证券公司网络安全方案文本(60页)

湖南证券股份有限公司网络安全方案建议书目录美国网络联盟公司1目录21概述711湖南证券股份有限公司网络安全项目的建设意义712湖南证券股份有限有限公司的网络现状7121物理结构7122系统结构7123网络结构7124其他913湖南证券股份有限有限公司的主要网络安全威胁914湖南证券股份有限有限公司的网络安全需求分析10141总体需求分析10142具体各子系统的安全需求1115湖南证券股份有限有限公司网络安全的系统目标12151近期目标12152远期目标122总体规划1321安全体系结构1322安全体系层次模型13物理层13链路层14网络层14操作系统14应用平台14应用系统1423安全体系设计14231安全体系设计原则141需求、风险、代价平衡分析的原则142综合性、整体性原则143一致性原则154易操作性原则155适应性、灵活性原则156多重保护原则15232网络安全风险分析15233网络安全策略15234安全管理原则16235安全管理的实现16236网络安全设计1724安全产品选型原则173网络安全方案设计1831整体结构安全建议描述181内部网络系统包括182外部网络系统包括19311对INTERNET服务网段20312连接各营业点的网段21313内部系统及部门之间连接安全分析和建议22314内部用户通过拨号服务器与远程用户进行通信安全优化22315外部用户访问公司网站安全分析和建议2332本方案中防火墙提供的安全措施23防火墙系统的局限性2433防病毒的整体解决方案25331病毒防护的必要性和发展趋势25332湖南证券股份有限有限公司的多层病毒防御体系253321客户端的防病毒系统263322服务器的防病毒系统263323INTERNET的防病毒系统2634防黑客的整体解决方案27341基于主机及网络的保护2735主动的防御体系28351防火墙与防火墙28352防火墙与入侵检测系统28353防火墙与防病毒3036安全的评估方案3137安全产品的平台建议32371防病毒产品32桌面保护套件VIRUSSCANSECURITYSUITEVSS32服务器保护套件NETSHIELDSECURITYSUITENSS32网关保护套件INTERNETSECURITYSUITEISS32建议在WINDOWSNT或UNIX32372防火墙产品GAUNTLET32技术规范33373入侵检测与风险评估套件3338安全产品升级34381防病毒系统的升级34382入侵检测系统和防火墙产品的升级35这两类产品的升级为一年内免费升级，并享受长期的升级支持。3539本方案的扩充35391加密和身份认证35392内部网络安全35393湖南证券股份有限有限公司系统的安全35310安全策略制度35311本方案的特点364实施计划3741项目建立3742项目保障371良好的组织372严格的管理373文挡的管理3743应用实施371项目实施范围372提供服务的内容381网络安全系统需求分析382网络安全系统客户化383网络安全系统的测试384网络安全系统的试运行385网络安全系统的正式运行386培训3844实施进度表395技术支持与服务4051支持中心人员配备4052支持中心资源配备40521热线电话40522EMAIL40MCFSSTTVALUENETCOMCN40523WORLDWIDEWEB40524支持产品库4053技术支持与服务41531服务内容41532服务方式41533服务类型415331基础技术支持（PRIMARYSUPPORT）415332优先级服务（PRIORITYSUPPORT）425333高级技术支持（PREMIERSUPPORT）42534服务标准425341电话技术支持服务425342电子邮件回复服务435343WORLDWIDEWEB服务435344病毒特征码更新介质邮寄服务435345紧急上门服务435346顾问咨询服务436产品配置及报价44附录A公司介绍45A1公司简介45附录BNAI产品介绍45A1第一层安全屏障计算机网络病毒防护MCAFEETVD45MCAFEETVD由三种安全产品套件组成46VIRUSSCANSECURITYSUITE（VSS）46VIRUSSCANSECURITYSUITE所含产品46NETSHIELDSECURITYSUITENSS46NETSHIELDSECURITYSUITE所含产品46NETSHIELD46GROUPSHIELD46INTERNETSECURITYSUITEISS46ISS套件所含内容47第二层安全屏障身份验证以及信息加密PGPTNS47PGPDESKTOPSUITE提供对所有桌面的多平台加密保护。48PGPCERTIFICATATIONSERVER48第三层安全屏障防火墙GAUNTLETINTERNETFIREWALL49第四层安全屏障网络漏洞探测及黑客探测50CYBERCOPMONITOR,CYBERCOPSCANNER,CYBERCOPSTING，CASL50附录C美国网络联盟NAI公司简介53NETTOOLS54VISIBILITY54SERVICE54NETTOOLSSECURE54MCAFEETOTALVIRUSDEFENSETVD54PGPTOTALNETWORKSECURITYTNS55NETTOOLSMANAGER55SNIFFERTOTALNETWORKVISIBILITYTNV55MCAFEETOTALSERVICEDESKTSD55市场份额551概述11湖南证券股份有限公司网络安全项目的建设意义一方面，随着计算机技术、信息技术的发展，计算机网络系统必将成为公司各项业务的关键平台。另一方面，随着计算机网络系统的发展，计算机网络安全系统必将发挥越来越重要的作用。公司网络安全系统的建立，必将为公司的业务信息系统、行政管理、信息交流提供一个安全的环境和完整平台。通过先进技术建立起的网络安全系统，可以从根本上解决来自网络外部及内部对网络安全造成的各种威胁，以最优秀的网络安全整体解决方案为基础形成一个更加完善的业务系统和办公自动化系统。利用高性能的网络安全环境，提供整体防病毒、防火墙、防黑客、数据加密、身份验证等于一身的功能，有效地保证秘密、机密文件的安全传输，严格地制止经济情报失、泄密现象发生，避免重大经济案件的发生。另外，公司在当前总部的网络安全和今后的信息安全上取得的技术成果，将装备到各级机构。因此，本项目的实施可以达到预期的经济及社会效益。12湖南证券股份有限有限公司的网络现状湖南证券股份有限有限公司管理信息网是根据管理需求，采用国际上先进的、成熟的、开放的网络技术建立起来的管理网络。安全网络的建成，对于宏观调控、预测、决策，更好地实现湖南证券股份有限中央的监管职能起到了积极的作用。121物理结构公司的服务器及重要网络设备都存放在公司的主机房内，主机房与外部之间没有很好的进行物理上的隔离，其他非IT人员也能够不通过任何安全防范措施进入机房。122系统结构公司服务器使用的操作系统以NETWARE,NT为主，还有部分的UNXI服务器。NETWARE、NT、UNIX的补丁程序都不是最新的程序，对某些安全漏洞及Y2K问题没有进行相应的升级。123网络结构公司的网络大致结构示意图，如下图所示对网络结构的具体描述1外部用户访问网上交易主机外部用户通过INTERNET来访问网上交易主机，网上交易主机作为前置机让外部用户进行查询，前置机使用并口线（RS232）与后台的服务器进行连接,当用户需要进行证券交易时，向交易主机发出需要购进或抛出的股票的请求，交易主机再把客户的信息传给后台的处理服务器，完成整个交易过程。2）外部用户访问公司网站外部用户可以通过INTERNET访问公司的网站，网站服务器现托管在电信局，与公司内部没有固定的连接。当管理员需要对网站进行维护的时候，通过拨号的方式。当远程管理网站服务器时，因为没有用到VPN的方式，可能有被窃听的可能。3）内部用户访问外部内部用户通过分别拨号上网的方式与外部进行信息的交流，可以拨号上网的MODEM可能会有十几个。使用各种服务对万步进行访问如HTTP,FTP,TELNET,SMTP,POP3,REALVIDEO,REALAUDIO等等。4）交易所与各个营业点之间的连接交易所内部与各个营业点之间的连接时通过专线的方式，使用了3COM的路由器及由电信提供的CSU/DSU设备。现一共有16个营业点。当数据由各个营业点传送到此后，再通过集中的服务器进行业务处理。5）内部系统之间的连接公司的内部网络主要分为网上交易系统、集中报盘系统、OA系统、监控系统。这四个系统之间相互连接没有通过物理或逻辑的方式进行分割。所以各个系统之间可以相互对文件及数据进行传输。6）内部部门之间的连接公司的各个部门之间的网络是相互连接的，对重要部门没有进行很好的安全保护，用户可通过自己的计算机访问本部门和其他重要部门的数据。使用的交换机没有对网络划分VLAN或使用子网掩码的方式划分部门之间的子网。7）其他因为对公司的了解并不是很深，只是对现了解到的情况进行分析，希望公司看过本方案以后能够提供更多的网络连接，部门之间通讯的情况。124其他对公司的网络整体的分析还包括人员管理，应用服务系统。但因为对公司的这些情况并不了解，所以暂时没有进行描述。人员管理是指公司通过网络系统进行工作的流程，公司对用户权限、密码的设置，对网络管理员、系统管理员、设备管理员等计算机管理人的责权划分。应用服务系统是指主机系统上使用的应用软件，如WEB服务器、信息交易系统、数据库系统，办公自动化系统等等。13湖南证券股份有限有限公司的主要网络安全威胁由于湖南证券股份有限有限公司的管理信息网上的网络体系越来越复杂，应用系统越来越多，网络规模不断扩大，逐渐由INTRANET发展到EXTRANET，现在已经扩展到INTERNET，网络用户也已经不单单为内部用户。而网络安全主要是由处于中心节点的相关连接广域网的路由器直接承担对外部用户的访问控制工作，且内部网络直接与外部网络相连，对整个网络安全形成了巨大的威胁。具体分析，对湖南证券股份有限有限公司网络安全构成威胁的主要因素有1内部网络和外部网络之间的连接为直接连接，外部用户不但可以访问对外服务的服务器，同时也容易地访问内部的网络服务器，这样，由于内部和外部没有隔离措施，内部系统较容易遭到攻击。2来自内部网的病毒的破坏；3内部用户的恶意攻击、误操作，但由于目前发生的概率较小，本部分暂不作考虑。4来自外部网络的攻击，具体有三条途径INTERNET连接的部分；与各分部连接的部分；5外部网的破坏主要的方式为黑客用户的恶意攻击、窃取信息，通过网络传送的病毒和INTERNET的电子邮件夹带的病毒。来自INTERNET的WEB浏览可能存在的恶意JAVA/ACTIVEX控件。6缺乏有效的手段监视、评估网络系统和操作系统的安全性。目前流行的许多操作系统均存在网络安全漏洞，如UNIX服务器，NT服务器及WINDOWS桌面PC。7缺乏一套完整的安全策略、政策。其中，目前最主要的安全威胁是来自网络外部用户（主要是分公司用户和INTERNET用户）的攻击。14湖南证券股份有限有限公司的网络安全需求分析141总体需求分析在湖南证券股份有限有限公司信息网中，目前我们视各分公司和及INTERNET为外部网络，湖南证券股份有限有限公司楼内的局域网为内部网。1来自于外部网络的访问，除有特定的身份认证外，只能到达指定的访问目的地，不能访问内部资源。2网络内部用户对外的访问必须经过授权才能访问外部的SERVER。授权和代理由防火墙来完成。3对于外部网络来说，内部网络的核心交换机是不可见的，交换机作为楼内网络的一部分。4外部网络不能直接对内部网络进行访问，外部网络客户访问内部SERVER时通过外部服务提供设备进行，该外部服务提供设备起到访问的中介作用，保证了内部关键信息资源的安全。5外部服务提供设备与内部的DBSERVER之间数据交换应安全审慎，可选取方式禁止两者之间链路通讯，数据交换采用文件拷贝方式；两者之间采用加密通讯；两者之间授权访问，通过外部服务提供设备进行代理。142具体各子系统的安全需求湖南证券股份有限有限公司网络部署了众多的网络设备、服务器，保护这些设备的正常运行，维护主要业务系统的安全，是湖南证券股份有限有限公司网络的基本安全需求。湖南证券股份有限有限公司网络为多级应用网络系统，对于各级子系统均在不同程度上要求充分考虑网络安全。1交易业务系统的安全需求与普通网络应用不同的是，业务系统是湖南证券股份有限湖南证券股份有限应用的核心。湖南证券股份有限有限公司的业务系统包括总部和分部所有的业务系统。对于业务系统应该具有最高的网络安全措施。湖南证券股份有限有限公司网络应保障访问控调，确保业务系统不被非法访问。即禁止外部用户间的非法访问。数据安全，保证各类服务器系统的整体安全性和可靠性。入侵检测，对于试图破坏业务系统的恶意行为能够及时发现、记录和跟踪，提供非法攻击的犯罪证据。来自网络内部其他系统的破坏，或误操作造成的安全隐患。2INTERNET服务平台的安全需求INTERNET服务平台分为两个部分提供湖南证券股份有限公司的网络用户对INTERNET的访问；提供INTERNET对公司网内服务的访问。公司内网络客户对INTERNET的访问，有可能带来某些类型的网络安全。如通过电子邮件、FTP引入病毒、危险的JAVA或ACTIVEX应用等。因此，需要在网络内对上述情况提供集成的网络病毒检测、消除等操作。提供给INTERNET的网络服务按照应用类型可分为普通服务安联内部网DMZ外部服务区外部用户该种服务通常需要保障系统抵抗和检测攻击的能力。即一般的WWW应用如HTTP、FTP、MAIL等服务。商业应用商业应用更要考虑严格的安全要求，而且还希望提供不停顿的服务。15湖南证券股份有限有限公司网络安全的系统目标伴随着保险业务的不断深入，湖南证券股份有限有限公司电子化应用的不断增强，内部网络上应用系统越来越多，更好的、更有效的、更方便的保护和管理系统资源、网络资源，是实现网络安全的目标。实施网络安全系统项目，整体规划网络安全系统，作好以下几个方面的规划和实施应用程序加密应用完整性用户完整性系统完整性网络完整性151近期目标目前迫在眉睫的工作是保护整个系统的网络完整性和系统的完整性，建立安全的网络逻辑结构，为今后的实施应用完整性和用户完整性奠定基础。网络完整性主要是对网络系统的保护，通过设置防火墙系统等保证通讯安全；系统的完整性是信息系统的保护主要有防病毒、风险评估、入侵检测、审计分析等方面。152远期目标全面部署湖南证券股份有限有限公司全局的整体安全防御系统，巩固和完善网络安全及管理系统，使湖南证券股份有限有限公司信息网在安全的前提下更好、更方便、更有效的实现中央银行的监管职能。2总体规划21安全体系结构网络安全体系结构主要考虑安全对象和安全机制，安全对象主要有网络安全、系统安全、数据库安全、信息安全、设备安全、信息介质安全和计算机病毒防治等，其安全体系结构如下图所示22安全体系层次模型按照网络OSI的7层模型，网络安全贯穿于整个7层。针对网络系统实际运行的TCP/IP协议，网络安全贯穿于信息系统的4个层次。下图表示了对应网络系统网络的安全体系层次模型物理层物理层信息安全，主要防止物理通路的损坏、物理通路的窃听、对物理通路的攻击（干扰等）链路层链路层的网络安全需要保证通过网络链路传送的数据不被窃听。主要采用划分会话层应用层应用系统应用平台网络层链路层物理层会话安全应用层应用系统安全应用平台安全安全路由/访问机制链路安全物理层信息安全物理实体安全企业安全策略用户责任病毒防治保密教育信息安全信息服务操作系统计算机网络安全VLAN（局域网）、加密通讯（远程网）等手段。网络层网络层的安全需要保证网络只给授权的客户使用授权的服务，保证网络路由正确，避免被拦截或监听。操作系统操作系统安全要求保证客户资料、操作系统访问控制的安全，同时能够对该操作系统上的应用进行审计。应用平台应用平台指建立在网络系统之上的应用软件服务，如数据库服务器、电子邮件服务器、WEB服务器等。由于应用平台的系统非常复杂，通常采用多种技术（如SSL等）来增强应用平台的安全性。应用系统应用系统完成网络系统的最终目的为用户服务。应用系统的安全与系统设计和实现关系密切。应用系统使用应用平台提供的安全服务来保证基本安全，如通讯内容安全，通讯双方的认证，审计等手段。23安全体系设计231安全体系设计原则在进行计算机网络安全设计、规划时，应遵循以下原则1需求、风险、代价平衡分析的原则对任一网络来说，绝对安全难以达到，也不一定必要。对一个网络要进行实际分析，对网络面临的威胁及可能承担的风险进行定性与定量相结合的分析，然后制定规范和措施，确定本系统的安全策略。保护成本、被保护信息的价值必须平衡，价值仅1万元的信息如果用5万元的技术和设备去保护是一种不适当的保护。2综合性、整体性原则运用系统工程的观点、方法，分析网络的安全问题，并制定具体措施。一个较好的安全措施往往是多种方法适当综合的应用结果。一个计算机网络包括个人、设备、软件、数据等环节。它们在网络安全中的地位和影响作用，只有从系统综合的整体角度去看待和分析，才可能获得有效、可行的措施。3一致性原则这主要是指网络安全问题应与整个网络的工作周期（或生命周期）同时存在，制定的安全体系结构必须与网络的安全需求相一致。实际上，在网络建设之初就考虑网络安全对策，比等网络建设好后再考虑，不但容易，而且花费也少得多。4易操作性原则安全措施要由人来完成，如果措施过于复杂，对人的要求过高，本身就降低了安全性。其次，采用的措施不能影响系统正常运行。5适应性、灵活性原则安全措施必须能随着网络性能及安全需求的变化而变化，要容易适应、容易修改。6多重保护原则任何安全保护措施都不是绝对安全的，都可能被攻破。但是建立一个多重保护系统，各层保护相互补充，当一层保护被攻破时，其它层保护仍可保护信息的安全。232网络安全风险分析网络系统的可靠运转是基于通讯子网、计算机硬件和操作系统及各种应用软件等各方面、各层次的良好运行。因此，它的风险将来自对企业的各个关键点可能造成的威胁，这些威胁可能造成总体功能的失效。由于在这种广域网分布式计算环境中，相对于过去的局域网、主机环境、单机环境，安全问题变得越来越复杂和突出，所以网安全风险分析成为制定有效的安全管理策略和选择有作用的安全技术实施措施的基础依据。安全保障不能完全基于思想教育或信任。而应基于“最低权限”和“相互监督”的法则，减少保密信息的介入范围，尽力消除使用者为使用资源不得不信任他人或被他人信任的问题，建立起完整的安全控制体系和保证体系。233网络安全策略安全策略分安全管理策略和安全技术实施策略两个方面1管理策略安全系统需要人来执行，即使是最好的、最值得信赖的系统安全措施，也不能完全由计算机系统来完全承担安全保证任务，因此必须建立完备的安全组织和管理制度。2技术策略技术策略要针对网络、操作系统、数据库、信息共享授权提出具体的措施。234安全管理原则计算机信息系统的安全管理主要基于三个原则。1多人负责原则每项与安全有关的活动都必须有两人或多人在场。这些人应是系统主管领导指派的，应忠诚可靠，能胜任此项工作。2任期有限原则一般地讲，任何人最好不要长期担任与安全有关的职务，以免误认为这个职务是专有的或永久性的。3职责分离原则除非系统主管领导批准，在信息处理系统工作的人员不要打听、了解或参与职责以外、与安全有关的任何事情。235安全管理的实现信息系统的安全管理部门应根据管理原则和该系统处理数据的保密性，制订相应的管理制度或采用相应规范，其具体工作是确定该系统的安全等级。根据确定的安全等级，确定安全管理的范围。制订相应的机房出入管理制度。对安全等级要求较高的系统，要实行分区控制，限制工作人员出入与己无关的区域。制订严格的操作规程。操作规程要根据职责分离和多人负责的原则，各负其责，不能超越自己的管辖范围。制订完备的系统维护制度。维护时，要首先经主管部门批准，并有安全管理人员在场，故障原因、维护内容和维护前后的情况要详细记录。制订应急措施。要制订在紧急情况下，系统如何尽快恢复的应急措施，使损失减至最小。建立人员雇用和解聘制度，对工作调动和离职人员要及时调整相应的授权。安全系统需要由人来计划和管理，任何系统安全设施也不能完全由计算机系统独立承担系统安全保障的任务。一方面，各级领导一定要高度重视并积极支持有关系统安全方面的各项措施。其次，对各级用户的培训也十分重要，只有当用户对网络安全性有了深入了解后，才能降低网络信息系统的安全风险。总之，制定系统安全策略、安装网络安全系统只是网络系统安全性实施的第一步，只有当各级组织机构均严格执行网络安全的各项规定，认真维护各自负责的分系统的网络安全性，才能保证整个系统网络的整体安全性。236网络安全设计由于网络的互连是在链路层、网络层、传输层、应用层不同协议层来实现，各个层的功能特性和安全特性也不同，因而其网络安全措施也不相同。物理层安全涉及传输介质的安全特性，抗干扰、防窃听将是物理层安全措施制定的重点。在链路层，通过“桥”这一互连设备的监视和控制作用，使我们可以建立一定程度的虚拟局域网，对物理和逻辑网段进行有效的分割和隔离，消除不同安全级别逻辑网段间的窃听可能。在网络层，可通过对不同子网的定义和对路由器的路由表控制来限制子网间的接点通信，通过对主机路由表的控制来控制与之直接通信的节点。同时，利用网关的安全控制能力，可以限制节点的通信、应用服务，并加强外部用户识别和验证能力。对网络进行级别划分与控制，网络级别的划分大致包括INTERNET/企业网、骨干网/区域网、区域网/部门网、部门网/工作组网等，其中INTERNET/企业网的接口要采用专用防火墙，骨干网/区域网、区域网/部门网的接口利用路由器的可控路由表、安全邮件服务器、安全拨号验证服务器和安全级别较高的操作系统。增强网络互连的分割和过滤控制，也可以大大提高安全保密性。随着企业个人与个人之间、各部门之间、企业和企业之间、国际间信息交流的日益频繁，信息传输的安全性成为一个重要的问题。尽管个人、部门和整个企业都已认识到信息的宝贵价值和私有性，但商场上的无情竞争已迫使机构打破原有的界限，在企业内部或企业之间共享更多的信息，只有这样才能缩短处理问题的时间，并在相互协作的环境中孕育出更多的革新和创造。然而，在群件系统中共享的信息却必须保证其安全性，以防止有意无意的破坏。物理实体的安全管理现已有大量标准和规范，如GB936188计算机场地安全要求、GFB288788计算机场地技术条件等。24安全产品选型原则在进行湖南证券股份有限有限公司网络安全方案的产品选型时，要求安全产品至少应包含以下功能访问控制通过对特定网段、服务建立的访问控制体系，将绝大多数攻击阻止在到达攻击目标之前。检查安全漏洞通过对安全漏洞的周期检查，即使攻击可到达攻击目标，也可使绝大多数攻击无效。攻击监控通过对特定网段、服务建立的攻击监控体系，可实时检测出绝大多数攻击，并采取相应的行动（如断开网络连接、记录攻击过程、跟踪攻击源等）。加密通讯主动的加密通讯，可使攻击者不能了解、修改敏感信息。认证良好的认证体系可防止攻击者假冒合法用户。备份和恢复良好的备份和恢复机制，可在攻击造成损失时，尽快地恢复数据和系统服务。多层防御攻击者在突破第一道防线后，延缓或阻断其到达攻击目标。隐藏内部信息使攻击者不能了解系统内的基本情况。设立安全监控中心为信息系统提供安全体系管理、监控，保护及紧急情况服务。3网络安全方案设计根据第二章对湖南证券股份有限有限公司的安全需求分析，结合安全设计的策略，我们提出网络安全设计方案。本章首先描述安全网络的整体结构，然后就各网段采用的防火墙、防病毒、防黑客，以及安全评估等技术措施作详细的描述。各种安全措施之间的相互协作，构成主动的网络安全防御体系。为确保系统的安全性保持稳定，我们介绍了各种安全产品的平台要求，以及升级的保证方式和途径。根据湖南证券股份有限有限公司的网络安全需求，目前网络安全方案集中考虑外部网络的安全性；对于整体网络的安全性，我们还分析了网络安全方案的可扩充性。在本章结尾，我们总结了本方案的特点。31整体结构安全建议描述由于湖南证券股份有限有限公司网的安全体系包括内外两部分，而目前着重于外部的安全建设，所以目前的安全假设为将公司内部网络看作信任网络，暂不考虑安全问题；将外部网视为不信任网络，需要采取安全措施。其总体结构如下1内部网络系统包括LAN1，LAN2LAN8等内部网段；内部服务子网即初步设想的VPN的部分。2外部网络系统包括对INTERNET服务网段。连接湖南证券股份有限各营业点的网段。WEB网站。在“初步设想”中，在本方案中，考虑到服务的交集会给防火墙安全策略的制定带来不便，形成潜在的安全隐患，并且也不利于整个网络安全的管理，因此我们将VPN网关相应服务器分别部署在对应的网段中，而将对内服务的服务器放到内部网络中的内部服务子网中。同时，我们在系统中增加了一个网络安全管理平台网段。整个网络安全结构如下图311对INTERNET服务网段如上图示，内部用户访问INTERNET,通过拨号上网的方式，通过单个客户机分别拨号上网首先会对整个内部安全造成很大影响，同时造成资金的浪费。因为当拨号连接建立以后，会动态的分配到一个合法的IP地址，那样如果有非法用户对该地址进行尝试的攻击，很可能通过该机进入整个内部系统。建议A在拨号上网的主机上配置物理隔离卡，当用户上网时，物理隔离卡可以把硬盘分为上网部分与安全部分，这两部分将相互隔离，这样就保证了有非法用户通过该机进入内部系统。B使用防火墙同时申请一根专线上网，这样既可以防止拨号上网带来的危险性又可以提高上网速度。在接口处防火墙的配置方法访问的安全控制1DMZ1对外提供服务DMZ1中的服务器主要用于对INTERNET用户提供服务，包括DNS、EMAIL、FTP、HTTP等，其服务全部由防火墙提供代理，其工作流程如下A由外部CLIENT端向FIREWALL1提出请求（HTTP、FTP等）；B通过FIREWALL1过滤、识别、身份验证，确定为合法请求，并确定该请求的目标服务器之后由FIREWALL1向DMZ1里的服务器提出请求；CDMZ1里的目标服务器接受FIREWALL1的请求并对其作出响应；DFIREWALL1再将请求传递给外部的CLIENT。2内部网络的用户对INTERNET的访问对于内部用户对INTERNET的请求包括EMAIL和HTTP、FTP等。对EMAIL类，内部网采用HPOPENMAIL，而INTERNET采用SMTP协议，建议设立一台电子邮件转发服务器（MX），部署在DMZ1里，对内部HPOPENMAIL的邮件和INTERNET的SMTP邮件进行转发。对HTTP、FTP等其他类型的服务由防火墙作为代理，FIREWALL1在中间也起到过滤、识别、身份验证的作用。3地址转换（NAT）由于目前湖南证券股份有限有限公司采用A类地址，而外部采用INTERNET合法地址，GAUNTLETFIREWALL1提供内、外地址的翻译，即可隐藏内部IP4FIREWALL1未来的GVPN功能将来外汇管理局的内部INTRANET中的GAUNTLET防火墙可形成GVPN，采用GAUNTLET的GVPN技术对内部的外出员工可建立一条可信赖的连接，直接访问内部网络的资源。C使用PROXY的方式，让所有的用户通过尽量少的电话线上网，在该PROXY服务器上安装物理隔离卡，这样可以防止不必要的危险性，又可以降低费用，同时可以对所有用户访问的时间流量进行统计。312连接各营业点的网段连接各营业点的网段是连接公司总部与各分公司的接口，各营业点通过X25/PSTN连接到总公司的3COM主干路由器上。BACDFIREWALLCLIENTDMZ交易所与营业点的相互访问是通过DDN,由于系统本身是一个很安全的系统，我们这里就不对此作一些安全产品的配置，只是对整个系统及应用程序的安全进行安全性的扫描，如果存在漏洞则对系统进行升级和优化。因为交易所与营业点的数据传输经常会突然出现流量增大，影响正常的交易，所以我们认为在交易所的路由器到内部网之间添加一个百兆的集线器或交换机在此上的端口处安装NAI公司的SNIFFERFORLAN，对进出的包进行解码分析，区分出包的类型，对非正常交易的包进行分析并且通过一些措施把这些非正常交易的包给过滤掉或通过流量分配软件进行有效的划分。具体配置A把与交易无关的包给过滤掉。可以通过在路由器后面添加防火墙的方式，可以把已经通过SNIFFER检查出来的与交易无关的包的源地址给屏蔽掉，不让包进行内部系统。B通过流量分配软件在各个营业点对出去的包进行手工的流量分配。如果是与交易有关的包让它占有较大的带宽，如果与交易无关的包则让它占较小的带宽，这样可以保证主干业务的畅通运行。C可以在网段上安装入侵检测软件，它可以对进来的包进行解码并且分析包的内容，是什么类型的服务，使用的端口号，源地址及目的地址等。这样就可以分析出哪些连接是没有必要的，然后再把该连接通过防火墙给屏蔽掉。313内部系统及部门之间连接安全分析和建议据统计在互联网上80的泄密来自于内部网络，在设计网络安全结构时，如何防止内部人员的攻击也是一个很重要的方面，对于某些关键部门，如财务部门，可能允许上传数据、提供特定数据供指定部门的指定人员查阅。而在目前交易所公司的网络结构上并未对上述关键部门给予应有的特别保护，任何内部工作人员都可以进入关键部门的计算机上，获取机器上的有用信息。在公司内部如果由对公司不满的员工，它可以在公司的网络段中安装一些侦听软件，收集进入重要部门的信息，如用户的密码，重要的文件，重要的信件等等。这些侦听软件在网上面到处可以免费获得，所以如果我们没有很好的防范措施，重要的系统很容易遭到破坏。A在几个重要部门之间相互通信的接口处添加VPN网关。配置方法在几个重要部门的交换机上安装一个硬件的的VPN设备，所有需要到另一个部门的信息都会通过VPN网关,进行加密，根据IPSEC方式，在IP包头添加另一个网段的VPN网关的IP地址。这样所有的包在到达另一个部门前先需要经过该部门的VPN网关的解密。其他特点VPN网关会可以在这几个部门之间相互建立不同的信任关系，建立不同的加密算法；作用防止了不满员工的侦听，保证了信息传输过程中的安全性，提高各个重要部门的安全性等等。B在重要的部门的网段上添加入侵检测软件。配置方法把入侵检测软件安装在某台空余的电脑上，并且把它与HUB相连。作用它能够实时的捕获通过HUB的包，并且对包进行分析，通过离线分析模块与黑客特征库进行比较看是否有黑客进行攻击，如果有则会报警，并且会自动对进来的非法包进行阻断。C在特别重要的服务器及主机上，添加基于主机的入侵检测软件。配置方法如果需要保护哪台主机，就在它上面安装入侵检测软件。作用对重要的文件进行实时的跟踪，对用户的权限、密码、注册表文件或/ETC目录下的文件、数据库内的数据进行保护。D使用防病毒系统，配置方法在文件服务器，群间服务器，网关服务器，客户机上分别安装防病毒软件。作用防止病毒功过客户端，文件服务器，全歼服务器，网关服务器进行传播，有效的防止了这种非技术型的系统破坏。314内部用户通过拨号服务器与远程用户进行通信安全优化A在拨号服务器的网段中再添加一台身份认证服务器，对通过拨号上来的用户进行两次身份认证，并且如果有能力，可以让每一个拨号用户配置一个IC卡，该卡上的号码会根据身份认证服务器进行更新，用户必须输入更新后的密码才能进入系统。B经常性更换用户名及口令，同时限定登入失败次数，保持较高的保密性及安全性。C对登入上来的用户及登入失败的用户都进行审计，看是否有非法用户进行尝试性攻击。D添加VPN网关，同时在用户端添加加密PC卡。作用保证传输过程中用户密码的保密性，传输信息的保密性；把合法地址转化成了内部地址，大大的提高了内部网络的安全性；对远程用户的访问进行限制，防止非法用户的恶意攻击。315外部用户访问公司网站安全分析和建议当外部用户访问公司托管的网站服务器时，因为现在在网站服务器上没有做任何的防范所以和容易被黑客破坏，当发生页面被换成非健康内容或整个系统被洗的情况，将造成不良的后果。建议A在网站服务器前面安装防火墙。作用把所有不必要的服务及端口全部关闭，防止外部用户通过其他的扫描软件或黑可程序进行攻击，同时安装防火墙后有详细的日志文件可以清楚的知道对主机的访问情况。同时对服务器进行地址隐藏，使得黑客找不到服务器的内部真实地址，这样黑客就攻不破。B在与网站服务器同一个HUB上安装入侵检测软件或审计系统。作用一旦发现有什么高手黑客闯入，就可以检测出来，等检测出来后它会采取有效的报警措施BP机呼叫、发MAIL、拉警报、警报列表等。C在网站服务器上添加网站实时监控及恢复软件。作用对网站的主页及其它需要保护的页面，进行实时的监控，一旦发现页面配修改，则会检查该修改是合法的还是非法的如果为非法的修改则会从备份端把页面重新恢复回去。同时还有经过加密的客户端上传软件，规定只有从该客户端传上去的文件才认为是合法的，这样大大的加强了安全性。D对编写程序的方式进行调整，把两层结构调整成三层结构，在网页与数据库之间添加中间层。防止黑客通过分析页面代码获得数据库的管理口令。E需要把NT的SERVICEPACK补丁程序打到SP6A,这样可以防止用户通过如HTTP/WWWSUNSCCOMCN81或HTTP/WWWSUNSCCOMCNDATA的方式对网站进行攻击。F如果网站的规模增加，有多台WEBSERVER,则需要添加第四层交换机，对流量进行智能的、动态的负载平衡。安装此设备时这样的好处可以提高网络的访问速度；可以增加冗余性，万一某台WEBSERVER发生故障，至少还有另外一台WEBSERVER在正常工作，这样可以防止非正常网络不能够访问的现象。当由两台计算机在作镜像后，我们在增加ALTON流量分配器，它的作用为可以动态的对流量进行合理化分配，提高网络访问速度；能够把网络的地址全部转换成内部地址，让用户无法知道地址为多少，这样可以大大的提高网络服务器的安全性；能够配置包过滤策略，对进来的访问进行控制。所以我们会把WEBSERVER的外部地址进行隐含，改成内部地址。如20212212改成19216812，20210162129改成19216813。32本方案中防火墙提供的安全措施GAUNTLET防火墙是基于应用层网关的防火墙，其特点是没有内外网络的直接连接，比包过滤防火墙更高的安全性。提供对协议的过滤，如可以禁止FTP连接的PUT命令。信息隐藏，应用网关为外部连接提供代理。健壮的认证和日志。防火墙能够记录所有的网络连接和连接企图，日志能够显示出源地址、目的地址、时间和所用的协议，而且防火墙能够预先设定一个紧急情况的触发条件，条件发生时，防火墙会发出一个警报给安全维护人员或网络管理系统。节省费用，第三方的认证设备软件或硬件只需安装在应用网关上。简化和灵活的过滤规则，路由器只需简单地通过到达应用网关的包并拒绝其余的包通过。各防火墙可相互配合，具有主动防御的能力。多个防火墙之间可形成GVPN，为湖南证券股份有限有限公司将来的内部INTRANET建立可信赖的连接。可以看出，GAUNTLET防火墙的安全特性远比其他类型的防火墙高。以上介绍的三个防火墙所在的网段都有各自独立的安全策略，但又相互学习，协同工作。防火墙系统的局限性防火墙能有效地防止外来的入侵，虽然能作到控制进出网络的信息流向和信息包提供使用和流量的日志和审计；隐藏内部IP地址及网络结构的细节；提供VPN功能；但是所有的防火墙都不能作到停止所有外部入侵；完全不能阻止内部袭击；防病毒；终止有经验的黑客；提供完全的网络安全性。因此，仅仅在INTERNET入口处部署防火墙，实际上是一个不完整的安全解决方案，从总体上系统还应该具备防病毒和防黑客的功能。33防病毒的整体解决方案331病毒防护的必要性和发展趋势众所周知，计算机病毒对生产的形响可以称得上是灾难性的。尽管人类已和计算机病毒斗争了数年，并已取得了可喜的成绩，但是随着INTERNET的发展，计算机病毒的种类急聚增多，扩散速度大大加快，对企业及个人用户的破坏性加大。与生物病毒类似，计算机病毒也具有灾难性的形响。就其本质而言，病毒只是一种具有自我复制能力的程序。目前，许多计算机病毒都具有特定的功能，而远非仅仅是自我复制。其功能（常称为PAYLOAD）可能无害，如，只是在计算机的监视器中显示消息，也可能有害，如毁坏系统硬盘中所存储的数据，一旦被触发器（比如特定的组合键击、特定的日期或预定义操作数）触发，就会引发病毒。随着计算机技术的不断发展，病毒也变得越来越复杂和高级。最近几年，病毒的花样层出不穷，如宏病毒和变形病毒。变形病毒每次感染新文件时都会发生变化，因此显得神秘莫测。只要反病毒软件搜索到病毒的“标记”（病毒所特有的代码段），那么，反病毒软件也能检测到每次感染文件就更改其标记的变形病毒。宏病毒主要感染文档和文档模板。几年前，文档文件都不含可执行代码，因此不会受病毒的感染，现在，应用软件，如MICROSOFTWORD和MICROSOFTEXECL,已经嵌入了宏命令，病毒就可以通过宏语言来感染由这些软件创建的文档。由于INTERNET的迅快发展，将文件附加在电子邮件中的能力不断提高以及世界对计算机的依赖程度不断提高，使得病毒的扩散速度也急骤提高，受感染的范围越来越广，据NCSA调查，在1994年中，只有约20的企业受到过病毒的攻击，但是在1997年中，就有约993的企业受到病毒的攻击，也就是说几乎没有那一家企业可以逃脱病毒的攻击。而且感染方式也由主要从软盘介质感染转到了从网络服务器或INTERNET感染。同样据NCSA调查，在1996年只有21的病毒是通过电子邮件，服务器或INTERNET下载来感染的，但到1997年，这一比例就达到52。332湖南证券股份有限有限公司的多层病毒防御体系在本系统中采取的安全措施主要考虑分部网络安全性，但由于病毒的极大危害及特殊性，建议分部也在其内部网络布署防病毒系统。基于以上这些情况，我们认为湖南证券股份有限有限公司可能会受到来自于多方面的病毒威胁，包括来自INTERET网关上、与分部及各地区公司连接的网段上，为了湖南证券股份有限有限公司免受病毒所造成的损失，建议采用多层的病毒防卫体系。所谓多层病毒防卫体系，是指在公司的每个台式机上要安装台式机的反病毒软件，在服务器上要安装基于服务器的反病毒软件，在INTERET网关上要安装基于INTERNET网关的反病毒软件，因为对公司来说，防止病毒的攻击是每个员工的责任，人人都要做到自己使用的台式机上不受病毒的感染，从而保证整个企业网不受病毒的感染。3321客客户户端的防病毒系端的防病毒系统统根据统计，50以上的病毒是通过软盘进入系统，因此对桌面系统的病毒应严加防范。采用VIRUSSCANSECURITYSUITE产品，来防止桌面机受到病毒的侵害。本产品包含以下功能WEBSCANX保护系统免受恶意JAVA和ACTIVEX小程序的破坏；PCMEDIC保护系统和应用程序免于崩溃；PGPFILE增强机密信息的安全性；QUICKBACKUP保护数据免于意外的丢失SECURECAST自动在INTERNET上发布接收病毒更新信息NETTOOLSCONSOLE具有集中的管理、分发和警告功能VIRUSSCAN为全球领先的桌面防病毒产品，可在DOS，WINDOWS3X，WINDOWS95，WINDOWSNT，MAC和OS/2等平台。3322服服务务器的防病毒系器的防病毒系统统如果服务器被感染，其感染文件将成为病毒感染的源头，它们会迅速从桌面感染发展到整个网络的病毒爆发。因此，基于服务器的病毒保护已成为当务之急。所以，建议在总部的外部网与分部连接的网段上和总部的停火区中重要的代理服务器上采用NETSHIELDSECURITYSUITE，提供了全面的基于服务器的病毒保护。可防止来自于分部、各地公司的病毒传染。可以从单独的直观控制台上远程管理这些服务器平台。其具体的功能有NETSHIELD全球领先的服务器防病毒解决方案。（NETWARE，WINDOWSNT，UNIX）GROUPSHIELD群件服务器的防病毒方案。（MICROSOFTEXCHANGE，LOTUSNOTES/DOMINO）SECURECAST自动将病毒更新的信息发布到INTERNET上。NETTOOLSCONSOLE提供集中的管理、分发和警告功能。3323INTERNET的防病毒系的防病毒系统统根据ICSA的报告，一般公司的电脑感染病毒的来源有超过20是通过网络下载文档感染，另外有26是经电子邮件的附加文档所感染，由于湖南证券股份有限有限公司已连入INTERENT，很有可能受到来自INTERENT下载文件的病毒侵害及恶意的JAVA、ACTIVEX小程序的威胁。因此，此部分将成为防范的重点。建议在总部的外部网与INTERENT连接的网段上的停火区中MAILSERVER、WEBSERVER、DNSSERVER、等代理的服务器上安装INTERNETSECURITYSUITE，可防止来自于INTERNET上的病毒、恶意的JAVA、ACTIVEX对公司所造成的破坏INTERNETSECURITYSUITE载INTERENT网关上可以提供全面的病毒防卫系统，封锁病毒所有可能的进入点。透过管理控制台可直接在任何服务器或工作站上进行远程管理。它可以作到WEBSHIELDSMTP可以扫描全部收发的电子邮件；WEBSHIELDPROXY可以扫描位于代理服务器和网络协议HTTP，SMTP，FTP等。SECURECAST自动将病毒更新的信息发布到INTERNET上。NETTOOLSCONSOLE提供集中的管理、分发和警告功能。根据目前的网络结构，本产品应安装在外部网网段1、网段2、的停火区中的服务器上。34防黑客的整体解决方案对于湖南证券股份有限有限公司的外部网来说，受到黑客的攻击会来自于与总部连接的两个外部网段，总部与INTERENT连接的网段1，总部与分局连接的网段2。（注来自于内部网络的威胁我们暂不作考虑，可参看49）。为了防止湖南证券股份有限有限公司的外部网受到黑客的攻击，建议采用入侵检测技术（CYBERCOPIDS）。提供实时的入侵检测及采取相应的防护手段，如记录证据、跟踪或断开网络连接等。本IDS系统分成两个部分。341基于主机及网络的保护在与公司连接的两个网段的停火区中都分别设置了服务器，提供对外两个网段的信息服务，其中存储了大量的重要数据，是黑客攻击的主要目标。所以，我们建议在对外两个网段停火区中的每个服务器安装基于主机及网络保护的入侵检测系统（CYBERCOPMONITOR）在公司外部网络关键路径的信息也需要进行实时的监控，来防止外部两个网段受到攻击。基于系统的入侵检测系统（CYBERCOPMONITOR）用于监视关键路径上的入侵及记录可疑事件，发送警报及跟踪攻击。CYBERCOPMONITOR实时地检测攻击，当攻击发生时，CYBERCOPMONITOR立即报告并记录