證券內聯網防火墻安全系統(tǒng)方案
證券內聯網 防火墻安全系統(tǒng)方案 方正數碼有限公司 2001年12月 1 北大方正集團、方正數碼公司簡介 8 2 網絡證券業(yè)務分析 10 3 網絡證券安全需求分析 13 3.1 安全性 13 3.2 高效性 14 3.3 可靠性 15 3.4 可伸縮性 15 3.5 易用性 15 3.6 完善的服務體制 16 4 安全系統(tǒng)結構 16 5 安全系統(tǒng)實施 19 5.1.1 主要應用服務的安全風險 22 5.1.2 網絡中主要系統(tǒng)的安全風險 23 5.1.3 數據庫系統(tǒng)安全分析 23 5.1.4 管理系統(tǒng)的安全風險 24 6 方正數碼防火墻解決方案 24 6.1 本方案設計的原則和目標 24 6.2 防火墻選型 25 6.3 防火墻設置及工作模式 26 6.4 防火墻功能設置及安全策略 26 6.4.1 完善的訪問控制 26 6.4.2 內置入侵檢測（IDS） 27 6.4.3 代理服務 27 6.4.4 NAT地址轉換 28 6.4.5 日志系統(tǒng)及系統(tǒng)報警 28 6.4.6 帶寬分配，流量管理 28 6.4.7 集中管理 29 6.4.8 預制模板 29 6.4.9 系統(tǒng)升級 29 6.4.10 雙機備份 30 6.4.11 防火墻方案特點 30 7 證券內聯網防火墻安全需求及方案對照說明 31 7.1 內聯網防火墻基本要求 31 7.2 證券內聯網防火墻功能要求 33 7.2.1 必備功能 33 7.2.2 增強功能 36 7.3 防火墻性能 36 7.4 防火墻管理 38 8 證券內聯網安全管理建議 39 8.1 整體思路 39 8.2 集中管理，統(tǒng)一規(guī)劃 39 8.3 嚴格規(guī)章 安全教育 40 8.4 明確責任 技術培訓 40 8.5 動態(tài)監(jiān)控 專家咨詢 41 9 證券內聯網防火墻安全系統(tǒng)實施方案 42 9.1 合同簽訂階段的工作實施 42 9.2 發(fā)貨階段的實施 43 9.3 到貨后工作的實施 45 9.4 測試及驗收 46 9.4.1 測試及驗收描述 46 10 證券內聯網防火墻系統(tǒng)培訓 48 10.1 培訓目標 48 10.2 培訓課程 48 10.3 培訓方式 48 10.4 培訓時長 48 10.5 培訓地點 48 10.6 培訓人數 49 10.7 學員要求 49 11 方正方御防火墻技術支持與服務 50 11.1 方正數碼綠色服務體系結構介紹 50 11.2 完善的技術支持與服務 52 11.2.1 售前服務內容 53 11.2.2 售前服務流程 54 11.2.3 售后服務內容 55 11.2.4 售后服務流程 56 11.3 服務方式 57 11.4 服務監(jiān)督 57 12 方正方御防火墻成功案例 59 12.1 鞍山市商業(yè)銀行應用案例 59 12.1.1 鞍山市商業(yè)銀行需求分析 59 12.1.2 系統(tǒng)安全目的 60 12.1.3 安全體系結構 60 12.1.4 安全系統(tǒng)實施 60 12.2 沈陽建設銀行安全應用實例 61 12.2.1 沈陽建設銀行需求分析 61 12.2.2 系統(tǒng)安全目的 63 12.2.3 用戶安全需求分析 63 12.2.3.1 安全性 63 12.2.3.2 高效性 63 12.2.3.3 可擴展性 64 12.2.3.4 易用性（管理控制） 64 12.2.3.5 完善的服務體制 64 12.2.4 安全體系結構 64 12.2.5 安全系統(tǒng)實施 66 12.3 部分方正方御防火墻客戶名單 67 13 證券內聯網防火墻安全子系統(tǒng)建設報價 70 14 方正數碼聯系方式 71 附錄一：授權服務商名單 72 附錄二：防御防火墻所獲證書 77 附件三：資格證明文件 82 附錄四：方正方御防火墻產品說明 87 產品概述 87 系統(tǒng)特點 88 防火墻功能說明 91 多種工作模式 91 包過濾防火墻 93 高效的過濾 93 碎片處理功能 94 防SYN Flood攻擊 94 強大的狀態(tài)檢測功能 95 輕型/復雜IDS(入侵檢測系統(tǒng)) 95 反端口掃描 95 可以防范20類1500余種攻擊方式 96 在線升級和實時報警 98 入侵檢測和防火墻的互動 99 雙向NAT 99 帶寬管理和流量統(tǒng)計 100 代理服務器功能 100 雙機熱備 101 強大的審計功能 101 基于PKI的高級授權認證 102 集中管理 102 實時控制和日志轉存 102 靈活的配置方式 103 可視化配置 103 預置包過濾規(guī)則集 103 總結 103 北大方正集團、方正數碼公司簡介 北京北大方正集團公司是北京大學創(chuàng)建的高新技術企業(yè)。 [pic] 　　方正集團擁有３個控股的上市公司，方正（控股）有限公司、方正數碼有限公司、 上海方正延中科技集團股份有限公司，17家獨資、合資企業(yè)。員工總數約6000人，總資 產50億元，2000年銷售規(guī)模達101億元。 　　1997年，方正集團已成為國家120家大型試點企業(yè)集團之一，國家首批６家技術創(chuàng)新 試點企業(yè)之一，國家重點支持的５家PC生產廠家之一。 　　創(chuàng)造科技與文明，是北大方正的一貫宗旨，集團堅持以人為本的宗旨，以創(chuàng)新為先 導，產、學、研結合，不斷以優(yōu)質產品和技術服務于社會。 方正數碼有限公司（EC-Founder Co., Ltd.）是從事發(fā)展互聯網應用技術及電子商務的軟件技術公司。其業(yè)務專注于互聯網安 全產品及網絡安全服務等領域，是互聯網時代的軟件技術公司。 方正數碼借助技術、研發(fā)方面的優(yōu)勢，借鑒世界上最先進的管理運作經驗，定位于"電子 商務賦能者"（ e-commerce enabler），用不斷創(chuàng)新的技術與優(yōu)質的服務賦予客戶新經濟時代可持續(xù)發(fā)展的能力，幫 助政府、證券、金融、行業(yè)、企業(yè)、網站、電子商務的運營者運用先進技術和高效管理 手段在互聯網時代健康發(fā)展，取得成功。 [pic] 方正數碼有限公司的業(yè)務圍繞在互聯網安全技術應用、網絡安全服務及網絡安全知識管 理等主要領域，在技術開發(fā)、應用解決方案和運營服務方面為用戶提供先進的網絡安全 產品和技術。 為此方正數碼推出SHARKS互聯網安全解決方案。SHARKS解決方案是在深入的研究后， 提出的一套基于中國國情、全部自主開發(fā)、具有領先優(yōu)勢的解決方案。它是一套整體的 集群平臺，可以解決企業(yè)最為關切的安全性、高可靠性、可擴展性和易于遠程管理的問 題。目前這套方案已經得到國家有關部門的大力支持，被國家經貿委列為國家創(chuàng)新計劃 項目之一，還得到了國家“863”計劃的肯定與支持。 方正方御防火墻是SHARKS安全解決方案中的主要安全產品之一。方正方御防火墻憑借 其獨特的技術優(yōu)勢，在保證系統(tǒng)自身的安全性的同時又保證了其運行效率。方正方御防 火墻中還融入了入侵檢測技術，可以有效地防范攻擊企圖的試探；另外利用先進的III技 術，方正方御防火墻可以有效濾除著名的DDoS攻擊，正是這種攻擊曾迫使包括美國雅虎 在內的若干世界最大的網站停止服務。除防火墻之外，方正數碼有限公司還向用戶提供 VPN、安全掃描系統(tǒng)、入侵檢測系統(tǒng)（IDS）等安全產品及方案，從多層次、多角度、全 方位保護用戶的網絡。 在立身自主開發(fā)外，方正數碼還與CA、ISS、Symantec等眾多國際知名的安全公司保 持著良好的合作關系，集成國內外最優(yōu)秀的公司安全產品，為國內Internet的安全建設 保駕護航。 網絡證券業(yè)務分析 證券業(yè)務是改革開放以來，金融系統(tǒng)中增長最快的業(yè)務之一，它從無到有，從小到大 。在證券交易所注冊開戶的用戶飛速增長，而關心證券交易的人更是成倍的增長，不論 大人還是小孩，似乎都知道證券一詞。 傳統(tǒng)的證券交易大概需要以下幾個步驟：首先，需要到證券交易機構注冊開戶；其次 ，需要將用戶的資金從銀行轉入證券交易的賬戶中；第三，進行證券信息處理和各種交 易。然而在傳統(tǒng)的證券交易中，用戶需要到證券營業(yè)廳進行交易或通過電話等手段進行 交易，雖然其交易速度很快，但是和計算機網絡相比仍然是小巫見大巫。由于不用擔心 支付手段、不用擔心實物配送等原因，證券業(yè)是最適合使用互聯網的行業(yè)之一。 網絡證券交易，就是要將傳統(tǒng)的證券交易轉變?yōu)橐杂嬎銠C互聯網絡為基礎的交易方式 。用戶可以充分利用Internet或無線互聯網的優(yōu)勢，快捷方便的進行交易。 網絡證券交易主要業(yè)務包括以下幾個方面： 用戶注冊開戶 網上身份驗證 證券信息瀏覽 在線證券交易 證券交易和用戶的網絡化管理維護 與安全相關業(yè)務： 在以上幾個方面中，用戶的網上身份驗證、證券信息傳輸、在線交易和在線管理與維 護是非常需要安全保護的，而用戶的注冊開戶是要到證券機構進行申請的，所以不涉及 網絡的安全性的。 涉密信息： 上面我們分析了需要安全保護的網絡證券交易業(yè)務，那么，哪些信息是涉及加密的呢 ？首先，用戶的身份、賬戶等信息是用戶進行交易是需要進行驗證的，這些信息若被竊 取或破壞，不但無法進行網上的交易，更為嚴重的可能直接影響用戶使用傳統(tǒng)形式進行 交易，所以需要安全加密；其次，交易數據是涉及用戶直接的經濟利益，也是需要安全 加密的；第三，網絡證券交易的管理與維護是網絡化的，而這些信息是直接關系到網絡 證券交易系統(tǒng)自身的安全性的，這些信息是需要安全加密的。經過分析，涉密信息主要 有用戶信息、交易數據、管理信息三個方面。 [pic] 網絡證券的管理模式： 由于網絡證券交易時使用Internet或無線互聯網，用戶信息，證券信息，交易數據等 是由多臺不同的服務器來承擔的，同時在其上要運行多種服務的，所以應該采用集中管 理的方式對網絡證券交易進行管理，這樣能減輕管理員的勞動強度，提高工作效率。 安全風險及威脅： 前面我們分析了網上證券交易需要安全保護的業(yè)務，也分析了有哪些是涉密信息。通 過這些分析我們可以很容易的得出網絡證券交易的安全風險及威脅來自以下幾個方面： 用戶信息會受到黑客的竊取、破壞以及病毒的破壞 交易數據會受到黑客的竊取、破壞以及病毒的破壞 系統(tǒng)信息會受到黑客的竊取、破壞以及病毒的破壞 服務的正常運行會受到黑客的攻擊、破壞以及病毒的破壞 系統(tǒng)安全目的： 通過以上的分析，網絡證券交易系統(tǒng)的安全目的是：要保護用戶的信息和數據、系統(tǒng) 的資源和信息不被非法竊取和破壞，保護各項網絡服務能正常運轉，免受入侵和攻擊。 網絡證券安全需求分析 前面分析了網絡證券業(yè)務是需要安全保障的。由于證券業(yè)自身的特殊性，對安全性也 有不同于其他行業(yè)的要求。網絡證券業(yè)務中對安全的要求為安全性、高效性、可靠性、 可伸縮性、易于使用性和安全服務體制。 1 安全性 證券的網上交易往往涉及巨額資金，一旦受外部攻擊造成系統(tǒng)中斷，或網絡犯罪使信 息泄露，將會造成重大損失。證券的網上交易的安全性主要有以下幾個方面： 網絡環(huán)境、操作系統(tǒng)與數據的安全性 證券交易通過網絡來實現，如果這個網絡環(huán)境直接暴露于Internet上，那么將是 可怕的，所以我們需要用防火墻來隔離Internet和網絡證券交易系統(tǒng)。由于防火墻能 夠阻擋黑客的攻擊行為和異常的網絡事件，這樣可以保護我們的網絡交易環(huán)境、網絡 中計算機的操作系統(tǒng)和數據。防火墻是網絡安全的第一道屏障，單有防火墻是不能進 行全面保護的，我們還需要入侵監(jiān)測系統(tǒng)（IDS）來對黑客的攻擊進行報警和自動防 范，并使用防病毒模塊來保證我們的操作系統(tǒng)和存儲的數據免遭病毒的侵害。系統(tǒng)的 數據和用戶的數據有可能遭到破壞，那么需要應急恢復系統(tǒng)ERS來幫助解決這些問題 。 用戶標識與鑒別，抗抵賴程度 用戶在網上進行證券交易前，必須要用到自己的身份信息，而這些信息必須加以 保護，以防止被不法之徒竊取或利用給用戶造成不必要的損失。為此，在登錄環(huán)節(jié)就 要開始實施防護。為達到保護目的，使用CA技術，利用數字證書來確保雙方是可以互 相信任的。并需要使用加密措施來保護用戶的標識。 密碼支持的安全程度和可信信道的安全性 整個信息傳輸過程使用SSL進行加密傳輸，傳輸信息和存儲信息加密后，就把計 算機數據變成一堆無規(guī)律的、雜亂無章的字符。攻擊者即使得到經過加密的信息即密 文、也無法辨認原文，防止信息被竊取。 [pic] 交易服務的防攻擊能力 保護證券交易的各項網上服務正常的運行，能過濾主要的攻擊和異常的網絡事件，使 用防火墻來完成要求；保護用戶的數據和交易的信息不被非法竊取、破壞，擁有入侵檢 測系統(tǒng)（IDS）進行預警和自動防護，防治病毒的破壞，在緊急情況下能獲得最快的服務 響應 2 高效性 證券的網上交易集中在幾個特定的時段，對系統(tǒng)的反應速度有相當高的要求。要求 安全系統(tǒng)具有優(yōu)秀的數據吞吐能力，在保證安全的同時，效率的損失要減到最小。需要 達到這個要求，就需要防火墻和IDS系統(tǒng)盡可能小的對網絡的吞吐量產生影響。而我們向 用戶提供的防火墻產品和IDS產品在安裝到系統(tǒng)中去后能夠完美滿足用戶的要求，這主要 來自產品的優(yōu)秀性能和針對行業(yè)的專門設計，具體性能請參看產品介紹與性能參數。 3 可靠性 在服務致勝的今天，服務的中斷就意味著風險。在Internet上，早已不再沿用傳統(tǒng)上 朝九晚五的商業(yè)時間。365×24×7的不間斷運營對系統(tǒng)的可靠性提出了挑戰(zhàn)?？煽啃灾饕?表現在： 安全功能和機制的可靠程度 在網絡環(huán)境下，安全功能和機制本身就會成為黑客入侵和破壞的目標，所以安全的可 靠性成為網絡安全不可缺少的一環(huán)。只有在保證了安全功能和機...
證券內聯網防火墻安全系統(tǒng)方案