防火墙制度总则

2、本制度所指的防火墙是指公司在承接信用评级项目时，公司员工不按规定使用信用评级信息导致信用评级信息被不应掌握的人或部门而掌握的情形。

3、本制度适用于公司全体员工。

1、公司应当建立合理的内部组织结构，恰当的划分机构职能，设计规范的业务流程，使从事信用评级的业务部门之间以及从事信用评级的业务部门与其他业务部门之间在职能、人员、业务、信息流等方面保持独立。

2、公司涉及信用评级的部门分为三大类:

1)、信用评级部门:工商企业部、公用事业部、金融机构部、结构融资部、中小企业部、专业评审委员会等;

2)、信息服务部门:行业地区部、国家风险部和风险管理咨询部;

3)、支持部门:稽核合规部、技术支持部、数据中心、客服中心、综合管理等部。

1、处理信用评级业务的评审委员、评级项目小组成员、市场部人员、合规和质量管理人员、技术支持人员、客服人员、数据管理人员、备案管理人员应严格执行回避制度。

2、信用评级业务部门、信息服务部门和支持部门之间，严禁交换与评级相关的业务信息，各部门人员均应遵守公司信息保密制度。

3、与信用评级业务相关的各部门人员，应严格依据岗位职责和评级业务流程处理评级业务事项，确保信用评级信息在规定的范围内流动。

4、信用评级项目的承揽、项目承做和审核评审应严格分离。项目承揽人员一律不得作为项目评级人员，不得作为三级审核成员对所承揽业务的评级报告实施审核，但可以作为项目联系人，与评级客户及相关机构保持沟通。

5、信用评级业务的承做与审核、评审应严格分离。项目承揽人员一律不得作为三级审核成员对所承揽业务的评级报告实施审核，不得作为评审委员参与评审。

6、信息服务的市场业务部门应与评级业务部门严格分离。市场业务人员不得向同一客户同时提供信息服务和评级服务。

7、客服中心是市场部门与评级部门的有效区隔实体;技术支持部是评级与评审的有效区隔实体;稽核合规部是独立的第三方监管实体。

1、市场部人员负责销售公司的信用评级产品，不参与信用评级报告撰写和级别评定工作。

2、市场部人员对评级对象进行产品营销时，如需要提供技术支持，分析师必须客观、公正的提出业务支持，不得就被评对象作出评级结果预测和允诺。

3、市场部人员在业务谈判过程中，分析师与信用评审会委员均不得参与评级费用讨论和评级合同签订等工作。

4、评级项目开展过程中，市场人员不得将评审委员和项目支持人员的相关情况及其联系方式，评级和评审内容等信息告知或变相告知被评对象或客户。

1、对评级与信息服务业务进行隔离。

2、评级业务由评级总监统一管理。在进行信用评级项目时，由公司评级部门成立评级项目组，项目组对评级对象进行考察、分析，形成初评报告，并提交评审委员会。

3、评级项目组成员包括分析师、数据人员和行业专员等，负责数据处理、分析研究、评级报告撰写等工作，但不得参与市场业务销售。

4、评级项目组分析师负责访谈的准备、资料整理，如需要调用其它客户相关资料，需经过主管批准，由评级秘书转发。

5、项目组成员不得把评级对象相关资料以及评审委员信息私下转发他人，

6、评级项目组数据人员负责评级数据真实、完整和全面性的审核、处理，对数据的收集、录入、审核、报送与调整、备份保存管理;

7、评级项目分析师独立完成评级报告撰写，对报告内容负责，市场人员不得参与。

8、评级项目组行业专员负责行业风险专业研究的支持。

9、评级项目组成员不得向评级对象透露信用评审委员名单及联系方式等联系信息。

10、公司的董事、监事、高级管理人员等不得以任何方式影响或干扰评级项目小组成员的工作独立性。

1、评级结果由评审委员会通过投票表决的形式决定，具体投票规则由《大公信用等级评审制度》决定。

2、 评审委员依据客观实际，独立发表审核意见，其行为不受市场人员、评级人员、公司高级管理人员、其他人员的干涉。

3、参加评审会的行业、专题、数据研究人员、外部专家、质量专员、合规专员参议人员，对信用评审过程的合规性，评审的专业性和科学性进行监督。

1、信息服务部门人员不得参与评级业务的市场开发和评审工作。

2、信息服务部门由技术总监统一管理。提供信息服务期间，不得与评级部门交换信息。另外，信息服务部门不得参与评级业务的市场开发工作。

1、技术支持人员、客服人员、数据管理人员等按评级业务流程处理信用评级业务时，依据职责处理评级工作，不得向评级项目组了解超越职责范围的评级业务信息。

2、稽核合规部对信用评级业务流程中防火墙制度的执行环节进行合法合规性检查。

防火墙具有很好的保护作用。入侵者必须首先穿越防火墙的安全防线，才能接触目标计算机。你可以将防火墙配置成许多不同保护级别。高级别的保护可能会禁止一些服务，如视频流等，但至少这是你自己的保护选择。

在具体应用防火墙技术时，还要考虑到两个方面:

一是防火墙是不能防病毒的，尽管有不少的防火墙产品声称其具有这个功能。 二是防火墙技术的另外一个弱点在于数据在防火墙之间的更新是一个难题，如果延迟太大将无法支持实时服务请求。并且，防火墙采用滤波技术，滤波通常使网络的性能降低50%以上，如果为了改善网络性能而购置高速路由器，又会大大提高经济预算。

总之，防火墙是企业网安全问题的流行方案，即把公共数据和服务置于防火墙外，使其对防火墙内部资源的访问受到限制。作为一种网络安全技术，防火墙具有简单实用的特点，并且透明度高，可以在不修改原有网络应用系统的情况下达到一定的安全要求。

(1)设置网卡IP地址为192.168.1.234，子网掩码为255.255.255.0，网关为192.168.1.1。

(2)设置DNS为61.177.7.1。

(3)Linux防火墙设置，禁用SELinux，启用防火墙，信任WWW、FTP、SSH、SMTP端口。

(4)设置防火墙，使能信任TCP协议的POP3端口。

从实现原理上分，防火墙的技术包括四大类:网络级防火墙(也叫包过滤型防火墙)、应用级网关、电路级网关和规则检查防火墙。它们之间各有所长，具体使用哪一种或是否混合使用，要看具体需要。

一般是基于源地址和目的地址、应用、协议以及每个IP包的端口来作出通过与否的判断。一个路由器便是一个"传统"的网络级防火墙，大多数的路由器都能通过检查这些信息来决定是否将所收到的包转发，但它不能判断出一个IP包来自何方，去向何处。防火墙检查每一条规则直至发现包中的信息与某规则相符。如果没有一条规则能符合，防火墙就会使用默认规则，一般情况下，默认规则就是要求防火墙丢弃该包。其次，通 过定义基于TCP或UDP数据包的端口号，防火墙能够判断是否允许建立特定的连接，如Telnet、FTP连接。

应用级网关能够检查进出的数据包，通过网关复制传递数据，防止在受信任服务器和客户机与不受信任的主机间直接建立联系。应用级网关能够理解应用层上的协议，能够做复杂一些的访问控制，并做精细的注册和稽核。它针对特别的网络应用服务协议即数据过滤协议，并且能够对数据包分析并形成相关的报告。应用网关对某些易于登录和控制所有输出输入的通信的环境给予严格的控制，以防有价值的程序和数据被窃取。 在实际工作中，应用网关一般由专用工作站系统来完成。但每一种协议需要相应的代理软件，使用时工作量大，效率不如网络级防火墙。 应用级网关有较好的访问控制，是目前最安全的防火墙技术，但实现困难，而且有的应用级网关缺乏"透明度"。在实际使用中，用户在受信任的网络上通过防火墙访问Internet时，经常会发现存在延迟并且必须进行多次登录(Login)才能访问Internet或Intranet。

电路级网关用来监控受信任的客户或服务器与不受信任的主机间的TCP握手信息,这样来决定该会话(Session)是否合法,电路级网关是在OSI模型中会话层上来过滤数据包,这样比包过滤防火墙要高二层。电路级网关还提供一个重要的安全功能:代理服务器(Proxy Server)。代理服务器是设置在Internet防火墙网关的专用应用级代码。这种代理服务准许网管员允许或拒绝特定的应用程序或一个应用的特定功能。包过滤技术和应用网关是通过特定的逻辑判断来决定是否允许特定的数据包通过，一旦判断条件满足，防火墙内部网 络的结构和运行状态便"暴露"在外来用户面前，这就引入了代理服务的概念，即防火墙内外计算机系统应用层的"链接"由两个终止于代理服务的"链接"来实现，这就成功地实现了防火墙内外计算机系统的隔离。同时，代理服务还可用于实施较强的数据流监控、过滤、记录和报告等功能。代理服务技术主要通过专用计算机硬件(如工作站)来承担。

该防火墙结合了包过滤防火墙、电路级网关和应用级网关的特点。它同包过滤防火墙一样，规则检查防火墙能够在OSI网络层上通过IP地址和端口号，过滤进出的数据包。它也象电路级网关一样，能够检查SYN和ACK标记和序列数字是否逻辑有序。当然它也象应用级网关一样，可以在OSI应用层上检查数据包的内容，查看这些内容是否能符合企业网络的安全规则。规则检查防火墙虽然集成前三者的特点，但是不同于一个应用级网 关的是，它并不打破客户机/服务器模式来分析应用层的数据，它允许受信任的客户机和不受信任的主机建立直接连接。规则检查防火墙不依靠与应用层有关的代理，而是依靠某种算法来识别进出的应用层数据，这些算法通过已知合法数据包的模式来比较进出数据包，这样从理论上就能比应用级代理在过滤数据包上更有效。