郝曉磊

（1.山西省農(nóng)村信用社聯(lián)合社，山西 太原 030001；2.太原理工大學(xué)，山西 太原 030024）

1 網(wǎng)上銀行總體情況概述

1.1 網(wǎng)銀網(wǎng)絡(luò)安全需求分析

各商業(yè)銀行由于自身業(yè)務(wù)系統(tǒng)的差異，對(duì)網(wǎng)銀系統(tǒng)應(yīng)用架構(gòu)會(huì)有不同的設(shè)計(jì)，但基本的技術(shù)構(gòu)成是類似的，其各部分的功能也相似。

1.1.1 網(wǎng)銀WEB服務(wù)器

網(wǎng)銀WEB服務(wù)器是網(wǎng)銀業(yè)務(wù)面向互聯(lián)網(wǎng)客戶的主用界面，網(wǎng)銀WEB直接暴露于互聯(lián)網(wǎng)上，因此，WEB服務(wù)器前不僅要通過(guò)防火墻實(shí)現(xiàn)基于網(wǎng)絡(luò)層或傳輸層的訪問(wèn)控制，通過(guò)部署IPS實(shí)現(xiàn)深度安全檢測(cè)，還需要通過(guò)流量清洗設(shè)備實(shí)現(xiàn)DDOS攻擊防御。另外，由于安全防護(hù)要求不同，建議將網(wǎng)銀WEB服務(wù)器與銀行門(mén)戶WEB服務(wù)器部署在不同的網(wǎng)絡(luò)區(qū)域內(nèi)，以防止門(mén)戶WEB的安全漏洞對(duì)網(wǎng)銀業(yè)務(wù)的影響。

網(wǎng)銀WEB服務(wù)器與用戶瀏覽器間通過(guò)HTTPS協(xié)議保證數(shù)據(jù)的私密性與完整性，為了減少WEB服務(wù)器進(jìn)行密鑰交換與加解密的工作負(fù)擔(dān)，建議在WEB服務(wù)器前部署SSL卸載設(shè)備，既可實(shí)現(xiàn)HTTPS協(xié)議加速，又可實(shí)現(xiàn)業(yè)務(wù)負(fù)載分擔(dān)和服務(wù)高可用性。

1.1.2 網(wǎng)銀APP服務(wù)器

網(wǎng)銀APP（應(yīng)用）服務(wù)器提供網(wǎng)銀系統(tǒng)的業(yè)務(wù)邏輯，包括會(huì)話管理、提交后臺(tái)處理以及向WEB服務(wù)器提交應(yīng)答頁(yè)面等。APP服務(wù)器與WEB服務(wù)器共同構(gòu)成網(wǎng)銀業(yè)務(wù)（如網(wǎng)上支付與結(jié)算、網(wǎng)銀轉(zhuǎn)賬、基金交易、網(wǎng)上理財(cái)?shù)龋┻\(yùn)行環(huán)境。由于WEB服務(wù)器與互聯(lián)網(wǎng)客戶瀏覽器之間承載數(shù)據(jù)的SSL協(xié)議不具備數(shù)字簽名功能，所以網(wǎng)銀客戶端的數(shù)字簽名通常由瀏覽器插件程序完成，而服務(wù)器端的驗(yàn)簽工作則由單獨(dú)的驗(yàn)簽服務(wù)器完成。客戶簽名的交易數(shù)據(jù)經(jīng)由WEB服務(wù)器提交給APP服務(wù)器，再由APP服務(wù)器向驗(yàn)簽服務(wù)器發(fā)起驗(yàn)簽請(qǐng)求。

APP服務(wù)器作為網(wǎng)銀系統(tǒng)的核心組件，應(yīng)保障其服務(wù)高可用性與網(wǎng)絡(luò)訪問(wèn)安全性。在APP服務(wù)器前部署服務(wù)器負(fù)載分擔(dān)設(shè)備可實(shí)現(xiàn)業(yè)務(wù)流量在多臺(tái)服務(wù)器間的均勻分配，從而提升業(yè)務(wù)的響應(yīng)速度和服務(wù)高可用性。另外，部署負(fù)載分擔(dān)設(shè)備后，可根據(jù)網(wǎng)銀業(yè)務(wù)量的大小動(dòng)態(tài)配置APP服務(wù)器，可提高業(yè)務(wù)擴(kuò)展能力。

從安全角度考慮，由于APP服務(wù)器與網(wǎng)銀WEB服務(wù)器所處的安全區(qū)域不同，因此在網(wǎng)銀WEB服務(wù)器與APP服務(wù)器之間應(yīng)部署防火墻實(shí)現(xiàn)訪問(wèn)控制。APP服務(wù)器前通常不需要部署IPS設(shè)備。

1.1.3 網(wǎng)銀DB服務(wù)器

網(wǎng)銀DB（數(shù)據(jù)庫(kù)）服務(wù)器的主要作用是保存、共享各種及時(shí)業(yè)務(wù)數(shù)據(jù)（如客戶支付金額）和靜態(tài)數(shù)據(jù)（如利率表），支持業(yè)務(wù)信息系統(tǒng)的運(yùn)作，對(duì)登錄客戶進(jìn)行合法性檢查。DB服務(wù)器通常需要與存儲(chǔ)整列連接，并且DB服務(wù)器通常采用雙機(jī)互為備份的方式以保證高可用性。

網(wǎng)銀DB服務(wù)器與網(wǎng)銀APP服務(wù)器的安全防護(hù)需求基本相同，但DB服務(wù)器只允許來(lái)自APP服務(wù)器的訪問(wèn)，WEB服務(wù)器禁止直接訪問(wèn)DB服務(wù)器。APP服務(wù)器與DB服務(wù)器可以部署在同一個(gè)安全區(qū)域內(nèi)，也可分別部署在兩個(gè)不同的安全區(qū)域內(nèi)。如部署在同一安全區(qū)域內(nèi)，則APP與DB服務(wù)器將以同一個(gè)防火墻作為安全邊界，而APP與DB之間的互訪控制可通過(guò)接入交換機(jī)上的ACL實(shí)現(xiàn)。建議將APP與DB分別部署于各自獨(dú)立的安全區(qū)域，并以不同的防火墻作安全邊界，這樣部署有更高的安全性、更清晰的安全策略以及更好的網(wǎng)絡(luò)可擴(kuò)展性。

1.1.4 RA服務(wù)器、簽名驗(yàn)證服務(wù)器

RA服務(wù)器與簽名驗(yàn)證（驗(yàn)簽）服務(wù)器都是與網(wǎng)銀交易中數(shù)字簽名相關(guān)的系統(tǒng)。RA（Registration Authority，數(shù)字證書(shū)注冊(cè)審批機(jī)構(gòu)）服務(wù)器是PKI體系中CA服務(wù)器的延伸，RA負(fù)責(zé)向CFCA（中國(guó)金融認(rèn)證中心）的CA或銀行自建的CA申請(qǐng)審核發(fā)放證書(shū)。驗(yàn)簽服務(wù)器負(fù)責(zé)對(duì)用戶提交的交易數(shù)據(jù)進(jìn)行數(shù)字簽名驗(yàn)證。

RA服務(wù)器與驗(yàn)簽服務(wù)器都與APP服務(wù)器間有數(shù)據(jù)交互，但RA服務(wù)器還需要通過(guò)互聯(lián)網(wǎng)（或?qū)＞€）與CFCA的CA服務(wù)器相連，因此，RA與驗(yàn)簽服務(wù)器應(yīng)部署在不同的安全區(qū)域內(nèi)。通常是將RA與WEB服務(wù)器部署在一個(gè)安全區(qū)域內(nèi)，而將驗(yàn)簽服務(wù)器與APP服務(wù)器部署在一個(gè)安全區(qū)域內(nèi)，APP服務(wù)器與RA服務(wù)器的訪問(wèn)需要通過(guò)防火墻作訪問(wèn)控制。

1.1.5 綜合業(yè)務(wù)系統(tǒng)、網(wǎng)銀前置、網(wǎng)銀管理服務(wù)器

網(wǎng)銀的賬務(wù)處理、客戶數(shù)據(jù)及密碼的存放都在綜合業(yè)務(wù)系統(tǒng)中完成。網(wǎng)銀前置（或ESB系統(tǒng)）負(fù)責(zé)將APP服務(wù)器提交的業(yè)務(wù)請(qǐng)求經(jīng)過(guò)協(xié)議處理、數(shù)據(jù)格式轉(zhuǎn)換或加密后轉(zhuǎn)交到綜合業(yè)務(wù)系統(tǒng)的主機(jī)進(jìn)行處理。位于網(wǎng)點(diǎn)的客戶端通過(guò)訪問(wèn)網(wǎng)銀管理服務(wù)器實(shí)現(xiàn)網(wǎng)銀用戶管理功能。上述3種業(yè)務(wù)系統(tǒng)都部署在銀行數(shù)據(jù)中心內(nèi)網(wǎng)區(qū)，APP服務(wù)器與三者間都存在直接或間接的訪問(wèn)關(guān)系，由于網(wǎng)銀APP服務(wù)器與數(shù)據(jù)中心內(nèi)網(wǎng)區(qū)分屬不同的網(wǎng)絡(luò)安全區(qū)域，所以兩者間的網(wǎng)絡(luò)通信需要通過(guò)防火墻進(jìn)行訪問(wèn)控制。

1.2 存在的安全風(fēng)險(xiǎn)

目前，國(guó)內(nèi)商業(yè)銀行網(wǎng)絡(luò)及信息系統(tǒng)主要面臨的安全風(fēng)險(xiǎn)。從兩個(gè)基本的角度來(lái)進(jìn)行，即外部安全風(fēng)險(xiǎn)和內(nèi)部安全風(fēng)險(xiǎn)。

外部安全風(fēng)險(xiǎn)主要是指通過(guò)互聯(lián)網(wǎng)平臺(tái)及接入產(chǎn)生的風(fēng)險(xiǎn)。

內(nèi)部安全風(fēng)險(xiǎn)主要是指由內(nèi)部人員從事網(wǎng)絡(luò)辦公相關(guān)活動(dòng)帶來(lái)的威脅所產(chǎn)生的風(fēng)險(xiǎn)。

2 網(wǎng)銀風(fēng)險(xiǎn)防范對(duì)策

2.1 從銀行角度闡述風(fēng)險(xiǎn)防范對(duì)策

2.1.1 建立良好的網(wǎng)絡(luò)銀行風(fēng)險(xiǎn)管理體系

加強(qiáng)對(duì)網(wǎng)絡(luò)銀行自身特點(diǎn)的研究，做好事前分析與防范工作，完善組織機(jī)構(gòu)和管理制度,制訂一整套自上而下的風(fēng)險(xiǎn)管理組織機(jī)構(gòu)和管理規(guī)章制度。定期不定期進(jìn)行深入性檢查與整改，確保制度執(zhí)行能夠落到實(shí)處。

2.1.2 注重利用先進(jìn)、成熟的技術(shù)手段

進(jìn)一步搞好網(wǎng)絡(luò)銀行系統(tǒng)的基礎(chǔ)建設(shè)，充分利用當(dāng)前先進(jìn)、成熟的技術(shù)手段，設(shè)計(jì)安全、合理的網(wǎng)銀安全架構(gòu)，在軟、硬件設(shè)備方面縮小與發(fā)達(dá)國(guó)家的差距,提高關(guān)鍵設(shè)備的安全防御能力。

2.1.2.1 網(wǎng)銀分區(qū)安全部署要求

從網(wǎng)銀業(yè)務(wù)的角度分析了網(wǎng)銀系統(tǒng)中各類服務(wù)器的網(wǎng)絡(luò)安全需求，各服務(wù)器區(qū)以防火墻作為區(qū)域安全邊界，各區(qū)域邊界防火墻采用不同廠家的產(chǎn)品，由此在整體布局上形成了“多層異構(gòu)防火墻”安全架構(gòu)。從業(yè)務(wù)功能上考慮，還可將這種安全架構(gòu)劃分成4個(gè)功能區(qū)域：互聯(lián)網(wǎng)接入?yún)^(qū)、DMZ區(qū)（接入WEB服務(wù)器、RA服務(wù)器）、網(wǎng)銀業(yè)務(wù)區(qū)（接入APP服務(wù)器、DB服務(wù)器）、數(shù)據(jù)中心內(nèi)網(wǎng)區(qū)。

各功能區(qū)域的網(wǎng)絡(luò)安全部署要求如下：

互聯(lián)網(wǎng)接入?yún)^(qū)：部署鏈路分擔(dān)設(shè)備，提供多ISP的互聯(lián)網(wǎng)接入，并承擔(dān)網(wǎng)銀域名解析；部署流量清洗，防御DDOS攻擊；部署外網(wǎng)邊界防火墻，實(shí)現(xiàn)互聯(lián)網(wǎng)與DMZ區(qū)隔離。

DMZ區(qū)：部署網(wǎng)銀WEB服務(wù)器、門(mén)戶WEB服務(wù)器，RA服務(wù)器；部署IPS，為WEB服務(wù)器提供深層安全保護(hù)；部署SSL卸載&服務(wù)器負(fù)載分擔(dān)設(shè)備，優(yōu)化HTTPS響應(yīng)速度并保證WEB業(yè)務(wù)高可用性；部署WEB-APP邊界防火墻，實(shí)現(xiàn)DMZ與網(wǎng)銀業(yè)務(wù)區(qū)的隔離。

網(wǎng)銀業(yè)務(wù)區(qū)：部署網(wǎng)銀APP服務(wù)器、網(wǎng)銀DB服務(wù)器、驗(yàn)簽服務(wù)器；APP服務(wù)器前可部署服務(wù)器負(fù)載分擔(dān)設(shè)備，用于業(yè)務(wù)優(yōu)化和提高可用性；APP服務(wù)器與DB服務(wù)器間可部署防火墻實(shí)現(xiàn)訪問(wèn)控制；部署內(nèi)網(wǎng)邊界防火墻，實(shí)現(xiàn)網(wǎng)銀業(yè)務(wù)區(qū)與數(shù)據(jù)中心服務(wù)器區(qū)間的隔離。

數(shù)據(jù)中心內(nèi)網(wǎng)區(qū)：部署綜合業(yè)務(wù)系統(tǒng)主機(jī)、網(wǎng)銀前置（或ESB系統(tǒng)）服務(wù)器、網(wǎng)銀管理服務(wù)器；采用“核心-邊緣”分區(qū)模塊化架構(gòu)，各服務(wù)器區(qū)圍繞網(wǎng)絡(luò)核心區(qū)部署，各服務(wù)器區(qū)與網(wǎng)絡(luò)核心區(qū)之間通過(guò)防火墻作訪問(wèn)控制。

2.1.2.2 網(wǎng)銀網(wǎng)絡(luò)安全架構(gòu)設(shè)計(jì)的網(wǎng)絡(luò)拓?fù)?/p>

各功能區(qū)間采用串行方式連接，在連接點(diǎn)通過(guò)防火墻實(shí)現(xiàn)區(qū)域間的訪問(wèn)控制。在這種拓?fù)湎?，業(yè)務(wù)流量沿著“互聯(lián)網(wǎng)接入?yún)^(qū)”、“DMZ”、“網(wǎng)銀業(yè)務(wù)區(qū)”、“數(shù)據(jù)中心內(nèi)網(wǎng)區(qū)”的方向流動(dòng)，跨區(qū)域流量都要經(jīng)過(guò)防火墻的過(guò)濾，考慮到異構(gòu)安全性的優(yōu)勢(shì)，各區(qū)域邊界防火墻應(yīng)采用不同廠商的設(shè)備。

吸取數(shù)據(jù)中心“核心-邊緣”模式的優(yōu)點(diǎn)，在網(wǎng)銀網(wǎng)絡(luò)中部署核心交換機(jī)，網(wǎng)銀的各功能區(qū)圍繞核心交換機(jī)部署，在各功能區(qū)的匯聚交換機(jī)上部署安全（防火墻、IPS）和應(yīng)用優(yōu)化設(shè)備（負(fù)載分擔(dān)、SSL卸載），于是構(gòu)建了網(wǎng)銀的扁平化網(wǎng)絡(luò)拓?fù)?，這種設(shè)計(jì)扁平化部署的好處是擴(kuò)展性好。

在網(wǎng)銀的互聯(lián)網(wǎng)接入?yún)^(qū)建議部署“流量清洗設(shè)備”以實(shí)現(xiàn)對(duì)DDOS等攻擊行為的防護(hù)。流量清洗設(shè)備用與網(wǎng)銀的互聯(lián)網(wǎng)出口路由器建立BGP Peer，并發(fā)布BGP更新路由通告，路由器將進(jìn)入網(wǎng)銀的流量都轉(zhuǎn)發(fā)到清洗設(shè)備上，清洗設(shè)備對(duì)進(jìn)入的流量做監(jiān)控檢查，當(dāng)沒(méi)有DDOS攻擊流量時(shí)，清洗設(shè)備會(huì)將報(bào)文回注到網(wǎng)銀出口路由器，此后報(bào)文將進(jìn)行正常轉(zhuǎn)發(fā)流程。當(dāng)發(fā)現(xiàn)DDOS攻擊流量時(shí)，清洗設(shè)備會(huì)將DDOS報(bào)文刪除，并將正常流量回注到網(wǎng)銀出口路由器，正常網(wǎng)銀流量不受影響。

為了規(guī)避運(yùn)營(yíng)商出口故障帶來(lái)的網(wǎng)絡(luò)可用性風(fēng)險(xiǎn)，網(wǎng)銀出口通常租用兩個(gè)或多個(gè)運(yùn)營(yíng)商出口（電信、網(wǎng)通等）。鏈路負(fù)載設(shè)備通過(guò)動(dòng)態(tài)域名解析方式，能夠利用就近性算法動(dòng)態(tài)計(jì)算鏈路的質(zhì)量，保證用戶訪問(wèn)WEB服務(wù)器的鏈路是當(dāng)前最優(yōu)的鏈路。另外，鏈路分擔(dān)設(shè)備還通過(guò)健康性檢測(cè)，可以檢查鏈路內(nèi)任意節(jié)點(diǎn)的連通性，從而有效保證整條路徑的可達(dá)性。

為保證信息的私密性，要對(duì)網(wǎng)上傳輸?shù)男畔⑦M(jìn)行加密，使未經(jīng)授權(quán)者無(wú)法了解信息內(nèi)容。建立并使用入侵檢測(cè)系統(tǒng)（IDS），定期對(duì)網(wǎng)絡(luò)銀行系統(tǒng)進(jìn)行安全漏洞的偵查掃描。

2.2 網(wǎng)銀安全風(fēng)險(xiǎn)防范從金融監(jiān)管、網(wǎng)銀用戶角度提高警惕

（1）網(wǎng)絡(luò)銀行同樣需要政府監(jiān)管,以保護(hù)公眾利益,降低銀行業(yè)的經(jīng)營(yíng)風(fēng)險(xiǎn)。網(wǎng)絡(luò)銀行作為新興業(yè)務(wù)渠道，自身特點(diǎn)決定一旦發(fā)生風(fēng)險(xiǎn)，對(duì)銀行本身，甚至整個(gè)金融行業(yè)的影響巨大。要防范業(yè)務(wù)風(fēng)險(xiǎn)和系統(tǒng)風(fēng)險(xiǎn)，就要加強(qiáng)法律對(duì)網(wǎng)絡(luò)銀行市場(chǎng)準(zhǔn)入的監(jiān)管。必須有嚴(yán)密的安全對(duì)策、制度規(guī)范和操作程序，建立以安全為中心的制度保障體系。

（2）網(wǎng)絡(luò)銀行用戶作為網(wǎng)絡(luò)銀行終端的管理者與使用者，在網(wǎng)絡(luò)銀行的安全機(jī)制中有著不可替代的作用，是網(wǎng)絡(luò)銀行安全的最終環(huán)節(jié)。因此，網(wǎng)銀用戶需要有效防范木馬與病毒對(duì)終端系統(tǒng)的攻擊，安裝網(wǎng)絡(luò)銀行終端系統(tǒng)的個(gè)人電腦上安裝防病毒軟件，并經(jīng)常更新軟件版本與病毒庫(kù)、安裝軟件防火墻、安裝木馬清除軟件，定期更新木馬庫(kù)，掃描與清除木馬。第二，使用IC卡和USB卡物理介質(zhì)的證書(shū)認(rèn)證方式。通過(guò)證書(shū)驗(yàn)證客戶身份，確保其真實(shí)性，防止其他人員非法使用。第三，認(rèn)清網(wǎng)絡(luò)銀行網(wǎng)址，避免進(jìn)入“假網(wǎng)銀”。

3 結(jié)束語(yǔ)

網(wǎng)銀業(yè)務(wù)的高技術(shù)性、無(wú)紙化和瞬時(shí)性的特點(diǎn)，決定了其經(jīng)營(yíng)風(fēng)險(xiǎn)要高于實(shí)體銀行業(yè)務(wù)，其中，技術(shù)風(fēng)險(xiǎn)是其核心內(nèi)容，也是金融機(jī)構(gòu)和廣大客戶最為關(guān)注的問(wèn)題，只有采用合理的安全架構(gòu)，綜合運(yùn)營(yíng)各類安全技術(shù)手段（如防火墻、入侵檢測(cè)、數(shù)字證書(shū)等），才能有效預(yù)防技術(shù)風(fēng)險(xiǎn)可能造成的經(jīng)濟(jì)損失和信用影響。