内联网防火墙安全系统设计方案

1、 .DOC资料. 证券内联网防火墙安全系统方案方正数码有限公司2001年12月 TOC o h z HYPERLINK l _Toc532706700 1北大方正集团、方正数码公司简介 PAGEREF _Toc532706700 h 8 HYPERLINK l _Toc532706701 2网络证券业务分析 PAGEREF _Toc532706701 h 10 HYPERLINK l _Toc532706702 3网络证券安全需求分析 PAGEREF _Toc532706702 h 13 HYPERLINK l _Toc532706703 3.1安全性 PAGEREF _Toc53270670

2、3 h 13 HYPERLINK l _Toc532706704 3.2高效性 PAGEREF _Toc532706704 h 14 HYPERLINK l _Toc532706705 3.3可靠性 PAGEREF _Toc532706705 h 15 HYPERLINK l _Toc532706706 3.4可伸缩性 PAGEREF _Toc532706706 h 15 HYPERLINK l _Toc532706707 3.5易用性 PAGEREF _Toc532706707 h 15 HYPERLINK l _Toc532706708 3.6完善的服务体制 PAGEREF _Toc532

3、706708 h 16 HYPERLINK l _Toc532706709 4安全系统结构 PAGEREF _Toc532706709 h 16 HYPERLINK l _Toc532706710 5安全系统实施 PAGEREF _Toc532706710 h 19 HYPERLINK l _Toc532706711 5.1.1主要应用服务的安全风险 PAGEREF _Toc532706711 h 22 HYPERLINK l _Toc532706712 5.1.2网络中主要系统的安全风险 PAGEREF _Toc532706712 h 23 HYPERLINK l _Toc532706713

4、 5.1.3数据库系统安全分析 PAGEREF _Toc532706713 h 23 HYPERLINK l _Toc532706714 5.1.4管理系统的安全风险 PAGEREF _Toc532706714 h 24 HYPERLINK l _Toc532706715 6方正数码防火墙解决方案 PAGEREF _Toc532706715 h 24 HYPERLINK l _Toc532706716 6.1本方案设计的原则和目标 PAGEREF _Toc532706716 h 24 HYPERLINK l _Toc532706717 6.2防火墙选型 PAGEREF _Toc53270671

5、7 h 25 HYPERLINK l _Toc532706718 6.3防火墙设置及工作模式 PAGEREF _Toc532706718 h 26 HYPERLINK l _Toc532706719 6.4防火墙功能设置及安全策略 PAGEREF _Toc532706719 h 26 HYPERLINK l _Toc532706720 6.4.1完善的访问控制 PAGEREF _Toc532706720 h 26 HYPERLINK l _Toc532706721 6.4.2内置入侵检测（IDS） PAGEREF _Toc532706721 h 27 HYPERLINK l _Toc53270

6、6722 6.4.3代理服务 PAGEREF _Toc532706722 h 27 HYPERLINK l _Toc532706723 6.4.4NAT地址转换 PAGEREF _Toc532706723 h 28 HYPERLINK l _Toc532706724 6.4.5日志系统及系统报警 PAGEREF _Toc532706724 h 28 HYPERLINK l _Toc532706725 6.4.6带宽分配，流量管理 PAGEREF _Toc532706725 h 28 HYPERLINK l _Toc532706726 6.4.7集中管理 PAGEREF _Toc53270672

7、6 h 29 HYPERLINK l _Toc532706727 6.4.8预制模板 PAGEREF _Toc532706727 h 29 HYPERLINK l _Toc532706728 6.4.9系统升级 PAGEREF _Toc532706728 h 29 HYPERLINK l _Toc532706729 6.4.10双机备份 PAGEREF _Toc532706729 h 30 HYPERLINK l _Toc532706730 6.4.11防火墙方案特点 PAGEREF _Toc532706730 h 30 HYPERLINK l _Toc532706731 7证券内联网防火墙安

8、全需求及方案对照说明 PAGEREF _Toc532706731 h 31 HYPERLINK l _Toc532706732 7.1内联网防火墙基本要求 PAGEREF _Toc532706732 h 31 HYPERLINK l _Toc532706733 7.2证券内联网防火墙功能要求 PAGEREF _Toc532706733 h 33 HYPERLINK l _Toc532706734 7.2.1必备功能 PAGEREF _Toc532706734 h 33 HYPERLINK l _Toc532706735 7.2.2增强功能 PAGEREF _Toc532706735 h 36

9、HYPERLINK l _Toc532706736 7.3防火墙性能 PAGEREF _Toc532706736 h 36 HYPERLINK l _Toc532706737 7.4防火墙管理 PAGEREF _Toc532706737 h 38 HYPERLINK l _Toc532706738 8证券内联网安全管理建议 PAGEREF _Toc532706738 h 39 HYPERLINK l _Toc532706739 8.1整体思路 PAGEREF _Toc532706739 h 39 HYPERLINK l _Toc532706740 8.2集中管理，统一规划 PAGEREF _T

10、oc532706740 h 39 HYPERLINK l _Toc532706741 8.3严格规章 安全教育 PAGEREF _Toc532706741 h 40 HYPERLINK l _Toc532706742 8.4明确责任 技术培训 PAGEREF _Toc532706742 h 40 HYPERLINK l _Toc532706743 8.5动态监控 专家咨询 PAGEREF _Toc532706743 h 41 HYPERLINK l _Toc532706744 9证券内联网防火墙安全系统实施方案 PAGEREF _Toc532706744 h 42 HYPERLINK l _T

11、oc532706745 9.1合同签订阶段的工作实施 PAGEREF _Toc532706745 h 42 HYPERLINK l _Toc532706746 9.2发货阶段的实施 PAGEREF _Toc532706746 h 43 HYPERLINK l _Toc532706747 9.3到货后工作的实施 PAGEREF _Toc532706747 h 45 HYPERLINK l _Toc532706748 9.4测试及验收 PAGEREF _Toc532706748 h 46 HYPERLINK l _Toc532706749 9.4.1测试及验收描述 PAGEREF _Toc5327

12、06749 h 46 HYPERLINK l _Toc532706750 10证券内联网防火墙系统培训 PAGEREF _Toc532706750 h 48 HYPERLINK l _Toc532706751 10.1培训目标 PAGEREF _Toc532706751 h 48 HYPERLINK l _Toc532706752 10.2培训课程 PAGEREF _Toc532706752 h 48 HYPERLINK l _Toc532706753 10.3培训方式 PAGEREF _Toc532706753 h 48 HYPERLINK l _Toc532706754 10.4培训时长

13、PAGEREF _Toc532706754 h 48 HYPERLINK l _Toc532706755 10.5培训地点 PAGEREF _Toc532706755 h 48 HYPERLINK l _Toc532706756 10.6培训人数 PAGEREF _Toc532706756 h 49 HYPERLINK l _Toc532706757 10.7学员要求 PAGEREF _Toc532706757 h 49 HYPERLINK l _Toc532706758 11方正方御防火墙技术支持与服务 PAGEREF _Toc532706758 h 50 HYPERLINK l _Toc5

14、32706759 11.1方正数码绿色服务体系结构介绍 PAGEREF _Toc532706759 h 50 HYPERLINK l _Toc532706760 11.2完善的技术支持与服务 PAGEREF _Toc532706760 h 52 HYPERLINK l _Toc532706761 11.2.1售前服务内容 PAGEREF _Toc532706761 h 53 HYPERLINK l _Toc532706762 11.2.2售前服务流程 PAGEREF _Toc532706762 h 54 HYPERLINK l _Toc532706763 11.2.3售后服务内容 PAGERE

15、F _Toc532706763 h 55 HYPERLINK l _Toc532706764 11.2.4售后服务流程 PAGEREF _Toc532706764 h 56 HYPERLINK l _Toc532706765 11.3服务方式 PAGEREF _Toc532706765 h 57 HYPERLINK l _Toc532706766 11.4服务监督 PAGEREF _Toc532706766 h 57 HYPERLINK l _Toc532706767 12方正方御防火墙成功案例 PAGEREF _Toc532706767 h 59 HYPERLINK l _Toc532706

16、768 12.1鞍山市商业银行应用案例 PAGEREF _Toc532706768 h 59 HYPERLINK l _Toc532706769 12.1.1鞍山市商业银行需求分析 PAGEREF _Toc532706769 h 59 HYPERLINK l _Toc532706770 12.1.2系统安全目的 PAGEREF _Toc532706770 h 60 HYPERLINK l _Toc532706771 12.1.3安全体系结构 PAGEREF _Toc532706771 h 60 HYPERLINK l _Toc532706772 12.1.4安全系统实施 PAGEREF _To

17、c532706772 h 60 HYPERLINK l _Toc532706773 12.2沈阳建设银行安全应用实例 PAGEREF _Toc532706773 h 61 HYPERLINK l _Toc532706774 12.2.1沈阳建设银行需求分析 PAGEREF _Toc532706774 h 61 HYPERLINK l _Toc532706775 12.2.2系统安全目的 PAGEREF _Toc532706775 h 63 HYPERLINK l _Toc532706776 12.2.3用户安全需求分析 PAGEREF _Toc532706776 h 63 HYPERLINK

18、l _Toc532706777 安全性 PAGEREF _Toc532706777 h 63 HYPERLINK l _Toc532706778 高效性 PAGEREF _Toc532706778 h 63 HYPERLINK l _Toc532706779 可扩展性 PAGEREF _Toc532706779 h 64 HYPERLINK l _Toc532706780 易用性（管理控制） PAGEREF _Toc532706780 h 64 HYPERLINK l _Toc532706781 完善的服务体制 PAGEREF _Toc532706781 h 64 HYPERLINK l _T

19、oc532706782 12.2.4安全体系结构 PAGEREF _Toc532706782 h 64 HYPERLINK l _Toc532706783 12.2.5安全系统实施 PAGEREF _Toc532706783 h 66 HYPERLINK l _Toc532706784 12.3部分方正方御防火墙客户名单 PAGEREF _Toc532706784 h 67 HYPERLINK l _Toc532706785 13证券内联网防火墙安全子系统建设报价 PAGEREF _Toc532706785 h 70 HYPERLINK l _Toc532706786 14方正数码联系方式 P

20、AGEREF _Toc532706786 h 71 HYPERLINK l _Toc532706787 附录一：授权服务商名单 PAGEREF _Toc532706787 h 72 HYPERLINK l _Toc532706788 附录二：防御防火墙所获证书 PAGEREF _Toc532706788 h 77 HYPERLINK l _Toc532706789 附件三：资格证明文件 PAGEREF _Toc532706789 h 82 HYPERLINK l _Toc532706790 附录四：方正方御防火墙产品说明 PAGEREF _Toc532706790 h 87 HYPERLINK

21、 l _Toc532706791 产品概述 PAGEREF _Toc532706791 h 87 HYPERLINK l _Toc532706792 系统特点 PAGEREF _Toc532706792 h 88 HYPERLINK l _Toc532706793 防火墙功能说明 PAGEREF _Toc532706793 h 91 HYPERLINK l _Toc532706794 多种工作模式 PAGEREF _Toc532706794 h 91 HYPERLINK l _Toc532706795 包过滤防火墙 PAGEREF _Toc532706795 h 93 HYPERLINK l

22、_Toc532706796 高效的过滤 PAGEREF _Toc532706796 h 93 HYPERLINK l _Toc532706797 碎片处理功能 PAGEREF _Toc532706797 h 94 HYPERLINK l _Toc532706798 防SYN Flood攻击 PAGEREF _Toc532706798 h 94 HYPERLINK l _Toc532706799 强大的状态检测功能 PAGEREF _Toc532706799 h 95 HYPERLINK l _Toc532706800 轻型/复杂IDS(入侵检测系统) PAGEREF _Toc532706800

23、 h 95 HYPERLINK l _Toc532706801 反端口扫描 PAGEREF _Toc532706801 h 95 HYPERLINK l _Toc532706802 可以防范20类1500余种攻击方式 PAGEREF _Toc532706802 h 96 HYPERLINK l _Toc532706803 在线升级和实时报警 PAGEREF _Toc532706803 h 98 HYPERLINK l _Toc532706804 入侵检测和防火墙的互动 PAGEREF _Toc532706804 h 99 HYPERLINK l _Toc532706805 双向NAT PAGE

24、REF _Toc532706805 h 99 HYPERLINK l _Toc532706806 带宽管理和流量统计 PAGEREF _Toc532706806 h 100 HYPERLINK l _Toc532706807 代理服务器功能 PAGEREF _Toc532706807 h 100 HYPERLINK l _Toc532706808 双机热备 PAGEREF _Toc532706808 h 101 HYPERLINK l _Toc532706809 强大的审计功能 PAGEREF _Toc532706809 h 101 HYPERLINK l _Toc532706810 基于PK

25、I的高级授权认证 PAGEREF _Toc532706810 h 102 HYPERLINK l _Toc532706811 集中管理 PAGEREF _Toc532706811 h 102 HYPERLINK l _Toc532706812 实时控制和日志转存 PAGEREF _Toc532706812 h 102 HYPERLINK l _Toc532706813 灵活的配置方式 PAGEREF _Toc532706813 h 103 HYPERLINK l _Toc532706814 可视化配置 PAGEREF _Toc532706814 h 103 HYPERLINK l _Toc53

26、2706815 预置包过滤规则集 PAGEREF _Toc532706815 h 103 HYPERLINK l _Toc532706816 总结 PAGEREF _Toc532706816 h 103北大方正集团、方正数码公司简介北京北大方正集团公司是北京大学创建的高新技术企业。方正集团拥有个控股的上市公司，方正（控股）有限公司、方正数码有限公司、上海方正延中科技集团股份有限公司，17家独资、合资企业。员工总数约6000人，总资产50亿元，2000年销售规模达101亿元。1997年，方正集团已成为国家120家大型试点企业集团之一，国家首批家技术创新试点企业之一，国家重点支持的家PC生产厂家之

27、一。创造科技与文明，是北大方正的一贯宗旨，集团坚持以人为本的宗旨，以创新为先导，产、学、研结合，不断以优质产品和技术服务于社会。方正数码有限公司（EC-Founder Co., Ltd.）是从事发展互联网应用技术及电子商务的软件技术公司。其业务专注于互联网安全产品及网络安全服务等领域，是互联网时代的软件技术公司。 方正数码借助技术、研发方面的优势，借鉴世界上最先进的管理运作经验，定位于电子商务赋能者（ e-commerce enabler），用不断创新的技术与优质的服务赋予客户新经济时代可持续发展的能力，帮助政府、证券、金融、行业、企业、网站、电子商务的运营者运用先进技术和高效管理手段在互联网

28、时代健康发展，取得成功。 方正数码有限公司的业务围绕在互联网安全技术应用、网络安全服务及网络安全知识管理等主要领域，在技术开发、应用解决方案和运营服务方面为用户提供先进的网络安全产品和技术。为此方正数码推出SHARKS互联网安全解决方案。SHARKS解决方案是在深入的研究后，提出的一套基于中国国情、全部自主开发、具有领先优势的解决方案。它是一套整体的集群平台，可以解决企业最为关切的安全性、高可靠性、可扩展性和易于远程管理的问题。目前这套方案已经得到国家有关部门的大力支持，被国家经贸委列为国家创新计划项目之一，还得到了国家“863”计划的肯定与支持。方正方御防火墙是SHARKS安全解决方案中的主

29、要安全产品之一。方正方御防火墙凭借其独特的技术优势，在保证系统自身的安全性的同时又保证了其运行效率。方正方御防火墙中还融入了入侵检测技术，可以有效地防范攻击企图的试探；另外利用先进的III技术，方正方御防火墙可以有效滤除著名的DDoS攻击，正是这种攻击曾迫使包括美国雅虎在内的若干世界最大的网站停止服务。除防火墙之外，方正数码有限公司还向用户提供VPN、安全扫描系统、入侵检测系统（IDS）等安全产品及方案，从多层次、多角度、全方位保护用户的网络。在立身自主开发外，方正数码还与CA、ISS、Symantec等众多国际知名的安全公司保持着良好的合作关系，集成国内外最优秀的公司安全产品，为国内Inte

30、rnet的安全建设保驾护航。网络证券业务分析证券业务是改革开放以来，金融系统中增长最快的业务之一，它从无到有，从小到大。在证券交易所注册开户的用户飞速增长，而关心证券交易的人更是成倍的增长，不论大人还是小孩，似乎都知道证券一词。传统的证券交易大概需要以下几个步骤：首先，需要到证券交易机构注册开户；其次，需要将用户的资金从银行转入证券交易的账户中；第三，进行证券信息处理和各种交易。然而在传统的证券交易中，用户需要到证券营业厅进行交易或通过电话等手段进行交易，虽然其交易速度很快，但是和计算机网络相比仍然是小巫见大巫。由于不用担心支付手段、不用担心实物配送等原因，证券业是最适合使用互联网的行业之一。

31、网络证券交易，就是要将传统的证券交易转变为以计算机互联网络为基础的交易方式。用户可以充分利用Internet或无线互联网的优势，快捷方便的进行交易。网络证券交易主要业务包括以下几个方面：用户注册开户网上身份验证证券信息浏览在线证券交易证券交易和用户的网络化管理维护与安全相关业务：在以上几个方面中，用户的网上身份验证、证券信息传输、在线交易和在线管理与维护是非常需要安全保护的，而用户的注册开户是要到证券机构进行申请的，所以不涉及网络的安全性的。涉密信息：上面我们分析了需要安全保护的网络证券交易业务，那么，哪些信息是涉及加密的呢？首先，用户的身份、账户等信息是用户进行交易是需要进行验证的，这些信息

32、若被窃取或破坏，不但无法进行网上的交易，更为严重的可能直接影响用户使用传统形式进行交易，所以需要安全加密；其次，交易数据是涉及用户直接的经济利益，也是需要安全加密的；第三，网络证券交易的管理与维护是网络化的，而这些信息是直接关系到网络证券交易系统自身的安全性的，这些信息是需要安全加密的。经过分析，涉密信息主要有用户信息、交易数据、管理信息三个方面。网络证券的管理模式：由于网络证券交易时使用Internet或无线互联网，用户信息，证券信息，交易数据等是由多台不同的服务器来承担的，同时在其上要运行多种服务的，所以应该采用集中管理的方式对网络证券交易进行管理，这样能减轻管理员的劳动强度，提高工作效率

33、。安全风险及威胁：前面我们分析了网上证券交易需要安全保护的业务，也分析了有哪些是涉密信息。通过这些分析我们可以很容易的得出网络证券交易的安全风险及威胁来自以下几个方面：用户信息会受到黑客的窃取、破坏以及病毒的破坏交易数据会受到黑客的窃取、破坏以及病毒的破坏系统信息会受到黑客的窃取、破坏以及病毒的破坏服务的正常运行会受到黑客的攻击、破坏以及病毒的破坏系统安全目的：通过以上的分析，网络证券交易系统的安全目的是：要保护用户的信息和数据、系统的资源和信息不被非法窃取和破坏，保护各项网络服务能正常运转，免受入侵和攻击。网络证券安全需求分析前面分析了网络证券业务是需要安全保障的。由于证券业自身的特殊性，对

34、安全性也有不同于其他行业的要求。网络证券业务中对安全的要求为安全性、高效性、可靠性、可伸缩性、易于使用性和安全服务体制。安全性证券的网上交易往往涉及巨额资金，一旦受外部攻击造成系统中断，或网络犯罪使信息泄露，将会造成重大损失。证券的网上交易的安全性主要有以下几个方面：网络环境、操作系统与数据的安全性证券交易通过网络来实现，如果这个网络环境直接暴露于Internet上，那么将是可怕的，所以我们需要用防火墙来隔离Internet和网络证券交易系统。由于防火墙能够阻挡黑客的攻击行为和异常的网络事件，这样可以保护我们的网络交易环境、网络中计算机的操作系统和数据。防火墙是网络安全的第一道屏障，单有防火墙

35、是不能进行全面保护的，我们还需要入侵监测系统（IDS）来对黑客的攻击进行报警和自动防范，并使用防病毒模块来保证我们的操作系统和存储的数据免遭病毒的侵害。系统的数据和用户的数据有可能遭到破坏，那么需要应急恢复系统ERS来帮助解决这些问题。用户标识与鉴别，抗抵赖程度用户在网上进行证券交易前，必须要用到自己的身份信息，而这些信息必须加以保护，以防止被不法之徒窃取或利用给用户造成不必要的损失。为此，在登录环节就要开始实施防护。为达到保护目的，使用CA技术，利用数字证书来确保双方是可以互相信任的。并需要使用加密措施来保护用户的标识。密码支持的安全程度和可信信道的安全性整个信息传输过程使用SSL进行加密传

36、输，传输信息和存储信息加密后，就把计算机数据变成一堆无规律的、杂乱无章的字符。攻击者即使得到经过加密的信息即密文、也无法辨认原文，防止信息被窃取。交易服务的防攻击能力保护证券交易的各项网上服务正常的运行，能过滤主要的攻击和异常的网络事件，使用防火墙来完成要求；保护用户的数据和交易的信息不被非法窃取、破坏，拥有入侵检测系统（IDS）进行预警和自动防护，防治病毒的破坏，在紧急情况下能获得最快的服务响应高效性 证券的网上交易集中在几个特定的时段，对系统的反应速度有相当高的要求。要求安全系统具有优秀的数据吞吐能力，在保证安全的同时，效率的损失要减到最小。需要达到这个要求，就需要防火墙和IDS系统尽可能

37、小的对网络的吞吐量产生影响。而我们向用户提供的防火墙产品和IDS产品在安装到系统中去后能够完美满足用户的要求，这主要来自产品的优秀性能和针对行业的专门设计，具体性能请参看产品介绍与性能参数。可靠性在服务致胜的今天，服务的中断就意味着风险。在Internet上，早已不再沿用传统上朝九晚五的商业时间。365247的不间断运营对系统的可靠性提出了挑战。可靠性主要表现在：安全功能和机制的可靠程度在网络环境下，安全功能和机制本身就会成为黑客入侵和破坏的目标，所以安全的可靠性成为网络安全不可缺少的一环。只有在保证了安全功能和机制自身安全下，才能更好的保护网络的安全性。对于防火墙来讲，使用双机热备的方法是目

38、前最可靠，最实用的提高可靠性的手段。数据存储的可靠程度，数据的备份与恢复除了安全功能和机制的可靠性外，数据存储的可靠性也是不可忽视的重要环节。这就必须使用备份与恢复系统，来确保数据损坏后能及时的恢复。可伸缩性证券网络会随着证券业务的发展而迅速壮大。一个优秀的安全解决方案必须从开始就考虑到这种需求。系统需要基于高可伸缩便于扩充的集群构架。以跟上券商发展的脚步，防止出现大量的设备淘汰造成的资源浪费。易用性不易使用的安全系统是不安全的。充斥着英文术语的管理界面会大大的增加系统管理人员的工作量，也容易导致不应有的漏洞的出现或安全策略的僵化。易用性主要包括：要界面清晰易懂方便的集中管理安全性的实时监控。

39、完善的服务体制券商不是专业的安全公司。不可能随时全面的跟踪安全动态。安全是动态的过程，今天安全的系统明天就可能不安全，这就要求提供安全方案的公司有优秀的服务体制进行跟踪服务。再严密的系统也可能出现漏洞，当紧急事件发生时，能不能在最短时间内获得紧急响应服务经常决定了损失的大小，而且这种时候，需要的是极其专业的服务，没有强大开发实力的公司是无法满足这种需求的，而在国内没有开发部门的国外著名公司则往往鞭长莫及。安全系统结构为了满足上述需求，从安全方面就需以下模块：防火墙、入侵检测、防病毒、CA和加密。在系统设计一级，就要考虑到各模块的位置。同时，整个系统需要按照业务流程来进行设计。4.1 多级用户身

40、份验证登录保护：网上证券的用户与服务器之间需要建立一种信任关系。必须要防止入侵者通过种种手段进行冒充和欺骗。为此，在登录环节就要开始实施防护。首先使用CA技术，利用数字证书来确保双方是可以互相信任的。其次，在登录时进行用户名、密码验证。整个登录过程使用SSL加密传输，防止登录信息被窃取。密码保护：对于前面提到的用户信息、交易数据、管理信息等涉密信息，提供全程的密码保护。在系统访问层，通过授权和认证机制，保证涉密信息只提供给有访问权限的人员。访问密码和交易密码分开，加强高敏感的涉密信息的安全级别。4.2 密钥密码体系在网上证券应用中，使用基于公开密钥密码体系（PKI）的加密安全体系。其目的是保证

41、以下四点：可信任的服务器可信任的用户可信任的传输不容抵赖的审计使用密钥密码的主要目的是防止信息的非授权泄露。加密用于传输信息和存储信息，把计算机数据变成一堆无规律的、杂乱无章的字符。攻击者即使得到经过加密的信息即密文、也无法辨认原文。因此，加密可以有效地对抗截收、非法访问数据库窃取信息等威胁。为保证安全，组合应用对称密码算法和非对称密码算法，对称密码算法用于信息加密、非对称密码算法用于密钥分发、数字签名、完整性及身份鉴别等。如果一个加密系统的加密密钥和解密密钥相同，或者虽然不相同，但是由其中任意一个可以很容易地推导出另一个，所采用的就是对称密码算法。如果一个加密系统的加密密钥和解密密钥不相同、

42、并且由加密密钥推导出解密密钥(或者由解密密钥推导出加密密钥)是计算上不可行的、所采用的就是非对称密码算法。信息加密传输的实际过程包括四步：第一步，信息发送方产生一个对称密钥，并将此密钥用信息接收方的公钥加密后，通过网络传送给接收方。第二步，信息发送方用对称密钥将需要传输的文件加密后，通过网络传送给接收方。第三步，接收方用自己的私钥将收到的经过加密的对称密钥进行解密，得到发送方的对称密钥。第四步，接收方用得到的对称密钥将接收到的经过加密的信息进行解密，从而得到信息的原文。4.3 结构框架说明系统结构框架如下：用户使用PC或手机接入互联网，在穿过防火墙以后，连接上券商的Internet Serve

43、r。在用户端和Internet Server端，均使用CA证书，以保证用户和服务器的可相互信任。传输过程中，对涉密信息均使用SSL加密。在服务器与Internet之间，使用防火墙隔离，使用IDS系统进行预警。同时IDS与防火墙联动，在遭PC手机Interner防火墙/IDS券商Internet Server防火墙券商Intranet Server日志数据库控制中心券商柜台交易系统IDS模块防病毒模块SSL加密传输CACA遇高风险性攻击时，实施自动阻断。根据国家要求，券商的Internet Server和Intranet Server再利用一道防火墙物理隔离。在Intranet内部，使用IDS对

44、系统内异常事件进行监控。为了保护数据的完整性和安全性，在整个系统中，还要布署完整的防病毒体系。在控制中心。可以对整个安全系统进行实时监控和集中管理。对所有的安全事件，保留详细的日志记录，以备定期的安全审计使用。最后，券商的Intranet Server接入券商柜台交易系统，最终实现网上证券交易。整个安全系统结构可以总结为：多层隔离、实时监控、立体防护、集中管理。安全系统实施通过上面对需求的分析，我们提出了解决需求所要使用到的安全模块，主要由防火墙来对网络上的入侵、攻击以及异常的行为进行阻挡。使用方正数码的FireBridge防火墙作为系统安全的第一道屏障，FireBridge防火墙的优异性能及

45、双机热备的方式可以满足网络安全性及可靠性的要求。对于IDS使用ISS公司的产品，这样不但可以检测来自外部的威胁，还可以检测来自系统内部的侵害。防病毒模块使用业内著名的冠群金辰公司的KILL产品保障系统免受病毒侵扰。还有CA系统保证用户的身份鉴定。具体实施如下图所示：说明：如图所示安全系统的实施主要在两个部分，网上证券交易平台和证券公司总部。在网上证券交易平台中，Router与第一层Switch或Hub相连接，Switch或Hub与两台FireBridge防火墙相连接，然后两台FireBridge防火墙再与第二层Switch或Hub相连接。这样就构成了一个防火墙的双机热备方式，保证了网络的安全性

46、，同时提供了安全机制的可靠性。第二层Switch或Hub与交易服务器、WEB服务器、Router连接，并在服务器上安装IDS、防病毒模块、CA模块，这样在网上证券交易平台上实现了整体的多层次的安全防护措施。在证券公司总部里，在Router后安装一道FireBridge防火墙，其后部是证券公司总部的证券交易网络，在这个网络里需要安装一台控制主机，通过它对网上证券交易平台里的服务器、防火墙进行集中管理，同时对系统及其安全性、可靠性进行集中管理。除了上面所说的两个部分外，我们需要在用户端，安装CA的客户模块，认证的流程见下图：按照上面的方法来实施网络证券的安全解决方案，就可以完整的实现立体的安全防护

47、体系，从多层次、多角度来保护用户和券商的交易安全。我们的方案里使用的产品将在下面有进一步的介绍。主要应用服务的安全风险应用服务系统中各个叶节点有各种应用服务，这些应用服务提供给证券各级营业点或合作的商业银行使用。不能防止未经验证的操作人员利用应用系统的脆弱性来攻击应用系统，使得系统数据丢失、数据更改、获得非法数据等。而证券机房的这些应用系统是证券内联网中最重要的组成部分。DNS服务DNS是网络正常运作的基本元素，它们是由运行专门的或操作系统提供的服务的Unix或NT主机构成。这些系统很容易成为外部网络攻击的目标或跳板。对DNS的攻击通常是对其他远程主机进行攻击做准备，如篡改域名解析记录以欺骗被

48、攻击的系统，或通过获取DNS的区域文件而得到进一步入侵的重要信息。著名的域名服务系统BIND就存在众多的可以被入侵者利用的漏洞。证券商对外各种应用，特别是基于URL的应用依赖于DNS系统，DNS的安全性也是网络安全关注的焦点。E-Mail由于邮件服务器软件的众多广为人知的安全漏洞，邮件服务器成为进行远程攻击的首选目标之一。如利用公共的邮件服务器进行的邮件欺骗或邮件炸弹的中转站或引擎；利用sendmail的漏洞直接入侵到邮件服务器的主机等。而证券营业的内部E-mail系统覆盖面广，所以迫切需要使用防火墙来保护证券业的内部E-mail系统。WWW利用HTTP服务器的一些漏洞，特别是在大量使用服务器

49、脚本的系统上，利用这些可执行的脚本程序，未经授权的操作者可以很容易地获得系统的控制权。在证券存在各种WWW服务，这些服务协议或多或少存在安全隐患。FTP一些FTP服务器的缺陷会使服务器很容易被错误的配置，从而导致安全问题，如被匿名用户上载的木马程序，下载系统中的重要信息（如口令文件）并导致最终的入侵。有些服务器版本带有严重的错误，比如可以使任何人获得对包括root在内的任何帐号的访问。网络中主要系统的安全风险整个系统中网络设备主要采用路由器设备，有必要分析这些设备的风险。路由器是证券内联网的核心部件，路由器的安全将直接影响整个网络的安全。下面列举了一些路由器所存在的主要安全风险：路由器缺省情况

50、下只使用简单的口令验证用户身份，并且远程TELNET登录时以明文传输口令。一旦口令泄密路由器将失去所有的保护能力。 路由器口令的弱点是没有计数器功能，所以每个人都可以不限次数的尝试登录口令，在口令字典等工具的帮助下很容易破解登录口令。 每个管理员都可能使用相同的口令，因此，路由器对于谁曾经作过什么修改，系统没有跟踪审计的能力。 路由器实现的某些动态路由协议存在一定的安全漏洞，有可能被恶意的攻击者利用来破坏网络的路由设置，达到破坏网络或为攻击做准备的目的。针对这种情况，必须采取措施，有效防止非法对网络设备访问。 TCP/IP风险：系统采用TCP/IP协议进行通信，而因为TCP/IP协议中存在固有

51、的漏洞，比如：针对TCP序号的攻击，TCP会话劫持，TCP SYN攻击等。同时系统的DNS采用UDP协议，因为UDP协议是非面向连接的协议，对系统中的DNS等相关应用带来安全风险。数据库系统安全分析数据库系统是存储重要信息的场所并担负着管理这些数据信息的任务。数据库的安全问题，在数据库技术诞生之后就一直存在，并随着数据库技术的发展而不断深化。不法份子利用已有的或者更加先进的技术手段通常对数据库进行伪造数据库中的数据、损坏数据库、窃取数据库中的数据。如何保证和加强数据库系统的安全性和保密性对于网络的正常、安全运行至关重要。管理系统的安全风险 管理系统的安全风险除了上面提到的系统风险之外，系统之间

52、，特别是其他商业银行和证券之间存在很大的安全隐患。系统结构复杂、管理难度大，存在各种服务，哪些服务对哪些人是开放的、哪些是拒绝的都没有一定的安全划分。必须防止内部不相关人员非法访问安全程度要求高的数据，而且整个系统的正常运行也是保证证券系统日常工作正常进行的一个十分重要的方面。必须限制管理系统内各个部门之间访问权限，维护各个系统的安全访问。而由于整个系统是一个体系，任何一个点出现安全问题，都可能给相关人员带来损失。方正数码防火墙解决方案本方案设计的原则和目标原则：从网络安全整个体系考虑，本次防火墙选择原则是：安全性：防火墙提供一整套访问控制/防护的安全策略，保证系统的安全性；开放性：防火墙采用

53、国家防火墙相关标准和网络安全领域相关技术标准；高可靠性：防火墙采用软件、硬件结合的形式，保证系统长期稳定、安全运行；可扩充性：防火墙采用模块化设计方式，方便产品升级、功能增强、调整系统结构；可管理性：防火墙采用基于windows平台GUI模式进行管理，方便各种安全策略设置；可维护性：防火墙软件维护方便，便于操作管理；目标：网络安全包括很多方面，如：访问控制、身份认证、数据加密、入侵检测、防止病毒、数据备份等。本次证券内联网防火墙系统建设的目标是通过在证券同外部远程交易以及其他商业银行、金融机构连接处采用防火墙技术，防止外部网络和用户对证券内联网数据的非法使用和访问，监控整个网络数据过程。有效防

54、止来自外部的攻击行为。限制对内部资源和系统的访问范围。通过在证券内联网系统中设置防火墙的安全措施将达到以下目标：保护基于证券内联网的业务不间断的正常运作。包括构成证券系统网络的所有设施、系统、以及系统所处理的数据（信息）。证券的重要信息在可控的范围内传播，即有效的控制信息传播的范围，防止重要信息泄露给证券外部的组织或人员。解决网络的边界安全问题保证网络内部的安全实现系统安全及数据安全在用户和资源之间进行严格的访问控制（通过身份认证，访问控制）建立一套数据审计、记录的安全管理机制（网络数据采集，审计）融合技术手段和行政手段，形成全局的安全管理。为了解决证券内联网面临的安全问题，有必要建立一整套安

55、全机制，包括：访问控制、入侵检测等多个方面。信息系统的安全是一个复杂的系统工程，涉及到技术和管理等多个层面。为达成以上目标，方正数码在充分调研和分析比较的基础上采用合理的技术手段和产品以构建一个完整的安全技术体系，同时通过与证券的共同工作，协助证券建立完善的安全管理体系。防火墙选型防火墙是网络安全领域首要的、基础的设施，它对维护内部网络的安全起着重要的作用。利用防火墙可以有效地划分网络不同安全级别区域间的边界，并在边界上对不同区域间的访问实施访问控制、身份鉴别、和安全审计等功能。防火墙按实现的方式不同，其基本类型有：包过滤型、代理(应用网关)型和复合型。复合型防火墙是在综合动态包过滤技术和代理

56、技术的优点的情况下采取的一种更加完善和安全的防火墙技术。其功能强大，是未来防火墙技术发展的一个主要趋势。综合考虑证券网络安全实际情况，在本方案中采用方正数码的方正方御（FG-P）复合型防火墙，放置在证券与远程交易和各个商业银行以及其它金融机构连接的各个叶节点。防火墙设置及工作模式防火墙提供三个接口：内网、外网、DMZ；防火墙工作在路由模式，对外采用NAT技术，隐藏内部真实地址；将对外服务的各种服务设备放置在DMZ区域，和内部网络严格区分开，保证内部系统安全。考虑到安全问题，系统中的结构需要调整，将原来各商业银行对证券内部网络的访问调整到对DMZ的访问。不轻易允许各商业银行对证券内部网络进行访问

57、。防火墙功能设置及安全策略完善的访问控制规则控制：通过方正方御防火墙提供的基于TCP/IP协议中各个环节进行安全控制，生成完整安全的访问控制表，这个表包括： 外网（商业银行和其他金融机构）对DMZ内服务访问控制。将外部对内部、DMZ内服务访问明确限制，防止非法对内部重要系统，特别是业务系统的访问。利用DMZ的隔离效果，尽量将对外服务的部分服务器放置在DMZ区域，通过NAT方式，保护内部网络免受攻击。关闭操作系统提供的除需要以外的所有服务和应用，防止因为这些服务和应用自身的漏洞给系统带来的风险。对内部E-mail、 FTP、 WWW、数据库的访问做严格的规划和限制，防止恶意攻击行为发生。 内部网

58、络：内部网络对外部网络（商业银行和其他金融机构）的访问也要进行严格的限制。防止内部员工对外网资源的非法访问。对内部员工对外访问采用NAT方式访问。同时内部员工对DMZ区域服务器访问也必须做限制。内部员工对外网WWW访问采用代理方式。 DMZ访问：通常情况下DMZ对外部和内部都不能主动进行访问，除非特殊的应用需要到内部网络采集数据，可以有限地开放部分服务。借助方正方御防火墙提供的基于状态包过滤技术对数据的各个方向采用全面安全的技术策略，制定严格完善的访问控制策略保证从IP到传输层的数据安全。针对证券系统中的网络风险可以通过严格的访问控制表来进行限制。内置入侵检测（IDS）方正数码公司和国际网络安

59、全组织合作，能够实时获得最新系统入侵库代码，动态地将这些攻击技术的解决方案加入到方正方御防火墙中,同时在方正方御防火墙内部采用3I技术，加速应用层安全防护查询过程。方正方御防火墙目前能够支持1500种以上的入侵检测并能够成功阻断这样的攻击行为，比如最近的红色代码。针对各种攻击行为，比如TCP序列号攻击、劫持、碎片攻击、端口扫描能够识别阻断。而这个数据库可以实时更新、升级。升级在方正方御防火墙界面即可完成。IDS和访问策略形成互动。通过防火墙嵌入的IDS功能能够有效防范对内部Windows/NT，Unix、Novell系统的攻击行为。电子欺骗：防火墙能够自动识别各种电子欺骗行为并进行阻断。同时防

60、火墙能够对伪装IP地址进行识别。代理服务方正方御防火墙对外提供代理服务功能，证券内部网络对外访问可以通过防火墙提供的代理服务功能，同时代理服务可以针对URL,SSL,FTP进行应用拦截，防止内部人员对外网的非法访问。NAT地址转换将证券内部网络和DMZ区域网络地址通过NAT方式转换，隐藏真实IP地址，防止内部网络受到攻击。具体转换方式就是将内部网络和DMZ区域机器的地址全部转换成防火墙外网卡地址，对外证券只有一个地址。而借助防火墙的多映射功能，可以将对外的同一地址映射为内部网络和DMZ区域不同服务的不同端口。日志系统及系统报警方正方御防火墙提供强大的日志系统，将通过防火墙的数据、防火墙管理数据