《网银系统的安全系统解决方案概述》由会员分享,可在线阅读,更多相关《网银系统的安全系统解决方案概述(14页珍藏版)》请在金锄头文库上搜索。
1、基于J2EE网银系统平安系统解决方案概述摘要随着中国参加WTO,外国银行进入中国市场,国内银行业务越来越 多移植到网络银行上,因此网上银行需求日益增加。但是Internet 开放性特点,使网上银行面临种种风险,可以说平安性是网上银行最 大考核要素。所以一套完善平安系统是网上银行必备。本文介绍国内外网上银行所普遍采用平安技术与方案,将从数据与业 务逻辑两个角度详细地分析一般网上银行系统平安需求,并据此引入 以PPDRR为平安模型平安设计方案。主要平安技术包括SSL数 据加密、CFCA数字证书认证、动态口令技术、基于角色访问控制 机制等。通过阅读本文,读者不但可以了解网上银行普遍采用平安系 统架构
2、以及相关技术,而且对开发实际平安应用系统具有一定指导意 义。回页首网上银行平安系统概述背景平安是网上银行应用推广根底,网上银行平安系统是为了保证网上银 行系统数据不被非法存取或修改,保证业务处理按照银行规定流程被 执行。网络与信息平安涉及领域非常广泛,就平安保密技术要实现目标来 看,一般可包括以下6个方面,或叫做平安效劳模型,即:身份认 证、授权控制、审计确认、数据保密、数据完整与可用性。为保证网上银行网络与信息平安,银行一般采用多层次体系构造网上 银行平安系统。可以划分为:网络层、系统层与应用层三个层次。网 络层组成部件包括:物理线路、路由器、交换机、网管软件、防火墙、 加密机等;系统层主要
3、由主机、操作系统、数据库、杀毒软件等部件 构成;应用层主要由Web效劳器、应用效劳器、网上银行系统软件、 RA效劳器、动态密码效劳器等组成。业务逻辑平安需求业务逻辑平安主要是为了保护网上银行业务逻辑按照特定规那么与 流程被存取及处理。身份认证需求在双方进展交易前,首先要能确认对方身份要求交易双方身份不能被 假冒或伪装。同时客户端容易感染木马病毒,普通静态密码认证已不 能满足网络银行平安需求。网银系统需要更有效身份认证系统。访问控制需求访问控制是网上银行平安子系统中核心平安策略,对关键网络、系统 与数据访问必须得到有效控制,这就要求系统能够确认访问者身份, 慎重授权,并对任何访问进展跟踪记录。网
4、银系统访问控制需求表达在以下几个方面:1. 制卡与卡数据维护必须指定专门管理人员;2. 企业用户不能访问面向个人交易;3. 个人网银用户不能访问面向企业用户交易;4. 批量制卡操作与制卡数据导出只能由动态密码管理系统管理员 操作;5. 柜员建立卡信息与客户信息关联应采取授权机制。交易重复提交控制需求交易重复提交就是同一个交易被屡次提交给网银系统。查询类交易被 重复提交将会无故占用更多系统资源,而管理类或金融类交易被重复 提交后,后果那么会严重多。交易被重复提交可能是无意,也有可能 是蓄意攻击。网银平安子系统必须对管理类与金融类交易提交次数进展控制,这种 控制即要有效杜绝用户误操作,还不能影响用
5、户正常情况下对某个交 易屡次提交。数据平安需求数据保密性需求数据保密性要求数据只能由授权实体存取与识别,防止非授权泄露。 要对敏感重要商业信息进展加密,即使别人截获或窃取了数据,也无 法识别信息真实内容,这样就可以使商业机密信息难以被泄露。从目 前国内网银应用平安案例统计数据来看,数据保密性需求主要表达在 以下几个方面:1. 客户端与网银系统交互时输入各类密码:包括系统登录密码、 转账密码、凭证查询密码等必须加密传输及存放,这些密码在 网银系统中只能以密文方式存在,其明文形式能且只能由其合 法主体能够识别。2. 网银系统与其它系统进展数据交换时必须进展端对端加解密处 理。这里数据加密主要是为了
6、防止交易数据被银行内部人士截 取利用。数据完整性需求数据完整性要求防止非授权实体对数据进展非法修改。交易各方能够 验证收到信息是否完整,即信息是否被人篡改正,或者在数据传输过 程中是否出现信息丧失、信息重复等过失。通常网银系统中有两个地 方需要对数据进展完整性检查:一是在网银用户提交交易数据签名 时;另一种是网银系统与该行其它系统进展通讯时,需要检查报文完 整性。数据可用性需求 数据可用性要求数据对于授权实体是有效、可用,保证授权实体对数 据合法存取权利。对数据可用性最典型攻击就是拒绝式攻击与分布式 拒绝攻击,两者都是通过大量并发恶意请求来占用系统资源,致使合 法用户无法正常访问目标系统。网银
7、系统可用性需求表达在以下几个方面:1. 并发用户/并发连接。2. 同时在线人数。3. 中断允许最大时间。4. 对系统访问时间要求。数据不可伪造性需求 电子交易文件也要能做到不可修改。数据不可抵赖性需求 在电子交易通信过程各个环节中都必须是不可否认,即交易一旦达 成,发送方不能否认他发送信息,接收方那么不能否认他所收到信息。回页首平安系统架构PPDRR平安模型 构建完善平安系统解决方案,平安模型选择至关重要。PDR模型是 由ISS公司最早提出入侵检测一种模型。PDR是防护Protection、检测Detection与响应Response缩写。 三者构成了一个首尾相接环,也即“防护- 检测- 响应
8、- 防 护一个循环。PDR模型有很多变体,在银行网络中最著名是 PPDRR 模型。增加了策略(Policy)与恢复(Recovery)。PPDRR 模型是典型、公认平安模型。它是一种动态、自适应平安模型,可适 应平安风险与平安需求不断变化,提供持续平安保障。PPDRR模型包括策略(Policy)、防护(Protection)、检测(Detection)、响应(Response)与恢复(Recovery)5 个主要局部。 防护、检测、响应与恢复构成一个完整、动态平安循环,在PPDRR 模型平安策略指导下共同实现平安保障,如下列图所示。图1. PPDRR模型响应(Response)策略v (Pol
9、icy)检测L (Derection)防护(Protection)恢复(Recovery)平安系统网络拓扑图以PPDRR平安模型为根底设计网银平安系统网络拓扑图如下列图所示:图2.网络拓扑图JjCFCAS数摇库服另器丘A席务器ISPfelW*b服島器应用*务器教拡库瞬务器通过拓扑图可以看出,整个网络系统通过三道防火墙划分为四个逻辑 区域。按由外到内顺序部署。最外层为是Internet区非授信区, 为网银用户客户端接入区域;第一道防火墙与第二道防火墙之间是隔 离区DMZ,在此区域中部署RA效劳器以及网银系统Web效 劳器等其它第三方应用系统;第二道防火墙与第三道防火墙之间是应 用区,是网银系统应
10、用/DB区,在此区域中部署网银系统应用效劳 器与数据库效劳器;第三道防火墙之后为银行核心系统、中间业务平 台等第三方业务系统。在隔离区与应用区Web效劳器,应用效劳器 与数据库效劳器都会有相应双机热备方案。方案细节会在下文详细介 绍。平安策略 平安策略是整个平安体系根底。构建平安系统需要工程师来操作,这 就需要建立健全规章制度与操作标准,使保护、检测、响应与恢复环 节行之有效。一般平安系统需要以下规章制度与操作标准:设备管理制度,机房管 理制度,系统平安管理守那么与明细,网络平安管理守那么与明细, 应用平安管理守那么与明细,应急响应方案,灾难恢复方案等。平安防护方案防护方案主要包括以下几个方面
11、:身份认证系统网上银行应用系统中平安防护第一道防线是身份认证。身份认证技术 有很多,可以分为两类:软件认证与硬件认证。其中软件认证多为用 户自己知道秘密信息,譬如用户名与密码。硬件认证包括IC卡,基 于生物学信息身份认证,比方指纹识别,虹膜识别,面部识别等。单纯软件认证已不能满足网络银行系统身份认证需求,所以网络银行 多采用软硬件结合双因子认证方式作为身份认证辅助解决方案。其中 流行双因子认证多为动态密码:1. USB Key 认证USB Key内置智能卡芯片,可以存储用户密钥或数字证书。 一般USB Key都以CA认证为核心,采用双证书加密证 书/签名证书、双中心认证中心、密钥中心机制来做
12、身份认证。通常还有个启动PIN码。提供对USB Key持有 人认证。这样不怕USB Key被别人盗用。2. 动态口令动态口令由专有动态令牌定时生成,一般60秒随机更新一 次。用户每次登陆输入完静态密码后直接输入动态口令牌显示 窗口显示6位密码即可。3. 刮刮卡刮刮卡是用一次性口令技术事先算出一次性口令子集或全集, 将这些口令印制在一张卡片上。刮刮卡密码本身为静态数字, 但是每次登陆网银系统时候,系统会随机抽取一组坐标组合, 由这组坐标组合对应数字组合成动态密码。4. 动态短信动态短信是效劳器端通过通信效劳商向用户手机上发送一次性 密码短信,用户也可以通过拨打相应客服来获得一次性密 码。对客户来
13、说几乎没有投入本钱,平安性强。上面介绍这四种身份认证辅助解决方案可以在相当大程度上杜绝目 前流行专门盗取客户账号与密码“盗号木马危害。权限控制系统权限控制包括网络访问权限控制,设备访问权限控制,效劳器远程访 问权限控制包括页面效劳器、应用效劳器、数据库效劳器等,网 银系统权限控制。其中企业网银与后台管理系统涉及到多人在同一系 统内操作,权限控制尤其重要。边界控制可以在网络边界设置多重防火墙,防止外界非法访问。在网络拓扑图 中也可以清楚看到,多种防火墙可以保证网银系统与银行核心系统以 及其他渠道系统通信平安。其中第一重与第二重防火墙主要是防护互 联网用户非法入侵,第三道防火墙可以防护银行内部用户
14、非法侵入网 银系统。防病毒网关病毒、蠕虫与木马等对网银系统平安造成极大威胁。防病毒必须软、 硬件两手抓。设置防病毒网关对进入应用区信息进展扫描,同时网银 系统程序本身也要防止SQL注入等应用层平安漏洞。传输加密数据加密地方法有里链路层加密、网络层加密及应用层加密。其中对 网银来说,应用层加密应用比拟广泛。网银客户端至效劳器端平安连 接可以采用SSLSecurity Socket Layer协议。SSL已得到各 主流浏览器内置支持。由于标准SSL协议,在采用客户端证书时, 并未对用户交易数据进展显式签名,所以一般网银系统可通过在客户 浏览器安装签名控件来完成,签名控件一方面可以完成数字签名,另
15、一方面,通过自定义签名格式,只对需要页面要素进展签名,去除不 必要数据被签名。平安操作系统银行交易效劳器需要更高级别平安性,而效劳器平安性又极大依赖操 作系统平安性。可以在效劳器上安装增强型平安插件,防止缓冲器溢 出攻击与效劳器劫持等。平安检测方案平安监测方案包括以下三个方面:入侵检测可以作为传统防火墙辅助方案,可以根据入侵检测结果进展 防护、响应与恢复。入侵检测系统Int rusion Det ec tion Syst em, 简称IDS是采用相对应入侵检测软件与硬件集成。采用基于网络 入侵检测产品NIDS实时监控公共网络与银行网络间通信,捕获 网络入侵;采用基于主机入侵检测产品HIDS监测效劳器会话数 据流与系统审计日志以捕获主机入侵。状态监测系统部署网络与主机监控系统,监控网络与主机运行状态,可以实时反映 网银系统性能,以及时做出相应措施。平安审计系统在设置防火墙与入侵检测系统同时,仍需要对网络银行输入输出信息 数据需要进展审查核实,防止敏感信息数据泄露。在整个网络系统各 个单元中设置平安审计,从软硬件各方面入手发现平安漏洞,包括数 据平安与操作平安等。平安恢复方案负载均衡与双机热备网银系统用户量大,访问与数据流量也相应增加。所以目前网络银行 系统多会采用负
