證券公司網絡安全處理方案序言Internet發展給政府機構、企機關、電信系統、金融系統、銀行系統等帶來了革命性改革和改變。互聯網技術迅猛發展使各行業經過利用Internet來提升辦事效率、市場反應速度，改變經營模式等，方便在市場經濟大潮中更具競爭力。經過使用Internet技術，任何一個單位或部門數據資料傳輸和存取全部變得方便、快捷，也使金融、貿易往來更方便、愈加快捷、更頻繁。但同時也面對Internet開放帶來數據安全新挑戰和新危險：用戶、銷售商、移動用戶、異地職員和內部人員安全訪問；保護國家機關、企事業機密信息不受黑客和商業間諜入侵；預防單位內部人員有意或無意使機密外泄。眾所周知，作為全球適用范圍最大信息網，Internet本身協議開放性極大方便了多種計算機入網、拓寬了共享資源。然而，因為在早期網絡協議設計上對安全問題忽略，和在使用和管理無政府狀態，逐步使Internet本身安全受到嚴重威脅，和她相關安全事故屢有發生。這就要求我們對于Internet互連所帶來安全性問題給予足夠重視。伴隨網絡普及，安全日益成為影響網絡效能瓶頸，而證券行業網絡安全存在漏洞情況也是眾所周知，多位信息安全領域教授也對證券行業網絡安全問題提出了尖銳批評，證券行業網絡安全現實狀況已不能適應證券業快速發展情況。近幾年,不停有證券行業網絡被"黑客"入侵,造成重大經濟損失和惡劣影響消息見諸報段，證券行業網絡安全已經成為擺在全部證券機構和人員所要考慮事情之一。然而，事物發展總是利弊共生。當計算機網絡技術日益普及和提升，為社會生活各方面帶來極大便利時，不可避免地也帶來了部分負面影響，較為突出是計算機信息網絡安全保密問題，假如處理不好，國家安全和利益將受到損害，也勢必危及信息化事業健康，因為部分居心叵測使用者受到部分不可告人利益驅動，這部分人不可避免地帶來了包含網絡安全應用和服務種種安全問題。發生影響尤其突出、為廣大互聯網使用者所了解安全紕漏問題中，在國外、有美國雅虎()、亞馬遜在線（）等八家國際著名網站受到了黑客攻擊，在中國包含大名鼎鼎新浪網在內多家網站也被黑客攻擊，就拿這次五一“中美黑客”大戰來說吧，中國有1200多家網如石家莊市人民政府新聞網、四川旅游信息網、北京證券、中國科學院理化技術研究所、中國科學院心理研究所等部分網站，這證實中國現在網絡安全防范越來越嚴峻。網絡安全有兩方面含義，一是指安全性，即網絡針對攻擊對象而有意設置安全系統，如防火墻等。其次，是指網絡因為本身缺點出現漏洞所產生安全問題，后者威脅其實更大，這種隱患通常存在于軟件操作系統和應用系統“BUG”(造成計算機犯錯“臭蟲”)中隨機產生。部分事實證實，其危害遠比黑客攻擊來得大，比如因為軟件故障產生停電、墜機等事件發生等。而最好預防機制就是立即修補漏洞，提升管理水平。這么攻擊事件使得被攻擊目標不得不停止了它們長久向國際用戶提供服務，給對應網站造成了極不好影響。受到這么互聯網上出現風浪影響，業界普遍認為每個企業在考慮內部共享資源和向公眾提供服務時，應該依據本身業務特點和需求，本著切合實際、保護資源和著眼未來標準，建立一套滿足需求而且安全網絡結構體系。1、網絡安全風險分析1.1、風險分析概述通常講計算機網絡系統所面臨威脅大致可分為兩種：一是對網絡中信息威脅；二是對網絡中設備威脅。人為惡意攻擊網絡系統資源，這是該系統所面臨最大威脅，非法用戶攻擊和計算機犯罪就屬于這一類。這類攻擊又能夠分為以下兩種：一個是被動攻擊，它是在不影響網絡正常工作情況下，進行截獲、竊取、破譯以取得關鍵機密信息、網絡拓撲結構信息等；另一個是主動攻擊，它以多種方法有選擇地破壞信息有效性和完整性，和非法訪問網絡設備和主機系統甚至深入控制網絡和主機。這兩種攻擊均可對證券企業網絡系統造成極大危害，危害網絡正常運行，并造成敏感數據泄漏。被動攻擊通常在信息系統外部進行，即來自從公共網或搭線提議攻擊，它們對信息網絡本身通常不造成損壞，系統仍可正常運行，但有用信息可能被偷竊并被用于非法目標。被動攻擊關鍵包含信息竊取、密碼分析和信息流量和流向分析：信息竊取：內外攻擊者從傳輸信道、存放介質等處竊取信息。如無線傳輸信號偵收、搭線竊聽、竊收數據文件等。密碼分析：對截獲已加密信息進行密碼破譯，從中獲取有價值信息。信息流量和流向分析：對網絡中信息流量和信息流向進行分析，然后得出有價值情報。主動攻擊直接進入信息系統內部，對證券企業網絡系統來說，安全系統最大隱患來自中國外機構組織、人員，和其它不法份子攻擊，這些攻擊可能造成無法預料損失。同時，來自內部人員有意或無意攻擊，也是必需考慮和預防原因。可能主動攻擊手段關鍵包含：入侵：經過系統或網絡漏洞、搭線、遠程訪問、盜取口令、借系統管理之便等方法進入系統，非法查閱文件資料、更改數據、拷貝數據、甚至破壞系統、使系統癱瘓等。如系統管理員、內部操作員全部較輕易進入系統進行攻擊，熟悉計算機系統“黑客”也能輕易進入網絡提議攻擊。假冒：假冒正當用戶身份、實施和正當用戶一樣操作。篡改：篡改機要數據、文件、資料（增加、刪除、修改）。插入：在正常數據流中插入偽造信息或數據。重放：錄制正當、正常交互信息，然后在合適時機重放。阻塞：使用投放巨量垃圾電子郵件、無休止訪問資源或數據庫等手段造成網絡阻塞，影響正常運行。抵賴：實施某種行為后進行抵賴,如否認發送過或接收過文件。病毒：向系統注入病毒（能夠進行自我復制程序），運行后可能損壞文件、使系統癱瘓，造成多種難以預料后果。2、證券企業網絡風險分析2.1、安全風險證券網絡系統安全風險關鍵來自網絡設施物理特征安全、網絡系統平臺安全、網上交易安全、數據存放安全。2.1.1物理安全風險因為水災、火災、雷擊、粉塵、靜電等突發性事故和環境污染造成網絡設施工作停滯人為引發設備被盜、被毀或外界電磁干擾使通信線路中止電子、電力設備本身固有缺點和弱點及所處環境輕易在人員誤操作或外界誘發下發生故障2.1.2、系統安全風險系統風險在三個方面：網絡系統、操作系統和應用系統。網絡系統在設計實施不夠完善，比如缺乏正確路由、網絡容量、帶寬估量不足、對證券系統局域網沒做劃分隔離和關鍵網絡設備沒有冗余設計，一旦發生故障，將直接影響網絡系統安全。網絡系統缺乏安全可靠網絡通信協議和網絡安全設備，使網絡黑客輕易利用網絡設計和協議漏洞進行網絡攻擊和信息竊取，比如未經授權非法訪問證券系統內部網絡、對電話網進行監聽、對系統安全漏洞進行探測掃描、遠程登陸交易、行情服務器并對數據進行篡改、對通信線路、服務器實施洪流攻擊造成線路涌塞和系統癱瘓等。網絡操作系統，不管是windows\unix\netware多種商用操作系統，其國外開發商全部留有后門（backdoor），現在每種操作系統全部發覺有安全漏洞，一旦被人發覺利用將對整個證券網絡系統造成不可估量損失。OA應用系統風險關鍵是包含不一樣地域、不一樣部門資源有限共享時被內部人員不安全使用造成口令失竊、文電丟失泄密，和在和外界進行郵件往來時帶來病毒和黑客進入隱患。針對業務系統（包含業務管理系統、業務服務系統）威脅關鍵來自于內、外界對業務系統非授權訪問、系統管理權限喪失（因為用戶名、口令、IC卡等身份標志泄漏）、使用不妥或外界攻擊引發系統瓦解、網絡病毒傳輸或其它原因造成系統損壞、系統開發遺留安全漏洞等。2.1.3、網上交易安全風險因特網是全球性公共網絡，并不由任何一個機構所控制。數據在因特網上傳輸路徑是不完全確定。因特網本身并不是一個完全安全可靠網絡環境。在因特網上可能有些人采取相同名稱和外觀仿冒證券網站和服務器，用于騙取投資者數據資料。假如用于證實投資者身份數字證書和口令被竊取，她人有可能仿冒投資者身份進行交易委托和查詢。在網上傳輸指令、數據有可能被一些個人、團體或機構經過某種渠道截取、篡改、重發。但她們并不一定能夠了解該數據真實內容。因為網絡交易非接觸性，交易雙方可能對交易結果進行抵賴。在網上數據傳輸可能因通信繁忙出現延遲，或因其它原因出現中止、停頓或數據錯誤，從而使得網上交易出現延遲、停頓或中止。網上公布證券交易行情信息可能滯后，和真實情況不完全一致。2.1.4、數據安全風險因內、外原因造成數據庫系統管理失控或破壞使用戶個人資料和業務數據遭到偷竊、復制、泄密、丟失，而且無法得到恢復網絡病毒傳輸或其它原因造成存放數據丟失和損壞網站公布信息數據（包含分析、估計性資料）有可能被更改、刪除，給證券企業帶來損失。2.1.5、局域網上安全風險在局域網中，因為管理不妥，能夠造成物理性網絡安全問題。另外，假如不采取合理管理方法，經過局域網和Internet連接后，會給不合乎國家法規網絡行為留下空當，也是網絡不安全首先。因為局域網中采取廣播方法,所以,在某個廣播域中若采取“嗅探”技術就能夠偵聽到全部傳輸信息包,攻擊者對信息包進行分析,那么本廣播域全部信息傳輸全部會暴露在攻擊者面前，也會對網絡造成安全問題。2.1.6、廣域網上安全風險因為廣域網通常采取公網傳輸數據,所以在廣域網上進行傳輸時信息就可能受到多種多樣攻擊,包含偵聽竊密、非法修改、冒名頂替、惡意破壞等。任何一個有條件對通信進行監測人全部能夠進行上述攻擊,這種形式攻擊相對比較輕易成功,且事后極難進行追查。2.1.7、系統平臺內在安全風險因為網絡系統中大量采取不是專門為安全系統設計基礎軟件,這些軟件在開發、安裝時缺省配置往往更多照料方便性而忽略了安全性,如考慮不周很輕易留下安全漏洞,比如無意中將關鍵信息暴露在非授權用戶面前。需要強調指出是,管理方面問題，能夠經過加強管理、提升認識來增加網絡安全意識，而其它方面安全威脅可實施性正伴隨網絡技術和偵聽工具隱蔽化和智能化而變得越來越輕易實現。如經過互聯網能夠獲取大量相關系統內在缺點最新資料;黑客組織變得越來越龐大而嚴密;協議分析工具隨地可見,以前購置一套功效強大協議分析設備需花費十幾萬乃至幾十萬,能掌握這些設備人員極為稀少,而現在實現這項功效越來越輕易，使用人員十分龐大,一旦得到適宜機會,后果不堪設想。2.1.8、來自病毒安全風險每一千臺聯網電腦中感染病毒電腦數量每一千臺聯網電腦中感染病毒電腦數量（Source:ICSA）6005004003002001000600500400300200100019961997199819991996199719981999網絡發展，促進信息大量進行交流，計算機病毒也伴隨信息交流廣泛，危害越來越嚴重,由單機逐步擴展到網絡，成為了威脅網絡安全關鍵一部分。網絡中任何一臺電腦受到了病毒感染，就有可能感染網絡中全部計算機。因為病毒造成數據丟失或損壞，系統癱瘓，一樣和黑客入侵造成損失一樣嚴重.3、提升網絡安全性技術手段處理網絡安全問題是一個系統、多層次問題,任何一個安全技術全部無法處理全部安全問題,只有綜合多個安全技術,才有可能全方面提升整個系統安全性及安全等級。所以針對網絡安全隱患我們應該采取對應方法，提升網絡系統安全性。從網絡安全技術方面大致能夠分為四個層次:應用層、socket層(ssl)、IP層、鏈路層。每種技術全部有其獨到之處。現在多種網絡安全產品大多是基于這四個方面開發研制。不一樣產品從不一樣角度輕關鍵加以防護，我們能夠依據具體要求選擇對應產品。4、安全策略傳統安全策略停留在局部、靜態層面上，僅僅依靠幾項安全技術和手段達成整個系統安全目標，現代安全策略應該緊跟安全行業發展趨勢，在進行安全方案設計、計劃時，遵照以下標準：

（1）體系性：制訂完整安全體系，應包含安全管理體系、安全技術體系和安全保障體系。

（2）系統性：安全模塊和設引入應該表現其系統統一到運行和管理特征，以確保安全策略配置、實施正確性和一致性。應該避免安全設備各自獨立配置和管理工作方法。

（3）層次性安全設計應該按攝影關應用安全需求，在各個層次上采取安全機制來實現所需安全服務，從而達成網絡信息安全目標。

（4）綜合性：網絡信息安全設計包含從完備性（并有一定冗余）、優異性和可擴展性方面技術方案，和依據技術管理、業務管理和行政管理要求對應安全管理方案，形成網絡安全工程設計整體方案，供工程分階段實施和安全系統運行作為指導。

（5）動態性：因為網絡信息系統建設和發展是逐步進行，而安全技術和產品也不停更新和完善，所以，安全設計應該在保護現有資源基礎上，表現最新、最成熟安全技術和產品，以滿足網絡安全系統安全目標。4.1、安全體系結構依據上述安全策略，整體安全體系中網絡安全工程必需實施：安全防護、檢測、響應系統，安全體系結構以下表。另外，依據實際安全需求，提議有選擇實施安全恢復系統。此次處理方案安全體系結構參考中國證券機構營業部信息系統技術管理規范來制訂，見下表：對象層次安全方法分類安全方法和技術操作管理安全安全防護安全操作規范安全操作控制系統安全檢測操作安全檢測操作安全審計安全響應操作安全預警操作安全監控應用系統安全安全防護業務應用安全等級劃分和訪問控制業務系統授權和訪問權限控制業務系統用戶身份認證密鑰和證書管理技術資料管理數據真實性、完整性數字署名病毒防殺安全檢測應用系統安全檢測業務應用安全審計病毒檢驗安全響應安全預警安全監控權限變更密鑰更新證書發放和撤消系統平臺安全防護病毒防殺安全檢測系統安全掃描和檢測安全審計病毒檢驗安全響應安全預警安全監控操作系統補丁網絡平臺安全防護網絡級身份認證和訪問控制（加密和防火墻）安全網絡結構安全網絡管理和配置信息傳輸加密和網絡安全隔離虛網劃分安全檢測網絡安全掃描網絡入侵檢測安全審計安全響應網絡安全監控網絡安全預警物理安全防護防電磁輻射泄漏防雷防火主機硬件保安電源設備管理安全檢測電磁輻射檢測機房保安檢測系統環境建設檢驗管理檢驗安全響應電磁干擾消防報警5、安全防范技術網絡隔離技術訪問控制技術加密技術判別技術數字署名技術入侵監測技術信息審計技術安全評定技術病毒防治技術備份和恢復技術6、網絡整體處理方案6.1、安全體系根據安全策略要求及風險分析結果，證券網絡企業網絡安全方法應依據證券網絡行業特點和符合證監會證券經營機構信息系統安全指標體系，根據網絡安全整體構想來建立，具體安全控制系統由以下幾方面組成：6.2、物理安全確保計算機信息系統多種設備物理安全是整個計算機信息系統安全前提。

物理安全是保護計算機網絡設備、設施和其它媒體免遭地震、水災、火災等環境事故和人為操作失誤或錯誤及多種計算機犯罪行為造成破壞過程。它關鍵包含三個方面：

環境安全：對系統所在環境安全保護，如區域保護和災難保護；（參見國家標準GB50173－93《電子計算機機房設計規范》、國家標準GB2887－89《計算站場地技術條件》、GB9361－88《計算站場地安全要求》）。

設備安全：關鍵包含設備防盜、防毀、防電磁信息輻射泄漏、預防線路截獲、抗電磁干擾及電源保護等；

媒體安全：包含媒體數據安全及媒體本身安全。6.3、系統安全系統安全關鍵關注網絡系統、操作系統和應用系統三個層次。

系統安全采取技術和手段有冗余技術、網絡隔離技術、訪問控制技術、身份判別技術、加密技術、監控審計技術、安全評定技術等。6.3.1、網絡系統網絡系統安全是網絡開放性、無邊界性、自由性造成，安全處理關鍵是把被保護網絡從開放、無邊界、自由環境中獨立出來，使網絡成為可控制、管理內部系統，因為網絡系統是應用系統基礎，網絡安全成為首要問題，處理網絡安全關鍵方法有：網絡冗余處理網絡系統單點故障關鍵方法，對關鍵性網絡線路、設備我們通常采取雙備或多備份方法，網絡運行時雙方對運行狀態相互實時監控并自動調整，當網絡一段或一點發生故障或網絡信息流量突變時能在有效時間內進行切換分配，確保網絡正常運行。

系統隔離分為物理隔離和邏輯隔離，關鍵從網絡安全等級考慮劃分合理網絡安全邊界，使不一樣安全等級網絡或信息媒介不能相互訪問，從而達成安全目標。針對證券網絡系統特點通常把證券交易業務系統網絡和內部辦公網絡進行嚴格物理隔離，存放媒介則依據關鍵程度嚴格區分并只能經過第三方進行交換；對業務網絡或辦公網絡采取VLAN技術和通信協議實施邏輯隔離劃分不一樣應用子網。

訪問控制對于網絡不一樣信任域實現雙向控制或有限訪問標準，使受控子網或主機訪問權限和信息流向能得到有效控制。具體相對網絡對象而言需要處理網絡邊界控制和網絡內部控制，對于網絡資源來說保持有限訪問標準，信息流向則可依據安全需求實現單向或雙向控制。訪問控制最關鍵設備就是防火墻，它通常安置在不一樣安全域出入口處，對進出網絡IP信息包進行過濾并按企業安全政策進行信息流控制，同時實現網絡地址轉換、實時信息審計告警等功效，高級防火墻還可實現基于用戶細粒度訪問控制。證券系統防火墻配置在證券企業交易系統和公網交界處（包含INTERNET、系統內部廣域網、相關業務網絡）和企業關鍵子網出口。

身份判別是對網絡訪問者權限識別，通常經過三種方法驗證主體身份，一是主體了解秘密，如用戶名、口令、密鑰；二是主體攜帶物品，如磁卡、IC卡、動態口令卡和令牌卡等；三是主體特征或能力，如指紋、聲音、視網膜、署名等，在證券網絡系統中，前兩種方法利用較多。加密為了預防網絡上竊聽、泄漏、篡改和破壞，確保信息傳輸安全，對網上數據使用加密手段是最為有效方法。現在加密能夠在三個層次來實現，即鏈路層加密、網絡層加密和應用層加密。鏈路加密側重通信鏈路而不考慮信源和信宿，她對網絡高層主體是透明。網絡層加密采取IPSEC關鍵協議，含有加密、認證雙重功效，是在IP層實現安全標準。經過網絡加密能夠結構企業內部虛擬專網（VPN），使企業在較少投資下得到安全較大回報。

安全監測采取信息偵聽方法尋求未授權網絡訪問嘗試和違規行為，包含網絡系統掃描、預警、阻斷、統計、跟蹤等，從而發覺系統遭受攻擊傷害。網絡掃描監測系統作為對付電腦黑客最有效技術手段，含有實時、自適應、主動識別和響應等特征，廣泛用于各行各業。

網絡掃描針對網絡設備安全漏洞進行檢測和分析，包含網絡通信服務、路由器、防火墻、郵件、WEB服務器等，從而識別能被入侵者利用非法進入網絡漏洞。網絡掃描系統對檢測到漏洞信息形成具體匯報，包含位置、具體描述和提議改善方案，使網管能檢測和管理安全風險信息。6.3.2、操作系統操作系統是管理計算機資源關鍵系統負責信息發送、管理設備存放空間和多種系統資源調度，它作為應用系統軟件平臺含有通用性和易用性，操作系統安全性直接關系到應用系統安全，操作系統安全分為應用安全和安全漏洞掃描。

應用安全面向應用選擇可靠操作系統并按正確操作步驟使用計算機系統，杜絕使用來歷不明軟件，安裝操作系統保護和恢復軟件并作對應備份。

系統掃描基于主機安全評定系統是在嚴格基礎上對系統安全風險等級進行劃分，并提供完整安全漏洞檢驗列表，經過不一樣版本操作系統進行掃描分析，對掃描漏洞自動修補形成匯報，保護應用程序、數據免受盜用、破壞。6.3.3、應用系統證券行業應用系統大致分為辦公系統、業務管理系統、業務服務系統，證券應用系統安全除采取通用安全手段外關鍵依據企業本身經營及管理需求來開發。

辦公系統文件(郵件)安全存放：利用加密手段，配合對應身份判別和密鑰保護機制（IC卡、PCMCIA安全PC卡等），使得存放于本機和網絡服務器上個人和單位關鍵文件處于安全存放狀態，使得她人即使經過多種手段非法獲取相關文件或存放介質（硬盤等），也無法取得相關文件內容。

文件（郵件）安全傳送：對經過網絡（遠程或近程）傳送給她人文件進行安全處理（加密、署名、完整性判別等），使得被傳送文件只有指定收件者經過對應安全判別機制（IC卡、PCMCIAPC卡）才能解密并閱讀，杜絕了文件在傳送或抵達對方存放過程中被截獲、篡改等，關鍵用于信息網中報表傳送、公文下發等。

業務系統關鍵面向業務管理和信息服務安全需求，比如在證券交易管理中采取集中統一監管系統，對業務流實時進行監控、統計、分析、查詢，預防違規操作，化解安全風險；對通用信息服務系統（電子郵件系統、WEB信息服務系統、FTP服務系統等）采取基于應用開發安全軟件，如安全郵件系統、WEB頁面保護；對業務信息能夠配合管理系統采取對信息內容審計稽查，預防外部非法信息侵入和內部敏感信息泄漏。6.4、交易安全現在證券交易方法關鍵分為營業部柜臺交易、電話交易、網上交易，前兩種交易方法安全系數較高，而網上交易關鍵經過公網完成交易全過程，因為公網開放性和復雜性，使網上交易風險大大高于前者。幾乎全部參與網上證券交易證券企業采取是TCP/IP標準協議，應用系統全部是基于C/S或B/S（瀏覽器/服務器）結構，因為交易發生在兩地，雙方缺乏可靠安全機制確保各自利益，針對網上證券交易風險和特點，保障交易安全通常采取授權、身份判別、信息加密、完整性校驗、信息審計、防重發、防抵賴等安全機制，具體實現關鍵依靠基于PKI（公開密鑰密碼設施）體系現代密碼技術及在此基礎上開發應用電子商務認證加密系統（CA）。

交易安全標準現在在電子商務中關鍵安全標準有兩種：應用層SET（安全電子交易）和會話層SSL（安全套層）協議。前者由信用卡機構VISA及MasterCard提出針對電子錢包/商場/認證中心安全標準，關鍵用于銀行等金融機構；后者由NETSCAPE企業提出針對數據機密性/完整性/身份確定/開放性安全協議，實際上已成為WWW應用安全標準，也是證券網上交易標準安全協議。

交易安全基礎體系交易安全基礎在于現代密碼技術，依靠于加密方法和強度。加密分為單密鑰對稱加密體系和雙密鑰非對稱加密體系。二者各有所長，對稱密鑰含有加密效率高，但存在密鑰分發困難、管理不便弱點；非對稱密鑰加密速度慢，但便于密鑰分發管理。在證券交易中通常把二者結合使用，達成高效安全目標。；

交易安全實現完成證券交易需處理安全問題關鍵有交易雙方身份確定、交易指令及數據加密傳輸、數據完整性、預防雙方對交易結果抵賴。具體路徑為建立自己CA認證中心或采取權威CA中心，經過頒發對應數字證書給和交易各方相關身份證實，同時在SSL協議體系下完成交易過程中電子證書驗證、數字署名、指令數據加密傳輸、交易結果確定審計等。6.5、CA認證在電子商務系統，全部參與活動實體全部必需用證書來表明自己身份，數字證書就是網絡通訊中標志通訊各方身份信息一系列數據，它提供了一個在Internet上驗證您身份方法，其作用類似于司機駕駛執照或日常生活中身份證.它是由一個由權威機構-----CA機構，又稱為證書授權(CertificateAuthority)中心發行，大家能夠在交往中用它來識別對方身份,首先能夠用來向系統中其它實體證實自己身份，其次每份證書全部攜帶著證書持有者公鑰，證書也能夠向接收者證實某人或某個機構對公開密鑰擁有，同時也起著公鑰分發作用。數字證書是一個經證書授權中心數字署名包含公開密鑰擁有者信息和公開密鑰文件。最簡單證書包含一個公開密鑰、名稱和證書授權中心數字署名。通常情況下證書中還包括密鑰有效時間，發證機關(證書授權中心)名稱，該證書序列號等信息，證書格式遵循ITUTX.509國際標準CA機構數字署名使得攻擊者不能偽造和篡改證書。證書格式遵照X.509標準證書申請者進行資格審查，并決定是否同意給該申請者發放證書，并負擔因審核錯誤引發、為不滿足資格證書申請者發放證書所引發一切后果，所以它應由能夠負擔這些責任機構擔任；另一個是證書操作部門（簡稱CP，CertificateProcessor），負責為已授權申請者制作、發放和管理證書，并負擔因操作運行錯誤所產生一切后果，包含失密和為沒有取得授權者發放證書等，它能夠由審核授權部門自己擔任，也可委托給第三方擔任。6.5.1、CA認證機構面臨威脅CA所提供服務是經過Internet實施，面臨來自Internet攻擊威脅。同時，因為其業務特殊性和關鍵性，還面臨來自內部攻擊威脅。攻擊者目標是多方面，其中以竊取CA關鍵機密（如密鑰對）是最嚴重威脅。1>系統穿透系統穿透系指攻擊者經過一定手段對認證性（真實性Authenticity）進行攻擊，假冒正當用戶接入系統，從而達成篡改系統文件、竊取系統機密信息、非法使用系統資源等目標。攻擊者通常采取偽裝或利用系統微弱步驟（如繞過檢測控制）、搜集情報（如口令）等方法實現。在CA系統中，口令登錄大全部被電子令牌或數字證書登錄替換，所以系統穿透風險較小。2>違反授權規則違反授權標準系指攻擊者盜用一個正當用戶賬號，經授權進入系統后，在系統中進行未經授權操作。一個攻擊者能夠經過猜測口令等手段取得一個一般用戶賬號，以正當身份接入系統，進而可查找系統微弱步驟，最終取得系統最高控制權，從而嚴重危及系統安全。這種攻擊關鍵發生在CA管理人員內部，需要關鍵防范，嚴格控制不一樣管理員權限。3>植入病毒在系統穿透或違反授權攻擊成功后，攻擊者通常要在系統中植入一個能力，為以后攻擊提供方便條件。如向系統中注入病毒、蛀蟲、特洛伊木馬、限門、邏輯炸彈等來破壞系統正常工作。從Internet下載軟件和使用盜版軟件是病毒關鍵起源，所以應預防管理員使用CA系統中工作站下載軟件和使用來歷不明軟件。4〉通信監視通信監視是一個在通信過程中從信道進行搭線竊聽攻擊方法。攻擊者經過搭線和電磁泄漏等手段截取通信信息，對信息、業務流量等數據進行分析，獲取有用情報，取得機密信息。CA認證中心敏感信息在傳輸中，全部是經過加密處理，但在機房數據處理中，數據會以明文形式出現，所以CA機房是反通信監視關鍵部位。5〉中止中止系指對可用性進行攻擊，破壞系統中硬件、硬盤、線路、文件系統等，使系統癱瘓，不能正常工作，破壞信息和網絡資源。這類攻擊通常采取暴力手段，破壞通信設施，甚至使用高能量電磁脈沖發射設備摧毀系統電子元器件。6〉拒絕服務拒絕服務攻擊手段能夠阻塞被攻擊目標正當接入信息、業務或其它資源，致使其正常服務中止。比如，一個業務出口被精心地策劃進行濫用而使其它用戶不能正常接入，又如Internet一個地址被大量垃圾信息阻塞等。7>竊取或破解密鑰一個攻擊者假如竊取或破解了認證中心私人密鑰，就能夠偽造數字證書，進行詐騙活動。8>管理漏洞CA系統安全性除了技術方面原因外，管理也是一個很關鍵原因。管理方面存在漏洞往往蘊藏著極大風險和隱患。比如，CA署名私鑰只由一個工作人員管理和控制，當這名工作人員受到賄賂以后，就極有可能簽發內容不實數字證書。假如機密數據僅由一個工作人員管理和控制，那么這個人就有可能竊取和出賣這些資料，牟取非法利益，或有意損毀。所以，CA認證中心在管理上必需制訂嚴密策略。9>數據損壞CA認證中心數據庫存放了大量數字證書、用戶注冊資料等數據，當發生電子商務方面糾紛時，這些數據將作為關鍵舉證依據。假如這些數據損壞，其后果相當嚴重。6.5.2、CA認證安全防范機制1、機房安全CA機房是整個認證系統系統控制關鍵，必需設置獨立專用機房。CA中心機房，應配置優異門禁管理系統，預防非授權人員無意或有意進入。對于敏感崗位操作，必需進行身份識別和采取多人控制方法。2、訪問控制CA機房必需受到嚴格、高等級安全保護，最少應該設置3層安全控制保護層，將機房分為不一樣安全區域。進入數據中心和管理控制臺任何人員必需經過3層安全控制保護層核準。3、實時監控為預防非法入侵和暴力破壞，CA機房應設置智能化門禁系統，配置實時監控系統和安全時鐘，統計開/關門、每次授權進出活動。4、全方面設防CA機房必需能夠屏蔽電磁波，預防信息經由電磁輻射而引發秘密泄露。機房電力和空調系統應采取主、備兩個系統，當主系統發生故障時，能夠自動開啟備用系統。機房應該配置自動氣體消防系統，能夠在火災發生之初進行預警檢測和自動滅火。5、CA中心密鑰安全數字證書安全性和可靠性關鍵依靠CA認證中心數字署名來確保，而CA數字署名是使用本身私有密鑰運算產生。所以，CA中心密鑰安全很關鍵，一旦密鑰泄露，將引發整個信任體制瓦解。為此，對于CA中心密鑰安全方法，通常需要注意以下多個方面標準：☆選擇模長較長密鑰認證中心公共密鑰會受到多個攻擊，基于Internet“聯機運算”就是一個。這種攻擊利用上千臺計算機，采取“窮舉”方法進行計算。密鑰長度越長，密碼空間就越大（對于模長為n位密碼，其有效密碼空間為2n），采取“窮舉”方法攻擊代價就越大。所以，CA中心必需使用很長密鑰。從現在計算機運算速度來看，采取1024位密鑰是安全。CA根節點密鑰長度最少應該達成1024位，最好能做到2048位，但現在很多應用軟件還不支持2048位加解密運算。6.6、數據安全數據安全牽涉到數據庫安全和數據本身安全，針對二者應有對應安全方法。

數據庫安全證券企業數據庫通常采取含有一定安全等級SYBASE或ORACLE大型分布式數據庫，鑒于數據庫關鍵性，還應在此基礎上開發部分安全方法，增加對應控件，對數據庫分級管理并提供可靠故障恢復機制，實現數據庫訪問、存取、加密控制。具體實現方法有安全數據庫系統、數據庫保密系統、數據庫掃描系統等。

數據安全指存放在數據庫數據本身安全，對應保護方法有安裝反病毒軟件，建立可靠數據備份和恢復系統如行情備份系統，對股民個人資料和交易數據按安全等級劃分存放，一些關鍵數據甚至能夠采取加密保護。6.7、安全管理面對網絡安全脆弱性，除了利用優異網絡安全技術和安全系統外，完善網絡安全管理將是信息系統建設關鍵組成部分，很多不安全原因恰恰反應在組織資源管理上，安全管理應該貫穿在安全各個層次上。安全管理三標準：

·多人負責標準

每一項和安全相關活動，全部必需有兩人或多人在場。這些人應是系統主管領導指派，她們忠誠可靠，能勝任此項工作；她們應該簽署工作情況統計以證實安全工作已得到保障。

·任期有限標準

通常地講，任何人最好不要長久擔任和安全相關職務，以免使她認為這個職務是專有或永久性。為遵照任期有限標準，工作人員應不定時地循環任職，強制實施休假制度，并要求對工作人員進行輪番培訓，以使任期有限制度切實可行。

·職責分離標準

在信息處理系統工作人員不要探詢、了解或參與職責以外任何和安全相關事情，除非系統主管領導同意。信息系統安全管理實現

·安全制度管理依據證監會《證券經營機構營業部信息系統管理規范》、《網上證券委托暫行管理措施》等相關法規要求，建立本行業管理制度，包含機房管理、網絡管理、數據管理、設備管理、應急處理、人員管理、技術資料管理等相關信息系統建設規范。

·安全目標管理

1.根據技術管理目標，展開對最新網絡安全技術跟蹤研究，并就證券行業信息系統安全技術進行交流、探討，從而提出本企業網絡安全技術和管理策略。

2.根據資源管理目標，對證券行業網絡系統物理資源、網絡資源、信息資源實現統一資源分配設置，依據資源關鍵程度確定安全等級，從而確立安全管理范圍。

3.根據用戶管理目標，依據統一標準劃分用戶角色，對不一樣用戶在交易中風險高低及可能帶來損失采取安全防范方法，比如對常常進行網上交易關鍵用戶或大用戶設置虛擬大用戶室，由證券企業給和必需技術支援和培訓。6.8、安全服務建立網絡安全保障體系不能僅僅依靠現有安全機制和設備，更關鍵是提供全方位安全服務。網絡安全不是多個安全產品集合，它作為一項系統工程已經形成了自己專業體系，沒有優異科學知識結構極難對此進行全方面細致把握；網絡安全系統存在固有弱點，即使最微小安全漏洞全部可能引發整個網絡系統瓦解；同時網絡安全處于信息產業飛速發展大環境下，現有系統安全只是臨時、靜態，全部這些問題全部必需經過連續全方面安全服務來處理。完善安全服務應包含全方位安全咨詢，整體系統安全策劃、設計，優質工程實施、細致立即售后服務和技術培訓。除此之外，定時網絡安全風險評定，幫助用戶制訂尤其事件應急響應方案擴充了安全服務內涵。6.9、安全目標經過計劃建立證券系統安全體系，綜合利用多種安全技術和手段，我們要達成安全目標為：

靜態安全目標包含整個證券信息系統物理環境、系統硬、軟件結構和可用信息資源，確保證券交易系統實體平臺安全。

動態安全目標提升證券信息系統安全軟環境，包含安全管理、安全服務、安全思想意識和人員安全專業素質。7、網絡系統安全總體方案設計7.1、網絡安全步驟設計網絡安全步驟圖事故結束事故發生網絡安全步驟圖事故結束事故發生事后階段事故階段預防階段文件恢復文件備份 事后階段事故階段預防階段文件恢復文件備份日志審計、追查責任自動恢復立即發覺及報警定時對網絡檢驗日志審計、追查責任自動恢復立即發覺及報警定時對網絡檢驗 監測監控系統&恢復系統備份系統防火墻安全檢驗監測監控系統&恢復系統備份系統防火墻安全檢驗系統備份系統病毒防護系統病毒防護系統構件一個網絡安全方案必需依據網絡綜合性、均衡性、折衷性、動態性認真考慮。依據證券企業網絡具體情況和要求，我們提議從以下幾點考慮。預防方法防護方法補救方法7.1.1、預防方法一個安全網絡首先做好預防方法，做好預防工作是提升網絡安全，降低網絡事故，確保網絡通暢，降低數據丟失前提。預防方面我們提議采取多個方法：采取網絡安全檢驗系統采取備份系統網絡安全檢驗原理模擬用戶輸入檢驗目標用戶輸入檢驗目標目標搜索引擎目標搜索引擎關鍵檢驗模塊庫安全漏洞檢驗引擎關鍵檢驗模塊庫安全漏洞檢驗引擎瀏覽器報表生成模塊瀏覽器報表生成模塊采取掃描系統，我們能夠對我們網絡安全性能有個了解。為了預防黑客攻擊，我們能夠事先采取黑客攻擊手段，對網絡進行預防性攻擊，以不破壞系統為目標，預先發覺漏洞，進行防范、更正，以提升網絡安全性。文件備份數據庫保護正以迅猛速度發展成為當今企業最關鍵組成原因之一，對于諸如MicrosoftExchangeServer和MicrosoftSQLServer之類關鍵數據庫來說更是如此。數據(下至個人郵箱及表格中數據)必需保持高可用性，且不應對整個企業造成影響。7.1.2、防護方法路由器防火墻用戶用戶路由器防火墻用戶用戶主機傳感器用戶內部網公網主機傳感器用戶內部網公網網絡傳感器網絡傳感器安全監控中心網絡傳感器安全監控中心網絡傳感器在防護方法中，我們采取了防火墻+監測監控來實現我們目標。因為我們已經進行過掃描，降低了防火墻漏洞，當網絡遭到攻擊時，已經有防火墻對網絡防護，將攻擊抵擋在外面，確保了網絡安全。同時我們還能夠經過對網絡監測監控來實現對網絡安全補充。監測監控系統能夠達成兩個方面作用，首先監測監控系統能夠在指定時間內統計全部連接信息，任何非法連接信息全部將留下證據，而且出現指定非法網絡連接時，系統將進行報警或掛斷連接操作，為管理網絡安全，確保網絡上信息符合國家法規提供了保障，這一點是防火墻無法實現，也是政府網絡所必需要求，從內網方面補充了網絡安全另一面。其次，監測監控系統也是對防火墻補充，我們能夠依據具體情況定義有入侵特征數據包，當檢測到有入侵行為可能時進行報警，是我們依據具體情況，采取對應方法，提升了網絡抗攻擊性。7.1.3、補救方法網絡安全是相正確，不是絕正確。在我們安全防范方法無法保護我們網絡時，我們能做就是快速恢復網頁，恢復數據，降低損失。在這里我們能夠使用恢復系統，對被破壞網絡部分進行恢復，而且經過預防方法中數據備份作用，我們能夠有效確保數據恢復可能性和快速性。在這里,我們還要尤其指出貫穿于整個安全實施過程關鍵步驟—防病毒體系做好網絡防病毒工作是提升系統安全性一個關鍵方面，但完美系統是不存在．多數時間用于系統病毒檢驗以提升一定系統安全性，將使系統失去了可用性和實用性；其次，信息保密要求讓人在泄密和抓住病毒之間無法選擇。這么，病毒和反病毒將成為一個長久技術對抗．病毒關鍵由反病毒軟件來對付，而且反病毒技術將成為一個長久科研做下去．現在，假如需要對整個網絡進行規范化網絡病毒防范，我們就必需了解最新技術，結合網絡病毒入口點分析，很好地將這些技術應用到自己網絡中去，形成一個協同作戰、統一管理局面，實現鞏固網絡安全。7.2、網絡安全總體拓撲結構示意圖7.3、網絡安全處理方案證券企業網絡安全設備采取以下產品安全檢驗系統監測監控系統備份系統防病毒系統防火墻系統VPN系統7.3.1、安全檢驗系統（漏洞掃描系統）依據需求分析結果，提議選擇掃描系統應綜合基于主機和基于網絡安全檢測技術：能尋求網絡安全漏洞、評定并提出修改提議，模擬黑客攻擊方法，檢測網絡協議、網絡服務、網絡設備等方面漏洞；能夠檢驗操作系統本身固有安全漏洞和系統文件不安全配置，并指示用戶怎樣修補漏洞以使操作系統安全風險降到最小；經過上述兩種掃描工具綜合利用，能夠檢驗包含WEB、FTP、郵件系統、DNS等網絡基礎服務和業務系統、辦公自動化系統、電子商務系統等應用程序本身安全漏洞和因為配置不妥造成安全漏洞，確保用戶在網絡上應用系統安全。本方案所選擇掃描系統含有以下技術特點：◆含有強大掃描分析能力。網絡安全掃描系統針對網絡系統中存在主要弱點和漏洞，能全方位，多側面地對網絡安全隱患進行掃描分析，基礎上覆蓋了現在網絡系統存在關鍵弱點和漏洞，含有強大掃描分析能力。◆含有安全策略自定義能力。網絡安全掃描系統提供安全策略配置功效，用戶可依據不一樣安全需求，選擇或自定義不一樣掃描策略，對對應網絡設施進行掃描分析。◆面向多操作系統，多個網絡設備，含有較強適用性◆網絡安全掃描系統檢測對象覆蓋在用主流操作系統：SunSolaris，IBMAix，DigitalUNIX，SGIIRIX，Linux，WindowsNT等系統。它適適用于TCP/IP網絡和Internet/Intranet環境；適適用于WWW服務器、防火墻、網絡主機和其它TCP/IP相關設備。◆含有遠程和當地兩種工作模式◆網絡安全掃描系統能夠對基于TCP/IP網絡主機實施掃描分析，含有跨網關操作能力，可經過專線或撥號方法接入任何基于TCP/IP網絡系統，支持當地或遠程兩種工作模式。◆正確全方面匯報網絡存在弱點和漏洞。網絡安全性分析系統能夠正確具體地匯報網絡系統目前存在弱點和漏洞。弱點和漏洞可能是系統不完善或BUG，也可能是因為系統配置不妥而帶來。◆匯報掃描對象相關信息和對外提供服務◆網絡安全掃描系統能具體匯報掃描對象系統信息，如操作系統版本信息等。網絡安全性分析系統還能匯報目前掃描對象對外提供服務信息，這有利于管理人員立即正確地了解自己系統對外提供端口服務，并立即關閉對外提供無須要端口服務。◆能夠提議補救方法和安全策略◆網絡安全掃描系統不僅能發覺系統中存在弱點和漏洞，而且能向用戶提供修補這些弱點和漏洞提議和可選擇方法、能就用戶系統安全策略制訂提供提議，最大程度地幫助用戶實現信息系統安全。◆含有生成份析匯報能力◆網絡安全掃描系統在掃描分析目標網絡后，能夠給用戶提供一份完整安全性分析匯報。匯報將系統地對目標網絡系統安全性進行具體描述，為用戶確保網絡安全提供依據。◆含有較強自我防護能力推薦配置方案生產廠家：XX軟科集團產品名稱：網絡安全檢驗系統HBNSSXX軟科網絡安全檢驗系統ZYNSS作為一個全自動安全風險評定工具，側重于“事前階段”。它模擬黑客進攻手段和技術，對被檢系統進行黑客攻擊式安全漏洞和安全隱患掃描，并提交風險評定匯報，其中提供了對應整改方法。預防性安全檢驗最大程度地暴露了現存網絡系統中存在安全隱患，配合行之有效整改方法，能夠將網絡系統運行風險降至最低。NSS關鍵特點：綜合了中國外同類安全產品尤其是國外著名安全產品思緒和優點，并考慮了中國網絡系統國情和現實狀況，技術起點高，實用性強。在系統中尤其集成了完整漏洞修補提議和網絡安全實用手冊。

檢測范圍廣。系統基于TCP/IP協議，尤其針對WINNT系統中存在安全問題進行了深入研究。系統能夠檢測基于TCP/IP網絡軟硬件產品，并能深入檢測WINDOWS系列操作系統尤其是應用越來越廣泛WINNT系統和Windows系統，和運行在她們之上多個BackOffice服務器。

運行在WINNT平臺，全漢字界面，在進行檢測前掃描策略配置簡單明了。對每一項可檢測漏洞全部有詳盡說明。

針對國家信息保密特殊要求，增加了物理安全隔離檢驗、局域網涉密信息檢驗和局域網用戶信息檢驗等多個特色功效。

強大漏洞掃描能力，可對受檢系統進行多視角、多層面黑客攻擊式掃描。7月，國家公安部安全產品評測中心測評認為該產品可對包含當初最新黑客攻擊技術在內500余種攻擊手段進行模擬攻擊。在3月升級版中，模擬攻擊手段已達成900余種。

用戶能夠按計劃中系統安全目標，自定義每次安全掃描策略以對系統和網絡進行安全掃描。具體掃描策略設定細化到用戶能夠選擇是否掃描每一個漏洞。系統對漏洞進行了詳盡風險等級管理，漏洞風險一目了然。

細致入微地匯報系統中存在弱點漏洞。列出了從目標操作系統類型、漏洞列表、開放端口號和服務，直到系統中存在用戶等受檢對象相關信息。

完善掃描匯報生成能力。掃描結束后能夠由系統自動生成份析匯報，其中包含了詳盡漏洞說明，風險等級，補救方法，教授提議和相關資源連接。

工作方法和檢驗方法靈活。能夠檢驗當地局域網，也能夠經過撥號接入或以跨網關方法檢驗目標系統。能夠單獨檢驗一臺主機，也能夠檢驗整個網段。

系統采取了開放式體系結構和模塊化思想，而且企業有專業小組跟蹤黑客攻擊手段和系統漏洞，從而做到動態更新檢驗模板庫，保護用戶免受最新攻擊手段攻擊。

企業有著強大開發和優異管理模式，和靈活運作方法。技術和研究力量雄厚，并能夠根據用戶具體要求增刪對應功效模塊，以滿足用戶要求，確保系統最好性價比。

NSS技術特點綜合了國外著名安全產品優點和思緒，起點高技術優異，檢測范圍廣，可覆蓋INTERNET/INTRANET全部主流部件采取開放式體系結構，可動態更新關鍵檢驗模板庫，易于升級運行在WINDOWSNT平臺，漢字界面，配置簡練操作方便針對保密系統領域特殊要求，增加了安全隔離檢驗，涉密信息檢驗等特定功效模塊7.3.2、監控監測（含入侵檢測）技術概述入侵檢測技術就是一個主動保護自己免受黑客攻擊一個網絡安全技術。入侵檢測技術能夠幫助系統對付網絡攻擊，擴展系統管理員安全管理能力(包含安全審計、監視、進攻識別和響應)，提升信息安全基礎結構完整性。它從計算機網絡系統中關鍵點搜集信息，并分析這些信息，看看網絡中是否有違反安全策略行為和遭到攻擊跡象。入侵檢測被認為是防火墻以后第二道安全閘門，它在不影響網絡性能情況下能對網絡進行監測，從而提供對內部攻擊、外部攻擊和誤操作實時保護。大多數傳統入侵檢測系統（IDS）采取基于網絡或基于主機措施來識別并躲避攻擊。在任何一個情況下，該產品全部要尋求“攻擊標志”，即一個代表惡意或可疑意圖攻擊模式。當IDS在網絡中尋求這些模式時，它是基于網絡。而當IDS在統計文件中尋求攻擊標志時，它是基于主機。每種方法全部有其優勢和劣勢，兩種方法互為補充。一個真正有效入侵檢測系統應將二者結合。本節討論了基于主機和基于網絡入侵檢測技術不一樣之處，以說明怎樣將這二種方法融合在一起，以提供愈加有效入侵檢測和保護方法。◆基于網絡入侵檢測基于網絡入侵檢測系統使用原始網絡包作為數據源。基于網絡IDS通常利用一個運行在隨機模式下網絡適配器來實時監視并分析經過網絡全部通信業務。它攻擊辯識模塊通常使用四種常見技術來識別攻擊標志：模式、表示式或字節匹配頻率或穿越閥值低級事件相關性規統學意義上很規現象檢測一旦檢測到了攻擊行為，IDS響應模塊就提供多個選項以通知、報警并對攻擊采取對應反應。反應因產品而異，但通常全部包含通知管理員、中止連接而且/或為法庭分析和證據搜集而做會話統計。◆基于主機入侵檢測基于主機入侵檢測出現在80年代早期，那時網絡還沒有今天這么普遍、復雜，且網絡之間也沒有完全連通。在這一較為簡單環境里，檢驗可疑行為檢驗統計是很常見操作。因為入侵在當初是相當少見，在對攻擊事后分析就能夠預防以后攻擊。現在基于主機入侵檢測系統保留了一個有力工具，以了解以前攻擊形式，并選擇適宜方法去抵御未來攻擊。基于主機IDS仍使用驗證統計，但自動化程度大大提升，并發展了精密可快速做出響應檢測技術。通常，基于主機IDS可監探系統、事件和WindowNT下安全統計和UNIX環境下系統統計。當有文件發生改變時，IDS將新統計條目和攻擊標識相比較，看它們是否匹配。假如匹配，系統就會向管理員報警并向別目標匯報，以采取方法。基于主機IDS在發展過程中融入了其它技術。對關鍵系統文件和可實施文件入侵檢測一個常見方法，是經過定時檢驗校驗和來進行，方便發覺意外改變。反應快慢和輪詢間隔頻率有直接關系。最終，很多產品全部是監聽端口活動，并在特定端口被訪問時向管理員報警。這類檢測方法將基于網絡入侵檢測基礎方法融入到基于主機檢測環境中。◆將基于網絡和基于主機入侵檢測結合起來基于網絡和基于主機IDS方案全部有各自特有優點，而且互為補充。所以，下一代IDS必需包含集成主機和網絡組件。將這兩項技術結合，必將大幅度提升網絡對攻擊和錯誤使用抵御力，使安全策略實施愈加有效，并使設置選項愈加靈活。設計標準假如要使網絡得到高水平安全保護，就應該選擇愈加主動和智能網絡安全技術。完備網絡安全系統應該能夠監視網絡和識別攻擊信號，能夠做到立即反應和保護，能夠在受到攻擊任何階段幫助網絡管理人員從容應付。怎樣選擇入侵檢測系統呢？選擇入侵檢測系統需要考慮多方面原因。但關鍵應考慮以下兩點：首先，考察系統協議分析及檢測能力，和解碼速率；推薦配置方案生產廠家：XX軟科集團產品名稱：網絡監測監控系統ZYNetEyeZYNetEye網絡安全監測監控系統是一個基于信息流數據采集、分析、識別和資源監督封鎖軟件。經過實時監測網絡數據流，依據用戶設定安全控制策略，對受控對象活動進行監視。它側重于“事中”階段。該系統綜合了基于主機、基于網絡兩種技術手段，能夠多層次、多手段實現對網絡控制管理。經過多級、分布式網絡監督、管理、控制機制，全方面表現了管理層對內部網關鍵資源全局控制、把握和調度能力。為全方面管理人員提供了一個監督、檢驗目前系統運行狀態有效手段。系統組成ZYNetEye系統關鍵組成部分是：主機傳感器HSP（軟件HostSensorProgram）、網絡傳感器NSP（硬件NetworkSensorProgram）、監控中心/二級監控中心MCP（軟件MonitorCenterProgram）。ZYNeteye關鍵功效ZYNetEye關鍵有六類功效：監視屏幕、監視鍵盤、監測監控RAS連接、監測監控網絡連接、入侵檢測、網絡信息還原。具體功效分類說明以下：監視屏幕在用戶指定時間段內，系統自動每隔X秒或X分截獲一次屏幕。用戶實時控制屏幕截獲開始和結束（在不影響被監控主機正常工作前提下，以最快頻率截屏）。監視鍵盤在用戶指定時間段內，截獲HostSensorProgram用戶全部鍵盤輸入。用戶實時控制鍵盤截獲開始和結束。監測監控RAS連接在用戶指定時間段內，統計全部RAS連接信息。用戶實時控制RAS連接信息截獲開始和結束。由用戶指定正當RAS連接條件（如：撥號上網電話號碼或撥號時間），當RAS連接非法時，系統將自動進行報警或掛斷連接操作。監測監控網絡連接在用戶指定時間段內，統計全部網絡連接信息（包含：TCP、UDP、NetBios）。用戶實時控制網絡連接信息截獲開始和結束。由用戶指定非法網絡連接列表，當出現非法連接時，系統將自動進行報警或掛斷連接操作。入侵檢測對可能入侵行為進行報警（檢測到有入侵特征數據包）。用戶可自定義有入侵特征數據包。現在可檢測18類入侵企圖：ZYNeteye技術特點多極控制機制能夠設置多個層次安全控制中心、傳感器，控制能力強。分部控制機制監控網絡拓撲結構能夠是多樣化，覆蓋計算機局域網絡、遠程網絡，控制范圍大。基于主機、基于網絡相結合控制機制控制對象即能夠是單臺主機，也能夠是一個網段，控制力度細。ZYNeteye技術特色系統即可防外也可防內，更徹重于防內。由軟件和硬件相結合、克服單一軟件或硬件弊端，以達成卓躍性能系統設計思想優異。主機傳感器、網絡傳感器和監控中心獨立運行，一旦系統安全管理員制訂好安全策略并公布成功，各模塊之間獨立運行工作，相關性幾乎沒有，整個系統運行效很高，對用戶網絡正常通信影響微小。系統透明工作，各模塊間通信方法設計很優異。混合了TCP和UDP通訊方法，充足考到了用戶可能網絡配置，在提供跨路由器、跨網關能力適應復雜網絡基礎上，兼顧了系統效率和操作、配置靈活性。監控中心開啟后，智能判定并加入能夠監測工作站或網絡傳感器，并提供了手動加入可監測計算機功，方便高級用戶使用。融合了中國外同類產品大多數優異思想，并參考了常見同類黑客軟件功效，項目設計思想和優異開發工具，完全含有知識產權。企業研發實力雄厚，多項產品設計思想和成品受到技術判定會上著名教授好評“達成了同期中國甚至國外優異水平”。項現在期仔細設計計劃，中期精細編碼和嚴格測試，后期詳盡系統測試。系統無縫集成了網絡入侵檢測功效，還開發了獨立模塊以提供對目標計算機/網絡多層次多角度監視控制，并提供了人性化安全監控中心圖形界面，操簡單直接，大大降低了用戶后期投入和網絡系統/安全管理員工作難度、工作量。7.3.3、防火墻防火墻是指設置在不一樣網絡（如可信任內部網和不可信任外部網）或網絡安全域之間一系列部件組合。它是不一樣網絡或網絡安全域之間信息唯一出口，能依據企業安全政策，經過對IP地址、TCP/UDP端口、ICMP類型域等各個等級具體配置控制（許可、拒絕、監測）出入網絡信息流，且本身含有較強抗攻擊能力。它是提供信息安全服務，實現網絡和信息安全基礎設施。防火墻是在內部網和外部網之間實施安全防范系統，可被認為是一個訪問控制機制，用于確定哪些內部服務許可外部訪問。它由網絡管理人員為保護自己網絡免遭外界非授權訪問但又許可和Internet連接而發展起來。從網際角度講，防火墻是在兩個網絡之間實施控制策略系統，目標是保護網絡不被可疑人侵擾。本質上，它遵從是一個許可或阻止業務往來網絡通信安全機制，提供可控過濾網絡通信。防火墻作為局域網絡安全屏障，其關鍵目標是保護局域網絡資源，強化網絡安全策略；預防內部信息泄露和外部入侵；提供對網絡資源訪問控制；提供對網絡活動審計、監督等功效。推薦配置方案生產廠家：XX軟科集團產品名稱：防火墻HBRKFW/IIIXX網絡防火墻ZYSuperWall是由北京XX軟科數碼技術自主研制開發網絡安全產品。ZYSuperWall防火墻融合了現在關鍵防火墻技術，包含包過濾、透明代理、應用代理，對關鍵網絡服務提供基于應用代理細粒度控制；對常見網絡服務提供透明代理和快速包過濾機制。XX軟科網絡防火墻在有效地實現內部網絡和公共網絡隔離同時，管理員可依據具體安全需求選擇靈活多變安全控制策略進行控制。結合訪問控制、身份認證、邊界入侵檢測、反IP地址欺騙等一整套安全防護技術，可為企業內部網提供強大安全防護手段，在抵御來自外部網絡攻擊、預防不法分子入侵同時，又能確保安全高速地訪問互聯網。關鍵功效：網絡地址轉換功效利用地址轉換功效，能夠節省InternetIP資源。內部對外使用統一IP，使外部無法知道內部網絡情況，提升網絡安全。內部能夠透明使用內部IP基于網絡IP和MAC地址綁定經過網卡MAC地址和網絡IP地址綁定，能夠預防內部IP盜用，保障網絡穩定。●靈活訪問控制功效自主過濾機制能夠依據本身網絡要求合理配置網絡，提升網絡性能。應用代理能夠對應用服務（如：HTTP、FTP、SMTP等）提供細粒度訪問機制。透明代理能夠對能夠滿足對網絡高速、通用訪問要求入侵檢測對可能入侵行為進行報警（檢測到有入侵特征數據包）。封鎖入侵IP地址對入侵設置陷阱用戶身份判別功效：為了降低防火墻再Telnet,FTP等服務和遠程管理上安全風險，HBRKFW/III型防火墻采取了一次性口令認證系統來作為用戶判別手段。防火墻日志、審計功效能夠對系統管理體系分類日志（管理日志、通信事件日志），也能夠按日期對應運行日志。清楚統計了事件時間及事件摘要等。為管理網絡，進行審計提供可靠依據。支持雙機熱備份功效HBRKFW/III型防火墻系統結構了雙機熱備份結構功效，從而提升系統穩定性，容錯性。虛擬主機功效虛擬主機技術很好處理了信息共享性和資源可控性之間矛盾。也就是說，只有防火墻管理員許可訪問內部資源，外部用戶才能夠訪問，表現了管理中心對整體內部資源控制能力。具體操作時，可依據管理者管理意圖制訂對應安全策略，從而限定對外開放內容。7.3.4、防病毒系統目標對郵件服務器進行檢驗，防范病毒。能夠做到既可自動更新，也可手動更新；備份系統便于管理，有友好界面如GUI。使用產品趨勢企業InterScanVirusWall防病毒軟件。（XX軟科集團代理產品之一）為何選擇InterScanVirusWall軟件經過對中國防病毒企業了解，現在沒有想應得軟件系統。經過對國外防病毒企業考查，我們提議用戶使用趨勢企業InterScanVirusWall防病毒軟件。趨勢企業是一家專業防范計算機病毒、保障監控計算機及信息系統安全著名軟件企業,是和美國趨勢科技合作中國企業。趨勢防病毒關鍵技術均經過國家檢測中心監測，是第一家取得中國公安部計算機安全產品銷售許可證軟件企業。產品關鍵功效：實時掃描進出SMTP服務器郵件及其附加檔案實時掃描FTP傳輸渠道自動清除染毒文件實時掃描HTTP傳輸渠道鎖定惡性Javaapplets和ActiveX物件，和未經認證(unsigned)或非商業性(noncommercial)判定安全判定軟件偵測及清除已知和未知宏病毒將警告信息寄給寄件人、收件人和系統管理者可預約設定從Web自動下載最新病毒碼文件含有完整實時性能監視功效經過詳盡病毒活動統計追蹤病毒起源支持Windows界面和ISAPI/CGIweb瀏覽器設置界面產品關鍵特點：符合網絡病毒發展特點出色病毒掃描能夠依據本身情況更新病毒碼快捷救援支持完整事件統計彈性設定及管理系統組成：InterScanVirusWall是一套完整Internet病毒處理系統，包含三個模塊，能夠分別或統一安裝及管理。我們依據具體情況，提議使用整套系統中E-mailVirusWall，InterScanVirusWall共包含：E-mailVirusWall：偵測及清除Internet網絡SMTP電子郵件附件中病毒.---WebVirusWal：偵測及清除病毒，并可鎖定HTTP傳輸中惡性Javaapplets和ActiveX物件，和未經認證(unsigned)或非商業性(noncommercial)判定安全判定軟件（限NT版本）。---FTPVirusWall偵測及清除隱藏在Internet文件傳輸中病毒系統要求：Nt版本：WindowsNT4.0或以上版本，Pentium或DECAlpha處理器PC機，32MB內存，12MB磁盤空間。Solaris版本：Solaris2.5或以上版本，32MB內存，150MB數據交換空間，15MB磁盤安裝空間HP-UX版本：HP-UX10.0或以上版本，64MB內存，100MB數據交換空間，100MB磁盤安裝空間。7.3.5、VPN系統伴隨企業網應用不停發展，企業網范圍也不停擴大，從一個當地網絡發展到跨地域跨城市甚至是跨國家網絡。和此同時伴隨互聯網絡迅猛發展，Internet已經遍布世界各地，從物理上講Internet把世界各地資源相互連通。正因為Internet是對全世界開放，假如企業信息要經過Internet進行傳輸，在安全性上可能存在著很多問題。但假如采取專用線路構建企業專網，往往需要租用昂貴跨地域數據專線。怎樣能夠利用現有Internet來建立企業安全專有網絡呢？虛擬專用網（VPN）技術就成為一個很好處理方案。虛擬專用網（VPN）是指在公共網絡中建立專用網絡，數據經過安全“加密通道”在公共網絡中傳輸。企業只需要租用當地數據專線，連接受騙地Internet，各地機構就能夠相互傳輸信息；同時，企業還能夠利用Internet撥號接入設備，讓自己用戶撥號到Internet上，就能夠連接進入企業網中。使用VPN有節省成本、提供遠程訪問、擴展性強、便于管理和實現全方面控制等優點，將會成為以后企業網絡發展趨勢。虛擬專用網本質實際上包含到密碼問題。在無法確保電路安全、信道安全、網絡安全、應用安全情況下，或也不相信其它安全方法情況下，一個行之有效措施就是加密，而加密就是必需考慮加密算法和密碼問題。考慮到中國對密碼管理體制情況，密碼是一個單獨領域。對防火墻而言，是否防火墻支持對其它密碼體制支持，支持提供API來調用第三方加密算法和密碼，很關鍵。使用產品東方龍馬VPN系統（XX軟科集團代理產品之二）系統組成東方龍馬VPN系統關鍵包含以下幾部分：加密卡、