《证券行业网络安全及网络管理解决方案.doc》由会员分享,可在线阅读,更多相关《证券行业网络安全及网络管理解决方案.doc(30页珍藏版)》请在三一办公上搜索。
1、证券行业网络安全及网络管理解决方案上海方正科技软件有限公司2003年4月目录第一章 网络安全现状和方正软件公司定位介绍4第二章 证券网络系统安全需求分析说明5第一节 证券行业普遍拓扑结构5第二节 证券行业网络安全风险分析7物理安全风险分析7链路传输风险分析7网络结构的安全风险分析7系统的安全风险分析8应用的安全风险分析9管理的安全分析10第三节 证券行业网络安全需求分析11证券行业网络安全需求总体分析:11访问控制11入侵检测12计算机病毒防治12安全审计13身份鉴别13信息加密14备份与恢复14安全保密管理14实时响应和恢复15第四章 网络安全系统构建原则17第一节 证券网络安全系统产品选型
2、原则17第二节 网络安全方案设计原则18第五章 证券系统网络安全整体设计方案20第一节 整体安全解决方案21第二节 防火墙子系统23第三节 入侵检测与信息监控子系统25第四节 VPN子系统27第五节 网络管理子系统28第六节 网络防病毒子系统及其他子系统30第一章 网络安全现状和方正软件公司定位介绍随着计算机技术和通讯技术的飞速发展,网络正逐步改变着人们的工作方式和生活方式,成为当今社会发展的一个主题。网络的开放性,互连性,共享性程度的扩大,特别是Internet的出现,使网络的重要性和对社会的影响也越来越大。随着网络上电子商务,电子政务,数字货币、网络教学等新兴业务的兴起,网络安全问题变得越
3、来越重要。病毒是网络安全最大的隐患,它对网络的威胁占导致经济损失的安全问题的76%。几乎所有的企业都不同程度的遭受过病毒的侵袭。目前全球已发现几万余种病毒样本,并且以每月新增300多种的速度继续破坏着网络和单机上宝贵的信息资源。病毒给每个计算机用户和企业带来了无法估量和弥补的损失。计算机网络犯罪所造成的经济损失也令人吃惊。仅在美国每年因计算机犯罪所造成的直接经济损失就达150亿美元。在全球平均每二十秒就发生一次网上入侵事件。有近80%的公司至少每周在网络上要被大规模的入侵一次,并且一旦黑客找到系统的薄弱环节,所有用户都会遭殃。面对计算机网络的种种安全威胁,必须采取有力的措施来保证安全。而据调查
4、,我国电子商务类网站中90%以上存在信息安全问题。信息网络中的各种犯罪活动已经严重地威胁着国家、企业的安全。特别是对徐汇区城域网这样的国家重要政府网络,更应该考虑到网络安全的重要性,一旦重要的信息泄露,将会给国家造成巨大的损失。网络扩展的同时,信息也要求更加安全,实际上网络与信息的安全是一个长期的、综合的系统工程,存在于整个信息时代中。电子政务网络与信息安全情况也是如此,主要存在与建设、应用和管理三个方面,而且随着新技术的发展,新设备的出现,加上组织结构的变更,应用的深入,会不断进行变化的。网络与信息安全二者的有机结合需要能提供高技术和服务的公司。同时网络安全问题也是个长期,不断完善的过程。方
5、正软件通过自身的研发以及与国内外著名IT公司的合作,形成了方正信息安全与网络管理系统及方正中小企业电子商务应用系统二大产品线。公司定位为“中国人自己的信息安全卫士”和“中国企业e化的高速公路”。同时,公司又充分运用方正的品牌、技术、渠道优势,整合国内外资源,不断为广大用户提供最好的解决方案与应用服务。第二章 证券网络系统安全需求分析说明第一节 证券行业普遍拓扑结构证券行业普遍拥有总部和数据处理中心,在各地拥有营业部和交易所,为了保证交易时间的不间断工作,各地营业所到总部拥有双线路做线路备份,在总部里也是作了线路备份的设置。具体典型拓扑如下:网络拓扑结构说明如上图所示,整个证券公司网络采用分层设
6、计,可分为两层:核心层:由高性能的中心三层交换机、数据库磁盘阵列、业务服务器构成网络核心层(数据中心),主干网络采用千兆以太网,保证了网络性能。为保障核心层的安全可靠,两台中心交换机互为备份,保证了整个网络始终处于连通状态。在数据中心里配置有前端服务器、中间件服务器和后台数据库服务器,数据库服务器中存储有大量户头、资金等敏感信息。接入层:在各个办公楼层上,楼层交换机使用千兆上行端口采用光纤与中心交换机相连,传输速率为1000M,构成网络主干网;其下行端口到桌面,传输速率为100M。远程的营业部和交易所采用各种广域网方式接如总部网络。此外,证券公司会和证券交易所(上证所和深交所)进行数据交换,会
7、有数据链路存在。移动办公者采用Access Server拨号进入总部网络,访问相关网络资源。证券公司也会与相关的银行进行数据交换,使得股民可以把在银行的帐户和证券公司的户头相关联,这部分应用大多数采用“银证通”的服务。总部网络一般划分为办公网络和业务网络两部分。办公网络是非证券业务所在,安全级别较低,承担着与外界联系的责任,一般要求接入Internet,而业务网络承担着每天交易数据的处理,安全级别非常高,因此办公网络和业务网络会采用VLAN的形式加以划分,确保Internet上不能直接访问业务网络。第二节 证券行业网络安全风险分析网络应用给人们带来了无尽的好处,但随着网络应用扩大网络安全风险也
8、变得更加严重和复杂。原来由单个计算机安全事故引起的损害可能传播到其他系统和主机,引起大范围的瘫痪和损失;另外加上缺乏安全控制机制和对网络安全政策及防护意识的认识不足,这些风险正日益加重。而这些风险与网络系统结构和系统的应用等因素密切相关。我们根据证券行业的网络结构和应用情况,从物理安全、链路安全、网络安全、系统安全、应用安全及管理安全进行分类描述:物理安全风险分析网络物理安全是整个网络系统安全的前提。物理安全的风险主要有:地震、水灾、火灾等环境事故造成整个系统毁灭;电源故障造成设备断电以至操作系统引导失败或数据库信息丢失;设备被盗、被毁造成数据丢失或信息泄漏;电磁辐射可能造成数据信息被窃取或偷
9、阅;报警系统的设计不足可能造成原本可以防止但实际发生了的事故。链路传输风险分析网络安全不仅是入侵者到证券网络内部网上进行攻击、窃取或其它破坏,黑客完全有可能在传输线路上安装窃听装置,窃取你在网上传输的重要数据,再通过一些技术读出数据信息,造成泄密或者做一些篡改来破坏数据的完整性;以上种种不安全因素都对网络构成严重的安全危胁。因此,对于证券行业这种带有重要资金、帐户信息传输的网络,数据在公共链路上传输最好加密。并通过数字签名及认证技术来保数据在网上传输的真实性、机密性、可靠性及完整性。网络结构的安全风险分析来自与公网互联的安全威胁证券行业的办公网络与Internet连接。基于Internet公网
10、的开放性、国际性与自由性,在公司员工享受Internet的信息共享的好处同时,内部网络将面临非常严重的安全威胁。因为,每天黑客都在试图闯入Internet节点,假如我们的网络不保持警惕,可能连黑客怎么闯入的都不知道,甚至会成为黑客入侵其他网络的跳板。证券公司内部网络中拥有非常重要的信息。假如内部网络的一台机器安全受损(被攻击或者被病毒感染),就会同时影响在同一网络上的许多其他系统。透过网络传播,还会影响到与本系统网络有连接的外单位网络;影响所及,还可能涉及和证券相连的证交所和银行等安全敏感领域。如果系统内部局域网络与系统外部网络间没有采取一定的安全防护措施,内部网络容易造到来自外网一些不怀好意
11、的入侵者的攻击。如:入侵者通过Sniffer等嗅探程序来探测扫描网络及操作系统存在的安全漏洞,如网络IP地址、应用操作系统的类型、开放哪些TCP/UDP端口号、系统保存用户名和口令等安全信息的关键文件等,并通过相应攻击程序对内网进行攻击。入侵者通过网络监听等先进手段获得内部网用户的用户名、口令等信息,进而假冒内部合法身份进行非法登录,窃取内部网重要信息。恶意攻击:入侵者通过使用Dos(拒绝服务攻击)对内部网重要服务器进行攻击,使得服务器超负荷工作以至拒绝服务甚至系统瘫痪。内部局域网的安全威胁据调查在已有的网络安全攻击事件中约70%是来自内部网络的侵犯。比如内部人员故意泄漏内部网络的网络结构;安
12、全管理员有意透露其用户名及口令;内部员工恶意攻击局域网中重要数据存放的服务器(例如数据库服务器);内部人员恶意使用网络资源,滥发垃圾邮件等等;内部不怀好意员工编些破坏程序在内部网上传播或者内部人员通过各种方式盗取他人涉密信息传播出去。种种因素都将网络安全构成很大的威胁。系统的安全风险分析所谓系统安全通常是指网络操作系统、应用系统的安全。目前的操作系统或应用系统无论是Windows还是其它任何商用Unix、Linux操作系统以及其它厂商开发的应用系统,其开发厂商必然有其Back-Door。而且系统本身必定存在安全漏洞。这些后门或安全漏洞都将存在重大安全隐患。但是从实际应用上,系统的安全程度跟对其
13、进行安全配置及系统的应用面有很大关系,操作系统如果没有采用相应的安全配置,则其是漏洞百出,掌握一般攻击技术的人都可能入侵得手。如果进行安全配置,比如:填补安全漏洞,关闭一些不常用的服务,禁止开放一些不常用而又比较敏感的端口等,那么入侵者要成功进入内部网就会难得多,这需要相当高的技术水平及相当长时间。因此应正确估价自己的网络风险并根据自己的网络风险大小作出相应的安全解决方案。应用的安全风险分析应用系统的安全涉及很多方面。应用系统是动态的、不断变化的。应用的安全性也是动态的。这就需要我们对不同的应用,检测安全漏洞,采取相应的安全措施,降低应用的安全风险。资源共享证券网络内部拥有自动化办公系统。而办
14、公网络应用通常是共享网络资源,比如文件共享、打印机共享等。由此就可能存在着:员工有意、无意把硬盘中重要信息目录共享,长期暴露在网络邻居上,可能被外部人员轻易偷取或被内部其他员工窃取并传播出去造成泄密,因为缺少必要的访问控制策略。电子邮件系统电子邮件为网系统用户提供电子邮件应用。内部网用户可够通过拔号或其它方式进行电子邮件发送和接收这就存在被黑客跟踪或收到一些特洛伊木马、病毒程序等,由于许多用户安全意识比较淡薄,对一些来历不明的邮件,没有警惕性,给入侵者提供机会,给系统带来不安全因至素。病毒侵害网络是病毒传播的最好、最快的途径之一。病毒程序可以通过网上下载、电子邮件、使用盗版光盘或软盘、人为投放
15、等传播途径潜入内部网。因此,病毒的危害的不可以轻视的。网络中一旦有一台主机受病毒感染,则病毒程序就完全可能在极短的时间内迅速扩散,传播到网络上的所有主机,可能造成信息泄漏、文件丢失、机器死机等安全事件。数据信息数据安全对证券行业来说尤其重要,数据在广域网线路上传输,很难保证在传输过程中不被非法窃听、窃取和篡改。现今借助很多先进技术,黑客或一些工业间谍会设法在线路上做些手脚,获得在网上传输的数据信息,也就造成了泄密。这对证券行业的用户来说,是决不允许的。管理的安全分析内部管理人员或员工把内部网络结构、管理员用户名及口令以及系统的一些重要信息传播给外人带来信息泄漏风险。机房重地却是任何都可以进进出
16、出,来去自由。存有恶意的入侵者便有机会得到入侵的条件。内部不满的员工有的可能熟悉服务器、小程序、脚本和系统的弱点。利用网络开些小玩笑,甚至破坏。如传出至关重要的信息、错误地进入数据库、删除数据等等。这些都将给网络造成极大的破坏。管理是网络中安全得到保证的重要组成部分,是防止来自内部网络入侵必须的部分。责权不明,管理混乱、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的风险。即除了从技术上下功夫外,还得依靠安全管理来实现。第三节 证券行业网络安全需求分析证券行业网络安全需求总体分析:证券行业对安全产品有比较深刻的认识,对网络安全的重要性也有深刻理解,行业网络安全要求非常高。由于目前中国的证
17、券业普遍没有手工报单的业务,所有交易是电子化的,因此一旦网络和计算机出故障,整个交易就会瘫痪。曾经有些证券公司就出现过由于病毒泛滥造成的交易中止的情况,不仅经济损失惨重,而且证券公司的信誉也遭受了很大打击。由于证券行业拥有众多的营业所和分部,公司对接入总部的用户需要做比较严格的控制和监视。在通过拨号服务器进行的访问中,公司需要可以对拨上来的用户进行时间、数据流量和其他访问细节进行审计和控制。由于网络入侵和攻击会对证券系统和网络产生毁灭性的打击,由于证券行业的网络带宽普遍较高,网络设备很先进,数据流也比较大,故高效先进的入侵检测设备是证券行业网络所必须配备的。远程移动人员的办公需要接入公司局域网
18、内部,由于这部分数据在公网上传送,需要进行加密传输,因此VPN的应用摆在眼前。证券网络对于证券业务非常关键,因此整个网络的性能和工作状态必须实时地反映给网络管理人员,拥有功能强大、操作简便的网络管理软件是非常必要的。对于各个网络设备(路由器、交换机等等)来说,可以配置和实时状态检测的网管软件也势在必行。证券公司普遍使用Windows环境,可以通过域(Active Directory)规划,通过域用户的认证达到比较好的权限分配,达到网络的合理合法应用。分析后,归纳出如下的网络安全子需求:访问控制访问控制是对用户进行文件和数据操作权限的限制,主要防范用户的越权访问。证券公司应根据信息机密级别和信息
19、重要性划分安全域,在安全域与安全域之间用安全保密设备进行隔离和访问控制;同一安全域中根据信息的密级和信息重要性进行分割和访问控制。通常将证券公司的重要服务器所在的子网和重要的业务工作子网分别划分为单独的安全域。当局域网与远程网络连接时,通常在局域网与远程网络之间的接口处配置安全保密产品 (如防火墙、保密网关等)进行网络边界安全保护,并采取数据加密设备(如VPN、DDN机密机、PSTN加密机等)保证信息远程传输的安全。处理秘密级、机密级信息的涉密服务器,访问应当按照用户类别、信息类别控制,访问必须控制到单个用户、单个文件。应保证访问控制规则设置的安全。对于涉密信息的细粒度访问控制,通常针对不同的
20、应用系统,结合访问控制软件和身份鉴别措施来实现。入侵检测入侵检测是对入侵行为的检测和控制。它通过监视计算机网络或计算机系统的运行,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象,一旦发现攻击能够发出报警并采取相应的措施,如阻断、跟踪和反击等。同时,记录受到攻击的过程,为网络或系统的恢复和追查攻击的来源提供基本数据。计算机病毒防治由于在网络环境下,计算机病毒有不可估量的威胁性和破坏力。我们都知道,证券网络系统中使用的操作系统大部分为WINDOWS系统,比较容易感染病毒。因此计算机病毒的防范也是网络安全建设中应该考滤的重要的环节之一。我们从预防病毒、检测病毒和杀毒考虑证券网络的网络安全
21、。下面总结出一系列行之有效的计算机病毒防护措施供参考。新购置的计算机硬软件系统的测试新购置的计算机是有可能携带计算机病毒的。因此,在条件许可的情况下,要用检测计算机病毒软件检查已知计算机病毒,用人工检测方法检查未知计算机病毒,并经过证实没有计算机病毒感染和破坏迹象后再使用。新购置计算机的硬盘可以进行检测或进行低级格式化来确保没有计算机病毒存在。对硬盘只在DOS下做FORMAT格式化是不能去除主引导区(分区表)计算机病毒的。软盘在DOS下做FORMAT格式化可以去除感染的计算机病毒。新购置的计算机软件也要进行计算机病毒检测。有些软件厂商发售的软件,可能无意中已被计算机病毒感染。就算是正版软件也难
22、保证没有携带计算机病毒的可能性,更不要说盗版软件了。这在国内、外都是有实例的。这时不仅要用杀毒软件查找已知的计算机病毒,还要用人工检测和实验的方法检测。在mail和上网成为主流病毒传播方式的今天,在网络中使用网络防病毒系统是非常必要的。网络防病毒系统可以实时更新病毒库,网络管理员对网络中所有计算机均可做到防病毒控制,可以有效阻止网络病毒爆发和泛滥。安全审计安全审计有助于对入侵进行评估,是提高安全性的重要工具。审计信息对于确定是否有网络攻击的情况发生,以及确定问题和攻击源都非常重要。通过对安全事件的不断收集与积累并且加以分析,可以为发现可能的破坏性行为提供有力的证据。证券公司网络系统中,计算机操
23、作系统、网络管理、应用系统都应具有相应的安全审计功能。系统产生的大量的审计数据给出了系统中活动的详细记录。利用系统安全自动分析或检测工具对审计数据进行分析,可尽量早地发现那些可疑事件或行为的线索,发现网络中存在的不稳定因素(如服务器死机),给出报警或应对措施。在证券公司网络的安全审计中,我们应该采用入侵检测审计和访问控制系统审计相结合的方法进行安全审计。审计需求:a) 操作系统:操作系统必须启动日志与审计的功能。b) 办公系统等应用软件应该具有日志和审记功能,以便于安全事故原因的分析和漏洞的弥补,同时也非常有利于系统的快速恢复,从而将损失降低到最小程度。c) 数据库系统:做好数据库操作的日志和
24、审计工作。d) 对于网络行为进行记录和审计,对不良的行为进行分析并尽快出台处理办法。身份鉴别目前每个证券用户都是通过用户名和口令登录,并且都是明文传输,密码容易被人窃取,给证券用户带来了一定的风险。为保证交易和资金的安全,防止非法人员窃取用户口令,破坏电子商务和资金结算系统。针对目前身份认证中普遍存在的不安全问题,通过为所有员工和用户发放签名数字证书来进行身份标识,并通过使用数字证书对通信的双方进行身份验证和签名验证,最终满足证券行业网络信息化的安全需求,有效地防止各种信息安全隐患。用户和员工的身份可以使用USB证书来识别。信息加密信息传输加密信息传输加密用来防止通信线路上的窃听、泄漏、篡改和
25、破坏。信息存储加密信息存储加密的主要方式有文件加密和数据库加密。数据库加密的基本方式可以分为库外加密和库内加密。数据库加密满足以下基本要求:(1) 数据加密后,存储空间没有明显的增加。(2) 为维护系统原有性能,加密和解密的速度足够快。(3) 加密系统要有灵活的授权机制,数据库加密后,应允许用户以不同的粒度进行访问控制。(4) 加密系统应提供一套安全的、使用灵活的密钥管理机制。(5) 加密后对数据库的查询、检索、修改、更新要灵活、简便。备份与恢复证券公司网络的主要设备、软件、数据、电源等都应有备份,并有技术措施和组织措施能够在较短时间内恢复系统运行。如果日常工作对涉密系统的依赖性特别强,则建立
26、远程的应急处理和灾难恢复中心。我们考虑的备份主要包括数据备份、服务器系统备份、线路备份等几个方面。安全保密管理安全管理贯穿在安全的各个层次实施。从全局管理角度来看,我们制订了全局的安全管理策略;从技术管理角度来看,实现安全的配置和管理;从人员管理角度来看,实现统一的用户角色划分策略,制定一系列的管理规范;从资源管理角度来看,实现资源的统一配置和管理。根据安全防范体系中的各种安全技术所需的技术管理工作,设定安全管理的角色,如业务系统管理员、网络系统管理员、安全管理员、系统审计分析员等职位。根据不同的职能,定义不同角色的责任和权利,制定相应的操作规范。全局安全管理策略证券公司网络将建立一个的信息安
27、全控制中心,担负起集中式的安全管理中心的职能,负责制订公司网络的全局安全管理制度,并且负责协调各个部门之间的关系。信息安全控制中心首先确定公司网络安全管理体系等级,建立总的安全管理机制和各级安全管理中心。此外,还负责制定一批合理可行的安全管理制度,督促并保障制度的实施。实时响应和恢复响应是指发生安全事故后的紧急处理程序。响应组织一般包括:安全管理中心:领导整个安全队伍,分配任务并审计执行情况,负责上报安全状况或进一步向其它组织寻求援助和咨询。入侵预警和跟踪小组:负责监控整个网络的入侵检测、预警、跟踪,估计造成损失的情况,可以选择中断服务等措施以避免更大的损失。平时负责跟踪入侵手段、漏洞及其对抗
28、手段的发展情况,适时提出更新安全工具的必要性和安排计划。病毒预警和防护小组:负责整个网络在病毒预警和防护方面的工作,对病毒预警和清除负责,平时负责跟踪病毒的产生和传播情况,注意防病毒技术的发展情况,及时提出病毒库更新要求或升级防病毒软件的要求。漏洞扫描小组:负责对网络漏洞、系统漏洞、数据库漏洞等进行扫描并提出改进建议和计划。平时注意漏洞及其攻击技术的发展情况,及时提出弥补漏洞的措施,如使用最新补丁、改变网络拓扑、改变设备配置、升级系统等。恢复是指将受损失的系统复原到发生安全事故以前的状态,这是一个复杂和烦琐的过程,需要信心、细心和耐心,一般包括如下几个方面:1) 恢复领导小组:负责协调整个恢复
29、工作,分配人员、任务并审计进展情况。2) 网络恢复小组:负责恢复整个网络基础设施,如线路、路由器、交换机等功能。3) 系统恢复小组:负责所有主机的恢复工作,使主机能够再次平稳运行起来。4) 数据库恢复小组:负责数据库系统的修复、重起、数据恢复和加载,是数据库系统平稳运行起来;5) 应用恢复小组:负责整个应用系统的恢复,为重新业务系统开始运行做最后的准备。第四章 网络安全系统构建原则第一节 证券网络安全系统产品选型原则网络安全防范是通过安全技术、安全产品集成及安全管理来实现。其中安全产品的集成便涉及如何选择网络安全产品?在进行网络安全产品选型时,应该要求网络安全产品满足两方面的要求:一是安全产品
30、必须符合国家有关安全管理部门的政策要求;二是安全产品的功能与性能要求。满足国家管理部门的政策性方面要求证券公司针对相关的安全产品必须查看其是否得到相应的许可证,如:安全产品获得国家公安部颁发的销售许可证。 安全产品获得中国信息安全产品测评认证中心的测评认证。 符合国家保密局有关国际联网管理规定以及涉密网审批管理规定。 安全产品的选型原则证券网络安全系统的设计从安全产品选择考虑了产品功能、性能、运行稳定性以及扩展性,并且对安全产品,还考查其产品自身的安全性。证券网络信息安全产品的选型遵循以下原则: 稳定(stabilization) 高可用性(High Availability) 易用性(eas
31、y for use) 自身安全(self safety) 超越传统,独具特色(transcend tradition , own feature)第二节 网络安全方案设计原则证券网络系统安全方案设计、规划时,应遵循以下原则:综合、整体性原则:网络安全不单靠技术措施,必须结合管理,当前发生的网络安全问题中,管理问题占相当大的比例,在建立网络安全设施体系的同时必须建立相应的制度和管理体系。计算机网络的各个环节,包括个人(使用、维护、管理)、设备(含设施)、软件(含应用系统)、数据等,在网络安全中的地位和影响作用,也只有从系统整体的角度去看待、分析,才可能得到有效、可行的措施。不同的安全措施其代价、
32、效果对不同网络并不完全相同。计算机网络安全应遵循整体安全性原则,根据确定的安全策略制定出合理的网络体系结构及网络安全体系结构。均衡性原则:安全措施的实施必须以根据安全级别和经费限度统一考虑。网络中相同安全级别的保密强度要一致。节约性原则:整体方案的设计应该尽可能的不改变原来网络的设备和环境,以免资源的浪费和重复投资。集中性原则:所有的产品要求在网络或数据中心可以进行集中管理,这样才能保证在网络或数据中心的服务器上可以掌握全局。多重保护原则:任何安全措施都不是绝对安全的,都可能被攻破。但是建立一个多重保护系统,各层保护相互补充,当一层保护被攻破时,其它层保护仍可保护信息的安全。角色化原则:在管理
33、上面,不仅在数据中心可以完全控制外,在地方还需要分配适当的角色使地方可以在自己的权利下修改和查看安全策略和审计日志。可扩展原则:随着网络规划和规模的改变,以后必然会有新的需求,因此在设计时必须考虑该因素。适应性及灵活性原则:安全措施必须能随着网络性能及安全需求的变化而变化,要容易适应、容易修改和升级。 可评价性原则:如何预先评价一个安全设计并验证其网络的安全性,这需要通过国家有关网络信息安全测评认证机构的评估来实现。网络安全是整体的、动态的。网络安全的整体性是指一个安全系统的建立,即包括采用相应的安全设备,又包括相应的管理手段。安全设备不是指单一的某种安全设备,而是指几种安全设备的综合。网络安
34、全的动态性是指,网络安全是随着环境、时间的变化而变化的,在一定环境下是安全的系统,环境发生变化了(如更换了某个机器),原来安全的系统就变的不安全了;在一段时间里安全的系统,时间发生变化了(如今天是安全的系统,可能因为黑客发现了某种系统的漏洞,明天就会变的不安全了),原来的系统就会变的不安全。所以,建立网络安全系统不是一劳永逸的事情。针对安全体系的特性,我们可以采用统一规划、分步实施的原则。具体而言,我们可以先对网络做一个比较全面的安全体系规划,然后,根据我们网络的实际应用状况,先建立一个基础的安全防护体系,保证基本的、应有的安全性。随着今后应用的种类和复杂程度的增加,再在原来基础防护体系之上,
35、建立增强的安全防护体系。 对于证券网络安全体系的建立,我们建议采取以上的原则,先对整个网络进行整体的安全规划,然后根据实际状况建立一个从防护-检测-响应的基础的安全防护体系,提高整个网络基础的安全性,保证应用系统的安全性。第五章 证券系统网络安全整体设计方案本方案旨在为证券行业网络提供全面的网络系统安全解决方案,网络安全是分层次的,需要在不同层次解决不同的安全问题。我们将证券网络网络安全的层次划分为五层:物理层安全、网络层安全、系统层安全、应用层安全、安全管理。通过部署不同类型的安全产品,实现对不同层次、不同类别网络安全问题的防护。证券网络总部是一个信息点较为密集的局域网网络系统,本方案针对证
36、券行业现状,不仅考虑防范来自总部局域网以外的攻击,同时考虑防范系统内部可能发生的攻击,严格保障证券网络内部关键节点的安全,从而较为有效地保障整个系统的安全,通过对证券网络进行网络风险分析和评估,结合适度的经费预算及未来的网络安全的动态性,我们进行如下方案设计。 针对上面的安全层次,结合证券网络系统的实际情况和需求,采用一系列产品搭建安全防范体系,安全解决方案中包括以下几个部分:1) 网络安全整体系统2) 防火墙子系统3) 入侵检测与信息监控子系统4) VPN子系统5) 网络管理子系统6) 网络防病毒系统7) 安全审计子系统8) 身份认证子系统第一节 整体安全解决方案整体安全系统设计如下:安全系
37、统设计说明主要考虑通用的证券行业目前网络的实际应用情况,对局域网总部的核心服务器进行最关键的保护。1) 在证券总部联入Internet出口处配置一台方通VPN2000防火墙,在公司内部放置一台服务器做VPN设置的管理中心,同时也是系统中所有防火墙的配置中心和安全管理中心(配置方正Center 2000管理软件)。取消所有的Access Server联入公司局域网的方式,使用虚拟局域网(VPN)技术,在移动用户访问公司网络时,不仅方便使用,而且进行数据传输加密。2) 在公司总部和各地营业部连接的路由器之后接入防火墙,保证各地营业部联入总部的数据是网络安全管理员认为合法的,其他非法的数据流量通过防
38、火墙进行硬件阻断。这样可以防止各地营业部对总部网络关键数据的非故意的访问造成的危害,而且也能防止网络病毒通过此链路传播。3) 在方通VPN 2000的黑区(可以监控进出防火墙数据的端口)处接入Founder Sniper入侵监测产品,对所有访问Internet的数据流量进行监听和控制,这台Founder Sniper另外两个监听口联入主干交换机,对整个网络的数据流量进行监控,如果发现内部员工的非法访问和网络攻击行为,及时进行报警和预先设定好的策略进行响应。4) 使用方通防火墙和方正Sniper的信息审计功能,建立信息审计和防信息泄漏系统,对主要的网络协议(比如smtp、telnet等等)的网络
39、行为进行记录,供网络管理人员进行信息审计。对一些比较敏感的协议(比如FTP),可以通过Sniper进行控制。此外,通过数据库和服务器自身的操作记录日志审计功能,建立起完善的访问审计系统。5) 对于来自Internet的网络入侵攻击行为,通过接在方通防火墙黑区口的方正入侵检测设备进行识别,并通过防火墙联动进行防护。6) 在全网实施网络防病毒产品,在各个服务器上安装熊猫防病毒服务器版,在各个桌面计算机上配置熊猫网络防病毒客户端产品,通过Internet的定期更新病毒库,保证整个证券网络一直保持最新的防病毒能力,不被最新爆发的病毒感染。7) 在网络中心建立网络管理服务器,使用方正Netinway P
40、ro产品对整个证券网络的目前各个端口的状况、实时流量做到心里有数,对于关键的服务器流量异常时报警通知网络管理员。对于整个网络目前链路的情况也可以通过网管软件实时了解情况。由于证券网络中设备大多数属于Cisco设备,因此建议同时使用Cisco Works 2000软件,这套软件可以对数据线路的情况做实时的检测,而且也可以对Cisco设备做细致的配置工作。两套网管系统互相补充,可以做到网络管理最优的效果。8) 在办公网络安装方正Netinhand桌面管理软件,可以大幅度减轻网络管理员的日常维护工作,不仅可以提供系统和数据存储还原功能,还可以让管理员在管理端任意配置客户端计算机。9) 建议在全网中安
41、装操作系统、数据备份系统,定期对重点服务器提供数据备份。10) 如果需要,建议在证券网络中建立证书(CA)系统,对于用户和股民发放USB证书,保证拥有证书的人员才能够正常交易,使数据篡改不可进行,并使数据拥有不可抵赖性。11) 建立、健全信息安全的管理手段和措施,包括相应的安全制度、规章和惯例等,并指定专人定期进行相关工作。第二节 防火墙子系统防火墙子系统如下:防火墙配置说明对于证券总部网络与所有外网连接出口,都需要使用防火墙进行防护。在此拓扑结构下,总部网络需要3台防火墙和一台VPN对所有出口进行防护。由于在联入Internet的链路上危险性最大,我们建议在防火墙的DMZ(非军事化区域)内接
42、入内部系统的邮件代理服务器、Web代理服务器等等,并在防火墙上配置规则,保证外部因特网只能访问DMZ区域中的服务器的相关服务,内部网络也只能访问DMZ区域中的服务器的相关服务。这时,DMZ区域中的服务器就成为了内部网络和外部网络的中间地带,成为了堡垒主机,可以提高证券公司内部网络的安全性,降低安全风险。在公司和证交所网络、本地营业部、外地营业部之间的数据链路中,配置接入防火墙。主要作用是使外部网络只有经过了防火墙授权的数据流量才能进入公司内部局域网。对于正常的证券业务流量,防火墙允许进行数据交换,此外的数据流量通过防火墙的安全规则予以阻断,这样既提高了安全性又阻止了无关流量,也杜绝了局部的病毒
43、扩散到整个证券公司的网络中。与银行的网络连接,由于一般使用“银证通”的系统,PC服务器采用双网卡、硬件隔离卡,同时只能连接在证券公司或者银行网络任意一端,每天结算一次帐户信息,因此可以保证网络安全,故不考虑接入防火墙。在各地的营业所的路由器后,接入方通防火墙,这些防火墙主要起隔离作用,同样设置对保护对象(各地营业所网络)的访问只允许证券业务数据通过,其他无关通讯流量通过防火墙安全规则予以阻断。由于每个营业所计算机点数不会很多,建议使用方通防火墙100型号;由于各地营业所均与在总部通讯,因此与证交所网络、本地营业部、外地营业部连接线路的路由器后接入方通防火墙1000型号;在与Internet网络
44、连接的网络中,我们建议接入方通VPN2000,方通VPN2000不仅带有防火墙功能,而且带有强大的VPN功能。我们在总部网络中建立一个VPN控制中心,安装方正的Center 2000VPN控制中心,这样VPN控制中心可以对以上所有的防火墙进行配置并对VPN进行管理。在移动办公人员的计算机上安装方正VPN client软件,无论移动办公使用modern拨号还是用宽带上网,都可以对公司内部局域网进行加密通讯,感觉就像在公司局域网内一样。第三节 入侵检测与信息监控子系统入侵检测与信息监控子系统如下:入侵检测与信息监控配置说明在方正方通VPN2000设备上的黑区(注:黑区是防火墙其余端口的映射口)上接
45、入方正Sniper入侵检测设备。方正Sniper入侵检测设备是专业的入侵检测设备,它可以对各种入侵行为作出反应,而且和方通防火墙联通良好。一旦Sniper发现有来自Internet的入侵行为存在,它会通过黑区口告知防火墙生成临时规则阻止这部分非法数据流量,使得黑客无从下手。此外,方正Sniper支持8块网卡,我们在中心交换机上配置映射口,使得在影射口上可以监听到交换机上其他所有端口的信息数据,从Sniper服务器上另外接出两块千兆光纤网卡联入总部网络的两个中心交换机的映射口,这样内部人员互相访问的数据同样可以通过方正Sniper进行监视和控制,防止内部员工的网络攻击行为和非法访问行为。方正Sn
46、iper是一个网络行为的监视响应行为,在进行入侵检测工作的同时,可以对常用的协议(比如smtp、ftp、telnet等等)进行监控。我们可以借助方正Sniper建立证券网络内部的信息审计系统,可以记录下所有网络上的email数据、telnet数据、共享文件夹访问情况和Internet访问情况等等,使网络管理人员能清楚地了解网络实际运行情况,并审计网络数据流,防止信息泄漏和垃圾邮件、骚扰邮件地滥发。方正Sniper可以做到对Internet的访问控制(URL控制),可以帮助网络管理人员控制网络使用,杜绝员工上班时间访问与工作无关的网站(例如游戏、色情、聊天网站等等)。方正Sniper采用B/S的
47、架构,在任意的Windows环境下,采用IE5.0以上的浏览器都可以通过SSL连接到Sniper服务器上进行管理,方便可靠。第四节 VPN子系统VPN子系统如下:VPN子系统配置说明证券公司有些员工在出差的时候需要访问公司内部局域网,可以通过拨号服务器进行接入。但是,这些移动办公人员的数据在公网上传输会带来很大的安全隐患,为了防止数据被窃听和篡改,我们使用方正VPN作为解决方法。方正VPN(虚拟局域网)不仅对数据进行加密,而且可以是在外工作的员工感觉就像在公司局域网内部一样,可以访问经过授权的局域网内的任何网络资源,给在外的员工带来了极大的方便。我们在证券公司接入Internet的链路上配置方
48、正方通VPN 2000,在内部局域网配置一台VPN控制中心,安装VPN控制中心(Center 2000),这个VPN控制中心定义每个VPN客户端的访问权限,可以使不同的VPN客户端拥有不同访问局域网的权限。这样,给移动办公带来方便的同时,也根据不同用户可以访问不同网络资源的原则,从管理上提高了整个证券网络的安全性。第五节 网络管理子系统网络管理子系统如下:网络管理子系统配置说明:在网络中心建立网络管理中心,配置网管服务器,安装方正Netinway Pro产品。Netinway Pro是基于标准SNMP(简单网络管理协议)的网络管理软件,功能非常强大,可以了解大规模网络中网络设备和计算机实时的状况,并针对各个级