证券公司网络安全方案建(60页).doc

共 59 页 第 1 页 xx 证券股份有限公司证券股份有限公司 网络安全方案网络安全方案 建议书建议书 目目 录录 美国网络联盟公司美国网络联盟公司.1 目 录2 1.1.概述概述.7 共 59 页 第 2 页 1.1.xx 证券股份有限公司网络安全项目的建设意义7 1.2.xx 证券股份有限有限公司的网络现状7 1.2.1.物理结构.7 1.2.2.系统结构.7 1.2.3.网络结构.7 1.2.4.其他.9 1.3.xx 证券股份有限有限公司的主要网络安全威胁9 1.4.xx 证券股份有限有限公司的网络安全需求分析10 1.4.1.总体需求分析.10 1.4.2.具体各子系统的安全需求.11 1.5.xx 证券股份有限有限公司网络安全的系统目标12 1.5.1.近期目标.12 1.5.2.远期目标.12 2.2.总体规划总体规划.13 2.1.安全体系结构.13 2.2.安全体系层次模型.13 物理层.13 链路层.14 网络层.14 操作系统.14 应用平台.14 应用系统.14 2.3.安全体系设计.14 2.3.1.安全体系设计原则.14 1). 需求、风险、代价平衡分析的原则 ：.14 2). 综合性、整体性原则 ：.14 3). 一致性原则 ：.15 4). 易操作性原则 ：.15 5). 适应性、灵活性原则.15 6). 多重保护原则.15 2.3.2.网络安全风险分析.15 2.3.3.网络安全策略.15 2.3.4.安全管理原则.16 2.3.5.安全管理的实现.16 2.3.6.网络安全设计.17 2.4.安全产品选型原则.17 3.3.网络安全方案设计网络安全方案设计.18 3.1.整体结构安全建议描述.18 1). 内部网络系统：内部网络系统：包括：.18 2). 外部网络系统：外部网络系统：包括：.19 3.1.1.对 internet 服务网段.20 共 59 页 第 3 页 3.1.2.连接各营业点的网段.21 3.1.3.内部系统及部门之间连接安全分析和建议.22 3.1.4.内部用户通过拨号服务器与远程用户进行通信安全优化.22 3.1.5.外部用户访问公司网站安全分析和建议.23 3.2.本方案中防火墙提供的安全措施.23 防火墙系统的局限性.24 3.3.防病毒的整体解决方案.25 3.3.1.病毒防护的必要性和发展趋势.25 3.3.2.xx 证券股份有限有限公司的多层病毒防御体系25 .客户端的防病毒系统.26 .服务器的防病毒系统.26 .internet 的防病毒系统26 3.4.防黑客的整体解决方案.27 3.4.1.基于主机及网络的保护.27 3.5.主动的防御体系.28 3.5.1.防火墙与防火墙.28 3.5.2.防火墙与入侵检测系统.28 3.5.3.防火墙与防病毒.30 3.6.安全的评估方案.31 3.7.安全产品的平台建议.32 3.7.1.防病毒产品.32 桌面保护套件：virusscan security suite(vss).32 服务器保护套件：netshield security suite (nss).32 网关保护套件：internet security suite(iss).32 建议在 windows nt 或 unix 32 3.7.2.防火墙产品gauntlet .32 技术规范.33 3.7.3.入侵检测与风险评估套件.33 3.8.安全产品升级.34 3.8.1.防病毒系统的升级.34 3.8.2.入侵检测系统和防火墙产品的升级.35 这两类产品的升级为一年内免费升级，并享受长期的升 级支持。.35 3.9.本方案的扩充.35 3.9.1.加密和身份认证.35 3.9.2.内部网络安全.35 3.9.3.xx 证券股份有限有限公司系统的安全35 3.10.安全策略制度.35 3.11.本方案的特点.36 4.4.实施计划实施计划.37 4.1.项目建立.37 4.2.项目保障.37 共 59 页 第 4 页 (1). 良好的组织 .37 (2). 严格的管理 .37 (3). 文挡的管理 .37 4.3.应用实施.37 (1). 项目实施范围 .37 (2). 提供服务的内容 .38 1). 网络安全系统需求分析.38 2). 网络安全系统客户化.38 3). 网络安全系统的测试.38 4). 网络安全系统的试运行.38 5). 网络安全系统的正式运行.38 6). 培训.38 4.4.实施进度表.39 5.5.技术支持与服务技术支持与服务.40 5.1.支持中心人员配备.40 5.2.支持中心资源配备.40 5.2.1.热线电话.40 5.2.2.e-mail40 mcfssttvcn40 5.2.3.world wide web.40 5.2.4.支持产品库.40 5.3.技术支持与服务.41 5.3.1.服务内容.41 5.3.2.服务方式.41 5.3.3.服务类型.41 .基础技术支持（primary support）.41 .优先级服务（priority support）.42 .高级技术支持（premier support）.42 5.3.4.服务标准.42 .电话技术支持服务.42 .电子邮件回复服务.43 .world wide web 服务43 .病毒特征码更新介质邮寄服务.43 .紧急上门服务.43 .顾问咨询服务.43 6.6.产品配置及报价产品配置及报价.44 附录附录 a a：公司介绍：公司介绍45 a1.公司简介.45 附录附录 b：nai 产品介绍产品介绍.45 共 59 页 第 5 页 a1. 第一层安全屏障：计算机网络病毒防护-mcafee tvd.45 mcafee tvd 由三种安全产品套件组成：46 virusscan security suite（vss）46 virusscan security suite 所含产品46 netshield security suite(nss)46 netshield security suite 所含产品.46 netshield.46 groupshield.46 internet security suite(iss).46 iss 套件所含内容47 第二层安全屏障：身份验证以及信息加密-pgp tns47 pgp desktop suite 提供对所有桌面的多平台加密保护。48 pgp certificatation server48 第三层安全屏障：防火墙-gauntlet internet firewall49 第四层安全屏障：网络漏洞探测及黑客探测-50 cybercop monitor, cybercop scanner, cybercop sting，casl.50 附录附录 c:美国网络联盟美国网络联盟(nai)公司简介公司简介 53 net tools54 visibility.54 service .54 net tools secure54 mcafee total virus defense (tvd).54 pgp total network security (tns)55 net tools manager55 sniffer total network visibility (tnv)55 mcafee total service desk (tsd).55 市场份额：.55 共 59 页 第 6 页 1.1. 概述概述 1.1. xx 证券股份有限公司网络安全项目的建设意义证券股份有限公司网络安全项目的建设意义 一方面，随着计算机技术、信息技术的发展，计算机网络系统必将成为公司各项业务的 关键平台。另一方面，随着计算机网络系统的发展，计算机网络安全系统必将发挥越来越重 要的作用。 公司网络安全系统的建立，必将为公司的业务信息系统、行政管理、信息交流提供一个 安全的环境和完整平台。通过先进技术建立起的网络安全系统，可以从根本上解决来自网络 外部及内部对网络安全造成的各种威胁，以最优秀的网络安全整体解决方案为基础形成一个 更加完善的业务系统和办公自动化系统。利用高性能的网络安全环境，提供整体防病毒、防 火墙、防黑客、数据加密、身份验证等于一身的功能，有效地保证秘密、机密文件的安全传 输，严格地制止经济情报失、泄密现象发生，避免重大经济案件的发生。 另外，公司在当前总部的网络安全和今后的信息安全上取得的技术成果，将装备到各级 机构。因此，本项目的实施可以达到预期的经济及社会效益。 1.2. xx 证券股份有限有限公司的网络现状证券股份有限有限公司的网络现状 xx 证券股份有限有限公司管理信息网是根据管理需求，采用国际上先进的、成熟的、开 放的网络技术建立起来的管理网络。安全网络的建成，对于宏观调控、预测、决策，更好地 实现 xx 证券股份有限中央的监管职能起到了积极的作用。 1.2.1. 物理物理结结构构 公司的服务器及重要网络设备都存放在公司的主机房内，主机房与外部之间没有很好的 进行物理上的隔离，其他非 it 人员也能够不通过任何安全防范措施进入机房。 1.2.2. 系系统结统结构构 公司服务器使用的操作系统以 netware,nt 为主，还有部分的 unxi 服务器。 netware、nt、unix 的补丁程序都不是最新的程序，对某些安全漏洞及 y2k 问题没有进 行相应的升级。 1.2.3. 网网络结络结构构 公司的网络大致结构示意图，如下图所示: 共 59 页 第 7 页 对网络结构的具体描述： 1)外部用户访问网上交易主机 外部用户通过 internet 来访问网上交易主机，网上交易主机作为前置机让外部用户进 行查询，前置机使用并口线（rs232）与后台的服务器进行连接,当用户需要进行证券交 易时，向交易主机发出需要购进或抛出的股票的请求，交易主机再把客户的信息传给后 台的处理服务器，完成整个交易过程。 2）外部用户访问公司网站 外部用户可以通过 internet 访问公司的网站，网站服务器现托管在电信局，与公司内 部没有固定的连接。当管理员需要对网站进行维护的时候，通过拨号的方式。当远程管 理网站服务器时，因为没有用到 vpn 的方式，可能有被窃听的可能。 3）内部用户访问外部 内部用户通过分别拨号上网的方式与外部进行信息的交流，可以拨号上网的 modem 可能会有十几个。使用各种服务对万步进行访问如： http,ftp,telnet,smtp,pop3,realvideo,realaudio 等等。 4）交易所与各个营业点之间的连接 交易所内部与各个营业点之间的连接时通过专线的方式，使用了 3com 的路由器及由 电信提供的 csu/dsu 设备。现一共有 16 个营业点。当数据由各个营业点传送到此后， 共 59 页 第 8 页 再通过集中的服务器进行业务处理。 5）内部系统之间的连接 公司的内部网络主要分为网上交易系统、集中报盘系统、oa 系统、监控系统。这四 个系统之间相互连接没有通过物理或逻辑的方式进行分割。所以各个系统之间可以相互 对文件及数据进行传输。 6）内部部门之间的连接 公司的各个部门之间的网络是相互连接的，对重要部门没有进行很好的安全保护，用 户可通过自己的计算机访问本部门和其他重要部门的数据。使用的交换机没有对网络划 分 vlan 或使用子网掩码的方式划分部门之间的子网。 7）其他 因为对公司的了解并不是很深，只是对现了解到的情况进行分析，希望公司看过本方 案以后能够提供更多的网络连接，部门之间通讯的情况。 1.2.4. 其他其他 对公司的网络整体的分析还包括人员管理，应用服务系统。但因为对公司的这些情况并 不了解，所以暂时没有进行描述。人员管理是指公司通过网络系统进行工作的流程，公 司对用户权限、密码的设置，对网络管理员、系统管理员、设备管理员等计算机管理人 的责权划分。应用服务系统是指主机系统上使用的应用软件，如：web 服务器、信息交 易系统、数据库系统，办公自动化系统等等。 1.3. xx 证券股份有限有限公司的主要网络安全威胁证券股份有限有限公司的主要网络安全威胁 由于 xx 证券股份有限有限公司的管理信息网上的网络体系越来越复杂，应用系统越来 越多，网络规模不断扩大，逐渐由 intranet 发展到 extranet，现在已经扩展到 internet，网络 用户也已经不单单为内部用户。而网络安全主要是由处于中心节点的相关连接广域网的路由 器直接承担对外部用户的访问控制工作，且内部网络直接与外部网络相连，对整个网络安全 形成了巨大的威胁。 具体分析，对 xx 证券股份有限有限公司网络安全构成威胁的主要因素有： 1)内部网络和外部网络之间的连接为直接连接，外部用户不但可以访问对外服务的服务器， 同时也容易地访问内部的网络服务器，这样，由于内部和外部没有隔离措施，内部系统 较容易遭到攻击。 2)来自内部网的病毒的破坏； 3)内部用户的恶意攻击、误操作，但由于目前发生的概率较小，本部分暂不作考虑。 4)来自外部网络的攻击，具体有三条途径： internet 连接的部分； 与各分部连接的部分； 5)外部网的破坏主要的方式为： 共 59 页 第 9 页 黑客用户的恶意攻击、窃取信息， 通过网络传送的病毒和 internet 的电子邮件夹带的病毒。 来自 internet 的 web 浏览可能存在的恶意 java/activex 控件。 6)缺乏有效的手段监视、评估网络系统和操作系统的安全性。目前流行的许多操作系统均 存在网络安全漏洞，如 unix 服务器，nt 服务器及 windows 桌面 pc。 7)缺乏一套完整的安全策略、政策。 其中，目前最主要的安全威胁是来自网络外部用户（主要是分公司用户和 internet 用户） 的攻击。 1.4. xx 证券股份有限有限公司的网络安全需求分析证券股份有限有限公司的网络安全需求分析 1.4.1. 总体需求分析 在 xx 证券股份有限有限公司信息网中，目前我们视各分公司和及 internet 为外部网络， xx 证券股份有限有限公司楼内的局域网为内部网。 1). 来自于外部网络的访问，除有特定的身份认证外，只能到达指定的访问目 的地，不能访问内部资源。 2). 网络内部用户对外的访问必须经过授权才能访问外部的 server。授权和代 理由防火墙来完成。 3). 对于外部网络来说，内部网络的核心-交换机是不可见的，交换机作为楼 内网络的一部分。 4). 外部网络不能直接对内部网络进行访问，外部网络客户访问内部 server 时通过外部服务提供设备进行，该外部服务提供设备起到访问的中介作 用，保证了内部关键信息资源的安全。 5). 外部服务提供设备与内部的 db server 之间数据交换应安全审慎，可选取 方式 ： 禁止两者之间链路通讯，数据交换采用文件拷贝方式； 两者之间采用加密通讯； 两者之间授权访问，通过外部服务提供设备进行代理。 共 59 页 第 10 页 1.4.2. 具体各子系统的安全需求 xx 证券股份有限有限公司网络部署了众多的网络设备、服务器，保护这些设备的正常运 行，维护主要业务系统的安全，是 xx 证券股份有限有限公司网络的基本安全需求。xx 证券 股份有限有限公司网络为多级应用网络系统，对于各级子系统均在不同程度上要求充分考虑 网络安全。 1). 交易业务系统的安全需求： 与普通网络应用不同的是，业务系统是 xx 证券股份有限 xx 证券股份有限应用的核心。 xx 证券股份有限有限公司的业务系统包括总部和分部所有的业务系统。对于业务系统应该具 有最高的网络安全措施。 xx 证券股份有限有限公司网络应保障： 访问控调，确保业务系统不被非法访问。即禁止外部用户间的非法访问。 数据安全，保证各类服务器系统的整体安全性和可靠性。 入侵检测，对于试图破坏业务系统的恶意行为能够及时发现、记录和跟踪，提 供非法攻击的犯罪证据。 来自网络内部其他系统的破坏，或误操作造成的安全隐患。 2). internet 服务平台的安全需求： internet 服务平台分为两个部分：提供 xx 证券股份有限公司的网络用户对 internet 的访 问；提供 internet 对公司网内服务的访问。 公司内网络客户对 internet 的访问，有可能带来某些类型的网络安全。如通过电子邮件、 ftp 引入病毒、危险的 java 或 activex 应用等。因此，需要在网络内对上述情况提供集成的 网络病毒检测、消除等操作。 安联内部网安联内部网 dmz 外部服务区 外部用户 共 59 页 第 11 页 提供给 internet 的网络服务按照应用类型可分为： 普通服务： 该种服务通常需要保障系统抵抗和检测攻击的能力。即一般的 www 应用如： http、ftp、mail 等服务。 商业应用： 商业应用更要考虑严格的安全要求，而且还希望提供不停顿的服务。 1.5. xx 证券股份有限有限公司网络安全的系统目标证券股份有限有限公司网络安全的系统目标 伴随着保险业务的不断深入，xx 证券股份有限有限公司电子化应用的不断增强，内部网 络上应用系统越来越多，更好的、更有效的、更方便的保护和管理系统资源、网络资源，是 实现网络安全的目标。实施网络安全系统项目，整体规划网络安全系统，作好以下几个方面 的规划和实施： 应用程序加密 应用完整性 用户完整性 系统完整性 网络完整性 1.5.1. 近期目标 目前迫在眉睫的工作是保护整个系统的网络完整性和系统的完整性，建立安全的网络逻 辑结构，为今后的实施应用完整性和用户完整性奠定基础。网络完整性主要是对网络系统的 保护，通过设置防火墙系统等保证通讯安全；系统的完整性是信息系统的保护主要有防病毒、 风险评估、入侵检测、审计分析等方面。 1.5.2. 远期目标 全面部署 xx 证券股份有限有限公司全局的整体安全防御系统，巩固和完善网络安全及 管理系统，使 xx 证券股份有限有限公司信息网在安全的前提下更好、更方便、更有效的实 现中央银行的监管职能。 共 59 页 第 12 页 2.2. 总体规划总体规划 2.1. 安全体系结构安全体系结构 网络安全体系结构主要考虑安全对象和安全机制，安全对象主要有网络安全、系统安全、 数据库安全、信息安全、设备安全、信息介质安全和计算机病毒防治等，其安全体系结构如 下图所示： 2.2. 安全体系层次模型安全体系层次模型 按照网络 osi 的 7 层模型，网络安全贯穿于整个 7 层。针对网络系统实际运行的 tcp/ip 协议，网络安全贯穿于信息系统的 4 个层次。 下图表示了对应网络系统网络的安全体系层次模型： 物理层 物理层信息安全，主要防止物理通路的损坏、物理通路的窃听、对物理通路的攻击（干 扰等） 会话层 应 用 层 应用系统 应用平台 网络层 链路层 物理层 会话安全 应 用 层 应用系统安全 应用平台安全 安全路由/访问机制 链路安全 物理层信息安全 物物 理理实 实体 体 安安 全全 企业安全策略 用户责任 病毒 防治 保密 教育 信息 安全 信息 服务 操作 系统 计算机网络安全 共 59 页 第 13 页 链路层 链路层的网络安全需要保证通过网络链路传送的数据不被窃听。主要采用划分 vlan（局域网） 、加密通讯（远程网）等手段。 网络层 网络层的安全需要保证网络只给授权的客户使用授权的服务，保证网络路由正确，避免 被拦截或监听。 操作系统 操作系统安全要求保证客户资料、操作系统访问控制的安全，同时能够对该操作系统上 的应用进行审计。 应用平台 应用平台指建立在网络系统之上的应用软件服务，如数据库服务器、电子邮件服务器、 web 服务器等。由于应用平台的系统非常复杂，通常采用多种技术（如 ssl 等）来增强应用 平台的安全性。 应用系统 应用系统完成网络系统的最终目的为用户服务。应用系统的安全与系统设计和实现关 系密切。应用系统使用应用平台提供的安全服务来保证基本安全，如通讯内容安全，通讯双 方的认证，审计等手段。 2.3. 安全体系设计安全体系设计 2.3.1. 安全体系设计原则 在进行计算机网络安全设计、规划时，应遵循以下原则： 1). 需求、风险、代价平衡分析的原则 ： 对任一网络来说，绝对安全难以达到，也不一定必要。对一个网络要进行实际分析，对 网络面临的威胁及可能承担的风险进行定性与定量相结合的分析，然后制定规范和措施，确 定本系统的安全策略。保护成本、被保护信息的价值必须平衡，价值仅 1 万元的信息如果用 5 万元的技术和设备去保护是一种不适当的保护。 2). 综合性、整体性原则 ： 运用系统工程的观点、方法，分析网络的安全问题，并制定具体措施。一个较好的安全 措施往往是多种方法适当综合的应用结果。一个计算机网络包括个人、设备、软件、数据等 环节。它们在网络安全中的地位和影响作用，只有从系统综合的整体角度去看待和分析，才 可能获得有效、可行的措施。 共 59 页 第 14 页 3). 一致性原则 ： 这主要是指网络安全问题应与整个网络的工作周期（或生命周期）同时存在，制定的安 全体系结构必须与网络的安全需求相一致。实际上，在网络建设之初就考虑网络安全对策， 比等网络建设好后再考虑，不但容易，而且花费也少得多。 4). 易操作性原则 ： 安全措施要由人来完成，如果措施过于复杂，对人的要求过高，本身就降低了安全性。 其次，采用的措施不能影响系统正常运行。 5). 适应性、灵活性原则 安全措施必须能随着网络性能及安全需求的变化而变化，要容易适应、容易修改。 6). 多重保护原则 任何安全保护措施都不是绝对安全的，都可能被攻破。但是建立一个多重保护系统，各 层保护相互补充，当一层保护被攻破时，其它层保护仍可保护信息的安全。 2.3.2. 网络安全风险分析 网络系统的可靠运转是基于通讯子网、计算机硬件和操作系统及各种应用软件等各方面、 各层次的良好运行。因此，它的风险将来自对企业的各个关键点可能造成的威胁，这些威胁 可能造成总体功能的失效。由于在这种广域网分布式计算环境中，相对于过去的局域网、主 机环境、单机环境，安全问题变得越来越复杂和突出，所以网安全风险分析成为制定有效的 安全管理策略和选择有作用的安全技术实施措施的基础依据。 安全保障不能完全基于思想教育或信任。而应基于“最低权限”和“相互监督”的法则， 减少保密信息的介入范围，尽力消除使用者为使用资源不得不信任他人或被他人信任的问题， 建立起完整的安全控制体系和保证体系。 2.3.3. 网络安全策略 安全策略分安全管理策略和安全技术实施策略两个方面： 1). 管理策略 安全系统需要人来执行，即使是最好的、最值得信赖的系统安全措施，也不能完全由计 算机系统来完全承担安全保证任务，因此必须建立完备的安全组织和管理制度。 2). 技术策略 技术策略要针对网络、操作系统、数据库、信息共享授权提出具体的措施。 2.3.4. 安全管理原则 计算机信息系统的安全管理主要基于三个原则。 (1)多人负责原则 每项与安全有关的活动都必须有两人或多人在场。这些人应是系统主管领导指派的，应 共 59 页 第 15 页 忠诚可靠，能胜任此项工作。 (2)任期有限原则 一般地讲，任何人最好不要长期担任与安全有关的职务，以免误认为这个职务是专有的 或永久性的。 (3)职责分离原则 除非系统主管领导批准，在信息处理系统工作的人员不要打听、了解或参与职责以外、 与安全有关的任何事情。 2.3.5. 安全管理的实现 信息系统的安全管理部门应根据管理原则和该系统处理数据的保 密性，制订相应的管理制度或采用相应规范，其具体工作是： 确定该系统的安全等级。 根据确定的安全等级，确定安全管理的范围。 制订相应的机房出入管理制度。对安全等级要求较高的系统，要实行分区控制， 限制工作人员出入与己无关的区域。 制订严格的操作规程。操作规程要根据职责分离和多人负责的原则，各负其责， 不能超越自己的管辖范围。 制订完备的系统维护制度。维护时，要首先经主管部门批准，并有安全管理人 员在场，故障原因、维护内容和维护前后的情况要详细记录。 制订应急措施。要制订在紧急情况下，系统如何尽快恢复的应急措施，使损失 减至最小。 建立人员雇用和解聘制度，对工作调动和离职人员要及时调整相应的授权。 安全系统需要由人来计划和管理，任何系统安全设施也不能完全由计算机系统独立承担 系统安全保障的任务。一方面，各级领导一定要高度重视并积极支持有关系统安全方面的各 项措施。其次，对各级用户的培训也十分重要，只有当用户对网络安全性有了深入了解后， 才能降低网络信息系统的安全风险。 总之，制定系统安全策略、安装网络安全系统只是网络系统安全性实施的第一步，只有 当各级组织机构均严格执行网络安全的各项规定，认真维护各自负责的分系统的网络安全性， 才能保证整个系统网络的整体安全性。 2.3.6. 网络安全设计 由于网络的互连是在链路层、网络层、传输层、应用层不同协议层来实现，各个层的功 能特性和安全特性也不同，因而其网络安全措施也不相同。 共 59 页 第 16 页 物理层安全涉及传输介质的安全特性，抗干扰、防窃听将是物理层安全措施制定的重点。 在链路层，通过“桥”这一互连设备的监视和控制作用，使我们可以建立一定程度的虚 拟局域网，对物理和逻辑网段进行有效的分割和隔离，消除不同安全级别逻辑网段间的窃听 可能。 在网络层，可通过对不同子网的定义和对路由器的路由表控制来限制子网间的接点通信， 通过对主机路由表的控制来控制与之直接通信的节点。同时，利用网关的安全控制能力，可 以限制节点的通信、应用服务，并加强外部用户识别和验证能力。对网络进行级别划分与控 制，网络级别的划分大致包括 internet/企业网、骨干网/区域网、区域网/部门网、部门网/工 作组网等，其中 internet/企业网的接口要采用专用防火墙，骨干网/区域网、区域网/部门网的 接口利用路由器的可控路由表、安全邮件服务器、安全拨号验证服务器和安全级别较高的操 作系统。增强网络互连的分割和过滤控制，也可以大大提高安全保密性。 随着企业个人与个人之间、各部门之间、企业和企业之间、国际间信息交流的日益频繁， 信息传输的安全性成为一个重要的问题。尽管个人、部门和整个企业都已认识到信息的宝贵 价值和私有性，但商场上的无情竞争已迫使机构打破原有的界限，在企业内部或企业之间共 享更多的信息，只有这样才能缩短处理问题的时间，并在相互协作的环境中孕育出更多的革 新和创造。然而，在群件系统中共享的信息却必须保证其安全性，以防止有意无意的破坏。 物理实体的安全管理现已有大量标准和规范，如 gb9361-88计算机场地安全要求 、 gfb2887-88计算机场地技术条件等。 2.4. 安全产品选型原则安全产品选型原则 在进行 xx 证券股份有限有限公司网络安全方案的产品选型时，要求安全产品至少应包 含以下功能： 访问控制：访问控制：通过对特定网段、服务建立的访问控制体系，将绝大多数攻击阻止 在到达攻击目标之前。 检查安全漏洞：检查安全漏洞：通过对安全漏洞的周期检查，即使攻击可到达攻击目标，也可 使绝大多数攻击无效。 攻击监控：攻击监控：通过对特定网段、服务建立的攻击监控体系，可实时检测出绝大多 数攻击，并采取相应的行动（如断开网络连接、记录攻击过程、跟踪攻击源等） 。 加密通讯：加密通讯：主动的加密通讯，可使攻击者不能了解、修改敏感信息。 认证：认证：良好的认证体系可防止攻击者假冒合法用户。 备份和恢复：备份和恢复：良好的备份和恢复机制，可在攻击造成损失时，尽快地恢复数据 和系统服务。 多层防御：多层防御：攻击者在突破第一道防线后，延缓或阻断其到达攻击目标。 共 59 页 第 17 页 隐藏内部信息：隐藏内部信息：使攻击者不能了解系统内的基本情况。 设立安全监控中心：设立安全监控中心：为信息系统提供安全体系管理、监控，保护及紧急情况服 务。 3.3. 网络安全方案设计网络安全方案设计 根据第二章对 xx 证券股份有限有限公司的安全需求分析，结合安全设计的策略，我们 提出网络安全设计方案。 本章首先描述安全网络的整体结构，然后就各网段采用的防火墙、防病毒、防黑客，以 及安全评估等技术措施作详细的描述。各种安全措施之间的相互协作，构成主动的网络安全 防御体系。 为确保系统的安全性保持稳定，我们介绍了各种安全产品的平台要求，以及升级的保证 方式和途径。 根据 xx 证券股份有限有限公司的网络安全需求，目前网络安全方案集中考虑外部网络 的安全性；对于整体网络的安全性，我们还分析了网络安全方案的可扩充性。 在本章结尾，我们总结了本方案的特点。 3.1. 整体结构安全建议描述整体结构安全建议描述 由于 xx 证券股份有限有限公司网的安全体系包括内外两部分，而目前着重于外部的安 全建设，所以目前的安全假设为：将公司内部网络看作信任网络，暂不考虑安全问题；将外将公司内部网络看作信任网络，暂不考虑安全问题；将外 部网视为不信任网络，需要采取安全措施。部网视为不信任网络，需要采取安全措施。其总体结构如下： 1). 内部网络系统：内部网络系统：包括： lan1，lan2lan8 等内部网段； 内部服务子网 - 即初步设想初步设想的 vpn 的部分。 2). 外部网络系统：外部网络系统：包括： 对 internet 服务网段。 连接 xx 证券股份有限各营业点的网段。 web 网站。 在“初步设想”中，在本方案中，考虑到服务的交集会给防火墙安全策略的制定带来不 便，形成潜在的安全隐患，并且也不利于整个网络安全的管理，因此我们将 vpn 网关相应服 务器分别部署在对应的网段中，而将对内服务的服务器放到内部网络中的内部服务子网中。 共 59 页 第 18 页 同时，我们在系统中增加了一个网络安全管理平台网段。 整个网络安全结构如下图： 3.1.1. 对对 internet 服务网段服务网段 如上图示，内部用户访问 internet,通过拨号上网的方式，通过单个客户机分别拨号上网 首先会对整个内部安全造成很大影响，同时造成资金的浪费。因为当拨号连接建立以后，会 动态的分配到一个合法的 ip 地址，那样如果有非法用户对该地址进行尝试的攻击，很可能通 过该机进入整个内部系统。建议： a.在拨号上网的主机上配置物理隔离卡，当用户上网时，物理隔离卡可以把硬盘分为上网 部分与安全部分，这两部分将相互隔离，这样就保证了有非法用户通过该机进入内部系 统。 b.使用防火墙同时申请一根专线上网，这样既可以防止拨号上网带来的危险性又可以提高 上网速度。 在接口处防火墙的配置方法：在接口处防火墙的配置方法： 共 59 页 第 19 页 访问的安全控制： 1). dmz1 对外提供服务 dmz1 中的服务器主要用于对 internet 用户提供服务，包括 dns、email、ftp、http 等，其服务全部由防火墙提供代理，其工作流程如下： a: 由外部 client 端向 firewall1 提出请求（http、ftp 等） ； b: 通过 firewall1 过滤、识别、身份验证，确定为合法请求，并确定该请求的目标服 务器之后由 firewall1 向 dmz1 里的服务器提出请求； c: dmz1 里的目标服务器接受 firewall1 的请求并对其作出响应； d: firewall1 再将请求传递给外部的 client。 2). 内部网络的用户对 internet 的访问 对于内部用户对 internet 的请求包括 email 和 http、ftp 等。 对 email 类，内部网采用 hp openmail ，而 internet 采用 smtp 协议，建议设立 一台电子邮件转发服务器（mx），部署在 dmz1 里，对内部 hp openmail 的邮 件和 internet 的 smtp 邮件进行转发。 对 http、ftp 等其他类型的服务由防火墙作为代理，firewall1 在中间也起到过 滤、识别、身份验证的作用。 3). 地址转换（nat） 由于目前 xx 证券股份有限有限公司采用 a 类地址，而外部采用 internet 合法地址， gauntlet firewall1 提供内、外地址的翻译，即可隐藏内部 ip. 4). firewall1 未来的 gvpn 功能 将来外汇管理局的内部 intranet 中的 gauntlet 防火墙可形成 gvpn，采用 gauntlet 的 gvpn 技术对内部的外出员工可建立一条可信赖的连接，直接访问内部网络的资源。 c.使用 proxy 的方式，让所有的用户通过尽量少的电话线上网，在该 proxy 服务器上安装物 理隔离卡，这样可以防止不必要的危险性，又可以降低费用，同时可以对所有用户访问 的时间流量进行统计。 ba cd firewall client dmz 共 59 页 第 20 页 3.1.2. 连接各营业点的网段连接各营业点的网段 连接各营业点的网段是连接公司总部与各分公司的接口，各营业点通过 x.25/pstn 连接 到总公司的 3com 主干路由器上。 交易所与营业点的相互访问是通过 ddn,由于系统本身是一个很安全的系统，我们这里就不 对此作一些安全产品的配置，只是对整个系统及应用程序的安全进行安全性的扫描，如果存 在漏洞则对系统进行升级和优化。 因为交易所与营业点的数据传输经常会突然出现流量增大，影响正常的交易，所以我们认为 在交易所的路由器到内部网之间添加一个百兆的集线器或交换机在此上的端口处安装 nai 公 司的 sniffer for lan，对进出的包进行解码分析，区分出包的类型，对非正常交易的包进行 分析并且通过一些措施把这些非正常交易的包给过滤掉或通过流量分配软件进行有效的划分。 具体配置： a.把与交易无关的包给过滤掉。可以通过在路由器后面添加防火墙的方式，可以把 已经通过 sniffer 检查出来的与交易无关的包的源地址给屏蔽掉，不让包进行内部 系统。 b.通过流量分配软件在各个营业点对出去的包进行手工的流量分配。如果是与交易 有关的包让它占有较大的带宽，如果与交易无关的包则让它占较小的带宽，这样 可以保证主干业务的畅通运行。 c. 可以在网段上安装入侵检测软件，它可以对进来的包进行解码并且分析包的内容， 是什么类型的服务，使用的端口号，源地址及目的地址等。这样就可以分析出哪 些连接是没有必要的，然后再把该连接通过防火墙给屏蔽掉。 3.1.3. 内部系内部系统统及部及部门门之之间连间连接安全分析和建接安全分析和建议议 据统计在互联网上 80%的泄密来自于内部网络，在设计网络安全结构时，如何防止内部 人员的攻击也是一个很重要的方面，对于某些关键部门，如财务部门，可能允许上传数据、 提供特定数据供指定部门的指定人员查阅。而在目前交易所公司的网络结构上并未对上述关 键部门给予应有的特别保护，任何内部工作人员都可以进入关键部门的计算机上，获取机器 上的有用信息。 在公司内部如果由对公司不满的员工，它可以在公司的网络段中安装一些侦听软件，收 集进入重要部门的信息，如：用户的密码，重要的文件，重要的信件等等。 这些侦听软件在网上面到处可以免费获得，所以如果我们没有很好的防范措施，重要的 系统很容易遭到破坏。 a.在几个重要部门之间相互通信的接口处添加 vpn 网关。 配置方法：在几个重要部门的交换机上安装一个硬件的的 vpn 设备，所有需要到另一 个部门的信息都会通过 vpn 网关,进行加密，根据 ipsec 方式，在 ip 包头添加另一个网段的 vpn 网关的 ip 地址。这样所有的包在到达另一个部门前先需要经过该部门的 vpn 网关的解 密。其他特点：vpn 网关会可以在这几个部门之间相互建立不同的信任关系，建立不同的加 密算法；作用：防止了不满员工的侦听，保证了信息传输过程中的安全性，提高各个重要部 门的安全性等等。 共 59 页 第 21 页 b.在重要的部门的网段上添加入侵检测软件。配置方法：把入侵检测软件安装在某台空余的 电脑上，并且把它与 hub 相连。作用：它能够实时的捕获通过 hub 的包，并且对包进行分 析，通过离线分析模块与黑客特征库进行比较看是否有黑客进行攻击，如果有则会报警，并 且会自动对进来的非法包进行阻断。 c.在特别重要的服务器及主机上，添加基于主机的入侵检测软件。 配置方法：如果需要保护哪台主机，就在它上面安装入侵检测软件。作用：对重要的文 件进行实时的跟踪，对用户的权限、密码、注册表文件或/etc 目录下的文件、数据库内的数 据进行保护。 d.使用防病毒系统，配置方法：在文件服务器，群间服务器，网关服务器，客户机上分别安 装防病毒软件。作用：防止病毒功过客户端，文件服务器，全歼服务器，网关服务器进行传 播，有效的防止了这种非技术型的系统破坏。 3.1.4.内部用户通过拨号服务器与远程用户进行通信安全优化内部用户通过拨号服务器与远程用户进行通信安全优化 a在拨号服务器的网段中再添加一台身份认证服务器，对通过拨号上来的用户进行两次身份 认证，并且如果有能力，可以让每一个拨号用户配置一个 ic 卡，该卡上的号码会根据身份 认证服务器进行更新，用户必须输入更新后的密码才能进入系统。 b.经常性更换用户名及口令，同时限定登入失败次数，保持较高的保密性及安全性。 c.对登入上来的用户及登入失败的用户都进行审计，看是否有非法用户进行尝试性攻击。 d.添加 vpn 网关，同时在用户端添加加密 pc 卡。作用：保证传输过程中用户密码的保密性， 传输信息的保密性；把合法地址转化成了内部地址，大大的提高了内部网络的安全性；对远 程用户的访问进行限制，防止非法用户的恶意攻击。 3.1.5.外部用户访问公司网站安全分析和建议外部用户访问公司网站安全分析和建议 当外部用户访问公司托管的网站服务器时，因为现在在网站服务器上没有做任何的防范所以 和容易被黑客破坏，当发生页面被换成非健康内容或整个系统被洗的情况，将造成不良的后 果。 建议： a.在网站服务器前面安装防火墙。作用：把所有不必要的服务及端口全部关闭，防 止外部用户通过其他的扫描软件或黑可程序进行攻击，同时安装防火墙后有详细 的日志文件可以清楚的知道对主机的访问情况。同时对服务器进行地址隐藏，使 得黑客找不到服务器的内部真实地址，这样黑客就攻不破。 b.在与网站服务器同一个 hub 上安装入侵检测软件或审计系统。作用：一旦发现有 什么高手黑客闯入，就可以检测出来，等检测出来后它会采取有效的报警措施： bp 机呼叫、发 mail、拉警报、警报列表等。 c.在网站服务器上添加网站实时监控及恢复软件。作用：对网站的主页及其它需要 保护的页面，进行实时的监控，一旦发现页面配修改，则会检查该修改是合法的 还是非法的如果为非法的修改则会从备份端把页面重新恢复回去。同时还有经过 加密的客户端上传软件，规定只有从该客户端传上去的文件才认为是合法的，这 样大大的加强了安全性。 d.对编写程序的方式进行调整，把两层结构调整成三层结构，在网页与数据库之间 添加中间层。防止黑客通过分析页面代码获得数据库的管理口令。 e.需要把 nt 的 service pack 补丁程序打到 sp6a,这样可以防止用户通过如： %81 或 :data 的方式对网站 进行攻击。 共 59 页 第 22 页 f. 如果网站的规模增加，有多台 web server,则需要添加第四层交换机，对流量进行 智能的、动态的负载平衡。安装此设备时这样的好处：可以提高网络的访问速度； 可以增加冗余性，万一某台 web server 发生故障，至少还有另外一台 web server 在正常工作，这样可以防止非正常网络不能够访问的现象。当由两台计算机在作 镜像后，我们在增加 alton 流量分配器，它的作用为：可以动态的对流量进行合 理化分配，提高网络访问速度；能够把网络的地址全部转换成内部地址，让用户 无法知道地址为多少，这样可以大大的提高网络服务器的安全性；能够配置包过 滤策略，对进来的访问进行控制。所以我们会把 web server 的外部地址进行隐含， 改成内部地址。如： 改成 ， 29 改成 。 3.2. 本方案中防火墙提供的安全措施本方案中防火墙提供的安全措施 gauntlet 防火墙是基于应用层网关的防火墙，其特点是： 没有内外网络的直接连接，比包过滤防火墙更高的安全性。 提供对协议的过滤，如可以禁止 ftp 连接的 put 命令。 信息隐藏，应用网关为外部连接提供代理。 健壮的认证和日志。防火墙能够记录所有的网络连接和连接企图，日志能够显 示出源地址、目的地址、时间和所用的协议，而且防火墙能够预先设定一个紧 急情况的触发条件，条件发生时，防火墙会发出一个警报给安全维护人员或网 络管理系统。 节省费用，第三方的认证设备(软件或硬件)只需安装在应用网关上。 简化和灵活的过滤规则，路由器只需简单地通过到达应用网关的包并拒绝其余 的包通过。 各防火墙可相互配合，具有主动防御的能力。 多个防火墙之间可形成 gvpn，为 xx 证券股份有限有限公司将来的内部 intranet 建立可信赖的连接。 可以看出，gauntlet 防火墙的安全特性远比其他类型的防火墙高。 以上介绍的三个防火墙所在的网段都有各自独立的安全策略，但又相互学习，协同工作。 防火墙系统的局限性 防火墙能有效地防止外来的入侵，虽然能作到： 控制进出网络的信息流向和信息包 共 59 页 第 23 页 提供使用和流量的日志和审计； 隐藏内部 ip 地址及网络结构的细节； 提供 vpn 功能；但是所有的所有的防火墙都不能作到： 停止所有外部入侵； 完全不能阻止内部袭击； 防病毒； 终止有经验的黑客； 提供完全的网络安全性。 因此，仅仅在 internet 入口处部署防火墙，实际上是一个不完整的安全解决方案，从总 体上系统还应该具备防病毒和防黑客的功能。 3.3. 防病毒的整体解决方案防病毒的整体解决方案 3.3.1. 病毒防护的必要性和发展趋势病毒防护的必要性和发展趋势 众所周知，计算机病毒对生产的形响可以称得上是灾难性的。尽管人类已和计算机病毒 斗争了数年，并已取得了可喜的成绩，但是随着 internet 的发展，计算机病毒的种类急聚 增多，扩散速度大大加快，对企业及个人用户的破坏性加大。 与生物病毒类似，计算机病毒也具有灾难性的形响。就其本质而言，病毒只是一种具有 自我复制能力的程序。目前，许多计算机病毒都具有特定的功能，而远非仅仅是自我复制。 其功能（常称为 payload