證券內(nèi)聯(lián)網(wǎng)防火墻安全系統(tǒng)方案
證券內(nèi)聯(lián)網(wǎng) 防火墻安全系統(tǒng)方案 方正數(shù)碼有限公司 2001年12月 1 北大方正集團(tuán)、方正數(shù)碼公司簡介 8 2 網(wǎng)絡(luò)證券業(yè)務(wù)分析 10 3 網(wǎng)絡(luò)證券安全需求分析 13 3.1 安全性 13 3.2 高效性 14 3.3 可靠性 15 3.4 可伸縮性 15 3.5 易用性 15 3.6 完善的服務(wù)體制 16 4 安全系統(tǒng)結(jié)構(gòu) 16 5 安全系統(tǒng)實(shí)施 19 5.1.1 主要應(yīng)用服務(wù)的安全風(fēng)險(xiǎn) 22 5.1.2 網(wǎng)絡(luò)中主要系統(tǒng)的安全風(fēng)險(xiǎn) 23 5.1.3 數(shù)據(jù)庫系統(tǒng)安全分析 23 5.1.4 管理系統(tǒng)的安全風(fēng)險(xiǎn) 24 6 方正數(shù)碼防火墻解決方案 24 6.1 本方案設(shè)計(jì)的原則和目標(biāo) 24 6.2 防火墻選型 25 6.3 防火墻設(shè)置及工作模式 26 6.4 防火墻功能設(shè)置及安全策略 26 6.4.1 完善的訪問控制 26 6.4.2 內(nèi)置入侵檢測（IDS） 27 6.4.3 代理服務(wù) 27 6.4.4 NAT地址轉(zhuǎn)換 28 6.4.5 日志系統(tǒng)及系統(tǒng)報(bào)警 28 6.4.6 帶寬分配，流量管理 28 6.4.7 集中管理 29 6.4.8 預(yù)制模板 29 6.4.9 系統(tǒng)升級 29 6.4.10 雙機(jī)備份 30 6.4.11 防火墻方案特點(diǎn) 30 7 證券內(nèi)聯(lián)網(wǎng)防火墻安全需求及方案對照說明 31 7.1 內(nèi)聯(lián)網(wǎng)防火墻基本要求 31 7.2 證券內(nèi)聯(lián)網(wǎng)防火墻功能要求 33 7.2.1 必備功能 33 7.2.2 增強(qiáng)功能 36 7.3 防火墻性能 36 7.4 防火墻管理 38 8 證券內(nèi)聯(lián)網(wǎng)安全管理建議 39 8.1 整體思路 39 8.2 集中管理，統(tǒng)一規(guī)劃 39 8.3 嚴(yán)格規(guī)章 安全教育 40 8.4 明確責(zé)任 技術(shù)培訓(xùn) 40 8.5 動態(tài)監(jiān)控 專家咨詢 41 9 證券內(nèi)聯(lián)網(wǎng)防火墻安全系統(tǒng)實(shí)施方案 42 9.1 合同簽訂階段的工作實(shí)施 42 9.2 發(fā)貨階段的實(shí)施 43 9.3 到貨后工作的實(shí)施 45 9.4 測試及驗(yàn)收 46 9.4.1 測試及驗(yàn)收描述 46 10 證券內(nèi)聯(lián)網(wǎng)防火墻系統(tǒng)培訓(xùn) 48 10.1 培訓(xùn)目標(biāo) 48 10.2 培訓(xùn)課程 48 10.3 培訓(xùn)方式 48 10.4 培訓(xùn)時(shí)長 48 10.5 培訓(xùn)地點(diǎn) 48 10.6 培訓(xùn)人數(shù) 49 10.7 學(xué)員要求 49 11 方正方御防火墻技術(shù)支持與服務(wù) 50 11.1 方正數(shù)碼綠色服務(wù)體系結(jié)構(gòu)介紹 50 11.2 完善的技術(shù)支持與服務(wù) 52 11.2.1 售前服務(wù)內(nèi)容 53 11.2.2 售前服務(wù)流程 54 11.2.3 售后服務(wù)內(nèi)容 55 11.2.4 售后服務(wù)流程 56 11.3 服務(wù)方式 57 11.4 服務(wù)監(jiān)督 57 12 方正方御防火墻成功案例 59 12.1 鞍山市商業(yè)銀行應(yīng)用案例 59 12.1.1 鞍山市商業(yè)銀行需求分析 59 12.1.2 系統(tǒng)安全目的 60 12.1.3 安全體系結(jié)構(gòu) 60 12.1.4 安全系統(tǒng)實(shí)施 60 12.2 沈陽建設(shè)銀行安全應(yīng)用實(shí)例 61 12.2.1 沈陽建設(shè)銀行需求分析 61 12.2.2 系統(tǒng)安全目的 63 12.2.3 用戶安全需求分析 63 12.2.3.1 安全性 63 12.2.3.2 高效性 63 12.2.3.3 可擴(kuò)展性 64 12.2.3.4 易用性（管理控制） 64 12.2.3.5 完善的服務(wù)體制 64 12.2.4 安全體系結(jié)構(gòu) 64 12.2.5 安全系統(tǒng)實(shí)施 66 12.3 部分方正方御防火墻客戶名單 67 13 證券內(nèi)聯(lián)網(wǎng)防火墻安全子系統(tǒng)建設(shè)報(bào)價(jià) 70 14 方正數(shù)碼聯(lián)系方式 71 附錄一：授權(quán)服務(wù)商名單 72 附錄二：防御防火墻所獲證書 77 附件三：資格證明文件 82 附錄四：方正方御防火墻產(chǎn)品說明 87 產(chǎn)品概述 87 系統(tǒng)特點(diǎn) 88 防火墻功能說明 91 多種工作模式 91 包過濾防火墻 93 高效的過濾 93 碎片處理功能 94 防SYN Flood攻擊 94 強(qiáng)大的狀態(tài)檢測功能 95 輕型/復(fù)雜IDS(入侵檢測系統(tǒng)) 95 反端口掃描 95 可以防范20類1500余種攻擊方式 96 在線升級和實(shí)時(shí)報(bào)警 98 入侵檢測和防火墻的互動 99 雙向NAT 99 帶寬管理和流量統(tǒng)計(jì) 100 代理服務(wù)器功能 100 雙機(jī)熱備 101 強(qiáng)大的審計(jì)功能 101 基于PKI的高級授權(quán)認(rèn)證 102 集中管理 102 實(shí)時(shí)控制和日志轉(zhuǎn)存 102 靈活的配置方式 103 可視化配置 103 預(yù)置包過濾規(guī)則集 103 總結(jié) 103 北大方正集團(tuán)、方正數(shù)碼公司簡介 北京北大方正集團(tuán)公司是北京大學(xué)創(chuàng)建的高新技術(shù)企業(yè)。 [pic] 　　方正集團(tuán)擁有３個(gè)控股的上市公司，方正（控股）有限公司、方正數(shù)碼有限公司、 上海方正延中科技集團(tuán)股份有限公司，17家獨(dú)資、合資企業(yè)。員工總數(shù)約6000人，總資 產(chǎn)50億元，2000年銷售規(guī)模達(dá)101億元。 　　1997年，方正集團(tuán)已成為國家120家大型試點(diǎn)企業(yè)集團(tuán)之一，國家首批６家技術(shù)創(chuàng)新 試點(diǎn)企業(yè)之一，國家重點(diǎn)支持的５家PC生產(chǎn)廠家之一。 　　創(chuàng)造科技與文明，是北大方正的一貫宗旨，集團(tuán)堅(jiān)持以人為本的宗旨，以創(chuàng)新為先 導(dǎo)，產(chǎn)、學(xué)、研結(jié)合，不斷以優(yōu)質(zhì)產(chǎn)品和技術(shù)服務(wù)于社會。 方正數(shù)碼有限公司（EC-Founder Co., Ltd.）是從事發(fā)展互聯(lián)網(wǎng)應(yīng)用技術(shù)及電子商務(wù)的軟件技術(shù)公司。其業(yè)務(wù)專注于互聯(lián)網(wǎng)安 全產(chǎn)品及網(wǎng)絡(luò)安全服務(wù)等領(lǐng)域，是互聯(lián)網(wǎng)時(shí)代的軟件技術(shù)公司。 方正數(shù)碼借助技術(shù)、研發(fā)方面的優(yōu)勢，借鑒世界上最先進(jìn)的管理運(yùn)作經(jīng)驗(yàn)，定位于"電子 商務(wù)賦能者"（ e-commerce enabler），用不斷創(chuàng)新的技術(shù)與優(yōu)質(zhì)的服務(wù)賦予客戶新經(jīng)濟(jì)時(shí)代可持續(xù)發(fā)展的能力，幫 助政府、證券、金融、行業(yè)、企業(yè)、網(wǎng)站、電子商務(wù)的運(yùn)營者運(yùn)用先進(jìn)技術(shù)和高效管理 手段在互聯(lián)網(wǎng)時(shí)代健康發(fā)展，取得成功。 [pic] 方正數(shù)碼有限公司的業(yè)務(wù)圍繞在互聯(lián)網(wǎng)安全技術(shù)應(yīng)用、網(wǎng)絡(luò)安全服務(wù)及網(wǎng)絡(luò)安全知識管 理等主要領(lǐng)域，在技術(shù)開發(fā)、應(yīng)用解決方案和運(yùn)營服務(wù)方面為用戶提供先進(jìn)的網(wǎng)絡(luò)安全 產(chǎn)品和技術(shù)。 為此方正數(shù)碼推出SHARKS互聯(lián)網(wǎng)安全解決方案。SHARKS解決方案是在深入的研究后， 提出的一套基于中國國情、全部自主開發(fā)、具有領(lǐng)先優(yōu)勢的解決方案。它是一套整體的 集群平臺，可以解決企業(yè)最為關(guān)切的安全性、高可靠性、可擴(kuò)展性和易于遠(yuǎn)程管理的問 題。目前這套方案已經(jīng)得到國家有關(guān)部門的大力支持，被國家經(jīng)貿(mào)委列為國家創(chuàng)新計(jì)劃 項(xiàng)目之一，還得到了國家“863”計(jì)劃的肯定與支持。 方正方御防火墻是SHARKS安全解決方案中的主要安全產(chǎn)品之一。方正方御防火墻憑借 其獨(dú)特的技術(shù)優(yōu)勢，在保證系統(tǒng)自身的安全性的同時(shí)又保證了其運(yùn)行效率。方正方御防 火墻中還融入了入侵檢測技術(shù)，可以有效地防范攻擊企圖的試探；另外利用先進(jìn)的III技 術(shù)，方正方御防火墻可以有效濾除著名的DDoS攻擊，正是這種攻擊曾迫使包括美國雅虎 在內(nèi)的若干世界最大的網(wǎng)站停止服務(wù)。除防火墻之外，方正數(shù)碼有限公司還向用戶提供 VPN、安全掃描系統(tǒng)、入侵檢測系統(tǒng)（IDS）等安全產(chǎn)品及方案，從多層次、多角度、全 方位保護(hù)用戶的網(wǎng)絡(luò)。 在立身自主開發(fā)外，方正數(shù)碼還與CA、ISS、Symantec等眾多國際知名的安全公司保 持著良好的合作關(guān)系，集成國內(nèi)外最優(yōu)秀的公司安全產(chǎn)品，為國內(nèi)Internet的安全建設(shè) 保駕護(hù)航。 網(wǎng)絡(luò)證券業(yè)務(wù)分析 證券業(yè)務(wù)是改革開放以來，金融系統(tǒng)中增長最快的業(yè)務(wù)之一，它從無到有，從小到大 。在證券交易所注冊開戶的用戶飛速增長，而關(guān)心證券交易的人更是成倍的增長，不論 大人還是小孩，似乎都知道證券一詞。 傳統(tǒng)的證券交易大概需要以下幾個(gè)步驟：首先，需要到證券交易機(jī)構(gòu)注冊開戶；其次 ，需要將用戶的資金從銀行轉(zhuǎn)入證券交易的賬戶中；第三，進(jìn)行證券信息處理和各種交 易。然而在傳統(tǒng)的證券交易中，用戶需要到證券營業(yè)廳進(jìn)行交易或通過電話等手段進(jìn)行 交易，雖然其交易速度很快，但是和計(jì)算機(jī)網(wǎng)絡(luò)相比仍然是小巫見大巫。由于不用擔(dān)心 支付手段、不用擔(dān)心實(shí)物配送等原因，證券業(yè)是最適合使用互聯(lián)網(wǎng)的行業(yè)之一。 網(wǎng)絡(luò)證券交易，就是要將傳統(tǒng)的證券交易轉(zhuǎn)變?yōu)橐杂?jì)算機(jī)互聯(lián)網(wǎng)絡(luò)為基礎(chǔ)的交易方式 。用戶可以充分利用Internet或無線互聯(lián)網(wǎng)的優(yōu)勢，快捷方便的進(jìn)行交易。 網(wǎng)絡(luò)證券交易主要業(yè)務(wù)包括以下幾個(gè)方面： 用戶注冊開戶 網(wǎng)上身份驗(yàn)證 證券信息瀏覽 在線證券交易 證券交易和用戶的網(wǎng)絡(luò)化管理維護(hù) 與安全相關(guān)業(yè)務(wù)： 在以上幾個(gè)方面中，用戶的網(wǎng)上身份驗(yàn)證、證券信息傳輸、在線交易和在線管理與維 護(hù)是非常需要安全保護(hù)的，而用戶的注冊開戶是要到證券機(jī)構(gòu)進(jìn)行申請的，所以不涉及 網(wǎng)絡(luò)的安全性的。 涉密信息： 上面我們分析了需要安全保護(hù)的網(wǎng)絡(luò)證券交易業(yè)務(wù)，那么，哪些信息是涉及加密的呢 ？首先，用戶的身份、賬戶等信息是用戶進(jìn)行交易是需要進(jìn)行驗(yàn)證的，這些信息若被竊 取或破壞，不但無法進(jìn)行網(wǎng)上的交易，更為嚴(yán)重的可能直接影響用戶使用傳統(tǒng)形式進(jìn)行 交易，所以需要安全加密；其次，交易數(shù)據(jù)是涉及用戶直接的經(jīng)濟(jì)利益，也是需要安全 加密的；第三，網(wǎng)絡(luò)證券交易的管理與維護(hù)是網(wǎng)絡(luò)化的，而這些信息是直接關(guān)系到網(wǎng)絡(luò) 證券交易系統(tǒng)自身的安全性的，這些信息是需要安全加密的。經(jīng)過分析，涉密信息主要 有用戶信息、交易數(shù)據(jù)、管理信息三個(gè)方面。 [pic] 網(wǎng)絡(luò)證券的管理模式： 由于網(wǎng)絡(luò)證券交易時(shí)使用Internet或無線互聯(lián)網(wǎng)，用戶信息，證券信息，交易數(shù)據(jù)等 是由多臺不同的服務(wù)器來承擔(dān)的，同時(shí)在其上要運(yùn)行多種服務(wù)的，所以應(yīng)該采用集中管 理的方式對網(wǎng)絡(luò)證券交易進(jìn)行管理，這樣能減輕管理員的勞動強(qiáng)度，提高工作效率。 安全風(fēng)險(xiǎn)及威脅： 前面我們分析了網(wǎng)上證券交易需要安全保護(hù)的業(yè)務(wù)，也分析了有哪些是涉密信息。通 過這些分析我們可以很容易的得出網(wǎng)絡(luò)證券交易的安全風(fēng)險(xiǎn)及威脅來自以下幾個(gè)方面： 用戶信息會受到黑客的竊取、破壞以及病毒的破壞 交易數(shù)據(jù)會受到黑客的竊取、破壞以及病毒的破壞 系統(tǒng)信息會受到黑客的竊取、破壞以及病毒的破壞 服務(wù)的正常運(yùn)行會受到黑客的攻擊、破壞以及病毒的破壞 系統(tǒng)安全目的： 通過以上的分析，網(wǎng)絡(luò)證券交易系統(tǒng)的安全目的是：要保護(hù)用戶的信息和數(shù)據(jù)、系統(tǒng) 的資源和信息不被非法竊取和破壞，保護(hù)各項(xiàng)網(wǎng)絡(luò)服務(wù)能正常運(yùn)轉(zhuǎn)，免受入侵和攻擊。 網(wǎng)絡(luò)證券安全需求分析 前面分析了網(wǎng)絡(luò)證券業(yè)務(wù)是需要安全保障的。由于證券業(yè)自身的特殊性，對安全性也 有不同于其他行業(yè)的要求。網(wǎng)絡(luò)證券業(yè)務(wù)中對安全的要求為安全性、高效性、可靠性、 可伸縮性、易于使用性和安全服務(wù)體制。 1 安全性 證券的網(wǎng)上交易往往涉及巨額資金，一旦受外部攻擊造成系統(tǒng)中斷，或網(wǎng)絡(luò)犯罪使信 息泄露，將會造成重大損失。證券的網(wǎng)上交易的安全性主要有以下幾個(gè)方面： 網(wǎng)絡(luò)環(huán)境、操作系統(tǒng)與數(shù)據(jù)的安全性 證券交易通過網(wǎng)絡(luò)來實(shí)現(xiàn)，如果這個(gè)網(wǎng)絡(luò)環(huán)境直接暴露于Internet上，那么將是 可怕的，所以我們需要用防火墻來隔離Internet和網(wǎng)絡(luò)證券交易系統(tǒng)。由于防火墻能 夠阻擋黑客的攻擊行為和異常的網(wǎng)絡(luò)事件，這樣可以保護(hù)我們的網(wǎng)絡(luò)交易環(huán)境、網(wǎng)絡(luò) 中計(jì)算機(jī)的操作系統(tǒng)和數(shù)據(jù)。防火墻是網(wǎng)絡(luò)安全的第一道屏障，單有防火墻是不能進(jìn) 行全面保護(hù)的，我們還需要入侵監(jiān)測系統(tǒng)（IDS）來對黑客的攻擊進(jìn)行報(bào)警和自動防 范，并使用防病毒模塊來保證我們的操作系統(tǒng)和存儲的數(shù)據(jù)免遭病毒的侵害。系統(tǒng)的 數(shù)據(jù)和用戶的數(shù)據(jù)有可能遭到破壞，那么需要應(yīng)急恢復(fù)系統(tǒng)ERS來幫助解決這些問題 。 用戶標(biāo)識與鑒別，抗抵賴程度 用戶在網(wǎng)上進(jìn)行證券交易前，必須要用到自己的身份信息，而這些信息必須加以 保護(hù)，以防止被不法之徒竊取或利用給用戶造成不必要的損失。為此，在登錄環(huán)節(jié)就 要開始實(shí)施防護(hù)。為達(dá)到保護(hù)目的，使用CA技術(shù)，利用數(shù)字證書來確保雙方是可以互 相信任的。并需要使用加密措施來保護(hù)用戶的標(biāo)識。 密碼支持的安全程度和可信信道的安全性 整個(gè)信息傳輸過程使用SSL進(jìn)行加密傳輸，傳輸信息和存儲信息加密后，就把計(jì) 算機(jī)數(shù)據(jù)變成一堆無規(guī)律的、雜亂無章的字符。攻擊者即使得到經(jīng)過加密的信息即密 文、也無法辨認(rèn)原文，防止信息被竊取。 [pic] 交易服務(wù)的防攻擊能力 保護(hù)證券交易的各項(xiàng)網(wǎng)上服務(wù)正常的運(yùn)行，能過濾主要的攻擊和異常的網(wǎng)絡(luò)事件，使 用防火墻來完成要求；保護(hù)用戶的數(shù)據(jù)和交易的信息不被非法竊取、破壞，擁有入侵檢 測系統(tǒng)（IDS）進(jìn)行預(yù)警和自動防護(hù)，防治病毒的破壞，在緊急情況下能獲得最快的服務(wù) 響應(yīng) 2 高效性 證券的網(wǎng)上交易集中在幾個(gè)特定的時(shí)段，對系統(tǒng)的反應(yīng)速度有相當(dāng)高的要求。要求 安全系統(tǒng)具有優(yōu)秀的數(shù)據(jù)吞吐能力，在保證安全的同時(shí)，效率的損失要減到最小。需要 達(dá)到這個(gè)要求，就需要防火墻和IDS系統(tǒng)盡可能小的對網(wǎng)絡(luò)的吞吐量產(chǎn)生影響。而我們向 用戶提供的防火墻產(chǎn)品和IDS產(chǎn)品在安裝到系統(tǒng)中去后能夠完美滿足用戶的要求，這主要 來自產(chǎn)品的優(yōu)秀性能和針對行業(yè)的專門設(shè)計(jì)，具體性能請參看產(chǎn)品介紹與性能參數(shù)。 3 可靠性 在服務(wù)致勝的今天，服務(wù)的中斷就意味著風(fēng)險(xiǎn)。在Internet上，早已不再沿用傳統(tǒng)上 朝九晚五的商業(yè)時(shí)間。365×24×7的不間斷運(yùn)營對系統(tǒng)的可靠性提出了挑戰(zhàn)?？煽啃灾饕?表現(xiàn)在： 安全功能和機(jī)制的可靠程度 在網(wǎng)絡(luò)環(huán)境下，安全功能和機(jī)制本身就會成為黑客入侵和破壞的目標(biāo)，所以安全的可 靠性成為網(wǎng)絡(luò)安全不可缺少的一環(huán)。只有在保證了安全功能和機(jī)...
證券內(nèi)聯(lián)網(wǎng)防火墻安全系統(tǒng)方案