第一篇：51CTO下載-證券行業(yè)網(wǎng)絡(luò)安全解決方案

證券行業(yè)網(wǎng)絡(luò)安全解決方案

第一章 前言

以Internet為代表的全球性信息化浪潮日益深刻，信息網(wǎng)絡(luò)技術(shù)的應(yīng)用正日益普及和廣泛，應(yīng)用層次正在深入，應(yīng)用領(lǐng)域從傳統(tǒng)的、小型業(yè)務(wù)系統(tǒng)逐漸向大型、關(guān)鍵業(yè)務(wù)系統(tǒng)擴(kuò)展，典型的如政府部門業(yè)務(wù)系統(tǒng)、金融業(yè)務(wù)系統(tǒng)、教育科研系統(tǒng)等。與此同時(shí),這股強(qiáng)勁的Internet旋風(fēng)也以驚人的速度滲透到證券行業(yè)的各個(gè)方面。證券公司上網(wǎng),開展網(wǎng)上的交易委托業(yè)務(wù),同時(shí)宣傳自身的服務(wù),吸引更多的客戶;證交所上網(wǎng),發(fā)布實(shí)時(shí)的行情信息,提供專家股評(píng),向用戶提供上市公司信息;Internet進(jìn)入證券領(lǐng)域,為廣大的證券從業(yè)人員提供了更為廣泛的信息來(lái)源空間,提供了更為廣闊的施展才能的舞臺(tái);同時(shí),也為股民提供了一種更為靈活的獲取市場(chǎng)信息和進(jìn)行股票交易的方式.伴隨網(wǎng)絡(luò)的普及，安全日益成為影響網(wǎng)絡(luò)效能的瓶頸，而證券行業(yè)的網(wǎng)絡(luò)安全存在漏洞的狀況也是眾所周知的，多位信息安全領(lǐng)域的專家也對(duì)證券行業(yè)網(wǎng)絡(luò)的安全問(wèn)題提出了尖銳的批評(píng)，證券行業(yè)網(wǎng)絡(luò)的安全現(xiàn)狀已不能適應(yīng)證券業(yè)迅速發(fā)展的狀況。近幾年,不斷有證券行業(yè)網(wǎng)絡(luò)被“黑客”入侵,造成重大經(jīng)濟(jì)損失和惡劣影響的消息見諸報(bào)段.證券行業(yè)的網(wǎng)絡(luò)安全已經(jīng)成為擺在所有證券機(jī)構(gòu)和人員所要考慮的事情之一。FortiNet公司是一家從事網(wǎng)絡(luò)信息安全研究、產(chǎn)品開發(fā)的高科技術(shù)企業(yè)之一。是一家致力于國(guó)際信息安全產(chǎn)業(yè)發(fā)展的專業(yè)安全公司。FortiNet公司已成功開發(fā)出具有自主版權(quán)的安全產(chǎn)品：FortiGate系列防火墻。該產(chǎn)品是基于ASIC芯片的硬件防火墻，集成了網(wǎng)關(guān)級(jí)病毒檢測(cè)和內(nèi)容過(guò)濾功能。該安全產(chǎn)品已獲得公安部許可，同時(shí)獲得了ICSA的AntiVirus、IPSec和FireWall認(rèn)證。目前，這些安全產(chǎn)品都已廣泛應(yīng)用于金融、電信、教育等行業(yè)。并贏得用戶的廣泛贊譽(yù)。

第二章 網(wǎng)絡(luò)安全風(fēng)險(xiǎn)和應(yīng)對(duì)策略

2.1 安全風(fēng)險(xiǎn)

證券網(wǎng)絡(luò)系統(tǒng)的安全風(fēng)險(xiǎn)主要來(lái)自網(wǎng)絡(luò)設(shè)施物理特性的安全、網(wǎng)絡(luò)系統(tǒng)平臺(tái)的安全、網(wǎng)上交易的安全、數(shù)據(jù)存儲(chǔ)的安全。

2.1.1物理安全風(fēng)險(xiǎn)

? ? ? 由于水災(zāi)、火災(zāi)、雷擊、粉塵、靜電等突發(fā)性事故和環(huán)境污染造成網(wǎng)絡(luò)設(shè)施工作停滯

人為引起設(shè)備被盜、被毀或外界的電磁干擾使通信線路中斷

電子、電力設(shè)備本身固有缺陷和弱點(diǎn)及所處環(huán)境容易在人員誤操作或外界誘發(fā)下發(fā)生故障

2.1.2 系統(tǒng)安全風(fēng)險(xiǎn)

系統(tǒng)風(fēng)險(xiǎn)在三個(gè)方面：網(wǎng)絡(luò)系統(tǒng)、操作系統(tǒng)和應(yīng)用系統(tǒng)

? ? 網(wǎng)絡(luò)系統(tǒng)在設(shè)計(jì)實(shí)施不夠完善，例如缺乏正確路由、網(wǎng)絡(luò)的容量、帶寬估計(jì)不足、對(duì)證券系統(tǒng)局域網(wǎng)沒做劃分隔離以及關(guān)鍵網(wǎng)絡(luò)設(shè)備沒有冗余設(shè)計(jì)，一旦發(fā)生故障，將直接影響網(wǎng)絡(luò)系統(tǒng)安全。

網(wǎng)絡(luò)系統(tǒng)缺乏安全可靠的網(wǎng)絡(luò)通信協(xié)議和網(wǎng)絡(luò)安全設(shè)備，使網(wǎng)絡(luò)黑客容易利用網(wǎng)絡(luò)設(shè)計(jì)和協(xié)議漏洞進(jìn)行網(wǎng)絡(luò)攻擊和信息竊取，例如未經(jīng)授權(quán)非法訪問(wèn)證券系統(tǒng)內(nèi)部網(wǎng)絡(luò)、對(duì)電話網(wǎng)進(jìn)行監(jiān)聽、對(duì)系統(tǒng)的安全漏洞進(jìn)行探測(cè)掃描、遠(yuǎn)程登陸交易、行情服務(wù)器并對(duì)數(shù)據(jù)進(jìn)行篡改、對(duì)通信線路、服務(wù)器實(shí)施洪流攻擊造成線路涌塞和系統(tǒng)癱瘓等。

? 網(wǎng)絡(luò)操作系統(tǒng)，無(wú)論是windowsunixnetware各種商用操作系統(tǒng)，其國(guó)外開發(fā)商都留有后門（back door），目前每種操作系統(tǒng)都發(fā)現(xiàn)有安全漏洞，一旦被人發(fā)現(xiàn)利用將對(duì)整個(gè)證券網(wǎng)絡(luò)系統(tǒng)造成不可估量的損失。

? ? OA應(yīng)用系統(tǒng)的風(fēng)險(xiǎn)主要是涉及不同地區(qū)、不同部門的資源有限共享時(shí)被內(nèi)部人員不安全使用造成口令失竊、文電丟失泄密，以及在與外界進(jìn)行郵件往來(lái)時(shí)帶來(lái)病毒和黑客進(jìn)入的隱患。

針對(duì)業(yè)務(wù)系統(tǒng)（包括業(yè)務(wù)管理系統(tǒng)、業(yè)務(wù)服務(wù)系統(tǒng)）的威脅主要來(lái)自于內(nèi)、外界對(duì)業(yè)務(wù)系統(tǒng)非授權(quán)訪問(wèn)、系統(tǒng)管理權(quán)限喪失（由于用戶名、口令、IC卡等身份標(biāo)志泄漏）、使用不當(dāng)或外界攻擊引起系統(tǒng)崩潰、網(wǎng)絡(luò)病毒的傳播或其他原因造成系統(tǒng)損壞、系統(tǒng)開發(fā)遺留的安全漏洞等。

2.1.3 網(wǎng)上交易的安全風(fēng)險(xiǎn)

? ? ? ? ? ? ? 因特網(wǎng)是全球性公共網(wǎng)絡(luò)，并不由任何一個(gè)機(jī)構(gòu)所控制。數(shù)據(jù)在因特網(wǎng)上傳輸?shù)耐緩绞遣煌耆_定的。因特網(wǎng)本身并不是一個(gè)完全安全可靠的網(wǎng)絡(luò)環(huán)境。

在因特網(wǎng)上可能有人采用相似的名稱和外觀仿冒證券網(wǎng)站和服務(wù)器，用于騙取投資者的數(shù)據(jù)資料。

如果用于證實(shí)投資者身份的數(shù)字證書和口令被竊取，他人有可能仿冒投資者身份進(jìn)行交易委托和查詢。

在網(wǎng)上傳輸?shù)闹噶睢?shù)據(jù)有可能被某些個(gè)人、團(tuán)體或機(jī)構(gòu)通過(guò)某種渠道截取、篡改、重發(fā)。但他們并不一定能夠了解該數(shù)據(jù)的真實(shí)內(nèi)容。

由于網(wǎng)絡(luò)交易的非接觸性，交易雙方可能對(duì)交易結(jié)果進(jìn)行抵賴

在網(wǎng)上的數(shù)據(jù)傳輸可能因通信繁忙出現(xiàn)延遲，或因其它原因出現(xiàn)中斷、停頓或數(shù)據(jù)錯(cuò)誤，從而使得網(wǎng)上交易出現(xiàn)延遲、停頓或中斷。

網(wǎng)上發(fā)布的證券交易行情信息可能滯后，與真實(shí)情況不完全一致。

2.1.4 數(shù)據(jù)的安全風(fēng)險(xiǎn)

? ? ? 因內(nèi)、外因素造成數(shù)據(jù)庫(kù)系統(tǒng)管理失控或破壞使用戶的個(gè)人資料和業(yè)務(wù)數(shù)據(jù)遭到偷竊、復(fù)制、泄密、丟失，并且無(wú)法得到恢復(fù)

網(wǎng)絡(luò)病毒的傳播或其他原因造成存儲(chǔ)數(shù)據(jù)的丟失和損壞

網(wǎng)站發(fā)布的信息數(shù)據(jù)（包括分析、預(yù)測(cè)性資料）有可能被更改、刪除，給證券公司帶來(lái)?yè)p失。

2.2 安全策略

傳統(tǒng)的安全策略停留在局部、靜態(tài)的層面上，僅僅依靠幾項(xiàng)安全技術(shù)和手段達(dá)到整個(gè)系統(tǒng)的安全目的，現(xiàn)代的安全策略應(yīng)當(dāng)緊跟安全行業(yè)的發(fā)展趨勢(shì)，在進(jìn)行安全方案設(shè)計(jì)、規(guī)劃時(shí)，遵循以下原則：

（1）體系性：制定完整的安全體系，應(yīng)包括安全管理體系、安全技術(shù)體系和安全保障體系。

（2）系統(tǒng)性：安全模塊和設(shè)的引入應(yīng)該體現(xiàn)其系統(tǒng)統(tǒng)一到運(yùn)行和管理的特性，以確保安全策略配置、實(shí)施的正確性和一致性。應(yīng)該避免安全設(shè)備各自獨(dú)立配置和管理 的工作方式。

（3）層次性安全設(shè)計(jì)應(yīng)該按照相關(guān)應(yīng)用安全需求，在各個(gè)層次上采用的安全機(jī)制來(lái)實(shí)現(xiàn)所需的安全服務(wù)，從而達(dá)到網(wǎng)絡(luò)信息安全的目的。

（4）綜合性：網(wǎng)絡(luò)信息安全 的設(shè)計(jì)包括從完備性（并有一定冗余）、先進(jìn)性和可擴(kuò)展性方面的技術(shù)方案，以及根據(jù)技術(shù)管理、業(yè)務(wù)管理和行政管理要求相應(yīng)的安全管理方案，形成網(wǎng)絡(luò)安全工程設(shè)計(jì)整體方案，供工程分階段實(shí)施和安全系統(tǒng)運(yùn)行作為指導(dǎo)。（5）動(dòng)態(tài)性：由于網(wǎng)絡(luò)信息系統(tǒng)的建設(shè)和發(fā)展是逐步進(jìn)行的，而安全技術(shù)和產(chǎn)品也不斷更新和完善，因此，安全設(shè)計(jì)應(yīng)該在保護(hù)現(xiàn)有資源的基礎(chǔ)上，體現(xiàn)最新、最成熟的安全技術(shù)和產(chǎn)品，以滿足網(wǎng)絡(luò)安全系統(tǒng)安全目標(biāo)。

2.3 常用安全防范技術(shù)

? ? ? ? ? ? ? ? ? ? 網(wǎng)絡(luò)隔離技術(shù)

訪問(wèn)控制技術(shù)

加密技術(shù)

鑒別技術(shù)

數(shù)字簽名技術(shù)

入侵監(jiān)測(cè)技術(shù)

信息審計(jì)技術(shù)

安全評(píng)估技術(shù)

病毒防治技術(shù)

備份與恢復(fù)技術(shù)

第三章 證券網(wǎng)絡(luò)整體解決方案

3.1 安全體系

按照安全策略的要求及風(fēng)險(xiǎn)分析的結(jié)果，整個(gè)證券網(wǎng)絡(luò)安全措施應(yīng)根據(jù)證券網(wǎng)絡(luò)的行業(yè)特點(diǎn)，按照網(wǎng)絡(luò)安全的整體構(gòu)想來(lái)建立，具體的安全控制系統(tǒng)由以下幾方面組成：

3.2 物理安全

保證計(jì)算機(jī)信息系統(tǒng)各種設(shè)備的物理安全是整個(gè)計(jì)算機(jī)信息系統(tǒng)安全的前提。

物理安全是保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備、設(shè)施以及其它媒體免遭地震、水災(zāi)、火災(zāi)等環(huán)境事故以及人為操作失誤或錯(cuò)誤及各種計(jì)算機(jī)犯罪行為導(dǎo)致的破壞過(guò)程。它主要包括三個(gè)方面：

環(huán)境安全：對(duì)系統(tǒng)所在環(huán)境的安全保護(hù)，如區(qū)域保護(hù)和災(zāi)難保護(hù)；（參見國(guó)家標(biāo)準(zhǔn)GB50173－93《電子計(jì)算機(jī)機(jī)房設(shè)計(jì)規(guī)范》、國(guó)標(biāo)GB2887－89《計(jì)算站場(chǎng)地技術(shù)條件》、GB9361－88《計(jì)算站場(chǎng)地安全要求》）。

設(shè)備安全：主要包括設(shè)備的防盜、防毀、防電磁信息輻射泄漏、防止線路截獲、抗電磁干擾及電源保護(hù)等；

媒體安全：包括媒體數(shù)據(jù)的安全及媒體本身的安全。

3.3 系統(tǒng)安全

系統(tǒng)安全主要關(guān)注網(wǎng)絡(luò)系統(tǒng)、操作系統(tǒng)和應(yīng)用系統(tǒng)三個(gè)層次。

系統(tǒng)安全采用的技術(shù)和手段有冗余技術(shù)、網(wǎng)絡(luò)隔離技術(shù)、訪問(wèn)控制技術(shù)、身份鑒別技術(shù)、加密技術(shù)、監(jiān)控審計(jì)技術(shù)、安全評(píng)估技術(shù)等。

3.3.1 網(wǎng)絡(luò)系統(tǒng)

網(wǎng)絡(luò)系統(tǒng)安全是網(wǎng)絡(luò)的開放性、無(wú)邊界性、自由性造成，安全解決關(guān)鍵是把被保護(hù)的網(wǎng)絡(luò)從開放、無(wú)邊界、自由的環(huán)境中獨(dú)立出來(lái)，使網(wǎng)絡(luò)成為可控制、管理的內(nèi)部系統(tǒng)，由于網(wǎng)絡(luò)系統(tǒng)是應(yīng)用系統(tǒng)的基礎(chǔ)，網(wǎng)絡(luò)安全成為首要問(wèn)題，解決網(wǎng)絡(luò)安全主要方式有:

網(wǎng)絡(luò)冗余 解決網(wǎng)絡(luò)系統(tǒng)單點(diǎn)故障的重要措施，對(duì)關(guān)鍵性的網(wǎng)絡(luò)線路、設(shè)備我們通常采用雙備或多備份的方式，網(wǎng)絡(luò)運(yùn)行時(shí)雙方對(duì)運(yùn)營(yíng)狀態(tài)相互實(shí)時(shí)監(jiān)控并自動(dòng)調(diào)整，當(dāng)網(wǎng)絡(luò)的一段或一點(diǎn)發(fā)生故障或網(wǎng)絡(luò)信息流量突變時(shí)能在有效時(shí)間內(nèi)進(jìn)行切換分配，保證網(wǎng)絡(luò)正常的運(yùn)行。

系統(tǒng)隔離 分為物理隔離和邏輯隔離，主要從網(wǎng)絡(luò)安全等級(jí)考慮劃分合理的網(wǎng)絡(luò)安全邊界，使不同安全級(jí)別的網(wǎng)絡(luò)或信息媒介不能相互訪問(wèn)，從而達(dá)到安全目的。針對(duì)證券網(wǎng)絡(luò)系統(tǒng)特點(diǎn)一般把證券交易的業(yè)務(wù)系統(tǒng)網(wǎng)絡(luò)與內(nèi)部辦公網(wǎng)絡(luò)進(jìn)行嚴(yán)格的物理隔離，存儲(chǔ)媒介則根據(jù)重要程度嚴(yán)格區(qū)分并只能通過(guò)第三方進(jìn)行交換；對(duì)業(yè)務(wù)網(wǎng)絡(luò)或辦公網(wǎng)絡(luò)采用VLAN技術(shù)和通信協(xié)議實(shí)行邏輯隔離劃分不同的應(yīng)用子網(wǎng)。

訪問(wèn)控制 對(duì)于網(wǎng)絡(luò)不同信任域?qū)崿F(xiàn)雙向控制或有限訪問(wèn)原則，使受控的子網(wǎng)或主機(jī)訪問(wèn)權(quán)限和信息流向能得到有效控制。具體相對(duì)網(wǎng)絡(luò)對(duì)象而言需要解決網(wǎng)絡(luò)的邊界的控制和網(wǎng)絡(luò)內(nèi)部的控制，對(duì)于網(wǎng)絡(luò)資源來(lái)說(shuō)保持有限訪問(wèn)的原則，信息流向則可根據(jù)安全需求實(shí)現(xiàn)單向或雙向控制。訪問(wèn)控制最重要的設(shè)備就是防火墻，它一般安置在不同安全域出入口處，對(duì)進(jìn)出網(wǎng)絡(luò)的IP信息包進(jìn)行過(guò)濾并按企業(yè)安全政策進(jìn)行信息流控制，同時(shí)實(shí)現(xiàn)網(wǎng)絡(luò)地址轉(zhuǎn)換、實(shí)時(shí)信息審計(jì)告警等功能，高級(jí)防火墻還可實(shí)現(xiàn)基于用戶的細(xì)粒度的訪問(wèn)控制。證券系統(tǒng)的防火墻配置在證券公司交易系統(tǒng)與公網(wǎng)的交界處（包括INTERNET、系統(tǒng)內(nèi)部廣域網(wǎng)、相關(guān)業(yè)務(wù)網(wǎng)絡(luò)）和公司重要的子網(wǎng)出口。

身份鑒別 是對(duì)網(wǎng)絡(luò)訪問(wèn)者權(quán)限的識(shí)別，一般通過(guò)三種方式驗(yàn)證主體身份，一是主體了解的秘密，如用戶名、口令、密鑰；二是主體攜帶的物品，如磁卡、IC卡、動(dòng)態(tài)口令卡和令牌卡等；三是主體特征或能力，如指紋、聲音、視網(wǎng)膜、簽名等，在證券網(wǎng)絡(luò)系統(tǒng)中，前兩種方式運(yùn)用較多。

加密 為了防止網(wǎng)絡(luò)上的竊聽、泄漏、篡改和破壞，保證信息傳輸安全，對(duì)網(wǎng)上數(shù)據(jù)使用加密手段是最為有效的方式。目前加密可以在三個(gè)層次來(lái)實(shí)現(xiàn)，即鏈路層加密、網(wǎng)絡(luò)層加密和應(yīng)用層加密。鏈路加密側(cè)重通信鏈路而不考慮信源和信宿，他對(duì)網(wǎng)絡(luò)高層主體是透明的。網(wǎng)絡(luò)層加密采用IPSEC核心協(xié)議，具有加密、認(rèn)證雙重功能，是在IP層實(shí)現(xiàn)的安全標(biāo)準(zhǔn)。通過(guò)網(wǎng)絡(luò)加密可以構(gòu)造企業(yè)內(nèi)部的虛擬專網(wǎng)（VPN），使企業(yè)在較少投資下得到安全較大的回報(bào)。

安全監(jiān)測(cè) 采取信息偵聽的方式尋找未授權(quán)的網(wǎng)絡(luò)訪問(wèn)嘗試和違規(guī)行為，包括網(wǎng)絡(luò)系統(tǒng)的掃描、預(yù)警、阻斷、記錄、跟蹤等，從而發(fā)現(xiàn)系統(tǒng)遭受的攻擊傷害。網(wǎng)絡(luò)掃描監(jiān)測(cè)系統(tǒng)作為對(duì)付電腦黑客最有效的技術(shù)手段，具有實(shí)時(shí)、自適應(yīng)、主動(dòng)識(shí)別和響應(yīng)等特征，廣泛用于各行各業(yè)。

網(wǎng)絡(luò)掃描 針對(duì)網(wǎng)絡(luò)設(shè)備的安全漏洞進(jìn)行檢測(cè)和分析，包括網(wǎng)絡(luò)通信服務(wù)、路由器、防火墻、郵件、WEB服務(wù)器等，從而識(shí)別能被入侵者利用非法進(jìn)入的網(wǎng)絡(luò)漏洞。網(wǎng)絡(luò)掃描系統(tǒng)對(duì)檢測(cè)到的漏洞信息形成詳細(xì)報(bào)告，包括位置、詳細(xì)描述和建議的改進(jìn)方案，使網(wǎng)管能檢測(cè)和管理安全風(fēng)險(xiǎn)信息。

3．3．2 操作系統(tǒng)

操作系統(tǒng)是管理計(jì)算機(jī)資源的核心系統(tǒng)負(fù)責(zé)信息發(fā)送、管理設(shè)備存儲(chǔ)空間和各種系統(tǒng)資源的調(diào)度，它作為應(yīng)用系統(tǒng)的軟件平臺(tái)具有通用性和易用性，操作系統(tǒng)安全性直接關(guān)系到應(yīng)用系統(tǒng)的安全，操作系統(tǒng)安全分為應(yīng)用安全和安全漏洞掃描。

應(yīng)用安全 面向應(yīng)用選擇可靠的操作系統(tǒng)并按正確的操作流程使用計(jì)算機(jī)系統(tǒng)，杜絕使用來(lái)歷不明的軟件，安裝操作系統(tǒng)保護(hù)與恢復(fù)軟件并作相應(yīng)的備份。

系統(tǒng)掃描 基于主機(jī)的安全評(píng)估系統(tǒng)是在嚴(yán)格的基礎(chǔ)上對(duì)系統(tǒng)的安全風(fēng)險(xiǎn)級(jí)別進(jìn)行劃分，并提供完整的安全漏洞檢查列表，通過(guò)不同版本的操作系統(tǒng)進(jìn)行掃描分析，對(duì)掃描漏洞自動(dòng)修補(bǔ)形成報(bào)告，保護(hù)應(yīng)用程序、數(shù)據(jù)免受盜用、破壞。

3．3．3 應(yīng)用系統(tǒng)

證券行業(yè)應(yīng)用系統(tǒng)大體分為辦公系統(tǒng)、業(yè)務(wù)管理系統(tǒng)、業(yè)務(wù)服務(wù)系統(tǒng)，證券應(yīng)用系統(tǒng)安全除采用通用的安全手段外主要根據(jù)企業(yè)自身經(jīng)營(yíng)及管理需求來(lái)開發(fā)。

辦公系統(tǒng) 文件(郵件)的安全存儲(chǔ)：利用加密手段，配合相應(yīng)的身份鑒別和密鑰保護(hù)機(jī)制（IC卡、PCMCIA 安全PC卡等），使得存儲(chǔ)于本機(jī)和網(wǎng)絡(luò)服務(wù)器上的個(gè)人和單位重要文件處于安全存儲(chǔ)的狀態(tài)，使得他人即使通過(guò)各種手段非法獲取相關(guān)文件或存儲(chǔ)介質(zhì)（硬盤等），也無(wú)法獲得相關(guān)文件的內(nèi)容。

文件（郵件）的安全傳送：對(duì)通過(guò)網(wǎng)絡(luò)（遠(yuǎn)程或近程）傳送給他人的文件進(jìn)行安全處理（加密、簽名、完整性鑒別等），使得被傳送的文件只有指定的收件者通過(guò)相應(yīng)的安全鑒別機(jī)制（IC卡、PCMCIA PC 卡）才能解密并閱讀，杜絕了文件在傳送或到達(dá)對(duì)方的存儲(chǔ)過(guò)程中被截獲、篡改等，主要用于信息網(wǎng)中的報(bào)表傳送、公文下發(fā)等。

業(yè)務(wù)系統(tǒng) 主要面向業(yè)務(wù)管理和信息服務(wù)的安全需求，例如在證券交易管理中采取集中統(tǒng)一的監(jiān)管系統(tǒng)，對(duì)業(yè)務(wù)流實(shí)時(shí)進(jìn)行監(jiān)控、統(tǒng)計(jì)、分析、查詢，防止違規(guī)操作，化解安全風(fēng)險(xiǎn)；對(duì)通用信息服務(wù)系統(tǒng)（電子郵件系統(tǒng)、WEB信息服務(wù)系統(tǒng)、FTP服務(wù)系統(tǒng)等）采用基于應(yīng)用開發(fā)安全軟件，如安全郵件系統(tǒng)、WEB頁(yè)面保護(hù)；對(duì)業(yè)務(wù)信息可以配合管理系統(tǒng)采取對(duì)信息內(nèi)容的審計(jì)稽查，防止外部非法信息侵入和內(nèi)部敏感信息泄漏。

3.4 交易安全

目前證券交易方式主要分為營(yíng)業(yè)部柜臺(tái)交易、電話交易、網(wǎng)上交易，前兩種交易方式安全系數(shù)較高，而網(wǎng)上交易主要通過(guò)公網(wǎng)完成交易的全過(guò)程，由于公網(wǎng)的開放性和復(fù)雜性，使網(wǎng)上交易風(fēng)險(xiǎn)大大高于前者。幾乎所有參加網(wǎng)上證券交易的證券公司采用的是TCP/IP標(biāo)準(zhǔn)協(xié)議，應(yīng)用系統(tǒng)都是基于C/S或B/S（瀏覽器/服務(wù)器）結(jié)構(gòu)，由于交易發(fā)生在兩地，雙方缺乏可靠的安全機(jī)制保證各自的利益，針對(duì)網(wǎng)上證券交易的風(fēng)險(xiǎn)和特點(diǎn)，保障交易安全通常采用授權(quán)、身份鑒別、信息加密、完整性校驗(yàn)、信息審計(jì)、防重發(fā)、防抵賴等安全機(jī)制，具體實(shí)現(xiàn)主要依靠基于PKI（公開密鑰密碼設(shè)施）體系現(xiàn)代密碼技術(shù)及在此基礎(chǔ)上開發(fā)應(yīng)用的電子商務(wù)認(rèn)證加密系統(tǒng)（CA）。

交易安全標(biāo)準(zhǔn) 目前在電子商務(wù)中主要的安全標(biāo)準(zhǔn)有兩種：應(yīng)用層的SET（安全電子交易）和會(huì)話層SSL（安全套層）協(xié)議。前者由信用卡機(jī)構(gòu)VISA及MasterCard提出的針對(duì)電子錢包/商場(chǎng)/認(rèn)證中心的安全標(biāo)準(zhǔn)，主要用于銀行等金融機(jī)構(gòu)；后者由NETSCAPE公司提出針對(duì)數(shù)據(jù)的機(jī)密性/完整性/身份確認(rèn)/開放性的安全協(xié)議，事實(shí)上已成為WWW應(yīng)用安全標(biāo)準(zhǔn)，也是證券網(wǎng)上交易的標(biāo)準(zhǔn)安全協(xié)議。

交易安全基礎(chǔ)體系 交易安全基礎(chǔ)在于現(xiàn)代密碼技術(shù)，依賴于加密方法和強(qiáng)度。加密分為單密鑰的對(duì)稱加密體系和雙密鑰的非對(duì)稱加密體系。兩者各有所長(zhǎng)，對(duì)稱密鑰具有加密效率高，但存在密鑰分發(fā)困難、管理不便的弱點(diǎn)；非對(duì)稱密鑰加密速度慢，但便于密鑰分發(fā)管理。在證券交易中通常把兩者結(jié)合使用，達(dá)到高效安全的目的。

交易安全的實(shí)現(xiàn) 完成證券交易需解決的安全問(wèn)題主要有交易雙方身份確認(rèn)、交易指令及數(shù)據(jù)加密傳輸、數(shù)據(jù)的完整性、防止雙方對(duì)交易結(jié)果的抵賴。具體途徑為建立自己的CA認(rèn)證中心或采用權(quán)威的CA中心，通過(guò)頒發(fā)相應(yīng)的數(shù)字證書給與交易各方相關(guān)身份證明，同時(shí)在SSL協(xié)議體系下完成交易過(guò)程中電子證書驗(yàn)證、數(shù)字簽名、指令數(shù)據(jù)的加密傳輸、交易結(jié)果確認(rèn)審計(jì)等。

3.5 數(shù)據(jù)安全

數(shù)據(jù)安全牽涉到數(shù)據(jù)庫(kù)的安全和數(shù)據(jù)本身安全，針對(duì)兩者應(yīng)有相應(yīng)的安全措施。

數(shù)據(jù)庫(kù)安全 證券公司的數(shù)據(jù)庫(kù)一般采用具有一定安全級(jí)別的SYBASE或ORACLE大型分布式數(shù)據(jù)庫(kù)，鑒于數(shù)據(jù)庫(kù)的重要性，還應(yīng)在此基礎(chǔ)上開發(fā)一些安全措施，增加相應(yīng)控件，對(duì)數(shù)據(jù)庫(kù)分級(jí)管理并提供可靠的故障恢復(fù)機(jī)制，實(shí)現(xiàn)數(shù)據(jù)庫(kù)的訪問(wèn)、存取、加密控制。具體實(shí)現(xiàn)方法有安全數(shù)據(jù)庫(kù)系統(tǒng)、數(shù)據(jù)庫(kù)保密系統(tǒng)、數(shù)據(jù)庫(kù)掃描系統(tǒng)等。

數(shù)據(jù)安全 指存儲(chǔ)在數(shù)據(jù)庫(kù)數(shù)據(jù)本身的安全，相應(yīng)的保護(hù)措施有安裝反病毒軟件，建立可靠的數(shù)據(jù)備份與恢復(fù)系統(tǒng)如行情備份系統(tǒng)，對(duì)股民的個(gè)人資料和交易數(shù)據(jù)按安全等級(jí)劃分存儲(chǔ)，某些重要數(shù)據(jù)甚至可以采取加密保護(hù)。

3.6 安全管理

面對(duì)網(wǎng)絡(luò)安全的脆弱性，除了運(yùn)用先進(jìn)的網(wǎng)絡(luò)安全技術(shù)和安全系統(tǒng)外，完善的網(wǎng)絡(luò)安全管理將是信息系統(tǒng)建設(shè)重要組成部分，許多不安全的因素恰恰反映在組織資源管理上，安全管理應(yīng)該貫穿在安全的各個(gè)層次上。

安全管理三原則：

·多人負(fù)責(zé)原則

每一項(xiàng)與安全有關(guān)的活動(dòng)，都必須有兩人或多人在場(chǎng)。這些人應(yīng)是系統(tǒng)主管領(lǐng)導(dǎo)指派的，他們忠誠(chéng)可靠，能勝任此項(xiàng)工作；他們應(yīng)該簽署工作情況記錄以證明安全工作已得到保障。

·任期有限原則

一般地講，任何人最好不要長(zhǎng)期擔(dān)任與安全有關(guān)的職務(wù)，以免使他認(rèn)為這個(gè)職務(wù)是專有的或永久性的。為遵循任期有限原則，工作人員應(yīng)不定期地循環(huán)任職，強(qiáng)制實(shí)行休假制度，并規(guī)定對(duì)工作人員進(jìn)行輪流培訓(xùn)，以使任期有限制度切實(shí)可行。

·職責(zé)分離原則

在信息處理系統(tǒng)工作的人員不要打聽、了解或參與職責(zé)以外的任何與安全有關(guān)的事情，除非系統(tǒng)主管領(lǐng)導(dǎo)批準(zhǔn)。

信息系統(tǒng)安全管理的實(shí)現(xiàn)

·安全制度管理

根據(jù)證監(jiān)會(huì)《證券經(jīng)營(yíng)機(jī)構(gòu)營(yíng)業(yè)部信息系統(tǒng)管理規(guī)范》、《網(wǎng)上證券委托暫行管理辦法》等有關(guān)法規(guī)的要求，建立本行業(yè)的管理制度，包括機(jī)房管理、網(wǎng)絡(luò)管理、數(shù)據(jù)管理、設(shè)備管理、應(yīng)急處理、人員管理、技術(shù)資料管理等有關(guān)信息系統(tǒng)建設(shè)的規(guī)范。

·安全目標(biāo)管理

1.按照技術(shù)管理目標(biāo)，展開對(duì)最新網(wǎng)絡(luò)安全技術(shù)的跟蹤研究，并就證券行業(yè)信息系統(tǒng)的安全技術(shù)進(jìn)行交流、探討，從而提出本公司的網(wǎng)絡(luò)安全技術(shù)和管理策略。

2.按照資源管理目標(biāo)，對(duì)證券行業(yè)網(wǎng)絡(luò)系統(tǒng)的物理資源、網(wǎng)絡(luò)資源、信息資源實(shí)現(xiàn)統(tǒng)一的資源分配設(shè)置，根據(jù)資源的重要程度確定安全等級(jí)，從而確立安全管理范圍。

3.按照客戶管理目標(biāo)，根據(jù)統(tǒng)一標(biāo)準(zhǔn)劃分用戶角色，對(duì)不同的用戶在交易中風(fēng)險(xiǎn)的高低及可能帶來(lái)的損失采取安全防范措施，例如對(duì)經(jīng)常進(jìn)行網(wǎng)上交易的重要客戶或大客戶設(shè)置虛擬大客戶室，由證券公司給與必要的技術(shù)支援和培訓(xùn)。

3.7 安全服務(wù)

建立網(wǎng)絡(luò)安全保障體系不能僅僅依靠現(xiàn)有的安全機(jī)制和設(shè)備，更重要的是提供全方位的安全服務(wù)。網(wǎng)絡(luò)安全不是幾種安全產(chǎn)品的集合，它作為一項(xiàng)系統(tǒng)工程已經(jīng)形成了自己的專業(yè)體系，沒有先進(jìn)科學(xué)的知識(shí)結(jié)構(gòu)很難對(duì)此進(jìn)行全面細(xì)致的把握；網(wǎng)絡(luò)安全系統(tǒng)存在固有弱點(diǎn)，即使最微小的安全漏洞都可能引發(fā)整個(gè)網(wǎng)絡(luò)系統(tǒng)的崩潰；同時(shí)網(wǎng)絡(luò)安全處在信息產(chǎn)業(yè)飛速發(fā)展的大環(huán)境下，現(xiàn)有的系統(tǒng)安全只是暫時(shí)的、靜態(tài)的，所有這些問(wèn)題都必須通過(guò)持續(xù)全面的安全服務(wù)來(lái)解決。完善的安全服務(wù)應(yīng)包括全方位的安全咨詢，整體系 統(tǒng)安全的策劃、設(shè)計(jì)，優(yōu)質(zhì)的工程實(shí)施、細(xì)致及時(shí)的售后服務(wù)和技術(shù)培訓(xùn)。除此之外，定期的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估，幫助客戶制定特別事件應(yīng)急響應(yīng)方案擴(kuò)充了安全服務(wù)的內(nèi)涵。

3.8 安全目標(biāo)

通過(guò)規(guī)劃建立證券系統(tǒng)安全體系，綜合運(yùn)用各種安全技術(shù)和手段，我們要達(dá)到的安全目標(biāo)為：

靜態(tài)安全目標(biāo) 包括整個(gè)證券信息系統(tǒng)的物理環(huán)境、系統(tǒng)硬、軟件結(jié)構(gòu)和可用的信息資源，保證證券交易系統(tǒng)實(shí)體平臺(tái)安全。

動(dòng)態(tài)安全目標(biāo) 提升證券信息系統(tǒng)的安全軟環(huán)境，包括安全管理、安全服務(wù)、安全思想意識(shí)和人員的安全專業(yè)素質(zhì)。

第四章 典型應(yīng)用案例（總部模式）

說(shuō)明：

防火墻作為基礎(chǔ)安全設(shè)備設(shè)立在公司總部及營(yíng)業(yè)部入口，通過(guò)訪問(wèn)控制可防止非法入侵并能做內(nèi)部的安全代理。

通過(guò)IP層加密構(gòu)建證券公司虛擬專用網(wǎng)（VPN），保證證券公司總部與各營(yíng)業(yè)部之間信息傳輸?shù)臋C(jī)密性。

安全控制中心主要用作證券公司網(wǎng)絡(luò)監(jiān)控預(yù)警系統(tǒng)，具有主動(dòng)、實(shí)時(shí)的特性。它是由入侵監(jiān)測(cè)系統(tǒng)、網(wǎng)絡(luò)掃描系統(tǒng)、系統(tǒng)掃描系統(tǒng)、網(wǎng)絡(luò)防病毒系統(tǒng)、信息審計(jì)系統(tǒng)等構(gòu)成的綜合安全體系。

證券公司的WEB服務(wù)器、郵件服務(wù)器等應(yīng)用系統(tǒng)的保護(hù)由頁(yè)面保護(hù)系統(tǒng)、安全郵件系統(tǒng)完成。

基于SSL協(xié)議的應(yīng)用加密系統(tǒng)保證股民交易安全。

建立公司的數(shù)字證書中心（CA），向股民發(fā)放相應(yīng)的數(shù)字證書。

交易、行情服務(wù)器采用負(fù)載均衡和容錯(cuò)備份系統(tǒng)。

數(shù)據(jù)庫(kù)采用相應(yīng)安全控件組成安全數(shù)據(jù)庫(kù)，定期進(jìn)行數(shù)據(jù)庫(kù)漏洞掃描和數(shù)據(jù)備份。

衛(wèi)星加密系統(tǒng)用于證券公司與深、滬兩市數(shù)據(jù)安全交換。

文電辦公加密系統(tǒng)用于辦公文件（郵件）加密傳輸、存儲(chǔ)。

第五章 網(wǎng)絡(luò)安全發(fā)展趨勢(shì)

未來(lái)網(wǎng)絡(luò)安全發(fā)展的趨勢(shì)是在現(xiàn)有網(wǎng)絡(luò)安全體系性下從廣度和深度做進(jìn)一步的擴(kuò)展，在遵循原有網(wǎng)絡(luò)安全體系性、系統(tǒng)性、層次性、綜合性、動(dòng)態(tài)性的原則基礎(chǔ)上，以客戶的具體需求為中心，按客戶網(wǎng)絡(luò)的實(shí)際運(yùn)用狀況度身定制網(wǎng)絡(luò)安全的整體規(guī)劃設(shè)計(jì)，包括完整的安全解決方案，基于應(yīng)用的安全產(chǎn)品的二次開發(fā)，特色的安全服務(wù)項(xiàng)目等。具體表現(xiàn)為

a)安全技術(shù)體系：更強(qiáng)調(diào)整體性、融合性、開放性，隨著安全技術(shù)的演進(jìn)，綜合運(yùn)用多種安全技術(shù)的安全產(chǎn)品將在市場(chǎng)上大行其是，而功能單一的安全產(chǎn)品將逐步消亡，但不排除基于客戶特殊應(yīng)用的二次開發(fā)的安全產(chǎn)品。安全技術(shù)及產(chǎn)品的行業(yè)標(biāo)準(zhǔn)在一定范圍內(nèi)逐步統(tǒng)一，同時(shí)與網(wǎng)絡(luò)的開放性趨于一致。

b)安全管理體系：不同行業(yè)的安全管理將更加制度化、規(guī)范化，信息系統(tǒng)的安全管理將從其他管理體系中獨(dú)立出來(lái)，與安全技術(shù)體系緊密結(jié)合，成為非技術(shù)的重要安全因素。

c)安全保障體系：安全保障最終落實(shí)在安全服務(wù)上，因?yàn)樗莿?dòng)態(tài)的、持久的、專業(yè)的。如同安全產(chǎn)品一樣，安全服務(wù)將獨(dú)立體現(xiàn)自己本身的價(jià)值。有特色安全服務(wù)越來(lái)越成為網(wǎng)絡(luò)安全公司品牌的一部分。

第二篇：電子政務(wù)網(wǎng)絡(luò)安全解決方案

電子政務(wù)網(wǎng)絡(luò)安全解決方案

電子政務(wù)網(wǎng)絡(luò)安全概述

以Internet為代表的全球性信息化浪潮日益深刻，信息網(wǎng)絡(luò)技術(shù)的應(yīng)用正日益普及和廣泛，應(yīng)用層次正在深入，應(yīng)用領(lǐng)域從傳統(tǒng)的、小型業(yè)務(wù)系統(tǒng)逐漸向大型、關(guān)鍵業(yè)務(wù)系統(tǒng)擴(kuò)展，典型的如行政部門業(yè)務(wù)系統(tǒng)、金融業(yè)務(wù)系統(tǒng)、政府機(jī)關(guān)商務(wù)系統(tǒng)等。伴隨網(wǎng)絡(luò)的普及，安全日益成為影響網(wǎng)絡(luò)效能的重要問(wèn)題，而Internet所具有的開放性、國(guó)際性和自由性在增加應(yīng)用自由度的同時(shí)，對(duì)安全提出了更高的要求。如何使信息網(wǎng)絡(luò)系統(tǒng)不受黑客和工業(yè)間諜的入侵，已成為政府機(jī)構(gòu)、企事業(yè)單位信息化健康發(fā)展所要考慮的重要事情之一。

網(wǎng)絡(luò)規(guī)劃

各級(jí)網(wǎng)絡(luò)

利用現(xiàn)有線路及網(wǎng)絡(luò)進(jìn)行完善擴(kuò)充，建成互聯(lián)互通、標(biāo)準(zhǔn)統(tǒng)一、結(jié)構(gòu)簡(jiǎn)單、功能完善、安全可靠、高速實(shí)用、先進(jìn)穩(wěn)定的級(jí)別分明卻又統(tǒng)一的網(wǎng)絡(luò)。數(shù)據(jù)中心

建設(shè)集中的數(shù)據(jù)中心，對(duì)所有的信息資源、空間、信用等數(shù)據(jù)進(jìn)行集中存放、集中管理。為省及各市部門、單位的關(guān)鍵應(yīng)用及關(guān)鍵設(shè)施提供機(jī)房、安全管理與維護(hù)。網(wǎng)絡(luò)總體結(jié)構(gòu)

政府機(jī)構(gòu)從事的行業(yè)性質(zhì)是跟國(guó)家緊密聯(lián)系的，所涉及信息可以說(shuō)都帶有機(jī)密性，所以其信息安全問(wèn)題，如敏感信息的泄露、黑客的侵?jǐn)_、網(wǎng)絡(luò)資源的非法使用以及計(jì)算機(jī)病毒等。都將對(duì)政府機(jī)構(gòu)信息安全構(gòu)成威脅。為保證政府網(wǎng)絡(luò)系統(tǒng)的安全，有必要對(duì)其網(wǎng)絡(luò)進(jìn)行專門安全設(shè)計(jì)。

所謂電子政務(wù)就是政府機(jī)構(gòu)運(yùn)用現(xiàn)代計(jì)算機(jī)技術(shù)和網(wǎng)絡(luò)技術(shù)，將其管理和服務(wù)的職能轉(zhuǎn)移到網(wǎng)絡(luò)上完成，同時(shí)實(shí)現(xiàn)政府組織結(jié)構(gòu)和工作流程的重組優(yōu)化，超越時(shí)間、空間和部門分隔的制約，向全社會(huì)提供高效、優(yōu)質(zhì)、規(guī)范、透明和全方位的管理與服務(wù)。

實(shí)現(xiàn)電子政務(wù)的意義在于突破了傳統(tǒng)的工業(yè)時(shí)代“一站式”的政府辦公模式，建立了適應(yīng)網(wǎng)絡(luò)時(shí)代的“一網(wǎng)式”和“一表式”的新模式，開辟了推動(dòng)社會(huì)信息化的新途徑，創(chuàng)造了政府實(shí)施產(chǎn)業(yè)政策的新手段。電子政務(wù)的出現(xiàn)有利于政府轉(zhuǎn)變職能，提高運(yùn)作效率。

圖示：原有電子政務(wù)網(wǎng)絡(luò)情況

電子政務(wù)網(wǎng)絡(luò)的應(yīng)用系統(tǒng)和網(wǎng)絡(luò)連接方式多樣，由于網(wǎng)絡(luò)本身及應(yīng)用系統(tǒng)的復(fù)雜性，無(wú)論是有意的攻擊，還是無(wú)意的誤操作，都將會(huì)給系統(tǒng)帶來(lái)不可估量的損失。非法進(jìn)入的攻擊者可能竊聽網(wǎng)絡(luò)上的信息、竊取用戶的口令、數(shù)據(jù)庫(kù)的信息；還可以篡改數(shù)據(jù)庫(kù)內(nèi)容、偽造用戶身份、否認(rèn)自己的簽名；更有甚者，攻擊者可以刪除數(shù)據(jù)庫(kù)內(nèi)容、摧毀網(wǎng)絡(luò)節(jié)點(diǎn)等等。

因此在電子政務(wù)網(wǎng)絡(luò)的建設(shè)中，構(gòu)建網(wǎng)絡(luò)安全系統(tǒng)以確保網(wǎng)絡(luò)信息的安全可靠是非常必要的。

物理安全風(fēng)險(xiǎn)分析

網(wǎng)絡(luò)物理安全是整個(gè)網(wǎng)絡(luò)系統(tǒng)安全的前提。物理安全的風(fēng)險(xiǎn)主要有： ◆地震、水災(zāi)、火災(zāi)等環(huán)境事故造成整個(gè)系統(tǒng)毀滅；

◆電源故障造成設(shè)備斷電以至操作系統(tǒng)引導(dǎo)失敗或數(shù)據(jù)庫(kù)信息丟失； ◆設(shè)備被盜、被毀造成數(shù)據(jù)丟失或信息泄漏； ◆電磁輻射可能造成數(shù)據(jù)信息被竊取或偷閱；

◆報(bào)警系統(tǒng)的設(shè)計(jì)不足可能造成原本可以防止但實(shí)際發(fā)生了的事故。鏈路傳輸風(fēng)險(xiǎn)分析

網(wǎng)絡(luò)安全不僅是入侵者到政府機(jī)關(guān)內(nèi)部網(wǎng)上進(jìn)行攻擊、竊取或其它破壞，他們完全有可能在傳輸線路上安裝竊聽裝置，竊取你在網(wǎng)上傳輸?shù)闹匾獢?shù)據(jù)，再通過(guò)一些技術(shù)讀出數(shù)據(jù)信息，造成泄密或者做一些篡改來(lái)破壞數(shù)據(jù)的完整性；以上種種不安全因素都對(duì)網(wǎng)絡(luò)構(gòu)成嚴(yán)重的安全威脅。因此，對(duì)于政府這樣帶有重要信息傳輸?shù)木W(wǎng)絡(luò)，數(shù)據(jù)在鏈路上傳輸必須加密。并通過(guò)數(shù)字簽名及認(rèn)證技術(shù)來(lái)保障數(shù)據(jù)在網(wǎng)上傳輸?shù)恼鎸?shí)性、機(jī)密性、可靠性及完整性。

遠(yuǎn)程辦公安全接入 目前，政府網(wǎng)絡(luò)應(yīng)用環(huán)境紛亂復(fù)雜，既有內(nèi)部的應(yīng)用如：內(nèi)部OA系統(tǒng)、文件共享、Email等應(yīng)用服務(wù)，又有眾多面向下屬單位、合作伙伴等對(duì)外的應(yīng)用。如何地有效解決遠(yuǎn)程用戶安全訪問(wèn)網(wǎng)絡(luò)內(nèi)部資源？

虛擬專用網(wǎng)技術(shù)(VPN，Virtual PrivateNetwork)是指在公共網(wǎng)絡(luò)中建立專用網(wǎng)絡(luò)，數(shù)據(jù)通過(guò)安全的“加密通道”在公共網(wǎng)絡(luò)中傳播。政府機(jī)關(guān)只需要租用本地的數(shù)據(jù)專線，連接上本地的公眾信息網(wǎng)，那么各地的機(jī)構(gòu)就可以互相傳遞信息。使用VPN有節(jié)約成本、擴(kuò)展性強(qiáng)、便于管理和實(shí)現(xiàn)全面控制等好處。在虛擬專用網(wǎng)中，任意兩個(gè)節(jié)點(diǎn)之間的連接并沒有傳統(tǒng)專網(wǎng)所需的端到端的物理鏈路，而是利用某種公眾網(wǎng)的資源動(dòng)態(tài)組成的，是通過(guò)私有的隧道技術(shù)在公共數(shù)據(jù)網(wǎng)絡(luò)上仿真一條點(diǎn)到點(diǎn)的專線技術(shù)。所謂虛擬，是指用戶不再需要擁有實(shí)際的長(zhǎng)途數(shù)據(jù)線路，而是使用Internet公眾數(shù)據(jù)網(wǎng)絡(luò)的長(zhǎng)途數(shù)據(jù)線路。所謂專用網(wǎng)絡(luò)，是指用戶可以為自己制定一個(gè)最符合自己需求的網(wǎng)絡(luò)。根據(jù)國(guó)家有關(guān)規(guī)定，政府網(wǎng)絡(luò)可以通過(guò)現(xiàn)有公有平臺(tái)搭建自己的內(nèi)部網(wǎng)絡(luò)，但必須通過(guò)認(rèn)證和加密技術(shù)，保證數(shù)據(jù)傳輸?shù)陌踩浴?/p>

單獨(dú)的VPN網(wǎng)關(guān)的主要功能是IPSec數(shù)據(jù)包的加密/解密處理和身份認(rèn)證，但它沒有很強(qiáng)的訪問(wèn)控制功能，例如狀態(tài)包過(guò)濾、網(wǎng)絡(luò)內(nèi)容過(guò)濾、防DDoS攻擊等。在這種獨(dú)立的防火墻和VPN部署方式下，防火墻無(wú)法對(duì)VPN的數(shù)據(jù)流量進(jìn)行任何訪問(wèn)控制，由此帶來(lái)安全性、性能、管理上的一系列問(wèn)題。因此，在防火墻安全網(wǎng)關(guān)上集成VPN是當(dāng)前安全產(chǎn)品的發(fā)展趨勢(shì)，能提供一個(gè)靈活、高效、完整的安全方案。

集成VPN的防火墻安全網(wǎng)關(guān)的優(yōu)點(diǎn)是，它可以保證加密的流量在解密后，同樣需要經(jīng)過(guò)嚴(yán)格的訪問(wèn)控制策略的檢查，保護(hù)VPN網(wǎng)關(guān)免受DDoS攻擊和入侵威脅；提供更好的處理性能，簡(jiǎn)化網(wǎng)絡(luò)管理的任務(wù)，快速適應(yīng)動(dòng)態(tài)、變化的網(wǎng)絡(luò)環(huán)境。因此，當(dāng)前VPN技術(shù)已經(jīng)成為安全網(wǎng)關(guān)產(chǎn)品的組成部分。

政府機(jī)關(guān)Intranet網(wǎng)絡(luò)建設(shè)的VPN連接方案，利用IPsec安全協(xié)議的VPN和加密能力，實(shí)現(xiàn)兩個(gè)或多個(gè)政府機(jī)關(guān)之間跨越因特網(wǎng)的政府機(jī)關(guān)內(nèi)部網(wǎng)絡(luò)連接，實(shí)現(xiàn)了安全的政府機(jī)關(guān)內(nèi)部的數(shù)據(jù)通信。通過(guò)防火墻內(nèi)部策略控制體系，對(duì)VPN的數(shù)據(jù)可以進(jìn)行有效的控制和管理，使政府機(jī)關(guān)的內(nèi)部網(wǎng)絡(luò)通信具有良好的擴(kuò)展性和管理性。

圖示：政府機(jī)關(guān)Intranet網(wǎng)VPN解決方案

如上圖示，原始的數(shù)據(jù)經(jīng)過(guò)加密封裝在另外一個(gè)IP通道內(nèi)，通道頭部地址就是防火墻外部端口的IP地址，以實(shí)現(xiàn)在公網(wǎng)鏈路上的傳輸。利用高強(qiáng)度的、動(dòng)態(tài)變換的密鑰來(lái)保證數(shù)據(jù)的安全，168位的3DES算法更提供了業(yè)界最高級(jí)別的安全防御體系，使政府機(jī)關(guān)的內(nèi)部數(shù)據(jù)可以無(wú)憂地在公網(wǎng)上傳輸，以達(dá)到政府機(jī)關(guān)內(nèi)部網(wǎng)絡(luò)安全擴(kuò)展的目的。

網(wǎng)絡(luò)結(jié)構(gòu)的安全風(fēng)險(xiǎn)分析

（一）來(lái)自與公網(wǎng)互聯(lián)的安全威脅

如果政府內(nèi)部網(wǎng)絡(luò)與Internet公網(wǎng)有互連?；贗nternet公網(wǎng)的開放性、國(guó)際性與自由性，內(nèi)部網(wǎng)絡(luò)將面臨更加嚴(yán)重的安全威脅。因?yàn)?，每天黑客都在試圖闖入Internet節(jié)點(diǎn)，假如我們的網(wǎng)絡(luò)不保持警惕，可能連黑客怎么闖入的都不知道，甚至?xí)蔀楹诳腿肭制渌W(wǎng)絡(luò)的跳板。政府行業(yè)內(nèi)部網(wǎng)絡(luò)中其辦公系統(tǒng)及各人主機(jī)上都有涉密信息。

假如內(nèi)部網(wǎng)絡(luò)的一臺(tái)機(jī)器安全受損（被攻擊或者被病毒感染），就會(huì)同時(shí)影響在同一網(wǎng)絡(luò)上的許多其他系統(tǒng)。透過(guò)網(wǎng)絡(luò)傳播，還會(huì)影響到與本系統(tǒng)網(wǎng)絡(luò)有連接的外單位網(wǎng)絡(luò)；影響所及，還可能涉及法律、金融等安全敏感領(lǐng)域。對(duì)于政府行業(yè)網(wǎng)絡(luò)系統(tǒng)，國(guó)家也有規(guī)定是不能與互聯(lián)網(wǎng)直接或間接與相連。

內(nèi)部網(wǎng)絡(luò)與系統(tǒng)外部網(wǎng)互聯(lián)安全威脅

如果系統(tǒng)內(nèi)部局域網(wǎng)絡(luò)與系統(tǒng)外部網(wǎng)絡(luò)間沒有采取一定的安全防護(hù)措施，內(nèi)部網(wǎng)絡(luò)容易遭到來(lái)自外部網(wǎng)絡(luò)不懷好意的入侵者的攻擊。如：

入侵者通過(guò)Sniffer等程序來(lái)探測(cè)掃描網(wǎng)絡(luò)及操作系統(tǒng)存在的安全漏洞，如網(wǎng)絡(luò)IP地址、應(yīng)用操作系統(tǒng)的類型、開放哪些TCP端口號(hào)、系統(tǒng)保存用戶名和口令等安全信息的關(guān)鍵文件等，并通過(guò)相應(yīng)攻擊程序?qū)?nèi)網(wǎng)進(jìn)行攻擊。

入侵者通過(guò)網(wǎng)絡(luò)監(jiān)聽等先進(jìn)手段獲得內(nèi)部網(wǎng)用戶的用戶名、口令等信息，進(jìn)而假冒內(nèi)部合法身份進(jìn)行非法登錄，竊取內(nèi)部網(wǎng)重要信息。

惡意攻擊：入侵者通過(guò)發(fā)送大量PING包對(duì)內(nèi)部網(wǎng)重要服務(wù)器進(jìn)行攻擊，使得服務(wù)器超負(fù)荷工作以至拒絕服務(wù)甚至系統(tǒng)癱瘓。

（三）內(nèi)部局域網(wǎng)的安全威脅

據(jù)調(diào)查在已有的網(wǎng)絡(luò)安全攻擊事件中約70%是來(lái)自內(nèi)部網(wǎng)絡(luò)的侵犯。比如內(nèi)部人員故意泄漏內(nèi)部網(wǎng)絡(luò)的網(wǎng)絡(luò)結(jié)構(gòu)；安全管理員有意透露其用戶名及口令；內(nèi)部員工編些具有破壞力的程序在內(nèi)部網(wǎng)上傳播或者內(nèi)部人員通過(guò)各種方式盜取他人涉密信息傳播出去。種種因素都對(duì)整體的網(wǎng)絡(luò)安全構(gòu)成很大的威脅。

系統(tǒng)的安全風(fēng)險(xiǎn)分析

所謂系統(tǒng)安全通常是指網(wǎng)絡(luò)操作系統(tǒng)、應(yīng)用系統(tǒng)的安全。目前的操作系統(tǒng)或應(yīng)用系統(tǒng)無(wú)論是Windows還是其它任何商用UNIX操作系統(tǒng)以及其它廠商開發(fā)的應(yīng)用系統(tǒng)，其開發(fā)廠商必然有其Back-Door（后門）。而且系統(tǒng)本身必定存在安全漏洞。這些“后門”或安全漏洞都將存在重大安全隱患。但是從實(shí)際應(yīng)用上，系統(tǒng)的安全程度跟對(duì)其進(jìn)行安全配置及系統(tǒng)的應(yīng)用面有很大關(guān)系，操作系統(tǒng)如果沒有采用相應(yīng)的安全配置，則其是漏洞百出，掌握一般攻擊技術(shù)的人都可能入侵得手。

如果進(jìn)行安全配置，比如，填補(bǔ)安全漏洞，關(guān)閉一些不常用的服務(wù)，禁止開放一些不常用而又比較敏感的端口等，那么入侵者要成功進(jìn)行內(nèi)部網(wǎng)是不容易，這需要相當(dāng)高的技術(shù)水平及相當(dāng)長(zhǎng)時(shí)間。因此應(yīng)正確估價(jià)自己的網(wǎng)絡(luò)風(fēng)險(xiǎn)并根據(jù)自己的網(wǎng)絡(luò)風(fēng)險(xiǎn)大小做出相應(yīng)的安全解決方案。

應(yīng)用的安全風(fēng)險(xiǎn)分析

應(yīng)用系統(tǒng)的安全涉及很多方面。應(yīng)用系統(tǒng)是動(dòng)態(tài)的、不斷變化的。應(yīng)用的安全性也是動(dòng)態(tài)的。這就需要我們對(duì)不同的應(yīng)用，檢測(cè)安全漏洞，采取相應(yīng)的安全措施，降低應(yīng)用的安全風(fēng)險(xiǎn)。

（一）資源共享

政府網(wǎng)絡(luò)系統(tǒng)內(nèi)部必有自動(dòng)化辦公系統(tǒng)。而辦公網(wǎng)絡(luò)應(yīng)用通常是共享網(wǎng)絡(luò)資源，比如文件、打印機(jī)共享等。由此就可能存在著：?jiǎn)T工有意、無(wú)意把硬盤中重要信息目錄共享，長(zhǎng)期暴露在網(wǎng)絡(luò)鄰居上，可能被外部人員輕易偷取或被內(nèi)部其他員工竊取并傳播出去造成泄密，因?yàn)槿鄙俦匾脑L問(wèn)控制策略。

電子郵件系統(tǒng)

電子郵件為網(wǎng)系統(tǒng)用戶提供電子郵件應(yīng)用。內(nèi)部網(wǎng)用戶可通過(guò)拔號(hào)或其它方式進(jìn)行電子郵件發(fā)送和接收這就存在被黑客跟蹤或收到一些特洛伊木馬、病毒程序等，由于許多用戶安全意識(shí)比較淡薄，對(duì)一些來(lái)歷不明的郵件，沒有警惕性，給入侵者提供機(jī)會(huì)，給系統(tǒng)帶來(lái)不安全因素。

病毒侵害

自從1983年世界上第一個(gè)計(jì)算機(jī)病毒出現(xiàn)以來(lái)，在20多年的時(shí)間里，計(jì)算機(jī)病毒已到了無(wú)孔不入的地步，有些甚至給我們?cè)斐闪司薮蟮钠茐摹?/p>

隨著網(wǎng)絡(luò)的普及和網(wǎng)速的提高，計(jì)算機(jī)之間的遠(yuǎn)程控制越來(lái)越方便，傳輸文件也變得非?？旖?，正因?yàn)槿绱?，病毒與黑客程序（木馬病毒）結(jié)合以后的危害更為嚴(yán)重，病毒的發(fā)作往往伴隨著用戶機(jī)密資料的丟失。病毒的傳播可能會(huì)具有一定的方向性，按照制作者的要求侵蝕固定的內(nèi)容。

由于網(wǎng)絡(luò)的普及，使得編寫病毒的知識(shí)越來(lái)越容易獲得。同時(shí)，各種功能強(qiáng)大而易學(xué)的編程工具讓用戶可以輕松編寫一個(gè)具有極強(qiáng)殺傷力的病毒程序。用戶通過(guò)網(wǎng)絡(luò)甚至可以獲得專門編寫病毒的工具軟件，只需要通過(guò)簡(jiǎn)單的操作就可以生成破壞性的病毒。

網(wǎng)絡(luò)是病毒傳播的最好、最快的途徑之一。病毒程序可以通過(guò)網(wǎng)上下載、電子郵件、使用盜版光盤或軟盤、人為投放等傳播途徑潛入內(nèi)部網(wǎng)。因此，病毒的危害的不可以輕視的。網(wǎng)絡(luò)中一旦有一臺(tái)主機(jī)受病毒感染，則病毒程序就完全可能在極短的時(shí)間內(nèi)迅速擴(kuò)散，傳播到網(wǎng)絡(luò)上的所有主機(jī)，可能造成信息泄漏、文件丟失、機(jī)器死機(jī)等不安全因素。

數(shù)據(jù)信息

數(shù)據(jù)安全對(duì)政府行業(yè)來(lái)說(shuō)尤其重要，數(shù)據(jù)在廣域網(wǎng)線路上傳輸，很難保證在傳輸過(guò)程中不被非法竊取，篡改?，F(xiàn)今很多先進(jìn)技術(shù)，黑客或一些工業(yè)間諜會(huì)通過(guò)一些手段，設(shè)法在線路上做些手腳，獲得在網(wǎng)上傳輸?shù)臄?shù)據(jù)信息。也就造成的泄密。這對(duì)政府行業(yè)用戶來(lái)說(shuō)，是決不允許的。

管理的安全風(fēng)險(xiǎn)分析

內(nèi)部管理人員或員工把內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)、管理員用戶名及口令以及系統(tǒng)的一些重要信息傳播給外人帶來(lái)信息泄漏風(fēng)險(xiǎn)。

機(jī)房重地卻是任何都可以進(jìn)進(jìn)出出，來(lái)去自由。存有惡意的入侵者便有機(jī)會(huì)得到入侵的條件。

內(nèi)部不滿的員工有的可能熟悉服務(wù)器、小程序、腳本和系統(tǒng)的弱點(diǎn)。利用網(wǎng)絡(luò)開些小玩笑，甚至破壞。如傳出至關(guān)重要的信息、錯(cuò)誤地進(jìn)入數(shù)據(jù)庫(kù)、刪除數(shù)據(jù)等等。這些都將給網(wǎng)絡(luò)造成極大的安全風(fēng)險(xiǎn)。

管理是網(wǎng)絡(luò)中安全得到保證的重要組成部分，是防止來(lái)自內(nèi)部網(wǎng)絡(luò)入侵必須的部分。責(zé)權(quán)不明，管理混亂、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的風(fēng)險(xiǎn)。即除了從技術(shù)上下功夫外，還得依靠安全管理來(lái)實(shí)現(xiàn)。

防火墻系統(tǒng)設(shè)計(jì)方案

（一）防火墻系統(tǒng)

1、在各網(wǎng)絡(luò)出口處安裝曙光天羅防火墻。防火墻在這里首先起到網(wǎng)絡(luò)隔離、劃分不同安全域，進(jìn)行訪問(wèn)控制的功能。通過(guò)防火墻的多網(wǎng)口結(jié)構(gòu)設(shè)計(jì)，控制授權(quán)合法用戶可以訪問(wèn)到授權(quán)服務(wù)，而限制非授權(quán)的訪問(wèn)。曙光天羅防火墻分為百兆和千兆兩個(gè)系列，可以根據(jù)各局內(nèi)部網(wǎng)的規(guī)模大小選擇適合自己的產(chǎn)品。

2、曙光天羅防火墻自帶的入侵檢測(cè)功能采用了基于模式匹配的入侵檢測(cè)系統(tǒng)，超越了傳統(tǒng)防火墻中的基于統(tǒng)計(jì)異常的入侵檢測(cè)功能，實(shí)現(xiàn)了可擴(kuò)展的攻擊檢測(cè)庫(kù)，真正實(shí)現(xiàn)了抵御目前已知的各種攻擊方法。防火墻的入侵檢測(cè)模塊，可以自動(dòng)檢測(cè)網(wǎng)絡(luò)數(shù)據(jù)流中潛在的入侵、攻擊和濫用方式，通知管理員調(diào)整控制規(guī)則，為整個(gè)網(wǎng)絡(luò)提供動(dòng)態(tài)的網(wǎng)絡(luò)保護(hù)。

3、利用曙光天羅防火墻自帶的VPN功能，實(shí)現(xiàn)多級(jí)VPN系統(tǒng)。防火墻VPN模塊支持兩種用戶模式：遠(yuǎn)程訪問(wèn)虛擬網(wǎng)(撥號(hào)VPN)和政府機(jī)關(guān)內(nèi)部虛擬網(wǎng)(網(wǎng)關(guān)對(duì)網(wǎng)關(guān)VPN)。如上圖所示，在省地市三級(jí)網(wǎng)絡(luò)出口處安裝曙光天羅防火墻，利用防火墻的VPN模塊，實(shí)現(xiàn)他們之間分層次的政府機(jī)關(guān)內(nèi)部虛擬網(wǎng)(網(wǎng)關(guān)對(duì)網(wǎng)關(guān)VPN)；而對(duì)于一些規(guī)模比較小的區(qū)線或移動(dòng)用戶，通過(guò)安裝VPN客戶端，實(shí)現(xiàn)遠(yuǎn)程訪問(wèn)虛擬網(wǎng)(撥號(hào)VPN)，整個(gè)構(gòu)成一個(gè)安全的虛擬內(nèi)部局域網(wǎng)，保障電子政務(wù)網(wǎng)絡(luò)的數(shù)據(jù)安全傳輸。

（二）防火墻的VPN功能

VPN是平衡Internet的適用性和價(jià)格優(yōu)勢(shì)的最有前途的新興通信手段之一。利用共享的IP網(wǎng)建立VPN連接，可以使服務(wù)對(duì)象減少對(duì)昂貴租用線路和復(fù)雜遠(yuǎn)程訪問(wèn)方案的依賴性。

也是至關(guān)重要的一點(diǎn)，它可以使移動(dòng)用戶和一些小型的分支機(jī)構(gòu)的網(wǎng)絡(luò)開銷減少達(dá)50%或更多；

政府機(jī)關(guān)新增的分支機(jī)構(gòu)或站點(diǎn)可以非常迅速方便地加入政府機(jī)關(guān)已建的基于VPN的INTRANET，所以VPN的可擴(kuò)展性大大優(yōu)于傳統(tǒng)構(gòu)建政府機(jī)關(guān)INTRANET的技術(shù)手段，如點(diǎn)對(duì)點(diǎn)專線或長(zhǎng)途撥號(hào)；

VPN不僅可以大幅度削減傳輸數(shù)據(jù)的開銷，同時(shí)可以削減傳輸話音的開銷；

VPN創(chuàng)造了多種伴隨著Web發(fā)展而出現(xiàn)的新的商業(yè)機(jī)會(huì)，包括：進(jìn)行全球電子商務(wù)，可以在減少銷售成本的同時(shí)增加銷售量；實(shí)現(xiàn)外連網(wǎng)，可以使用戶獲得關(guān)鍵的信息，更加貼近世界；可以訪問(wèn)全球任何角落的電子通勤人員和移動(dòng)用戶。

在當(dāng)今全球激烈競(jìng)爭(zhēng)的環(huán)境下，最先實(shí)現(xiàn)VPN的政府機(jī)關(guān)將在競(jìng)爭(zhēng)獲得優(yōu)勢(shì)已經(jīng)是不爭(zhēng)的事實(shí)，許多政府機(jī)關(guān)也開始紛紛利用經(jīng)濟(jì)有效的VPN來(lái)傳送話音業(yè)務(wù)，并從中受益：

◆ 減少用于相關(guān)的調(diào)制解調(diào)器和終端服務(wù)設(shè)備的資金及費(fèi)用，簡(jiǎn)化網(wǎng)絡(luò)； ◆ 實(shí)現(xiàn)本地?fù)芴?hào)接入的功能來(lái)取代遠(yuǎn)距離接入，這樣能顯著降低遠(yuǎn)距離通信的費(fèi)用； ◆ 遠(yuǎn)端驗(yàn)證撥入用戶服務(wù)基于標(biāo)準(zhǔn)，基于策略功能的安全服務(wù)；

◆ 將工作重心從管理和保留運(yùn)作撥號(hào)網(wǎng)絡(luò)的工作人員轉(zhuǎn)到公司的核心業(yè)務(wù)上來(lái)； ◆ 強(qiáng)大的基于 Web的VPN管理工具提供基于策略的 VPN配置和監(jiān)控，可以優(yōu)化網(wǎng)絡(luò)資源；

◆ 極大的可擴(kuò)展性，簡(jiǎn)便地對(duì)加入網(wǎng)絡(luò)的新用戶進(jìn)行調(diào)度。用戶不需改變網(wǎng)絡(luò)的原來(lái)架構(gòu)，只須安裝客戶端軟件并且設(shè)置此軟件的一些參數(shù)即可。同時(shí)也支持傳統(tǒng)的應(yīng)用，可以從小的政府機(jī)關(guān)擴(kuò)展到最大的政府機(jī)關(guān)；

◆ 更大的網(wǎng)絡(luò)靈活性，可以管理和發(fā)布不同類型的數(shù)據(jù)進(jìn)入同一Internet連接。VPN代表了當(dāng)今網(wǎng)絡(luò)發(fā)展演化的最高形式，它綜合了傳統(tǒng)數(shù)據(jù)網(wǎng)絡(luò)的性能優(yōu)點(diǎn)（安全和QoS）和共享數(shù)據(jù)網(wǎng)絡(luò)結(jié)構(gòu)的優(yōu)點(diǎn)（簡(jiǎn)單和低成本），必將成為未來(lái)傳輸完全匯聚業(yè)務(wù)的主要工具。

用戶可以通過(guò)硬件和軟件的方式來(lái)實(shí)現(xiàn)VPN功能，一般用戶都會(huì)使用硬件設(shè)備。在總部架設(shè)一個(gè)帶有VPN功能的防火墻，就可以讓地方聯(lián)到總部的內(nèi)部局域網(wǎng)了。使用這種具有VPN功能的防火墻都具有較高的安全性和穩(wěn)定性，因一個(gè)最大的優(yōu)點(diǎn)是既可以抵御外部的攻擊又可以提高自身網(wǎng)絡(luò)的安全性。

防火墻對(duì)服務(wù)器的保護(hù)

網(wǎng)絡(luò)中應(yīng)用的服務(wù)器，信息量大、處理能力強(qiáng)，往往是攻擊的主要對(duì)象。另外，服務(wù)器提供的各種服務(wù)本身有可能成為“黑客”攻擊的突破口，因此，在實(shí)施方案時(shí)要對(duì)服務(wù)器的安全進(jìn)行一系列安全保護(hù)。

如果服務(wù)器沒有加任何安全防護(hù)措施而直接放在公網(wǎng)上提供對(duì)外服務(wù)，就會(huì)面臨著“黑客”各種方式的攻擊，安全級(jí)別很低。因此當(dāng)安裝防火墻后，所有訪問(wèn)服務(wù)器的請(qǐng)求都要經(jīng)過(guò)防火墻安全規(guī)則的詳細(xì)檢測(cè)。只有訪問(wèn)服務(wù)器的請(qǐng)求符合防火墻安全規(guī)則后，才能通過(guò)防火墻到達(dá)內(nèi)部服務(wù)器。防火墻本身抵御了絕大部分對(duì)服務(wù)器的攻擊，外界只能接觸到防火墻上的特定服務(wù)，從而防止了絕大部分外界攻擊。

（四）防火墻對(duì)內(nèi)網(wǎng)的保護(hù)

網(wǎng)絡(luò)內(nèi)部的環(huán)境比較復(fù)雜，而且各子網(wǎng)的分布地域廣闊，網(wǎng)絡(luò)用戶、設(shè)備接入的可控性比較差，因此，內(nèi)部網(wǎng)絡(luò)用戶的可靠性并不能得到完全的保證。特別是對(duì)于存放敏感數(shù)據(jù)的主機(jī)的攻擊往往發(fā)自內(nèi)部用戶，如何對(duì)內(nèi)部用戶進(jìn)行訪問(wèn)控制和安全防范就顯得特別重要。為了保障內(nèi)部網(wǎng)絡(luò)運(yùn)行的可靠性和安全性，我們必須要對(duì)它進(jìn)行詳盡的分析，盡可能防護(hù)到網(wǎng)絡(luò)的每一節(jié)點(diǎn)。

對(duì)于一般的網(wǎng)絡(luò)應(yīng)用，內(nèi)部用戶可以直接接觸到網(wǎng)絡(luò)內(nèi)部幾乎所有的服務(wù)，網(wǎng)絡(luò)服務(wù)器對(duì)于內(nèi)部用戶缺乏基本的安全防范，特別是在內(nèi)部網(wǎng)絡(luò)上，大部分的主機(jī)沒有進(jìn)行基本的安全防范處理，整個(gè)系統(tǒng)的安全性容易受到內(nèi)部用戶攻擊的威脅，安全等級(jí)不高。根據(jù)國(guó)際上流行的處理方法，我們把內(nèi)部用戶跨網(wǎng)段的訪問(wèn)分為兩大類：其一，是內(nèi)部網(wǎng)絡(luò)用戶之間的訪問(wèn)，即單機(jī)到單機(jī)訪問(wèn)。這一層次上的應(yīng)用主要有用戶共享文件的傳輸（NETBIOS）應(yīng)用；其次，是內(nèi)部網(wǎng)絡(luò)用戶對(duì)內(nèi)部服務(wù)器的訪問(wèn)，這一類應(yīng)用主要發(fā)生在內(nèi)部用戶的業(yè)務(wù)處理時(shí)。一般內(nèi)部用戶對(duì)于網(wǎng)絡(luò)安全防范的意識(shí)不高，如果內(nèi)部人員發(fā)起攻擊，內(nèi)部網(wǎng)絡(luò)主機(jī)將無(wú)法避免地遭到損害，特別是針對(duì)于NETBIOS文件共享協(xié)議，已經(jīng)有很多的漏洞在網(wǎng)上公開報(bào)道，如果網(wǎng)絡(luò)主機(jī)保護(hù)不完善，就可能被內(nèi)部用戶利用“黑客”工具造成嚴(yán)重破壞。

由于網(wǎng)絡(luò)環(huán)境的復(fù)雜化和網(wǎng)絡(luò)應(yīng)用的多樣化日益明顯，對(duì)于內(nèi)部網(wǎng)絡(luò)除了必要的防攻擊設(shè)置外還必須防止內(nèi)部用戶的欺騙行為，比如IP地址欺騙、網(wǎng)絡(luò)連接的欺騙等。由于物理層上的原因，內(nèi)部用戶接觸網(wǎng)絡(luò)服務(wù)的機(jī)會(huì)、方法很多，如果沒有專門的安全防護(hù)，“黑客”就可以比較容易地實(shí)施欺騙、偽造身份及暴力攻擊（CRACK），對(duì)于內(nèi)部網(wǎng)絡(luò)的用戶，防范攻擊的難度較大。我們主要從以下幾個(gè)方面考慮：

1)內(nèi)部網(wǎng)絡(luò)風(fēng)險(xiǎn)分析：由于內(nèi)部攻擊發(fā)生的比較頻繁，因此我們首先要分析內(nèi)部網(wǎng)絡(luò)的安全隱患，把可能發(fā)生的不安定因素找出來(lái)進(jìn)行專門的安全處理；

2)內(nèi)部用戶網(wǎng)絡(luò)和網(wǎng)絡(luò)的隔離：把內(nèi)部比較重要的數(shù)據(jù)服務(wù)器放在專門的區(qū)域，加上獨(dú)立的控制體系，對(duì)于內(nèi)部網(wǎng)的訪問(wèn)同樣要進(jìn)行相應(yīng)的安全控制；

3)內(nèi)部網(wǎng)絡(luò)安全保護(hù)：結(jié)合物理層和鏈路層的特點(diǎn)，在物理層和鏈路層的接口處實(shí)施安全控制，實(shí)施IP/MAC綁定。

IDS詳述

IDS（入侵檢測(cè)系統(tǒng)）對(duì)于關(guān)心網(wǎng)絡(luò)安全防護(hù)的人們來(lái)說(shuō)已不再是一個(gè)陌生的名詞，在許多行業(yè)的計(jì)算機(jī)網(wǎng)絡(luò)安全防御工程中除了采用防病毒、防火墻或認(rèn)證加密等系統(tǒng)外，有近15%的安全項(xiàng)目會(huì)涉及到IDS系統(tǒng)，而且這些項(xiàng)目一般都對(duì)安全等級(jí)的要求非常高，對(duì)數(shù)據(jù)信息的保密性也有特別的要求。

IDS系統(tǒng)

要想高效使用IDS首先要對(duì)它進(jìn)行合理部署。通常IDS監(jiān)控保護(hù)的基本單位是一個(gè)網(wǎng)段，單個(gè)網(wǎng)段的最小組成元素是各臺(tái)主機(jī)，政府機(jī)關(guān)對(duì)各主機(jī)、各網(wǎng)段的安全性要求程度一般都不相同，所以確定IDS的保護(hù)對(duì)象是合理使用IDS的關(guān)鍵。

在優(yōu)先保護(hù)的網(wǎng)段中部署IDS系統(tǒng)，并配置合適的檢測(cè)策略，如在防火墻之內(nèi)部署IDS則可把安全策略配置得緊一些，即使用最大化的檢測(cè)策略，而在防火墻之外部署則可采用較為寬松的策略，因?yàn)榻?jīng)過(guò)防火墻過(guò)濾后，內(nèi)部網(wǎng)絡(luò)的安全狀況相對(duì)比較簡(jiǎn)單，而外部的情況則較為復(fù)雜，誤報(bào)的可能性也較大。另外，在一定的情況下有些內(nèi)部信任的主機(jī)也可能會(huì)觸發(fā)IDS的檢測(cè)引擎，從而形成報(bào)警，而對(duì)于用戶來(lái)說(shuō)，這些報(bào)警事件是沒有什么參考價(jià)值的，所以需要在檢測(cè)范圍中排除這些主機(jī)的IP地址；通常IDS系統(tǒng)中都有一個(gè)過(guò)濾器（FILTER）模塊或像KIDS那樣所具有的“非阻斷列表”的功能選項(xiàng)，可以允許用戶加入所有他們所信任的主機(jī)IP地址。

目前大多數(shù)的IDS系統(tǒng)主要采用基于包特征的檢測(cè)技術(shù)來(lái)組建，它們的基本原理是對(duì)網(wǎng)絡(luò)上的所有數(shù)據(jù)包進(jìn)行復(fù)制并檢測(cè)，然后與內(nèi)部的攻擊特征數(shù)據(jù)庫(kù)（規(guī)則庫(kù)）進(jìn)行匹配比較，如果相符即產(chǎn)生報(bào)警或響應(yīng)。這種檢測(cè)方式雖然比異常統(tǒng)計(jì)檢測(cè)技術(shù)要更加精確，但會(huì)給IDS帶來(lái)較大的負(fù)載，所以需要對(duì)檢測(cè)策略作進(jìn)一步的調(diào)整和優(yōu)化。具體做法是根據(jù)政府機(jī)關(guān)自身網(wǎng)絡(luò)的業(yè)務(wù)應(yīng)用情況，選擇最適合的檢測(cè)策略（可根據(jù)操作系統(tǒng)、應(yīng)用服務(wù)或部署位置等），并對(duì)所選的策略進(jìn)行修改，選擇具有參考價(jià)值的檢測(cè)規(guī)則，而去除一些無(wú)關(guān)緊要的選項(xiàng)，如對(duì)于全部是Windows的應(yīng)用環(huán)境，則完全可以把UNIX的規(guī)則去掉。有些IDS除了提供攻擊特征檢測(cè)規(guī)則的定制功能外，還提供了對(duì)端口掃描檢測(cè)規(guī)則的自定義，如在KIDS中就可定義端口掃描的監(jiān)控范圍、信任主機(jī)地址排除和掃描模式等參數(shù)，這些參數(shù)的合理配置都能將IDS的檢測(cè)能力優(yōu)化到最理想的狀態(tài)。

IDS監(jiān)控

IDS除了能對(duì)網(wǎng)絡(luò)上各種非法行為產(chǎn)生報(bào)警外還能對(duì)一些特定的事件進(jìn)行實(shí)時(shí)的響應(yīng)，因?yàn)橹挥胁扇〖皶r(shí)的響應(yīng)才能有效阻止重要的資源被破壞或被盜用。目前最常用的響應(yīng)方式是對(duì)網(wǎng)絡(luò)中的非法連接進(jìn)行阻斷，如利用防火墻阻斷、列入黑名單阻斷或HTTP阻斷等。在利用IDS進(jìn)行監(jiān)控時(shí)，不但需要查看它的報(bào)警提示，而且需要參考它所提供的實(shí)時(shí)狀態(tài)信息。因?yàn)樵诰W(wǎng)絡(luò)中發(fā)生異常行為時(shí)，網(wǎng)絡(luò)中的許多狀態(tài)信息一般都與正常情況下的狀態(tài)不一樣。如主機(jī)正遭到拒絕服務(wù)攻擊時(shí)（DoS或DDoS），網(wǎng)絡(luò)中的數(shù)據(jù)流量便可能會(huì)急速上升，這時(shí)可以從包流量或字節(jié)流量等實(shí)時(shí)的狀態(tài)圖表中發(fā)現(xiàn)這樣的異常情況。所以參考IDS所顯示的狀態(tài)信息也是非常重要的。實(shí)時(shí)狀態(tài)信息還包括當(dāng)前的活動(dòng)TCP連接、TCP/UDP/IP/ICMP等協(xié)議的包或字節(jié)流量等。IDS的最重要價(jià)值之一是它能提供事后統(tǒng)計(jì)分析，所有安全事件或?qū)徲?jì)事件的信息都將被記錄在數(shù)據(jù)庫(kù)中，可以從各個(gè)角度來(lái)對(duì)這些事件進(jìn)行分析歸類，以總結(jié)出被保護(hù)網(wǎng)絡(luò)的安全狀態(tài)的現(xiàn)狀和趨勢(shì)，及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)或主機(jī)中存在的問(wèn)題或漏洞，并可歸納出相應(yīng)的解決方案。

電子政務(wù)整體網(wǎng)絡(luò)安全解決方案

電子政務(wù)系統(tǒng)中存在大量敏感數(shù)據(jù)和應(yīng)用，因此必須設(shè)計(jì)一個(gè)高安全性、高可靠性及高性能的防火墻安全保護(hù)系統(tǒng)，確保數(shù)據(jù)和應(yīng)用萬(wàn)無(wú)一失。

各局的局域網(wǎng)計(jì)算機(jī)工作站包括終端、廣域網(wǎng)路由器、服務(wù)器群都直接匯接到本局的主干交換機(jī)上。由于工作站分布較廣且全部連接，可以通過(guò)電子政務(wù)網(wǎng)絡(luò)進(jìn)行相互訪問(wèn)，服務(wù)器就有可能收到攻擊。因此，必須在各局之間相互進(jìn)行隔離防護(hù)。

如下圖，我們?cè)诟骶致酚善骱蟀惭b曙光TLFW千兆防火墻，以有三千用戶在同時(shí)上Internet網(wǎng)計(jì)算，千兆防火墻的并發(fā)連接超過(guò)600,000，完全可以滿足整個(gè)網(wǎng)絡(luò)的需求，穩(wěn)定性上也滿足要求。同時(shí)，將局內(nèi)網(wǎng)與其他區(qū)域邏輯隔離開來(lái)，在數(shù)據(jù)中心內(nèi)，根據(jù)不同的服務(wù)器對(duì)安全性的不同需求，將它們分等級(jí)劃分為不同的區(qū)域，并通過(guò)詳細(xì)的包過(guò)濾規(guī)則制定，將這些服務(wù)器徹底保護(hù)起來(lái)，保證它們之間不能跨級(jí)別訪問(wèn)，這樣實(shí)現(xiàn)分級(jí)的安全性。

通過(guò)安裝防火墻，可以實(shí)現(xiàn)下列的安全目標(biāo)：

1)利用防火墻將內(nèi)部網(wǎng)絡(luò)、Internet外部網(wǎng)絡(luò)進(jìn)行有效隔離，避免與外部網(wǎng)絡(luò)直接通信；

2)利用防火墻建立網(wǎng)絡(luò)各終端和服務(wù)器的安全保護(hù)措施，保證系統(tǒng)安全；

3)利用防火墻對(duì)來(lái)自非內(nèi)部網(wǎng)的服務(wù)請(qǐng)求進(jìn)行控制，使非法訪問(wèn)在到達(dá)主機(jī)前被拒絕； 4)利用防火墻使用IP與MAC地址綁定功能，加強(qiáng)終端用戶的訪問(wèn)認(rèn)證，同時(shí)在不影響用戶正常訪問(wèn)的基礎(chǔ)上將用戶的訪問(wèn)權(quán)限控制在最低限度內(nèi)；

5)利用防火墻全面監(jiān)視對(duì)服務(wù)器的訪問(wèn)，及時(shí)發(fā)現(xiàn)和阻止非法操作；

6)利用防火墻及服務(wù)器上的審計(jì)記錄，形成一個(gè)完善的審計(jì)體系，建立第二條防線； 7)根據(jù)需要設(shè)置流量控制規(guī)則，實(shí)現(xiàn)網(wǎng)絡(luò)流量控制，并設(shè)置基于時(shí)間段的訪問(wèn)控制。下圖是電子政務(wù)網(wǎng)絡(luò)安全解決方案設(shè)計(jì)拓?fù)鋱D：

圖示：電子政務(wù)網(wǎng)絡(luò)安全總體拓?fù)?/p>

根據(jù)以上的分析，在整個(gè)政府網(wǎng)絡(luò)安全體系中，除了負(fù)責(zé)邊界安全的防火墻設(shè)備以外，還選擇了入侵檢測(cè)系統(tǒng)進(jìn)行共同防范，達(dá)到整個(gè)系統(tǒng)的高安全性。

同時(shí)因?yàn)橛脩粲袚芴?hào)VPN的需求，而曙光的天羅防火墻自身具備了VPN的功能，可以滿足遠(yuǎn)程連接用戶的安全要求。

具備了高安全性、高可靠性、高性能、高適用性、易管理、高度集成、靈活擴(kuò)展等產(chǎn)品特色。易于安裝和使用，網(wǎng)絡(luò)性能和透明性好，擁有自行設(shè)計(jì)的全中文化WWW管理界面，通過(guò)直觀、易用的界面來(lái)管理強(qiáng)大、復(fù)雜的系統(tǒng)功能。

可根據(jù)系統(tǒng)管理者設(shè)定的安全規(guī)則（Security Rules）把守網(wǎng)絡(luò)的大門，提供強(qiáng)大的訪問(wèn)控制、網(wǎng)絡(luò)地址轉(zhuǎn)換(Network Address Translation)、帶寬控制、P2P協(xié)議過(guò)濾等功能。

根據(jù)電子政務(wù)的實(shí)際需要，充分利用了曙光天羅防火墻的各功能模塊，實(shí)現(xiàn)了各功能模塊(防火墻模塊、入侵檢測(cè)模塊、VPN模塊等)的協(xié)同工作，再加上NIDS網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的重點(diǎn)防護(hù)，構(gòu)建了一個(gè)整合的動(dòng)態(tài)安全門戶，以比較經(jīng)濟(jì)實(shí)惠的方式，實(shí)現(xiàn)了對(duì)電子政務(wù)網(wǎng)絡(luò)的整體安全防護(hù)。

第三篇：證券行業(yè)客戶關(guān)系管理系統(tǒng)解決方案

證券行業(yè)客戶關(guān)系管理系統(tǒng)解決方案

解決方案全稱：證券行業(yè)客戶關(guān)系管理系統(tǒng)解決方案

開發(fā)商：

一、開發(fā)背景

在高速發(fā)展的中國(guó)證券業(yè)環(huán)境中，競(jìng)爭(zhēng)日趨激烈。對(duì)于證券公司各級(jí)管理者來(lái)說(shuō)，如何對(duì)公司及下屬營(yíng)業(yè)部的經(jīng)營(yíng)狀況有充分、及時(shí)、準(zhǔn)確的了解，進(jìn)而制定公司各方面的發(fā)展計(jì)劃；如何為客戶提供更高水準(zhǔn)的服務(wù)及更專業(yè)的投資建議，以進(jìn)一步鞏固和發(fā)展長(zhǎng)久的客戶關(guān)系，都是至關(guān)重要的。下面的一些問(wèn)題是證券公司普遍關(guān)心的。

1、公司目前的經(jīng)營(yíng)狀況、經(jīng)營(yíng)風(fēng)險(xiǎn)，利潤(rùn)來(lái)源及變化趨勢(shì)如何。

2、哪些客戶對(duì)公司來(lái)說(shuō)是最重要的，如何更好的服務(wù)于他們；哪些客戶正在流失，原因在何處。

3、哪些客戶的投資收益最大，哪些客戶的投資虧損最多，如何從中推廣經(jīng)驗(yàn)及吸取教訓(xùn)。

4、應(yīng)如何根據(jù)客戶的具體交易情況，提出投資建議。

上述問(wèn)題來(lái)自于公司不同職能部門的管理者，其中包括經(jīng)紀(jì)業(yè)務(wù)總部、投資銀行部、財(cái)務(wù)部、電腦部等，他們需要對(duì)不同的方面作決策，所需的信息來(lái)源各有不同。如何對(duì)這些問(wèn)題作及時(shí)、詳盡、準(zhǔn)確的回答，證券公司總部目前的信息系統(tǒng)很難實(shí)現(xiàn)。首先，數(shù)據(jù)分散在各個(gè)營(yíng)業(yè)部及不同的應(yīng)用系統(tǒng)中，且各個(gè)系統(tǒng)都是相互獨(dú)立的；其次，沒有好的系統(tǒng)幫助決策者揭示業(yè)務(wù)的關(guān)鍵因素,再有沒有一個(gè)靈活的工具幫助使用者方便地對(duì)客戶地行為進(jìn)行分析。因此，建立證券的客戶關(guān)系管理系統(tǒng)(數(shù)據(jù)倉(cāng)庫(kù)系統(tǒng)，決策支持系統(tǒng)，客戶關(guān)系管理子系統(tǒng))，顯得十分重要。金仕達(dá)公司集多年的證券業(yè)服務(wù)經(jīng)驗(yàn)，以及對(duì)數(shù)據(jù)倉(cāng)庫(kù)技術(shù)的深入理解，推出的金仕達(dá)客戶關(guān)系管理系統(tǒng)將為解決上述問(wèn)題提供完整的方案

二、方案詳細(xì)介紹

方案目標(biāo)

1、建造一個(gè)管理公司內(nèi)部各種有效數(shù)據(jù),組織這些數(shù)據(jù),提供多種角度分析數(shù)據(jù)以提供決策支持活動(dòng)

2、把營(yíng)業(yè)部的歷史數(shù)據(jù)更有效的聚集起來(lái),節(jié)省磁盤空間.3、提供一個(gè)新的分析問(wèn)題的手段和方法.在查詢大數(shù)據(jù)量時(shí)提高查詢速度.4、解決原有交易系統(tǒng)統(tǒng)計(jì)分析功能薄弱的問(wèn)題

5、提供一個(gè)高效的靈活報(bào)表工具

6、它以時(shí)間為基礎(chǔ)來(lái)管理數(shù)據(jù),允許用戶回顧并了解公司的過(guò)去與現(xiàn)在.7、以時(shí)間為基礎(chǔ)來(lái)跟蹤,分析和預(yù)測(cè)公司的交易情況,傭金收入,客戶的動(dòng)態(tài)

8、用戶可以通過(guò)固定報(bào)表,靈活報(bào)表、多維分析,對(duì)比分析,向下鉆取,向上鉆取,交叉鉆取,旋轉(zhuǎn),切片等多種形式實(shí)現(xiàn)多個(gè)層面的數(shù)據(jù)訪問(wèn).業(yè)務(wù)功能

1、交易分析：證券交易，新股交易，成交委托比，證券委托，換手率，證券流量，現(xiàn)金流量，資金交易

2、客戶情況：客戶流動(dòng)，客戶分布，客戶活動(dòng)

3、資產(chǎn)分析：資金余額，證券余額，盈虧分析，套牢程度，資產(chǎn)，利潤(rùn)，持倉(cāng)率

4、排行榜：成交金額，委托方式，托管市值，資金交易，資金余額，資產(chǎn)情況，傭金情況，貢獻(xiàn)率，熱門股等等排行

5、客戶分析：客戶資料查詢，客戶證券交易，客戶資金存取，客戶相對(duì)收益，客戶對(duì)帳單，客戶中意的證券，客戶喜歡的交易方式、客戶盈虧情況、客戶交易費(fèi)用、客戶套牢程度、客戶貢獻(xiàn)率

6、每日提醒

7、資訊主動(dòng)通知服務(wù)

8、每日工作

實(shí)現(xiàn)技術(shù)、平臺(tái)、開發(fā)工具

●操作系統(tǒng)平臺(tái)：WINDOWS2000 ADVANCE SERVER

●軟件開發(fā)平臺(tái)：IIS,SQL Server2000,Analysis Services,Office2000,IE

●相關(guān)開發(fā)工具：VB6.0, Excel2000,Frontpage2000,VI6.0,VC6.0

●客戶端平臺(tái)：Windows98(NT,2000),Ie5.0

市場(chǎng)銷售及競(jìng)爭(zhēng)情況

客戶關(guān)系管理系統(tǒng)v1.0是證券行業(yè)最早推出的解決方案，先后在10多家營(yíng)業(yè)部進(jìn)行了試用；今年與某證券公司合作開發(fā)客戶關(guān)系管理系統(tǒng)v2.0是目前證券行業(yè)真正投入使用的第一套系統(tǒng)，目前公司正與兩家證券公司進(jìn)行合作。目前開發(fā)該系統(tǒng)的主要有：美國(guó)艾克國(guó)際公司、創(chuàng)智公司、普元公司，這三家公司都不是長(zhǎng)期從事證券行業(yè)的公司，對(duì)證券行業(yè)的了解不是十分深入，且目前都沒有成功案例。

成功案例介紹

用戶單位名稱：廣東證券

背景情況

廣東證券股份有限公司的分支機(jī)構(gòu)----廣東證券順德管理總部成立于1992年11月，是順德市最早成立的證券公司。經(jīng)過(guò)幾年的發(fā)展，現(xiàn)已成為順德市規(guī)模最大，實(shí)力最雄厚的證券經(jīng)營(yíng)機(jī)構(gòu)，擁有絕對(duì)的市場(chǎng)份額。廣東證券順德管理總部建設(shè)CRM系統(tǒng)的設(shè)想是基于當(dāng)前經(jīng)紀(jì)業(yè)務(wù)面臨的挑戰(zhàn)和未來(lái)發(fā)展的方向而提出的。從順德管理總部在順德市證券市場(chǎng)的地位來(lái)看，廣證占有絕對(duì)的市場(chǎng)份額，如果進(jìn)行價(jià)格戰(zhàn)，對(duì)廣證順德管理總部來(lái)說(shuō)是得不償失的。只有在服務(wù)上下功夫，提高服務(wù)的質(zhì)量和特色，才能在市場(chǎng)競(jìng)爭(zhēng)中贏得勝利，所以堅(jiān)定不移地走服務(wù)的道路、走信息化服務(wù)、個(gè)性化服務(wù)的道路才是廣證順德的長(zhǎng)久發(fā)展之道。

在市場(chǎng)方面，廣證順德在順德市的證券市場(chǎng)中擁有絕對(duì)的客戶份額。由于成立時(shí)間比較早，加上腳踏實(shí)地的經(jīng)營(yíng)，在廣證順德積累了一大批優(yōu)質(zhì)的客戶，他們是廣證順德利潤(rùn)來(lái)源的主要貢獻(xiàn)者。但是，隨著證券市場(chǎng)競(jìng)爭(zhēng)加劇，在短短時(shí)間內(nèi)順德地區(qū)新增加了多家證券公司的服務(wù)機(jī)構(gòu)，由原來(lái)的三四家，增加到現(xiàn)在的11家；傭金自由化政策的出臺(tái)，對(duì)廣證順德客戶份額造成了猛烈的沖擊，特別對(duì)于優(yōu)質(zhì)客戶的流失，對(duì)廣證順德利潤(rùn)保證構(gòu)成了嚴(yán)重的威脅。在這種情況下，廣證順德采取了一系列的措施，加大IT投入、加強(qiáng)服務(wù)質(zhì)量，在傳統(tǒng)的經(jīng)紀(jì)業(yè)務(wù)領(lǐng)域和對(duì)手展開競(jìng)爭(zhēng)，但這種競(jìng)爭(zhēng)由于具有同質(zhì)、無(wú)個(gè)性化特點(diǎn)等特征，更多地受到價(jià)格因素的影響，所以廣證順德處在被動(dòng)防守的境地。這時(shí)候，研究開發(fā)個(gè)性化的服務(wù)，進(jìn)行全面的業(yè)務(wù)創(chuàng)新和服務(wù)創(chuàng)新成了廣證順德必然選擇。而實(shí)施客戶關(guān)系管理，雖然不能直接產(chǎn)生業(yè)務(wù)創(chuàng)新和服務(wù)創(chuàng)新，但它能幫助公司領(lǐng)導(dǎo)、營(yíng)業(yè)部經(jīng)理、客戶經(jīng)理發(fā)現(xiàn)真正有價(jià)值的客戶，找到這些客戶的迫切需求，從而進(jìn)行針對(duì)的業(yè)務(wù)創(chuàng)新和服務(wù)創(chuàng)新，實(shí)現(xiàn)經(jīng)紀(jì)業(yè)務(wù)更高層次的服務(wù)，在競(jìng)爭(zhēng)中贏得主動(dòng)。

在客戶服務(wù)方面，廣證順德一開始就在不斷嘗試不同的服務(wù)手段和方式，比如，廣證順德開始階段采用客戶經(jīng)理和信息研發(fā)人員合作服務(wù)的方式，一個(gè)客戶經(jīng)理配備一個(gè)信息研發(fā)人員，在對(duì)客戶服務(wù)過(guò)程中，兩個(gè)人相互配合，一個(gè)負(fù)責(zé)客戶的跟蹤服務(wù)，一個(gè)負(fù)責(zé)信息收集整理研究，從而希望能給客戶提供一些專業(yè)和周到的服務(wù)。但是，在這種方式下，由于研發(fā)人員的力量、精力有限，只能向客戶提供別人的研究成果，對(duì)于信息的準(zhǔn)確性和針對(duì)性沒有任何體現(xiàn)，所以對(duì)客戶的服務(wù)也是比較膚淺，實(shí)際的效果是沒有對(duì)客戶產(chǎn)生積極的影響。廣證順德在發(fā)現(xiàn)這個(gè)問(wèn)題之后，積極地調(diào)整了組織結(jié)構(gòu)，把素質(zhì)良好、具有較強(qiáng)分析研究能力的信息人員集中到了區(qū)域管理總部，專門成立了相應(yīng)的研究后臺(tái)部門，在這個(gè)部門里，所有的研究人員根據(jù)市場(chǎng)的特點(diǎn)，專門進(jìn)行金融品種、行業(yè)、熱點(diǎn)、市場(chǎng)動(dòng)態(tài)、大盤走勢(shì)的研究，并根據(jù)對(duì)信息地掌握，產(chǎn)生自己的投資組合，并在資產(chǎn)管理和客戶進(jìn)行應(yīng)用。而這個(gè)部門最大的功能還在于對(duì)廣證順德所有的客戶經(jīng)理提供資訊信息服務(wù)，使得這種服務(wù)更加專業(yè)化、更加具有權(quán)威性、更加準(zhǔn)確，客戶經(jīng)理在整個(gè)服務(wù)過(guò)程中更有信心，服務(wù)質(zhì)量和效率能得到明顯提高。但是，在這個(gè)過(guò)程中，廣證順德決策者們也意識(shí)到下面一些問(wèn)題：

●后臺(tái)研究部門的研究?jī)?nèi)容和客戶的需求存在脫節(jié)，研究成果存在浪費(fèi)；

●后臺(tái)研究部門的研究方向沒有針對(duì)性，研究人員對(duì)廣證的客戶群體缺乏清楚地認(rèn)識(shí)；

●后臺(tái)的研究部門和前臺(tái)的服務(wù)部門沒有建立信息通道，雙方的信息不能實(shí)現(xiàn)共享；

●客戶經(jīng)理的服務(wù)缺乏目的性，不能針對(duì)不同的客戶選擇不同的研發(fā)成果；

●后臺(tái)研究部門和前臺(tái)服務(wù)部門不能形成一定的監(jiān)督制約機(jī)制，無(wú)法形成互相促進(jìn)提高的反饋循環(huán)。

廣證順德的管理者們清楚地認(rèn)識(shí)到，這些問(wèn)題的解決只有依靠建立客戶關(guān)系管理系統(tǒng)。一方面改造業(yè)務(wù)流程，提高后臺(tái)研究部門和前臺(tái)服務(wù)部門的聯(lián)絡(luò)、溝通、監(jiān)督；另一方面全面整合客戶資料和數(shù)據(jù)，為研究人員、客戶經(jīng)理提供全面真實(shí)的客戶信息，從而進(jìn)行針對(duì)性地研究和服務(wù)；最后是實(shí)現(xiàn)后臺(tái)和前臺(tái)的信息共享。

在管理方面，廣證順德沿襲的是證券營(yíng)業(yè)部經(jīng)營(yíng)的一貫體制，即總部到營(yíng)業(yè)部，營(yíng)業(yè)部到客戶經(jīng)理的三級(jí)管理模式。雖然在這種模式下，廣證順德實(shí)行了成本、收入按營(yíng)業(yè)部單獨(dú)核算，人員的編制、薪酬有營(yíng)業(yè)部決定的方法，去進(jìn)一步提高客戶服務(wù)競(jìng)爭(zhēng)力，但是，隨著證券市場(chǎng)競(jìng)爭(zhēng)模式和方向的轉(zhuǎn)變，建立強(qiáng)大的營(yíng)銷體制，更多地爭(zhēng)奪客戶，成為任何一個(gè)證券公司考慮的大事，建立一個(gè)完善的經(jīng)紀(jì)人體制已經(jīng)成為證券經(jīng)紀(jì)營(yíng)銷的基礎(chǔ)。在這方面，只有將客戶和客戶經(jīng)理或者經(jīng)紀(jì)人，經(jīng)紀(jì)人和營(yíng)業(yè)部或者營(yíng)銷部門建立有機(jī)的聯(lián)系，才能在市場(chǎng)的競(jìng)爭(zhēng)中形成一個(gè)強(qiáng)有力的團(tuán)隊(duì)，才能在客戶拓展和服務(wù)上不斷進(jìn)步。建立客戶關(guān)系管理系統(tǒng)不但能在客戶分析和服務(wù)業(yè)務(wù)流程上發(fā)揮積極的貢獻(xiàn)，而且對(duì)建立一個(gè)良好的經(jīng)紀(jì)人管理體制起到不可忽視的作用，隨著該系統(tǒng)的不斷完善，以此為基礎(chǔ)的經(jīng)紀(jì)人工作平臺(tái)和管理平臺(tái)的建立，必然為廣證順德實(shí)現(xiàn)從傳統(tǒng)經(jīng)紀(jì)業(yè)務(wù)到當(dāng)前經(jīng)紀(jì)營(yíng)銷業(yè)務(wù)的轉(zhuǎn)型打下堅(jiān)實(shí)的基礎(chǔ)。

業(yè)務(wù)實(shí)施過(guò)程

廣證順德CRM系統(tǒng)建設(shè)從廣證順德和金仕達(dá)簽訂合同開始，上線運(yùn)行，經(jīng)歷了下面三個(gè)階段：需求調(diào)研、設(shè)計(jì)開發(fā)、調(diào)試培訓(xùn)。在需求調(diào)研階段深入到順德管理總部的各個(gè)部門以及下轄營(yíng)業(yè)部進(jìn)行針對(duì)性的調(diào)查和座談，了解他們的基本思路和設(shè)想，業(yè)務(wù)流程、急需解決的問(wèn)題等等，雙方抱著求實(shí)、創(chuàng)新的態(tài)度，認(rèn)真考慮解決問(wèn)題的途徑和辦法，總結(jié)出了廣證順德基本需求。設(shè)計(jì)開發(fā)嚴(yán)格遵從ISO9001規(guī)范進(jìn)行開發(fā)，通過(guò)現(xiàn)場(chǎng)的安裝使用、培訓(xùn)，逐步將廣證順德的管理體系按照以客戶為中心的理順，從而真正發(fā)揮系統(tǒng)的效果。廣東證券順德管理總部CRM系統(tǒng)基于柜臺(tái)系統(tǒng)歷史數(shù)據(jù)以及其他相關(guān)數(shù)據(jù)源，構(gòu)建數(shù)據(jù)倉(cāng)庫(kù)系統(tǒng)，以數(shù)據(jù)倉(cāng)庫(kù)系統(tǒng)為核心提供區(qū)域總部各類人員使用的相關(guān)業(yè)務(wù)系統(tǒng)，可以分為經(jīng)理管理系統(tǒng)、客戶經(jīng)理系統(tǒng)、分析師系統(tǒng)、維護(hù)管理系統(tǒng)。經(jīng)理管理系統(tǒng)、客戶經(jīng)理系統(tǒng)、分析師系統(tǒng)主要完成數(shù)據(jù)展示、業(yè)務(wù)報(bào)表和信息查詢功能，提供給CRM業(yè)務(wù)人員使用。維護(hù)管理系統(tǒng)主要提供給證券公司信息技術(shù)人員使用，是CRM系統(tǒng)的基礎(chǔ)和支持平臺(tái)，主要用于從柜臺(tái)系統(tǒng)(生產(chǎn)系統(tǒng))和其它數(shù)據(jù)接口(如客戶背景資料、證券市場(chǎng)資料等人工錄入管理庫(kù)表)采集抽取、清洗整理、格式轉(zhuǎn)換、加載入庫(kù)，以及整個(gè)CRM系統(tǒng)的日常管理和維護(hù)。系統(tǒng)的使用者以及數(shù)據(jù)流如下圖所示：

.系統(tǒng)提供的主要業(yè)務(wù)功能包括

●交易分析：證券交易，新股交易，成交委托比，證券委托，換手率，證券流量，現(xiàn)金流量，資金交易

●資產(chǎn)分析：資金余額，證券余額，盈虧分析，套牢程度，資產(chǎn)，利潤(rùn)，持倉(cāng)率

●排行榜：成交金額，委托方式，托管市值，資金交易，資金余額，資產(chǎn)情況，傭金情況，貢獻(xiàn)率，熱門股等等排行

●客戶分析：客戶資料查詢，客戶證券交易，客戶資金存取，客戶相對(duì)收益，客戶對(duì)帳單，客戶中意的證券，客戶喜歡的交易方式、客戶盈虧情況、客戶交易費(fèi)用、客戶套牢程度、客●戶貢獻(xiàn)率

●每日提醒

●資訊主動(dòng)通知服務(wù)

●每日工作

系統(tǒng)開發(fā)采用的實(shí)現(xiàn)技術(shù)、平臺(tái)、開發(fā)工具如下：

●操作系統(tǒng)平臺(tái)：WINDOWS2000 ADVANCE SERVER

●軟件開發(fā)平臺(tái)：IIS,SQL Server2000,Analysis Services,Office2000,IE

●相關(guān)開發(fā)工具：VB6.0, Excel2000,Frontpage2000,VI6.0,VC6.0

●客戶端平臺(tái)：Windows98(NT,2000),Ie5.0

效果與反饋

系統(tǒng)實(shí)施成功已經(jīng)兩個(gè)多月了，廣證順德利用該系統(tǒng)成功的改變了傳統(tǒng)的經(jīng)營(yíng)思路和管理模式，真正走向了以經(jīng)紀(jì)人為核心，以客戶服務(wù)為基礎(chǔ)的管理新路。系統(tǒng)的成功使用，極大的提高了廣證順德的管理服務(wù)水平，得到了用戶的極大好評(píng)。

其他具體描述

客戶關(guān)系管理系統(tǒng)永遠(yuǎn)不會(huì)是一種成型的產(chǎn)品，它將會(huì)根據(jù)不同用戶的管理模式而變。因此系統(tǒng)的投入是十分巨大的，由于短期內(nèi)系統(tǒng)帶來(lái)的效益不是十分明顯，每個(gè)公司都會(huì)是采取分階段實(shí)施的方式進(jìn)行。

由于這是一套管理系統(tǒng)，又采用了數(shù)據(jù)倉(cāng)庫(kù)技術(shù)，因此實(shí)際運(yùn)行時(shí)系統(tǒng)的軟硬件投資會(huì)超過(guò)一百萬(wàn)，對(duì)于管理人員的培訓(xùn)也是十分重要的，投入也會(huì)十分巨大。

第四篇：1 證券解決方案

證券解決方案

證券行業(yè)的網(wǎng)絡(luò)應(yīng)用主要分為兩大方面：營(yíng)業(yè)部網(wǎng)絡(luò)和證券公司廣域網(wǎng)。前者實(shí)現(xiàn)了各營(yíng)業(yè)部的基本工作職能，側(cè)重于局域網(wǎng)建設(shè)；后者則滿足了大型跨地域證券公司的網(wǎng)絡(luò)互連需求和增值服務(wù)的實(shí)現(xiàn)。為此，通威公司針對(duì)兩類應(yīng)用的特點(diǎn)分別提出了相應(yīng)的解決方案。

1、營(yíng)業(yè)部網(wǎng)絡(luò)

營(yíng)業(yè)部網(wǎng)絡(luò)的功能由以下幾部分組成：

1、交易/行情業(yè)務(wù)處理

這是每一個(gè)證券營(yíng)業(yè)部網(wǎng)絡(luò)所要提供的基本職能。它需要為用戶提供行情公告和委托下單服務(wù)，一般基于Novell網(wǎng)絡(luò)操作系統(tǒng)應(yīng)用程序；同時(shí)還要具有交易清算的功能，這一般在Windows NT或UNIX環(huán)境下完成。交易/行情業(yè)務(wù)數(shù)據(jù)以文字為主，僅帶有少量圖形信息，但數(shù)據(jù)量大，更新頻繁，其網(wǎng)絡(luò)傳遞能力代表了證券營(yíng)業(yè)部的服務(wù)質(zhì)量和市場(chǎng)競(jìng)爭(zhēng) 力，因此為這項(xiàng)主業(yè)務(wù)作支撐的網(wǎng)絡(luò)要求具有很高的可靠性、數(shù)據(jù)傳輸速率和安全性。根據(jù)各營(yíng)業(yè)部規(guī)模不同，網(wǎng)絡(luò)環(huán)境大多采用100/1000M交換以太網(wǎng)作主干，10/100M 交換以太網(wǎng)到桌面的連接方式。

2、辦公管理

除業(yè)務(wù)處理外，辦公管理現(xiàn)代化也是行業(yè)發(fā)展的必然趨勢(shì)，它可將營(yíng)業(yè)部的各項(xiàng)管理數(shù)據(jù)作電子存檔，通過(guò)網(wǎng)絡(luò)共享，做到準(zhǔn)確、及時(shí)、方便的信息交流，這部分?jǐn)?shù)據(jù)以文字和圖形為主，一般采用界面友好的瀏覽器形式操作。相對(duì)主業(yè)務(wù)數(shù)據(jù)而言，辦公管理對(duì)網(wǎng)絡(luò)實(shí)時(shí)性要求不高，主要強(qiáng)調(diào)系統(tǒng)的安全可靠、穩(wěn)定和經(jīng)濟(jì)性。為此網(wǎng)絡(luò)采用100M交換以太網(wǎng)主干，10M交換到桌面的連接方式就足以滿足需求了。

3、通信服務(wù)

通信服務(wù)的內(nèi)容涉及多個(gè)方面。這主要包括：發(fā)展證券公司內(nèi)部Intranet,以WEB、電子郵件等方式加強(qiáng)辦公管理；進(jìn)一步與當(dāng)?shù)匦畔⒏邸⒒ヂ?lián)網(wǎng)連通，實(shí)現(xiàn)資源共享，同時(shí)擴(kuò)展市場(chǎng)影響力；增加本地?fù)苋敕?wù)，建立遠(yuǎn)程大戶室，從而開拓新的業(yè)務(wù)范圍等。這部分功能體現(xiàn)了證券公司的增值能力，其應(yīng)用特點(diǎn)為靈活、多樣，并且往往要借助于廣域網(wǎng)鏈路來(lái)實(shí)現(xiàn)，要求系統(tǒng)可靠、擴(kuò)展能力強(qiáng)，廣域網(wǎng)鏈路經(jīng)濟(jì)，而互聯(lián)網(wǎng)的接入則對(duì)網(wǎng)絡(luò)的安全性提出考驗(yàn)。為此可采用防火墻和認(rèn)證軟件來(lái)保證系統(tǒng)的安全可靠，采用模塊化設(shè)計(jì)的網(wǎng)絡(luò)設(shè)備保證系統(tǒng)的擴(kuò)充能力，并采用優(yōu)化的帶寬管理、多種鏈路技術(shù)、高速緩存等來(lái)保證廣域網(wǎng)鏈路的經(jīng)濟(jì)性。

證券營(yíng)業(yè)部網(wǎng)絡(luò)的各項(xiàng)功能并非是各自獨(dú)立的，而是相輔相成，并最終在一個(gè)統(tǒng)一的網(wǎng)絡(luò)架構(gòu)中實(shí)現(xiàn)。綜上所述，這個(gè)網(wǎng)絡(luò)的主體要求是：

? 可靠，不停機(jī)－－系統(tǒng)有一定的冗余和備份，故障恢復(fù)迅速；

高速－－在用戶數(shù)據(jù)較多、突發(fā)流量大的情況下，不容許出現(xiàn)網(wǎng)絡(luò)瓶頸，阻礙正常交易；

安全－－鑒于網(wǎng)絡(luò)中傳遞的信息就是金錢，一定要保證數(shù)據(jù)安全保密，防止不良分子破壞，尤其在互聯(lián)網(wǎng)接入、危機(jī)四伏的情況下，網(wǎng)絡(luò)安全更要引起重視；

可管理性－－為保證系統(tǒng)良好的運(yùn)行，滿足前述幾項(xiàng)要求，營(yíng)業(yè)部網(wǎng)絡(luò)也需要實(shí)施完善的管理，如精確分析網(wǎng)絡(luò)流量、確定系統(tǒng)運(yùn)行狀態(tài)，監(jiān)控非法用戶入侵等。? ?

結(jié)合上述網(wǎng)絡(luò)要求，并針對(duì)不同的營(yíng)業(yè)部規(guī)模和各自應(yīng)用特點(diǎn)，通威公司提出了以下多種解決方案。

(1)500節(jié)點(diǎn)以下證券營(yíng)業(yè)部解決方案

這是針對(duì)相對(duì)小型的證券營(yíng)業(yè)部提出的解決方案，方案特點(diǎn)如下。

1.系統(tǒng)全套備份，主干交換機(jī)的全冗余配置，每個(gè)工作站到每臺(tái)服務(wù)器都有多條連接鏈路，并采用快速以太網(wǎng)通道化、快速上聯(lián)恢復(fù)和快速端口恢復(fù)等技術(shù)充分確保網(wǎng)絡(luò)的可靠性。

2.高性能全交換，利用快速以太網(wǎng)通道化/千兆以太網(wǎng)通道化技術(shù)擴(kuò)展網(wǎng)絡(luò)帶寬，滿足大負(fù)荷網(wǎng)絡(luò)運(yùn)行需求；

3.系統(tǒng)安全，保密性高，交換機(jī)端口安全設(shè)置技術(shù)保證了局域網(wǎng)環(huán)境的安全，而IOS操作系統(tǒng)集成防火墻功能構(gòu)成了廣域連接安全屏障；

4.管理簡(jiǎn)單，可在用戶熟悉的瀏覽器界面下，對(duì)系統(tǒng)的交換機(jī)實(shí)施配置和監(jiān)控。管理人員也無(wú)需專門培訓(xùn)。

A、百兆主干方案

根據(jù)經(jīng)濟(jì)承受能力的不同，對(duì)500節(jié)點(diǎn)以下的營(yíng)業(yè)部解決方案可以有百兆主干和千兆主干兩種方式，百兆主干方案拓?fù)浣Y(jié)構(gòu)如下

由下圖可看出，該方案網(wǎng)絡(luò)設(shè)備組成為(斜杠表示可互換設(shè)備)

Catalyst 3524/2948G交換機(jī) 兩臺(tái)

Catalyst 2924/3524/3548交換機(jī) 十臺(tái) Cisco 2600路由器 一臺(tái)

思科公司的Catalyst 3524或Catalyst 2948G交換機(jī)是這一網(wǎng)絡(luò)的核心設(shè)備，Catalyst 3524提供了24個(gè)10/100M自適應(yīng)的快速以太網(wǎng)端口和兩上千兆以太網(wǎng)端口，Catalyst 2948G則具有48個(gè)10/100M快速以太網(wǎng)端口和兩個(gè)千兆以太網(wǎng)端口，可分別用于對(duì)工作站數(shù)量有不同要求的應(yīng)用，由圖1可看出，兩臺(tái)Catalyst 3524/2948G各自利用兩個(gè)百兆端口通過(guò)Cisco FEC(快速以太網(wǎng)通道，F(xiàn)ast Ethernet Channel)接成高達(dá)400M的無(wú)阻塞通道，成為該網(wǎng)絡(luò)的主干；每臺(tái)Catalyst 3524/2948G又分別和十臺(tái)二級(jí)交換機(jī)Catalyst 2924/3524/3548級(jí)聯(lián)，共可為220-460個(gè)10M或100M用戶工作站提供網(wǎng)絡(luò)接 入；同時(shí)，為保證交易服務(wù)器和行情服務(wù)器的高數(shù)據(jù)傳輸率，主干交換機(jī)Catalyst 3524/2948G又以100M甚至1000M帶寬分別與各臺(tái)服務(wù)器相連，使下級(jí)工作站的大量訪問(wèn)數(shù)據(jù)得以暢通無(wú)阻。

為實(shí)現(xiàn)前文所述的營(yíng)業(yè)部網(wǎng)絡(luò)的第三項(xiàng)功能－－通信服務(wù)，方案中還引入了思科公司的路由器Cisco 2600，這是一款功能靈活、得以廣泛應(yīng)用的中檔路由器，除了有固定的10M或10/100M局域網(wǎng)端口外，還具備一個(gè)NM網(wǎng)絡(luò)插槽和兩個(gè)WIC廣域網(wǎng)接口插槽，所選模塊可以有多種組合：如NM-8AM模塊可為遠(yuǎn)程大戶同時(shí)建立八條115.2K的電話撥號(hào)連接；WIC－IT可通過(guò)DDN專線或幀中繼接入Internet或公司總部；WIC-IB則可提供一條ISDN撥號(hào)鏈路……營(yíng)業(yè)部可根據(jù)自身需求選擇適合的Cisco 2600型號(hào)和相應(yīng)模塊，空余的插槽可為以后網(wǎng)絡(luò)升級(jí)留出空間。

除了硬件選配的靈活多樣外，Cisco 2600在操作系統(tǒng)軟件性能上也可以有豐富的功能選擇。圖1中所示的路由器后方帶有一個(gè)紅色磚墻標(biāo)志，它表示該路由器兼任了防火墻－－這是通過(guò)操作系統(tǒng)升級(jí)而具備的增強(qiáng)功能，它使路由器在承擔(dān)遠(yuǎn)程連接的同時(shí)實(shí)施數(shù)據(jù)包檢驗(yàn)和過(guò)濾，防止非法用戶侵入到內(nèi)部局域網(wǎng)中。

考慮到遠(yuǎn)程大戶室的發(fā)展趨勢(shì)，在每套解決方案中都用到了800/1700路由器來(lái)引入遠(yuǎn)程大戶連接，這套方案中用到了思科公司的低端路由器Cisco 800/1700，它提供了對(duì)內(nèi)的10/100M局域網(wǎng)接口和對(duì)外的128K的ISDN或?qū)＞€連接，通過(guò)專用線路實(shí)現(xiàn)遠(yuǎn)程交易或?yàn)g覽等應(yīng)用。ISDN是國(guó)內(nèi)已廣泛應(yīng)用的一種撥號(hào)技術(shù)，按連接時(shí)間計(jì)費(fèi)，費(fèi)用比普通電話線稍高，但帶寬能達(dá)到普通電話線的3-4倍，且傳輸穩(wěn)定，連接迅速。

思科公司產(chǎn)品系統(tǒng)的中、低端路由器都可以通過(guò)操作系統(tǒng)升級(jí)具備防火墻性能，在承擔(dān)遠(yuǎn)程連接的同時(shí)實(shí)施數(shù)據(jù)包檢驗(yàn)和過(guò)濾，防止非法用戶入侵到內(nèi)部局域網(wǎng)中。對(duì)連接到廣域網(wǎng)的用戶來(lái)說(shuō)，安全性是網(wǎng)絡(luò)設(shè)計(jì)中不可忽視的一項(xiàng)重要因素。

這種局域網(wǎng)設(shè)計(jì)的最大特點(diǎn)是高效率、高可靠性、高安全性和高可管理性；并且成本較低，網(wǎng)絡(luò)結(jié)構(gòu)易于搭建和管理，兼顧了證券營(yíng)業(yè)部的多方面應(yīng)用。高效率體現(xiàn)在FEC技術(shù)的使用、網(wǎng)絡(luò)的分層結(jié)構(gòu)和帶寬的合理分配上。FEC技術(shù)是鏈路帶寬擴(kuò)容的一條重要途徑。它可在100M或1000M以太網(wǎng)端口間實(shí)現(xiàn)，用于將多條并行鏈路的帶寬疊加起來(lái)。這項(xiàng)技術(shù)能夠把2-4組高速端口之間的連接帶寬聚合在一起，在全雙工工作模式下達(dá)到400M-800M的帶寬，這樣多條鏈路被用作單條高速數(shù)據(jù)通道，避免了回路的形成。以太網(wǎng)通道技術(shù)也體現(xiàn)了產(chǎn)品的可擴(kuò)充性能，能充分利用現(xiàn)有設(shè)備實(shí)現(xiàn)高速數(shù)據(jù)傳遞。

高可靠性則由兩臺(tái)主干交換機(jī)的全冗余充分表現(xiàn)出來(lái)：從每個(gè)工作站到每臺(tái)服務(wù)器都有多條連接鏈路，這樣即使其中一條鏈路斷線或一個(gè)主干交換機(jī)發(fā)生故障，都能在用戶覺察不到的極短時(shí)間內(nèi)啟用備份恢復(fù)數(shù)據(jù)傳遞，從而保證了系統(tǒng)穩(wěn)定可靠的運(yùn)行。思科交換機(jī)所支持的幾種容錯(cuò)技術(shù)，如FEC、Uplink-Fast(快速上聯(lián)恢復(fù))和Port-Fast(快速端口恢復(fù))技術(shù)能夠充分確保網(wǎng)絡(luò)的可靠性。FEC技術(shù)的引入在實(shí)現(xiàn)帶寬擴(kuò)充的同時(shí)，多條鏈路被用作單條高速數(shù)據(jù)通道，避免了回路的形成，另外通道中部分線路的故障不影響其它線路的帶寬聚合，從而也保障了網(wǎng)絡(luò)的可靠性?？焖偕下?lián)恢復(fù)是用在交換機(jī)間級(jí)聯(lián)鏈路上的一項(xiàng)技術(shù)。它使備份端口直接由阻塞進(jìn)入到轉(zhuǎn)發(fā)狀態(tài)，從而使網(wǎng)絡(luò)收斂時(shí)間從40秒大大縮短至5秒以內(nèi)?？焖俣丝诨謴?fù)技術(shù)應(yīng)用在直接連接工作站或服務(wù)器的交換機(jī)端口上，它與快速上聯(lián)恢復(fù)的工作原理類似，將轉(zhuǎn)換延遲從40秒縮短至2秒以內(nèi)，這樣在交換機(jī)上接入新的工作站，或改變某工作站的所接端口時(shí)，該站點(diǎn)能很快進(jìn)入工作狀態(tài)。

系統(tǒng)的安全性包含了局域網(wǎng)的安全性和廣域網(wǎng)的安全性。思科局域網(wǎng)交換機(jī)能夠進(jìn)行端口安全的設(shè)置，交換機(jī)端口所連的各個(gè)工作站/服務(wù)器都有自己唯一的MAC地址，為此對(duì)應(yīng)交換機(jī)的每端口都有一下MAC地址表。網(wǎng)絡(luò)管理員可手動(dòng)地在表中加入特定的MAC和端口的對(duì)應(yīng)關(guān)系，將設(shè)備與端口綁定，防止假冒身份的非法用戶通過(guò)網(wǎng)絡(luò)中其它交換機(jī)接入；此外，端口安全機(jī)制還體現(xiàn)在對(duì)每端口所支持MAC地址數(shù)的限定上。在廣域網(wǎng)方面，思科公司路由器的操作系統(tǒng)IOS能夠集成防火墻功能。這使路由器在完成路由和遠(yuǎn)程連接功能的同時(shí)充當(dāng)安全屏障－－防火墻的角色，對(duì)規(guī)模較小的證券營(yíng)業(yè)部，IOS防火墻不失為一種經(jīng)濟(jì)的選擇。

此外，系統(tǒng)的管理相對(duì)簡(jiǎn)單，可以采用Cisco交換機(jī)視像管理器(CVSM)，它是一套基于WEB的免費(fèi)配置管理軟件，可在用戶熟悉的瀏覽器界面下對(duì)思科交換機(jī)系列產(chǎn)品實(shí)施配置和監(jiān)控。CVSM避免了對(duì)交換機(jī)操作系統(tǒng)語(yǔ)言的直接介入，而以更為友好的圖形界面取而代之。用戶只需在交換機(jī)上只需事先設(shè)定好IP地址，就可以通過(guò)CVSM輕松地去訪問(wèn)和管理它；所有操作一次性完成，不需隨時(shí)監(jiān)控。

B、千兆主干方案

在同一網(wǎng)絡(luò)規(guī)模下，若證券公司對(duì)網(wǎng)絡(luò)主干有更高的要求，可通過(guò)更換前套方案中的主干交換機(jī)將其提升為千兆主干網(wǎng)絡(luò)，拓樸結(jié)構(gòu)如下：

圖中網(wǎng)絡(luò)設(shè)備組成為：[見圖]

Catalyst4003交換機(jī) 兩臺(tái)

Catalyst2924/3524/3548交換機(jī) 十臺(tái)

Cisco 2600路由器 一臺(tái)

該方案與前方案結(jié)構(gòu)大致相同，只是核心交換機(jī)由原來(lái)的Catalyst 3524/2948G升級(jí)為Catalyst 4003,它具備三個(gè)接口插槽，可選擇的以太網(wǎng)端口從帶寬上和密度上都比Catalyst 3524/2948G有較大提高。這里共選配了8個(gè)千兆端口和32個(gè)百兆端口，從而可以將兩臺(tái)主干間的百兆FEC通道提升為千兆GEC通道，接成高達(dá)4G的主干帶寬；同時(shí)也可為更多的行情/交易服務(wù)器或數(shù)據(jù)量較大的二級(jí)交換機(jī)提供千兆連接。千兆以太網(wǎng)通道化技術(shù)與快速以太網(wǎng)通道化技術(shù)類似，它可將2-4組千兆端口之間的連接帶寬聚合在一起，在全雙工工作模式下達(dá)到4-8G的帶寬，這樣多條鏈路被用作單條高速數(shù)據(jù)通道，在提高傳輸效率的同時(shí)避免了回路的形成，通道中部分線路的故障不影響其它線路的帶寬聚合，從而也提高了網(wǎng)絡(luò)的可靠性。

(2)500-1000節(jié)點(diǎn)證券營(yíng)業(yè)部解決方案

能支持500-1000節(jié)點(diǎn)的證券營(yíng)業(yè)部屬中型規(guī)模，它的網(wǎng)絡(luò)建設(shè)同樣需要滿足營(yíng)業(yè)部網(wǎng)絡(luò)的特定要求，并且相對(duì)500節(jié)點(diǎn)以下的網(wǎng)絡(luò)還應(yīng)具有更高的數(shù)據(jù)吞吐能力，此類系統(tǒng)的主要特點(diǎn)如下：

系統(tǒng)全套備份，穩(wěn)定可靠，獨(dú)特的堆疊技術(shù)能夠在網(wǎng)絡(luò)中構(gòu)造冗余，在堆疊之外每個(gè)二級(jí)網(wǎng)點(diǎn)和服務(wù)器仍同時(shí)與兩臺(tái)主干交換機(jī)作千兆雙鏈路連接，保障系統(tǒng)運(yùn)行的可靠性；利用HSRP技術(shù)，可以實(shí)現(xiàn)兩個(gè)主干交換機(jī)在第三層上的熱備份功能；

高性能全交換，千兆主干，并采用千兆以太網(wǎng)通道化技術(shù)擴(kuò)充帶寬，能滿足大負(fù)荷網(wǎng)絡(luò)運(yùn)行需求；第三層交換技術(shù)，能夠使兩個(gè)網(wǎng)段在進(jìn)行數(shù)據(jù)交換時(shí)，可以根據(jù)不同的應(yīng)用有選擇的進(jìn)行，提高了帶寬資源的利用率。VLAN技術(shù)的引入也使得系統(tǒng)資源能夠被更有效地利用，結(jié)合HSRP(熱備份路由協(xié)議)技術(shù)、PVST(每個(gè)VLAN單獨(dú)計(jì)算Spanning Tree)技 術(shù)，使每個(gè)二級(jí)交換機(jī)上的兩條聯(lián)鏈路同時(shí)處于傳輸狀態(tài)，各自分擔(dān)一部分VLAN的數(shù)據(jù)傳輸，充分利用帶寬。

系統(tǒng)安全，保密性高，采用先進(jìn)的虛擬局域網(wǎng)技術(shù)，它依靠用戶邏輯設(shè)定將原來(lái)物理上互連的一個(gè)局域網(wǎng)絡(luò)劃分為多個(gè)虛擬網(wǎng)段，同一虛網(wǎng)內(nèi)數(shù)據(jù)可自由通訊，而不同虛網(wǎng)間的數(shù)據(jù)交流則需要通過(guò)第三層交換來(lái)完成，從而提高了系統(tǒng)的安全性。

可選用功能相對(duì)強(qiáng)大的專業(yè)網(wǎng)管系統(tǒng)，使網(wǎng)絡(luò)管理從單純的配置管理擴(kuò)展到設(shè)備配置和網(wǎng)絡(luò)健康狀況管理等多個(gè)方面，管理界面友好，使用靈活方便。

通威公司針對(duì)這種規(guī)模的網(wǎng)絡(luò)提供的方案拓?fù)浣Y(jié)構(gòu)如下：

圖中網(wǎng)絡(luò)設(shè)備組成如下圖：

Catalyst 4006/6506交換機(jī) 兩臺(tái)

Catalyst 2948G/2980G交換機(jī) 若干 Catalyst 3524/3548交換機(jī) 若干

Cisco 2600路由器 一臺(tái)

由圖可看出，這套方案仍為雙主干互備份，級(jí)聯(lián)多個(gè)二級(jí)交換機(jī)的結(jié)構(gòu)。但為支持更多用戶數(shù)和更多大的數(shù)據(jù)傳輸量，各級(jí)設(shè)備都相應(yīng)升級(jí)：主干交換機(jī)采用兩臺(tái)Catalyst 4006(6個(gè)接口插槽，帶第三層交換模塊)或Catalyst 6506(6個(gè)接口插槽，帶第三層交換模塊MSFC)，以GEC技術(shù)構(gòu)造8G高速主干，足以負(fù)擔(dān)沉重的數(shù)據(jù)傳輸量；二級(jí)交換機(jī)可采用Catalyst 2948G/2980G，同時(shí)與兩主干交換機(jī)作千兆上聯(lián)，并為工作站提供48/80個(gè) 10/100M接入端口；若某些二級(jí)網(wǎng)點(diǎn)要求的用戶數(shù)更多，則可采用多臺(tái)Catalyst 3524/3548堆疊－－思科公司的Catalyst3500交換機(jī)具有獨(dú)特的GigaStack堆疊技術(shù)，采用價(jià)格低廉的銅纜以菊花鏈方式構(gòu)成1G的堆疊總線，每堆疊最多可支持九臺(tái)Catalyst 3524/3548,提供多達(dá)300多個(gè)10/100M工作站接入端口。

該方案充分考慮到系統(tǒng)的高可靠性、高安全性、高速率和可管理性。

在可靠性方面，思科的GigaStack堆疊技術(shù)，使首尾兩臺(tái)交換機(jī)的額外連線將整個(gè)總線結(jié)成回路，其目的是在堆疊內(nèi)構(gòu)造冗余，這樣即使堆疊中任一連接出現(xiàn)故障，都能繼續(xù)傳遞數(shù)據(jù)；在堆疊之外，每個(gè)二級(jí)網(wǎng)點(diǎn)和服務(wù)器仍同時(shí)與兩臺(tái)主干交換機(jī)作千兆雙鏈路連接，保障系統(tǒng)運(yùn)行的可靠性。

該方案采用了虛擬局域網(wǎng)(VLAN)技術(shù)來(lái)充分保證系統(tǒng)的安全性。隨著用戶的增多，整個(gè)營(yíng)業(yè)部局域網(wǎng)內(nèi)數(shù)據(jù)流通量增大，并且行情、交易、辦公管理的數(shù)據(jù)混雜，不利于網(wǎng)絡(luò)性能的提高和安全隔離，這使得VLAN的應(yīng)用成為必要。VLAN依靠用戶的邏輯設(shè)定將原來(lái)物理上互連的一個(gè)局域網(wǎng)絡(luò)劃分為多個(gè)虛擬網(wǎng)段，劃分的依據(jù)可為設(shè)備所連的端口、用戶節(jié)點(diǎn)的MAC地址等。劃分的結(jié)果使得同一虛網(wǎng)內(nèi)數(shù)據(jù)可自由通訊，而不同虛網(wǎng)間的數(shù)據(jù)交流則需要通過(guò)第三層交換來(lái)完成。劃分VLAN具備以下好處：提高安全性、隔離第二層的廣播信息提高帶寬利用率、增強(qiáng)網(wǎng)絡(luò)應(yīng)用靈活性。當(dāng)然，不同部門(VLAN)之間有時(shí)也需要進(jìn)行數(shù)據(jù)交換，為此需要借助主干交換機(jī)第三層交換的功能，這是由交換機(jī)的第三層交換模塊來(lái)實(shí)現(xiàn)。它支持多種路由協(xié)議(如RIP，PIP v2，OSPF，EIGRP等)，也支持訪問(wèn)控制列表(access list)。

主干交換機(jī)采用千兆高速技術(shù)和GEC技術(shù)，足以負(fù)擔(dān)沉重的數(shù)據(jù)傳輸量；二級(jí)交換機(jī)的處理能力也非常強(qiáng)大，同時(shí)與兩主干交換機(jī)作千兆上聯(lián)。思科的HSRP(熱備份路由協(xié)議)技術(shù)，能夠使兩個(gè)主干交換機(jī)在第三層(即VLAN之間的數(shù)據(jù)傳輸)互為熱備份；同時(shí)在二級(jí)交換機(jī)上，利用PVST技術(shù)針對(duì)兩條千兆上聯(lián)鏈路為每個(gè)VLAN設(shè)定不同優(yōu)先級(jí)，使到兩條千兆上聯(lián)鏈路都負(fù)擔(dān)部分流量，做到負(fù)載分擔(dān)，充分利用帶寬資源。

該方案可以選用功能相對(duì)強(qiáng)大的專業(yè)網(wǎng)管系統(tǒng)如Cisco Works Windows。它的功能已從單純的配置管理擴(kuò)展到設(shè)備配置和網(wǎng)絡(luò)健康狀況管理等多個(gè)方面：如定性或定量的分析網(wǎng)絡(luò)各項(xiàng)參數(shù)；基于SNMP全面管理網(wǎng)絡(luò)中多種設(shè)備，以照片方式顯示設(shè)備直觀視圖；通過(guò)簡(jiǎn)單的點(diǎn)擊配置設(shè)備端口和各項(xiàng)參數(shù)；通過(guò)不同色彩和多種圖表顯示各種工作狀態(tài)等。這是一套基于Windows的網(wǎng)絡(luò)管理軟件，可安裝在Windows 95/98或Windows NT平臺(tái)上，界面友好，使用靈活方便。

此外，數(shù)據(jù)處理能力的增強(qiáng)使得證券營(yíng)業(yè)部有可能開展更多的服務(wù)項(xiàng)目，如圖形信息量較大、對(duì)網(wǎng)絡(luò)帶寬和傳輸質(zhì)量要求較高的多媒體股評(píng)、視頻點(diǎn)播等。

(3)1000節(jié)點(diǎn)以上證券營(yíng)業(yè)部解決方案

對(duì)于更大規(guī)模的證券營(yíng)業(yè)部，通威公司又推出第三套建議方案，方案特點(diǎn)如下：

1.系統(tǒng)全套備份，穩(wěn)定可靠；

2.高性能全交換，千兆主干，滿足大負(fù)荷網(wǎng)絡(luò)運(yùn)行需求；交換機(jī)具備極高的交換能力和端口密度，并通過(guò)第三層交換提高了系統(tǒng)性能。

3.系統(tǒng)安全，保密性高，在VLAN、交換機(jī)端口安全機(jī)制等基礎(chǔ)上，高性能的交換機(jī)具有對(duì)第三層路由模塊的支持能力，可以對(duì)VLAN間數(shù)據(jù)交換起到更好的支持作用

4.網(wǎng)絡(luò)管理采用深入全面的工具，可運(yùn)行于Windows NT或多種UNIX平臺(tái)，功能十分強(qiáng)大，可對(duì)VLAN和ATM實(shí)施管理，支持的用戶數(shù)更多，適用于大型網(wǎng)絡(luò)。

相對(duì)中、小規(guī)模的證券營(yíng)業(yè)部，大型營(yíng)業(yè)部的業(yè)務(wù)模式基本沒有太多變化，因此網(wǎng)絡(luò)方案特點(diǎn)同于前方案，但用戶數(shù)進(jìn)一步增加對(duì)網(wǎng)絡(luò)容量所帶來(lái)的更高要求使本方案所用設(shè)備再次升級(jí)，具體拓?fù)浣Y(jié)構(gòu)如下：

圖中網(wǎng)絡(luò)設(shè)備組成為:

atalyst6509交換機(jī) 兩臺(tái)

Catalyst 2948G/2980G交換機(jī)

若干 Catalyst 3524/3548交換機(jī) 若干

Cisco 2600路由器 一臺(tái)

大規(guī)模證券營(yíng)業(yè)部所采用的二級(jí)交換機(jī)仍為Catalyst 2948G/2980G或Catalyst 3524/3548堆疊，每個(gè)網(wǎng)點(diǎn)可最多為數(shù)百個(gè)用戶提供連接；但由于二級(jí)網(wǎng)點(diǎn)數(shù)量的增加，對(duì)主干設(shè)備性能則提出了更高要求，為此主干交換機(jī)升級(jí)為兩臺(tái)Catalyst 6509，這是思科公司性能卓越的高端局域網(wǎng)產(chǎn)品之一，具備極高的交換能力和端口密度，有Catalyst 6506/6509兩種不同插槽數(shù)的型號(hào)可供選擇，最多可支持上百個(gè)千兆以太網(wǎng)端口，能充分滿足網(wǎng)絡(luò)互聯(lián)的需求。

除端口密度增加外，Catalyst 6500性能的提升還體現(xiàn)在其第三層功能上：首先，Catalyst 6500支持專有的第三層交換模塊MSFC(多層交換特性卡)，不需借助外接的路由器就可實(shí)現(xiàn)路由；其次，MSFC直接附在交換引擎上，無(wú)需占用一個(gè)槽位；再次MSFC支持多層交換，可以提供。

另外Catalyst 6500支持雙交換引擎、雙電源冗余備份，體現(xiàn)其極高的可靠性。

Catalyst 6500系列滿足了可擴(kuò)展性和高的性能/價(jià)格比的需求，支持寬廣的端口密 度、性能及高可用的選擇，并提供智能化、服務(wù)質(zhì)量(QoS)和安全的機(jī)制?？蛻艨梢愿佑行У脑鰪?qiáng)網(wǎng)絡(luò)的客戶服務(wù)如組播和ERP的應(yīng)用而不須考慮網(wǎng)絡(luò)性能的嚴(yán)重衰減。與PFC(策略特性卡，和MSFC一樣附在交換引擎上)一起，可基于第二、三、四層的信息如用戶、IP地址或不同的應(yīng)用而實(shí)現(xiàn)網(wǎng)絡(luò)的策略管理，或得很好的服務(wù)質(zhì)量(QoS)。

該方案對(duì)于可靠性、運(yùn)行速度、安全性、可管理性都予以充分的考慮。

整個(gè)系統(tǒng)采用的全套備份的體系，具備很高的可靠性，而Catalyst 6500所具備的熱備份路由功能(HSRP)更是提高了這一性能。

除了前幾種方案所述的VLAN、交換機(jī)端口安全機(jī)制等技術(shù)之外，該方案中Catalyst 6500對(duì)第三層路由模塊的支持能力，可以對(duì)VLAN間數(shù)據(jù)交流尤其起到了更好的支持，從而提高了系統(tǒng)的安全性。

在網(wǎng)絡(luò)運(yùn)行速度方面，這一方案的配置相比而言更為高檔，數(shù)據(jù)處理能力極強(qiáng)。此外，Catalyst 6500既保留了傳統(tǒng)的第二層交換在各端口間傳遞數(shù)據(jù)時(shí)的高線速，又集成了原來(lái)在第三層路由中才有的完善的控制功能如路由、審計(jì)、廣播隔離等，大大提高數(shù)據(jù)處理能力。

在管理方面，該方案可以選用Cisco Works 2000這類管理深入全面的工具，它可運(yùn)行于Windows NT或多種UNIX平臺(tái)，功能十分強(qiáng)大，可對(duì)VLAN和ATM實(shí)施管理，支持的用戶數(shù)也更多，適用于大型網(wǎng)絡(luò)。

該方案還具有對(duì)多媒體信息處理的強(qiáng)大能力，這主要通過(guò)增強(qiáng)的數(shù)據(jù)處理能力、完善的QoS機(jī)制和優(yōu)化的視頻數(shù)據(jù)傳輸方案IP/TV等來(lái)實(shí)現(xiàn)的。值得一提的是，QoS不僅能夠充分利用帶寬資源，更可充分保證關(guān)鍵應(yīng)用。QoS系統(tǒng)能對(duì)網(wǎng)上的數(shù)據(jù)流應(yīng)用類別進(jìn)行判定，并在IP包頭其優(yōu)先級(jí)。然后，在應(yīng)用識(shí)別基礎(chǔ)上，對(duì)數(shù)據(jù)流量進(jìn)行調(diào)度。思科的加權(quán)式公平隊(duì)列(WFQ)、加權(quán)隨機(jī)早期探測(cè)(WRED)等技術(shù)，可以精確處理帶寬流量，從而使系統(tǒng)資源利用更為有效，保證各類多媒體信息可以流暢地在網(wǎng)絡(luò)中傳送

第五篇：企業(yè)網(wǎng)絡(luò)安全解決方案畢業(yè)論文

婁底職業(yè)技術(shù)學(xué)院網(wǎng)絡(luò)專業(yè)畢業(yè)設(shè)計(jì)

宏錦網(wǎng)絡(luò)有限公司 企業(yè)網(wǎng)絡(luò)安全解決方案

摘 要

近幾年來(lái)，Internet技術(shù)日趨成熟，已經(jīng)開始了從以提供和保證網(wǎng)絡(luò)聯(lián)通性為主要目標(biāo)的第一代Internet技術(shù)向以提供網(wǎng)絡(luò)數(shù)據(jù)信息服務(wù)為特征的第二代Internet技術(shù)的過(guò)渡。這些都促使了計(jì)算機(jī)網(wǎng)絡(luò)互聯(lián)技術(shù)迅速的大規(guī)模使用。眾所周知，作為全球使用范圍最大的信息網(wǎng)，Internet自身協(xié)議的開放性極大地方便了各種計(jì)算機(jī)連網(wǎng)，拓寬了共享資源。但是，由于在早期網(wǎng)絡(luò)協(xié)議設(shè)計(jì)上對(duì)安全問(wèn)題的忽視，以及在管理和使用上的無(wú)政府狀態(tài)，逐漸使Internet自身安全受到嚴(yán)重威脅，與它有關(guān)的安全事故屢有發(fā)生。網(wǎng)絡(luò)安全的威脅主要表現(xiàn)在：非授權(quán)訪問(wèn)，冒充合法用戶，破壞數(shù)據(jù)完整性，干擾系統(tǒng)正常運(yùn)行，利用網(wǎng)絡(luò)傳播病毒，線路竊聽等方面。因此本論文為企業(yè)（宏錦企業(yè)網(wǎng)絡(luò)）構(gòu)架網(wǎng)絡(luò)安全體系，主要運(yùn)用vlan劃分、防火墻技術(shù)、vpn、病毒防護(hù)等技術(shù)，來(lái)實(shí)現(xiàn)企業(yè)的網(wǎng)絡(luò)安全。

關(guān)鍵詞： 網(wǎng)絡(luò)，安全，VPN，防火墻，防病毒

I

火龍果?整理 uml.org.cn 婁底職業(yè)技術(shù)學(xué)院網(wǎng)絡(luò)專業(yè)畢業(yè)設(shè)計(jì)

Abstract In recent years, Internet technology has matured, has begun to provide and guarantee from the network connectivity as the main target of the first generation of Internet technology to provide network data services for the characteristics of the second generation of Internet technology transition.These all contributed to the rapid computer networking technology of large-scale use.As we all know, the world's largest information network use of, Internet openness of their agreement greatly facilitate a variety of computer networking to broaden the sharing of resources.However, in the early design of network protocols on security issues of neglect, as well as in management and use of the anarchy, the Internet increasingly serious threat to their security, and its related security incidents happened quite frequently.Network security threats mainly in: unauthorized access, posing as legitimate users, damage to data integrity, interfere with the normal operation of the system, using the Internet spread the virus, line tapping and so on.Therefore, this paper for the enterprise(Hong Jin corporate network)architecture network security system, mainly by the use of vlan, firewall, vpn, virus protection and other technologies to achieve corporate network security.Keywords: network, security, VPN, firewall, anti-virus

II

火龍果?整理 uml.org.cn 婁底職業(yè)技術(shù)學(xué)院網(wǎng)絡(luò)專業(yè)畢業(yè)設(shè)計(jì)

目 錄

緒 論....................................................................................................................................................................1 第一章 企業(yè)網(wǎng)絡(luò)安全概述...................................................................................................................................2 1.1 企業(yè)網(wǎng)絡(luò)的主要安全隱患.......................................................................................................................2

1.2 企業(yè)網(wǎng)絡(luò)的安全誤區(qū)...............................................................................................................................2 第二章 企業(yè)網(wǎng)絡(luò)安全現(xiàn)狀分析.........................................................................................................................4 2.1 公司背景.....................................................................................................................................................4 2.2 企業(yè)網(wǎng)絡(luò)安全需求.....................................................................................................................................4 2.3 需求分析.....................................................................................................................................................4 2.4 企業(yè)網(wǎng)絡(luò)結(jié)構(gòu).............................................................................................................................................5 第三章 企業(yè)網(wǎng)絡(luò)安全解決實(shí)施...........................................................................................................................6 3.1 宏錦網(wǎng)絡(luò)企業(yè)物理安全.............................................................................................................................6 3.2宏錦企業(yè)網(wǎng)絡(luò)VLAN劃分............................................................................................................................7 3.4 宏錦企業(yè)網(wǎng)絡(luò)防火墻配置.........................................................................................................................9 3.4 宏錦企業(yè)網(wǎng)絡(luò)VPN配置...........................................................................................................................12 3.5 宏錦企業(yè)網(wǎng)絡(luò)防病毒措施.......................................................................................................................13 第四章 宏錦企業(yè)的網(wǎng)絡(luò)管理.............................................................................................................................16 4.1宏錦企業(yè)網(wǎng)絡(luò)管理的問(wèn)題........................................................................................................................16 4.2 宏錦企業(yè)網(wǎng)絡(luò)管理實(shí)施...........................................................................................................................16 總 結(jié)..................................................................................................................................................................18 致 謝..................................................................................................................................................................19 參考文獻(xiàn)...............................................................................................................................................................20

III

火龍果?整理 uml.org.cn 婁底職業(yè)技術(shù)學(xué)院網(wǎng)絡(luò)專業(yè)畢業(yè)設(shè)計(jì)

緒 論

隨著信息化技術(shù)的飛速發(fā)展，許多有遠(yuǎn)見的企業(yè)都認(rèn)識(shí)到依托先進(jìn)的IT技術(shù)構(gòu)建企業(yè)自身的業(yè)務(wù)和運(yùn)營(yíng)平臺(tái)將極大地提升企業(yè)的核心競(jìng)爭(zhēng)力，使企業(yè)在殘酷的競(jìng)爭(zhēng)環(huán)境中脫穎而出。經(jīng)營(yíng)管理對(duì)計(jì)算機(jī)應(yīng)用系統(tǒng)的依賴性增強(qiáng)，計(jì)算機(jī)應(yīng)用系統(tǒng)對(duì)網(wǎng)絡(luò)的依賴性增強(qiáng)。計(jì)算機(jī)網(wǎng)絡(luò)規(guī)模不斷擴(kuò)大，網(wǎng)絡(luò)結(jié)構(gòu)日益復(fù)雜。計(jì)算機(jī)網(wǎng)絡(luò)和計(jì)算機(jī)應(yīng)用系統(tǒng)的正常運(yùn)行對(duì)網(wǎng)絡(luò)安全提出了更高的要求。信息安全防范應(yīng)做整體的考慮，全面覆蓋信息系統(tǒng)的各層次，針對(duì)網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用、數(shù)據(jù)做全面的防范。信息安全防范體系模型顯示安全防范是一個(gè)動(dòng)態(tài)的過(guò)程，事前、事中和事后的技術(shù)手段應(yīng)當(dāng)完備，安全管理應(yīng)貫穿安全防范活動(dòng)的始終。

網(wǎng)絡(luò)安全問(wèn)題伴隨著網(wǎng)絡(luò)的產(chǎn)生而產(chǎn)生，可以說(shuō)，有網(wǎng)絡(luò)的地方就存在網(wǎng)絡(luò)安全隱患。像病毒入侵和黑客攻擊之類的網(wǎng)絡(luò)安全事件，目前主要是通過(guò)網(wǎng)絡(luò)進(jìn)行的，而且?guī)缀趺繒r(shí)每刻都在發(fā)生，遍及全球。除此之外，像惡意軟件入侵、攻擊，用戶的非法訪問(wèn)和操作，用戶郵件的非法截取和更改等都是普遍存在的安全事實(shí)。網(wǎng)絡(luò)安全事件所帶來(lái)的危害，相信我們每個(gè)計(jì)算機(jī)用戶都或多或少地親身體驗(yàn)過(guò)一些：輕則使電腦系統(tǒng)運(yùn)行不正常，重則使整個(gè)計(jì)算機(jī)系統(tǒng)中的磁盤數(shù)據(jù)全部覆滅，甚至導(dǎo)致磁盤、計(jì)算機(jī)等硬件的損壞。

為了防范這些網(wǎng)絡(luò)安全事故的發(fā)生，每個(gè)計(jì)算機(jī)用戶，特別是企業(yè)網(wǎng)絡(luò)用戶，必須采取足夠的安全防范措施，甚至可以說(shuō)要在利益均衡情況下不惜一切代價(jià)。但要注意，企業(yè)網(wǎng)絡(luò)安全策略的實(shí)施是一項(xiàng)系統(tǒng)工程，它涉及許多方面。因此既要充分考慮到那些平時(shí)經(jīng)常提及的外部網(wǎng)絡(luò)威脅，又要對(duì)來(lái)自內(nèi)部網(wǎng)絡(luò)和網(wǎng)絡(luò)管理本身所帶來(lái)的安全隱患有足夠的重視，不能孤立地看待任何一個(gè)安全隱患和安全措施。因?yàn)檫@些安全隱患爆發(fā)的途徑可以是多方面的，而許多安全措施都是相輔相成的。

火龍果?整理 uml.org.cn 婁底職業(yè)技術(shù)學(xué)院網(wǎng)絡(luò)專業(yè)畢業(yè)設(shè)計(jì)

第一章 企業(yè)網(wǎng)絡(luò)安全概述

1.1 企業(yè)網(wǎng)絡(luò)的主要安全隱患

現(xiàn)在網(wǎng)絡(luò)安全系統(tǒng)所要防范的不再僅是病毒感染，更多的是基于網(wǎng)絡(luò)的非法入侵、攻擊和訪問(wèn)，同時(shí)企業(yè)網(wǎng)絡(luò)安全隱患的來(lái)源有內(nèi)、外網(wǎng)之分，很多情況下內(nèi)部網(wǎng)絡(luò)安全威脅要遠(yuǎn)遠(yuǎn)大于外部網(wǎng)絡(luò)，因?yàn)閮?nèi)部中實(shí)施入侵和攻擊更加容易，企業(yè)網(wǎng)絡(luò)安全威脅的主要來(lái)源主要包括。

1)病毒、木馬和惡意軟件的入侵。2)網(wǎng)絡(luò)黑客的攻擊。

3)重要文件或郵件的非法竊取、訪問(wèn)與操作。4)關(guān)鍵部門的非法訪問(wèn)和敏感信息外泄。5)外網(wǎng)的非法入侵。

6)備份數(shù)據(jù)和存儲(chǔ)媒體的損壞、丟失。

針對(duì)這些安全隱患，所采取的安全策略可以通過(guò)安裝專業(yè)的網(wǎng)絡(luò)版病毒防護(hù)系統(tǒng)，同時(shí)也要加強(qiáng)內(nèi)部網(wǎng)絡(luò)的安全管理，配置好防火墻過(guò)濾策略和系統(tǒng)本身的各項(xiàng)安全措施，及時(shí)安裝系統(tǒng)安全補(bǔ)丁，有條件的還可以在內(nèi)、外網(wǎng)之間安裝網(wǎng)絡(luò)掃描檢測(cè)、網(wǎng)絡(luò)嗅探器、IDS、IPS系統(tǒng)，甚至配置網(wǎng)絡(luò)安全隔離系統(tǒng)，對(duì)內(nèi)、外網(wǎng)絡(luò)進(jìn)行安全隔離；加強(qiáng)內(nèi)部網(wǎng)絡(luò)的安全管理，嚴(yán)格實(shí)行“最小權(quán)限”原則，為各個(gè)用戶配置好恰當(dāng)?shù)挠脩魴?quán)限；同時(shí)對(duì)一些敏感數(shù)據(jù)進(jìn)行加密保護(hù)，對(duì)數(shù)據(jù)還可以進(jìn)行數(shù)字簽名措施；根據(jù)企業(yè)實(shí)際需要配置好相應(yīng)的數(shù)據(jù)策略，并按策略認(rèn)真執(zhí)行。

1.2 企業(yè)網(wǎng)絡(luò)的安全誤區(qū)

(一)安裝防火墻就安全了

防火墻主要工作都是控制存取與過(guò)濾封包，所以對(duì)DoS攻擊、非法存取與篡改封包等攻擊模式的防范極為有效，可以提供網(wǎng)絡(luò)周邊的安全防護(hù)。但如果攻擊行為不經(jīng)過(guò)防火墻，或是將應(yīng)用層的攻擊程序隱藏在正常的封包內(nèi)，便力不從心了，許多防火墻只是工作在網(wǎng)絡(luò)層。

防火墻的原理是“防外不防內(nèi)”，對(duì)內(nèi)部網(wǎng)絡(luò)的訪問(wèn)不進(jìn)行任何阻撓，而事實(shí)上，企業(yè)網(wǎng)絡(luò)安全事件絕大部分還是源于企業(yè)內(nèi)部。

火龍果?整理 uml.org.cn 婁底職業(yè)技術(shù)學(xué)院網(wǎng)絡(luò)專業(yè)畢業(yè)設(shè)計(jì)

(二)安裝了最新的殺毒軟件就不怕病毒了

安裝殺毒軟件的目的是為了預(yù)防病毒的入侵和查殺系統(tǒng)中已感染的計(jì)算機(jī)病毒，但這并不能保證就沒有病毒入侵了，因?yàn)闅⒍拒浖闅⒛骋徊《镜哪芰偸菧笥谠摬《镜某霈F(xiàn)。

(三)在每臺(tái)計(jì)算機(jī)上安裝單機(jī)版殺毒軟件和網(wǎng)絡(luò)版殺毒軟件等效

網(wǎng)絡(luò)版殺毒軟件核心就是集中的網(wǎng)絡(luò)防毒系統(tǒng)管理。網(wǎng)絡(luò)版殺毒軟件可以在一臺(tái)服務(wù)器上通過(guò)安全中心控制整個(gè)網(wǎng)絡(luò)的客戶端殺毒軟件同步病毒查殺、監(jiān)控整個(gè)網(wǎng)絡(luò)的病毒。同時(shí)對(duì)于整個(gè)網(wǎng)絡(luò)，管理非常方便，對(duì)于單機(jī)版是不可能做到的。

(四)只要不上網(wǎng)就不會(huì)中毒

雖然不少病毒是通過(guò)網(wǎng)頁(yè)傳播的，但像QQ聊天接發(fā)郵件同樣是病毒傳播的主要途徑，而且盜版光盤以及U盤等也會(huì)存在著病毒。所以只要計(jì)算機(jī)開著，就要防范病毒。

(五)文件設(shè)置只讀就可以避免感染病毒

設(shè)置只讀只是調(diào)用系統(tǒng)的幾個(gè)命令，而病毒或黑客程序也可以做到這一點(diǎn)，設(shè)置只讀并不能有效防毒，不過(guò)在局域網(wǎng)中為了共享安全，放置誤刪除，還是比較有用的。

(六)網(wǎng)絡(luò)安全主要來(lái)自外部

基于內(nèi)部的網(wǎng)絡(luò)攻擊更加容易，不需要借助于其他的網(wǎng)絡(luò)連接方式，就可以直接在內(nèi)部網(wǎng)絡(luò)中實(shí)施攻擊。所以，加強(qiáng)內(nèi)部網(wǎng)絡(luò)安全管理，特別是用戶帳戶管理，如帳戶密碼、臨時(shí)帳戶、過(guò)期帳戶和權(quán)限等方面的管理非常必要了。

火龍果?整理 uml.org.cn 婁底職業(yè)技術(shù)學(xué)院網(wǎng)絡(luò)專業(yè)畢業(yè)設(shè)計(jì)

第二章 企業(yè)網(wǎng)絡(luò)安全現(xiàn)狀分析

2.1 公司背景

宏錦網(wǎng)絡(luò)有限公司是一家有100名員工的中小型網(wǎng)絡(luò)公司，主要以手機(jī)應(yīng)用開發(fā)為主營(yíng)項(xiàng)目的軟件企業(yè)。公司有一個(gè)局域網(wǎng)，約100臺(tái)計(jì)算機(jī)，服務(wù)器的操作系統(tǒng)是 Windows Server 2003,客戶機(jī)的操作系統(tǒng)是 Windows XP，在工作組的模式下一人一機(jī)辦公。公司對(duì)網(wǎng)絡(luò)的依賴性很強(qiáng)，主要業(yè)務(wù)都要涉及互聯(lián)網(wǎng)以及內(nèi)部網(wǎng)絡(luò)。隨著公司的發(fā)展現(xiàn)有的網(wǎng)絡(luò)安全已經(jīng)不能滿足公司的需要，因此構(gòu)建健全的網(wǎng)絡(luò)安全體系是當(dāng)前的重中之重。

2.2 企業(yè)網(wǎng)絡(luò)安全需求

宏錦網(wǎng)絡(luò)有限公司根據(jù)業(yè)務(wù)發(fā)展需求，建設(shè)一個(gè)小型的企業(yè)網(wǎng)，有Web、Mail等服務(wù)器和辦公區(qū)客戶機(jī)。企業(yè)分為財(cái)務(wù)部門和業(yè)務(wù)部門，需要他們之間相互隔離。同時(shí)由于考慮到Inteneter的安全性，以及網(wǎng)絡(luò)安全等一些因素，如DDoS、ARP等。因此本企業(yè)的網(wǎng)絡(luò)安全構(gòu)架要求如下：

（1）根據(jù)公司現(xiàn)有的網(wǎng)絡(luò)設(shè)備組網(wǎng)規(guī)劃（2）保護(hù)網(wǎng)絡(luò)系統(tǒng)的可用性（3）保護(hù)網(wǎng)絡(luò)系統(tǒng)服務(wù)的連續(xù)性

（4）防范網(wǎng)絡(luò)資源的非法訪問(wèn)及非授權(quán)訪問(wèn)（5）防范入侵者的惡意攻擊與破壞

（6）保護(hù)企業(yè)信息通過(guò)網(wǎng)上傳輸過(guò)程中的機(jī)密性、完整性（7）防范病毒的侵害（8）實(shí)現(xiàn)網(wǎng)絡(luò)的安全管理。

2.3 需求分析

通過(guò)了解宏錦網(wǎng)絡(luò)公司的需求與現(xiàn)狀，為實(shí)現(xiàn)宏錦網(wǎng)絡(luò)公司的網(wǎng)絡(luò)安全建設(shè)實(shí)施網(wǎng)絡(luò)系統(tǒng)改造，提高企業(yè)網(wǎng)絡(luò)系統(tǒng)運(yùn)行的穩(wěn)定性，保證企業(yè)各種設(shè)計(jì)信息的安全性，避免圖紙、文檔的丟失和外泄。通過(guò)軟件或安全手段對(duì)客戶端的計(jì)算機(jī)加以保護(hù)，記錄用戶對(duì)客戶端計(jì)算機(jī)中關(guān)鍵目錄和文件的操作，使企業(yè)有手段對(duì)用戶在客戶端計(jì)算機(jī)的使用

火龍果?整理 uml.org.cn 婁底職業(yè)技術(shù)學(xué)院網(wǎng)絡(luò)專業(yè)畢業(yè)設(shè)計(jì)

情況進(jìn)行追蹤，防范外來(lái)計(jì)算機(jī)的侵入而造成破壞。通過(guò)網(wǎng)絡(luò)的改造，使管理者更加便于對(duì)網(wǎng)絡(luò)中的服務(wù)器、客戶端、登陸用戶的權(quán)限以及應(yīng)用軟件的安裝進(jìn)行全面的監(jiān)控和管理。因此需要

（1）構(gòu)建良好的環(huán)境確保企業(yè)物理設(shè)備的安全（2）劃分VLAN控制內(nèi)網(wǎng)安全（3）安裝防火墻體系

（4）建立VPN(虛擬專用網(wǎng)絡(luò))確保數(shù)據(jù)安全（5）安裝防病毒服務(wù)器（6）加強(qiáng)企業(yè)對(duì)網(wǎng)絡(luò)資源的管理

2.4 企業(yè)網(wǎng)絡(luò)結(jié)構(gòu)

宏錦網(wǎng)絡(luò)公司網(wǎng)絡(luò)拓?fù)鋱D，如圖2-1所示:

圖2-1 企業(yè)網(wǎng)絡(luò)結(jié)構(gòu)

由于宏錦網(wǎng)絡(luò)公司是直接從電信接入IP為58.192.65.62 255.255.255.0，直接經(jīng)由防火墻分為DMZ區(qū)域和普通區(qū)域。防火墻上做NAT轉(zhuǎn)換，分別給客戶機(jī)端的地址為10.1.1.0 255.255.255.0。防火墻接客戶區(qū)端口地址為10.1.1.1 255.255.255.0。DMZ內(nèi)主要有各類的服務(wù)器，地址分配為10.1.2.0 255.255.255.0。防火墻DMZ區(qū)的接口地址為10.1.2.1 255.255.255.0。內(nèi)網(wǎng)主要由3層交換機(jī)作為核心交換機(jī)，下面有兩臺(tái)2層交換機(jī)做接入。

火龍果?整理 uml.org.cn 婁底職業(yè)技術(shù)學(xué)院網(wǎng)絡(luò)專業(yè)畢業(yè)設(shè)計(jì)

第三章 企業(yè)網(wǎng)絡(luò)安全解決實(shí)施

3.1 宏錦網(wǎng)絡(luò)企業(yè)物理安全

宏錦企業(yè)網(wǎng)絡(luò)中保護(hù)網(wǎng)絡(luò)設(shè)備的物理安全是其整個(gè)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全的前提，物理安全是指保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備、設(shè)施以及其他媒體免遭地震、水災(zāi)、火災(zāi)等環(huán)境事故、人為操作失誤或各種計(jì)算機(jī)犯罪行為導(dǎo)致的破壞。

針對(duì)宏錦網(wǎng)絡(luò)企業(yè)的物理安全主要考慮的問(wèn)題是環(huán)境、場(chǎng)地和設(shè)備的安全及物理訪問(wèn)控制和應(yīng)急處置計(jì)劃等。物理安全在整個(gè)計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)安全中占有重要地位。它主要包括以下幾個(gè)方面： 1)保證機(jī)房環(huán)境安全

信息系統(tǒng)中的計(jì)算機(jī)硬件、網(wǎng)絡(luò)設(shè)施以及運(yùn)行環(huán)境是信息系統(tǒng)運(yùn)行的最基本的環(huán)境。要從一下三個(gè)方面考慮：a.自然災(zāi)害、物理?yè)p壞和設(shè)備故障 b.電磁輻射、乘機(jī)而入、痕跡泄漏等 c.操作失誤、意外疏漏等 2)選用合適的傳輸介質(zhì)

屏蔽式雙絞線的抗干擾能力更強(qiáng)，且要求必須配有支持屏蔽功能的連接器件和要求介質(zhì)有良好的接地（最好多處接地），對(duì)于干擾嚴(yán)重的區(qū)域應(yīng)使用屏蔽式雙絞線，并將其放在金屬管內(nèi)以增強(qiáng)抗干擾能力。

光纖是超長(zhǎng)距離和高容量傳輸系統(tǒng)最有效的途徑，從傳輸特性等分析，無(wú)論何種光纖都有傳輸頻帶寬、速率高、傳輸損耗低、傳輸距離遠(yuǎn)、抗雷電和電磁的干擾性好保密性好，不易被竊聽或被截獲數(shù)據(jù)、傳輸?shù)恼`碼率很低，可靠性高，體積小和重量輕等特點(diǎn)。與雙絞線或同軸電纜不同的是光纖不輻射能量，能夠有效地阻止竊聽。3)保證供電安全可靠

計(jì)算機(jī)和網(wǎng)絡(luò)主干設(shè)備對(duì)交流電源的質(zhì)量要求十分嚴(yán)格，對(duì)交流電的電壓和頻率，對(duì)電源波形的正弦性，對(duì)三相電源的對(duì)稱性，對(duì)供電的連續(xù)性、可靠性穩(wěn)定性和抗干擾性等各項(xiàng)指標(biāo)，都要求保持在允許偏差范圍內(nèi)。機(jī)房的供配電系統(tǒng)設(shè)計(jì)既要滿足設(shè)備自身運(yùn)轉(zhuǎn)的要求，又要滿足網(wǎng)絡(luò)應(yīng)用的要求，必須做到保證網(wǎng)絡(luò)系統(tǒng)運(yùn)行的可靠性，保證設(shè)備的設(shè)計(jì)壽命保證信息安全保證機(jī)房人員的工作環(huán)境。

火龍果?整理 uml.org.cn 婁底職業(yè)技術(shù)學(xué)院網(wǎng)絡(luò)專業(yè)畢業(yè)設(shè)計(jì)

3.2宏錦企業(yè)網(wǎng)絡(luò)VLAN劃分

VLAN技術(shù)能有效隔離局域網(wǎng)，防止網(wǎng)內(nèi)的攻擊，所以宏錦網(wǎng)絡(luò)有限公司網(wǎng)絡(luò)中按部門進(jìn)行了VLAN劃分，劃分為以下兩個(gè)VLAN：

財(cái)務(wù)部門 VLAN 10

交換機(jī)S1接入交換機(jī)（神州數(shù)碼DCS-3950）業(yè)務(wù)部門 VLAN 20

交換機(jī)S2接入交換機(jī)（神州數(shù)碼DCS-3950）核心交換機(jī) VLAN間路由 核心交換機(jī)S3（神州數(shù)碼DCRS-5526）S1配置如下: switch> switch>ena switch#con switch(Config)#vlan 10 switch(Config-Vlan10)#sw int e 0/0/1-20 switch(Config-Vlan10)#exit switch(Config)#exit switch#con switch(Config)#int e 0/0/24 switch(Config-Ethernet0/0/24)#sw m t Set the port Ethernet0/0/24 mode TRUNK successfully switch(Config-Ethernet0/0/24)#sw t a v a set the port Ethernet0/0/24 allowed vlan successfully switch(Config-Ethernet0/0/24)#exit switch(Config)#ip dhcp pool vlan10 switch(dhcp-vlan10-config)#network-address 192.168.10.0 255.255.255.0 switch(dhcp-vlan10-config)#lease 3 switch(dhcp-vlan10-config)#default-router 192.168.1.1 switch(dhcp-vlan10-config)#dns-server 61.177.7.1 switch(dhcp-vlan10-config)#exit switch(config)ip dhcp excluded-address 192.168.10.1 S2配置如下: Switch> Switch>ena Switch#con

火龍果?整理 uml.org.cn 婁底職業(yè)技術(shù)學(xué)院網(wǎng)絡(luò)專業(yè)畢業(yè)設(shè)計(jì)

switch(Config)#vlan 20 switch(Config-Vlan20)#sw int e 0/0/1-20 switch(Config-Vlan20)#exit switch(Config)#exit switch#con switch(Config)#int e 0/0/24 switch(Config-Ethernet0/0/24)#sw m t Set the port Ethernet0/0/24 mode TRUNK successfully switch(Config-Ethernet0/0/24)#sw t a v a set the port Ethernet0/0/24 allowed vlan successfully switch(Config-Ethernet0/0/24)#exit switch(Config)#ip dhcp pool vlan20 switch(dhcp-vlan20-config)#network-address 192.168.20.0 255.255.255.0 switch(dhcp-vlan20-config)#lease 3 switch(dhcp-vlan20-config)#default-router 192.168.1.1 switch(dhcp-vlan20-config)#dns-server 61.177.7.1 switch(dhcp-vlan20-config)#exit switch(config)ip dhcp excluded-address 192.168.20.1 switch(config)ip dhcp excluded-address 192.168.20.150-192.168.20.240 S0配置如下: switch> switch>enable switch#config switch(Config)#hostname S0 S0(Config)#vlan 10 S0(Config-Vlan10)#vlan 20 S0(Config-Vlan20)#exit S0(Config)#int e 0/0/1-2 S0(Config-Port-Range)#sw m t S0(Config-Port-Range)#sw t a v a S0(Config-Port-Range)#exit S0(Config)#int vlan 10 S0(Config-If-Vlan10)#ip address 192.168.10.1 255.255.255.0 S0(Config-If-Vlan10)#no shutdown

火龍果?整理 uml.org.cn 婁底職業(yè)技術(shù)學(xué)院網(wǎng)絡(luò)專業(yè)畢業(yè)設(shè)計(jì)

S0(Config-If-Vlan10)#exit S0(Config)#int vlan 20 00:04:23: %LINK-5-CHANGED: Interface Vlan20, changed state to UP %LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan20, changed state to UP S0(Config-If-Vlan20)#ip address 192.168.20.1 255.255.255.0 S0(Config-If-Vlan20)#no shutdown S0(Config-If-Vlan20)#exit S0(Config)#exit S0(Config-If-Vlan1)#ip address 192.168.1.1 255.255.255.0 S0(Config-If-Vlan1)#no shutdown S0(Config-If-Vlan1)#exit S0(Config)#exit S0#show ip route S0#con S0(Config)#ip route 58.192.65.0 255.255.255.0 10.1.1.1 3.4 宏錦企業(yè)網(wǎng)絡(luò)防火墻配置

宏錦企業(yè)網(wǎng)絡(luò)中使用的是神州數(shù)碼的DCFW-1800S UTM，里面包含了防火墻和VPN等功能。以下為配置過(guò)程：

在防火墻NAT策略下面，新增NAT。如圖3-1:

圖3-1 新增企業(yè)防火墻策略示意圖

源域：untrust； 源地址對(duì)象：any； 目的域：trust； 目的地址對(duì)象：any；

在全局安全策略設(shè)置里面如圖3-2和圖3-3所示:

火龍果?整理 uml.org.cn 婁底職業(yè)技術(shù)學(xué)院網(wǎng)絡(luò)專業(yè)畢業(yè)設(shè)計(jì)

圖3-2企業(yè)防火墻策略配置示意圖

圖 3-3 企業(yè)防火墻策略配置示意圖

火龍果?整理 uml.org.cn 婁底職業(yè)技術(shù)學(xué)院網(wǎng)絡(luò)專業(yè)畢業(yè)設(shè)計(jì)

圖3-4企業(yè)防火墻策略配置示意圖

可以設(shè)置全局下面訪問(wèn)策略，以及域內(nèi)和域間的訪問(wèn)策略。這里我們?cè)O(shè)置，內(nèi)部網(wǎng)絡(luò)為信任區(qū)域（trust），Inteneter為不信任區(qū)域（untrust），服務(wù)器區(qū)域?yàn)镈MZ區(qū)域。動(dòng)作包括permit允許，拒絕deny，以及其他的特定的服務(wù)。這里允許內(nèi)部訪問(wèn)外部和DMZ區(qū)域，而DMZ和Inteneter不允許訪問(wèn)內(nèi)部。但是處于中間位置的DMZ可以允許Inteneter的訪問(wèn)。所以要添加好幾條NAT策略。

在網(wǎng)絡(luò)接口處如圖3-5所示:

圖3-5 網(wǎng)絡(luò)接口處配置示意圖

要配置3個(gè)以太網(wǎng)接口為up，安全區(qū)域分別為eth1：l2-trust，eth0：l2-untrust，eth2：l2-DMZ。其中接外網(wǎng)的eth0工作模式為路由模式，其余接DMZ和內(nèi)部的都為NAT模式。如圖3-6所示:

火龍果?整理 uml.org.cn 婁底職業(yè)技術(shù)學(xué)院網(wǎng)絡(luò)專業(yè)畢業(yè)設(shè)計(jì)

圖3-6 以太網(wǎng)接口配置示意圖

同時(shí)為他們配好相應(yīng)的網(wǎng)絡(luò)地址，eth0為58.192.65.62，eth1：10.1.1.1，eth2 10.1.2.1。

3.4 宏錦企業(yè)網(wǎng)絡(luò)VPN配置

宏錦企業(yè)網(wǎng)絡(luò)的VPN功能主要也是通過(guò)上面的防火墻實(shí)現(xiàn)的。如圖3-7,圖3-8所示:

圖3-7 PPTP協(xié)議示意圖

圖3-8 PPTP示意圖

這里我們使用PPTP協(xié)議來(lái)實(shí)現(xiàn)VPN，首先是新增PPTP地址池，范圍為192.168.20.150-192.168.20.240 如圖3-9所示:

火龍果?整理 uml.org.cn 婁底職業(yè)技術(shù)學(xué)院網(wǎng)絡(luò)專業(yè)畢業(yè)設(shè)計(jì)

圖3-9 PPTP協(xié)議實(shí)現(xiàn)VPN示意圖

在PPTP設(shè)置里面，選擇Chap加密認(rèn)證，加密方式mppe-128。DNS分別為61.177.7.1，MTU為500。

3.5 宏錦企業(yè)網(wǎng)絡(luò)防病毒措施

針對(duì)宏錦企業(yè)網(wǎng)絡(luò)的現(xiàn)狀，在綜合考慮了公司對(duì)防病毒系統(tǒng)的性能要求、成本和安全性以后，我選用江民殺毒軟件KV網(wǎng)絡(luò)版來(lái)在內(nèi)網(wǎng)中進(jìn)行防病毒系統(tǒng)的建立。產(chǎn)品特點(diǎn): KV網(wǎng)絡(luò)版是為各種簡(jiǎn)單或復(fù)雜網(wǎng)絡(luò)環(huán)境設(shè)計(jì)的計(jì)算機(jī)病毒網(wǎng)絡(luò)防護(hù)系統(tǒng)，即適用于包含若干臺(tái)主機(jī)的單一網(wǎng)段網(wǎng)絡(luò)，也適用于包含各種WEB服務(wù)器、郵件服務(wù)器、應(yīng)用服務(wù)器，以及分布在不同城市，包含數(shù)十萬(wàn)臺(tái)主機(jī)的超大型網(wǎng)絡(luò)。KV網(wǎng)絡(luò)版具有以下顯著特點(diǎn)：

(1)先進(jìn)的體系結(jié)構(gòu)(2)超強(qiáng)的殺毒能力(3)完備的遠(yuǎn)程控制(4)方便的分級(jí)、分組管理

宏錦企業(yè)網(wǎng)絡(luò)KV網(wǎng)絡(luò)版的主控制中心部署在DMZ服務(wù)器區(qū)，子控制中心部署在3層交換機(jī)的一臺(tái)服務(wù)器上。

網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖3-10所示:

火龍果?整理 uml.org.cn 婁底職業(yè)技術(shù)學(xué)院網(wǎng)絡(luò)專業(yè)畢業(yè)設(shè)計(jì)

圖3-10 主控制中心部署圖

子控制中心與主控制中心關(guān)系: 控制中心負(fù)責(zé)整個(gè)KV網(wǎng)絡(luò)版的管理與控制，是整個(gè)KV網(wǎng)絡(luò)版的核心，在部署KV網(wǎng)絡(luò)時(shí)，必須首先安裝。除了對(duì)網(wǎng)絡(luò)中的計(jì)算機(jī)進(jìn)行日常的管理與控制外，它還實(shí)時(shí)地記錄著KV網(wǎng)絡(luò)版防護(hù)體系內(nèi)每臺(tái)計(jì)算機(jī)上的病毒監(jiān)控、查殺病毒和升級(jí)等信息。在1個(gè)網(wǎng)段內(nèi)僅允許安裝1臺(tái)控制中心。根據(jù)控制中心所處的網(wǎng)段的不同，可以將控制中心劃分為主控制中心和子控制中心，子控制中心除了要 完成控制中心的功能外，還要負(fù)責(zé)與它的上級(jí)——主控制中心進(jìn)行通信。這里的“主”和“子”是一個(gè) 相對(duì)的概念：每個(gè)控制中心對(duì)于它的下級(jí)的網(wǎng)段來(lái)說(shuō)都是主控制中心，對(duì)于它的上級(jí)的網(wǎng)段來(lái)說(shuō)又是子控制中心，這種控制結(jié)構(gòu)可以根據(jù)網(wǎng)絡(luò)的需要無(wú)限的延伸下去。

為宏錦企業(yè)網(wǎng)絡(luò)安裝好KV網(wǎng)絡(luò)版殺毒軟件后，為期配置軟件的安全策略。對(duì)宏錦企業(yè)客戶端計(jì)算機(jī)的KV軟件實(shí)現(xiàn)更為完善的遠(yuǎn)程控制功能，利用KV軟件控制中心的“策略設(shè)置”功能組來(lái)實(shí)現(xiàn)。在此功能中可以針對(duì)單一客戶端、邏輯組、全網(wǎng)進(jìn)行具有針對(duì)性的安全策略設(shè)置。在“策略設(shè)置”下拉菜單中，我們可以找到“掃描設(shè)置”、“反垃圾郵件”、“網(wǎng)址過(guò)濾”等與平時(shí)安全應(yīng)用密切相關(guān)的各項(xiàng)應(yīng)用配置選項(xiàng)，如圖3-11所示。

火龍果?整理 uml.org.cn 婁底職業(yè)技術(shù)學(xué)院網(wǎng)絡(luò)專業(yè)畢業(yè)設(shè)計(jì)

圖3-11 “策略設(shè)置”命令菜單

為宏錦企業(yè)網(wǎng)絡(luò)KV網(wǎng)絡(luò)版殺毒軟件配置“掃描設(shè)置”，掃描設(shè)置可對(duì)當(dāng)前選擇的任意組或者任意節(jié)點(diǎn)的客戶端進(jìn)行更加細(xì)化的掃描設(shè)置。宏錦企業(yè)可以自己設(shè)定適合于自己網(wǎng)絡(luò)環(huán)境的掃描方案，針對(duì)不同的策略對(duì)不同的客戶端進(jìn)行分發(fā)不同的掃描命令?？梢韵掳l(fā)以下命令到節(jié)點(diǎn)計(jì)算機(jī)：掃描目標(biāo)，定時(shí)掃描，分類掃描，不掃描文件夾，掃描報(bào)告，簡(jiǎn)單而實(shí)用的設(shè)置頁(yè)大大的增加了網(wǎng)絡(luò)管理的易用性。其中掃描目標(biāo)的設(shè)置界面如圖3-12所示。

圖3-12 掃描目標(biāo)配置

火龍果?整理 uml.org.cn 婁底職業(yè)技術(shù)學(xué)院網(wǎng)絡(luò)專業(yè)畢業(yè)設(shè)計(jì)

第四章 宏錦企業(yè)的網(wǎng)絡(luò)管理

4.1宏錦企業(yè)網(wǎng)絡(luò)管理的問(wèn)題

（1）計(jì)算機(jī)軟、硬件數(shù)量無(wú)法確實(shí)掌握，盤點(diǎn)困難；（2）單位的計(jì)算機(jī)數(shù)量越來(lái)越多，無(wú)法集中管理；

（3）無(wú)法有效防止員工私裝軟件，造成非法版權(quán)使用威脅；（4）硬件設(shè)備私下挪用、竊取，造成財(cái)產(chǎn)損失；（5）使用者計(jì)算機(jī)IP隨易變更，造成故障頻傳；（6）軟件單機(jī)安裝浪費(fèi)人力，應(yīng)用軟件版本不易控制；（7）重要資料遭非法拷貝，資料外泄，無(wú)法監(jiān)督；（8）設(shè)備故障或資源不足，無(wú)法事先得到預(yù)警；

（9）應(yīng)用軟件購(gòu)買后，員工真正使用狀況如何，無(wú)從分析； 居高不下的信息化資源成本，不知如何改善。

4.2 宏錦企業(yè)網(wǎng)絡(luò)管理實(shí)施

針對(duì)宏錦企業(yè)網(wǎng)絡(luò)的需求，給企業(yè)安裝SmartIPVIew管理軟件實(shí)現(xiàn)宏錦企業(yè)網(wǎng)絡(luò)對(duì)公司內(nèi)部的設(shè)備以及IP網(wǎng)絡(luò)資源管理。實(shí)施步驟安裝SmartIPVIew管理軟件，運(yùn)行軟件添加宏錦企業(yè)的IP網(wǎng)段如圖4-1.火龍果?整理 uml.org.cn 婁底職業(yè)技術(shù)學(xué)院網(wǎng)絡(luò)專業(yè)畢業(yè)設(shè)計(jì)

圖4-1 添加企業(yè)IP網(wǎng)段

單擊確認(rèn)，添加宏錦企業(yè)內(nèi)部IP網(wǎng)段便于企業(yè)管理企業(yè)內(nèi)部用戶。對(duì)宏錦企業(yè)網(wǎng)絡(luò)內(nèi)部設(shè)備的管理如下圖4-2所示。

圖4-2 添加網(wǎng)絡(luò)設(shè)備

如圖4-2添加宏錦企業(yè)的網(wǎng)絡(luò)設(shè)備，以實(shí)現(xiàn)企業(yè)對(duì)內(nèi)部網(wǎng)絡(luò)設(shè)備的監(jiān)控和方便管理能有效的提高辦公效率。

SmartIPVIew管理軟件獨(dú)創(chuàng)的IP地址資源管理技術(shù)，通過(guò)保護(hù)IP地址資源的安全使用，以及對(duì)IP地址資源的回收再利用，使有限的IP地址資源得到合理合法的使用，從而可以保證整個(gè)網(wǎng)絡(luò)資源的有效利用和安全。

火龍果?整理 uml.org.cn 婁底職業(yè)技術(shù)學(xué)院網(wǎng)絡(luò)專業(yè)畢業(yè)設(shè)計(jì)

總 結(jié)

隨著互聯(lián)網(wǎng)的飛速發(fā)展，網(wǎng)絡(luò)安全逐漸成為一個(gè)潛在的巨大問(wèn)題。網(wǎng)絡(luò)安全性是一個(gè)涉及面很廣泛的問(wèn)題，其中也會(huì)涉及到是否構(gòu)成犯罪行為的問(wèn)題。在其最簡(jiǎn)單的形式中，它主要關(guān)心的是確保無(wú)關(guān)人員不能讀取，更不能修改傳送給其他接收者的信息。此時(shí)，它關(guān)心的對(duì)象是那些無(wú)權(quán)使用，但卻試圖獲得遠(yuǎn)程服務(wù)的人。安全性也處理合法消息被截獲和重播的問(wèn)題，以及發(fā)送者是否曾發(fā)送過(guò)該條消息的問(wèn)題。

本論文從企業(yè)角度描述了網(wǎng)絡(luò)安全的解決方案，目的在于為用戶提供信息的保密，認(rèn)證和完整性保護(hù)機(jī)制，使網(wǎng)絡(luò)中的服務(wù)，數(shù)據(jù)以及系統(tǒng)免受侵?jǐn)_和破壞。比如防火墻，認(rèn)證，加密技術(shù)等都是當(dāng)今常用的方法，本論文從這些方法入手深入研究各個(gè)方面的網(wǎng)絡(luò)安全問(wèn)題的解決，可以使讀者有對(duì)網(wǎng)絡(luò)安全技術(shù)的更深刻的了解。

火龍果?整理 uml.org.cn 婁底職業(yè)技術(shù)學(xué)院網(wǎng)絡(luò)專業(yè)畢業(yè)設(shè)計(jì)

致 謝

在這幾個(gè)多月的畢業(yè)設(shè)計(jì)中，我真誠(chéng)的感謝老師的指導(dǎo)，在老師的幫助下我才順利的完成畢業(yè)設(shè)計(jì)。

做畢業(yè)實(shí)際就需要把平時(shí)學(xué)到的東西在復(fù)習(xí)一遍，因?yàn)槠綍r(shí)上課還有課后自己的學(xué)習(xí)，都主要在基于理論方面的，雖然也做很多實(shí)驗(yàn)，但當(dāng)把畢業(yè)設(shè)計(jì)當(dāng)作一個(gè)實(shí)際的工程來(lái)做的時(shí)候就會(huì)發(fā)現(xiàn)很多的問(wèn)題，這就需要老師的指導(dǎo)了，特別是老師讓我們?cè)趯?shí)訓(xùn)機(jī)房里面，直接就各個(gè)硬件進(jìn)行操作，這樣我們就不會(huì)空談就會(huì)做的更深層次。

所以很感謝老師的幫助，讓我更好的將理論和實(shí)踐相結(jié)合，最后完成了此次畢業(yè)設(shè)計(jì)，同時(shí)也為以后工作做了很好的準(zhǔn)備。

火龍果?整理 uml.org.cn 婁底職業(yè)技術(shù)學(xué)院網(wǎng)絡(luò)專業(yè)畢業(yè)設(shè)計(jì)

參考文獻(xiàn)

[ 1 ] 王達(dá).網(wǎng)管員必讀—網(wǎng)絡(luò)安全.北京：機(jī)械工業(yè)出版社，2009． [ 2 ] 黃傳河.網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)師教程.北京：機(jī)械工業(yè)出版社，2009． [ 3 ] 張千里，陳光英.網(wǎng)絡(luò)安全新技術(shù).北京：人民郵電出版社，2003 [ 4 ] 王衛(wèi)紅，李曉明.計(jì)算機(jī)網(wǎng)絡(luò)與互聯(lián)網(wǎng).北京：機(jī)械工業(yè)出版社，2009． [ 5 ] 易建勛.計(jì)算機(jī)網(wǎng)絡(luò)技術(shù).北京：人民郵電出版社，2007.[ 6 ] 揚(yáng)衛(wèi)東.網(wǎng)絡(luò)系統(tǒng)集成與工程設(shè)計(jì)，2007.[ 7 ] 張千里，陳光英.網(wǎng)絡(luò)安全新技術(shù).北京：人民郵電出版社，2003 [ 8 ] 徐超汗.計(jì)算機(jī)網(wǎng)絡(luò)安全實(shí)用技術(shù)，電子工業(yè)出版社，2005年3月 [ 9 ] 萬(wàn)博公司技術(shù)部.網(wǎng)絡(luò)系統(tǒng)集成行業(yè)使用方案,海洋出版社，2006年 [10 ] 高永強(qiáng)，郭世澤.網(wǎng)絡(luò)安全技術(shù)與應(yīng)用大典.北京：人民郵電出版社，2003

火龍果?整理 uml.org.cn