信息化精编交易所网站安全技术解决方案.docx
《信息化精编交易所网站安全技术解决方案.docx》由会员分享,可在线阅读,更多相关《信息化精编交易所网站安全技术解决方案.docx(16页珍藏版)》请在冰豆网上搜索。
信息化精编交易所网站安全技术解决方案
交易所网站安全技术解决方案
一证券交易所网站的现状
1.概述
保护证券交易所网站的投资和信息资源,拥有构思精良且有效的网络安全策略是非常重要的。
网络安全系统本身是个庞大、复杂的系统设计。
因此,根据客户现在和可预见的将来的应用需要来设计网络安全才是最可行的方法。
太多的安全策略会带来不必要的操作困难,而且如果没有太必要的需求,中科网威公司将尽量使用简单,实用的方案。
中科网威拥有为政府、银行,电信,证券等高安全性,高可靠性行业安全设计的丰富经验。
总之,中科网威公司设计安全系统以安全为前提,以简单,实用为基础。
目前,证券交易所网站的建构情况如下图一所示:
1.服务器及网络设备的配置情况
1)网站s-
使用的操作系统为SunSolaris5.6;WebServer是NetscapeIPlantServer;IP地址为101.111.1.1;别名为n;设备为SUNEnterprise3500。
1)网站
使用的操作系统为SunSolaris5.6;使用的WebServer是NetscapeIPlantServer;IP地址为101.101.61.119;别名为n;设备为SUNEnterprise5000。
3)域名服务器s-
使用的操作系统为SunSolaris5.6;使用的域名服务器为BIND;IP地址为101.111.1.1;设备为SUNUltra系列工作站。
4)其他的服务器及网络设备的信息:
A101.111.1.5
B.notes-101.111.1.108
C.s-101.111.1.4
D.vod-101.111.1.7
E101.111.1.3
F.mail-101.111.1.3
G.Cisco路由器101.111.1.11
3.网络的工作流程描述
1)外部用户访问网站
A.外部用户可以通过http方式浏览网站,其中一台webserver为,IP地址为101.101.61.119。
这台服务器托管在长信局,出口的带宽为100M的Switch。
当用户访问该台服务器时需要经过天融信的防火墙,同时有光华审计软件对访问情况进行审计(正常方式)。
B.外部用户通过http方式访问的另外一台webserver为s-,IP地址为101.111.1.1.这台服务器放在证券交易所的内部,出口的带宽为1M的DDN。
当用户访问该服务器时需要通过Sun防火墙。
同时外部用户还可以通过ftp的方式访问r;同时可以访问DNSServer及其他相关服务器;外部用户对内部LAN的访问全部被CheckPoint防火墙所禁止(正常方式)。
1)内部用户访问外部
A.内部用户通过CheckPoint防火墙的地址转换功能,用一个合法的IP地址访问及获取外部信息(正常方式)。
B.部分内部用户通过监控房的PC所具有的网关功能也可以访问及获取到外部信息(非正常方式)。
3)监控机房的PC对网站的管理
A.根据图一所示监控机1通过专门得一根118K的专线对托管在长信局的WebServer进行远程管理;同时监控机1不能够访问内部的网络(正常方式)。
B.根据图一所示监控机1具有网关的功能,它能够与证交所内部进行数据交换,同时也可以不通过防火墙直接连接到广域网,然后对放在证交所的WebServer,,DNSServer等服务器进行管理(非正常方式)。
4.当前网站访问的性能分析
A.网站的点击数:
当前网站的日访问量小于1千人/天,当前连接数小于100人,七月分及年底的日访问量可能有上万人次,当前连接数可能会超过1000人。
B.CPU占用率:
当前的访问情况下CPU占用率小于10%,表明网站服务器的负载能力还是很强的。
C.访问页面的响应时间:
据中科网威公司对交易所网站的测试主页的响应时间小于8秒钟,符合国际标准。
D.网页的类型:
交易所网页主要以静态页面为主,部分的动态页面对一些相关的信息进行搜索。
二证券交易所网站存在的安全问题
1.网络测试的过程
1)网络测试结果数据取样点
1)测试使用的工具
A.中科网威公司火眼网络安全扫描系统
B.axentscanner
C.iss公司internetscanner
D.nai公司cybercopscanner
3)测试手段说明
A.Http服务器的安全
B.Ftp服务器的安全
C.Sendmail邮件系统的安全
D.Finger服务的安全
E.Xwindow系统管理的安全
F.Dns服务的安全
G.Rpc服务的安全
H.XWindow安全NFS文件服务安全
I.NIS安全
J.Proxy服务安全
K.TFTP服务安全
L.Tooltalk服务安全
M.服务端口设置安全
1.测试结果分析
经过中科网威公司的扫描及检测,得知交易所网站系统中存在许多安全漏洞,以下对这些漏洞中的主要严重性漏洞进行解释与说明。
1)网站服务器系统本身的安全问题
经过检测发现网络服务器存在以下几方面的安全漏洞:
A.Netscape服务器的安全漏洞
B.Ftp服务器的安全漏洞
C.Sendmail邮件系统的安全漏洞
D.Finger服务的安全漏洞
E.Xwindow系统管理的安全漏洞
F.Dns服务的安全漏洞
G.Rpc服务的安全漏洞
H.XWindow安全NFS文件服务安全漏洞
I.TFTP服务安全漏洞
J.Telnet服务的安全漏洞
详细漏洞描述,请参看资料《交易所网站安全分析与安全服务实施建议书》。
1)监控机系统本身存在的安全问题
监控机使用的是WindowsNT4.0操作系统,补丁程序为SP4,在该系统下存在着以下安全问题:
A.NT操作系统本身的安全漏洞
B.NT服务协议的安全漏洞
详细漏洞描述,请参看资料《交易所网站安全分析与安全服务实施建议书》。
3)路由器存在的安全问题
因为交易所使用的是Cisco的路由器,经过中科网威公司的测试发现该路由器存在以下安全问题:
A."CiscoCHAP/PPPVulnerability"
B."CiscoIOSAAADoesNotProperlyAuthenticateUsers"
C."CiscoVulnerabletoLandAttack"
D."CiscoIOSRemoteRouterCrash"
E.”CiscoIOSHTTP%%拒绝服务漏洞”
F.”IOS软件TELNET环境变量处理漏洞”
详细漏洞描述,请参看资料《交易所网站安全分析与安全服务实施建议书》。
4)防火墙的安全问题
通过对防火墙的检测及配置的策略,发现防火墙存在以下安全问题:
A.内部网络到DMZ服务器区域没有安全规则的设置,用户可以访问到服务器的任何端口。
B.漏洞名称:
CheckpointFirewall-1内部地址泄露漏洞
C.CheckpointFW-1的基本认证功能对于来自墙内(出站)和来自墙外(入站)的身份认证未加任何超时设置和不成功认证次数限制。
而更为严重的问题是,可通过这个身份认证机制不需要输入口令就能猜测用户名,因为当输入的用户名不存在时认证系统会提示错误。
详细漏洞描述,请参看资料《交易所网站安全分析与安全服务实施建议书》。
5)网络流程的安全问题
A、外部用户可能能够访问到内部LAN:
从图一所示外部用户可以通过监控机1入侵到内部网络,造成严重不安全,因为监控机绑定有三个网卡,其中一个为合法地址,另外两个为内部私有地址,外部用户可以通过该合法地址连接到内部。
B、监控机1的逻辑位置在Sun防火墙的外面:
外部非法入侵者在不受到防火墙限制的的情况下可以通过该监控机对内部网络进行无限制的访问,严重的导致整个内部的信息及系统的破坏。
C、从监控机1管理通过广域网管理放在交易所的WebServer、DNSServer和放在长信局托管的WebServer等服务器时,在传输过程中用户名及密码都没有经过加密,很容易被恶意人员用Sniffer软件进行侦听,从而获取口令进入服务器系统;或者可以获得重要资料。
D、从内部访问放在交易所的WebServer没有进行任何限制:
从交易所内部对万一有不满的员工想对网站进行破坏,可以说整个网站系统对内没有做任何限制措施,不满员工很容易就能够把整个系统搞坏。
E、没有在监控机上安装防病毒软件:
因为监控机基于WindowsNT的平台,所以很容易受病毒感染如果没有很好的防范病毒的软件,很容易使整个系统感染病毒。
6)管理的安全问题
A、没有根据国家规定的机房管理条例进行安全管理。
B、应该在监控机上安装相应的加密IC卡,防止非网站管理人员对监控机进行任意的操作。
三证券交易所网站安全技术解决方案
结合前期的工作基础和交易所目前的网站现状,经过分析,给出如下技术解决方案:
1、
网络拓扑图
Webserver
SunE410
2、所添设备功能说明
1)Web服务器
配置方法:
在长信局的托管机房使用两台新配置的SunServer(E410)来做负载平衡及双机容错,把放在长信局内的SunE3500拿到公司内部网站机房与原来的WebServer一起来做负载平衡及双机容错并实时的为用户提供网站访问。
当对外发布的某台WebServer出现非正常停机的情况,仍可以由负载平衡设备把所有的客户请求转到正常的WebServer来保证网站的运行。
并且我公司的值班人员可以在最短的时间内查找出故障原因,让服务器在投入正常运行。
1)IC加密卡
配置方法:
在监控机房的两台监控机上安装相应的加密IC卡,防止非网站管理人员对监控机进行任意的操作。
该加密IC卡只能配备给具有网站管理权的人员,当他们需要对网站进行控制时,必须把自己的IC卡插入到监控机上,并且必须输入相应的密码,才能够打开监控机的硬盘,否则根本无法进入监控平台。
产品介绍:
用于对硬盘进行加密,只有拥有IC卡身份认证密码的用户才能解开硬盘,使用系统资源。
该硬盘加密IC卡主要用于信息监控端微机的安全保障,以防止内部人员通过监控端对网站进行非法修改和破坏。
3)负载平衡设备
配置方法:
当有两台以上的电脑作镜像时,可以在网站服务器之前添加负载平衡设备,提高网站的访问性能及提高网站的容错性。
产品介绍:
在通信高峰期间,流量分配器通过避免可能引起客户不满的错误信息,让网站实现正常的运行.它能够平衡服务器群中所有服务器之间的通信负载.LocalDirector根据实时相应时间进行判断,已实现真正的职能通信管理和最佳的服务器群性能。
流量分配器控制第四层到第七层的应用内容,从而对不同类型客户或URL实现了优先级划分和差别服务。
使用现有的第七层智能会话恢复技术,可监测出HTTP400,500和600系列的错误,从而使系统能够完成该交易.服务器故障切换和多重冗余特性可以让通信绕过故障点,从而使网站始终保持运行和可访问状态。
4)网络防病毒系统
配置方法:
购买一套网络防病毒系统,用于病毒防护。
产品介绍:
采用全球多平台病毒解决方案,可用于检测和清除所有类型的病毒。
使整个发布平台的所有设备免于网络病毒的攻击和破坏。
5)WebCache
配置方法:
在网站服务器的前端添加一台WebCache,作为本地高速缓存,替代初始网站服务器,对请求相同对象的用户所提出的后续请求做出响应,它缓解了“用户请求”与“初始Web服务器”之间在Internet路径上进行多次跳转的情况。
产品介绍:
Cache设备驻留于本地监视Web对象请求,然后加以析取,接着存贮这些对象留作以后应用的专用网络高速缓存应用产品。
它将所有必须的软件和硬件以最佳的形式集成在标准的1U可扩展支架体系中,能有效减少由于Internet的通讯数据量过大而导致的带宽过载现象,能使现有任何一种普通Web服务器的容量增加十倍,使网络数据的传输速度出人意料。
6)入侵检测系统
配置方法:
在两个Web存放处,分别使用一套入侵检测软件。
把入侵检测软件安装在某台空余的电脑上,并且把它与交换机相连。
产品介绍:
网络入侵侦测系统是Netpower™系列安全软件中一款基于专门针对网络遭受黑客攻击行为而设计的产品。
它以监测网络入侵功能为基础,集成了在线网络入侵监测、入侵即时处理(即时报警、切断连接、暂停服务等)、离线入侵分析、入侵侦测查询、报告生成等多项功能的分布式计算机安全系统,不仅能即时监控网络资源运行状况,为网络管理员及时提供网络入侵预警和防范、解决方案,还使得黑客入侵有迹可寻,为用户采取进一步行动提供强有力的技术支持,大大加强了对恶意黑客的威慑力量。
(此项产品由中科网威免费提供)
7)添加WebServer的内存
因为随着网站访问量的提高,为了不影响用户的访问速度,我们建议在SunE5000这台WebServer上添加1G的内存,提高服务器的处理速度。
8)在SunE5000这台WebServer上增加1ndDnsServer
为了防止dnsserver出现故障时,不能提供正常的域名解析,我们建议在SunE5000这台WebServer上配置1nddnsserver,提供域名解析的容错功能。
几点说明:
●防火墙系统可保留现有防火墙系统,即:
长信局网段采用天融信防火墙、对外发布网段采用SunFirewall-1和Checkpoint防火墙。
●审计系统仍使用光华审计系统,保留WebGuard软件。
●各种扫描工具,安全服务工具、各类设备和软件的安全配置等工作由我方提供。
3、本方案所需产品列表单位:
人民币
项目
产品名称
公开报价
折扣(off)
采购单价
1.
SunE410Server
ServerBase,internal
SunCD(tm)31,onePower
芯片:
450MHZUltraSPARC-
CPUX1
内存:
1G
硬盘:
18.1GBHDD(10000转)X1
包括:
鼠标,键盘
磁带机:
11-14GB4mmDDS-4inauniPack
Desktopenclosure
系统:
Solaris8Standard
503,540
详见附表
180,108
1.
ALTEON700106ACEdirectorlayer4Switchs
端口:
10BASE-T/100BASE-TX
1000BASE-SX端口:
全双工千兆位以太网SC光纤间接
RS-131C控制台:
DB-9串行连接、DCE阴性界面的带外管理
399,760
50%
199,880
3.
SunE5000MEORYX7013A1G
1GbyteMemoryExpansion
(8X118MBmemorymodules)
187,000
64%
67,310
4.
PIONEXWebXL3000Cache
Request150
内存:
150MB
硬盘:
1个10GB
接口:
3个10/100Mbps以太网口
机架:
1U机架
78,888
10%
63,110
5.
IBM300GL台式机
芯片:
P
733
内存:
64M
硬盘:
10GBHDD
光驱:
40速
显示器:
17”
网卡:
10/100M自适应
包括:
鼠标,键盘
10,300
N/A
9,800
注:
Netpower™网络入侵侦测系统
免费
免费
免费
6.
CE–Infosys
EIKEYPCIIC加密卡
硬件:
EikeyPCI
Ind.Ext.SmartCardReader&SmarCard
软件:
IP-Crypt9XforEIkey
8,354
30%
5,848
7.
IPlanetWebServer,EnterpriseEdtion,v4.0,1CPULicense,MediaandHardcopyDocforNT/Solaris,Global(56Bit),SimplifiedChinese
35,750
60%
14300
8.
GVI(全球多平台病毒防护)熊猫卫士网络版
18500
30%
11,788
注:
以上软硬件产品均包含一年的免费升级和技术支持服务,其中第二项提供两年的免费维护服务。
附表
注:
以上SUN产品均提供一年的银计划服务。
升级会员 