第一篇:51CTO下载-证券行业网络安全解决方案
证券行业网络安全解决方案
第一章 前言
以Internet为代表的全球性信息化浪潮日益深刻,信息网络技术的应用正日益普及和广泛,应用层次正在深入,应用领域从传统的、小型业务系统逐渐向大型、关键业务系统扩展,典型的如政府部门业务系统、金融业务系统、教育科研系统等。与此同时,这股强劲的Internet旋风也以惊人的速度渗透到证券行业的各个方面。证券公司上网,开展网上的交易委托业务,同时宣传自身的服务,吸引更多的客户;证交所上网,发布实时的行情信息,提供专家股评,向用户提供上市公司信息;Internet进入证券领域,为广大的证券从业人员提供了更为广泛的信息来源空间,提供了更为广阔的施展才能的舞台;同时,也为股民提供了一种更为灵活的获取市场信息和进行股票交易的方式.伴随网络的普及,安全日益成为影响网络效能的瓶颈,而证券行业的网络安全存在漏洞的状况也是众所周知的,多位信息安全领域的专家也对证券行业网络的安全问题提出了尖锐的批评,证券行业网络的安全现状已不能适应证券业迅速发展的状况。近几年,不断有证券行业网络被“黑客”入侵,造成重大经济损失和恶劣影响的消息见诸报段.证券行业的网络安全已经成为摆在所有证券机构和人员所要考虑的事情之一。FortiNet公司是一家从事网络信息安全研究、产品开发的高科技术企业之一。是一家致力于国际信息安全产业发展的专业安全公司。FortiNet公司已成功开发出具有自主版权的安全产品:FortiGate系列防火墙。该产品是基于ASIC芯片的硬件防火墙,集成了网关级病毒检测和内容过滤功能。该安全产品已获得公安部许可,同时获得了ICSA的AntiVirus、IPSec和FireWall认证。目前,这些安全产品都已广泛应用于金融、电信、教育等行业。并赢得用户的广泛赞誉。
第二章 网络安全风险和应对策略
2.1 安全风险
证券网络系统的安全风险主要来自网络设施物理特性的安全、网络系统平台的安全、网上交易的安全、数据存储的安全。
2.1.1物理安全风险
由于水灾、火灾、雷击、粉尘、静电等突发性事故和环境污染造成网络设施工作停滞
人为引起设备被盗、被毁或外界的电磁干扰使通信线路中断
电子、电力设备本身固有缺陷和弱点及所处环境容易在人员误操作或外界诱发下发生故障
2.1.2 系统安全风险
系统风险在三个方面:网络系统、操作系统和应用系统
网络系统在设计实施不够完善,例如缺乏正确路由、网络的容量、带宽估计不足、对证券系统局域网没做划分隔离以及关键网络设备没有冗余设计,一旦发生故障,将直接影响网络系统安全。
网络系统缺乏安全可靠的网络通信协议和网络安全设备,使网络黑客容易利用网络设计和协议漏洞进行网络攻击和信息窃取,例如未经授权非法访问证券系统内部网络、对电话网进行监听、对系统的安全漏洞进行探测扫描、远程登陆交易、行情服务器并对数据进行篡改、对通信线路、服务器实施洪流攻击造成线路涌塞和系统瘫痪等。
网络操作系统,无论是windowsunixnetware各种商用操作系统,其国外开发商都留有后门(back door),目前每种操作系统都发现有安全漏洞,一旦被人发现利用将对整个证券网络系统造成不可估量的损失。
OA应用系统的风险主要是涉及不同地区、不同部门的资源有限共享时被内部人员不安全使用造成口令失窃、文电丢失泄密,以及在与外界进行邮件往来时带来病毒和黑客进入的隐患。
针对业务系统(包括业务管理系统、业务服务系统)的威胁主要来自于内、外界对业务系统非授权访问、系统管理权限丧失(由于用户名、口令、IC卡等身份标志泄漏)、使用不当或外界攻击引起系统崩溃、网络病毒的传播或其他原因造成系统损坏、系统开发遗留的安全漏洞等。
2.1.3 网上交易的安全风险
因特网是全球性公共网络,并不由任何一个机构所控制。数据在因特网上传输的途径是不完全确定的。因特网本身并不是一个完全安全可靠的网络环境。
在因特网上可能有人采用相似的名称和外观仿冒证券网站和服务器,用于骗取投资者的数据资料。
如果用于证实投资者身份的数字证书和口令被窃取,他人有可能仿冒投资者身份进行交易委托和查询。
在网上传输的指令、数据有可能被某些个人、团体或机构通过某种渠道截取、篡改、重发。但他们并不一定能够了解该数据的真实内容。
由于网络交易的非接触性,交易双方可能对交易结果进行抵赖
在网上的数据传输可能因通信繁忙出现延迟,或因其它原因出现中断、停顿或数据错误,从而使得网上交易出现延迟、停顿或中断。
网上发布的证券交易行情信息可能滞后,与真实情况不完全一致。
2.1.4 数据的安全风险
因内、外因素造成数据库系统管理失控或破坏使用户的个人资料和业务数据遭到偷窃、复制、泄密、丢失,并且无法得到恢复
网络病毒的传播或其他原因造成存储数据的丢失和损坏
网站发布的信息数据(包括分析、预测性资料)有可能被更改、删除,给证券公司带来损失。
2.2 安全策略
传统的安全策略停留在局部、静态的层面上,仅仅依靠几项安全技术和手段达到整个系统的安全目的,现代的安全策略应当紧跟安全行业的发展趋势,在进行安全方案设计、规划时,遵循以下原则:
(1)体系性:制定完整的安全体系,应包括安全管理体系、安全技术体系和安全保障体系。
(2)系统性:安全模块和设的引入应该体现其系统统一到运行和管理的特性,以确保安全策略配置、实施的正确性和一致性。应该避免安全设备各自独立配置和管理 的工作方式。
(3)层次性安全设计应该按照相关应用安全需求,在各个层次上采用的安全机制来实现所需的安全服务,从而达到网络信息安全的目的。
(4)综合性:网络信息安全 的设计包括从完备性(并有一定冗余)、先进性和可扩展性方面的技术方案,以及根据技术管理、业务管理和行政管理要求相应的安全管理方案,形成网络安全工程设计整体方案,供工程分阶段实施和安全系统运行作为指导。(5)动态性:由于网络信息系统的建设和发展是逐步进行的,而安全技术和产品也不断更新和完善,因此,安全设计应该在保护现有资源的基础上,体现最新、最成熟的安全技术和产品,以满足网络安全系统安全目标。
2.3 常用安全防范技术
网络隔离技术
访问控制技术
加密技术
鉴别技术
数字签名技术
入侵监测技术
信息审计技术
安全评估技术
病毒防治技术
备份与恢复技术
第三章 证券网络整体解决方案
3.1 安全体系
按照安全策略的要求及风险分析的结果,整个证券网络安全措施应根据证券网络的行业特点,按照网络安全的整体构想来建立,具体的安全控制系统由以下几方面组成:
3.2 物理安全
保证计算机信息系统各种设备的物理安全是整个计算机信息系统安全的前提。
物理安全是保护计算机网络设备、设施以及其它媒体免遭地震、水灾、火灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过程。它主要包括三个方面:
环境安全:对系统所在环境的安全保护,如区域保护和灾难保护;(参见国家标准GB50173-93《电子计算机机房设计规范》、国标GB2887-89《计算站场地技术条件》、GB9361-88《计算站场地安全要求》)。
设备安全:主要包括设备的防盗、防毁、防电磁信息辐射泄漏、防止线路截获、抗电磁干扰及电源保护等;
媒体安全:包括媒体数据的安全及媒体本身的安全。
3.3 系统安全
系统安全主要关注网络系统、操作系统和应用系统三个层次。
系统安全采用的技术和手段有冗余技术、网络隔离技术、访问控制技术、身份鉴别技术、加密技术、监控审计技术、安全评估技术等。
3.3.1 网络系统
网络系统安全是网络的开放性、无边界性、自由性造成,安全解决关键是把被保护的网络从开放、无边界、自由的环境中独立出来,使网络成为可控制、管理的内部系统,由于网络系统是应用系统的基础,网络安全成为首要问题,解决网络安全主要方式有:
网络冗余 解决网络系统单点故障的重要措施,对关键性的网络线路、设备我们通常采用双备或多备份的方式,网络运行时双方对运营状态相互实时监控并自动调整,当网络的一段或一点发生故障或网络信息流量突变时能在有效时间内进行切换分配,保证网络正常的运行。
系统隔离 分为物理隔离和逻辑隔离,主要从网络安全等级考虑划分合理的网络安全边界,使不同安全级别的网络或信息媒介不能相互访问,从而达到安全目的。针对证券网络系统特点一般把证券交易的业务系统网络与内部办公网络进行严格的物理隔离,存储媒介则根据重要程度严格区分并只能通过第三方进行交换;对业务网络或办公网络采用VLAN技术和通信协议实行逻辑隔离划分不同的应用子网。
访问控制 对于网络不同信任域实现双向控制或有限访问原则,使受控的子网或主机访问权限和信息流向能得到有效控制。具体相对网络对象而言需要解决网络的边界的控制和网络内部的控制,对于网络资源来说保持有限访问的原则,信息流向则可根据安全需求实现单向或双向控制。访问控制最重要的设备就是防火墙,它一般安置在不同安全域出入口处,对进出网络的IP信息包进行过滤并按企业安全政策进行信息流控制,同时实现网络地址转换、实时信息审计告警等功能,高级防火墙还可实现基于用户的细粒度的访问控制。证券系统的防火墙配置在证券公司交易系统与公网的交界处(包括INTERNET、系统内部广域网、相关业务网络)和公司重要的子网出口。
身份鉴别 是对网络访问者权限的识别,一般通过三种方式验证主体身份,一是主体了解的秘密,如用户名、口令、密钥;二是主体携带的物品,如磁卡、IC卡、动态口令卡和令牌卡等;三是主体特征或能力,如指纹、声音、视网膜、签名等,在证券网络系统中,前两种方式运用较多。
加密 为了防止网络上的窃听、泄漏、篡改和破坏,保证信息传输安全,对网上数据使用加密手段是最为有效的方式。目前加密可以在三个层次来实现,即链路层加密、网络层加密和应用层加密。链路加密侧重通信链路而不考虑信源和信宿,他对网络高层主体是透明的。网络层加密采用IPSEC核心协议,具有加密、认证双重功能,是在IP层实现的安全标准。通过网络加密可以构造企业内部的虚拟专网(VPN),使企业在较少投资下得到安全较大的回报。
安全监测 采取信息侦听的方式寻找未授权的网络访问尝试和违规行为,包括网络系统的扫描、预警、阻断、记录、跟踪等,从而发现系统遭受的攻击伤害。网络扫描监测系统作为对付电脑黑客最有效的技术手段,具有实时、自适应、主动识别和响应等特征,广泛用于各行各业。
网络扫描 针对网络设备的安全漏洞进行检测和分析,包括网络通信服务、路由器、防火墙、邮件、WEB服务器等,从而识别能被入侵者利用非法进入的网络漏洞。网络扫描系统对检测到的漏洞信息形成详细报告,包括位置、详细描述和建议的改进方案,使网管能检测和管理安全风险信息。
3.3.2 操作系统
操作系统是管理计算机资源的核心系统负责信息发送、管理设备存储空间和各种系统资源的调度,它作为应用系统的软件平台具有通用性和易用性,操作系统安全性直接关系到应用系统的安全,操作系统安全分为应用安全和安全漏洞扫描。
应用安全 面向应用选择可靠的操作系统并按正确的操作流程使用计算机系统,杜绝使用来历不明的软件,安装操作系统保护与恢复软件并作相应的备份。
系统扫描 基于主机的安全评估系统是在严格的基础上对系统的安全风险级别进行划分,并提供完整的安全漏洞检查列表,通过不同版本的操作系统进行扫描分析,对扫描漏洞自动修补形成报告,保护应用程序、数据免受盗用、破坏。
3.3.3 应用系统
证券行业应用系统大体分为办公系统、业务管理系统、业务服务系统,证券应用系统安全除采用通用的安全手段外主要根据企业自身经营及管理需求来开发。
办公系统 文件(邮件)的安全存储:利用加密手段,配合相应的身份鉴别和密钥保护机制(IC卡、PCMCIA 安全PC卡等),使得存储于本机和网络服务器上的个人和单位重要文件处于安全存储的状态,使得他人即使通过各种手段非法获取相关文件或存储介质(硬盘等),也无法获得相关文件的内容。
文件(邮件)的安全传送:对通过网络(远程或近程)传送给他人的文件进行安全处理(加密、签名、完整性鉴别等),使得被传送的文件只有指定的收件者通过相应的安全鉴别机制(IC卡、PCMCIA PC 卡)才能解密并阅读,杜绝了文件在传送或到达对方的存储过程中被截获、篡改等,主要用于信息网中的报表传送、公文下发等。
业务系统 主要面向业务管理和信息服务的安全需求,例如在证券交易管理中采取集中统一的监管系统,对业务流实时进行监控、统计、分析、查询,防止违规操作,化解安全风险;对通用信息服务系统(电子邮件系统、WEB信息服务系统、FTP服务系统等)采用基于应用开发安全软件,如安全邮件系统、WEB页面保护;对业务信息可以配合管理系统采取对信息内容的审计稽查,防止外部非法信息侵入和内部敏感信息泄漏。
3.4 交易安全
目前证券交易方式主要分为营业部柜台交易、电话交易、网上交易,前两种交易方式安全系数较高,而网上交易主要通过公网完成交易的全过程,由于公网的开放性和复杂性,使网上交易风险大大高于前者。几乎所有参加网上证券交易的证券公司采用的是TCP/IP标准协议,应用系统都是基于C/S或B/S(浏览器/服务器)结构,由于交易发生在两地,双方缺乏可靠的安全机制保证各自的利益,针对网上证券交易的风险和特点,保障交易安全通常采用授权、身份鉴别、信息加密、完整性校验、信息审计、防重发、防抵赖等安全机制,具体实现主要依靠基于PKI(公开密钥密码设施)体系现代密码技术及在此基础上开发应用的电子商务认证加密系统(CA)。
交易安全标准 目前在电子商务中主要的安全标准有两种:应用层的SET(安全电子交易)和会话层SSL(安全套层)协议。前者由信用卡机构VISA及MasterCard提出的针对电子钱包/商场/认证中心的安全标准,主要用于银行等金融机构;后者由NETSCAPE公司提出针对数据的机密性/完整性/身份确认/开放性的安全协议,事实上已成为WWW应用安全标准,也是证券网上交易的标准安全协议。
交易安全基础体系 交易安全基础在于现代密码技术,依赖于加密方法和强度。加密分为单密钥的对称加密体系和双密钥的非对称加密体系。两者各有所长,对称密钥具有加密效率高,但存在密钥分发困难、管理不便的弱点;非对称密钥加密速度慢,但便于密钥分发管理。在证券交易中通常把两者结合使用,达到高效安全的目的。
交易安全的实现 完成证券交易需解决的安全问题主要有交易双方身份确认、交易指令及数据加密传输、数据的完整性、防止双方对交易结果的抵赖。具体途径为建立自己的CA认证中心或采用权威的CA中心,通过颁发相应的数字证书给与交易各方相关身份证明,同时在SSL协议体系下完成交易过程中电子证书验证、数字签名、指令数据的加密传输、交易结果确认审计等。
3.5 数据安全
数据安全牵涉到数据库的安全和数据本身安全,针对两者应有相应的安全措施。
数据库安全 证券公司的数据库一般采用具有一定安全级别的SYBASE或ORACLE大型分布式数据库,鉴于数据库的重要性,还应在此基础上开发一些安全措施,增加相应控件,对数据库分级管理并提供可靠的故障恢复机制,实现数据库的访问、存取、加密控制。具体实现方法有安全数据库系统、数据库保密系统、数据库扫描系统等。
数据安全 指存储在数据库数据本身的安全,相应的保护措施有安装反病毒软件,建立可靠的数据备份与恢复系统如行情备份系统,对股民的个人资料和交易数据按安全等级划分存储,某些重要数据甚至可以采取加密保护。
3.6 安全管理
面对网络安全的脆弱性,除了运用先进的网络安全技术和安全系统外,完善的网络安全管理将是信息系统建设重要组成部分,许多不安全的因素恰恰反映在组织资源管理上,安全管理应该贯穿在安全的各个层次上。
安全管理三原则:
·多人负责原则
每一项与安全有关的活动,都必须有两人或多人在场。这些人应是系统主管领导指派的,他们忠诚可靠,能胜任此项工作;他们应该签署工作情况记录以证明安全工作已得到保障。
·任期有限原则
一般地讲,任何人最好不要长期担任与安全有关的职务,以免使他认为这个职务是专有的或永久性的。为遵循任期有限原则,工作人员应不定期地循环任职,强制实行休假制度,并规定对工作人员进行轮流培训,以使任期有限制度切实可行。
·职责分离原则
在信息处理系统工作的人员不要打听、了解或参与职责以外的任何与安全有关的事情,除非系统主管领导批准。
信息系统安全管理的实现
·安全制度管理
根据证监会《证券经营机构营业部信息系统管理规范》、《网上证券委托暂行管理办法》等有关法规的要求,建立本行业的管理制度,包括机房管理、网络管理、数据管理、设备管理、应急处理、人员管理、技术资料管理等有关信息系统建设的规范。
·安全目标管理
1.按照技术管理目标,展开对最新网络安全技术的跟踪研究,并就证券行业信息系统的安全技术进行交流、探讨,从而提出本公司的网络安全技术和管理策略。
2.按照资源管理目标,对证券行业网络系统的物理资源、网络资源、信息资源实现统一的资源分配设置,根据资源的重要程度确定安全等级,从而确立安全管理范围。
3.按照客户管理目标,根据统一标准划分用户角色,对不同的用户在交易中风险的高低及可能带来的损失采取安全防范措施,例如对经常进行网上交易的重要客户或大客户设置虚拟大客户室,由证券公司给与必要的技术支援和培训。
3.7 安全服务
建立网络安全保障体系不能仅仅依靠现有的安全机制和设备,更重要的是提供全方位的安全服务。网络安全不是几种安全产品的集合,它作为一项系统工程已经形成了自己的专业体系,没有先进科学的知识结构很难对此进行全面细致的把握;网络安全系统存在固有弱点,即使最微小的安全漏洞都可能引发整个网络系统的崩溃;同时网络安全处在信息产业飞速发展的大环境下,现有的系统安全只是暂时的、静态的,所有这些问题都必须通过持续全面的安全服务来解决。完善的安全服务应包括全方位的安全咨询,整体系 统安全的策划、设计,优质的工程实施、细致及时的售后服务和技术培训。除此之外,定期的网络安全风险评估,帮助客户制定特别事件应急响应方案扩充了安全服务的内涵。
3.8 安全目标
通过规划建立证券系统安全体系,综合运用各种安全技术和手段,我们要达到的安全目标为:
静态安全目标 包括整个证券信息系统的物理环境、系统硬、软件结构和可用的信息资源,保证证券交易系统实体平台安全。
动态安全目标 提升证券信息系统的安全软环境,包括安全管理、安全服务、安全思想意识和人员的安全专业素质。
第四章 典型应用案例(总部模式)
说明:
防火墙作为基础安全设备设立在公司总部及营业部入口,通过访问控制可防止非法入侵并能做内部的安全代理。
通过IP层加密构建证券公司虚拟专用网(VPN),保证证券公司总部与各营业部之间信息传输的机密性。
安全控制中心主要用作证券公司网络监控预警系统,具有主动、实时的特性。它是由入侵监测系统、网络扫描系统、系统扫描系统、网络防病毒系统、信息审计系统等构成的综合安全体系。
证券公司的WEB服务器、邮件服务器等应用系统的保护由页面保护系统、安全邮件系统完成。
基于SSL协议的应用加密系统保证股民交易安全。
建立公司的数字证书中心(CA),向股民发放相应的数字证书。
交易、行情服务器采用负载均衡和容错备份系统。
数据库采用相应安全控件组成安全数据库,定期进行数据库漏洞扫描和数据备份。
卫星加密系统用于证券公司与深、沪两市数据安全交换。
文电办公加密系统用于办公文件(邮件)加密传输、存储。
第五章 网络安全发展趋势
未来网络安全发展的趋势是在现有网络安全体系性下从广度和深度做进一步的扩展,在遵循原有网络安全体系性、系统性、层次性、综合性、动态性的原则基础上,以客户的具体需求为中心,按客户网络的实际运用状况度身定制网络安全的整体规划设计,包括完整的安全解决方案,基于应用的安全产品的二次开发,特色的安全服务项目等。具体表现为
a)安全技术体系:更强调整体性、融合性、开放性,随着安全技术的演进,综合运用多种安全技术的安全产品将在市场上大行其是,而功能单一的安全产品将逐步消亡,但不排除基于客户特殊应用的二次开发的安全产品。安全技术及产品的行业标准在一定范围内逐步统一,同时与网络的开放性趋于一致。
b)安全管理体系:不同行业的安全管理将更加制度化、规范化,信息系统的安全管理将从其他管理体系中独立出来,与安全技术体系紧密结合,成为非技术的重要安全因素。
c)安全保障体系:安全保障最终落实在安全服务上,因为它是动态的、持久的、专业的。如同安全产品一样,安全服务将独立体现自己本身的价值。有特色安全服务越来越成为网络安全公司品牌的一部分。
第二篇:电子政务网络安全解决方案
电子政务网络安全解决方案
电子政务网络安全概述
以Internet为代表的全球性信息化浪潮日益深刻,信息网络技术的应用正日益普及和广泛,应用层次正在深入,应用领域从传统的、小型业务系统逐渐向大型、关键业务系统扩展,典型的如行政部门业务系统、金融业务系统、政府机关商务系统等。伴随网络的普及,安全日益成为影响网络效能的重要问题,而Internet所具有的开放性、国际性和自由性在增加应用自由度的同时,对安全提出了更高的要求。如何使信息网络系统不受黑客和工业间谍的入侵,已成为政府机构、企事业单位信息化健康发展所要考虑的重要事情之一。
网络规划
各级网络
利用现有线路及网络进行完善扩充,建成互联互通、标准统一、结构简单、功能完善、安全可靠、高速实用、先进稳定的级别分明却又统一的网络。数据中心
建设集中的数据中心,对所有的信息资源、空间、信用等数据进行集中存放、集中管理。为省及各市部门、单位的关键应用及关键设施提供机房、安全管理与维护。网络总体结构
政府机构从事的行业性质是跟国家紧密联系的,所涉及信息可以说都带有机密性,所以其信息安全问题,如敏感信息的泄露、黑客的侵扰、网络资源的非法使用以及计算机病毒等。都将对政府机构信息安全构成威胁。为保证政府网络系统的安全,有必要对其网络进行专门安全设计。
所谓电子政务就是政府机构运用现代计算机技术和网络技术,将其管理和服务的职能转移到网络上完成,同时实现政府组织结构和工作流程的重组优化,超越时间、空间和部门分隔的制约,向全社会提供高效、优质、规范、透明和全方位的管理与服务。
实现电子政务的意义在于突破了传统的工业时代“一站式”的政府办公模式,建立了适应网络时代的“一网式”和“一表式”的新模式,开辟了推动社会信息化的新途径,创造了政府实施产业政策的新手段。电子政务的出现有利于政府转变职能,提高运作效率。
图示:原有电子政务网络情况
电子政务网络的应用系统和网络连接方式多样,由于网络本身及应用系统的复杂性,无论是有意的攻击,还是无意的误操作,都将会给系统带来不可估量的损失。非法进入的攻击者可能窃听网络上的信息、窃取用户的口令、数据库的信息;还可以篡改数据库内容、伪造用户身份、否认自己的签名;更有甚者,攻击者可以删除数据库内容、摧毁网络节点等等。
因此在电子政务网络的建设中,构建网络安全系统以确保网络信息的安全可靠是非常必要的。
物理安全风险分析
网络物理安全是整个网络系统安全的前提。物理安全的风险主要有: ◆地震、水灾、火灾等环境事故造成整个系统毁灭;
◆电源故障造成设备断电以至操作系统引导失败或数据库信息丢失; ◆设备被盗、被毁造成数据丢失或信息泄漏; ◆电磁辐射可能造成数据信息被窃取或偷阅;
◆报警系统的设计不足可能造成原本可以防止但实际发生了的事故。链路传输风险分析
网络安全不仅是入侵者到政府机关内部网上进行攻击、窃取或其它破坏,他们完全有可能在传输线路上安装窃听装置,窃取你在网上传输的重要数据,再通过一些技术读出数据信息,造成泄密或者做一些篡改来破坏数据的完整性;以上种种不安全因素都对网络构成严重的安全威胁。因此,对于政府这样带有重要信息传输的网络,数据在链路上传输必须加密。并通过数字签名及认证技术来保障数据在网上传输的真实性、机密性、可靠性及完整性。
远程办公安全接入 目前,政府网络应用环境纷乱复杂,既有内部的应用如:内部OA系统、文件共享、Email等应用服务,又有众多面向下属单位、合作伙伴等对外的应用。如何地有效解决远程用户安全访问网络内部资源?
虚拟专用网技术(VPN,Virtual PrivateNetwork)是指在公共网络中建立专用网络,数据通过安全的“加密通道”在公共网络中传播。政府机关只需要租用本地的数据专线,连接上本地的公众信息网,那么各地的机构就可以互相传递信息。使用VPN有节约成本、扩展性强、便于管理和实现全面控制等好处。在虚拟专用网中,任意两个节点之间的连接并没有传统专网所需的端到端的物理链路,而是利用某种公众网的资源动态组成的,是通过私有的隧道技术在公共数据网络上仿真一条点到点的专线技术。所谓虚拟,是指用户不再需要拥有实际的长途数据线路,而是使用Internet公众数据网络的长途数据线路。所谓专用网络,是指用户可以为自己制定一个最符合自己需求的网络。根据国家有关规定,政府网络可以通过现有公有平台搭建自己的内部网络,但必须通过认证和加密技术,保证数据传输的安全性。
单独的VPN网关的主要功能是IPSec数据包的加密/解密处理和身份认证,但它没有很强的访问控制功能,例如状态包过滤、网络内容过滤、防DDoS攻击等。在这种独立的防火墙和VPN部署方式下,防火墙无法对VPN的数据流量进行任何访问控制,由此带来安全性、性能、管理上的一系列问题。因此,在防火墙安全网关上集成VPN是当前安全产品的发展趋势,能提供一个灵活、高效、完整的安全方案。
集成VPN的防火墙安全网关的优点是,它可以保证加密的流量在解密后,同样需要经过严格的访问控制策略的检查,保护VPN网关免受DDoS攻击和入侵威胁;提供更好的处理性能,简化网络管理的任务,快速适应动态、变化的网络环境。因此,当前VPN技术已经成为安全网关产品的组成部分。
政府机关Intranet网络建设的VPN连接方案,利用IPsec安全协议的VPN和加密能力,实现两个或多个政府机关之间跨越因特网的政府机关内部网络连接,实现了安全的政府机关内部的数据通信。通过防火墙内部策略控制体系,对VPN的数据可以进行有效的控制和管理,使政府机关的内部网络通信具有良好的扩展性和管理性。
图示:政府机关Intranet网VPN解决方案
如上图示,原始的数据经过加密封装在另外一个IP通道内,通道头部地址就是防火墙外部端口的IP地址,以实现在公网链路上的传输。利用高强度的、动态变换的密钥来保证数据的安全,168位的3DES算法更提供了业界最高级别的安全防御体系,使政府机关的内部数据可以无忧地在公网上传输,以达到政府机关内部网络安全扩展的目的。
网络结构的安全风险分析
(一)来自与公网互联的安全威胁
如果政府内部网络与Internet公网有互连。基于Internet公网的开放性、国际性与自由性,内部网络将面临更加严重的安全威胁。因为,每天黑客都在试图闯入Internet节点,假如我们的网络不保持警惕,可能连黑客怎么闯入的都不知道,甚至会成为黑客入侵其他网络的跳板。政府行业内部网络中其办公系统及各人主机上都有涉密信息。
假如内部网络的一台机器安全受损(被攻击或者被病毒感染),就会同时影响在同一网络上的许多其他系统。透过网络传播,还会影响到与本系统网络有连接的外单位网络;影响所及,还可能涉及法律、金融等安全敏感领域。对于政府行业网络系统,国家也有规定是不能与互联网直接或间接与相连。
内部网络与系统外部网互联安全威胁
如果系统内部局域网络与系统外部网络间没有采取一定的安全防护措施,内部网络容易遭到来自外部网络不怀好意的入侵者的攻击。如:
入侵者通过Sniffer等程序来探测扫描网络及操作系统存在的安全漏洞,如网络IP地址、应用操作系统的类型、开放哪些TCP端口号、系统保存用户名和口令等安全信息的关键文件等,并通过相应攻击程序对内网进行攻击。
入侵者通过网络监听等先进手段获得内部网用户的用户名、口令等信息,进而假冒内部合法身份进行非法登录,窃取内部网重要信息。
恶意攻击:入侵者通过发送大量PING包对内部网重要服务器进行攻击,使得服务器超负荷工作以至拒绝服务甚至系统瘫痪。
(三)内部局域网的安全威胁
据调查在已有的网络安全攻击事件中约70%是来自内部网络的侵犯。比如内部人员故意泄漏内部网络的网络结构;安全管理员有意透露其用户名及口令;内部员工编些具有破坏力的程序在内部网上传播或者内部人员通过各种方式盗取他人涉密信息传播出去。种种因素都对整体的网络安全构成很大的威胁。
系统的安全风险分析
所谓系统安全通常是指网络操作系统、应用系统的安全。目前的操作系统或应用系统无论是Windows还是其它任何商用UNIX操作系统以及其它厂商开发的应用系统,其开发厂商必然有其Back-Door(后门)。而且系统本身必定存在安全漏洞。这些“后门”或安全漏洞都将存在重大安全隐患。但是从实际应用上,系统的安全程度跟对其进行安全配置及系统的应用面有很大关系,操作系统如果没有采用相应的安全配置,则其是漏洞百出,掌握一般攻击技术的人都可能入侵得手。
如果进行安全配置,比如,填补安全漏洞,关闭一些不常用的服务,禁止开放一些不常用而又比较敏感的端口等,那么入侵者要成功进行内部网是不容易,这需要相当高的技术水平及相当长时间。因此应正确估价自己的网络风险并根据自己的网络风险大小做出相应的安全解决方案。
应用的安全风险分析
应用系统的安全涉及很多方面。应用系统是动态的、不断变化的。应用的安全性也是动态的。这就需要我们对不同的应用,检测安全漏洞,采取相应的安全措施,降低应用的安全风险。
(一)资源共享
政府网络系统内部必有自动化办公系统。而办公网络应用通常是共享网络资源,比如文件、打印机共享等。由此就可能存在着:员工有意、无意把硬盘中重要信息目录共享,长期暴露在网络邻居上,可能被外部人员轻易偷取或被内部其他员工窃取并传播出去造成泄密,因为缺少必要的访问控制策略。
电子邮件系统
电子邮件为网系统用户提供电子邮件应用。内部网用户可通过拔号或其它方式进行电子邮件发送和接收这就存在被黑客跟踪或收到一些特洛伊木马、病毒程序等,由于许多用户安全意识比较淡薄,对一些来历不明的邮件,没有警惕性,给入侵者提供机会,给系统带来不安全因素。
病毒侵害
自从1983年世界上第一个计算机病毒出现以来,在20多年的时间里,计算机病毒已到了无孔不入的地步,有些甚至给我们造成了巨大的破坏。
随着网络的普及和网速的提高,计算机之间的远程控制越来越方便,传输文件也变得非常快捷,正因为如此,病毒与黑客程序(木马病毒)结合以后的危害更为严重,病毒的发作往往伴随着用户机密资料的丢失。病毒的传播可能会具有一定的方向性,按照制作者的要求侵蚀固定的内容。
由于网络的普及,使得编写病毒的知识越来越容易获得。同时,各种功能强大而易学的编程工具让用户可以轻松编写一个具有极强杀伤力的病毒程序。用户通过网络甚至可以获得专门编写病毒的工具软件,只需要通过简单的操作就可以生成破坏性的病毒。
网络是病毒传播的最好、最快的途径之一。病毒程序可以通过网上下载、电子邮件、使用盗版光盘或软盘、人为投放等传播途径潜入内部网。因此,病毒的危害的不可以轻视的。网络中一旦有一台主机受病毒感染,则病毒程序就完全可能在极短的时间内迅速扩散,传播到网络上的所有主机,可能造成信息泄漏、文件丢失、机器死机等不安全因素。
数据信息
数据安全对政府行业来说尤其重要,数据在广域网线路上传输,很难保证在传输过程中不被非法窃取,篡改。现今很多先进技术,黑客或一些工业间谍会通过一些手段,设法在线路上做些手脚,获得在网上传输的数据信息。也就造成的泄密。这对政府行业用户来说,是决不允许的。
管理的安全风险分析
内部管理人员或员工把内部网络结构、管理员用户名及口令以及系统的一些重要信息传播给外人带来信息泄漏风险。
机房重地却是任何都可以进进出出,来去自由。存有恶意的入侵者便有机会得到入侵的条件。
内部不满的员工有的可能熟悉服务器、小程序、脚本和系统的弱点。利用网络开些小玩笑,甚至破坏。如传出至关重要的信息、错误地进入数据库、删除数据等等。这些都将给网络造成极大的安全风险。
管理是网络中安全得到保证的重要组成部分,是防止来自内部网络入侵必须的部分。责权不明,管理混乱、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的风险。即除了从技术上下功夫外,还得依靠安全管理来实现。
防火墙系统设计方案
(一)防火墙系统
1、在各网络出口处安装曙光天罗防火墙。防火墙在这里首先起到网络隔离、划分不同安全域,进行访问控制的功能。通过防火墙的多网口结构设计,控制授权合法用户可以访问到授权服务,而限制非授权的访问。曙光天罗防火墙分为百兆和千兆两个系列,可以根据各局内部网的规模大小选择适合自己的产品。
2、曙光天罗防火墙自带的入侵检测功能采用了基于模式匹配的入侵检测系统,超越了传统防火墙中的基于统计异常的入侵检测功能,实现了可扩展的攻击检测库,真正实现了抵御目前已知的各种攻击方法。防火墙的入侵检测模块,可以自动检测网络数据流中潜在的入侵、攻击和滥用方式,通知管理员调整控制规则,为整个网络提供动态的网络保护。
3、利用曙光天罗防火墙自带的VPN功能,实现多级VPN系统。防火墙VPN模块支持两种用户模式:远程访问虚拟网(拨号VPN)和政府机关内部虚拟网(网关对网关VPN)。如上图所示,在省地市三级网络出口处安装曙光天罗防火墙,利用防火墙的VPN模块,实现他们之间分层次的政府机关内部虚拟网(网关对网关VPN);而对于一些规模比较小的区线或移动用户,通过安装VPN客户端,实现远程访问虚拟网(拨号VPN),整个构成一个安全的虚拟内部局域网,保障电子政务网络的数据安全传输。
(二)防火墙的VPN功能
VPN是平衡Internet的适用性和价格优势的最有前途的新兴通信手段之一。利用共享的IP网建立VPN连接,可以使服务对象减少对昂贵租用线路和复杂远程访问方案的依赖性。
也是至关重要的一点,它可以使移动用户和一些小型的分支机构的网络开销减少达50%或更多;
政府机关新增的分支机构或站点可以非常迅速方便地加入政府机关已建的基于VPN的INTRANET,所以VPN的可扩展性大大优于传统构建政府机关INTRANET的技术手段,如点对点专线或长途拨号;
VPN不仅可以大幅度削减传输数据的开销,同时可以削减传输话音的开销;
VPN创造了多种伴随着Web发展而出现的新的商业机会,包括:进行全球电子商务,可以在减少销售成本的同时增加销售量;实现外连网,可以使用户获得关键的信息,更加贴近世界;可以访问全球任何角落的电子通勤人员和移动用户。
在当今全球激烈竞争的环境下,最先实现VPN的政府机关将在竞争获得优势已经是不争的事实,许多政府机关也开始纷纷利用经济有效的VPN来传送话音业务,并从中受益:
◆ 减少用于相关的调制解调器和终端服务设备的资金及费用,简化网络; ◆ 实现本地拨号接入的功能来取代远距离接入,这样能显著降低远距离通信的费用; ◆ 远端验证拨入用户服务基于标准,基于策略功能的安全服务;
◆ 将工作重心从管理和保留运作拨号网络的工作人员转到公司的核心业务上来; ◆ 强大的基于 Web的VPN管理工具提供基于策略的 VPN配置和监控,可以优化网络资源;
◆ 极大的可扩展性,简便地对加入网络的新用户进行调度。用户不需改变网络的原来架构,只须安装客户端软件并且设置此软件的一些参数即可。同时也支持传统的应用,可以从小的政府机关扩展到最大的政府机关;
◆ 更大的网络灵活性,可以管理和发布不同类型的数据进入同一Internet连接。VPN代表了当今网络发展演化的最高形式,它综合了传统数据网络的性能优点(安全和QoS)和共享数据网络结构的优点(简单和低成本),必将成为未来传输完全汇聚业务的主要工具。
用户可以通过硬件和软件的方式来实现VPN功能,一般用户都会使用硬件设备。在总部架设一个带有VPN功能的防火墙,就可以让地方联到总部的内部局域网了。使用这种具有VPN功能的防火墙都具有较高的安全性和稳定性,因一个最大的优点是既可以抵御外部的攻击又可以提高自身网络的安全性。
防火墙对服务器的保护
网络中应用的服务器,信息量大、处理能力强,往往是攻击的主要对象。另外,服务器提供的各种服务本身有可能成为“黑客”攻击的突破口,因此,在实施方案时要对服务器的安全进行一系列安全保护。
如果服务器没有加任何安全防护措施而直接放在公网上提供对外服务,就会面临着“黑客”各种方式的攻击,安全级别很低。因此当安装防火墙后,所有访问服务器的请求都要经过防火墙安全规则的详细检测。只有访问服务器的请求符合防火墙安全规则后,才能通过防火墙到达内部服务器。防火墙本身抵御了绝大部分对服务器的攻击,外界只能接触到防火墙上的特定服务,从而防止了绝大部分外界攻击。
(四)防火墙对内网的保护
网络内部的环境比较复杂,而且各子网的分布地域广阔,网络用户、设备接入的可控性比较差,因此,内部网络用户的可靠性并不能得到完全的保证。特别是对于存放敏感数据的主机的攻击往往发自内部用户,如何对内部用户进行访问控制和安全防范就显得特别重要。为了保障内部网络运行的可靠性和安全性,我们必须要对它进行详尽的分析,尽可能防护到网络的每一节点。
对于一般的网络应用,内部用户可以直接接触到网络内部几乎所有的服务,网络服务器对于内部用户缺乏基本的安全防范,特别是在内部网络上,大部分的主机没有进行基本的安全防范处理,整个系统的安全性容易受到内部用户攻击的威胁,安全等级不高。根据国际上流行的处理方法,我们把内部用户跨网段的访问分为两大类:其一,是内部网络用户之间的访问,即单机到单机访问。这一层次上的应用主要有用户共享文件的传输(NETBIOS)应用;其次,是内部网络用户对内部服务器的访问,这一类应用主要发生在内部用户的业务处理时。一般内部用户对于网络安全防范的意识不高,如果内部人员发起攻击,内部网络主机将无法避免地遭到损害,特别是针对于NETBIOS文件共享协议,已经有很多的漏洞在网上公开报道,如果网络主机保护不完善,就可能被内部用户利用“黑客”工具造成严重破坏。
由于网络环境的复杂化和网络应用的多样化日益明显,对于内部网络除了必要的防攻击设置外还必须防止内部用户的欺骗行为,比如IP地址欺骗、网络连接的欺骗等。由于物理层上的原因,内部用户接触网络服务的机会、方法很多,如果没有专门的安全防护,“黑客”就可以比较容易地实施欺骗、伪造身份及暴力攻击(CRACK),对于内部网络的用户,防范攻击的难度较大。我们主要从以下几个方面考虑:
1)内部网络风险分析:由于内部攻击发生的比较频繁,因此我们首先要分析内部网络的安全隐患,把可能发生的不安定因素找出来进行专门的安全处理;
2)内部用户网络和网络的隔离:把内部比较重要的数据服务器放在专门的区域,加上独立的控制体系,对于内部网的访问同样要进行相应的安全控制;
3)内部网络安全保护:结合物理层和链路层的特点,在物理层和链路层的接口处实施安全控制,实施IP/MAC绑定。
IDS详述
IDS(入侵检测系统)对于关心网络安全防护的人们来说已不再是一个陌生的名词,在许多行业的计算机网络安全防御工程中除了采用防病毒、防火墙或认证加密等系统外,有近15%的安全项目会涉及到IDS系统,而且这些项目一般都对安全等级的要求非常高,对数据信息的保密性也有特别的要求。
IDS系统
要想高效使用IDS首先要对它进行合理部署。通常IDS监控保护的基本单位是一个网段,单个网段的最小组成元素是各台主机,政府机关对各主机、各网段的安全性要求程度一般都不相同,所以确定IDS的保护对象是合理使用IDS的关键。
在优先保护的网段中部署IDS系统,并配置合适的检测策略,如在防火墙之内部署IDS则可把安全策略配置得紧一些,即使用最大化的检测策略,而在防火墙之外部署则可采用较为宽松的策略,因为经过防火墙过滤后,内部网络的安全状况相对比较简单,而外部的情况则较为复杂,误报的可能性也较大。另外,在一定的情况下有些内部信任的主机也可能会触发IDS的检测引擎,从而形成报警,而对于用户来说,这些报警事件是没有什么参考价值的,所以需要在检测范围中排除这些主机的IP地址;通常IDS系统中都有一个过滤器(FILTER)模块或像KIDS那样所具有的“非阻断列表”的功能选项,可以允许用户加入所有他们所信任的主机IP地址。
目前大多数的IDS系统主要采用基于包特征的检测技术来组建,它们的基本原理是对网络上的所有数据包进行复制并检测,然后与内部的攻击特征数据库(规则库)进行匹配比较,如果相符即产生报警或响应。这种检测方式虽然比异常统计检测技术要更加精确,但会给IDS带来较大的负载,所以需要对检测策略作进一步的调整和优化。具体做法是根据政府机关自身网络的业务应用情况,选择最适合的检测策略(可根据操作系统、应用服务或部署位置等),并对所选的策略进行修改,选择具有参考价值的检测规则,而去除一些无关紧要的选项,如对于全部是Windows的应用环境,则完全可以把UNIX的规则去掉。有些IDS除了提供攻击特征检测规则的定制功能外,还提供了对端口扫描检测规则的自定义,如在KIDS中就可定义端口扫描的监控范围、信任主机地址排除和扫描模式等参数,这些参数的合理配置都能将IDS的检测能力优化到最理想的状态。
IDS监控
IDS除了能对网络上各种非法行为产生报警外还能对一些特定的事件进行实时的响应,因为只有采取及时的响应才能有效阻止重要的资源被破坏或被盗用。目前最常用的响应方式是对网络中的非法连接进行阻断,如利用防火墙阻断、列入黑名单阻断或HTTP阻断等。在利用IDS进行监控时,不但需要查看它的报警提示,而且需要参考它所提供的实时状态信息。因为在网络中发生异常行为时,网络中的许多状态信息一般都与正常情况下的状态不一样。如主机正遭到拒绝服务攻击时(DoS或DDoS),网络中的数据流量便可能会急速上升,这时可以从包流量或字节流量等实时的状态图表中发现这样的异常情况。所以参考IDS所显示的状态信息也是非常重要的。实时状态信息还包括当前的活动TCP连接、TCP/UDP/IP/ICMP等协议的包或字节流量等。IDS的最重要价值之一是它能提供事后统计分析,所有安全事件或审计事件的信息都将被记录在数据库中,可以从各个角度来对这些事件进行分析归类,以总结出被保护网络的安全状态的现状和趋势,及时发现网络或主机中存在的问题或漏洞,并可归纳出相应的解决方案。
电子政务整体网络安全解决方案
电子政务系统中存在大量敏感数据和应用,因此必须设计一个高安全性、高可靠性及高性能的防火墙安全保护系统,确保数据和应用万无一失。
各局的局域网计算机工作站包括终端、广域网路由器、服务器群都直接汇接到本局的主干交换机上。由于工作站分布较广且全部连接,可以通过电子政务网络进行相互访问,服务器就有可能收到攻击。因此,必须在各局之间相互进行隔离防护。
如下图,我们在各局路由器后安装曙光TLFW千兆防火墙,以有三千用户在同时上Internet网计算,千兆防火墙的并发连接超过600,000,完全可以满足整个网络的需求,稳定性上也满足要求。同时,将局内网与其他区域逻辑隔离开来,在数据中心内,根据不同的服务器对安全性的不同需求,将它们分等级划分为不同的区域,并通过详细的包过滤规则制定,将这些服务器彻底保护起来,保证它们之间不能跨级别访问,这样实现分级的安全性。
通过安装防火墙,可以实现下列的安全目标:
1)利用防火墙将内部网络、Internet外部网络进行有效隔离,避免与外部网络直接通信;
2)利用防火墙建立网络各终端和服务器的安全保护措施,保证系统安全;
3)利用防火墙对来自非内部网的服务请求进行控制,使非法访问在到达主机前被拒绝; 4)利用防火墙使用IP与MAC地址绑定功能,加强终端用户的访问认证,同时在不影响用户正常访问的基础上将用户的访问权限控制在最低限度内;
5)利用防火墙全面监视对服务器的访问,及时发现和阻止非法操作;
6)利用防火墙及服务器上的审计记录,形成一个完善的审计体系,建立第二条防线; 7)根据需要设置流量控制规则,实现网络流量控制,并设置基于时间段的访问控制。下图是电子政务网络安全解决方案设计拓扑图:
图示:电子政务网络安全总体拓扑
根据以上的分析,在整个政府网络安全体系中,除了负责边界安全的防火墙设备以外,还选择了入侵检测系统进行共同防范,达到整个系统的高安全性。
同时因为用户有拨号VPN的需求,而曙光的天罗防火墙自身具备了VPN的功能,可以满足远程连接用户的安全要求。
具备了高安全性、高可靠性、高性能、高适用性、易管理、高度集成、灵活扩展等产品特色。易于安装和使用,网络性能和透明性好,拥有自行设计的全中文化WWW管理界面,通过直观、易用的界面来管理强大、复杂的系统功能。
可根据系统管理者设定的安全规则(Security Rules)把守网络的大门,提供强大的访问控制、网络地址转换(Network Address Translation)、带宽控制、P2P协议过滤等功能。
根据电子政务的实际需要,充分利用了曙光天罗防火墙的各功能模块,实现了各功能模块(防火墙模块、入侵检测模块、VPN模块等)的协同工作,再加上NIDS网络入侵检测系统的重点防护,构建了一个整合的动态安全门户,以比较经济实惠的方式,实现了对电子政务网络的整体安全防护。
第三篇:证券行业客户关系管理系统解决方案
证券行业客户关系管理系统解决方案
解决方案全称:证券行业客户关系管理系统解决方案
开发商:
一、开发背景
在高速发展的中国证券业环境中,竞争日趋激烈。对于证券公司各级管理者来说,如何对公司及下属营业部的经营状况有充分、及时、准确的了解,进而制定公司各方面的发展计划;如何为客户提供更高水准的服务及更专业的投资建议,以进一步巩固和发展长久的客户关系,都是至关重要的。下面的一些问题是证券公司普遍关心的。
1、公司目前的经营状况、经营风险,利润来源及变化趋势如何。
2、哪些客户对公司来说是最重要的,如何更好的服务于他们;哪些客户正在流失,原因在何处。
3、哪些客户的投资收益最大,哪些客户的投资亏损最多,如何从中推广经验及吸取教训。
4、应如何根据客户的具体交易情况,提出投资建议。
上述问题来自于公司不同职能部门的管理者,其中包括经纪业务总部、投资银行部、财务部、电脑部等,他们需要对不同的方面作决策,所需的信息来源各有不同。如何对这些问题作及时、详尽、准确的回答,证券公司总部目前的信息系统很难实现。首先,数据分散在各个营业部及不同的应用系统中,且各个系统都是相互独立的;其次,没有好的系统帮助决策者揭示业务的关键因素,再有没有一个灵活的工具帮助使用者方便地对客户地行为进行分析。因此,建立证券的客户关系管理系统(数据仓库系统,决策支持系统,客户关系管理子系统),显得十分重要。金仕达公司集多年的证券业服务经验,以及对数据仓库技术的深入理解,推出的金仕达客户关系管理系统将为解决上述问题提供完整的方案
二、方案详细介绍
方案目标
1、建造一个管理公司内部各种有效数据,组织这些数据,提供多种角度分析数据以提供决策支持活动
2、把营业部的历史数据更有效的聚集起来,节省磁盘空间.3、提供一个新的分析问题的手段和方法.在查询大数据量时提高查询速度.4、解决原有交易系统统计分析功能薄弱的问题
5、提供一个高效的灵活报表工具
6、它以时间为基础来管理数据,允许用户回顾并了解公司的过去与现在.7、以时间为基础来跟踪,分析和预测公司的交易情况,佣金收入,客户的动态
8、用户可以通过固定报表,灵活报表、多维分析,对比分析,向下钻取,向上钻取,交叉钻取,旋转,切片等多种形式实现多个层面的数据访问.业务功能
1、交易分析:证券交易,新股交易,成交委托比,证券委托,换手率,证券流量,现金流量,资金交易
2、客户情况:客户流动,客户分布,客户活动
3、资产分析:资金余额,证券余额,盈亏分析,套牢程度,资产,利润,持仓率
4、排行榜:成交金额,委托方式,托管市值,资金交易,资金余额,资产情况,佣金情况,贡献率,热门股等等排行
5、客户分析:客户资料查询,客户证券交易,客户资金存取,客户相对收益,客户对帐单,客户中意的证券,客户喜欢的交易方式、客户盈亏情况、客户交易费用、客户套牢程度、客户贡献率
6、每日提醒
7、资讯主动通知服务
8、每日工作
实现技术、平台、开发工具
●操作系统平台:WINDOWS2000 ADVANCE SERVER
●软件开发平台:IIS,SQL Server2000,Analysis Services,Office2000,IE
●相关开发工具:VB6.0, Excel2000,Frontpage2000,VI6.0,VC6.0
●客户端平台:Windows98(NT,2000),Ie5.0
市场销售及竞争情况
客户关系管理系统v1.0是证券行业最早推出的解决方案,先后在10多家营业部进行了试用;今年与某证券公司合作开发客户关系管理系统v2.0是目前证券行业真正投入使用的第一套系统,目前公司正与两家证券公司进行合作。目前开发该系统的主要有:美国艾克国际公司、创智公司、普元公司,这三家公司都不是长期从事证券行业的公司,对证券行业的了解不是十分深入,且目前都没有成功案例。
成功案例介绍
用户单位名称:广东证券
背景情况
广东证券股份有限公司的分支机构----广东证券顺德管理总部成立于1992年11月,是顺德市最早成立的证券公司。经过几年的发展,现已成为顺德市规模最大,实力最雄厚的证券经营机构,拥有绝对的市场份额。广东证券顺德管理总部建设CRM系统的设想是基于当前经纪业务面临的挑战和未来发展的方向而提出的。从顺德管理总部在顺德市证券市场的地位来看,广证占有绝对的市场份额,如果进行价格战,对广证顺德管理总部来说是得不偿失的。只有在服务上下功夫,提高服务的质量和特色,才能在市场竞争中赢得胜利,所以坚定不移地走服务的道路、走信息化服务、个性化服务的道路才是广证顺德的长久发展之道。
在市场方面,广证顺德在顺德市的证券市场中拥有绝对的客户份额。由于成立时间比较早,加上脚踏实地的经营,在广证顺德积累了一大批优质的客户,他们是广证顺德利润来源的主要贡献者。但是,随着证券市场竞争加剧,在短短时间内顺德地区新增加了多家证券公司的服务机构,由原来的三四家,增加到现在的11家;佣金自由化政策的出台,对广证顺德客户份额造成了猛烈的冲击,特别对于优质客户的流失,对广证顺德利润保证构成了严重的威胁。在这种情况下,广证顺德采取了一系列的措施,加大IT投入、加强服务质量,在传统的经纪业务领域和对手展开竞争,但这种竞争由于具有同质、无个性化特点等特征,更多地受到价格因素的影响,所以广证顺德处在被动防守的境地。这时候,研究开发个性化的服务,进行全面的业务创新和服务创新成了广证顺德必然选择。而实施客户关系管理,虽然不能直接产生业务创新和服务创新,但它能帮助公司领导、营业部经理、客户经理发现真正有价值的客户,找到这些客户的迫切需求,从而进行针对的业务创新和服务创新,实现经纪业务更高层次的服务,在竞争中赢得主动。
在客户服务方面,广证顺德一开始就在不断尝试不同的服务手段和方式,比如,广证顺德开始阶段采用客户经理和信息研发人员合作服务的方式,一个客户经理配备一个信息研发人员,在对客户服务过程中,两个人相互配合,一个负责客户的跟踪服务,一个负责信息收集整理研究,从而希望能给客户提供一些专业和周到的服务。但是,在这种方式下,由于研发人员的力量、精力有限,只能向客户提供别人的研究成果,对于信息的准确性和针对性没有任何体现,所以对客户的服务也是比较肤浅,实际的效果是没有对客户产生积极的影响。广证顺德在发现这个问题之后,积极地调整了组织结构,把素质良好、具有较强分析研究能力的信息人员集中到了区域管理总部,专门成立了相应的研究后台部门,在这个部门里,所有的研究人员根据市场的特点,专门进行金融品种、行业、热点、市场动态、大盘走势的研究,并根据对信息地掌握,产生自己的投资组合,并在资产管理和客户进行应用。而这个部门最大的功能还在于对广证顺德所有的客户经理提供资讯信息服务,使得这种服务更加专业化、更加具有权威性、更加准确,客户经理在整个服务过程中更有信心,服务质量和效率能得到明显提高。但是,在这个过程中,广证顺德决策者们也意识到下面一些问题:
●后台研究部门的研究内容和客户的需求存在脱节,研究成果存在浪费;
●后台研究部门的研究方向没有针对性,研究人员对广证的客户群体缺乏清楚地认识;
●后台的研究部门和前台的服务部门没有建立信息通道,双方的信息不能实现共享;
●客户经理的服务缺乏目的性,不能针对不同的客户选择不同的研发成果;
●后台研究部门和前台服务部门不能形成一定的监督制约机制,无法形成互相促进提高的反馈循环。
广证顺德的管理者们清楚地认识到,这些问题的解决只有依靠建立客户关系管理系统。一方面改造业务流程,提高后台研究部门和前台服务部门的联络、沟通、监督;另一方面全面整合客户资料和数据,为研究人员、客户经理提供全面真实的客户信息,从而进行针对性地研究和服务;最后是实现后台和前台的信息共享。
在管理方面,广证顺德沿袭的是证券营业部经营的一贯体制,即总部到营业部,营业部到客户经理的三级管理模式。虽然在这种模式下,广证顺德实行了成本、收入按营业部单独核算,人员的编制、薪酬有营业部决定的方法,去进一步提高客户服务竞争力,但是,随着证券市场竞争模式和方向的转变,建立强大的营销体制,更多地争夺客户,成为任何一个证券公司考虑的大事,建立一个完善的经纪人体制已经成为证券经纪营销的基础。在这方面,只有将客户和客户经理或者经纪人,经纪人和营业部或者营销部门建立有机的联系,才能在市场的竞争中形成一个强有力的团队,才能在客户拓展和服务上不断进步。建立客户关系管理系统不但能在客户分析和服务业务流程上发挥积极的贡献,而且对建立一个良好的经纪人管理体制起到不可忽视的作用,随着该系统的不断完善,以此为基础的经纪人工作平台和管理平台的建立,必然为广证顺德实现从传统经纪业务到当前经纪营销业务的转型打下坚实的基础。
业务实施过程
广证顺德CRM系统建设从广证顺德和金仕达签订合同开始,上线运行,经历了下面三个阶段:需求调研、设计开发、调试培训。在需求调研阶段深入到顺德管理总部的各个部门以及下辖营业部进行针对性的调查和座谈,了解他们的基本思路和设想,业务流程、急需解决的问题等等,双方抱着求实、创新的态度,认真考虑解决问题的途径和办法,总结出了广证顺德基本需求。设计开发严格遵从ISO9001规范进行开发,通过现场的安装使用、培训,逐步将广证顺德的管理体系按照以客户为中心的理顺,从而真正发挥系统的效果。广东证券顺德管理总部CRM系统基于柜台系统历史数据以及其他相关数据源,构建数据仓库系统,以数据仓库系统为核心提供区域总部各类人员使用的相关业务系统,可以分为经理管理系统、客户经理系统、分析师系统、维护管理系统。经理管理系统、客户经理系统、分析师系统主要完成数据展示、业务报表和信息查询功能,提供给CRM业务人员使用。维护管理系统主要提供给证券公司信息技术人员使用,是CRM系统的基础和支持平台,主要用于从柜台系统(生产系统)和其它数据接口(如客户背景资料、证券市场资料等人工录入管理库表)采集抽取、清洗整理、格式转换、加载入库,以及整个CRM系统的日常管理和维护。系统的使用者以及数据流如下图所示:
.系统提供的主要业务功能包括
●交易分析:证券交易,新股交易,成交委托比,证券委托,换手率,证券流量,现金流量,资金交易
●资产分析:资金余额,证券余额,盈亏分析,套牢程度,资产,利润,持仓率
●排行榜:成交金额,委托方式,托管市值,资金交易,资金余额,资产情况,佣金情况,贡献率,热门股等等排行
●客户分析:客户资料查询,客户证券交易,客户资金存取,客户相对收益,客户对帐单,客户中意的证券,客户喜欢的交易方式、客户盈亏情况、客户交易费用、客户套牢程度、客●户贡献率
●每日提醒
●资讯主动通知服务
●每日工作
系统开发采用的实现技术、平台、开发工具如下:
●操作系统平台:WINDOWS2000 ADVANCE SERVER
●软件开发平台:IIS,SQL Server2000,Analysis Services,Office2000,IE
●相关开发工具:VB6.0, Excel2000,Frontpage2000,VI6.0,VC6.0
●客户端平台:Windows98(NT,2000),Ie5.0
效果与反馈
系统实施成功已经两个多月了,广证顺德利用该系统成功的改变了传统的经营思路和管理模式,真正走向了以经纪人为核心,以客户服务为基础的管理新路。系统的成功使用,极大的提高了广证顺德的管理服务水平,得到了用户的极大好评。
其他具体描述
客户关系管理系统永远不会是一种成型的产品,它将会根据不同用户的管理模式而变。因此系统的投入是十分巨大的,由于短期内系统带来的效益不是十分明显,每个公司都会是采取分阶段实施的方式进行。
由于这是一套管理系统,又采用了数据仓库技术,因此实际运行时系统的软硬件投资会超过一百万,对于管理人员的培训也是十分重要的,投入也会十分巨大。
第四篇:1 证券解决方案
证券解决方案
证券行业的网络应用主要分为两大方面:营业部网络和证券公司广域网。前者实现了各营业部的基本工作职能,侧重于局域网建设;后者则满足了大型跨地域证券公司的网络互连需求和增值服务的实现。为此,通威公司针对两类应用的特点分别提出了相应的解决方案。
1、营业部网络
营业部网络的功能由以下几部分组成:
1、交易/行情业务处理
这是每一个证券营业部网络所要提供的基本职能。它需要为用户提供行情公告和委托下单服务,一般基于Novell网络操作系统应用程序;同时还要具有交易清算的功能,这一般在Windows NT或UNIX环境下完成。交易/行情业务数据以文字为主,仅带有少量图形信息,但数据量大,更新频繁,其网络传递能力代表了证券营业部的服务质量和市场竞争 力,因此为这项主业务作支撑的网络要求具有很高的可靠性、数据传输速率和安全性。根据各营业部规模不同,网络环境大多采用100/1000M交换以太网作主干,10/100M 交换以太网到桌面的连接方式。
2、办公管理
除业务处理外,办公管理现代化也是行业发展的必然趋势,它可将营业部的各项管理数据作电子存档,通过网络共享,做到准确、及时、方便的信息交流,这部分数据以文字和图形为主,一般采用界面友好的浏览器形式操作。相对主业务数据而言,办公管理对网络实时性要求不高,主要强调系统的安全可靠、稳定和经济性。为此网络采用100M交换以太网主干,10M交换到桌面的连接方式就足以满足需求了。
3、通信服务
通信服务的内容涉及多个方面。这主要包括:发展证券公司内部Intranet,以WEB、电子邮件等方式加强办公管理;进一步与当地信息港、互联网连通,实现资源共享,同时扩展市场影响力;增加本地拨入服务,建立远程大户室,从而开拓新的业务范围等。这部分功能体现了证券公司的增值能力,其应用特点为灵活、多样,并且往往要借助于广域网链路来实现,要求系统可靠、扩展能力强,广域网链路经济,而互联网的接入则对网络的安全性提出考验。为此可采用防火墙和认证软件来保证系统的安全可靠,采用模块化设计的网络设备保证系统的扩充能力,并采用优化的带宽管理、多种链路技术、高速缓存等来保证广域网链路的经济性。
证券营业部网络的各项功能并非是各自独立的,而是相辅相成,并最终在一个统一的网络架构中实现。综上所述,这个网络的主体要求是:
可靠,不停机--系统有一定的冗余和备份,故障恢复迅速;
高速--在用户数据较多、突发流量大的情况下,不容许出现网络瓶颈,阻碍正常交易;
安全--鉴于网络中传递的信息就是金钱,一定要保证数据安全保密,防止不良分子破坏,尤其在互联网接入、危机四伏的情况下,网络安全更要引起重视;
可管理性--为保证系统良好的运行,满足前述几项要求,营业部网络也需要实施完善的管理,如精确分析网络流量、确定系统运行状态,监控非法用户入侵等。
结合上述网络要求,并针对不同的营业部规模和各自应用特点,通威公司提出了以下多种解决方案。
(1)500节点以下证券营业部解决方案
这是针对相对小型的证券营业部提出的解决方案,方案特点如下。
1.系统全套备份,主干交换机的全冗余配置,每个工作站到每台服务器都有多条连接链路,并采用快速以太网通道化、快速上联恢复和快速端口恢复等技术充分确保网络的可靠性。
2.高性能全交换,利用快速以太网通道化/千兆以太网通道化技术扩展网络带宽,满足大负荷网络运行需求;
3.系统安全,保密性高,交换机端口安全设置技术保证了局域网环境的安全,而IOS操作系统集成防火墙功能构成了广域连接安全屏障;
4.管理简单,可在用户熟悉的浏览器界面下,对系统的交换机实施配置和监控。管理人员也无需专门培训。
A、百兆主干方案
根据经济承受能力的不同,对500节点以下的营业部解决方案可以有百兆主干和千兆主干两种方式,百兆主干方案拓扑结构如下
由下图可看出,该方案网络设备组成为(斜杠表示可互换设备)
Catalyst 3524/2948G交换机 两台
Catalyst 2924/3524/3548交换机 十台 Cisco 2600路由器 一台
思科公司的Catalyst 3524或Catalyst 2948G交换机是这一网络的核心设备,Catalyst 3524提供了24个10/100M自适应的快速以太网端口和两上千兆以太网端口,Catalyst 2948G则具有48个10/100M快速以太网端口和两个千兆以太网端口,可分别用于对工作站数量有不同要求的应用,由图1可看出,两台Catalyst 3524/2948G各自利用两个百兆端口通过Cisco FEC(快速以太网通道,Fast Ethernet Channel)接成高达400M的无阻塞通道,成为该网络的主干;每台Catalyst 3524/2948G又分别和十台二级交换机Catalyst 2924/3524/3548级联,共可为220-460个10M或100M用户工作站提供网络接 入;同时,为保证交易服务器和行情服务器的高数据传输率,主干交换机Catalyst 3524/2948G又以100M甚至1000M带宽分别与各台服务器相连,使下级工作站的大量访问数据得以畅通无阻。
为实现前文所述的营业部网络的第三项功能--通信服务,方案中还引入了思科公司的路由器Cisco 2600,这是一款功能灵活、得以广泛应用的中档路由器,除了有固定的10M或10/100M局域网端口外,还具备一个NM网络插槽和两个WIC广域网接口插槽,所选模块可以有多种组合:如NM-8AM模块可为远程大户同时建立八条115.2K的电话拨号连接;WIC-IT可通过DDN专线或帧中继接入Internet或公司总部;WIC-IB则可提供一条ISDN拨号链路……营业部可根据自身需求选择适合的Cisco 2600型号和相应模块,空余的插槽可为以后网络升级留出空间。
除了硬件选配的灵活多样外,Cisco 2600在操作系统软件性能上也可以有丰富的功能选择。图1中所示的路由器后方带有一个红色砖墙标志,它表示该路由器兼任了防火墙--这是通过操作系统升级而具备的增强功能,它使路由器在承担远程连接的同时实施数据包检验和过滤,防止非法用户侵入到内部局域网中。
考虑到远程大户室的发展趋势,在每套解决方案中都用到了800/1700路由器来引入远程大户连接,这套方案中用到了思科公司的低端路由器Cisco 800/1700,它提供了对内的10/100M局域网接口和对外的128K的ISDN或专线连接,通过专用线路实现远程交易或浏览等应用。ISDN是国内已广泛应用的一种拨号技术,按连接时间计费,费用比普通电话线稍高,但带宽能达到普通电话线的3-4倍,且传输稳定,连接迅速。
思科公司产品系统的中、低端路由器都可以通过操作系统升级具备防火墙性能,在承担远程连接的同时实施数据包检验和过滤,防止非法用户入侵到内部局域网中。对连接到广域网的用户来说,安全性是网络设计中不可忽视的一项重要因素。
这种局域网设计的最大特点是高效率、高可靠性、高安全性和高可管理性;并且成本较低,网络结构易于搭建和管理,兼顾了证券营业部的多方面应用。高效率体现在FEC技术的使用、网络的分层结构和带宽的合理分配上。FEC技术是链路带宽扩容的一条重要途径。它可在100M或1000M以太网端口间实现,用于将多条并行链路的带宽叠加起来。这项技术能够把2-4组高速端口之间的连接带宽聚合在一起,在全双工工作模式下达到400M-800M的带宽,这样多条链路被用作单条高速数据通道,避免了回路的形成。以太网通道技术也体现了产品的可扩充性能,能充分利用现有设备实现高速数据传递。
高可靠性则由两台主干交换机的全冗余充分表现出来:从每个工作站到每台服务器都有多条连接链路,这样即使其中一条链路断线或一个主干交换机发生故障,都能在用户觉察不到的极短时间内启用备份恢复数据传递,从而保证了系统稳定可靠的运行。思科交换机所支持的几种容错技术,如FEC、Uplink-Fast(快速上联恢复)和Port-Fast(快速端口恢复)技术能够充分确保网络的可靠性。FEC技术的引入在实现带宽扩充的同时,多条链路被用作单条高速数据通道,避免了回路的形成,另外通道中部分线路的故障不影响其它线路的带宽聚合,从而也保障了网络的可靠性。快速上联恢复是用在交换机间级联链路上的一项技术。它使备份端口直接由阻塞进入到转发状态,从而使网络收敛时间从40秒大大缩短至5秒以内。快速端口恢复技术应用在直接连接工作站或服务器的交换机端口上,它与快速上联恢复的工作原理类似,将转换延迟从40秒缩短至2秒以内,这样在交换机上接入新的工作站,或改变某工作站的所接端口时,该站点能很快进入工作状态。
系统的安全性包含了局域网的安全性和广域网的安全性。思科局域网交换机能够进行端口安全的设置,交换机端口所连的各个工作站/服务器都有自己唯一的MAC地址,为此对应交换机的每端口都有一下MAC地址表。网络管理员可手动地在表中加入特定的MAC和端口的对应关系,将设备与端口绑定,防止假冒身份的非法用户通过网络中其它交换机接入;此外,端口安全机制还体现在对每端口所支持MAC地址数的限定上。在广域网方面,思科公司路由器的操作系统IOS能够集成防火墙功能。这使路由器在完成路由和远程连接功能的同时充当安全屏障--防火墙的角色,对规模较小的证券营业部,IOS防火墙不失为一种经济的选择。
此外,系统的管理相对简单,可以采用Cisco交换机视像管理器(CVSM),它是一套基于WEB的免费配置管理软件,可在用户熟悉的浏览器界面下对思科交换机系列产品实施配置和监控。CVSM避免了对交换机操作系统语言的直接介入,而以更为友好的图形界面取而代之。用户只需在交换机上只需事先设定好IP地址,就可以通过CVSM轻松地去访问和管理它;所有操作一次性完成,不需随时监控。
B、千兆主干方案
在同一网络规模下,若证券公司对网络主干有更高的要求,可通过更换前套方案中的主干交换机将其提升为千兆主干网络,拓朴结构如下:
图中网络设备组成为:[见图]
Catalyst4003交换机 两台
Catalyst2924/3524/3548交换机 十台
Cisco 2600路由器 一台
该方案与前方案结构大致相同,只是核心交换机由原来的Catalyst 3524/2948G升级为Catalyst 4003,它具备三个接口插槽,可选择的以太网端口从带宽上和密度上都比Catalyst 3524/2948G有较大提高。这里共选配了8个千兆端口和32个百兆端口,从而可以将两台主干间的百兆FEC通道提升为千兆GEC通道,接成高达4G的主干带宽;同时也可为更多的行情/交易服务器或数据量较大的二级交换机提供千兆连接。千兆以太网通道化技术与快速以太网通道化技术类似,它可将2-4组千兆端口之间的连接带宽聚合在一起,在全双工工作模式下达到4-8G的带宽,这样多条链路被用作单条高速数据通道,在提高传输效率的同时避免了回路的形成,通道中部分线路的故障不影响其它线路的带宽聚合,从而也提高了网络的可靠性。
(2)500-1000节点证券营业部解决方案
能支持500-1000节点的证券营业部属中型规模,它的网络建设同样需要满足营业部网络的特定要求,并且相对500节点以下的网络还应具有更高的数据吞吐能力,此类系统的主要特点如下:
系统全套备份,稳定可靠,独特的堆叠技术能够在网络中构造冗余,在堆叠之外每个二级网点和服务器仍同时与两台主干交换机作千兆双链路连接,保障系统运行的可靠性;利用HSRP技术,可以实现两个主干交换机在第三层上的热备份功能;
高性能全交换,千兆主干,并采用千兆以太网通道化技术扩充带宽,能满足大负荷网络运行需求;第三层交换技术,能够使两个网段在进行数据交换时,可以根据不同的应用有选择的进行,提高了带宽资源的利用率。VLAN技术的引入也使得系统资源能够被更有效地利用,结合HSRP(热备份路由协议)技术、PVST(每个VLAN单独计算Spanning Tree)技 术,使每个二级交换机上的两条联链路同时处于传输状态,各自分担一部分VLAN的数据传输,充分利用带宽。
系统安全,保密性高,采用先进的虚拟局域网技术,它依靠用户逻辑设定将原来物理上互连的一个局域网络划分为多个虚拟网段,同一虚网内数据可自由通讯,而不同虚网间的数据交流则需要通过第三层交换来完成,从而提高了系统的安全性。
可选用功能相对强大的专业网管系统,使网络管理从单纯的配置管理扩展到设备配置和网络健康状况管理等多个方面,管理界面友好,使用灵活方便。
通威公司针对这种规模的网络提供的方案拓扑结构如下:
图中网络设备组成如下图:
Catalyst 4006/6506交换机 两台
Catalyst 2948G/2980G交换机 若干 Catalyst 3524/3548交换机 若干
Cisco 2600路由器 一台
由图可看出,这套方案仍为双主干互备份,级联多个二级交换机的结构。但为支持更多用户数和更多大的数据传输量,各级设备都相应升级:主干交换机采用两台Catalyst 4006(6个接口插槽,带第三层交换模块)或Catalyst 6506(6个接口插槽,带第三层交换模块MSFC),以GEC技术构造8G高速主干,足以负担沉重的数据传输量;二级交换机可采用Catalyst 2948G/2980G,同时与两主干交换机作千兆上联,并为工作站提供48/80个 10/100M接入端口;若某些二级网点要求的用户数更多,则可采用多台Catalyst 3524/3548堆叠--思科公司的Catalyst3500交换机具有独特的GigaStack堆叠技术,采用价格低廉的铜缆以菊花链方式构成1G的堆叠总线,每堆叠最多可支持九台Catalyst 3524/3548,提供多达300多个10/100M工作站接入端口。
该方案充分考虑到系统的高可靠性、高安全性、高速率和可管理性。
在可靠性方面,思科的GigaStack堆叠技术,使首尾两台交换机的额外连线将整个总线结成回路,其目的是在堆叠内构造冗余,这样即使堆叠中任一连接出现故障,都能继续传递数据;在堆叠之外,每个二级网点和服务器仍同时与两台主干交换机作千兆双链路连接,保障系统运行的可靠性。
该方案采用了虚拟局域网(VLAN)技术来充分保证系统的安全性。随着用户的增多,整个营业部局域网内数据流通量增大,并且行情、交易、办公管理的数据混杂,不利于网络性能的提高和安全隔离,这使得VLAN的应用成为必要。VLAN依靠用户的逻辑设定将原来物理上互连的一个局域网络划分为多个虚拟网段,划分的依据可为设备所连的端口、用户节点的MAC地址等。划分的结果使得同一虚网内数据可自由通讯,而不同虚网间的数据交流则需要通过第三层交换来完成。划分VLAN具备以下好处:提高安全性、隔离第二层的广播信息提高带宽利用率、增强网络应用灵活性。当然,不同部门(VLAN)之间有时也需要进行数据交换,为此需要借助主干交换机第三层交换的功能,这是由交换机的第三层交换模块来实现。它支持多种路由协议(如RIP,PIP v2,OSPF,EIGRP等),也支持访问控制列表(access list)。
主干交换机采用千兆高速技术和GEC技术,足以负担沉重的数据传输量;二级交换机的处理能力也非常强大,同时与两主干交换机作千兆上联。思科的HSRP(热备份路由协议)技术,能够使两个主干交换机在第三层(即VLAN之间的数据传输)互为热备份;同时在二级交换机上,利用PVST技术针对两条千兆上联链路为每个VLAN设定不同优先级,使到两条千兆上联链路都负担部分流量,做到负载分担,充分利用带宽资源。
该方案可以选用功能相对强大的专业网管系统如Cisco Works Windows。它的功能已从单纯的配置管理扩展到设备配置和网络健康状况管理等多个方面:如定性或定量的分析网络各项参数;基于SNMP全面管理网络中多种设备,以照片方式显示设备直观视图;通过简单的点击配置设备端口和各项参数;通过不同色彩和多种图表显示各种工作状态等。这是一套基于Windows的网络管理软件,可安装在Windows 95/98或Windows NT平台上,界面友好,使用灵活方便。
此外,数据处理能力的增强使得证券营业部有可能开展更多的服务项目,如图形信息量较大、对网络带宽和传输质量要求较高的多媒体股评、视频点播等。
(3)1000节点以上证券营业部解决方案
对于更大规模的证券营业部,通威公司又推出第三套建议方案,方案特点如下:
1.系统全套备份,稳定可靠;
2.高性能全交换,千兆主干,满足大负荷网络运行需求;交换机具备极高的交换能力和端口密度,并通过第三层交换提高了系统性能。
3.系统安全,保密性高,在VLAN、交换机端口安全机制等基础上,高性能的交换机具有对第三层路由模块的支持能力,可以对VLAN间数据交换起到更好的支持作用
4.网络管理采用深入全面的工具,可运行于Windows NT或多种UNIX平台,功能十分强大,可对VLAN和ATM实施管理,支持的用户数更多,适用于大型网络。
相对中、小规模的证券营业部,大型营业部的业务模式基本没有太多变化,因此网络方案特点同于前方案,但用户数进一步增加对网络容量所带来的更高要求使本方案所用设备再次升级,具体拓扑结构如下:
图中网络设备组成为:
atalyst6509交换机 两台
Catalyst 2948G/2980G交换机
若干 Catalyst 3524/3548交换机 若干
Cisco 2600路由器 一台
大规模证券营业部所采用的二级交换机仍为Catalyst 2948G/2980G或Catalyst 3524/3548堆叠,每个网点可最多为数百个用户提供连接;但由于二级网点数量的增加,对主干设备性能则提出了更高要求,为此主干交换机升级为两台Catalyst 6509,这是思科公司性能卓越的高端局域网产品之一,具备极高的交换能力和端口密度,有Catalyst 6506/6509两种不同插槽数的型号可供选择,最多可支持上百个千兆以太网端口,能充分满足网络互联的需求。
除端口密度增加外,Catalyst 6500性能的提升还体现在其第三层功能上:首先,Catalyst 6500支持专有的第三层交换模块MSFC(多层交换特性卡),不需借助外接的路由器就可实现路由;其次,MSFC直接附在交换引擎上,无需占用一个槽位;再次MSFC支持多层交换,可以提供。
另外Catalyst 6500支持双交换引擎、双电源冗余备份,体现其极高的可靠性。
Catalyst 6500系列满足了可扩展性和高的性能/价格比的需求,支持宽广的端口密 度、性能及高可用的选择,并提供智能化、服务质量(QoS)和安全的机制。客户可以更加有效的增强网络的客户服务如组播和ERP的应用而不须考虑网络性能的严重衰减。与PFC(策略特性卡,和MSFC一样附在交换引擎上)一起,可基于第二、三、四层的信息如用户、IP地址或不同的应用而实现网络的策略管理,或得很好的服务质量(QoS)。
该方案对于可靠性、运行速度、安全性、可管理性都予以充分的考虑。
整个系统采用的全套备份的体系,具备很高的可靠性,而Catalyst 6500所具备的热备份路由功能(HSRP)更是提高了这一性能。
除了前几种方案所述的VLAN、交换机端口安全机制等技术之外,该方案中Catalyst 6500对第三层路由模块的支持能力,可以对VLAN间数据交流尤其起到了更好的支持,从而提高了系统的安全性。
在网络运行速度方面,这一方案的配置相比而言更为高档,数据处理能力极强。此外,Catalyst 6500既保留了传统的第二层交换在各端口间传递数据时的高线速,又集成了原来在第三层路由中才有的完善的控制功能如路由、审计、广播隔离等,大大提高数据处理能力。
在管理方面,该方案可以选用Cisco Works 2000这类管理深入全面的工具,它可运行于Windows NT或多种UNIX平台,功能十分强大,可对VLAN和ATM实施管理,支持的用户数也更多,适用于大型网络。
该方案还具有对多媒体信息处理的强大能力,这主要通过增强的数据处理能力、完善的QoS机制和优化的视频数据传输方案IP/TV等来实现的。值得一提的是,QoS不仅能够充分利用带宽资源,更可充分保证关键应用。QoS系统能对网上的数据流应用类别进行判定,并在IP包头其优先级。然后,在应用识别基础上,对数据流量进行调度。思科的加权式公平队列(WFQ)、加权随机早期探测(WRED)等技术,可以精确处理带宽流量,从而使系统资源利用更为有效,保证各类多媒体信息可以流畅地在网络中传送
第五篇:企业网络安全解决方案毕业论文
娄底职业技术学院网络专业毕业设计
宏锦网络有限公司 企业网络安全解决方案
摘 要
近几年来,Internet技术日趋成熟,已经开始了从以提供和保证网络联通性为主要目标的第一代Internet技术向以提供网络数据信息服务为特征的第二代Internet技术的过渡。这些都促使了计算机网络互联技术迅速的大规模使用。众所周知,作为全球使用范围最大的信息网,Internet自身协议的开放性极大地方便了各种计算机连网,拓宽了共享资源。但是,由于在早期网络协议设计上对安全问题的忽视,以及在管理和使用上的无政府状态,逐渐使Internet自身安全受到严重威胁,与它有关的安全事故屡有发生。网络安全的威胁主要表现在:非授权访问,冒充合法用户,破坏数据完整性,干扰系统正常运行,利用网络传播病毒,线路窃听等方面。因此本论文为企业(宏锦企业网络)构架网络安全体系,主要运用vlan划分、防火墙技术、vpn、病毒防护等技术,来实现企业的网络安全。
关键词: 网络,安全,VPN,防火墙,防病毒
I
火龙果整理 uml.org.cn 娄底职业技术学院网络专业毕业设计
Abstract In recent years, Internet technology has matured, has begun to provide and guarantee from the network connectivity as the main target of the first generation of Internet technology to provide network data services for the characteristics of the second generation of Internet technology transition.These all contributed to the rapid computer networking technology of large-scale use.As we all know, the world's largest information network use of, Internet openness of their agreement greatly facilitate a variety of computer networking to broaden the sharing of resources.However, in the early design of network protocols on security issues of neglect, as well as in management and use of the anarchy, the Internet increasingly serious threat to their security, and its related security incidents happened quite frequently.Network security threats mainly in: unauthorized access, posing as legitimate users, damage to data integrity, interfere with the normal operation of the system, using the Internet spread the virus, line tapping and so on.Therefore, this paper for the enterprise(Hong Jin corporate network)architecture network security system, mainly by the use of vlan, firewall, vpn, virus protection and other technologies to achieve corporate network security.Keywords: network, security, VPN, firewall, anti-virus
II
火龙果整理 uml.org.cn 娄底职业技术学院网络专业毕业设计
目 录
绪 论....................................................................................................................................................................1 第一章 企业网络安全概述...................................................................................................................................2 1.1 企业网络的主要安全隐患.......................................................................................................................2
1.2 企业网络的安全误区...............................................................................................................................2 第二章 企业网络安全现状分析.........................................................................................................................4 2.1 公司背景.....................................................................................................................................................4 2.2 企业网络安全需求.....................................................................................................................................4 2.3 需求分析.....................................................................................................................................................4 2.4 企业网络结构.............................................................................................................................................5 第三章 企业网络安全解决实施...........................................................................................................................6 3.1 宏锦网络企业物理安全.............................................................................................................................6 3.2宏锦企业网络VLAN划分............................................................................................................................7 3.4 宏锦企业网络防火墙配置.........................................................................................................................9 3.4 宏锦企业网络VPN配置...........................................................................................................................12 3.5 宏锦企业网络防病毒措施.......................................................................................................................13 第四章 宏锦企业的网络管理.............................................................................................................................16 4.1宏锦企业网络管理的问题........................................................................................................................16 4.2 宏锦企业网络管理实施...........................................................................................................................16 总 结..................................................................................................................................................................18 致 谢..................................................................................................................................................................19 参考文献...............................................................................................................................................................20
III
火龙果整理 uml.org.cn 娄底职业技术学院网络专业毕业设计
绪 论
随着信息化技术的飞速发展,许多有远见的企业都认识到依托先进的IT技术构建企业自身的业务和运营平台将极大地提升企业的核心竞争力,使企业在残酷的竞争环境中脱颖而出。经营管理对计算机应用系统的依赖性增强,计算机应用系统对网络的依赖性增强。计算机网络规模不断扩大,网络结构日益复杂。计算机网络和计算机应用系统的正常运行对网络安全提出了更高的要求。信息安全防范应做整体的考虑,全面覆盖信息系统的各层次,针对网络、系统、应用、数据做全面的防范。信息安全防范体系模型显示安全防范是一个动态的过程,事前、事中和事后的技术手段应当完备,安全管理应贯穿安全防范活动的始终。
网络安全问题伴随着网络的产生而产生,可以说,有网络的地方就存在网络安全隐患。像病毒入侵和黑客攻击之类的网络安全事件,目前主要是通过网络进行的,而且几乎每时每刻都在发生,遍及全球。除此之外,像恶意软件入侵、攻击,用户的非法访问和操作,用户邮件的非法截取和更改等都是普遍存在的安全事实。网络安全事件所带来的危害,相信我们每个计算机用户都或多或少地亲身体验过一些:轻则使电脑系统运行不正常,重则使整个计算机系统中的磁盘数据全部覆灭,甚至导致磁盘、计算机等硬件的损坏。
为了防范这些网络安全事故的发生,每个计算机用户,特别是企业网络用户,必须采取足够的安全防范措施,甚至可以说要在利益均衡情况下不惜一切代价。但要注意,企业网络安全策略的实施是一项系统工程,它涉及许多方面。因此既要充分考虑到那些平时经常提及的外部网络威胁,又要对来自内部网络和网络管理本身所带来的安全隐患有足够的重视,不能孤立地看待任何一个安全隐患和安全措施。因为这些安全隐患爆发的途径可以是多方面的,而许多安全措施都是相辅相成的。
火龙果整理 uml.org.cn 娄底职业技术学院网络专业毕业设计
第一章 企业网络安全概述
1.1 企业网络的主要安全隐患
现在网络安全系统所要防范的不再仅是病毒感染,更多的是基于网络的非法入侵、攻击和访问,同时企业网络安全隐患的来源有内、外网之分,很多情况下内部网络安全威胁要远远大于外部网络,因为内部中实施入侵和攻击更加容易,企业网络安全威胁的主要来源主要包括。
1)病毒、木马和恶意软件的入侵。2)网络黑客的攻击。
3)重要文件或邮件的非法窃取、访问与操作。4)关键部门的非法访问和敏感信息外泄。5)外网的非法入侵。
6)备份数据和存储媒体的损坏、丢失。
针对这些安全隐患,所采取的安全策略可以通过安装专业的网络版病毒防护系统,同时也要加强内部网络的安全管理,配置好防火墙过滤策略和系统本身的各项安全措施,及时安装系统安全补丁,有条件的还可以在内、外网之间安装网络扫描检测、网络嗅探器、IDS、IPS系统,甚至配置网络安全隔离系统,对内、外网络进行安全隔离;加强内部网络的安全管理,严格实行“最小权限”原则,为各个用户配置好恰当的用户权限;同时对一些敏感数据进行加密保护,对数据还可以进行数字签名措施;根据企业实际需要配置好相应的数据策略,并按策略认真执行。
1.2 企业网络的安全误区
(一)安装防火墙就安全了
防火墙主要工作都是控制存取与过滤封包,所以对DoS攻击、非法存取与篡改封包等攻击模式的防范极为有效,可以提供网络周边的安全防护。但如果攻击行为不经过防火墙,或是将应用层的攻击程序隐藏在正常的封包内,便力不从心了,许多防火墙只是工作在网络层。
防火墙的原理是“防外不防内”,对内部网络的访问不进行任何阻挠,而事实上,企业网络安全事件绝大部分还是源于企业内部。
火龙果整理 uml.org.cn 娄底职业技术学院网络专业毕业设计
(二)安装了最新的杀毒软件就不怕病毒了
安装杀毒软件的目的是为了预防病毒的入侵和查杀系统中已感染的计算机病毒,但这并不能保证就没有病毒入侵了,因为杀毒软件查杀某一病毒的能力总是滞后于该病毒的出现。
(三)在每台计算机上安装单机版杀毒软件和网络版杀毒软件等效
网络版杀毒软件核心就是集中的网络防毒系统管理。网络版杀毒软件可以在一台服务器上通过安全中心控制整个网络的客户端杀毒软件同步病毒查杀、监控整个网络的病毒。同时对于整个网络,管理非常方便,对于单机版是不可能做到的。
(四)只要不上网就不会中毒
虽然不少病毒是通过网页传播的,但像QQ聊天接发邮件同样是病毒传播的主要途径,而且盗版光盘以及U盘等也会存在着病毒。所以只要计算机开着,就要防范病毒。
(五)文件设置只读就可以避免感染病毒
设置只读只是调用系统的几个命令,而病毒或黑客程序也可以做到这一点,设置只读并不能有效防毒,不过在局域网中为了共享安全,放置误删除,还是比较有用的。
(六)网络安全主要来自外部
基于内部的网络攻击更加容易,不需要借助于其他的网络连接方式,就可以直接在内部网络中实施攻击。所以,加强内部网络安全管理,特别是用户帐户管理,如帐户密码、临时帐户、过期帐户和权限等方面的管理非常必要了。
火龙果整理 uml.org.cn 娄底职业技术学院网络专业毕业设计
第二章 企业网络安全现状分析
2.1 公司背景
宏锦网络有限公司是一家有100名员工的中小型网络公司,主要以手机应用开发为主营项目的软件企业。公司有一个局域网,约100台计算机,服务器的操作系统是 Windows Server 2003,客户机的操作系统是 Windows XP,在工作组的模式下一人一机办公。公司对网络的依赖性很强,主要业务都要涉及互联网以及内部网络。随着公司的发展现有的网络安全已经不能满足公司的需要,因此构建健全的网络安全体系是当前的重中之重。
2.2 企业网络安全需求
宏锦网络有限公司根据业务发展需求,建设一个小型的企业网,有Web、Mail等服务器和办公区客户机。企业分为财务部门和业务部门,需要他们之间相互隔离。同时由于考虑到Inteneter的安全性,以及网络安全等一些因素,如DDoS、ARP等。因此本企业的网络安全构架要求如下:
(1)根据公司现有的网络设备组网规划(2)保护网络系统的可用性(3)保护网络系统服务的连续性
(4)防范网络资源的非法访问及非授权访问(5)防范入侵者的恶意攻击与破坏
(6)保护企业信息通过网上传输过程中的机密性、完整性(7)防范病毒的侵害(8)实现网络的安全管理。
2.3 需求分析
通过了解宏锦网络公司的需求与现状,为实现宏锦网络公司的网络安全建设实施网络系统改造,提高企业网络系统运行的稳定性,保证企业各种设计信息的安全性,避免图纸、文档的丢失和外泄。通过软件或安全手段对客户端的计算机加以保护,记录用户对客户端计算机中关键目录和文件的操作,使企业有手段对用户在客户端计算机的使用
火龙果整理 uml.org.cn 娄底职业技术学院网络专业毕业设计
情况进行追踪,防范外来计算机的侵入而造成破坏。通过网络的改造,使管理者更加便于对网络中的服务器、客户端、登陆用户的权限以及应用软件的安装进行全面的监控和管理。因此需要
(1)构建良好的环境确保企业物理设备的安全(2)划分VLAN控制内网安全(3)安装防火墙体系
(4)建立VPN(虚拟专用网络)确保数据安全(5)安装防病毒服务器(6)加强企业对网络资源的管理
2.4 企业网络结构
宏锦网络公司网络拓扑图,如图2-1所示:
图2-1 企业网络结构
由于宏锦网络公司是直接从电信接入IP为58.192.65.62 255.255.255.0,直接经由防火墙分为DMZ区域和普通区域。防火墙上做NAT转换,分别给客户机端的地址为10.1.1.0 255.255.255.0。防火墙接客户区端口地址为10.1.1.1 255.255.255.0。DMZ内主要有各类的服务器,地址分配为10.1.2.0 255.255.255.0。防火墙DMZ区的接口地址为10.1.2.1 255.255.255.0。内网主要由3层交换机作为核心交换机,下面有两台2层交换机做接入。
火龙果整理 uml.org.cn 娄底职业技术学院网络专业毕业设计
第三章 企业网络安全解决实施
3.1 宏锦网络企业物理安全
宏锦企业网络中保护网络设备的物理安全是其整个计算机网络系统安全的前提,物理安全是指保护计算机网络设备、设施以及其他媒体免遭地震、水灾、火灾等环境事故、人为操作失误或各种计算机犯罪行为导致的破坏。
针对宏锦网络企业的物理安全主要考虑的问题是环境、场地和设备的安全及物理访问控制和应急处置计划等。物理安全在整个计算机网络信息系统安全中占有重要地位。它主要包括以下几个方面: 1)保证机房环境安全
信息系统中的计算机硬件、网络设施以及运行环境是信息系统运行的最基本的环境。要从一下三个方面考虑:a.自然灾害、物理损坏和设备故障 b.电磁辐射、乘机而入、痕迹泄漏等 c.操作失误、意外疏漏等 2)选用合适的传输介质
屏蔽式双绞线的抗干扰能力更强,且要求必须配有支持屏蔽功能的连接器件和要求介质有良好的接地(最好多处接地),对于干扰严重的区域应使用屏蔽式双绞线,并将其放在金属管内以增强抗干扰能力。
光纤是超长距离和高容量传输系统最有效的途径,从传输特性等分析,无论何种光纤都有传输频带宽、速率高、传输损耗低、传输距离远、抗雷电和电磁的干扰性好保密性好,不易被窃听或被截获数据、传输的误码率很低,可靠性高,体积小和重量轻等特点。与双绞线或同轴电缆不同的是光纤不辐射能量,能够有效地阻止窃听。3)保证供电安全可靠
计算机和网络主干设备对交流电源的质量要求十分严格,对交流电的电压和频率,对电源波形的正弦性,对三相电源的对称性,对供电的连续性、可靠性稳定性和抗干扰性等各项指标,都要求保持在允许偏差范围内。机房的供配电系统设计既要满足设备自身运转的要求,又要满足网络应用的要求,必须做到保证网络系统运行的可靠性,保证设备的设计寿命保证信息安全保证机房人员的工作环境。
火龙果整理 uml.org.cn 娄底职业技术学院网络专业毕业设计
3.2宏锦企业网络VLAN划分
VLAN技术能有效隔离局域网,防止网内的攻击,所以宏锦网络有限公司网络中按部门进行了VLAN划分,划分为以下两个VLAN:
财务部门 VLAN 10
交换机S1接入交换机(神州数码DCS-3950)业务部门 VLAN 20
交换机S2接入交换机(神州数码DCS-3950)核心交换机 VLAN间路由 核心交换机S3(神州数码DCRS-5526)S1配置如下: switch> switch>ena switch#con switch(Config)#vlan 10 switch(Config-Vlan10)#sw int e 0/0/1-20 switch(Config-Vlan10)#exit switch(Config)#exit switch#con switch(Config)#int e 0/0/24 switch(Config-Ethernet0/0/24)#sw m t Set the port Ethernet0/0/24 mode TRUNK successfully switch(Config-Ethernet0/0/24)#sw t a v a set the port Ethernet0/0/24 allowed vlan successfully switch(Config-Ethernet0/0/24)#exit switch(Config)#ip dhcp pool vlan10 switch(dhcp-vlan10-config)#network-address 192.168.10.0 255.255.255.0 switch(dhcp-vlan10-config)#lease 3 switch(dhcp-vlan10-config)#default-router 192.168.1.1 switch(dhcp-vlan10-config)#dns-server 61.177.7.1 switch(dhcp-vlan10-config)#exit switch(config)ip dhcp excluded-address 192.168.10.1 S2配置如下: Switch> Switch>ena Switch#con
火龙果整理 uml.org.cn 娄底职业技术学院网络专业毕业设计
switch(Config)#vlan 20 switch(Config-Vlan20)#sw int e 0/0/1-20 switch(Config-Vlan20)#exit switch(Config)#exit switch#con switch(Config)#int e 0/0/24 switch(Config-Ethernet0/0/24)#sw m t Set the port Ethernet0/0/24 mode TRUNK successfully switch(Config-Ethernet0/0/24)#sw t a v a set the port Ethernet0/0/24 allowed vlan successfully switch(Config-Ethernet0/0/24)#exit switch(Config)#ip dhcp pool vlan20 switch(dhcp-vlan20-config)#network-address 192.168.20.0 255.255.255.0 switch(dhcp-vlan20-config)#lease 3 switch(dhcp-vlan20-config)#default-router 192.168.1.1 switch(dhcp-vlan20-config)#dns-server 61.177.7.1 switch(dhcp-vlan20-config)#exit switch(config)ip dhcp excluded-address 192.168.20.1 switch(config)ip dhcp excluded-address 192.168.20.150-192.168.20.240 S0配置如下: switch> switch>enable switch#config switch(Config)#hostname S0 S0(Config)#vlan 10 S0(Config-Vlan10)#vlan 20 S0(Config-Vlan20)#exit S0(Config)#int e 0/0/1-2 S0(Config-Port-Range)#sw m t S0(Config-Port-Range)#sw t a v a S0(Config-Port-Range)#exit S0(Config)#int vlan 10 S0(Config-If-Vlan10)#ip address 192.168.10.1 255.255.255.0 S0(Config-If-Vlan10)#no shutdown
火龙果整理 uml.org.cn 娄底职业技术学院网络专业毕业设计
S0(Config-If-Vlan10)#exit S0(Config)#int vlan 20 00:04:23: %LINK-5-CHANGED: Interface Vlan20, changed state to UP %LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan20, changed state to UP S0(Config-If-Vlan20)#ip address 192.168.20.1 255.255.255.0 S0(Config-If-Vlan20)#no shutdown S0(Config-If-Vlan20)#exit S0(Config)#exit S0(Config-If-Vlan1)#ip address 192.168.1.1 255.255.255.0 S0(Config-If-Vlan1)#no shutdown S0(Config-If-Vlan1)#exit S0(Config)#exit S0#show ip route S0#con S0(Config)#ip route 58.192.65.0 255.255.255.0 10.1.1.1 3.4 宏锦企业网络防火墙配置
宏锦企业网络中使用的是神州数码的DCFW-1800S UTM,里面包含了防火墙和VPN等功能。以下为配置过程:
在防火墙NAT策略下面,新增NAT。如图3-1:
图3-1 新增企业防火墙策略示意图
源域:untrust; 源地址对象:any; 目的域:trust; 目的地址对象:any;
在全局安全策略设置里面如图3-2和图3-3所示:
火龙果整理 uml.org.cn 娄底职业技术学院网络专业毕业设计
图3-2企业防火墙策略配置示意图
图 3-3 企业防火墙策略配置示意图
火龙果整理 uml.org.cn 娄底职业技术学院网络专业毕业设计
图3-4企业防火墙策略配置示意图
可以设置全局下面访问策略,以及域内和域间的访问策略。这里我们设置,内部网络为信任区域(trust),Inteneter为不信任区域(untrust),服务器区域为DMZ区域。动作包括permit允许,拒绝deny,以及其他的特定的服务。这里允许内部访问外部和DMZ区域,而DMZ和Inteneter不允许访问内部。但是处于中间位置的DMZ可以允许Inteneter的访问。所以要添加好几条NAT策略。
在网络接口处如图3-5所示:
图3-5 网络接口处配置示意图
要配置3个以太网接口为up,安全区域分别为eth1:l2-trust,eth0:l2-untrust,eth2:l2-DMZ。其中接外网的eth0工作模式为路由模式,其余接DMZ和内部的都为NAT模式。如图3-6所示:
火龙果整理 uml.org.cn 娄底职业技术学院网络专业毕业设计
图3-6 以太网接口配置示意图
同时为他们配好相应的网络地址,eth0为58.192.65.62,eth1:10.1.1.1,eth2 10.1.2.1。
3.4 宏锦企业网络VPN配置
宏锦企业网络的VPN功能主要也是通过上面的防火墙实现的。如图3-7,图3-8所示:
图3-7 PPTP协议示意图
图3-8 PPTP示意图
这里我们使用PPTP协议来实现VPN,首先是新增PPTP地址池,范围为192.168.20.150-192.168.20.240 如图3-9所示:
火龙果整理 uml.org.cn 娄底职业技术学院网络专业毕业设计
图3-9 PPTP协议实现VPN示意图
在PPTP设置里面,选择Chap加密认证,加密方式mppe-128。DNS分别为61.177.7.1,MTU为500。
3.5 宏锦企业网络防病毒措施
针对宏锦企业网络的现状,在综合考虑了公司对防病毒系统的性能要求、成本和安全性以后,我选用江民杀毒软件KV网络版来在内网中进行防病毒系统的建立。产品特点: KV网络版是为各种简单或复杂网络环境设计的计算机病毒网络防护系统,即适用于包含若干台主机的单一网段网络,也适用于包含各种WEB服务器、邮件服务器、应用服务器,以及分布在不同城市,包含数十万台主机的超大型网络。KV网络版具有以下显著特点:
(1)先进的体系结构(2)超强的杀毒能力(3)完备的远程控制(4)方便的分级、分组管理
宏锦企业网络KV网络版的主控制中心部署在DMZ服务器区,子控制中心部署在3层交换机的一台服务器上。
网络拓扑结构如图3-10所示:
火龙果整理 uml.org.cn 娄底职业技术学院网络专业毕业设计
图3-10 主控制中心部署图
子控制中心与主控制中心关系: 控制中心负责整个KV网络版的管理与控制,是整个KV网络版的核心,在部署KV网络时,必须首先安装。除了对网络中的计算机进行日常的管理与控制外,它还实时地记录着KV网络版防护体系内每台计算机上的病毒监控、查杀病毒和升级等信息。在1个网段内仅允许安装1台控制中心。根据控制中心所处的网段的不同,可以将控制中心划分为主控制中心和子控制中心,子控制中心除了要 完成控制中心的功能外,还要负责与它的上级——主控制中心进行通信。这里的“主”和“子”是一个 相对的概念:每个控制中心对于它的下级的网段来说都是主控制中心,对于它的上级的网段来说又是子控制中心,这种控制结构可以根据网络的需要无限的延伸下去。
为宏锦企业网络安装好KV网络版杀毒软件后,为期配置软件的安全策略。对宏锦企业客户端计算机的KV软件实现更为完善的远程控制功能,利用KV软件控制中心的“策略设置”功能组来实现。在此功能中可以针对单一客户端、逻辑组、全网进行具有针对性的安全策略设置。在“策略设置”下拉菜单中,我们可以找到“扫描设置”、“反垃圾邮件”、“网址过滤”等与平时安全应用密切相关的各项应用配置选项,如图3-11所示。
火龙果整理 uml.org.cn 娄底职业技术学院网络专业毕业设计
图3-11 “策略设置”命令菜单
为宏锦企业网络KV网络版杀毒软件配置“扫描设置”,扫描设置可对当前选择的任意组或者任意节点的客户端进行更加细化的扫描设置。宏锦企业可以自己设定适合于自己网络环境的扫描方案,针对不同的策略对不同的客户端进行分发不同的扫描命令。可以下发以下命令到节点计算机:扫描目标,定时扫描,分类扫描,不扫描文件夹,扫描报告,简单而实用的设置页大大的增加了网络管理的易用性。其中扫描目标的设置界面如图3-12所示。
图3-12 扫描目标配置
火龙果整理 uml.org.cn 娄底职业技术学院网络专业毕业设计
第四章 宏锦企业的网络管理
4.1宏锦企业网络管理的问题
(1)计算机软、硬件数量无法确实掌握,盘点困难;(2)单位的计算机数量越来越多,无法集中管理;
(3)无法有效防止员工私装软件,造成非法版权使用威胁;(4)硬件设备私下挪用、窃取,造成财产损失;(5)使用者计算机IP随易变更,造成故障频传;(6)软件单机安装浪费人力,应用软件版本不易控制;(7)重要资料遭非法拷贝,资料外泄,无法监督;(8)设备故障或资源不足,无法事先得到预警;
(9)应用软件购买后,员工真正使用状况如何,无从分析; 居高不下的信息化资源成本,不知如何改善。
4.2 宏锦企业网络管理实施
针对宏锦企业网络的需求,给企业安装SmartIPVIew管理软件实现宏锦企业网络对公司内部的设备以及IP网络资源管理。实施步骤安装SmartIPVIew管理软件,运行软件添加宏锦企业的IP网段如图4-1.火龙果整理 uml.org.cn 娄底职业技术学院网络专业毕业设计
图4-1 添加企业IP网段
单击确认,添加宏锦企业内部IP网段便于企业管理企业内部用户。对宏锦企业网络内部设备的管理如下图4-2所示。
图4-2 添加网络设备
如图4-2添加宏锦企业的网络设备,以实现企业对内部网络设备的监控和方便管理能有效的提高办公效率。
SmartIPVIew管理软件独创的IP地址资源管理技术,通过保护IP地址资源的安全使用,以及对IP地址资源的回收再利用,使有限的IP地址资源得到合理合法的使用,从而可以保证整个网络资源的有效利用和安全。
火龙果整理 uml.org.cn 娄底职业技术学院网络专业毕业设计
总 结
随着互联网的飞速发展,网络安全逐渐成为一个潜在的巨大问题。网络安全性是一个涉及面很广泛的问题,其中也会涉及到是否构成犯罪行为的问题。在其最简单的形式中,它主要关心的是确保无关人员不能读取,更不能修改传送给其他接收者的信息。此时,它关心的对象是那些无权使用,但却试图获得远程服务的人。安全性也处理合法消息被截获和重播的问题,以及发送者是否曾发送过该条消息的问题。
本论文从企业角度描述了网络安全的解决方案,目的在于为用户提供信息的保密,认证和完整性保护机制,使网络中的服务,数据以及系统免受侵扰和破坏。比如防火墙,认证,加密技术等都是当今常用的方法,本论文从这些方法入手深入研究各个方面的网络安全问题的解决,可以使读者有对网络安全技术的更深刻的了解。
火龙果整理 uml.org.cn 娄底职业技术学院网络专业毕业设计
致 谢
在这几个多月的毕业设计中,我真诚的感谢老师的指导,在老师的帮助下我才顺利的完成毕业设计。
做毕业实际就需要把平时学到的东西在复习一遍,因为平时上课还有课后自己的学习,都主要在基于理论方面的,虽然也做很多实验,但当把毕业设计当作一个实际的工程来做的时候就会发现很多的问题,这就需要老师的指导了,特别是老师让我们在实训机房里面,直接就各个硬件进行操作,这样我们就不会空谈就会做的更深层次。
所以很感谢老师的帮助,让我更好的将理论和实践相结合,最后完成了此次毕业设计,同时也为以后工作做了很好的准备。
火龙果整理 uml.org.cn 娄底职业技术学院网络专业毕业设计
参考文献
[ 1 ] 王达.网管员必读—网络安全.北京:机械工业出版社,2009. [ 2 ] 黄传河.网络规划设计师教程.北京:机械工业出版社,2009. [ 3 ] 张千里,陈光英.网络安全新技术.北京:人民邮电出版社,2003 [ 4 ] 王卫红,李晓明.计算机网络与互联网.北京:机械工业出版社,2009. [ 5 ] 易建勋.计算机网络技术.北京:人民邮电出版社,2007.[ 6 ] 扬卫东.网络系统集成与工程设计,2007.[ 7 ] 张千里,陈光英.网络安全新技术.北京:人民邮电出版社,2003 [ 8 ] 徐超汗.计算机网络安全实用技术,电子工业出版社,2005年3月 [ 9 ] 万博公司技术部.网络系统集成行业使用方案,海洋出版社,2006年 [10 ] 高永强,郭世泽.网络安全技术与应用大典.北京:人民邮电出版社,2003
火龙果整理 uml.org.cn
点击咨询 