证券行业网络安全及网络管理解决方案正文.docx

《证券行业网络安全及网络管理解决方案正文.docx》由会员分享，可在线阅读，更多相关《证券行业网络安全及网络管理解决方案正文.docx（27页珍藏版）》请在第一文库网上搜索。

1、证券行业网络安全及网络管理解决方案上海XX科技软件有限公司202X年4月目录第一章网络安全现状和XX软件公司定位介绍3第二章证券网络系统安全需求分析说明4第一节证券行业普遍拓扑结构4第二节证券行业网络安全风险分析6物理安全风险分析6链路传输风险分析6网络结构的安全风险分析6系统的安全风险分析7应用的安全风险分析8管理的安全分析9第三节证券行业网络安全需求分析10证券行业网络安全需求总体分析：10访问控制10入侵检测I1计算机病毒防治I1安全审计12身份鉴别12信息加密13备份与恢复13安全保密管理13实时响应和恢复14第四章网络安全系统构建原则16第一节证券网络安全系统产品选型原则16第二节网

2、络安全方案设计原则17第五章证券系统网络安全整体设计方案19第一节整体安全解决方案20第二节防火墙子系统22第三节入侵检测与信息监控子系统24第四节VPN子系统26第五节网络管理子系统27第六节网络防病毒子系统及其他子系统29第一章网络安全现状和XX软件公司定位介绍随着计算机技术和通讯技术的飞速发展，网络正逐步改变着人们的工作方式和生活方式，成为当今社会发展的一个主题。网络的开放性，互连性，共享性程度的扩大，特别是internet的出现，使网络的重要性和对社会的影响也越来越大。随着网络上电子商务，电子政务，数字货币、网络教学等新兴业务的兴起，网络安全问题变得越来越重要。病毒是网络安全最大的隐患

3、，它对网络的威胁占导致经济损失的安全问题的76%。几乎所有的企业都不同程度的遭受过病毒的侵袭。目前全球已发现几万余种病毒样本，并且以每月新增300多种的速度继续破坏着网络和单机上宝贵的信息资源。病毒给每个计算机用户和企业带来了无法估量和弥补的损失。计算机网络犯罪所造成的经济损失也令人吃惊。仅在美国每年因计算机犯罪所造成的直接经济损失就达150亿美元。在全球平均每二十秒就发生一次网上入侵事件。有近80%的公司至少每周在网络上要被大规模的入侵一次，并且一旦黑客找到系统的薄弱环节，所有用户都会遭殃。面对计算机网络的种种安全威胁，必须采取有力的措施来保证安全。而据调查，我国电子商务类网站中90%以上存

4、在信息安全问题。信息网络中的各种犯罪活动已经严重地威胁着国家、企业的安全。特别是对徐汇区城域网这样的国家重要政府网络，更应该考虑到网络安全的重要性，一旦重要的信息泄露，将会给国家造成巨大的损失。网络扩展的同时，信息也要求更加安全，实际上网络与信息的安全是一个长期的、综合的系统工程，存在于整个信息时代中。电子政务网络与信息安全情况也是如此，主要存在与建设、应用和管理三个方面，而且随着新技术的发展，新设备的出现，加上组织结构的变更，应用的深入，会不断进行变化的。网络与信息安全二者的有机结合需要能提供高技术和服务的公司。同时网络安全问题也是个长期，不断完善的过程。XX软件通过自身的研发以及与国内外著

5、名IT公司的合作，形成了XX信息安全与网络管理系统及XX中小企业电子商务应用系统二大产品线。公司定位为“中国人自己的信息安全卫士”和“中国企业e化的高速公路”。同时，公司又充分运用XX的品牌、技术、渠道优势，整合国内外资源，不断为广大用户提供最好的解决方案与应用服务。第二章证券网络系统安全需求分析说明第一节证券行业普遍拓扑结构证券行业普遍拥有总部和数据处理中心，在各地拥有营业部和交易所，为了保证交易时间的不间断工作，各地营业所到总部拥有双线路做线路备份，在总部里也是作了线路备份的设置。具体典型拓扑如下：网络拓扑结构说明如上图所示，整个证券公司网络采用分层设计，可分为两层：核心层：由高性能的中心

6、三层交换机、数据库磁盘阵列、业务服务器构成网络核心层（数据中心），主干网络采用千兆以太网，保证了网络性能。为保障核心层的安全可靠，两台中心交换机互为备份，保证了整个网络始终处于连通状态。在数据中心里配置有前端服务器、中间件服务器和后台数据库服务器，数据库服务器中存储有大量户头、资金等敏感信息。接入层:在各个办公楼层上,楼层交换机使用千兆上行端口采用光纤与中心交换机相连,传输速率为IOOOM，构成网络主干网：其下行端口到桌面，传输速率为IOO远程的营业部和交易所采用各种广域网方式接如总部网络。此外，证券公司会和证券交易所（上证所和深交所）进行数据交换，会有数据链路存在。移动办公者采用ACCeSS

7、SerVer拨号进入总部网络，访问相关网络资源。证券公司也会与相关的银行进行数据交换，使得股民可以把在银行的帐户和证券公司的户头相关联，这部分应用大多数采用“银证通”的服务。总部网络一般划分为办公网络和业务网络两部分。办公网络是非证券业务所在，安全级别较低，承担着与外界联系的责任，一般要求接入Ir1ternet,而业务网络承担着每天交易数据的处理，安全级别非常高，因此办公网络和业务网络会采用V1AN的形式加以划分，确保Internet上不能直接访问业务网络。第二节证券行业网络安全风险分析网络应用给人们带来了无尽的好处,但随着网络应用扩大网络安全风险也变得更加严重和复杂。原来由单个计算机安全事故

8、引起的损害可能传播到其他系统和主机，引起大范围的瘫痪和损失；另外加上缺乏安全控制机制和对网络安全政策及防护意识的认识不足，这些风险正日益加重。而这些风险与网络系统结构和系统的应用等因素密切相关。我们根据证券行业的网络结构和应用情况，从物理安全、链路安全、网络安全、系统安全、应用安全及管理安全进行分类描述：物理安全风险分析网络物理安全是整个网络系统安全的前提。物理安全的风险主要有： 地震、水灾、火灾等环境事故造成整个系统毁灭； 电源故隙造成设备断电以至操作系统引导失败或数据库信息丢失； 设备被盗、被毁造成数据丢失或信息泄漏； 电磁辐射可能造成数据信息被窃取或偷阅； 报警系统的设计不足可能造成原本

9、可以防止但实际发生了的事故。链路传输风险分析网络安全不仅是入侵者到证券网络内部网上进行攻击、窃取或其它破坏，黑客完全有可能在传输线路上安装窃听装置，窃取你在网上传输的重要数据，再通过一些技术读出数据信息，造成泄密或者做一些篡改来破坏数据的完整性；以上种种不安全因素都对网络构成严重的安全危胁。因此，对于证券行业这种带有重要资金、帐户信息传输的网络，数据在公共链路上传输最好加密。并通过数字签名及认证技术来保数据在网上传输的真实性、机密性、可靠性及完整性。网络结构的安全风险分析来自与公网互联的安全威胁证券行业的办公网络与Internet连接。基于Internet公网的开放性、国际性与自由性，在公司员

10、工享受Internet的信息共享的好处同时，内部网络将面临非常严重的安全威胁。因为，每天黑客都在试图闯入Internet节点，假如我们的网络不保持警惕，可能连黑客怎么闯入的都不知道，甚至会成为黑客入侵其他网络的跳板。证券公司内部网络中拥有非常重要的信息。假如内部网络的一台机器安全受损（被攻击或者被病毒感染），就会同时影响在同一网络上的许多其他系统。透过网络传播,还会影响到与本系统网络有连接的外单位网络;影响所及，还可能涉及和证券相连的证交所和银行等安全敏感领域。如果系统内部局域网络与系统外部网络间没有采取一定的安全防护措施，内部网络容易造到来自外网一些不怀好意的入侵者的攻击。如：入侵者通过Sn

11、iffer等嗅探程序来探测扫描网络及操作系统存在的安全漏洞，如网络IP地址、应用操作系统的类型、开放哪些TCP/UDP端口号、系统保存用户名和口令等安全信息的关键文件等，并通过相应攻击程序对内网进行攻击。入侵者通过网络监听等先进手段获得内部网用户的用户名、口令等信息，进而假冒内部合法身份进行非法登录，窃取内部网重要信息。恶意攻击:入侵者通过使用Dos（拒绝服务攻击）对内部网重要服务器进行攻击，使得服务器超负荷工作以至拒绝服务甚至系统瘫痪。内部局域网的安全威胁据调查在已有的网络安全攻击事件中约70%是来自内部网络的侵犯。比如内部人员故意泄漏内部网络的网络结构；安全管理员有意透露其用户名及口令；内

12、部员工恶意攻击局域网中重要数据存放的服务器（例如数据库服务器）；内部人员恶意使用网络资源，滥发垃圾邮件等等：内部不怀好意员工编些破坏程序在内部网上传播或者内部人员通过各种方式盗取他人涉密信息传播出去。种种因素都将网络安全构成很大的威胁。系统的安全风险分析所谓系统安全通常是指网络操作系统、应用系统的安全。目前的操作系统或应用系统无论是Windows还是其它任何商用Unix、1inUX操作系统以及其它厂商开发的应用系统，其开发厂商必然有其BaCk-Door。而且系统本身必定存在安全漏洞。这些后门”或安全漏洞都将存在重大安全隐患。但是从实际应用上，系统的安全程度跟对其进行安全配置及系统的应用面有很大

13、关系，操作系统如果没有采用相应的安全配置，则其是漏洞百出，掌握一般攻击技术的人都可能入侵得手。如果进行安全配置，比如：填补安全漏洞，关闭一些不常用的服务,禁止开放一些不常用而又比较敏感的端口等,那么入侵者要成功进入内部网就会难得多，这需要相当高的技术水平及相当长时间。因此应正确估价自己的网络风险并根据自己的网络风险大小作出相应的安全解决方案。应用的安全风险分析应用系统的安全涉及很多方面。应用系统是动态的、不断变化的。应用的安全性也是动态的。这就需要我们对不同的应用，检测安全漏洞，采取相应的安全措施，降低应用的安全风险。资源共享证券网络内部拥有自动化办公系统。而办公网络应用通常是共享网络资源，比

14、如文件共享、打印机共享等。由此就可能存在着：员工有意、无意把硬盘中重要信息目录共享，长期暴露在网络邻居上，可能被外部人员轻易偷取或被内部其他员工窃取并传播出去造成泄密，因为缺少必要的访问控制策略。电子邮件系统电子邮件为网系统用户提供电子邮件应用。内部网用户可够通过拔号或其它方式进行电子邮件发送和接收这就存在被黑客跟踪或收到一些特洛伊木马、病毒程序等，由于许多用户安全意识比较淡薄，对一些来历不明的邮件，没有警惕性，给入侵者提供机会，给系统带来不安全因至素。病毒侵害网络是病毒传播的最好、最快的途径之一。病毒程序可以通过网上下载、电子邮件、使用盗版光盘或软盘、人为投放等传播途径潜入内部网。因此，病毒

15、的危害的不可以轻视的。网络中一旦有一.台主机受病毒感染，则病毒程序就完全可能在极短的时间内迅速扩散，传播到网络上的所有主机，可能造成信息泄漏、文件丢失、机器死机等安全事件。数据信息数据安全对证券行业来说尤其重要，数据在广域网线路上传输，很难保证在传输过程中不被非法窃听、窃取和篡改。现今借助很多先进技术，黑客或一些工业间谍会设法在线路上做些手脚，获得在网上传输的数据信息，也就造成了泄密。这对证券行业的用户来说，是决不允许的。管理的安全分析内部管理人员或员工把内部网络结构、管理员用户名及口令以及系统的一些重要信息传播给外人带来信息泄漏风险。机房重地却是任何都可以进进出出，来去自由。存有恶意的入侵者便有机会得到入侵的条件。内部不满的员工有的可能熟悉服务器、小程序、脚本和系统的弱点。利用网络开些小玩笑，甚至破坏。如传出至关重要的信息、错误地进入数据库、删除数据等等。这些都将给网络造成极大的破坏。管理是网络中安全得到保证的重要组成部分，是防止来自内部网络入侵必须的部分。责权不明，管理混乱、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的风险。即除了从技术上下功夫外，还得依靠安全管理来实现。第三节证券行业网络安全需求分析证券行业网络安全需求总体分析：证券行业对安全产品有比较深刻的认识，对网络安全的重要性也有深刻理解，行业网络安全要求非常高。由