網(wǎng)銀安全應(yīng)對(duì)策略綜述

1、書(shū)山有路勤為徑，學(xué)海無(wú)涯苦作舟。網(wǎng)銀安全應(yīng)對(duì)策略綜述 1背景簡(jiǎn)介 網(wǎng)上銀行作為一種全新的銀行客戶服務(wù)提交渠道，使客戶在享受銀行提供的服務(wù)時(shí)不受時(shí)間、空間的限制，因此，近幾年各商業(yè)銀行的網(wǎng)上銀行業(yè)務(wù)發(fā)展迅速。據(jù)cfca（201l中國(guó)網(wǎng)上銀行調(diào)查報(bào)告顯示，個(gè)人網(wǎng)銀用戶比例為27.6，企業(yè)網(wǎng)銀則替代了60.3的柜臺(tái)業(yè)務(wù)。網(wǎng)銀業(yè)務(wù)高速發(fā)展的同時(shí)，安全性始終是用戶與銀行的關(guān)注重點(diǎn)。對(duì)用戶而言，提升防范意識(shí)并掌握必要的安全技術(shù)措施才能有效規(guī)避交易風(fēng)險(xiǎn)。對(duì)于銀行來(lái)說(shuō)，采用合理的網(wǎng)絡(luò)安全架構(gòu)，綜合運(yùn)營(yíng)各類(lèi)安全技術(shù)手段（如防火墻、入侵檢測(cè)、服務(wù)器群組防護(hù)等），才能避免網(wǎng)絡(luò)安全問(wèn)題造成的損失。 2安全分析 各商業(yè)

2、銀行由于自身業(yè)務(wù)系統(tǒng)的差異，對(duì)網(wǎng)銀系統(tǒng)應(yīng)用架構(gòu)會(huì)有不同的設(shè)計(jì)，但基本的技術(shù)構(gòu)成是類(lèi)似的，其各部分的功能也相似。圖l是較為典型的網(wǎng)銀應(yīng)用系統(tǒng)結(jié)構(gòu)。 2.1網(wǎng)銀web服務(wù)器 2.2網(wǎng)銀app服務(wù)器 網(wǎng)銀app（應(yīng)用）服務(wù)器提供網(wǎng)銀系統(tǒng)的業(yè)務(wù)應(yīng)用，包括會(huì)話管理、提交后臺(tái)處理以及向web服務(wù)器提交應(yīng)答頁(yè)面等。app服務(wù)器與web服務(wù)器共同構(gòu)成網(wǎng)銀業(yè)務(wù)（如網(wǎng)上支付與結(jié)算、網(wǎng)銀轉(zhuǎn)帳、基金交易、網(wǎng)上理財(cái)?shù)龋┻\(yùn)行環(huán)境。由于web服務(wù)器與互聯(lián)網(wǎng)客戶瀏覽器之間承載數(shù)據(jù)的ssl協(xié)議不具備數(shù)字簽名功能，所以網(wǎng)銀客戶端的數(shù)字簽名通常由瀏覽器插件程序完成，而服務(wù)器端的驗(yàn)簽工作則由單獨(dú)的驗(yàn)簽服務(wù)器完成。客戶簽名的交易數(shù)據(jù)經(jīng)

3、由web服務(wù)器提交給app服務(wù)器，再由app服務(wù)器向驗(yàn)簽服務(wù)器發(fā)起驗(yàn)簽請(qǐng)求。上述工作流程決定了app服務(wù)器作為網(wǎng)銀系統(tǒng)的核心組件，應(yīng)保障其服務(wù)高可用性與網(wǎng)絡(luò)訪問(wèn)安全性。在app服務(wù)器前部署服務(wù)器負(fù)載分擔(dān)設(shè)備可實(shí)現(xiàn)業(yè)務(wù)流量在多臺(tái)服務(wù)器問(wèn)的均勻分配，從而提升業(yè)務(wù)的響應(yīng)速度和服務(wù)高可用性。另外，部署負(fù)載分擔(dān)設(shè)備后，可根據(jù)網(wǎng)銀業(yè)務(wù)量的大小動(dòng)態(tài)配置app服務(wù)器，可提高業(yè)務(wù)擴(kuò)展能力。從安全角度考慮，由于app服務(wù)器與網(wǎng)銀web服務(wù)器所處的安全區(qū)域不同，因此在網(wǎng)銀web服務(wù)器與app服務(wù)器之間應(yīng)部署防火墻實(shí)現(xiàn)訪問(wèn)控制。 2.3網(wǎng)銀db服務(wù)器 網(wǎng)銀db（數(shù)據(jù)庫(kù)）服務(wù)器的主要作用是保存、共享各種及時(shí)業(yè)務(wù)數(shù)據(jù)（如

4、客戶支付金額）和靜態(tài)數(shù)據(jù)（如利率表），支持業(yè)務(wù)信息系統(tǒng)的運(yùn)作，對(duì)登錄客戶進(jìn)行合法性檢查。db服務(wù)器通常需要與存儲(chǔ)整列連接，并且db服務(wù)器通常采用雙機(jī)互為備份的方式以保證高可用性。網(wǎng)銀db服務(wù)器與網(wǎng)銀app服務(wù)器的安全防護(hù)需求基本相同，但db服務(wù)器只允許來(lái)自app服務(wù)器的訪問(wèn)，web服務(wù)器禁止直接訪問(wèn)db服務(wù)器。app服務(wù)器與db服務(wù)器可以部署在同一個(gè)安全區(qū)域內(nèi)，也可分別部署在兩個(gè)不同的安全區(qū)域內(nèi)。如部署在同一安全區(qū)域內(nèi)，則app與db服務(wù)器將以同一個(gè)防火墻做為安全邊界，而app與db之間的互訪控制可通過(guò)接入交換機(jī)上的acl實(shí)現(xiàn)。建議將app與db分別部署于各自獨(dú)立的安全區(qū)域，并以防火墻作安全邊

5、界，這樣部署有更高的安全性，更清晰的安全策略以及更好的網(wǎng)絡(luò)可擴(kuò)展性。 2.4ra服務(wù)器、簽名驗(yàn)證服務(wù)器 ra服務(wù)器與簽名驗(yàn)證（驗(yàn)簽）服務(wù)器都是與網(wǎng)銀交易中數(shù)字簽名相關(guān)的系統(tǒng)。ra（registrationauthority，數(shù)字證書(shū)注冊(cè)審批機(jī)構(gòu)）服務(wù)器是pki體系中ca服務(wù)器的延伸，ra負(fù)責(zé)向cfca（中國(guó)金融認(rèn)證中心）的ca或銀行自建的ca申請(qǐng)審核發(fā)放證書(shū)。驗(yàn)簽服務(wù)器負(fù)責(zé)對(duì)用戶提交的交易數(shù)據(jù)進(jìn)行數(shù)字簽名驗(yàn)證。ra服務(wù)器與驗(yàn)簽服務(wù)器都與app服務(wù)器間有數(shù)據(jù)交互，但ra服務(wù)器還需要通過(guò)互聯(lián)網(wǎng)（或?qū)＞€）與cfca的ca服務(wù)器相連，因此ra與驗(yàn)簽服務(wù)器應(yīng)部署在不同的安全區(qū)域內(nèi)。通常是將謄謦萋j戴囊j

6、懿方案ra與web服務(wù)器部署在一個(gè)安全區(qū)域內(nèi)，而將驗(yàn)簽服務(wù)器與app服務(wù)器部署在一個(gè)安全區(qū)域內(nèi)，app服務(wù)器與ra服務(wù)器的訪問(wèn)需要通過(guò)防火墻做訪問(wèn)控制。 2.5綜合業(yè)務(wù)系統(tǒng)、網(wǎng)銀前置 網(wǎng)銀管理服務(wù)器網(wǎng)銀的賬務(wù)處理、客戶數(shù)據(jù)及密碼的存放都在綜合業(yè)務(wù)系統(tǒng)中完成。網(wǎng)銀前置（或esb系統(tǒng)）負(fù)責(zé)將app服務(wù)器提交的業(yè)務(wù)請(qǐng)求經(jīng)過(guò)協(xié)議處理、數(shù)據(jù)格式轉(zhuǎn)換或加密后轉(zhuǎn)交到綜合業(yè)務(wù)系統(tǒng)的主機(jī)進(jìn)行處理。位于網(wǎng)點(diǎn)的客戶端通過(guò)訪問(wèn)網(wǎng)銀管理服務(wù)器實(shí)現(xiàn)網(wǎng)銀用戶管理功能（如開(kāi)戶、注銷(xiāo)、證書(shū)下載、密碼修改等）。上述三種業(yè)務(wù)系統(tǒng)都部署在銀行數(shù)據(jù)中心內(nèi)網(wǎng)區(qū)，app服務(wù)器與三者問(wèn)都存在直接或間接的訪問(wèn)關(guān)系，由于網(wǎng)銀app服務(wù)器與數(shù)據(jù)中

7、心內(nèi)網(wǎng)區(qū)分屬不同的網(wǎng)絡(luò)安全區(qū)域，所以兩者問(wèn)的網(wǎng)絡(luò)通信需要通過(guò)防火墻進(jìn)行訪問(wèn)控制。 3安全部署 前文從網(wǎng)銀業(yè)務(wù)的角度分析了網(wǎng)銀系統(tǒng)中各類(lèi)服務(wù)器的網(wǎng)絡(luò)安全需求，各服務(wù)器區(qū)以防火墻作為區(qū)域安全邊界，如圖2所示。從業(yè)務(wù)功能上考慮，還可將這種安全架構(gòu)劃分成四個(gè)功能區(qū)域：互聯(lián)網(wǎng)接入?yún)^(qū)、dmz區(qū)（接入web服務(wù)器、ra服務(wù)器）、網(wǎng)銀業(yè)務(wù)區(qū)（接入app服務(wù)器、db服務(wù)器）、數(shù)據(jù)中心內(nèi)網(wǎng)區(qū)。各功能區(qū)域的網(wǎng)絡(luò)安全部署如下： （1）互聯(lián)網(wǎng)接入?yún)^(qū)部署鏈路分擔(dān)設(shè)備，提供多isp的互聯(lián)網(wǎng)接入，并承擔(dān)網(wǎng)銀域名解析；部署流量清洗，防御ddos攻擊；部署外網(wǎng)邊界防火墻，實(shí)現(xiàn)互聯(lián)網(wǎng)與dmz區(qū)隔離。 （3）網(wǎng)銀業(yè)務(wù)區(qū)部署網(wǎng)銀app服務(wù)器、網(wǎng)銀db服務(wù)器、驗(yàn)簽服務(wù)器；app服務(wù)器前可部署服務(wù)器群組防護(hù)系統(tǒng)，用于業(yè)務(wù)優(yōu)化和提高可用性；app服務(wù)器與db服務(wù)器問(wèn)通過(guò)交換機(jī)實(shí)現(xiàn)訪問(wèn)控制；部署內(nèi)網(wǎng)邊界防火墻，實(shí)現(xiàn)網(wǎng)銀業(yè)務(wù)區(qū)與數(shù)據(jù)中心服務(wù)器區(qū)間的隔離。 （4）數(shù)據(jù)中心內(nèi)網(wǎng)區(qū)部署綜合業(yè)務(wù)系統(tǒng)主機(jī)、網(wǎng)銀前置（或esb系統(tǒng)）服務(wù)器、網(wǎng)銀管理服務(wù)器；采用“核心一邊緣”分區(qū)模塊化架構(gòu)，各服務(wù)器區(qū)圍繞網(wǎng)絡(luò)核心區(qū)部署，各服務(wù)器區(qū)與網(wǎng)絡(luò)核心區(qū)之間通過(guò)防火墻做訪問(wèn)控制。 4結(jié)束語(yǔ) 網(wǎng)銀業(yè)務(wù)的高技術(shù)性、無(wú)紙化和瞬時(shí)性的特點(diǎn)，決定了其經(jīng)營(yíng)風(fēng)險(xiǎn)要高于實(shí)體銀行業(yè)務(wù)，而技術(shù)風(fēng)險(xiǎn)又是網(wǎng)銀風(fēng)險(xiǎn)的核心內(nèi)容，也是金融機(jī)構(gòu)和廣大客戶最為關(guān)注的問(wèn)題，這些技術(shù)風(fēng)險(xiǎn)主要包