交易所网站安全技术解决方案

2019-8-1交易所网站安全技术解决方案第2页共15页北京中科网威信息技术有限公司一证券交易所网站的现状...............................................................................................................31.概述.............................................................................................................................................31.服务器及网络设备的配置情况...................................................................................................41）网站s-web.s.com.cn..........................................................................................................41）网站web1.s.com.cn...........................................................................................................43）域名服务器s-dns.s.com.cn...............................................................................................44）其他的服务器及网络设备的信息：...................................................................................43.网络的工作流程描述...................................................................................................................41）外部用户访问网站...............................................................................................................41）内部用户访问外部...............................................................................................................53）监控机房的PC对网站的管理...........................................................................................54.当前网站访问的性能分析...........................................................................................................5二证券交易所网站存在的安全问题...............................................................................................61.网络测试的过程..........................................................................................................................61)网络测试结果数据取样点......................................................................................................61)测试使用的工具......................................................................................................................63)测试手段说明....................................................................................................................61.测试结果分析.........................................................................................................................71）网站服务器系统本身的安全问题...........................................................................71）监控机系统本身存在的安全问题...........................................................................83）路由器存在的安全问题..............................................................................................84)防火墙的安全问题..........................................................................................................85）网络流程的安全问题...........................................................................................................96）管理的安全问题...................................................................................................................9三证券交易所网站安全技术解决方案.........................................................................................101、网络拓扑图....................................................................................................................101、所添设备功能说明........................................................................................................102019-8-1交易所网站安全技术解决方案第3页共15页北京中科网威信息技术有限公司一证券交易所网站的现状11..概概述述保护证券交易所网站的投资和信息资源，拥有构思精良且有效的网络安全策略是非常重要的。网络安全系统本身是个庞大、复杂的系统设计。因此，根据客户现在和可预见的将来的应用需要来设计网络安全才是最可行的方法。太多的安全策略会带来不必要的操作困难，而且如果没有太必要的需求，中科网威公司将尽量使用简单，实用的方案。中科网威拥有为政府、银行，电信，证券等高安全性，高可靠性行业安全设计的丰富经验。总之，中科网威公司设计安全系统以安全为前提，以简单，实用为基础。目前，证券交易所网站的建构情况如下图一所示：CHINANET100M托管服务器（SUN3500）长信局118K交易所监控室光华审计系统（PC）WEBGUARD系统（PC）监控机1（PC）监控机1信息更新机（PC）1MWeb服务器（SUN5000）交易所Ftp服务器（PC）Mail服务器（PC）防火墙交易所内部网内部Web服务器2019-8-1交易所网站安全技术解决方案第4页共15页北京中科网威信息技术有限公司11..服服务务器器及及网网络络设设备备的的配配置置情情况况1）网站s-web.s.com.cn使用的操作系统为SunSolaris5.6；WebServer是NetscapeIPlantServer；IP地址为101.111.1.1；别名为www1.s.com.cn；设备为SUNEnterprise3500。1）网站web1.s.com.cn使用的操作系统为SunSolaris5.6；使用的WebServer是NetscapeIPlantServer；IP地址为101.101.61.119；别名为www.s.com.cn；设备为SUNEnterprise5000。3）域名服务器s-dns.s.com.cn使用的操作系统为SunSolaris5.6；使用的域名服务器为BIND；IP地址为101.111.1.1；设备为SUNUltra系列工作站。4）其他的服务器及网络设备的信息：A.developer.s.com.cn101.111.1.5B.notes-svr.s.com.cn101.111.1.108C.s-ftp.s.com.cn101.111.1.4D.vod-svr.s.com.cn101.111.1.7E.mailhost.s.com.cn101.111.1.3F.mail-svr.s.com.cn101.111.1.3G.Cisco路由器101.111.1.1133..网网络络的的工工作作流流程程描描述述1）外部用户访问网站A.外部用户可以通过http方式浏览网站，其中一台webserver为web1.s.com.cn,IP地址为101.101.61.119。这台服务器托管在长信局，出口的带宽为100M的Switch。当用户访问该台服务器时需要经过天融信的防火墙，同时有光华审计软件对访问情况进行审计（正常方式）。2019-8-1交易所网站安全技术解决方案第5页共15页北京中科网威信息技术有限公司B.外部用户通过http方式访问的另外一台webserver为s-web.ss1.com.cn,IP地址为101.111.1.1.这台服务器放在证券交易所的内部，出口的带宽为1M的DDN。当用户访问该服务器时需要通过Sun防火墙。同时外部用户还可以通过ftp的方式访问ftpserver；同时可以访问DNSServer及其他相关服务器；外部用户对内部LAN的访问全部被CheckPoint防火墙所禁止（正常方式）。1）内部用户访问外部A.内部用户通过CheckPoint防火墙的地址转换功能，用一个合法的IP地址访问及获取外部信息（正常方式）。B.部分内部用户通过监控房的PC所具有的网关功能也可以访问及获取到外部信息（非正常方式）。3）监控机房的PC对网站的管理A.根据图一所示监控机1通过专门得一根118K的专线对托管在长信局的WebServer进行远程管理；同时监控机1不能够访问内部的网络（正常方式）。B.根据图一所示监控机1具有网关的功能，它能够与证交所内部进行数据交换，同时也可以不通过防火墙直接连接到广