法連接時(shí)，系統(tǒng)將自動(dòng)進(jìn)行報(bào)警或掛斷連接操作。入侵檢測對可能入侵行為進(jìn)行報(bào)警（檢測到有入侵特征數(shù)據(jù)包）。用戶可自定義有入侵特征數(shù)據(jù)包?，F(xiàn)在可檢測18類入侵企圖：ZYNeteye技術(shù)特點(diǎn)多極控制機(jī)制能夠設(shè)置多個(gè)層次安全控制中心、傳感器，控制能力強(qiáng)。分部控制機(jī)制監(jiān)控網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)能夠是多樣化，覆蓋計(jì)算機(jī)局域網(wǎng)絡(luò)、遠(yuǎn)程網(wǎng)絡(luò)，控制范圍大?；谥鳈C(jī)、基于網(wǎng)絡(luò)相結(jié)合控制機(jī)制控制對象即能夠是單臺(tái)主機(jī)，也能夠是一個(gè)網(wǎng)段，控制力度細(xì)。ZYNeteye技術(shù)特色系統(tǒng)即可防外也可防內(nèi)，更徹重于防內(nèi)。由軟件和硬件相結(jié)合、克服單一軟件或硬件弊端，以達(dá)成卓躍性能系統(tǒng)設(shè)計(jì)思想優(yōu)異。主機(jī)傳感器、網(wǎng)絡(luò)傳感器和監(jiān)控中心獨(dú)立運(yùn)行，一旦系統(tǒng)安全管理員制訂好安全策略并公布成功，各模塊之間獨(dú)立運(yùn)行工作，相關(guān)性幾乎沒有，整個(gè)系統(tǒng)運(yùn)行效很高，對用戶網(wǎng)絡(luò)正常通信影響微小。系統(tǒng)透明工作，各模塊間通信方法設(shè)計(jì)很優(yōu)異。混合了TCP和UDP通訊方法，充足考到了用戶可能網(wǎng)絡(luò)配置，在提供跨路由器、跨網(wǎng)關(guān)能力適應(yīng)復(fù)雜網(wǎng)絡(luò)基礎(chǔ)上，兼顧了系統(tǒng)效率和操作、配置靈活性。監(jiān)控中心開啟后，智能判定并加入能夠監(jiān)測工作站或網(wǎng)絡(luò)傳感器，并提供了手動(dòng)加入可監(jiān)測計(jì)算機(jī)功，方便高級(jí)用戶使用。融合了中國外同類產(chǎn)品大多數(shù)優(yōu)異思想，并參考了常見同類黑客軟件功效，項(xiàng)目設(shè)計(jì)思想和優(yōu)異開發(fā)工具，完全含有知識(shí)產(chǎn)權(quán)。企業(yè)研發(fā)實(shí)力雄厚，多項(xiàng)產(chǎn)品設(shè)計(jì)思想和成品受到技術(shù)判定會(huì)上著名教授好評“達(dá)成了同期中國甚至國外優(yōu)異水平”。項(xiàng)現(xiàn)在期仔細(xì)設(shè)計(jì)計(jì)劃，中期精細(xì)編碼和嚴(yán)格測試，后期詳盡系統(tǒng)測試。系統(tǒng)無縫集成了網(wǎng)絡(luò)入侵檢測功效，還開發(fā)了獨(dú)立模塊以提供對目標(biāo)計(jì)算機(jī)/網(wǎng)絡(luò)多層次多角度監(jiān)視控制，并提供了人性化安全監(jiān)控中心圖形界面，操簡單直接，大大降低了用戶后期投入和網(wǎng)絡(luò)系統(tǒng)/安全管理員工作難度、工作量。7.3.3、防火墻防火墻是指設(shè)置在不一樣網(wǎng)絡(luò)（如可信任內(nèi)部網(wǎng)和不可信任外部網(wǎng)）或網(wǎng)絡(luò)安全域之間一系列部件組合。它是不一樣網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息唯一出口，能依據(jù)企業(yè)安全政策，經(jīng)過對IP地址、TCP/UDP端口、ICMP類型域等各個(gè)等級(jí)具體配置控制（許可、拒絕、監(jiān)測）出入網(wǎng)絡(luò)信息流，且本身含有較強(qiáng)抗攻擊能力。它是提供信息安全服務(wù)，實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全基礎(chǔ)設(shè)施。防火墻是在內(nèi)部網(wǎng)和外部網(wǎng)之間實(shí)施安全防范系統(tǒng)，可被認(rèn)為是一個(gè)訪問控制機(jī)制，用于確定哪些內(nèi)部服務(wù)許可外部訪問。它由網(wǎng)絡(luò)管理人員為保護(hù)自己網(wǎng)絡(luò)免遭外界非授權(quán)訪問但又許可和Internet連接而發(fā)展起來。從網(wǎng)際角度講，防火墻是在兩個(gè)網(wǎng)絡(luò)之間實(shí)施控制策略系統(tǒng)，目標(biāo)是保護(hù)網(wǎng)絡(luò)不被可疑人侵?jǐn)_。本質(zhì)上，它遵從是一個(gè)許可或阻止業(yè)務(wù)往來網(wǎng)絡(luò)通信安全機(jī)制，提供可控過濾網(wǎng)絡(luò)通信。防火墻作為局域網(wǎng)絡(luò)安全屏障，其關(guān)鍵目標(biāo)是保護(hù)局域網(wǎng)絡(luò)資源，強(qiáng)化網(wǎng)絡(luò)安全策略；預(yù)防內(nèi)部信息泄露和外部入侵；提供對網(wǎng)絡(luò)資源訪問控制；提供對網(wǎng)絡(luò)活動(dòng)審計(jì)、監(jiān)督等功效。推薦配置方案生產(chǎn)廠家：XX軟科集團(tuán)產(chǎn)品名稱：防火墻HBRKFW/IIIXX網(wǎng)絡(luò)防火墻ZYSuperWall是由北京XX軟科數(shù)碼技術(shù)自主研制開發(fā)網(wǎng)絡(luò)安全產(chǎn)品。ZYSuperWall防火墻融合了現(xiàn)在關(guān)鍵防火墻技術(shù)，包含包過濾、透明代理、應(yīng)用代理，對關(guān)鍵網(wǎng)絡(luò)服務(wù)提供基于應(yīng)用代理細(xì)粒度控制；對常見網(wǎng)絡(luò)服務(wù)提供透明代理和快速包過濾機(jī)制。XX軟科網(wǎng)絡(luò)防火墻在有效地實(shí)現(xiàn)內(nèi)部網(wǎng)絡(luò)和公共網(wǎng)絡(luò)隔離同時(shí)，管理員可依據(jù)具體安全需求選擇靈活多變安全控制策略進(jìn)行控制。結(jié)合訪問控制、身份認(rèn)證、邊界入侵檢測、反IP地址欺騙等一整套安全防護(hù)技術(shù)，可為企業(yè)內(nèi)部網(wǎng)提供強(qiáng)大安全防護(hù)手段，在抵御來自外部網(wǎng)絡(luò)攻擊、預(yù)防不法分子入侵同時(shí)，又能確保安全高速地訪問互聯(lián)網(wǎng)。關(guān)鍵功效：網(wǎng)絡(luò)地址轉(zhuǎn)換功效利用地址轉(zhuǎn)換功效，能夠節(jié)省InternetIP資源。內(nèi)部對外使用統(tǒng)一IP，使外部無法知道內(nèi)部網(wǎng)絡(luò)情況，提升網(wǎng)絡(luò)安全。內(nèi)部能夠透明使用內(nèi)部IP基于網(wǎng)絡(luò)IP和MAC地址綁定經(jīng)過網(wǎng)卡MAC地址和網(wǎng)絡(luò)IP地址綁定，能夠預(yù)防內(nèi)部IP盜用，保障網(wǎng)絡(luò)穩(wěn)定?！耢`活訪問控制功效自主過濾機(jī)制能夠依據(jù)本身網(wǎng)絡(luò)要求合理配置網(wǎng)絡(luò)，提升網(wǎng)絡(luò)性能。應(yīng)用代理能夠?qū)?yīng)用服務(wù)（如：HTTP、FTP、SMTP等）提供細(xì)粒度訪問機(jī)制。透明代理能夠?qū)δ軌驖M足對網(wǎng)絡(luò)高速、通用訪問要求入侵檢測對可能入侵行為進(jìn)行報(bào)警（檢測到有入侵特征數(shù)據(jù)包）。封鎖入侵IP地址對入侵設(shè)置陷阱用戶身份判別功效：為了降低防火墻再Telnet,FTP等服務(wù)和遠(yuǎn)程管理上安全風(fēng)險(xiǎn)，HBRKFW/III型防火墻采取了一次性口令認(rèn)證系統(tǒng)來作為用戶判別手段。防火墻日志、審計(jì)功效能夠?qū)ο到y(tǒng)管理體系分類日志（管理日志、通信事件日志），也能夠按日期對應(yīng)運(yùn)行日志。清楚統(tǒng)計(jì)了事件時(shí)間及事件摘要等。為管理網(wǎng)絡(luò)，進(jìn)行審計(jì)提供可靠依據(jù)。支持雙機(jī)熱備份功效HBRKFW/III型防火墻系統(tǒng)結(jié)構(gòu)了雙機(jī)熱備份結(jié)構(gòu)功效，從而提升系統(tǒng)穩(wěn)定性，容錯(cuò)性。虛擬主機(jī)功效虛擬主機(jī)技術(shù)很好處理了信息共享性和資源可控性之間矛盾。也就是說，只有防火墻管理員許可訪問內(nèi)部資源，外部用戶才能夠訪問，表現(xiàn)了管理中心對整體內(nèi)部資源控制能力。具體操作時(shí)，可依據(jù)管理者管理意圖制訂對應(yīng)安全策略，從而限定對外開放內(nèi)容。7.3.4、防病毒系統(tǒng)目標(biāo)對郵件服務(wù)器進(jìn)行檢驗(yàn)，防范病毒。能夠做到既可自動(dòng)更新，也可手動(dòng)更新；備份系統(tǒng)便于管理，有友好界面如GUI。使用產(chǎn)品趨勢企業(yè)InterScanVirusWall防病毒軟件。（XX軟科集團(tuán)代理產(chǎn)品之一）為何選擇InterScanVirusWall軟件經(jīng)過對中國防病毒企業(yè)了解，現(xiàn)在沒有想應(yīng)得軟件系統(tǒng)。經(jīng)過對國外防病毒企業(yè)考查，我們提議用戶使用趨勢企業(yè)InterScanVirusWall防病毒軟件。趨勢企業(yè)是一家專業(yè)防范計(jì)算機(jī)病毒、保障監(jiān)控計(jì)算機(jī)及信息系統(tǒng)安全著名軟件企業(yè),是和美國趨勢科技合作中國企業(yè)。趨勢防病毒關(guān)鍵技術(shù)均經(jīng)過國家檢測中心監(jiān)測，是第一家取得中國公安部計(jì)算機(jī)安全產(chǎn)品銷售許可證軟件企業(yè)。產(chǎn)品關(guān)鍵功效：實(shí)時(shí)掃描進(jìn)出SMTP服務(wù)器郵件及其附加檔案實(shí)時(shí)掃描FTP傳輸渠道自動(dòng)清除染毒文件實(shí)時(shí)掃描HTTP傳輸渠道鎖定惡性Javaapplets和ActiveX物件，和未經(jīng)認(rèn)證(unsigned)或非商業(yè)性(noncommercial)判定安全判定軟件偵測及清除已知和未知宏病毒將警告信息寄給寄件人、收件人和系統(tǒng)管理者可預(yù)約設(shè)定從Web自動(dòng)下載最新病毒碼文件含有完整實(shí)時(shí)性能監(jiān)視功效經(jīng)過詳盡病毒活動(dòng)統(tǒng)計(jì)追蹤病毒起源支持Windows界面和ISAPI/CGIweb瀏覽器設(shè)置界面產(chǎn)品關(guān)鍵特點(diǎn)：符合網(wǎng)絡(luò)病毒發(fā)展特點(diǎn)出色病毒掃描能夠依據(jù)本身情況更新病毒碼快捷救援支持完整事件統(tǒng)計(jì)彈性設(shè)定及管理系統(tǒng)組成：InterScanVirusWall是一套完整Internet病毒處理系統(tǒng)，包含三個(gè)模塊，能夠分別或統(tǒng)一安裝及管理。我們依據(jù)具體情況，提議使用整套系統(tǒng)中E-mailVirusWall，InterScanVirusWall共包含：E-mailVirusWall：偵測及清除Internet網(wǎng)絡(luò)SMTP電子郵件附件中病毒.---WebVirusWal：偵測及清除病毒，并可鎖定HTTP傳輸中惡性Javaapplets和ActiveX物件，和未經(jīng)認(rèn)證(unsigned)或非商業(yè)性(noncommercial)判定安全判定軟件（限NT版本）。---FTPVirusWall偵測及清除隱藏在Internet文件傳輸中病毒系統(tǒng)要求：Nt版本：WindowsNT4.0或以上版本，Pentium或DECAlpha處理器PC機(jī)，32MB內(nèi)存，12MB磁盤空間。Solaris版本：Solaris2.5或以上版本，32MB內(nèi)存，150MB數(shù)據(jù)交換空間，15MB磁盤安裝空間HP-UX版本：HP-UX10.0或以上版本，64MB內(nèi)存，100MB數(shù)據(jù)交換空間，100MB磁盤安裝空間。7.3.5、VPN系統(tǒng)伴隨企業(yè)網(wǎng)應(yīng)用不停發(fā)展，企業(yè)網(wǎng)范圍也不停擴(kuò)大，從一個(gè)當(dāng)?shù)鼐W(wǎng)絡(luò)發(fā)展到跨地域跨城市甚至是跨國家網(wǎng)絡(luò)。和此同時(shí)伴隨互聯(lián)網(wǎng)絡(luò)迅猛發(fā)展，Internet已經(jīng)遍布世界各地，從物理上講Internet把世界各地資源相互連通。正因?yàn)镮nternet是對全世界開放，假如企業(yè)信息要經(jīng)過Internet進(jìn)行傳輸，在安全性上可能存在著很多問題。但假如采取專用線路構(gòu)建企業(yè)專網(wǎng)，往往需要租用昂貴跨地域數(shù)據(jù)專線。怎樣能夠利用現(xiàn)有Internet來建立企業(yè)安全專有網(wǎng)絡(luò)呢？虛擬專用網(wǎng)（VPN）技術(shù)就成為一個(gè)很好處理方案。虛擬專用網(wǎng)（VPN）是指在公共網(wǎng)絡(luò)中建立專用網(wǎng)絡(luò)，數(shù)據(jù)經(jīng)過安全“加密通道”在公共網(wǎng)絡(luò)中傳輸。企業(yè)只需要租用當(dāng)?shù)財(cái)?shù)據(jù)專線，連接受騙地Internet，各地機(jī)構(gòu)就能夠相互傳輸信息；同時(shí)，企業(yè)還能夠利用Internet撥號(hào)接入設(shè)備，讓自己用戶撥號(hào)到Internet上，就能夠連接進(jìn)入企業(yè)網(wǎng)中。使用VPN有節(jié)省成本、提供遠(yuǎn)程訪問、擴(kuò)展性強(qiáng)、便于管理和實(shí)現(xiàn)全方面控制等優(yōu)點(diǎn)，將會(huì)成為以后企業(yè)網(wǎng)絡(luò)發(fā)展趨勢。虛擬專用網(wǎng)本質(zhì)實(shí)際上包含到密碼問題。在無法確保電路安全、信道安全、網(wǎng)絡(luò)安全、應(yīng)用安全情況下，或也不相信其它安全方法情況下，一個(gè)行之有效措施就是加密，而加密就是必需考慮加密算法和密碼問題?？紤]到中國對密碼管理體制情況，密碼是一個(gè)單獨(dú)領(lǐng)域。對防火墻而言，是否防火墻支持對其它密碼體制支持，支持提供API來調(diào)用第三方加密算法和密碼，很關(guān)鍵。使用產(chǎn)品東方龍馬VPN系統(tǒng)（XX軟科集團(tuán)代理產(chǎn)品之二）系統(tǒng)組成東方龍馬VPN系統(tǒng)關(guān)鍵包含以下幾部分：加密卡、