1、一 證券交易所網站的現狀31 .概述31.服務器及網絡設備的配置情況41）網站41）網站43）域名服務器44）其他的服務器及網絡設備的信息：43.網絡的工作流程描述41）外部用戶訪問網站41）內部用戶訪問外部53）監控機房的PC對網站的管理54.當前網站訪問的性能分析5二 證券交易所網站存在的安全問題61.網絡測試的過程61)網絡測試結果數據取樣點61)測試使用的工具63)測試手段說明61.測試結果分析71）網站服務器系統本身的安全問題71）監控機系統本身存在的安全問題83）路由器存在的安全問題84)防火墻的安全問題85）網絡流程的安全問題96）管理的安全問題9三 證券交易所網站安全技術解決方

2、案101、網絡拓撲圖101、所添設備功能說明10 一 證券交易所網站的現狀1 .概述 保護證券交易所網站的投資和信息資源，擁有構思精良且有效的網絡安全策略是非常重要的。網絡安全系統本身是個龐大、復雜的系統設計。因此，根據客戶現在和可預見的將來的應用需要來設計網絡安全才是最可行的方法。太多的安全策略會帶來不必要的操作困難，而且如果沒有太必要的需求，中科網威公司將盡量使用簡單，實用的方案。中科網威擁有為政府、銀行，電信，證券等高安全性，高可靠性行業安全設計的豐富經驗?？傊锌凭W威公司設計安全系統以安全為前提，以簡單，實用為基礎。目前，證券交易所網站的建構情況如下圖一所示：CHINANET100M

3、托管服務器（SUN 3500）長信局118K交易所監控室光華審計系統（PC）WEBGUARD系統（PC）監控機1（PC）監控機1信息更新機（PC）1MWeb服務器（SUN 5000）交易所Ftp 服務器（PC）Mail 服務器（PC）防火墻交易所內部網內部Web服務器1.服務器及網絡設備的配置情況使用的操作系統為Sun Solaris 5.6； Web Server是Netscape IPlant Server；IP地址為；別名為；設備為SUN Enterprise3500。使用的操作系統為Sun Solaris 5.6；使用的Web Server是Netscape IP

4、lant Server；IP地址為19；別名為；設備為SUN Enterprise5000。使用的操作系統為Sun Solaris 5.6；使用的域名服務器為BIND；IP地址為；設備為SUN Ultra系列工作站。4）其他的服務器及網絡設備的信息：A.B.C.D.E.F.G.3.網絡的工作流程描述1）外部用戶訪問網站A. 外部用戶可以通過http方式瀏覽網站，其中一臺web server為, IP地址為19。這臺服務器托管在長信局，出口的帶寬為100M的Switch。當用戶訪問該臺服務器時需要經過天融信的防火墻，同時有光華

5、審計軟件對訪問情況進行審計（正常方式）。B. 外部用戶通過http方式訪問的另外一臺web server為s-,IP地址為.這臺服務器放在證券交易所的內部，出口的帶寬為1M的DDN。當用戶訪問該服務器時需要通過Sun防火墻。同時外部用戶還可以通過ftp的方式訪問ftp server；同時可以訪問DNS Server及其他相關服務器；外部用戶對內部LAN的訪問全部被CheckPoint防火墻所禁止（正常方式）。1）內部用戶訪問外部A. 內部用戶通過CheckPoint防火墻的地址轉換功能，用一個合法的IP地址訪問及獲取外部信息（正常方式）。B. 部分內部用戶通過監控房的PC

6、所具有的網關功能也可以訪問及獲取到外部信息（非正常方式）。3）監控機房的PC對網站的管理A. 根據圖一所示監控機1通過專門得一根118K的專線對托管在長信局的Web Server進行遠程管理；同時監控機1不能夠訪問內部的網絡（正常方式）。B. 根據圖一所示監控機1具有網關的功能，它能夠與證交所內部進行數據交換，同時也可以不通過防火墻直接連接到廣域網，然后對放在證交所的Web Server, FTP Server, DNS Server等服務器進行管理（非正常方式）。4.當前網站訪問的性能分析A. 網站的點擊數：當前網站的日訪問量小于1千人/天，當前連接數小于100人，七月分及年底的日訪問量可能

7、有上萬人次，當前連接數可能會超過1000人。B. CPU占用率：當前的訪問情況下CPU占用率小于10%，表明網站服務器的負載能力還是很強的。C. 訪問頁面的響應時間：據中科網威公司對交易所網站的測試主頁的響應時間小于8秒鐘，符合國際標準。D. 網頁的類型：交易所網頁主要以靜態頁面為主，部分的動態頁面對一些相關的信息進行搜索。二 證券交易所網站存在的安全問題1.網絡測試的過程防火墻內測試點防火墻外測試點CHINANET100M托管服務器（SUN 3500）長信局118K交易所監控室光華審計系統（PC）WEBGUARD系統（PC）監控機1（PC）監控機1信息更新機（PC）1MWeb服務器（SUN

8、5000）交易所Ftp 服務器（PC）Mail 服務器（PC）防火墻交易所內部網內部Web服務器1)網絡測試結果數據取樣點1)測試使用的工具A. 中科網威公司火眼網絡安全掃描系統B. axent scanner C. iss 公司 internet scannerD. nai 公司 cyber cop scanner 3)測試手段說明A. Http 服務器的安全B. Ftp服務器的安全C. Sendmail郵件系統的安全D. Finger服務的安全E. X window系統管理的安全F. Dns服務的安全G. Rpc服務的安全H. X Window安全NFS文件服務安全I. NIS安全J. P

9、roxy服務安全K. TFTP服務安全L. Tooltalk服務安全M. 服務端口設置安全1.測試結果分析經過中科網威公司的掃描及檢測，得知交易所網站系統中存在許多安全漏洞，以下對這些漏洞中的主要嚴重性漏洞進行解釋與說明。1）網站服務器系統本身的安全問題經過檢測發現網絡服務器存在以下幾方面的安全漏洞：A. Netscape 服務器的安全漏洞B. Ftp服務器的安全漏洞C. Sendmail郵件系統的安全漏洞D. Finger服務的安全漏洞E. X window系統管理的安全漏洞F. Dns服務的安全漏洞G. Rpc服務的安全漏洞H. X Window安全NFS文件服務安全漏洞I. TFTP服務

10、安全漏洞J. Telnet服務的安全漏洞詳細漏洞描述，請參看資料交易所網站安全分析與安全服務實施建議書。1）監控機系統本身存在的安全問題監控機使用的是Windows NT 4.0操作系統，補丁程序為SP4，在該系統下存在著以下安全問題：A. NT操作系統本身的安全漏洞B. NT服務協議的安全漏洞詳細漏洞描述，請參看資料交易所網站安全分析與安全服務實施建議書。3）路由器存在的安全問題因為交易所使用的是Cisco的路由器，經過中科網威公司的測試發現該路由器存在以下安全問題：A. "Cisco CHAP/PPP Vulnerability"B. "Cisco IOS A

11、AA Does Not Properly Authenticate Users"C. "Cisco Vulnerable to Land Attack"D. "Cisco IOS Remote Router Crash"E. ”Cisco IOS HTTP % 拒絕服務漏洞”F. ”IOS 軟件TELNET環境變量處理漏洞”詳細漏洞描述，請參看資料交易所網站安全分析與安全服務實施建議書。 4)防火墻的安全問題通過對防火墻的檢測及配置的策略，發現防火墻存在以下安全問題：A. 內部網絡到DMZ 服務器區域沒有安全規則的設置，用戶可以訪問到服務器的任

12、何端口。B. 漏洞名稱：Checkpoint Firewall-1 內部地址泄露漏洞C. Checkpoint FW-1的基本認證功能對于來自墻內（出站）和來自墻外（入站）的身份認證未加任何超時設置和不成功認證次數限制。而更為嚴重的問題是，可通過這個身份認證機制不需要輸入口令就能猜測用戶名，因為當輸入的用戶名不存在時認證系統會提示錯誤。詳細漏洞描述，請參看資料交易所網站安全分析與安全服務實施建議書。5）網絡流程的安全問題A、外部用戶可能能夠訪問到內部LAN:從圖一所示外部用戶可以通過監控機1入侵到內部網絡，造成嚴重不安全，因為監控機綁定有三個網卡，其中一個為合法地址，另外兩個為內部私有地址，外

13、部用戶可以通過該合法地址連接到內部。B、監控機1的邏輯位置在Sun防火墻的外面：外部非法入侵者在不受到防火墻限制的的情況下可以通過該監控機對內部網絡進行無限制的訪問，嚴重的導致整個內部的信息及系統的破壞。C、從監控機1管理通過廣域網管理放在交易所的Web Server、DNS Server和放在長信局托管的Web Server等服務器時，在傳輸過程中用戶名及密碼都沒有經過加密，很容易被惡意人員用Sniffer軟件進行偵聽，從而獲取口令進入服務器系統；或者可以獲得重要資料。D、從內部訪問放在交易所的Web Server沒有進行任何限制：從交易所內部對萬一有不滿的員工想對網站進行破壞，可以說整個網

14、站系統對內沒有做任何限制措施，不滿員工很容易就能夠把整個系統搞壞。E、沒有在監控機上安裝防病毒軟件：因為監控機基于Windows NT的平臺，所以很容易受病毒感染如果沒有很好的防范病毒的軟件，很容易使整個系統感染病毒。6）管理的安全問題A、沒有根據國家規定的機房管理條例進行安全管理。B、應該在監控機上安裝相應的加密IC卡，防止非網站管理人員對監控機進行任意的操作。三 證券交易所網站安全技術解決方案結合前期的工作基礎和交易所目前的網站現狀，經過分析，給出如下技術解決方案：Internet1、 網絡拓撲圖Sun 防火墻IDS入侵偵測系統Cache 設備 Cache設備防火墻交換機Web Guard

15、光華審計系統交換機負載均衡器IDS入侵偵測系統負載均衡器QuotationDB server QuotationDB serverDNS服務器Oracle serverSun E3500Web&App Server (預擴充)Web &,App&1nd dns ServerSun E5000 Web serverSun E410Web serverSun E410Check Point防火墻硬盤加密卡硬盤加密卡內部網監控機1監控機12、 所添設備功能說明1)Web服務器配置方法：在長信局的托管機房使用兩臺新配置的Sun Server（E410）來做負載平衡及雙機容錯，把

16、放在長信局內的Sun E3500拿到公司內部網站機房與原來的Web Server一起來做負載平衡及雙機容錯并實時的為用戶提供網站訪問。當對外發布的某臺Web Server出現非正常停機的情況，仍可以由負載平衡設備把所有的客戶請求轉到正常的Web Server來保證網站的運行。并且我公司的值班人員可以在最短的時間內查找出故障原因，讓服務器在投入正常運行。 1）IC加密卡配置方法：在監控機房的兩臺監控機上安裝相應的加密IC卡，防止非網站管理人員對監控機進行任意的操作。該加密IC卡只能配備給具有網站管理權的人員，當他們需要對網站進行控制時，必須把自己的IC卡插入到監控機上，并且必須輸入相應的密碼，才

17、能夠打開監控機的硬盤，否則根本無法進入監控平臺。產品介紹：用于對硬盤進行加密，只有擁有IC卡身份認證密碼的用戶才能解開硬盤，使用系統資源。該硬盤加密IC卡主要用于信息監控端微機的安全保障，以防止內部人員通過監控端對網站進行非法修改和破壞。3）負載平衡設備配置方法：當有兩臺以上的電腦作鏡像時，可以在網站服務器之前添加負載平衡設備，提高網站的訪問性能及提高網站的容錯性。產品介紹：在通信高峰期間，流量分配器通過避免可能引起客戶不滿的錯誤信息，讓網站實現正常的運行.它能夠平衡服務器群中所有服務器之間的通信負載.Local Director根據實時相應時間進行判斷，已實現真正的職能通信管理和最佳的服務器

18、群性能。流量分配器控制第四層到第七層的應用內容，從而對不同類型客戶或URL實現了優先級劃分和差別服務。使用現有的第七層智能會話恢復技術，可監測出HTTP400，500和600系列的錯誤，從而使系統能夠完成該交易.服務器故障切換和多重冗余特性可以讓通信繞過故障點，從而使網站始終保持運行和可訪問狀態。4）網絡防病毒系統配置方法：購買一套網絡防病毒系統，用于病毒防護。產品介紹：采用全球多平臺病毒解決方案，可用于檢測和清除所有類型的病毒。使整個發布平臺的所有設備免于網絡病毒的攻擊和破壞。5）Web Cache配置方法：在網站服務器的前端添加一臺Web Cache，作為本地高速緩存，替代初始網站服務器，

19、對請求相同對象的用戶所提出的后續請求做出響應，它緩解了“用戶請求”與“初始Web服務器”之間在Internet路徑上進行多次跳轉的情況。產品介紹：Cache設備駐留于本地監視Web對象請求，然后加以析取，接著存貯這些對象留作以后應用的專用網絡高速緩存應用產品。它將所有必須的軟件和硬件以最佳的形式集成在標準的1U可擴展支架體系中，能有效減少由于Internet的通訊數據量過大而導致的帶寬過載現象，能使現有任何一種普通Web服務器的容量增加十倍，使網絡數據的傳輸速度出人意料。6)入侵檢測系統配置方法：在兩個Web存放處，分別使用一套入侵檢測軟件。把入侵檢測軟件安裝在某臺空余的電腦上，并且把它與交換

20、機相連。產品介紹： 網絡入侵偵測系統是Netpower 系列安全軟件中一款基于專門針對網絡遭受黑客攻擊行為而設計的產品。它以監測網絡入侵功能為基礎，集成了在線網絡入侵監測、入侵即時處理（即時報警、切斷連接、暫停服務等）、離線入侵分析、入侵偵測查詢、報告生成等多項功能的分布式計算機安全系統，不僅能即時監控網絡資源運行狀況，為網絡管理員及時提供網絡入侵預警和防范、解決方案，還使得黑客入侵有跡可尋，為用戶采取進一步行動提供強有力的技術支持，大大加強了對惡意黑客的威懾力量。(此項產品由中科網威免費提供)7)添加Web Server的內存 因為隨著網站訪問量的提高，為了不影響用戶的訪問速度，我們建議在S

21、un E5000這臺Web Server上添加1G的內存，提高服務器的處理速度。8)在Sun E5000這臺Web Server上增加1nd Dns Server為了防止dns server出現故障時,不能提供正常的域名解析,我們建議在Sun E5000這臺Web Server上配置1nd dns server,提供域名解析的容錯功能。幾點說明：l 防火墻系統可保留現有防火墻系統，即：長信局網段采用天融信防火墻、對外發布網段采用Sun Firewall-1和Checkpoint防火墻。l 審計系統仍使用光華審計系統，保留Web Guard軟件。l 各種掃描工具，安全服務工具、各類設備和軟件的安

22、全配置等工作由我方提供。3、本方案所需產品列表 單位：人民幣項目產品名稱公開報價折扣(off)采購單價1.Sun E410 ServerServer Base, internalSun CD (tm) 31, one Power芯片：450MHZ Ultra SPARC- II CPU X 1內存：1G硬盤：18.1GB HDD(10000轉) X 1包括：鼠標，鍵盤磁帶機:11-14GB 4mm DDS-4 in a uniPack Desktop enclosure系統: Solaris 8 Standard503,540詳見附表180,1081.ALTEON 700106 ACE director layer 4 Switchs端口：10BASE-T/100BASE-TX1000BASE-SX端口：全雙工