XX證券股份有限公司

網絡安全方案

建議書美國網絡聯盟公司錯誤!未定義書簽。TOC\o"1-5"\h\z\o"CurrentDocument"概述 6\o"CurrentDocument"xx證券股份有限公司網絡安全項目的建設意義 6\o"CurrentDocument"xx證券股份有限有限公司的網絡現狀 6\o"CurrentDocument"物理結構 6\o"CurrentDocument"網絡結構 6\o"CurrentDocument"xx證券股份有限有限公司的主要網絡安全威脅 8xx證券股份有限有限公司的網絡安全需求分析 9總體需求分析 9\o"CurrentDocument"xx證券股份有限有限公司網絡安全的系統目標 11\o"CurrentDocument"近期目標 11遠期目標 11\o"CurrentDocument"總體規劃 12\o"CurrentDocument"安全體系結構 12\o"CurrentDocument"安全體系層次模型 12物理層 12鏈路層 12網絡層 13操作系統 13應用平臺 13應用系統 13安全體系設計 13安全體系設計原則 131),需求、風險、代價平衡分析的原則: 132).綜合性、整體性原則: 133),一致性原則: 134),易操作性原則: 14.適應性、靈活性原則 14.多重保護原則 14\o"CurrentDocument"網絡安全風險分析 14\o"CurrentDocument"網絡安全策略 14\o"CurrentDocument"安全管理原則 14\o"CurrentDocument"安全管理的實現 15\o"CurrentDocument"網絡安全設計 15\o"CurrentDocument"安全產品選型原則 16\o"CurrentDocument"網絡安全方案設計 16\o"CurrentDocument"整體結構安全建議描述 17.內部網絡系統:包括: 17.外部網絡系統:包括: 17\o"CurrentDocument"對Internet服務網段 18營的網^^ 19\o"CurrentDocument"內部系統及部門之間連接安全分析和建議 20內部用戶通過撥號服務器與遠程用戶進行通信安全優化 21外部用戶訪問公司網站安全分析和建議 21\o"CurrentDocument"本方案中防火墻提供的安全措施 22\o"CurrentDocument"防火墻系統的局限性 22防病毒的整體解決方案 23病毒防護的必要性和發展趨勢 23\o"CurrentDocument"xx證券股份有限有限公司的多層病毒防御體系 23客戶端的防病毒系統 24服務器的防病毒系統 24\o"CurrentDocument"Internet的防病毒系統 24\o"CurrentDocument"防黑客的整體解決方案 25\o"CurrentDocument"基于主機及網絡的保護 25\o"CurrentDocument"主動的防御體系 26\o"CurrentDocument"防火墻與防火墻 26\o"CurrentDocument"防火墻與入侵檢測系統 26\o"CurrentDocument"防火墻與防病毒 28\o"CurrentDocument"安全的評估方案 29\o"CurrentDocument"安全產品的平臺建議 29防病毒產品 30桌面保護套件:VirusScanSecuritySuite(VSS) 30服務器保護套件:NetshieldSecuritySuite(NSS) 30網關保護套件:InternetSecuritySuite(ISS) 30建議在WindowsNT或UNIX 30防火墻產品一Gauntlet 30技術規范 30入侵檢測與風險評估套件 31安全產品升級 31\o"CurrentDocument"防病毒系統的升級 32\o"CurrentDocument"入侵檢測系統和防火墻產品的升級 32這兩類產品的升級為ー年內免費升級,并享受長期的升級支持。 32\o"CurrentDocument"本方案的擴充 32\o"CurrentDocument"加密和身份認證 32\o"CurrentDocument"內部網絡安全 33\o"CurrentDocument"xx證券股份有限有限公司系統的安全 33\o"CurrentDocument"安全策略制度 33\o"CurrentDocument"本方案的特點 33\o"CurrentDocument"實施計劃 35\o"CurrentDocument"項目建立 35\o"CurrentDocument"項目保障 35.良好的組織 35.嚴格的管理 35(3),文擋的管理 35\o"CurrentDocument"應用實施 35).項目實施范圍 35).提供服務的內容 351),網絡安全系統需求分析 362),網絡安全系統客戶化 36.網絡安全系統的測試 36.網絡安全系統的試運行 36.網絡安全系統的正式運行 36\o"CurrentDocument"實施進度表 36\o"CurrentDocument"技術支持與服務 38\o"CurrentDocument"支持中心人員配備 38\o"CurrentDocument"支持中心資源配備 38\o"CurrentDocument"熱線電話 38Mcfsstt@vcn 錯誤!未定義書簽。\o"CurrentDocument"WorldWideWeb 38支持產品庫 38\o"CurrentDocument"技術支持與服務 38\o"CurrentDocument"服務內容 38服務方式 39服務類型 39\o"CurrentDocument"基礎技術支持(PrimarySupport) 39\o"CurrentDocument"優先級服務(PrioritySupport) 39\o"CurrentDocument"高級技術支持(PremierSupport) 40\o"CurrentDocument"服務標準 40\o"CurrentDocument"電話技術支持服務 40電子郵件回復服務 40WorldWideWeb服務 40病毒特征碼更新介質郵寄服務 40\o"CurrentDocument"緊急上門服務 40\o"CurrentDocument"顧問咨詢服務 41\o"CurrentDocument"產品配置及報價 42\o"CurrentDocument"附錄A:公司介紹 43\o"CurrentDocument"A1.公司簡介 43\o"CurrentDocument"附錄B： NAI產品介紹 43\o"CurrentDocument"A1.第一層安全屏障:計算機網絡病毒防護ーーMcAfeeTVD 43McAfeeTVD由三種安全產品套件組成: 44VirusScanSecurity Suite(VSS) 44VirusScanSecuritySuite 所含產品 44NetShieldSecuritySuite(NSS) 44NetShieldSecuritySuite所含產品 44NetShield 44InternetSecuritySuite(ISS) 44ISS套件所含內容 44\o"CurrentDocument"第二層安全屏障:身份驗證以及信息加密ー?PGPTNS 45PGPDesktopSuite提供對所有桌面的多平臺加密保護。 46PGPCertificatationServer 46第三層安全屏障:防火墻?ーGauntletInternetFirewall 46\o"CurrentDocument"第四層安全屏障：網絡漏洞探測及黑客探測ーー 48CybercopMonitor,CybercopScanner,CybercopSting,CASL 48\o"CurrentDocument"附錄C:美國網絡聯盟(NAI)公司簡介 50NetTools51VISIBILITY 51SERVICE 51NetToolsSecure51McAfeeTotalVirusDefense(TVD) 51PGPTotalNetworkSecurity(TNS) 51NetToolsManager 51SnifferTotalNetworkVisibility(TNV) 52McAfeeTotalServiceDesk(TSD) 52市場份額: 521.概述XX證券股份有限公司網絡安全項目的建設意義ー方面,隨著計算機技術、信息技術的發展,計算機網絡系統必將成為公司各項業務的關鍵平臺。另ー方面，隨著計算機網絡系統的發展，計算機網絡安全系統必將發揮越來越重要的作用。公司網絡安全系統的建立，必將為公司的業務信息系統、行政管理、信息交流提供ー個安全的環境和完整平臺。通過先進技術建立起的網絡安全系統，可以從根本上解決來自網絡外部及內部對網絡安全造成的各種威脅，以最優秀的網絡安全整體解決方案為基礎形成一個更加完善的業務系統和辦公自動化系統。利用高性能的網絡安全環境，提供整體防病毒、防火墻、防黑客、數據加密、身份驗證等于一身的功能,有效地保證秘密、機密文件的安全傳輸，嚴格地制止經濟情報失、泄密現象發生,避免重大經濟案件的發生。另外，公司在當前總部的網絡安全和今后的信息安全上取得的技術成果，將裝備到各級機構。因此，本項目的實施可以達到預期的經濟及社會效益。xx證券股份有限有限公司的網絡現狀XX證券股份有限有限公司管理信息網是根據管理需求,采用國際上先進的、成熟的、開放的網絡技術建立起來的管理網絡。安全網絡的建成,對于宏觀調控、預測、決策,更好地實現XX證券股份有限中央的監管職能起到了積極的作用。物理結構公司的服務器及重要網絡設備都存放在公司的主機房內，主機房與外部之間沒有很好的進行物理上的隔離，其他非IT人員也能夠不通過任何安全防范措施進入機房。系統結構公司服務器使用的操作系統以Netware,NT為主，還有部分的Unxi服務器。Netware.NT,Unix的補丁程序都不是最新的程序，對某些安全漏洞及Y2k問題沒有進行相應的升級。網絡結構公司的網絡大致結構示意圖,如下圖所示:

對網絡結構的具體描述:1）外部用戶訪問網上交易主機外部用戶通過Internet來訪問網上交易主機,網上交易主機作為前置機讓外部用戶進行查詢,前置機使用并口線（RS232）與后臺的服務器進行連接,當用戶需要進行證券交易時,向交易主機發出需要購進或拋出的股票的請求,交易主機再把客戶的信息傳給后臺的處理服務器,完成整個交易過程。2）外部用戶訪問公司網站外部用戶可以通過Internet訪問公司的網站，網站服務器現托管在電信局，與公司內部沒有固定的連接。當管理員需要對網站進行維護的時候,通過撥號的方式。當遠程管理網站服務器時，因為沒有用到VPN的方式,可能有被竊聽的可能。3）內部用戶訪問外部內部用戶通過分別撥號上網的方式與外部進行信息的交流，可以撥號上網的Modem可能會有十幾個。使用各種服務對萬步進行訪問如:http,ftp,telnet,smtp,pop3,realvideo,realaudio等等。4）交易所與各個營業點之間的連接交易所內部與各個營業點之間的連接時通過專線的方式,使用了3com的路由器及由電信提供的CSU/DSU設備。現ー共有16個營業點。當數據由各個營業點傳送到此后，再通過集中的服務器進行業務處理。5）內部系統之間的連接公司的內部網絡主要分為網上交易系統、集中報盤系統、OA系統、監控系統。這四個系統之間相互連接沒有通過物理或邏輯的方式進行分割。所以各個系統之間可以相互對文件及數據進行傳輸。6）內部部門之間的連接公司的各個部門之間的網絡是相互連接的,對重要部門沒有進行很好的安全保護,用戶可通過自己的計算機訪問本部門和其他重要部門的數據。使用的交換機沒有對網絡劃分VLAN或使用子網掩碼的方式劃分部門之間的子網。7）其他因為對公司的了解并不是很深,只是對現了解到的情況進行分析,希望公司看過本方案以后能夠提供更多的網絡連接,部門之間通訊的情況。其他對公司的網絡整體的分析還包括人員管理，應用服務系統。但因為對公司的這些情況并不了解,所以暫時沒有進行描述。人員管理是指公司通過網絡系統進行工作的流程,公司對用戶權限、密碼的設置，對網絡管理員、系統管理員、設備管理員等計算機管理人的責權劃分。應用服務系統是指主機系統上使用的應用軟件,如:Web服務器、信息交易系統、數據庫系統,辦公自動化系統等等。13.xx證券股份有限有限公司的主要網絡安全威脅由于XX證券股份有限有限公司的管理信息網上的網絡體系越來越復雜,應用系統越來越多,網絡規模不斷擴大,逐漸由Intranet發展到Extranet,現在已經擴展到Internet,網絡用戶也已經不單單為內部用戶。而網絡安全主要是由處于中心節點的相關連接廣域網的路由器直接承擔對外部用戶的訪問控制工作，且內部網絡直接與外部網絡相連，對整個網絡安全形成了巨大的威脅。具體分析，對xx證券股份有限有限公司網絡安全構成威脅的主要因素有:1）內部網絡和外部網絡之間的連接為直接連接,外部用戶不但可以訪問對外服務的服務器,同時也容易地訪問內部的網絡服務器，這樣，由于內部和外部沒有隔離措施，內部系統較容易遭到攻擊。2）來自內部網的病毒的破壞;3）內部用戶的惡意攻擊、誤操作，但由于目前發生的概率較小,本部分暫不作考慮。4）來自外部網絡的攻擊，具體有三條途徑：令Internet連接的部分;ぐ與各分部連接的部分:5）外部網的破壞主要的方式為：令黑客用戶的惡意攻擊、竊取信息,令通過網絡傳送的病毒和Internet的電子郵件夾帶的病毒。令來自Internet的Web瀏覽可能存在的惡意Java/AcliveX控件。6)缺乏有效的手段監視、評估網絡系統和操作系統的安全性。目前流行的許多操作系統均存在網絡安全漏洞,如UNIX服務器,NT服務器及Windows桌面PC。7)缺乏ー套完整的安全策略、政策。其中，目前最主要的安全威脅是來自網絡外部用戶(主要是分公司用戶和Internet用戶)的攻擊。XX證券股份有限有限公司的網絡安全需求分析總體需求分析在XX證券股份有限有限公司信息網中，目前我們視各分公司和及!nternet為外部網絡，xx證券股份有限有限公司樓內的局域網為內部網。1)?來自于外部網絡的訪問，除有特定的身份認證外,只能到達指定的訪問目的地，不能訪問內部資源。.網絡內部用戶對外的訪問必須經過授權才能訪問外部的Server。授權和代理由防火墻來完成。.對于外部網絡來說,內部網絡的核心一交換機是不可見的，交換機作為樓內網絡的一部分。4),外部網絡不能直接對內部網絡進行訪問，外部網絡客戶訪問內部Server時通過外部服務提供設備進行,該外部服務提供設備起到訪問的中介作用，保證了內部關鍵信息資源的安全。5),外部服務提供設備與內部的dBServer之間數據交換應安全審慎，可選取方式:令禁止兩者之間鏈路通訊,數據交換采用文件拷貝方式;令兩者之間采用加密通訊:兩者之間授權訪問，通過外部服務提供設備進行代理。1.4.2.具體各子系統的安全需求XX證券股份有限有限公司網絡部署了眾多的網絡設備、服務器,保護這些設備的正常運行,維護主要業務系統的安全,是XX證券股份有限有限公司網絡的基本安全需求。XX證券股份有限有限公司網絡為多級應用網絡系統，對于各級子系統均在不同程度上要求充分考慮網絡安全。.交易業務系統的安全需求:與普通網絡應用不同的是，業務系統是XX證券股份有限XX證券股份有限應用的核心。XX證券股份有限有限公司的業務系統包括總部和分部所有的業務系統。對于業務系統應該具有最高的網絡安全措施。XX證券股份有限有限公司網絡應保障:ぐ訪問控調，確保業務系統不被非法訪問。即禁止外部用戶間的非法訪問。ぐ數據安全,保證各類服務器系統的整體安全性和可靠性。ぐ入侵檢測,對于試圖破壞業務系統的惡意行為能夠及時發現、記錄和跟蹤，提供非法攻擊的犯罪證據。令來自網絡內部其他系統的破壞，或誤操作造成的安全隱患。.Internet服務平臺的安全需求：Internet服務平臺分為兩個部分:提供Xx證券股份有限公司的網絡用戶對Internet的訪問;提供Internet對公司網內服務的訪問。公司內網絡客戶對Internet的訪問，有可能帶來某些類型的網絡安全。如通過電子郵件、FTP引入病毒、危險的Java或AetiveX應用等。因此，需要在網絡內對上述情況提供集成的網絡病毒檢測、消除等操作。提供給!nternet的網絡服務按照應用類型可分為:ぐ普通服務:該種服務通常需要保障系統抵抗和檢測攻擊的能力。即一般的WWW應用如:HTTP、FTP、MAIL等服務。令商業應用:商業應用更要考慮嚴格的安全要求,而且還希望提供不停頓的服務。1.5.xx證券股份有限有限公司網絡安全的系統目標伴隨著保險業務的不斷深入,XX證券股份有限有限公司電子化應用的不斷增強,內部網絡上應用系統越來越多，更好的、更有效的、更方便的保護和管理系統資源、網絡資源，是實現網絡安全的目標。實施網絡安全系統項目，整體規劃網絡安全系統,作好以下幾個方面的規劃和實施:ぐ應用程序加密令應用完整性ぐ用戶完整性令系統完整性ぐ網絡完整性151.近期目標目前迫在眉睫的工作是保護整個系統的網絡完整性和系統的完整性，建立安全的網絡邏輯結構，為今后的實施應用完整性和用戶完整性奠定基礎。網絡完整性主要是對網絡系統的保護，通過設置防火墻系統等保證通訊安全:系統的完整性是信息系統的保護主要有防病毒、風險評估、入侵檢測、審計分析等方面。1.5.2.遠期目標全面部署XX證券股份有限有限公司全局的整體安全防御系統,鞏固和完善網絡安全及管理系統，使XX證券股份有限有限公司信息網在安全的前提下更好、更方便、更有效的實現中央銀行的監管職能。2.總體規劃安全體系結構網絡安全體系結構主要考慮安全對象和安全機制,安全對象主要有網絡安全、系統安全、數據庫安全、信息安全、設備安全、信息介質安全和計算機病毒防治等,其安全體系結構如下圖所示:安全體系層次模型按照網絡OSI的7層模型,網絡安全貫穿于整個7層。針對網絡系統實際運行的TCP/IP協議,網絡安全貫穿于信息系統的4個層次。下圖表示了對應網絡系統網絡的安全體系層次模型:物理層物理層信息安全，主要防止物理通路的損壞、物理通路的竊聽、對物理通路的攻擊（干擾等）鏈路層鏈路層的網絡安全需要保證通過網絡鏈路傳送的數據不被竊聽。主要采用劃分VLAN（局域網）、加密通訊（遠程網）等手段。網絡層網絡層的安全需要保證網絡只給授權的客戶使用授權的服務,保證網絡路由正確,避免被攔截或監聽。操作系統操作系統安全要求保證客戶資料、操作系統訪問控制的安全,同時能夠對該操作系統上的應用進行審計。應用平臺應用平臺指建立在網絡系統之上的應用軟件服務，如數據庫服務器、電子郵件服務器、Web服務器等。由于應用平臺的系統非常復雜，通常采用多種技術（如SSL等）來增強應用平臺的安全性。應用系統應用系統完成網絡系統的最終目的一為用戶服務。應用系統的安全與系統設計和實現關系密切。應用系統使用應用平臺提供的安全服務來保證基本安全,如通訊內容安全，通訊雙方的認證,審計等手段。安全體系設計安全體系設計原則在進行計算機網絡安全設計、規劃時,應遵循以下原則:1）,需求、風險、代價平衡分析的原則:對任一網絡來說，絕對安全難以達到，也不一定必要。對ー個網絡要進行實際分析，對網絡面臨的威脅及可能承擔的風險進行定性與定量相結合的分析，然后制定規范和措施，確定本系統的安全策略。保護成本、被保護信息的價值必須平衡，價值僅1萬元的信息如果用5萬元的技術和設備去保護是ー種不適當的保護。.綜合性、整體性原則:運用系統工程的觀點、方法，分析網絡的安全問題，并制定具體措施。ー個較好的安全措施往往是多種方法適當綜合的應用結果。ー個計算機網絡包括個人、設備、軟件、數據等環節。它們在網絡安全中的地位和影響作用，只有從系統綜合的整體角度去看待和分析，才可能獲得有效、可行的措施。.一致性原則:這主要是指網絡安全問題應與整個網絡的工作周期（或生命周期）同時存在，制定的安全體系結構必須與網絡的安全需求相一致。實際上,在網絡建設之初就考慮網絡安全對策，比等網絡建設好后再考慮，不但容易，而且花費也少得多。4),易操作性原則:安全措施要由人來完成,如果措施過于復雜,對人的要求過高,本身就降低了安全性。其次，采用的措施不能影響系統正常運行。5),適應性、靈活性原則安全措施必須能隨著網絡性能及安全需求的變化而變化,要容易適應、容易修改。6).多重保護原則任何安全保護措施都不是絕對安全的，都可能被攻破。但是建立一個多重保護系統,各層保護相互補充,當ー層保護被攻破時,其它層保護仍可保護信息的安全。網絡安全風險分析網絡系統的可靠運轉是基于通訊子網、計算機硬件和操作系統及各種應用軟件等各方面、各層次的良好運行。因此，它的風險將來自對企業的各個關鍵點可能造成的威脅，這些威脅可能造成總體功能的失效。由于在這種廣域網分布式計算環境中，相對于過去的局域網、主機環境、單機環境,安全問題變得越來越復雜和突出，所以網安全風險分析成為制定有效的安全管理策略和選擇有作用的安全技術實施措施的基礎依據。安全保障不能完全基于思想教育或信任。而應基于“最低權限”和“相互監督”的法則，減少保密信息的介入范圍,盡力消除使用者為使用資源不得不信任他人或被他人信任的問題,建立起完整的安全控制體系和保證體系。網絡安全策略安全策略分安全管理策略和安全技術實施策略兩個方面:1),管理策略安全系統需要人來執行,即使是最好的、最值得信賴的系統安全措施,也不能完全由計算機系統來完全承擔安全保證任務,因此必須建立完備的安全組織和管理制度。.技術策略技術策略要針對網絡、操作系統、數據庫、信息共享授權提出具體的措施。安全管理原則計算機信息系統的安全管理主要基于三個原則。(I)多人負責原則每項與安全有關的活動都必須有兩人或多人在場。這些人應是系統主管領導指派的，應忠誠可靠，能勝任此項工作。(2)任期有限原則一般地講,任何人最好不要長期擔任與安全有關的職務，以免誤認為這個職務是專有的或永久性的。(3)職責分離原則除非系統主管領導批準,在信息處理系統工作的人員不要打聽、了解或參與職責以外、與安全有關的任何事情。安全管理的實現信息系統的安全管理部門應根據管理原則和該系統處理數據的保密性,制訂相應的管理制度或采用相應規范,其具體工作是:令確定該系統的安全等級。ぐ根據確定的安全等級,確定安全管理的范圍。ぐ制訂相應的機房出入管理制度。對安全等級要求較高的系統,要實行分區控制,限制工作人員出入與己無關的區域。ぐ制訂嚴格的操作規程。操作規程要根據職責分離和多人負責的原則,各負其責,不能超越自己的管轄范圍。ぐ制訂完備的系統維護制度。維護時,要首先經主管部門批準，并有安全管理人員在場，故障原因、維護內容和維護前后的情況要詳細記錄。ぐ制訂應急措施。要制訂在緊急情況下，系統如何盡快恢復的應急措施，使損失減至最小。令建立人員雇用和解聘制度,對工作調動和離職人員要及時調整相應的授權。安全系統需要由人來計劃和管理，任何系統安全設施也不能完全由計算機系統獨立承擔系統安全保障的任務。一方面,各級領導一定要高度重視并積極支持有關系統安全方面的各項措施。其次，對各級用戶的培訓也十分重要，只有當用戶對網絡安全性有了深入了解后，才能降低網絡信息系統的安全風險。總之，制定系統安全策略、安裝網絡安全系統只是網絡系統安全性實施的第一步,只有當各級組織機構均嚴格執行網絡安全的各項規定，認真維護各自負責的分系統的網絡安全性,才能保證整個系統網絡的整體安全性。網絡安全設計由于網絡的互連是在鏈路層、網絡層、傳輸層、應用層不同協議層來實現，各個層的功能特性和安全特性也不同，因而其網絡安全措施也不相同。物理層安全涉及傳輸介質的安全特性，抗干擾、防竊聽將是物理層安全措施制定的重點。在鏈路層，通過“橋”這ー互連設備的監視和控制作用，使我們可以建立一定程度的虛擬局域網，對物理和邏輯網段進行有效的分割和隔離,消除不同安全級別邏輯網段間的竊聽可能。在網絡層，可通過對不同子網的定義和對路由器的路由表控制來限制子網間的接點通信，通過對主機路由表的控制來控制與之直接通信的節點。同時,利用網關的安全控制能力，可以限制節點的通信、應用服務，并加強外部用戶識別和驗證能力。對網絡進行級別劃分與控制，網絡級別的劃分大致包括Internet/企業網、骨干網/區域網、區域網/部門網、部門網/工作組網等,其中Internet/企業網的接口要采用專用防火墻,骨干網/區域網、區域網/部門網的接口利用路由器的可控路由表、安全郵件服務器、安全撥號驗證服務器和安全級別較高的操作系統。增強網絡互連的分割和過濾控制,也可以大大提高安全保密性。隨著企業個人與個人之間、各部門之間、企業和企業之間、國際間信息交流的日益頻繁，信息傳輸的安全性成為ー個重要的問題。盡管個人、部門和整個企業都已認識到信息的寶貴價值和私有性,但商場上的無情競爭已迫使機構打破原有的界限，在企業內部或企業之間共享更多的信息,只有這樣才能縮短處理問題的時間，并在相互協作的環境中孕育出更多的革新和創造。然而，在群件系統中共享的信息卻必須保證其安全性，以防止有意無意的破壞。物理實體的安全管理現已有大量標準和規范，如GB9361-88《計算機場地安全要求》、GFB2887-88《計算機場地技術條件》等。2.4.安全產品選型原則在進行XX證券股份有限有限公司網絡安全方案的產品選型時，要求安全產品至少應包含以下功能:令訪問控制:通過對特定網段、服務建立的訪問控制體系，將絕大多數攻擊阻止在到達攻擊目標之前。令檢査安全漏洞：通過對安全漏洞的周期檢查,即使攻擊可到達攻擊目標,也可使絕大多數攻擊無效。令攻擊監控：通過對特定網段、服務建立的攻擊監控體系，可實時檢測出絕大多數攻擊,并采取相應的行動（如斷開網絡連接、記錄攻擊過程、跟蹤攻擊源等）。令加密通訊:主動的加密通訊,可使攻擊者不能了解、修改敏感信息。令認證:良好的認證體系可防止攻擊者假冒合法用戶。令備份和恢復:良好的備份和恢復機制，可在攻擊造成損失時，盡快地恢復數據和系統服務。令多層防御：攻擊者在突破第一道防線后，延緩或阻斷其到達攻擊目標。ぐ隱藏內部信息：使攻擊者不能了解系統內的基本情況。ぐ設立安全監控中心:為信息系統提供安全體系管理、監控，保護及緊急情況服務。3.網絡安全方案設計根據第二章對XX證券股份有限有限公司的安全需求分析,結合安全設計的策略，我們提出網絡安全設計方案。本章首先描述安全網絡的整體結構，然后就各網段采用的防火墻、防病毒、防黑客，以及安全評估等技術措施作詳細的描述。各種安全措施之間的相互協作,構成主動的網絡安全防御體系。為確保系統的安全性保持穩定,我們介紹了各種安全產品的平臺要求,以及升級的保證方式和途徑。根據XX證券股份有限有限公司的網絡安全需求,目前網絡安全方案集中考慮外部網絡的安全性;對于整體網絡的安全性，我們還分析了網絡安全方案的可擴充性。在本章結尾,我們總結了本方案的特點。?整體結構安全建議描述由于XX證券股份有限有限公司網的安全體系包括內外兩部分，而目前著重于外部的安全建設，所以目前的安全假設為:將公司內部網絡看作信任網絡,暫不考慮安全問題:將外部網視為不信任網絡，需要采取安全措施。其總體結構如下:.內部網絡系統:包括:令LANI,LAN2…LAN8等內部網段;ぐ內部服務子網ー即［初步設想］的VPN的部分。2),外部網絡系統:包括：ぐ對Internet服務網段。ぐ連接xx證券股份有限各營業點的網段。令Web網站。在“初步設想”中，在本方案中，考慮到服務的交集會給防火墻安全策略的制定帶來不便,形成潛在的安全隱患，并且也不利于整個網絡安全的管理，因此我們將vpn網關相應服務器分別部署在對應的網段中，而將對內服務的服務器放到內部網絡中的內部服務子網中。同時，我們在系統中增加了一個網絡安全管理平臺網段。整個網絡安全結構如下圖:

DIALnrDIALnrat對Internet服務網段如上圖示,內部用戶訪問Internet,通過撥號上網的方式,通過單個客戶機分別撥號上網首先會對整個內部安全造成很大影響，同時造成資金的浪費。因為當撥號連接建立以后,會動態的分配到ー個合法的IP地址，那樣如果有非法用戶對該地址進行嘗試的攻擊，很可能通過該機進入整個內部系統。建議:a.在撥號上網的主機上配置物理隔離卡，當用戶上網時，物理隔離卡可以把硬盤分為上網部分與安全部分,這兩部分將相互隔離,這樣就保證了有非法用戶通過該機進入內部系統。b,使用防火墻同時申請ー根專線上網，這樣既可以防止撥號上網帶來的危險性又可以提高上網速度。在接口處防火墻的配置方法:訪問的安全控制:.DMZ1對外提供服務DMZ!中的服務器主要用于對Internet用戶提供服務，包括DNS、EmaikFTP、HTTP等,其服務全部由防火墻提供代理，其工作流程如下:aa:由外部Client端向Firewall1提出請求(HTTP,FTP等)；b:通過Firewalll過濾、識別、身份驗證,確定為合法請求,并確定該請求的目標服務器之后由Firewalll向DMZ1里的服務器提出請求;DMZ1里的目標服務器接受Firewalll的請求并對其作出響應;Firewall1再將請求傳遞給外部的Client。.內部網絡的用戶對Internet的訪問對于內部用戶對Internet的請求包括Email和HTTP、FTP等。令對Email類,內部網采用HPOpenMail,而Internet采用SMTP協議,建議設立一臺電子郵件轉發服務器(MX),部署在DMZ1里,對內部HPOpenMail的郵件和Internet的SMTP郵件進行轉發。令對HTTP、FTP等其他類型的服務由防火墻作為代理，Firewalll在中間也起到過濾、識別、身份驗證的作用。3),地址轉換(NAT)由于目前xx證券股份有限有限公司采用A類地址,而外部采用Internet合法地址,GauntletFirewalll提供內、外地址的翻譯，即可隱藏內部IP.4).FireWalll未來的GVPN功能將來外匯管理局的內部Intranet中的Gauntlet防火墻可形成GVPN,采用Gauntlet的GVPN技術對內部的外出員工可建立一條可信賴的連接，直接訪問內部網絡的資源。c.使用Proxy的方式，讓所有的用戶通過盡量少的電話線上網,在該proxy服務器上安裝物理隔離卡,這樣可以防止不必要的危險性，又可以降低費用,同時可以對所有用戶訪問的時間流量進行統計。3.1.2,連接各營業點的網段連接各營業點的網段是連接公司總部與各分公司的接口，各營業點通過X.25/PSTN連接到總公司的3com主干路由器上。交易所與營業點的相互訪問是通過DDN,由于系統本身是ー個很安全的系統,我們這里就不對此作一些安全產品的配置,只是對整個系統及應用程序的安全進行安全性的掃描,如果存在漏洞則對系統進行升級和優化。因為交易所與營業點的數據傳輸經常會突然出現流量增大,影響正常的交易,所以我們認為在交易所的路由器到內部網之間添加一個百兆的集線器或交換機在此上的端口處安裝NAI公司的SnifferforLAN,對進出的包進行解碼分析,區分出包的類型,對非正常交易的包進行分析并且通過一些措施把這些非正常交易的包給過濾掉或通過流量分配軟件進行有效的劃分。具體配置:把與交易無關的包給過濾掉。可以通過在路由器后面添加防火墻的方式，可以把已經通過Sniffer檢查出來的與交易無關的包的源地址給屏蔽掉，不讓包進行內部系統。通過流量分配軟件在各個營業點對出去的包進行手工的流量分配。如果是與交易有關的包讓它占有較大的帶寬，如果與交易無關的包則讓它占較小的帶寬,這樣可以保證主干業務的暢通運行。可以在網段上安裝入侵檢測軟件，它可以對進來的包進行解碼并且分析包的內容,是什么類型的服務，使用的端口號,源地址及目的地址等。這樣就可以分析出哪些連接是沒有必要的,然后再把該連接通過防火墻給屏蔽掉。內部系統及部門之間連接安全分析和建議據統計在互聯網上80%的泄密來自于內部網絡,在設計網絡安全結構時，如何防止內部人員的攻擊也是一個很重要的方面，對于某些關鍵部門,如財務部門,可能允許上傳數據、提供特定數據供指定部門的指定人員查閱。而在目前交易所公司的網絡結構上并未對上述關鍵部門給予應有的特別保護,任何內部工作人員都可以進入關鍵部門的計算機上，獲取機器上的有用信息。在公司內部如果由對公司不滿的員エ,它可以在公司的網絡段中安裝ー些偵聽軟件,收集進入重要部門的信息,如:用戶的密碼,重要的文件,重要的信件等等。這些偵聽軟件在網上面到處可以免費獲得，所以如果我們沒有很好的防范措施，重要的系統很容易遭到破壞。a.在幾個重要部門之間相互通信的接口處添加VPN網關。配置方法:在幾個重要部門的交換機上安裝一個硬件的的VPN設備，所有需要到另ー個部門的信息都會通過VPN網關,進行加密,根據IPSEC方式,在IP包頭添加另ー個網段的VPN網關的IP地址。這樣所有的包在到達另ー個部門前先需要經過該部門的VPN網關的解密。其他特點：VPN網關會可以在這幾個部門之間相互建立不同的信任關系,建立不同的加密算法;作用:防止了不滿員エ的偵聽，保證了信息傳輸過程中的安全性，提髙各個重要部門的安全性等等。b.在重要的部門的網段上添加入侵檢測軟件。配置方法:把入侵檢測軟件安裝在某臺空余的電腦上，并且把它與Hub相連。作用:它能夠實時的捕獲通過Hub的包,并且對包進行分析,通過離線分析模塊與黑客特征庫進行比較看是否有黑客進行攻擊，如果有則會報警，并且會自動對進來的非法包進行阻斷。c.在特別重要的服務器及主機上,添加基于主機的入侵檢測軟件。配置方法：如果需要保護哪臺主機，就在它上面安裝入侵檢測軟件。作用：對重要的文件進行實時的跟蹤，對用戶的權限、密碼、注冊表文件或/etc目錄下的文件、數據庫內的數據進行保護。d.使用防病毒系統，配置方法：在文件服務器，群間服務器,網關服務器,客戶機上分別安裝防病毒軟件。作用:防止病毒功過客戶端,文件服務器，全殲服務器,網關服務器進行傳播,有效的防止了這種非技術型的系統破壞。內部用戶通過撥號服務器與遠程用戶進行通信安全優化a..在撥號服務器的網段中再添加一臺身份認證服務器,對通過撥號上來的用戶進行兩次身份認證,并且如果有能力,可以讓每ー個撥號用戶配置ー個IC卡,該卡上的號碼會根據身份認證服務器進行更新，用戶必須輸入更新后的密碼才能進入系統。b.經常性更換用戶名及口令,同時限定登入失敗次數,保持較高的保密性及安全性。c.對登入上來的用戶及登入失敗的用戶都進行審計，看是否有非法用戶進行嘗試性攻擊。d.添加VPN網關，同時在用戶端添加加密PC卡。作用:保證傳輸過程中用戶密碼的保密性，傳輸信息的保密性;把合法地址轉化成了內部地址，大大的提高了內部網絡的安全性;對遠程用戶的訪問進行限制，防止非法用戶的惡意攻擊。外部用戶訪問公司網站安全分析和建議當外部用戶訪問公司托管的網站服務器時，因為現在在網站服務器上沒有做任何的防范所以和容易被黑客破壞,當發生頁面被換成非健康內容或整個系統被洗的情況,將造成不良的后果。建議:在網站服務器前面安裝防火墻。作用:把所有不必要的服務及端口全部關閉,防止外部用戶通過其他的掃描軟件或黑可程序進行攻擊,同時安裝防火墻后有詳細的日志文件可以清楚的知道對主機的訪問情況。同時對服務器進行地址隱藏，使得黑客找不到服務器的內部真實地址,這樣黑客就攻不破。在與網站服務器同一個hub上安裝入侵檢測軟件或審計系統。作用:一旦發現有什么高手黑客闖入,就可以檢測出來，等檢測出來后它會采取有效的報警措施:BP機呼叫、發MAIL、拉警報、警報列表等。在網站服務器上添加網站實時監控及恢復軟件。作用：對網站的主頁及其它需要保護的頁面，進行實時的監控，一旦發現頁面配修改,則會檢查該修改是合法的還是非法的如果為非法的修改則會從備份端把頁面重新恢復回去。同時還有經過加密的客戶端上傳軟件，規定只有從該客戶端傳上去的文件オ認為是合法的，這樣大大的加強了安全性。對編寫程序的方式進行調整,把兩層結構調整成三層結構，在網頁與數據庫之間添加中間層。防止黑客通過分析頁面代碼獲得數據庫的管理口令。需要把NT的ServicePack補丁程序打到SP6a,這樣可以防止用戶通過如：http:〃%81或,cn::DATA的萬式對網站進行攻擊。如果網站的規模增加,有多臺WebServer,則需要添加第四層交換機,對流量進行智能的、動態的負載平衡。安裝此設備時這樣的好處：可以提高網絡的訪問速度;可以增加冗余性，萬一某臺WebServer發生故障，至少還有另外一臺WebServer在正常工作，這樣可以防止非正常網絡不能夠訪問的現象。當由兩臺計算機在作鏡像后,我們在增加Alton流量分配器,它的作用為:可以動態的對流量進行合理化分配,提高網絡訪問速度；能夠把網絡的地址全部轉換成內部地址,讓用戶無法知道地址為多少，這樣可以大大的提高網絡服務器的安全性;能夠配置包過濾策略，對進來的訪問進行控制。所以我們會把WebServer的外部地址進行隱含,改成內部地址。如:改成!,29改成。本方案中防火墻提供的安全措施Gauntlet防火墻是基于應用層網關的防火墻,其特點是:令沒有內外網絡的直接連接,比包過濾防火墻更高的安全性。令提供對協議的過濾,如可以禁止FTP連接的Put命令。ぐ信息隱藏,應用網關為外部連接提供代理。令健壯的認證和日志。防火墻能夠記錄所有的網絡連接和連接企圖，日志能夠顯示出源地址、目的地址、時間和所用的協議,而且防火墻能夠預先設定一個緊急情況的觸發條件,條件發生時,防火墻會發出ー個警報給安全維護人員或網絡管理系統。ぐ節省費用，第三方的認證設備（軟件或硬件）只需安裝在應用網關上。令簡化和靈活的過濾規則，路由器只需簡單地通過到達應用網關的包并拒絕其余的包通過。令各防火墻可相互配合,具有主動防御的能力。ぐ多個防火墻之間可形成GVPN,為xx證券股份有限有限公司將來的內部Intranet建立可信賴的連接。可以看出,Gauntlet防火墻的安全特性遠比其他類型的防火墻高。以上介紹的三個防火墻所在的網段都有各自獨立的安全策略,但又相互學習，協同工作。防火墻系統的局限性防火墻能有效地防止外來的入侵,雖然能作到:ぐ控制進出網絡的信息流向和信息包ぐ提供使用和流量的日志和審計;ぐ隱藏內部IP地址及網絡結構的細節;提供VPN功能;但是所直的防火墻都不能作到:令停止所有外部入侵;令完全不能阻止內部襲擊;令防病毒;ぐ終止有經驗的黑客;提供完全的網絡安全性。因此,僅僅在Internet入口處部署防火墻,實際上是ー個不完整的安全解決方案,從總體上系統還應該具備防病毒和防黑客的功能。防病毒的整體解決方案病毒防護的必要性和發展趨勢眾所周知,計算機病毒對生產的形響可以稱得上是災難性的。盡管人類已和計算機病毒斗爭了數年，并已取得了可喜的成績，但是隨著INTERNET的發展，計算機病毒的種類急聚增多,擴散速度大大加快，對企業及個人用戶的破壞性加大。與生物病毒類似，計算機病毒也具有災難性的形響。就其本質而言,病毒只是ー種具有自我復制能力的程序。目前,許多計算機病毒都具有特定的功能，而遠非僅僅是自我復制。其功能（常稱為PAYLOAD）可能無害，如，只是在計算機的監視器中顯示消息、，也可能有害，如毀壞系統硬盤中所存儲的數據，一旦被觸發器（比如:特定的組合鍵擊、特定的日期或預定義操作數）觸發，就會引發病毒。隨著計算機技術的不斷發展,病毒也變得越來越復雜和高級。最近幾年，病毒的花樣層出不窮，如宏病毒和變形病毒。變形病毒每次感染新文件時都會發生變化，因此顯得神秘莫測。只要反病毒軟件搜索到病毒的“標記”（病毒所特有的代碼段）,那么，反病毒軟件也能檢測到每次感染文件就更改其標記的變形病毒。宏病毒主要感染文檔和文檔模板。幾年前,文檔文件都不含可執行代碼，因此不會受病毒的感染,現在,應用軟件,如MicrosoftWord和MicrosoftExecl,已經嵌入了宏命令,病毒就可以通過宏語言來感染由這些軟件創建的文檔。由于INTERNET的迅快發展，將文件附加在電子郵件中的能力不斷提高以及世界對計算機的依賴程度不斷提高，使得病毒的擴散速度也急驟提高，受感染的范圍越來越廣,據NCSA調查,在1994年中，只有約20%的企業受到過病毒的攻擊，但是在1997年中，就有約99.3%的企業受到病毒的攻擊,也就是說幾乎沒有那一家企業可以逃脫病毒的攻擊。而且感染方式也由主要從軟盤介質感染轉到了從網絡服務器或!NTERNET感染。同樣據NCSA調查，在1996年只有21%的病毒是通過電子郵件,服務器或INTERNET下載來感染的，但到!997年，這一比例就達到52%。xx證券股份有限有限公司的多層病毒防御體系在本系統中采取的安全措施主要考慮分部網絡安全性，但由于病毒的極大危害及特殊性,建議分部也在其內部網絡布署防病毒系統。基于以上這些情況,我們認為XX證券股份有限有限公司可能會受到來自于多方面的病毒威脅,包括來自INTERET網關上、與分部及各地區公司連接的網段上，為了XX證券股份有限有限公司免受病毒所造成的損失，建議采用多層的病毒防衛體系。所謂多層病毒防衛體系,是指在公司的每個臺式機上要安裝臺式機的反病毒軟件，在服務器上要安裝基于服務器的反病毒軟件，在INTERET網關上要安裝基于INTERNET網關的反病毒軟件,因為對公司來說,防止病毒的攻擊是每個員エ的責任,人人都要做到自己使用的臺式機上不受病毒的感染,從而保證整個企業網不受病毒的感染。客戶端的防病毒系統根據統計,50%以上的病毒是通過軟盤進入系統,因此對桌面系統的病毒應嚴加防范。采用VirusScanSecuritySuite產品,來防止桌面機受到病毒的侵害。本產品包含以下功能:令WebScanX:保護系統免受惡意Java和ActiveX小程序的破壞;令PCMedic 保護系統和應用程序免于崩潰:PGPFile;增強機密信息的安全性;，令QuickBackup保護數據免于意外的丟失SecureCast:自動在Internet上發布接收病毒更新信息令NetToolsConsole: 具有集中的管理、分發和警告功能令VirusScan 為全球領先的桌面防病毒產品,可在Dos,Windows3.x,Windows95,WindowsNT,Mac和OS/2等平臺。3.322.服務器的防病毒系お如果服務器被感染,其感染文件將成為病毒感染的源頭,它們會迅速從桌面感染發展到整個網絡的病毒爆發。因此,基于服務器的病毒保護已成為當務之急。所以,建議在總部的外部網與分部連接的網段上和總部的停火區中重要的代理服務器上采用NetShieldSecuritySuite,提供了全面的基于服務器的病毒保護。可防止來自于分部、各地公司的病毒傳染。可以從單獨的直觀控制臺上遠程管理這些服務器平臺。其具體的功能有:令Netshield:全球領先的服務器防病毒解決方案。(Netware,WindowsNT,UNIX)令GroupShield:群件服務器的防病毒方案。(MicrosoftExchange,LotusNotes/Domino)令SecureCast:自動將病毒更新的信息發布到Internet上。令NetToolsConsole:提供集中的管理、分發和警告功能。.Internet的防病毒系統根據!CSA的報告，一般公司的電腦感染病毒的來源有超過20%是通過網絡下載文檔感染，另外有26%是經電子郵件的附加文檔所感染，由于xx證券股份有限有限公司已連入Interent?很有可能受到來自Interent下載文件的病毒侵害及惡意的Java、ActiveX小程序的威脅。因此,此部分將成為防范的重點。建議在總部的外部網與Interent連接的網段上的停火區中MailServer>Webserver、DNSServer、等代理的服務器上安裝InternetSecuritySuite,可防止來自于Internet上的病毒、惡意的Java、Active-x對公司所造成的破壞.InternetSecuritySuite載Interent網關上可以提供全面的病毒防衛系統,封鎖病毒所有可能的進入點。透過管理控制臺可直接在任何服務器或工作站上進行遠程管理。它可以作到:令WebShieldSMTP:可以掃描全部收發的電子郵件;令WebShieldProxy:可以掃描位于代理服務器和網絡協議:HTTP,SMTP,FTP等。令SecureCast:自動將病毒更新的信息發布到Internet上。NetToolsConsole:提供集中的管理、分發和警告功能。根據目前的網絡結構,本產品應安裝在外部網網段1、網段2、的停火區中的服務器上。防黑客的整體解決方案對于XX證券股份有限有限公司的外部網來說，受到黑客的攻擊會來自于與總部連接的兩個外部網段,總部與Interent連接的網段1,總部與分局連接的網段2。(注:來自于內部網絡的威脅我們暫不作考慮，可參看4.9)。為了防止xx證券股份有限有限公司的外部網受到黑客的攻擊,建議采用入侵檢測技術(CybercopIDS)。提供實時的入侵檢測及采取相應的防護手段，如記錄證據、跟蹤或斷開網絡連接等。本IDS系統分成兩個部分。基于主機及網絡的保護在與公司連接的兩個網段的停火區中都分別設置了服務器,提供對外兩個網段的信息服務，其中存儲了大量的重要數據,是黑客攻擊的主要目標。所以,我們建議在對外兩個網段停火區中的每個服務器安裝基于主機及網絡保護的入侵檢測系統(CybercopMonitor)在公司外部網絡關鍵路徑的信息也需要進行實時的監控,來防止外部兩個網段受到攻擊。基于系統的入侵檢測系統(CybercopMonitor)用于監視關鍵路徑上的入侵及記錄可疑事件,發送警報及跟蹤攻擊。CyberCopMonitor實時地檢測攻擊，當攻擊發生時,CyberCopMonitor立即報告并記錄入侵細節。CyberCopMonitor會將這些攻擊細節記錄在內，形成日志文件，并通知管理員,管理員可遠程登錄到被攻擊的機器上,修改配置、路由表等,中斷入侵者的攻擊。成功保護的案例也會被保存，以防備這種形式的攻擊再次發生。根據CybercopMonitor的工作原理和公司把其外部網絡劃分成兩個網段的情況,建議建立ー個Cybercop防護體系對服務器及網絡進行實時的保護。由于公司外部網的網段1、網段2的每ー個網段的合法訪問者都是先由路由器到防火墻過濾，再到停火區(DMZ)內瀏覽、抓取數據，防火墻與中心交換機連接。那么,為了防止非法用戶經過此途徑訪問到停火區中的數據和中心交換機，建議公司在網段1、網段2的每ー網段中訪問者所經過的路徑都設置智能的CybercopMonitor,即防火墻與停火區之間、防火墻與中心交換機之間各設置ー個CybercopMonitor,來監視關鍵路徑上的入侵。CybercopMonitor可實時監視:ぐ可疑的連接、異常進程、非法訪問的闖入等令檢查系統日志ぐ通過監視來自網絡的攻擊,CyberCopMonitor能夠實時地檢測出攻擊,并對非法入侵行為作出切斷服務、重啟服務器進程、發出警報、記錄入侵過程等動作。令提供對典型應用的監視如Web服務器應用因此,使用CyberCopMonitor,在提供關鍵服務的服務器上,安裝實時的安全監控系統,可以保證公司服務器系統的可靠性,使內部網安全系統更加強鍵。通過設置基于網絡的入侵檢測系統,xx證券股份有限有限公司能夠實時監視經過本網段的任何活動，監視粒度更細致。使外部網絡的防護能力更敏銳。主動的防御體系盡管以上各產品都是獨立進行描述的,實際上,在本系統中它們之間是相互協同工作的，并且能夠智能地提高防御能力，構成了主動的防御體系。防火墻與防火墻Gauntlet防火墻有層次功能,但是在公司外部所劃分的兩個網段中的防火墻處在同一級別，他們在常規的代理服務上是獨立工作的，但是對新的攻擊模式的判別上可以互相交流學習,從而可以提高其防御能力。防火墻與入侵檢測系統當只有防火墻,而無CybercopIDS時，防火墻是被動的防御。一般，黑客對防火墻進攻的結果只有兩種,最好的結果是被防火墻阻擋住，最壞的結果是穿透防火墻進入到企業內部,為所欲為地進行任何破壞活動。但在本方案中，防火墻與CybercopIDS協同工作。舉例來說,一旦網段1的Firewall1沒有擋住狡猾的入侵者,使入侵者通過FW1進入到DMZ1。我們可通過安裝在網段1內的基于網絡的入侵檢測產品CybercopMonitor檢測至リ，并立即通知網段1的Firewall1:有哪些特征的入侵數據包通過了防火墻，FW1會自動記錄下這些特征，儲備起來，防止以后這種入侵。同時,FW!會通知網段2和網段3中的防火墻記錄入侵特征,共同提高防御能力。

FirewallIFirewall,,CyberCopdetectsattackFirewallIFirewall,?CyberCopalertsGauntlet?Gauntletlocksoutattacker,GauntletalertsotherfirewallsFirewallAttackerCybercopMonitor還具有主動出擊的能力,采用"蜜罐"技術捕捉攻擊行為。當入侵者通過FW1,又躲過CybercopMonitor的檢測,進入DMZ1,蜜罐技術會虛擬ー個重要數據即’‘蜜罐”來吸引入侵者。當入侵者被“蜜罐”誘惑,試圖在其中發現重要信息時,CyberCopMonitor可以將此入侵者的攻擊模式進行詳細分析,并作記錄。這樣CyberCopMonitor就自動積累了ー種新的攻擊模式及解決方案。FirewallAttacker同時CyberCopMonitor還會通知FW1:哪些特征的入侵數據包通過了FWI,FW1會通知網段2和網段3中的防火墻記錄入侵特征,共同提高防御能力。Firewall,AttackerscansnetworkFirewallAttackerFirewall,AttackerscansnetworkFirewallAttacker?*'Honeypot"decoyisdetectedandattacked,Keepsattacker**ontheline"whilethecallistracedFirewzill,Developsevidenceofintent防火墻與防病毒安全體系中,防御和攻擊都是ー個“道高一尺、魔高ー丈”的過程,因此要求安全產品具備學習和升級的能力。NAI的防病毒產品就具備這樣的功能。例如,當ー個文件進入網段1中的防火墻FW1,MacFeeTVD利用啟發式技術發現它帶有一種新病毒，但沒有其消除的程序，此時防火墻FW1會把這種病毒抽取出來,傳給NAI總部。這些，都是防火墻自動完成的。NAI會把這種新病毒的血清傳回給防火墻FW1,防火墻根據針對這種新病毒的血清樣本把病毒殺死，并對下面的臺式機、服務器進行升級。這就是本系統中的防火墻與防病毒相互協作的具體模式。,Infecteddocumententersthenetwork,Heuristictechnologysuspectsnewvirus,Virusextracted,encrypted,senttoNAI,Authenticatedcurereturnedtocustomer,Updatedistributedtoaffectedsystems安全的評估方案XX證券股份有限有限公司的網絡安全系統中采用了防火墻、防病毒、入侵檢測產品作為外部網絡的安全措施。有以下問題需要進行解決:令如何檢測安全產品的配置達到了安全的要求。其他系統（操作系統、路由器等）的配置是否真正實現了安全。以上問題實質上就是如何對整體系統的安全性進行評估。建議XX證券股份有限有限公司采用安全掃描技術可對公司的外部網絡進行全方面的測試。安全掃描CyberCopScanner是ー套用于網絡安全掃描的軟件工具,由富有實際經驗的安全專家開發和維護。建議在內部設置一臺服務器安裝CyberCopScanner。通過安全掃描技術。可以掃描到ぐ外部網絡各停火區內服務器內的安全漏洞。如password文件,目錄和文件權限,共享文件系統,敏感服務,軟件,系統漏洞等,并給出相應的解決辦法建議。ぐ路由器、防火墻等設備的安全漏洞,并可設定模擬攻擊，以測試系統的防御能力。令掃描可定期進行（每星期或每月），或不定期進行（敏感時期）。安全產品的平臺建議此章節中的平臺建議包括防病毒產品、入侵檢測與風險評估產品、防火墻產品等產品。防病毒產品桌面保護套件:VirusScanSecuritySuite（VSS）其中的Virusscan支持DOS、Windows3.x\95\98\NT'、Macintosh,OS/2.VirusscanX可以和目前流行的瀏覽器Netscape3.X、4.X；IE3.X,4.X兼容。服務器保護套件:NetshieldSecuritySuite（NSS）其中Netshield支持NT、Netware,Solaris,AIX、NCR等多種平臺。GroupShield支持MicrosoftExchange>LotusNotes群件服務器網關保護套件：InternetSecuritySuite（ISS）建議在WindowsNT或UNIX防火墻產品一Gauntlet具有友好的管理界面,基于Java或NT環境,可運行在WEB瀏覽器中,支持遠程管理和配置,可從網絡管理平臺上監控和配置,如NTserver和Openview.Gauntlet還支持通過服務器、企業內部網、Internet來存取和管理SNMP。它支持流行的多媒體實時服務,如RealAudio/VideosMicrosoftNetshow,VDOlive、Xing.并支持大多數認證系統,SecurityDynamicsxAssurenetPathways,S/KEY.支持幾十種服務,to終端服務（Telnet、Rlogin）電子郵件（SMTP、POP3）、WWW（HTTP、SHTTP、SSL、Gopher）,遠程運行（RSH）、簡單網絡管理協議（SNMP）、DNS、SybaseSQL,OracleSQL*Net.它可運行在Intel、SUN、HP、IRIX上的UNIX系統,NT支持NT4.0,支持以太和令牌環網。GauntletGVPN是對標準的Gauntlet防火墻的獨立升級，可運行在Intel、SUN、HP平臺上。GauntletGVPN也可以和Gauntlet防火墻（IntelPentium）,BSKIInternet服務器軟件ー起打包訂購。技術規范系統IntelSUNHP處理器PentiumSparcPA-RISC內存32M32M32M磁盤512MB512MB512MB硬盤ISAAdaptecSCSICD-ROMCD-ROMCD-ROM

操作系統BSDIInternetServer3.0Solaris2.5.1HP-X.入侵檢測與風險評估套件CybercopMonitor平臺Cybercop平臺CPU200MHzPentiumPro256Kcache200MHzPentiumPro256KcacheFDD13.5“1.44MB13.5“1.44MBHDD9GBSCSI-IIHDD9GBSCSI-IIHDDMEM64MBRAM64MBRAMVideoSVGASVGANIC1IntelEtherExpressPro/1OOMPCI(Ethernet)IMadgeSmart16/4,ISA(forTokenRing)1SMCEtherPowerlO/lOOdualport,PCI(Ethernet)2MadgeSmart16/4,ISA(forTokenRing)OSSolaris2.5.1Solaris2.5.1CD-ROM**所支持的WEB服務器有:NetcapeEnterpriseServer2.0NetcapeFasttraceServer2.0IIS2.0v.4and3.0CERN1.3NCSA1.0Apache1.0WebsitePro1.1安全產品升級安全系統中,每天都會有新的病毒產生,新的入侵者采用新的方法攻擊網絡,因此安全產品需要不斷的學習和升級，來對付各種形式的危害。所以，安全產品的升級也是網絡安全的ー個重要組成部分。防病毒系統的升級由于防病毒的工作是ー個長期的工作,世界上每十分鐘就有新的病毒出現,因此,必須有效的升級服務。XX證券股份有限有限公司能得到NAI的升級軟件，并提供終身的升級服務。NAI在全球五大洲擁有由近100名病毒研究專家組成的反病毒緊急響應小組，它們將對公司提供每周七天，每天24小時的技術支持,在平時，NAI的Web站點上將平均每小時更新一次病毒特征文件,供個人用戶下載或自動推向企業用戶:當在病毒發作的敏感時期內，每十分鐘就會更新一次病毒特征文件,以使用戶在最短的時間內殺滅新發現的病毒。公司授權成立NAI在華東技術服務中心，可以提供對xx證券股份有限有限公司的升級服務。防病毒的特征文件的更新方式為:NetToo1sConsole入侵檢測系統和防火墻產品的升級這兩類產品的升級為一年內免費升級,并享受長期的升級支持。本方案的擴充本方案根據XX證券股份有限有限公司的安全需求,著重提出了對公司外部網絡安全方案。但從整體的安全角度來看，在以下三個方面還應考慮，可以作為遠期目標考慮。加密和身份認證公司與外部連接的部分可分為兩個外部網段，總部與Interent連接的網段1,總部與分部連接的網段2。這些網段中的用戶訪問應有身份驗證系統來驗證這些訪問者是不是xx證券股份有限有限公司真正授權進入的用戶，并對訪問的去全過程進行加密。這樣才能保證外部網絡的安全。內部網絡安全有統計表明,對網絡的攻擊有80%來自內。所以,我們建議在內部網絡也設置入侵檢測、風險評估、防病毒系統。作到內外防治相結合的全面防范體制。xx證券股份有限有限公司系統的安全目前總部將各分部看成是ー個不信任的網絡,但對整體上考慮安全性。建議從以下兩個角度考慮: