網銀安全應對策略綜述

時間:2022-05-02 10:10:00

導語:網銀安全應對策略綜述一文來源于網友上傳,不代表本站觀點,若需要原創文章可咨詢客服老師,歡迎參考。

網銀安全應對策略綜述

1背景簡介

網上銀行作為一種全新的銀行客戶服務提交渠道,使客戶在享受銀行提供的服務時不受時間、空間的限制,因此,近幾年各商業銀行的網上銀行業務發展迅速。據CFCA(201l中國網上銀行調查報告》顯示,個人網銀用戶比例為27.6%,企業網銀則替代了60.3%的柜臺業務。網銀業務高速發展的同時,安全性始終是用戶與銀行的關注重點。對用戶而言,提升防范意識并掌握必要的安全技術措施才能有效規避交易風險。對于銀行來說,采用合理的網絡安全架構,綜合運營各類安全技術手段(如防火墻、入侵檢測、服務器群組防護等),才能避免網絡安全問題造成的損失。

2安全分析

各商業銀行由于自身業務系統的差異,對網銀系統應用架構會有不同的設計,但基本的技術構成是類似的,其各部分的功能也相似。圖l是較為典型的網銀應用系統結構。

2.1網銀Web服務器

網銀Web服務器是網銀業務面向互聯網客戶的主要界面,當前互聯網上有很多基于web應用的攻擊,由于網銀web直接暴露于互聯網上,因此,Web服務器前不僅要通過防火墻實現基于網絡層、傳輸層或應用層的訪問控制,通過部署IPS實現深度安全檢測,還需要通過流量清洗設備實現DD0S攻擊防御。另外,由于安全防護要求不同,建議將網銀Web服務器與銀行門戶Web服務器部署在不同的網絡區域內,以防止門戶Web的安全漏洞對網銀業務的影響。網銀Web服務器與用戶瀏覽器間通過HTTPS協議保證數據的私密性與完整性,為了降低Web服務器進行密鑰交換與加解密的工作負擔,建議在Web服務器前部署SSL設備。在網銀Web服務器前部署服務器群組防護系統,既可實現HTTPS協議加密,又可實現業務負載分擔和服務高可用性。

2.2網銀APP服務器

網銀APP(應用)服務器提供網銀系統的業務應用,包括會話管理、提交后臺處理以及向Web服務器提交應答頁面等。APP服務器與Web服務器共同構成網銀業務(如網上支付與結算、網銀轉帳、基金交易、網上理財等)運行環境。由于Web服務器與互聯網客戶瀏覽器之間承載數據的SSL協議不具備數字簽名功能,所以網銀客戶端的數字簽名通常由瀏覽器插件程序完成,而服務器端的驗簽工作則由單獨的驗簽服務器完成??蛻艉灻慕灰讛祿浻蒞eb服務器提交給APP服務器,再由APP服務器向驗簽服務器發起驗簽請求。上述工作流程決定了APP服務器作為網銀系統的核心組件,應保障其服務高可用性與網絡訪問安全性。在APP服務器前部署服務器負載分擔設備可實現業務流量在多臺服務器問的均勻分配,從而提升業務的響應速度和服務高可用性。另外,部署負載分擔設備后,可根據網銀業務量的大小動態配置APP服務器,可提高業務擴展能力。從安全角度考慮,由于APP服務器與網銀Web服務器所處的安全區域不同,因此在網銀Web服務器與APP服務器之間應部署防火墻實現訪問控制。

2.3網銀DB服務器

網銀DB(數據庫)服務器的主要作用是保存、共享各種及時業務數據(如客戶支付金額)和靜態數據(如利率表),支持業務信息系統的運作,對登錄客戶進行合法性檢查。DB服務器通常需要與存儲整列連接,并且DB服務器通常采用雙機互為備份的方式以保證高可用性。網銀DB服務器與網銀APP服務器的安全防護需求基本相同,但DB服務器只允許來自APP服務器的訪問,WEB服務器禁止直接訪問DB服務器。APP服務器與DB服務器可以部署在同一個安全區域內,也可分別部署在兩個不同的安全區域內。如部署在同一安全區域內,則APP與DB服務器將以同一個防火墻做為安全邊界,而APP與DB之間的互訪控制可通過接入交換機上的ACL實現。建議將APP與DB分別部署于各自獨立的安全區域,并以防火墻作安全邊界,這樣部署有更高的安全性,更清晰的安全策略以及更好的網絡可擴展性。

2.4RA服務器、簽名驗證服務器

RA服務器與簽名驗證(驗簽)服務器都是與網銀交易中數字簽名相關的系統。RA(RegistrationAuthority,數字證書注冊審批機構)服務器是PKI體系中CA服務器的延伸,RA負責向CFCA(中國金融認證中心)的CA或銀行自建的CA申請審核發放證書。驗簽服務器負責對用戶提交的交易數據進行數字簽名驗證。RA服務器與驗簽服務器都與APP服務器間有數據交互,但RA服務器還需要通過互聯網(或專線)與CFCA的CA服務器相連,因此RA與驗簽服務器應部署在不同的安全區域內。通常是將謄謦萋j戴囊j懿方案RA與WEB服務器部署在一個安全區域內,而將驗簽服務器與APP服務器部署在一個安全區域內,APP服務器與RA服務器的訪問需要通過防火墻做訪問控制。

2.5綜合業務系統、網銀前置

網銀管理服務器網銀的賬務處理、客戶數據及密碼的存放都在綜合業務系統中完成。網銀前置(或ESB系統)負責將APP服務器提交的業務請求經過協議處理、數據格式轉換或加密后轉交到綜合業務系統的主機進行處理。位于網點的客戶端通過訪問網銀管理服務器實現網銀用戶管理功能(如開戶、注銷、證書下載、密碼修改等)。上述三種業務系統都部署在銀行數據中心內網區,APP服務器與三者問都存在直接或間接的訪問關系,由于網銀APP服務器與數據中心內網區分屬不同的網絡安全區域,所以兩者問的網絡通信需要通過防火墻進行訪問控制。

3安全部署

前文從網銀業務的角度分析了網銀系統中各類服務器的網絡安全需求,各服務器區以防火墻作為區域安全邊界,如圖2所示。從業務功能上考慮,還可將這種安全架構劃分成四個功能區域:互聯網接入區、DMZ區(接入WEB服務器、RA服務器)、網銀業務區(接入APP服務器、DB服務器)、數據中心內網區。各功能區域的網絡安全部署如下:

(1)互聯網接入區①部署鏈路分擔設備,提供多ISP的互聯網接入,并承擔網銀域名解析;②部署流量清洗,防御DDoS攻擊;③部署外網邊界防火墻,實現互聯網與DMZ區隔離。

(2)DMZ區①部署網銀WEB服務器、門戶WEB服務器,RA服務器;②部署IPS,為WEB服務器提供深層安全保捷③部署服務器群組防護系統,優化HTTPS響應速度并保證WEB業務高可用性;④部署信息審計系統,防止敏感信息數據的泄露⑤部署邊界防火墻,實現DMZ與網銀業務區的隔離。

(3)網銀業務區①部署網銀APP服務器、網銀DB服務器、驗簽服務器;②APP服務器前可部署服務器群組防護系統,用于業務優化和提高可用性;③APP服務器與DB服務器問通過交換機實現訪問控制;④部署內網邊界防火墻,實現網銀業務區與數據中心服務器區間的隔離。

(4)數據中心內網區①部署綜合業務系統主機、網銀前置(或ESB系統)服務器、網銀管理服務器;②采用“核心一邊緣”分區模塊化架構,各服務器區圍繞網絡核心區部署,各服務器區與網絡核心區之間通過防火墻做訪問控制。

4結束語

網銀業務的高技術性、無紙化和瞬時性的特點,決定了其經營風險要高于實體銀行業務,而技術風險又是網銀風險的核心內容,也是金融機構和廣大客戶最為關注的問題,這些技術風險主要包括交易主體的身份識別、交易過程的商業機密、電子通信的安全、交易和其他記錄的保存和管理等。只有采用合理的安全架構,綜合運營各類安全技術手段(如防火墻、入侵檢測、服務器群組防護等),才能有效預防技術風險可能造成的經濟損失和信用影響。