网上银行安全架构设计浅析论文
网上银行(Online Banking),也称为互联网银行(Internet Banking)或网络银行、在线银行。美联储对网上银行的定义是,利用互联网为其产品、服务和信息的业务渠道,向其零售和公司客户提供服务的银行。网上银行的出现给银行业带来一种地域无限、时间无限的经营方式,从而改变了银行业的竞争格局。这种改变使网上银行成为网络经济时代提供金融服务的一种重要手段,引发了一场银行业的革命。
但是,同其他任何行业一样,网络安全风险的阴霾如同网络技术的孪生子,伴随着网络技术在金融行业的全面应用而全面笼罩在金融行业各个业务角落。尤其是网上银行系统,由于其基础环境的开放性和不确定性,使其和传统银行业务相比会面临更大的技术风险,因此,如何保障网上银行交易系统的安全,关系到整个网上银行的健康发展,安全是网上银行建设中最重要的问题,也是对客户资金安全的根本保障。
信息化为金融行业的业务发展提供了强有力的后台支撑。然而,如果信息缺少了安全的保障,那么信息化对于企业来说不是竞争力的提高而是一场灾难,可靠的计算机安全防御系统是金融行业保障网上银行安全和发展的前提条件。
一、网上银行应用架构及安全风险分析
1、网上银行业务整体架构
网上银行客户通过互联网登录到银行的门户Web服务器,通过CFCA认证后连接到该行网上银行的Web服务器,同时进行RA的身份认证。随后,客户的请求数据通过加密后传达至网上银行应用(APP)服务器并与银行的核心业务系统主机进行联机,享受全方位的网上金融服务。另一方面,银行网点通过登录网银管理服务器进行客户证书签发、客户信息管理等相关操作,整体应用架构大致可划分为用户接入层、应用前置层和系统数据层(见图1)。
2、网上银行安全需求分析
(1)用户接入层。该层主要完成网上银行客户接入和访问需求,主要包括企业Web服务器和网银Web服务器,由于网银Web服务器直接暴露于互联网上,经常成为互联网基于Web攻击的首要对象,因此,Web服务器前不仅要通过防火墙实现基于网络层或传输层的访问控制,通过部署IPS实现深度安全检测,还需要通过SSL安全网关实现数据加密的接入。此外,还需额外部署流量清洗设备实现DDOS攻击防御,以期打造网银第一道坚固防线。
(2)应用前置层。该层主要完成网银系统的相关业务操作,主要包括网银APP服务器、网银前置、网银管理服务器等。网银APP服务器提供网银系统的业务逻辑,包括会话管理、提交后台处理以及向Web服务器提交应答页面等;网银前置(或ESB系统)负责将APP服务器提交的业务请求经过协议处理、数据格式转换或加密后转交到综合业务系统的主机进行处理;网银管理服务器实现网银用户管理功能(如开户、注销、证书下载、密码修改等)。对其要求主要是保障服务高可用性与网络访问安全性。因而有针对的`部署服务器负载分担设备可实现业务流量在多台服务器间的均匀分配,从而提升业务的响应速度和服务高可用性。在访问安全方面,可以通过异构的防火墙系统进行访问权限控制,通过漏洞扫描设备实现整体的主机安全性能加固。
(3)系统数据层。该层主要完成网银和综合业务系统的数据交互,主要包括网银数据库(DB)服务器和综合业务系统主机。网银DB服务器的主要作用是保存、共享各种及时业务数据(如客户支付金额)和静态数据(如利率表),支持业务信息系统的运作,对登录客户进行合法性检查。
综合业务系统主要完成网银的账务处理、客户数据及密码的存放等。这个区域的显著特点是要保障数据的高速交互能力和高可用性,应该相对弱化安全设备的部署而加强服务器以及磁盘阵列的冗余操作。主要通过异构防火墙设备进行区域间的访问策略控制。
二、网上银行安全架构及典型拓扑分析
1、网上银行安全整体架构
前文从网银业务的角度分析了网银系统中各类服务器的网络安全需求,将整体的网银业务划分为三个安全需求层次,各安全层以防火墙作为区域安全边界。为提高网银的整体安全性,各区域边界防火墙最好采用不同厂家的产品,由此在整体布局上形成了多层异构防火墙的安全架构(见图2)。
网上银行用户数据通过SSL加密再经过流量清洗和IDS/IPS检测,到达网银Web服务器,Web服务器提供网银的登录界面和操作环境,网银APP服务器发起业务逻辑,根据用户交易请求获取相关数据,完成网银交易。合理的安全架构设计使得数据流向清晰可控,各类安全技术手段有机结合,有效地保障了网上银行的信息安全。
用户接入区
安全区集中管理系统数据核心审计工具日志分析内部防火墙网银APP、验签、网银应用前置漏洞扫描工具应用负载分担外部防火墙数据中心内网网银Web服务器SSL卸载非军事区SSL加密网上银行用户流量清洗链路负载分担CFCA互联网2、网上银行分区的典型拓扑各商业银行由于自身业务系统的差异,网银系统安全架构会有不同的设计,但基本的技术构成类似,各部分的功能也相似。图3是较为典型的商业银行网银分区拓扑设计。
(1)系统高可用性设计。网上银行是一个实时在线的系统,因此要着重考虑系统的高可用性设计。
负载均衡设备、防火墙等网络设备采用双机设计,并在对等设备之间启用热备份协议,以实现设备之间的热备切换。设备之间均采用双路由链接,以保障设备之间的路由互相备份,实现高可用设计。
SSL安全网关、IPS入侵防御等网络安全设备采用双机双路设计,由负载均衡设备进行Web服务器探测,检测到故障时切换到另外一路。
网银Web服务器采用双机设计,对等双机之间采用专用HA,主机和网络设备链接均采用双路由链路互相备份。同时,配置链路负载均衡设备可以实现两个链路自动负载均衡和动态DNS解析。由运营商1的互联网用户发起的访问自动访问银行端运营商1的接口IP地址,并自动从运营商1的线路返回。当其中一条互联网线路中断后,所有用户访问的流量和返回的流量均走一条链路。
(2)系统安全性设计。外部互联网和DMZ区接入互联网直接面对各种攻击,对系统安全性提出了很高的要求,因此进行整体安全架构设计的时候,必须充分考虑系统对安全方面的特殊要求。一般来说,在网络安全方面有如下要求:①网银Web服务器和外部互联网间用防火墙进行隔离,网银Web只能访问位于DMZ停火区的服务,并在该防火墙上只接受443端口的HTTPS访问。前置系统主机只接受网银Web的特殊端口调用,防火墙全部拒绝其他访问。②所有的HTTPS访问由SSL安全网关认证客户身份,并建立SSL安全通道,实现通信安全。SSL安全网关双臂链接,确保外部密文、内部才有明文。③SSL安全网关将解密的请求提交给IPS入侵防御服务器,检测各类攻击,阻断恶意通信。IPS入侵防御采用双臂链接方式。④内网防火墙与外网防火墙实现异构。
