网上银行网络安全架构探讨

网上银行网络安全架构探讨

2010年03月12日

文/康乐从分析网银系统的应用架构入手，规划网银服务器端应具备的网络安全架构

网上银行作为一种全新的银行客户服务提交渠道，使客户在享受银行提供的服务时不受时间、空间的限制，因此近几年各商业银行的网上银行业务发展迅速。据CFCA《2009中国网上银行调查报告》显示，全国城镇人口中，个人网银用户的比例为20.9%，企业网银用户的比例为40.5%。网银业务高速发展的同时，安全性始终是用户与银行的关注重点。对用户而言，提升防范意识并掌握必要的安全技术措施才能有效规避交易风险。对于银行来说，采用合理的网络安全架构，综合运营各类安全技术手段（如防火墙、入侵检测、数字证书等），才能避免网络安全问题造成的损失。

一、网银网络安全需求分析

各商业银行由于自身业务系统的差异，对网银系统应用架构会有不同的设计，但基本的技术构成是类似的，其各部分的功能也相似。图1是较为典型的网银应用系统结构：

图1 网银系统结构图

1.网银WEB服务器

网银WEB服务器是网银业务面向互联网客户的主用界面，当前互联网上有很多基于WEB 应用的攻击，由于网银WEB直接暴露于互联网上，因此WEB服务器前不仅要通过防火墙实现基于网络层或传输层的访问控制，通过部署IPS实现深度安全检测，还需要通过流量清洗设备实现DDOS攻击防御。另外，由于安全防护要求不同，建议将网银WEB服务器与银行门户WEB服务器部署在不同的网络区域内，以防止门户WEB的安全漏洞对网银业

务的影响。

网银WEB服务器与用户浏览器间通过HTTPS协议保证数据的私密性与完整性，为了减少WEB服务器进行密钥交换与加解密的工作负担，建议在WEB服务器前部署SSL卸载设备。当前多数厂家生产的服务器负载分担设备兼具SSL卸载功能，因此在网银WEB服务器前部署负载分担设备既可实现HTTPS协议加速，又可实现业务负载分担和服务高可用性。

2.网银APP服务器

网银APP（应用）服务器提供网银系统的业务逻辑，包括会话管理、提交后台处理以及向WEB服务器提交应答页面等。APP服务器与WEB服务器共同构成网银业务（如网上支付与结算、网银转帐、基金交易、网上理财等）运行环境。由于WEB服务器与互联网客户浏览器之间承载数据的SSL协议不具备数字签名功能，所以网银客户端的数字签名通常由浏览器插件程序完成，而服务器端的验签工作则由单独的验签服务器完成。客户签名的交易数据经由WEB服务器提交给APP服务器，再由APP服务器向验签服务器发起验签请求。上述工作流程决定了APP服务器作为网银系统的核心组件，应保障其服务高可用性与网络访问安全性。

在APP服务器前部署服务器负载分担设备可实现业务流量在多台服务器间的均匀分配，从而提升业务的响应速度和服务高可用性。另外，部署负载分担设备后，可根据网银业务量的大小动态配置APP服务器，可提高业务扩展能力。

从安全角度考虑，由于APP服务器与网银WEB服务器所处的安全区域不同，因此在网银WEB服务器与APP服务器之间应部署防火墙实现访问控制。APP服务器前通常不需要部署IPS设备，一方面原因是APP服务器不接受直接来自互联网的访问流量，安全风险较低，另一方面原因是当前市场上各类IPS产品的价格都比较高，在部署更多IPS设备将增加网银系统的建设成本。

3.网银DB服务器

网银DB（数据库）服务器的主要作用是保存、共享各种及时业务数据（如客户支付金额）和静态数据（如利率表），支持业务信息系统的运作，对登录客户进行合法性检查。DB服务器通常需要与存储整列连接，并且DB服务器通常采用双机互为备份的方式以保证高可用性。

网银DB服务器与网银APP服务器的安全防护需求基本相同，但DB服务器只允许来自APP 服务器的访问，WEB服务器禁止直接访问DB服务器。APP服务器与DB服务器可以部署在同一个安全区域内，也可分别部署在两个不同的安全区域内。如部署在同一安全区域内，则APP与DB服务器将以同一个防火墙做为安全边界，而APP与DB之间的互访控制可通过接入交换机上的ACL实现。建议将APP与DB分别部署于各自独立的安全区域，并以不同的防火墙做安全边界，这样部署有更高的安全性，更清晰的安全策略以及更好的网络可扩展性。

4.RA服务器、签名验证服务器

RA服务器与签名验证（验签）服务器都是与网银交易中数字签名相关的系统。RA （Registration Authority，数字证书注册审批机构）服务器是PKI体系中CA服务器的延伸，RA负责向CFCA（中国金融认证中心）的CA或银行自建的CA申请审核发放证书。验签服务器负责对用户提交的交易数据进行数字签名验证。

RA服务器与验签服务器都与APP服务器间有数据交互，但RA服务器还需要通过互联网（或专线）与CFCA的CA服务器相连，因此RA与验签服务器应部署在不同的安全区域内。通常是将RA与WEB服务器部署在一个安全区域内，而将验签服务器与APP服务器部署在

一个安全区域内，APP服务器与RA服务器的访问需要通过防火墙做访问控制。

5.综合业务系统、网银前置、网银管理服务器

网银的帐务处理、客户数据及密码的存放都在综合业务系统中完成。网银前置（或ESB系统）负责将APP服务器提交的业务请求经过协议处理、数据格式转换或加密后转交到综合业务系统的主机进行处理。位于网点的客户端通过访问网银管理服务器实现网银用户管理功能（如开户、注销、证书下载、密码修改等）。上述三种业务系统都部署在银行数据中心内网区，APP服务器与三者间都存在直接或间接的访问关系，由于网银APP服务器与数据中心内网区分属不同的网络安全区域，所以两者间的网络通信需要通过防火墙进行访问控制。

二、网银分区安全部署要求

前文从网银业务的角度分析了网银系统中各类服务器的网络安全需求，各服务器区以防火墙作为区域安全边界，为提高网银的整体安全性，各区域边界防火墙采用不同厂家的产品，由此在整体布局上形成了“多层异构防火墙”安全架构，如图2所示。从业务功能上考虑，还可将这种安全架构划分成四个功能区域：互联网接入区、DMZ区（接入WEB服务器、RA服务器）、网银业务区（接入APP服务器、DB服务器）、数据中心内网区。