交易所网站安全技术解决方案探析26701.docx
一 证券交易所网站的现状31 .概述31.服务器及网络设备的配置情况41)网站s-41)网站43)域名服务器s-44)其他的服务器及网络设备的信息:43.网络的工作流程描述41)外部用户访问网站41)内部用户访问外部53)监控机房的PC对网站的管理54.当前网站访问的性能分析5二 证券交易所网站存在的安全问题61.网络测试的过程61)网络测试结果数据取样点61)测试使用的工具63)测试手段说明61.测试结果分析71)网站服务器系统本身的安全问题71)监控机系统本身存在的安全问题83)路由器存在的安全问题84)防火墙的安全问题85)网络流程的安全问题96)管理的安全问题9三 证券交易所网站安全技术解决方案101、网络拓扑图101、所添设备功能说明10 一 证券交易所网站的现状1 .概述 保护证券交易所网站的投资和信息资源,拥有构思精良且有效的网络安全策略是非常重要的。网络安全系统本身是个庞大、复杂的系统设计。因此,根据客户现在和可预见的将来的应用需要来设计网络安全才是最可行的方法。太多的安全策略会带来不必要的操作困难,而且如果没有太必要的需求,中科网威公司将尽量使用简单,实用的方案。中科网威拥有为政府、银行,电信,证券等高安全性,高可靠性行业安全设计的丰富经验。总之,中科网威公司设计安全系统以安全为前提,以简单,实用为基础。目前,证券交易所网站的建构情况如下图一所示:CHINANET100M托管服务器(SUN 3500)长信局118K交易所监控室光华审计系统(PC)WEBGUARD系统(PC)监控机1(PC)监控机1信息更新机(PC)1MWeb服务器(SUN 5000)交易所Ftp 服务器(PC)Mail 服务器(PC)防火墙交易所内部网内部Web服务器1.服务器及网络设备的配置情况1)网站s-使用的操作系统为Sun Solaris 5.6; Web Server是Netscape IPlant Server;IP地址为101.111.1.1;别名为;设备为SUN Enterprise3500。1)网站使用的操作系统为Sun Solaris 5.6;使用的Web Server是Netscape IPlant Server;IP地址为101.101.61.119;别名为;设备为SUN Enterprise5000。3)域名服务器s-使用的操作系统为Sun Solaris 5.6;使用的域名服务器为BIND;IP地址为101.111.1.1;设备为SUN Ultra系列工作站。4)其他的服务器及网络设备的信息:A. 101.111.1.5B. notes-101.111.1.108C. s-101.111.1.4D. vod-101.111.1.7E. 101.111.1.3F. mail-101.111.1.3G. Cisco路由器 101.111.1.113.网络的工作流程描述1)外部用户访问网站A. 外部用户可以通过http方式浏览网站,其中一台web server为, IP地址为101.101.61.119。这台服务器托管在长信局,出口的带宽为100M的Switch。当用户访问该台服务器时需要经过天融信的防火墙,同时有光华审计软件对访问情况进行审计(正常方式)。B. 外部用户通过http方式访问的另外一台web server为s-,IP地址为101.111.1.1.这台服务器放在证券交易所的内部,出口的带宽为1M的DDN。当用户访问该服务器时需要通过Sun防火墙。同时外部用户还可以通过ftp的方式访问;同时可以访问DNS Server及其他相关服务器;外部用户对内部LAN的访问全部被CheckPoint防火墙所禁止(正常方式)。1)内部用户访问外部A. 内部用户通过CheckPoint防火墙的地址转换功能,用一个合法的IP地址访问及获取外部信息(正常方式)。B. 部分内部用户通过监控房的PC所具有的网关功能也可以访问及获取到外部信息(非正常方式)。3)监控机房的PC对网站的管理A. 根据图一所示监控机1通过专门得一根118K的专线对托管在长信局的Web Server进行远程管理;同时监控机1不能够访问内部的网络(正常方式)。B. 根据图一所示监控机1具有网关的功能,它能够与证交所内部进行数据交换,同时也可以不通过防火墙直接连接到广域网,然后对放在证交所的Web Server, , DNS Server等服务器进行管理(非正常方式)。4.当前网站访问的性能分析A. 网站的点击数:当前网站的日访问量小于1千人/天,当前连接数小于100人,七月分及年底的日访问量可能有上万人次,当前连接数可能会超过1000人。B. CPU占用率:当前的访问情况下CPU占用率小于10%,表明网站服务器的负载能力还是很强的。C. 访问页面的响应时间:据中科网威公司对交易所网站的测试主页的响应时间小于8秒钟,符合国际标准。D. 网页的类型:交易所网页主要以静态页面为主,部分的动态页面对一些相关的信息进行搜索。二 证券交易所网站存在的安全问题1.网络测试的过程防火墙内测试点防火墙外测试点CHINANET100M托管服务器(SUN 3500)长信局118K交易所监控室光华审计系统(PC)WEBGUARD系统(PC)监控机1(PC)监控机1信息更新机(PC)1MWeb服务器(SUN 5000)交易所Ftp 服务器(PC)Mail 服务器(PC)防火墙交易所内部网内部Web服务器1)网络测试结果数据取样点1)测试使用的工具A. 中科网威公司火眼网络安全扫描系统B. axent scanner C. iss 公司 internet scannerD. nai 公司 cyber cop scanner 3)测试手段说明A. Http 服务器的安全B. Ftp服务器的安全C. Sendmail邮件系统的安全D. Finger服务的安全E. X window系统管理的安全F. Dns服务的安全G. Rpc服务的安全H. X Window安全NFS文件服务安全I. NIS安全J. Proxy服务安全K. TFTP服务安全L. Tooltalk服务安全M. 服务端口设置安全1.测试结果分析经过中科网威公司的扫描及检测,得知交易所网站系统中存在许多安全漏洞,以下对这些漏洞中的主要严重性漏洞进行解释与说明。1)网站服务器系统本身的安全问题经过检测发现网络服务器存在以下几方面的安全漏洞:A. Netscape 服务器的安全漏洞B. Ftp服务器的安全漏洞C. Sendmail邮件系统的安全漏洞D. Finger服务的安全漏洞E. X window系统管理的安全漏洞F. Dns服务的安全漏洞G. Rpc服务的安全漏洞H. X Window安全NFS文件服务安全漏洞I. TFTP服务安全漏洞J. Telnet服务的安全漏洞详细漏洞描述,请参看资料交易所网站安全分析与安全服务实施建议书。1)监控机系统本身存在的安全问题监控机使用的是Windows NT 4.0操作系统,补丁程序为SP4,在该系统下存在着以下安全问题:A. NT操作系统本身的安全漏洞B. NT服务协议的安全漏洞详细漏洞描述,请参看资料交易所网站安全分析与安全服务实施建议书。3)路由器存在的安全问题因为交易所使用的是Cisco的路由器,经过中科网威公司的测试发现该路由器存在以下安全问题:A. "Cisco CHAP/PPP Vulnerability"B. "Cisco IOS AAA Does Not Properly Authenticate Users"C. "Cisco Vulnerable to Land Attack"D. "Cisco IOS Remote Router Crash"E. ”Cisco IOS HTTP % 拒绝服务漏洞”F. ”IOS 软件TELNET环境变量处理漏洞”详细漏洞描述,请参看资料交易所网站安全分析与安全服务实施建议书。 4)防火墙的安全问题通过对防火墙的检测及配置的策略,发现防火墙存在以下安全问题:A. 内部网络到DMZ 服务器区域没有安全规则的设置,用户可以访问到服务器的任何端口。B. 漏洞名称:Checkpoint Firewall-1 内部地址泄露漏洞C. Checkpoint FW-1的基本认证功能对于来自墙内(出站)和来自墙外(入站)的身份认证未加任何超时设置和不成功认证次数限制。而更为严重的问题是,可通过这个身份认证机制不需要输入口令就能猜测用户名,因为当输入的用户名不存在时认证系统会提示错误。详细漏洞描述,请参看资料交易所网站安全分析与安全服务实施建议书。5)网络流程的安全问题A、外部用户可能能够访问到内部LAN:从图一所示外部用户可以通过监控机1入侵到内部网络,造成严重不安全,因为监控机绑定有三个网卡,其中一个为合法地址,另外两个为内部私有地址,外部用户可以通过该合法地址连接到内部。B、监控机1的逻辑位置在Sun防火墙的外面:外部非法入侵者在不受到防火墙限制的的情况下可以通过该监控机对内部网络进行无限制的访问,严重的导致整个内部的信息及系统的破坏。C、从监控机1管理通过广域网管理放在交易所的Web Server、DNS Server和放在长信局托管的Web Server等服务器时,在传输过程中用户名及密码都没有经过加密,很容易被恶意人员用Sniffer软件进行侦听,从而获取口令进入服务器系统;或者可以获得重要资料。D、从内部访问放在交易所的Web Server没有进行任何限制:从交易所内部对万一有不满的员工想对网站进行破坏,可以说整个网站系统对内没有做任何限制措施,不满员工很容易就能够把整个系统搞坏。E、没有在监控机上安装防病毒软件:因为监控机基于Windows NT的平台,所以很容易受病毒感染如果没有很好的防范病毒的软件,很容易使整个系统感染病毒。6)管理的安全问题A、没有根据国家规定的机房管理条例进行安全管理。B、应该在监控机上安装相应的加密IC卡,防止非网站管理人员对监控机进行任意的操作。三 证券交易所网站安全技术解决方案结合前期的工作基础和交易所目前的网站现状,经过分析,给出如下技术解决方案:Internet1、 网络拓扑图Sun 防火墙IDS入侵侦测系统Cache 设备 Cache设备防火墙交换机Web Guard光华审计系统交换机负载均衡器IDS入侵侦测系统负载均衡器QuotationDB server QuotationDB serverDNS服务器Oracle serverSun E3500Web&App Server (预扩充)Web &,App&1nd dns ServerSun E5000 Web serverSun E410Web serverSun E410Check Point防火墙硬盘加密卡硬盘加密卡内部网监控机1监控机12、 所添设备功能说明1)Web服务器配置方法:在长信局的托管机房使用两台新配置的Sun Server(E410)来做负载平衡及双机容错,把放在长信局内的Sun E3500拿到公司内部网站机房与原来的Web Server一起来做负载平衡及双机容错并实时的为用户提供网站访问。当对外发布的某台Web Server出现非正常停机的情况,仍可以由负载平衡设备把所有的客户请求转到正常的Web Server来保证网站的运行。并且我公司的值班人员可以在最短的时间内查找出故障原因,让服务器在投入正常运行。 1)IC加密卡配置方法:在监控机房的两台监控机上安装相应的加密IC卡,防止非网站管理人员对监控机进行任意的操作。该加密IC卡只能配备给具有网站管理权的人员,当他们需要对网站进行控制时,必须把自己的IC卡插入到监控机上,并且必须输入相应的密码,才能够打开监控机的硬盘,否则根本无法进入监控平台。产品介绍:用于对硬盘进行加密,只有拥有IC卡身份认证密码的用户才能解开硬盘,使用系统资源。该硬盘加密IC卡主要用于信息监控端微机的安全保障,以防止内部人员通过监控端对网站进行非法修改和破坏。3)负载平衡设备配置方法:当有两台以上的电脑作镜像时,可以在网站服务器之前添加负载平衡设备,提高网站的访问性能及提高网站的容错性。产品介绍:在通信高峰期间,流量分配器通过避免可能引起客户不满的错误信息,让网站实现正常的运行.它能够平衡服务器群中所有服务器之间的通信负载.Local Director根据实时相应时间进行判断,已实现真正的职能通信管理和最佳的服务器群性能。流量分配器控制第四层到第七层的应用内容,从而对不同类型客户或URL实现了优先级划分和差别服务。使用现有的第七层智能会话恢复技术,可监测出HTTP400,500和600系列的错误,从而使系统能够完成该交易.服务器故障切换和多重冗余特性可以让通信绕过故障点,从而使网站始终保持运行和可访问状态。4)网络防病毒系统配置方法:购买一套网络防病毒系统,用于病毒防护。产品介绍:采用全球多平台病毒解决方案,可用于检测和清除所有类型的病毒。使整个发布平台的所有设备免于网络病毒的攻击和破坏。5)Web Cache配置方法:在网站服务器的前端添加一台Web Cache,作为本地高速缓存,替代初始网站服务器,对请求相同对象的用户所提出的后续请求做出响应,它缓解了“用户请求”与“初始Web服务器”之间在Internet路径上进行多次跳转的情况。产品介绍:Cache设备驻留于本地监视Web对象请求,然后加以析取,接着存贮这些对象留作以后应用的专用网络高速缓存应用产品。它将所有必须的软件和硬件以最佳的形式集成在标准的1U可扩展支架体系中,能有效减少由于Internet的通讯数据量过大而导致的带宽过载现象,能使现有任何一种普通Web服务器的容量增加十倍,使网络数据的传输速度出人意料。6)入侵检测系统配置方法:在两个Web存放处,分别使用一套入侵检测软件。把入侵检测软件安装在某台空余的电脑上,并且把它与交换机相连。产品介绍: 网络入侵侦测系统是Netpower 系列安全软件中一款基于专门针对网络遭受黑客攻击行为而设计的产品。它以监测网络入侵功能为基础,集成了在线网络入侵监测、入侵即时处理(即时报警、切断连接、暂停服务等)、离线入侵分析、入侵侦测查询、报告生成等多项功能的分布式计算机安全系统,不仅能即时监控网络资源运行状况,为网络管理员及时提供网络入侵预警和防范、解决方案,还使得黑客入侵有迹可寻,为用户采取进一步行动提供强有力的技术支持,大大加强了对恶意黑客的威慑力量。(此项产品由中科网威免费提供)7)添加Web Server的内存 因为随着网站访问量的提高,为了不影响用户的访问速度,我们建议在Sun E5000这台Web Server上添加1G的内存,提高服务器的处理速度。8)在Sun E5000这台Web Server上增加1nd Dns Server为了防止dns server出现故障时,不能提供正常的域名解析,我们建议在Sun E5000这台Web Server上配置1nd dns server,提供域名解析的容错功能。几点说明:l 防火墙系统可保留现有防火墙系统,即:长信局网段采用天融信防火墙、对外发布网段采用Sun Firewall-1和Checkpoint防火墙。l 审计系统仍使用光华审计系统,保留Web Guard软件。l 各种扫描工具,安全服务工具、各类设备和软件的安全配置等工作由我方提供。3、本方案所需产品列表 单位:人民币项目产品名称公开报价折扣(off)采购单价1.Sun E410 ServerServer Base, internalSun CD (tm) 31, one Power芯片:450MHZ Ultra SPARC- II CPU X 1内存:1G硬盘:18.1GB HDD(10000转) X 1包括:鼠标,键盘磁带机:11-14GB 4mm DDS-4 in a uniPack Desktop enclosure系统: Solaris 8 Standard503,540详见附表180,1081.ALTEON 700106 ACE director layer 4 Switchs端口:10BASE-T/100BASE-TX1000BASE-SX端口:全双工千兆位以太网SC光纤间接RS-131C 控制台:DB-9串行连接、DCE阴性界面的带外管理399,76050%199,8803.Sun E5000 MEORY X7013A 1G 1Gbyte Memory Expansion (8 X 118MB memory modules )187,00064%67,3104.PIONEX WebXL 3000 CacheRequest 150内存:150MB硬盘:1个10GB 接口:3个10/100Mbps 以太网口机架:1U机架78,88810%63,1105.IBM 300GL 台式机芯片:PIII 733内存:64M硬盘:10GB HDD光驱:40速显示器:17”网卡:10/100 M 自适应包括:鼠标,键盘10,300N/A9,800注:Netpower网络入侵侦测系统免费免费免费6.CE Infosys EIKEY PCI IC加密卡硬件:Eikey PCIInd. Ext. SmartCard Reader & SmarCard软件:IP-Crypt 9X for EIkey8,35430%5,8487.IPlanet Web Server, Enterprise Edtion, v4.0, 1CPU License, Media and Hardcopy Doc for NT/Solaris,Global(56 Bit),Simplified Chinese35,75060%143008.GVI (全球多平台病毒防护)熊猫卫士网络版1850030%11,788注:以上软硬件产品均包含一年的免费升级和技术支持服务,其中第二项提供两年的免费维护服务。附表注:以上SUN产品均提供一年的银计划服务。