安全管理是精髓，安全服务是保障

——清华得实金融安全防御系统 

随着电子商务的不断发展，有效组织的信息成为金融企业最大的财富，网络银行的金融服务将更加完善，将以快捷、简便、安全的方式提供市场信息、金融产品信息，并以良好的交互性向顾客提供自助式服务、家庭理财、网上购物、银证转账、网上实时支付、跨国金融服务和无实体金融服务等，这些应用同时带来的就是信息网络的安全建设和安全使用问题。而信息安全保障能力已成为金融行业经济竞争实力和生存能力的象征，是未来国际竞争的“杀手锏”。

    北京清华得实科技股份有限公司是专业从事信息网络安全技术和产品研发、安全产品销售、安全风险评估和检测、安全解决方案设计和实施、安全技术咨询和服务的全内资高新技术企业。依托清华大学雄厚的科技和人才优势，自主研制了紫荆盾防火墙、应用安全平台、通用计费、入侵检测、绿色通道、安全管理中心等多种信息网络安全产品。以信息网络安全三维框架模型为基础，基于自己的核心技术和产品，针对我国金融网络现状和面临的问题，以安全特别是安全管理为特色，面向整个信息网络系统，清华得实开发了电子金融安全防御系统，全方位保护金融系统的网络安全。

从金融行业现有的应用分析，我们可以将信息网络安全分为：

1. 来自于外部的攻击。

2. 来自于内部的攻击（据权威数据表明，有97％的攻击是来自内部攻击和内外勾结的攻击，而且内部攻击成功的概率要远远高于来自于Internet的攻击，造成的后果也严重的多）

3. 来自于主机操作系统的风险

4. 来自于管理。

我们把银行行业信息网络安全系统分为：

物理环境安全子系统、网络安全子系统、主机安全子系统、应用安全子系统、安全管理子系统等五个安全子系统进行设计。

方案中要通过清华得实的核心产品——紫荆盾防火墙，解决我们前面提到的安全风险，实现隔离从Internet到企业内部网络的直接连接；隔离内部网的应用服务器子网和办公子网；控制远程用户通过拨号进入企业内部网。

紫荆盾防火墙与清华得实入侵侦测NetDT系统的无缝联系给网络穿上了更安全的防弹衣。入侵检测NetDT系统通过网络嗅探引擎（监控机）和安全服务中心（管理服务器）对网络内流动的数据包进行获取和分析处理，发现网络攻击行为或者符合用户自定义策略的操作，及时报警并阻断其攻击，从而进行实时的入侵防御。入侵检测NetDT系统具有一个稳定、高效的网络引擎和丰富、强大的入侵侦测特征库，采用了先进的复杂入侵侦测方法，并提供多种入侵响应技术。值得一提的是该系统属于全中文界面及其简单易用、方便灵活的操作方式等人性化涉及完全适合中国人的使用。

    对于银行信息网这种Intranet来说，由于其上运行的应用系统很多，特别是当全网范围内的应用建设起来以后，其在应用层的安全需求更为突出。由于金融行业各地分支机构采用的应用平台都不尽相同。为了保证各地的应用都具备相应的安全机制，并使用户使用方便，应用安全平台WebST作为应用层安全产品正好解决了这一问题。

    严格的身份认证：安全应用平台可以采用不同的身份认证机制，为各种应用系统提供身份认证服务，如基于对称密钥的Kerberos和基于公钥的X.509身份认证机制。安全应用平台通过身份传递技术将其认证过的用户身份传递给第三方应用系统。

 不同粒度的访问控制：安全应用平台可以根据具体应用采取不同粒度的访问控制，如基于应用端口的粗粒度的访问控制和基于文件、HTTP页面的细粒度的访问控制。安全应用平台应该可以维护受保护资源的资源目录（采用DCE CDS或LDAP等目录服务）。安全应用平台根据用户身份和资源目录授予不同用户访问不同资源的不同权限。

 数据完整性和保密性：安全应用平台在数据传输时，可以采取高强度的加密算法，提供数字签名、时间戳、会话密钥等技术，保证数据传输的完整性和保密性，防止数据被窃取、篡改和重放攻击。

 安全的审计记录：安全应用平台必须详细记录用户对受保护资源的访问，并把日志加密存储，只有专人才能读取这些日志，以保证审计数据的安全性。

    管理员通过一个图形化的管理控制台，集中管理WebST安全服务器和所有WebSEAL服务器。这样，对于每一个银行的管理员来说，他看到的是一个统一的用户数据库、一个统一的资源目录和一个统一的访问授权数据库。

       安全管理的概念：

安全管理的概念贯穿于上述整个方案的各个方面。通过技术手段和行政管理手段，安全管理将涉及到各系统单元在各个协议层次提供的各种安全服务。

 安全管理是信息网络安全的一个基本保证，只有通过切实的安全管理，才能够保证各种安全技术能够真正起到其应有的作用。安全管理包括的范围很广，包括对人员的安全意识教育、安全技术培训，对各种网络设备、硬件设备、应用软件、存储介质等的安全管理，对各项安全管理制度的贯彻执行的保障和监督措施等。

安全技术仅仅是企业信息网络安全的基本保证，更重要的是要正确应用好这些安全技术，采取相关的辅助措施，充分发挥其效益。企业信息网络的安全是一个动态发展的系统工程和社会工程，需要长期、持久的巨大的财力、物力、人力的投入，需要从组织、管理等方面也采取强有力的措施，才能确保企业信息网络在Internet的大洋中永远坚固、安全、可靠。

首先，网络安全是动态发展的问题。

其次，企业网的安全实施是一个系统工程。

最后，企业信息网络的安全是一个社会工程。

安全服务的概念：

难道企业购买了各种各样的安全产品，就能够确保我们的企业信息网络能够真正安全吗？回答是否定的！

清华得实认为，在企业信息网络安全系统的建设中，由专业的安全厂商为企业提供全程的专业安全服务，利用科学的安全体系框架和方法论，建立立体的、全面的、有层次的安全管理体系，是企业信息网络安全的基本保证。

    实施企业信息网络安全系统需要巨大的、持久的投入，同时，这也是一项非常专业、系统的工程，仅仅依靠企业自身的技术力量很难顺利完成。我们建议企业在建设自己的信息网络时，选择一家或几家专业的安全厂商作为长期的合作伙伴，为企业提供全面、深入、及时和个性化的安全服务，保证企业网的安全、可靠、正常的运行。

安全服务的内容包括:

    安全咨询、安全系统规划、安全策略制定、安全系统集成、安全产品配置、 安全培训、应急安全服务。上述各种安全服务都是相辅相成的。