证券内联网防火墙安全系统方案样本

证券内联网防火墙安全系统方案方正数码12月

TOC\o\h\z1 北大方正集团、方正数码企业介绍 82 网络证券业务分析 103 网络证券安全需求分析 133.1 安全性 133.2 高效性 143.3 可靠性 153.4 可伸缩性 153.5 易用性 153.6 完善服务体制 164 安全系统结构 165 安全系统实施 195.1.1 关键应用服务安全风险 225.1.2 网络中关键系统安全风险 235.1.3 数据库系统安全分析 235.1.4 管理系统安全风险 246 方正数码防火墙处理方案 246.1 本方案设计标准和目标 246.2 防火墙选型 256.3 防火墙设置及工作模式 266.4 防火墙功效设置及安全策略 266.4.1 完善访问控制 266.4.2 内置入侵检测（IDS） 276.4.3 代理服务 276.4.4 NAT地址转换 286.4.5 日志系统及系统报警 286.4.6 带宽分配，流量管理 286.4.7 集中管理 296.4.8 预制模板 296.4.9 系统升级 296.4.10 双机备份 306.4.11 防火墙方案特点 307 证券内联网防火墙安全需求及方案对照说明 317.1 内联网防火墙基础要求 317.2 证券内联网防火墙功效要求 337.2.1 必备功效 337.2.2 增强功效 367.3 防火墙性能 367.4 防火墙管理 388 证券内联网安全管理提议 398.1 整体思绪 398.2 集中管理，统一计划 398.3 严格规章安全教育 408.4 明确责任技术培训 408.5 动态监控教授咨询 419 证券内联网防火墙安全系统实施方案 429.1 协议签署阶段工作实施 429.2 发货阶段实施 439.3 到货后工作实施 459.4 测试及验收 469.4.1 测试及验收描述 4610 证券内联网防火墙系统培训 4810.1 培训目标 4810.2 培训课程 4810.3 培训方法 4810.4 培训时长 4810.5 培训地点 4810.6 培训人数 4910.7 学员要求 4911 方正方御防火墙技术支持和服务 5011.1 方正数码绿色服务体系结构介绍 5011.2 完善技术支持和服务 5211.2.1 售前服务内容 5311.2.2 售前服务步骤 5411.2.3 售后服务内容 5511.2.4 售后服务步骤 5611.3 服务方法 5711.4 服务监督 5712 方正方御防火墙成功案例 5912.1 鞍山市商业银行应用案例 5912.1.1 鞍山市商业银行需求分析 5912.1.2 系统安全目标 6012.1.3 安全体系结构 6012.1.4 安全系统实施 6012.2 沈阳建设银行安全应用实例 6112.2.1 沈阳建设银行需求分析 6112.2.2 系统安全目标 6312.2.3 用户安全需求分析 63 安全性 63 高效性 63 可扩展性 64 易用性（管理控制） 64 完善服务体制 6412.2.4 安全体系结构 6412.2.5 安全系统实施 6612.3 部分方正方御防火墙用户名单 6713 证券内联网防火墙安全子系统建设报价 7014 方正数码联络方法 71附录一：授权服务商名单 72附录二：防御防火墙所获证书 77附件三：资格证实文件 82附录四：方正方御防火墙产品说明 87产品概述 87系统特点 88防火墙功效说明 91多个工作模式 91包过滤防火墙 93高效过滤 93碎片处理功效 94防SYNFlood攻击 94强大状态检测功效 95轻型/复杂IDS(入侵检测系统) 95反端口扫描 95能够防范20类1500余种攻击方法 96在线升级和实时报警 98入侵检测和防火墙互动 99双向NAT 99带宽管理和流量统计 100代理服务器功效 100双机热备 101强大审计功效 101基于PKI高级授权认证 102集中管理 102实时控制和日志转存 102灵活配置方法 103可视化配置 103预置包过滤规则集 103总结 103

北大方正集团、方正数码企业介绍北京北大方正集团企业是北京大学创建高新技术企业。

方正集团拥有３个控股上市企业，方正（控股）、方正数码、上海方正延中科技集团股份，17家独资、合资企业。职员总数约6000人，总资产50亿元，销售规模达101亿元。

1997年，方正集团已成为国家120家大型试点企业集团之一，国家首批６家技术创新试点企业之一，国家关键支持５家PC生产厂家之一。

发明科技和文明，是北大方正一贯宗旨，集团坚持以人为本宗旨，以创新为先导，产、学、研结合，不停以优质产品和技术服务于社会。方正数码（EC-FounderCo.,Ltd.）是从事发展互联网应用技术及电子商务软件技术企业。其业务专注于互联网安全产品及网络安全服务等领域，是互联网时代软件技术企业。

方正数码借助技术、研发方面优势，借鉴世界上最优异管理运作经验，定在"电子商务赋能者"（e-commerceenabler），用不停创新技术和优质服务给予用户新经济时代可连续发展能力，帮助政府、证券、金融、行业、企业、网站、电子商务运行者利用优异技术和高效管理手段在互联网时代健康发展，取得成功。

方正数码业务围绕在互联网安全技术应用、网络安全服务及网络安全知识管理等关键领域，在技术开发、应用处理方案和运行服务方面为用户提供优异网络安全产品和技术。为此方正数码推出SHARKS互联网安全处理方案。SHARKS处理方案是在深入研究后，提出一套基于中国国情、全部自主开发、含有领先优势处理方案。它是一套整体集群平台，能够处理企业最为关切安全性、高可靠性、可扩展性和易于远程管理问题。现在这套方案已经得到国家相关部门大力支持，被国家经贸委列为国家创新计划项目之一，还得到了国家“863”计划肯定和支持。方正方御防火墙是SHARKS安全处理方案中关键安全产品之一。方正方御防火墙凭借其独特技术优势，在确保系统本身安全性同时又确保了其运行效率。方正方御防火墙中还融入了入侵检测技术，能够有效地防范攻击企图试探；另外利用优异III技术，方正方御防火墙能够有效滤除著名DDoS攻击，正是这种攻击曾迫使包含美国雅虎在内若干世界最大网站停止服务。除防火墙之外，方正数码还向用户提供VPN、安全扫描系统、入侵检测系统（IDS）等安全产品及方案，从多层次、多角度、全方位保护用户网络。在立身自主开发外，方正数码还和CA、ISS、Symantec等众多国际著名安全企业保持着良好合作关系，集成中国外最优异企业安全产品，为中国Internet安全建设保驾护航。网络证券业务分析证券业务是改革开放以来，金融系统中增加最快业务之一，它从无到有，从小到大。在证券交易所注册开户用户飞速增加，而关心证券交易人更是成倍增加，不管大人还是小孩，似乎全部知道证券一词。传统证券交易大约需要以下多个步骤：首先，需要到证券交易机构注册开户；其次，需要将用户资金从银行转入证券交易账户中；第三，进行证券信息处理和多种交易。然而在传统证券交易中，用户需要到证券营业厅进行交易或经过电话等手段进行交易，即使其交易速度很快，不过和计算机网络相比仍然是小巫见大巫。因为不用担心支付手段、不用担心实物配送等原因，证券业是最适合使用互联网行业之一。网络证券交易，就是要将传统证券交易转变为以计算机互联网络为基础交易方法。用户能够充足利用Internet或无线互联网优势，快捷方便进行交易。网络证券交易关键业务包含以下多个方面：用户注册开户网上身份验证证券信息浏览在线证券交易证券交易和用户网络化管理维护和安全相关业务：在以上多个方面中，用户网上身份验证、证券信息传输、在线交易和在线管理和维护是很需要安全保护，而用户注册开户是要到证券机构进行申请，所以不包含网络安全性。涉密信息：上面我们分析了需要安全保护网络证券交易业务，那么，哪些信息是包含加密呢？首先，用户身份、账户等信息是用户进行交易是需要进行验证，这些信息若被窃取或破坏，不仅无法进行网上交易，更为严重可能直接影响用户使用传统形式进行交易，所以需要安全加密；其次，交易数据是包含用户直接经济利益，也是需要安全加密；第三，网络证券交易管理和维护是网络化，而这些信息是直接关系到网络证券交易系统本身安全性，这些信息是需要安全加密。经过分析，涉密信息关键有用户信息、交易数据、管理信息三个方面。网络证券管理模式：因为网络证券交易时使用Internet或无线互联网，用户信息，证券信息，交易数据等是由多台不一样服务器来负担，同时在其上要运行多个服务，所以应该采取集中管理方法对网络证券交易进行管理，这么能减轻管理员劳动强度，提升工作效率。安全风险及威胁：前面我们分析了网上证券交易需要安全保护业务，也分析了有哪些是涉密信息。经过这些分析我们能够很轻易得出网络证券交易安全风险及威胁来自以下多个方面：用户信息会受到黑客窃取、破坏和病毒破坏交易数据会受到黑客窃取、破坏和病毒破坏系统信息会受到黑客窃取、破坏和病毒破坏服务正常运行会受到黑客攻击、破坏和病毒破坏系统安全目标：经过以上分析，网络证券交易系统安全目标是：要保护用户信息和数据、系统资源和信息不被非法窃取和破坏，保护各项网络服务能正常运转，免受入侵和攻击。网络证券安全需求分析前面分析了网络证券业务是需要安全保障。因为证券业本身特殊性，对安全性也有不一样于其它行业要求。网络证券业务中对安全要求为安全性、高效性、可靠性、可伸缩性、易于使用性和安全服务体制。安全性证券网上交易往往包含巨额资金，一旦受外部攻击造成系统中止，或网络犯罪使信息泄露，将会造成重大损失。证券网上交易安全性关键有以下多个方面：网络环境、操作系统和数据安全性证券交易经过网络来实现，假如这个网络环境直接暴露于Internet上，那么将是可怕，所以我们需要用防火墙来隔离Internet和网络证券交易系统。因为防火墙能够阻挡黑客攻击行为和异常网络事件，这么能够保护我们网络交易环境、网络中计算机操作系统和数据。防火墙是网络安全第一道屏障，单有防火墙是不能进行全方面保护，我们还需要入侵监测系统（IDS）来对黑客攻击进行报警和自动防范，并使用防病毒模块来确保我们操作系统和存放数据免遭病毒侵害。系统数据和用户数据有可能遭到破坏，那么需要应急恢复系统ERS来帮助处理这些问题。用户标识和判别，抗抵赖程度用户在网上进行证券交易前，必需要用到自己身份信息，而这些信息必需加以保护，以预防被不法之徒窃取或利用给用户造成无须要损失。为此，在登录步骤就要开始实施防护。为达成保护目标，使用CA技术，利用数字证书来确保双方是能够相互信任。并需要使用加密方法来保护用户标识。密码支持安全程度和可信信道安全性整个信息传输过程使用SSL进行加密传输，传输信息和存放信息加密后，就把计算机数据变成一堆无规律、杂乱无章字符。攻击者即使得到经过加密信息即密文、也无法识别原文，预防信息被窃取。交易服务防攻击能力保护证券交易各项网上服务正常运行，能过滤关键攻击和异常网络事件，使用防火墙来完成要求；保护用户数据和交易信息不被非法窃取、破坏，拥有入侵检测系统（IDS）进行预警和自动防护，防治病毒破坏，在紧急情况下能取得最快服务响应高效性证券网上交易集中在多个特定时段，对系统反应速度有相当高要求。要求安全系统含有优异数据吞吐能力，在确保安全同时，效率损失要减到最小。需要达成这个要求，就需要防火墙和IDS系统尽可能小对网络吞吐量产生影响。而我们向用户提供防火墙产品和IDS产品在安装到系统中去后能够完美满足用户要求，这关键来自产品优异性能和针对行业专门设计，具体性能请参看产品介绍和性能参数。可靠性在服务致胜今天，服务中止就意味着风险。在Internet上，早已不再沿用传统上朝九晚五商业时间。365×24×7不间断运行对系统可靠性提出了挑战。可靠性关键表现在：安全功效和机制可靠程度在网络环境下，安全功效和机制本身就会成为黑客入侵和破坏目标，所以安全可靠性成为网络安全不可缺乏一环。只有在确保了安全功效和机制本身安全下，才能愈加好保护网络安全性。对于防火墙来讲，使用双机热备方法是现在最可靠，最实用提升可靠性手段。数据存放可靠程度，数据备份和恢复除了安全功效和机制可靠性外，数据存放可靠性也是不可忽略关键步骤。这就必需使用备份和恢复系统，来确保数据损坏后能立即恢复。可伸缩性证券网络会伴随证券业务发展而快速壮大。一个优异安全处理方案必需从开始就考虑到这种需求。系统需要基于高可伸缩便于扩充集群构架。以跟上券商发展脚步，预防出现大量设备淘汰造成资源浪费。易用性不易使用安全系统是不安全。充斥着英文术语管理界面会大大增加系统管理人员工作量，也轻易造成不应有漏洞出现或安全策略僵化。易用性关键包含：要界面清楚易懂方便集中管理安全性实时监控。完善服务体制券商不是专业安全企业。不可能随时全方面跟踪安全动态。安全是动态过程，今天安全系统明天就可能不安全，这就要求提供安全方案企业有优异服务体制进行跟踪服务。再严密系统也可能出现漏洞，当紧急事件发生时，能不能在最短时间内取得紧急响应服务常常决定了损失大小，而且这种时候，需要是极其专业服务，没有强大开发实力企业是无法满足这种需求，而在中国没有开发部门国外著名企业则往往鞭长莫及。安全系统结构为了满足上述需求，从安全方面就需以下模块：防火墙、入侵检测、防病毒、CA和加密。在系统设计一级，就要考虑到各模块位置。同时，整个系统需要根据业务步骤来进行设计。4.1多级用户身份验证登录保护：网上证券用户和服务器之间需要建立一个信任关系。必需要预防入侵者经过种种手段进行冒充和欺骗。为此，在登录步骤就要开始实施防护。首先使用CA技术，利用数字证书来确保双方是能够相互信任。其次，在登录时进行用户名、密码验证。整个登录过程使用SSL加密传输，预防登录信息被窃取。密码保护：对于前面提到用户信息、交易数据、管理信息等涉密信息，提供全程密码保护。在系统访问层，经过授权和认证机制，确保涉密信息只提供给有访问权限人员。访问密码和交易密码分开，加强高敏感涉密信息安全等级。4.2密钥密码体系在网上证券应用中，使用基于公开密钥密码体系（PKI）加密安全体系。其目标是确保以下四点：可信任服务器可信任用户可信任传输不容抵赖审计使用密钥密码关键目标是预防信息非授权泄露。加密用于传输信息和存放信息，把计算机数据变成一堆无规律、杂乱无章字符。攻击者即使得到经过加密信息即密文、也无法识别原文。所以，加密能够有效地对抗截收、非法访问数据库窃取信息等威胁。为确保安全，组合应用对称密码算法和非对称密码算法，对称密码算法用于信息加密、非对称密码算法用于密钥分发、数字署名、完整性及身份判别等。假如一个加密系统加密密钥和解密密钥相同，或即使不相同，不过由其中任意一个能够很轻易地推导出另一个，所采取就是对称密码算法。假如一个加密系统加密密钥和解密密钥不相同、而且由加密密钥推导出解密密钥(或由解密密钥推导出加密密钥)是计算上不可行、所采取就是非对称密码算法。信息加密传输实际过程包含四步：第一步，信息发送方产生一个对称密钥，并将此密钥用信息接收方公钥加密后，经过网络传送给接收方。第二步，信息发送方用对称密钥将需要传输文件加密后，经过网络传送给接收方。第三步，接收方用自己私钥将收到经过加密对称密钥进行解密，得到发送方对称密钥。第四步，接收方用得到对称密钥将接收到经过加密信息进行解密，从而得到信息原文。4.3结构框架说明系统结构框架以下：用户使用PC或手机接入互联网，在穿过防火墙以后，连接上券商InternetServer。在用户端和InternetServer端，均使用CA证书，以确保用户和服务器可相互信任。传输过程中，对涉密信息均使用SSL加密。在服务器和Internet之间，使用防火墙隔离，使用IDS系统进行预警。同时IDS和防火墙联动，在遭PC手机PC手机Interner防火墙/IDS券商InternetServer防火墙券商IntranetServer日志数据库控制中心券商柜台交易系统IDS模块防病毒模块SSL加密传输CACA依据国家要求，券商InternetServer和IntranetServer再利用一道防火墙物理隔离。在Intranet内部，使用IDS对系统内异常事件进行监控。为了保护数据完整性和安全性，在整个系统中，还要布署完整防病毒体系。在控制中心。能够对整个安全系统进行实时监控和集中管理。对全部安全事件，保留具体日志统计，以备定时安全审计使用。最终，券商IntranetServer接入券商柜台交易系统，最终实现网上证券交易。整个安全系统结构能够总结为：多层隔离、实时监控、立体防护、集中管理。安全系统实施经过上面对需求分析，我们提出了处理需求所要使用到安全模块，关键由防火墙来对网络上入侵、攻击和异常行为进行阻挡。使用方正数码FireBridge防火墙作为系统安全第一道屏障，FireBridge防火墙优异性能及双机热备方法能够满足网络安全性及可靠性要求。对于IDS使用ISS企业产品，这么不仅能够检测来自外部威胁，还能够检测来自系统内部侵害。防病毒模块使用业内著名冠群金辰企业KILL产品保障系统免受病毒侵扰。还有CA系统确保用户身份判定。具体实施以下图所表示：说明：图所表示安全系统实施关键在两个部分，网上证券交易平台和证券企业总部。在网上证券交易平台中，Router和第一层Switch或Hub相连接，Switch或Hub和两台FireBridge防火墙相连接，然后两台FireBridge防火墙再和第二层Switch或Hub相连接。这么就组成了一个防火墙双机热备方法，确保了网络安全性，同时提供了安全机制可靠性。第二层Switch或Hub和交易服务器、WEB服务器、Router连接，并在服务器上安装IDS、防病毒模块、CA模块，这么在网上证券交易平台上实现了整体多层次安全防护方法。在证券企业总部里，在Router后安装一道FireBridge防火墙，其后部是证券企业总部证券交易网络，在这个网络里需要安装一台控制主机，经过它对网上证券交易平台里服务器、防火墙进行集中管理，同时对系统及其安全性、可靠性进行集中管理。除了上面所说两个部分外，我们需要在用户端，安装CA用户模块，认证步骤见下图：根据上面方法来实施网络证券安全处理方案，就能够完整实现立体安全防护体系，从多层次、多角度来保护用户和券商交易安全。我们方案里使用产品将在下面有深入介绍。关键应用服务安全风险应用服务系统中各个叶节点有多种应用服务，这些应用服务提供给证券各级营业点或合作商业银行使用。不能预防未经验证操作人员利用应用系统脆弱性来攻击应用系统，使得系统数据丢失、数据更改、取得非法数据等。而证券机房这些应用系统是证券内联网中最关键组成部分。DNS服务DNS是网络正常运作基础元素，它们是由运行专门或操作系统提供服务Unix或NT主机组成。这些系统很轻易成为外部网络攻击目标或跳板。对DNS攻击通常是对其它远程主机进行攻击做准备，如篡改域名解析统计以欺骗被攻击系统，或经过获取DNS区域文件而得到深入入侵关键信息。著名域名服务系统BIND就存在众多能够被入侵者利用漏洞。证券商对外多种应用，尤其是基于URL应用依靠于DNS系统，DNS安全性也是网络安全关注焦点。E-Mail因为邮件服务器软件众多广为人知安全漏洞，邮件服务器成为进行远程攻击首选目标之一。如利用公共邮件服务器进行邮件欺骗或邮件炸弹中转站或引擎；利用sendmail漏洞直接入侵到邮件服务器主机等。而证券营业内部E-mail系统覆盖面广，所以迫切需要使用防火墙来保护证券业内部E-mail系统。WWW利用HTTP服务器部分漏洞，尤其是在大量使用服务器脚本系统上，利用这些可实施脚本程序，未经授权操作者能够很轻易地取得系统控制权。在证券存在多种WWW服务，这些服务协议或多或少存在安全隐患。FTP部分FTP服务器缺点会使服务器很轻易被错误配置，从而造成安全问题，如被匿名用户上载木马程序，下载系统中关键信息（如口令文件）并造成最终入侵。有些服务器版本带有严重错误，比如能够使任何人取得对包含root在内任何帐号访问。网络中关键系统安全风险整个系统中网络设备关键采取路由器设备，有必需分析这些设备风险。路由器是证券内联网关键部件，路由器安全将直接影响整个网络安全。下面列举了部分路由器所存在关键安全风险：■ 路由器缺省情况下只使用简单口令验证用户身份，而且远程TELNET登录时以明文传输口令。一旦口令泄密路由器将失去全部保护能力。■路由器口令弱点是没有计数器功效，所以每个人全部能够不限次数尝试登录口令，在口令字典等工具帮助下很轻易破解登录口令。■每个管理员全部可能使用相同口令，所以，路由器对于谁曾经作过什么修改，系统没有跟踪审计能力。■路由器实现一些动态路由协议存在一定安全漏洞，有可能被恶意攻击者利用来破坏网络路由设置，达成破坏网络或为攻击做准备目标。针对这种情况，必需采取方法，有效预防非法对网络设备访问。■TCP/IP风险：系统采取TCP/IP协议进行通信，而因为TCP/IP协议中存在固有漏洞，比如：针对TCP序号攻击，TCP会话劫持，TCPSYN攻击等。同时系统DNS采取UDP协议，因为UDP协议是非面向连接协议，对系统中DNS等相关应用带来安全风险。数据库系统安全分析数据库系统是存放关键信息场所并担负着管理这些数据信息任务。数据库安全问题，在数据库技术诞生以后就一直存在，并伴随数据库技术发展而不停深化。不法份子利用已经有或愈加优异技术手段通常对数据库进行伪造数据库中数据、损坏数据库、窃取数据库中数据。怎样确保和加强数据库系统安全性和保密性对于网络正常、安全运行至关关键。管理系统安全风险管理系统安全风险除了上面提到系统风险之外，系统之间，尤其是其它商业银行和证券之间存在很大安全隐患。系统结构复杂、管理难度大，存在多种服务，哪些服务对哪些人是开放、哪些是拒绝全部没有一定安全划分。必需预防内部不相关人员非法访问安全程度要求高数据，而且整个系统正常运行也是确保证券系统日常工作正常进行一个十分关键方面。必需限制管理系统内各个部门之间访问权限，维护各个系统安全访问。而因为整个系统是一个体系，任何一个点出现安全问题，全部可能给相关人员带来损失。方正数码防火墙处理方案本方案设计标准和目标标准：从网络安全整个体系考虑，此次防火墙选择标准是：安全性：防火墙提供一整套访问控制/防护安全策略，确保系统安全性；开放性：防火墙采取国家防火墙相关标准和网络安全领域相关技术标准；高可靠性：防火墙采取软件、硬件结合形式，确保系统长久稳定、安全运行；可扩充性：防火墙采取模块化设计方法，方便产品升级、功效增强、调整系统结构；可管理性：防火墙采取基于windows平台GUI模式进行管理，方便多种安全策略设置；可维护性：防火墙软件维护方便，便于操作管理；目标：网络安全包含很多方面，如：访问控制、身份认证、数据加密、入侵检测、预防病毒、数据备份等。此次证券内联网防火墙系统建设目标是经过在证券同外部远程交易和其它商业银行、金融机构连接处采取防火墙技术，预防外部网络和用户对证券内联网数据非法使用和访问，监控整个网络数据过程。有效预防来自外部攻击行为。限制对内部资源和系统访问范围。经过在证券内联网系统中设置防火墙安全方法将达成以下目标：保护基于证券内联网业务不间断正常运作。包含组成证券系统网络全部设施、系统、和系统所处理数据（信息）。证券关键信息在可控范围内传输，即有效控制信息传输范围，预防关键信息泄露给证券外部组织或人员。处理网络边界安全问题确保网络内部安全实现系统安全及数据安全在用户和资源之间进行严格访问控制（经过身份认证，访问控制）建立一套数据审计、统计安全管理机制（网络数据采集，审计）融合技术手段和行政手段，形成全局安全管理。为了处理证券内联网面临安全问题，有必需建立一整套安全机制，包含：访问控制、入侵检测等多个方面。信息系统安全是一个复杂系统工程，包含到技术和管理等多个层面。为达成以上目标，方正数码在充足调研和分析比较基础上采取合理技术手段和产品以构建一个完整安全技术体系，同时经过和证券共同工作，帮助证券建立完善安全管理体系。防火墙选型防火墙是网络安全领域首要、基础设施，它对维护内部网络安全起着关键作用。利用防火墙能够有效地划分网络不一样安全等级区域间边界，并在边界上对不一样区域间访问实施访问控制、身份判别、和安全审计等功效。防火墙按实现方法不一样，其基础类型有：包过滤型、代理(应用网关)型和复合型。复合型防火墙是在综合动态包过滤技术和代理技术优点情况下采取一个愈加完善和安全防火墙技术。其功效强大，是未来防火墙技术发展一个关键趋势。综合考虑证券网络安全实际情况，在本方案中采取方正数码方正方御（FG-P）复合型防火墙，放置在证券和远程交易和各个商业银行和其它金融机构连接各个叶节点。防火墙设置及工作模式●防火墙提供三个接口：内网、外网、DMZ；●防火墙工作在路由模式，对外采取NAT技术，隐藏内部真实地址；●将对外服务多种服务设备放置在DMZ区域，和内部网络严格区分开，确保内部系统安全。考虑到安全问题，系统中结构需要调整，将原来各商业银行对证券内部网络访问调整到对DMZ访问。不轻易许可各商业银行对证券内部网络进行访问。防火墙功效设置及安全策略完善访问控制规则控制：经过方正方御防火墙提供基于TCP/IP协议中各个步骤进行安全控制，生成完整安全访问控制表，这个表包含：■外网（商业银行和其它金融机构）对DMZ内服务访问控制。将外部对内部、DMZ内服务访问明确限制，预防非法对内部关键系统，尤其是业务系统访问。利用DMZ隔离效果，尽可能将对外服务部分服务器放置在DMZ区域，经过NAT方法，保护内部网络免受攻击。关闭操作系统提供除需要以外全部服务和应用，预防因为这些服务和应用本身漏洞给系统带来风险。对内部E-mail、FTP、WWW、数据库访问做严格计划和限制，预防恶意攻击行为发生。■内部网络：内部网络对外部网络（商业银行和其它金融机构）访问也要进行严格限制。预防内部职员对外网资源非法访问。对内部职员对外访问采取NAT方法访问。同时内部职员对DMZ区域服务器访问也必需做限制。内部职员对外网WWW访问采取代理方法。■DMZ访问：通常情况下DMZ对外部和内部全部不能主动进行访问，除非特殊应用需要到内部网络采集数据，能够有限地开放部分服务。借助方正方御防火墙提供基于状态包过滤技术对数据各个方向采取全方面安全技术策略，制订严格完善访问控制策略确保从IP到传输层数据安全。针对证券系统中网络风险能够经过严格访问控制表来进行限制。内置入侵检测（IDS）方正数码企业和国际网络安全组织合作，能够实时取得最新系统入侵库代码，动态地将这些攻击技术处理方案加入到方正方御防火墙中,同时在方正方御防火墙内部采取3I技术，加速应用层安全防护查询过程。方正方御防火墙现在能够支持1500种以上入侵检测并能够成功阻断这么攻击行为，比如最近红色代码。针对多种攻击行为，比如TCP序列号攻击、劫持、碎片攻击、端口扫描能够识别阻断。而这个数据库能够实时更新、升级。升级在方正方御防火墙界面即可完成。IDS和访问策略形成互动。经过防火墙嵌入IDS功效能够有效防范对内部Windows/NT，Unix、Novell系统攻击行为。电子欺骗：防火墙能够自动识别多种电子欺骗行为并进行阻断。同时防火墙能够对伪装IP地址进行识别。代理服务方正方御防火墙对外提供代理服务功效，证券内部网络对外访问能够经过防火墙提供代理服务功效，同时代理服务能够针对URL,SSL,FTP进行应用拦截，预防内部人员对外网非法访问。NAT地址转换将证券内部网络和DMZ区域网络地址经过NAT方法转换，隐藏真实IP地址，预防内部网络受到攻击。具体转换方法就是将内部网络和DMZ区域机器地址全部转换成防火墙外网卡地址，对外证券只有一个地址。而借助防火墙多映射功效，能够将对外同一地址映射为内部网络和DMZ区域不一样服务不一样端口。日志系统及系统报警方正方御防火墙提供强大日志系统，将经过防火墙数据、防火墙管理数据、流量、多种攻击行为统计集成到一起。同时系统提供针对多种统计结果根据用户要求进行报表打印。针对经过防火墙数据，能够根据数据类型、地址进行统计分析。针对多种管理数据，防火墙进行具体统计，网管人员能够方便查看对防火墙管理情况。假如有内部人员对防火墙访问，能够经过管理数据进行查询。流量统计：防火墙提供流量统计功效，能够根据用户名称、地址等多个方法进行统计。系统报警：当有些人非法对内部网络或外部网络进行访问时候，系统实时报警会经过E-mail和声音进行报警。同时对多种非法访问和攻击行为进行统计。经过强大日志系统和实时报警、日志报警等多个方法确保证券内部网络出现安全问题时能够有资料分析；同时也能够经过对日志系统分析完善系统安全策略。带宽分配，流量管理在证券内联网上运行着部分关键业务数据，这些业务数据实时性要求高，必需确保这么数据含有优先权限，预防因为带宽问题影响证券应用。方正方御防火墙能够针对证券实际情况，对部分特殊应用提供带宽管理。给特殊应用分配相对高带宽。同时方正方御防火墙提供流量管理功效，对内部网络用户对外网访问能够提供流量限制。集中管理针对证券网络覆盖面广、区域跨度大特点，防火墙需要集中管理和控制。方正方御防火墙提供集中管理机制，支持远程管理。利用NT域概念和技术，方正方御防火墙能够对同一个域内不一样防火墙进行同时管理。我们考虑在证券总行和各个大区行采取集中管理机制。根据防火墙分权标准，将策略管理放置在各个防火墙节点。策略整体由证券总行策划，各个节点自己进行策略管理。而系统管理和日志查询放置在各个大区行，统一管理、分析。防火墙提供管理接口，同时支持远程管理，管理数据采取RC4/MD5方法加密，能够有效确保管理安全性，同时管理数据只在证券内联网流动。而防火墙本身能够对管理员地址进行严格限制。预制模板证券网络复杂，不过结构清楚，为了愈加好维护整个系统安全和适应证券统一管理、安全强度一致标准，方正方御防火墙提供预制模板功效。能够经过证券统一制订一个策略模板，各个节点网络在这个模板基础上进行计划，简化管理过程，使得系统管理难度降低。系统升级网络安全技术伴随网络技术发展不停改变，而网络安全策略和软件也不能一成不变，需要不停升级。方正方御防火墙管理界面提供方便系统升级和IDS升级功效。确保证券防火墙产品实时和网络安全领域技术同时，预防因为新安全问题给系统带来安全风险。其中，尤其是IDS功效，几乎天天全部有新安全风险和攻击软件出现。方正防火墙内嵌IDS功效模块能够动态升级，保障IDS数据库和最新动态同时。双机备份网络安全、稳定长久运行是证券最终目标，而网络硬件可能因为部分特殊原因发生故障。方正方御防火墙提供双机备份功效，采取两种方法进行备份检测，软件方法借用HSRP技术动态跟踪各个区域运行状态，发觉任何一个区域出现问题立即进行切换。硬件方法采取心跳线方法，当系统检测到故障，也将进行切换。而系统切换不影响证券业务。两台防火墙工作在互备模式中。防火墙方案特点此次证券内联网防火墙关键设置在内网和外网和其它商业银行连接节点上。本方案中，我们关键依据证券网络实际情况，针对防火墙特殊性，从以下多个方面考虑保障系统安全性防火墙放置在内外网之间用来隔离内部网络和外部网络，对内外网络通信进行严格管理和监控，防火墙必需提供全方面安全策略确保内部系统安全。所以方正方御防火墙提供全方面访问控制策略、IPMAC地址捆绑、IDS入侵检测、反电子欺骗等手段。这些功效能够有效保障内部网络安全。同时方正方御防火墙也提供带宽管理、分配，系统报警等方法从侧面帮助。本身安全性防火墙作为网络系统中一个部件，其本身安全性也是十分关键，考虑到实际情况，方正方御防火墙提供单独管理接口，管理接口服务全部关闭，同时管理接口特殊管理数据采取标准加密算法和方法。证券远程管理过程中数据经过证券内联网进行管理能够有效确保管理安全性。同时，利用WindowsNT中域技术，对防火墙管理时必需登录到对应域才能对域内用户进行管理，保障管理域安全性。而防火墙操作系统采取经过严格测试专有操作系统。维护方便性管理方便性直接关系到系统能否起到安全保护作用，方正方御防火墙提供专有GUI平台，方便制订多种安全策略。系统事件管理系统事件和日志统计直接关系到整个安全平台完善和后续责任追查等多个方面，方正方御防火墙为用户提供完整、正确数据统计结果，供查询、打印等。证券内联网防火墙安全需求及方案对照说明内联网防火墙基础要求内联网设置防火墙目标是隔离内部网、外部网和DMZ区（非军事区），抵御多个模式网络攻击，保护内部网络不受攻击。方正方御防火墙是基于状态检测技术包过滤防火墙，拥有完整客体访问控制能力。能够对控制范围内任何主体和客体实施端到端策略。经过对主、客体规则策略配置能够控制主、客体访问。方正方御防火墙经过设置许可、严禁和对已建、新建、相关、非法四种状态检测访问，拥有授权和拒绝能力。为主体和客体安全属性提供明确访问保障和拒绝。方正方御防火墙拥有多个安全属性访问控制。防火墙策略控制范围包含：源地址、目标地址、源端口号、目标端口号、传输协议，连接状态，和碎片检测等全部要素。方正方御防火墙含有安全审计功效模块。能够对入侵检测、流量控制、防火墙本身操作、代理服务器等进行安全审计，而且将其审计结果具体统计在日志中，经过自带统计模块，管理人员能够自动或手动地将其统计成为报表。方正方御防火墙安全策略采取了非旁路性设计，即全部流过防火墙信息包全部要经过防火墙配置规则检测，不会出现信息包绕过防火墙配置策略进入受保护网络情况。防火墙能够充足确保任何和安全相关操作被实施前，均经过安全策略检验。方正方御防火墙本身拥有很高安全性。方正方御防火墙采取专用操作系统，用户或黑客不会了解其操作系统任何信息，无从对防火墙操作系统进行攻击。同时在管理上使用专有控制接口，将管理信息和其它信息隔离开同时还采取了基于PKI方法确保管理信息安全性。方正方御防火墙拥有完善管理功效，能够支持安全集中管理，能区分安全管理角色，采取了三级管理体系，将管理人员分为管理员、审计员、策略员三种。结合证券内联网树型结构特点，使管理员能够对防火墙实施安全远程管理及维护，并能够经过加密保护远程管理会话。基础配置管理功效，用户数据保护中管理员属性修改和查询功效，标识和判别功效。证券内联网防火墙功效要求必备功效包过滤方正方御防火墙是基于包过滤防火墙，经过对全部流经防火墙信息包内包头信息进行检验，许可或阻止数据包传输，以实现对网络安全控制。它能够阻止畸型报文和拒绝服务，预防外部IPSpoofing，并可限制内部职员对外网访问请求。同时防火墙内置强大IDS系统能够实时封禁可疑IP及黑客多种攻击行为并报警。应用代理方正方御防火墙提供给用代理功效，是针对应用层服务，对用户应用提供代理服务，即接收用户访问请求、分析用户数据，然后以自己身份向内容服务器提出请求，并把内容服务器响应传回给用户。DMZ划分方正方御防火墙提供DMZ划分，能够实现安全功效区域分割，把控制范围内各主体安全区域分开。防火墙除了提供内部接口和外部接口外，还提供一个DMZ区（非军事区）网络接口。在DMZ区中，能够设置公共应用服务设备，供外部网络有条件地访问其中资源。地址转换方正方御防火墙拥有双向地址转换功效（NAT），它是基于网络层应用，经过把内部网络（或DMZ区）信息包内源地址修改为防火墙外部端口地址传向外部网络，同时隐藏了内部网络（或DMZ区）IP地址。具体做法为，当用户需要对外访问时，防火墙会将用户IP地址转换为防火墙外部端口IP地址，并将得到响应再转换回用户IP地址发回给用户，从而达成内部网络（或DMZ区）用户访问外部网络资源目标。这种做法既能够使外部网络无法了解内部网络（或DMZ区）网络结构，又能够节省外部正当IP地址空间。另外，方正方御防火墙提供反向地址转换功效，支持DMZ区中某个服务端口到内部地址一对一映射，即DMZ区中地址向内部网络地址访问时，被访问IP地址被转换为指定DMZ区中IP地址。完整日志功效方正方御防火墙提供了完整日志功效，因为防火墙安全特征，使防火墙日志成为立即发觉系统漏洞、分析系统可能受到攻击、判定系统运行状态及系统配置错误等问题关键手段，所以方正方御防火墙能够提供完整日志功效。防火墙运行日志能够依据管理员管理要求进行针对性设置，实时统计到目标文件或目标数据库中，并提供必需手段使管理员能够查阅目前及历史日志文件。高安全性防火墙操作系统和软件内核因为防火墙软件是基于特定操作系统之上，所以必需对防火墙所使用操作系统安全提出要求，以免因操作系统本身漏洞造成防火墙安全受到影响。方正方御防火墙采取是专用操作系统，安全性高，在操作系统上不会给黑客任何可趁之机。增强功效根据“三级互联处强度一致，功效要求有所区分”建设方针，在总行、分行营业管理部/省会城市中心支行二级网络互联区和商业银行等其它金融机构内部网络对接处防火墙配置要求含有或未来需要时可扩充至此增强功效。双机热备方正方御防火墙提供双机热备功效，在网络中设置两台相同地位防火墙产品，一主一从，从用防火墙中存有主用防火墙设置镜像，当主用防火墙因故无法正常运行时，从用防火墙能够自动替换主用防火墙运作，提供给急方法，从而确保整个网络系统稳定运行。防火墙性能防火墙系统不仅要有完善功效，还要有最好性能确保,确保安全和效率平衡，内联网中使用防火墙必需符合国家相关标准和规范。方正方御防火墙提供标准以太网接口，适合证券内联网网络接入模式、接口规范、网络带宽，方正方御防火墙拥有高吞吐量、高性能；时延小、时延抖动小等特点；包转发率达成网络要求；30万并发连接数不会限制现有应用系统正常使用。不会成为网络瓶颈，或显著影响网络工作效率。方正方御防火墙含有较高可靠性，不会降低证券信息系统现有可靠性。方正方御防火墙采取是专用操作系统，含有很高安全性，不存在可能被她人非法利用安全漏洞。方正方御防火墙将内网、外网、DMZ和防火墙配置端分别连接于不一样网卡，实现最底层网络驱动隔离。提供三个10M/100M自适应以太网口，及一个CONSOLE口。方正方御防火墙在管理上易管理、易维护。提供图形化管理界面，易于了解配置规则，简捷配置方法，最大程度地简化管理员对防火墙产品管理和维护工作。防火墙管理防火墙能否充足发挥作用，不仅和产品功效性能紧密相关，日常运行管理也是至关关键。相当多网络入侵事件发生，并非是防火墙不起作用，而是因为防火墙管理不善、操作和配置不妥，才使防火墙失去了应有防范作用。所以，网络管理中心要进行一定程度下防火墙系统集中管理。对于方正方御防火墙，管理员能够经过一台控制机对全网范围内任何一台防火墙设备进行远程管理，实现对防火墙配置、开启、关闭、备份和恢复。经过提供多层登录权限设置功效，灵活设置防火墙访问权限。另外，为确保集中管理（即经过远程方法对防火墙产品进行管理和维护）安全性要求，方正方御防火墙能够限制进行远程管理IP地址；能够加密保护远程管理会话，且方正方御防火墙加密是符合国家密码委相关要求。

证券内联网安全管理提议整体思绪依据证券内联网网络情况提出对应管理提议。本提议仅包含了基础标准和思绪，需要证券系统相关人员经过协同工作，使安全管理和银行本身管理体系相融合，最终得到具体化落实和实施。证券内联网网络是一个比较完善综合网络，整体结构是—个经过WAN连接多级网络，在网络每一级节点上含有一个局域网，在多级网络上运行着各个业务系统、服务系统、办公自动化系统等，因为应用系统复杂性、管理人员复杂性，制订一个适宜全网安全管理制度和安全策略是十分必需。良好管理平台有利于增强系统安全性，能够作到：立即发觉系统安全漏洞适时审查系统安全体系加强对使用人员安全知识教育建立完善系统管理制度集中管理，统一计划防火墙能不能正确发挥它应有作用，关键在于管理，证券内联网机构复杂、覆盖面广，怎样管理将是对全网安全有一大难题和考验，我们提议以证券总部及大区部为中心，集中管理，证券统一计划。总部及大区负责防火墙日常运行情况监测和管理，同时大区行制订统一安全方法，确保防火墙能够正确统一发挥其作用。现在证券各节点接入方法多样，这无形中给证券内联网带来了巨大安全隐患，我们认为在统一管理上还应该统一证券内部网络出口。严格规章安全教育健全管理体制是维护网络正常安全运行关键。很多系统因为没有健全安全管理体制常常出现因为管理疏忽而造成严重问题。我们认为以下问题应该成为安全管理首要处理问题：在组织机构上对安全管理有一个确保——明确制订安全管理人员在管理上权利和义务。对于安全管理员，明确指定每个人应该对什么事故负什么样责任，责任落实到人头。明确指定什么人能够管理什么网络设备（防火墙、路由器、交换机等等），作到专门产品维护由专员负责。同时，对网络安全管理，我们应该在证券进行统一网络安全教育，让证券职员将网络安全意识带到工作中去，提升职员网络安全整体认识水平。加强口令管理（比如设置其生效期、频繁更改口令等）；在口令管理上首先杜绝不设口令帐号存在，缩短口令使用期时间；注意确保每个用户ID是唯一；对于过期帐号要立即注销。加强对网络系统管理,在新网络用户注册时，对其进行必需定义，明确其授权范围，建立有益于用户安全管理机制。在网络用户准备登录时，应该对其进行严格身份认证。能够经过此用户所属主机和采取基于一次性口令用户验证系统（比如SecurID等），检验进入网络用户是否正当，预防非法用户进入网络.明确责任技术培训网络管理员是决定系统网络是否能够安全、有效运行根本原因。网络管理员技术水平是在很大方面限制了安全系统有效运行，比如错误配置网络设备（路由器、交换机等）、安全产品（防火墙、入侵检测产品等）全部能够造成网络“千里之堤毁于蚁穴”。所以，需要网络管理人员不停提升自己技术水平，查找多种相关资料，跟踪最新网络安全技术，防病毒技术等等，使安全之钥掌握在自己手里。动态监控教授咨询安全系统复杂性和安全产品多样性造成很多时候企业并没有能力处理网络中出现全部包含安全产品问题。这需要安全产品生产厂商、软件企业等定时提供网络安全风险分析和针对新产品、新标准培训。提议在证券内部成立专门网络安全咨询安全小组，由了解证券内部结构专业人士和专业网络安全技术人员组成，同时动态地监控整个系统网络安全情况，发觉异常立即处理。组成一个快捷有效应急响应小组，响应小组能够有选择邀请中国、外部分网络安全教授担任特聘顾问，比如方正数码安全教授等，方便在发生攻击事件时在最短时间内提供最有利支持。

证券内联网防火墙安全系统实施方案因为此次证券内联网防火墙安全子系统包含范围广，所以方正数码企业将经过全国授权服务商来为证券各地机构提供当地化服务。同时，我们愿意和证券内联网工程建设系统集成商紧密合作。项目实施标准考虑到本项目是一个包含分布全省证券各级分支机构且对参与技术支持单位及使用单位要求很高，所以我们认为本项目应在证券集中领导、协调，方正数码企业全力支持情况下进行，以上是本项目实施基础思绪。协议签署阶段工作实施本阶段应是项目实施关键阶段，证券和方正数码企业双方应协调本方相关单位,为项目标实际进行建立起有效协调体系及最大程度地做好准备工作。为达成上述目标，双方应做以下工作：1．建立协调领导小组证券协调小组组成人员及联络表以下:证券项目组联络表部门人员责任分配联络方法项目总负责防火墙责任人系统及网络部分责任人商务实施责任人…………说明：具体信息需证券提供。方正数码企业协调小组组成人员及联络表以下:

2．方正数码企业及授权服务商工作准备首先方正数码企业将防火墙发送到授权服务商处，组织服务商进行项目培训并完成防火墙规则配置。最终发送到用户现场，由方正数码授权专业工程师安装、调试，确保系统平稳过渡，确保系统安全。发货阶段实施1.证券负责：提供本方使用单位具体信息，所需信息列表以下:用户分布及联络表项目分区区辖地市责任人工程师联络方法地址提议安装次序配置总部营业部XX市XX市说明：具体信息需证券用户在到货前提供。为使安装、测试、发货工作愈加好地实施，上表应在协议签署阶段向方正数码企业提供。

2.方正数码企业

为做到发货清楚、正确，方正数码企业将在设备包装箱上做出显著标示。标签样本以下：

项目名称：项目名称：接收单位名称：地址：联络人：电话：防火墙型号：到货后工作实施1.证券组织地市分部人员在大区部集中培训（在大区部准备培训环境）。2.方正数码企业协调服务商配合证券大区部组织培训。测试及验收测试及验收描述在整个项目实施过程中，有3个关键验收，它们是单点验收、初验和终验。下面是这三个验收经过描述：没有出现双方认可因为安全产品设备造成全网不可恢复瘫痪；没有出现双方认可因为安全产品设备造成单点不可恢复瘫痪；在试运行期间处理了初验遗留相关设备关键技术问题及试运行期间出现相关设备关键技术问题。验收项目经过不经过验收人硬件加电开启无异常声响系统自检过程无错误提醒信息防火墙必备功效测试防火墙关键性能测试防火墙管理测试方正数码工程师 用户代表（签字） （签字）日期： 日期：证券内联网防火墙系统培训培训目标掌握网络安全基础知识掌握产品工作原理能熟练操作配置系统能进行日常维护能熟练地依据业务需要进行一定系统调整。培训课程网络基础网络安全基础防火墙实施和使用防火墙规则配置分析培训方法理论讲课、上机实习。培训时长4个工作日/场次培训地点在证券大区部集中培训，地点由证券总部或大区部指定并提供培训场所。培训人数以证券地市支部为基础单位，每支部参与培训人数1-2人。学员要求熟悉windows系统，含有基础网络知识，熟悉路由器、交换机、集线器等基础网络设备。有组建简单局域网络能力。有组建简单TCP/IP网络能力。（有防火墙这类安全产品使用经验者更佳）

方正方御防火墙技术支持和服务方正数码绿色服务体系结构介绍方正数码以北京为关键，在全国范围内建设三层结构技术支持及售后服务体系，为用户提供全方位服务。授权服务商授权服务商大区平台方正数码用户技术支持技术支持技术支持技术培训技术培训技术支持方正数码安全产品技术支持中心（TechnicalSupportCenter）是第三层服务：方正数码安全产品技术支持中心，是三层结构售后服务体系服务管理中心和技术支持关键。作为技术支持关键，技术支持中心帮助向用户提供完善售后服务，帮助处理第一层、第二层技术支持服务不能处理问题，确保防火墙在用户网络上正常运行。技术支持中心提供服务热线（），能够进行远程诊疗，处理用户和第一、第二层技术支持服务电话咨询。技术支持中心提供在线服务，为用户提供产品信息相关公布，产品升级服务、产品在线技术支持（E-mail、Web论坛）、产品资料文档下载服务。技术支持中心为第一层和第二层技术支持服务提供产品培训，帮助其掌握产品信息、产品特征和产品实施和使用。技术支持中心还提供产品远程调试服务，当第一层和第二层技术支持服务不能处理用户问题时，能够在得到用户授权后经过产品远程调试接口直接提供技术支持。技术支持中心制订产品售后服务策略，提供售后服务作业指导文档，帮助第一、第二层服务支持机构完成产品实施、售后支持服务全部过程。方正数码安全产品大区平台是第二层服务：方正数码大区平台是方正数码关键销售和技术支持中心，它能够提供方正方御防火墙售前、售后各项支持。方正数码安全产品大区平台技术支持中心每个技术支持工程师，全部经过方正数码专业化学习和培训，拥有一流技术和一流敬业精神，支持第一层技术支持机构进行产品技术支持和服务。方正数码安全产品授权服务商是第一层服务：方正数码为每个方正方御防火墙授权服务商全部提供了标准化、专业化技术支持培训和严格上岗认证和服务授权，逐步形成当地化服务网络。技术服务当地化，使遍布全国用户全部能享受到亲切和便捷技术支持服务。授权服务商技术支持人员直接面向最终用户，关键负责当地和相邻区域产品售后支持服务，为用户提供上门服务，包含产品实施、诊疗、维修和保驾等。授权服务商技术支持人员根据服务步骤文档和作业指导书规范向用户提供服务，并向方正数码技术支持中心返回用户信息（用户电话和其它联络方法、产品序号、产品实施网络拓扑图等），方便于方正数码对用户进行定时回访。完善技术支持和服务方正数码对安全产品提供售前、售后等服务，全方面帮助代理商、服务商和最终用户快速、方便使用方正数码安全产品，而且提供多个服务包，满足不一样用户特殊需求，以达成帮助用户实现网络安全目标。我们服务按时间划分为：售前阶段：售前阶段是指从取得用户需求到安全产品第一次安装。在这个阶段我们售前工程师会分析用户需求、设计方案、方案测试及安装、部署网络安全产品，直至用户满意并签署验收汇报。售后阶段：从用户购置我们安全产品开始，我们售后工程师会帮助用户处理使用中碰到多种问题。售前服务内容技术咨询：假如用户或代理商在网络安全方面有疑问或需要帮助能够拨打热线电话咨询，技术咨询热线将解答相关网络安全方面疑问。售前技术培训：提供防火墙及安全产品售前技术培训，让代理商、授权服务商和用户了解网络安全相关信息和知识，熟悉方正数码产品，能够使用方正数码产品构建网络安全处理方案。分析用户需求：当用户提供了需求说明后，工程师会认真分析用户需求，为用户提供最有效、最实用安全方案。设计处理方案：在分析用户需求后，帮助用户设计一套多层次、多角度、易实施、全方面网络安全处理方案。方案部署实施：用户购置了方正方御安全产品后，帮助用户根据设计方案部署、实施。售前服务步骤设备验收应该在用户设备到位后5个工作日内完成。其中用户信息包含：产品序号、产品序列号、单位名称、网络名称、地址、联络人、电话（座机、手机）、Email地址、实施网络图等其它和用户保修相关信息。用户会经过电话和Email形式得到方正数码返回服务号，以确保用户能享受方正数码提供售后服务。售后服务内容技术培训:为了让用户能够愈加好架构自己网络安全系统，方正数码培训中心提供网络基础、防火墙知识及网络安全培训。培训课程包含网络基础、网络安全基础、防火墙实施和使用和防火墙规则配置分析。假如用户经过了方正数码培训中心防火墙及网络安全工程师认证考试，能够取得方正数码网络安全工程师认证证书。产品培训:为了确保用户能够轻松、快速、正确使用我们产品，方正数码培训中心提供安全产品使用、维修培训。系统加固：通常企业在网络安全方面没有专业知识和技能，为此方正数码能够帮助用户检测网络系统安全强度，并帮助用户填补安全上现存漏洞，提升用户网络安全等级，增强网络系统安全性。用户意见处理：我企业一直认为用户提出意见和提议是推进我们前进动力之一，为此我们会立即、快速地处理用户意见和提议，将其分类、汇总并记入我们数据库，方便于我们不停地对产品进行改善和完善。用户可经过热线电话010－68419468或Email:反应意见和提议。产品答疑：假如用户在产品使用过程中有任何问题能够拨打我们热线电话或给我们发电子邮件，我们会在第一时间解答您疑问。故障诊疗：当我们产品出现故障时，用户能够经过我们热线电话通知我们，我们能够提供包含电话指导、上门服务等形式帮助用户诊疗故障并快速处理。版本升级：我们会不定时地提供防火墙内核及入侵检测库升级包，用户能够经过我们网站（.）下载升级包，升级自己防火墙。保修服务：方正数码对方正方御防火墙网络安全产品承诺为期三年无偿保修。无偿保修期后，方正数码仍然提供完善服务来确保用户系统正常运行。售后服务步骤为愈加好地向用户提供方正方御防火墙服务，方正数码提供了金牌服务、银牌服务、一般服务三个不一样档次服务包供用户挑选。对于购置了这三种服务包用户方正数码将根据服务包内容愈加好为用户服务。金牌服务：为愈加好向用户提供方正方御防火墙服务，方正数码提供了金牌服务包，它包含安装服务、维修服务、保驾服务（4次）、备机使用、应急响应服务等服务内容。银牌服务：用户能够购置方正数码提供银牌服务包，它包含安装服务、维修服务、保驾服务（4次）、备机使用等服务内容。一般服务：方正数码还提供了一般服务包，它包含安装服务、维修服务、保驾服务（4次）等服务内容。服务方法电话支持(周一至周五9:00-18:00，节假日除外)：用户在使用本企业网络安全产品时如碰到问题，不管是软件，硬件或是网络，全部能够从方正数码得到电话支持（），用户能够指定一名关键联络人及两名替补联络人和方正数码技术支持中心联络。一旦接到用户请求电话，方正数码技术人员将在要求时间内经过电话处理或回复用户问题。对于非工作日接到故障电话，最迟将在下一个工作日响应。在线支持：HYPERLINK.是一个网络安全专题网站，其中包含方正数码网络安全系列产品信息、网络安全多种攻防信息、最新网络安全资料、用户常常提出问题及解答、网络安全产品版本内升级程序、补丁程序和其它对用户处理技术问题有帮助信息。Website天天更新，用户能够经过Internet实时读取相关信息。现场支持(周一至周五9:00-18:00，节假日除外)：对于经过电话无法处理问题，方正数码或授权服务中心将派出工程师到用户现场为用户提供现场产品调试服务，确保网络安全产品在用户网络上正常运行。服务监督为了向您提供更优质售后服务，保护您权益，假如在我们承诺服务范围内您对我企业网络安全产品技术支持中心或授权维修中心提供服务有异议时，我企业欢迎您对我们工作进行监督，我们将以最快速度给您一个满意回复。投诉热线：传真： E-mail：HYPERLINKmailto:网站：HYPERLINK.信函：100089北京市海淀区西三环北路27号北科大厦4层方正数码网络安全产品技术支持中心

方正方御防火墙成功案例鞍山市商业银行应用案例鞍山市商业银行需求分析关键保护两台互为备份RS/6000服务器和一台WindowsNT服务器。因为这两台互为备份RS/6000服务器会有大量用户访问，所以要确保网络流量，即新增安全产品不能成为网络瓶颈。在管理上，使用集中式管理能够方便快捷，并能够简化管理员工作，提升工作效率。网络中心拓扑结构：系统安全目标保护鞍山市商业银行RS/6000和NT服务器正常运转，避免恶意攻击、破坏，关键数据库数据，预防被窃取、修改、破坏安全体系结构首先需要使用方正方御防火墙作为网络安全屏障来和其它网络进行隔离，这么能够预防其它网络非法用户非法侵害；对于IDS系统方正方御防火墙里已经内置了一套网络IDS系统。整个安全系统结构能够总结为：多层隔离、实时监控、立体防护、集中管理。安全系统实施我们提出了处理需求所要使用到安全模块，关键由防火墙来对网络上入侵、攻击和异常行为进行阻挡。使用方正方御防火墙作为系统安全屏障。具体实施以下图所表示：拓扑连接如上图所表示，在访问线路上添加方正方御防火墙，防火墙设置为桥接模式，不需要给内、外部接口配置IP地址，将防火墙外部接口使用直连线和交换连接，将防火墙内部接口使用直连线（交叉线）和RS/6000和NT服务器相连接即可。整个安全实施，除了增加防火墙外，不需要在购置其它网络设备，同时也不需要改动网络拓扑结构，在实施上很方便。（用户联络方法：于家禧，）沈阳建设银行安全应用实例沈阳建设银行需求分析保护沈阳建行网络系统，确保各项业务正常运行，预防非法行为侵犯和病毒破坏。因为现在沈阳建行没有采取安全保护方法，使得自己业务系统完全暴露在网络环境中，所以轻易受到黑客和不法人员侵害，所以应该实施一套完整安全方案来保护业务网络，同时因为银行天天全部有大量数据经过网络，所以要确保网络流量，即新增安全产品不能成为网络瓶颈。在管理上，使用集中式管理能够方便快捷，并能够简化管理员工作，提升工作效率。从安全角度来看，复杂、分散管理方法在安全上是存在很大隐患和漏洞，使用集中管理也是提升安全等级一项关键内容。网络关键安全风险和漏洞:数据库数据会受到黑客窃取、破坏和病毒破坏系统信息会受到黑客窃取、破坏和病毒破坏服务正常运行会受到黑客攻击、破坏和病毒破坏网络中心拓扑结构：从上图中能够看出，现在沈阳建行网络比较复杂，设备众多，型号也很多，首先在管理上很不方便，其次从安全性角度讲，它使得网络安全等级也降低了，所以我们需要简化网络结构，并对网络进行集中管理。系统安全目标目标是：保护沈阳建设银行内部网络计算机系统正常运转，避免恶意攻击、破坏；关键数据库数据，预防被窃取、修改、破坏。用户安全需求分析安全性网络环境、操作系统和数据安全性现在这个网络环境直接暴露，是处于很不安全状态，所以我们需要用防火墙来隔离沈阳建行内部生产网络，保护多种业务服务器，其中包含AS/400等关键业务机。因为防火墙能够阻挡黑客攻击行为和异常网络事件，这么能够保护我们网络环境、网络中计算机操作系统和数据。防火墙是网络安全第一道屏障，单有防火墙是不能进行全方面保护，我们还需要入侵监测系统（IDS）来对黑客攻击进行报警和自动防范。高效性因为天天有大量信息访问要保护生产系统服务器，这就要求网络拥有很高数据吞吐能力，也就意味着网络安全产品不能对网络流量造成影响。而现在传统防火墙动辄造成15%以上效率损失相比，这就造成了一个矛盾。方正方御防火墙充足考虑了用户对效率重视性，拥有足以自豪数据吞吐能力。在500条规则以下应用（占全部应用95%以上）中，基础不影响网络传输，有绝正确优势。可扩展性银行是中国关键金融机构，新业务会不停开展，同时也会应用大量新技术新设备，同时网络发展日新月异，所以网络扩展性好坏关系到以后企业发展。这就要求在网络建设时留余地。这么不会因为现在投资给未来网络发展和升级带来影响。易用性（管理控制）不易使用安全系统是不安全。充斥着英文术语管理界面会大大增加系统管理人员工作量，也轻易造成不应有漏洞出现或安全策略僵化。易用性关键包含：要界面清楚易懂管理集中方便安全性时实监控完善服务体制网络安全实施还需要完善服务体制来保障，通常企业不是专业网络安全企业，安全是动态过程，今天安全系统明天就可能不安全，这就要求提供安全方案企业有优异服务体制进行跟踪服务。需要有一支专业网络安全队伍来帮助企业处理相关安全问题。再严密系统也可能出现漏洞，当紧急事件发生时，能不能在最短时间内取得紧急响应服务常常决定了损失大小，而且这种时候，需要是极其专业服务，没有强大开发实力企业是无法满足这种需求，而在中国没有开发部门国外著名企业则往往鞭长莫及。安全体系结构经过前面分析，用户首先需要使用防火墙作为网络安全屏障来和其它网络进行隔离，这么能够预防其它网络非法用户非法侵害，在这里我们提议使用方正数码方正方御防火墙。作为网络安全必备第二道警戒线我们需要部署IDS（入侵监测系统），IDS系统关键包含网络IDS、主机IDS等部分，对于IDS系统方正方御防火墙里已经内置了一套网络IDS系统。同时要在网络中部署一套网络防病毒系统，以达成对病毒防御。因为防火墙是网络中关键设备之一，有时候部分不可预见原因可能会使防火墙出现故障而造成网络不通畅或安全性失效，所以我们要采取双机热备方案，提升安全可靠性。另外需要我们注意是加入数据备份产品，来保护数据库。安全体系结构图：安全处理方案体系所使用模块：防火墙（方正方御防火墙）IDS（ISS产品）病毒模块（KiLL网络防毒产品）网络冗余数据备份整个安全系统结构能够总结为：多层隔离、实时监控、立体防护、集中管理。安全系统实施经过上面对需求分析，我们提出了处理需求所要使用到安全模块，关键由防火墙来对网络上入侵、攻击和异常行为进行阻挡。使用方正数码方御防火墙作为系统安全屏障。具体实施以下图所表示：拓扑结构如上图所表示，在访问线路上添加方御防火墙双机热备方案，防火墙设置为桥接模式，不需要给内、外部接口配置IP地址，将防火墙外部接口使用直连线和交换机连接，将防火墙内部接口使用直连线和相连接即可。在网络主交换机上安装一台带有IDS系统计算机，作为第二道安全防护屏障，同时在每台计算机上安装Kill网络版防病毒模块和E-trust单机版IDS模块。作为防御病毒屏障。对于数据备份系统，对应数据库全部提供备份措施，也能够使用磁带机等。整个安全实施，除了增加防火墙和防病毒模块外，不需要在购置其它网络设备，在实施上很方便。（用户联络方法：孙文革，）部分方正方御防火墙用户名单金融：中国人民银行辽宁鞍山商业银行辽宁葫芦岛商业银行沈阳市建设银行新疆中国银行湖北建设银行山西农业银行河南工商银行合肥商业银行深圳人保……电信：中国电信集团总企业中国网通上海电信局北京电信局石家庄电信局西安市电信局……企业：北大方正科技电脑企业南京普天电子北京永辉国际集团北京万柳智能小区新纪元国际旅行社……网站：北京申奥网站上海OA365.COM上海在线7135.COM香港珠宝网……政府：北京市工商局南京市财政局上海浦东财政局广东顺德市劳动局上海海关广东鹤山电力局内蒙包头市工商局云南省政府办公厅重庆市公安局南京市建委……教育及研究所：北京人类基因组北方研究中心山东财政学院合肥中医大学上海南江教委河北邢台师专中国教育网河北师大节点……广电报业：湖南经济电视台南京市广电局扬州市广电局广西柳州广电局山东济南广电局山东聊城广电宽带网安徽日报沈阳晚报扬子晚报……

证券内联网防火墙安全子系统建设报价防火墙公开抱价表：产品名称型号单价(元)方正方御防火墙FG-P82500.00方正方御防火墙FG-P106750.00方正方御防火墙FG-P121250.00

方正数码联络方法方正数码为确保此次人行网络安全项目标顺利实施，特设置专题小组，专题小组联络人名单以下：张大箭刘峰周峥顾培梁诚马虔传真： E-mail：HYPERLINKmailto:网站：HYPERLINK.信函：100089北京市海淀区西三环北路27号北科大厦4层方正数码网络安全产品技术支持中心

附录一：授权服务商名单北京成思计算机系统技术联络人：郭子宝电话：地址：北京海淀区人大北路33号2号楼沁园公寓305室上海怡友华晨网络系统集成有限责任企业联络人：沈逢权电话：地址：上海市江宁路212号广州市金海晨科技联络人：刘华电话：地址：广州市天河区龙口东路蓄能大厦1706南京南大瑞禾新科技联络人：李炯电话：地址：江苏南京市珠江路370号7楼702室沈阳任君计算机企业联络人：杨玉庆电话：地址：沈阳市和平区南三好街头75甲16号陕西研通信息工程联络人：罗永电话：地址：西安市雁塔路中段测绘路东口第一家山东山大华天科技股份联络人：郭东海电话：地址：济南市千佛山路3号华天大厦成全部联捷科技联络人：彭宇电话：地址：龙信大厦512号湖北伟博信息技术联络人：萧辉电话：地址：武汉市台北路195号联合大厦1705室杭州颐和电脑联络人：王学东电话：地址：杭州市文三路352号内蒙同方计算机网络技术联络人：周平电话：地址：呼和浩特市乌兰察布西路163号郑州伟鹏科技联络人：陈维鹏电话：地址：郑州市文化路和东风路交叉口欧洲花园米兰座7层广西运通数据设备有限责任企业联络人：谭心电话：地址：广西南宁市江南路17号国际金贸大厦4层深圳市金证科技股份联络人：余棕兴电话：-2201地址：深圳福田区福华路322号文蔚大厦20-22层石家庄捷成网络科技开发联络人：李敬梅电话：地址：石家庄体育南大街81号附1号湖南联合网络工程联络人：田天电话：地址：长沙市五一东路60号省外贸大楼第26层合肥中方计算机工程有限责任企业联络人：寿志勤电话：地址：合肥市金寨路92号高科技广场南2座23号重庆精业电子联络人：闻震电话：地址：渝州路31号

附录二：防御防火墙所获证书

附件三：资格证实文件营业执照副本（复印件）财务汇报财务资料人民币(元)

注册资本：8，467，079.00

固定资产：7，304，035.46

流动资产：28，092，299.33速动资产：20，012，810