網(wǎng)上銀行安全系統(tǒng)

網(wǎng)上銀行安全系統(tǒng)Shanxixian20130516第一頁，共四十一頁。一、網(wǎng)上銀行安全系統(tǒng)概述二、網(wǎng)上銀行系統(tǒng)安全需求三、安全系統(tǒng)架構(gòu)四、安全檢測方案五、評價第二頁，共四十一頁。一、網(wǎng)上銀行安全系統(tǒng)概述背景安全是網(wǎng)上銀行應(yīng)用推廣的基礎(chǔ)，網(wǎng)上銀行的安全系統(tǒng)是為了保證網(wǎng)上銀行系統(tǒng)的數(shù)據(jù)不被非法存取或修改，保證業(yè)務(wù)處理按照銀行規(guī)定的流程被執(zhí)行。如何保證網(wǎng)上銀行交易系統(tǒng)的安全，關(guān)系到銀行內(nèi)部整個金融網(wǎng)的安全，也關(guān)系到銀行客戶的資金安全。因此，網(wǎng)上銀行的安全建設(shè)至關(guān)重要。第三頁，共四十一頁。二、網(wǎng)上銀行系統(tǒng)安全需求業(yè)務(wù)邏輯安全需求數(shù)據(jù)安全需求第四頁，共四十一頁。1.業(yè)務(wù)邏輯安全需求身份認(rèn)證需求訪問控制需求交易重復(fù)提交控制需求第五頁，共四十一頁。身份認(rèn)證需求在雙方進行交易前，首先要能確認(rèn)對方的身份，要求交易雙方的身份不能被假冒或偽裝。同時客戶端容易感染木馬病毒，普通的靜態(tài)密碼認(rèn)證已不能滿足網(wǎng)絡(luò)銀行的安全需求。網(wǎng)銀系統(tǒng)需要更有效的身份認(rèn)證系統(tǒng)。1.業(yè)務(wù)邏輯安全需求第六頁，共四十一頁。訪問控制需求訪問控制是網(wǎng)上銀行安全子系統(tǒng)中的核心安全策略，對關(guān)鍵網(wǎng)絡(luò)、系統(tǒng)和數(shù)據(jù)的訪問必須得到有效的控制，這就要求系統(tǒng)能夠確認(rèn)訪問者的身份，謹(jǐn)慎授權(quán)，并對任何訪問進行跟蹤記錄。1.業(yè)務(wù)邏輯安全需求第七頁，共四十一頁。交易重復(fù)提交控制需求交易重復(fù)提交就是同一個交易被多次提交給網(wǎng)銀系統(tǒng)。查詢類的交易被重復(fù)提交將會無故占用更多的系統(tǒng)資源，而管理類或金融類的交易被重復(fù)提交后，后果則會嚴(yán)重的多。交易被重復(fù)提交可能是無意的，也有可能是蓄意的攻擊。網(wǎng)銀安全子系統(tǒng)必須對管理類和金融類交易提交的次數(shù)進行控制，這種控制即要有效的杜絕用戶的誤操作，還不能影響用戶正常情況下對某個交易的多次提交。1.業(yè)務(wù)邏輯安全需求第八頁，共四十一頁。2.數(shù)據(jù)安全需求數(shù)據(jù)保密性需求數(shù)據(jù)完整性需求數(shù)據(jù)可用性需求數(shù)據(jù)不可偽造性需求數(shù)據(jù)不可抵賴性需求第九頁，共四十一頁。2.數(shù)據(jù)安全需求數(shù)據(jù)保密性需求數(shù)據(jù)保密性要求數(shù)據(jù)只能由授權(quán)實體存取和識別，防止非授權(quán)泄露。要對敏感重要的商業(yè)信息進行加密，即使別人截獲或竊取了數(shù)據(jù)，也無法識別信息的真實內(nèi)容，這樣就可以使商業(yè)機密信息難以被泄露。從目前國內(nèi)網(wǎng)銀應(yīng)用的安全案例統(tǒng)計數(shù)據(jù)來看，數(shù)據(jù)保密性需求主要體現(xiàn)在以下幾個方面：客戶端與網(wǎng)銀系統(tǒng)交互時輸入的各類密碼：包括系統(tǒng)登錄密碼、轉(zhuǎn)賬密碼、憑證查詢密碼等必須加密傳輸及存放，這些密碼在網(wǎng)銀系統(tǒng)中只能以密文的方式存在，其明文形式能且只能由其合法主體能夠識別。網(wǎng)銀系統(tǒng)與其它系統(tǒng)進行數(shù)據(jù)交換時必須進行端對端的加解密處理。這里的數(shù)據(jù)加密主要是為了防止交易數(shù)據(jù)被銀行內(nèi)部人士截取利用。第十頁，共四十一頁。數(shù)據(jù)的完整性需求數(shù)據(jù)完整性要求防止非授權(quán)實體對數(shù)據(jù)進行非法修改。交易各方能夠驗證收到的信息是否完整，即信息是否被人篡改過，或者在數(shù)據(jù)傳輸過程中是否出現(xiàn)信息丟失、信息重復(fù)等差錯。通常網(wǎng)銀系統(tǒng)中有兩個地方需要對數(shù)據(jù)進行完整性檢查：一是在網(wǎng)銀用戶提交交易數(shù)據(jù)簽名時；另一種是網(wǎng)銀系統(tǒng)與該行其它系統(tǒng)進行通訊時，需要檢查報文的完整性。2.數(shù)據(jù)安全需求第十一頁，共四十一頁。數(shù)據(jù)的可用性需求數(shù)據(jù)可用性要求數(shù)據(jù)對于授權(quán)實體是有效、可用的，保證授權(quán)實體對數(shù)據(jù)的合法存取權(quán)利。對數(shù)據(jù)可用性最典型的攻擊就是拒絕式攻擊和分布式拒絕攻擊，兩者都是通過大量并發(fā)的惡意請求來占用系統(tǒng)資源，致使合法用戶無法正常訪問目標(biāo)系統(tǒng)。網(wǎng)銀系統(tǒng)可用性需求體現(xiàn)在以下幾個方面：并發(fā)用戶/并發(fā)連接。同時在線人數(shù)。中斷允許的最大時間。對系統(tǒng)的訪問時間的要求。2.數(shù)據(jù)安全需求第十二頁，共四十一頁。數(shù)據(jù)不可偽造性需求電子交易文件要能做到不可修改。2.數(shù)據(jù)安全需求第十三頁，共四十一頁。數(shù)據(jù)不可抵賴性需求在電子交易通信過程的各個環(huán)節(jié)中都必須是不可否認(rèn)的，即交易一旦達成，發(fā)送方不能否認(rèn)他發(fā)送的信息，接收方則不能否認(rèn)他所收到的信息。2.數(shù)據(jù)安全需求第十四頁，共四十一頁。三、安全系統(tǒng)架構(gòu)PPDRR安全模型安全系統(tǒng)網(wǎng)絡(luò)拓?fù)鋱D安全策略安全防護方案安全檢測方案安全恢復(fù)方案第十五頁，共四十一頁。三、安全系統(tǒng)架構(gòu)3.1PPDRR安全模型構(gòu)建完善的安全系統(tǒng)解決方案，安全模型的選擇至關(guān)重要。PDR模型是由ISS公司最早提出的入侵檢測的一種模型。PDR是防護（Protection）、檢測（Detection）和響應(yīng)（Response）的縮寫。三者構(gòu)成了一個首尾相接的環(huán)，也即“防護->檢測->響應(yīng)->防護”的一個循環(huán)。PDR模型有很多變體，在銀行網(wǎng)絡(luò)中最著名的是PPDRR模型。增加了策略(Policy)和恢復(fù)(Recovery)。PPDRR模型是典型的、公認(rèn)的安全模型。它是一種動態(tài)的、自適應(yīng)的安全模型，可適應(yīng)安全風(fēng)險和安全需求的不斷變化，提供持續(xù)的安全保障。PPDRR模型包括策略

、防護

、檢測

、響應(yīng)和恢復(fù)5個主要部分。防護、檢測、響應(yīng)和恢復(fù)構(gòu)成一個完整的、動態(tài)的安全循環(huán)，在PPDRR模型安全策略的指導(dǎo)下共同實現(xiàn)安全保障，如下圖所示。第十六頁，共四十一頁。PPDRR安全模型

圖1.PPDRR模型第十七頁，共四十一頁。3.2安全系統(tǒng)網(wǎng)絡(luò)拓?fù)鋱D以PPDRR安全模型為基礎(chǔ)設(shè)計的網(wǎng)銀安全系統(tǒng)網(wǎng)絡(luò)拓?fù)鋱D如下圖所示：第十八頁，共四十一頁。安全系統(tǒng)網(wǎng)絡(luò)拓?fù)鋱D通過拓?fù)鋱D可以看出，整個網(wǎng)絡(luò)系統(tǒng)通過三道防火墻劃分為四個邏輯區(qū)域。按由外到內(nèi)的順序部署。最外層為是Internet區(qū)（非授信區(qū)），為網(wǎng)銀用戶客戶端接入?yún)^(qū)域；第一道防火墻和第二道防火墻之間是隔離區(qū)（DMZ），在此區(qū)域中部署RA服務(wù)器以及網(wǎng)銀系統(tǒng)的Web服務(wù)器等其它第三方應(yīng)用系統(tǒng)；第二道防火墻和第三道防火墻之間是應(yīng)用區(qū)，是網(wǎng)銀系統(tǒng)的應(yīng)用/DB區(qū)，在此區(qū)域中部署網(wǎng)銀系統(tǒng)的應(yīng)用服務(wù)器和數(shù)據(jù)庫服務(wù)器；第三道防火墻之后為銀行的核心系統(tǒng)、中間業(yè)務(wù)平臺等第三方業(yè)務(wù)系統(tǒng)。在隔離區(qū)和應(yīng)用區(qū)的Web服務(wù)器，應(yīng)用服務(wù)器和數(shù)據(jù)庫服務(wù)器都會有相應(yīng)的雙機熱備方案。第十九頁，共四十一頁。3.3安全策略安全策略是整個安全體系的基礎(chǔ)。構(gòu)建安全系統(tǒng)需要工程師來操作，這就需要建立健全的規(guī)章制度和操作規(guī)范，使保護、檢測、響應(yīng)和恢復(fù)環(huán)節(jié)行之有效。一般的安全系統(tǒng)需要以下規(guī)章制度和操作規(guī)范：設(shè)備管理制度，機房管理制度，系統(tǒng)安全管理守則和明細，網(wǎng)絡(luò)安全管理守則和明細，應(yīng)用安全管理守則和明細，應(yīng)急響應(yīng)計劃，災(zāi)難恢復(fù)計劃等。第二十頁，共四十一頁。3.4安全防護方案身份認(rèn)證系統(tǒng)權(quán)限控制系統(tǒng)邊界控制防病毒網(wǎng)關(guān)傳輸加密安全的操作系統(tǒng)第二十一頁，共四十一頁。3.4.1身份認(rèn)證系統(tǒng)網(wǎng)上銀行應(yīng)用系統(tǒng)中的安全防護的第一道防線是身份認(rèn)證。身份認(rèn)證的技術(shù)有很多，可以分為兩類：軟件認(rèn)證和硬件認(rèn)證。其中軟件認(rèn)證多為用戶自己知道的秘密信息，譬如用戶名和密碼。硬件認(rèn)證包括IC卡，基于生物學(xué)信息的身份認(rèn)證，比如指紋識別，虹膜識別，面部識別等。單純的軟件認(rèn)證已不能滿足網(wǎng)絡(luò)銀行系統(tǒng)的身份認(rèn)證需求，所以網(wǎng)絡(luò)銀行多采用軟硬件結(jié)合的雙因子認(rèn)證方式作為身份認(rèn)證的輔助解決方案。其中流行的雙因子認(rèn)證多為動態(tài)密碼：3.4安全防護方案第二十二頁，共四十一頁。USBKey認(rèn)證動態(tài)口令刮刮卡動態(tài)短信上面介紹的這四種身份認(rèn)證的輔助解決方案可以在相當(dāng)大的程度上杜絕目前流行的專門盜取客戶的賬號和密碼的“盜號木馬”的危害。第二十三頁，共四十一頁。USBKey認(rèn)證USBKey內(nèi)置智能卡芯片，可以存儲用戶的密鑰或數(shù)字證書。一般的USBKey都以CA認(rèn)證為核心，采用雙證書（加密證書/簽名證書）、雙中心（認(rèn)證中心、密鑰中心）機制來做身份認(rèn)證。通常還有個啟動PIN碼。提供對USBKey持有人的認(rèn)證。這樣不怕USBKey被別人盜用。第二十四頁，共四十一頁。動態(tài)口令動態(tài)口令由專有的動態(tài)令牌定時生成，一般60秒隨機更新一次。用戶每次登陸輸入完靜態(tài)密碼后直接輸入動態(tài)口令牌顯示窗口顯示的6/8

位密碼即可。第二十五頁，共四十一頁。刮刮卡刮刮卡是用一次性口令技術(shù)事先算出一次性口令的子集或全集，將這些口令印制在一張卡片上。刮刮卡密碼本身為靜態(tài)的數(shù)字，但是每次登陸網(wǎng)銀系統(tǒng)的時候，系統(tǒng)會隨機抽取一組坐標(biāo)組合，由這組坐標(biāo)組合對應(yīng)的數(shù)字組合成動態(tài)密碼。第二十六頁，共四十一頁。動態(tài)短信動態(tài)短信是服務(wù)器端通過通信服務(wù)商向用戶的手機上發(fā)送一次性密碼短信，用戶也可以通過撥打相應(yīng)的客服電話來獲得一次性密碼。對客戶來說幾乎沒有投入成本，安全性強。第二十七頁，共四十一頁。3.4.2權(quán)限控制系統(tǒng)權(quán)限控制包括網(wǎng)絡(luò)的訪問權(quán)限控制，設(shè)備的訪問權(quán)限控制，服務(wù)器的遠程訪問權(quán)限控制（包括頁面服務(wù)器、應(yīng)用服務(wù)器、數(shù)據(jù)庫服務(wù)器等），網(wǎng)銀系統(tǒng)的權(quán)限控制。其中企業(yè)網(wǎng)銀和后臺管理系統(tǒng)涉及到多人在同一系統(tǒng)內(nèi)的操作，權(quán)限控制尤其重要。3.4安全防護方案第二十八頁，共四十一頁。3.4.3邊界控制可以在網(wǎng)絡(luò)邊界設(shè)置多重的防火墻，防止外界的非法訪問。在網(wǎng)絡(luò)拓?fù)鋱D中也可以清楚的看到，多種的防火墻可以保證網(wǎng)銀系統(tǒng)和銀行核心系統(tǒng)以及其他渠道系統(tǒng)的通信安全。其中第一重和第二重防火墻主要是防護互聯(lián)網(wǎng)用戶的非法入侵，第三道防火墻可以防護銀行內(nèi)部用戶非法侵入網(wǎng)銀系統(tǒng)。3.4安全防護方案第二十九頁，共四十一頁。3.4.4防病毒網(wǎng)關(guān)病毒、蠕蟲和木馬等對網(wǎng)銀系統(tǒng)安全造成極大威脅。防病毒必須軟、硬件兩手抓。設(shè)置防病毒網(wǎng)關(guān)對進入應(yīng)用區(qū)的信息進行掃描，同時網(wǎng)銀系統(tǒng)的程序本身也要防止SQL注入等應(yīng)用層的安全漏洞。3.4安全防護方案第三十頁，共四十一頁。3.4.5傳輸加密數(shù)據(jù)加密的方法里有鏈路層加密、網(wǎng)絡(luò)層加密及應(yīng)用層加密。其中對網(wǎng)銀來說，應(yīng)用層的加密應(yīng)用比較廣泛。網(wǎng)銀客戶端至服務(wù)器端的安全連接可以采用SSL（SecuritySocketLayer）協(xié)議。SSL已得到各主流瀏覽器內(nèi)置的支持。由于標(biāo)準(zhǔn)的SSL協(xié)議，在采用客戶端證書時，并未對用戶的交易數(shù)據(jù)進行顯式簽名，所以一般的網(wǎng)銀系統(tǒng)可通過在客戶瀏覽器安裝簽名控件來完成，簽名控件一方面可以完成數(shù)字簽名，另一方面，通過自定義簽名格式，只對需要的頁面要素進行簽名，去除不必要的數(shù)據(jù)被簽名。3.4安全防護方案第三十一頁，共四十一頁。3.4.6安全的操作系統(tǒng)銀行交易服務(wù)器需要更高級別的安全性，而服務(wù)器的安全性又極大的依賴操作系統(tǒng)的安全性。可以在服務(wù)器上安裝的增強型安全插件，防止緩沖器溢出攻擊和服務(wù)器劫持等。3.4安全防護方案第三十二頁，共四十一頁。四、安全檢測方案入侵檢測系統(tǒng)狀態(tài)監(jiān)測系統(tǒng)安全審計系統(tǒng)第三十三頁，共四十一頁。4.1入侵檢測系統(tǒng)入侵檢測可以作為傳統(tǒng)防火墻的輔助方案，可以根據(jù)入侵檢測的結(jié)果進行防護、響應(yīng)和恢復(fù)。入侵檢測系統(tǒng)（IntrusionDetectionSystem，簡稱IDS）是采用相對應(yīng)的入侵檢測軟件和硬件的集成。采用基于網(wǎng)絡(luò)的入侵檢測產(chǎn)品（NIDS）實時監(jiān)控公共網(wǎng)絡(luò)和銀行網(wǎng)絡(luò)間的通信，捕獲網(wǎng)絡(luò)入侵；采用基于主機的入侵檢測產(chǎn)品（HIDS）監(jiān)測服務(wù)器會話數(shù)據(jù)流和系統(tǒng)審計日志以捕獲主機入侵。第三十四頁，共四十一頁。4.2狀態(tài)監(jiān)測系統(tǒng)部署網(wǎng)絡(luò)和主機的監(jiān)控系統(tǒng)，監(jiān)控網(wǎng)絡(luò)和主機的運行狀態(tài)，可以實時反映網(wǎng)銀系統(tǒng)的性能，以及時做出相應(yīng)的措施。第三十五頁，共四十一頁。4.3安全審計系統(tǒng)在設(shè)置防火墻和入侵檢測系統(tǒng)的同時，仍需要對網(wǎng)絡(luò)銀行輸入輸出的信息數(shù)據(jù)需要進行審查核實，防止敏感信息數(shù)據(jù)的泄露。在整個網(wǎng)絡(luò)系統(tǒng)的各個單元中設(shè)置安全審計，從軟硬件各方面入手發(fā)現(xiàn)安全漏洞，包括數(shù)據(jù)的安全與操作的安全等。第三十六頁，共四十一頁。安全恢復(fù)方案負(fù)載均衡和雙機熱備網(wǎng)銀系統(tǒng)的用戶量大，訪問和數(shù)據(jù)的流量也相應(yīng)增加。所以目前的網(wǎng)絡(luò)銀行系統(tǒng)多會采用負(fù)載平衡策略。負(fù)載平衡的算法有多種，包括依序，比重，流量比例，自動分配等。對于應(yīng)用IBMWebSphereApplicationServer作為應(yīng)用服務(wù)器的網(wǎng)絡(luò)銀行系統(tǒng)多采用比重算法進行自動分配請求。此處講的雙機熱備多指基于高可用系統(tǒng)的兩臺服務(wù)器的熱備，包括頁面服務(wù)器，應(yīng)用服務(wù)器和數(shù)據(jù)庫服務(wù)器等。其中頁面服務(wù)器和應(yīng)用服務(wù)器多配置為集群，可采用雙主機方式（Active-Active方式）。數(shù)據(jù)庫服務(wù)可以采用主-備方式（Active-Standby方式）。第三十七頁，共四十一頁。五、評價1.PPDRR模型闡述的是網(wǎng)絡(luò)安全最終的存在形態(tài)，并沒有闡述實現(xiàn)目標(biāo)體系的途徑和方法，也沒有涉及管理等方面的因素。2.PPDRR是一個平面上的網(wǎng)絡(luò)安全模型，對于動態(tài)的防御思想表現(xiàn)得不充分。盡管以安全策略發(fā)中心，其它部分都是按此安全策略來進行，但各個部分在網(wǎng)絡(luò)中執(zhí)行的有效性沒有及時傳遞給安全策略，也未對策略做出必要的評估和調(diào)整。第三十八頁，共四十一頁。3.PPDRR模型中的防護、檢測、響應(yīng)、恢復(fù)各個部分，在經(jīng)過一周期后，才取得相應(yīng)的聯(lián)系，而未及時地相互直接取得聯(lián)系。立體防御的思想就是將分散系統(tǒng)整合成一個異構(gòu)網(wǎng)絡(luò)系統(tǒng)，基于聯(lián)動聯(lián)防和網(wǎng)絡(luò)集中管