《证券公司网络安全方案建(60页).doc》由会员分享,可在线阅读,更多相关《证券公司网络安全方案建(60页).doc(52页珍藏版)》请在三一办公上搜索。
1、xx证券股份有限公司网络安全方案建议书目 录美国网络联盟公司1目 录21.概述71.1.xx证券股份有限公司网络安全项目的建设意义71.2.xx证券股份有限有限公司的网络现状71.2.1.物理结构71.2.2.系统结构71.2.3.网络结构71.2.4.其他91.3.xx证券股份有限有限公司的主要网络安全威胁91.4.xx证券股份有限有限公司的网络安全需求分析101.4.1.总体需求分析101.4.2.具体各子系统的安全需求111.5.xx证券股份有限有限公司网络安全的系统目标121.5.1.近期目标121.5.2.远期目标122.总体规划132.1.安全体系结构132.2.安全体系层次模型1
2、3物理层13链路层14网络层14操作系统14应用平台14应用系统142.3.安全体系设计142.3.1.安全体系设计原则141). 需求、风险、代价平衡分析的原则 :142). 综合性、整体性原则 :143). 一致性原则 :154). 易操作性原则 :155). 适应性、灵活性原则156). 多重保护原则152.3.2.网络安全风险分析152.3.3.网络安全策略152.3.4.安全管理原则162.3.5.安全管理的实现162.3.6.网络安全设计172.4.安全产品选型原则173.网络安全方案设计183.1.整体结构安全建议描述181). 内部网络系统:包括:182). 外部网络系统:包括
3、:193.1.1.对Internet服务网段203.1.2.连接各营业点的网段213.1.3.内部系统及部门之间连接安全分析和建议223.1.4.内部用户通过拨号服务器与远程用户进行通信安全优化223.1.5.外部用户访问公司网站安全分析和建议233.2.本方案中防火墙提供的安全措施23防火墙系统的局限性243.3.防病毒的整体解决方案253.3.1.病毒防护的必要性和发展趋势253.3.2.xx证券股份有限有限公司的多层病毒防御体系253.3.2.1.客户端的防病毒系统263.3.2.2.服务器的防病毒系统263.3.2.3.Internet的防病毒系统263.4.防黑客的整体解决方案273
4、.4.1.基于主机及网络的保护273.5.主动的防御体系283.5.1.防火墙与防火墙283.5.2.防火墙与入侵检测系统283.5.3.防火墙与防病毒303.6.安全的评估方案313.7.安全产品的平台建议323.7.1.防病毒产品32桌面保护套件:VirusScan Security Suite(VSS)32服务器保护套件:Netshield Security Suite (NSS)32网关保护套件:Internet Security Suite(ISS)32建议在Windows NT或UNIX323.7.2.防火墙产品Gauntlet32技术规范333.7.3.入侵检测与风险评估套件33
5、3.8.安全产品升级343.8.1.防病毒系统的升级343.8.2.入侵检测系统和防火墙产品的升级35这两类产品的升级为一年内免费升级,并享受长期的升级支持。353.9.本方案的扩充353.9.1.加密和身份认证353.9.2.内部网络安全353.9.3.xx证券股份有限有限公司系统的安全353.10.安全策略制度353.11.本方案的特点364.实施计划374.1.项目建立374.2.项目保障37(1). 良好的组织37(2). 严格的管理37(3). 文挡的管理374.3.应用实施37(1). 项目实施范围37(2). 提供服务的内容381). 网络安全系统需求分析382). 网络安全系统
6、客户化383). 网络安全系统的测试384). 网络安全系统的试运行385). 网络安全系统的正式运行386). 培训384.4.实施进度表395.技术支持与服务405.1.支持中心人员配备405.2.支持中心资源配备405.2.1.热线电话405.2.2.E-mail40Mcfssttvcn405.2.3.World Wide Web405.2.4.支持产品库405.3.技术支持与服务415.3.1.服务内容415.3.2.服务方式415.3.3.服务类型415.3.3.1.基础技术支持(Primary Support)415.3.3.2.优先级服务(Priority Support)425
7、.3.3.3.高级技术支持(Premier Support)425.3.4.服务标准425.3.4.1.电话技术支持服务425.3.4.2.电子邮件回复服务435.3.4.3.World Wide Web服务435.3.4.4.病毒特征码更新介质邮寄服务435.3.4.5.紧急上门服务435.3.4.6.顾问咨询服务436.产品配置及报价44附录A:公司介绍45A1.公司简介45附录B:NAI产品介绍45A1. 第一层安全屏障:计算机网络病毒防护-McAfee TVD45McAfee TVD由三种安全产品套件组成:46VirusScan Security Suite(VSS)46VirusSc
8、an Security Suite所含产品46NetShield Security Suite(NSS)46NetShield Security Suite所含产品46NetShield46GroupShield46Internet Security Suite(ISS)46ISS套件所含内容47第二层安全屏障:身份验证以及信息加密-PGP TNS47PGP Desktop Suite 提供对所有桌面的多平台加密保护。48PGP Certificatation Server48第三层安全屏障:防火墙-Gauntlet Internet Firewall49第四层安全屏障:网络漏洞探测及黑客探测
9、-50Cybercop Monitor, Cybercop Scanner, Cybercop Sting,CASL50附录C:美国网络联盟(NAI)公司简介53Net Tools54VISIBILITY54SERVICE54Net Tools Secure54McAfee Total Virus Defense (TVD)54PGP Total Network Security (TNS)55Net Tools Manager55Sniffer Total Network Visibility (TNV)55McAfee Total Service Desk (TSD)55市场份额:551.
10、 概述1.1. xx证券股份有限公司网络安全项目的建设意义一方面,随着计算机技术、信息技术的发展,计算机网络系统必将成为公司各项业务的关键平台。另一方面,随着计算机网络系统的发展,计算机网络安全系统必将发挥越来越重要的作用。公司网络安全系统的建立,必将为公司的业务信息系统、行政管理、信息交流提供一个安全的环境和完整平台。通过先进技术建立起的网络安全系统,可以从根本上解决来自网络外部及内部对网络安全造成的各种威胁,以最优秀的网络安全整体解决方案为基础形成一个更加完善的业务系统和办公自动化系统。利用高性能的网络安全环境,提供整体防病毒、防火墙、防黑客、数据加密、身份验证等于一身的功能,有效地保证秘
11、密、机密文件的安全传输,严格地制止经济情报失、泄密现象发生,避免重大经济案件的发生。另外,公司在当前总部的网络安全和今后的信息安全上取得的技术成果,将装备到各级机构。因此,本项目的实施可以达到预期的经济及社会效益。1.2. xx证券股份有限有限公司的网络现状xx证券股份有限有限公司管理信息网是根据管理需求,采用国际上先进的、成熟的、开放的网络技术建立起来的管理网络。安全网络的建成,对于宏观调控、预测、决策,更好地实现xx证券股份有限中央的监管职能起到了积极的作用。1.2.1. 物理结构公司的服务器及重要网络设备都存放在公司的主机房内,主机房与外部之间没有很好的进行物理上的隔离,其他非IT人员也
12、能够不通过任何安全防范措施进入机房。1.2.2. 系统结构公司服务器使用的操作系统以Netware,NT为主,还有部分的Unxi服务器。Netware、NT、Unix的补丁程序都不是最新的程序,对某些安全漏洞及Y2k问题没有进行相应的升级。1.2.3. 网络结构公司的网络大致结构示意图,如下图所示:对网络结构的具体描述:1) 外部用户访问网上交易主机 外部用户通过Internet来访问网上交易主机,网上交易主机作为前置机让外部用户进行查询,前置机使用并口线(RS232)与后台的服务器进行连接,当用户需要进行证券交易时,向交易主机发出需要购进或抛出的股票的请求,交易主机再把客户的信息传给后台的处
13、理服务器,完成整个交易过程。2)外部用户访问公司网站 外部用户可以通过Internet访问公司的网站,网站服务器现托管在电信局,与公司内部没有固定的连接。当管理员需要对网站进行维护的时候,通过拨号的方式。当远程管理网站服务器时,因为没有用到VPN的方式,可能有被窃听的可能。3)内部用户访问外部 内部用户通过分别拨号上网的方式与外部进行信息的交流,可以拨号上网的Modem可能会有十几个。使用各种服务对万步进行访问如:http,ftp,telnet,smtp,pop3,realvideo,realaudio等等。4)交易所与各个营业点之间的连接 交易所内部与各个营业点之间的连接时通过专线的方式,使
14、用了3com的路由器及由电信提供的CSU/DSU设备。现一共有16个营业点。当数据由各个营业点传送到此后,再通过集中的服务器进行业务处理。5)内部系统之间的连接 公司的内部网络主要分为网上交易系统、集中报盘系统、OA系统、监控系统。这四个系统之间相互连接没有通过物理或逻辑的方式进行分割。所以各个系统之间可以相互对文件及数据进行传输。6)内部部门之间的连接 公司的各个部门之间的网络是相互连接的,对重要部门没有进行很好的安全保护,用户可通过自己的计算机访问本部门和其他重要部门的数据。使用的交换机没有对网络划分VLAN或使用子网掩码的方式划分部门之间的子网。7)其他 因为对公司的了解并不是很深,只是
15、对现了解到的情况进行分析,希望公司看过本方案以后能够提供更多的网络连接,部门之间通讯的情况。1.2.4. 其他对公司的网络整体的分析还包括人员管理,应用服务系统。但因为对公司的这些情况并不了解,所以暂时没有进行描述。人员管理是指公司通过网络系统进行工作的流程,公司对用户权限、密码的设置,对网络管理员、系统管理员、设备管理员等计算机管理人的责权划分。应用服务系统是指主机系统上使用的应用软件,如:Web服务器、信息交易系统、数据库系统,办公自动化系统等等。1.3. xx证券股份有限有限公司的主要网络安全威胁由于xx证券股份有限有限公司的管理信息网上的网络体系越来越复杂,应用系统越来越多,网络规模不
16、断扩大,逐渐由Intranet发展到Extranet,现在已经扩展到Internet,网络用户也已经不单单为内部用户。而网络安全主要是由处于中心节点的相关连接广域网的路由器直接承担对外部用户的访问控制工作,且内部网络直接与外部网络相连,对整个网络安全形成了巨大的威胁。具体分析,对xx证券股份有限有限公司网络安全构成威胁的主要因素有:1) 内部网络和外部网络之间的连接为直接连接,外部用户不但可以访问对外服务的服务器,同时也容易地访问内部的网络服务器,这样,由于内部和外部没有隔离措施,内部系统较容易遭到攻击。2) 来自内部网的病毒的破坏;3) 内部用户的恶意攻击、误操作,但由于目前发生的概率较小,
17、本部分暂不作考虑。4) 来自外部网络的攻击,具体有三条途径: Internet连接的部分; 与各分部连接的部分;5) 外部网的破坏主要的方式为: 黑客用户的恶意攻击、窃取信息, 通过网络传送的病毒和Internet的电子邮件夹带的病毒。 来自Internet的Web浏览可能存在的恶意Java/ActiveX控件。6) 缺乏有效的手段监视、评估网络系统和操作系统的安全性。目前流行的许多操作系统均存在网络安全漏洞,如UNIX服务器,NT服务器及Windows桌面PC。7) 缺乏一套完整的安全策略、政策。其中,目前最主要的安全威胁是来自网络外部用户(主要是分公司用户和Internet用户)的攻击。1
18、.4. xx证券股份有限有限公司的网络安全需求分析1.4.1. 总体需求分析在xx证券股份有限有限公司信息网中,目前我们视各分公司和及Internet为外部网络,xx证券股份有限有限公司楼内的局域网为内部网。1). 来自于外部网络的访问,除有特定的身份认证外,只能到达指定的访问目的地,不能访问内部资源。2). 网络内部用户对外的访问必须经过授权才能访问外部的Server。授权和代理由防火墙来完成。3). 对于外部网络来说,内部网络的核心-交换机是不可见的,交换机作为楼内网络的一部分。4). 外部网络不能直接对内部网络进行访问,外部网络客户访问内部Server时通过外部服务提供设备进行,该外部服
19、务提供设备起到访问的中介作用,保证了内部关键信息资源的安全。5). 外部服务提供设备与内部的dB Server之间数据交换应安全审慎,可选取方式 : 禁止两者之间链路通讯,数据交换采用文件拷贝方式; 两者之间采用加密通讯; 两者之间授权访问,通过外部服务提供设备进行代理。外部用户DMZ外部服务区安联内部网1.4.2. 具体各子系统的安全需求xx证券股份有限有限公司网络部署了众多的网络设备、服务器,保护这些设备的正常运行,维护主要业务系统的安全,是xx证券股份有限有限公司网络的基本安全需求。xx证券股份有限有限公司网络为多级应用网络系统,对于各级子系统均在不同程度上要求充分考虑网络安全。1).
20、交易业务系统的安全需求:与普通网络应用不同的是,业务系统是xx证券股份有限xx证券股份有限应用的核心。xx证券股份有限有限公司的业务系统包括总部和分部所有的业务系统。对于业务系统应该具有最高的网络安全措施。xx证券股份有限有限公司网络应保障: 访问控调,确保业务系统不被非法访问。即禁止外部用户间的非法访问。 数据安全,保证各类服务器系统的整体安全性和可靠性。 入侵检测,对于试图破坏业务系统的恶意行为能够及时发现、记录和跟踪,提供非法攻击的犯罪证据。 来自网络内部其他系统的破坏,或误操作造成的安全隐患。2). Internet服务平台的安全需求:Internet服务平台分为两个部分:提供xx证券
21、股份有限公司的网络用户对Internet的访问;提供Internet对公司网内服务的访问。公司内网络客户对Internet的访问,有可能带来某些类型的网络安全。如通过电子邮件、FTP引入病毒、危险的Java或ActiveX应用等。因此,需要在网络内对上述情况提供集成的网络病毒检测、消除等操作。提供给Internet的网络服务按照应用类型可分为: 普通服务:该种服务通常需要保障系统抵抗和检测攻击的能力。即一般的WWW应用如:HTTP、FTP、MAIL等服务。 商业应用:商业应用更要考虑严格的安全要求,而且还希望提供不停顿的服务。1.5. xx证券股份有限有限公司网络安全的系统目标伴随着保险业务的
22、不断深入,xx证券股份有限有限公司电子化应用的不断增强,内部网络上应用系统越来越多,更好的、更有效的、更方便的保护和管理系统资源、网络资源,是实现网络安全的目标。实施网络安全系统项目,整体规划网络安全系统,作好以下几个方面的规划和实施: 应用程序加密 应用完整性 用户完整性 系统完整性 网络完整性1.5.1. 近期目标目前迫在眉睫的工作是保护整个系统的网络完整性和系统的完整性,建立安全的网络逻辑结构,为今后的实施应用完整性和用户完整性奠定基础。网络完整性主要是对网络系统的保护,通过设置防火墙系统等保证通讯安全;系统的完整性是信息系统的保护主要有防病毒、风险评估、入侵检测、审计分析等方面。1.5
23、.2. 远期目标全面部署xx证券股份有限有限公司全局的整体安全防御系统,巩固和完善网络安全及管理系统,使xx证券股份有限有限公司信息网在安全的前提下更好、更方便、更有效的实现中央银行的监管职能。2. 总体规划2.1. 安全体系结构物理实体安全企业安全策略用户责任病毒防治保密教育信息安全信息服务操作系统计算机网络安全网络安全体系结构主要考虑安全对象和安全机制,安全对象主要有网络安全、系统安全、数据库安全、信息安全、设备安全、信息介质安全和计算机病毒防治等,其安全体系结构如下图所示:2.2. 安全体系层次模型按照网络OSI的7层模型,网络安全贯穿于整个7层。针对网络系统实际运行的TCP/IP协议,
24、网络安全贯穿于信息系统的4个层次。会话层应用层应用系统应用平台网络层链路层物理层会话安全应用层应用系统安全应用平台安全安全路由/访问机制链路安全物理层信息安全下图表示了对应网络系统网络的安全体系层次模型:物理层物理层信息安全,主要防止物理通路的损坏、物理通路的窃听、对物理通路的攻击(干扰等)链路层链路层的网络安全需要保证通过网络链路传送的数据不被窃听。主要采用划分VLAN(局域网)、加密通讯(远程网)等手段。网络层网络层的安全需要保证网络只给授权的客户使用授权的服务,保证网络路由正确,避免被拦截或监听。操作系统操作系统安全要求保证客户资料、操作系统访问控制的安全,同时能够对该操作系统上的应用进
25、行审计。应用平台应用平台指建立在网络系统之上的应用软件服务,如数据库服务器、电子邮件服务器、Web服务器等。由于应用平台的系统非常复杂,通常采用多种技术(如SSL等)来增强应用平台的安全性。应用系统应用系统完成网络系统的最终目的为用户服务。应用系统的安全与系统设计和实现关系密切。应用系统使用应用平台提供的安全服务来保证基本安全,如通讯内容安全,通讯双方的认证,审计等手段。2.3. 安全体系设计2.3.1. 安全体系设计原则在进行计算机网络安全设计、规划时,应遵循以下原则:1). 需求、风险、代价平衡分析的原则 :对任一网络来说,绝对安全难以达到,也不一定必要。对一个网络要进行实际分析,对网络面
26、临的威胁及可能承担的风险进行定性与定量相结合的分析,然后制定规范和措施,确定本系统的安全策略。保护成本、被保护信息的价值必须平衡,价值仅1万元的信息如果用5万元的技术和设备去保护是一种不适当的保护。2). 综合性、整体性原则 :运用系统工程的观点、方法,分析网络的安全问题,并制定具体措施。一个较好的安全措施往往是多种方法适当综合的应用结果。一个计算机网络包括个人、设备、软件、数据等环节。它们在网络安全中的地位和影响作用,只有从系统综合的整体角度去看待和分析,才可能获得有效、可行的措施。 3). 一致性原则 :这主要是指网络安全问题应与整个网络的工作周期(或生命周期)同时存在,制定的安全体系结构
27、必须与网络的安全需求相一致。实际上,在网络建设之初就考虑网络安全对策,比等网络建设好后再考虑,不但容易,而且花费也少得多。4). 易操作性原则 :安全措施要由人来完成,如果措施过于复杂,对人的要求过高,本身就降低了安全性。其次,采用的措施不能影响系统正常运行。 5). 适应性、灵活性原则 安全措施必须能随着网络性能及安全需求的变化而变化,要容易适应、容易修改。6). 多重保护原则 任何安全保护措施都不是绝对安全的,都可能被攻破。但是建立一个多重保护系统,各层保护相互补充,当一层保护被攻破时,其它层保护仍可保护信息的安全。2.3.2. 网络安全风险分析网络系统的可靠运转是基于通讯子网、计算机硬件
28、和操作系统及各种应用软件等各方面、各层次的良好运行。因此,它的风险将来自对企业的各个关键点可能造成的威胁,这些威胁可能造成总体功能的失效。由于在这种广域网分布式计算环境中,相对于过去的局域网、主机环境、单机环境,安全问题变得越来越复杂和突出,所以网安全风险分析成为制定有效的安全管理策略和选择有作用的安全技术实施措施的基础依据。安全保障不能完全基于思想教育或信任。而应基于“最低权限”和“相互监督”的法则,减少保密信息的介入范围,尽力消除使用者为使用资源不得不信任他人或被他人信任的问题,建立起完整的安全控制体系和保证体系。2.3.3. 网络安全策略安全策略分安全管理策略和安全技术实施策略两个方面:
29、1). 管理策略安全系统需要人来执行,即使是最好的、最值得信赖的系统安全措施,也不能完全由计算机系统来完全承担安全保证任务,因此必须建立完备的安全组织和管理制度。2). 技术策略技术策略要针对网络、操作系统、数据库、信息共享授权提出具体的措施。2.3.4. 安全管理原则计算机信息系统的安全管理主要基于三个原则。(1)多人负责原则每项与安全有关的活动都必须有两人或多人在场。这些人应是系统主管领导指派的,应忠诚可靠,能胜任此项工作。(2)任期有限原则一般地讲,任何人最好不要长期担任与安全有关的职务,以免误认为这个职务是专有的或永久性的。(3)职责分离原则除非系统主管领导批准,在信息处理系统工作的人
30、员不要打听、了解或参与职责以外、与安全有关的任何事情。2.3.5. 安全管理的实现信息系统的安全管理部门应根据管理原则和该系统处理数据的保密性,制订相应的管理制度或采用相应规范,其具体工作是: 确定该系统的安全等级。 根据确定的安全等级,确定安全管理的范围。 制订相应的机房出入管理制度。对安全等级要求较高的系统,要实行分区控制,限制工作人员出入与己无关的区域。 制订严格的操作规程。操作规程要根据职责分离和多人负责的原则,各负其责,不能超越自己的管辖范围。 制订完备的系统维护制度。维护时,要首先经主管部门批准,并有安全管理人员在场,故障原因、维护内容和维护前后的情况要详细记录。 制订应急措施。要
31、制订在紧急情况下,系统如何尽快恢复的应急措施,使损失减至最小。 建立人员雇用和解聘制度,对工作调动和离职人员要及时调整相应的授权。安全系统需要由人来计划和管理,任何系统安全设施也不能完全由计算机系统独立承担系统安全保障的任务。一方面,各级领导一定要高度重视并积极支持有关系统安全方面的各项措施。其次,对各级用户的培训也十分重要,只有当用户对网络安全性有了深入了解后,才能降低网络信息系统的安全风险。总之,制定系统安全策略、安装网络安全系统只是网络系统安全性实施的第一步,只有当各级组织机构均严格执行网络安全的各项规定,认真维护各自负责的分系统的网络安全性,才能保证整个系统网络的整体安全性。2.3.6
32、. 网络安全设计由于网络的互连是在链路层、网络层、传输层、应用层不同协议层来实现,各个层的功能特性和安全特性也不同,因而其网络安全措施也不相同。物理层安全涉及传输介质的安全特性,抗干扰、防窃听将是物理层安全措施制定的重点。在链路层,通过“桥”这一互连设备的监视和控制作用,使我们可以建立一定程度的虚拟局域网,对物理和逻辑网段进行有效的分割和隔离,消除不同安全级别逻辑网段间的窃听可能。在网络层,可通过对不同子网的定义和对路由器的路由表控制来限制子网间的接点通信,通过对主机路由表的控制来控制与之直接通信的节点。同时,利用网关的安全控制能力,可以限制节点的通信、应用服务,并加强外部用户识别和验证能力。
33、对网络进行级别划分与控制,网络级别的划分大致包括Internet/企业网、骨干网/区域网、区域网/部门网、部门网/工作组网等,其中Internet/企业网的接口要采用专用防火墙,骨干网/区域网、区域网/部门网的接口利用路由器的可控路由表、安全邮件服务器、安全拨号验证服务器和安全级别较高的操作系统。增强网络互连的分割和过滤控制,也可以大大提高安全保密性。随着企业个人与个人之间、各部门之间、企业和企业之间、国际间信息交流的日益频繁,信息传输的安全性成为一个重要的问题。尽管个人、部门和整个企业都已认识到信息的宝贵价值和私有性,但商场上的无情竞争已迫使机构打破原有的界限,在企业内部或企业之间共享更多的
34、信息,只有这样才能缩短处理问题的时间,并在相互协作的环境中孕育出更多的革新和创造。然而,在群件系统中共享的信息却必须保证其安全性,以防止有意无意的破坏。物理实体的安全管理现已有大量标准和规范,如GB9361-88计算机场地安全要求、GFB2887-88计算机场地技术条件等。2.4. 安全产品选型原则在进行xx证券股份有限有限公司网络安全方案的产品选型时,要求安全产品至少应包含以下功能: 访问控制:通过对特定网段、服务建立的访问控制体系,将绝大多数攻击阻止在到达攻击目标之前。 检查安全漏洞:通过对安全漏洞的周期检查,即使攻击可到达攻击目标,也可使绝大多数攻击无效。 攻击监控:通过对特定网段、服务
35、建立的攻击监控体系,可实时检测出绝大多数攻击,并采取相应的行动(如断开网络连接、记录攻击过程、跟踪攻击源等)。 加密通讯:主动的加密通讯,可使攻击者不能了解、修改敏感信息。 认证:良好的认证体系可防止攻击者假冒合法用户。 备份和恢复:良好的备份和恢复机制,可在攻击造成损失时,尽快地恢复数据和系统服务。 多层防御:攻击者在突破第一道防线后,延缓或阻断其到达攻击目标。 隐藏内部信息:使攻击者不能了解系统内的基本情况。 设立安全监控中心:为信息系统提供安全体系管理、监控,保护及紧急情况服务。3. 网络安全方案设计根据第二章对xx证券股份有限有限公司的安全需求分析,结合安全设计的策略,我们提出网络安全
36、设计方案。本章首先描述安全网络的整体结构,然后就各网段采用的防火墙、防病毒、防黑客,以及安全评估等技术措施作详细的描述。各种安全措施之间的相互协作,构成主动的网络安全防御体系。为确保系统的安全性保持稳定,我们介绍了各种安全产品的平台要求,以及升级的保证方式和途径。根据xx证券股份有限有限公司的网络安全需求,目前网络安全方案集中考虑外部网络的安全性;对于整体网络的安全性,我们还分析了网络安全方案的可扩充性。在本章结尾,我们总结了本方案的特点。3.1. 整体结构安全建议描述由于xx证券股份有限有限公司网的安全体系包括内外两部分,而目前着重于外部的安全建设,所以目前的安全假设为:将公司内部网络看作信
37、任网络,暂不考虑安全问题;将外部网视为不信任网络,需要采取安全措施。其总体结构如下:1). 内部网络系统:包括: LAN1,LAN2.LAN8等内部网段; 内部服务子网 - 即初步设想的VPN的部分。2). 外部网络系统:包括: 对Internet服务网段。 连接xx证券股份有限各营业点的网段。 Web网站。在“初步设想”中,在本方案中,考虑到服务的交集会给防火墙安全策略的制定带来不便,形成潜在的安全隐患,并且也不利于整个网络安全的管理,因此我们将vpn网关相应服务器分别部署在对应的网段中,而将对内服务的服务器放到内部网络中的内部服务子网中。同时,我们在系统中增加了一个网络安全管理平台网段。整
38、个网络安全结构如下图:3.1.1. 对Internet服务网段如上图示,内部用户访问Internet,通过拨号上网的方式,通过单个客户机分别拨号上网首先会对整个内部安全造成很大影响,同时造成资金的浪费。因为当拨号连接建立以后,会动态的分配到一个合法的IP地址,那样如果有非法用户对该地址进行尝试的攻击,很可能通过该机进入整个内部系统。建议:a. 在拨号上网的主机上配置物理隔离卡,当用户上网时,物理隔离卡可以把硬盘分为上网部分与安全部分,这两部分将相互隔离,这样就保证了有非法用户通过该机进入内部系统。b. 使用防火墙同时申请一根专线上网,这样既可以防止拨号上网带来的危险性又可以提高上网速度。在接口
39、处防火墙的配置方法:访问的安全控制:1). DMZ1对外提供服务DMZ1中的服务器主要用于对Internet用户提供服务,包括DNS、Email、FTP、HTTP等,其服务全部由防火墙提供代理,其工作流程如下:FireWallClientDMZbacda: 由外部Client端向Firewall1提出请求(HTTP、FTP等);b: 通过Firewall1过滤、识别、身份验证,确定为合法请求,并确定该请求的目标服务器之后由Firewall1向DMZ1里的服务器提出请求;c: DMZ1里的目标服务器接受Firewall1的请求并对其作出响应;d: Firewall1再将请求传递给外部的Clien
40、t。2). 内部网络的用户对Internet的访问对于内部用户对Internet的请求包括Email和HTTP、FTP等。 对Email类,内部网采用HP OpenMail ,而Internet采用SMTP协议,建议设立一台电子邮件转发服务器(MX),部署在DMZ1里,对内部HP OpenMail的邮件和Internet的SMTP邮件进行转发。 对HTTP、FTP等其他类型的服务由防火墙作为代理,Firewall1在中间也起到过滤、识别、身份验证的作用。3). 地址转换(NAT)由于目前xx证券股份有限有限公司采用A类地址,而外部采用Internet合法地址,Gauntlet Firewall
41、1提供内、外地址的翻译,即可隐藏内部IP. 4). FireWall1未来的GVPN功能将来外汇管理局的内部Intranet中的Gauntlet防火墙可形成GVPN,采用Gauntlet的GVPN技术对内部的外出员工可建立一条可信赖的连接,直接访问内部网络的资源。c. 使用Proxy的方式,让所有的用户通过尽量少的电话线上网,在该proxy服务器上安装物理隔离卡,这样可以防止不必要的危险性,又可以降低费用,同时可以对所有用户访问的时间流量进行统计。3.1.2. 连接各营业点的网段连接各营业点的网段是连接公司总部与各分公司的接口,各营业点通过X.25/PSTN连接到总公司的3com主干路由器上。
42、交易所与营业点的相互访问是通过DDN,由于系统本身是一个很安全的系统,我们这里就不对此作一些安全产品的配置,只是对整个系统及应用程序的安全进行安全性的扫描,如果存在漏洞则对系统进行升级和优化。因为交易所与营业点的数据传输经常会突然出现流量增大,影响正常的交易,所以我们认为在交易所的路由器到内部网之间添加一个百兆的集线器或交换机在此上的端口处安装NAI公司的Sniffer for LAN,对进出的包进行解码分析,区分出包的类型,对非正常交易的包进行分析并且通过一些措施把这些非正常交易的包给过滤掉或通过流量分配软件进行有效的划分。具体配置:a. 把与交易无关的包给过滤掉。可以通过在路由器后面添加防
43、火墙的方式,可以把已经通过Sniffer检查出来的与交易无关的包的源地址给屏蔽掉,不让包进行内部系统。b. 通过流量分配软件在各个营业点对出去的包进行手工的流量分配。如果是与交易有关的包让它占有较大的带宽,如果与交易无关的包则让它占较小的带宽,这样可以保证主干业务的畅通运行。c. 可以在网段上安装入侵检测软件,它可以对进来的包进行解码并且分析包的内容,是什么类型的服务,使用的端口号,源地址及目的地址等。这样就可以分析出哪些连接是没有必要的,然后再把该连接通过防火墙给屏蔽掉。3.1.3. 内部系统及部门之间连接安全分析和建议据统计在互联网上80%的泄密来自于内部网络,在设计网络安全结构时,如何防
44、止内部人员的攻击也是一个很重要的方面,对于某些关键部门,如财务部门,可能允许上传数据、提供特定数据供指定部门的指定人员查阅。而在目前交易所公司的网络结构上并未对上述关键部门给予应有的特别保护,任何内部工作人员都可以进入关键部门的计算机上,获取机器上的有用信息。在公司内部如果由对公司不满的员工,它可以在公司的网络段中安装一些侦听软件,收集进入重要部门的信息,如:用户的密码,重要的文件,重要的信件等等。这些侦听软件在网上面到处可以免费获得,所以如果我们没有很好的防范措施,重要的系统很容易遭到破坏。a. 在几个重要部门之间相互通信的接口处添加VPN网关。配置方法:在几个重要部门的交换机上安装一个硬件
45、的的VPN设备,所有需要到另一个部门的信息都会通过VPN网关,进行加密,根据IPSEC方式,在IP包头添加另一个网段的VPN网关的IP地址。这样所有的包在到达另一个部门前先需要经过该部门的VPN网关的解密。其他特点:VPN网关会可以在这几个部门之间相互建立不同的信任关系,建立不同的加密算法;作用:防止了不满员工的侦听,保证了信息传输过程中的安全性,提高各个重要部门的安全性等等。b.在重要的部门的网段上添加入侵检测软件。配置方法:把入侵检测软件安装在某台空余的电脑上,并且把它与Hub相连。作用:它能够实时的捕获通过Hub的包,并且对包进行分析,通过离线分析模块与黑客特征库进行比较看是否有黑客进行攻击,如果有则会报警,并且会自动对进来的非法包进行阻断。c.在特别重要的服务器及主机上,添加基于主机的入侵检测软件。配置方法:如果需要保护哪台主机,就在它上面安装入侵检测软件。作用:对重要的文件进行实时的跟踪,对用户的权限、密码、注册表文件或/etc目录下的文件、数据库内的数据进行保护。d.使用防病毒系统,配置方法:在文件服务器,群间服务器,网关服务器,客户机上分别安装防病毒软件。作用:防止病毒功过客户端,文件服务器,全歼服务器,网关服务器进行传播,有效的防止了这种非技