《证券行业网络安全解决方案 初稿版》由会员分享,可在线阅读,更多相关《证券行业网络安全解决方案 初稿版(30页珍藏版)》请在金锄头文库上搜索。
1、证券行业证券行业 网络安全及网络管理解决方案网络安全及网络管理解决方案 上海方正科技软件有限公司 2003 年 4 月 目录目录 第一章 网络安全现状和方正软件公司定位介绍3 第二章 证券网络系统安全需求分析说明4 第一节 证券行业普遍拓扑结构 4 第二节 证券行业网络安全风险分析 6 物理安全风险分析.6 链路传输风险分析.6 网络结构的安全风险分析 6 系统的安全风险分析.7 应用的安全风险分析.8 管理的安全分析.9 第三节 证券行业网络安全需求分析 10 证券行业网络安全需求总体分析:10 访问控制.10 入侵检测.11 计算机病毒防治.11 安全审计.12 身份鉴别.12 信息加密.
2、13 备份与恢复.13 安全保密管理.13 实时响应和恢复.14 第四章 网络安全系统构建原则16 第一节 证券网络安全系统产品选型原则16 第二节 网络安全方案设计原则 17 第五章 证券系统网络安全整体设计方案19 第一节 整体安全解决方案 20 第二节 防火墙子系统.22 第三节 入侵检测与信息监控子系统.24 第四节 VPN 子系统26 第五节 网络管理子系统.27 第六节 网络防病毒子系统及其他子系统29 第一章第一章 网络安全现状和方正软件公司定位介绍网络安全现状和方正软件公司定位介绍 随着计算机技术和通讯技术的飞速发展,网络正逐步改变着人们的工作方式和生活方 式,成为当今社会发展
3、的一个主题。网络的开放性,互连性,共享性程度的扩大,特别是 Internet 的出现,使网络的重要性和对社会的影响也越来越大。随着网络上电子商务,电 子政务,数字货币、网络教学等新兴业务的兴起,网络安全问题变得越来越重要。 病毒是网络安全最大的隐患,它对网络的威胁占导致经济损失的安全问题的 76%。几乎 所有的企业都不同程度的遭受过病毒的侵袭。 目前全球已发现几万余种病毒样本, 并且以每 月新增 300 多种的速度继续破坏着网络和单机上宝贵的信息资源。 病毒给每个计算机用户和 企业带来了无法估量和弥补的损失。 计算机网络犯罪所造成的经济损失也令人吃惊。 仅在美国每年因计算机犯罪所造成的直 接经
4、济损失就达 150 亿美元。在全球平均每二十秒就发生一次网上入侵事件。有近 80%的公 司至少每周在网络上要被大规模的入侵一次, 并且一旦黑客找到系统的薄弱环节, 所有用户 都会遭殃。面对计算机网络的种种安全威胁,必须采取有力的措施来保证安全。 而据调查,我国电子商务类网站中 90%以上存在信息安全问题。信息网络中的各种犯 罪活动已经严重地威胁着国家、 企业的安全。 特别是对徐汇区城域网这样的国家重要政府网 络,更应该考虑到网络安全的重要性,一旦重要的信息泄露,将会给国家造成巨大的损失。 网络扩展的同时,信息也要求更加安全,实际上网络与信息的安全是一个长期的、综合的系 统工程, 存在于整个信息
5、时代中。 电子政务网络与信息安全情况也是如此, 主要存在与建设、 应用和管理三个方面,而且随着新技术的发展,新设备的出现,加上组织结构的变更,应用 的深入, 会不断进行变化的。 网络与信息安全二者的有机结合需要能提供高技术和服务的公 司。同时网络安全问题也是个长期,不断完善的过程。 方正软件通过自身的研发以及与国内外著名 IT 公司的合作,形成了方正信息安全与网 络管理系统及方正中小企业电子商务应用系统二大产品线。 公司定位为 “中国人自己的信息 安全卫士”和“中国企业 e 化的高速公路” 。同时,公司又充分运用方正的品牌、技术、渠 道优势,整合国内外资源,不断为广大用户提供最好的解决方案与应
6、用服务。 第二章第二章 证券网络系统安全需求分析说明证券网络系统安全需求分析说明 第一节第一节 证券行业普遍拓扑结构证券行业普遍拓扑结构 证券行业普遍拥有总部和数据处理中心, 在各地拥有营业部和交易所, 为了保证交易时 间的不间断工作, 各地营业所到总部拥有双线路做线路备份, 在总部里也是作了线路备份的 设置。 具体典型拓扑如下:具体典型拓扑如下: 网络拓扑结构说明网络拓扑结构说明 如上图所示,整个证券公司网络采用分层设计,可分为两层: 核心层核心层: 由高性能的中心三层交换机、 数据库磁盘阵列、 业务服务器构成网络核心层 (数 据中心) ,主干网络采用千兆以太网,保证了网络性能。 为保障核心
7、层的安全可靠, 两台中心交换机互为备份, 保证了整个网络始终处于连通状 态。在数据中心里配置有前端服务器、中间件服务器和后台数据库服务器,数据库服务器中 存储有大量户头、资金等敏感信息。 接入层接入层: 在各个办公楼层上, 楼层交换机使用千兆上行端口采用光纤与中心交换机相连, 传输速率为 1000M,构成网络主干网;其下行端口到桌面,传输速率为 100M。远程的营业部 和交易所采用各种广域网方式接如总部网络。此外,证券公司会和证券交易所(上证所和深 交所)进行数据交换,会有数据链路存在。移动办公者采用 Access Server 拨号进入总部网 络,访问相关网络资源。证券公司也会与相关的银行进
8、行数据交换,使得股民可以把在银行 的帐户和证券公司的户头相关联,这部分应用大多数采用“银证通”的服务。总部网络一般 划分为办公网络和业务网络两部分。办公网络是非证券业务所在,安全级别较低,承担着与 外界联系的责任,一般要求接入 Internet,而业务网络承担着每天交易数据的处理,安全 级别非常高, 因此办公网络和业务网络会采用 VLAN 的形式加以划分, 确保 Internet 上不能 直接访问业务网络。 第二节第二节 证券行业网络安全风险分析证券行业网络安全风险分析 网络应用给人们带来了无尽的好处, 但随着网络应用扩大网络安全风险也变得更加严重 和复杂。 原来由单个计算机安全事故引起的损害
9、可能传播到其他系统和主机, 引起大范围的 瘫痪和损失; 另外加上缺乏安全控制机制和对网络安全政策及防护意识的认识不足, 这些风 险正日益加重。 而这些风险与网络系统结构和系统的应用等因素密切相关。 我们根据证券行 业的网络结构和应用情况,从物理安全、链路安全、网络安全、系统安全、应用安全及管理 安全进行分类描述: 物理安全风险分析物理安全风险分析 网络物理安全是整个网络系统安全的前提。物理安全的风险主要有: 地震、水灾、火灾等环境事故造成整个系统毁灭; 电源故障造成设备断电以至操作系统引导失败或数据库信息丢失; 设备被盗、被毁造成数据丢失或信息泄漏; 电磁辐射可能造成数据信息被窃取或偷阅; 报
10、警系统的设计不足可能造成原本可以防止但实际发生了的事故。 链路传输风险分析链路传输风险分析 网络安全不仅是入侵者到证券网络内部网上进行攻击、 窃取或其它破坏, 黑客完全有 可能在传输线路上安装窃听装置, 窃取你在网上传输的重要数据, 再通过一些技术读出数据 信息, 造成泄密或者做一些篡改来破坏数据的完整性; 以上种种不安全因素都对网络构成严 重的安全危胁。因此,对于证券行业这种带有重要资金、帐户信息传输的网络,数据在公共 链路上传输最好加密。并通过数字签名及认证技术来保数据在网上传输的真实性、机密性、 可靠性及完整性。 网络结构的安全风险分析网络结构的安全风险分析 来自与公网互联的安全威胁来自
11、与公网互联的安全威胁 证券行业的办公网络与 Internet 连接。 基于 Internet 公网的开放性、 国际性与自由性, 在公司员工享受 Internet 的信息共享的好处同时,内部网络将面临非常严重的安全威胁。 因为,每天黑客都在试图闯入 Internet 节点,假如我们的网络不保持警惕,可能连黑客怎 么闯入的都不知道, 甚至会成为黑客入侵其他网络的跳板。 证券公司内部网络中拥有非常重 要的信息。假如内部网络的一台机器安全受损(被攻击或者被病毒感染) ,就会同时影响在 同一网络上的许多其他系统。 透过网络传播, 还会影响到与本系统网络有连接的外单位网络; 影响所及,还可能涉及和证券相连
12、的证交所和银行等安全敏感领域。 如果系统内部局域网络与系统外部网络间没有采取一定的安全防护措施, 内部网络容易 造到来自外网一些不怀好意的入侵者的攻击。如: 入侵者通过 Sniffer 等嗅探程序来探测扫描网络及操作系统存在的安全漏洞,如网络 IP 地址、应用操作系统的类型、开放哪些 TCP/UDP 端口号、系统保存用户名和口令等安全 信息的关键文件等,并通过相应攻击程序对内网进行攻击。 入侵者通过网络监听等先进手段获得内部网用户的用户名、 口令等信息, 进而假冒内部 合法身份进行非法登录,窃取内部网重要信息。 恶意攻击:入侵者通过使用 Dos(拒绝服务攻击)对内部网重要服务器进行攻击,使得
13、服务器超负荷工作以至拒绝服务甚至系统瘫痪。 内部局域网的安全威胁内部局域网的安全威胁 据调查在已有的网络安全攻击事件中约 70%是来自内部网络的侵犯。比如内部人员故意 泄漏内部网络的网络结构; 安全管理员有意透露其用户名及口令; 内部员工恶意攻击局域网 中重要数据存放的服务器(例如数据库服务器) ;内部人员恶意使用网络资源,滥发垃圾邮 件等等; 内部不怀好意员工编些破坏程序在内部网上传播或者内部人员通过各种方式盗取他 人涉密信息传播出去。种种因素都将网络安全构成很大的威胁。 系统的安全风险分析系统的安全风险分析 所谓系统安全通常是指网络操作系统、 应用系统的安全。 目前的操作系统或应用系统 无
14、论是 Windows 还是其它任何商用 Unix、 Linux 操作系统以及其它厂商开发的应用系统, 其 开发厂商必然有其 Back-Door。而且系统本身必定存在安全漏洞。这些“后门“或安全漏洞都 将存在重大安全隐患。 但是从实际应用上, 系统的安全程度跟对其进行安全配置及系统的应 用面有很大关系,操作系统如果没有采用相应的安全配置,则其是漏洞百出,掌握一般攻击 技术的人都可能入侵得手。如果进行安全配置,比如:填补安全漏洞,关闭一些不常用的服 务, 禁止开放一些不常用而又比较敏感的端口等, 那么入侵者要成功进入内部网就会难得多, 这需要相当高的技术水平及相当长时间。 因此应正确估价自己的网络
15、风险并根据自己的网络 风险大小作出相应的安全解决方案。 应用的安全风险分析应用的安全风险分析 应用系统的安全涉及很多方面。应用系统是动态的、不断变化的。应用的安全性也是动 态的。这就需要我们对不同的应用,检测安全漏洞,采取相应的安全措施,降低应用的安全 风险。 资源共享资源共享 证券网络内部拥有自动化办公系统。 而办公网络应用通常是共享网络资源, 比如文件共 享、打印机共享等。由此就可能存在着:员工有意、无意把硬盘中重要信息目录共享,长期 暴露在网络邻居上,可能被外部人员轻易偷取或被内部其他员工窃取并传播出去造成泄密, 因为缺少必要的访问控制策略。 电子邮件系统电子邮件系统 电子邮件为网系统用
16、户提供电子邮件应用。 内部网用户可够通过拔号或其它方式进行电 子邮件发送和接收这就存在被黑客跟踪或收到一些特洛伊木马、 病毒程序等, 由于许多用户 安全意识比较淡薄,对一些来历不明的邮件,没有警惕性,给入侵者提供机会,给系统带来 不安全因至素。 病毒侵害病毒侵害 网络是病毒传播的最好、最快的途径之一。病毒程序可以通过网上下载、电子邮件、使 用盗版光盘或软盘、人为投放等传播途径潜入内部网。因此,病毒的危害的不可以轻视的。 网络中一旦有一台主机受病毒感染, 则病毒程序就完全可能在极短的时间内迅速扩散, 传播 到网络上的所有主机,可能造成信息泄漏、文件丢失、机器死机等安全事件。 数据信息数据信息 数据安全对证券行业来说尤其重要, 数据在广域网线路上传输, 很难保证在传输过程中 不被非法窃听、窃取和篡改。现今借助很多先进技术,黑客或一些工业间谍会设法在线路上 做些手脚,获得在网上传输的数据信息,也就造成了泄密。这对证券行业的用户来说,是决 不允许的。 管理的安全分析管理的安全分析 内部管理人员或员工把内部网络结构、 管理员用户名及口令以及系统的一些重要信息传 播给外人带来信息泄漏风险。 机房重
