证券行业网络安全与网络管理项目解决方案.doc
《证券行业网络安全与网络管理项目解决方案.doc》由会员分享,可在线阅读,更多相关《证券行业网络安全与网络管理项目解决方案.doc(32页珍藏版)》请在咨信网上搜索。
1、 .证券行业网络安全与网络管理解决方案方正科技软件2003年4月目录第一章网络安全现状和方正软件公司定位介绍4第二章证券网络系统安全需求分析说明5第一节证券行业普遍拓扑结构5第二节证券行业网络安全风险分析7物理安全风险分析7链路传输风险分析7网络结构的安全风险分析7系统的安全风险分析8应用的安全风险分析9管理的安全分析10第三节证券行业网络安全需求分析11证券行业网络安全需求总体分析:11访问控制11入侵检测12计算机病毒防治12安全审计13身份鉴别13信息加密14备份与恢复14安全管理14实时响应和恢复15第四章网络安全系统构建原则17第一节证券网络安全系统产品选型原则17第二节网络安全方案
2、设计原则18第五章证券系统网络安全整体设计方案20第一节整体安全解决方案21第二节防火墙子系统23第三节入侵检测与信息监控子系统25第四节 VPN子系统27第五节网络管理子系统28第六节网络防病毒子系统与其他子系统30第一章 网络安全现状和方正软件公司定位介绍随着计算机技术和通讯技术的飞速发展,网络正逐步改变着人们的工作方式和生活方式,成为当今社会发展的一个主题。网络的开放性,互连性,共享性程度的扩大,特别是Internet的出现,使网络的重要性和对社会的影响也越来越大。随着网络上电子商务,电子政务,数字货币、网络教学等新兴业务的兴起,网络安全问题变得越来越重要。病毒是网络安全最大的隐患,它对
3、网络的威胁占导致经济损失的安全问题的76%。几乎所有的企业都不同程度的遭受过病毒的侵袭。目前全球已发现几万余种病毒样本,并且以每月新增300多种的速度继续破坏着网络和单机上宝贵的信息资源。病毒给每个计算机用户和企业带来了无法估量和弥补的损失。计算机网络犯罪所造成的经济损失也令人吃惊。仅在美国每年因计算机犯罪所造成的直接经济损失就达150亿美元。在全球平均每二十秒就发生一次网上入侵事件。有近80%的公司至少每周在网络上要被大规模的入侵一次,并且一旦黑客找到系统的薄弱环节,所有用户都会遭殃。面对计算机网络的种种安全威胁,必须采取有力的措施来保证安全。而据调查,我国电子商务类中90%以上存在信息安全
4、问题。信息网络中的各种犯罪活动已经严重地威胁着国家、企业的安全。特别是对徐汇区城域网这样的国家重要政府网络,更应该考虑到网络安全的重要性,一旦重要的信息泄露,将会给国家造成巨大的损失。网络扩展的同时,信息也要求更加安全,实际上网络与信息的安全是一个长期的、综合的系统工程,存在于整个信息时代中。电子政务网络与信息安全情况也是如此,主要存在与建设、应用和管理三个方面,而且随着新技术的发展,新设备的出现,加上组织结构的变更,应用的深入,会不断进行变化的。网络与信息安全二者的有机结合需要能提供高技术和服务的公司。同时网络安全问题也是个长期,不断完善的过程。方正软件通过自身的研发以与与国外著名IT公司的
5、合作,形成了方正信息安全与网络管理系统与方正中小企业电子商务应用系统二大产品线。公司定位为“中国人自己的信息安全卫士”和“中国企业e化的高速公路”。同时,公司又充分运用方正的品牌、技术、渠道优势,整合国外资源,不断为广大用户提供最好的解决方案与应用服务。第二章 证券网络系统安全需求分析说明第一节 证券行业普遍拓扑结构证券行业普遍拥有总部和数据处理中心,在各地拥有营业部和交易所,为了保证交易时间的不间断工作,各地营业所到总部拥有双线路做线路备份,在总部里也是作了线路备份的设置。具体典型拓扑如下:网络拓扑结构说明如上图所示,整个证券公司网络采用分层设计,可分为两层:核心层:由高性能的中心三层交换机
6、、数据库磁盘阵列、业务服务器构成网络核心层(数据中心),主干网络采用千兆以太网,保证了网络性能。为保障核心层的安全可靠,两台中心交换机互为备份,保证了整个网络始终处于连通状态。在数据中心里配置有前端服务器、中间件服务器和后台数据库服务器,数据库服务器中存储有大量户头、资金等敏感信息。接入层:在各个办公楼层上,楼层交换机使用千兆上行端口采用光纤与中心交换机相连,传输速率为1000M,构成网络主干网;其下行端口到桌面,传输速率为100M。远程的营业部和交易所采用各种广域网方式接如总部网络。此外,证券公司会和证券交易所(上证所和深交所)进行数据交换,会有数据链路存在。移动办公者采用Access Se
7、rver拨号进入总部网络,访问相关网络资源。证券公司也会与相关的银行进行数据交换,使得股民可以把在银行的和证券公司的户头相关联,这部分应用大多数采用“银证通”的服务。总部网络一般划分为办公网络和业务网络两部分。办公网络是非证券业务所在,安全级别较低,承担着与外界联系的责任,一般要求接入Internet,而业务网络承担着每天交易数据的处理,安全级别非常高,因此办公网络和业务网络会采用VLAN的形式加以划分,确保Internet上不能直接访问业务网络。第二节 证券行业网络安全风险分析网络应用给人们带来了无尽的好处,但随着网络应用扩大网络安全风险也变得更加严重和复杂。原来由单个计算机安全事故引起的损
8、害可能传播到其他系统和主机,引起大围的瘫痪和损失;另外加上缺乏安全控制机制和对网络安全政策与防护意识的认识不足,这些风险正日益加重。而这些风险与网络系统结构和系统的应用等因素密切相关。我们根据证券行业的网络结构和应用情况,从物理安全、链路安全、网络安全、系统安全、应用安全与管理安全进行分类描述:物理安全风险分析网络物理安全是整个网络系统安全的前提。物理安全的风险主要有:地震、水灾、火灾等环境事故造成整个系统毁灭;电源故障造成设备断电以至操作系统引导失败或数据库信息丢失;设备被盗、被毁造成数据丢失或信息泄漏;电磁辐射可能造成数据信息被窃取或偷阅;报警系统的设计不足可能造成原本可以防止但实际发生了
9、的事故。链路传输风险分析网络安全不仅是入侵者到证券网络部网上进行攻击、窃取或其它破坏,黑客完全有可能在传输线路上安装窃听装置,窃取你在网上传输的重要数据,再通过一些技术读出数据信息,造成泄密或者做一些篡改来破坏数据的完整性;以上种种不安全因素都对网络构成严重的安全危胁。因此,对于证券行业这种带有重要资金、信息传输的网络,数据在公共链路上传输最好加密。并通过数字签名与认证技术来保数据在网上传输的真实性、性、可靠性与完整性。网络结构的安全风险分析来自与公网互联的安全威胁证券行业的办公网络与Internet连接。基于Internet公网的开放性、国际性与自由性,在公司员工享受Internet的信息共
10、享的好处同时,部网络将面临非常严重的安全威胁。因为,每天黑客都在试图闯入Internet节点,假如我们的网络不保持警惕,可能连黑客怎么闯入的都不知道,甚至会成为黑客入侵其他网络的跳板。证券公司部网络中拥有非常重要的信息。假如部网络的一台机器安全受损(被攻击或者被病毒感染),就会同时影响在同一网络上的许多其他系统。透过网络传播,还会影响到与本系统网络有连接的外单位网络;影响所与,还可能涉与和证券相连的证交所和银行等安全敏感领域。如果系统部局域网络与系统外部网络间没有采取一定的安全防护措施,部网络容易造到来自外网一些不怀好意的入侵者的攻击。如:入侵者通过Sniffer等嗅探程序来探测扫描网络与操作
11、系统存在的安全漏洞,如网络IP地址、应用操作系统的类型、开放哪些TCP/UDP端口号、系统保存用户名和口令等安全信息的关键文件等,并通过相应攻击程序对网进行攻击。入侵者通过网络监听等先进手段获得部网用户的用户名、口令等信息,进而假冒部合法身份进行非法登录,窃取部网重要信息。恶意攻击:入侵者通过使用Dos(拒绝服务攻击)对部网重要服务器进行攻击,使得服务器超负荷工作以至拒绝服务甚至系统瘫痪。部局域网的安全威胁据调查在已有的网络安全攻击事件中约70%是来自部网络的侵犯。比如部人员故意泄漏部网络的网络结构;安全管理员有意透露其用户名与口令;部员工恶意攻击局域网中重要数据存放的服务器(例如数据库服务器
12、);部人员恶意使用网络资源,滥发垃圾等等;部不怀好意员工编些破坏程序在部网上传播或者部人员通过各种方式盗取他人涉密信息传播出去。种种因素都将网络安全构成很大的威胁。系统的安全风险分析所谓系统安全通常是指网络操作系统、应用系统的安全。目前的操作系统或应用系统无论是Windows还是其它任何商用Unix、Linux操作系统以与其它厂商开发的应用系统,其开发厂商必然有其Back-Door。而且系统本身必定存在安全漏洞。这些后门或安全漏洞都将存在重大安全隐患。但是从实际应用上,系统的安全程度跟对其进行安全配置与系统的应用面有很大关系,操作系统如果没有采用相应的安全配置,则其是漏洞百出,掌握一般攻击技术
13、的人都可能入侵得手。如果进行安全配置,比如:填补安全漏洞,关闭一些不常用的服务,禁止开放一些不常用而又比较敏感的端口等,那么入侵者要成功进入部网就会难得多,这需要相当高的技术水平与相当长时间。因此应正确估价自己的网络风险并根据自己的网络风险大小作出相应的安全解决方案。应用的安全风险分析应用系统的安全涉与很多方面。应用系统是动态的、不断变化的。应用的安全性也是动态的。这就需要我们对不同的应用,检测安全漏洞,采取相应的安全措施,降低应用的安全风险。资源共享证券网络部拥有自动化办公系统。而办公网络应用通常是共享网络资源,比如文件共享、打印机共享等。由此就可能存在着:员工有意、无意把硬盘中重要信息目录
14、共享,长期暴露在网络邻居上,可能被外部人员轻易偷取或被部其他员工窃取并传播出去造成泄密,因为缺少必要的访问控制策略。电子系统电子为网系统用户提供电子应用。部网用户可够通过拔号或其它方式进行电子发送和接收这就存在被黑客跟踪或收到一些特洛伊木马、病毒程序等,由于许多用户安全意识比较淡薄,对一些来历不明的,没有警惕性,给入侵者提供机会,给系统带来不安全因至素。病毒侵害网络是病毒传播的最好、最快的途径之一。病毒程序可以通过网上下载、电子、使用盗版光盘或软盘、人为投放等传播途径潜入部网。因此,病毒的危害的不可以轻视的。网络中一旦有一台主机受病毒感染,则病毒程序就完全可能在极短的时间迅速扩散,传播到网络上
15、的所有主机,可能造成信息泄漏、文件丢失、机器死机等安全事件。数据信息数据安全对证券行业来说尤其重要,数据在广域网线路上传输,很难保证在传输过程中不被非法窃听、窃取和篡改。现今借助很多先进技术,黑客或一些工业间谍会设法在线路上做些手脚,获得在网上传输的数据信息,也就造成了泄密。这对证券行业的用户来说,是决不允许的。管理的安全分析部管理人员或员工把部网络结构、管理员用户名与口令以与系统的一些重要信息传播给外人带来信息泄漏风险。机房重地却是任何都可以进进出出,来去自由。存有恶意的入侵者便有机会得到入侵的条件。部不满的员工有的可能熟悉服务器、小程序、脚本和系统的弱点。利用网络开些小玩笑,甚至破坏。如传
16、出至关重要的信息、错误地进入数据库、删除数据等等。这些都将给网络造成极大的破坏。管理是网络中安全得到保证的重要组成部分,是防止来自部网络入侵必须的部分。责权不明,管理混乱、安全管理制度不健全与缺乏可操作性等都可能引起管理安全的风险。即除了从技术上下功夫外,还得依靠安全管理来实现。第三节 证券行业网络安全需求分析证券行业网络安全需求总体分析:证券行业对安全产品有比较深刻的认识,对网络安全的重要性也有深刻理解,行业网络安全要求非常高。由于目前中国的证券业普遍没有手工报单的业务,所有交易是电子化的,因此一旦网络和计算机出故障,整个交易就会瘫痪。曾经有些证券公司就出现过由于病毒泛滥造成的交易中止的情况
17、,不仅经济损失惨重,而且证券公司的信誉也遭受了很大打击。由于证券行业拥有众多的营业所和分部,公司对接入总部的用户需要做比较严格的控制和监视。在通过拨号服务器进行的访问中,公司需要可以对拨上来的用户进行时间、数据流量和其他访问细节进行审计和控制。由于网络入侵和攻击会对证券系统和网络产生毁灭性的打击,由于证券行业的网络带宽普遍较高,网络设备很先进,数据流也比较大,故高效先进的入侵检测设备是证券行业网络所必须配备的。远程移动人员的办公需要接入公司局域网部,由于这部分数据在公网上传送,需要进行加密传输,因此VPN的应用摆在眼前。证券网络对于证券业务非常关键,因此整个网络的性能和工作状态必须实时地反映给
18、网络管理人员,拥有功能强大、操作简便的网络管理软件是非常必要的。对于各个网络设备(路由器、交换机等等)来说,可以配置和实时状态检测的网管软件也势在必行。证券公司普遍使用Windows环境,可以通过域(Active Directory)规划,通过域用户的认证达到比较好的权限分配,达到网络的合理合法应用。分析后,归纳出如下的网络安全子需求:访问控制访问控制是对用户进行文件和数据操作权限的限制,主要防用户的越权访问。证券公司应根据信息级别和信息重要性划分安全域,在安全域与安全域之间用安全设备进行隔离和访问控制;同一安全域中根据信息的密级和信息重要性进行分割和访问控制。通常将证券公司的重要服务器所在的
19、子网和重要的业务工作子网分别划分为单独的安全域。当局域网与远程网络连接时,通常在局域网与远程网络之间的接口处配置安全产品 (如防火墙、网关等)进行网络边界安全保护,并采取数据加密设备(如VPN、DDN机、PSTN加密机等)保证信息远程传输的安全。处理秘密级、级信息的涉密服务器,访问应当按照用户类别、信息类别控制,访问必须控制到单个用户、单个文件。应保证访问控制规则设置的安全。对于涉密信息的细粒度访问控制,通常针对不同的应用系统,结合访问控制软件和身份鉴别措施来实现。入侵检测入侵检测是对入侵行为的检测和控制。它通过监视计算机网络或计算机系统的运行,从中发现网络或系统中是否有违反安全策略的行为和被
20、攻击的迹象,一旦发现攻击能够发出报警并采取相应的措施,如阻断、跟踪和反击等。同时,记录受到攻击的过程,为网络或系统的恢复和追查攻击的来源提供基本数据。计算机病毒防治由于在网络环境下,计算机病毒有不可估量的威胁性和破坏力。我们都知道,证券网络系统中使用的操作系统大部分为WINDOWS系统,比较容易感染病毒。因此计算机病毒的防也是网络安全建设中应该考滤的重要的环节之一。我们从预防病毒、检测病毒和杀毒考虑证券网络的网络安全。下面总结出一系列行之有效的计算机病毒防护措施供参考。新购置的计算机硬软件系统的测试新购置的计算机是有可能携带计算机病毒的。因此,在条件许可的情况下,要用检测计算机病毒软件检查已知
21、计算机病毒,用人工检测方法检查未知计算机病毒,并经过证实没有计算机病毒感染和破坏迹象后再使用。新购置计算机的硬盘可以进行检测或进行低级格式化来确保没有计算机病毒存在。对硬盘只在DOS下做FORMAT格式化是不能去除主引导区(分区表)计算机病毒的。软盘在DOS下做FORMAT格式化可以去除感染的计算机病毒。新购置的计算机软件也要进行计算机病毒检测。有些软件厂商发售的软件,可能无意中已被计算机病毒感染。就算是正版软件也难保证没有携带计算机病毒的可能性,更不要说盗版软件了。这在国、外都是有实例的。这时不仅要用杀毒软件查找已知的计算机病毒,还要用人工检测和实验的方法检测。在mail和上网成为主流病毒传
22、播方式的今天,在网络中使用网络防病毒系统是非常必要的。网络防病毒系统可以实时更新病毒库,网络管理员对网络中所有计算机均可做到防病毒控制,可以有效阻止网络病毒爆发和泛滥。安全审计安全审计有助于对入侵进行评估,是提高安全性的重要工具。审计信息对于确定是否有网络攻击的情况发生,以与确定问题和攻击源都非常重要。通过对安全事件的不断收集与积累并且加以分析,可以为发现可能的破坏性行为提供有力的证据。证券公司网络系统中,计算机操作系统、网络管理、应用系统都应具有相应的安全审计功能。系统产生的大量的审计数据给出了系统中活动的详细记录。利用系统安全自动分析或检测工具对审计数据进行分析,可尽量早地发现那些可疑事件
23、或行为的线索,发现网络中存在的不稳定因素(如服务器死机),给出报警或应对措施。在证券公司网络的安全审计中,我们应该采用入侵检测审计和访问控制系统审计相结合的方法进行安全审计。审计需求:a) 操作系统:操作系统必须启动日志与审计的功能。b) 办公系统等应用软件应该具有日志和审记功能,以便于安全事故原因的分析和漏洞的弥补,同时也非常有利于系统的快速恢复,从而将损失降低到最小程度。c) 数据库系统:做好数据库操作的日志和审计工作。d) 对于网络行为进行记录和审计,对不良的行为进行分析并尽快出台处理办法。身份鉴别目前每个证券用户都是通过用户名和口令登录,并且都是明文传输,密码容易被人窃取,给证券用户带
24、来了一定的风险。为保证交易和资金的安全,防止非法人员窃取用户口令,破坏电子商务和资金结算系统。针对目前身份认证中普遍存在的不安全问题,通过为所有员工和用户发放签名数字证书来进行身份标识,并通过使用数字证书对通信的双方进行身份验证和签名验证,最终满足证券行业网络信息化的安全需求,有效地防止各种信息安全隐患。用户和员工的身份可以使用USB证书来识别。信息加密信息传输加密信息传输加密用来防止通信线路上的窃听、泄漏、篡改和破坏。信息存储加密信息存储加密的主要方式有文件加密和数据库加密。数据库加密的基本方式可以分为库外加密和库加密。数据库加密满足以下基本要求:(1) 数据加密后,存储空间没有明显的增加。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 证券 行业 网络安全 网络 管理 项目 解决方案
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【胜****】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【胜****】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。