一、 XX证券网络系统安全分析
网络结构
根据XX证券的安全需求,结合其网络拓扑图,我们可以确定一个需要保护的对象范围:
- 从图中可以知道Internet接入是通过Cisco3640Internet路游器实现的,通过防火墙实现静态的保护,再接入中心交换机,中心交换机使用两台交换机实现负载均衡,其上同时连结主服务器,代理服务器,认证服务器,网管工作站,下行连结等设备,对于证券行业来说,数据和网络设备的安全是首要的,所以服务器的网段是我们需要重点保护的网段。
- 对于区域中心来说,必然有需要保护的服务器和设备,这些也是我们需要重点保护的网段。虽然在图中没有画出,但我们在具体实施的时候也必须加以规划。
虽然XX证券在内部网中和INTERNET入口处配置了防火墙,但是防火墙本身在安全的防护方面具有一定的缺陷,就是说它只能提供静态的保护,而且只能防外,不能防内,而我们所要求的安全是一个动态的安全,必须能够根据网络结构的变化,实现动态的安全,而且如果要对内部网进行通讯,就必须在防火墙上打开一定的端口,这样入侵者就可以利用这些打开的端口进入内部网络,所以,我们还是面对着来自各方面的安全威胁。
- 来自外部的威胁
- 来自内部的威胁
二、 预防和监控方案
确定了XX证券网络的保护对象和可能面临的威胁后,我们使用三星公司的漏洞评估系统对XX证券网络进行安全方面的配置。同时按照需要保护的对象及威胁的来源,通过三星产品的漏洞评估做一个详细的说明。
1、预防和监控考虑
要防止内外入侵者的入侵,首先我们要对自己系统的安全性存在的漏洞作一个全面的漏洞评估,这样才能从系统自身开始加强整体的安全性。我们可以利用三星的基于网络的漏洞扫描工具secuiSCAN对网络中的设备及主机进行漏洞扫描。对于保护对象以及网络中的其他网络设备来说,例如交换机,路由器和防火墙等等,我们都可以利用secuiSCAN对其进行定期的扫描,以确定了解网络中存在那些漏洞,从而使我们可以针对存在的漏洞进行修补处理。
一台笔记本电脑中安装secuiSCAN,通过secuiSCAN的远程扫描功能,对网络中的设备和主机进行漏洞扫描。
1)、通过安全制度的建立实行定时扫描,定期对重要服务器的文件、帐户、组、口令的配置检测,指出不符合安全的配置;
2)、检测操作系统内部是否有黑客程序驻留。建议将扫描的时间定在网络流量比较小的时间段,以加快扫描的速度。并且将扫描的结果分送主管和技术人员,根据报告中的漏洞修复方法对漏洞进行修复。
2、特定说明
· 综合诊断网络安全漏洞
- 一般UNIX、Windows系列操作系统的安全漏洞
- 路由器等网络设备,防火墙和入侵检测系统(IDS)等安全设备的安全漏洞
· 安装简便,使用方便,结构简单
- 执行Setup.exe就可完成安装,无需重启,并且单键点击就可完成诊断功能
- 在WINDOWS 2000/NT上独立安装使用
- 扫描DBMS系统无需安装另外的Component(SQL*NET)
· 区域单位管理
- 自定义IP地址范围区域,对区域进行所有操作及再使用(打开、保存、加载)
· 提供智能、快速的扫描引擎
- 扫描结果跟扫描模块互参照的方式
- 运行本身的数据仓库,以便相互连接扫描模块
- 互相参照扫描结果来找出已知漏洞的连接而产生的新的漏洞
- 检查 Oracle DBMS 时自动获取 SID 并连接到数据库进行检查
- 自动检测操作系统并进行精细的端口扫描
- 自动检测操作系统并按系统采取对应的扫描方式
- 提供包含多种秘密扫描的 TCP 端口扫描
- 以多线程方式并列检查多种系统
- 最多同时检查100个(选项)
· 自动更新漏洞检查模块
- 含有自动更新程序,可跟踪当前最新漏洞
- 利用SECUi.COM自行开发的文件收发信协议
- 检查模块以插件形式更新
· 时间计划(Schedule)操作
- 预约检查方式及自动提供报告
- 在GUI预约菜单中制定计划(DOS作业窗口中利用AT Command, Scheduling完成)
- 可将扫描结果以邮件方式传送给指定地址
· 漏洞检查结果有多种报告形式
- 8种HTML报告格式及精美的打印功能
- 简要报告
- 操作系统报告
- 主机报告
- IP报告
- 危险程度报告
- 服务报告
- 漏洞及措施报告
- 趋势报告
- 打印采用TeeChart的ActiveX应用图形
- 推理分析特定时间段的漏洞
· 为用户提供自定义扫描选项
- 可选择性地检查网络服务的功能 (全部项目为默认方式)
- Telnet : 定义用户默认 ID/密码检查项目
- SNMP : 定义要检查的 Community Name 用户
- FTP : 用户不是匿名时, 可以定义ID/密码检查
- Web : 除80以外, 均能设置用户所定义的端口
- Timeout : 对于Telnet, SNMP, SMTP, FTP 等网络服务,均可设置限制连接的时间
- 提供检测其他当前流行数据库、路由器漏洞的选项
三、 说明
确定了XX证券网络的保护对象和可能面临的威胁后,我们使用三星公司的漏洞评估系统对XX证券网络进行安全方面的配置。同时按照需要保护的对象及威胁的来源,对三星产品的漏洞评估做一个详细的说明。 |
| |
| |
| |
