交易所网站安全技术解决方案探析(doc 14页).doc

一一 证券交易所网站的现状证券交易所网站的现状 3 1 概述 3 1 服务器及网络设备的配置情况 4 1 网站s 4 1 网站 4 3 域名服务器s 4 4 其他的服务器及网络设备的信息 4 3 网络的工作流程描述 4 1 外部用户访问网站 4 1 内部用户访问外部 5 3 监控机房的PC对网站的管理 5 4 当前网站访问的性能分析 5 二二 证券交易所网站存在的安全问题证券交易所网站存在的安全问题 6 1 网络测试的过程 6 1 网络测试结果数据取样点 6 1 测试使用的工具 6 3 测试手段说明 6 1 测试结果分析 7 1 网站服务器系统本身的安全问题 7 1 监控机系统本身存在的安全问题 8 3 路由器存在的安全问题 8 4 防火墙的安全问题 8 5 网络流程的安全问题 9 6 管理的安全问题 9 三三 证券交易所网站安全技术解决方案证券交易所网站安全技术解决方案 10 1 网络拓扑图 10 1 所添设备功能说明 10 一一 证证券券交交易易所所网网站站 的的现现状状 1 1 1 概概概述述述 保护证券交易所网站的投资和信息资源 拥有构思精良且有效的网络安 全策略是非常重要的 网络安全系统本身是个庞大 复杂的系统设计 因此 根 据客户现在和可预见的将来的应用需要来设计网络安全才是最可行的方法 太多 的安全策略会带来不必要的操作困难 而且如果没有太必要的需求 中科网威公 司将尽量使用简单 实用的方案 中科网威拥有为政府 银行 电信 证券等高 安全性 高可靠性行业安全设计的丰富经验 总之 中科网威公司设计安全系统 以安全为前提 以简单 实用为基础 目前 证券交易所网站的建构情况如下图 一所示 CHINANET 100M 托管服务器 SUN 3500 长信局 118K 交易所监控室 光华审计系统 PC WEBGUARD 系统 PC 监控机 1 PC 监控机 1 信息更新机 PC 1M Web 服务器 SUN 5000 交易所 Ftp 服务器 PC Mail 服务器 PC 防火墙 交易所内部网 内部 Web 服务器 1 1 1 服服服务务务器器器及及及网网网络络络设设设备备备的的的配配配置置置情情情况况况 1 网站 网站s 使用的操作系统为 Sun Solaris 5 6 Web Server 是 Netscape IPlant Server IP 地址为 101 111 1 1 别名为 设备为 SUN Enterprise3500 1 网站 网站 使用的操作系统为 Sun Solaris 5 6 使用的 Web Server 是 Netscape IPlant Server IP 地址为 101 101 61 119 别名为 设备为 SUN Enterprise5000 3 域名服务器 域名服务器s 使用的操作系统为 Sun Solaris 5 6 使用的域名服务器为 BIND IP 地址为 101 111 1 1 设备为 SUN Ultra 系列工作站 4 其他的服务器及网络设备的信息 其他的服务器及网络设备的信息 A101 111 1 5 B notes 101 111 1 108 C s 101 111 1 4 D vod 101 111 1 7 E101 111 1 3 F mail 101 111 1 3 G Cisco路由器 101 111 1 11 3 3 3 网网网络络络的的的工工工作作作流流流程程程描描描述述述 1 外部用户访问网站 外部用户访问网站 A 外部用户可以通过http方式浏览网站 其中一台web server为 IP地址为101 101 61 119 这台服务器托管在长信局 出 口的带宽为100M的Switch 当用户访问该台服务器时需要经过天融信的 防火墙 同时有光华审计软件对访问情况进行审计 正常方式 B 外部用户通过http方式访问的另外一台web server为s IP 地址为101 111 1 1 这台服务器放在证券交易所的内部 出口的带宽为1M 的DDN 当用户访问该服务器时需要通过Sun防火墙 同时外部用户还可 以通过ftp的方式访问ftp server 同时可以访问DNS Server及其他相关服 务器 外部用户对内部LAN的访问全部被CheckPoint防火墙所禁止 正常 方式 1 内部用户访问外部 内部用户访问外部 A 内部用户通过CheckPoint防火墙的地址转换功能 用一个合法的IP地址访 问及获取外部信息 正常方式 B 部分内部用户通过监控房的PC所具有的网关功能也可以访问及获取到外 部信息 非正常方式 3 监控机房的 监控机房的PC对网站的管理对网站的管理 A 根据图一所示监控机1通过专门得一根118K的专线对托管在长信局的Web Server进行远程管理 同时监控机1不能够访问内部的网络 正常方式 B 根据图一所示监控机1具有网关的功能 它能够与证交所内部进行数据交 换 同时也可以不通过防火墙直接连接到广域网 然后对放在证交所的 Web Server FTP Server DNS Server等服务器进行管理 非正常方式 4 4 4 当当当前前前网网网站站站访访访问问问的的的性性性能能能分分分析析析 A 网站的点击数 当前网站的日访问量小于1千人 天 当前连接数小于100 人 七月分及年底的日访问量可能有上万人次 当前连接数可能会超过 1000人 B CPU占用率 当前的访问情况下CPU占用率小于10 表明网站服务器 的负载能力还是很强的 C 访问页面的响应时间 据中科网威公司对交易所网站的测试主页的响应时 间小于8秒钟 符合国际标准 D 网页的类型 交易所网页主要以静态页面为主 部分的动态页面对一些相 关的信息进行搜索 二二 证证券券交交易易所所网网站站存存在在的的安安全全问问题题 1 1 1 网网网络络络测测测试试试的的的过过过程程程 1 网络测试结果数据取样点网络测试结果数据取样点 1 测试使用的工具测试使用的工具 A 中科网威公司火眼网络安全扫描系统 B axent scanner C iss 公司 internet scanner D nai 公司 cyber cop scanner 3 测试手段说明测试手段说明 A Http 服务器的安全 B Ftp服务器的安全 CHINANET 100M 托管服务器 SUN 3500 长信局 118K 交易所监控室 光华审计系统 PC WEBGUARD 系统 PC 监控机 1 PC 监控机 1 信息更新机 PC 1M Web 服务器 SUN 5000 交易所 Ftp 服务器 PC Mail 服务器 PC 防火墙 交易所内部网 内部 Web 服务器 防火墙外测试点 防火墙内测试点 C Sendmail邮件系统的安全 D Finger服务的安全 E X window系统管理的安全 F Dns服务的安全 G Rpc服务的安全 H X Window安全NFS文件服务安全 I NIS安全 J Proxy服务安全 K TFTP服务安全 L Tooltalk服务安全 M 服务端口设置安全 1 1 1 测测测试试试结结结果果果分分分析析析 经过中科网威公司的扫描及检测 得知交易所网站系统中存在许多安全漏洞 以下对这些漏洞中的主要严重性漏洞进行解释与说明 1 网站服务器系统本身的安全问题 网站服务器系统本身的安全问题 经过检测发现网络服务器存在以下几方面的安全漏洞 A Netscape 服务器的安全漏洞 B Ftp服务器的安全漏洞 C Sendmail邮件系统的安全漏洞 D Finger服务的安全漏洞 E X window系统管理的安全漏洞 F Dns服务的安全漏洞 G Rpc服务的安全漏洞 H X Window安全NFS文件服务安全漏洞 I TFTP服务安全漏洞 J Telnet服务的安全漏洞 详细漏洞描述 请参看资料 交易所网站安全分析与安全服务实施建议书 1 监控机系统本身存在的安全问题 监控机系统本身存在的安全问题 监控机使用的是 Windows NT 4 0 操作系统 补丁程序为 SP4 在该系统下 存在着以下安全问题 A NT操作系统本身的安全漏洞 B NT服务协议的安全漏洞 详细漏洞描述 请参看资料 交易所网站安全分析与安全服务实施建议书 3 路由器存在的安全问题 路由器存在的安全问题 因为交易所使用的是 Cisco 的路由器 经过中科网威公司的测试发现该路由 器存在以下安全问题 A Cisco CHAP PPP Vulnerability B Cisco IOS AAA Does Not Properly Authenticate Users C Cisco Vulnerable to Land Attack D Cisco IOS Remote Router Crash E Cisco IOS HTTP 拒绝服务漏洞 F IOS 软件 TELNET 环境变量处理漏洞 详细漏洞描述 请参看资料 交易所网站安全分析与安全服务实施建议书 4 防火墙的安全问题防火墙的安全问题 通过对防火墙的检测及配置的策略 发现防火墙存在以下安全问题 A 内部网络到 DMZ 服务器区域没有安全规则的设置 用户可以访问到服务 器的任何端口 B 漏洞名称 Checkpoint Firewall 1 内部地址泄露漏洞 C Checkpoint FW 1 的基本认证功能对于来自墙内 出站 和来自墙外 入 站 的身份认证未加任何超时设置和不成功认证次数限制 而更为严重的 问题是 可通过这个身份认证机制不需要输入口令就能猜测用户名 因为 当输入的用户名不存在时认证系统会提示错误 详细漏洞描述 请参看资料 交易所网站安全分析与安全服务实施建议书 5 网络流程的安全问题 网络流程的安全问题 A 外部用户可能能够访问到内部 LAN 从图一所示外部用户可以通过监控机 1 入侵到内部网络 造成严重不安全 因为监控机绑定有三个网卡 其中一个为合法地址 另外两个为内部私有地址 外部用户可以通过该合法地址连接到内部 B 监控机 1 的逻辑位置在 Sun 防火墙的外面 外部非法入侵者在不受到防火墙限制的的情况下可以通过该监控机对内部网 络进行无限制的访问 严重的导致整个内部的信息及系统的破坏 C 从监控机 1 管理通过广域网管理放在交易所的 Web Server DNS Server 和放在长信局托管的 Web Server 等服务器时 在传输过程中用户名及密码都没 有经过加密 很容易被恶意人员用 Sniffer 软件进行侦听 从而获取口令进入服务 器系统 或者可以获得重要资料 D 从内部访问放在交易所的 Web Server 没有进行任何限制 从交易所内部对万一有不满的员工想对网站进行破坏 可以说整个网站系统 对内没有做任何限制措施 不满员工很容易就能够把整个系统搞坏 E 没有在监控机上安装防病毒软件 因为监控机基于 Windows NT 的平台 所以很容易受病毒感染如果没有很好 的防范病毒的软件 很容易使整个系统感染病毒 6 管理的安全问题 管理的安全问题 A 没有根据国家规定的机房管理条例进行安全管理 B 应该在监控机上安装相应的加密 IC 卡 防止非网站管理人员对监控机进 行任意的操作 三三 证证券券交交易易所所网网站站安安全全技技术术解解决决方方案案 结合前期的工作基础和交易所目前的网站现状 经过分析 给出如下技术解 决方案 1 网络拓扑图网络拓扑图 2 所添设备功能说明所添设备功能说明 1 Web服服务务器器 配置方法 配置方法 在长信局的托管机房使用两台新配置的 Sun Server E410 来做 负载平衡及双机容错 把放在长信局内的 Sun E3500 拿到公司内部网站机房与原 来的 Web Server 一起来做负载平衡及双机容错并实时的为用户提供网站访问 当对外发布的某台 Web Server 出现非正常停机的情况 仍可以由负载平衡设备 把所有的客户请求转到正常的 Web Server 来保证网站的运行 并且我公司的值 班人员可以在最短的时间内查找出故障原因 让服务器在投入正常运行 1 IC加加密密卡卡 配置方法 配置方法 在监控机房的两台监控机上安装相应的加密 IC 卡 防止非网站管 理人员对监控机进行任意的操作 该加密 IC 卡只能配备给具有网站管理权的人员 IDS 入侵侦测系 统 Internet 交换机 防火墙 监控机 1 交换机 Web server Sun E410 Web server Sun E410 光华审计系统 Web Guard IDS 入侵侦测 系统 Sun 防火墙 Web App 1nd dns Server Sun E5000 DNS 服务器 负载均衡器 Check Point 防火墙 监控机 1 硬盘加密 卡 硬盘加密 卡 Cache 设备设备 Cache 设备设备 内部网 Quotation DB server Quotation DB server 负载均衡 器 Web App Server 预扩充 Oracle server Sun E3500 当他们需要对网站进行控制时 必须把自己的 IC 卡插入到监控机上 并且必须输 入相应的密码 才能够打开监控机的硬盘 否则根本无法进入监控平台 产品介绍 产品介绍 用于对硬盘进行加密 只有拥有 IC 卡身份认证密码的用户才能解 开硬盘 使用系统资源 该硬盘加密 IC 卡主要用于信息监控端微机的安全保障 以防止内部人员通过监控端对网站进行非法修改和破坏 3 负负载载平平衡衡设设备备 配置方法 配置方法 当有两台以上的电脑作镜像时 可以在网站服务器之前添加负载 平衡设备 提高网站的访问性能及提高网站的容错性 产品介绍 产品介绍 在通信高峰期间 流量分配器通过避免可能引起客户不满的错误 信息 让网站实现正常的运行 它能够平衡服务器群中所有服务器之间的通信负载 Local Director 根据实时相应时间进行判断 已实现真正的职能通信管理和最佳的 服务器群性能 流量分配器控制第四层到第七层的应用内容 从而对不同类型客 户或 URL 实现了优先级划分和差别服务 使用现有的第七层智能会话恢复技术 可监测出 HTTP400 500 和 600 系列的错误 从而使系统能够完成该交易 服务 器故障切换和多重冗余特性可以让通信绕过故障点 从而使网站始终保持运行和 可访问状态 4 网网络络防防病病毒毒系系统统 配置方法 配置方法 购买一套网络防病毒系统 用于病毒防护 产品介绍 产品介绍 采用全球多平台病毒解决方案 可用于检测和清除所有类型的病 毒 使整个发布平台的所有设备免于网络病毒的攻击和破坏 5 Web Cache 配置方法 配置方法 在网站服务器的前端添加一台 Web Cache 作为本地高速缓存 替代初始网站服务器 对请求相同对象的用户所提出的后续请求做出响应 它缓 解了 用户请求 与 初始 Web 服务器 之间在 Internet 路径上进行多次跳转的 情况 产品介绍 产品介绍 Cache 设备驻留于本地监视 Web 对象请求 然后加以析取 接着 存贮这些对象留作以后应用的专用网络高速缓存应用产品 它将所有必须的软件 和硬件以最佳的形式集成在标准的 1U 可扩展支架体系中 能有效减少由于 Internet 的通讯数据量过大而导致的带宽过载现象 能使现有任何一种普通 Web 服务器的容量增加十倍 使网络数据的传输速度出人意料 6 入入侵侵检检测测系系统统 配置方法 配置方法 在两个 Web 存放处 分别使用一套入侵检测软件 把入侵检测软 件安装在某台空余的电脑上 并且把它与交换机相连 产品介绍 产品介绍 网络入侵侦测系统是 Netpower 系列安全软件中一款基于专门 针对网络遭受黑客攻击行为而设计的产品 它以监测网络入侵功能为基础 集成 了在线网络入侵监测 入侵即时处理 即时报警 切断连接 暂停服务等 离线 入侵分析 入侵侦测查询 报告生成等多项功能的分布式计算机安全系统 不仅 能即时监控网络资源运行状况 为网络管理员及时提供网络入侵预警和防范 解 决方案 还使得黑客入侵有迹可寻 为用户采取进一步行动提供强有力的技术支 持 大大加强了对恶意黑客的威慑力量 此项产品由中科网威免费提供 7 添添加加Web Server的的内内存存 因为随着网站访问量的提高 为了不影响用户的访问速度 我们建议在Sun E5000这台Web Server上添加1G的内存 提高服务器的处理速度 8 在在Sun E5000这这台台Web Server上上增增加加1nd Dns Server 为了防止dns server出现故障时 不能提供正常的域名解析 我们建议在Sun E5000这台Web Server上配置1nd dns server 提供域名解析的容错功能 几几点点说说明明 防火墙系统可保留现有防火墙系统 即 长信局网段采用天融信防火墙 对外发布网段采用 Sun Firewall 1 和 Checkpoint 防火墙 审计系统仍使用光华审计系统 保留 Web Guard 软件 各种扫描工具 安全服务工具 各类设备和软件的安全配置等工作由我方 提供 3 本方案所需产品列表 本方案所需产品列表 单位 人民 币 项 目 产品名称公开报价折扣 off 采购单价 1 Sun E410 Server Server Base internal Sun CD tm 31 one Power 芯片 450MHZ Ultra SPARC II CPU X 1 内存 1G 硬盘 18 1GB HDD 10000 转 X 1 包括 鼠标 键盘 磁带机 11 14GB 4mm DDS 4 in a uniPack Desktop enclosure 系统 Solaris 8 Standard 503 540 详见附表 180 108 1 ALTEON 700106 ACE director layer 4 Switchs 端口 10BASE T 100BASE TX 1000BASE SX 端口 全双工千兆位以太网 SC 光纤间接 RS 131C 控制台 DB 9 串行连接 DCE 阴性 界面的带外管理 399 76050 199 880 3 Sun E5000 MEORY X7013A 1G 1Gbyte Memory Expansion 8 X 118MB memory modules 187 00064 67 310 4 PIONEX WebXL 3000 Cache Request 150 内存 150MB 硬盘 1 个 10GB 接口 3 个 10 100Mbps 以太网口 机架 1U 机架 78 88810 63 110 5 IBM 300GL 台式机 芯片 PIII 733 内存 64M 硬盘 10GB HDD 光驱 40 速 显示器 17 网卡 10 100 M 自适应 包括 鼠标 键盘 10 300N A9 800 注 Netpower 网络入侵侦测系统 免费免费免费 6 CE Infosys EIKEY PCI IC 加密卡 硬件 Eikey PCI Ind Ext SmartCard Reader SmarCard 软件 IP Crypt 9X for EIkey 8 35430 5 848 7 IPlanet Web Server Enterprise Edtion v4 0 1CPU License Media and Hardcopy Doc for NT Solaris Global 56 Bit Simplified Chinese 35 75060 14300 8 GVI 全球多平台病毒防护 熊猫卫士网络版1850030 11 788 注 以上软硬件产品均包含一年一年的免费升级和技术支持服务 其中第二项提供两年的免费维护服务 Item Product Number DescriptionQty Unit List Price Disc Unit Net Price Extended Net Price 1 0E42022 28 80 02 20 08 85 56 60 04 41 16 6 1 1A33 AA Enterprise 420R Server Base Configuration one power supply 32x CDROM Solaris server license 124205564 off87139 887139 8 1 21195AUltraSPARC II 450MHz processor module with 4MB cache for Sun Enterpri