導(dǎo)語：網(wǎng)銀安全應(yīng)對策略綜述一文來源于網(wǎng)友上傳，不代表本站觀點，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

1背景簡介

網(wǎng)上銀行作為一種全新的銀行客戶服務(wù)提交渠道，使客戶在享受銀行提供的服務(wù)時不受時間、空間的限制，因此，近幾年各商業(yè)銀行的網(wǎng)上銀行業(yè)務(wù)發(fā)展迅速。據(jù)CFCA(201l中國網(wǎng)上銀行調(diào)查報告》顯示，個人網(wǎng)銀用戶比例為27．6％，企業(yè)網(wǎng)銀則替代了60．3％的柜臺業(yè)務(wù)。網(wǎng)銀業(yè)務(wù)高速發(fā)展的同時，安全性始終是用戶與銀行的關(guān)注重點。對用戶而言，提升防范意識并掌握必要的安全技術(shù)措施才能有效規(guī)避交易風(fēng)險。對于銀行來說，采用合理的網(wǎng)絡(luò)安全架構(gòu)，綜合運營各類安全技術(shù)手段(如防火墻、入侵檢測、服務(wù)器群組防護(hù)等)，才能避免網(wǎng)絡(luò)安全問題造成的損失。

2安全分析

各商業(yè)銀行由于自身業(yè)務(wù)系統(tǒng)的差異，對網(wǎng)銀系統(tǒng)應(yīng)用架構(gòu)會有不同的設(shè)計，但基本的技術(shù)構(gòu)成是類似的，其各部分的功能也相似。圖l是較為典型的網(wǎng)銀應(yīng)用系統(tǒng)結(jié)構(gòu)。

2．1網(wǎng)銀Web服務(wù)器

網(wǎng)銀Web服務(wù)器是網(wǎng)銀業(yè)務(wù)面向互聯(lián)網(wǎng)客戶的主要界面，當(dāng)前互聯(lián)網(wǎng)上有很多基于web應(yīng)用的攻擊，由于網(wǎng)銀web直接暴露于互聯(lián)網(wǎng)上，因此，Web服務(wù)器前不僅要通過防火墻實現(xiàn)基于網(wǎng)絡(luò)層、傳輸層或應(yīng)用層的訪問控制，通過部署IPS實現(xiàn)深度安全檢測，還需要通過流量清洗設(shè)備實現(xiàn)DD0S攻擊防御。另外，由于安全防護(hù)要求不同，建議將網(wǎng)銀Web服務(wù)器與銀行門戶Web服務(wù)器部署在不同的網(wǎng)絡(luò)區(qū)域內(nèi)，以防止門戶Web的安全漏洞對網(wǎng)銀業(yè)務(wù)的影響。網(wǎng)銀Web服務(wù)器與用戶瀏覽器間通過HTTPS協(xié)議保證數(shù)據(jù)的私密性與完整性，為了降低Web服務(wù)器進(jìn)行密鑰交換與加解密的工作負(fù)擔(dān)，建議在Web服務(wù)器前部署SSL設(shè)備。在網(wǎng)銀Web服務(wù)器前部署服務(wù)器群組防護(hù)系統(tǒng)，既可實現(xiàn)HTTPS協(xié)議加密，又可實現(xiàn)業(yè)務(wù)負(fù)載分擔(dān)和服務(wù)高可用性。

2．2網(wǎng)銀APP服務(wù)器

網(wǎng)銀APP(應(yīng)用)服務(wù)器提供網(wǎng)銀系統(tǒng)的業(yè)務(wù)應(yīng)用，包括會話管理、提交后臺處理以及向Web服務(wù)器提交應(yīng)答頁面等。APP服務(wù)器與Web服務(wù)器共同構(gòu)成網(wǎng)銀業(yè)務(wù)(如網(wǎng)上支付與結(jié)算、網(wǎng)銀轉(zhuǎn)帳、基金交易、網(wǎng)上理財?shù)?運行環(huán)境。由于Web服務(wù)器與互聯(lián)網(wǎng)客戶瀏覽器之間承載數(shù)據(jù)的SSL協(xié)議不具備數(shù)字簽名功能，所以網(wǎng)銀客戶端的數(shù)字簽名通常由瀏覽器插件程序完成，而服務(wù)器端的驗簽工作則由單獨的驗簽服務(wù)器完成。客戶簽名的交易數(shù)據(jù)經(jīng)由Web服務(wù)器提交給APP服務(wù)器，再由APP服務(wù)器向驗簽服務(wù)器發(fā)起驗簽請求。上述工作流程決定了APP服務(wù)器作為網(wǎng)銀系統(tǒng)的核心組件，應(yīng)保障其服務(wù)高可用性與網(wǎng)絡(luò)訪問安全性。在APP服務(wù)器前部署服務(wù)器負(fù)載分擔(dān)設(shè)備可實現(xiàn)業(yè)務(wù)流量在多臺服務(wù)器問的均勻分配，從而提升業(yè)務(wù)的響應(yīng)速度和服務(wù)高可用性。另外，部署負(fù)載分擔(dān)設(shè)備后，可根據(jù)網(wǎng)銀業(yè)務(wù)量的大小動態(tài)配置APP服務(wù)器，可提高業(yè)務(wù)擴(kuò)展能力。從安全角度考慮，由于APP服務(wù)器與網(wǎng)銀Web服務(wù)器所處的安全區(qū)域不同，因此在網(wǎng)銀Web服務(wù)器與APP服務(wù)器之間應(yīng)部署防火墻實現(xiàn)訪問控制。

2．3網(wǎng)銀DB服務(wù)器

網(wǎng)銀DB(數(shù)據(jù)庫)服務(wù)器的主要作用是保存、共享各種及時業(yè)務(wù)數(shù)據(jù)(如客戶支付金額)和靜態(tài)數(shù)據(jù)(如利率表)，支持業(yè)務(wù)信息系統(tǒng)的運作，對登錄客戶進(jìn)行合法性檢查。DB服務(wù)器通常需要與存儲整列連接，并且DB服務(wù)器通常采用雙機(jī)互為備份的方式以保證高可用性。網(wǎng)銀DB服務(wù)器與網(wǎng)銀APP服務(wù)器的安全防護(hù)需求基本相同，但DB服務(wù)器只允許來自APP服務(wù)器的訪問，WEB服務(wù)器禁止直接訪問DB服務(wù)器。APP服務(wù)器與DB服務(wù)器可以部署在同一個安全區(qū)域內(nèi)，也可分別部署在兩個不同的安全區(qū)域內(nèi)。如部署在同一安全區(qū)域內(nèi)，則APP與DB服務(wù)器將以同一個防火墻做為安全邊界，而APP與DB之間的互訪控制可通過接入交換機(jī)上的ACL實現(xiàn)。建議將APP與DB分別部署于各自獨立的安全區(qū)域，并以防火墻作安全邊界，這樣部署有更高的安全性，更清晰的安全策略以及更好的網(wǎng)絡(luò)可擴(kuò)展性。

2．4RA服務(wù)器、簽名驗證服務(wù)器

RA服務(wù)器與簽名驗證(驗簽)服務(wù)器都是與網(wǎng)銀交易中數(shù)字簽名相關(guān)的系統(tǒng)。RA(RegistrationAuthority，數(shù)字證書注冊審批機(jī)構(gòu))服務(wù)器是PKI體系中CA服務(wù)器的延伸，RA負(fù)責(zé)向CFCA(中國金融認(rèn)證中心)的CA或銀行自建的CA申請審核發(fā)放證書。驗簽服務(wù)器負(fù)責(zé)對用戶提交的交易數(shù)據(jù)進(jìn)行數(shù)字簽名驗證。RA服務(wù)器與驗簽服務(wù)器都與APP服務(wù)器間有數(shù)據(jù)交互，但RA服務(wù)器還需要通過互聯(lián)網(wǎng)(或?qū)＞€)與CFCA的CA服務(wù)器相連，因此RA與驗簽服務(wù)器應(yīng)部署在不同的安全區(qū)域內(nèi)。通常是將謄謦萋j戴囊j懿方案RA與WEB服務(wù)器部署在一個安全區(qū)域內(nèi)，而將驗簽服務(wù)器與APP服務(wù)器部署在一個安全區(qū)域內(nèi)，APP服務(wù)器與RA服務(wù)器的訪問需要通過防火墻做訪問控制。

2．5綜合業(yè)務(wù)系統(tǒng)、網(wǎng)銀前置

網(wǎng)銀管理服務(wù)器網(wǎng)銀的賬務(wù)處理、客戶數(shù)據(jù)及密碼的存放都在綜合業(yè)務(wù)系統(tǒng)中完成。網(wǎng)銀前置(或ESB系統(tǒng))負(fù)責(zé)將APP服務(wù)器提交的業(yè)務(wù)請求經(jīng)過協(xié)議處理、數(shù)據(jù)格式轉(zhuǎn)換或加密后轉(zhuǎn)交到綜合業(yè)務(wù)系統(tǒng)的主機(jī)進(jìn)行處理。位于網(wǎng)點的客戶端通過訪問網(wǎng)銀管理服務(wù)器實現(xiàn)網(wǎng)銀用戶管理功能(如開戶、注銷、證書下載、密碼修改等)。上述三種業(yè)務(wù)系統(tǒng)都部署在銀行數(shù)據(jù)中心內(nèi)網(wǎng)區(qū)，APP服務(wù)器與三者問都存在直接或間接的訪問關(guān)系，由于網(wǎng)銀APP服務(wù)器與數(shù)據(jù)中心內(nèi)網(wǎng)區(qū)分屬不同的網(wǎng)絡(luò)安全區(qū)域，所以兩者問的網(wǎng)絡(luò)通信需要通過防火墻進(jìn)行訪問控制。

3安全部署

前文從網(wǎng)銀業(yè)務(wù)的角度分析了網(wǎng)銀系統(tǒng)中各類服務(wù)器的網(wǎng)絡(luò)安全需求，各服務(wù)器區(qū)以防火墻作為區(qū)域安全邊界，如圖2所示。從業(yè)務(wù)功能上考慮，還可將這種安全架構(gòu)劃分成四個功能區(qū)域：互聯(lián)網(wǎng)接入?yún)^(qū)、DMZ區(qū)(接入WEB服務(wù)器、RA服務(wù)器)、網(wǎng)銀業(yè)務(wù)區(qū)(接入APP服務(wù)器、DB服務(wù)器)、數(shù)據(jù)中心內(nèi)網(wǎng)區(qū)。各功能區(qū)域的網(wǎng)絡(luò)安全部署如下：

(1)互聯(lián)網(wǎng)接入?yún)^(qū)①部署鏈路分擔(dān)設(shè)備，提供多ISP的互聯(lián)網(wǎng)接入，并承擔(dān)網(wǎng)銀域名解析；②部署流量清洗，防御DDoS攻擊；③部署外網(wǎng)邊界防火墻，實現(xiàn)互聯(lián)網(wǎng)與DMZ區(qū)隔離。

(2)DMZ區(qū)①部署網(wǎng)銀WEB服務(wù)器、門戶WEB服務(wù)器，RA服務(wù)器；②部署IPS，為WEB服務(wù)器提供深層安全保捷③部署服務(wù)器群組防護(hù)系統(tǒng)，優(yōu)化HTTPS響應(yīng)速度并保證WEB業(yè)務(wù)高可用性；④部署信息審計系統(tǒng)，防止敏感信息數(shù)據(jù)的泄露⑤部署邊界防火墻，實現(xiàn)DMZ與網(wǎng)銀業(yè)務(wù)區(qū)的隔離。

(3)網(wǎng)銀業(yè)務(wù)區(qū)①部署網(wǎng)銀APP服務(wù)器、網(wǎng)銀DB服務(wù)器、驗簽服務(wù)器；②APP服務(wù)器前可部署服務(wù)器群組防護(hù)系統(tǒng)，用于業(yè)務(wù)優(yōu)化和提高可用性；③APP服務(wù)器與DB服務(wù)器問通過交換機(jī)實現(xiàn)訪問控制；④部署內(nèi)網(wǎng)邊界防火墻，實現(xiàn)網(wǎng)銀業(yè)務(wù)區(qū)與數(shù)據(jù)中心服務(wù)器區(qū)間的隔離。

(4)數(shù)據(jù)中心內(nèi)網(wǎng)區(qū)①部署綜合業(yè)務(wù)系統(tǒng)主機(jī)、網(wǎng)銀前置(或ESB系統(tǒng))服務(wù)器、網(wǎng)銀管理服務(wù)器；②采用“核心一邊緣”分區(qū)模塊化架構(gòu)，各服務(wù)器區(qū)圍繞網(wǎng)絡(luò)核心區(qū)部署，各服務(wù)器區(qū)與網(wǎng)絡(luò)核心區(qū)之間通過防火墻做訪問控制。

4結(jié)束語

網(wǎng)銀業(yè)務(wù)的高技術(shù)性、無紙化和瞬時性的特點，決定了其經(jīng)營風(fēng)險要高于實體銀行業(yè)務(wù)，而技術(shù)風(fēng)險又是網(wǎng)銀風(fēng)險的核心內(nèi)容，也是金融機(jī)構(gòu)和廣大客戶最為關(guān)注的問題，這些技術(shù)風(fēng)險主要包括交易主體的身份識別、交易過程的商業(yè)機(jī)密、電子通信的安全、交易和其他記錄的保存和管理等。只有采用合理的安全架構(gòu)，綜合運營各類安全技術(shù)手段(如防火墻、入侵檢測、服務(wù)器群組防護(hù)等)，才能有效預(yù)防技術(shù)風(fēng)險可能造成的經(jīng)濟(jì)損失和信用影響。