版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
1、2 / 15一证券交易所的现状一证券交易所的现状 3 31 .概述 31.服务器与网络设备的配置情况 41)s-41)43)域名服务器 s-44)其他的服务器与网络设备的信息:43.网络的工作流程描述 41)外部用户访问 41)部用户访问外部 53)监控机房的 PC 对的管理 54.当前访问的性能分析 5二证券交易所存在的安全问题二证券交易所存在的安全问题 6 61.网络测试的过程 61)网络测试结果数据取样点 61)测试使用的工具 63)测试手段说明61.测试结果分析71)服务器系统本身的安全问题71)监控机系统本身存在的安全问题83)路由器存在的安全问题84)防火墙的安全问题85)网络流程
2、的安全问题 96)管理的安全问题 9三证券交易所安全技术解决方案三证券交易所安全技术解决方案 10101、网络拓扑图 101、所添设备功能说明 103 / 15一一 证证券券交交易易所所的的现现状状1 1 1 . . .概概概述述述 保护证券交易所的投资和信息资源,拥有构思精良且有效的网络安全策略是非常重要的。网络安全系统本身是个庞大、复杂的系统设计。因此,根据客户现在和可预见的将来的应用需要来设计网络安全才是最可行的方法。太多的安全策略会带来不必要的操作困难,而且如果没有太必要的需求,中科网威公司将尽量使用简单,实用的方案。中科网威拥有为政府、银行,电信,证券等高安全性,高可靠性行业安全设计
3、的丰富经验。总之,中科网威公司设计安全系统以安全为前提,以简单,实用为基础。目前,证券交易所的建构情况如下图一所示:CHINANET100M托管服务器(SUN 3500)长信局118K交易所监控室光华审计系统(PC)WEBGUARD 系统(PC)监控机 1(PC)监控机 1信息更新机(PC)1MWeb 服务器(SUN 5000)交易所Ftp 服务器(PC)Mail 服务器(PC)防火墙交易所内部网内部 Web 服务器4 / 151 1 1. . .服服服务务务器器器与与与网网网络络络设设设备备备的的的配配配置置置情情情况况况1 1)s-s-使用的操作系统为 Sun Solaris 5.6; W
4、eb Server 是 Netscape IPlant Server;IP 地址为 ;别名为 ;设备为 SUN Enterprise3500。1 1)使用的操作系统为 Sun Solaris 5.6;使用的 Web Server 是 Netscape IPlant Server;IP 地址为 19;别名为 ;设备为 SUN Enterprise5000。3 3)域名服务器)域名服务器s-s-使用的操作系统为 Sun Solaris 5.6;使用的域名服务器为 BIND;IP 地址为;设备为 SUNUltra 系列工作站。4 4
5、)其他的服务器与网络设备的信息:)其他的服务器与网络设备的信息:A. B. notes-08C. s-D. vod-E. F. mail-G. Cisco路由器 13 3 3. . .网网网络络络的的的工工工作作作流流流程程程描描描述述述1 1)外部用户访问)外部用户访问A. 外部用户可以通过 方式浏览,其中一台web server为, IP地址为19。这台服务器托管在长信局,出口的带宽为100M的5 / 15Swit
6、ch。当用户访问该台服务器时需要经过天融信的防火墙,同时有光华审计软件对访问情况进行审计(正常方式)。B. 外部用户通过 方式访问的另外一台web server为s-,IP地址为.这台服务器放在证券交易所的部,出口的带宽为1M的DDN。当用户访问该服务器时需要通过Sun防火墙。同时外部用户还可以通过ftp的方式访问ftp server;同时可以访问DNS Server与其他相关服务器;外部用户对部LAN的访问全部被CheckPoint防火墙所禁止(正常方式)。1 1)部用户访问外部)部用户访问外部A. 部用户通过CheckPoint防火墙的地址转换功能,用一个合法的IP地
7、址访问与获取外部信息(正常方式)。B. 部分部用户通过监控房的PC所具有的网关功能也可以访问与获取到外部信息(非正常方式)。3 3)监控机房的)监控机房的PCPC对的管理对的管理A. 根据图一所示监控机1通过专门得一根118K的专线对托管在长信局的Web Server进行远程管理;同时监控机1不能够访问部的网络(正常方式)。B. 根据图一所示监控机1具有网关的功能,它能够与证交所部进行数据交换,同时也可以不通过防火墙直接连接到广域网,然后对放在证交所的Web Server, FTP Server, DNS Server等服务器进行管理(非正常方式)。4 4 4. . .当当当前前前访访访问问问
8、的的的性性性能能能分分分析析析A. 的点击数:当前的日访问量小于1千人/天,当前连接数小于100人,七月分与年底的日访问量可能有上万人次,当前连接数可能会超过1000人。B. CPU占用率:当前的访问情况下CPU占用率小于10%,表明服务器的负载能力还是很强的。C. 访问页面的响应时间:据中科网威公司对交易所的测试主页的响应时间小于8秒钟,符合国际标准。D. 网页的类型:交易所网页主要以静态页面为主,部分的动态页面对一些相关的信息进行搜索。6 / 15二二 证证券券交交易易所所存存在在的的安安全全问问题题1 1 1. . .网网网络络络测测测试试试的的的过过过程程程1)1)网络测试结果数据取样
9、点网络测试结果数据取样点1)1)测试使用的工具测试使用的工具A.中科网威公司火眼网络安全扫描系统B.axent scanner C. iss 公司 internet scannerD. nai 公司 cyber cop scanner 3)3)测试手段说明测试手段说明A. 服务器的安全B. Ftp服务器的安全CHINANET100M托管服务器(SUN 3500)长信局118K交易所监控室光华审计系统(PC)WEBGUARD 系统(PC)监控机 1(PC)监控机 1信息更新机(PC)1MWeb 服务器(SUN 5000)交易所Ftp 服务器(PC)Mail 服务器(PC)防火墙交易所内部网内部
10、Web 服务器防火墙外测试点防火墙内测试点7 / 15C. Sendmail系统的安全D. Finger服务的安全E. X window系统管理的安全F. Dns服务的安全G. Rpc服务的安全H. X Window安全NFS文件服务安全I. NIS安全J. Proxy服务安全K. TFTP服务安全L. Tooltalk服务安全M. 服务端口设置安全1 1 1. . .测测测试试试结结结果果果分分分析析析经过中科网威公司的扫描与检测,得知交易所系统中存在许多安全漏洞,以下对这些漏洞中的主要严重性漏洞进行解释与说明。1 1)服务器系统本身的安全问题)服务器系统本身的安全问题经过检测发现网络服务器
11、存在以下几方面的安全漏洞:A. Netscape 服务器的安全漏洞B. Ftp服务器的安全漏洞C. Sendmail系统的安全漏洞D. Finger服务的安全漏洞E. X window系统管理的安全漏洞F. Dns服务的安全漏洞G. Rpc服务的安全漏洞H. X Window安全NFS文件服务安全漏洞I. TFTP服务安全漏洞J. Telnet服务的安全漏洞详细漏洞描述,请参看资料交易所安全分析与安全服务实施建议书 。8 / 151 1)监控机系统本身存在的安全问题)监控机系统本身存在的安全问题监控机使用的是 Windows NT 4.0 操作系统,补丁程序为 SP4,在该系统下存在着以下安全
12、问题:A. NT操作系统本身的安全漏洞B. NT服务协议的安全漏洞详细漏洞描述,请参看资料交易所安全分析与安全服务实施建议书 。3 3)路由器存在的安全问题)路由器存在的安全问题因为交易所使用的是 Cisco 的路由器,经过中科网威公司的测试发现该路由器存在以下安全问题:A. Cisco CHAP/PPP VulnerabilityB. Cisco IOS AAA Does Not Properly Authenticate UsersC. Cisco Vulnerable to Land AttackD. Cisco IOS Remote Router CrashE. ”Cisco IOS
13、% 拒绝服务漏洞”F. ”IOS 软件 TELNET 环境变量处理漏洞”详细漏洞描述,请参看资料交易所安全分析与安全服务实施建议书 。 4)4)防火墙的安全问题防火墙的安全问题通过对防火墙的检测与配置的策略,发现防火墙存在以下安全问题:A. 部网络到 DMZ 服务器区域没有安全规则的设置,用户可以访问到服务器的任何端口。B. 漏洞名称:Checkpoint Firewall-1 部地址泄露漏洞C. Checkpoint FW-1 的基本认证功能对于来自墙(出站)和来自墙外(入站)的身份认证未加任何超时设置和不成功认证次数限制。而更为严重的问题是,可通过这个身份认证机制不需要输入口令就能猜测用户
14、名,因为当输入的用户名不存在时认证系统会提示错误。9 / 15详细漏洞描述,请参看资料交易所安全分析与安全服务实施建议书 。5 5)网络流程的安全问题)网络流程的安全问题A、外部用户可能能够访问到部 LAN:从图一所示外部用户可以通过监控机 1 入侵到部网络,造成严重不安全,因为监控机绑定有三个网卡,其中一个为合法地址,另外两个为部私有地址,外部用户可以通过该合法地址连接到部。B、监控机 1 的逻辑位置在 Sun 防火墙的外面:外部非法入侵者在不受到防火墙限制的的情况下可以通过该监控机对部网络进行无限制的访问,严重的导致整个部的信息与系统的破坏。C、从监控机 1 管理通过广域网管理放在交易所的
15、 Web Server、DNS Server和放在长信局托管的 Web Server 等服务器时,在传输过程中用户名与密码都没有经过加密,很容易被恶意人员用 Sniffer 软件进行侦听,从而获取口令进入服务器系统;或者可以获得重要资料。D、从部访问放在交易所的 Web Server 没有进行任何限制:从交易所部对万一有不满的员工想对进行破坏,可以说整个系统对没有做任何限制措施,不满员工很容易就能够把整个系统搞坏。E、没有在监控机上安装防病毒软件:因为监控机基于 Windows NT 的平台,所以很容易受病毒感染如果没有很好的防病毒的软件,很容易使整个系统感染病毒。6 6)管理的安全问题)管理
16、的安全问题A、没有根据国家规定的机房管理条例进行安全管理。B、应该在监控机上安装相应的加密 IC 卡,防止非管理人员对监控机进行任意的操作。10 / 15三三 证证券券交交易易所所安安全全技技术术解解决决方方案案结合前期的工作基础和交易所目前的现状,经过分析,给出如下技术解决方案:1 1、网络拓扑图网络拓扑图2 2、所添设备功能说明所添设备功能说明1 1) )W We eb b服服务务器器配置方法:配置方法:在长信局的托管机房使用两台新配置的 Sun Server(E410)来做负载平衡与双机容错,把放在长信局的 Sun E3500 拿到公司部机房与原来的 Web Server 一起来做负载平
17、衡与双机容错并实时的为用户提供访问。当对外发布的某台 Web Server 出现非正常停机的情况,仍可以由负载平衡设备把所有的客户请求转到正常的 Web Server 来保证的运行。并且我公司的值班人员可以在最短的时间查找出故障原因,让服务器在投入正常运行。 1 1)I IC C加加密密卡卡配置方法:配置方法:在监控机房的两台监控机上安装相应的加密 IC 卡,防止非管理人员对监控机进行任意的操作。该加密 IC 卡只能配备给具有管理权的人员,当他们IDS 入侵侦测系统Internet交换机防火墙监控机1交换机Web serverSun E410Web serverSun E410光华审计系统We
18、b GuardIDS 入侵侦测系统Sun 防火墙Web &,App&1nd dns ServerSun E5000 DNS 服务器 负载均衡器Check Point防火墙监控机1硬盘加密卡硬盘加密卡 Cache 设备设备Cache 设备设备内部网QuotationDB server QuotationDB server 负载均衡器Web&App Server (预扩充)Oracle serverSun E350011 / 15需要对进行控制时,必须把自己的 IC 卡插入到监控机上,并且必须输入相应的密码,才能够打开监控机的硬盘,否则根本无法进入监控平台。产品介绍:产品介
19、绍:用于对硬盘进行加密,只有拥有 IC 卡身份认证密码的用户才能解开硬盘,使用系统资源。该硬盘加密 IC 卡主要用于信息监控端微机的安全保障,以防止部人员通过监控端对进行非法修改和破坏。3 3)负负载载平平衡衡设设备备配置方法:配置方法:当有两台以上的电脑作镜像时,可以在服务器之前添加负载平衡设备,提高的访问性能与提高的容错性。产品介绍:产品介绍:在通信高峰期间,流量分配器通过避免可能引起客户不满的错误信息,让实现正常的运行.它能够平衡服务器群中所有服务器之间的通信负载.Local Director 根据实时相应时间进行判断,已实现真正的职能通信管理和最佳的服务器群性能。流量分配器控制第四层到
20、第七层的应用容,从而对不同类型客户或 URL 实现了优先级划分和差别服务。使用现有的第七层智能会话恢复技术,可监测出 400,500 和 600 系列的错误,从而使系统能够完成该交易.服务器故障切换和多重冗余特性可以让通信绕过故障点,从而使始终保持运行和可访问状态。4 4)网网络络防防病病毒毒系系统统配置方法:配置方法:购买一套网络防病毒系统,用于病毒防护。产品介绍:产品介绍:采用全球多平台病毒解决方案,可用于检测和清除所有类型的病毒。使整个发布平台的所有设备免于网络病毒的攻击和破坏。5 5)W We eb b C Ca ac ch he e配置方法:配置方法:在服务器的前端添加一台 Web
21、Cache,作为本地高速缓存,替代初始服务器,对请求一样对象的用户所提出的后续请求做出响应,它缓解了“用户请求”与“初始 Web 服务器”之间在 Internet 路径上进行多次跳转的情况。产品介绍:产品介绍:Cache 设备驻留于本地监视 Web 对象请求,然后加以析取,接着存贮这些对象留作以后应用的专用网络高速缓存应用产品。它将所有必须的软件和12 / 15硬件以最佳的形式集成在标准的 1U 可扩展支架体系中,能有效减少由于Internet 的通讯数据量过大而导致的带宽过载现象,能使现有任何一种普通 Web服务器的容量增加十倍,使网络数据的传输速度出人意料。6 6) )入入侵侵检检测测系系
22、统统配置方法:配置方法:在两个 Web 存放处,分别使用一套入侵检测软件。把入侵检测软件安装在某台空余的电脑上,并且把它与交换机相连。产品介绍:产品介绍:网络入侵侦测系统是 Netpower 系列安全软件中一款基于专门针对网络遭受黑客攻击行为而设计的产品。它以监测网络入侵功能为基础,集成了在线网络入侵监测、入侵即时处理(即时报警、切断连接、暂停服务等) 、离线入侵分析、入侵侦测查询、报告生成等多项功能的分布式计算机安全系统,不仅能即时监控网络资源运行状况,为网络管理员与时提供网络入侵预警和防、解决方案,还使得黑客入侵有迹可寻,为用户采取进一步行动提供强有力的技术支持,大大加强了对恶意黑客的威慑
23、力量。(此项产品由中科网威免费提供)7 7) )添添加加W We eb b S Se er rv ve er r的的存存 因为随着访问量的提高,为了不影响用户的访问速度,我们建议在Sun E5000这台Web Server上添加1G的存,提高服务器的处理速度。8 8) )在在S Su un n E E5 50 00 00 0这这台台W We eb b S Se er rv ve er r上上增增加加1 1n nd d D Dn ns s S Se er rv ve er r为了防止dns server出现故障时,不能提供正常的域名解析,我们建议在Sun E5000这台Web Server上配置
24、1nd dns server,提供域名解析的容错功能。几几点点说说明明:防火墙系统可保留现有防火墙系统,即:长信局网段采用天融信防火墙、对外发布网段采用 Sun Firewall-1 和 Checkpoint 防火墙。审计系统仍使用光华审计系统,保留 Web Guard 软件。各种扫描工具,安全服务工具、各类设备和软件的安全配置等工作由我方提供。3 3、本方案所需产品列表、本方案所需产品列表 单位:人民币13 / 15项目产品名称公开报价折扣(off)采购单价1.Sun E410 ServerServer Base, internalSun CD (tm) 31, one Power芯片:45
25、0MHZ Ultra SPARC- II CPU X 1存:1G硬盘:18.1GB HDD(10000 转) X 1包括:鼠标,键盘磁带机:11-14GB 4mm DDS-4 in a uniPack Desktop enclosure系统: Solaris 8 Standard503,540详见附表180,1081.ALTEON 700106 ACE director layer 4 Switchs端口:10BASE-T/100BASE-TX1000BASE-SX 端口:全双工千兆位以太网 SC 光纤间接RS-131C 控制台:DB-9 串行连接、DCE 阴性界面的带外管理399,76050
26、%199,8803.Sun E5000 MEORY X7013A 1G 1Gbyte Memory Expansion (8 X 118MB memory modules )187,00064%67,3104.PIONEXWebXL 3000 CacheRequest 150存:150MB硬盘:1 个 10GB 接口:3 个 10/100Mbps 以太网口机架:1U 机架78,88810%63,1105.IBM 300GL 台式机芯片:PIII 733存:64M硬盘:10GB HDD光驱:40 速显示器:17”网卡:10/100 M 自适应包括:鼠标,键盘10,300N/A9,800注:Net
27、power网络入侵侦测系统免费免费免费6.CE Infosys EIKEY PCI IC 加密卡硬件:Eikey PCIInd. Ext. SmartCard Reader & SmarCard软件:IP-Crypt 9X for EIkey8,35430%5,8487.IPlanet Web Server, Enterprise Edtion, v4.0, 1CPU License, Media and Hardcopy Doc for NT/Solaris,Global(56 Bit),Simplified Chinese35,75060%143008.GVI (全球多平台病毒防护
28、)熊猫卫士网络版1850030%11,78814 / 15注:以上软硬件产品均包含一年一年的免费升级和技术支持服务,其中第二项提供两年的免费维护服务。15 / 15ItemProductNumberDescriptionQtyUnit ListPriceDiscUnit NetPriceExtended NetPrice1.0E42022 28 80 02 20 08 85 56 60 04 41 16 61.1A33-AA Enterprise 420R ServerBase Configuration, onepower supply, 32xCDROM, Solaris serverlicense124205564%off87139.887139.81.21195AUltraSPARC-II450MHz processormodule with 4MB cachefo
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 家具销售的工作总结15篇
- 蔬菜专门零售企业ESG实践与创新战略分析报告
- 防校园欺凌安全主题教育课
- 2026.07.10水溶肥立柱式码垛机器人
- 对换宅基地协议书
- 2026大运会相关面试题及答案
- 2026党校管理岗面试题及答案
- 物流科技行业物流工程师技术创新能力绩效考核表
- 银行行业智能化客户服务与风险防控方案
- 客户服务热线升级优化通知函8篇
- 2026年广西中考语文试卷(含答案)
- 2024年高考政治试卷(贵州)(解析卷)
- 职业教育政策题目及答案
- 2026年新编党支部书记应知应会测试试卷(带答案)
- 2026年输血技师副高考试试题及答案解析
- 2026 第六届“四川工匠杯”职业技能大赛 餐厅服务赛项 理论考试参考题库 含答案
- GB/T 27664.1-2026无损检测仪器超声检测设备的性能与检验第1部分:仪器
- 2026年软件人天合同(1篇)
- API 6D 管线阀门规范培训课件
- 2026年常州中考试卷试题及答案
- 大学生入厂培训课件厂史
评论
0/150
提交评论