网上银行安全系统

网上银行安全系统Shanxixian20130516一、网上银行安全系统概述二、网上银行系统安全需求三、安全系统架构四、安全检测方案五、评价一、网上银行安全系统概述背景安全是网上银行应用推广的基础，网上银行的安全系统是为了保证网上银行系统的数据不被非法存取或修改，保证业务处理按照银行规定的流程被执行。如何保证网上银行交易系统的安全，关系到银行内部整个金融网的安全，也关系到银行客户的资金安全。因此，网上银行的安全建设至关重要。二、网上银行系统安全需求业务逻辑安全需求数据安全需求1.业务逻辑安全需求身份认证需求访问控制需求交易重复提交控制需求身份认证需求在双方进行交易前，首先要能确认对方的身份，要求交易双方的身份不能被假冒或伪装。同时客户端容易感染木马病毒，普通的静态密码认证已不能满足网络银行的安全需求。网银系统需要更有效的身份认证系统。1.业务逻辑安全需求访问控制需求访问控制是网上银行安全子系统中的核心安全策略，对关键网络、系统和数据的访问必须得到有效的控制，这就要求系统能够确认访问者的身份，谨慎授权，并对任何访问进行跟踪记录。1.业务逻辑安全需求交易重复提交控制需求交易重复提交就是同一个交易被多次提交给网银系统。查询类的交易被重复提交将会无故占用更多的系统资源，而管理类或金融类的交易被重复提交后，后果则会严重的多。交易被重复提交可能是无意的，也有可能是蓄意的攻击。网银安全子系统必须对管理类和金融类交易提交的次数进行控制，这种控制即要有效的杜绝用户的误操作，还不能影响用户正常情况下对某个交易的多次提交。1.业务逻辑安全需求2.数据安全需求数据保密性需求数据完整性需求数据可用性需求数据不可伪造性需求数据不可抵赖性需求2.数据安全需求数据保密性需求数据保密性要求数据只能由授权实体存取和识别，防止非授权泄露。要对敏感重要的商业信息进行加密，即使别人截获或窃取了数据，也无法识别信息的真实内容，这样就可以使商业机密信息难以被泄露。从目前国内网银应用的安全案例统计数据来看，数据保密性需求主要体现在以下几个方面：客户端与网银系统交互时输入的各类密码：包括系统登录密码、转账密码、凭证查询密码等必须加密传输及存放，这些密码在网银系统中只能以密文的方式存在，其明文形式能且只能由其合法主体能够识别。网银系统与其它系统进行数据交换时必须进行端对端的加解密处理。这里的数据加密主要是为了防止交易数据被银行内部人士截取利用。数据据的的完完整整性性需需求求数据据完完整整性性要要求求防防止止非非授授权权实实体体对对数数据据进进行行非非法法修修改改。。交易易各各方方能能够够验验证证收收到到的的信信息息是是否否完完整整，，即即信信息息是是否否被被人人篡篡改改过过，，或或者者在在数数据据传传输输过过程程中中是是否否出出现现信信息息丢丢失失、、信信息息重重复复等等差差错错。。通通常常网网银银系系统统中中有有两两个个地地方方需需要要对对数数据据进进行行完完整整性性检检查查：：一一是是在在网网银银用用户户提提交交交交易易数数据据签签名名时时；；另另一一种种是是网网银银系系统统与与该该行行其其它它系系统统进进行行通通讯讯时时，，需需要要检检查查报报文文的的完完整整性性。。2.数据据安安全全需需求求数据据的的可可用用性性需需求求数据据可可用用性性要要求求数数据据对对于于授授权权实实体体是是有有效效、、可可用用的的，，保保证证授授权权实实体体对对数数据据的的合合法法存存取取权权利利。。对数数据据可可用用性性最最典典型型的的攻攻击击就就是是拒拒绝绝式式攻攻击击和和分分布布式式拒拒绝绝攻攻击击，，两两者者都都是是通通过过大大量量并并发发的的恶恶意意请请求求来来占占用用系系统统资资源源，，致致使使合合法法用用户户无无法法正正常常访访问问目目标标系系统统。。网银银系系统统可可用用性性需需求求体体现现在在以以下下几几个个方方面面：：并发发用用户户/并发发连连接接。。同时时在在线线人人数数。。中断断允允许许的的最最大大时时间间。。对系系统统的的访访问问时时间间的的要要求求。。2.数据据安安全全需需求求数据据不不可可伪伪造造性性需需求求电子子交交易易文文件件要要能能做做到到不不可可修修改改。。2.数据据安安全全需需求求数据据不不可可抵抵赖赖性性需需求求在电电子子交交易易通通信信过过程程的的各各个个环环节节中中都都必必须须是是不不可可否否认认的的，，即即交交易易一一旦旦达达成成，，发发送送方方不不能能否否认认他他发发送送的的信信息息，，接接收收方方则则不不能能否否认认他他所所收收到到的的信信息息。。2.数据据安安全全需需求求三、、安安全全系系统统架架构构PPDRR安全全模模型型安全全系系统统网网络络拓拓扑扑图图安全全策策略略安全全防防护护方方案案安全全检检测测方方案案安全全恢恢复复方方案案三、、安安全全系系统统架架构构3.1PPDRR安全全模模型型构建建完完善善的的安安全全系系统统解解决决方方案案，，安安全全模模型型的的选选择择至至关关重重要要。。PDR模型型是是由由ISS公司司最最早早提提出出的的入入侵侵检检测测的的一一种种模模型型。。PDR是防防护护（（Protection）、、检检测测（（Detection）和和响响应应（（Response）的的缩缩写写。。三三者者构构成成了了一一个个首首尾尾相相接接的的环环，，也也即即“防护护->检测测->响应应->防护护”的一一个个循循环环。。PDR模型型有有很很多多变变体体，，在在银银行行网网络络中中最最著著名名的的是是PPDRR模型型。。增增加加了了策策略略(Policy)和恢恢复复(Recovery)。PPDRR模型型是是典典型型的的、、公公认认的的安安全全模模型型。。它它是是一一种种动动态态的的、、自自适适应应的的安安全全模模型型，，可可适适应应安安全全风风险险和和安安全全需需求求的的不不断断变变化化，，提提供供持持续续的的安安全全保保障障。。PPDRR模型包括策略略、防护、检测、响应和恢复复5个主要部分。。防护、检测测、响应和恢恢复构成一个个完整的、动动态的安全循循环，在PPDRR模型安全策略略的指导下共共同实现安全全保障，如下下图所示。PPDRR安全模型图1.PPDRR模型3.2安全系统网络络拓扑图以PPDRR安全模型为基基础设计的网网银安全系统统网络拓扑图图如下图所示示：安全系统网络络拓扑图通过拓扑图可可以看出，整整个网络系统统通过三道防防火墙划分为为四个逻辑区区域。按由外外到内的顺序序部署。最外外层为是Internet区（非授信区区），为网银银用户客户端端接入区域；；第一道防火火墙和第二道道防火墙之间间是隔离区（（DMZ），在此区域域中部署RA服务器以及网网银系统的Web服务器等其它它第三方应用用系统；第二二道防火墙和和第三道防火火墙之间是应应用区，是网网银系统的应应用/DB区，在在此区区域中中部署署网银银系统统的应应用服服务器器和数数据库库服务务器；；第三三道防防火墙墙之后后为银银行的的核心心系统统、中中间业业务平平台等等第三三方业业务系系统。。在隔隔离区区和应应用区区的Web服务器器，应应用服服务器器和数数据库库服务务器都都会有有相应应的双双机热热备方方案。。3.3安全策策略安全策策略是是整个个安全全体系系的基基础。。构建建安全全系统统需要要工程程师来来操作作，这这就需需要建建立健健全的的规章章制度度和操操作规规范，，使保保护、、检测测、响响应和和恢复复环节节行之之有效效。一般的的安全全系统统需要要以下下规章章制度度和操操作规规范：：设备备管理理制度度，机机房管管理制制度，，系统统安全全管理理守则则和明明细，，网络络安全全管理理守则则和明明细，，应用用安全全管理理守则则和明明细，，应急急响应应计划划，灾灾难恢恢复计计划等等。3.4安全防防护方方案身份认认证系系统权限控控制系系统边界控控制防病毒毒网关关传输加加密安全的的操作作系统统3.4.1身份认认证系系统网上银银行应应用系系统中中的安安全防防护的的第一一道防防线是是身份份认证证。身身份认认证的的技术术有很很多，，可以以分为为两类类：软软件认认证和和硬件件认证证。其其中软软件认认证多多为用用户自自己知知道的的秘密密信息息，譬譬如用用户名名和密密码。。硬件件认证证包括括IC卡，基基于生生物学学信息息的身身份认认证，，比如如指纹纹识别别，虹虹膜识识别，，面部部识别别等。。单纯的的软件件认证证已不不能满满足网网络银银行系系统的的身份份认证证需求求，所所以网网络银银行多多采用用软硬硬件结结合的的双因因子认认证方方式作作为身身份认认证的的辅助助解决决方案案。其其中流流行的的双因因子认认证多多为动动态密密码：：3.4安全防防护方方案USBKey认证动态口口令刮刮卡卡动态短短信上面介介绍的的这四四种身身份认认证的的辅助助解决决方案案可以以在相相当大大的程程度上上杜绝绝目前前流行行的专专门盗盗取客客户的的账号号和密密码的的“盗号木木马”的危害害。USBKey认证USBKey内置智智能卡卡芯片片，可可以存存储用用户的的密钥钥或数数字证证书。。一般般的USBKey都以CA认证为为核心心，采采用双双证书书（加加密证证书/签名证证书））、双双中心心（认认证中中心、、密钥钥中心心）机机制来来做身身份认认证。。通常常还有有个启启动PIN码。提提供对对USBKey持有人人的认认证。。这样样不怕怕USBKey被别人人盗用用。动态口口令动态口口令由由专有有的动动态令令牌定定时生生成，，一般般60秒随机机更新新一次次。用用户每每次登登陆输输入完完静态态密码码后直直接输输入动动态口口令牌牌显示示窗口口显示示的6/8位密码码即可可。刮刮卡卡刮刮卡卡是用用一次次性口口令技技术事事先算算出一一次性性口令令的子子集或或全集集，将将这些些口令令印制制在一一张卡卡片上上。刮刮刮卡卡密码码本身身为静静态的的数字字，但但是每每次登登陆网网银系系统的的时候候，系系统会会随机机抽取取一组组坐标标组合合，由由这组组坐标标组合合对应应的数数字组组合成成动态态密码码。动态短短信动态短短信是是服务务器端端通过过通信信服务务商向向用户户的手手机上上发送送一次次性密密码短短信，，用户户也可可以通通过拨拨打相相应的的客服服电话话来获获得一一次性性密码码。对对客户户来说说几乎乎没有有投入入成本本，安安全性性强。。3.4.2权限控控制系系统权限控控制包包括网络的访问问权限限控制制，设备的访问问权限限控制制，服务器器的远远程访访问权限控控制（（包括括页面面服务务器、、应用用服务务器、、数据据库服服务器器等）），网银系系统的权限限控制制。其其中企企业网网银和和后台台管理理系统统涉及及到多多人在在同一一系统统内的的操作作，权权限控控制尤尤其重重要。。3.4安全防防护方方案3.4.3边界控控制可以在在网络络边界界设置置多重重的防防火墙墙，防防止外外界的的非法法访问问。在在网络络拓扑扑图中中也可可以清清楚的的看到到，多多种的的防火火墙可可以保保证网网银系系统和和银行行核心心系统统以及及其他他渠道道系统统的通通信安安全。。其中中第一一重和和第二二重防防火墙墙主要要是防防护互互联网网用户户的非非法入入侵，，第三三道防防火墙墙可以以防护护银行行内部部用户户非法法侵入入网银银系统统。3.4安全防防护方方案3.4.4防病毒毒网关关病毒、、蠕虫虫和木木马等等对网网银系系统安安全造造成极极大威威胁。。防病病毒必必须软软、硬硬件两两手抓抓。设设置防防病毒毒网关关对进进入应应用区区的信信息进进行扫扫描，，同时时网银银系统统的程程序本本身也也要防防止SQL注入等等应用用层的的安全全漏洞洞。3.4安全防防护方方案3.4.5传输加加密数据加密的的方法里有有链路层加密密、网络层层加密及应应用层加密密。其中对网网银来说，，应用层的的加密应用用比较广泛泛。网银客客户端至服服务器端的的安全连接接可以采用用SSL（SecuritySocketLayer）协议。SSL已得到各主主流浏览器器内置的支支持。由于于标准的SSL协议，在采采用客户端端证书时，，并未对用用户的交易易数据进行行显式签名名，所以一一般的网银银系统可通通过在客户户浏览器安安装签名控控件来完成成，签名控控件一方面面可以完成成数字签名名，另一方方面，通过过自定义签签名格式，，只对需要要的页面要要素进行签签名，去除除不必要的的数据被签签名。3.4安全防护方方案3.4.6安全的操作作系统银行交易服服务器需要要更高级别别的安全性性，而服务务器的安全全性又极大大的依赖操操作系统的的安全性。。可以在服服务器上安安装的增强强型安全插插件，防止止缓冲器溢溢出攻击和和服务器劫劫持等。3.4安全防护方方案四、安全检检测方案入侵检测系系统状态监测系系统安全审计系系统4.1入侵检测系系统入侵检测可可以作为传传统防火墙墙的辅助方方案，可以以根据入侵侵检测的结结果进行防防护、响应应和恢复。。入侵检测测系统（IntrusionDetectionSystem，简称IDS）是采用相相对应的入入侵检测软软件和硬件件的集成。。采用基于于网络的入入侵检测产产品（NIDS）实时监控控公共网络络和银行网网络间的通通信，捕获获网络入侵侵；采用基基于主机的的入侵检测测产品（HIDS）监测服务务器会话数数据流和系系统审计日日志以捕获获主机入侵侵。4.2状态监测系系统部署网络和和主机的监监控系统，，监控网络络和主机的的运行状态态，可以实实时反映网网银系统的的性能，以以及时做出出相应的措措施。4.3安全审计系系统在设置防火火墙和入侵侵检测系统统的同时，，仍需要对对网络银行行输入输出出的信息数数据需要进进行审查核核实，防止止敏感信息息数据的泄泄露。在整整个网络系系统的各个个单元中设设置安全审审计，从软软硬件各方方面入手发发现安全漏漏洞，包括括数据的安安全与操作作的安全等等。安全恢复方方案负载均衡和和双机热备备网银系统的的用户量大大，访问和和数据的流流量也相应应增加。所所以目前的的网络银行行系统多会会采用负载载平衡策略略。负载平平衡的算法法有多种，，包括依序序，比重，，流量比例例，自动分分配等。对对于应用IBMWebSphereApplicationServer作为应用服服务器的网网络银行系系统多采用用比重算法法进行自动动分配请求求。此处讲的双双机热备多多指基于高高可用系统统的两台服服务器的热热备，包括括页面服务务器，应用用服