网银系统的安全系统解决方案概述

基于J2EE网银系统平安系统解决方案概述摘要随着中国参加WTO,外国银行进入中国市场，国内银行业务越来越多移植到网络银行上，因此网上银行需求日益增加。但是Internet开放性特点，使网上银行面临种种风险，可以说平安性是网上银行最大考核要素。所以一套完善平安系统是网上银行必备。本文介绍国内外网上银行所普遍采用平安技术与方案,将从数据与业务逻辑两个角度详细地分析一般网上银行系统平安需求，并据此引入以PPDRR为平安模型平安设计方案。主要平安技术包括SSL数据加密、CFCA数字证书认证、动态口令技术、基于角色访问控制机制等。通过阅读本文，读者不但可以了解网上银行普遍采用平安系统架构以及相关技术，而且对开发实际平安应用系统具有一定指导意义。回页首网上银行平安系统概述背景平安是网上银行应用推广根底，网上银行平安系统是为了保证网上银行系统数据不被非法存取或修改,保证业务处理按照银行规定流程被执行。网络与信息平安涉及领域非常广泛，就平安保密技术要实现目标来看，一般可包括以下6个方面，或叫做平安效劳模型，即：身份认证、授权控制、审计确认、数据保密、数据完整与可用性。为保证网上银行网络与信息平安，银行一般采用多层次体系构造网上银行平安系统。可以划分为：网络层、系统层与应用层三个层次。网络层组成部件包括：物理线路、路由器、交换机、网管软件、防火墙、加密机等；系统层主要由主机、操作系统、数据库、杀毒软件等部件构成；应用层主要由Web效劳器、应用效劳器、网上银行系统软件、RA效劳器、动态密码效劳器等组成。业务逻辑平安需求业务逻辑平安主要是为了保护网上银行业务逻辑按照特定规那么与流程被存取及处理。身份认证需求在双方进展交易前，首先要能确认对方身份要求交易双方身份不能被假冒或伪装。同时客户端容易感染木马病毒，普通静态密码认证已不能满足网络银行平安需求。网银系统需要更有效身份认证系统。访问控制需求访问控制是网上银行平安子系统中核心平安策略，对关键网络、系统与数据访问必须得到有效控制，这就要求系统能够确认访问者身份，慎重授权，并对任何访问进展跟踪记录。网银系统访问控制需求表达在以下几个方面：制卡与卡数据维护必须指定专门管理人员；企业用户不能访问面向个人交易；个人网银用户不能访问面向企业用户交易；批量制卡操作与制卡数据导出只能由动态密码管理系统管理员操作；柜员建立卡信息与客户信息关联应采取授权机制。交易重复提交控制需求交易重复提交就是同一个交易被屡次提交给网银系统。查询类交易被重复提交将会无故占用更多系统资源，而管理类或金融类交易被重复提交后，后果那么会严重多。交易被重复提交可能是无意，也有可能是蓄意攻击。网银平安子系统必须对管理类与金融类交易提交次数进展控制，这种控制即要有效杜绝用户误操作，还不能影响用户正常情况下对某个交易屡次提交。数据平安需求数据保密性需求数据保密性要求数据只能由授权实体存取与识别，防止非授权泄露。要对敏感重要商业信息进展加密，即使别人截获或窃取了数据，也无法识别信息真实内容，这样就可以使商业机密信息难以被泄露。从目前国内网银应用平安案例统计数据来看,数据保密性需求主要表达在以下几个方面：客户端与网银系统交互时输入各类密码：包括系统登录密码、转账密码、凭证查询密码等必须加密传输及存放，这些密码在网银系统中只能以密文方式存在，其明文形式能且只能由其合法主体能够识别。网银系统与其它系统进展数据交换时必须进展端对端加解密处理。这里数据加密主要是为了防止交易数据被银行内部人士截取利用。数据完整性需求数据完整性要求防止非授权实体对数据进展非法修改。交易各方能够验证收到信息是否完整，即信息是否被人篡改正，或者在数据传输过程中是否出现信息丧失、信息重复等过失。通常网银系统中有两个地方需要对数据进展完整性检查：一是在网银用户提交交易数据签名时；另一种是网银系统与该行其它系统进展通讯时，需要检查报文完整性。数据可用性需求数据可用性要求数据对于授权实体是有效、可用，保证授权实体对数据合法存取权利。对数据可用性最典型攻击就是拒绝式攻击与分布式拒绝攻击，两者都是通过大量并发恶意请求来占用系统资源，致使合法用户无法正常访问目标系统。网银系统可用性需求表达在以下几个方面：并发用户/并发连接。同时在线人数。中断允许最大时间。对系统访问时间要求。数据不可伪造性需求电子交易文件也要能做到不可修改。数据不可抵赖性需求在电子交易通信过程各个环节中都必须是不可否认，即交易一旦达成，发送方不能否认他发送信息,接收方那么不能否认他所收到信息。回页首平安系统架构PPDRR平安模型构建完善平安系统解决方案，平安模型选择至关重要。PDR模型是由ISS公司最早提出入侵检测一种模型。PDR是防护〔Protection〕、检测〔Detection〕与响应〔Response〕缩写。三者构成了一个首尾相接环，也即“防护->检测->响应->防护〃一个循环。PDR模型有很多变体，在银行网络中最著名是PPDRR模型。增加了策略(Policy)与恢复(Recovery)。PPDRR模型是典型、公认平安模型。它是一种动态、自适应平安模型，可适应平安风险与平安需求不断变化，提供持续平安保障。PPDRR模型包括策略(Policy)、防护(Protection)、检测(Detection)、响应(Response)与恢复(Recovery)5个主要局部。防护、检测、响应与恢复构成一个完整、动态平安循环，在PPDRR模型平安策略指导下共同实现平安保障，如下列图所示。图1.PPDRR模型

响应(Response)策略v(Policy)检测响应(Response)策略v(Policy)检测L(Derection)防护(Protection)恢复(Recovery)平安系统网络拓扑图以PPDRR平安模型为根底设计网银平安系统网络拓扑图如下列图所示：

图2.网络拓扑图JjCFCAS>^数摇库服另器丘A席务器ISP^felW*b图2.网络拓扑图JjCFCAS>^数摇库服另器丘A席务器ISP^felW*b服島器应用*务器教拡库瞬务器通过拓扑图可以看出，整个网络系统通过三道防火墙划分为四个逻辑区域。按由外到内顺序部署。最外层为是Internet区〔非授信区〕，为网银用户客户端接入区域；第一道防火墙与第二道防火墙之间是隔离区〔DMZ〕，在此区域中部署RA效劳器以及网银系统Web效劳器等其它第三方应用系统；第二道防火墙与第三道防火墙之间是应用区，是网银系统应用/DB区，在此区域中部署网银系统应用效劳器与数据库效劳器；第三道防火墙之后为银行核心系统、中间业务平台等第三方业务系统。在隔离区与应用区Web效劳器，应用效劳器与数据库效劳器都会有相应双机热备方案。方案细节会在下文详细介绍。平安策略平安策略是整个平安体系根底。构建平安系统需要工程师来操作，这就需要建立健全规章制度与操作标准，使保护、检测、响应与恢复环节行之有效。一般平安系统需要以下规章制度与操作标准：设备管理制度，机房管理制度，系统平安管理守那么与明细，网络平安管理守那么与明细，应用平安管理守那么与明细，应急响应方案，灾难恢复方案等。平安防护方案防护方案主要包括以下几个方面：身份认证系统网上银行应用系统中平安防护第一道防线是身份认证。身份认证技术有很多，可以分为两类：软件认证与硬件认证。其中软件认证多为用户自己知道秘密信息，譬如用户名与密码。硬件认证包括IC卡，基于生物学信息身份认证，比方指纹识别，虹膜识别，面部识别等。单纯软件认证已不能满足网络银行系统身份认证需求,所以网络银行多采用软硬件结合双因子认证方式作为身份认证辅助解决方案。其中流行双因子认证多为动态密码：1.USBKey认证USBKey内置智能卡芯片，可以存储用户密钥或数字证书。一般USBKey都以CA认证为核心，采用双证书〔加密证书/签名证书〕、双中心〔认证中心、密钥中心〕机制来做身份认证。通常还有个启动PIN码。提供对USBKey持有人认证。这样不怕USBKey被别人盗用。动态口令动态口令由专有动态令牌定时生成，一般60秒随机更新一次。用户每次登陆输入完静态密码后直接输入动态口令牌显示窗口显示6位密码即可。刮刮卡刮刮卡是用一次性口令技术事先算出一次性口令子集或全集，将这些口令印制在一张卡片上。刮刮卡密码本身为静态数字，但是每次登陆网银系统时候，系统会随机抽取一组坐标组合，由这组坐标组合对应数字组合成动态密码。动态短信动态短信是效劳器端通过通信效劳商向用户手机上发送一次性密码短信，用户也可以通过拨打相应客服来获得一次性密码。对客户来说几乎没有投入本钱，平安性强。上面介绍这四种身份认证辅助解决方案可以在相当大程度上杜绝目前流行专门盗取客户账号与密码“盗号木马〃危害。权限控制系统权限控制包括网络访问权限控制，设备访问权限控制，效劳器远程访问权限控制〔包括页面效劳器、应用效劳器、数据库效劳器等〕，网银系统权限控制。其中企业网银与后台管理系统涉及到多人在同一系统内操作，权限控制尤其重要。边界控制可以在网络边界设置多重防火墙，防止外界非法访问。在网络拓扑图中也可以清楚看到，多种防火墙可以保证网银系统与银行核心系统以及其他渠道系统通信平安。其中第一重与第二重防火墙主要是防护互联网用户非法入侵，第三道防火墙可以防护银行内部用户非法侵入网银系统。防病毒网关病毒、蠕虫与木马等对网银系统平安造成极大威胁。防病毒必须软、硬件两手抓。设置防病毒网关对进入应用区信息进展扫描，同时网银系统程序本身也要防止SQL注入等应用层平安漏洞。传输加密数据加密地方法有里链路层加密、网络层加密及应用层加密。其中对网银来说，应用层加密应用比拟广泛。网银客户端至效劳器端平安连接可以采用SSL〔SecuritySocketLayer〕协议。SSL已得到各主流浏览器内置支持。由于标准SSL协议，在采用客户端证书时，并未对用户交易数据进展显式签名，所以一般网银系统可通过在客户浏览器安装签名控件来完成，签名控件一方面可以完成数字签名，另一方面，通过自定义签名格式，只对需要页面要素进展签名，去除不必要数据被签名。平安操作系统银行交易效劳器需要更高级别平安性，而效劳器平安性又极大依赖操作系统平安性。可以在效劳器上安装增强型平安插件，防止缓冲器溢出攻击与效劳器劫持等。平安检测方案平安监测方案包括以下三个方面：入侵检测可以作为传统防火墙辅助方案,可以根据入侵检测结果进展防护、响应与恢复。入侵检测系统〔IntrusionDetectionSystem，简称IDS〕是采用相对应入侵检测软件与硬件集成。采用基于网络入侵检测产品〔NIDS〕实时监控公共网络与银行网络间通信，捕获网络入侵；采用基于主机入侵检测产品〔HIDS〕监测效劳器会话数据流与系统审计日志以捕获主机入侵。状态监测系统部署网络与主机监控系统，监控网络与主机运行状态，可以实时反映网银系统性能，以及时做出相应措施。平安审计系统在设置防火墙与入侵检测系统同时，仍需要对网络银行输入输出信息数据需要进展审查核实，防止敏感信息数据泄露。在整个网络系统各个单元中设置平安审计，从软硬件各方面入手发现平安漏洞，包括数据平安与操作平安等。平安恢复方案负载均衡与双机热备网银系统用户量大，访问与数据流量也相应增加。所以目前网络银行系统多会采用负载平衡策略。负载平衡算法有多重，包括依序，比重，流量比例，自动分配等。对于应用IBMWebSphereApplicationServer作为应用效劳器网络银行系统多采用比重算法进展自动分配请求。此处讲双机热备多指基于高可用系统两台效劳器热备,包括页面效劳器，应用效劳器与数据库效劳器等。其中页面效劳器与应用效劳器多配置为集群，可采用双主机方式〔Active-Active方式〕。数据库效劳可以采用主-备方式〔Active-Standby方式〕。回页首完毕语本文以PPDRR平安模型为根底，对网银系统平安解决方案进展了概述。在网络银行应用级别还有很多平安技术，譬如JCA〔JavaCryptographyArchi