网上银行系统安全体系浅析

本文转自：http://www.iii-soft.com/forum.php?mod=viewthread&tid=1626&extra=page%3D1

引言
网上银行系统是银行通过互联网为客户提供各种金融服务和信息增值服务的系统。为了能够安全地开展网上银行业务，必须在以下几个层面上采取不同的安全技术规范来保证系统的安全性，如安全策略、物理安全、系统资源安全、应用系统安全、数据通信安全、运行安全、人员安全、安全评估于检查等。
1 安全策略
安全策略就是要求银行高级管理层对网上银行业务的技术性风险管理给予高度重视，并针对网上银行业务的特点，制定全面、综合、重点突出的系统即信息安全规章制度和操作程序，在根据重要性、复杂性和敏感性等方面对系统进行分类、分层次的保护，以保证银行能集中精力管理关键部分。
2 物理安全
物理安全是指有形的安全措施。主要针对计算机系统、网络设备、通信线路等关键设备及信息的安全防卫措施。例如，计算机房要安装电子门户控制系统，关键场所要安全监视器，关键设备之间要保证相互隔离，进入密钥保管房间要有多人控制等。
3 系统资源安全
系统资源安全主要指构成系统的软硬件本身的安全系数。如软硬件的配置是否达到先进水平，是否符合安全标准。
4 应用系统安全
应用系统安全主要涉及对客户的身份认证和对交易的确认，这是网上银行业务运作的关键环节。网上银行业务突破了传统银行业务经营的概念，客户不用到银行柜台就可以操作，银行业务人员和客户之间也没有面对面的接触，这就要求银行必须有一套有效的系统确认客户的资格，保证客户和银行双方无法否认已发生的交易。
5 数据通信安全
数据通信安全是网上银行业务和技术风险管理的核心部分。银行应适当地设计和配置不同的服务器和防火墙，采用合适的加密技术，在保证网上银行业务平稳运行的基础上，确保数据传输的保密性和完整性。服务器包括网络服务器、应用服务器和数据库服务器。防火墙则包括外部防火墙和内部防火墙。为保证系统不受黑客侵入，银行应在网络服务器和互联网之间设置外部防火墙，在网络服务器和银行内部计算机系统之间设置内部防火墙。嘉勉技术主要包括密码算法和密钥长度两个方面的内容构成，通过采用合适长度的密钥和密码算法，可以有效地防止系统传输的信息和系统存储的信息被破译，从而保证网上银行业务信息的安全。
6 运行安全
运行安全主要是指银行计算机系统运行的内部控制制度，包括银行业务运行应急计划和业务连续性计划、管理人员和业务人员授权、保密字管理等方面的内容。
7 人员安全
人员安全是指业务人员和技术人员的专业能力和管理能力是否达到风险控制和业务发展的要求，具体包括人员审查、安全意识培养、人员培训等。
8 安全评估和检查
安全评估与检查是网上银行业务风险控制的重要组成部分。包括三个方面的内容：一是公认的社会评估机构对计算机系统的安全评估；二是银行管理层对计算机系统的安全测试；三是银行内部审计部门对网上银行业务及系统运作情况的检查。
从系统层的角度，整个网上银行系统结构分为三个层次：第一部分是Internet接入区域；第二部分是对外提供服务的Web服务器， 同时也放置了CA服务器；第三个部分是内网区域，含应用服务器、数据库服务器等。
对不同的安全级别的区域采用网关类的设备进行隔离，使用既能实现防火墙功能，又能实现IPS和病毒过滤的相关安全防护产品，实现网络层的隔离，应用层的攻击和病毒的隔离，形成真正意义上的立体全面多位一体综合侦测防御体系。
在网银系统互联网接入的入口处，为了保证链路的可用性，一般采取双链路接入方式，通过两家不同的ISP提供互联网接入，在其中一条链路出现故障时仍然可以提供网上银行的交易服务。同时，作为提供认证服务的CA中心，也是通过互联网提供连接的。CA认证中心作为独立的第三方机构，不属于网银系统的网络范畴，但客户对网银的验证和网银对客户的验证都是通过互联网连接CA中心实现的。
在网银系统的Internet接入路由器之后，部署安全网关（或防火墙）、负载均衡设备和WEB服务器。安全网关可根据需要也做双机热备处理。同时部署负载均衡设备，对访问网银系统的流量进行动态分配。负载均衡设备的另一个重要应用是可做SSL解密，因为SSL在解除非对称加密时会占用系统大量资源，因此在网银系统的设计中，SSL的解密一般放在负载均衡设备上处理，负载均衡设备专门对SSL解密过程做了硬件优化，因此在效率上能够得到保障。通过负载均衡设备后用户请求将进入WEB服务器，WEB服务器将部署网银门户网站的静态内容，如网银系统登陆入口、用户手册下载、驱动程序下载、工具软件下载、营销信息等网银相关内容，此外WEB服务器的另一个重要职责是向应用服务器转发通讯请求，对于需要和应用服务器交互的动态信息，如网银登陆、转账、实时查询等交易请求将通过部署在WEB服务器上的插件转发至应用服务器。
通过WEB服务器后，进入网银系统的主要应用部分，这部分将网银系统网站的应用分为应用服务器和数据库的三层结构。应用服务器和数据库服务器均使用双机热备，数据库服务器还备有存储设备，存储网银系统的业务数据。网银系统只作业务数据接受和存储，真正的业务处理要发送到银行核心的业务处理网络或业务处理中心进行具体的业务操作。因此在网银系统的后端连接的是银行的综合业务网络。这一部分设置了防火墙和通信加密系统。防火墙限制了银行内部网络对网银系统的访问，并限制网银系统对银行内部业务系统的访问。网银系统发送给业务系统的数据，均需要经过加密设备的加密才能送出网银系统，进入银行综合业务网络。
整个系统中在不同区域部署的防火墙产品可以启用策略控制，只向外开放允许访问端口。比如说部署于对外Web服务器与Internet之间的防火墙产品上只开放由外向内的Http端口，部署于Web服务器与内部网之间的防火墙设置策略只允许Web服务器访问内部网，禁止其它服务和设备通过防火墙；在防火墙上启用网关级别的病毒过滤模块，对HTTP，FTP，IMAP，POP3，SMTP，IM等协议传输的文件实现病毒过滤，该过滤体系能够有效地对所传输的文件进行检测，当发现病毒时予以阻断。病毒网关的部署，实现了对病毒的分区域管理，当一个地区爆发病毒时，会被有效地隔离在本地，而不至于传染到其他地区去，从而避免所有区域爆发病毒；在防火墙上开启IPS特征值类的阻断。根据所要保护的服务器和其提供的服务，开启相应的入侵检测和防御的功能。比如说针对某个Apache的服务器，我们推荐开启入侵检测的与Web相关Apache攻击特征值；此外防火墙的DoS防御能力能够有效地低挡syn flood，udp flood等DoS攻击，能够在高攻击的背景下，保持正常的对网银服务器的访问针对整个网络的访问，启用病毒文件网关过滤体系对蠕虫病毒进行防护；通过入侵检测和防御设备（IDS）实现对利用系统的漏洞进行攻击行为的防御；通过设置审计日志设备来记录所有通过防火墙的数据通讯，用于网银涉及到的诉讼的法律证据。比如说，某人连接网银的服务器做了不符合法律规定的事务，可以通过审计日志设备上所记录下来的原始数据包作为法律证据。另外，审计日志设备可以有效地还原http、ftp、smtp、imap、pop3等协议通讯的内容，了解实际操作的过程，对于跟踪攻击和事后补救具有非常重要的意义