內(nèi)聯(lián)網(wǎng)防火墻安全系統(tǒng)方案

年5月29日內(nèi)聯(lián)網(wǎng)防火墻安全系統(tǒng)方案文檔僅供參考證券內(nèi)聯(lián)網(wǎng)防火墻安全系統(tǒng)方案方正數(shù)碼有限公司12月

TOC\o\h\z1 北大方正集團、方正數(shù)碼公司簡介 82 網(wǎng)絡證券業(yè)務分析 103 網(wǎng)絡證券安全需求分析 133.1 安全性 133.2 高效性 143.3 可靠性 153.4 可伸縮性 153.5 易用性 153.6 完善的服務體制 164 安全系統(tǒng)結構 165 安全系統(tǒng)實施 195.1.1 主要應用服務的安全風險 225.1.2 網(wǎng)絡中主要系統(tǒng)的安全風險 235.1.3 數(shù)據(jù)庫系統(tǒng)安全分析 235.1.4 管理系統(tǒng)的安全風險 246 方正數(shù)碼防火墻解決方案 246.1 本方案設計的原則和目標 246.2 防火墻選型 256.3 防火墻設置及工作模式 266.4 防火墻功能設置及安全策略 266.4.1 完善的訪問控制 266.4.2 內(nèi)置入侵檢測(IDS) 276.4.3 代理服務 276.4.4 NAT地址轉(zhuǎn)換 286.4.5 日志系統(tǒng)及系統(tǒng)報警 286.4.6 帶寬分配,流量管理 286.4.7 集中管理 296.4.8 預制模板 296.4.9 系統(tǒng)升級 296.4.10 雙機備份 306.4.11 防火墻方案特點 307 證券內(nèi)聯(lián)網(wǎng)防火墻安全需求及方案對照說明 317.1 內(nèi)聯(lián)網(wǎng)防火墻基本要求 317.2 證券內(nèi)聯(lián)網(wǎng)防火墻功能要求 337.2.1 必備功能 337.2.2 增強功能 367.3 防火墻性能 367.4 防火墻管理 388 證券內(nèi)聯(lián)網(wǎng)安全管理建議 398.1 整體思路 398.2 集中管理,統(tǒng)一規(guī)劃 398.3 嚴格規(guī)章安全教育 408.4 明確責任技術培訓 408.5 動態(tài)監(jiān)控專家咨詢 419 證券內(nèi)聯(lián)網(wǎng)防火墻安全系統(tǒng)實施方案 429.1 合同簽訂階段的工作實施 429.2 發(fā)貨階段的實施 439.3 到貨后工作的實施 459.4 測試及驗收 469.4.1 測試及驗收描述 4610 證券內(nèi)聯(lián)網(wǎng)防火墻系統(tǒng)培訓 4810.1 培訓目標 4810.2 培訓課程 4810.3 培訓方式 4810.4 培訓時長 4810.5 培訓地點 4810.6 培訓人數(shù) 4910.7 學員要求 4911 方正方御防火墻技術支持與服務 5011.1 方正數(shù)碼綠色服務體系結構介紹 5011.2 完善的技術支持與服務 5211.2.1 售前服務內(nèi)容 5311.2.2 售前服務流程 5411.2.3 售后服務內(nèi)容 5511.2.4 售后服務流程 5611.3 服務方式 5711.4 服務監(jiān)督 5712 方正方御防火墻成功案例 5912.1 鞍山市商業(yè)銀行應用案例 5912.1.1 鞍山市商業(yè)銀行需求分析 5912.1.2 系統(tǒng)安全目的 6012.1.3 安全體系結構 6012.1.4 安全系統(tǒng)實施 6012.2 沈陽建設銀行安全應用實例 6112.2.1 沈陽建設銀行需求分析 6112.2.2 系統(tǒng)安全目的 6312.2.3 用戶安全需求分析 63 安全性 63 高效性 63 可擴展性 64 易用性(管理控制) 64 完善的服務體制 6412.2.4 安全體系結構 6412.2.5 安全系統(tǒng)實施 6612.3 部分方正方御防火墻客戶名單 6713 證券內(nèi)聯(lián)網(wǎng)防火墻安全子系統(tǒng)建設報價 7014 方正數(shù)碼聯(lián)系方式 71附錄一:授權服務商名單 72附錄二:防御防火墻所獲證書 77附件三:資格證明文件 82附錄四:方正方御防火墻產(chǎn)品說明 87產(chǎn)品概述 87系統(tǒng)特點 88防火墻功能說明 91多種工作模式 91包過濾防火墻 93高效的過濾 93碎片處理功能 94防SYNFlood攻擊 94強大的狀態(tài)檢測功能 95輕型/復雜IDS(入侵檢測系統(tǒng)) 95反端口掃描 95能夠防范20類1500余種攻擊方式 96在線升級和實時報警 98入侵檢測和防火墻的互動 99雙向NAT 99帶寬管理和流量統(tǒng)計 100代理服務器功能 100雙機熱備 101強大的審計功能 101基于PKI的高級授權認證 102集中管理 102實時控制和日志轉(zhuǎn)存 102靈活的配置方式 103可視化配置 103預置包過濾規(guī)則集 103總結 103

北大方正集團、方正數(shù)碼公司簡介北京北大方正集團公司是北京大學創(chuàng)立的高新技術企業(yè)。

方正集團擁有３個控股的上市公司,方正(控股)有限公司、方正數(shù)碼有限公司、上海方正延中科技集團股份有限公司,17家獨資、合資企業(yè)。員工總數(shù)約6000人,總資產(chǎn)50億元,銷售規(guī)模達101億元。

1997年,方正集團已成為國家120家大型試點企業(yè)集團之一,國家首批６家技術創(chuàng)新試點企業(yè)之一,國家重點支持的５家PC生產(chǎn)廠家之一。

創(chuàng)造科技與文明,是北大方正的一貫宗旨,集團堅持以人為本的宗旨,以創(chuàng)新為先導,產(chǎn)、學、研結合,不斷以優(yōu)質(zhì)產(chǎn)品和技術服務于社會。方正數(shù)碼有限公司(EC-FounderCo.,Ltd.)是從事發(fā)展互聯(lián)網(wǎng)應用技術及電子商務的軟件技術公司。其業(yè)務專注于互聯(lián)網(wǎng)安全產(chǎn)品及網(wǎng)絡安全服務等領域,是互聯(lián)網(wǎng)時代的軟件技術公司。

方正數(shù)碼借助技術、研發(fā)方面的優(yōu)勢,借鑒世界上最先進的管理運作經(jīng)驗,定位于"電子商務賦能者"(e-commerceenabler),用不斷創(chuàng)新的技術與優(yōu)質(zhì)的服務賦予客戶新經(jīng)濟時代可持續(xù)發(fā)展的能力,幫助政府、證券、金融、行業(yè)、企業(yè)、網(wǎng)站、電子商務的運營者運用先進技術和高效管理手段在互聯(lián)網(wǎng)時代健康發(fā)展,取得成功。

方正數(shù)碼有限公司的業(yè)務圍繞在互聯(lián)網(wǎng)安全技術應用、網(wǎng)絡安全服務及網(wǎng)絡安全知識管理等主要領域,在技術開發(fā)、應用解決方案和運營服務方面為用戶提供先進的網(wǎng)絡安全產(chǎn)品和技術。為此方正數(shù)碼推出SHARKS互聯(lián)網(wǎng)安全解決方案。SHARKS解決方案是在深入的研究后,提出的一套基于中國國情、全部自主開發(fā)、具有領先優(yōu)勢的解決方案。它是一套整體的集群平臺,能夠解決企業(yè)最為關切的安全性、高可靠性、可擴展性和易于遠程管理的問題。當前這套方案已經(jīng)得到國家有關部門的大力支持,被國家經(jīng)貿(mào)委列為國家創(chuàng)新計劃項目之一,還得到了國家”863”計劃的肯定與支持。方正方御防火墻是SHARKS安全解決方案中的主要安全產(chǎn)品之一。方正方御防火墻憑借其獨特的技術優(yōu)勢,在保證系統(tǒng)自身的安全性的同時又保證了其運行效率。方正方御防火墻中還融入了入侵檢測技術,能夠有效地防范攻擊企圖的試探;另外利用先進的III技術,方正方御防火墻能夠有效濾除著名的DDoS攻擊,正是這種攻擊曾迫使包括美國雅虎在內(nèi)的若干世界最大的網(wǎng)站停止服務。除防火墻之外,方正數(shù)碼有限公司還向用戶提供VPN、安全掃描系統(tǒng)、入侵檢測系統(tǒng)(IDS)等安全產(chǎn)品及方案,從多層次、多角度、全方位保護用戶的網(wǎng)絡。在立身自主開發(fā)外,方正數(shù)碼還與CA、ISS、Symantec等眾多國際知名的安全公司保持著良好的合作關系,集成國內(nèi)外最優(yōu)秀的公司安全產(chǎn)品,為國內(nèi)Internet的安全建設保駕護航。網(wǎng)絡證券業(yè)務分析證券業(yè)務是改革開放以來,金融系統(tǒng)中增長最快的業(yè)務之一,它從無到有,從小到大。在證券交易所注冊開戶的用戶飛速增長,而關心證券交易的人更是成倍的增長,不論大人還是小孩,似乎都知道證券一詞。傳統(tǒng)的證券交易大概需要以下幾個步驟:首先,需要到證券交易機構注冊開戶;其次,需要將用戶的資金從銀行轉(zhuǎn)入證券交易的賬戶中;第三,進行證券信息處理和各種交易。然而在傳統(tǒng)的證券交易中,用戶需要到證券營業(yè)廳進行交易或經(jīng)過電話等手段進行交易,雖然其交易速度很快,可是和計算機網(wǎng)絡相比依然是小巫見大巫。由于不用擔心支付手段、不用擔心實物配送等原因,證券業(yè)是最適合使用互聯(lián)網(wǎng)的行業(yè)之一。網(wǎng)絡證券交易,就是要將傳統(tǒng)的證券交易轉(zhuǎn)變?yōu)橐杂嬎銠C互聯(lián)網(wǎng)絡為基礎的交易方式。用戶能夠充分利用Internet或無線互聯(lián)網(wǎng)的優(yōu)勢,快捷方便的進行交易。網(wǎng)絡證券交易主要業(yè)務包括以下幾個方面:用戶注冊開戶網(wǎng)上身份驗證證券信息瀏覽在線證券交易證券交易和用戶的網(wǎng)絡化管理維護與安全相關業(yè)務:在以上幾個方面中,用戶的網(wǎng)上身份驗證、證券信息傳輸、在線交易和在線管理與維護是非常需要安全保護的,而用戶的注冊開戶是要到證券機構進行申請的,因此不涉及網(wǎng)絡的安全性的。涉密信息:上面我們分析了需要安全保護的網(wǎng)絡證券交易業(yè)務,那么,哪些信息是涉及加密的呢?首先,用戶的身份、賬戶等信息是用戶進行交易是需要進行驗證的,這些信息若被竊取或破壞,不但無法進行網(wǎng)上的交易,更為嚴重的可能直接影響用戶使用傳統(tǒng)形式進行交易,因此需要安全加密;其次,交易數(shù)據(jù)是涉及用戶直接的經(jīng)濟利益,也是需要安全加密的;第三,網(wǎng)絡證券交易的管理與維護是網(wǎng)絡化的,而這些信息是直接關系到網(wǎng)絡證券交易系統(tǒng)自身的安全性的,這些信息是需要安全加密的。經(jīng)過分析,涉密信息主要有用戶信息、交易數(shù)據(jù)、管理信息三個方面。網(wǎng)絡證券的管理模式:由于網(wǎng)絡證券交易時使用Internet或無線互聯(lián)網(wǎng),用戶信息,證券信息,交易數(shù)據(jù)等是由多臺不同的服務器來承擔的,同時在其上要運行多種服務的,因此應該采用集中管理的方式對網(wǎng)絡證券交易進行管理,這樣能減輕管理員的勞動強度,提高工作效率。安全風險及威脅:前面我們分析了網(wǎng)上證券交易需要安全保護的業(yè)務,也分析了有哪些是涉密信息。經(jīng)過這些分析我們能夠很容易的得出網(wǎng)絡證券交易的安全風險及威脅來自以下幾個方面:用戶信息會受到黑客的竊取、破壞以及病毒的破壞交易數(shù)據(jù)會受到黑客的竊取、破壞以及病毒的破壞系統(tǒng)信息會受到黑客的竊取、破壞以及病毒的破壞服務的正常運行會受到黑客的攻擊、破壞以及病毒的破壞系統(tǒng)安全目的:經(jīng)過以上的分析,網(wǎng)絡證券交易系統(tǒng)的安全目的是:要保護用戶的信息和數(shù)據(jù)、系統(tǒng)的資源和信息不被非法竊取和破壞,保護各項網(wǎng)絡服務能正常運轉(zhuǎn),免受入侵和攻擊。網(wǎng)絡證券安全需求分析前面分析了網(wǎng)絡證券業(yè)務是需要安全保障的。由于證券業(yè)自身的特殊性,對安全性也有不同于其它行業(yè)的要求。網(wǎng)絡證券業(yè)務中對安全的要求為安全性、高效性、可靠性、可伸縮性、易于使用性和安全服務體制。安全性證券的網(wǎng)上交易往往涉及巨額資金,一旦受外部攻擊造成系統(tǒng)中斷,或網(wǎng)絡犯罪使信息泄露,將會造成重大損失。證券的網(wǎng)上交易的安全性主要有以下幾個方面:網(wǎng)絡環(huán)境、操作系統(tǒng)與數(shù)據(jù)的安全性證券交易經(jīng)過網(wǎng)絡來實現(xiàn),如果這個網(wǎng)絡環(huán)境直接暴露于Internet上,那么將是可怕的,因此我們需要用防火墻來隔離Internet和網(wǎng)絡證券交易系統(tǒng)。由于防火墻能夠阻擋黑客的攻擊行為和異常的網(wǎng)絡事件,這樣能夠保護我們的網(wǎng)絡交易環(huán)境、網(wǎng)絡中計算機的操作系統(tǒng)和數(shù)據(jù)。防火墻是網(wǎng)絡安全的第一道屏障,單有防火墻是不能進行全面保護的,我們還需要入侵監(jiān)測系統(tǒng)(IDS)來對黑客的攻擊進行報警和自動防范,并使用防病毒模塊來保證我們的操作系統(tǒng)和存儲的數(shù)據(jù)免遭病毒的侵害。系統(tǒng)的數(shù)據(jù)和用戶的數(shù)據(jù)有可能遭到破壞,那么需要應急恢復系統(tǒng)ERS來幫助解決這些問題。用戶標識與鑒別,抗抵賴程度用戶在網(wǎng)上進行證券交易前,必須要用到自己的身份信息,而這些信息必須加以保護,以防止被不法之徒竊取或利用給用戶造成不必要的損失。為此,在登錄環(huán)節(jié)就要開始實施防護。為達到保護目的,使用CA技術,利用數(shù)字證書來確保雙方是能夠互相信任的。并需要使用加密措施來保護用戶的標識。密碼支持的安全程度和可信信道的安全性整個信息傳輸過程使用SSL進行加密傳輸,傳輸信息和存儲信息加密后,就把計算機數(shù)據(jù)變成一堆無規(guī)律的、雜亂無章的字符。攻擊者即使得到經(jīng)過加密的信息即密文、也無法辨認原文,防止信息被竊取。交易服務的防攻擊能力保護證券交易的各項網(wǎng)上服務正常的運行,能過濾主要的攻擊和異常的網(wǎng)絡事件,使用防火墻來完成要求;保護用戶的數(shù)據(jù)和交易的信息不被非法竊取、破壞,擁有入侵檢測系統(tǒng)(IDS)進行預警和自動防護,防治病毒的破壞,在緊急情況下能獲得最快的服務響應高效性證券的網(wǎng)上交易集中在幾個特定的時段,對系統(tǒng)的反應速度有相當高的要求。要求安全系統(tǒng)具有優(yōu)秀的數(shù)據(jù)吞吐能力,在保證安全的同時,效率的損失要減到最小。需要達到這個要求,就需要防火墻和IDS系統(tǒng)盡可能小的對網(wǎng)絡的吞吐量產(chǎn)生影響。而我們向用戶提供的防火墻產(chǎn)品和IDS產(chǎn)品在安裝到系統(tǒng)中去后能夠完美滿足用戶的要求,這主要來自產(chǎn)品的優(yōu)秀性能和針對行業(yè)的專門設計,具體性能請參看產(chǎn)品介紹與性能參數(shù)?？煽啃栽诜罩聞俚慕裉?服務的中斷就意味著風險。在Internet上,早已不再沿用傳統(tǒng)上朝九晚五的商業(yè)時間。365×24×7的不間斷運營對系統(tǒng)的可靠性提出了挑戰(zhàn)。可靠性主要表現(xiàn)在:安全功能和機制的可靠程度在網(wǎng)絡環(huán)境下,安全功能和機制本身就會成為黑客入侵和破壞的目標,因此安全的可靠性成為網(wǎng)絡安全不可缺少的一環(huán)。只有在保證了安全功能和機制自身安全下,才能更好的保護網(wǎng)絡的安全性。對于防火墻來講,使用雙機熱備的方法是當前最可靠,最實用的提高可靠性的手段。數(shù)據(jù)存儲的可靠程度,數(shù)據(jù)的備份與恢復除了安全功能和機制的可靠性外,數(shù)據(jù)存儲的可靠性也是不可忽視的重要環(huán)節(jié)。這就必須使用備份與恢復系統(tǒng),來確保數(shù)據(jù)損壞后能及時的恢復。可伸縮性證券網(wǎng)絡會隨著證券業(yè)務的發(fā)展而迅速壯大。一個優(yōu)秀的安全解決方案必須從開始就考慮到這種需求。系統(tǒng)需要基于高可伸縮便于擴充的集群構架。以跟上券商發(fā)展的腳步,防止出現(xiàn)大量的設備淘汰造成的資源浪費。易用性不易使用的安全系統(tǒng)是不安全的。充斥著英文術語的管理界面會大大的增加系統(tǒng)管理人員的工作量,也容易導致不應有的漏洞的出現(xiàn)或安全策略的僵化。易用性主要包括:要界面清晰易懂方便的集中管理安全性的實時監(jiān)控。完善的服務體制券商不是專業(yè)的安全公司。不可能隨時全面的跟蹤安全動態(tài)。安全是動態(tài)的過程,今天安全的系統(tǒng)明天就可能不安全,這就要求提供安全方案的公司有優(yōu)秀的服務體制進行跟蹤服務。再嚴密的系統(tǒng)也可能出現(xiàn)漏洞,當緊急事件發(fā)生時,能不能在最短時間內(nèi)獲得緊急響應服務經(jīng)常決定了損失的大小,而且這種時候,需要的是極其專業(yè)的服務,沒有強大開發(fā)實力的公司是無法滿足這種需求的,而在國內(nèi)沒有開發(fā)部門的國外著名公司則往往鞭長莫及。安全系統(tǒng)結構為了滿足上述需求,從安全方面就需以下模塊:防火墻、入侵檢測、防病毒、CA和加密。在系統(tǒng)設計一級,就要考慮到各模塊的位置。同時,整個系統(tǒng)需要按照業(yè)務流程來進行設計。4.1多級用戶身份驗證登錄保護:網(wǎng)上證券的用戶與服務器之間需要建立一種信任關系。必須要防止入侵者經(jīng)過種種手段進行冒充和欺騙。為此,在登錄環(huán)節(jié)就要開始實施防護。首先使用CA技術,利用數(shù)字證書來確保雙方是能夠互相信任的。其次,在登錄時進行用戶名、密碼驗證。整個登錄過程使用SSL加密傳輸,防止登錄信息被竊取。密碼保護:對于前面提到的用戶信息、交易數(shù)據(jù)、管理信息等涉密信息,提供全程的密碼保護。在系統(tǒng)訪問層,經(jīng)過授權和認證機制,保證涉密信息只提供給有訪問權限的人員。訪問密碼和交易密碼分開,加強高敏感的涉密信息的安全級別。4.2密鑰密碼體系在網(wǎng)上證券應用中,使用基于公開密鑰密碼體系(PKI)的加密安全體系。其目的是保證以下四點:可信任的服務器可信任的用戶可信任的傳輸不容抵賴的審計使用密鑰密碼的主要目的是防止信息的非授權泄露。加密用于傳輸信息和存儲信息,把計算機數(shù)據(jù)變成一堆無規(guī)律的、雜亂無章的字符。攻擊者即使得到經(jīng)過加密的信息即密文、也無法辨認原文。因此,加密能夠有效地對抗截收、非法訪問數(shù)據(jù)庫竊取信息等威脅。為保證安全,組合應用對稱密碼算法和非對稱密碼算法,對稱密碼算法用于信息加密、非對稱密碼算法用于密鑰分發(fā)、數(shù)字簽名、完整性及身份鑒別等。如果一個加密系統(tǒng)的加密密鑰和解密密鑰相同,或者雖然不相同,可是由其中任意一個能夠很容易地推導出另一個,所采用的就是對稱密碼算法。如果一個加密系統(tǒng)的加密密鑰和解密密鑰不相同、而且由加密密鑰推導出解密密鑰(或者由解密密鑰推導出加密密鑰)是計算上不可行的、所采用的就是非對稱密碼算法。信息加密傳輸?shù)膶嶋H過程包括四步:第一步,信息發(fā)送方產(chǎn)生一個對稱密鑰,并將此密鑰用信息接收方的公鑰加密后,經(jīng)過網(wǎng)絡傳送給接收方。第二步,信息發(fā)送方用對稱密鑰將需要傳輸?shù)奈募用芎?經(jīng)過網(wǎng)絡傳送給接收方。第三步,接收方用自己的私鑰將收到的經(jīng)過加密的對稱密鑰進行解密,得到發(fā)送方的對稱密鑰。第四步,接收方用得到的對稱密鑰將接收到的經(jīng)過加密的信息進行解密,從而得到信息的原文。4.3結構框架說明系統(tǒng)結構框架如下:用戶使用PC或手機接入互聯(lián)網(wǎng),在穿過防火墻以后,連接上券商的InternetServer。在用戶端和InternetServer端,均使用CA證書,以保證用戶和服務器的可相互信任。傳輸過程中,對涉密信息均使用SSL加密。在服務器與Internet之間,使用防火墻隔離,使用IDS系統(tǒng)進行預警。同時IDS與防火墻聯(lián)動,在遭PC手機PC手機Interner防火墻/IDS券商InternetServer防火墻券商IntranetServer日志數(shù)據(jù)庫控制中心券商柜臺交易系統(tǒng)IDS模塊防病毒模塊SSL加密傳輸CACA根據(jù)國家要求,券商的InternetServer和IntranetServer再利用一道防火墻物理隔離。在Intranet內(nèi)部,使用IDS對系統(tǒng)內(nèi)異常事件進行監(jiān)控。為了保護數(shù)據(jù)的完整性和安全性,在整個系統(tǒng)中,還要布署完整的防病毒體系。在控制中心。能夠?qū)φ麄€安全系統(tǒng)進行實時監(jiān)控和集中管理。對所有的安全事件,保留詳細的日志記錄,以備定期的安全審計使用。最后,券商的IntranetServer接入券商柜臺交易系統(tǒng),最終實現(xiàn)網(wǎng)上證券交易。整個安全系統(tǒng)結構能夠總結為:多層隔離、實時監(jiān)控、立體防護、集中管理。安全系統(tǒng)實施經(jīng)過上面對需求的分析,我們提出了解決需求所要使用到的安全模塊,主要由防火墻來對網(wǎng)絡上的入侵、攻擊以及異常的行為進行阻擋。使用方正數(shù)碼的FireBridge防火墻作為系統(tǒng)安全的第一道屏障,FireBridge防火墻的優(yōu)異性能及雙機熱備的方式能夠滿足網(wǎng)絡安全性及可靠性的要求。對于IDS使用ISS公司的產(chǎn)品,這樣不但能夠檢測來自外部的威脅,還能夠檢測來自系統(tǒng)內(nèi)部的侵害。防病毒模塊使用業(yè)內(nèi)著名的冠群金辰公司的KILL產(chǎn)品保障系統(tǒng)免受病毒侵擾。還有CA系統(tǒng)保證用戶的身份鑒定。具體實施如下圖所示:說明:如圖所示安全系統(tǒng)的實施主要在兩個部分,網(wǎng)上證券交易平臺和證券公司總部。在網(wǎng)上證券交易平臺中,Router與第一層Switch或Hub相連接,Switch或Hub與兩臺FireBridge防火墻相連接,然后兩臺FireBridge防火墻再與第二層Switch或Hub相連接。這樣就構成了一個防火墻的雙機熱備方式,保證了網(wǎng)絡的安全性,同時提供了安全機制的可靠性。第二層Switch或Hub與交易服務器、WEB服務器、Router連接,并在服務器上安裝IDS、防病毒模塊、CA模塊,這樣在網(wǎng)上證券交易平臺上實現(xiàn)了整體的多層次的安全防護措施。在證券公司總部里,在Router后安裝一道FireBridge防火墻,其后部是證券公司總部的證券交易網(wǎng)絡,在這個網(wǎng)絡里需要安裝一臺控制主機,經(jīng)過它對網(wǎng)上證券交易平臺里的服務器、防火墻進行集中管理,同時對系統(tǒng)及其安全性、可靠性進行集中管理。除了上面所說的兩個部分外,我們需要在用戶端,安裝CA的客戶模塊,認證的流程見下圖:按照上面的方法來實施網(wǎng)絡證券的安全解決方案,就能夠完整的實現(xiàn)立體的安全防護體系,從多層次、多角度來保護用戶和券商的交易安全。我們的方案里使用的產(chǎn)品將在下面有進一步的介紹。主要應用服務的安全風險應用服務系統(tǒng)中各個葉節(jié)點有各種應用服務,這些應用服務提供給證券各級營業(yè)點或合作的商業(yè)銀行使用。不能防止未經(jīng)驗證的操作人員利用應用系統(tǒng)的脆弱性來攻擊應用系統(tǒng),使得系統(tǒng)數(shù)據(jù)丟失、數(shù)據(jù)更改、獲得非法數(shù)據(jù)等。而證券機房的這些應用系統(tǒng)是證券內(nèi)聯(lián)網(wǎng)中最重要的組成部分。DNS服務DNS是網(wǎng)絡正常運作的基本元素,它們是由運行專門的或操作系統(tǒng)提供的服務的Unix或NT主機構成。這些系統(tǒng)很容易成為外部網(wǎng)絡攻擊的目標或跳板。對DNS的攻擊一般是對其它遠程主機進行攻擊做準備,如篡改域名解析記錄以欺騙被攻擊的系統(tǒng),或經(jīng)過獲取DNS的區(qū)域文件而得到進一步入侵的重要信息。著名的域名服務系統(tǒng)BIND就存在眾多的能夠被入侵者利用的漏洞。證券商對外各種應用,特別是基于URL的應用依賴于DNS系統(tǒng),DNS的安全性也是網(wǎng)絡安全關注的焦點。E-Mail由于郵件服務器軟件的眾多廣為人知的安全漏洞,郵件服務器成為進行遠程攻擊的首選目標之一。如利用公共的郵件服務器進行的郵件欺騙或郵件炸彈的中轉(zhuǎn)站或引擎;利用sendmail的漏洞直接入侵到郵件服務器的主機等。而證券營業(yè)的內(nèi)部E-mail系統(tǒng)覆蓋面廣,因此迫切需要使用防火墻來保護證券業(yè)的內(nèi)部E-mail系統(tǒng)。WWW利用HTTP服務器的一些漏洞,特別是在大量使用服務器腳本的系統(tǒng)上,利用這些可執(zhí)行的腳本程序,未經(jīng)授權的操作者能夠很容易地獲得系統(tǒng)的控制權。在證券存在各種WWW服務,這些服務協(xié)議或多或少存在安全隱患。FTP一些FTP服務器的缺陷會使服務器很容易被錯誤的配置,從而導致安全問題,如被匿名用戶上載的木馬程序,下載系統(tǒng)中的重要信息(如口令文件)并導致最終的入侵。有些服務器版本帶有嚴重的錯誤,比如能夠使任何人獲得對包括root在內(nèi)的任何帳號的訪問。網(wǎng)絡中主要系統(tǒng)的安全風險整個系統(tǒng)中網(wǎng)絡設備主要采用路由器設備,有必要分析這些設備的風險。路由器是證券內(nèi)聯(lián)網(wǎng)的核心部件,路由器的安全將直接影響整個網(wǎng)絡的安全。下面列舉了一些路由器所存在的主要安全風險:■ 路由器缺省情況下只使用簡單的口令驗證用戶身份,而且遠程TELNET登錄時以明文傳輸口令。一旦口令泄密路由器將失去所有的保護能力?！雎酚善骺诹畹娜觞c是沒有計數(shù)器功能,因此每個人都能夠不限次數(shù)的嘗試登錄口令,在口令字典等工具的幫助下很容易破解登錄口令?！雒總€管理員都可能使用相同的口令,因此,路由器對于誰曾經(jīng)作過什么修改,系統(tǒng)沒有跟蹤審計的能力?！雎酚善鲗崿F(xiàn)的某些動態(tài)路由協(xié)議存在一定的安全漏洞,有可能被惡意的攻擊者利用來破壞網(wǎng)絡的路由設置,達到破壞網(wǎng)絡或為攻擊做準備的目的。針對這種情況,必須采取措施,有效防止非法對網(wǎng)絡設備訪問。■TCP/IP風險:系統(tǒng)采用TCP/IP協(xié)議進行通信,而因為TCP/IP協(xié)議中存在固有的漏洞,比如:針對TCP序號的攻擊,TCP會話劫持,TCPSYN攻擊等。同時系統(tǒng)的DNS采用UDP協(xié)議,因為UDP協(xié)議是非面向連接的協(xié)議,對系統(tǒng)中的DNS等相關應用帶來安全風險。數(shù)據(jù)庫系統(tǒng)安全分析數(shù)據(jù)庫系統(tǒng)是存儲重要信息的場所并擔負著管理這些數(shù)據(jù)信息的任務。數(shù)據(jù)庫的安全問題,在數(shù)據(jù)庫技術誕生之后就一直存在,并隨著數(shù)據(jù)庫技術的發(fā)展而不斷深化。不法份子利用已有的或者更加先進的技術手段一般對數(shù)據(jù)庫進行偽造數(shù)據(jù)庫中的數(shù)據(jù)、損壞數(shù)據(jù)庫、竊取數(shù)據(jù)庫中的數(shù)據(jù)。如何保證和加強數(shù)據(jù)庫系統(tǒng)的安全性和保密性對于網(wǎng)絡的正常、安全運行至關重要。管理系統(tǒng)的安全風險管理系統(tǒng)的安全風險除了上面提到的系統(tǒng)風險之外,系統(tǒng)之間,特別是其它商業(yè)銀行和證券之間存在很大的安全隱患。系統(tǒng)結構復雜、管理難度大,存在各種服務,哪些服務對哪些人是開放的、哪些是拒絕的都沒有一定的安全劃分。必須防止內(nèi)部不相關人員非法訪問安全程度要求高的數(shù)據(jù),而且整個系統(tǒng)的正常運行也是保證證券系統(tǒng)日常工作正常進行的一個十分重要的方面。必須限制管理系統(tǒng)內(nèi)各個部門之間訪問權限,維護各個系統(tǒng)的安全訪問。而由于整個系統(tǒng)是一個體系,任何一個點出現(xiàn)安全問題,都可能給相關人員帶來損失。方正數(shù)碼防火墻解決方案本方案設計的原則和目標原則:從網(wǎng)絡安全整個體系考慮,本次防火墻選擇原則是:安全性:防火墻提供一整套訪問控制/防護的安全策略,保證系統(tǒng)的安全性;開放性:防火墻采用國家防火墻相關標準和網(wǎng)絡安全領域相關技術標準;高可靠性:防火墻采用軟件、硬件結合的形式,保證系統(tǒng)長期穩(wěn)定、安全運行;可擴充性:防火墻采用模塊化設計方式,方便產(chǎn)品升級、功能增強、調(diào)整系統(tǒng)結構;可管理性:防火墻采用基于windows平臺GUI模式進行管理,方便各種安全策略設置;可維護性:防火墻軟件維護方便,便于操作管理;目標:網(wǎng)絡安全包括很多方面,如:訪問控制、身份認證、數(shù)據(jù)加密、入侵檢測、防止病毒、數(shù)據(jù)備份等。本次證券內(nèi)聯(lián)網(wǎng)防火墻系統(tǒng)建設的目標是經(jīng)過在證券同外部遠程交易以及其它商業(yè)銀行、金融機構連接處采用防火墻技術,防止外部網(wǎng)絡和用戶對證券內(nèi)聯(lián)網(wǎng)數(shù)據(jù)的非法使用和訪問,監(jiān)控整個網(wǎng)絡數(shù)據(jù)過程。有效防止來自外部的攻擊行為。限制對內(nèi)部資源和系統(tǒng)的訪問范圍。經(jīng)過在證券內(nèi)聯(lián)網(wǎng)系統(tǒng)中設置防火墻的安全措施將達到以下目標:保護基于證券內(nèi)聯(lián)網(wǎng)的業(yè)務不間斷的正常運作。包括構成證券系統(tǒng)網(wǎng)絡的所有設施、系統(tǒng)、以及系統(tǒng)所處理的數(shù)據(jù)(信息)。證券的重要信息在可控的范圍內(nèi)傳播,即有效的控制信息傳播的范圍,防止重要信息泄露給證券外部的組織或人員。解決網(wǎng)絡的邊界安全問題保證網(wǎng)絡內(nèi)部的安全實現(xiàn)系統(tǒng)安全及數(shù)據(jù)安全在用戶和資源之間進行嚴格的訪問控制(經(jīng)過身份認證,訪問控制)建立一套數(shù)據(jù)審計、記錄的安全管理機制(網(wǎng)絡數(shù)據(jù)采集,審計)融合技術手段和行政手段,形成全局的安全管理。為了解決證券內(nèi)聯(lián)網(wǎng)面臨的安全問題,有必要建立一整套安全機制,包括:訪問控制、入侵檢測等多個方面。信息系統(tǒng)的安全是一個復雜的系統(tǒng)工程,涉及到技術和管理等多個層面。為達成以上目標,方正數(shù)碼在充分調(diào)研和分析比較的基礎上采用合理的技術手段和產(chǎn)品以構建一個完整的安全技術體系,同時經(jīng)過與證券的共同工作,協(xié)助證券建立完善的安全管理體系。防火墻選型防火墻是網(wǎng)絡安全領域首要的、基礎的設施,它對維護內(nèi)部網(wǎng)絡的安全起著重要的作用。利用防火墻能夠有效地劃分網(wǎng)絡不同安全級別區(qū)域間的邊界,并在邊界上對不同區(qū)域間的訪問實施訪問控制、身份鑒別、和安全審計等功能。防火墻按實現(xiàn)的方式不同,其基本類型有:包過濾型、代理(應用網(wǎng)關)型和復合型。復合型防火墻是在綜合動態(tài)包過濾技術和代理技術的優(yōu)點的情況下采取的一種更加完善和安全的防火墻技術。其功能強大,是未來防火墻技術發(fā)展的一個主要趨勢。綜合考慮證券網(wǎng)絡安全實際情況,在本方案中采用方正數(shù)碼的方正方御(FG-P)復合型防火墻,放置在證券與遠程交易和各個商業(yè)銀行以及其它金融機構連接的各個葉節(jié)點。防火墻設置及工作模式●防火墻提供三個接口:內(nèi)網(wǎng)、外網(wǎng)、DMZ;●防火墻工作在路由模式,對外采用NAT技術,隱藏內(nèi)部真實地址;●將對外服務的各種服務設備放置在DMZ區(qū)域,和內(nèi)部網(wǎng)絡嚴格區(qū)分開,保證內(nèi)部系統(tǒng)安全?？紤]到安全問題,系統(tǒng)中的結構需要調(diào)整,將原來各商業(yè)銀行對證券內(nèi)部網(wǎng)絡的訪問調(diào)整到對DMZ的訪問。不輕易允許各商業(yè)銀行對證券內(nèi)部網(wǎng)絡進行訪問。防火墻功能設置及安全策略完善的訪問控制規(guī)則控制:經(jīng)過方正方御防火墻提供的基于TCP/IP協(xié)議中各個環(huán)節(jié)進行安全控制,生成完整安全的訪問控制表,這個表包括:■外網(wǎng)(商業(yè)銀行和其它金融機構)對DMZ內(nèi)服務訪問控制。將外部對內(nèi)部、DMZ內(nèi)服務訪問明確限制,防止非法對內(nèi)部重要系統(tǒng),特別是業(yè)務系統(tǒng)的訪問。利用DMZ的隔離效果,盡量將對外服務的部分服務器放置在DMZ區(qū)域,經(jīng)過NAT方式,保護內(nèi)部網(wǎng)絡免受攻擊。關閉操作系統(tǒng)提供的除需要以外的所有服務和應用,防止因為這些服務和應用自身的漏洞給系統(tǒng)帶來的風險。對內(nèi)部E-mail、FTP、WWW、數(shù)據(jù)庫的訪問做嚴格的規(guī)劃和限制,防止惡意攻擊行為發(fā)生?！鰞?nèi)部網(wǎng)絡:內(nèi)部網(wǎng)絡對外部網(wǎng)絡(商業(yè)銀行和其它金融機構)的訪問也要進行嚴格的限制。防止內(nèi)部員工對外網(wǎng)資源的非法訪問。對內(nèi)部員工對外訪問采用NAT方式訪問。同時內(nèi)部員工對DMZ區(qū)域服務器訪問也必須做限制。內(nèi)部員工對外網(wǎng)WWW訪問采用代理方式?！鯠MZ訪問:一般情況下DMZ對外部和內(nèi)部都不能主動進行訪問,除非特殊的應用需要到內(nèi)部網(wǎng)絡采集數(shù)據(jù),能夠有限地開放部分服務。借助方正方御防火墻提供的基于狀態(tài)包過濾技術對數(shù)據(jù)的各個方向采用全面安全的技術策略,制定嚴格完善的訪問控制策略保證從IP到傳輸層的數(shù)據(jù)安全。針對證券系統(tǒng)中的網(wǎng)絡風險能夠經(jīng)過嚴格的訪問控制表來進行限制。內(nèi)置入侵檢測(IDS)方正數(shù)碼公司和國際網(wǎng)絡安全組織合作,能夠?qū)崟r獲得最新系統(tǒng)入侵庫代碼,動態(tài)地將這些攻擊技術的解決方案加入到方正方御防火墻中,同時在方正方御防火墻內(nèi)部采用3I技術,加速應用層安全防護查詢過程。方正方御防火墻當前能夠支持1500種以上的入侵檢測并能夠成功阻斷這樣的攻擊行為,比如最近的紅色代碼。針對各種攻擊行為,比如TCP序列號攻擊、劫持、碎片攻擊、端口掃描能夠識別阻斷。而這個數(shù)據(jù)庫能夠?qū)崟r更新、升級。升級在方正方御防火墻界面即可完成。IDS和訪問策略形成互動。經(jīng)過防火墻嵌入的IDS功能能夠有效防范對內(nèi)部Windows/NT,Unix、Novell系統(tǒng)的攻擊行為。電子欺騙:防火墻能夠自動識別各種電子欺騙行為并進行阻斷。同時防火墻能夠?qū)窝bIP地址進行識別。代理服務方正方御防火墻對外提供代理服務功能,證券內(nèi)部網(wǎng)絡對外訪問能夠經(jīng)過防火墻提供的代理服務功能,同時代理服務能夠針對URL,SSL,FTP進行應用攔截,防止內(nèi)部人員對外網(wǎng)的非法訪問。NAT地址轉(zhuǎn)換將證券內(nèi)部網(wǎng)絡和DMZ區(qū)域網(wǎng)絡地址經(jīng)過NAT方式轉(zhuǎn)換,隱藏真實IP地址,防止內(nèi)部網(wǎng)絡受到攻擊。具體轉(zhuǎn)換方式就是將內(nèi)部網(wǎng)絡和DMZ區(qū)域機器的地址全部轉(zhuǎn)換成防火墻外網(wǎng)卡地址,對外證券只有一個地址。而借助防火墻的多映射功能,能夠?qū)ν獾耐坏刂酚成錇閮?nèi)部網(wǎng)絡和DMZ區(qū)域不同服務的不同端口。日志系統(tǒng)及系統(tǒng)報警方正方御防火墻提供強大的日志系統(tǒng),將經(jīng)過防火墻的數(shù)據(jù)、防火墻管理數(shù)據(jù)、流量、各種攻擊行為統(tǒng)計集成到一起。同時系統(tǒng)提供針對各種統(tǒng)計結果按照用戶要求進行報表打印。針對經(jīng)過防火墻數(shù)據(jù),能夠按照數(shù)據(jù)類型、地址進行統(tǒng)計分析。針對各種管理數(shù)據(jù),防火墻進行詳細記錄,網(wǎng)管人員能夠方便的查看對防火墻管理情況。如果有內(nèi)部人員對防火墻訪問,能夠經(jīng)過管理數(shù)據(jù)進行查詢。流量統(tǒng)計:防火墻提供流量統(tǒng)計功能,能夠按照用戶名稱、地址等多種方式進行統(tǒng)計。系統(tǒng)報警:當有人非法對內(nèi)部網(wǎng)絡或者外部網(wǎng)絡進行訪問的時候,系統(tǒng)的實時報警會經(jīng)過E-mail和聲音進行報警。同時對各種非法的訪問和攻擊行為進行記錄。經(jīng)過強大的日志系統(tǒng)和實時報警、日志報警等多種方式保證證券內(nèi)部網(wǎng)絡出現(xiàn)安全問題時能夠有資料分析;同時也能夠經(jīng)過對日志系統(tǒng)的分析完善系統(tǒng)安全策略。帶寬分配,流量管理在證券內(nèi)聯(lián)網(wǎng)上運行著部分重要的業(yè)務數(shù)據(jù),這些業(yè)務數(shù)據(jù)實時性要求高,必須保證這樣的數(shù)據(jù)具有優(yōu)先權限,防止因為帶寬問題影響證券的應用。方正方御防火墻能夠針對證券實際情況,對部分特殊應用提供帶寬管理。給特殊應用分配相對高的帶寬。同時方正方御防火墻提供流量管理功能,對內(nèi)部網(wǎng)絡用戶對外網(wǎng)的訪問能夠提供流量限制。集中管理針對證券網(wǎng)絡覆蓋面廣、區(qū)域跨度大的特點,防火墻需要集中管理和控制。方正方御防火墻提供集中管理機制,支持遠程管理。利用NT域的概念和技術,方正方御防火墻能夠?qū)ν粋€域內(nèi)的不同防火墻進行同時管理。我們考慮在證券的總行以及各個大區(qū)行采取集中管理機制。按照防火墻的分權原則,將策略管理放置在各個防火墻節(jié)點。策略整體由證券總行策劃,各個節(jié)點自己進行策略管理。而系統(tǒng)管理和日志查詢放置在各個大區(qū)行,統(tǒng)一管理、分析。防火墻提供管理接口,同時支持遠程管理,管理數(shù)據(jù)采用RC4/MD5方式加密,能夠有效保證管理的安全性,同時管理數(shù)據(jù)只在證券內(nèi)聯(lián)網(wǎng)流動。而防火墻自身能夠?qū)芾韱T地址進行嚴格限制。預制模板證券網(wǎng)絡復雜,可是結構清晰,為了更好的維護整個系統(tǒng)安全和適應證券統(tǒng)一管理、安全強度一致的原則,方正方御防火墻提供預制模板功能。能夠經(jīng)過證券統(tǒng)一制訂一個策略模板,各個節(jié)點網(wǎng)絡在這個模板基礎上進行規(guī)劃,簡化管理過程,使得系統(tǒng)管理難度降低。系統(tǒng)升級網(wǎng)絡安全技術隨著網(wǎng)絡技術發(fā)展不斷變化,而網(wǎng)絡安全策略和軟件也不能一成不變,需要不斷升級。方正方御防火墻管理界面提供方便的系統(tǒng)升級和IDS升級功能。保證證券防火墻產(chǎn)品實時和網(wǎng)絡安全領域技術同步,防止因為新的安全問題給系統(tǒng)帶來的安全風險。其中,特別是IDS功能,幾乎每天都有新的安全風險和攻擊軟件出現(xiàn)。方正防火墻內(nèi)嵌IDS功能模塊能夠動態(tài)升級,保障IDS數(shù)據(jù)庫和最新動態(tài)同步。雙機備份網(wǎng)絡安全、穩(wěn)定長期運行是證券最終目標,而網(wǎng)絡硬件可能因為一些特殊原因發(fā)生故障。方正方御防火墻提供雙機備份功能,采用兩種方式進行備份檢測,軟件方式借用HSRP技術動態(tài)跟蹤各個區(qū)域運行狀態(tài),發(fā)現(xiàn)任何一個區(qū)域出現(xiàn)問題即刻進行切換。硬件方式采用心跳線方式,當系統(tǒng)檢測到故障,也將進行切換。而系統(tǒng)的切換不影響證券的業(yè)務。兩臺防火墻工作在互備模式中。防火墻方案特點本次證券內(nèi)聯(lián)網(wǎng)防火墻主要設置在內(nèi)網(wǎng)與外網(wǎng)和其它商業(yè)銀行連接的節(jié)點上。本方案中,我們主要根據(jù)證券網(wǎng)絡實際情況,針對防火墻的特殊性,從如下幾個方面考慮保障系統(tǒng)安全性防火墻放置在內(nèi)外網(wǎng)之間用來隔離內(nèi)部網(wǎng)絡和外部網(wǎng)絡,對內(nèi)外網(wǎng)絡的通信進行嚴格的管理和監(jiān)控,防火墻必須提供全面的安全策略保證內(nèi)部系統(tǒng)安全。因此方正方御防火墻提供全面的訪問控制策略、IPMAC地址捆綁、IDS入侵檢測、反電子欺騙等手段。這些功能能夠有效的保障內(nèi)部網(wǎng)絡安全。同時方正方御防火墻也提供帶寬管理、分配,系統(tǒng)報警等措施從側面協(xié)助。自身安全性防火墻作為網(wǎng)絡系統(tǒng)中的一個部件,其自身的安全性也是十分重要的,考慮到實際情況,方正方御防火墻提供單獨的管理接口,管理接口服務全部關閉,同時管理接口的特殊管理數(shù)據(jù)采用標準加密算法和措施。證券遠程管理過程中數(shù)據(jù)經(jīng)過證券內(nèi)聯(lián)網(wǎng)進行管理能夠有效的保證管理的安全性。同時,利用WindowsNT中域技術,對防火墻管理時必須登錄到相應的域才能對域內(nèi)的用戶進行管理,保障管理域安全性。而防火墻操作系統(tǒng)采用經(jīng)過嚴格測試專有操作系統(tǒng)。維護方便性管理的方便性直接關系到系統(tǒng)能否起到安全保護作用,方正方御防火墻提供的專有GUI平臺,方便制訂各種安全策略。系統(tǒng)事件管理系統(tǒng)事件和日志的統(tǒng)計直接關系到整個安全平臺的完善和后續(xù)責任追查等多個方面,方正方御防火墻為用戶提供完整、準確的數(shù)據(jù)統(tǒng)計結果,供查詢、打印等。證券內(nèi)聯(lián)網(wǎng)防火墻安全需求及方案對照說明內(nèi)聯(lián)網(wǎng)防火墻基本要求內(nèi)聯(lián)網(wǎng)設置防火墻的目的是隔離內(nèi)部網(wǎng)、外部網(wǎng)和DMZ區(qū)(非軍事區(qū)),抵御多種模式的網(wǎng)絡攻擊,保護內(nèi)部網(wǎng)絡不受攻擊。方正方御防火墻是基于狀態(tài)檢測技術的包過濾防火墻,擁有完整的客體訪問控制能力。能夠?qū)刂品秶鷥?nèi)任何主體和客體執(zhí)行端到端策略。經(jīng)過對主、客體的規(guī)則策略的配置能夠控制主、客體的訪問。方正方御防火墻經(jīng)過設置允許、禁止以及對已建、新建、相關、非法四種狀態(tài)的檢測訪問,擁有授權與拒絕能力。為主體和客體的安全屬性提供明確的訪問保障和拒絕。方正方御防火墻擁有多種安全屬性訪問控制。防火墻的策略控制范圍包括:源地址、目的地址、源端口號、目的端口號、傳輸協(xié)議,連接狀態(tài),以及碎片檢測等所有要素。方正方御防火墻具備安全審計功能模塊。能夠?qū)θ肭謾z測、流量控制、防火墻自身操作、代理服務器等進行安全審計,而且將其審計結果詳細的記錄在日志中,經(jīng)過自帶的統(tǒng)計模塊,管理人員能夠自動或者手動地將其統(tǒng)計成為報表。方正方御防火墻安全策略采用了非旁路性的設計,即所有流過防火墻的信息包都要經(jīng)過防火墻的配置規(guī)則的檢測,不會出現(xiàn)信息包繞過防火墻的配置策略進入受保護網(wǎng)絡的情況。防火墻能夠充分保證任何與安全有關的操作被執(zhí)行前,均經(jīng)過安全策略的檢查。方正方御防火墻自身擁有非常高的安全性。方正方御防火墻采用專用的操作系統(tǒng),用戶或者黑客不會了解其操作系統(tǒng)的任何信息,無從對防火墻的操作系統(tǒng)進行攻擊。同時在管理上使用專有的控制接口,將管理信息與其它信息隔離開的同時還采用了基于PKI的方式確保管理信息的安全性。方正方御防火墻擁有完善的管理功能,能夠支持安全的集中管理,能區(qū)分安全管理角色,采用了三級管理體系,將管理人員分為管理員、審計員、策略員三種。結合證券內(nèi)聯(lián)網(wǎng)樹型結構的特點,使管理員能夠?qū)Ψ阑饓嵤┌踩倪h程管理及維護,并能夠經(jīng)過加密保護遠程管理會話?；镜呐渲霉芾砉δ?用戶數(shù)據(jù)保護中的管理員屬性的修改和查詢功能,標識與鑒別功能。證券內(nèi)聯(lián)網(wǎng)防火墻功能要求必備功能包過濾方正方御防火墻是基于包過濾的防火墻,經(jīng)過對所有流經(jīng)防火墻的信息包內(nèi)的包頭信息進行檢查,允許或阻止數(shù)據(jù)包的傳輸,以實現(xiàn)對網(wǎng)絡的安全控制。它能夠阻止畸型報文和拒絕服務,防止外部IPSpoofing,并可限制內(nèi)部職工對外網(wǎng)的訪問請求。同時防火墻內(nèi)置的強大的IDS系統(tǒng)能夠?qū)崟r的封禁可疑的IP及黑客的各種攻擊行為并報警。應用代理方正方御防火墻提供應用代理的功能,是針對應用層的服務,對用戶應用提供代理服務,即接收用戶的訪問請求、分析用戶數(shù)據(jù),然后以自己的身份向內(nèi)容服務器提出請求,并把內(nèi)容服務器的響應傳回給用戶。DMZ的劃分方正方御防火墻提供DMZ的劃分,能夠?qū)崿F(xiàn)安全功能區(qū)域分割,把控制范圍內(nèi)各主體的安全區(qū)域分開。防火墻除了提供內(nèi)部接口和外部接口外,還提供一個DMZ區(qū)(非軍事區(qū))的網(wǎng)絡接口。在DMZ區(qū)中,能夠設置公共應用的服務設備,供外部網(wǎng)絡有條件地訪問其中的資源。地址轉(zhuǎn)換方正方御防火墻擁有雙向地址轉(zhuǎn)換功能(NAT),它是基于網(wǎng)絡層的應用,經(jīng)過把內(nèi)部網(wǎng)絡(或DMZ區(qū))的信息包內(nèi)的源地址修改為防火墻的外部端口地址傳向外部網(wǎng)絡,同時隱藏了內(nèi)部網(wǎng)絡(或DMZ區(qū))的IP地址。具體做法為,當用戶需要對外訪問時,防火墻會將用戶的IP地址轉(zhuǎn)換為防火墻的外部端口IP地址,并將得到的響應再轉(zhuǎn)換回用戶的IP地址發(fā)回給用戶,從而達到內(nèi)部網(wǎng)絡(或DMZ區(qū))用戶訪問外部網(wǎng)絡資源的目的。這種做法既能夠使外部網(wǎng)絡無法了解內(nèi)部網(wǎng)絡(或DMZ區(qū))的網(wǎng)絡結構,又能夠節(jié)約外部合法的IP地址空間。另外,方正方御防火墻提供反向的地址轉(zhuǎn)換功能,支持DMZ區(qū)中的某個服務端口到內(nèi)部地址的一對一映射,即DMZ區(qū)中的地址向內(nèi)部網(wǎng)絡地址訪問時,被訪問的IP地址被轉(zhuǎn)換為指定的DMZ區(qū)中的IP地址。完整的日志功能方正方御防火墻提供了完整的日志功能,由于防火墻的安全特性,使防火墻的日志成為及時發(fā)現(xiàn)系統(tǒng)的漏洞、分析系統(tǒng)可能受到的攻擊、判斷系統(tǒng)運行的狀態(tài)及系統(tǒng)配置錯誤等問題的重要手段,因此方正方御防火墻能夠提供完整的日志功能。防火墻的運行日志能夠根據(jù)管理員的管理要求進行針對性的設置,實時記錄到目標文件或目標數(shù)據(jù)庫中,并提供必要的手段使管理員能夠查閱當前及歷史的日志文件。高安全性的防火墻操作系統(tǒng)和軟件內(nèi)核由于防火墻軟件是基于特定操作系統(tǒng)之上的,因此必須對防火墻所使用操作系統(tǒng)的安全提出要求,以免因操作系統(tǒng)自身的漏洞導致防火墻的安全受到影響。方正方御防火墻采用的是專用的操作系統(tǒng),安全性高,在操作系統(tǒng)上不會給黑客任何可趁之機。增強功能按照”三級互聯(lián)處強度一致,功能要求有所區(qū)別”的建設方針,在總行、分行營業(yè)管理部/省會城市中心支行二級網(wǎng)絡互聯(lián)區(qū)與商業(yè)銀行等其它金融機構內(nèi)部網(wǎng)絡對接處的防火墻配置要求具備或?qū)硇枰獣r可擴充至此增強功能。雙機熱備方正方御防火墻提供雙機熱備功能,在網(wǎng)絡中設置兩臺同等地位的防火墻產(chǎn)品,一主一從,從用防火墻中存有主用防火墻的設置鏡像,當主用防火墻因故無法正常運行時,從用防火墻能夠自動取代主用防火墻運作,提供應急措施,從而保證整個網(wǎng)絡系統(tǒng)的穩(wěn)定運行。防火墻性能防火墻系統(tǒng)不但要有完善的功能,還要有最佳的性能保證,確保安全與效率的平衡,內(nèi)聯(lián)網(wǎng)中使用的防火墻必須符合國家相關標準和規(guī)范。方正方御防火墻提供標準的以太網(wǎng)接口,適合證券內(nèi)聯(lián)網(wǎng)的網(wǎng)絡接入模式、接口規(guī)范、網(wǎng)絡帶寬,方正方御防火墻擁有高吞吐量、高性能;時延小、時延抖動小等特點;包轉(zhuǎn)發(fā)率達到網(wǎng)絡要求;30萬并發(fā)連接數(shù)不會限制現(xiàn)有應用系統(tǒng)的正常使用。不會成為網(wǎng)絡瓶頸,或明顯影響網(wǎng)絡工作效率。方正方御防火墻具有較高可靠性,不會降低證券信息系統(tǒng)現(xiàn)有的可靠性。方正方御防火墻采用的是專用的操作系統(tǒng),具有很高的安全性,不存在可能被她人非法利用的安全漏洞。方正方御防火墻將內(nèi)網(wǎng)、外網(wǎng)、DMZ和防火墻配置端分別連接于不同的網(wǎng)卡,實現(xiàn)最底層的網(wǎng)絡驅(qū)動隔離。提供三個10M/100M自適應以太網(wǎng)口,及一個CONSOLE口。方正方御防火墻在管理上易管理、易維護。提供圖形化管理界面,易于理解的配置規(guī)則,簡捷的配置方法,最大限度地簡化管理員對防火墻產(chǎn)品的管理與維護工作。防火墻管理防火墻能否充分發(fā)揮作用,不但與產(chǎn)品功能性能緊密相關,日常的運行管理也是至關重要的。相當多的網(wǎng)絡入侵事件的發(fā)生,并非是防火墻不起作用,而是由于防火墻管理不善、操作和配置不當,才使防火墻失去了應有的防范作用。因此,網(wǎng)絡管理中心要進行一定程度下的防火墻系統(tǒng)集中管理。對于方正方御防火墻,管理員能夠經(jīng)過一臺控制機對全網(wǎng)范圍內(nèi)的任何一臺防火墻設備進行遠程管理,實現(xiàn)對防火墻的配置、啟動、關閉、備份和恢復。經(jīng)過提供多層登錄權限設置功能,靈活設置防火墻的訪問權限。另外,為保證集中管理(即經(jīng)過遠程方式對防火墻產(chǎn)品進行管理與維護)的安全性要求,方正方御防火墻能夠限制進行遠程管理的IP地址;能夠加密保護遠程管理會話,且方正方御防火墻的加密是符合國家密碼委的有關規(guī)定的。

證券內(nèi)聯(lián)網(wǎng)安全管理建議整體思路根據(jù)證券內(nèi)聯(lián)網(wǎng)網(wǎng)絡的情況提出對應的管理建議。本建議僅包含了基本的原則和思路,需要證券系統(tǒng)相關人員經(jīng)過協(xié)同工作,使安全管理與銀行本身的管理體系相融合,最終得到具體化的貫徹和實施。證券內(nèi)聯(lián)網(wǎng)網(wǎng)絡是一個比較完善的綜合網(wǎng)絡,整體結構是—個經(jīng)過WAN連接的多級網(wǎng)絡,在網(wǎng)絡每一級的節(jié)點上具有一個局域網(wǎng),在多級網(wǎng)絡上運行著各個業(yè)務系統(tǒng)、服務系統(tǒng)、辦公自動化系統(tǒng)等,由于應用系統(tǒng)的復雜性、管理人員的復雜性,制定一個合適的全網(wǎng)安全管理制度和安全策略是十分必要的。良好的管理平臺有助于增強系統(tǒng)的安全性,能夠作到:及時發(fā)現(xiàn)系統(tǒng)安全的漏洞適時審查系統(tǒng)安全體系加強對使用人員的安全知識教育建立完善的系統(tǒng)管理制度集中管理,統(tǒng)一規(guī)劃防火墻能不能正確發(fā)揮它應有的作用,關鍵在于管理,證券內(nèi)聯(lián)網(wǎng)機構復雜、覆蓋面廣,如何管理將是對全網(wǎng)安全的有一大難題和考驗,我們建議以證券總部及大區(qū)部為中心,集中管理,證券統(tǒng)一規(guī)劃?？偛考按髤^(qū)負責防火墻日常運行狀況的監(jiān)測和管理,同時大區(qū)行制定統(tǒng)一的安全措施,保證防火墻能夠正確統(tǒng)一發(fā)揮其作用。當前證券各節(jié)點接入方式多樣,這無形中給證券內(nèi)聯(lián)網(wǎng)帶來了巨大的安全隱患,我們認為在統(tǒng)一管理上還應該統(tǒng)一證券內(nèi)部網(wǎng)絡出口。嚴格規(guī)章安全教育健全的管理體制是維護網(wǎng)絡正常安全運行的關鍵。很多系統(tǒng)因為沒有健全的安全管理體制常常出現(xiàn)由于管理的疏忽而導致嚴重的問題。我們認為以下問題應該成為安全管理首要解決的問題:在組織機構上對安全管理有一個保證——明確制定安全管理人員在管理上的權利和義務。對于安全管理員,明確指定每個人應該對什么事故負什么樣的責任,責任落實到人頭。明確指定什么人能夠管理什么網(wǎng)絡設備(防火墻、路由器、交換機等等),作到專門的產(chǎn)品維護由專人負責。同時,對網(wǎng)絡安全管理,我們應該在證券進行統(tǒng)一的網(wǎng)絡安全教育,讓證券員工將網(wǎng)絡安全意識帶到工作中去,提高員工網(wǎng)絡安全整體認識水平。加強口令管理(比如設置其生效期、頻繁更改口令等);在口令管理上首先杜絕不設口令的帳號存在,縮短口令的有效期時間;注意保證每個用戶的ID是唯一的;對于過期的帳號要及時注銷。加強對網(wǎng)絡系統(tǒng)的管理,在新的網(wǎng)絡用戶注冊時,對其進行必要的定義,明確其授權范圍,建立有益于用戶安全的管理機制。在網(wǎng)絡用戶準備登錄時,應該對其進行嚴格的身份認證。能夠經(jīng)過此用戶所屬的主機以及采取基于一次性口令的用戶驗證系統(tǒng)(比如SecurID等),檢查進入網(wǎng)絡的用戶是否合法,防止非法用戶進入網(wǎng)絡.明確責任技術培訓網(wǎng)絡管理員是決定系統(tǒng)網(wǎng)絡是否能夠安全、有效運行的根本因素。網(wǎng)絡管理員的技術水平是在很大的方面限制了安全系統(tǒng)的有效運行,例如錯誤配置的網(wǎng)絡設備(路由器、交換機等)、安全產(chǎn)品(防火墻、入侵檢測產(chǎn)品等)都能夠?qū)е戮W(wǎng)絡”千里之堤毀于蟻穴”。因此,需要網(wǎng)絡管理人員不斷提高自己的技術水平,查找各種相關資料,跟蹤最新的網(wǎng)絡安全技術,防病毒技術等等,使安全之鑰掌握在自己的手里。動態(tài)監(jiān)控專家咨詢安全系統(tǒng)的復雜性和安全產(chǎn)品的多樣性導致很多時候企業(yè)并沒有能力解決網(wǎng)絡中出現(xiàn)的所有的涉及安全產(chǎn)品的問題。這需要安全產(chǎn)品的生產(chǎn)廠商、軟件公司等定期的提供網(wǎng)絡安全風險分析和針對新產(chǎn)品、新標準的培訓。建議在證券內(nèi)部成立專門的網(wǎng)絡安全咨詢安全小組,由了解證券內(nèi)部結構的專業(yè)人士和專業(yè)網(wǎng)絡安全技術人員組成,同時動態(tài)地監(jiān)控整個系統(tǒng)網(wǎng)絡安全狀況,發(fā)現(xiàn)異常及時處理。組成一個快捷有效的應急響應小組,響應小組能夠有選擇的邀請國內(nèi)、外一些網(wǎng)絡安全專家擔任特聘顧問,比如方正數(shù)碼的安全專家等,以便在發(fā)生攻擊事件時在最短時間內(nèi)提供最有利的支持。

證券內(nèi)聯(lián)網(wǎng)防火墻安全系統(tǒng)實施方案由于本次證券內(nèi)聯(lián)網(wǎng)防火墻安全子系統(tǒng)涉及范圍廣,因此方正數(shù)碼公司將經(jīng)過全國的授權服務商來為證券各地機構提供本地化服務。同時,我們愿意與證券內(nèi)聯(lián)網(wǎng)工程建設系統(tǒng)集成商緊密合作。項目實施原則考慮到本項目是一個涉及分布全省的證券各級分支機構且對參與技術支持的單位及使用單位要求很高,因此我們認為本項目應在證券集中領導、協(xié)調(diào),方正數(shù)碼公司全力支持的情況下進行,以上是本項目實施的基本思路。合同簽訂階段的工作實施本階段應是項目實施的重要階段,證券與方正數(shù)碼公司雙方應協(xié)調(diào)本方相關單位,為項目的實際進行建立起有效的協(xié)調(diào)體系及最大限度地做好準備工作。為達到上述目的,雙方應做如下工作:1．建立協(xié)調(diào)領導小組證券協(xié)調(diào)小組組成人員及聯(lián)絡表如下:證券項目組聯(lián)系表部門人員責任分配聯(lián)系方式項目總負責防火墻負責人系統(tǒng)及網(wǎng)絡部分負責人商務實施負責人…………說明:具體信息需證券提供。方正數(shù)碼公司協(xié)調(diào)小組組成人員及聯(lián)絡表如下:

2．方正數(shù)碼公司及授權服務商工作準備首先方正數(shù)碼公司將防火墻發(fā)送到授權服務商處,組織服務商進行項目培訓并完成防火墻規(guī)則的配置。最終發(fā)送到用戶現(xiàn)場,由方正數(shù)碼有限公司授權的專業(yè)工程師安裝、調(diào)試,保證系統(tǒng)平穩(wěn)過渡,保證系統(tǒng)安全。發(fā)貨階段的實施1.證券負責:提供本方使用單位的詳細信息,所需信息列表如下:用戶分布及聯(lián)系表項目分區(qū)區(qū)轄地市負責人工程師聯(lián)系方式地址建議安裝順序配置總部營業(yè)部XX市XX市說明:具體信息需證券用戶在到貨前提供。為使安裝、測試、發(fā)貨工作更好地實施,上表應在合同簽訂階段向方正數(shù)碼公司提供。

2.方正數(shù)碼公司

為做到發(fā)貨清晰、準確,方正數(shù)碼公司將在設備包裝箱上做出明顯標示。標簽樣本如下:

項目名稱:項目名稱:接收單位名稱:地址:聯(lián)系人:電話:防火墻型號:到貨后工作的實施1.證券組織地市分部人員在大區(qū)部集中培訓(在大區(qū)部準備培訓環(huán)境)。2.方正數(shù)碼公司協(xié)調(diào)服務商配合證券大區(qū)部組織的培訓。測試及驗收測試及驗收描述在整個項目實施過程中,有3個重要的驗收,它們是單點驗收、初驗和終驗。下面是這三個驗收經(jīng)過的描述:沒有出現(xiàn)雙方認可的由于安全產(chǎn)品設備造成全網(wǎng)不可恢復的癱瘓;沒有出現(xiàn)雙方認可的由于安全產(chǎn)品設備造成單點不可恢復的癱瘓;在試運行期間解決了初驗遺留的有關設備的主要技術問題及試運行期間出現(xiàn)的有關設備的主要技術問題。驗收項目經(jīng)過不經(jīng)過驗收人硬件加電啟動無異常聲響系統(tǒng)自檢過程無錯誤提示信息防火墻必備功能測試防火墻主要性能測試防火墻管理測試方正數(shù)碼工程師 用戶代表(簽字) (簽字)日期: 日期:證券內(nèi)聯(lián)網(wǎng)防火墻系統(tǒng)培訓培訓目標掌握網(wǎng)絡安全的基本知識掌握產(chǎn)品的工作原理能熟練操作配置系統(tǒng)能進行日常維護能熟練地根據(jù)業(yè)務需要進行一定的系統(tǒng)調(diào)整。培訓課程網(wǎng)絡基礎網(wǎng)絡安全基礎防火墻的實施和使用防火墻規(guī)則配置分析培訓方式理論授課、上機實習。培訓時長4個工作日/場次培訓地點在證券大區(qū)部集中培訓,地點由證券總部或大區(qū)部指定并提供培訓場所。培訓人數(shù)以證券地市支部為基本單位,每支部參加培訓人數(shù)1-2人。學員要求熟悉windows系統(tǒng),具有基本網(wǎng)絡知識,熟悉路由器、交換機、集線器等基本網(wǎng)絡設備。有組建簡單局域網(wǎng)絡的能力。有組建簡單TCP/IP網(wǎng)絡的能力。(有防火墻此類安全產(chǎn)品使用經(jīng)驗者更佳)

方正方御防火墻技術支持與服務方正數(shù)碼綠色服務體系結構介紹方正數(shù)碼有限公司以北京為核心,在全國范圍內(nèi)建設三層結構技術支持及售后服務體系,為用戶提供全方位的服務。授權服務商授權服務商大區(qū)平臺方正數(shù)碼用戶技術支持技術支持技術支持技術培訓技術培訓技術支持方正數(shù)碼有限公司安全產(chǎn)品技術支持中心(TechnicalSupportCenter)是第三層服務:方正數(shù)碼安全產(chǎn)品技術支持中心,是三層結構售后服務體系的服務管理中心和技術支持核心。作為技術支持的核心,技術支持中心協(xié)助向用戶提供完善的售后服務,幫助解決第一層、第二層技術支持服務不能解決的問題,保證防火墻在用戶網(wǎng)絡上的正常運行。技術支持中心提供服務熱線(),能夠進行遠程診斷,解決用戶和第一、第二層技術支持服務的電話咨詢。技術支持中心提供在線服務,為用戶提供產(chǎn)品信息相關發(fā)布,產(chǎn)品升級服務、產(chǎn)品在線技術支持(E-mail、Web論壇)、產(chǎn)品資料文檔下載服務。技術支持中心為第一層和第二層技術支持服務提供產(chǎn)品培訓,協(xié)助其掌握產(chǎn)品信息、產(chǎn)品特性以及產(chǎn)品的實施和使用。技術支持中心還提供產(chǎn)品的遠程調(diào)試服務,當?shù)谝粚雍偷诙蛹夹g支持服務不能解決用戶問題時,能夠在得到用戶授權后經(jīng)過產(chǎn)品遠程調(diào)試接口直接提供技術支持。技術支持中心制定產(chǎn)品的售后服務策略,提供售后服務的作業(yè)指導文檔,協(xié)助第一、第二層服務支持機構完成產(chǎn)品的實施、售后支持服務的全部過程。方正數(shù)碼安全產(chǎn)品大區(qū)平臺是第二層服務:方正數(shù)碼大區(qū)平臺是方正數(shù)碼重要的銷售和技術支持中心,它能夠提供方正方御防火墻的售前、售后的各項支持。方正數(shù)碼安全產(chǎn)品大區(qū)平臺技術支持中心的每個技術支持工程師,都經(jīng)過方正數(shù)碼專業(yè)化的學習和培訓,擁有一流的技術和一流的敬業(yè)精神,支持第一層技術支持機構進行產(chǎn)品技術支持和服務。方正數(shù)碼安全產(chǎn)品授權服務商是第一層服務:方正數(shù)碼有限公司為每個方正方御防火墻授權服務商都提供了標準化、專業(yè)化的技術支持培訓和嚴格的上崗認證和服務授權,逐漸形成本地化的服務網(wǎng)絡。技術服務的本地化,使遍布全國的用戶都能享受到親切和便捷的技術支持服務。授權服務商的技術支持人員直接面向最終用戶,主要負責本地和相鄰區(qū)域產(chǎn)品的售后支持服務,為用戶提供上門服務,包括產(chǎn)品的實施、診斷、維修和保駕等。授權服務商的技術支持人員按照服務流程文檔和作業(yè)指導書的規(guī)范向用戶提供服務,并向方正數(shù)碼技術支持中心返回用戶信息(用戶電話以及其它聯(lián)系方式、產(chǎn)品序號、產(chǎn)品實施網(wǎng)絡拓撲圖等),以便于方正數(shù)碼對用戶進行定期回訪。完善的技術支持與服務方正數(shù)碼對安全產(chǎn)品提供售前、售后等服務,全面的幫助代理商、服務商和最終用戶快速、方便的使用方正數(shù)碼的安全產(chǎn)品,而且提供多種服務包,滿足不同用戶的特殊需求,以達到協(xié)助用戶實現(xiàn)網(wǎng)絡安全的目標。我們的服務按時間劃分為:售前階段:售前階段是指從獲得用戶的需求到安全產(chǎn)品的第一次安裝。在這個階段我們的售前工程師會分析用戶需求、設計方案、方案測試及安裝、布置網(wǎng)絡安全產(chǎn)品,直至用戶滿意并簽署驗收報告。售后階段:從用戶購買我們的安全產(chǎn)品開始,我們的售后工程師會幫助用戶解決使用中的遇到的各種問題。售前服務內(nèi)容技術咨詢:如果用戶或代理商在網(wǎng)絡安全方面有疑問或需要幫助能夠撥打熱線電話咨詢,技術咨詢熱線將解答關于網(wǎng)絡安全方面的疑問。售前技術培訓:提供防火墻及安全產(chǎn)品的售前技術培訓,讓代理商、授權服務商和用戶了解網(wǎng)絡安全的相關信息和知識,熟悉方正數(shù)碼的產(chǎn)品,能夠使用方正數(shù)碼的產(chǎn)品構建網(wǎng)絡安全解決方案。分析用戶需求:當用戶提供了需求說明后,工程師會認真的分析用戶的需求,為用戶提供最有效、最實用的安全方案。設計解決方案:在分析用戶的需求后,幫助用戶設計一套多層次、多角度、易實施、全面的網(wǎng)絡安全解決方案。方案布置實施:用戶購買了方正方御安全產(chǎn)品后,協(xié)助用戶按照設計的方案布置、實施。售前服務流程設備驗收應該在用戶設備到位后5個工作日內(nèi)完成。其中用戶信息包括:產(chǎn)品序號、產(chǎn)品序列號、單位名稱、網(wǎng)絡名稱、地址、聯(lián)系人、電話(座機、手機)、Email地址、實施網(wǎng)絡圖等其它和用戶保修相關信息。用戶會經(jīng)過電話和Email形式得到方正數(shù)碼返回的服務號,以確保用戶能享受方正數(shù)碼提供的售后服務。售后服務內(nèi)容技術培訓:為了讓用戶能夠更好的架構自己的網(wǎng)絡安全系統(tǒng),方正數(shù)碼培訓中心提供網(wǎng)絡基礎、防火墻知識及網(wǎng)絡安全培訓。培訓課程包括網(wǎng)絡基礎、網(wǎng)絡安全基礎、防火墻的實施和使用以及防火墻規(guī)則配置分析。如果用戶經(jīng)過了方正數(shù)碼培訓中心的防火墻及網(wǎng)絡安全工程師的認證考試,能夠獲得方正數(shù)碼網(wǎng)絡安全工程師認證證書。產(chǎn)品培訓:為了保證用戶能夠輕松、快速、正確的使用我們的產(chǎn)品,方正數(shù)碼培訓中心提供安全產(chǎn)品的使用、維修培訓。系統(tǒng)加固:一般的企業(yè)在網(wǎng)絡安全方面沒有專業(yè)的知識和技能,為此方正數(shù)碼能夠協(xié)助用戶檢測網(wǎng)絡系統(tǒng)的安全強度,并幫助用戶彌補安全上現(xiàn)存的漏洞,提高用戶的網(wǎng)絡安全等級,增強網(wǎng)絡系統(tǒng)的安全性。用戶意見處理:我公司始終認為用戶提出的意見和建議是推動我們前進的動力之一,為此我們會及時、快速地處理用戶的意見和建議,將其分類、匯總并記入我們的數(shù)據(jù)庫,以便于我們不斷地對產(chǎn)品進行改進和完善。用戶可經(jīng)過熱線電話010－68419468或Email:反映意見和建議。產(chǎn)品答疑:如果用戶在產(chǎn)品使用過程中有任何問題能夠撥打我們的熱線電話或給我們發(fā)電子郵件,我們會在第一時間解答您的疑問。故障診斷:當我們的產(chǎn)品出現(xiàn)故障時,用戶能夠經(jīng)過我們的熱線電話通知我們,我們能夠提供包括電話指導、上門服務等形式幫助用戶診斷故障并快速解決。保修服務:方正數(shù)碼對方正方御防火墻網(wǎng)絡安全產(chǎn)品承諾為期三年的免費保修。免費保修期后,方正數(shù)碼依然提供完善的服務來保證用戶系統(tǒng)的正常運行。售后服務流程為更好地向用戶提供方正方御防火墻的服務,方正數(shù)碼提供了金牌服務、銀牌服務、普通服務三個不同檔次的服務包供用戶挑選。對于購買了這三種服務包的用戶方正數(shù)碼將按照服務包的內(nèi)容更好的為用戶服務。金牌服務:為更好的向用戶提供方正方御防火墻的服務,方正數(shù)碼提供了金牌服務包,它包括安裝服務、維修服務、保駕服務(4次)、備機使用、應急響應服務等服務內(nèi)容。銀牌服務:用戶能夠購買方正數(shù)碼提供的銀牌服務包,它包括安裝服務、維修服務、保駕服務(4次)、備機使用等服務內(nèi)容。普通服務:方正數(shù)碼還提供了普通服務包,它包括安裝服務、維修服務、保駕服務(4次)等服務內(nèi)容。服務方式電話支持(周一至周五9:00-18:00,節(jié)假日除外):用戶在使用本公司網(wǎng)絡安全產(chǎn)品時如遇到問題,無論是軟件,硬件或是網(wǎng)絡,都能夠從方正數(shù)碼得到電話支持(),用戶能夠指定一名主要聯(lián)系人及兩名替補聯(lián)系人與方正數(shù)碼技術支持中心聯(lián)系。一旦接到用戶請求電話,方正數(shù)碼技術人員將在規(guī)定時間內(nèi)經(jīng)過電話解決或回答用戶的問題。對于非工作日接到的故障電話,最遲將在下一個工作日響應。現(xiàn)場支持(周一至周五9:00-18:00,節(jié)假日除外):對于經(jīng)過電話無法解決的問題,方正數(shù)碼或授權服務中心將派出工程師到用戶現(xiàn)場為用戶提供現(xiàn)場產(chǎn)品調(diào)試服務,保證網(wǎng)絡安全產(chǎn)品在用戶網(wǎng)絡上正常運行。服務監(jiān)督為了向您提供更優(yōu)質(zhì)的售后服務,保護您的權益,如果在我們承諾的服務范圍內(nèi)您對我公司網(wǎng)絡安全產(chǎn)品技術支持中心或者授權維修中心提供的服務有異議時,我公司歡迎您對我們的工作進行監(jiān)督,我們將以最快的速度給您一個滿意的答復。投訴熱線:傳真: E-mail:HYPERLINKmailto:網(wǎng)站:HYPERLINK.信函:100089北京市海淀區(qū)西三環(huán)北路27號北科大廈4層方正數(shù)碼網(wǎng)絡安全產(chǎn)品技術支持中心

方正方御防火墻成功案例鞍山市商業(yè)銀行應用案例鞍山市商業(yè)銀行需求分析主要保護兩臺互為備份的RS/6000服務器和一臺WindowsNT服務器。由于這兩臺互為備份的RS/6000服務器會有大量用戶訪問,因此要保證網(wǎng)絡的流量,即新增的安全產(chǎn)品不能成為網(wǎng)絡的瓶頸。在管理上,使用集中式的管理能夠方便快捷,并能夠簡化管理員的工作,提高工作效率。網(wǎng)絡中心拓撲結構:系統(tǒng)安全目的保護鞍山市商業(yè)銀行的RS/6000和NT服務器正常運轉(zhuǎn),避免惡意的攻擊、破壞,重要數(shù)據(jù)庫的數(shù)據(jù),防止被竊取、修改、破壞安全體系結構首先需要使用方正方御防火墻作為網(wǎng)絡安全的屏障來與其它網(wǎng)絡進行隔離,這樣能夠防止其它網(wǎng)絡的非法用戶的非法侵害;對于IDS系統(tǒng)方正方御防火墻里已經(jīng)內(nèi)置了一套網(wǎng)絡IDS系統(tǒng)。整個安全系統(tǒng)結構能夠總結為:多層隔離、實時監(jiān)控、立體防護、集中管理。安全系統(tǒng)實施我們提出了解決需求所要使用到的安全模塊,主要由防火墻來對網(wǎng)絡上的入侵、攻擊以及異常的行為進行阻擋。使用方正方御防火墻作為系統(tǒng)安全的屏障。具體實施如下圖所示:拓撲連接如上圖所示,在訪問的線路上添加方正方御防火墻,防火墻設置為橋接模式,不需要給內(nèi)、外部接口配置IP地址,將防火墻的外部接口使用直連線與交換連接,將防火墻的內(nèi)部接口使用直連線(交叉線)與RS/6000和NT服務器相連接即可。整個安全的實施,除了增加防火墻外,不需要在購置其它網(wǎng)絡設備,同時也不需要改動網(wǎng)絡的拓撲結構,在實施上非常方便。(用戶聯(lián)系方式:于家禧,)沈陽建設銀行安全應用實例沈陽建設銀行需求分析保護沈陽建行的網(wǎng)絡系統(tǒng),保證各項業(yè)務正常運行,防止非法行為的侵犯和病毒的破壞。由于當前沈陽建行沒有采取安全保護措施,使得自己的業(yè)務系統(tǒng)完全暴露在網(wǎng)絡環(huán)境中,因此容易受到黑客和不法人員的侵害,因此應該實施一套完整的安全方案來保護業(yè)務網(wǎng)絡,同時由于銀行每天都有大量的數(shù)據(jù)經(jīng)過網(wǎng)絡,因此要保證網(wǎng)絡的流量,即新增的安全產(chǎn)品不能成為網(wǎng)絡的瓶頸。在管理上,使用集中式的管理能夠方便快捷,并能夠簡化管理員的工作,提高工作效率。從安全的角度來看,復雜的、分散的管理方式在安全上是存在很大的隱患和漏洞的,使用集中管理也是提高安全等級的一項主要內(nèi)容。網(wǎng)絡主要的安全風險和漏洞:數(shù)據(jù)庫數(shù)據(jù)會受到黑客的竊取、破壞以及病毒的破壞系統(tǒng)信息會受到黑客的竊取、破壞以及病毒的破壞服務的正常運行會受到黑客的攻擊、破壞以及病毒的破壞網(wǎng)絡中心拓撲結構:從上圖中能夠看出,當前沈陽建行的網(wǎng)絡比較復雜,設備眾多,型號也非常多,一方面在管理上很不方便,另一方面從安全性的角度講,它使得網(wǎng)絡的安全等級也降低了,因此我們需要簡化網(wǎng)絡結構,并對網(wǎng)絡進行集中的管理。系統(tǒng)安全目的目的是:保護沈陽建設銀行的內(nèi)部網(wǎng)絡的計算機系統(tǒng)正常運轉(zhuǎn),避免惡意的攻擊、破壞;重要數(shù)據(jù)庫的數(shù)據(jù),防止被竊取、修改、破壞。用戶安全需求分析安全性網(wǎng)絡環(huán)境、操作系統(tǒng)與數(shù)據(jù)的安全性現(xiàn)在這個網(wǎng)絡環(huán)境直接暴露,是處在非常不安全的狀態(tài),因此我們需要用防火墻來隔離沈陽建行的內(nèi)部生產(chǎn)網(wǎng)絡,保護各種業(yè)務的服務器,其中包括AS/400等重要的業(yè)務機。由于防火墻能夠阻擋黑客的攻擊行為和異常的網(wǎng)絡事件,這樣能夠保護我們的網(wǎng)絡環(huán)境、網(wǎng)絡中計算機的操作系統(tǒng)和數(shù)據(jù)。防火墻是網(wǎng)絡安全的第一道屏障,單有防火墻是不能進行全面保護的,我們還需要入侵監(jiān)測系統(tǒng)(IDS)來對黑客的攻擊進行報警和自動防范。高效性由于每天有大量的信息訪問要保護生產(chǎn)系統(tǒng)的服務器,這就要求網(wǎng)絡擁有很高的數(shù)據(jù)吞吐能力,也就意味著網(wǎng)絡的安全產(chǎn)品不能對網(wǎng)絡的流量造成影響。而現(xiàn)在傳統(tǒng)防火墻動輒造成15%以上的效率損失相比,這就造成了一個矛盾。方正方御防火墻充分考慮了用戶對效率的重視性,擁有足以自豪的數(shù)據(jù)吞吐能力。在500條規(guī)則以下的應用(占全部應用的95%以上)中,基本不影響網(wǎng)絡傳輸,有絕正確優(yōu)勢?？蓴U展性銀行是中國重要的金融機構,新的業(yè)務會不斷的開展,同時也會應用大量的新技術新設備,同時網(wǎng)絡的發(fā)展日新月異,因此網(wǎng)絡的擴展性好壞關系到日后企業(yè)的發(fā)展。這就要求在網(wǎng)絡建設時留余地。這樣不會因為現(xiàn)在的投資給將來網(wǎng)絡的發(fā)展和升級帶來影響。易用性(管理控制)不易使用的安全系統(tǒng)是不安全的。充斥著英文術語的管理界面會大大的增加系統(tǒng)管理人員的工作量,也容易導致不應有的漏洞的出現(xiàn)或安全策略的僵化。易用性主要包括:要界面清晰易懂管理集中方便安全性的時實監(jiān)控完善的服務體制網(wǎng)絡安全的實施還需要完善的服務體制來保障,一般的企業(yè)不是專業(yè)的網(wǎng)絡安全公司,安全是動態(tài)的過程,今天安全的系統(tǒng)明天就可能不安全,這就要求提供安全方案的公司有優(yōu)秀的服務體制進行跟蹤服務。需要有一支專業(yè)的網(wǎng)絡安全隊伍來幫助企業(yè)解決有關安全問題。再嚴密的系統(tǒng)也可能出現(xiàn)漏洞,當緊急事件發(fā)生時,能不能在最短時間內(nèi)獲得緊急響應服務經(jīng)常決定了損失的大小,而且這種時候,需要的是極其專業(yè)的服務,沒有強大開發(fā)實力的公司是無法滿足這種需求的,而在國內(nèi)沒有開發(fā)部門的國外著名公司則往往鞭長莫及。安全體系結構經(jīng)過前面的分析,用戶首先需要使用防火墻作為網(wǎng)絡安全的屏障來與其它網(wǎng)絡進行隔離,這樣能夠防止其它網(wǎng)絡的非法用戶的非法侵害,在這里我們建議使用方正數(shù)碼的方正方御防火墻。作為網(wǎng)絡安全必備的第二道警戒線我們需要布置IDS(入侵監(jiān)測系統(tǒng)),IDS系統(tǒng)主要包括網(wǎng)絡IDS、主機IDS等部分,對于IDS系統(tǒng)方正方御防火墻里已經(jīng)內(nèi)置了一套網(wǎng)絡IDS系統(tǒng)。同時要在網(wǎng)絡中布置一套網(wǎng)絡防病毒系統(tǒng),以達到對病毒的防御。由于防火墻是網(wǎng)絡中的關鍵設備之一,有時候一些不可預見的因素可能會使防火墻出現(xiàn)故障而造成網(wǎng)絡不暢通或安全性失效,因此我們要采取雙機熱備的方案,提高安全的可靠性。另外需要我們注意的是加入數(shù)據(jù)備份的產(chǎn)品,來保護數(shù)據(jù)庫。安全體系結構圖:安全解決方案體系所使用模塊:防火墻(方正方御防火墻)IDS(ISS產(chǎn)品)病毒模塊(KiLL網(wǎng)絡防毒產(chǎn)品)網(wǎng)絡冗余數(shù)據(jù)備份整個安全系統(tǒng)結構能夠總結為:多層隔離、實時監(jiān)控、立體防護、集中管理。安全系統(tǒng)實施經(jīng)過上面對需求的分析,我們提出了解決需求所要使用到的安全模塊,主要由防火墻來對網(wǎng)絡上的入侵、攻擊以及異常的行為進行阻擋。使用方正數(shù)碼的方御防火墻作為系統(tǒng)安全的屏障。具體實施如下圖所示:拓撲結構如上圖所示,在訪問的線路上添加方御防火墻雙機熱備方案,防火墻設置為橋接模式,不需要給內(nèi)、外部接口配置IP地址,將防火墻的外部接口使用直連線與交換機連接,將防火墻的內(nèi)部接口使用直連線與相連接即可。在網(wǎng)絡的主交換機上安裝一臺帶有IDS系統(tǒng)的計算機,作為第二道安全防護屏障,同時在每臺計算機上安裝Kill網(wǎng)絡版防病毒模塊和E-trust單機版IDS模塊。作為防御病毒的屏障。對于數(shù)據(jù)的備份系統(tǒng),相應的數(shù)據(jù)庫都提供備份的辦法,也能夠使用磁帶機等。整個安全的實施,除了增加防火墻和防病毒模塊外,不需要在購置其它網(wǎng)絡設備,在實施上非常方便。(用戶聯(lián)系方式:孫文革,)部分方正方御防火墻客戶名單金融:中國人民銀行遼寧鞍山商業(yè)銀行遼寧葫蘆島商業(yè)銀行沈陽市建設銀行新疆中國銀行湖北建設銀行山西農(nóng)業(yè)銀行河南工商銀行合肥商業(yè)銀行深圳人?！娦?中國電信集團總公司中國網(wǎng)通上海電信局北京電信局石家莊電信局西安市電信局……企業(yè):北大方正科技電腦公司南京普天電子北京永輝國際集團北京萬柳智能小區(qū)新紀元國際旅行社……網(wǎng)站:北京申奧網(wǎng)站上海OA365.COM上海在線7135.COM香港珠寶網(wǎng)……政府:北京市工商局南京市財政局上海浦東財政局廣東順德市勞動局上海海關廣東鶴山電力局內(nèi)蒙包頭市工商局云南省政府辦公廳重慶市公安局南京市建委……教育及研究所:北京人類基因組北方研究中心山東財政學院合肥中醫(yī)大學上海南江教委河北邢臺師專中國教育網(wǎng)河北師大節(jié)點……廣電報業(yè):湖南經(jīng)濟電視臺南京市廣電局揚州市廣電局廣西柳州廣電局山東濟南廣電局山東聊城廣電寬帶網(wǎng)安徽日報沈陽晚報揚子晚報……

證券內(nèi)聯(lián)網(wǎng)防火墻安全子系統(tǒng)建設報價防火墻公開抱價表:產(chǎn)品名稱型號單價(元)方正方御防火墻FG-P82500.00方正方御防火墻FG-P106750.00方正方御防火墻FG-P121250.00

方正數(shù)碼聯(lián)系方式方正數(shù)碼有限公司為保證本次人行網(wǎng)絡安全項目的順利實施,特設立專項小組,專項小組聯(lián)系人名單如下:張大箭劉峰周崢顧培梁誠馬虔傳真: E-mail:HYPERLINKmailto:網(wǎng)站:HYPERLINK.信函:100089北京市海淀區(qū)西三環(huán)北路27號北科大廈4層方正數(shù)碼網(wǎng)絡安全產(chǎn)品技術支持中心

附錄一:授權服務商名單北京成思計算機系統(tǒng)技術有限公司聯(lián)系人:郭子寶電話:地址:北京海淀區(qū)人大北路33號2號樓沁園公寓305室上海怡友華晨網(wǎng)絡系統(tǒng)集成有限責任公司聯(lián)系人:沈逢權電話:地址:上海市江寧路212號廣州市金海晨科技有限公司聯(lián)系人:劉華電話:地址:廣州市天河區(qū)龍口東路蓄