1、一 證券交易所網(wǎng)站的現(xiàn)狀31 .概述31.服務(wù)器及網(wǎng)絡(luò)設(shè)備的配置情況41）網(wǎng)站41）網(wǎng)站43）域名服務(wù)器44）其他的服務(wù)器及網(wǎng)絡(luò)設(shè)備的信息：43.網(wǎng)絡(luò)的工作流程描述41）外部用戶訪問網(wǎng)站41）內(nèi)部用戶訪問外部53）監(jiān)控機房的PC對網(wǎng)站的管理54.當前網(wǎng)站訪問的性能分析5二 證券交易所網(wǎng)站存在的安全問題61.網(wǎng)絡(luò)測試的過程61)網(wǎng)絡(luò)測試結(jié)果數(shù)據(jù)取樣點61)測試使用的工具63)測試手段說明61.測試結(jié)果分析71）網(wǎng)站服務(wù)器系統(tǒng)本身的安全問題71）監(jiān)控機系統(tǒng)本身存在的安全問題83）路由器存在的安全問題84)防火墻的安全問題85）網(wǎng)絡(luò)流程的安全問題96）管理的安全問題9三 證券交易所網(wǎng)站安全技術(shù)解決方

2、案101、網(wǎng)絡(luò)拓撲圖101、所添設(shè)備功能說明10 一 證券交易所網(wǎng)站的現(xiàn)狀1 .概述 保護證券交易所網(wǎng)站的投資和信息資源，擁有構(gòu)思精良且有效的網(wǎng)絡(luò)安全策略是非常重要的。網(wǎng)絡(luò)安全系統(tǒng)本身是個龐大、復雜的系統(tǒng)設(shè)計。因此，根據(jù)客戶現(xiàn)在和可預(yù)見的將來的應(yīng)用需要來設(shè)計網(wǎng)絡(luò)安全才是最可行的方法。太多的安全策略會帶來不必要的操作困難，而且如果沒有太必要的需求，中科網(wǎng)威公司將盡量使用簡單，實用的方案。中科網(wǎng)威擁有為政府、銀行，電信，證券等高安全性，高可靠性行業(yè)安全設(shè)計的豐富經(jīng)驗。總之，中科網(wǎng)威公司設(shè)計安全系統(tǒng)以安全為前提，以簡單，實用為基礎(chǔ)。目前，證券交易所網(wǎng)站的建構(gòu)情況如下圖一所示：CHINANET100M

3、托管服務(wù)器（SUN 3500）長信局118K交易所監(jiān)控室光華審計系統(tǒng)（PC）WEBGUARD系統(tǒng)（PC）監(jiān)控機1（PC）監(jiān)控機1信息更新機（PC）1MWeb服務(wù)器（SUN 5000）交易所Ftp 服務(wù)器（PC）Mail 服務(wù)器（PC）防火墻交易所內(nèi)部網(wǎng)內(nèi)部Web服務(wù)器1.服務(wù)器及網(wǎng)絡(luò)設(shè)備的配置情況使用的操作系統(tǒng)為Sun Solaris 5.6； Web Server是Netscape IPlant Server；IP地址為；別名為；設(shè)備為SUN Enterprise3500。使用的操作系統(tǒng)為Sun Solaris 5.6；使用的Web Server是Netscape IP

4、lant Server；IP地址為19；別名為；設(shè)備為SUN Enterprise5000。使用的操作系統(tǒng)為Sun Solaris 5.6；使用的域名服務(wù)器為BIND；IP地址為；設(shè)備為SUN Ultra系列工作站。4）其他的服務(wù)器及網(wǎng)絡(luò)設(shè)備的信息：A.B.C.D.E.F.G.3.網(wǎng)絡(luò)的工作流程描述1）外部用戶訪問網(wǎng)站A. 外部用戶可以通過http方式瀏覽網(wǎng)站，其中一臺web server為, IP地址為19。這臺服務(wù)器托管在長信局，出口的帶寬為100M的Switch。當用戶訪問該臺服務(wù)器時需要經(jīng)過天融信的防火墻，同時有光華

5、審計軟件對訪問情況進行審計（正常方式）。B. 外部用戶通過http方式訪問的另外一臺web server為s-,IP地址為.這臺服務(wù)器放在證券交易所的內(nèi)部，出口的帶寬為1M的DDN。當用戶訪問該服務(wù)器時需要通過Sun防火墻。同時外部用戶還可以通過ftp的方式訪問ftp server；同時可以訪問DNS Server及其他相關(guān)服務(wù)器；外部用戶對內(nèi)部LAN的訪問全部被CheckPoint防火墻所禁止（正常方式）。1）內(nèi)部用戶訪問外部A. 內(nèi)部用戶通過CheckPoint防火墻的地址轉(zhuǎn)換功能，用一個合法的IP地址訪問及獲取外部信息（正常方式）。B. 部分內(nèi)部用戶通過監(jiān)控房的PC

6、所具有的網(wǎng)關(guān)功能也可以訪問及獲取到外部信息（非正常方式）。3）監(jiān)控機房的PC對網(wǎng)站的管理A. 根據(jù)圖一所示監(jiān)控機1通過專門得一根118K的專線對托管在長信局的Web Server進行遠程管理；同時監(jiān)控機1不能夠訪問內(nèi)部的網(wǎng)絡(luò)（正常方式）。B. 根據(jù)圖一所示監(jiān)控機1具有網(wǎng)關(guān)的功能，它能夠與證交所內(nèi)部進行數(shù)據(jù)交換，同時也可以不通過防火墻直接連接到廣域網(wǎng)，然后對放在證交所的Web Server, FTP Server, DNS Server等服務(wù)器進行管理（非正常方式）。4.當前網(wǎng)站訪問的性能分析A. 網(wǎng)站的點擊數(shù)：當前網(wǎng)站的日訪問量小于1千人/天，當前連接數(shù)小于100人，七月分及年底的日訪問量可能

7、有上萬人次，當前連接數(shù)可能會超過1000人。B. CPU占用率：當前的訪問情況下CPU占用率小于10%，表明網(wǎng)站服務(wù)器的負載能力還是很強的。C. 訪問頁面的響應(yīng)時間：據(jù)中科網(wǎng)威公司對交易所網(wǎng)站的測試主頁的響應(yīng)時間小于8秒鐘，符合國際標準。D. 網(wǎng)頁的類型：交易所網(wǎng)頁主要以靜態(tài)頁面為主，部分的動態(tài)頁面對一些相關(guān)的信息進行搜索。二 證券交易所網(wǎng)站存在的安全問題1.網(wǎng)絡(luò)測試的過程防火墻內(nèi)測試點防火墻外測試點CHINANET100M托管服務(wù)器（SUN 3500）長信局118K交易所監(jiān)控室光華審計系統(tǒng)（PC）WEBGUARD系統(tǒng)（PC）監(jiān)控機1（PC）監(jiān)控機1信息更新機（PC）1MWeb服務(wù)器（SUN

8、5000）交易所Ftp 服務(wù)器（PC）Mail 服務(wù)器（PC）防火墻交易所內(nèi)部網(wǎng)內(nèi)部Web服務(wù)器1)網(wǎng)絡(luò)測試結(jié)果數(shù)據(jù)取樣點1)測試使用的工具A. 中科網(wǎng)威公司火眼網(wǎng)絡(luò)安全掃描系統(tǒng)B. axent scanner C. iss 公司 internet scannerD. nai 公司 cyber cop scanner 3)測試手段說明A. Http 服務(wù)器的安全B. Ftp服務(wù)器的安全C. Sendmail郵件系統(tǒng)的安全D. Finger服務(wù)的安全E. X window系統(tǒng)管理的安全F. Dns服務(wù)的安全G. Rpc服務(wù)的安全H. X Window安全NFS文件服務(wù)安全I. NIS安全J. P

9、roxy服務(wù)安全K. TFTP服務(wù)安全L. Tooltalk服務(wù)安全M. 服務(wù)端口設(shè)置安全1.測試結(jié)果分析經(jīng)過中科網(wǎng)威公司的掃描及檢測，得知交易所網(wǎng)站系統(tǒng)中存在許多安全漏洞，以下對這些漏洞中的主要嚴重性漏洞進行解釋與說明。1）網(wǎng)站服務(wù)器系統(tǒng)本身的安全問題經(jīng)過檢測發(fā)現(xiàn)網(wǎng)絡(luò)服務(wù)器存在以下幾方面的安全漏洞：A. Netscape 服務(wù)器的安全漏洞B. Ftp服務(wù)器的安全漏洞C. Sendmail郵件系統(tǒng)的安全漏洞D. Finger服務(wù)的安全漏洞E. X window系統(tǒng)管理的安全漏洞F. Dns服務(wù)的安全漏洞G. Rpc服務(wù)的安全漏洞H. X Window安全NFS文件服務(wù)安全漏洞I. TFTP服務(wù)

10、安全漏洞J. Telnet服務(wù)的安全漏洞詳細漏洞描述，請參看資料交易所網(wǎng)站安全分析與安全服務(wù)實施建議書。1）監(jiān)控機系統(tǒng)本身存在的安全問題監(jiān)控機使用的是Windows NT 4.0操作系統(tǒng)，補丁程序為SP4，在該系統(tǒng)下存在著以下安全問題：A. NT操作系統(tǒng)本身的安全漏洞B. NT服務(wù)協(xié)議的安全漏洞詳細漏洞描述，請參看資料交易所網(wǎng)站安全分析與安全服務(wù)實施建議書。3）路由器存在的安全問題因為交易所使用的是Cisco的路由器，經(jīng)過中科網(wǎng)威公司的測試發(fā)現(xiàn)該路由器存在以下安全問題：A. "Cisco CHAP/PPP Vulnerability"B. "Cisco IOS A

11、AA Does Not Properly Authenticate Users"C. "Cisco Vulnerable to Land Attack"D. "Cisco IOS Remote Router Crash"E. ”Cisco IOS HTTP % 拒絕服務(wù)漏洞”F. ”IOS 軟件TELNET環(huán)境變量處理漏洞”詳細漏洞描述，請參看資料交易所網(wǎng)站安全分析與安全服務(wù)實施建議書。 4)防火墻的安全問題通過對防火墻的檢測及配置的策略，發(fā)現(xiàn)防火墻存在以下安全問題：A. 內(nèi)部網(wǎng)絡(luò)到DMZ 服務(wù)器區(qū)域沒有安全規(guī)則的設(shè)置，用戶可以訪問到服務(wù)器的任

12、何端口。B. 漏洞名稱：Checkpoint Firewall-1 內(nèi)部地址泄露漏洞C. Checkpoint FW-1的基本認證功能對于來自墻內(nèi)（出站）和來自墻外（入站）的身份認證未加任何超時設(shè)置和不成功認證次數(shù)限制。而更為嚴重的問題是，可通過這個身份認證機制不需要輸入口令就能猜測用戶名，因為當輸入的用戶名不存在時認證系統(tǒng)會提示錯誤。詳細漏洞描述，請參看資料交易所網(wǎng)站安全分析與安全服務(wù)實施建議書。5）網(wǎng)絡(luò)流程的安全問題A、外部用戶可能能夠訪問到內(nèi)部LAN:從圖一所示外部用戶可以通過監(jiān)控機1入侵到內(nèi)部網(wǎng)絡(luò)，造成嚴重不安全，因為監(jiān)控機綁定有三個網(wǎng)卡，其中一個為合法地址，另外兩個為內(nèi)部私有地址，外

13、部用戶可以通過該合法地址連接到內(nèi)部。B、監(jiān)控機1的邏輯位置在Sun防火墻的外面：外部非法入侵者在不受到防火墻限制的的情況下可以通過該監(jiān)控機對內(nèi)部網(wǎng)絡(luò)進行無限制的訪問，嚴重的導致整個內(nèi)部的信息及系統(tǒng)的破壞。C、從監(jiān)控機1管理通過廣域網(wǎng)管理放在交易所的Web Server、DNS Server和放在長信局托管的Web Server等服務(wù)器時，在傳輸過程中用戶名及密碼都沒有經(jīng)過加密，很容易被惡意人員用Sniffer軟件進行偵聽，從而獲取口令進入服務(wù)器系統(tǒng)；或者可以獲得重要資料。D、從內(nèi)部訪問放在交易所的Web Server沒有進行任何限制：從交易所內(nèi)部對萬一有不滿的員工想對網(wǎng)站進行破壞，可以說整個網(wǎng)

14、站系統(tǒng)對內(nèi)沒有做任何限制措施，不滿員工很容易就能夠把整個系統(tǒng)搞壞。E、沒有在監(jiān)控機上安裝防病毒軟件：因為監(jiān)控機基于Windows NT的平臺，所以很容易受病毒感染如果沒有很好的防范病毒的軟件，很容易使整個系統(tǒng)感染病毒。6）管理的安全問題A、沒有根據(jù)國家規(guī)定的機房管理條例進行安全管理。B、應(yīng)該在監(jiān)控機上安裝相應(yīng)的加密IC卡，防止非網(wǎng)站管理人員對監(jiān)控機進行任意的操作。三 證券交易所網(wǎng)站安全技術(shù)解決方案結(jié)合前期的工作基礎(chǔ)和交易所目前的網(wǎng)站現(xiàn)狀，經(jīng)過分析，給出如下技術(shù)解決方案：Internet1、 網(wǎng)絡(luò)拓撲圖Sun 防火墻IDS入侵偵測系統(tǒng)Cache 設(shè)備 Cache設(shè)備防火墻交換機Web Guard

15、光華審計系統(tǒng)交換機負載均衡器IDS入侵偵測系統(tǒng)負載均衡器QuotationDB server QuotationDB serverDNS服務(wù)器Oracle serverSun E3500Web&App Server (預(yù)擴充)Web &,App&1nd dns ServerSun E5000 Web serverSun E410Web serverSun E410Check Point防火墻硬盤加密卡硬盤加密卡內(nèi)部網(wǎng)監(jiān)控機1監(jiān)控機12、 所添設(shè)備功能說明1)Web服務(wù)器配置方法：在長信局的托管機房使用兩臺新配置的Sun Server（E410）來做負載平衡及雙機容錯，把

16、放在長信局內(nèi)的Sun E3500拿到公司內(nèi)部網(wǎng)站機房與原來的Web Server一起來做負載平衡及雙機容錯并實時的為用戶提供網(wǎng)站訪問。當對外發(fā)布的某臺Web Server出現(xiàn)非正常停機的情況，仍可以由負載平衡設(shè)備把所有的客戶請求轉(zhuǎn)到正常的Web Server來保證網(wǎng)站的運行。并且我公司的值班人員可以在最短的時間內(nèi)查找出故障原因，讓服務(wù)器在投入正常運行。 1）IC加密卡配置方法：在監(jiān)控機房的兩臺監(jiān)控機上安裝相應(yīng)的加密IC卡，防止非網(wǎng)站管理人員對監(jiān)控機進行任意的操作。該加密IC卡只能配備給具有網(wǎng)站管理權(quán)的人員，當他們需要對網(wǎng)站進行控制時，必須把自己的IC卡插入到監(jiān)控機上，并且必須輸入相應(yīng)的密碼，才

17、能夠打開監(jiān)控機的硬盤，否則根本無法進入監(jiān)控平臺。產(chǎn)品介紹：用于對硬盤進行加密，只有擁有IC卡身份認證密碼的用戶才能解開硬盤，使用系統(tǒng)資源。該硬盤加密IC卡主要用于信息監(jiān)控端微機的安全保障，以防止內(nèi)部人員通過監(jiān)控端對網(wǎng)站進行非法修改和破壞。3）負載平衡設(shè)備配置方法：當有兩臺以上的電腦作鏡像時，可以在網(wǎng)站服務(wù)器之前添加負載平衡設(shè)備，提高網(wǎng)站的訪問性能及提高網(wǎng)站的容錯性。產(chǎn)品介紹：在通信高峰期間，流量分配器通過避免可能引起客戶不滿的錯誤信息，讓網(wǎng)站實現(xiàn)正常的運行.它能夠平衡服務(wù)器群中所有服務(wù)器之間的通信負載.Local Director根據(jù)實時相應(yīng)時間進行判斷，已實現(xiàn)真正的職能通信管理和最佳的服務(wù)器

18、群性能。流量分配器控制第四層到第七層的應(yīng)用內(nèi)容，從而對不同類型客戶或URL實現(xiàn)了優(yōu)先級劃分和差別服務(wù)。使用現(xiàn)有的第七層智能會話恢復技術(shù)，可監(jiān)測出HTTP400，500和600系列的錯誤，從而使系統(tǒng)能夠完成該交易.服務(wù)器故障切換和多重冗余特性可以讓通信繞過故障點，從而使網(wǎng)站始終保持運行和可訪問狀態(tài)。4）網(wǎng)絡(luò)防病毒系統(tǒng)配置方法：購買一套網(wǎng)絡(luò)防病毒系統(tǒng)，用于病毒防護。產(chǎn)品介紹：采用全球多平臺病毒解決方案，可用于檢測和清除所有類型的病毒。使整個發(fā)布平臺的所有設(shè)備免于網(wǎng)絡(luò)病毒的攻擊和破壞。5）Web Cache配置方法：在網(wǎng)站服務(wù)器的前端添加一臺Web Cache，作為本地高速緩存，替代初始網(wǎng)站服務(wù)器，

19、對請求相同對象的用戶所提出的后續(xù)請求做出響應(yīng)，它緩解了“用戶請求”與“初始Web服務(wù)器”之間在Internet路徑上進行多次跳轉(zhuǎn)的情況。產(chǎn)品介紹：Cache設(shè)備駐留于本地監(jiān)視Web對象請求，然后加以析取，接著存貯這些對象留作以后應(yīng)用的專用網(wǎng)絡(luò)高速緩存應(yīng)用產(chǎn)品。它將所有必須的軟件和硬件以最佳的形式集成在標準的1U可擴展支架體系中，能有效減少由于Internet的通訊數(shù)據(jù)量過大而導致的帶寬過載現(xiàn)象，能使現(xiàn)有任何一種普通Web服務(wù)器的容量增加十倍，使網(wǎng)絡(luò)數(shù)據(jù)的傳輸速度出人意料。6)入侵檢測系統(tǒng)配置方法：在兩個Web存放處，分別使用一套入侵檢測軟件。把入侵檢測軟件安裝在某臺空余的電腦上，并且把它與交換

20、機相連。產(chǎn)品介紹： 網(wǎng)絡(luò)入侵偵測系統(tǒng)是Netpower 系列安全軟件中一款基于專門針對網(wǎng)絡(luò)遭受黑客攻擊行為而設(shè)計的產(chǎn)品。它以監(jiān)測網(wǎng)絡(luò)入侵功能為基礎(chǔ)，集成了在線網(wǎng)絡(luò)入侵監(jiān)測、入侵即時處理（即時報警、切斷連接、暫停服務(wù)等）、離線入侵分析、入侵偵測查詢、報告生成等多項功能的分布式計算機安全系統(tǒng)，不僅能即時監(jiān)控網(wǎng)絡(luò)資源運行狀況，為網(wǎng)絡(luò)管理員及時提供網(wǎng)絡(luò)入侵預(yù)警和防范、解決方案，還使得黑客入侵有跡可尋，為用戶采取進一步行動提供強有力的技術(shù)支持，大大加強了對惡意黑客的威懾力量。(此項產(chǎn)品由中科網(wǎng)威免費提供)7)添加Web Server的內(nèi)存 因為隨著網(wǎng)站訪問量的提高，為了不影響用戶的訪問速度，我們建議在S

21、un E5000這臺Web Server上添加1G的內(nèi)存，提高服務(wù)器的處理速度。8)在Sun E5000這臺Web Server上增加1nd Dns Server為了防止dns server出現(xiàn)故障時,不能提供正常的域名解析,我們建議在Sun E5000這臺Web Server上配置1nd dns server,提供域名解析的容錯功能。幾點說明：l 防火墻系統(tǒng)可保留現(xiàn)有防火墻系統(tǒng)，即：長信局網(wǎng)段采用天融信防火墻、對外發(fā)布網(wǎng)段采用Sun Firewall-1和Checkpoint防火墻。l 審計系統(tǒng)仍使用光華審計系統(tǒng)，保留Web Guard軟件。l 各種掃描工具，安全服務(wù)工具、各類設(shè)備和軟件的安

22、全配置等工作由我方提供。3、本方案所需產(chǎn)品列表 單位：人民幣項目產(chǎn)品名稱公開報價折扣(off)采購單價1.Sun E410 ServerServer Base, internalSun CD (tm) 31, one Power芯片：450MHZ Ultra SPARC- II CPU X 1內(nèi)存：1G硬盤：18.1GB HDD(10000轉(zhuǎn)) X 1包括：鼠標，鍵盤磁帶機:11-14GB 4mm DDS-4 in a uniPack Desktop enclosure系統(tǒng): Solaris 8 Standard503,540詳見附表180,1081.ALTEON 700106 ACE director layer 4 Switchs端口：10BASE-T/100BASE-TX1000BASE-SX端口：全雙工