网银系统架构优化完善

网银系统架构优化完善

作者：中国银行桐城盛唐支行汤璋摘要：安全是网上银行应用推广的基础，网上银行的安全系统是为了保证网上银行系统的数据不被非法存取或修改，保证业务处理按照银行规定的流程被执行。网络与信息安全涉及的领域非常广泛，就安全保密技术要实现的目标来看，一般可包括以下 6 个方面，或叫做安全服务模型，即：身份认证、授权控制、审计确认、数据保密、数据完整和可用性。为保证网上银行的网络与信息安全，银行一般采用多层次体系结构的网上银行安全系统。可以划分为：网络层、系统层和应用层三个层次。网络层的组成部件包括：物理线路、路由器、交换机、网管软件、防火墙、加密机等；系统层主要由主机、操作系统、数据库、杀毒软件等部件构成；应用层主要由 Web 服务器、应用服务器、网上银行系统软件、RA 服务器、动态密码服务器等组成。

一、引言

网上银行作为一种全新的银行客户服务提交渠道，使客户在享受银行提供的服务时不受时间、空间的限制，因此近几年各商业银行的网上银行业务发展迅速。据CFCA《2009中国网上银行调查报告》显示，全国城镇人口中，个人网银用户的比例为20.9%，企业网银用户的比例为40.5%。网银业务高速发展的同时，安全性始终是用户与银行的关注重点。根据一份国内媒体的调查结果统计，超过九成的网民有意尝试网银业务，但是超过一半的受访者担心安全性问题。而在国外，根据美国互联网犯罪投诉中心报告，2009年美国银行客户因网上账号被盗而遭受的经济损失高达5.59亿美元。对用户而言，提升防范意识并掌握必要的安全技术措施才能有效规避交易风险。对于银行来说，采用合理的网络安全架构，综合运营各类安全技术手段（如防火墙、入侵检测、数字证书等），才能避免网络安全问题造成的损失。

二、业务逻辑安全需求

业务逻辑安全主要是为了保护网上银行业务逻辑按照特定的规则和流程被存取及处理。

1.身份认证需求

在双方进行交易前，首先要能确认对方的身份要求交易双方的身份不能被假冒或伪装。同时客户端容易感染木马病毒，普通的静态密码认证已不能满足网络银行的安全需求。网银系统需要更有效的身份认证系统。

访问控制是网上银行安全子系统中的核心安全策略，对关键网络、系统和数据的访问必须得到有效的控制，这就要求系统能够确认访问者的身份，谨慎授权，并对任何访问进行跟踪记录。网银系统访问控制需求体现在以下几个方面：

(1)制卡和卡数据维护必须指定专门的管理人员；

(2)企业用户不能访问面向个人的交易；

(3)个人网银用户不能访问面向企业用户的交易；

(4)批量制卡操作和制卡数据导出只能由动态密码管理的系统管理员操作；

(5)柜员建立卡信息和客户信息的关联应采取授权机制。

3.交易重复提交控制需求

交易重复提交就是同一个交易被多次提交给网银系统。查询类的交易被重复提交将会无故占用更多的系统资源，而管理类或金融类的交易被重复提交后，后果则会严重的多。交易被重复提交可能是无意的，也有可能是蓄意的攻击。

网银安全子系统必须对管理类和金融类交易提交的次数进行控制，这种控制即要有效的杜绝用户的误操作，还不能影响用户正常情况下对某个交易的多次提交。

三、数据安全需求

1．数据保密性需求

数据保密性要求数据只能由授权实体存取和识别，防止非授权泄露。要对敏感重要的商业信息进行加密，即使别人截获或窃取了数据，也无法识别信息的真实内容，这样就可以使商业机密信息难以被泄露。从目前国内网银应用的安全案例统计数据来看，数据保密性需求主要体现在以下几个方面：

（1）客户端与网银系统交互时输入的各类密码：包括系统登录密码、转账密码、凭证查询密码等必须加密传输及存放，这些密码在网银系统中只能以密文的方式存在，其明文形式能且只能由其合法主体能够识别。

（2）网银系统与其它系统进行数据交换时必须进行端对端的加解密处理。这里的数据加密主要是为了防止交易数据被银行内部人士截取利用。

数据完整性要求防止非授权实体对数据进行非法修改。交易各方能够验证收到的信息是否完整，即信息是否被人篡改过，或者在数据传输过程中是否出现信息丢失、信息重复等差错。通常网银系统中有两个地方需要对数据进行完整性检查：一是在网银用户提交交易数据签名时；另一种是网银系统与该行其它系统进行通讯时，需要检查报文的完整性。

3.数据可用性需求

数据可用性要求数据对于授权实体是有效、可用的，保证授权实体对数据的合法存取权利。对数据可用性最典型的攻击就是拒绝式攻击和分布式拒绝攻击，两者都是通过大量并发的恶意请求来占用系统资源，致使合法用户无法正常访问目标系统。

网银系统可用性需求体现在以下几个方面：

(1)并发用户 / 并发连接。

(2)同时在线人数。

(3)中断允许的最大时间。

(4)对系统的访问时间的要求。

4.数据不可伪造性需求

电子交易文件也要能做到不可修改。

5.数据不可抵赖性需求

在电子交易通信过程的各个环节中都必须是不可否认的，即交易一旦达成，发送方不能否认他发送的信息，接收方则不能否认他所收到的信息。

四、安全系统架构

PPDRR 安全模型构建完善的安全系统解决方案，安全模型的选择至关重要。PDR 模型是由 ISS 公司最早提出的入侵检测的一种模型。PDR 是防护（Protection）、检测（Detection）和响应（Response）的缩写。三者构成了一个首尾相接的环，也即“防护 -> 检测 -> 响应-> 防护”的一个循环。PDR 模型有很多变体，在银行网络中最著名的是 PPDRR 模型。增加了策略 (Policy) 和恢复 (Recovery)。PPDRR 模型是典型的、公认的安全模型。它是一种动态的、自适应的安全模型，可适应安全风险和安全需求的不断变化，提供持续的安全保障。

PPDRR 模型包括策略 (Policy)、防护 (Protection)、检测 (Detection)、响应(Response) 和恢复 (Recovery)5 个主要部分。防护、检测、响应和恢复构成一个完整的、动态的安全循环，在 PPDRR 模型安全策略的指导下共同实现安全保障，如下图所示。

图 1. PPDRR 模型

以 PPDRR 安全模型为基础设计的网银安全系统网络拓扑图如下图所示：