交易所网站安全技术解决方案

1、TOC o 1-3一 证券交易所网站的现状 PAGEREF _Toc497747364 h 31 .概述 PAGEREF _Toc497747365 h 31.服务器及网网络设备的配配置情况 PAGEREF _Toc497747366 h 41）网站.ccn PAGEREF _Toc497747367 h 41）网站n PAGEREF _Toc497747368 h 43）域名服务器器 PAGEREF _Toc497747369 h 44）其他的服务务器及网络设设备的信息： PAGEREF _Toc497747370 h 43.网络的工作作流程描述 PAGEREF _Toc497747371

2、h 41）外部用户访访问网站 PAGEREF _Toc497747372 h 41）内部用户访访问外部 PAGEREF _Toc497747373 h 53）监控机房的的PC对网站的的管理 PAGEREF _Toc497747374 h 54.当前网站访访问的性能分分析 PAGEREF _Toc497747375 h 5二 证券交易易所网站存在在的安全问题题 PAGEREF _Toc497747376 h 61.网络测试的的过程 PAGEREF _Toc497747377 h 61)网络测试结结果数据取样样点 PAGEREF _Toc497747378 h 61)测试使用的的工具 PAGERE

3、F _Toc497747379 h 63)测试手段说说明 PAGEREF _Toc497747380 h 61.测试结果分分析 PAGEREF _Toc497747381 h 71）网站服务器器系统本身的的安全问题 PAGEREF _Toc497747382 h 71）监控机系统统本身存在的的安全问题 PAGEREF _Toc497747383 h 83）路由器存在在的安全问题题 PAGEREF _Toc497747384 h 84)防火墙的安安全问题 PAGEREF _Toc497747385 h 85）网络流程的的安全问题 PAGEREF _Toc497747386 h 96）管理的安全全

4、问题 PAGEREF _Toc497747387 h 9三 证券交易易所网站安全全技术解决方方案 PAGEREF _Toc497747388 h 101、网络拓扑扑图 PAGEREF _Toc497747389 h 101、所添设备备功能说明 PAGEREF _Toc497747390 h 10 易现 保护证证券交易所网网站的投资和和信息资源，拥拥有构思精良良且有效的网网络安全策略略是非常重要要的。网络安安全系统本身身是个庞大、复复杂的系统设设计。因此，根根据客户现在在和可预见的的将来的应用用需要来设计计网络安全才才是最可行的的方法。太多多的安全策略略会带来不必必要的操作困困难，而且如如果没有

5、太必必要的需求，中中科网威公司司将尽量使用用简单，实用用的方案。中中科网威拥有有为政府、银银行，电信，证证券等高安全全性，高可靠靠性行业安全全设计的丰富富经验。总之之，中科网威威公司设计安安全系统以安安全为前提，以以简单，实用用为基础。目目前，证券交交易所网站的的建构情况如如下图一所示示：CHINANETCHINANET100M托管服务器（SUN 3500）长信局118K交易所监控室光华审计系统（PC）WEBGUARD系统（PC）监控机1（PC）监控机1信息更新机（PC）1MWeb服务器（SUN 5000）交易所Ftp 服务器（PC）Mail 服务器（PC）防火墙交易所内部网内部Web服务器网

6、配1）网站.ccn使用的操作系统统为Sun Solarris 5.6； Weeb Serrver是NNetscaape IPPlant Serveer；IP地地址为10；别别名为n；设备为SSUN Ennterprrise35500。1）网站n使用的操作系统统为Sun Solarris 5.6；使用的的Web SServerr是Netsscape IPlannt Serrver；IIP地址为1101.1001.61.119；别别名为；设备为SUUN Entterpriise5000。3）域名服务器器使用的操作系统统为Sun Solarris 5.6；使用的的域名服务器器为B

7、INDD；IP地址址为；设备备为SUN Ultraa系列工作站站。4）其他的服务务器及网络设设备的信息：.ccn101.1111.1.5.ccn101.1111.1.108101.1111.1.4101.1111.1.7n101.1111.1.3n101.1111.1.3Cisco路由由器 1101.1111.1.111作1）外部用户访访问网站外部用户可以通通过httpp方式浏览网网站，其中一一台web serveer为n, IP地地址为10119。这台服服务器托管在在长信局，出出口的带宽为为100M的的Switcch。当用户户访问该台服服务器时需

8、要要经过天融信信的防火墙，同同时有光华审审计软件对访访问情况进行行审计（正常常方式）。外部用户通过hhttp方式式访问的另外外一台webb servver为,IP地址为为101.1111.1.1.这台服服务器放在证证券交易所的的内部，出口口的带宽为11M的DDNN。当用户访访问该服务器器时需要通过过Sun防火火墙。同时外外部用户还可可以通过fttp的方式访访问ftp serveer；同时可可以访问DNNS Serrver及其其他相关服务务器；外部用用户对内部LLAN的访问问全部被ChheckPooint防火火墙所禁止（正正常方式）。1）内部用户访访问外部内部用户通过CCheckPPoint防防

9、火墙的地址址转换功能，用用一个合法的的IP地址访访问及获取外外部信息（正正常方式）。部分内部用户通通过监控房的的PC所具有有的网关功能能也可以访问问及获取到外外部信息（非非正常方式）。3）监控机房的的PC对网站站的管理根据图一所示监监控机1通过过专门得一根根118K的的专线对托管管在长信局的的Web SServerr进行远程管管理；同时监监控机1不能能够访问内部部的网络（正正常方式）。根据图一所示监监控机1具有有网关的功能能，它能够与与证交所内部部进行数据交交换，同时也也可以不通过过防火墙直接接连接到广域域网，然后对对放在证交所所的Web Serveer, FTTP Serrver, DNS

10、SServerr等服务器进进行管理（非非正常方式）。访分网站的点击数：当前网站的的日访问量小小于1千人/天，当前连连接数小于1100人，七七月分及年底底的日访问量量可能有上万万人次，当前前连接数可能能会超过10000人。CPU占用率：当前的访问问情况下CPPU占用率小小于10%，表表明网站服务务器的负载能能力还是很强强的。访问页面的响应应时间：据中中科网威公司司对交易所网网站的测试主主页的响应时时间小于8秒秒钟，符合国国际标准。网页的类型：交交易所网页主主要以静态页页面为主，部部分的动态页页面对一些相相关的信息进进行搜索。易在题的防火墙内测试点防火墙外测试点CHINANET100M托管服务器（

11、SUN 3500）长信局118K交易所监控室光华审计系统（PC）WEBGUARD系统（PC）防火墙内测试点防火墙外测试点CHINANET100M托管服务器（SUN 3500）长信局118K交易所监控室光华审计系统（PC）WEBGUARD系统（PC）监控机1（PC）监控机1信息更新机（PC）1MWeb服务器（SUN 5000）交易所Ftp 服务器（PC）Mail 服务器（PC）防火墙交易所内部网内部Web服务器1)测试使用的的工具中科网威公司火火眼网络安全全扫描系统axent sscanneer iss 公司 interrnet sscanneernai 公司 cyberr cop scannn

12、er 3)测试手段说说明Http 服务务器的安全Ftp服务器的的安全Sendmaiil邮件系统统的安全Finger服服务的安全X windoow系统管理理的安全Dns服务的安安全Rpc服务的安安全X Windoow安全NFFS文件服务务安全NIS安全Proxy服务务安全TFTP服务安安全Tooltallk服务安全全服务端口设置安安全分经过中科网威公公司的扫描及及检测，得知知交易所网站站系统中存在在许多安全漏漏洞，以下对对这些漏洞中中的主要严重重性漏洞进行行解释与说明明。1）网站服务器器系统本身的的安全问题经过检测发现网网络服务器存存在以下几方方面的安全漏漏洞：Netscappe 服务器器的安全

13、漏洞洞Ftp服务器的的安全漏洞Sendmaiil邮件系统统的安全漏洞洞Finger服服务的安全漏漏洞X windoow系统管理理的安全漏洞洞Dns服务的安安全漏洞Rpc服务的安安全漏洞X Windoow安全NFS文件服务务安全漏洞TFTP服务安安全漏洞Telnet服服务的安全漏漏洞详细漏洞描述，请请参看资料交交易所网站安安全分析与安安全服务实施施建议书。1）监控机系统统本身存在的的安全问题监控机使用的是是Windoows NTT 4.0操操作系统，补补丁程序为SSP4，在该该系统下存在在着以下安全全问题：NT操作系统本本身的安全漏漏洞NT服务协议的的安全漏洞详细漏洞描述，请请参看资料交交易所网

14、站安安全分析与安安全服务实施施建议书。3）路由器存在在的安全问题题因为交易所使用用的是Cissco的路由由器，经过中中科网威公司司的测试发现现该路由器存存在以下安全全问题：Cisco CHAP/PPP VVulnerrabiliityCisco IOS AAAA Dooes Noot Prooperlyy Authhenticcate UUsersCisco Vulneerablee to LLand AAttackkCisco IOS RRemotee Routter Crrash”Cisco IOS HHTTP % 拒绝服服务漏洞”IOS 软件件TELNEET环境变量量处理漏洞”详细漏洞描

15、述，请请参看资料交交易所网站安安全分析与安安全服务实施施建议书。 4)防火墙的安安全问题通过对防火墙的的检测及配置置的策略，发发现防火墙存存在以下安全全问题：内部网络到DMMZ 服务器器区域没有安安全规则的设设置，用户可可以访问到服服务器的任何何端口。漏洞名称：Chheckpooint FFirewaall-1 内部地址泄泄露漏洞Checkpooint FFW-1的基基本认证功能能对于来自墙墙内（出站）和和来自墙外（入入站）的身份份认证未加任任何超时设置置和不成功认认证次数限制制。而更为严严重的问题是是，可通过这这个身份认证证机制不需要要输入口令就就能猜测用户户名，因为当当输入的用户户名不存在

16、时时认证系统会会提示错误。详细漏洞描述，请请参看资料交交易所网站安安全分析与安安全服务实施施建议书。5）网络流程的的安全问题A、外部用户可可能能够访问问到内部LAAN:从图一所示外部部用户可以通通过监控机11入侵到内部部网络，造成成严重不安全全，因为监控控机绑定有三三个网卡，其其中一个为合合法地址，另另外两个为内内部私有地址址，外部用户户可以通过该该合法地址连连接到内部。B、监控机1的的逻辑位置在在Sun防火火墙的外面：外部非法入侵者者在不受到防防火墙限制的的的情况下可可以通过该监监控机对内部部网络进行无无限制的访问问，严重的导导致整个内部部的信息及系系统的破坏。C、从监控机11管理通过广广域

17、网管理放放在交易所的的Web SServerr、DNS Serveer和放在长长信局托管的的Web SServerr等服务器时时，在传输过过程中用户名名及密码都没没有经过加密密，很容易被被恶意人员用用Snifffer软件进进行侦听，从从而获取口令令进入服务器器系统；或者者可以获得重重要资料。D、从内部访问问放在交易所所的Web Serveer没有进行行任何限制：从交易所内部对对万一有不满满的员工想对对网站进行破破坏，可以说说整个网站系系统对内没有有做任何限制制措施，不满满员工很容易易就能够把整整个系统搞坏坏。E、没有在监控控机上安装防防病毒软件：因为监控机基于于Windoows NTT的平台，

18、所所以很容易受受病毒感染如如果没有很好好的防范病毒毒的软件，很很容易使整个个系统感染病病毒。6）管理的安全全问题A、没有根据国国家规定的机机房管理条例例进行安全管管理。B、应该在监控控机上安装相相应的加密IIC卡，防止止非网站管理理人员对监控控机进行任意意的操作。易全方结合前期的工作作基础和交易易所目前的网网站现状，经经过分析，给给出如下技术术解决方案：Internet网络拓扑图InternetSun 防火墙IDS入侵侦测系统Sun 防火墙IDS入侵侦测系统Cache 设备 Cache设备防火墙交换机Cache 设备 Cache设备防火墙交换机Web Guard光华审计系统交换机Web Gua

19、rd光华审计系统交换机负载均衡器IDS入侵侦测系统负载均衡器IDS入侵侦测系统负载均衡器QuotationDB server QuotationDB server负载均衡器QuotationDB server QuotationDB serverDNS服务器DNS服务器Oracle serverSun E3500Web&App Oracle serverSun E3500Web&App Server (预扩充)Web &,App&1nd dns ServerSun E5000 Web serverSun E410Web serverSun E410Check Point防火墙Check Poi

20、nt防火墙硬盘加密卡硬盘加密卡硬盘加密卡硬盘加密卡内部网监控机1监控机1内部网监控机1监控机1所添设备功能说说明务配置方法：在长长信局的托管管机房使用两两台新配置的的Sun SServerr（E4100）来做负载载平衡及双机机容错，把放放在长信局内内的Sun E35000拿到公司内内部网站机房房与原来的WWeb Seerver一一起来做负载载平衡及双机机容错并实时时的为用户提提供网站访问问。当对外发发布的某台WWeb Seerver出出现非正常停停机的情况，仍仍可以由负载载平衡设备把把所有的客户户请求转到正正常的Webb Servver来保证证网站的运行行。并且我公公司的值班人人员可以在最最短

21、的时间内内查找出故障障原因，让服服务器在投入入正常运行。 卡配置方法：在监监控机房的两两台监控机上上安装相应的的加密IC卡卡，防止非网网站管理人员员对监控机进进行任意的操操作。该加密密IC卡只能能配备给具有有网站管理权权的人员，当当他们需要对对网站进行控控制时，必须须把自己的IIC卡插入到到监控机上，并并且必须输入入相应的密码码，才能够打打开监控机的的硬盘，否则则根本无法进进入监控平台台。产品介绍：用于于对硬盘进行行加密，只有有拥有IC卡身份认认证密码的用用户才能解开开硬盘，使用用系统资源。该该硬盘加密IIC卡主要用用于信息监控控端微机的安安全保障，以以防止内部人人员通过监控控端对网站进进行非

22、法修改改和破坏。设配置方法：当有有两台以上的的电脑作镜像像时，可以在在网站服务器器之前添加负负载平衡设备备，提高网站站的访问性能能及提高网站站的容错性。产品介绍：在通通信高峰期间间，流量分配配器通过避免免可能引起客客户不满的错错误信息，让让网站实现正正常的运行.它能够平衡衡服务器群中中所有服务器器之间的通信信负载.Loocal DDirecttor根据实实时相应时间间进行判断，已已实现真正的的职能通信管管理和最佳的的服务器群性性能。流量分分配器控制第第四层到第七七层的应用内内容，从而对对不同类型客客户或URLL实现了优先先级划分和差差别服务。使使用现有的第第七层智能会会话恢复技术术，可监测出出

23、HTTP4400，5000和6000系列的错误误，从而使系系统能够完成成该交易.服服务器故障切切换和多重冗冗余特性可以以让通信绕过过故障点，从从而使网站始始终保持运行行和可访问状状态。毒配置方法：购买买一套网络防防病毒系统，用用于病毒防护护。产品介绍：采用用全球多平台台病毒解决方方案，可用于于检测和清除除所有类型的的病毒。使整整个发布平台台的所有设备备免于网络病病毒的攻击和和破坏。C配置方法：在网网站服务器的的前端添加一一台Web Cachee，作为本地地高速缓存，替替代初始网站站服务器，对对请求相同对对象的用户所所提出的后续续请求做出响响应，它缓解解了“用户请求”与“初始Webb服务器”之间

24、在Innterneet路径上进进行多次跳转转的情况。产品介绍：Caache设备备驻留于本地地监视Webb对象请求，然然后加以析取取，接着存贮贮这些对象留留作以后应用用的专用网络络高速缓存应应用产品。它它将所有必须须的软件和硬硬件以最佳的的形式集成在在标准的1UU可扩展支架架体系中，能能有效减少由由于Inteernet的的通讯数据量量过大而导致致的带宽过载载现象，能使使现有任何一一种普通Weeb服务器的的容量增加十十倍，使网络络数据的传输输速度出人意意料。系配置方法：在两两个Web存存放处，分别别使用一套入入侵检测软件件。把入侵检检测软件安装装在某台空余余的电脑上，并并且把它与交交换机相连。产品

25、介绍： 网网络入侵侦测测系统是Neetpoweer 系列列安全软件中中一款基于专专门针对网络络遭受黑客攻攻击行为而设设计的产品。它它以监测网络络入侵功能为为基础，集成成了在线网络络入侵监测、入入侵即时处理理（即时报警警、切断连接接、暂停服务务等）、离线线入侵分析、入入侵侦测查询询、报告生成成等多项功能能的分布式计计算机安全系系统，不仅能能即时监控网网络资源运行行状况，为网网络管理员及及时提供网络络入侵预警和和防范、解决决方案，还使使得黑客入侵侵有迹可寻，为为用户采取进进一步行动提提供强有力的的技术支持，大大大加强了对对恶意黑客的的威慑力量。(此项产品由由中科网威免免费提供)bv存因为随着网站访

26、访问量的提高高，为了不影影响用户的访访问速度，我我们建议在SSun E55000这台台Web SServerr上添加1GG的内存，提提高服务器的的处理速度。 0bv加De为了防止dnss servver出现故故障时,不能能提供正常的的域名解析,我们建议在在Sun EE5000这这台Web Serveer上配置11nd dnns serrver,提提供域名解析析的容错功能能。防火墙系统可保保留现有防火火墙系统，即即：长信局网网段采用天融融信防火墙、对对外发布网段段采用Sunn Fireewall-1和Cheeckpoiint防火墙墙。审计系统仍使用用光华审计系系统，保留WWeb Guuard软件

27、件。各种扫描工具，安安全服务工具具、各类设备备和软件的安安全配置等工工作由我方提提供。3、本方案所需需产品列表 单位：人民民币项目产品名称公开报价折扣(off)采购单价1.Sun E4110 SerrverServer Base, inteernalSun CD (tm) 31, oone Poower芯片：450MMHZ Ulltra SSPARC- = 2 * ROMAN II CPUU X 1内存：1G硬盘：18.11GB HDDD(100000转) X 11包括：鼠标，键键盘磁带机:11-14GB 4mm DDDS-4 in a uniPaack Desktopp encllosuree系统: Sollaris 8 Staandardd503,5400详见附表180,10881.ALTEON 7001006 ACEE