網(wǎng)銀系統(tǒng)架構(gòu)優(yōu)化完善

1、網(wǎng)銀系統(tǒng)架構(gòu)優(yōu)化完善作者：中國銀行桐城盛唐支行湯璋摘要：安全是網(wǎng)上銀行應(yīng)用推廣的基礎(chǔ)，網(wǎng)上銀行的安全系統(tǒng)是為了保證網(wǎng) 上銀行系統(tǒng)的數(shù)據(jù)不被非法存取或修改，保證業(yè)務(wù)處理按照銀行規(guī)定的流程被執(zhí) 行。網(wǎng)絡(luò)與信息安全涉及的領(lǐng)域非常廣泛，就安全保密技術(shù)要實現(xiàn)的目標(biāo)來看， 一般可包括以下6個方面，或叫做安全服務(wù)模型，即：身份認(rèn)證、授權(quán)控制、 審計確認(rèn)、數(shù)據(jù)保密、數(shù)據(jù)完整和可用性。為保證網(wǎng)上銀行的網(wǎng)絡(luò)與信息安全， 銀行一般采用多層次體系結(jié)構(gòu)的網(wǎng)上銀行安全系統(tǒng)。可以劃分為：網(wǎng)絡(luò)層、系統(tǒng) 層和應(yīng)用層三個層次。網(wǎng)絡(luò)層的組成部件包括：物理線路、路由器、交換機、網(wǎng) 管軟件、防火墻、加密機等；系統(tǒng)層主要由主機、操作系統(tǒng)

2、、數(shù)據(jù)庫、殺毒軟件 等部件構(gòu)成；應(yīng)用層主要由Web服務(wù)器、應(yīng)用服務(wù)器、網(wǎng)上銀行系統(tǒng)軟件、RA服 務(wù)器、動態(tài)密碼服務(wù)器等組成。一、引言網(wǎng)上銀行作為一種全新的銀行客戶服務(wù)提交渠道，使客戶在享受銀行提供的服務(wù)時不受 時間、空間的限制，因此近幾年各商業(yè)銀行的網(wǎng)上銀行業(yè)務(wù)發(fā)展迅速。據(jù)CFCA2009中國 網(wǎng)上銀行調(diào)查報告顯示，全國城鎮(zhèn)人口中，個人網(wǎng)銀用戶的比例為20.9%，企業(yè)網(wǎng)銀用戶 的比例為40.5%。網(wǎng)銀業(yè)務(wù)高速發(fā)展的同時，安全性始終是用戶與銀行的關(guān)注重點。根據(jù)一 份國內(nèi)媒體的調(diào)查結(jié)果統(tǒng)計，超過九成的網(wǎng)民有意嘗試網(wǎng)銀業(yè)務(wù)，但是超過一半的受訪者 擔(dān)心安全性問題。而在國外，根據(jù)美國互聯(lián)網(wǎng)犯罪投訴中心報

3、告，2009年美國銀行客戶因 網(wǎng)上賬號被盜而遭受的經(jīng)濟損失高達(dá)5.59億美元。對用戶而言，提升防范意識并掌握必要 的安全技術(shù)措施才能有效規(guī)避交易風(fēng)險。對于銀行來說，采用合理的網(wǎng)絡(luò)安全架構(gòu)，綜合 運營各類安全技術(shù)手段（如防火墻、入侵檢測、數(shù)字證書等），才能避免網(wǎng)絡(luò)安全問題造 成的損失。二、業(yè)務(wù)邏輯安全需求業(yè)務(wù)邏輯安全主要是為了保護網(wǎng)上銀行業(yè)務(wù)邏輯按照特定的規(guī)則和流程被存取及處理。身份認(rèn)證需求在雙方進行交易前，首先要能確認(rèn)對方的身份要求交易雙方的身份不能被假冒或偽裝。同時客戶端容易感染木馬病毒，普通的靜態(tài)密碼認(rèn)證已不能滿足網(wǎng)絡(luò)銀行的安全需求。網(wǎng)銀 系統(tǒng)需要更有效的身份認(rèn)證系統(tǒng)。訪問控制需求訪問控制

4、是網(wǎng)上銀行安全子系統(tǒng)中的核心安全策略，對關(guān)鍵網(wǎng)絡(luò)、系統(tǒng)和數(shù)據(jù)的訪問必 須得到有效的控制，這就要求系統(tǒng)能夠確認(rèn)訪問者的身份，謹(jǐn)慎授權(quán)，并對任何訪問進行跟 蹤記錄。網(wǎng)銀系統(tǒng)訪問控制需求體現(xiàn)在以下幾個方面：制卡和卡數(shù)據(jù)維護必須指定專門的管理人員；(2 )企業(yè)用戶不能訪問面向個人的交易；個人網(wǎng)銀用戶不能訪問面向企業(yè)用戶的交易；批量制卡操作和制卡數(shù)據(jù)導(dǎo)出只能由動態(tài)密碼管理的系統(tǒng)管理員操作；柜員建立卡信息和客戶信息的關(guān)聯(lián)應(yīng)采取授權(quán)機制。交易重復(fù)提交控制需求交易重復(fù)提交就是同一個交易被多次提交給網(wǎng)銀系統(tǒng)。查詢類的交易被重復(fù)提交將會無 故占用更多的系統(tǒng)資源，而管理類或金融類的交易被重復(fù)提交后，后果則會嚴(yán)重的多

5、。交易 被重復(fù)提交可能是無意的，也有可能是蓄意的攻擊。網(wǎng)銀安全子系統(tǒng)必須對管理類和金融類交易提交的次數(shù)進行控制，這種控制即要有效的 杜絕用戶的誤操作，還不能影響用戶正常情況下對某個交易的多次提交。三、數(shù)據(jù)安全需求1 .數(shù)據(jù)保密性需求數(shù)據(jù)保密性要求數(shù)據(jù)只能由授權(quán)實體存取和識別，防止非授權(quán)泄露。要對敏感重要的商 業(yè)信息進行加密，即使別人截獲或竊取了數(shù)據(jù)，也無法識別信息的真實內(nèi)容，這樣就可以使 商業(yè)機密信息難以被泄露。從目前國內(nèi)網(wǎng)銀應(yīng)用的安全案例統(tǒng)計數(shù)據(jù)來看，數(shù)據(jù)保密性需求 主要體現(xiàn)在以下幾個方面：客戶端與網(wǎng)銀系統(tǒng)交互時輸入的各類密碼：包括系統(tǒng)登錄密碼、轉(zhuǎn)賬密碼、憑證 查詢密碼等必須加密傳輸及存放，

6、這些密碼在網(wǎng)銀系統(tǒng)中只能以密文的方式存在，其明文形 式能且只能由其合法主體能夠識別。網(wǎng)銀系統(tǒng)與其它系統(tǒng)進行數(shù)據(jù)交換時必須進行端對端的加解密處理。這里的數(shù)據(jù) 加密主要是為了防止交易數(shù)據(jù)被銀行內(nèi)部人士截取利用。數(shù)據(jù)完整性需求數(shù)據(jù)完整性要求防止非授權(quán)實體對數(shù)據(jù)進行非法修改。交易各方能夠驗證收到的信息是 否完整，即信息是否被人篡改過，或者在數(shù)據(jù)傳輸過程中是否出現(xiàn)信息丟失、信息重復(fù)等差 錯。通常網(wǎng)銀系統(tǒng)中有兩個地方需要對數(shù)據(jù)進行完整性檢查：一是在網(wǎng)銀用戶提交交易數(shù)據(jù) 簽名時；另一種是網(wǎng)銀系統(tǒng)與該行其它系統(tǒng)進行通訊時，需要檢查報文的完整性。數(shù)據(jù)可用性需求數(shù)據(jù)可用性要求數(shù)據(jù)對于授權(quán)實體是有效、可用的，保證授

7、權(quán)實體對數(shù)據(jù)的合法存取權(quán) 利。對數(shù)據(jù)可用性最典型的攻擊就是拒絕式攻擊和分布式拒絕攻擊，兩者都是通過大量并發(fā) 的惡意請求來占用系統(tǒng)資源，致使合法用戶無法正常訪問目標(biāo)系統(tǒng)。網(wǎng)銀系統(tǒng)可用性需求體現(xiàn)在以下幾個方面：并發(fā)用戶/并發(fā)連接。同時在線人數(shù)。(3 )中斷允許的最大時間。(4)對系統(tǒng)的訪問時間的要求。數(shù)據(jù)不可偽造性需求電子交易文件也要能做到不可修改。數(shù)據(jù)不可抵賴性需求在電子交易通信過程的各個環(huán)節(jié)中都必須是不可否認(rèn)的，即交易一旦達(dá)成，發(fā)送方不能 否認(rèn)他發(fā)送的信息，接收方則不能否認(rèn)他所收到的信息。四、安全系統(tǒng)架構(gòu)PPDRR安全模型構(gòu)建完善的安全系統(tǒng)解決方案，安全模型的選擇至關(guān)重要PDR模型是 由ISS

8、公司最早提出的入侵檢測的一種模型PDR是防護(Protection)、檢測(Detection) 和響應(yīng)(Response)的縮寫。三者構(gòu)成了一個首尾相接的環(huán)，也即“防護- 檢測- 響應(yīng) -防護”的一個循環(huán)PDR模型有很多變體，在銀行網(wǎng)絡(luò)中最著名的是PPDRR模型。增加 了策略(Policy)和恢復(fù)(Recovery) o PPDRR模型是典型的、公認(rèn)的安全模型。它是一種 動態(tài)的、自適應(yīng)的安全模型，可適應(yīng)安全風(fēng)險和安全需求的不斷變化，提供持續(xù)的安全保障。PPDRR 模型包括策略(Policy)、防護(Protection)、檢測(Detection) 響應(yīng)(Response)和恢復(fù)(Recov

9、ery)5個主要部分。防護、檢測、響應(yīng)和恢復(fù)構(gòu)成一個完整的、 動態(tài)的安全循環(huán)，在PPDRR模型安全策略的指導(dǎo)下共同實現(xiàn)安全保障，如下圖所示。圖1. PPDRR模型以PPDRR安全模型為基礎(chǔ)設(shè)計的網(wǎng)銀安全系統(tǒng)網(wǎng)絡(luò)拓?fù)鋱D如下圖所示:圖2.網(wǎng)絡(luò)拓?fù)鋱D通過拓?fù)鋱D可以看出，整個網(wǎng)絡(luò)系統(tǒng)通過三道防火墻劃分為四個邏輯區(qū)域。按由外到內(nèi) 的順序部署。最外層為是Internet區(qū)（非授信區(qū)），為網(wǎng)銀用戶客戶端接入?yún)^(qū)域；第一道 防火墻和第二道防火墻之間是隔離區(qū)（DMZ），在此區(qū)域中部署RA服務(wù)器以及網(wǎng)銀系統(tǒng)的 Web服務(wù)器等其它第三方應(yīng)用系統(tǒng)；第二道防火墻和第三道防火墻之間是應(yīng)用區(qū)，是網(wǎng)銀系 統(tǒng)的應(yīng)用/DB區(qū)，在此

10、區(qū)域中部署網(wǎng)銀系統(tǒng)的應(yīng)用服務(wù)器和數(shù)據(jù)庫服務(wù)器；第三道防火墻 之后為銀行的核心系統(tǒng)、中間業(yè)務(wù)平臺等第三方業(yè)務(wù)系統(tǒng)。在隔離區(qū)和應(yīng)用區(qū)的Web服務(wù) 器，應(yīng)用服務(wù)器和數(shù)據(jù)庫服務(wù)器都會有相應(yīng)的雙機熱備方案。方案的細(xì)節(jié)會在下文詳細(xì)介紹。五、安全策略安全策略是整個安全體系的基礎(chǔ)。構(gòu)建安全系統(tǒng)需要工程師來操作，這就需要建立健全 的規(guī)章制度和操作規(guī)范，使保護、檢測、響應(yīng)和恢復(fù)環(huán)節(jié)行之有效。一般的安全系統(tǒng)需要以下規(guī)章制度和操作規(guī)范：設(shè)備管理制度，機房管理制度，系統(tǒng)安 全管理守則和明細(xì)，網(wǎng)絡(luò)安全管理守則和明細(xì)，應(yīng)用安全管理守則和明細(xì)，應(yīng)急響應(yīng)計劃， 災(zāi)難恢復(fù)計劃等。安全防護方案防護方案主要包括以下幾個方面：身份認(rèn)證

11、系統(tǒng)網(wǎng)上銀行應(yīng)用系統(tǒng)中的安全防護的第一道防線是身份認(rèn)證。身份認(rèn)證的技術(shù)有很多，可 以分為兩類：軟件認(rèn)證和硬件認(rèn)證。其中軟件認(rèn)證多為用戶自己知道的秘密信息，譬如用戶 名和密碼。硬件認(rèn)證包括IC卡，基于生物學(xué)信息的身份認(rèn)證，比如指紋識別，虹膜識別， 面部識別等。單純的軟件認(rèn)證已不能滿足網(wǎng)絡(luò)銀行系統(tǒng)的身份認(rèn)證需求，所以網(wǎng)絡(luò)銀行多采用軟硬件 結(jié)合的雙因子認(rèn)證方式作為身份認(rèn)證的輔助解決方案。其中流行的雙因子認(rèn)證多為動態(tài)密碼:（1）USB Key 認(rèn)證USB Key內(nèi)置智能卡芯片，可以存儲用戶的密鑰或數(shù)字證書。一般的USB Key都以CA 認(rèn)證為核心，采用雙證書（加密證書/簽名證書）、雙中心（認(rèn)證中心、密

12、鑰中心）機制 來做身份認(rèn)證。通常還有個啟動PIN碼。提供對USB Key持有人的認(rèn)證。這樣不怕USB Key 被別人盜用。（2）動態(tài)口令動態(tài)口令由專有的動態(tài)令牌定時生成，一般60秒隨機更新一次。用戶每次登陸輸入完 靜態(tài)密碼后直接輸入動態(tài)口令牌顯示窗口顯示的6位密碼即可。（3）刮刮卡刮刮卡是用一次性口令技術(shù)事先算出一次性口令的子集或全集，將這些口令印制在一張 卡片上。刮刮卡密碼本身為靜態(tài)的數(shù)字，但是每次登陸網(wǎng)銀系統(tǒng)的時候，系統(tǒng)會隨機抽取一 組坐標(biāo)組合，由這組坐標(biāo)組合對應(yīng)的數(shù)字組合成動態(tài)密碼。（4）動態(tài)短信動態(tài)短信是服務(wù)器端通過通信服務(wù)商向用戶的手機上發(fā)送一次性密碼短信，用戶也可以 通過撥打相應(yīng)的

13、客服電話來獲得一次性密碼。對客戶來說幾乎沒有投入成本，安全性強。上面介紹的這四種身份認(rèn)證的輔助解決方案可以在相當(dāng)大的程度上杜絕目前流行的專 門盜取客戶的賬號和密碼的“盜號木馬”的危害?？刂葡到y(tǒng)權(quán)限控制包括網(wǎng)絡(luò)的訪問權(quán)限控制，設(shè)備的訪問權(quán)限控制，服務(wù)器的遠(yuǎn)程訪問權(quán)限控制 （包括頁面服務(wù)器、應(yīng)用服務(wù)器、數(shù)據(jù)庫服務(wù)器等），網(wǎng)銀系統(tǒng)的權(quán)限控制。其中企業(yè)網(wǎng)銀 和后臺管理系統(tǒng)涉及到多人在同一系統(tǒng)內(nèi)的操作，權(quán)限控制尤其重要。3.邊界控制可以在網(wǎng)絡(luò)邊界設(shè)置多重的防火墻，防止外界的非法訪問。在網(wǎng)絡(luò)拓?fù)鋱D中也可以清楚 的看到，多種的防火墻可以保證網(wǎng)銀系統(tǒng)和銀行核心系統(tǒng)以及其他渠道系統(tǒng)的通信安全。其 中第一重和第二

14、重防火墻主要是防護互聯(lián)網(wǎng)用戶的非法入侵，第三道防火墻可以防護銀行內(nèi) 部用戶非法侵入網(wǎng)銀系統(tǒng)。防病毒網(wǎng)關(guān)病毒、蠕蟲和木馬等對網(wǎng)銀系統(tǒng)安全造成極大威脅。防病毒必須軟、硬件兩手抓。設(shè)置 防病毒網(wǎng)關(guān)對進入應(yīng)用區(qū)的信息進行掃描，同時網(wǎng)銀系統(tǒng)的程序本身也要防止SQL注入等 應(yīng)用層的安全漏洞。傳輸加密數(shù)據(jù)加密地方法有里鏈路層加密、網(wǎng)絡(luò)層加密及應(yīng)用層加密。其中對網(wǎng)銀來說，應(yīng)用層 的加密應(yīng)用比較廣泛。網(wǎng)銀客戶端至服務(wù)器端的安全連接可以采用SSL(Security Socket Layer)協(xié)議o SSL已得到各主流瀏覽器內(nèi)置的支持。由于標(biāo)準(zhǔn)的SSL協(xié)議，在采用客戶端 證書時，并未對用戶的交易數(shù)據(jù)進行顯式簽名，所

15、以一般的網(wǎng)銀系統(tǒng)可通過在客戶瀏覽器安 裝簽名控件來完成，簽名控件一方面可以完成數(shù)字簽名，另一方面，通過自定義簽名格式， 只對需要的頁面要素進行簽名，去除不必要的數(shù)據(jù)被簽名。安全的操作系統(tǒng)銀行交易服務(wù)器需要更高級別的安全性，而服務(wù)器的安全性又極大的依賴操作系統(tǒng)的安 全性?？梢栽诜?wù)器上安裝的增強型安全插件，防止緩沖器溢出攻擊和服務(wù)器劫持等。六、安全檢測方案安全監(jiān)測方案包括以下三個方面：1.入侵檢測系統(tǒng)入侵檢測可以作為傳統(tǒng)防火墻的輔助方案，可以根據(jù)入侵檢測的結(jié)果進行防護、響應(yīng)和 恢復(fù)。入侵檢測系統(tǒng)(Intrusion Detection System，簡稱IDS)是采用相對應(yīng)的入侵檢測 軟件和硬件

16、的集成。采用基于網(wǎng)絡(luò)的入侵檢測產(chǎn)品（NIDS）實時監(jiān)控公共網(wǎng)絡(luò)和銀行網(wǎng)絡(luò)間 的通信，捕獲網(wǎng)絡(luò)入侵；采用基于主機的入侵檢測產(chǎn)品HIDS）監(jiān)測服務(wù)器會話數(shù)據(jù)流和系 統(tǒng)審計日志以捕獲主機入侵。狀態(tài)監(jiān)測系統(tǒng)部署網(wǎng)絡(luò)和主機的監(jiān)控系統(tǒng)，監(jiān)控網(wǎng)絡(luò)和主機的運行狀態(tài)，可以實時反映網(wǎng)銀系統(tǒng)的性 能，以及時做出相應(yīng)的措施。安全審計系統(tǒng)在設(shè)置防火墻和入侵檢測系統(tǒng)的同時，仍需要對網(wǎng)絡(luò)銀行輸入輸出的信息數(shù)據(jù)需要進行 審查核實，防止敏感信息數(shù)據(jù)的泄露。在整個網(wǎng)絡(luò)系統(tǒng)的各個單元中設(shè)置安全審計，從軟硬 件各方面入手發(fā)現(xiàn)安全漏洞，包括數(shù)據(jù)的安全與操作的安全等。七、安全恢復(fù)方案負(fù)載均衡和雙機熱備網(wǎng)銀系統(tǒng)的用戶量大，訪問和數(shù)據(jù)的流量也相應(yīng)增加。所以目前的網(wǎng)絡(luò)銀行系統(tǒng)多會采 用負(fù)載平衡策略。負(fù)載平衡的算法有多重，包括依序，比重，流量比例，自動分配等。對于 應(yīng)用IBM WebSphere ApplicationServer作為應(yīng)用服務(wù)器的網(wǎng)絡(luò)銀行系統(tǒng)多采用比重算法 進行自動分配請求。此處講的雙機熱備多指基于高