交易所網(wǎng)站安全技術(shù)解決方案

1、一 證券交易所網(wǎng)站現(xiàn)狀41 .概述42 .服務(wù)器及網(wǎng)絡(luò)設(shè)備配置情況51）網(wǎng)站s-web. s. com. cn51）網(wǎng)站web 1. s. com. cn53） 域名月艮務(wù)器s-dns. s. com. cn54）其他服務(wù)器及網(wǎng)絡(luò)設(shè)備信息:53 .網(wǎng)絡(luò)工作流程描述51）外部用戶訪問網(wǎng)站51）內(nèi)部用戶訪問外部63）監(jiān)控機(jī)房PC對(duì)網(wǎng)站管理64 .當(dāng)前網(wǎng)站訪問性能分析6二證券交易所網(wǎng)站存在安全問題81 .網(wǎng)絡(luò)測(cè)試過程81）網(wǎng)絡(luò)測(cè)試結(jié)果數(shù)據(jù)取樣點(diǎn)81）測(cè)試使用工具83）測(cè)試手段說明81.測(cè)試結(jié)果分析91）網(wǎng)站服務(wù)器系統(tǒng)本身安全問題91）監(jiān)控機(jī)系統(tǒng)本身存在安全問題103）路由器存在安全問題104）防火墻

2、安全問題105）網(wǎng)絡(luò)流程安全問題116）管理安全問題12三證券交易所網(wǎng)站安全技術(shù)解決方案131、 網(wǎng)絡(luò)拓?fù)鋱D131、所添設(shè)備功能說明13一證券交易所網(wǎng)站現(xiàn)狀1 .概述保護(hù)證券交易所網(wǎng)站投資和信息資源，擁有構(gòu)思精良且有效網(wǎng)絡(luò)安 全策略是非常重要。網(wǎng)絡(luò)安全系統(tǒng)本身是個(gè)龐大、復(fù)雜系統(tǒng)設(shè)計(jì)。因此，根 據(jù)客戶現(xiàn)在和可預(yù)見將來應(yīng)用需要來設(shè)計(jì)網(wǎng)絡(luò)安全才是最可行方法。太多安 全策略會(huì)帶來不必要操作困難，而且如果沒有太必要需求，中科網(wǎng)威公司將 盡量使用簡(jiǎn)單.，實(shí)用方案。中科網(wǎng)威擁有為政府、銀行，電信，證券等高安 全性，高可靠性行業(yè)安全設(shè)計(jì)豐富經(jīng)驗(yàn)?？傊锌凭W(wǎng)威公司設(shè)計(jì)安全系統(tǒng)以安全為前提，以簡(jiǎn)單, 圖一所示：

3、/ 氈L版;光華審計(jì)系統(tǒng)1托管服務(wù)S WEBGUAF PC)(SUN 350)(PC、長信局、一 一118K1監(jiān)控機(jī)1二:尸1 1實(shí)用為基礎(chǔ)。目前.，證券交易所網(wǎng)站建構(gòu)情況如下 _CHINANEF、,1 1:_LIX由 系明：Hp服務(wù)器”最戢Mail服務(wù)器；/、(PC)SU J 5(X)0)PC) /、交易所.J 3.防火堵2交易所內(nèi)部網(wǎng)空機(jī)1、I bi1=1,1 R(PC)/(PC)/交易所監(jiān)控室V O 內(nèi)部Web服務(wù)器IL服務(wù)器及網(wǎng)絡(luò)設(shè)備配置情況 1）網(wǎng)站sFeb. s. com. cn使用操作系統(tǒng)為 Sun Solaris 5. 6； Web Server 是 Netscape IPla

4、ntServer； IP 地址為 101. 111. 1. 1；別名為;設(shè)備為 SUN Enterprise3500o1）網(wǎng)站webL s. com. cn使用操作系統(tǒng)為 Sun Solaris 5. 6；使用 Web Server 是 Netscape IPlant Server： IP 地址為 101. 101. 61. 119；別名為；設(shè)備為 SUNEnterprise5000。3）域名服務(wù)器s-dns. s. com cn使用操作系統(tǒng)為Sun Solaris 5.6；使用域名服務(wù)器為BIND； IP地址為101. 111. 1. 1；設(shè)備為SUN Ultra系列工作站 4）其他服務(wù)器及

5、網(wǎng)絡(luò)設(shè)備信息:A. developer, s. com. cn101. 111. 1. 5B. notes-svr. s. com. cn101. 111. 1. 108C. s- 101. 111. 1.4D. vod-svr. s. com. cn 101. 111. 1. 7E. mailhost. s. com. cn101. 111. 1. 3F. mail-svr. s. com. cn101. 111. 1. 3G. Cisco路由器101. 111. 1. 113.網(wǎng)絡(luò)工作流程描述1）外部用戶訪問網(wǎng)站A.外部用戶可以通過http方式瀏覽網(wǎng)站，其中一臺(tái)web server為 we

6、bl. s. com. cn, IP地址為101. 101. 61. 119。這臺(tái)服務(wù)器托管在長信 局，出口帶寬為lOOMSwitch。當(dāng)用戶訪問該臺(tái)服務(wù)器時(shí)需要經(jīng)過天融 信防火墻，同時(shí)有光華審計(jì)軟件對(duì)訪問情況進(jìn)行審計(jì)（正常方式）。B.外部用戶通過http方式訪問另外一臺(tái)web server為 sweb. ssl. com. cn, IP地址為101. 111. 1. 1.這臺(tái)服務(wù)器放在證券交易 所內(nèi)部，出口帶寬為1NIDDN。當(dāng)用戶訪問該服務(wù)器時(shí)需要通過Sun防火 墻。同時(shí)外部用戶還可以通過ftp方式訪問；同時(shí)可以訪問DNS Server 及其他相關(guān)服務(wù)器；外部用戶對(duì)內(nèi)部LAN訪問全部被Ch

7、eckpoint防火 墻所禁止（正常方式）。1）內(nèi)部用戶訪問外部A.內(nèi)部用戶通過Checkpoint防火墻地址轉(zhuǎn)換功能，用一個(gè)合法IP地址訪 問及獲取外部信息（正常方式）。B.部分內(nèi)部用戶通過監(jiān)控房PC所具有網(wǎng)關(guān)功能也可以訪問及獲取到外 部信息（非正常方式）。3）監(jiān)控機(jī)房PC對(duì)網(wǎng)站管理A.根據(jù)圖一所示監(jiān)控機(jī)1通過專門得一根118K專線對(duì)托管在長信局Web Server進(jìn)行遠(yuǎn)程管理；同時(shí)監(jiān)控機(jī)1不能夠訪問內(nèi)部網(wǎng)絡(luò)（正常方式）。B.根據(jù)圖一所示監(jiān)控機(jī)1具有網(wǎng)關(guān)功能，它能夠及證交所內(nèi)部進(jìn)行數(shù)據(jù) 交換，同時(shí)也可以不通過防火墻直接連接到廣域網(wǎng)，然后對(duì)放在證交 所Web Server, , DNS Ser

8、ver等服務(wù)器進(jìn)行管理（非正常方式）。4.當(dāng)前網(wǎng)站訪問性能分析A.網(wǎng)站點(diǎn)擊數(shù)：當(dāng)前網(wǎng)站日訪問量小于1千人/天，當(dāng)前連接數(shù)小于100 人，七月分及年底日訪問量可能有上萬人次，當(dāng)前連接數(shù)可能會(huì)超過 1000 人。B. CPU占用率：當(dāng)前訪問情況下CPU占用率小于10%,表明網(wǎng)站服務(wù)器負(fù) 載能力還是很強(qiáng)。C.訪問頁面響應(yīng)時(shí)間：據(jù)中科網(wǎng)威公司對(duì)交易所網(wǎng)站測(cè)試主頁響應(yīng)時(shí)間 小于8秒鐘，符合國際標(biāo)準(zhǔn)。D.網(wǎng)頁類型：交易所網(wǎng)頁主要以靜態(tài)頁面為主，部分動(dòng)態(tài)頁面對(duì)一些相關(guān)信息進(jìn)行搜索。二證券交易所網(wǎng)站存在安全問題1.網(wǎng)絡(luò)測(cè)試過程1）網(wǎng)絡(luò)測(cè)試結(jié)果數(shù)據(jù)取樣點(diǎn)1）測(cè)試使用工具A.中科網(wǎng)威公司火眼網(wǎng)絡(luò)安全掃描系統(tǒng)B.

9、axent scannerC. iss 公司 internet scannerD. nai 公司 cyber cop scanner 3）測(cè)試手段說明A. Http服務(wù)器安全B. Ftp服務(wù)器安全C. Sendmail郵件系統(tǒng)安全D. Finger服務(wù)安全E. X window系統(tǒng)管理安全F. Dns服務(wù)安全G. Rpc服務(wù)安全H. X Window安全NFS文件服務(wù)安全I(xiàn). NIS安全J. Proxy服務(wù)安全K. TFTP服務(wù)安全L. Tooltalk服務(wù)安全M.服務(wù)端口設(shè)置安全1 .測(cè)試結(jié)果分析經(jīng)過中科網(wǎng)威公司掃描及檢測(cè)，得知交易所網(wǎng)站系統(tǒng)中存在許多安全漏 洞，以下對(duì)這些漏洞中主要嚴(yán)重性漏

10、洞進(jìn)行解釋及說明。1）網(wǎng)站服務(wù)器系統(tǒng)本身安全問題經(jīng)過檢測(cè)發(fā)現(xiàn)網(wǎng)絡(luò)服務(wù)器存在以下幾方面安全漏洞：A. Netscape服務(wù)器安全漏洞B. Ftp服務(wù)器安全漏洞C. Sendmail郵件系統(tǒng)安全漏洞D. Finger服務(wù)安全漏洞E. X window系統(tǒng)管理安全漏洞F. Dns服務(wù)安全漏洞G. Rpc服務(wù)安全漏洞H. X Window安全NFS文件服務(wù)安全漏洞I. TFTP服務(wù)安全漏洞J. Telnet服務(wù)安全漏洞詳細(xì)漏洞描述，請(qǐng)參看資料交易所網(wǎng)站安全分析及安全服務(wù)實(shí)施建議 書。1）監(jiān)控機(jī)系統(tǒng)本身存在安全問題監(jiān)控機(jī)使用是Windows NT 4.0操作系統(tǒng)，補(bǔ)丁程序?yàn)镾P4,在該系統(tǒng)下 存在著以下

11、安全問題：A. NT操作系統(tǒng)本身安全漏洞B. NT服務(wù)協(xié)議安全漏洞詳細(xì)漏洞描述，請(qǐng)參看資料交易所網(wǎng)站安全分析及安全服務(wù)實(shí)施建議 書。3）路由器存在安全問題因?yàn)榻灰姿褂檬荂isco路由潛，經(jīng)過中科網(wǎng)威公司測(cè)試發(fā)現(xiàn)該路由器 存在以下安全問題：A. ”Cisco CHAP/PPP VulnerabilityB. ”Cisco IOS AAA Does Not Properly Authenticate Users”C. ”Cisco Vulnerable to Land Attack”D. ”Cisco IOS Remote Router Crash”E. v Cisco IOS HTTP %拒絕

12、服務(wù)漏洞”F. ” IOS軟件TELNET環(huán)境變量處理漏洞”詳細(xì)漏洞描述，請(qǐng)參看資料交易所網(wǎng)站安全分析及安全服務(wù)實(shí)施建議 書。4）防火墻安全問題通過對(duì)防火墻檢測(cè)及配置策略，發(fā)現(xiàn)防火墻存在以下安全問題：A.內(nèi)部網(wǎng)絡(luò)到DMZ服務(wù)器區(qū)域沒有安全規(guī)則設(shè)置，用戶可以訪問到服務(wù)器任何端口。B.漏洞名稱：Checkpoint Firewall-1內(nèi)部地址泄露漏洞C. Checkpoint FW-1基本認(rèn)證功能對(duì)于來自墻內(nèi)（出站）和來自墻外（入 站）身份認(rèn)證未加任何超時(shí)設(shè)置和不成功認(rèn)證次數(shù)限制。而更為嚴(yán)重 問題是，可通過這個(gè)身份認(rèn)證機(jī)制不需要輸入口令就能猜測(cè)用戶名， 因?yàn)楫?dāng)輸入用戶名不存在時(shí)認(rèn)證系統(tǒng)會(huì)提示錯(cuò)誤

13、。詳細(xì)漏洞描述，請(qǐng)參看資料交易所網(wǎng)站安全分析及安全服務(wù)實(shí)施建議 書。5）網(wǎng)絡(luò)流程安全問題A、外部用戶可能能夠訪問到內(nèi)部LAN:從圖一所示外部用戶可以通過監(jiān)控機(jī)1入侵到內(nèi)部網(wǎng)絡(luò)，造成嚴(yán)重不安 全，因?yàn)楸O(jiān)控機(jī)綁定有三個(gè)網(wǎng)卡，其中一個(gè)為合法地址，另外兩個(gè)為內(nèi)部私 有地址，外部用戶可以通過該合法地址連接到內(nèi)部。B、監(jiān)控機(jī)1邏輯位置在Sun防火墻外面：外部非法入侵者在不受到防火墻限制情況下可以通過該監(jiān)控機(jī)對(duì)內(nèi)部網(wǎng) 絡(luò)進(jìn)行無限制訪問，嚴(yán)重導(dǎo)致整個(gè)內(nèi)部信息及系統(tǒng)破壞。C、從監(jiān)控機(jī)1管理通過廣域網(wǎng)管理放在交易所Web Server. DNS Server 和放在長信局托管Web Server等服務(wù)器時(shí)，在傳輸

14、過程中用戶名及密碼都 沒有經(jīng)過加密，很容易被惡意人員用Sniffer軟件進(jìn)行偵聽，從而獲取口令 進(jìn)入服務(wù)器系統(tǒng)；或者可以獲得重要資料。D、從內(nèi)部訪問放在交易所Web Server沒有進(jìn)行任何限制：從交易所內(nèi)部對(duì)萬一有不滿員工想對(duì)網(wǎng)站進(jìn)行破壞，可以說整個(gè)網(wǎng)站系 統(tǒng)對(duì)內(nèi)沒有做任何限制措施，不滿員工很容易就能夠把整個(gè)系統(tǒng)搞壞。E、沒有在監(jiān)控機(jī)上安裝防病毒軟件:因?yàn)楸O(jiān)控機(jī)基于Windows NT平臺(tái)，所以很容易受病毒感染如果沒有很好 防范病毒軟件，很容易使整個(gè)系統(tǒng)感染病毒。6）管理安全問題A、沒有根據(jù)國家規(guī)定機(jī)房管理?xiàng)l例進(jìn)行安全管理。B、應(yīng)該在監(jiān)控機(jī)上安裝相應(yīng)加密IC卡，防止非網(wǎng)站管理人員對(duì)監(jiān)控機(jī) 進(jìn)

15、行任意操作。三證券交易所網(wǎng)站安全技術(shù)解決方案結(jié)合前期工作基礎(chǔ)和交易所目前網(wǎng)站現(xiàn)狀，經(jīng)過分析，給出如下技術(shù)解 決方案：1) Web服務(wù)器配置方法：在長信局托管機(jī)房使用兩臺(tái)新配置Sun Server (E410)來做 負(fù)載平衡及雙機(jī)容錯(cuò)，把放在長信局內(nèi)Sun E3500拿到公司內(nèi)部網(wǎng)站機(jī)房及 原來Web Server 一起來做負(fù)載平衡及雙機(jī)容錯(cuò)并實(shí)時(shí)為用戶提供網(wǎng)站訪問。 當(dāng)對(duì)外發(fā)布某臺(tái)Web Server出現(xiàn)非正常停機(jī)情況，仍可以由負(fù)載平衡設(shè)備 把所有客戶請(qǐng)求轉(zhuǎn)到正常Web Server來保證網(wǎng)站運(yùn)行。并且我公司值班人 員可以在最短時(shí)間內(nèi)查找出故障原因，讓服務(wù)器在投入正常運(yùn)行。1) IC加密卡配置

16、方法：在監(jiān)控機(jī)房?jī)膳_(tái)監(jiān)控機(jī)上安裝相應(yīng)加密IC卡，防止非網(wǎng)站管 理人員對(duì)監(jiān)控機(jī)進(jìn)行任意操作。該加密IC卡只能配備給具有網(wǎng)站管理權(quán)人 員，當(dāng)他們需要對(duì)網(wǎng)站進(jìn)行控制時(shí)，必須把自己IC卡插入到監(jiān)控機(jī)上，并 且必須輸入相應(yīng)密碼，才能夠打開監(jiān)控機(jī)硬盤，否則根本無法進(jìn)入監(jiān)控平臺(tái)。產(chǎn)品介紹：用于對(duì)硬盤進(jìn)行加密，只有擁有IC卡身份認(rèn)證密碼用戶才能 解開硬盤，使用系統(tǒng)資源。該硬盤加密IC卡主要用于信息監(jiān)控端微機(jī)安全 保障，以防止內(nèi)部人員通過監(jiān)控端對(duì)網(wǎng)站進(jìn)行非法修改和破壞。3）負(fù)載平衡設(shè)備配置方法：當(dāng)有兩臺(tái)以上電腦作鏡像時(shí)，可以在網(wǎng)站服務(wù)器之前添加負(fù) 載平衡設(shè)備，提高網(wǎng)站訪問性能及提高網(wǎng)站容錯(cuò)性。產(chǎn)品介紹：在通信高

17、峰期間，流量分配器通過避免可能引起客戶不滿錯(cuò) 誤信息，讓網(wǎng)站實(shí)現(xiàn)正常運(yùn)行.它能夠平衡服務(wù)器群中所有服務(wù)器之間通信 負(fù)載.Local Director根據(jù)實(shí)時(shí)相應(yīng)時(shí)間進(jìn)行判斷，已實(shí)現(xiàn)真正職能通信管 理和最佳服務(wù)器群性能。流量分配器控制第四層到第七層應(yīng)用內(nèi)容，從而對(duì) 不同類型客戶或URL實(shí)現(xiàn)了優(yōu)先級(jí)劃分和差別服務(wù)。使用現(xiàn)有第七層智能會(huì) 話恢復(fù)技術(shù)，可監(jiān)測(cè)出HTTP400, 500和600系列錯(cuò)誤，從而使系統(tǒng)能夠完 成該交易.服務(wù)器故障切換和多重冗余特性可以讓通信繞過故障點(diǎn)，從而使 網(wǎng)站始終保持運(yùn)行和可訪問狀態(tài)。4）網(wǎng)絡(luò)防病毒系統(tǒng)配置方法：購買一套網(wǎng)絡(luò)防病毒系統(tǒng)，用于病毒防護(hù)。產(chǎn)品介紹：采用全球多平

18、臺(tái)病毒解決方案，可用于檢測(cè)和清除所有類型 病毒。使整個(gè)發(fā)布平臺(tái)所有設(shè)備免于網(wǎng)絡(luò)病毒攻擊和破壞。5） Web Cache配置方法：在網(wǎng)站服務(wù)器前端添加一臺(tái)Web Cache,作為本地高速緩存, 替代初始網(wǎng)站服務(wù)器，對(duì)請(qǐng)求相同對(duì)象用戶所提出后續(xù)請(qǐng)求做出響應(yīng)，它緩 解了 “用戶請(qǐng)求”及“初始Web服務(wù)器”之間在Internet路徑上進(jìn)行多次 跳轉(zhuǎn)情況。產(chǎn)品介紹：Cache設(shè)備駐留于本地監(jiān)視Web對(duì)象請(qǐng)求，然后加以析取，接 著存貯這些對(duì)象留作以后應(yīng)用專用網(wǎng)絡(luò)高速緩存應(yīng)用產(chǎn)品。它將所有必須軟 件和硬件以最佳形式集成在標(biāo)準(zhǔn)1U可擴(kuò)展支架體系中，能有效減少由于 Internet通訊數(shù)據(jù)量過大而導(dǎo)致帶寬過載現(xiàn)

19、象，能使現(xiàn)有任何一種普通Web 服務(wù)器容量增加十倍，使網(wǎng)絡(luò)數(shù)據(jù)傳輸速度出人意料。6）入侵檢測(cè)系統(tǒng)配置方法：在兩個(gè)Web存放處，分別使用一套入侵檢測(cè)軟件。把入侵檢 測(cè)軟件安裝在某臺(tái)空余電腦上，并且把它及交換機(jī)相連。產(chǎn)品介紹：網(wǎng)絡(luò)入侵偵測(cè)系統(tǒng)是Netpower系列安全軟件中一款基于 專門針對(duì)網(wǎng)絡(luò)遭受黑客攻擊行為而設(shè)計(jì)產(chǎn)品。它以監(jiān)測(cè)網(wǎng)絡(luò)入侵功能為基 礎(chǔ)，集成了在線網(wǎng)絡(luò)入侵監(jiān)測(cè)、入侵即時(shí)處理（即時(shí)報(bào)警、切斷連接、暫停 服務(wù)等）、離線入侵分析、入侵偵測(cè)查詢、報(bào)告生成等多項(xiàng)功能分布式計(jì)算 機(jī)安全系統(tǒng)，不僅能即時(shí)監(jiān)控網(wǎng)絡(luò)資源運(yùn)行狀況，為網(wǎng)絡(luò)管理員及時(shí)提供網(wǎng) 絡(luò)入侵預(yù)警和防范、解決方案，還使得黑客入侵有跡可尋

20、，為用戶采取進(jìn)一 步行動(dòng)提供強(qiáng)有力技術(shù)支持，大大加強(qiáng)了對(duì)惡意黑客威懾力量。（此項(xiàng)產(chǎn)品 由中科網(wǎng)威免費(fèi)提供）7）添加Web Server內(nèi)存因?yàn)殡S著網(wǎng)站訪問量提高，為了不影響用戶訪問速度，我們建議在Sun E5000這臺(tái)Web Server上添加1G內(nèi)存，提高服務(wù)器處理速度。8）在Sun E5000這臺(tái)Web Server上增加Ind Dns Server為了防止dns server出現(xiàn)故障時(shí),不能提供正常域名解析,我們建議在Sun E5000這臺(tái)Web Server上配置Ind dns server,提供域名解析容錯(cuò)功能。幾點(diǎn)說明：防火墻系統(tǒng)可保留現(xiàn)有防火墻系統(tǒng)，即：長信局網(wǎng)段采用天融信防火墻

21、、對(duì)外發(fā)布網(wǎng)段采用Sun Firewall-1和Checkpoint防火墻。審計(jì)系統(tǒng)仍使用光華審計(jì)系統(tǒng)，保留Web Guard軟件。各種掃描工具，安全服務(wù)工具、各類設(shè)備和軟件安全配置等工作由我 方提供。3、本方案所需產(chǎn)品列表單位：人民幣項(xiàng) 目產(chǎn)品名稱公開報(bào) 價(jià)折扣 (off)采購單 價(jià)1*Sun E410 ServerServer Base, internalSun CD (tm) 31, one Power芯片：450MHZ Ultra SPARC- II CPU X 1內(nèi)存：1G硬盤：18. 1GB HDD(10000 轉(zhuǎn))X 1包括：鼠標(biāo)，鍵盤磁帶機(jī)：11-14GB 4mm DDS-4 in a uniPackDesktop enclosure系統(tǒng)：Solaris 8 Standard503, 540詳見附表180,1081 *ALTEON 700106 ACE director layer 4Switchs端口： 1OBASE-T/1OOBASE-TX1000BASE-SX端口：全雙工千兆位以太網(wǎng)SC光纖間接RS-13