證券內(nèi)聯(lián)網(wǎng)防火墻安全系統(tǒng)方案方正數(shù)碼12月

TOC\o\h\z1 北大方正集團(tuán)、方正數(shù)碼企業(yè)介紹 82 網(wǎng)絡(luò)證券業(yè)務(wù)分析 103 網(wǎng)絡(luò)證券安全需求分析 133.1 安全性 133.2 高效性 143.3 可靠性 153.4 可伸縮性 153.5 易用性 153.6 完善服務(wù)體制 164 安全系統(tǒng)結(jié)構(gòu) 165 安全系統(tǒng)實(shí)施 195.1.1 關(guān)鍵應(yīng)用服務(wù)安全風(fēng)險(xiǎn) 225.1.2 網(wǎng)絡(luò)中關(guān)鍵系統(tǒng)安全風(fēng)險(xiǎn) 235.1.3 數(shù)據(jù)庫系統(tǒng)安全分析 235.1.4 管理系統(tǒng)安全風(fēng)險(xiǎn) 246 方正數(shù)碼防火墻處理方案 246.1 本方案設(shè)計(jì)標(biāo)準(zhǔn)和目標(biāo) 246.2 防火墻選型 256.3 防火墻設(shè)置及工作模式 266.4 防火墻功效設(shè)置及安全策略 266.4.1 完善訪問控制 266.4.2 內(nèi)置入侵檢測(cè)（IDS） 276.4.3 代理服務(wù) 276.4.4 NAT地址轉(zhuǎn)換 286.4.5 日志系統(tǒng)及系統(tǒng)報(bào)警 286.4.6 帶寬分配，流量管理 286.4.7 集中管理 296.4.8 預(yù)制模板 296.4.9 系統(tǒng)升級(jí) 296.4.10 雙機(jī)備份 306.4.11 防火墻方案特點(diǎn) 307 證券內(nèi)聯(lián)網(wǎng)防火墻安全需求及方案對(duì)照說明 317.1 內(nèi)聯(lián)網(wǎng)防火墻基礎(chǔ)要求 317.2 證券內(nèi)聯(lián)網(wǎng)防火墻功效要求 337.2.1 必備功效 337.2.2 增強(qiáng)功效 367.3 防火墻性能 367.4 防火墻管理 388 證券內(nèi)聯(lián)網(wǎng)安全管理提議 398.1 整體思緒 398.2 集中管理，統(tǒng)一計(jì)劃 398.3 嚴(yán)格規(guī)章安全教育 408.4 明確責(zé)任技術(shù)培訓(xùn) 408.5 動(dòng)態(tài)監(jiān)控教授咨詢 419 證券內(nèi)聯(lián)網(wǎng)防火墻安全系統(tǒng)實(shí)施方案 429.1 協(xié)議簽署階段工作實(shí)施 429.2 發(fā)貨階段實(shí)施 439.3 到貨后工作實(shí)施 459.4 測(cè)試及驗(yàn)收 469.4.1 測(cè)試及驗(yàn)收描述 4610 證券內(nèi)聯(lián)網(wǎng)防火墻系統(tǒng)培訓(xùn) 4810.1 培訓(xùn)目標(biāo) 4810.2 培訓(xùn)課程 4810.3 培訓(xùn)方法 4810.4 培訓(xùn)時(shí)長(zhǎng) 4810.5 培訓(xùn)地點(diǎn) 4810.6 培訓(xùn)人數(shù) 4910.7 學(xué)員要求 4911 方正方御防火墻技術(shù)支持和服務(wù) 5011.1 方正數(shù)碼綠色服務(wù)體系結(jié)構(gòu)介紹 5011.2 完善技術(shù)支持和服務(wù) 5211.2.1 售前服務(wù)內(nèi)容 5311.2.2 售前服務(wù)步驟 5411.2.3 售后服務(wù)內(nèi)容 5511.2.4 售后服務(wù)步驟 5611.3 服務(wù)方法 5711.4 服務(wù)監(jiān)督 5712 方正方御防火墻成功案例 5912.1 鞍山市商業(yè)銀行應(yīng)用案例 5912.1.1 鞍山市商業(yè)銀行需求分析 5912.1.2 系統(tǒng)安全目標(biāo) 6012.1.3 安全體系結(jié)構(gòu) 6012.1.4 安全系統(tǒng)實(shí)施 6012.2 沈陽建設(shè)銀行安全應(yīng)用實(shí)例 6112.2.1 沈陽建設(shè)銀行需求分析 6112.2.2 系統(tǒng)安全目標(biāo) 6312.2.3 用戶安全需求分析 63 安全性 63 高效性 63 可擴(kuò)展性 64 易用性（管理控制） 64 完善服務(wù)體制 6412.2.4 安全體系結(jié)構(gòu) 6412.2.5 安全系統(tǒng)實(shí)施 6612.3 部分方正方御防火墻用戶名單 6713 證券內(nèi)聯(lián)網(wǎng)防火墻安全子系統(tǒng)建設(shè)報(bào)價(jià) 7014 方正數(shù)碼聯(lián)絡(luò)方法 71附錄一：授權(quán)服務(wù)商名單 72附錄二：防御防火墻所獲證書 77附件三：資格證實(shí)文件 82附錄四：方正方御防火墻產(chǎn)品說明 87產(chǎn)品概述 87系統(tǒng)特點(diǎn) 88防火墻功效說明 91多個(gè)工作模式 91包過濾防火墻 93高效過濾 93碎片處理功效 94防SYNFlood攻擊 94強(qiáng)大狀態(tài)檢測(cè)功效 95輕型/復(fù)雜IDS(入侵檢測(cè)系統(tǒng)) 95反端口掃描 95能夠防范20類1500余種攻擊方法 96在線升級(jí)和實(shí)時(shí)報(bào)警 98入侵檢測(cè)和防火墻互動(dòng) 99雙向NAT 99帶寬管理和流量統(tǒng)計(jì) 100代理服務(wù)器功效 100雙機(jī)熱備 101強(qiáng)大審計(jì)功效 101基于PKI高級(jí)授權(quán)認(rèn)證 102集中管理 102實(shí)時(shí)控制和日志轉(zhuǎn)存 102靈活配置方法 103可視化配置 103預(yù)置包過濾規(guī)則集 103總結(jié) 103

北大方正集團(tuán)、方正數(shù)碼企業(yè)介紹北京北大方正集團(tuán)企業(yè)是北京大學(xué)創(chuàng)建高新技術(shù)企業(yè)。

方正集團(tuán)擁有３個(gè)控股上市企業(yè)，方正（控股）、方正數(shù)碼、上海方正延中科技集團(tuán)股份，17家獨(dú)資、合資企業(yè)。職員總數(shù)約6000人，總資產(chǎn)50億元，銷售規(guī)模達(dá)101億元。

1997年，方正集團(tuán)已成為國(guó)家120家大型試點(diǎn)企業(yè)集團(tuán)之一，國(guó)家首批６家技術(shù)創(chuàng)新試點(diǎn)企業(yè)之一，國(guó)家關(guān)鍵支持５家PC生產(chǎn)廠家之一。

發(fā)明科技和文明，是北大方正一貫宗旨，集團(tuán)堅(jiān)持以人為本宗旨，以創(chuàng)新為先導(dǎo)，產(chǎn)、學(xué)、研結(jié)合，不停以優(yōu)質(zhì)產(chǎn)品和技術(shù)服務(wù)于社會(huì)。方正數(shù)碼（EC-FounderCo.,Ltd.）是從事發(fā)展互聯(lián)網(wǎng)應(yīng)用技術(shù)及電子商務(wù)軟件技術(shù)企業(yè)。其業(yè)務(wù)專注于互聯(lián)網(wǎng)安全產(chǎn)品及網(wǎng)絡(luò)安全服務(wù)等領(lǐng)域，是互聯(lián)網(wǎng)時(shí)代軟件技術(shù)企業(yè)。

方正數(shù)碼借助技術(shù)、研發(fā)方面優(yōu)勢(shì)，借鑒世界上最優(yōu)異管理運(yùn)作經(jīng)驗(yàn)，定在"電子商務(wù)賦能者"（e-commerceenabler），用不停創(chuàng)新技術(shù)和優(yōu)質(zhì)服務(wù)給予用戶新經(jīng)濟(jì)時(shí)代可連續(xù)發(fā)展能力，幫助政府、證券、金融、行業(yè)、企業(yè)、網(wǎng)站、電子商務(wù)運(yùn)行者利用優(yōu)異技術(shù)和高效管理手段在互聯(lián)網(wǎng)時(shí)代健康發(fā)展，取得成功。

方正數(shù)碼業(yè)務(wù)圍繞在互聯(lián)網(wǎng)安全技術(shù)應(yīng)用、網(wǎng)絡(luò)安全服務(wù)及網(wǎng)絡(luò)安全知識(shí)管理等關(guān)鍵領(lǐng)域，在技術(shù)開發(fā)、應(yīng)用處理方案和運(yùn)行服務(wù)方面為用戶提供優(yōu)異網(wǎng)絡(luò)安全產(chǎn)品和技術(shù)。為此方正數(shù)碼推出SHARKS互聯(lián)網(wǎng)安全處理方案。SHARKS處理方案是在深入研究后，提出一套基于中國(guó)國(guó)情、全部自主開發(fā)、含有領(lǐng)先優(yōu)勢(shì)處理方案。它是一套整體集群平臺(tái)，能夠處理企業(yè)最為關(guān)切安全性、高可靠性、可擴(kuò)展性和易于遠(yuǎn)程管理問題?，F(xiàn)在這套方案已經(jīng)得到國(guó)家相關(guān)部門大力支持，被國(guó)家經(jīng)貿(mào)委列為國(guó)家創(chuàng)新計(jì)劃項(xiàng)目之一，還得到了國(guó)家“863”計(jì)劃肯定和支持。方正方御防火墻是SHARKS安全處理方案中關(guān)鍵安全產(chǎn)品之一。方正方御防火墻憑借其獨(dú)特技術(shù)優(yōu)勢(shì)，在確保系統(tǒng)本身安全性同時(shí)又確保了其運(yùn)行效率。方正方御防火墻中還融入了入侵檢測(cè)技術(shù)，能夠有效地防范攻擊企圖試探；另外利用優(yōu)異III技術(shù)，方正方御防火墻能夠有效濾除著名DDoS攻擊，正是這種攻擊曾迫使包含美國(guó)雅虎在內(nèi)若干世界最大網(wǎng)站停止服務(wù)。除防火墻之外，方正數(shù)碼還向用戶提供VPN、安全掃描系統(tǒng)、入侵檢測(cè)系統(tǒng)（IDS）等安全產(chǎn)品及方案，從多層次、多角度、全方位保護(hù)用戶網(wǎng)絡(luò)。在立身自主開發(fā)外，方正數(shù)碼還和CA、ISS、Symantec等眾多國(guó)際著名安全企業(yè)保持著良好合作關(guān)系，集成中國(guó)外最優(yōu)異企業(yè)安全產(chǎn)品，為中國(guó)Internet安全建設(shè)保駕護(hù)航。網(wǎng)絡(luò)證券業(yè)務(wù)分析證券業(yè)務(wù)是改革開放以來，金融系統(tǒng)中增加最快業(yè)務(wù)之一，它從無到有，從小到大。在證券交易所注冊(cè)開戶用戶飛速增加，而關(guān)心證券交易人更是成倍增加，不管大人還是小孩，似乎全部知道證券一詞。傳統(tǒng)證券交易大約需要以下多個(gè)步驟：首先，需要到證券交易機(jī)構(gòu)注冊(cè)開戶；其次，需要將用戶資金從銀行轉(zhuǎn)入證券交易賬戶中；第三，進(jìn)行證券信息處理和多種交易。然而在傳統(tǒng)證券交易中，用戶需要到證券營(yíng)業(yè)廳進(jìn)行交易或經(jīng)過電話等手段進(jìn)行交易，即使其交易速度很快，不過和計(jì)算機(jī)網(wǎng)絡(luò)相比仍然是小巫見大巫。因?yàn)椴挥脫?dān)心支付手段、不用擔(dān)心實(shí)物配送等原因，證券業(yè)是最適合使用互聯(lián)網(wǎng)行業(yè)之一。網(wǎng)絡(luò)證券交易，就是要將傳統(tǒng)證券交易轉(zhuǎn)變?yōu)橐杂?jì)算機(jī)互聯(lián)網(wǎng)絡(luò)為基礎(chǔ)交易方法。用戶能夠充足利用Internet或無線互聯(lián)網(wǎng)優(yōu)勢(shì)，快捷方便進(jìn)行交易。網(wǎng)絡(luò)證券交易關(guān)鍵業(yè)務(wù)包含以下多個(gè)方面：用戶注冊(cè)開戶網(wǎng)上身份驗(yàn)證證券信息瀏覽在線證券交易證券交易和用戶網(wǎng)絡(luò)化管理維護(hù)和安全相關(guān)業(yè)務(wù)：在以上多個(gè)方面中，用戶網(wǎng)上身份驗(yàn)證、證券信息傳輸、在線交易和在線管理和維護(hù)是很需要安全保護(hù)，而用戶注冊(cè)開戶是要到證券機(jī)構(gòu)進(jìn)行申請(qǐng)，所以不包含網(wǎng)絡(luò)安全性。涉密信息：上面我們分析了需要安全保護(hù)網(wǎng)絡(luò)證券交易業(yè)務(wù)，那么，哪些信息是包含加密呢？首先，用戶身份、賬戶等信息是用戶進(jìn)行交易是需要進(jìn)行驗(yàn)證，這些信息若被竊取或破壞，不僅無法進(jìn)行網(wǎng)上交易，更為嚴(yán)重可能直接影響用戶使用傳統(tǒng)形式進(jìn)行交易，所以需要安全加密；其次，交易數(shù)據(jù)是包含用戶直接經(jīng)濟(jì)利益，也是需要安全加密；第三，網(wǎng)絡(luò)證券交易管理和維護(hù)是網(wǎng)絡(luò)化，而這些信息是直接關(guān)系到網(wǎng)絡(luò)證券交易系統(tǒng)本身安全性，這些信息是需要安全加密。經(jīng)過分析，涉密信息關(guān)鍵有用戶信息、交易數(shù)據(jù)、管理信息三個(gè)方面。網(wǎng)絡(luò)證券管理模式：因?yàn)榫W(wǎng)絡(luò)證券交易時(shí)使用Internet或無線互聯(lián)網(wǎng)，用戶信息，證券信息，交易數(shù)據(jù)等是由多臺(tái)不一樣服務(wù)器來負(fù)擔(dān)，同時(shí)在其上要運(yùn)行多個(gè)服務(wù)，所以應(yīng)該采取集中管理方法對(duì)網(wǎng)絡(luò)證券交易進(jìn)行管理，這么能減輕管理員勞動(dòng)強(qiáng)度，提升工作效率。安全風(fēng)險(xiǎn)及威脅：前面我們分析了網(wǎng)上證券交易需要安全保護(hù)業(yè)務(wù)，也分析了有哪些是涉密信息。經(jīng)過這些分析我們能夠很輕易得出網(wǎng)絡(luò)證券交易安全風(fēng)險(xiǎn)及威脅來自以下多個(gè)方面：用戶信息會(huì)受到黑客竊取、破壞和病毒破壞交易數(shù)據(jù)會(huì)受到黑客竊取、破壞和病毒破壞系統(tǒng)信息會(huì)受到黑客竊取、破壞和病毒破壞服務(wù)正常運(yùn)行會(huì)受到黑客攻擊、破壞和病毒破壞系統(tǒng)安全目標(biāo)：經(jīng)過以上分析，網(wǎng)絡(luò)證券交易系統(tǒng)安全目標(biāo)是：要保護(hù)用戶信息和數(shù)據(jù)、系統(tǒng)資源和信息不被非法竊取和破壞，保護(hù)各項(xiàng)網(wǎng)絡(luò)服務(wù)能正常運(yùn)轉(zhuǎn)，免受入侵和攻擊。網(wǎng)絡(luò)證券安全需求分析前面分析了網(wǎng)絡(luò)證券業(yè)務(wù)是需要安全保障。因?yàn)樽C券業(yè)本身特殊性，對(duì)安全性也有不一樣于其它行業(yè)要求。網(wǎng)絡(luò)證券業(yè)務(wù)中對(duì)安全要求為安全性、高效性、可靠性、可伸縮性、易于使用性和安全服務(wù)體制。安全性證券網(wǎng)上交易往往包含巨額資金，一旦受外部攻擊造成系統(tǒng)中止，或網(wǎng)絡(luò)犯罪使信息泄露，將會(huì)造成重大損失。證券網(wǎng)上交易安全性關(guān)鍵有以下多個(gè)方面：網(wǎng)絡(luò)環(huán)境、操作系統(tǒng)和數(shù)據(jù)安全性證券交易經(jīng)過網(wǎng)絡(luò)來實(shí)現(xiàn)，假如這個(gè)網(wǎng)絡(luò)環(huán)境直接暴露于Internet上，那么將是可怕，所以我們需要用防火墻來隔離Internet和網(wǎng)絡(luò)證券交易系統(tǒng)。因?yàn)榉阑饓δ軌蜃钃鹾诳凸粜袨楹彤惓＞W(wǎng)絡(luò)事件，這么能夠保護(hù)我們網(wǎng)絡(luò)交易環(huán)境、網(wǎng)絡(luò)中計(jì)算機(jī)操作系統(tǒng)和數(shù)據(jù)。防火墻是網(wǎng)絡(luò)安全第一道屏障，單有防火墻是不能進(jìn)行全方面保護(hù)，我們還需要入侵監(jiān)測(cè)系統(tǒng)（IDS）來對(duì)黑客攻擊進(jìn)行報(bào)警和自動(dòng)防范，并使用防病毒模塊來確保我們操作系統(tǒng)和存放數(shù)據(jù)免遭病毒侵害。系統(tǒng)數(shù)據(jù)和用戶數(shù)據(jù)有可能遭到破壞，那么需要應(yīng)急恢復(fù)系統(tǒng)ERS來幫助處理這些問題。用戶標(biāo)識(shí)和判別，抗抵賴程度用戶在網(wǎng)上進(jìn)行證券交易前，必需要用到自己身份信息，而這些信息必需加以保護(hù)，以預(yù)防被不法之徒竊取或利用給用戶造成無須要損失。為此，在登錄步驟就要開始實(shí)施防護(hù)。為達(dá)成保護(hù)目標(biāo)，使用CA技術(shù)，利用數(shù)字證書來確保雙方是能夠相互信任。并需要使用加密方法來保護(hù)用戶標(biāo)識(shí)。密碼支持安全程度和可信信道安全性整個(gè)信息傳輸過程使用SSL進(jìn)行加密傳輸，傳輸信息和存放信息加密后，就把計(jì)算機(jī)數(shù)據(jù)變成一堆無規(guī)律、雜亂無章字符。攻擊者即使得到經(jīng)過加密信息即密文、也無法識(shí)別原文，預(yù)防信息被竊取。交易服務(wù)防攻擊能力保護(hù)證券交易各項(xiàng)網(wǎng)上服務(wù)正常運(yùn)行，能過濾關(guān)鍵攻擊和異常網(wǎng)絡(luò)事件，使用防火墻來完成要求；保護(hù)用戶數(shù)據(jù)和交易信息不被非法竊取、破壞，擁有入侵檢測(cè)系統(tǒng)（IDS）進(jìn)行預(yù)警和自動(dòng)防護(hù)，防治病毒破壞，在緊急情況下能取得最快服務(wù)響應(yīng)高效性證券網(wǎng)上交易集中在多個(gè)特定時(shí)段，對(duì)系統(tǒng)反應(yīng)速度有相當(dāng)高要求。要求安全系統(tǒng)含有優(yōu)異數(shù)據(jù)吞吐能力，在確保安全同時(shí)，效率損失要減到最小。需要達(dá)成這個(gè)要求，就需要防火墻和IDS系統(tǒng)盡可能小對(duì)網(wǎng)絡(luò)吞吐量產(chǎn)生影響。而我們向用戶提供防火墻產(chǎn)品和IDS產(chǎn)品在安裝到系統(tǒng)中去后能夠完美滿足用戶要求，這關(guān)鍵來自產(chǎn)品優(yōu)異性能和針對(duì)行業(yè)專門設(shè)計(jì)，具體性能請(qǐng)參看產(chǎn)品介紹和性能參數(shù)?？煽啃栽诜?wù)致勝今天，服務(wù)中止就意味著風(fēng)險(xiǎn)。在Internet上，早已不再沿用傳統(tǒng)上朝九晚五商業(yè)時(shí)間。365×24×7不間斷運(yùn)行對(duì)系統(tǒng)可靠性提出了挑戰(zhàn)?？煽啃躁P(guān)鍵表現(xiàn)在：安全功效和機(jī)制可靠程度在網(wǎng)絡(luò)環(huán)境下，安全功效和機(jī)制本身就會(huì)成為黑客入侵和破壞目標(biāo)，所以安全可靠性成為網(wǎng)絡(luò)安全不可缺乏一環(huán)。只有在確保了安全功效和機(jī)制本身安全下，才能愈加好保護(hù)網(wǎng)絡(luò)安全性。對(duì)于防火墻來講，使用雙機(jī)熱備方法是現(xiàn)在最可靠，最實(shí)用提升可靠性手段。數(shù)據(jù)存放可靠程度，數(shù)據(jù)備份和恢復(fù)除了安全功效和機(jī)制可靠性外，數(shù)據(jù)存放可靠性也是不可忽略關(guān)鍵步驟。這就必需使用備份和恢復(fù)系統(tǒng)，來確保數(shù)據(jù)損壞后能立即恢復(fù)?？缮炜s性證券網(wǎng)絡(luò)會(huì)伴隨證券業(yè)務(wù)發(fā)展而快速壯大。一個(gè)優(yōu)異安全處理方案必需從開始就考慮到這種需求。系統(tǒng)需要基于高可伸縮便于擴(kuò)充集群構(gòu)架。以跟上券商發(fā)展腳步，預(yù)防出現(xiàn)大量設(shè)備淘汰造成資源浪費(fèi)。易用性不易使用安全系統(tǒng)是不安全。充斥著英文術(shù)語管理界面會(huì)大大增加系統(tǒng)管理人員工作量，也輕易造成不應(yīng)有漏洞出現(xiàn)或安全策略僵化。易用性關(guān)鍵包含：要界面清楚易懂方便集中管理安全性實(shí)時(shí)監(jiān)控。完善服務(wù)體制券商不是專業(yè)安全企業(yè)。不可能隨時(shí)全方面跟蹤安全動(dòng)態(tài)。安全是動(dòng)態(tài)過程，今天安全系統(tǒng)明天就可能不安全，這就要求提供安全方案企業(yè)有優(yōu)異服務(wù)體制進(jìn)行跟蹤服務(wù)。再嚴(yán)密系統(tǒng)也可能出現(xiàn)漏洞，當(dāng)緊急事件發(fā)生時(shí)，能不能在最短時(shí)間內(nèi)取得緊急響應(yīng)服務(wù)常常決定了損失大小，而且這種時(shí)候，需要是極其專業(yè)服務(wù)，沒有強(qiáng)大開發(fā)實(shí)力企業(yè)是無法滿足這種需求，而在中國(guó)沒有開發(fā)部門國(guó)外著名企業(yè)則往往鞭長(zhǎng)莫及。安全系統(tǒng)結(jié)構(gòu)為了滿足上述需求，從安全方面就需以下模塊：防火墻、入侵檢測(cè)、防病毒、CA和加密。在系統(tǒng)設(shè)計(jì)一級(jí)，就要考慮到各模塊位置。同時(shí)，整個(gè)系統(tǒng)需要根據(jù)業(yè)務(wù)步驟來進(jìn)行設(shè)計(jì)。4.1多級(jí)用戶身份驗(yàn)證登錄保護(hù)：網(wǎng)上證券用戶和服務(wù)器之間需要建立一個(gè)信任關(guān)系。必需要預(yù)防入侵者經(jīng)過種種手段進(jìn)行冒充和欺騙。為此，在登錄步驟就要開始實(shí)施防護(hù)。首先使用CA技術(shù)，利用數(shù)字證書來確保雙方是能夠相互信任。其次，在登錄時(shí)進(jìn)行用戶名、密碼驗(yàn)證。整個(gè)登錄過程使用SSL加密傳輸，預(yù)防登錄信息被竊取。密碼保護(hù)：對(duì)于前面提到用戶信息、交易數(shù)據(jù)、管理信息等涉密信息，提供全程密碼保護(hù)。在系統(tǒng)訪問層，經(jīng)過授權(quán)和認(rèn)證機(jī)制，確保涉密信息只提供給有訪問權(quán)限人員。訪問密碼和交易密碼分開，加強(qiáng)高敏感涉密信息安全等級(jí)。4.2密鑰密碼體系在網(wǎng)上證券應(yīng)用中，使用基于公開密鑰密碼體系（PKI）加密安全體系。其目標(biāo)是確保以下四點(diǎn)：可信任服務(wù)器可信任用戶可信任傳輸不容抵賴審計(jì)使用密鑰密碼關(guān)鍵目標(biāo)是預(yù)防信息非授權(quán)泄露。加密用于傳輸信息和存放信息，把計(jì)算機(jī)數(shù)據(jù)變成一堆無規(guī)律、雜亂無章字符。攻擊者即使得到經(jīng)過加密信息即密文、也無法識(shí)別原文。所以，加密能夠有效地對(duì)抗截收、非法訪問數(shù)據(jù)庫竊取信息等威脅。為確保安全，組合應(yīng)用對(duì)稱密碼算法和非對(duì)稱密碼算法，對(duì)稱密碼算法用于信息加密、非對(duì)稱密碼算法用于密鑰分發(fā)、數(shù)字署名、完整性及身份判別等。假如一個(gè)加密系統(tǒng)加密密鑰和解密密鑰相同，或即使不相同，不過由其中任意一個(gè)能夠很輕易地推導(dǎo)出另一個(gè)，所采取就是對(duì)稱密碼算法。假如一個(gè)加密系統(tǒng)加密密鑰和解密密鑰不相同、而且由加密密鑰推導(dǎo)出解密密鑰(或由解密密鑰推導(dǎo)出加密密鑰)是計(jì)算上不可行、所采取就是非對(duì)稱密碼算法。信息加密傳輸實(shí)際過程包含四步：第一步，信息發(fā)送方產(chǎn)生一個(gè)對(duì)稱密鑰，并將此密鑰用信息接收方公鑰加密后，經(jīng)過網(wǎng)絡(luò)傳送給接收方。第二步，信息發(fā)送方用對(duì)稱密鑰將需要傳輸文件加密后，經(jīng)過網(wǎng)絡(luò)傳送給接收方。第三步，接收方用自己私鑰將收到經(jīng)過加密對(duì)稱密鑰進(jìn)行解密，得到發(fā)送方對(duì)稱密鑰。第四步，接收方用得到對(duì)稱密鑰將接收到經(jīng)過加密信息進(jìn)行解密，從而得到信息原文。4.3結(jié)構(gòu)框架說明系統(tǒng)結(jié)構(gòu)框架以下：用戶使用PC或手機(jī)接入互聯(lián)網(wǎng)，在穿過防火墻以后，連接上券商InternetServer。在用戶端和InternetServer端，均使用CA證書，以確保用戶和服務(wù)器可相互信任。傳輸過程中，對(duì)涉密信息均使用SSL加密。在服務(wù)器和Internet之間，使用防火墻隔離，使用IDS系統(tǒng)進(jìn)行預(yù)警。同時(shí)IDS和防火墻聯(lián)動(dòng)，在遭PC手機(jī)PC手機(jī)Interner防火墻/IDS券商InternetServer防火墻券商IntranetServer日志數(shù)據(jù)庫控制中心券商柜臺(tái)交易系統(tǒng)IDS模塊防病毒模塊SSL加密傳輸CACA依據(jù)國(guó)家要求，券商InternetServer和IntranetServer再利用一道防火墻物理隔離。在Intranet內(nèi)部，使用IDS對(duì)系統(tǒng)內(nèi)異常事件進(jìn)行監(jiān)控。為了保護(hù)數(shù)據(jù)完整性和安全性，在整個(gè)系統(tǒng)中，還要布署完整防病毒體系。在控制中心。能夠?qū)φ麄€(gè)安全系統(tǒng)進(jìn)行實(shí)時(shí)監(jiān)控和集中管理。對(duì)全部安全事件，保留具體日志統(tǒng)計(jì)，以備定時(shí)安全審計(jì)使用。最終，券商IntranetServer接入券商柜臺(tái)交易系統(tǒng)，最終實(shí)現(xiàn)網(wǎng)上證券交易。整個(gè)安全系統(tǒng)結(jié)構(gòu)能夠總結(jié)為：多層隔離、實(shí)時(shí)監(jiān)控、立體防護(hù)、集中管理。安全系統(tǒng)實(shí)施經(jīng)過上面對(duì)需求分析，我們提出了處理需求所要使用到安全模塊，關(guān)鍵由防火墻來對(duì)網(wǎng)絡(luò)上入侵、攻擊和異常行為進(jìn)行阻擋。使用方正數(shù)碼FireBridge防火墻作為系統(tǒng)安全第一道屏障，F(xiàn)ireBridge防火墻優(yōu)異性能及雙機(jī)熱備方法能夠滿足網(wǎng)絡(luò)安全性及可靠性要求。對(duì)于IDS使用ISS企業(yè)產(chǎn)品，這么不僅能夠檢測(cè)來自外部威脅，還能夠檢測(cè)來自系統(tǒng)內(nèi)部侵害。防病毒模塊使用業(yè)內(nèi)著名冠群金辰企業(yè)KILL產(chǎn)品保障系統(tǒng)免受病毒侵?jǐn)_。還有CA系統(tǒng)確保用戶身份判定。具體實(shí)施以下圖所表示：說明：圖所表示安全系統(tǒng)實(shí)施關(guān)鍵在兩個(gè)部分，網(wǎng)上證券交易平臺(tái)和證券企業(yè)總部。在網(wǎng)上證券交易平臺(tái)中，Router和第一層Switch或Hub相連接，Switch或Hub和兩臺(tái)FireBridge防火墻相連接，然后兩臺(tái)FireBridge防火墻再和第二層Switch或Hub相連接。這么就組成了一個(gè)防火墻雙機(jī)熱備方法，確保了網(wǎng)絡(luò)安全性，同時(shí)提供了安全機(jī)制可靠性。第二層Switch或Hub和交易服務(wù)器、WEB服務(wù)器、Router連接，并在服務(wù)器上安裝IDS、防病毒模塊、CA模塊，這么在網(wǎng)上證券交易平臺(tái)上實(shí)現(xiàn)了整體多層次安全防護(hù)方法。在證券企業(yè)總部里，在Router后安裝一道FireBridge防火墻，其后部是證券企業(yè)總部證券交易網(wǎng)絡(luò)，在這個(gè)網(wǎng)絡(luò)里需要安裝一臺(tái)控制主機(jī)，經(jīng)過它對(duì)網(wǎng)上證券交易平臺(tái)里服務(wù)器、防火墻進(jìn)行集中管理，同時(shí)對(duì)系統(tǒng)及其安全性、可靠性進(jìn)行集中管理。除了上面所說兩個(gè)部分外，我們需要在用戶端，安裝CA用戶模塊，認(rèn)證步驟見下圖：根據(jù)上面方法來實(shí)施網(wǎng)絡(luò)證券安全處理方案，就能夠完整實(shí)現(xiàn)立體安全防護(hù)體系，從多層次、多角度來保護(hù)用戶和券商交易安全。我們方案里使用產(chǎn)品將在下面有深入介紹。關(guān)鍵應(yīng)用服務(wù)安全風(fēng)險(xiǎn)應(yīng)用服務(wù)系統(tǒng)中各個(gè)葉節(jié)點(diǎn)有多種應(yīng)用服務(wù)，這些應(yīng)用服務(wù)提供給證券各級(jí)營(yíng)業(yè)點(diǎn)或合作商業(yè)銀行使用。不能預(yù)防未經(jīng)驗(yàn)證操作人員利用應(yīng)用系統(tǒng)脆弱性來攻擊應(yīng)用系統(tǒng)，使得系統(tǒng)數(shù)據(jù)丟失、數(shù)據(jù)更改、取得非法數(shù)據(jù)等。而證券機(jī)房這些應(yīng)用系統(tǒng)是證券內(nèi)聯(lián)網(wǎng)中最關(guān)鍵組成部分。DNS服務(wù)DNS是網(wǎng)絡(luò)正常運(yùn)作基礎(chǔ)元素，它們是由運(yùn)行專門或操作系統(tǒng)提供服務(wù)Unix或NT主機(jī)組成。這些系統(tǒng)很輕易成為外部網(wǎng)絡(luò)攻擊目標(biāo)或跳板。對(duì)DNS攻擊通常是對(duì)其它遠(yuǎn)程主機(jī)進(jìn)行攻擊做準(zhǔn)備，如篡改域名解析統(tǒng)計(jì)以欺騙被攻擊系統(tǒng)，或經(jīng)過獲取DNS區(qū)域文件而得到深入入侵關(guān)鍵信息。著名域名服務(wù)系統(tǒng)BIND就存在眾多能夠被入侵者利用漏洞。證券商對(duì)外多種應(yīng)用，尤其是基于URL應(yīng)用依靠于DNS系統(tǒng)，DNS安全性也是網(wǎng)絡(luò)安全關(guān)注焦點(diǎn)。E-Mail因?yàn)猷]件服務(wù)器軟件眾多廣為人知安全漏洞，郵件服務(wù)器成為進(jìn)行遠(yuǎn)程攻擊首選目標(biāo)之一。如利用公共郵件服務(wù)器進(jìn)行郵件欺騙或郵件炸彈中轉(zhuǎn)站或引擎；利用sendmail漏洞直接入侵到郵件服務(wù)器主機(jī)等。而證券營(yíng)業(yè)內(nèi)部E-mail系統(tǒng)覆蓋面廣，所以迫切需要使用防火墻來保護(hù)證券業(yè)內(nèi)部E-mail系統(tǒng)。WWW利用HTTP服務(wù)器部分漏洞，尤其是在大量使用服務(wù)器腳本系統(tǒng)上，利用這些可實(shí)施腳本程序，未經(jīng)授權(quán)操作者能夠很輕易地取得系統(tǒng)控制權(quán)。在證券存在多種WWW服務(wù)，這些服務(wù)協(xié)議或多或少存在安全隱患。FTP部分FTP服務(wù)器缺點(diǎn)會(huì)使服務(wù)器很輕易被錯(cuò)誤配置，從而造成安全問題，如被匿名用戶上載木馬程序，下載系統(tǒng)中關(guān)鍵信息（如口令文件）并造成最終入侵。有些服務(wù)器版本帶有嚴(yán)重錯(cuò)誤，比如能夠使任何人取得對(duì)包含root在內(nèi)任何帳號(hào)訪問。網(wǎng)絡(luò)中關(guān)鍵系統(tǒng)安全風(fēng)險(xiǎn)整個(gè)系統(tǒng)中網(wǎng)絡(luò)設(shè)備關(guān)鍵采取路由器設(shè)備，有必需分析這些設(shè)備風(fēng)險(xiǎn)。路由器是證券內(nèi)聯(lián)網(wǎng)關(guān)鍵部件，路由器安全將直接影響整個(gè)網(wǎng)絡(luò)安全。下面列舉了部分路由器所存在關(guān)鍵安全風(fēng)險(xiǎn)：■ 路由器缺省情況下只使用簡(jiǎn)單口令驗(yàn)證用戶身份，而且遠(yuǎn)程TELNET登錄時(shí)以明文傳輸口令。一旦口令泄密路由器將失去全部保護(hù)能力?！雎酚善骺诹钊觞c(diǎn)是沒有計(jì)數(shù)器功效，所以每個(gè)人全部能夠不限次數(shù)嘗試登錄口令，在口令字典等工具幫助下很輕易破解登錄口令。■每個(gè)管理員全部可能使用相同口令，所以，路由器對(duì)于誰曾經(jīng)作過什么修改，系統(tǒng)沒有跟蹤審計(jì)能力?！雎酚善鲗?shí)現(xiàn)一些動(dòng)態(tài)路由協(xié)議存在一定安全漏洞，有可能被惡意攻擊者利用來破壞網(wǎng)絡(luò)路由設(shè)置，達(dá)成破壞網(wǎng)絡(luò)或?yàn)楣糇鰷?zhǔn)備目標(biāo)。針對(duì)這種情況，必需采取方法，有效預(yù)防非法對(duì)網(wǎng)絡(luò)設(shè)備訪問。■TCP/IP風(fēng)險(xiǎn)：系統(tǒng)采取TCP/IP協(xié)議進(jìn)行通信，而因?yàn)門CP/IP協(xié)議中存在固有漏洞，比如：針對(duì)TCP序號(hào)攻擊，TCP會(huì)話劫持，TCPSYN攻擊等。同時(shí)系統(tǒng)DNS采取UDP協(xié)議，因?yàn)閁DP協(xié)議是非面向連接協(xié)議，對(duì)系統(tǒng)中DNS等相關(guān)應(yīng)用帶來安全風(fēng)險(xiǎn)。數(shù)據(jù)庫系統(tǒng)安全分析數(shù)據(jù)庫系統(tǒng)是存放關(guān)鍵信息場(chǎng)所并擔(dān)負(fù)著管理這些數(shù)據(jù)信息任務(wù)。數(shù)據(jù)庫安全問題，在數(shù)據(jù)庫技術(shù)誕生以后就一直存在，并伴隨數(shù)據(jù)庫技術(shù)發(fā)展而不停深化。不法份子利用已經(jīng)有或愈加優(yōu)異技術(shù)手段通常對(duì)數(shù)據(jù)庫進(jìn)行偽造數(shù)據(jù)庫中數(shù)據(jù)、損壞數(shù)據(jù)庫、竊取數(shù)據(jù)庫中數(shù)據(jù)。怎樣確保和加強(qiáng)數(shù)據(jù)庫系統(tǒng)安全性和保密性對(duì)于網(wǎng)絡(luò)正常、安全運(yùn)行至關(guān)關(guān)鍵。管理系統(tǒng)安全風(fēng)險(xiǎn)管理系統(tǒng)安全風(fēng)險(xiǎn)除了上面提到系統(tǒng)風(fēng)險(xiǎn)之外，系統(tǒng)之間，尤其是其它商業(yè)銀行和證券之間存在很大安全隱患。系統(tǒng)結(jié)構(gòu)復(fù)雜、管理難度大，存在多種服務(wù)，哪些服務(wù)對(duì)哪些人是開放、哪些是拒絕全部沒有一定安全劃分。必需預(yù)防內(nèi)部不相關(guān)人員非法訪問安全程度要求高數(shù)據(jù)，而且整個(gè)系統(tǒng)正常運(yùn)行也是確保證券系統(tǒng)日常工作正常進(jìn)行一個(gè)十分關(guān)鍵方面。必需限制管理系統(tǒng)內(nèi)各個(gè)部門之間訪問權(quán)限，維護(hù)各個(gè)系統(tǒng)安全訪問。而因?yàn)檎麄€(gè)系統(tǒng)是一個(gè)體系，任何一個(gè)點(diǎn)出現(xiàn)安全問題，全部可能給相關(guān)人員帶來損失。方正數(shù)碼防火墻處理方案本方案設(shè)計(jì)標(biāo)準(zhǔn)和目標(biāo)標(biāo)準(zhǔn)：從網(wǎng)絡(luò)安全整個(gè)體系考慮，此次防火墻選擇標(biāo)準(zhǔn)是：安全性：防火墻提供一整套訪問控制/防護(hù)安全策略，確保系統(tǒng)安全性；開放性：防火墻采取國(guó)家防火墻相關(guān)標(biāo)準(zhǔn)和網(wǎng)絡(luò)安全領(lǐng)域相關(guān)技術(shù)標(biāo)準(zhǔn)；高可靠性：防火墻采取軟件、硬件結(jié)合形式，確保系統(tǒng)長(zhǎng)久穩(wěn)定、安全運(yùn)行；可擴(kuò)充性：防火墻采取模塊化設(shè)計(jì)方法，方便產(chǎn)品升級(jí)、功效增強(qiáng)、調(diào)整系統(tǒng)結(jié)構(gòu)；可管理性：防火墻采取基于windows平臺(tái)GUI模式進(jìn)行管理，方便多種安全策略設(shè)置；可維護(hù)性：防火墻軟件維護(hù)方便，便于操作管理；目標(biāo)：網(wǎng)絡(luò)安全包含很多方面，如：訪問控制、身份認(rèn)證、數(shù)據(jù)加密、入侵檢測(cè)、預(yù)防病毒、數(shù)據(jù)備份等。此次證券內(nèi)聯(lián)網(wǎng)防火墻系統(tǒng)建設(shè)目標(biāo)是經(jīng)過在證券同外部遠(yuǎn)程交易和其它商業(yè)銀行、金融機(jī)構(gòu)連接處采取防火墻技術(shù)，預(yù)防外部網(wǎng)絡(luò)和用戶對(duì)證券內(nèi)聯(lián)網(wǎng)數(shù)據(jù)非法使用和訪問，監(jiān)控整個(gè)網(wǎng)絡(luò)數(shù)據(jù)過程。有效預(yù)防來自外部攻擊行為。限制對(duì)內(nèi)部資源和系統(tǒng)訪問范圍。經(jīng)過在證券內(nèi)聯(lián)網(wǎng)系統(tǒng)中設(shè)置防火墻安全方法將達(dá)成以下目標(biāo)：保護(hù)基于證券內(nèi)聯(lián)網(wǎng)業(yè)務(wù)不間斷正常運(yùn)作。包含組成證券系統(tǒng)網(wǎng)絡(luò)全部設(shè)施、系統(tǒng)、和系統(tǒng)所處理數(shù)據(jù)（信息）。證券關(guān)鍵信息在可控范圍內(nèi)傳輸，即有效控制信息傳輸范圍，預(yù)防關(guān)鍵信息泄露給證券外部組織或人員。處理網(wǎng)絡(luò)邊界安全問題確保網(wǎng)絡(luò)內(nèi)部安全實(shí)現(xiàn)系統(tǒng)安全及數(shù)據(jù)安全在用戶和資源之間進(jìn)行嚴(yán)格訪問控制（經(jīng)過身份認(rèn)證，訪問控制）建立一套數(shù)據(jù)審計(jì)、統(tǒng)計(jì)安全管理機(jī)制（網(wǎng)絡(luò)數(shù)據(jù)采集，審計(jì)）融合技術(shù)手段和行政手段，形成全局安全管理。為了處理證券內(nèi)聯(lián)網(wǎng)面臨安全問題，有必需建立一整套安全機(jī)制，包含：訪問控制、入侵檢測(cè)等多個(gè)方面。信息系統(tǒng)安全是一個(gè)復(fù)雜系統(tǒng)工程，包含到技術(shù)和管理等多個(gè)層面。為達(dá)成以上目標(biāo)，方正數(shù)碼在充足調(diào)研和分析比較基礎(chǔ)上采取合理技術(shù)手段和產(chǎn)品以構(gòu)建一個(gè)完整安全技術(shù)體系，同時(shí)經(jīng)過和證券共同工作，幫助證券建立完善安全管理體系。防火墻選型防火墻是網(wǎng)絡(luò)安全領(lǐng)域首要、基礎(chǔ)設(shè)施，它對(duì)維護(hù)內(nèi)部網(wǎng)絡(luò)安全起著關(guān)鍵作用。利用防火墻能夠有效地劃分網(wǎng)絡(luò)不一樣安全等級(jí)區(qū)域間邊界，并在邊界上對(duì)不一樣區(qū)域間訪問實(shí)施訪問控制、身份判別、和安全審計(jì)等功效。防火墻按實(shí)現(xiàn)方法不一樣，其基礎(chǔ)類型有：包過濾型、代理(應(yīng)用網(wǎng)關(guān))型和復(fù)合型。復(fù)合型防火墻是在綜合動(dòng)態(tài)包過濾技術(shù)和代理技術(shù)優(yōu)點(diǎn)情況下采取一個(gè)愈加完善和安全防火墻技術(shù)。其功效強(qiáng)大，是未來防火墻技術(shù)發(fā)展一個(gè)關(guān)鍵趨勢(shì)。綜合考慮證券網(wǎng)絡(luò)安全實(shí)際情況，在本方案中采取方正數(shù)碼方正方御（FG-P）復(fù)合型防火墻，放置在證券和遠(yuǎn)程交易和各個(gè)商業(yè)銀行和其它金融機(jī)構(gòu)連接各個(gè)葉節(jié)點(diǎn)。防火墻設(shè)置及工作模式●防火墻提供三個(gè)接口：內(nèi)網(wǎng)、外網(wǎng)、DMZ；●防火墻工作在路由模式，對(duì)外采取NAT技術(shù)，隱藏內(nèi)部真實(shí)地址；●將對(duì)外服務(wù)多種服務(wù)設(shè)備放置在DMZ區(qū)域，和內(nèi)部網(wǎng)絡(luò)嚴(yán)格區(qū)分開，確保內(nèi)部系統(tǒng)安全。考慮到安全問題，系統(tǒng)中結(jié)構(gòu)需要調(diào)整，將原來各商業(yè)銀行對(duì)證券內(nèi)部網(wǎng)絡(luò)訪問調(diào)整到對(duì)DMZ訪問。不輕易許可各商業(yè)銀行對(duì)證券內(nèi)部網(wǎng)絡(luò)進(jìn)行訪問。防火墻功效設(shè)置及安全策略完善訪問控制規(guī)則控制：經(jīng)過方正方御防火墻提供基于TCP/IP協(xié)議中各個(gè)步驟進(jìn)行安全控制，生成完整安全訪問控制表，這個(gè)表包含：■外網(wǎng)（商業(yè)銀行和其它金融機(jī)構(gòu)）對(duì)DMZ內(nèi)服務(wù)訪問控制。將外部對(duì)內(nèi)部、DMZ內(nèi)服務(wù)訪問明確限制，預(yù)防非法對(duì)內(nèi)部關(guān)鍵系統(tǒng)，尤其是業(yè)務(wù)系統(tǒng)訪問。利用DMZ隔離效果，盡可能將對(duì)外服務(wù)部分服務(wù)器放置在DMZ區(qū)域，經(jīng)過NAT方法，保護(hù)內(nèi)部網(wǎng)絡(luò)免受攻擊。關(guān)閉操作系統(tǒng)提供除需要以外全部服務(wù)和應(yīng)用，預(yù)防因?yàn)檫@些服務(wù)和應(yīng)用本身漏洞給系統(tǒng)帶來風(fēng)險(xiǎn)。對(duì)內(nèi)部E-mail、FTP、WWW、數(shù)據(jù)庫訪問做嚴(yán)格計(jì)劃和限制，預(yù)防惡意攻擊行為發(fā)生?！鰞?nèi)部網(wǎng)絡(luò)：內(nèi)部網(wǎng)絡(luò)對(duì)外部網(wǎng)絡(luò)（商業(yè)銀行和其它金融機(jī)構(gòu)）訪問也要進(jìn)行嚴(yán)格限制。預(yù)防內(nèi)部職員對(duì)外網(wǎng)資源非法訪問。對(duì)內(nèi)部職員對(duì)外訪問采取NAT方法訪問。同時(shí)內(nèi)部職員對(duì)DMZ區(qū)域服務(wù)器訪問也必需做限制。內(nèi)部職員對(duì)外網(wǎng)WWW訪問采取代理方法。■DMZ訪問：通常情況下DMZ對(duì)外部和內(nèi)部全部不能主動(dòng)進(jìn)行訪問，除非特殊應(yīng)用需要到內(nèi)部網(wǎng)絡(luò)采集數(shù)據(jù)，能夠有限地開放部分服務(wù)。借助方正方御防火墻提供基于狀態(tài)包過濾技術(shù)對(duì)數(shù)據(jù)各個(gè)方向采取全方面安全技術(shù)策略，制訂嚴(yán)格完善訪問控制策略確保從IP到傳輸層數(shù)據(jù)安全。針對(duì)證券系統(tǒng)中網(wǎng)絡(luò)風(fēng)險(xiǎn)能夠經(jīng)過嚴(yán)格訪問控制表來進(jìn)行限制。內(nèi)置入侵檢測(cè)（IDS）方正數(shù)碼企業(yè)和國(guó)際網(wǎng)絡(luò)安全組織合作，能夠?qū)崟r(shí)取得最新系統(tǒng)入侵庫代碼，動(dòng)態(tài)地將這些攻擊技術(shù)處理方案加入到方正方御防火墻中,同時(shí)在方正方御防火墻內(nèi)部采取3I技術(shù)，加速應(yīng)用層安全防護(hù)查詢過程。方正方御防火墻現(xiàn)在能夠支持1500種以上入侵檢測(cè)并能夠成功阻斷這么攻擊行為，比如最近紅色代碼。針對(duì)多種攻擊行為，比如TCP序列號(hào)攻擊、劫持、碎片攻擊、端口掃描能夠識(shí)別阻斷。而這個(gè)數(shù)據(jù)庫能夠?qū)崟r(shí)更新、升級(jí)。升級(jí)在方正方御防火墻界面即可完成。IDS和訪問策略形成互動(dòng)。經(jīng)過防火墻嵌入IDS功效能夠有效防范對(duì)內(nèi)部Windows/NT，Unix、Novell系統(tǒng)攻擊行為。電子欺騙：防火墻能夠自動(dòng)識(shí)別多種電子欺騙行為并進(jìn)行阻斷。同時(shí)防火墻能夠?qū)窝bIP地址進(jìn)行識(shí)別。代理服務(wù)方正方御防火墻對(duì)外提供代理服務(wù)功效，證券內(nèi)部網(wǎng)絡(luò)對(duì)外訪問能夠經(jīng)過防火墻提供代理服務(wù)功效，同時(shí)代理服務(wù)能夠針對(duì)URL,SSL,FTP進(jìn)行應(yīng)用攔截，預(yù)防內(nèi)部人員對(duì)外網(wǎng)非法訪問。NAT地址轉(zhuǎn)換將證券內(nèi)部網(wǎng)絡(luò)和DMZ區(qū)域網(wǎng)絡(luò)地址經(jīng)過NAT方法轉(zhuǎn)換，隱藏真實(shí)IP地址，預(yù)防內(nèi)部網(wǎng)絡(luò)受到攻擊。具體轉(zhuǎn)換方法就是將內(nèi)部網(wǎng)絡(luò)和DMZ區(qū)域機(jī)器地址全部轉(zhuǎn)換成防火墻外網(wǎng)卡地址，對(duì)外證券只有一個(gè)地址。而借助防火墻多映射功效，能夠?qū)?duì)外同一地址映射為內(nèi)部網(wǎng)絡(luò)和DMZ區(qū)域不一樣服務(wù)不一樣端口。日志系統(tǒng)及系統(tǒng)報(bào)警方正方御防火墻提供強(qiáng)大日志系統(tǒng)，將經(jīng)過防火墻數(shù)據(jù)、防火墻管理數(shù)據(jù)、流量、多種攻擊行為統(tǒng)計(jì)集成到一起。同時(shí)系統(tǒng)提供針對(duì)多種統(tǒng)計(jì)結(jié)果根據(jù)用戶要求進(jìn)行報(bào)表打印。針對(duì)經(jīng)過防火墻數(shù)據(jù)，能夠根據(jù)數(shù)據(jù)類型、地址進(jìn)行統(tǒng)計(jì)分析。針對(duì)多種管理數(shù)據(jù)，防火墻進(jìn)行具體統(tǒng)計(jì)，網(wǎng)管人員能夠方便查看對(duì)防火墻管理情況。假如有內(nèi)部人員對(duì)防火墻訪問，能夠經(jīng)過管理數(shù)據(jù)進(jìn)行查詢。流量統(tǒng)計(jì)：防火墻提供流量統(tǒng)計(jì)功效，能夠根據(jù)用戶名稱、地址等多個(gè)方法進(jìn)行統(tǒng)計(jì)。系統(tǒng)報(bào)警：當(dāng)有些人非法對(duì)內(nèi)部網(wǎng)絡(luò)或外部網(wǎng)絡(luò)進(jìn)行訪問時(shí)候，系統(tǒng)實(shí)時(shí)報(bào)警會(huì)經(jīng)過E-mail和聲音進(jìn)行報(bào)警。同時(shí)對(duì)多種非法訪問和攻擊行為進(jìn)行統(tǒng)計(jì)。經(jīng)過強(qiáng)大日志系統(tǒng)和實(shí)時(shí)報(bào)警、日志報(bào)警等多個(gè)方法確保證券內(nèi)部網(wǎng)絡(luò)出現(xiàn)安全問題時(shí)能夠有資料分析；同時(shí)也能夠經(jīng)過對(duì)日志系統(tǒng)分析完善系統(tǒng)安全策略。帶寬分配，流量管理在證券內(nèi)聯(lián)網(wǎng)上運(yùn)行著部分關(guān)鍵業(yè)務(wù)數(shù)據(jù)，這些業(yè)務(wù)數(shù)據(jù)實(shí)時(shí)性要求高，必需確保這么數(shù)據(jù)含有優(yōu)先權(quán)限，預(yù)防因?yàn)閹拞栴}影響證券應(yīng)用。方正方御防火墻能夠針對(duì)證券實(shí)際情況，對(duì)部分特殊應(yīng)用提供帶寬管理。給特殊應(yīng)用分配相對(duì)高帶寬。同時(shí)方正方御防火墻提供流量管理功效，對(duì)內(nèi)部網(wǎng)絡(luò)用戶對(duì)外網(wǎng)訪問能夠提供流量限制。集中管理針對(duì)證券網(wǎng)絡(luò)覆蓋面廣、區(qū)域跨度大特點(diǎn)，防火墻需要集中管理和控制。方正方御防火墻提供集中管理機(jī)制，支持遠(yuǎn)程管理。利用NT域概念和技術(shù)，方正方御防火墻能夠?qū)ν粋€(gè)域內(nèi)不一樣防火墻進(jìn)行同時(shí)管理。我們考慮在證券總行和各個(gè)大區(qū)行采取集中管理機(jī)制。根據(jù)防火墻分權(quán)標(biāo)準(zhǔn)，將策略管理放置在各個(gè)防火墻節(jié)點(diǎn)。策略整體由證券總行策劃，各個(gè)節(jié)點(diǎn)自己進(jìn)行策略管理。而系統(tǒng)管理和日志查詢放置在各個(gè)大區(qū)行，統(tǒng)一管理、分析。防火墻提供管理接口，同時(shí)支持遠(yuǎn)程管理，管理數(shù)據(jù)采取RC4/MD5方法加密，能夠有效確保管理安全性，同時(shí)管理數(shù)據(jù)只在證券內(nèi)聯(lián)網(wǎng)流動(dòng)。而防火墻本身能夠?qū)芾韱T地址進(jìn)行嚴(yán)格限制。預(yù)制模板證券網(wǎng)絡(luò)復(fù)雜，不過結(jié)構(gòu)清楚，為了愈加好維護(hù)整個(gè)系統(tǒng)安全和適應(yīng)證券統(tǒng)一管理、安全強(qiáng)度一致標(biāo)準(zhǔn)，方正方御防火墻提供預(yù)制模板功效。能夠經(jīng)過證券統(tǒng)一制訂一個(gè)策略模板，各個(gè)節(jié)點(diǎn)網(wǎng)絡(luò)在這個(gè)模板基礎(chǔ)上進(jìn)行計(jì)劃，簡(jiǎn)化管理過程，使得系統(tǒng)管理難度降低。系統(tǒng)升級(jí)網(wǎng)絡(luò)安全技術(shù)伴隨網(wǎng)絡(luò)技術(shù)發(fā)展不停改變，而網(wǎng)絡(luò)安全策略和軟件也不能一成不變，需要不停升級(jí)。方正方御防火墻管理界面提供方便系統(tǒng)升級(jí)和IDS升級(jí)功效。確保證券防火墻產(chǎn)品實(shí)時(shí)和網(wǎng)絡(luò)安全領(lǐng)域技術(shù)同時(shí)，預(yù)防因?yàn)樾掳踩珕栴}給系統(tǒng)帶來安全風(fēng)險(xiǎn)。其中，尤其是IDS功效，幾乎天天全部有新安全風(fēng)險(xiǎn)和攻擊軟件出現(xiàn)。方正防火墻內(nèi)嵌IDS功效模塊能夠動(dòng)態(tài)升級(jí)，保障IDS數(shù)據(jù)庫和最新動(dòng)態(tài)同時(shí)。雙機(jī)備份網(wǎng)絡(luò)安全、穩(wěn)定長(zhǎng)久運(yùn)行是證券最終目標(biāo)，而網(wǎng)絡(luò)硬件可能因?yàn)椴糠痔厥庠虬l(fā)生故障。方正方御防火墻提供雙機(jī)備份功效，采取兩種方法進(jìn)行備份檢測(cè)，軟件方法借用HSRP技術(shù)動(dòng)態(tài)跟蹤各個(gè)區(qū)域運(yùn)行狀態(tài)，發(fā)覺任何一個(gè)區(qū)域出現(xiàn)問題立即進(jìn)行切換。硬件方法采取心跳線方法，當(dāng)系統(tǒng)檢測(cè)到故障，也將進(jìn)行切換。而系統(tǒng)切換不影響證券業(yè)務(wù)。兩臺(tái)防火墻工作在互備模式中。防火墻方案特點(diǎn)此次證券內(nèi)聯(lián)網(wǎng)防火墻關(guān)鍵設(shè)置在內(nèi)網(wǎng)和外網(wǎng)和其它商業(yè)銀行連接節(jié)點(diǎn)上。本方案中，我們關(guān)鍵依據(jù)證券網(wǎng)絡(luò)實(shí)際情況，針對(duì)防火墻特殊性，從以下多個(gè)方面考慮保障系統(tǒng)安全性防火墻放置在內(nèi)外網(wǎng)之間用來隔離內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)，對(duì)內(nèi)外網(wǎng)絡(luò)通信進(jìn)行嚴(yán)格管理和監(jiān)控，防火墻必需提供全方面安全策略確保內(nèi)部系統(tǒng)安全。所以方正方御防火墻提供全方面訪問控制策略、IPMAC地址捆綁、IDS入侵檢測(cè)、反電子欺騙等手段。這些功效能夠有效保障內(nèi)部網(wǎng)絡(luò)安全。同時(shí)方正方御防火墻也提供帶寬管理、分配，系統(tǒng)報(bào)警等方法從側(cè)面幫助。本身安全性防火墻作為網(wǎng)絡(luò)系統(tǒng)中一個(gè)部件，其本身安全性也是十分關(guān)鍵，考慮到實(shí)際情況，方正方御防火墻提供單獨(dú)管理接口，管理接口服務(wù)全部關(guān)閉，同時(shí)管理接口特殊管理數(shù)據(jù)采取標(biāo)準(zhǔn)加密算法和方法。證券遠(yuǎn)程管理過程中數(shù)據(jù)經(jīng)過證券內(nèi)聯(lián)網(wǎng)進(jìn)行管理能夠有效確保管理安全性。同時(shí)，利用WindowsNT中域技術(shù)，對(duì)防火墻管理時(shí)必需登錄到對(duì)應(yīng)域才能對(duì)域內(nèi)用戶進(jìn)行管理，保障管理域安全性。而防火墻操作系統(tǒng)采取經(jīng)過嚴(yán)格測(cè)試專有操作系統(tǒng)。維護(hù)方便性管理方便性直接關(guān)系到系統(tǒng)能否起到安全保護(hù)作用，方正方御防火墻提供專有GUI平臺(tái)，方便制訂多種安全策略。系統(tǒng)事件管理系統(tǒng)事件和日志統(tǒng)計(jì)直接關(guān)系到整個(gè)安全平臺(tái)完善和后續(xù)責(zé)任追查等多個(gè)方面，方正方御防火墻為用戶提供完整、正確數(shù)據(jù)統(tǒng)計(jì)結(jié)果，供查詢、打印等。證券內(nèi)聯(lián)網(wǎng)防火墻安全需求及方案對(duì)照說明內(nèi)聯(lián)網(wǎng)防火墻基礎(chǔ)要求內(nèi)聯(lián)網(wǎng)設(shè)置防火墻目標(biāo)是隔離內(nèi)部網(wǎng)、外部網(wǎng)和DMZ區(qū)（非軍事區(qū)），抵御多個(gè)模式網(wǎng)絡(luò)攻擊，保護(hù)內(nèi)部網(wǎng)絡(luò)不受攻擊。方正方御防火墻是基于狀態(tài)檢測(cè)技術(shù)包過濾防火墻，擁有完整客體訪問控制能力。能夠?qū)刂品秶鷥?nèi)任何主體和客體實(shí)施端到端策略。經(jīng)過對(duì)主、客體規(guī)則策略配置能夠控制主、客體訪問。方正方御防火墻經(jīng)過設(shè)置許可、嚴(yán)禁和對(duì)已建、新建、相關(guān)、非法四種狀態(tài)檢測(cè)訪問，擁有授權(quán)和拒絕能力。為主體和客體安全屬性提供明確訪問保障和拒絕。方正方御防火墻擁有多個(gè)安全屬性訪問控制。防火墻策略控制范圍包含：源地址、目標(biāo)地址、源端口號(hào)、目標(biāo)端口號(hào)、傳輸協(xié)議，連接狀態(tài)，和碎片檢測(cè)等全部要素。方正方御防火墻含有安全審計(jì)功效模塊。能夠?qū)θ肭謾z測(cè)、流量控制、防火墻本身操作、代理服務(wù)器等進(jìn)行安全審計(jì)，而且將其審計(jì)結(jié)果具體統(tǒng)計(jì)在日志中，經(jīng)過自帶統(tǒng)計(jì)模塊，管理人員能夠自動(dòng)或手動(dòng)地將其統(tǒng)計(jì)成為報(bào)表。方正方御防火墻安全策略采取了非旁路性設(shè)計(jì)，即全部流過防火墻信息包全部要經(jīng)過防火墻配置規(guī)則檢測(cè)，不會(huì)出現(xiàn)信息包繞過防火墻配置策略進(jìn)入受保護(hù)網(wǎng)絡(luò)情況。防火墻能夠充足確保任何和安全相關(guān)操作被實(shí)施前，均經(jīng)過安全策略檢驗(yàn)。方正方御防火墻本身擁有很高安全性。方正方御防火墻采取專用操作系統(tǒng)，用戶或黑客不會(huì)了解其操作系統(tǒng)任何信息，無從對(duì)防火墻操作系統(tǒng)進(jìn)行攻擊。同時(shí)在管理上使用專有控制接口，將管理信息和其它信息隔離開同時(shí)還采取了基于PKI方法確保管理信息安全性。方正方御防火墻擁有完善管理功效，能夠支持安全集中管理，能區(qū)分安全管理角色，采取了三級(jí)管理體系，將管理人員分為管理員、審計(jì)員、策略員三種。結(jié)合證券內(nèi)聯(lián)網(wǎng)樹型結(jié)構(gòu)特點(diǎn)，使管理員能夠?qū)Ψ阑饓?shí)施安全遠(yuǎn)程管理及維護(hù)，并能夠經(jīng)過加密保護(hù)遠(yuǎn)程管理會(huì)話?；A(chǔ)配置管理功效，用戶數(shù)據(jù)保護(hù)中管理員屬性修改和查詢功效，標(biāo)識(shí)和判別功效。證券內(nèi)聯(lián)網(wǎng)防火墻功效要求必備功效包過濾方正方御防火墻是基于包過濾防火墻，經(jīng)過對(duì)全部流經(jīng)防火墻信息包內(nèi)包頭信息進(jìn)行檢驗(yàn)，許可或阻止數(shù)據(jù)包傳輸，以實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)安全控制。它能夠阻止畸型報(bào)文和拒絕服務(wù)，預(yù)防外部IPSpoofing，并可限制內(nèi)部職員對(duì)外網(wǎng)訪問請(qǐng)求。同時(shí)防火墻內(nèi)置強(qiáng)大IDS系統(tǒng)能夠?qū)崟r(shí)封禁可疑IP及黑客多種攻擊行為并報(bào)警。應(yīng)用代理方正方御防火墻提供給用代理功效，是針對(duì)應(yīng)用層服務(wù)，對(duì)用戶應(yīng)用提供代理服務(wù)，即接收用戶訪問請(qǐng)求、分析用戶數(shù)據(jù)，然后以自己身份向內(nèi)容服務(wù)器提出請(qǐng)求，并把內(nèi)容服務(wù)器響應(yīng)傳回給用戶。DMZ劃分方正方御防火墻提供DMZ劃分，能夠?qū)崿F(xiàn)安全功效區(qū)域分割，把控制范圍內(nèi)各主體安全區(qū)域分開。防火墻除了提供內(nèi)部接口和外部接口外，還提供一個(gè)DMZ區(qū)（非軍事區(qū)）網(wǎng)絡(luò)接口。在DMZ區(qū)中，能夠設(shè)置公共應(yīng)用服務(wù)設(shè)備，供外部網(wǎng)絡(luò)有條件地訪問其中資源。地址轉(zhuǎn)換方正方御防火墻擁有雙向地址轉(zhuǎn)換功效（NAT），它是基于網(wǎng)絡(luò)層應(yīng)用，經(jīng)過把內(nèi)部網(wǎng)絡(luò)（或DMZ區(qū)）信息包內(nèi)源地址修改為防火墻外部端口地址傳向外部網(wǎng)絡(luò)，同時(shí)隱藏了內(nèi)部網(wǎng)絡(luò)（或DMZ區(qū)）IP地址。具體做法為，當(dāng)用戶需要對(duì)外訪問時(shí)，防火墻會(huì)將用戶IP地址轉(zhuǎn)換為防火墻外部端口IP地址，并將得到響應(yīng)再轉(zhuǎn)換回用戶IP地址發(fā)回給用戶，從而達(dá)成內(nèi)部網(wǎng)絡(luò)（或DMZ區(qū)）用戶訪問外部網(wǎng)絡(luò)資源目標(biāo)。這種做法既能夠使外部網(wǎng)絡(luò)無法了解內(nèi)部網(wǎng)絡(luò)（或DMZ區(qū)）網(wǎng)絡(luò)結(jié)構(gòu)，又能夠節(jié)省外部正當(dāng)IP地址空間。另外，方正方御防火墻提供反向地址轉(zhuǎn)換功效，支持DMZ區(qū)中某個(gè)服務(wù)端口到內(nèi)部地址一對(duì)一映射，即DMZ區(qū)中地址向內(nèi)部網(wǎng)絡(luò)地址訪問時(shí)，被訪問IP地址被轉(zhuǎn)換為指定DMZ區(qū)中IP地址。完整日志功效方正方御防火墻提供了完整日志功效，因?yàn)榉阑饓Π踩卣?，使防火墻日志成為立即發(fā)覺系統(tǒng)漏洞、分析系統(tǒng)可能受到攻擊、判定系統(tǒng)運(yùn)行狀態(tài)及系統(tǒng)配置錯(cuò)誤等問題關(guān)鍵手段，所以方正方御防火墻能夠提供完整日志功效。防火墻運(yùn)行日志能夠依據(jù)管理員管理要求進(jìn)行針對(duì)性設(shè)置，實(shí)時(shí)統(tǒng)計(jì)到目標(biāo)文件或目標(biāo)數(shù)據(jù)庫中，并提供必需手段使管理員能夠查閱目前及歷史日志文件。高安全性防火墻操作系統(tǒng)和軟件內(nèi)核因?yàn)榉阑饓浖腔谔囟ú僮飨到y(tǒng)之上，所以必需對(duì)防火墻所使用操作系統(tǒng)安全提出要求，以免因操作系統(tǒng)本身漏洞造成防火墻安全受到影響。方正方御防火墻采取是專用操作系統(tǒng)，安全性高，在操作系統(tǒng)上不會(huì)給黑客任何可趁之機(jī)。增強(qiáng)功效根據(jù)“三級(jí)互聯(lián)處強(qiáng)度一致，功效要求有所區(qū)分”建設(shè)方針，在總行、分行營(yíng)業(yè)管理部/省會(huì)城市中心支行二級(jí)網(wǎng)絡(luò)互聯(lián)區(qū)和商業(yè)銀行等其它金融機(jī)構(gòu)內(nèi)部網(wǎng)絡(luò)對(duì)接處防火墻配置要求含有或未來需要時(shí)可擴(kuò)充至此增強(qiáng)功效。雙機(jī)熱備方正方御防火墻提供雙機(jī)熱備功效，在網(wǎng)絡(luò)中設(shè)置兩臺(tái)相同地位防火墻產(chǎn)品，一主一從，從用防火墻中存有主用防火墻設(shè)置鏡像，當(dāng)主用防火墻因故無法正常運(yùn)行時(shí)，從用防火墻能夠自動(dòng)替換主用防火墻運(yùn)作，提供給急方法，從而確保整個(gè)網(wǎng)絡(luò)系統(tǒng)穩(wěn)定運(yùn)行。防火墻性能防火墻系統(tǒng)不僅要有完善功效，還要有最好性能確保,確保安全和效率平衡，內(nèi)聯(lián)網(wǎng)中使用防火墻必需符合國(guó)家相關(guān)標(biāo)準(zhǔn)和規(guī)范。方正方御防火墻提供標(biāo)準(zhǔn)以太網(wǎng)接口，適合證券內(nèi)聯(lián)網(wǎng)網(wǎng)絡(luò)接入模式、接口規(guī)范、網(wǎng)絡(luò)帶寬，方正方御防火墻擁有高吞吐量、高性能；時(shí)延小、時(shí)延抖動(dòng)小等特點(diǎn)；包轉(zhuǎn)發(fā)率達(dá)成網(wǎng)絡(luò)要求；30萬并發(fā)連接數(shù)不會(huì)限制現(xiàn)有應(yīng)用系統(tǒng)正常使用。不會(huì)成為網(wǎng)絡(luò)瓶頸，或顯著影響網(wǎng)絡(luò)工作效率。方正方御防火墻含有較高可靠性，不會(huì)降低證券信息系統(tǒng)現(xiàn)有可靠性。方正方御防火墻采取是專用操作系統(tǒng)，含有很高安全性，不存在可能被她人非法利用安全漏洞。方正方御防火墻將內(nèi)網(wǎng)、外網(wǎng)、DMZ和防火墻配置端分別連接于不一樣網(wǎng)卡，實(shí)現(xiàn)最底層網(wǎng)絡(luò)驅(qū)動(dòng)隔離。提供三個(gè)10M/100M自適應(yīng)以太網(wǎng)口，及一個(gè)CONSOLE口。方正方御防火墻在管理上易管理、易維護(hù)。提供圖形化管理界面，易于了解配置規(guī)則，簡(jiǎn)捷配置方法，最大程度地簡(jiǎn)化管理員對(duì)防火墻產(chǎn)品管理和維護(hù)工作。防火墻管理防火墻能否充足發(fā)揮作用，不僅和產(chǎn)品功效性能緊密相關(guān)，日常運(yùn)行管理也是至關(guān)關(guān)鍵。相當(dāng)多網(wǎng)絡(luò)入侵事件發(fā)生，并非是防火墻不起作用，而是因?yàn)榉阑饓芾聿簧?、操作和配置不妥，才使防火墻失去了?yīng)有防范作用。所以，網(wǎng)絡(luò)管理中心要進(jìn)行一定程度下防火墻系統(tǒng)集中管理。對(duì)于方正方御防火墻，管理員能夠經(jīng)過一臺(tái)控制機(jī)對(duì)全網(wǎng)范圍內(nèi)任何一臺(tái)防火墻設(shè)備進(jìn)行遠(yuǎn)程管理，實(shí)現(xiàn)對(duì)防火墻配置、開啟、關(guān)閉、備份和恢復(fù)。經(jīng)過提供多層登錄權(quán)限設(shè)置功效，靈活設(shè)置防火墻訪問權(quán)限。另外，為確保集中管理（即經(jīng)過遠(yuǎn)程方法對(duì)防火墻產(chǎn)品進(jìn)行管理和維護(hù)）安全性要求，方正方御防火墻能夠限制進(jìn)行遠(yuǎn)程管理IP地址；能夠加密保護(hù)遠(yuǎn)程管理會(huì)話，且方正方御防火墻加密是符合國(guó)家密碼委相關(guān)要求。

證券內(nèi)聯(lián)網(wǎng)安全管理提議整體思緒依據(jù)證券內(nèi)聯(lián)網(wǎng)網(wǎng)絡(luò)情況提出對(duì)應(yīng)管理提議。本提議僅包含了基礎(chǔ)標(biāo)準(zhǔn)和思緒，需要證券系統(tǒng)相關(guān)人員經(jīng)過協(xié)同工作，使安全管理和銀行本身管理體系相融合，最終得到具體化落實(shí)和實(shí)施。證券內(nèi)聯(lián)網(wǎng)網(wǎng)絡(luò)是一個(gè)比較完善綜合網(wǎng)絡(luò)，整體結(jié)構(gòu)是—個(gè)經(jīng)過WAN連接多級(jí)網(wǎng)絡(luò)，在網(wǎng)絡(luò)每一級(jí)節(jié)點(diǎn)上含有一個(gè)局域網(wǎng)，在多級(jí)網(wǎng)絡(luò)上運(yùn)行著各個(gè)業(yè)務(wù)系統(tǒng)、服務(wù)系統(tǒng)、辦公自動(dòng)化系統(tǒng)等，因?yàn)閼?yīng)用系統(tǒng)復(fù)雜性、管理人員復(fù)雜性，制訂一個(gè)適宜全網(wǎng)安全管理制度和安全策略是十分必需。良好管理平臺(tái)有利于增強(qiáng)系統(tǒng)安全性，能夠作到：立即發(fā)覺系統(tǒng)安全漏洞適時(shí)審查系統(tǒng)安全體系加強(qiáng)對(duì)使用人員安全知識(shí)教育建立完善系統(tǒng)管理制度集中管理，統(tǒng)一計(jì)劃防火墻能不能正確發(fā)揮它應(yīng)有作用，關(guān)鍵在于管理，證券內(nèi)聯(lián)網(wǎng)機(jī)構(gòu)復(fù)雜、覆蓋面廣，怎樣管理將是對(duì)全網(wǎng)安全有一大難題和考驗(yàn)，我們提議以證券總部及大區(qū)部為中心，集中管理，證券統(tǒng)一計(jì)劃?？偛考按髤^(qū)負(fù)責(zé)防火墻日常運(yùn)行情況監(jiān)測(cè)和管理，同時(shí)大區(qū)行制訂統(tǒng)一安全方法，確保防火墻能夠正確統(tǒng)一發(fā)揮其作用?，F(xiàn)在證券各節(jié)點(diǎn)接入方法多樣，這無形中給證券內(nèi)聯(lián)網(wǎng)帶來了巨大安全隱患，我們認(rèn)為在統(tǒng)一管理上還應(yīng)該統(tǒng)一證券內(nèi)部網(wǎng)絡(luò)出口。嚴(yán)格規(guī)章安全教育健全管理體制是維護(hù)網(wǎng)絡(luò)正常安全運(yùn)行關(guān)鍵。很多系統(tǒng)因?yàn)闆]有健全安全管理體制常常出現(xiàn)因?yàn)楣芾硎韬龆斐蓢?yán)重問題。我們認(rèn)為以下問題應(yīng)該成為安全管理首要處理問題：在組織機(jī)構(gòu)上對(duì)安全管理有一個(gè)確?！鞔_制訂安全管理人員在管理上權(quán)利和義務(wù)。對(duì)于安全管理員，明確指定每個(gè)人應(yīng)該對(duì)什么事故負(fù)什么樣責(zé)任，責(zé)任落實(shí)到人頭。明確指定什么人能夠管理什么網(wǎng)絡(luò)設(shè)備（防火墻、路由器、交換機(jī)等等），作到專門產(chǎn)品維護(hù)由專員負(fù)責(zé)。同時(shí)，對(duì)網(wǎng)絡(luò)安全管理，我們應(yīng)該在證券進(jìn)行統(tǒng)一網(wǎng)絡(luò)安全教育，讓證券職員將網(wǎng)絡(luò)安全意識(shí)帶到工作中去，提升職員網(wǎng)絡(luò)安全整體認(rèn)識(shí)水平。加強(qiáng)口令管理（比如設(shè)置其生效期、頻繁更改口令等）；在口令管理上首先杜絕不設(shè)口令帳號(hào)存在，縮短口令使用期時(shí)間；注意確保每個(gè)用戶ID是唯一；對(duì)于過期帳號(hào)要立即注銷。加強(qiáng)對(duì)網(wǎng)絡(luò)系統(tǒng)管理,在新網(wǎng)絡(luò)用戶注冊(cè)時(shí)，對(duì)其進(jìn)行必需定義，明確其授權(quán)范圍，建立有益于用戶安全管理機(jī)制。在網(wǎng)絡(luò)用戶準(zhǔn)備登錄時(shí)，應(yīng)該對(duì)其進(jìn)行嚴(yán)格身份認(rèn)證。能夠經(jīng)過此用戶所屬主機(jī)和采取基于一次性口令用戶驗(yàn)證系統(tǒng)（比如SecurID等），檢驗(yàn)進(jìn)入網(wǎng)絡(luò)用戶是否正當(dāng)，預(yù)防非法用戶進(jìn)入網(wǎng)絡(luò).明確責(zé)任技術(shù)培訓(xùn)網(wǎng)絡(luò)管理員是決定系統(tǒng)網(wǎng)絡(luò)是否能夠安全、有效運(yùn)行根本原因。網(wǎng)絡(luò)管理員技術(shù)水平是在很大方面限制了安全系統(tǒng)有效運(yùn)行，比如錯(cuò)誤配置網(wǎng)絡(luò)設(shè)備（路由器、交換機(jī)等）、安全產(chǎn)品（防火墻、入侵檢測(cè)產(chǎn)品等）全部能夠造成網(wǎng)絡(luò)“千里之堤毀于蟻穴”。所以，需要網(wǎng)絡(luò)管理人員不停提升自己技術(shù)水平，查找多種相關(guān)資料，跟蹤最新網(wǎng)絡(luò)安全技術(shù)，防病毒技術(shù)等等，使安全之鑰掌握在自己手里。動(dòng)態(tài)監(jiān)控教授咨詢安全系統(tǒng)復(fù)雜性和安全產(chǎn)品多樣性造成很多時(shí)候企業(yè)并沒有能力處理網(wǎng)絡(luò)中出現(xiàn)全部包含安全產(chǎn)品問題。這需要安全產(chǎn)品生產(chǎn)廠商、軟件企業(yè)等定時(shí)提供網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析和針對(duì)新產(chǎn)品、新標(biāo)準(zhǔn)培訓(xùn)。提議在證券內(nèi)部成立專門網(wǎng)絡(luò)安全咨詢安全小組，由了解證券內(nèi)部結(jié)構(gòu)專業(yè)人士和專業(yè)網(wǎng)絡(luò)安全技術(shù)人員組成，同時(shí)動(dòng)態(tài)地監(jiān)控整個(gè)系統(tǒng)網(wǎng)絡(luò)安全情況，發(fā)覺異常立即處理。組成一個(gè)快捷有效應(yīng)急響應(yīng)小組，響應(yīng)小組能夠有選擇邀請(qǐng)中國(guó)、外部分網(wǎng)絡(luò)安全教授擔(dān)任特聘顧問，比如方正數(shù)碼安全教授等，方便在發(fā)生攻擊事件時(shí)在最短時(shí)間內(nèi)提供最有利支持。

證券內(nèi)聯(lián)網(wǎng)防火墻安全系統(tǒng)實(shí)施方案因?yàn)榇舜巫C券內(nèi)聯(lián)網(wǎng)防火墻安全子系統(tǒng)包含范圍廣，所以方正數(shù)碼企業(yè)將經(jīng)過全國(guó)授權(quán)服務(wù)商來為證券各地機(jī)構(gòu)提供當(dāng)?shù)鼗?wù)。同時(shí)，我們?cè)敢夂妥C券內(nèi)聯(lián)網(wǎng)工程建設(shè)系統(tǒng)集成商緊密合作。項(xiàng)目實(shí)施標(biāo)準(zhǔn)考慮到本項(xiàng)目是一個(gè)包含分布全省證券各級(jí)分支機(jī)構(gòu)且對(duì)參與技術(shù)支持單位及使用單位要求很高，所以我們認(rèn)為本項(xiàng)目應(yīng)在證券集中領(lǐng)導(dǎo)、協(xié)調(diào)，方正數(shù)碼企業(yè)全力支持情況下進(jìn)行，以上是本項(xiàng)目實(shí)施基礎(chǔ)思緒。協(xié)議簽署階段工作實(shí)施本階段應(yīng)是項(xiàng)目實(shí)施關(guān)鍵階段，證券和方正數(shù)碼企業(yè)雙方應(yīng)協(xié)調(diào)本方相關(guān)單位,為項(xiàng)目標(biāo)實(shí)際進(jìn)行建立起有效協(xié)調(diào)體系及最大程度地做好準(zhǔn)備工作。為達(dá)成上述目標(biāo)，雙方應(yīng)做以下工作：1．建立協(xié)調(diào)領(lǐng)導(dǎo)小組證券協(xié)調(diào)小組組成人員及聯(lián)絡(luò)表以下:證券項(xiàng)目組聯(lián)絡(luò)表部門人員責(zé)任分配聯(lián)絡(luò)方法項(xiàng)目總負(fù)責(zé)防火墻責(zé)任人系統(tǒng)及網(wǎng)絡(luò)部分責(zé)任人商務(wù)實(shí)施責(zé)任人…………說明：具體信息需證券提供。方正數(shù)碼企業(yè)協(xié)調(diào)小組組成人員及聯(lián)絡(luò)表以下:

2．方正數(shù)碼企業(yè)及授權(quán)服務(wù)商工作準(zhǔn)備首先方正數(shù)碼企業(yè)將防火墻發(fā)送到授權(quán)服務(wù)商處，組織服務(wù)商進(jìn)行項(xiàng)目培訓(xùn)并完成防火墻規(guī)則配置。最終發(fā)送到用戶現(xiàn)場(chǎng)，由方正數(shù)碼授權(quán)專業(yè)工程師安裝、調(diào)試，確保系統(tǒng)平穩(wěn)過渡，確保系統(tǒng)安全。發(fā)貨階段實(shí)施1.證券負(fù)責(zé)：提供本方使用單位具體信息，所需信息列表以下:用戶分布及聯(lián)絡(luò)表項(xiàng)目分區(qū)區(qū)轄地市責(zé)任人工程師聯(lián)絡(luò)方法地址提議安裝次序配置總部營(yíng)業(yè)部XX市XX市說明：具體信息需證券用戶在到貨前提供。為使安裝、測(cè)試、發(fā)貨工作愈加好地實(shí)施，上表應(yīng)在協(xié)議簽署階段向方正數(shù)碼企業(yè)提供。

2.方正數(shù)碼企業(yè)

為做到發(fā)貨清楚、正確，方正數(shù)碼企業(yè)將在設(shè)備包裝箱上做出顯著標(biāo)示。標(biāo)簽樣本以下：

項(xiàng)目名稱：項(xiàng)目名稱：接收單位名稱：地址：聯(lián)絡(luò)人：電話：防火墻型號(hào)：到貨后工作實(shí)施1.證券組織地市分部人員在大區(qū)部集中培訓(xùn)（在大區(qū)部準(zhǔn)備培訓(xùn)環(huán)境）。2.方正數(shù)碼企業(yè)協(xié)調(diào)服務(wù)商配合證券大區(qū)部組織培訓(xùn)。測(cè)試及驗(yàn)收測(cè)試及驗(yàn)收描述在整個(gè)項(xiàng)目實(shí)施過程中，有3個(gè)關(guān)鍵驗(yàn)收，它們是單點(diǎn)驗(yàn)收、初驗(yàn)和終驗(yàn)。下面是這三個(gè)驗(yàn)收經(jīng)過描述：沒有出現(xiàn)雙方認(rèn)可因?yàn)榘踩a(chǎn)品設(shè)備造成全網(wǎng)不可恢復(fù)癱瘓；沒有出現(xiàn)雙方認(rèn)可因?yàn)榘踩a(chǎn)品設(shè)備造成單點(diǎn)不可恢復(fù)癱瘓；在試運(yùn)行期間處理了初驗(yàn)遺留相關(guān)設(shè)備關(guān)鍵技術(shù)問題及試運(yùn)行期間出現(xiàn)相關(guān)設(shè)備關(guān)鍵技術(shù)問題。驗(yàn)收項(xiàng)目經(jīng)過不經(jīng)過驗(yàn)收人硬件加電開啟無異常聲響系統(tǒng)自檢過程無錯(cuò)誤提醒信息防火墻必備功效測(cè)試防火墻關(guān)鍵性能測(cè)試防火墻管理測(cè)試方正數(shù)碼工程師 用戶代表（簽字） （簽字）日期： 日期：證券內(nèi)聯(lián)網(wǎng)防火墻系統(tǒng)培訓(xùn)培訓(xùn)目標(biāo)掌握網(wǎng)絡(luò)安全基礎(chǔ)知識(shí)掌握產(chǎn)品工作原理能熟練操作配置系統(tǒng)能進(jìn)行日常維護(hù)能熟練地依據(jù)業(yè)務(wù)需要進(jìn)行一定系統(tǒng)調(diào)整。培訓(xùn)課程網(wǎng)絡(luò)基礎(chǔ)網(wǎng)絡(luò)安全基礎(chǔ)防火墻實(shí)施和使用防火墻規(guī)則配置分析培訓(xùn)方法理論講課、上機(jī)實(shí)習(xí)。培訓(xùn)時(shí)長(zhǎng)4個(gè)工作日/場(chǎng)次培訓(xùn)地點(diǎn)在證券大區(qū)部集中培訓(xùn)，地點(diǎn)由證券總部或大區(qū)部指定并提供培訓(xùn)場(chǎng)所。培訓(xùn)人數(shù)以證券地市支部為基礎(chǔ)單位，每支部參與培訓(xùn)人數(shù)1-2人。學(xué)員要求熟悉windows系統(tǒng)，含有基礎(chǔ)網(wǎng)絡(luò)知識(shí)，熟悉路由器、交換機(jī)、集線器等基礎(chǔ)網(wǎng)絡(luò)設(shè)備。有組建簡(jiǎn)單局域網(wǎng)絡(luò)能力。有組建簡(jiǎn)單TCP/IP網(wǎng)絡(luò)能力。（有防火墻這類安全產(chǎn)品使用經(jīng)驗(yàn)者更佳）

方正方御防火墻技術(shù)支持和服務(wù)方正數(shù)碼綠色服務(wù)體系結(jié)構(gòu)介紹方正數(shù)碼以北京為關(guān)鍵，在全國(guó)范圍內(nèi)建設(shè)三層結(jié)構(gòu)技術(shù)支持及售后服務(wù)體系，為用戶提供全方位服務(wù)。授權(quán)服務(wù)商授權(quán)服務(wù)商大區(qū)平臺(tái)方正數(shù)碼用戶技術(shù)支持技術(shù)支持技術(shù)支持技術(shù)培訓(xùn)技術(shù)培訓(xùn)技術(shù)支持方正數(shù)碼安全產(chǎn)品技術(shù)支持中心（TechnicalSupportCenter）是第三層服務(wù)：方正數(shù)碼安全產(chǎn)品技術(shù)支持中心，是三層結(jié)構(gòu)售后服務(wù)體系服務(wù)管理中心和技術(shù)支持關(guān)鍵。作為技術(shù)支持關(guān)鍵，技術(shù)支持中心幫助向用戶提供完善售后服務(wù)，幫助處理第一層、第二層技術(shù)支持服務(wù)不能處理問題，確保防火墻在用戶網(wǎng)絡(luò)上正常運(yùn)行。技術(shù)支持中心提供服務(wù)熱線（），能夠進(jìn)行遠(yuǎn)程診療，處理用戶和第一、第二層技術(shù)支持服務(wù)電話咨詢。技術(shù)支持中心提供在線服務(wù)，為用戶提供產(chǎn)品信息相關(guān)公布，產(chǎn)品升級(jí)服務(wù)、產(chǎn)品在線技術(shù)支持（E-mail、Web論壇）、產(chǎn)品資料文檔下載服務(wù)。技術(shù)支持中心為第一層和第二層技術(shù)支持服務(wù)提供產(chǎn)品培訓(xùn)，幫助其掌握產(chǎn)品信息、產(chǎn)品特征和產(chǎn)品實(shí)施和使用。技術(shù)支持中心還提供產(chǎn)品遠(yuǎn)程調(diào)試服務(wù)，當(dāng)?shù)谝粚雍偷诙蛹夹g(shù)支持服務(wù)不能處理用戶問題時(shí)，能夠在得到用戶授權(quán)后經(jīng)過產(chǎn)品遠(yuǎn)程調(diào)試接口直接提供技術(shù)支持。技術(shù)支持中心制訂產(chǎn)品售后服務(wù)策略，提供售后服務(wù)作業(yè)指導(dǎo)文檔，幫助第一、第二層服務(wù)支持機(jī)構(gòu)完成產(chǎn)品實(shí)施、售后支持服務(wù)全部過程。方正數(shù)碼安全產(chǎn)品大區(qū)平臺(tái)是第二層服務(wù)：方正數(shù)碼大區(qū)平臺(tái)是方正數(shù)碼關(guān)鍵銷售和技術(shù)支持中心，它能夠提供方正方御防火墻售前、售后各項(xiàng)支持。方正數(shù)碼安全產(chǎn)品大區(qū)平臺(tái)技術(shù)支持中心每個(gè)技術(shù)支持工程師，全部經(jīng)過方正數(shù)碼專業(yè)化學(xué)習(xí)和培訓(xùn)，擁有一流技術(shù)和一流敬業(yè)精神，支持第一層技術(shù)支持機(jī)構(gòu)進(jìn)行產(chǎn)品技術(shù)支持和服務(wù)。方正數(shù)碼安全產(chǎn)品授權(quán)服務(wù)商是第一層服務(wù)：方正數(shù)碼為每個(gè)方正方御防火墻授權(quán)服務(wù)商全部提供了標(biāo)準(zhǔn)化、專業(yè)化技術(shù)支持培訓(xùn)和嚴(yán)格上崗認(rèn)證和服務(wù)授權(quán)，逐步形成當(dāng)?shù)鼗?wù)網(wǎng)絡(luò)。技術(shù)服務(wù)當(dāng)?shù)鼗?，使遍布全?guó)用戶全部能享受到親切和便捷技術(shù)支持服務(wù)。授權(quán)服務(wù)商技術(shù)支持人員直接面向最終用戶，關(guān)鍵負(fù)責(zé)當(dāng)?shù)睾拖噜弲^(qū)域產(chǎn)品售后支持服務(wù)，為用戶提供上門服務(wù)，包含產(chǎn)品實(shí)施、診療、維修和保駕等。授權(quán)服務(wù)商技術(shù)支持人員根據(jù)服務(wù)步驟文檔和作業(yè)指導(dǎo)書規(guī)范向用戶提供服務(wù)，并向方正數(shù)碼技術(shù)支持中心返回用戶信息（用戶電話和其它聯(lián)絡(luò)方法、產(chǎn)品序號(hào)、產(chǎn)品實(shí)施網(wǎng)絡(luò)拓?fù)鋱D等），方便于方正數(shù)碼對(duì)用戶進(jìn)行定時(shí)回訪。完善技術(shù)支持和服務(wù)方正數(shù)碼對(duì)安全產(chǎn)品提供售前、售后等服務(wù)，全方面幫助代理商、服務(wù)商和最終用戶快速、方便使用方正數(shù)碼安全產(chǎn)品，而且提供多個(gè)服務(wù)包，滿足不一樣用戶特殊需求，以達(dá)成幫助用戶實(shí)現(xiàn)網(wǎng)絡(luò)安全目標(biāo)。我們服務(wù)按時(shí)間劃分為：售前階段：售前階段是指從取得用戶需求到安全產(chǎn)品第一次安裝。在這個(gè)階段我們售前工程師會(huì)分析用戶需求、設(shè)計(jì)方案、方案測(cè)試及安裝、部署網(wǎng)絡(luò)安全產(chǎn)品，直至用戶滿意并簽署驗(yàn)收匯報(bào)。售后階段：從用戶購(gòu)置我們安全產(chǎn)品開始，我們售后工程師會(huì)幫助用戶處理使用中碰到多種問題。售前服務(wù)內(nèi)容技術(shù)咨詢：假如用戶或代理商在網(wǎng)絡(luò)安全方面有疑問或需要幫助能夠撥打熱線電話咨詢，技術(shù)咨詢熱線將解答相關(guān)網(wǎng)絡(luò)安全方面疑問。售前技術(shù)培訓(xùn)：提供防火墻及安全產(chǎn)品售前技術(shù)培訓(xùn)，讓代理商、授權(quán)服務(wù)商和用戶了解網(wǎng)絡(luò)安全相關(guān)信息和知識(shí)，熟悉方正數(shù)碼產(chǎn)品，能夠使用方正數(shù)碼產(chǎn)品構(gòu)建網(wǎng)絡(luò)安全處理方案。分析用戶需求：當(dāng)用戶提供了需求說明后，工程師會(huì)認(rèn)真分析用戶需求，為用戶提供最有效、最實(shí)用安全方案。設(shè)計(jì)處理方案：在分析用戶需求后，幫助用戶設(shè)計(jì)一套多層次、多角度、易實(shí)施、全方面網(wǎng)絡(luò)安全處理方案。方案部署實(shí)施：用戶購(gòu)置了方正方御安全產(chǎn)品后，幫助用戶根據(jù)設(shè)計(jì)方案部署、實(shí)施。售前服務(wù)步驟設(shè)備驗(yàn)收應(yīng)該在用戶設(shè)備到位后5個(gè)工作日內(nèi)完成。其中用戶信息包含：產(chǎn)品序號(hào)、產(chǎn)品序列號(hào)、單位名稱、網(wǎng)絡(luò)名稱、地址、聯(lián)絡(luò)人、電話（座機(jī)、手機(jī)）、Email地址、實(shí)施網(wǎng)絡(luò)圖等其它和用戶保修相關(guān)信息。用戶會(huì)經(jīng)過電話和Email形式得到方正數(shù)碼返回服務(wù)號(hào)，以確保用戶能享受方正數(shù)碼提供售后服務(wù)。售后服務(wù)內(nèi)容技術(shù)培訓(xùn):為了讓用戶能夠愈加好架構(gòu)自己網(wǎng)絡(luò)安全系統(tǒng)，方正數(shù)碼培訓(xùn)中心提供網(wǎng)絡(luò)基礎(chǔ)、防火墻知識(shí)及網(wǎng)絡(luò)安全培訓(xùn)。培訓(xùn)課程包含網(wǎng)絡(luò)基礎(chǔ)、網(wǎng)絡(luò)安全基礎(chǔ)、防火墻實(shí)施和使用和防火墻規(guī)則配置分析。假如用戶經(jīng)過了方正數(shù)碼培訓(xùn)中心防火墻及網(wǎng)絡(luò)安全工程師認(rèn)證考試，能夠取得方正數(shù)碼網(wǎng)絡(luò)安全工程師認(rèn)證證書。產(chǎn)品培訓(xùn):為了確保用戶能夠輕松、快速、正確使用我們產(chǎn)品，方正數(shù)碼培訓(xùn)中心提供安全產(chǎn)品使用、維修培訓(xùn)。系統(tǒng)加固：通常企業(yè)在網(wǎng)絡(luò)安全方面沒有專業(yè)知識(shí)和技能，為此方正數(shù)碼能夠幫助用戶檢測(cè)網(wǎng)絡(luò)系統(tǒng)安全強(qiáng)度，并幫助用戶填補(bǔ)安全上現(xiàn)存漏洞，提升用戶網(wǎng)絡(luò)安全等級(jí)，增強(qiáng)網(wǎng)絡(luò)系統(tǒng)安全性。用戶意見處理：我企業(yè)一直認(rèn)為用戶提出意見和提議是推進(jìn)我們前進(jìn)動(dòng)力之一，為此我們會(huì)立即、快速地處理用戶意見和提議，將其分類、匯總并記入我們數(shù)據(jù)庫，方便于我們不停地對(duì)產(chǎn)品進(jìn)行改善和完善。用戶可經(jīng)過熱線電話010－68419468或Email:反應(yīng)意見和提議。產(chǎn)品答疑：假如用戶在產(chǎn)品使用過程中有任何問題能夠撥打我們熱線電話或給我們發(fā)電子郵件，我們會(huì)在第一時(shí)間解答您疑問。故障診療：當(dāng)我們產(chǎn)品出現(xiàn)故障時(shí)，用戶能夠經(jīng)過我們熱線電話通知我們，我們能夠提供包含電話指導(dǎo)、上門服務(wù)等形式幫助用戶診療故障并快速處理。版本升級(jí)：我們會(huì)不定時(shí)地提供防火墻內(nèi)核及入侵檢測(cè)庫升級(jí)包，用戶能夠經(jīng)過我們網(wǎng)站（.）下載升級(jí)包，升級(jí)自己防火墻。保修服務(wù)：方正數(shù)碼對(duì)方正方御防火墻網(wǎng)絡(luò)安全產(chǎn)品承諾為期三年無償保修。無償保修期后，方正數(shù)碼仍然提供完善服務(wù)來確保用戶系統(tǒng)正常運(yùn)行。售后服務(wù)步驟為愈加好地向用戶提供方正方御防火墻服務(wù)，方正數(shù)碼提供了金牌服務(wù)、銀牌服務(wù)、一般服務(wù)三個(gè)不一樣檔次服務(wù)包供用戶挑選。對(duì)于購(gòu)置了這三種服務(wù)包用戶方正數(shù)碼將根據(jù)服務(wù)包內(nèi)容愈加好為用戶服務(wù)。金牌服務(wù)：為愈加好向用戶提供方正方御防火墻服務(wù)，方正數(shù)碼提供了金牌服務(wù)包，它包含安裝服務(wù)、維修服務(wù)、保駕服務(wù)（4次）、備機(jī)使用、應(yīng)急響應(yīng)服務(wù)等服務(wù)內(nèi)容。銀牌服務(wù)：用戶能夠購(gòu)置方正數(shù)碼提供銀牌服務(wù)包，它包含安裝服務(wù)、維修服務(wù)、保駕服務(wù)（4次）、備機(jī)使用等服務(wù)內(nèi)容。一般服務(wù)：方正數(shù)碼還提供了一般服務(wù)包，它包含安裝服務(wù)、維修服務(wù)、保駕服務(wù)（4次）等服務(wù)內(nèi)容。服務(wù)方法電話支持(周一至周五9:00-18:00，節(jié)假日除外)：用戶在使用本企業(yè)網(wǎng)絡(luò)安全產(chǎn)品時(shí)如碰到問題，不管是軟件，硬件或是網(wǎng)絡(luò)，全部能夠從方正數(shù)碼得到電話支持（），用戶能夠指定一名關(guān)鍵聯(lián)絡(luò)人及兩名替補(bǔ)聯(lián)絡(luò)人和方正數(shù)碼技術(shù)支持中心聯(lián)絡(luò)。一旦接到用戶請(qǐng)求電話，方正數(shù)碼技術(shù)人員將在要求時(shí)間內(nèi)經(jīng)過電話處理或回復(fù)用戶問題。對(duì)于非工作日接到故障電話，最遲將在下一個(gè)工作日響應(yīng)。在線支持：HYPERLINK.是一個(gè)網(wǎng)絡(luò)安全專題網(wǎng)站，其中包含方正數(shù)碼網(wǎng)絡(luò)安全系列產(chǎn)品信息、網(wǎng)絡(luò)安全多種攻防信息、最新網(wǎng)絡(luò)安全資料、用戶常常提出問題及解答、網(wǎng)絡(luò)安全產(chǎn)品版本內(nèi)升級(jí)程序、補(bǔ)丁程序和其它對(duì)用戶處理技術(shù)問題有幫助信息。Website天天更新，用戶能夠經(jīng)過Internet實(shí)時(shí)讀取相關(guān)信息?，F(xiàn)場(chǎng)支持(周一至周五9:00-18:00，節(jié)假日除外)：對(duì)于經(jīng)過電話無法處理問題，方正數(shù)碼或授權(quán)服務(wù)中心將派出工程師到用戶現(xiàn)場(chǎng)為用戶提供現(xiàn)場(chǎng)產(chǎn)品調(diào)試服務(wù)，確保網(wǎng)絡(luò)安全產(chǎn)品在用戶網(wǎng)絡(luò)上正常運(yùn)行。服務(wù)監(jiān)督為了向您提供更優(yōu)質(zhì)售后服務(wù)，保護(hù)您權(quán)益，假如在我們承諾服務(wù)范圍內(nèi)您對(duì)我企業(yè)網(wǎng)絡(luò)安全產(chǎn)品技術(shù)支持中心或授權(quán)維修中心提供服務(wù)有異議時(shí)，我企業(yè)歡迎您對(duì)我們工作進(jìn)行監(jiān)督，我們將以最快速度給您一個(gè)滿意回復(fù)。投訴熱線：傳真： E-mail：HYPERLINKmailto:網(wǎng)站：HYPERLINK.信函：100089北京市海淀區(qū)西三環(huán)北路27號(hào)北科大廈4層方正數(shù)碼網(wǎng)絡(luò)安全產(chǎn)品技術(shù)支持中心

方正方御防火墻成功案例鞍山市商業(yè)銀行應(yīng)用案例鞍山市商業(yè)銀行需求分析關(guān)鍵保護(hù)兩臺(tái)互為備份RS/6000服務(wù)器和一臺(tái)WindowsNT服務(wù)器。因?yàn)檫@兩臺(tái)互為備份RS/6000服務(wù)器會(huì)有大量用戶訪問，所以要確保網(wǎng)絡(luò)流量，即新增安全產(chǎn)品不能成為網(wǎng)絡(luò)瓶頸。在管理上，使用集中式管理能夠方便快捷，并能夠簡(jiǎn)化管理員工作，提升工作效率。網(wǎng)絡(luò)中心拓?fù)浣Y(jié)構(gòu)：系統(tǒng)安全目標(biāo)保護(hù)鞍山市商業(yè)銀行RS/6000和NT服務(wù)器正常運(yùn)轉(zhuǎn)，避免惡意攻擊、破壞，關(guān)鍵數(shù)據(jù)庫數(shù)據(jù)，預(yù)防被竊取、修改、破壞安全體系結(jié)構(gòu)首先需要使用方正方御防火墻作為網(wǎng)絡(luò)安全屏障來和其它網(wǎng)絡(luò)進(jìn)行隔離，這么能夠預(yù)防其它網(wǎng)絡(luò)非法用戶非法侵害；對(duì)于IDS系統(tǒng)方正方御防火墻里已經(jīng)內(nèi)置了一套網(wǎng)絡(luò)IDS系統(tǒng)。整個(gè)安全系統(tǒng)結(jié)構(gòu)能夠總結(jié)為：多層隔離、實(shí)時(shí)監(jiān)控、立體防護(hù)、集中管理。安全系統(tǒng)實(shí)施我們提出了處理需求所要使用到安全模塊，關(guān)鍵由防火墻來對(duì)網(wǎng)絡(luò)上入侵、攻擊和異常行為進(jìn)行阻擋。使用方正方御防火墻作為系統(tǒng)安全屏障。具體實(shí)施以下圖所表示：拓?fù)溥B接如上圖所表示，在訪問線路上添加方正方御防火墻，防火墻設(shè)置為橋接模式，不需要給內(nèi)、外部接口配置IP地址，將防火墻外部接口使用直連線和交換連接，將防火墻內(nèi)部接口使用直連線（交叉線）和RS/6000和NT服務(wù)器相連接即可。整個(gè)安全實(shí)施，除了增加防火墻外，不需要在購(gòu)置其它網(wǎng)絡(luò)設(shè)備，同時(shí)也不需要改動(dòng)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，在實(shí)施上很方便。（用戶聯(lián)絡(luò)方法：于家禧，）沈陽建設(shè)銀行安全應(yīng)用實(shí)例沈陽建設(shè)銀行需求分析保護(hù)沈陽建行網(wǎng)絡(luò)系統(tǒng)，確保各項(xiàng)業(yè)務(wù)正常運(yùn)行，預(yù)防非法行為侵犯和病毒破壞。因?yàn)楝F(xiàn)在沈陽建行沒有采取安全保護(hù)方法，使得自己業(yè)務(wù)系統(tǒng)完全暴露在網(wǎng)絡(luò)環(huán)境中，所以輕易受到黑客和不法人員侵害，所以應(yīng)該實(shí)施一套完整安全方案來保護(hù)業(yè)務(wù)網(wǎng)絡(luò)，同時(shí)因?yàn)殂y行天天全部有大量數(shù)據(jù)經(jīng)過網(wǎng)絡(luò)，所以要確保網(wǎng)絡(luò)流量，即新增安全產(chǎn)品不能成為網(wǎng)絡(luò)瓶頸。在管理上，使用集中式管理能夠方便快捷，并能夠簡(jiǎn)化管理員工作，提升工作效率。從安全角度來看，復(fù)雜、分散管理方法在安全上是存在很大隱患和漏洞，使用集中管理也是提升安全等級(jí)一項(xiàng)關(guān)鍵內(nèi)容。網(wǎng)絡(luò)關(guān)鍵安全風(fēng)險(xiǎn)和漏洞:數(shù)據(jù)庫數(shù)據(jù)會(huì)受到黑客竊取、破壞和病毒破壞系統(tǒng)信息會(huì)受到黑客竊取、破壞和病毒破壞服務(wù)正常運(yùn)行會(huì)受到黑客攻擊、破壞和病毒破壞網(wǎng)絡(luò)中心拓?fù)浣Y(jié)構(gòu)：從上圖中能夠看出，現(xiàn)在沈陽建行網(wǎng)絡(luò)比較復(fù)雜，設(shè)備眾多，型號(hào)也很多，首先在管理上很不方便，其次從安全性角度講，它使得網(wǎng)絡(luò)安全等級(jí)也降低了，所以我們需要簡(jiǎn)化網(wǎng)絡(luò)結(jié)構(gòu)，并對(duì)網(wǎng)絡(luò)進(jìn)行集中管理。系統(tǒng)安全目標(biāo)目標(biāo)是：保護(hù)沈陽建設(shè)銀行內(nèi)部網(wǎng)絡(luò)計(jì)算機(jī)系統(tǒng)正常運(yùn)轉(zhuǎn)，避免惡意攻擊、破壞；關(guān)鍵數(shù)據(jù)庫數(shù)據(jù)，預(yù)防被竊取、修改、破壞。用戶安全需求分析安全性網(wǎng)絡(luò)環(huán)境、操作系統(tǒng)和數(shù)據(jù)安全性現(xiàn)在這個(gè)網(wǎng)絡(luò)環(huán)境直接暴露，是處于很不安全狀態(tài)，所以我們需要用防火墻來隔離沈陽建行內(nèi)部生產(chǎn)網(wǎng)絡(luò)，保護(hù)多種業(yè)務(wù)服務(wù)器，其中包含AS/400等關(guān)鍵業(yè)務(wù)機(jī)。因?yàn)榉阑饓δ軌蜃钃鹾诳凸粜袨楹彤惓＞W(wǎng)絡(luò)事件，這么能夠保護(hù)我們網(wǎng)絡(luò)環(huán)境、網(wǎng)絡(luò)中計(jì)算機(jī)操作系統(tǒng)和數(shù)據(jù)。防火墻是網(wǎng)絡(luò)安全第一道屏障，單有防火墻是不能進(jìn)行全方面保護(hù)，我們還需要入侵監(jiān)測(cè)系統(tǒng)（IDS）來對(duì)黑客攻擊進(jìn)行報(bào)警和自動(dòng)防范。高效性因?yàn)樘焯煊写罅啃畔⒃L問要保護(hù)生產(chǎn)系統(tǒng)服務(wù)器，這就要求網(wǎng)絡(luò)擁有很高數(shù)據(jù)吞吐能力，也就意味著網(wǎng)絡(luò)安全產(chǎn)品不能對(duì)網(wǎng)絡(luò)流量造成影響。而現(xiàn)在傳統(tǒng)防火墻動(dòng)輒造成15%以上效率損失相比，這就造成了一個(gè)矛盾。方正方御防火墻充足考慮了用戶對(duì)效率重視性，擁有足以自豪數(shù)據(jù)吞吐能力。在500條規(guī)則以下應(yīng)用（占全部應(yīng)用95%以上）中，基礎(chǔ)不影響網(wǎng)絡(luò)傳輸，有絕正確優(yōu)勢(shì)?？蓴U(kuò)展性銀行是中國(guó)關(guān)鍵金融機(jī)構(gòu)，新業(yè)務(wù)會(huì)不停開展，同時(shí)也會(huì)應(yīng)用大量新技術(shù)新設(shè)備，同時(shí)網(wǎng)絡(luò)發(fā)展日新月異，所以網(wǎng)絡(luò)擴(kuò)展性好壞關(guān)系到以后企業(yè)發(fā)展。這就要求在網(wǎng)絡(luò)建設(shè)時(shí)留余地。這么不會(huì)因?yàn)楝F(xiàn)在投資給未來網(wǎng)絡(luò)發(fā)展和升級(jí)帶來影響。易用性（管理控制）不易使用安全系統(tǒng)是不安全。充斥著英文術(shù)語管理界面會(huì)大大增加系統(tǒng)管理人員工作量，也輕易造成不應(yīng)有漏洞出現(xiàn)或安全策略僵化。易用性關(guān)鍵包含：要界面清楚易懂管理集中方便安全性時(shí)實(shí)監(jiān)控完善服務(wù)體制網(wǎng)絡(luò)安全實(shí)施還需要完善服務(wù)體制來保障，通常企業(yè)不是專業(yè)網(wǎng)絡(luò)安全企業(yè)，安全是動(dòng)態(tài)過程，今天安全系統(tǒng)明天就可能不安全，這就要求提供安全方案企業(yè)有優(yōu)異服務(wù)體制進(jìn)行跟蹤服務(wù)。需要有一支專業(yè)網(wǎng)絡(luò)安全隊(duì)伍來幫助企業(yè)處理相關(guān)安全問題。再嚴(yán)密系統(tǒng)也可能出現(xiàn)漏洞，當(dāng)緊急事件發(fā)生時(shí)，能不能在最短時(shí)間內(nèi)取得緊急響應(yīng)服務(wù)常常決定了損失大小，而且這種時(shí)候，需要是極其專業(yè)服務(wù)，沒有強(qiáng)大開發(fā)實(shí)力企業(yè)是無法滿足這種需求，而在中國(guó)沒有開發(fā)部門國(guó)外著名企業(yè)則往往鞭長(zhǎng)莫及。安全體系結(jié)構(gòu)經(jīng)過前面分析，用戶首先需要使用防火墻作為網(wǎng)絡(luò)安全屏障來和其它網(wǎng)絡(luò)進(jìn)行隔離，這么能夠預(yù)防其它網(wǎng)絡(luò)非法用戶非法侵害，在這里我們提議使用方正數(shù)碼方正方御防火墻。作為網(wǎng)絡(luò)安全必備第二道警戒線我們需要部署IDS（入侵監(jiān)測(cè)系統(tǒng)），IDS系統(tǒng)關(guān)鍵包含網(wǎng)絡(luò)IDS、主機(jī)IDS等部分，對(duì)于IDS系統(tǒng)方正方御防火墻里已經(jīng)內(nèi)置了一套網(wǎng)絡(luò)IDS系統(tǒng)。同時(shí)要在網(wǎng)絡(luò)中部署一套網(wǎng)絡(luò)防病毒系統(tǒng)，以達(dá)成對(duì)病毒防御。因?yàn)榉阑饓κ蔷W(wǎng)絡(luò)中關(guān)鍵設(shè)備之一，有時(shí)候部分不可預(yù)見原因可能會(huì)使防火墻出現(xiàn)故障而造成網(wǎng)絡(luò)不通暢或安全性失效，所以我們要采取雙機(jī)熱備方案，提升安全可靠性。另外需要我們注意是加入數(shù)據(jù)備份產(chǎn)品，來保護(hù)數(shù)據(jù)庫。安全體系結(jié)構(gòu)圖：安全處理方案體系所使用模塊：防火墻（方正方御防火墻）IDS（ISS產(chǎn)品）病毒模塊（KiLL網(wǎng)絡(luò)防毒產(chǎn)品）網(wǎng)絡(luò)冗余數(shù)據(jù)備份整個(gè)安全系統(tǒng)結(jié)構(gòu)能夠總結(jié)為：多層隔離、實(shí)時(shí)監(jiān)控、立體防護(hù)、集中管理。安全系統(tǒng)實(shí)施經(jīng)過上面對(duì)需求分析，我們提出了處理需求所要使用到安全模塊，關(guān)鍵由防火墻來對(duì)網(wǎng)絡(luò)上入侵、攻擊和異常行為進(jìn)行阻擋。使用方正數(shù)碼方御防火墻作為系統(tǒng)安全屏障。具體實(shí)施以下圖所表示：拓?fù)浣Y(jié)構(gòu)如上圖所表示，在訪問線路上添加方御防火墻雙機(jī)熱備方案，防火墻設(shè)置為橋接模式，不需要給內(nèi)、外部接口配置IP地址，將防火墻外部接口使用直連線和交換機(jī)連接，將防火墻內(nèi)部接口使用直連線和相連接即可。在網(wǎng)絡(luò)主交換機(jī)上安裝一臺(tái)帶有IDS系統(tǒng)計(jì)算機(jī)，作為第二道安全防護(hù)屏障，同時(shí)在每臺(tái)計(jì)算機(jī)上安裝Kill網(wǎng)絡(luò)版防病毒模塊和E-trust單機(jī)版IDS模塊。作為防御病毒屏障。對(duì)于數(shù)據(jù)備份系統(tǒng)，對(duì)應(yīng)數(shù)據(jù)庫全部提供備份措施，也能夠使用磁帶機(jī)等。整個(gè)安全實(shí)施，除了增加防火墻和防病毒模塊外，不需要在購(gòu)置其它網(wǎng)絡(luò)設(shè)備，在實(shí)施上很方便。（用戶聯(lián)絡(luò)方法：孫文革，）部分方正方御防火墻用戶名單金融：中國(guó)人民銀行遼寧鞍山商業(yè)銀行遼寧葫蘆島商業(yè)銀行沈陽市建設(shè)銀行新疆中國(guó)銀行湖北建設(shè)銀行山西農(nóng)業(yè)銀行河南工商銀行合肥商業(yè)銀行深圳人保……電信：中國(guó)電信集團(tuán)總企業(yè)中國(guó)網(wǎng)通上海電信局北京電信局石家莊電信局西安市電信局……企業(yè)：北大方正科技電腦企業(yè)南京普天電子北京永輝國(guó)際集團(tuán)北京萬柳智能小區(qū)新紀(jì)元國(guó)際旅行社……網(wǎng)站：北京申奧網(wǎng)站上海OA365.COM上海在線7135.COM香港珠寶網(wǎng)……政府：北京市工商局南京市財(cái)政局上海浦東財(cái)政局廣東順德市勞動(dòng)局上海海關(guān)廣東鶴山電力局內(nèi)蒙包頭市工商局云南省政府辦公廳重慶市公安局南京市建委……教育及研究所：北京人類基因組北方研究中心山東財(cái)政學(xué)院合肥中醫(yī)大學(xué)上海南江教委河北邢臺(tái)師專中國(guó)教育網(wǎng)河北師大節(jié)點(diǎn)……廣電報(bào)業(yè)：湖南經(jīng)濟(jì)電視臺(tái)南京市廣電局揚(yáng)州市廣電局廣西柳州廣電局山東濟(jì)南廣電局山東聊城廣電寬帶網(wǎng)安徽日?qǐng)?bào)沈陽晚報(bào)揚(yáng)子晚報(bào)……

證券內(nèi)聯(lián)網(wǎng)防火墻安全子系統(tǒng)建設(shè)報(bào)價(jià)防火墻公開抱價(jià)表：產(chǎn)品名稱型號(hào)單價(jià)(元)方正方御防火墻FG-P82500.00方正方御防火墻FG-P106750.00方正方御防火墻FG-P121250.00

方正數(shù)碼聯(lián)絡(luò)方法方正數(shù)碼為確保此次人行網(wǎng)絡(luò)安全項(xiàng)目標(biāo)順利實(shí)施，特設(shè)置專題小組，專題小組聯(lián)絡(luò)人名單以下：張大箭劉峰周崢顧培梁誠(chéng)馬虔傳真： E-mail：HYPERLINKmailto:網(wǎng)站：HYPERLINK.信函：100089北京市海淀區(qū)西三環(huán)北路27號(hào)北科大廈4層方正數(shù)碼網(wǎng)絡(luò)安全產(chǎn)品技術(shù)支持中心

附錄一：授權(quán)服務(wù)商名單北京成思計(jì)算機(jī)系統(tǒng)技術(shù)聯(lián)絡(luò)人：郭子寶電話：地址：北京海淀區(qū)人大北路33號(hào)2號(hào)樓沁園公寓305室上海怡友華晨網(wǎng)絡(luò)系統(tǒng)集成有限責(zé)任企業(yè)聯(lián)絡(luò)人：沈逢權(quán)電話：地址：上海市江寧路212號(hào)廣州市金海晨科技聯(lián)絡(luò)人：劉華電話：地址：廣州市天河區(qū)龍口東路蓄能大廈1706南京南大瑞禾新科技聯(lián)絡(luò)人：李炯電話：地址：江蘇南京市珠江路370號(hào)7樓702室沈陽任君計(jì)算機(jī)企業(yè)聯(lián)絡(luò)人：楊玉慶電話：地址：沈陽市和平區(qū)南三好街頭75甲16號(hào)陜西研通信息工程聯(lián)絡(luò)人：羅永電話：地址：西安市雁塔路中段測(cè)繪路東口第一家山東山大華天科技股份聯(lián)絡(luò)人：郭東海電話：地址：濟(jì)南市千佛山路3號(hào)華天大廈成全部聯(lián)捷科技聯(lián)絡(luò)人：彭宇電話：地址：龍信大廈512號(hào)湖北偉博信息技術(shù)聯(lián)絡(luò)人：蕭輝電話：地址：武漢市臺(tái)北路195號(hào)聯(lián)合大廈1705室杭州頤和電腦聯(lián)絡(luò)人：王學(xué)東電話：地址：杭州市文三路352號(hào)內(nèi)蒙同方計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)聯(lián)絡(luò)人：周平電話：地址：呼和浩特市烏蘭察布西路163號(hào)鄭州偉鵬科技聯(lián)絡(luò)人：陳維鵬電話：地址：鄭州市文化路和東風(fēng)路交叉口歐洲花園米蘭座7層廣西運(yùn)通數(shù)據(jù)設(shè)備有限責(zé)任企業(yè)聯(lián)絡(luò)人：譚心電話：地址：廣西南寧市江南路17號(hào)國(guó)際金貿(mào)大廈4層深圳市金證科技股份聯(lián)絡(luò)人：余棕興電話：-2201地址：深圳福田區(qū)福華路322號(hào)文蔚大廈20-22層石家莊捷成網(wǎng)絡(luò)科技開發(fā)聯(lián)絡(luò)人：李敬梅電話：地址：石家莊體育南大街81號(hào)附1號(hào)湖南聯(lián)合網(wǎng)絡(luò)工程聯(lián)絡(luò)人：田天電話：地址：長(zhǎng)沙市五一東路60號(hào)省外貿(mào)大樓第26層合肥中方計(jì)算機(jī)工程有限責(zé)任企業(yè)聯(lián)絡(luò)人：壽志勤電話：地址：合肥市金寨路92號(hào)高科技廣場(chǎng)南2座23號(hào)重慶精業(yè)電子聯(lián)絡(luò)人：聞?wù)痣娫挘旱刂罚河逯萋?1號(hào)

附錄二：防御防火墻所獲證書

附件三：資格證實(shí)文件營(yíng)業(yè)執(zhí)照副本（復(fù)印件）財(cái)務(wù)匯報(bào)財(cái)務(wù)資料人民幣(元)

注冊(cè)資本：8，467，079.00

固定資產(chǎn)：7，304，035.46

流動(dòng)資產(chǎn)：28，092，299.33速動(dòng)資產(chǎn)：20，012，810