網(wǎng)上銀行安全系統(tǒng)

網(wǎng)上銀行安全系統(tǒng)Shanxixian20130516一、網(wǎng)上銀行安全系統(tǒng)概述二、網(wǎng)上銀行系統(tǒng)安全需求三、安全系統(tǒng)架構(gòu)四、安全檢測方案五、評價一、網(wǎng)上銀行安全系統(tǒng)概述背景安全是網(wǎng)上銀行應用推廣的基礎(chǔ)，網(wǎng)上銀行的安全系統(tǒng)是為了保證網(wǎng)上銀行系統(tǒng)的數(shù)據(jù)不被非法存取或修改，保證業(yè)務(wù)處理按照銀行規(guī)定的流程被執(zhí)行。如何保證網(wǎng)上銀行交易系統(tǒng)的安全，關(guān)系到銀行內(nèi)部整個金融網(wǎng)的安全，也關(guān)系到銀行客戶的資金安全。因此，網(wǎng)上銀行的安全建設(shè)至關(guān)重要。二、網(wǎng)上銀行系統(tǒng)安全需求業(yè)務(wù)邏輯安全需求數(shù)據(jù)安全需求1.業(yè)務(wù)邏輯安全需求身份認證需求訪問控制需求交易重復提交控制需求身份認證需求在雙方進行交易前，首先要能確認對方的身份，要求交易雙方的身份不能被假冒或偽裝。同時客戶端容易感染木馬病毒，普通的靜態(tài)密碼認證已不能滿足網(wǎng)絡(luò)銀行的安全需求。網(wǎng)銀系統(tǒng)需要更有效的身份認證系統(tǒng)。1.業(yè)務(wù)邏輯安全需求訪問控制需求訪問控制是網(wǎng)上銀行安全子系統(tǒng)中的核心安全策略，對關(guān)鍵網(wǎng)絡(luò)、系統(tǒng)和數(shù)據(jù)的訪問必須得到有效的控制，這就要求系統(tǒng)能夠確認訪問者的身份，謹慎授權(quán)，并對任何訪問進行跟蹤記錄。1.業(yè)務(wù)邏輯安全需求交易重復提交控制需求交易重復提交就是同一個交易被多次提交給網(wǎng)銀系統(tǒng)。查詢類的交易被重復提交將會無故占用更多的系統(tǒng)資源，而管理類或金融類的交易被重復提交后，后果則會嚴重的多。交易被重復提交可能是無意的，也有可能是蓄意的攻擊。網(wǎng)銀安全子系統(tǒng)必須對管理類和金融類交易提交的次數(shù)進行控制，這種控制即要有效的杜絕用戶的誤操作，還不能影響用戶正常情況下對某個交易的多次提交。1.業(yè)務(wù)邏輯安全需求2.數(shù)據(jù)安全需求數(shù)據(jù)保密性需求數(shù)據(jù)完整性需求數(shù)據(jù)可用性需求數(shù)據(jù)不可偽造性需求數(shù)據(jù)不可抵賴性需求2.數(shù)據(jù)安全需求數(shù)據(jù)保密性需求數(shù)據(jù)保密性要求數(shù)據(jù)只能由授權(quán)實體存取和識別，防止非授權(quán)泄露。要對敏感重要的商業(yè)信息進行加密，即使別人截獲或竊取了數(shù)據(jù)，也無法識別信息的真實內(nèi)容，這樣就可以使商業(yè)機密信息難以被泄露。從目前國內(nèi)網(wǎng)銀應用的安全案例統(tǒng)計數(shù)據(jù)來看，數(shù)據(jù)保密性需求主要體現(xiàn)在以下幾個方面：客戶端與網(wǎng)銀系統(tǒng)交互時輸入的各類密碼：包括系統(tǒng)登錄密碼、轉(zhuǎn)賬密碼、憑證查詢密碼等必須加密傳輸及存放，這些密碼在網(wǎng)銀系統(tǒng)中只能以密文的方式存在，其明文形式能且只能由其合法主體能夠識別。網(wǎng)銀系統(tǒng)與其它系統(tǒng)進行數(shù)據(jù)交換時必須進行端對端的加解密處理。這里的數(shù)據(jù)加密主要是為了防止交易數(shù)據(jù)被銀行內(nèi)部人士截取利用。數(shù)據(jù)據(jù)的的完完整整性性需需求求數(shù)據(jù)據(jù)完完整整性性要要求求防防止止非非授授權(quán)權(quán)實實體體對對數(shù)數(shù)據(jù)據(jù)進進行行非非法法修修改改。。交易易各各方方能能夠夠驗驗證證收收到到的的信信息息是是否否完完整整，，即即信信息息是是否否被被人人篡篡改改過過，，或或者者在在數(shù)數(shù)據(jù)據(jù)傳傳輸輸過過程程中中是是否否出出現(xiàn)現(xiàn)信信息息丟丟失失、、信信息息重重復復等等差差錯錯。。通通常常網(wǎng)網(wǎng)銀銀系系統(tǒng)統(tǒng)中中有有兩兩個個地地方方需需要要對對數(shù)數(shù)據(jù)據(jù)進進行行完完整整性性檢檢查查：：一一是是在在網(wǎng)網(wǎng)銀銀用用戶戶提提交交交交易易數(shù)數(shù)據(jù)據(jù)簽簽名名時時；；另另一一種種是是網(wǎng)網(wǎng)銀銀系系統(tǒng)統(tǒng)與與該該行行其其它它系系統(tǒng)統(tǒng)進進行行通通訊訊時時，，需需要要檢檢查查報報文文的的完完整整性性。。2.數(shù)據(jù)據(jù)安安全全需需求求數(shù)據(jù)據(jù)的的可可用用性性需需求求數(shù)據(jù)據(jù)可可用用性性要要求求數(shù)數(shù)據(jù)據(jù)對對于于授授權(quán)權(quán)實實體體是是有有效效、、可可用用的的，，保保證證授授權(quán)權(quán)實實體體對對數(shù)數(shù)據(jù)據(jù)的的合合法法存存取取權(quán)權(quán)利利。。對數(shù)數(shù)據(jù)據(jù)可可用用性性最最典典型型的的攻攻擊擊就就是是拒拒絕絕式式攻攻擊擊和和分分布布式式拒拒絕絕攻攻擊擊，，兩兩者者都都是是通通過過大大量量并并發(fā)發(fā)的的惡惡意意請請求求來來占占用用系系統(tǒng)統(tǒng)資資源源，，致致使使合合法法用用戶戶無無法法正正常常訪訪問問目目標標系系統(tǒng)統(tǒng)。。網(wǎng)銀銀系系統(tǒng)統(tǒng)可可用用性性需需求求體體現(xiàn)現(xiàn)在在以以下下幾幾個個方方面面：：并發(fā)發(fā)用用戶戶/并發(fā)發(fā)連連接接。。同時時在在線線人人數(shù)數(shù)。。中斷斷允允許許的的最最大大時時間間。。對系系統(tǒng)統(tǒng)的的訪訪問問時時間間的的要要求求。。2.數(shù)據(jù)據(jù)安安全全需需求求數(shù)據(jù)據(jù)不不可可偽偽造造性性需需求求電子子交交易易文文件件要要能能做做到到不不可可修修改改。。2.數(shù)據(jù)據(jù)安安全全需需求求數(shù)據(jù)據(jù)不不可可抵抵賴賴性性需需求求在電電子子交交易易通通信信過過程程的的各各個個環(huán)環(huán)節(jié)節(jié)中中都都必必須須是是不不可可否否認認的的，，即即交交易易一一旦旦達達成成，，發(fā)發(fā)送送方方不不能能否否認認他他發(fā)發(fā)送送的的信信息息，，接接收收方方則則不不能能否否認認他他所所收收到到的的信信息息。。2.數(shù)據(jù)據(jù)安安全全需需求求三、、安安全全系系統(tǒng)統(tǒng)架架構(gòu)構(gòu)PPDRR安全全模模型型安全全系系統(tǒng)統(tǒng)網(wǎng)網(wǎng)絡(luò)絡(luò)拓拓撲撲圖圖安全全策策略略安全全防防護護方方案案安全全檢檢測測方方案案安全全恢恢復復方方案案三、、安安全全系系統(tǒng)統(tǒng)架架構(gòu)構(gòu)3.1PPDRR安全全模模型型構(gòu)建建完完善善的的安安全全系系統(tǒng)統(tǒng)解解決決方方案案，，安安全全模模型型的的選選擇擇至至關(guān)關(guān)重重要要。。PDR模型型是是由由ISS公司司最最早早提提出出的的入入侵侵檢檢測測的的一一種種模模型型。。PDR是防防護護（（Protection）、、檢檢測測（（Detection）和和響響應應（（Response）的的縮縮寫寫。。三三者者構(gòu)構(gòu)成成了了一一個個首首尾尾相相接接的的環(huán)環(huán)，，也也即即“防護護->檢測測->響應應->防護護”的一一個個循循環(huán)環(huán)。。PDR模型型有有很很多多變變體體，，在在銀銀行行網(wǎng)網(wǎng)絡(luò)絡(luò)中中最最著著名名的的是是PPDRR模型型。。增增加加了了策策略略(Policy)和恢恢復復(Recovery)。PPDRR模型型是是典典型型的的、、公公認認的的安安全全模模型型。。它它是是一一種種動動態(tài)態(tài)的的、、自自適適應應的的安安全全模模型型，，可可適適應應安安全全風風險險和和安安全全需需求求的的不不斷斷變變化化，，提提供供持持續(xù)續(xù)的的安安全全保保障障。。PPDRR模型包括策略略、防護、檢測、響應和恢復復5個主要部分。。防護、檢測測、響應和恢恢復構(gòu)成一個個完整的、動動態(tài)的安全循循環(huán)，在PPDRR模型安全策略略的指導下共共同實現(xiàn)安全全保障，如下下圖所示。PPDRR安全模型圖1.PPDRR模型3.2安全系統(tǒng)網(wǎng)絡(luò)絡(luò)拓撲圖以PPDRR安全模型為基基礎(chǔ)設(shè)計的網(wǎng)網(wǎng)銀安全系統(tǒng)統(tǒng)網(wǎng)絡(luò)拓撲圖圖如下圖所示示：安全系統(tǒng)網(wǎng)絡(luò)絡(luò)拓撲圖通過拓撲圖可可以看出，整整個網(wǎng)絡(luò)系統(tǒng)統(tǒng)通過三道防防火墻劃分為為四個邏輯區(qū)區(qū)域。按由外外到內(nèi)的順序序部署。最外外層為是Internet區(qū)（非授信區(qū)區(qū)），為網(wǎng)銀銀用戶客戶端端接入?yún)^(qū)域；；第一道防火火墻和第二道道防火墻之間間是隔離區(qū)（（DMZ），在此區(qū)域域中部署RA服務(wù)器以及網(wǎng)網(wǎng)銀系統(tǒng)的Web服務(wù)器等其它它第三方應用用系統(tǒng)；第二二道防火墻和和第三道防火火墻之間是應應用區(qū)，是網(wǎng)網(wǎng)銀系統(tǒng)的應應用/DB區(qū)，在在此區(qū)區(qū)域中中部署署網(wǎng)銀銀系統(tǒng)統(tǒng)的應應用服服務(wù)器器和數(shù)數(shù)據(jù)庫庫服務(wù)務(wù)器；；第三三道防防火墻墻之后后為銀銀行的的核心心系統(tǒng)統(tǒng)、中中間業(yè)業(yè)務(wù)平平臺等等第三三方業(yè)業(yè)務(wù)系系統(tǒng)。。在隔隔離區(qū)區(qū)和應應用區(qū)區(qū)的Web服務(wù)器器，應應用服服務(wù)器器和數(shù)數(shù)據(jù)庫庫服務(wù)務(wù)器都都會有有相應應的雙雙機熱熱備方方案。。3.3安全策策略安全策策略是是整個個安全全體系系的基基礎(chǔ)。。構(gòu)建建安全全系統(tǒng)統(tǒng)需要要工程程師來來操作作，這這就需需要建建立健健全的的規(guī)章章制度度和操操作規(guī)規(guī)范，，使保保護、、檢測測、響響應和和恢復復環(huán)節(jié)節(jié)行之之有效效。一般的的安全全系統(tǒng)統(tǒng)需要要以下下規(guī)章章制度度和操操作規(guī)規(guī)范：：設(shè)備備管理理制度度，機機房管管理制制度，，系統(tǒng)統(tǒng)安全全管理理守則則和明明細，，網(wǎng)絡(luò)絡(luò)安全全管理理守則則和明明細，，應用用安全全管理理守則則和明明細，，應急急響應應計劃劃，災災難恢恢復計計劃等等。3.4安全防防護方方案身份認認證系系統(tǒng)權(quán)限控控制系系統(tǒng)邊界控控制防病毒毒網(wǎng)關(guān)關(guān)傳輸加加密安全的的操作作系統(tǒng)統(tǒng)3.4.1身份認認證系系統(tǒng)網(wǎng)上銀銀行應應用系系統(tǒng)中中的安安全防防護的的第一一道防防線是是身份份認證證。身身份認認證的的技術(shù)術(shù)有很很多，，可以以分為為兩類類：軟軟件認認證和和硬件件認證證。其其中軟軟件認認證多多為用用戶自自己知知道的的秘密密信息息，譬譬如用用戶名名和密密碼。。硬件件認證證包括括IC卡，基基于生生物學學信息息的身身份認認證，，比如如指紋紋識別別，虹虹膜識識別，，面部部識別別等。。單純的的軟件件認證證已不不能滿滿足網(wǎng)網(wǎng)絡(luò)銀銀行系系統(tǒng)的的身份份認證證需求求，所所以網(wǎng)網(wǎng)絡(luò)銀銀行多多采用用軟硬硬件結(jié)結(jié)合的的雙因因子認認證方方式作作為身身份認認證的的輔助助解決決方案案。其其中流流行的的雙因因子認認證多多為動動態(tài)密密碼：：3.4安全防防護方方案USBKey認證動態(tài)口口令刮刮卡卡動態(tài)短短信上面介介紹的的這四四種身身份認認證的的輔助助解決決方案案可以以在相相當大大的程程度上上杜絕絕目前前流行行的專專門盜盜取客客戶的的賬號號和密密碼的的“盜號木木馬”的危害害。USBKey認證USBKey內(nèi)置智智能卡卡芯片片，可可以存存儲用用戶的的密鑰鑰或數(shù)數(shù)字證證書。。一般般的USBKey都以CA認證為為核心心，采采用雙雙證書書（加加密證證書/簽名證證書））、雙雙中心心（認認證中中心、、密鑰鑰中心心）機機制來來做身身份認認證。。通常常還有有個啟啟動PIN碼。提提供對對USBKey持有人人的認認證。。這樣樣不怕怕USBKey被別人人盜用用。動態(tài)口口令動態(tài)口口令由由專有有的動動態(tài)令令牌定定時生生成，，一般般60秒隨機機更新新一次次。用用戶每每次登登陸輸輸入完完靜態(tài)態(tài)密碼碼后直直接輸輸入動動態(tài)口口令牌牌顯示示窗口口顯示示的6/8位密碼碼即可可。刮刮卡卡刮刮卡卡是用用一次次性口口令技技術(shù)事事先算算出一一次性性口令令的子子集或或全集集，將將這些些口令令印制制在一一張卡卡片上上。刮刮刮卡卡密碼碼本身身為靜靜態(tài)的的數(shù)字字，但但是每每次登登陸網(wǎng)網(wǎng)銀系系統(tǒng)的的時候候，系系統(tǒng)會會隨機機抽取取一組組坐標標組合合，由由這組組坐標標組合合對應應的數(shù)數(shù)字組組合成成動態(tài)態(tài)密碼碼。動態(tài)短短信動態(tài)短短信是是服務(wù)務(wù)器端端通過過通信信服務(wù)務(wù)商向向用戶戶的手手機上上發(fā)送送一次次性密密碼短短信，，用戶戶也可可以通通過撥撥打相相應的的客服服電話話來獲獲得一一次性性密碼碼。對對客戶戶來說說幾乎乎沒有有投入入成本本，安安全性性強。。3.4.2權(quán)限控控制系系統(tǒng)權(quán)限控控制包包括網(wǎng)絡(luò)的訪問問權(quán)限限控制制，設(shè)備的訪問問權(quán)限限控制制，服務(wù)器器的遠遠程訪訪問權(quán)限控控制（（包括括頁面面服務(wù)務(wù)器、、應用用服務(wù)務(wù)器、、數(shù)據(jù)據(jù)庫服服務(wù)器器等）），網(wǎng)銀系系統(tǒng)的權(quán)限限控制制。其其中企企業(yè)網(wǎng)網(wǎng)銀和和后臺臺管理理系統(tǒng)統(tǒng)涉及及到多多人在在同一一系統(tǒng)統(tǒng)內(nèi)的的操作作，權(quán)權(quán)限控控制尤尤其重重要。。3.4安全防防護方方案3.4.3邊界控控制可以在在網(wǎng)絡(luò)絡(luò)邊界界設(shè)置置多重重的防防火墻墻，防防止外外界的的非法法訪問問。在在網(wǎng)絡(luò)絡(luò)拓撲撲圖中中也可可以清清楚的的看到到，多多種的的防火火墻可可以保保證網(wǎng)網(wǎng)銀系系統(tǒng)和和銀行行核心心系統(tǒng)統(tǒng)以及及其他他渠道道系統(tǒng)統(tǒng)的通通信安安全。。其中中第一一重和和第二二重防防火墻墻主要要是防防護互互聯(lián)網(wǎng)網(wǎng)用戶戶的非非法入入侵，，第三三道防防火墻墻可以以防護護銀行行內(nèi)部部用戶戶非法法侵入入網(wǎng)銀銀系統(tǒng)統(tǒng)。3.4安全防防護方方案3.4.4防病毒毒網(wǎng)關(guān)關(guān)病毒、、蠕蟲蟲和木木馬等等對網(wǎng)網(wǎng)銀系系統(tǒng)安安全造造成極極大威威脅。。防病病毒必必須軟軟、硬硬件兩兩手抓抓。設(shè)設(shè)置防防病毒毒網(wǎng)關(guān)關(guān)對進進入應應用區(qū)區(qū)的信信息進進行掃掃描，，同時時網(wǎng)銀銀系統(tǒng)統(tǒng)的程程序本本身也也要防防止SQL注入等等應用用層的的安全全漏洞洞。3.4安全防防護方方案3.4.5傳輸加加密數(shù)據(jù)加密的的方法里有有鏈路層加密密、網(wǎng)絡(luò)層層加密及應應用層加密密。其中對網(wǎng)網(wǎng)銀來說，，應用層的的加密應用用比較廣泛泛。網(wǎng)銀客客戶端至服服務(wù)器端的的安全連接接可以采用用SSL（SecuritySocketLayer）協(xié)議。SSL已得到各主主流瀏覽器器內(nèi)置的支支持。由于于標準的SSL協(xié)議，在采采用客戶端端證書時，，并未對用用戶的交易易數(shù)據(jù)進行行顯式簽名名，所以一一般的網(wǎng)銀銀系統(tǒng)可通通過在客戶戶瀏覽器安安裝簽名控控件來完成成，簽名控控件一方面面可以完成成數(shù)字簽名名，另一方方面，通過過自定義簽簽名格式，，只對需要要的頁面要要素進行簽簽名，去除除不必要的的數(shù)據(jù)被簽簽名。3.4安全防護方方案3.4.6安全的操作作系統(tǒng)銀行交易服服務(wù)器需要要更高級別別的安全性性，而服務(wù)務(wù)器的安全全性又極大大的依賴操操作系統(tǒng)的的安全性。?？梢栽诜?wù)器上安安裝的增強強型安全插插件，防止止緩沖器溢溢出攻擊和和服務(wù)器劫劫持等。3.4安全防護方方案四、安全檢檢測方案入侵檢測系系統(tǒng)狀態(tài)監(jiān)測系系統(tǒng)安全審計系系統(tǒng)4.1入侵檢測系系統(tǒng)入侵檢測可可以作為傳傳統(tǒng)防火墻墻的輔助方方案，可以以根據(jù)入侵侵檢測的結(jié)結(jié)果進行防防護、響應應和恢復。。入侵檢測測系統(tǒng)（IntrusionDetectionSystem，簡稱IDS）是采用相相對應的入入侵檢測軟軟件和硬件件的集成。。采用基于于網(wǎng)絡(luò)的入入侵檢測產(chǎn)產(chǎn)品（NIDS）實時監(jiān)控控公共網(wǎng)絡(luò)絡(luò)和銀行網(wǎng)網(wǎng)絡(luò)間的通通信，捕獲獲網(wǎng)絡(luò)入侵侵；采用基基于主機的的入侵檢測測產(chǎn)品（HIDS）監(jiān)測服務(wù)務(wù)器會話數(shù)數(shù)據(jù)流和系系統(tǒng)審計日日志以捕獲獲主機入侵侵。4.2狀態(tài)監(jiān)測系系統(tǒng)部署網(wǎng)絡(luò)和和主機的監(jiān)監(jiān)控系統(tǒng)，，監(jiān)控網(wǎng)絡(luò)絡(luò)和主機的的運行狀態(tài)態(tài)，可以實實時反映網(wǎng)網(wǎng)銀系統(tǒng)的的性能，以以及時做出出相應的措措施。4.3安全審計系系統(tǒng)在設(shè)置防火火墻和入侵侵檢測系統(tǒng)統(tǒng)的同時，，仍需要對對網(wǎng)絡(luò)銀行行輸入輸出出的信息數(shù)數(shù)據(jù)需要進進行審查核核實，防止止敏感信息息數(shù)據(jù)的泄泄露。在整整個網(wǎng)絡(luò)系系統(tǒng)的各個個單元中設(shè)設(shè)置安全審審計，從軟軟硬件各方方面入手發(fā)發(fā)現(xiàn)安全漏漏洞，包括括數(shù)據(jù)的安安全與操作作的安全等等。安全恢復方方案負載均衡和和雙機熱備備網(wǎng)銀系統(tǒng)的的用戶量大大，訪問和和數(shù)據(jù)的流流量也相應應增加。所所以目前的的網(wǎng)絡(luò)銀行行系統(tǒng)多會會采用負載載平衡策略略。負載平平衡的算法法有多種，，包括依序序，比重，，流量比例例，自動分分配等。對對于應用IBMWebSphereApplicationServer作為應用服服務(wù)器的網(wǎng)網(wǎng)絡(luò)銀行系系統(tǒng)多采用用比重算法法進行自動動分配請求求。此處講的雙雙機熱備多多指基于高高可用系統(tǒng)統(tǒng)的兩臺服服務(wù)器的熱熱備，包括括頁面服務(wù)務(wù)器，應用用服