.网上银行安全系统

1、网上银行平安系统网上银行平安系统访问控制需求访问控制是网上银行平安子系统中的核心平安策略，对关键网络、系统和数据的访问必须得到有效的控制，这就要求系统能够确认访问者的身份，谨慎授权，并对任何访问进行跟踪记录。1.业务逻辑平安需求交易重复提交控制需求交易重复提交就是同一个交易被屡次提交给网银系统。查询类的交易被重复提交将会无故占用更多的系统资源，而管理类或金融类的交易被重复提交后，后果那么会严重的多。交易被重复提交可能是无意的，也有可能是蓄意的攻击。网银平安子系统必须对管理类和金融类交易提交的次数进行控制，这种控制即要有效的杜绝用户的误操作，还不能影响用户正常情况下对某个交易的屡次提交。1.业务

2、逻辑平安需求2.数据平安需求数据保密性需求数据保密性需求数据完整性需求数据完整性需求数据可用性需求数据可用性需求数据不可伪造性需求数据不可伪造性需求数据不可抵赖性需求数据不可抵赖性需求2.数据平安需求数据保密性需求数据保密性需求数据保密性要求数据只能由授权数据保密性要求数据只能由授权实体存取和识别，防止非授权泄实体存取和识别，防止非授权泄露。要对敏感重要的商业信息进露。要对敏感重要的商业信息进行加密，即使别人截获或窃取了行加密，即使别人截获或窃取了数据，也无法识别信息的真实内数据，也无法识别信息的真实内容，这样就可以使商业机密信息容，这样就可以使商业机密信息难以被泄露。从目前国内网银应难以被泄

3、露。从目前国内网银应用的平安案例统计数据来看，数用的平安案例统计数据来看，数据保密性需求主要表达在以下几据保密性需求主要表达在以下几个方面：个方面：客户端与网银系统交互时输入的客户端与网银系统交互时输入的各类密码：包括系统登录密码、各类密码：包括系统登录密码、转账密码、凭证查询密码等必须转账密码、凭证查询密码等必须加密传输及存放，这些密码在网加密传输及存放，这些密码在网银系统中只能以密文的方式存在，银系统中只能以密文的方式存在，其明文形式能且只能由其合法主其明文形式能且只能由其合法主体能够识别。体能够识别。网银系统与其它系统进行数据交网银系统与其它系统进行数据交换时必须进行端对端的加解密处换时

4、必须进行端对端的加解密处理。这里的数据加密主要是为了理。这里的数据加密主要是为了防止交易数据被银行内部人士截防止交易数据被银行内部人士截取利用。取利用。数据的完整性需求数据的完整性需求数据完整性要求防止非授权实体对数据进行数据完整性要求防止非授权实体对数据进行非法修改。交易各方能够验证收到的信息是非法修改。交易各方能够验证收到的信息是否完整，即信息是否被人篡改正，或者在数否完整，即信息是否被人篡改正，或者在数据传输过程中是否出现信息丧失、信息重复据传输过程中是否出现信息丧失、信息重复等过失。通常网银系统中有两个地方需要对等过失。通常网银系统中有两个地方需要对数据进行完整性检查：一是在网银用户提

5、交数据进行完整性检查：一是在网银用户提交交易数据签名时；另一种是网银系统与该行交易数据签名时；另一种是网银系统与该行其它系统进行通讯时，需要检查报文的完整其它系统进行通讯时，需要检查报文的完整性。性。2.数据平安需求数据的可用性需求数据的可用性需求数据可用性要求数据对于授权实体是有数据可用性要求数据对于授权实体是有效、可用的，保证授权实体对数据的合效、可用的，保证授权实体对数据的合法存取权利。对数据可用性最典型的攻法存取权利。对数据可用性最典型的攻击就是拒绝式攻击和分布式拒绝攻击，击就是拒绝式攻击和分布式拒绝攻击，两者都是通过大量并发的恶意请求来占两者都是通过大量并发的恶意请求来占用系统资源，

6、致使合法用户无法正常访用系统资源，致使合法用户无法正常访问目标系统。问目标系统。网银系统可用性需求表达在以下几个方网银系统可用性需求表达在以下几个方面：面：并发用户并发用户 / 并发连接。并发连接。同时在线人数。同时在线人数。中断允许的最大时间。中断允许的最大时间。对系统的访问时间的要求。对系统的访问时间的要求。2.数据平安需求数据不可伪造性需求电子交易文件要能做到不可修改。2.数据平安需求数据不可抵赖性需求在电子交易通信过程的各个环节中都必须是不可否认的，即交易一旦达成，发送方不能否认他发送的信息，接收方那么不能否认他所收到的信息。2.数据平安需求三、平安系统架构三、平安系统架构PPDRR

7、平安模型平安模型平安系统网络拓扑图平安系统网络拓扑图平安策略平安策略平安防护方案平安防护方案平安检测方案平安检测方案平安恢复方案平安恢复方案三、平安系统架构三、平安系统架构3.1PPDRR 平安模型平安模型构建完善的平安系统解决方案，构建完善的平安系统解决方案，平安模型的选择至关重要。平安模型的选择至关重要。PDR 模型是由模型是由 ISS 公司最早提出的入公司最早提出的入侵检测的一种模型。侵检测的一种模型。PDR 是防护是防护Protection、检测、检测Detection和响应和响应Response的缩写。三者构成的缩写。三者构成了一个首尾相接的环，也即了一个首尾相接的环，也即“防护防护

8、 - 检测检测 - 响应响应 - 防护的一个防护的一个循环。循环。PDR 模型有很多变体，在模型有很多变体，在银行网络中最著名的是银行网络中最著名的是 PPDRR 模型。增加了策略模型。增加了策略 (Policy) 和恢和恢复复 (Recovery)。PPDRR 模型是模型是典型的、公认的平安模型。它是典型的、公认的平安模型。它是一种动态的、自适应的平安模型，一种动态的、自适应的平安模型，可适应平安风险和平安需求的不可适应平安风险和平安需求的不断变化，提供持续的平安保障。断变化，提供持续的平安保障。PPDRR 模型包括策略模型包括策略 、防护、防护 、检测检测 、响应和恢复、响应和恢复 5个主

9、要局部。个主要局部。防护、检测、响应和恢复构成一防护、检测、响应和恢复构成一个完整的、动态的平安循环，在个完整的、动态的平安循环，在 PPDRR 模型平安策略的指导下共模型平安策略的指导下共同实现平安保障，如以下图所示。同实现平安保障，如以下图所示。PPDRR 平安模型平安模型 图图 1. PPDRR 模型模型3.2平安系统网络拓扑图平安系统网络拓扑图以 PPDRR 平安模型为根底设计的网银平安系统网络拓扑图如以下图所示：平安系统网络拓扑图平安系统网络拓扑图通过拓扑图可以看出，整个网络系统通过三道防火墙划分为四个逻辑区域。按由外到内的顺序部署。最外层为是 Internet 区非授信区，为网银用

10、户客户端接入区域；第一道防火墙和第二道防火墙之间是隔离区DMZ，在此区域中部署 RA 效劳器以及网银系统的 Web 效劳器等其它第三方应用系统；第二道防火墙和第三道防火墙之间是应用区，是网银系统的应用 /DB 区，在此区域中部署网银系统的应用效劳器和数据库效劳器；第三道防火墙之后为银行的核心系统、中间业务平台等第三方业务系统。在隔离区和应用区的 Web 效劳器，应用效劳器和数据库效劳器都会有相应的双机热备方案。3.3平安策略平安策略平安策略是整个平安体系的根底。构建平安系统需要工程师来操作，这就需要建立健全的规章制度和操作标准，使保护、检测、响应和恢复环节行之有效。一般的平安系统需要以下规章制

11、度和操作标准：设备管理制度，机房管理制度，系统平安管理守那么和明细，网络平安管理守那么和明细，应用平安管理守那么和明细，应急响应方案，灾难恢复方案等。3.4平安防护方案平安防护方案身份认证系统身份认证系统权限控制系统权限控制系统边界控制边界控制防病毒网关防病毒网关传输加密传输加密平安的操作系统平安的操作系统身份认证系统身份认证系统网上银行应用系统中的平安防护的第一道防线是身份网上银行应用系统中的平安防护的第一道防线是身份认证。身份认证的技术有很多，可以分为两类：软件认证。身份认证的技术有很多，可以分为两类：软件认证和硬件认证。其中软件认证多为用户自己知道的认证和硬件认证。其中软件认证多为用户自

12、己知道的秘密信息，譬如用户名和密码。硬件认证包括秘密信息，譬如用户名和密码。硬件认证包括 IC 卡，卡，基于生物学信息的身份认证，比方指纹识别，虹膜识基于生物学信息的身份认证，比方指纹识别，虹膜识别，面部识别等。别，面部识别等。单纯的软件认证已不能满足网络银行系统的身份认证单纯的软件认证已不能满足网络银行系统的身份认证需求，所以网络银行多采用软硬件结合的双因子认证需求，所以网络银行多采用软硬件结合的双因子认证方式作为身份认证的辅助解决方案。其中流行的双因方式作为身份认证的辅助解决方案。其中流行的双因子认证多为动态密码：子认证多为动态密码：3.4平安防护方案平安防护方案USB Key 认证动态口

13、令刮刮卡动态短信上面介绍的这四种身份认证的辅助解决方案可以在相当大的程度上杜绝目前流行的专门盗取客户的账号和密码的“盗号木马的危害。USB Key 认证USB Key 内置智能卡芯片，可以存储用户的密钥或数字证书。一般的 USB Key 都以 CA 认证为核心，采用双证书加密证书 / 签名证书、双中心认证中心、密钥中心机制来做身份认证。通常还有个启动 PIN 码。提供对 USB Key 持有人的认证。这样不怕 USB Key 被别人盗用。动态口令动态口令由专有的动态令牌定时生成，一般 60 秒随机更新一次。用户每次登陆输入完静态密码后直接输入动态口令牌显示窗口显示的 6/8 位密码即可。刮刮卡

14、刮刮卡是用一次性口令技术事先算出一次性口令的子集或全集，将这些口令印制在一张卡片上。刮刮卡密码本身为静态的数字，但是每次登陆网银系统的时候，系统会随机抽取一组坐标组合，由这组坐标组合对应的数字组合成动态密码。动态短信动态短信是效劳器端通过通信效劳商向用户的 上发送一次性密码短信，用户也可以通过拨打相应的客服 来获得一次性密码。对客户来说几乎没有投入本钱，平安性强。权限控制系统权限控制系统权限控制包括网络的访问权限控制，设备的访问权限权限控制包括网络的访问权限控制，设备的访问权限控制，效劳器的远程访问权限控制包括页面效劳器、控制，效劳器的远程访问权限控制包括页面效劳器、应用效劳器、数据库效劳器等

15、，网银系统的权限控应用效劳器、数据库效劳器等，网银系统的权限控制。其中企业网银和后台管理系统涉及到多人在同一制。其中企业网银和后台管理系统涉及到多人在同一系统内的操作，权限控制尤其重要。系统内的操作，权限控制尤其重要。3.4平安防护方案平安防护方案边界控制边界控制可以在网络边界设置多重的防火墙，防止外界的非法可以在网络边界设置多重的防火墙，防止外界的非法访问。在网络拓扑图中也可以清楚的看到，多种的防访问。在网络拓扑图中也可以清楚的看到，多种的防火墙可以保证网银系统和银行核心系统以及其他渠道火墙可以保证网银系统和银行核心系统以及其他渠道系统的通信平安。其中第一重和第二重防火墙主要是系统的通信平安

16、。其中第一重和第二重防火墙主要是防护互联网用户的非法入侵，第三道防火墙可以防护防护互联网用户的非法入侵，第三道防火墙可以防护银行内部用户非法侵入网银系统。银行内部用户非法侵入网银系统。3.4平安防护方案平安防护方案防病毒网关防病毒网关病毒、蠕虫和木马等对网银系统平安造成极大威胁。病毒、蠕虫和木马等对网银系统平安造成极大威胁。防病毒必须软、硬件两手抓。设置防病毒网关对进入防病毒必须软、硬件两手抓。设置防病毒网关对进入应用区的信息进行扫描，同时网银系统的程序本身也应用区的信息进行扫描，同时网银系统的程序本身也要防止要防止 SQL 注入等应用层的平安漏洞。注入等应用层的平安漏洞。3.4平安防护方案平

17、安防护方案传输加密传输加密数据加密的方法里有链路层加密、网络层加密及应用数据加密的方法里有链路层加密、网络层加密及应用层加密。其中对网银来说，应用层的加密应用比较广层加密。其中对网银来说，应用层的加密应用比较广泛。网银客户端至效劳器端的平安连接可以采用泛。网银客户端至效劳器端的平安连接可以采用 SSLSecurity Socket Layer协议。协议。SSL 已得到各主流已得到各主流浏览器内置的支持。由于标准的浏览器内置的支持。由于标准的 SSL 协议，在采用客协议，在采用客户端证书时，并未对用户的交易数据进行显式签名，户端证书时，并未对用户的交易数据进行显式签名，所以一般的网银系统可通过在

18、客户浏览器安装签名控所以一般的网银系统可通过在客户浏览器安装签名控件来完成，签名控件一方面可以完成数字签名，另一件来完成，签名控件一方面可以完成数字签名，另一方面，通过自定义签名格式，只对需要的页面要素进方面，通过自定义签名格式，只对需要的页面要素进行签名，去除不必要的数据被签名。行签名，去除不必要的数据被签名。3.4平安防护方案平安防护方案平安的操作系统平安的操作系统银行交易效劳器需要更高级别的平安性，而效劳器的银行交易效劳器需要更高级别的平安性，而效劳器的平安性又极大的依赖操作系统的平安性。可以在效劳平安性又极大的依赖操作系统的平安性。可以在效劳器上安装的增强型平安插件，防止缓冲器溢出攻击

19、和器上安装的增强型平安插件，防止缓冲器溢出攻击和效劳器劫持等。效劳器劫持等。3.4平安防护方案平安防护方案四、平安检测方案四、平安检测方案入侵检测系统入侵检测系统状态监测系统状态监测系统平安审计系统平安审计系统4.1入侵检测系统入侵检测系统入侵检测可以作为传统防火墙的辅助方案，可以根据入侵检测的结果进行防护、响应和恢复。入侵检测系统Intrusion Detection System，简称 IDS是采用相对应的入侵检测软件和硬件的集成。采用基于网络的入侵检测产品NIDS实时监控公共网络和银行网络间的通信，捕获网络入侵；采用基于主机的入侵检测产品HIDS监测效劳器会话数据流和系统审计日志以捕获主

20、机入侵。4.2状态监测系统状态监测系统部署网络和主机的监控系统，监控网络和主机的运行状态，可以实时反映网银系统的性能，以及时做出相应的措施。4.3平安审计系统平安审计系统在设置防火墙和入侵检测系统的同时，仍需要对网络银行输入输出的信息数据需要进行审查核实，防止敏感信息数据的泄露。在整个网络系统的各个单元中设置平安审计，从软硬件各方面入手发现平安漏洞，包括数据的平安与操作的平安等。平安恢复方案平安恢复方案负载均衡和双机热备负载均衡和双机热备网银系统的用户量大，访问和数据的流量也相应增加。网银系统的用户量大，访问和数据的流量也相应增加。所以目前的网络银行系统多会采用负载平衡策略。负所以目前的网络银行系统多会采用负载平衡策略。负载平衡的算法有多种，包括依序，比重，流量比例，载平衡的算法有多种，包括依序，比重，流量比例，自动分配等。对于应用自动分配等。对于应用 IBM WebSphere Application Server 作为应用效劳器的网络银行系统多采用比重算作为应用效劳器的网络银行系统多采用比重算法进行自动分配请求。法进行自动分配请求。此处讲的双机热备多指基于高可用系统的两台效劳器此处讲的双机热备多指基于高可用系统的两台效劳器的热备，包括页面效劳器，应用效劳器和数据库效劳的热备，