证券公司网络安全方案

XX证券股份有限公司

网络安全方案

建议书美国网络联盟公司错误!未定义书签。TOC\o"1-5"\h\z\o"CurrentDocument"概述 6\o"CurrentDocument"xx证券股份有限公司网络安全项目的建设意义 6\o"CurrentDocument"xx证券股份有限有限公司的网络现状 6\o"CurrentDocument"物理结构 6\o"CurrentDocument"网络结构 6\o"CurrentDocument"xx证券股份有限有限公司的主要网络安全威胁 8xx证券股份有限有限公司的网络安全需求分析 9总体需求分析 9\o"CurrentDocument"xx证券股份有限有限公司网络安全的系统目标 11\o"CurrentDocument"近期目标 11远期目标 11\o"CurrentDocument"总体规划 12\o"CurrentDocument"安全体系结构 12\o"CurrentDocument"安全体系层次模型 12物理层 12链路层 12网络层 13操作系统 13应用平台 13应用系统 13安全体系设计 13安全体系设计原则 131),需求、风险、代价平衡分析的原则: 132).综合性、整体性原则: 133),一致性原则: 134),易操作性原则: 14.适应性、灵活性原则 14.多重保护原则 14\o"CurrentDocument"网络安全风险分析 14\o"CurrentDocument"网络安全策略 14\o"CurrentDocument"安全管理原则 14\o"CurrentDocument"安全管理的实现 15\o"CurrentDocument"网络安全设计 15\o"CurrentDocument"安全产品选型原则 16\o"CurrentDocument"网络安全方案设计 16\o"CurrentDocument"整体结构安全建议描述 17.内部网络系统:包括: 17.外部网络系统:包括: 17\o"CurrentDocument"对Internet服务网段 18营的网^^ 19\o"CurrentDocument"内部系统及部门之间连接安全分析和建议 20内部用户通过拨号服务器与远程用户进行通信安全优化 21外部用户访问公司网站安全分析和建议 21\o"CurrentDocument"本方案中防火墙提供的安全措施 22\o"CurrentDocument"防火墙系统的局限性 22防病毒的整体解决方案 23病毒防护的必要性和发展趋势 23\o"CurrentDocument"xx证券股份有限有限公司的多层病毒防御体系 23客户端的防病毒系统 24服务器的防病毒系统 24\o"CurrentDocument"Internet的防病毒系统 24\o"CurrentDocument"防黑客的整体解决方案 25\o"CurrentDocument"基于主机及网络的保护 25\o"CurrentDocument"主动的防御体系 26\o"CurrentDocument"防火墙与防火墙 26\o"CurrentDocument"防火墙与入侵检测系统 26\o"CurrentDocument"防火墙与防病毒 28\o"CurrentDocument"安全的评估方案 29\o"CurrentDocument"安全产品的平台建议 29防病毒产品 30桌面保护套件:VirusScanSecuritySuite(VSS) 30服务器保护套件:NetshieldSecuritySuite(NSS) 30网关保护套件:InternetSecuritySuite(ISS) 30建议在WindowsNT或UNIX 30防火墙产品一Gauntlet 30技术规范 30入侵检测与风险评估套件 31安全产品升级 31\o"CurrentDocument"防病毒系统的升级 32\o"CurrentDocument"入侵检测系统和防火墙产品的升级 32这两类产品的升级为ー年内免费升级,并享受长期的升级支持。 32\o"CurrentDocument"本方案的扩充 32\o"CurrentDocument"加密和身份认证 32\o"CurrentDocument"内部网络安全 33\o"CurrentDocument"xx证券股份有限有限公司系统的安全 33\o"CurrentDocument"安全策略制度 33\o"CurrentDocument"本方案的特点 33\o"CurrentDocument"实施计划 35\o"CurrentDocument"项目建立 35\o"CurrentDocument"项目保障 35.良好的组织 35.严格的管理 35(3),文挡的管理 35\o"CurrentDocument"应用实施 35).项目实施范围 35).提供服务的内容 351),网络安全系统需求分析 362),网络安全系统客户化 36.网络安全系统的测试 36.网络安全系统的试运行 36.网络安全系统的正式运行 36\o"CurrentDocument"实施进度表 36\o"CurrentDocument"技术支持与服务 38\o"CurrentDocument"支持中心人员配备 38\o"CurrentDocument"支持中心资源配备 38\o"CurrentDocument"热线电话 38Mcfsstt@vcn 错误!未定义书签。\o"CurrentDocument"WorldWideWeb 38支持产品库 38\o"CurrentDocument"技术支持与服务 38\o"CurrentDocument"服务内容 38服务方式 39服务类型 39\o"CurrentDocument"基础技术支持(PrimarySupport) 39\o"CurrentDocument"优先级服务(PrioritySupport) 39\o"CurrentDocument"高级技术支持(PremierSupport) 40\o"CurrentDocument"服务标准 40\o"CurrentDocument"电话技术支持服务 40电子邮件回复服务 40WorldWideWeb服务 40病毒特征码更新介质邮寄服务 40\o"CurrentDocument"紧急上门服务 40\o"CurrentDocument"顾问咨询服务 41\o"CurrentDocument"产品配置及报价 42\o"CurrentDocument"附录A:公司介绍 43\o"CurrentDocument"A1.公司简介 43\o"CurrentDocument"附录B： NAI产品介绍 43\o"CurrentDocument"A1.第一层安全屏障:计算机网络病毒防护ーーMcAfeeTVD 43McAfeeTVD由三种安全产品套件组成: 44VirusScanSecurity Suite(VSS) 44VirusScanSecuritySuite 所含产品 44NetShieldSecuritySuite(NSS) 44NetShieldSecuritySuite所含产品 44NetShield 44InternetSecuritySuite(ISS) 44ISS套件所含内容 44\o"CurrentDocument"第二层安全屏障:身份验证以及信息加密ー・PGPTNS 45PGPDesktopSuite提供对所有桌面的多平台加密保护。 46PGPCertificatationServer 46第三层安全屏障:防火墙・ーGauntletInternetFirewall 46\o"CurrentDocument"第四层安全屏障：网络漏洞探测及黑客探测ーー 48CybercopMonitor,CybercopScanner,CybercopSting,CASL 48\o"CurrentDocument"附录C:美国网络联盟(NAI)公司简介 50NetTools51VISIBILITY 51SERVICE 51NetToolsSecure51McAfeeTotalVirusDefense(TVD) 51PGPTotalNetworkSecurity(TNS) 51NetToolsManager 51SnifferTotalNetworkVisibility(TNV) 52McAfeeTotalServiceDesk(TSD) 52市场份额: 521.概述XX证券股份有限公司网络安全项目的建设意义ー方面,随着计算机技术、信息技术的发展,计算机网络系统必将成为公司各项业务的关键平台。另ー方面，随着计算机网络系统的发展，计算机网络安全系统必将发挥越来越重要的作用。公司网络安全系统的建立，必将为公司的业务信息系统、行政管理、信息交流提供ー个安全的环境和完整平台。通过先进技术建立起的网络安全系统，可以从根本上解决来自网络外部及内部对网络安全造成的各种威胁，以最优秀的网络安全整体解决方案为基础形成一个更加完善的业务系统和办公自动化系统。利用高性能的网络安全环境，提供整体防病毒、防火墙、防黑客、数据加密、身份验证等于一身的功能,有效地保证秘密、机密文件的安全传输，严格地制止经济情报失、泄密现象发生,避免重大经济案件的发生。另外，公司在当前总部的网络安全和今后的信息安全上取得的技术成果，将装备到各级机构。因此，本项目的实施可以达到预期的经济及社会效益。xx证券股份有限有限公司的网络现状XX证券股份有限有限公司管理信息网是根据管理需求,采用国际上先进的、成熟的、开放的网络技术建立起来的管理网络。安全网络的建成,对于宏观调控、预测、决策,更好地实现XX证券股份有限中央的监管职能起到了积极的作用。物理结构公司的服务器及重要网络设备都存放在公司的主机房内，主机房与外部之间没有很好的进行物理上的隔离，其他非IT人员也能够不通过任何安全防范措施进入机房。系统结构公司服务器使用的操作系统以Netware,NT为主，还有部分的Unxi服务器。Netware.NT,Unix的补丁程序都不是最新的程序，对某些安全漏洞及Y2k问题没有进行相应的升级。网络结构公司的网络大致结构示意图,如下图所示:

对网络结构的具体描述:1）外部用户访问网上交易主机外部用户通过Internet来访问网上交易主机,网上交易主机作为前置机让外部用户进行查询,前置机使用并口线（RS232）与后台的服务器进行连接,当用户需要进行证券交易时,向交易主机发出需要购进或抛出的股票的请求,交易主机再把客户的信息传给后台的处理服务器,完成整个交易过程。2）外部用户访问公司网站外部用户可以通过Internet访问公司的网站，网站服务器现托管在电信局，与公司内部没有固定的连接。当管理员需要对网站进行维护的时候,通过拨号的方式。当远程管理网站服务器时，因为没有用到VPN的方式,可能有被窃听的可能。3）内部用户访问外部内部用户通过分别拨号上网的方式与外部进行信息的交流，可以拨号上网的Modem可能会有十几个。使用各种服务对万步进行访问如:http,ftp,telnet,smtp,pop3,realvideo,realaudio等等。4）交易所与各个营业点之间的连接交易所内部与各个营业点之间的连接时通过专线的方式,使用了3com的路由器及由电信提供的CSU/DSU设备。现ー共有16个营业点。当数据由各个营业点传送到此后，再通过集中的服务器进行业务处理。5）内部系统之间的连接公司的内部网络主要分为网上交易系统、集中报盘系统、OA系统、监控系统。这四个系统之间相互连接没有通过物理或逻辑的方式进行分割。所以各个系统之间可以相互对文件及数据进行传输。6）内部部门之间的连接公司的各个部门之间的网络是相互连接的,对重要部门没有进行很好的安全保护,用户可通过自己的计算机访问本部门和其他重要部门的数据。使用的交换机没有对网络划分VLAN或使用子网掩码的方式划分部门之间的子网。7）其他因为对公司的了解并不是很深,只是对现了解到的情况进行分析,希望公司看过本方案以后能够提供更多的网络连接,部门之间通讯的情况。其他对公司的网络整体的分析还包括人员管理，应用服务系统。但因为对公司的这些情况并不了解,所以暂时没有进行描述。人员管理是指公司通过网络系统进行工作的流程,公司对用户权限、密码的设置，对网络管理员、系统管理员、设备管理员等计算机管理人的责权划分。应用服务系统是指主机系统上使用的应用软件,如:Web服务器、信息交易系统、数据库系统,办公自动化系统等等。13.xx证券股份有限有限公司的主要网络安全威胁由于XX证券股份有限有限公司的管理信息网上的网络体系越来越复杂,应用系统越来越多,网络规模不断扩大,逐渐由Intranet发展到Extranet,现在已经扩展到Internet,网络用户也已经不单单为内部用户。而网络安全主要是由处于中心节点的相关连接广域网的路由器直接承担对外部用户的访问控制工作，且内部网络直接与外部网络相连，对整个网络安全形成了巨大的威胁。具体分析，对xx证券股份有限有限公司网络安全构成威胁的主要因素有:1）内部网络和外部网络之间的连接为直接连接,外部用户不但可以访问对外服务的服务器,同时也容易地访问内部的网络服务器，这样，由于内部和外部没有隔离措施，内部系统较容易遭到攻击。2）来自内部网的病毒的破坏;3）内部用户的恶意攻击、误操作，但由于目前发生的概率较小,本部分暂不作考虑。4）来自外部网络的攻击，具体有三条途径：令Internet连接的部分;ぐ与各分部连接的部分:5）外部网的破坏主要的方式为：令黑客用户的恶意攻击、窃取信息,令通过网络传送的病毒和Internet的电子邮件夹带的病毒。令来自Internet的Web浏览可能存在的恶意Java/AcliveX控件。6)缺乏有效的手段监视、评估网络系统和操作系统的安全性。目前流行的许多操作系统均存在网络安全漏洞,如UNIX服务器,NT服务器及Windows桌面PC。7)缺乏ー套完整的安全策略、政策。其中，目前最主要的安全威胁是来自网络外部用户(主要是分公司用户和Internet用户)的攻击。XX证券股份有限有限公司的网络安全需求分析总体需求分析在XX证券股份有限有限公司信息网中，目前我们视各分公司和及!nternet为外部网络，xx证券股份有限有限公司楼内的局域网为内部网。1)•来自于外部网络的访问，除有特定的身份认证外,只能到达指定的访问目的地，不能访问内部资源。.网络内部用户对外的访问必须经过授权才能访问外部的Server。授权和代理由防火墙来完成。.对于外部网络来说,内部网络的核心一交换机是不可见的，交换机作为楼内网络的一部分。4),外部网络不能直接对内部网络进行访问，外部网络客户访问内部Server时通过外部服务提供设备进行,该外部服务提供设备起到访问的中介作用，保证了内部关键信息资源的安全。5),外部服务提供设备与内部的dBServer之间数据交换应安全审慎，可选取方式:令禁止两者之间链路通讯,数据交换采用文件拷贝方式;令两者之间采用加密通讯:两者之间授权访问，通过外部服务提供设备进行代理。1.4.2.具体各子系统的安全需求XX证券股份有限有限公司网络部署了众多的网络设备、服务器,保护这些设备的正常运行,维护主要业务系统的安全,是XX证券股份有限有限公司网络的基本安全需求。XX证券股份有限有限公司网络为多级应用网络系统，对于各级子系统均在不同程度上要求充分考虑网络安全。.交易业务系统的安全需求:与普通网络应用不同的是，业务系统是XX证券股份有限XX证券股份有限应用的核心。XX证券股份有限有限公司的业务系统包括总部和分部所有的业务系统。对于业务系统应该具有最高的网络安全措施。XX证券股份有限有限公司网络应保障:ぐ访问控调，确保业务系统不被非法访问。即禁止外部用户间的非法访问。ぐ数据安全,保证各类服务器系统的整体安全性和可靠性。ぐ入侵检测,对于试图破坏业务系统的恶意行为能够及时发现、记录和跟踪，提供非法攻击的犯罪证据。令来自网络内部其他系统的破坏，或误操作造成的安全隐患。.Internet服务平台的安全需求：Internet服务平台分为两个部分:提供Xx证券股份有限公司的网络用户对Internet的访问;提供Internet对公司网内服务的访问。公司内网络客户对Internet的访问，有可能带来某些类型的网络安全。如通过电子邮件、FTP引入病毒、危险的Java或AetiveX应用等。因此，需要在网络内对上述情况提供集成的网络病毒检测、消除等操作。提供给!nternet的网络服务按照应用类型可分为:ぐ普通服务:该种服务通常需要保障系统抵抗和检测攻击的能力。即一般的WWW应用如:HTTP、FTP、MAIL等服务。令商业应用:商业应用更要考虑严格的安全要求,而且还希望提供不停顿的服务。1.5.xx证券股份有限有限公司网络安全的系统目标伴随着保险业务的不断深入,XX证券股份有限有限公司电子化应用的不断增强,内部网络上应用系统越来越多，更好的、更有效的、更方便的保护和管理系统资源、网络资源，是实现网络安全的目标。实施网络安全系统项目，整体规划网络安全系统,作好以下几个方面的规划和实施:ぐ应用程序加密令应用完整性ぐ用户完整性令系统完整性ぐ网络完整性151.近期目标目前迫在眉睫的工作是保护整个系统的网络完整性和系统的完整性，建立安全的网络逻辑结构，为今后的实施应用完整性和用户完整性奠定基础。网络完整性主要是对网络系统的保护，通过设置防火墙系统等保证通讯安全:系统的完整性是信息系统的保护主要有防病毒、风险评估、入侵检测、审计分析等方面。1.5.2.远期目标全面部署XX证券股份有限有限公司全局的整体安全防御系统,巩固和完善网络安全及管理系统，使XX证券股份有限有限公司信息网在安全的前提下更好、更方便、更有效的实现中央银行的监管职能。2.总体规划安全体系结构网络安全体系结构主要考虑安全对象和安全机制,安全对象主要有网络安全、系统安全、数据库安全、信息安全、设备安全、信息介质安全和计算机病毒防治等,其安全体系结构如下图所示:安全体系层次模型按照网络OSI的7层模型,网络安全贯穿于整个7层。针对网络系统实际运行的TCP/IP协议,网络安全贯穿于信息系统的4个层次。下图表示了对应网络系统网络的安全体系层次模型:物理层物理层信息安全，主要防止物理通路的损坏、物理通路的窃听、对物理通路的攻击（干扰等）链路层链路层的网络安全需要保证通过网络链路传送的数据不被窃听。主要采用划分VLAN（局域网）、加密通讯（远程网）等手段。网络层网络层的安全需要保证网络只给授权的客户使用授权的服务,保证网络路由正确,避免被拦截或监听。操作系统操作系统安全要求保证客户资料、操作系统访问控制的安全,同时能够对该操作系统上的应用进行审计。应用平台应用平台指建立在网络系统之上的应用软件服务，如数据库服务器、电子邮件服务器、Web服务器等。由于应用平台的系统非常复杂，通常采用多种技术（如SSL等）来增强应用平台的安全性。应用系统应用系统完成网络系统的最终目的一为用户服务。应用系统的安全与系统设计和实现关系密切。应用系统使用应用平台提供的安全服务来保证基本安全,如通讯内容安全，通讯双方的认证,审计等手段。安全体系设计安全体系设计原则在进行计算机网络安全设计、规划时,应遵循以下原则:1）,需求、风险、代价平衡分析的原则:对任一网络来说，绝对安全难以达到，也不一定必要。对ー个网络要进行实际分析，对网络面临的威胁及可能承担的风险进行定性与定量相结合的分析，然后制定规范和措施，确定本系统的安全策略。保护成本、被保护信息的价值必须平衡，价值仅1万元的信息如果用5万元的技术和设备去保护是ー种不适当的保护。.综合性、整体性原则:运用系统工程的观点、方法，分析网络的安全问题，并制定具体措施。ー个较好的安全措施往往是多种方法适当综合的应用结果。ー个计算机网络包括个人、设备、软件、数据等环节。它们在网络安全中的地位和影响作用，只有从系统综合的整体角度去看待和分析，才可能获得有效、可行的措施。.一致性原则:这主要是指网络安全问题应与整个网络的工作周期（或生命周期）同时存在，制定的安全体系结构必须与网络的安全需求相一致。实际上,在网络建设之初就考虑网络安全对策，比等网络建设好后再考虑，不但容易，而且花费也少得多。4),易操作性原则:安全措施要由人来完成,如果措施过于复杂,对人的要求过高,本身就降低了安全性。其次，采用的措施不能影响系统正常运行。5),适应性、灵活性原则安全措施必须能随着网络性能及安全需求的变化而变化,要容易适应、容易修改。6).多重保护原则任何安全保护措施都不是绝对安全的，都可能被攻破。但是建立一个多重保护系统,各层保护相互补充,当ー层保护被攻破时,其它层保护仍可保护信息的安全。网络安全风险分析网络系统的可靠运转是基于通讯子网、计算机硬件和操作系统及各种应用软件等各方面、各层次的良好运行。因此，它的风险将来自对企业的各个关键点可能造成的威胁，这些威胁可能造成总体功能的失效。由于在这种广域网分布式计算环境中，相对于过去的局域网、主机环境、单机环境,安全问题变得越来越复杂和突出，所以网安全风险分析成为制定有效的安全管理策略和选择有作用的安全技术实施措施的基础依据。安全保障不能完全基于思想教育或信任。而应基于“最低权限”和“相互监督”的法则，减少保密信息的介入范围,尽力消除使用者为使用资源不得不信任他人或被他人信任的问题,建立起完整的安全控制体系和保证体系。网络安全策略安全策略分安全管理策略和安全技术实施策略两个方面:1),管理策略安全系统需要人来执行,即使是最好的、最值得信赖的系统安全措施,也不能完全由计算机系统来完全承担安全保证任务,因此必须建立完备的安全组织和管理制度。.技术策略技术策略要针对网络、操作系统、数据库、信息共享授权提出具体的措施。安全管理原则计算机信息系统的安全管理主要基于三个原则。(I)多人负责原则每项与安全有关的活动都必须有两人或多人在场。这些人应是系统主管领导指派的，应忠诚可靠，能胜任此项工作。(2)任期有限原则一般地讲,任何人最好不要长期担任与安全有关的职务，以免误认为这个职务是专有的或永久性的。(3)职责分离原则除非系统主管领导批准,在信息处理系统工作的人员不要打听、了解或参与职责以外、与安全有关的任何事情。安全管理的实现信息系统的安全管理部门应根据管理原则和该系统处理数据的保密性,制订相应的管理制度或采用相应规范,其具体工作是:令确定该系统的安全等级。ぐ根据确定的安全等级,确定安全管理的范围。ぐ制订相应的机房出入管理制度。对安全等级要求较高的系统,要实行分区控制,限制工作人员出入与己无关的区域。ぐ制订严格的操作规程。操作规程要根据职责分离和多人负责的原则,各负其责,不能超越自己的管辖范围。ぐ制订完备的系统维护制度。维护时,要首先经主管部门批准，并有安全管理人员在场，故障原因、维护内容和维护前后的情况要详细记录。ぐ制订应急措施。要制订在紧急情况下，系统如何尽快恢复的应急措施，使损失减至最小。令建立人员雇用和解聘制度,对工作调动和离职人员要及时调整相应的授权。安全系统需要由人来计划和管理，任何系统安全设施也不能完全由计算机系统独立承担系统安全保障的任务。一方面,各级领导一定要高度重视并积极支持有关系统安全方面的各项措施。其次，对各级用户的培训也十分重要，只有当用户对网络安全性有了深入了解后，才能降低网络信息系统的安全风险。总之，制定系统安全策略、安装网络安全系统只是网络系统安全性实施的第一步,只有当各级组织机构均严格执行网络安全的各项规定，认真维护各自负责的分系统的网络安全性,才能保证整个系统网络的整体安全性。网络安全设计由于网络的互连是在链路层、网络层、传输层、应用层不同协议层来实现，各个层的功能特性和安全特性也不同，因而其网络安全措施也不相同。物理层安全涉及传输介质的安全特性，抗干扰、防窃听将是物理层安全措施制定的重点。在链路层，通过“桥”这ー互连设备的监视和控制作用，使我们可以建立一定程度的虚拟局域网，对物理和逻辑网段进行有效的分割和隔离,消除不同安全级别逻辑网段间的窃听可能。在网络层，可通过对不同子网的定义和对路由器的路由表控制来限制子网间的接点通信，通过对主机路由表的控制来控制与之直接通信的节点。同时,利用网关的安全控制能力，可以限制节点的通信、应用服务，并加强外部用户识别和验证能力。对网络进行级别划分与控制，网络级别的划分大致包括Internet/企业网、骨干网/区域网、区域网/部门网、部门网/工作组网等,其中Internet/企业网的接口要采用专用防火墙,骨干网/区域网、区域网/部门网的接口利用路由器的可控路由表、安全邮件服务器、安全拨号验证服务器和安全级别较高的操作系统。增强网络互连的分割和过滤控制,也可以大大提高安全保密性。随着企业个人与个人之间、各部门之间、企业和企业之间、国际间信息交流的日益频繁，信息传输的安全性成为ー个重要的问题。尽管个人、部门和整个企业都已认识到信息的宝贵价值和私有性,但商场上的无情竞争已迫使机构打破原有的界限，在企业内部或企业之间共享更多的信息,只有这样才能缩短处理问题的时间，并在相互协作的环境中孕育出更多的革新和创造。然而，在群件系统中共享的信息却必须保证其安全性，以防止有意无意的破坏。物理实体的安全管理现已有大量标准和规范，如GB9361-88《计算机场地安全要求》、GFB2887-88《计算机场地技术条件》等。2.4.安全产品选型原则在进行XX证券股份有限有限公司网络安全方案的产品选型时，要求安全产品至少应包含以下功能:令访问控制:通过对特定网段、服务建立的访问控制体系，将绝大多数攻击阻止在到达攻击目标之前。令检査安全漏洞：通过对安全漏洞的周期检查,即使攻击可到达攻击目标,也可使绝大多数攻击无效。令攻击监控：通过对特定网段、服务建立的攻击监控体系，可实时检测出绝大多数攻击,并采取相应的行动（如断开网络连接、记录攻击过程、跟踪攻击源等）。令加密通讯:主动的加密通讯,可使攻击者不能了解、修改敏感信息。令认证:良好的认证体系可防止攻击者假冒合法用户。令备份和恢复:良好的备份和恢复机制，可在攻击造成损失时，尽快地恢复数据和系统服务。令多层防御：攻击者在突破第一道防线后，延缓或阻断其到达攻击目标。ぐ隐藏内部信息：使攻击者不能了解系统内的基本情况。ぐ设立安全监控中心:为信息系统提供安全体系管理、监控，保护及紧急情况服务。3.网络安全方案设计根据第二章对XX证券股份有限有限公司的安全需求分析,结合安全设计的策略，我们提出网络安全设计方案。本章首先描述安全网络的整体结构，然后就各网段采用的防火墙、防病毒、防黑客，以及安全评估等技术措施作详细的描述。各种安全措施之间的相互协作,构成主动的网络安全防御体系。为确保系统的安全性保持稳定,我们介绍了各种安全产品的平台要求,以及升级的保证方式和途径。根据XX证券股份有限有限公司的网络安全需求,目前网络安全方案集中考虑外部网络的安全性;对于整体网络的安全性，我们还分析了网络安全方案的可扩充性。在本章结尾,我们总结了本方案的特点。•整体结构安全建议描述由于XX证券股份有限有限公司网的安全体系包括内外两部分，而目前着重于外部的安全建设，所以目前的安全假设为:将公司内部网络看作信任网络,暂不考虑安全问题:将外部网视为不信任网络，需要采取安全措施。其总体结构如下:.内部网络系统:包括:令LANI,LAN2…LAN8等内部网段;ぐ内部服务子网ー即［初步设想］的VPN的部分。2),外部网络系统:包括：ぐ对Internet服务网段。ぐ连接xx证券股份有限各营业点的网段。令Web网站。在“初步设想”中，在本方案中，考虑到服务的交集会给防火墙安全策略的制定带来不便,形成潜在的安全隐患，并且也不利于整个网络安全的管理，因此我们将vpn网关相应服务器分别部署在对应的网段中，而将对内服务的服务器放到内部网络中的内部服务子网中。同时，我们在系统中增加了一个网络安全管理平台网段。整个网络安全结构如下图:

DIALnrDIALnrat对Internet服务网段如上图示,内部用户访问Internet,通过拨号上网的方式,通过单个客户机分别拨号上网首先会对整个内部安全造成很大影响，同时造成资金的浪费。因为当拨号连接建立以后,会动态的分配到ー个合法的IP地址，那样如果有非法用户对该地址进行尝试的攻击，很可能通过该机进入整个内部系统。建议:a.在拨号上网的主机上配置物理隔离卡，当用户上网时，物理隔离卡可以把硬盘分为上网部分与安全部分,这两部分将相互隔离,这样就保证了有非法用户通过该机进入内部系统。b,使用防火墙同时申请ー根专线上网，这样既可以防止拨号上网带来的危险性又可以提高上网速度。在接口处防火墙的配置方法:访问的安全控制:.DMZ1对外提供服务DMZ!中的服务器主要用于对Internet用户提供服务，包括DNS、EmaikFTP、HTTP等,其服务全部由防火墙提供代理，其工作流程如下:aa:由外部Client端向Firewall1提出请求(HTTP,FTP等)；b:通过Firewalll过滤、识别、身份验证,确定为合法请求,并确定该请求的目标服务器之后由Firewalll向DMZ1里的服务器提出请求;DMZ1里的目标服务器接受Firewalll的请求并对其作出响应;Firewall1再将请求传递给外部的Client。.内部网络的用户对Internet的访问对于内部用户对Internet的请求包括Email和HTTP、FTP等。令对Email类,内部网采用HPOpenMail,而Internet采用SMTP协议,建议设立一台电子邮件转发服务器(MX),部署在DMZ1里,对内部HPOpenMail的邮件和Internet的SMTP邮件进行转发。令对HTTP、FTP等其他类型的服务由防火墙作为代理，Firewalll在中间也起到过滤、识别、身份验证的作用。3),地址转换(NAT)由于目前xx证券股份有限有限公司采用A类地址,而外部采用Internet合法地址,GauntletFirewalll提供内、外地址的翻译，即可隐藏内部IP.4).FireWalll未来的GVPN功能将来外汇管理局的内部Intranet中的Gauntlet防火墙可形成GVPN,采用Gauntlet的GVPN技术对内部的外出员工可建立一条可信赖的连接，直接访问内部网络的资源。c.使用Proxy的方式，让所有的用户通过尽量少的电话线上网,在该proxy服务器上安装物理隔离卡,这样可以防止不必要的危险性，又可以降低费用,同时可以对所有用户访问的时间流量进行统计。3.1.2,连接各营业点的网段连接各营业点的网段是连接公司总部与各分公司的接口，各营业点通过X.25/PSTN连接到总公司的3com主干路由器上。交易所与营业点的相互访问是通过DDN,由于系统本身是ー个很安全的系统,我们这里就不对此作一些安全产品的配置,只是对整个系统及应用程序的安全进行安全性的扫描,如果存在漏洞则对系统进行升级和优化。因为交易所与营业点的数据传输经常会突然出现流量增大,影响正常的交易,所以我们认为在交易所的路由器到内部网之间添加一个百兆的集线器或交换机在此上的端口处安装NAI公司的SnifferforLAN,对进出的包进行解码分析,区分出包的类型,对非正常交易的包进行分析并且通过一些措施把这些非正常交易的包给过滤掉或通过流量分配软件进行有效的划分。具体配置:把与交易无关的包给过滤掉。可以通过在路由器后面添加防火墙的方式，可以把已经通过Sniffer检查出来的与交易无关的包的源地址给屏蔽掉，不让包进行内部系统。通过流量分配软件在各个营业点对出去的包进行手工的流量分配。如果是与交易有关的包让它占有较大的带宽，如果与交易无关的包则让它占较小的带宽,这样可以保证主干业务的畅通运行。可以在网段上安装入侵检测软件，它可以对进来的包进行解码并且分析包的内容,是什么类型的服务，使用的端口号,源地址及目的地址等。这样就可以分析出哪些连接是没有必要的,然后再把该连接通过防火墙给屏蔽掉。内部系统及部门之间连接安全分析和建议据统计在互联网上80%的泄密来自于内部网络,在设计网络安全结构时，如何防止内部人员的攻击也是一个很重要的方面，对于某些关键部门,如财务部门,可能允许上传数据、提供特定数据供指定部门的指定人员查阅。而在目前交易所公司的网络结构上并未对上述关键部门给予应有的特别保护,任何内部工作人员都可以进入关键部门的计算机上，获取机器上的有用信息。在公司内部如果由对公司不满的员エ,它可以在公司的网络段中安装ー些侦听软件,收集进入重要部门的信息,如:用户的密码,重要的文件,重要的信件等等。这些侦听软件在网上面到处可以免费获得，所以如果我们没有很好的防范措施，重要的系统很容易遭到破坏。a.在几个重要部门之间相互通信的接口处添加VPN网关。配置方法:在几个重要部门的交换机上安装一个硬件的的VPN设备，所有需要到另ー个部门的信息都会通过VPN网关,进行加密,根据IPSEC方式,在IP包头添加另ー个网段的VPN网关的IP地址。这样所有的包在到达另ー个部门前先需要经过该部门的VPN网关的解密。其他特点：VPN网关会可以在这几个部门之间相互建立不同的信任关系,建立不同的加密算法;作用:防止了不满员エ的侦听，保证了信息传输过程中的安全性，提髙各个重要部门的安全性等等。b.在重要的部门的网段上添加入侵检测软件。配置方法:把入侵检测软件安装在某台空余的电脑上，并且把它与Hub相连。作用:它能够实时的捕获通过Hub的包,并且对包进行分析,通过离线分析模块与黑客特征库进行比较看是否有黑客进行攻击，如果有则会报警，并且会自动对进来的非法包进行阻断。c.在特别重要的服务器及主机上,添加基于主机的入侵检测软件。配置方法：如果需要保护哪台主机，就在它上面安装入侵检测软件。作用：对重要的文件进行实时的跟踪，对用户的权限、密码、注册表文件或/etc目录下的文件、数据库内的数据进行保护。d.使用防病毒系统，配置方法：在文件服务器，群间服务器,网关服务器,客户机上分别安装防病毒软件。作用:防止病毒功过客户端,文件服务器，全歼服务器,网关服务器进行传播,有效的防止了这种非技术型的系统破坏。内部用户通过拨号服务器与远程用户进行通信安全优化a..在拨号服务器的网段中再添加一台身份认证服务器,对通过拨号上来的用户进行两次身份认证,并且如果有能力,可以让每ー个拨号用户配置ー个IC卡,该卡上的号码会根据身份认证服务器进行更新，用户必须输入更新后的密码才能进入系统。b.经常性更换用户名及口令,同时限定登入失败次数,保持较高的保密性及安全性。c.对登入上来的用户及登入失败的用户都进行审计，看是否有非法用户进行尝试性攻击。d.添加VPN网关，同时在用户端添加加密PC卡。作用:保证传输过程中用户密码的保密性，传输信息的保密性;把合法地址转化成了内部地址，大大的提高了内部网络的安全性;对远程用户的访问进行限制，防止非法用户的恶意攻击。外部用户访问公司网站安全分析和建议当外部用户访问公司托管的网站服务器时，因为现在在网站服务器上没有做任何的防范所以和容易被黑客破坏,当发生页面被换成非健康内容或整个系统被洗的情况,将造成不良的后果。建议:在网站服务器前面安装防火墙。作用:把所有不必要的服务及端口全部关闭,防止外部用户通过其他的扫描软件或黑可程序进行攻击,同时安装防火墙后有详细的日志文件可以清楚的知道对主机的访问情况。同时对服务器进行地址隐藏，使得黑客找不到服务器的内部真实地址,这样黑客就攻不破。在与网站服务器同一个hub上安装入侵检测软件或审计系统。作用:一旦发现有什么高手黑客闯入,就可以检测出来，等检测出来后它会采取有效的报警措施:BP机呼叫、发MAIL、拉警报、警报列表等。在网站服务器上添加网站实时监控及恢复软件。作用：对网站的主页及其它需要保护的页面，进行实时的监控，一旦发现页面配修改,则会检查该修改是合法的还是非法的如果为非法的修改则会从备份端把页面重新恢复回去。同时还有经过加密的客户端上传软件，规定只有从该客户端传上去的文件オ认为是合法的，这样大大的加强了安全性。对编写程序的方式进行调整,把两层结构调整成三层结构，在网页与数据库之间添加中间层。防止黑客通过分析页面代码获得数据库的管理口令。需要把NT的ServicePack补丁程序打到SP6a,这样可以防止用户通过如：http:〃%81或,cn::DATA的万式对网站进行攻击。如果网站的规模增加,有多台WebServer,则需要添加第四层交换机,对流量进行智能的、动态的负载平衡。安装此设备时这样的好处：可以提高网络的访问速度;可以增加冗余性，万一某台WebServer发生故障，至少还有另外一台WebServer在正常工作，这样可以防止非正常网络不能够访问的现象。当由两台计算机在作镜像后,我们在增加Alton流量分配器,它的作用为:可以动态的对流量进行合理化分配,提高网络访问速度；能够把网络的地址全部转换成内部地址,让用户无法知道地址为多少，这样可以大大的提高网络服务器的安全性;能够配置包过滤策略，对进来的访问进行控制。所以我们会把WebServer的外部地址进行隐含,改成内部地址。如:改成!,29改成。本方案中防火墙提供的安全措施Gauntlet防火墙是基于应用层网关的防火墙,其特点是:令没有内外网络的直接连接,比包过滤防火墙更高的安全性。令提供对协议的过滤,如可以禁止FTP连接的Put命令。ぐ信息隐藏,应用网关为外部连接提供代理。令健壮的认证和日志。防火墙能够记录所有的网络连接和连接企图，日志能够显示出源地址、目的地址、时间和所用的协议,而且防火墙能够预先设定一个紧急情况的触发条件,条件发生时,防火墙会发出ー个警报给安全维护人员或网络管理系统。ぐ节省费用，第三方的认证设备（软件或硬件）只需安装在应用网关上。令简化和灵活的过滤规则，路由器只需简单地通过到达应用网关的包并拒绝其余的包通过。令各防火墙可相互配合,具有主动防御的能力。ぐ多个防火墙之间可形成GVPN,为xx证券股份有限有限公司将来的内部Intranet建立可信赖的连接。可以看出,Gauntlet防火墙的安全特性远比其他类型的防火墙高。以上介绍的三个防火墙所在的网段都有各自独立的安全策略,但又相互学习，协同工作。防火墙系统的局限性防火墙能有效地防止外来的入侵,虽然能作到:ぐ控制进出网络的信息流向和信息包ぐ提供使用和流量的日志和审计;ぐ隐藏内部IP地址及网络结构的细节;提供VPN功能;但是所直的防火墙都不能作到:令停止所有外部入侵;令完全不能阻止内部袭击;令防病毒;ぐ终止有经验的黑客;提供完全的网络安全性。因此,仅仅在Internet入口处部署防火墙,实际上是ー个不完整的安全解决方案,从总体上系统还应该具备防病毒和防黑客的功能。防病毒的整体解决方案病毒防护的必要性和发展趋势众所周知,计算机病毒对生产的形响可以称得上是灾难性的。尽管人类已和计算机病毒斗争了数年，并已取得了可喜的成绩，但是随着INTERNET的发展，计算机病毒的种类急聚增多,扩散速度大大加快，对企业及个人用户的破坏性加大。与生物病毒类似，计算机病毒也具有灾难性的形响。就其本质而言,病毒只是ー种具有自我复制能力的程序。目前,许多计算机病毒都具有特定的功能，而远非仅仅是自我复制。其功能（常称为PAYLOAD）可能无害，如，只是在计算机的监视器中显示消息、，也可能有害，如毁坏系统硬盘中所存储的数据，一旦被触发器（比如:特定的组合键击、特定的日期或预定义操作数）触发，就会引发病毒。随着计算机技术的不断发展,病毒也变得越来越复杂和高级。最近几年，病毒的花样层出不穷，如宏病毒和变形病毒。变形病毒每次感染新文件时都会发生变化，因此显得神秘莫测。只要反病毒软件搜索到病毒的“标记”（病毒所特有的代码段）,那么，反病毒软件也能检测到每次感染文件就更改其标记的变形病毒。宏病毒主要感染文档和文档模板。几年前,文档文件都不含可执行代码，因此不会受病毒的感染,现在,应用软件,如MicrosoftWord和MicrosoftExecl,已经嵌入了宏命令,病毒就可以通过宏语言来感染由这些软件创建的文档。由于INTERNET的迅快发展，将文件附加在电子邮件中的能力不断提高以及世界对计算机的依赖程度不断提高，使得病毒的扩散速度也急骤提高，受感染的范围越来越广,据NCSA调查,在1994年中，只有约20%的企业受到过病毒的攻击，但是在1997年中，就有约99.3%的企业受到病毒的攻击,也就是说几乎没有那一家企业可以逃脱病毒的攻击。而且感染方式也由主要从软盘介质感染转到了从网络服务器或!NTERNET感染。同样据NCSA调查，在1996年只有21%的病毒是通过电子邮件,服务器或INTERNET下载来感染的，但到!997年，这一比例就达到52%。xx证券股份有限有限公司的多层病毒防御体系在本系统中采取的安全措施主要考虑分部网络安全性，但由于病毒的极大危害及特殊性,建议分部也在其内部网络布署防病毒系统。基于以上这些情况,我们认为XX证券股份有限有限公司可能会受到来自于多方面的病毒威胁,包括来自INTERET网关上、与分部及各地区公司连接的网段上，为了XX证券股份有限有限公司免受病毒所造成的损失，建议采用多层的病毒防卫体系。所谓多层病毒防卫体系,是指在公司的每个台式机上要安装台式机的反病毒软件，在服务器上要安装基于服务器的反病毒软件，在INTERET网关上要安装基于INTERNET网关的反病毒软件,因为对公司来说,防止病毒的攻击是每个员エ的责任,人人都要做到自己使用的台式机上不受病毒的感染,从而保证整个企业网不受病毒的感染。客户端的防病毒系统根据统计,50%以上的病毒是通过软盘进入系统,因此对桌面系统的病毒应严加防范。采用VirusScanSecuritySuite产品,来防止桌面机受到病毒的侵害。本产品包含以下功能:令WebScanX:保护系统免受恶意Java和ActiveX小程序的破坏;令PCMedic 保护系统和应用程序免于崩溃:PGPFile;增强机密信息的安全性;，令QuickBackup保护数据免于意外的丢失SecureCast:自动在Internet上发布接收病毒更新信息令NetToolsConsole: 具有集中的管理、分发和警告功能令VirusScan 为全球领先的桌面防病毒产品,可在Dos,Windows3.x,Windows95,WindowsNT,Mac和OS/2等平台。3.322.服务器的防病毒系お如果服务器被感染,其感染文件将成为病毒感染的源头,它们会迅速从桌面感染发展到整个网络的病毒爆发。因此,基于服务器的病毒保护已成为当务之急。所以,建议在总部的外部网与分部连接的网段上和总部的停火区中重要的代理服务器上采用NetShieldSecuritySuite,提供了全面的基于服务器的病毒保护。可防止来自于分部、各地公司的病毒传染。可以从单独的直观控制台上远程管理这些服务器平台。其具体的功能有:令Netshield:全球领先的服务器防病毒解决方案。(Netware,WindowsNT,UNIX)令GroupShield:群件服务器的防病毒方案。(MicrosoftExchange,LotusNotes/Domino)令SecureCast:自动将病毒更新的信息发布到Internet上。令NetToolsConsole:提供集中的管理、分发和警告功能。.Internet的防病毒系统根据!CSA的报告，一般公司的电脑感染病毒的来源有超过20%是通过网络下载文档感染，另外有26%是经电子邮件的附加文档所感染，由于xx证券股份有限有限公司已连入Interent»很有可能受到来自Interent下载文件的病毒侵害及恶意的Java、ActiveX小程序的威胁。因此,此部分将成为防范的重点。建议在总部的外部网与Interent连接的网段上的停火区中MailServer>Webserver、DNSServer、等代理的服务器上安装InternetSecuritySuite,可防止来自于Internet上的病毒、恶意的Java、Active-x对公司所造成的破坏.InternetSecuritySuite载Interent网关上可以提供全面的病毒防卫系统,封锁病毒所有可能的进入点。透过管理控制台可直接在任何服务器或工作站上进行远程管理。它可以作到:令WebShieldSMTP:可以扫描全部收发的电子邮件;令WebShieldProxy:可以扫描位于代理服务器和网络协议:HTTP,SMTP,FTP等。令SecureCast:自动将病毒更新的信息发布到Internet上。NetToolsConsole:提供集中的管理、分发和警告功能。根据目前的网络结构,本产品应安装在外部网网段1、网段2、的停火区中的服务器上。防黑客的整体解决方案对于XX证券股份有限有限公司的外部网来说，受到黑客的攻击会来自于与总部连接的两个外部网段,总部与Interent连接的网段1,总部与分局连接的网段2。(注:来自于内部网络的威胁我们暂不作考虑，可参看4.9)。为了防止xx证券股份有限有限公司的外部网受到黑客的攻击,建议采用入侵检测技术(CybercopIDS)。提供实时的入侵检测及采取相应的防护手段，如记录证据、跟踪或断开网络连接等。本IDS系统分成两个部分。基于主机及网络的保护在与公司连接的两个网段的停火区中都分别设置了服务器,提供对外两个网段的信息服务，其中存储了大量的重要数据,是黑客攻击的主要目标。所以,我们建议在对外两个网段停火区中的每个服务器安装基于主机及网络保护的入侵检测系统(CybercopMonitor)在公司外部网络关键路径的信息也需要进行实时的监控,来防止外部两个网段受到攻击。基于系统的入侵检测系统(CybercopMonitor)用于监视关键路径上的入侵及记录可疑事件,发送警报及跟踪攻击。CyberCopMonitor实时地检测攻击，当攻击发生时,CyberCopMonitor立即报告并记录入侵细节。CyberCopMonitor会将这些攻击细节记录在内，形成日志文件，并通知管理员,管理员可远程登录到被攻击的机器上,修改配置、路由表等,中断入侵者的攻击。成功保护的案例也会被保存，以防备这种形式的攻击再次发生。根据CybercopMonitor的工作原理和公司把其外部网络划分成两个网段的情况,建议建立ー个Cybercop防护体系对服务器及网络进行实时的保护。由于公司外部网的网段1、网段2的每ー个网段的合法访问者都是先由路由器到防火墙过滤，再到停火区(DMZ)内浏览、抓取数据，防火墙与中心交换机连接。那么,为了防止非法用户经过此途径访问到停火区中的数据和中心交换机，建议公司在网段1、网段2的每ー网段中访问者所经过的路径都设置智能的CybercopMonitor,即防火墙与停火区之间、防火墙与中心交换机之间各设置ー个CybercopMonitor,来监视关键路径上的入侵。CybercopMonitor可实时监视:ぐ可疑的连接、异常进程、非法访问的闯入等令检查系统日志ぐ通过监视来自网络的攻击,CyberCopMonitor能够实时地检测出攻击,并对非法入侵行为作出切断服务、重启服务器进程、发出警报、记录入侵过程等动作。令提供对典型应用的监视如Web服务器应用因此,使用CyberCopMonitor,在提供关键服务的服务器上,安装实时的安全监控系统,可以保证公司服务器系统的可靠性,使内部网安全系统更加强键。通过设置基于网络的入侵检测系统,xx证券股份有限有限公司能够实时监视经过本网段的任何活动，监视粒度更细致。使外部网络的防护能力更敏锐。主动的防御体系尽管以上各产品都是独立进行描述的,实际上,在本系统中它们之间是相互协同工作的，并且能够智能地提高防御能力，构成了主动的防御体系。防火墙与防火墙Gauntlet防火墙有层次功能,但是在公司外部所划分的两个网段中的防火墙处在同一级别，他们在常规的代理服务上是独立工作的，但是对新的攻击模式的判别上可以互相交流学习,从而可以提高其防御能力。防火墙与入侵检测系统当只有防火墙,而无CybercopIDS时，防火墙是被动的防御。一般，黑客对防火墙进攻的结果只有两种,最好的结果是被防火墙阻挡住，最坏的结果是穿透防火墙进入到企业内部,为所欲为地进行任何破坏活动。但在本方案中，防火墙与CybercopIDS协同工作。举例来说,一旦网段1的Firewall1没有挡住狡猾的入侵者,使入侵者通过FW1进入到DMZ1。我们可通过安装在网段1内的基于网络的入侵检测产品CybercopMonitor检测至リ，并立即通知网段1的Firewall1:有哪些特征的入侵数据包通过了防火墙，FW1会自动记录下这些特征，储备起来，防止以后这种入侵。同时,FW!会通知网段2和网段3中的防火墙记录入侵特征,共同提高防御能力。

FirewallIFirewall,,CyberCopdetectsattackFirewallIFirewall,•CyberCopalertsGauntlet•Gauntletlocksoutattacker,GauntletalertsotherfirewallsFirewallAttackerCybercopMonitor还具有主动出击的能力,采用"蜜罐"技术捕捉攻击行为。当入侵者通过FW1,又躲过CybercopMonitor的检测,进入DMZ1,蜜罐技术会虚拟ー个重要数据即’‘蜜罐”来吸引入侵者。当入侵者被“蜜罐”诱惑,试图在其中发现重要信息时,CyberCopMonitor可以将此入侵者的攻击模式进行详细分析,并作记录。这样CyberCopMonitor就自动积累了ー种新的攻击模式及解决方案。FirewallAttacker同时CyberCopMonitor还会通知FW1:哪些特征的入侵数据包通过了FWI,FW1会通知网段2和网段3中的防火墙记录入侵特征,共同提高防御能力。Firewall,AttackerscansnetworkFirewallAttackerFirewall,AttackerscansnetworkFirewallAttacker•*'Honeypot"decoyisdetectedandattacked,Keepsattacker**ontheline"whilethecallistracedFirewzill,Developsevidenceofintent防火墙与防病毒安全体系中,防御和攻击都是ー个“道高一尺、魔高ー丈”的过程,因此要求安全产品具备学习和升级的能力。NAI的防病毒产品就具备这样的功能。例如,当ー个文件进入网段1中的防火墙FW1,MacFeeTVD利用启发式技术发现它带有一种新病毒，但没有其消除的程序，此时防火墙FW1会把这种病毒抽取出来,传给NAI总部。这些，都是防火墙自动完成的。NAI会把这种新病毒的血清传回给防火墙FW1,防火墙根据针对这种新病毒的血清样本把病毒杀死，并对下面的台式机、服务器进行升级。这就是本系统中的防火墙与防病毒相互协作的具体模式。,Infecteddocumententersthenetwork,Heuristictechnologysuspectsnewvirus,Virusextracted,encrypted,senttoNAI,Authenticatedcurereturnedtocustomer,Updatedistributedtoaffectedsystems安全的评估方案XX证券股份有限有限公司的网络安全系统中采用了防火墙、防病毒、入侵检测产品作为外部网络的安全措施。有以下问题需要进行解决:令如何检测安全产品的配置达到了安全的要求。其他系统（操作系统、路由器等）的配置是否真正实现了安全。以上问题实质上就是如何对整体系统的安全性进行评估。建议XX证券股份有限有限公司采用安全扫描技术可对公司的外部网络进行全方面的测试。安全扫描CyberCopScanner是ー套用于网络安全扫描的软件工具,由富有实际经验的安全专家开发和维护。建议在内部设置一台服务器安装CyberCopScanner。通过安全扫描技术。可以扫描到ぐ外部网络各停火区内服务器内的安全漏洞。如password文件,目录和文件权限,共享文件系统,敏感服务,软件,系统漏洞等,并给出相应的解决办法建议。ぐ路由器、防火墙等设备的安全漏洞,并可设定模拟攻击，以测试系统的防御能力。令扫描可定期进行（每星期或每月），或不定期进行（敏感时期）。安全产品的平台建议此章节中的平台建议包括防病毒产品、入侵检测与风险评估产品、防火墙产品等产品。防病毒产品桌面保护套件:VirusScanSecuritySuite（VSS）其中的Virusscan支持DOS、Windows3.x\95\98\NT'、Macintosh,OS/2.VirusscanX可以和目前流行的浏览器Netscape3.X、4.X；IE3.X,4.X兼容。服务器保护套件:NetshieldSecuritySuite（NSS）其中Netshield支持NT、Netware,Solaris,AIX、NCR等多种平台。GroupShield支持MicrosoftExchange>LotusNotes群件服务器网关保护套件：InternetSecuritySuite（ISS）建议在WindowsNT或UNIX防火墙产品一Gauntlet具有友好的管理界面,基于Java或NT环境,可运行在WEB浏览器中,支持远程管理和配置,可从网络管理平台上监控和配置,如NTserver和Openview.Gauntlet还支持通过服务器、企业内部网、Internet来存取和管理SNMP。它支持流行的多媒体实时服务,如RealAudio/VideosMicrosoftNetshow,VDOlive、Xing.并支持大多数认证系统,SecurityDynamicsxAssurenetPathways,S/KEY.支持几十种服务,to终端服务（Telnet、Rlogin）电子邮件（SMTP、POP3）、WWW（HTTP、SHTTP、SSL、Gopher）,远程运行（RSH）、简单网络管理协议（SNMP）、DNS、SybaseSQL,OracleSQL*Net.它可运行在Intel、SUN、HP、IRIX上的UNIX系统,NT支持NT4.0,支持以太和令牌环网。GauntletGVPN是对标准的Gauntlet防火墙的独立升级，可运行在Intel、SUN、HP平台上。GauntletGVPN也可以和Gauntlet防火墙（IntelPentium）,BSKIInternet服务器软件ー起打包订购。技术规范系统IntelSUNHP处理器PentiumSparcPA-RISC内存32M32M32M磁盘512MB512MB512MB硬盘ISAAdaptecSCSICD-ROMCD-ROMCD-ROM

操作系统BSDIInternetServer3.0Solaris2.5.1HP-X.入侵检测与风险评估套件CybercopMonitor平台Cybercop平台CPU200MHzPentiumPro256Kcache200MHzPentiumPro256KcacheFDD13.5“1.44MB13.5“1.44MBHDD9GBSCSI-IIHDD9GBSCSI-IIHDDMEM64MBRAM64MBRAMVideoSVGASVGANIC1IntelEtherExpressPro/1OOMPCI(Ethernet)IMadgeSmart16/4,ISA(forTokenRing)1SMCEtherPowerlO/lOOdualport,PCI(Ethernet)2MadgeSmart16/4,ISA(forTokenRing)OSSolaris2.5.1Solaris2.5.1CD-ROM**所支持的WEB服务器有:NetcapeEnterpriseServer2.0NetcapeFasttraceServer2.0IIS2.0v.4and3.0CERN1.3NCSA1.0Apache1.0WebsitePro1.1安全产品升级安全系统中,每天都会有新的病毒产生,新的入侵者采用新的方法攻击网络,因此安全产品需要不断的学习和升级，来对付各种形式的危害。所以，安全产品的升级也是网络安全的ー个重要组成部分。防病毒系统的升级由于防病毒的工作是ー个长期的工作,世界上每十分钟就有新的病毒出现,因此,必须有效的升级服务。XX证券股份有限有限公司能得到NAI的升级软件，并提供终身的升级服务。NAI在全球五大洲拥有由近100名病毒研究专家组成的反病毒紧急响应小组，它们将对公司提供每周七天，每天24小时的技术支持,在平时，NAI的Web站点上将平均每小时更新一次病毒特征文件,供个人用户下载或自动推向企业用户:当在病毒发作的敏感时期内，每十分钟就会更新一次病毒特征文件,以使用户在最短的时间内杀灭新发现的病毒。公司授权成立NAI在华东技术服务中心，可以提供对xx证券股份有限有限公司的升级服务。防病毒的特征文件的更新方式为:NetToo1sConsole入侵检测系统和防火墙产品的升级这两类产品的升级为一年内免费升级,并享受长期的升级支持。本方案的扩充本方案根据XX证券股份有限有限公司的安全需求,着重提出了对公司外部网络安全方案。但从整体的安全角度来看，在以下三个方面还应考虑，可以作为远期目标考虑。加密和身份认证公司与外部连接的部分可分为两个外部网段，总部与Interent连接的网段1,总部与分部连接的网段2。这些网段中的用户访问应有身份验证系统来验证这些访问者是不是xx证券股份有限有限公司真正授权进入的用户，并对访问的去全过程进行加密。这样才能保证外部网络的安全。内部网络安全有统计表明,对网络的攻击有80%来自内。所以,我们建议在内部网络也设置入侵检测、风险评估、防病毒系统。作到内外防治相结合的全面防范体制。xx证券股份有限有限公司系统的安全目前总部将各分部看成是ー个不信任的网络,但对整体上考虑安全性。建议从以下两个角度考虑: