網(wǎng)銀系統(tǒng)的安全系統(tǒng)解決方案概述

基于J2EE網(wǎng)銀系統(tǒng)平安系統(tǒng)解決方案概述摘要隨著中國參加WTO,外國銀行進(jìn)入中國市場，國內(nèi)銀行業(yè)務(wù)越來越多移植到網(wǎng)絡(luò)銀行上，因此網(wǎng)上銀行需求日益增加。但是Internet開放性特點(diǎn)，使網(wǎng)上銀行面臨種種風(fēng)險(xiǎn)，可以說平安性是網(wǎng)上銀行最大考核要素。所以一套完善平安系統(tǒng)是網(wǎng)上銀行必備。本文介紹國內(nèi)外網(wǎng)上銀行所普遍采用平安技術(shù)與方案,將從數(shù)據(jù)與業(yè)務(wù)邏輯兩個(gè)角度詳細(xì)地分析一般網(wǎng)上銀行系統(tǒng)平安需求，并據(jù)此引入以PPDRR為平安模型平安設(shè)計(jì)方案。主要平安技術(shù)包括SSL數(shù)據(jù)加密、CFCA數(shù)字證書認(rèn)證、動態(tài)口令技術(shù)、基于角色訪問控制機(jī)制等。通過閱讀本文，讀者不但可以了解網(wǎng)上銀行普遍采用平安系統(tǒng)架構(gòu)以及相關(guān)技術(shù)，而且對開發(fā)實(shí)際平安應(yīng)用系統(tǒng)具有一定指導(dǎo)意義。回頁首網(wǎng)上銀行平安系統(tǒng)概述背景平安是網(wǎng)上銀行應(yīng)用推廣根底，網(wǎng)上銀行平安系統(tǒng)是為了保證網(wǎng)上銀行系統(tǒng)數(shù)據(jù)不被非法存取或修改,保證業(yè)務(wù)處理按照銀行規(guī)定流程被執(zhí)行。網(wǎng)絡(luò)與信息平安涉及領(lǐng)域非常廣泛，就平安保密技術(shù)要實(shí)現(xiàn)目標(biāo)來看，一般可包括以下6個(gè)方面，或叫做平安效勞模型，即：身份認(rèn)證、授權(quán)控制、審計(jì)確認(rèn)、數(shù)據(jù)保密、數(shù)據(jù)完整與可用性。為保證網(wǎng)上銀行網(wǎng)絡(luò)與信息平安，銀行一般采用多層次體系構(gòu)造網(wǎng)上銀行平安系統(tǒng)?？梢詣澐譃椋壕W(wǎng)絡(luò)層、系統(tǒng)層與應(yīng)用層三個(gè)層次。網(wǎng)絡(luò)層組成部件包括：物理線路、路由器、交換機(jī)、網(wǎng)管軟件、防火墻、加密機(jī)等；系統(tǒng)層主要由主機(jī)、操作系統(tǒng)、數(shù)據(jù)庫、殺毒軟件等部件構(gòu)成；應(yīng)用層主要由Web效勞器、應(yīng)用效勞器、網(wǎng)上銀行系統(tǒng)軟件、RA效勞器、動態(tài)密碼效勞器等組成。業(yè)務(wù)邏輯平安需求業(yè)務(wù)邏輯平安主要是為了保護(hù)網(wǎng)上銀行業(yè)務(wù)邏輯按照特定規(guī)那么與流程被存取及處理。身份認(rèn)證需求在雙方進(jìn)展交易前，首先要能確認(rèn)對方身份要求交易雙方身份不能被假冒或偽裝。同時(shí)客戶端容易感染木馬病毒，普通靜態(tài)密碼認(rèn)證已不能滿足網(wǎng)絡(luò)銀行平安需求。網(wǎng)銀系統(tǒng)需要更有效身份認(rèn)證系統(tǒng)。訪問控制需求訪問控制是網(wǎng)上銀行平安子系統(tǒng)中核心平安策略，對關(guān)鍵網(wǎng)絡(luò)、系統(tǒng)與數(shù)據(jù)訪問必須得到有效控制，這就要求系統(tǒng)能夠確認(rèn)訪問者身份，慎重授權(quán)，并對任何訪問進(jìn)展跟蹤記錄。網(wǎng)銀系統(tǒng)訪問控制需求表達(dá)在以下幾個(gè)方面：制卡與卡數(shù)據(jù)維護(hù)必須指定專門管理人員；企業(yè)用戶不能訪問面向個(gè)人交易；個(gè)人網(wǎng)銀用戶不能訪問面向企業(yè)用戶交易；批量制卡操作與制卡數(shù)據(jù)導(dǎo)出只能由動態(tài)密碼管理系統(tǒng)管理員操作；柜員建立卡信息與客戶信息關(guān)聯(lián)應(yīng)采取授權(quán)機(jī)制。交易重復(fù)提交控制需求交易重復(fù)提交就是同一個(gè)交易被屢次提交給網(wǎng)銀系統(tǒng)。查詢類交易被重復(fù)提交將會無故占用更多系統(tǒng)資源，而管理類或金融類交易被重復(fù)提交后，后果那么會嚴(yán)重多。交易被重復(fù)提交可能是無意，也有可能是蓄意攻擊。網(wǎng)銀平安子系統(tǒng)必須對管理類與金融類交易提交次數(shù)進(jìn)展控制，這種控制即要有效杜絕用戶誤操作，還不能影響用戶正常情況下對某個(gè)交易屢次提交。數(shù)據(jù)平安需求數(shù)據(jù)保密性需求數(shù)據(jù)保密性要求數(shù)據(jù)只能由授權(quán)實(shí)體存取與識別，防止非授權(quán)泄露。要對敏感重要商業(yè)信息進(jìn)展加密，即使別人截獲或竊取了數(shù)據(jù)，也無法識別信息真實(shí)內(nèi)容，這樣就可以使商業(yè)機(jī)密信息難以被泄露。從目前國內(nèi)網(wǎng)銀應(yīng)用平安案例統(tǒng)計(jì)數(shù)據(jù)來看,數(shù)據(jù)保密性需求主要表達(dá)在以下幾個(gè)方面：客戶端與網(wǎng)銀系統(tǒng)交互時(shí)輸入各類密碼：包括系統(tǒng)登錄密碼、轉(zhuǎn)賬密碼、憑證查詢密碼等必須加密傳輸及存放，這些密碼在網(wǎng)銀系統(tǒng)中只能以密文方式存在，其明文形式能且只能由其合法主體能夠識別。網(wǎng)銀系統(tǒng)與其它系統(tǒng)進(jìn)展數(shù)據(jù)交換時(shí)必須進(jìn)展端對端加解密處理。這里數(shù)據(jù)加密主要是為了防止交易數(shù)據(jù)被銀行內(nèi)部人士截取利用。數(shù)據(jù)完整性需求數(shù)據(jù)完整性要求防止非授權(quán)實(shí)體對數(shù)據(jù)進(jìn)展非法修改。交易各方能夠驗(yàn)證收到信息是否完整，即信息是否被人篡改正，或者在數(shù)據(jù)傳輸過程中是否出現(xiàn)信息喪失、信息重復(fù)等過失。通常網(wǎng)銀系統(tǒng)中有兩個(gè)地方需要對數(shù)據(jù)進(jìn)展完整性檢查：一是在網(wǎng)銀用戶提交交易數(shù)據(jù)簽名時(shí)；另一種是網(wǎng)銀系統(tǒng)與該行其它系統(tǒng)進(jìn)展通訊時(shí)，需要檢查報(bào)文完整性。數(shù)據(jù)可用性需求數(shù)據(jù)可用性要求數(shù)據(jù)對于授權(quán)實(shí)體是有效、可用，保證授權(quán)實(shí)體對數(shù)據(jù)合法存取權(quán)利。對數(shù)據(jù)可用性最典型攻擊就是拒絕式攻擊與分布式拒絕攻擊，兩者都是通過大量并發(fā)惡意請求來占用系統(tǒng)資源，致使合法用戶無法正常訪問目標(biāo)系統(tǒng)。網(wǎng)銀系統(tǒng)可用性需求表達(dá)在以下幾個(gè)方面：并發(fā)用戶/并發(fā)連接。同時(shí)在線人數(shù)。中斷允許最大時(shí)間。對系統(tǒng)訪問時(shí)間要求。數(shù)據(jù)不可偽造性需求電子交易文件也要能做到不可修改。數(shù)據(jù)不可抵賴性需求在電子交易通信過程各個(gè)環(huán)節(jié)中都必須是不可否認(rèn)，即交易一旦達(dá)成，發(fā)送方不能否認(rèn)他發(fā)送信息,接收方那么不能否認(rèn)他所收到信息。回頁首平安系統(tǒng)架構(gòu)PPDRR平安模型構(gòu)建完善平安系統(tǒng)解決方案，平安模型選擇至關(guān)重要。PDR模型是由ISS公司最早提出入侵檢測一種模型。PDR是防護(hù)〔Protection〕、檢測〔Detection〕與響應(yīng)〔Response〕縮寫。三者構(gòu)成了一個(gè)首尾相接環(huán)，也即“防護(hù)->檢測->響應(yīng)->防護(hù)〃一個(gè)循環(huán)。PDR模型有很多變體，在銀行網(wǎng)絡(luò)中最著名是PPDRR模型。增加了策略(Policy)與恢復(fù)(Recovery)。PPDRR模型是典型、公認(rèn)平安模型。它是一種動態(tài)、自適應(yīng)平安模型，可適應(yīng)平安風(fēng)險(xiǎn)與平安需求不斷變化，提供持續(xù)平安保障。PPDRR模型包括策略(Policy)、防護(hù)(Protection)、檢測(Detection)、響應(yīng)(Response)與恢復(fù)(Recovery)5個(gè)主要局部。防護(hù)、檢測、響應(yīng)與恢復(fù)構(gòu)成一個(gè)完整、動態(tài)平安循環(huán)，在PPDRR模型平安策略指導(dǎo)下共同實(shí)現(xiàn)平安保障，如下列圖所示。圖1.PPDRR模型

響應(yīng)(Response)策略v(Policy)檢測響應(yīng)(Response)策略v(Policy)檢測L(Derection)防護(hù)(Protection)恢復(fù)(Recovery)平安系統(tǒng)網(wǎng)絡(luò)拓?fù)鋱D以PPDRR平安模型為根底設(shè)計(jì)網(wǎng)銀平安系統(tǒng)網(wǎng)絡(luò)拓?fù)鋱D如下列圖所示：

圖2.網(wǎng)絡(luò)拓?fù)鋱DJjCFCAS>^數(shù)搖庫服另器丘A席務(wù)器ISP^felW*b圖2.網(wǎng)絡(luò)拓?fù)鋱DJjCFCAS>^數(shù)搖庫服另器丘A席務(wù)器ISP^felW*b服島器應(yīng)用*務(wù)器教拡庫瞬務(wù)器通過拓?fù)鋱D可以看出，整個(gè)網(wǎng)絡(luò)系統(tǒng)通過三道防火墻劃分為四個(gè)邏輯區(qū)域。按由外到內(nèi)順序部署。最外層為是Internet區(qū)〔非授信區(qū)〕，為網(wǎng)銀用戶客戶端接入?yún)^(qū)域；第一道防火墻與第二道防火墻之間是隔離區(qū)〔DMZ〕，在此區(qū)域中部署RA效勞器以及網(wǎng)銀系統(tǒng)Web效勞器等其它第三方應(yīng)用系統(tǒng)；第二道防火墻與第三道防火墻之間是應(yīng)用區(qū)，是網(wǎng)銀系統(tǒng)應(yīng)用/DB區(qū)，在此區(qū)域中部署網(wǎng)銀系統(tǒng)應(yīng)用效勞器與數(shù)據(jù)庫效勞器；第三道防火墻之后為銀行核心系統(tǒng)、中間業(yè)務(wù)平臺等第三方業(yè)務(wù)系統(tǒng)。在隔離區(qū)與應(yīng)用區(qū)Web效勞器，應(yīng)用效勞器與數(shù)據(jù)庫效勞器都會有相應(yīng)雙機(jī)熱備方案。方案細(xì)節(jié)會在下文詳細(xì)介紹。平安策略平安策略是整個(gè)平安體系根底。構(gòu)建平安系統(tǒng)需要工程師來操作，這就需要建立健全規(guī)章制度與操作標(biāo)準(zhǔn)，使保護(hù)、檢測、響應(yīng)與恢復(fù)環(huán)節(jié)行之有效。一般平安系統(tǒng)需要以下規(guī)章制度與操作標(biāo)準(zhǔn)：設(shè)備管理制度，機(jī)房管理制度，系統(tǒng)平安管理守那么與明細(xì)，網(wǎng)絡(luò)平安管理守那么與明細(xì)，應(yīng)用平安管理守那么與明細(xì)，應(yīng)急響應(yīng)方案，災(zāi)難恢復(fù)方案等。平安防護(hù)方案防護(hù)方案主要包括以下幾個(gè)方面：身份認(rèn)證系統(tǒng)網(wǎng)上銀行應(yīng)用系統(tǒng)中平安防護(hù)第一道防線是身份認(rèn)證。身份認(rèn)證技術(shù)有很多，可以分為兩類：軟件認(rèn)證與硬件認(rèn)證。其中軟件認(rèn)證多為用戶自己知道秘密信息，譬如用戶名與密碼。硬件認(rèn)證包括IC卡，基于生物學(xué)信息身份認(rèn)證，比方指紋識別，虹膜識別，面部識別等。單純軟件認(rèn)證已不能滿足網(wǎng)絡(luò)銀行系統(tǒng)身份認(rèn)證需求,所以網(wǎng)絡(luò)銀行多采用軟硬件結(jié)合雙因子認(rèn)證方式作為身份認(rèn)證輔助解決方案。其中流行雙因子認(rèn)證多為動態(tài)密碼：1.USBKey認(rèn)證USBKey內(nèi)置智能卡芯片，可以存儲用戶密鑰或數(shù)字證書。一般USBKey都以CA認(rèn)證為核心，采用雙證書〔加密證書/簽名證書〕、雙中心〔認(rèn)證中心、密鑰中心〕機(jī)制來做身份認(rèn)證。通常還有個(gè)啟動PIN碼。提供對USBKey持有人認(rèn)證。這樣不怕USBKey被別人盜用。動態(tài)口令動態(tài)口令由專有動態(tài)令牌定時(shí)生成，一般60秒隨機(jī)更新一次。用戶每次登陸輸入完靜態(tài)密碼后直接輸入動態(tài)口令牌顯示窗口顯示6位密碼即可。刮刮卡刮刮卡是用一次性口令技術(shù)事先算出一次性口令子集或全集，將這些口令印制在一張卡片上。刮刮卡密碼本身為靜態(tài)數(shù)字，但是每次登陸網(wǎng)銀系統(tǒng)時(shí)候，系統(tǒng)會隨機(jī)抽取一組坐標(biāo)組合，由這組坐標(biāo)組合對應(yīng)數(shù)字組合成動態(tài)密碼。動態(tài)短信動態(tài)短信是效勞器端通過通信效勞商向用戶手機(jī)上發(fā)送一次性密碼短信，用戶也可以通過撥打相應(yīng)客服來獲得一次性密碼。對客戶來說幾乎沒有投入本錢，平安性強(qiáng)。上面介紹這四種身份認(rèn)證輔助解決方案可以在相當(dāng)大程度上杜絕目前流行專門盜取客戶賬號與密碼“盜號木馬〃危害。權(quán)限控制系統(tǒng)權(quán)限控制包括網(wǎng)絡(luò)訪問權(quán)限控制，設(shè)備訪問權(quán)限控制，效勞器遠(yuǎn)程訪問權(quán)限控制〔包括頁面效勞器、應(yīng)用效勞器、數(shù)據(jù)庫效勞器等〕，網(wǎng)銀系統(tǒng)權(quán)限控制。其中企業(yè)網(wǎng)銀與后臺管理系統(tǒng)涉及到多人在同一系統(tǒng)內(nèi)操作，權(quán)限控制尤其重要。邊界控制可以在網(wǎng)絡(luò)邊界設(shè)置多重防火墻，防止外界非法訪問。在網(wǎng)絡(luò)拓?fù)鋱D中也可以清楚看到，多種防火墻可以保證網(wǎng)銀系統(tǒng)與銀行核心系統(tǒng)以及其他渠道系統(tǒng)通信平安。其中第一重與第二重防火墻主要是防護(hù)互聯(lián)網(wǎng)用戶非法入侵，第三道防火墻可以防護(hù)銀行內(nèi)部用戶非法侵入網(wǎng)銀系統(tǒng)。防病毒網(wǎng)關(guān)病毒、蠕蟲與木馬等對網(wǎng)銀系統(tǒng)平安造成極大威脅。防病毒必須軟、硬件兩手抓。設(shè)置防病毒網(wǎng)關(guān)對進(jìn)入應(yīng)用區(qū)信息進(jìn)展掃描，同時(shí)網(wǎng)銀系統(tǒng)程序本身也要防止SQL注入等應(yīng)用層平安漏洞。傳輸加密數(shù)據(jù)加密地方法有里鏈路層加密、網(wǎng)絡(luò)層加密及應(yīng)用層加密。其中對網(wǎng)銀來說，應(yīng)用層加密應(yīng)用比擬廣泛。網(wǎng)銀客戶端至效勞器端平安連接可以采用SSL〔SecuritySocketLayer〕協(xié)議。SSL已得到各主流瀏覽器內(nèi)置支持。由于標(biāo)準(zhǔn)SSL協(xié)議，在采用客戶端證書時(shí)，并未對用戶交易數(shù)據(jù)進(jìn)展顯式簽名，所以一般網(wǎng)銀系統(tǒng)可通過在客戶瀏覽器安裝簽名控件來完成，簽名控件一方面可以完成數(shù)字簽名，另一方面，通過自定義簽名格式，只對需要頁面要素進(jìn)展簽名，去除不必要數(shù)據(jù)被簽名。平安操作系統(tǒng)銀行交易效勞器需要更高級別平安性，而效勞器平安性又極大依賴操作系統(tǒng)平安性。可以在效勞器上安裝增強(qiáng)型平安插件，防止緩沖器溢出攻擊與效勞器劫持等。平安檢測方案平安監(jiān)測方案包括以下三個(gè)方面：入侵檢測可以作為傳統(tǒng)防火墻輔助方案,可以根據(jù)入侵檢測結(jié)果進(jìn)展防護(hù)、響應(yīng)與恢復(fù)。入侵檢測系統(tǒng)〔IntrusionDetectionSystem，簡稱IDS〕是采用相對應(yīng)入侵檢測軟件與硬件集成。采用基于網(wǎng)絡(luò)入侵檢測產(chǎn)品〔NIDS〕實(shí)時(shí)監(jiān)控公共網(wǎng)絡(luò)與銀行網(wǎng)絡(luò)間通信，捕獲網(wǎng)絡(luò)入侵；采用基于主機(jī)入侵檢測產(chǎn)品〔HIDS〕監(jiān)測效勞器會話數(shù)據(jù)流與系統(tǒng)審計(jì)日志以捕獲主機(jī)入侵。狀態(tài)監(jiān)測系統(tǒng)部署網(wǎng)絡(luò)與主機(jī)監(jiān)控系統(tǒng)，監(jiān)控網(wǎng)絡(luò)與主機(jī)運(yùn)行狀態(tài)，可以實(shí)時(shí)反映網(wǎng)銀系統(tǒng)性能，以及時(shí)做出相應(yīng)措施。平安審計(jì)系統(tǒng)在設(shè)置防火墻與入侵檢測系統(tǒng)同時(shí)，仍需要對網(wǎng)絡(luò)銀行輸入輸出信息數(shù)據(jù)需要進(jìn)展審查核實(shí)，防止敏感信息數(shù)據(jù)泄露。在整個(gè)網(wǎng)絡(luò)系統(tǒng)各個(gè)單元中設(shè)置平安審計(jì)，從軟硬件各方面入手發(fā)現(xiàn)平安漏洞，包括數(shù)據(jù)平安與操作平安等。平安恢復(fù)方案負(fù)載均衡與雙機(jī)熱備網(wǎng)銀系統(tǒng)用戶量大，訪問與數(shù)據(jù)流量也相應(yīng)增加。所以目前網(wǎng)絡(luò)銀行系統(tǒng)多會采用負(fù)載平衡策略。負(fù)載平衡算法有多重，包括依序，比重，流量比例，自動分配等。對于應(yīng)用IBMWebSphereApplicationServer作為應(yīng)用效勞器網(wǎng)絡(luò)銀行系統(tǒng)多采用比重算法進(jìn)展自動分配請求。此處講雙機(jī)熱備多指基于高可用系統(tǒng)兩臺效勞器熱備,包括頁面效勞器，應(yīng)用效勞器與數(shù)據(jù)庫效勞器等。其中頁面效勞器與應(yīng)用效勞器多配置為集群，可采用雙主機(jī)方式〔Active-Active方式〕。數(shù)據(jù)庫效勞可以采用主-備方式〔Active-Standby方式〕?；仨撌淄戤呎Z本文以PPDRR平安模型為根底，對網(wǎng)銀系統(tǒng)平安解決方案進(jìn)展了概述。在網(wǎng)絡(luò)銀行應(yīng)用級別還有很多平安技術(shù)，譬如JCA〔JavaCryptographyArchi