郝曉磊

（1.山西省農(nóng)村信用社聯(lián)合社，山西 太原 030001；2.太原理工大學(xué)，山西 太原 030024）

1 網(wǎng)上銀行總體情況概述

1.1 網(wǎng)銀網(wǎng)絡(luò)安全需求分析

各商業(yè)銀行由于自身業(yè)務(wù)系統(tǒng)的差異，對網(wǎng)銀系統(tǒng)應(yīng)用架構(gòu)會有不同的設(shè)計，但基本的技術(shù)構(gòu)成是類似的，其各部分的功能也相似。

1.1.1 網(wǎng)銀WEB服務(wù)器

網(wǎng)銀WEB服務(wù)器是網(wǎng)銀業(yè)務(wù)面向互聯(lián)網(wǎng)客戶的主用界面，網(wǎng)銀WEB直接暴露于互聯(lián)網(wǎng)上，因此，WEB服務(wù)器前不僅要通過防火墻實現(xiàn)基于網(wǎng)絡(luò)層或傳輸層的訪問控制，通過部署IPS實現(xiàn)深度安全檢測，還需要通過流量清洗設(shè)備實現(xiàn)DDOS攻擊防御。另外，由于安全防護(hù)要求不同，建議將網(wǎng)銀WEB服務(wù)器與銀行門戶WEB服務(wù)器部署在不同的網(wǎng)絡(luò)區(qū)域內(nèi)，以防止門戶WEB的安全漏洞對網(wǎng)銀業(yè)務(wù)的影響。

網(wǎng)銀WEB服務(wù)器與用戶瀏覽器間通過HTTPS協(xié)議保證數(shù)據(jù)的私密性與完整性，為了減少WEB服務(wù)器進(jìn)行密鑰交換與加解密的工作負(fù)擔(dān)，建議在WEB服務(wù)器前部署SSL卸載設(shè)備，既可實現(xiàn)HTTPS協(xié)議加速，又可實現(xiàn)業(yè)務(wù)負(fù)載分擔(dān)和服務(wù)高可用性。

1.1.2 網(wǎng)銀APP服務(wù)器

網(wǎng)銀APP（應(yīng)用）服務(wù)器提供網(wǎng)銀系統(tǒng)的業(yè)務(wù)邏輯，包括會話管理、提交后臺處理以及向WEB服務(wù)器提交應(yīng)答頁面等。APP服務(wù)器與WEB服務(wù)器共同構(gòu)成網(wǎng)銀業(yè)務(wù)（如網(wǎng)上支付與結(jié)算、網(wǎng)銀轉(zhuǎn)賬、基金交易、網(wǎng)上理財?shù)龋┻\行環(huán)境。由于WEB服務(wù)器與互聯(lián)網(wǎng)客戶瀏覽器之間承載數(shù)據(jù)的SSL協(xié)議不具備數(shù)字簽名功能，所以網(wǎng)銀客戶端的數(shù)字簽名通常由瀏覽器插件程序完成，而服務(wù)器端的驗簽工作則由單獨的驗簽服務(wù)器完成。客戶簽名的交易數(shù)據(jù)經(jīng)由WEB服務(wù)器提交給APP服務(wù)器，再由APP服務(wù)器向驗簽服務(wù)器發(fā)起驗簽請求。

APP服務(wù)器作為網(wǎng)銀系統(tǒng)的核心組件，應(yīng)保障其服務(wù)高可用性與網(wǎng)絡(luò)訪問安全性。在APP服務(wù)器前部署服務(wù)器負(fù)載分擔(dān)設(shè)備可實現(xiàn)業(yè)務(wù)流量在多臺服務(wù)器間的均勻分配，從而提升業(yè)務(wù)的響應(yīng)速度和服務(wù)高可用性。另外，部署負(fù)載分擔(dān)設(shè)備后，可根據(jù)網(wǎng)銀業(yè)務(wù)量的大小動態(tài)配置APP服務(wù)器，可提高業(yè)務(wù)擴展能力。

從安全角度考慮，由于APP服務(wù)器與網(wǎng)銀WEB服務(wù)器所處的安全區(qū)域不同，因此在網(wǎng)銀WEB服務(wù)器與APP服務(wù)器之間應(yīng)部署防火墻實現(xiàn)訪問控制。APP服務(wù)器前通常不需要部署IPS設(shè)備。

1.1.3 網(wǎng)銀DB服務(wù)器

網(wǎng)銀DB（數(shù)據(jù)庫）服務(wù)器的主要作用是保存、共享各種及時業(yè)務(wù)數(shù)據(jù)（如客戶支付金額）和靜態(tài)數(shù)據(jù)（如利率表），支持業(yè)務(wù)信息系統(tǒng)的運作，對登錄客戶進(jìn)行合法性檢查。DB服務(wù)器通常需要與存儲整列連接，并且DB服務(wù)器通常采用雙機互為備份的方式以保證高可用性。

網(wǎng)銀DB服務(wù)器與網(wǎng)銀APP服務(wù)器的安全防護(hù)需求基本相同，但DB服務(wù)器只允許來自APP服務(wù)器的訪問，WEB服務(wù)器禁止直接訪問DB服務(wù)器。APP服務(wù)器與DB服務(wù)器可以部署在同一個安全區(qū)域內(nèi)，也可分別部署在兩個不同的安全區(qū)域內(nèi)。如部署在同一安全區(qū)域內(nèi)，則APP與DB服務(wù)器將以同一個防火墻作為安全邊界，而APP與DB之間的互訪控制可通過接入交換機上的ACL實現(xiàn)。建議將APP與DB分別部署于各自獨立的安全區(qū)域，并以不同的防火墻作安全邊界，這樣部署有更高的安全性、更清晰的安全策略以及更好的網(wǎng)絡(luò)可擴展性。

1.1.4 RA服務(wù)器、簽名驗證服務(wù)器

RA服務(wù)器與簽名驗證（驗簽）服務(wù)器都是與網(wǎng)銀交易中數(shù)字簽名相關(guān)的系統(tǒng)。RA（Registration Authority，數(shù)字證書注冊審批機構(gòu)）服務(wù)器是PKI體系中CA服務(wù)器的延伸，RA負(fù)責(zé)向CFCA（中國金融認(rèn)證中心）的CA或銀行自建的CA申請審核發(fā)放證書。驗簽服務(wù)器負(fù)責(zé)對用戶提交的交易數(shù)據(jù)進(jìn)行數(shù)字簽名驗證。

RA服務(wù)器與驗簽服務(wù)器都與APP服務(wù)器間有數(shù)據(jù)交互，但RA服務(wù)器還需要通過互聯(lián)網(wǎng)（或?qū)＞€）與CFCA的CA服務(wù)器相連，因此，RA與驗簽服務(wù)器應(yīng)部署在不同的安全區(qū)域內(nèi)。通常是將RA與WEB服務(wù)器部署在一個安全區(qū)域內(nèi)，而將驗簽服務(wù)器與APP服務(wù)器部署在一個安全區(qū)域內(nèi)，APP服務(wù)器與RA服務(wù)器的訪問需要通過防火墻作訪問控制。

1.1.5 綜合業(yè)務(wù)系統(tǒng)、網(wǎng)銀前置、網(wǎng)銀管理服務(wù)器

網(wǎng)銀的賬務(wù)處理、客戶數(shù)據(jù)及密碼的存放都在綜合業(yè)務(wù)系統(tǒng)中完成。網(wǎng)銀前置（或ESB系統(tǒng)）負(fù)責(zé)將APP服務(wù)器提交的業(yè)務(wù)請求經(jīng)過協(xié)議處理、數(shù)據(jù)格式轉(zhuǎn)換或加密后轉(zhuǎn)交到綜合業(yè)務(wù)系統(tǒng)的主機進(jìn)行處理。位于網(wǎng)點的客戶端通過訪問網(wǎng)銀管理服務(wù)器實現(xiàn)網(wǎng)銀用戶管理功能。上述3種業(yè)務(wù)系統(tǒng)都部署在銀行數(shù)據(jù)中心內(nèi)網(wǎng)區(qū)，APP服務(wù)器與三者間都存在直接或間接的訪問關(guān)系，由于網(wǎng)銀APP服務(wù)器與數(shù)據(jù)中心內(nèi)網(wǎng)區(qū)分屬不同的網(wǎng)絡(luò)安全區(qū)域，所以兩者間的網(wǎng)絡(luò)通信需要通過防火墻進(jìn)行訪問控制。

1.2 存在的安全風(fēng)險

目前，國內(nèi)商業(yè)銀行網(wǎng)絡(luò)及信息系統(tǒng)主要面臨的安全風(fēng)險。從兩個基本的角度來進(jìn)行，即外部安全風(fēng)險和內(nèi)部安全風(fēng)險。

外部安全風(fēng)險主要是指通過互聯(lián)網(wǎng)平臺及接入產(chǎn)生的風(fēng)險。

內(nèi)部安全風(fēng)險主要是指由內(nèi)部人員從事網(wǎng)絡(luò)辦公相關(guān)活動帶來的威脅所產(chǎn)生的風(fēng)險。

2 網(wǎng)銀風(fēng)險防范對策

2.1 從銀行角度闡述風(fēng)險防范對策

2.1.1 建立良好的網(wǎng)絡(luò)銀行風(fēng)險管理體系

加強對網(wǎng)絡(luò)銀行自身特點的研究，做好事前分析與防范工作，完善組織機構(gòu)和管理制度,制訂一整套自上而下的風(fēng)險管理組織機構(gòu)和管理規(guī)章制度。定期不定期進(jìn)行深入性檢查與整改，確保制度執(zhí)行能夠落到實處。

2.1.2 注重利用先進(jìn)、成熟的技術(shù)手段

進(jìn)一步搞好網(wǎng)絡(luò)銀行系統(tǒng)的基礎(chǔ)建設(shè)，充分利用當(dāng)前先進(jìn)、成熟的技術(shù)手段，設(shè)計安全、合理的網(wǎng)銀安全架構(gòu)，在軟、硬件設(shè)備方面縮小與發(fā)達(dá)國家的差距,提高關(guān)鍵設(shè)備的安全防御能力。

2.1.2.1 網(wǎng)銀分區(qū)安全部署要求

從網(wǎng)銀業(yè)務(wù)的角度分析了網(wǎng)銀系統(tǒng)中各類服務(wù)器的網(wǎng)絡(luò)安全需求，各服務(wù)器區(qū)以防火墻作為區(qū)域安全邊界，各區(qū)域邊界防火墻采用不同廠家的產(chǎn)品，由此在整體布局上形成了“多層異構(gòu)防火墻”安全架構(gòu)。從業(yè)務(wù)功能上考慮，還可將這種安全架構(gòu)劃分成4個功能區(qū)域：互聯(lián)網(wǎng)接入?yún)^(qū)、DMZ區(qū)（接入WEB服務(wù)器、RA服務(wù)器）、網(wǎng)銀業(yè)務(wù)區(qū)（接入APP服務(wù)器、DB服務(wù)器）、數(shù)據(jù)中心內(nèi)網(wǎng)區(qū)。

各功能區(qū)域的網(wǎng)絡(luò)安全部署要求如下：

互聯(lián)網(wǎng)接入?yún)^(qū)：部署鏈路分擔(dān)設(shè)備，提供多ISP的互聯(lián)網(wǎng)接入，并承擔(dān)網(wǎng)銀域名解析；部署流量清洗，防御DDOS攻擊；部署外網(wǎng)邊界防火墻，實現(xiàn)互聯(lián)網(wǎng)與DMZ區(qū)隔離。

DMZ區(qū)：部署網(wǎng)銀WEB服務(wù)器、門戶WEB服務(wù)器，RA服務(wù)器；部署IPS，為WEB服務(wù)器提供深層安全保護(hù)；部署SSL卸載&服務(wù)器負(fù)載分擔(dān)設(shè)備，優(yōu)化HTTPS響應(yīng)速度并保證WEB業(yè)務(wù)高可用性；部署WEB-APP邊界防火墻，實現(xiàn)DMZ與網(wǎng)銀業(yè)務(wù)區(qū)的隔離。

網(wǎng)銀業(yè)務(wù)區(qū)：部署網(wǎng)銀APP服務(wù)器、網(wǎng)銀DB服務(wù)器、驗簽服務(wù)器；APP服務(wù)器前可部署服務(wù)器負(fù)載分擔(dān)設(shè)備，用于業(yè)務(wù)優(yōu)化和提高可用性；APP服務(wù)器與DB服務(wù)器間可部署防火墻實現(xiàn)訪問控制；部署內(nèi)網(wǎng)邊界防火墻，實現(xiàn)網(wǎng)銀業(yè)務(wù)區(qū)與數(shù)據(jù)中心服務(wù)器區(qū)間的隔離。

數(shù)據(jù)中心內(nèi)網(wǎng)區(qū)：部署綜合業(yè)務(wù)系統(tǒng)主機、網(wǎng)銀前置（或ESB系統(tǒng)）服務(wù)器、網(wǎng)銀管理服務(wù)器；采用“核心-邊緣”分區(qū)模塊化架構(gòu)，各服務(wù)器區(qū)圍繞網(wǎng)絡(luò)核心區(qū)部署，各服務(wù)器區(qū)與網(wǎng)絡(luò)核心區(qū)之間通過防火墻作訪問控制。

2.1.2.2 網(wǎng)銀網(wǎng)絡(luò)安全架構(gòu)設(shè)計的網(wǎng)絡(luò)拓?fù)?/p>

各功能區(qū)間采用串行方式連接，在連接點通過防火墻實現(xiàn)區(qū)域間的訪問控制。在這種拓?fù)湎?，業(yè)務(wù)流量沿著“互聯(lián)網(wǎng)接入?yún)^(qū)”、“DMZ”、“網(wǎng)銀業(yè)務(wù)區(qū)”、“數(shù)據(jù)中心內(nèi)網(wǎng)區(qū)”的方向流動，跨區(qū)域流量都要經(jīng)過防火墻的過濾，考慮到異構(gòu)安全性的優(yōu)勢，各區(qū)域邊界防火墻應(yīng)采用不同廠商的設(shè)備。

吸取數(shù)據(jù)中心“核心-邊緣”模式的優(yōu)點，在網(wǎng)銀網(wǎng)絡(luò)中部署核心交換機，網(wǎng)銀的各功能區(qū)圍繞核心交換機部署，在各功能區(qū)的匯聚交換機上部署安全（防火墻、IPS）和應(yīng)用優(yōu)化設(shè)備（負(fù)載分擔(dān)、SSL卸載），于是構(gòu)建了網(wǎng)銀的扁平化網(wǎng)絡(luò)拓?fù)洌@種設(shè)計扁平化部署的好處是擴展性好。

在網(wǎng)銀的互聯(lián)網(wǎng)接入?yún)^(qū)建議部署“流量清洗設(shè)備”以實現(xiàn)對DDOS等攻擊行為的防護(hù)。流量清洗設(shè)備用與網(wǎng)銀的互聯(lián)網(wǎng)出口路由器建立BGP Peer，并發(fā)布BGP更新路由通告，路由器將進(jìn)入網(wǎng)銀的流量都轉(zhuǎn)發(fā)到清洗設(shè)備上，清洗設(shè)備對進(jìn)入的流量做監(jiān)控檢查，當(dāng)沒有DDOS攻擊流量時，清洗設(shè)備會將報文回注到網(wǎng)銀出口路由器，此后報文將進(jìn)行正常轉(zhuǎn)發(fā)流程。當(dāng)發(fā)現(xiàn)DDOS攻擊流量時，清洗設(shè)備會將DDOS報文刪除，并將正常流量回注到網(wǎng)銀出口路由器，正常網(wǎng)銀流量不受影響。

為了規(guī)避運營商出口故障帶來的網(wǎng)絡(luò)可用性風(fēng)險，網(wǎng)銀出口通常租用兩個或多個運營商出口（電信、網(wǎng)通等）。鏈路負(fù)載設(shè)備通過動態(tài)域名解析方式，能夠利用就近性算法動態(tài)計算鏈路的質(zhì)量，保證用戶訪問WEB服務(wù)器的鏈路是當(dāng)前最優(yōu)的鏈路。另外，鏈路分擔(dān)設(shè)備還通過健康性檢測，可以檢查鏈路內(nèi)任意節(jié)點的連通性，從而有效保證整條路徑的可達(dá)性。

為保證信息的私密性，要對網(wǎng)上傳輸?shù)男畔⑦M(jìn)行加密，使未經(jīng)授權(quán)者無法了解信息內(nèi)容。建立并使用入侵檢測系統(tǒng)（IDS），定期對網(wǎng)絡(luò)銀行系統(tǒng)進(jìn)行安全漏洞的偵查掃描。

2.2 網(wǎng)銀安全風(fēng)險防范從金融監(jiān)管、網(wǎng)銀用戶角度提高警惕

（1）網(wǎng)絡(luò)銀行同樣需要政府監(jiān)管,以保護(hù)公眾利益,降低銀行業(yè)的經(jīng)營風(fēng)險。網(wǎng)絡(luò)銀行作為新興業(yè)務(wù)渠道，自身特點決定一旦發(fā)生風(fēng)險，對銀行本身，甚至整個金融行業(yè)的影響巨大。要防范業(yè)務(wù)風(fēng)險和系統(tǒng)風(fēng)險，就要加強法律對網(wǎng)絡(luò)銀行市場準(zhǔn)入的監(jiān)管。必須有嚴(yán)密的安全對策、制度規(guī)范和操作程序，建立以安全為中心的制度保障體系。

（2）網(wǎng)絡(luò)銀行用戶作為網(wǎng)絡(luò)銀行終端的管理者與使用者，在網(wǎng)絡(luò)銀行的安全機制中有著不可替代的作用，是網(wǎng)絡(luò)銀行安全的最終環(huán)節(jié)。因此，網(wǎng)銀用戶需要有效防范木馬與病毒對終端系統(tǒng)的攻擊，安裝網(wǎng)絡(luò)銀行終端系統(tǒng)的個人電腦上安裝防病毒軟件，并經(jīng)常更新軟件版本與病毒庫、安裝軟件防火墻、安裝木馬清除軟件，定期更新木馬庫，掃描與清除木馬。第二，使用IC卡和USB卡物理介質(zhì)的證書認(rèn)證方式。通過證書驗證客戶身份，確保其真實性，防止其他人員非法使用。第三，認(rèn)清網(wǎng)絡(luò)銀行網(wǎng)址，避免進(jìn)入“假網(wǎng)銀”。

3 結(jié)束語

網(wǎng)銀業(yè)務(wù)的高技術(shù)性、無紙化和瞬時性的特點，決定了其經(jīng)營風(fēng)險要高于實體銀行業(yè)務(wù)，其中，技術(shù)風(fēng)險是其核心內(nèi)容，也是金融機構(gòu)和廣大客戶最為關(guān)注的問題，只有采用合理的安全架構(gòu)，綜合運營各類安全技術(shù)手段（如防火墻、入侵檢測、數(shù)字證書等），才能有效預(yù)防技術(shù)風(fēng)險可能造成的經(jīng)濟損失和信用影響。