網上銀行安全架構設計淺析論文
網上銀行(Online Banking),也稱為互聯網銀行(Internet Banking)或網絡銀行、在線銀行。美聯儲對網上銀行的定義是,利用互聯網為其產品、服務和信息的業務渠道,向其零售和公司客戶提供服務的銀行。網上銀行的出現給銀行業帶來一種地域無限、時間無限的經營方式,從而改變了銀行業的競爭格局。這種改變使網上銀行成為網絡經濟時代提供金融服務的一種重要手段,引發了一場銀行業的革命。
但是,同其他任何行業一樣,網絡安全風險的陰霾如同網絡技術的孿生子,伴隨著網絡技術在金融行業的全面應用而全面籠罩在金融行業各個業務角落。尤其是網上銀行系統,由于其基礎環境的開放性和不確定性,使其和傳統銀行業務相比會面臨更大的技術風險,因此,如何保障網上銀行交易系統的安全,關系到整個網上銀行的健康發展,安全是網上銀行建設中最重要的問題,也是對客戶資金安全的根本保障。
信息化為金融行業的業務發展提供了強有力的后臺支撐。然而,如果信息缺少了安全的保障,那么信息化對于企業來說不是競爭力的提高而是一場災難,可靠的計算機安全防御系統是金融行業保障網上銀行安全和發展的前提條件。
一、網上銀行應用架構及安全風險分析
1、網上銀行業務整體架構
網上銀行客戶通過互聯網登錄到銀行的門戶Web服務器,通過CFCA認證后連接到該行網上銀行的Web服務器,同時進行RA的身份認證。隨后,客戶的請求數據通過加密后傳達至網上銀行應用(APP)服務器并與銀行的核心業務系統主機進行聯機,享受全方位的網上金融服務。另一方面,銀行網點通過登錄網銀管理服務器進行客戶證書簽發、客戶信息管理等相關操作,整體應用架構大致可劃分為用戶接入層、應用前置層和系統數據層(見圖1)。
2、網上銀行安全需求分析
(1)用戶接入層。該層主要完成網上銀行客戶接入和訪問需求,主要包括企業Web服務器和網銀Web服務器,由于網銀Web服務器直接暴露于互聯網上,經常成為互聯網基于Web攻擊的首要對象,因此,Web服務器前不僅要通過防火墻實現基于網絡層或傳輸層的訪問控制,通過部署IPS實現深度安全檢測,還需要通過SSL安全網關實現數據加密的接入。此外,還需額外部署流量清洗設備實現DDOS攻擊防御,以期打造網銀第一道堅固防線。
(2)應用前置層。該層主要完成網銀系統的相關業務操作,主要包括網銀APP服務器、網銀前置、網銀管理服務器等。網銀APP服務器提供網銀系統的業務邏輯,包括會話管理、提交后臺處理以及向Web服務器提交應答頁面等;網銀前置(或ESB系統)負責將APP服務器提交的業務請求經過協議處理、數據格式轉換或加密后轉交到綜合業務系統的主機進行處理;網銀管理服務器實現網銀用戶管理功能(如開戶、注銷、證書下載、密碼修改等)。對其要求主要是保障服務高可用性與網絡訪問安全性。因而有針對的部署服務器負載分擔設備可實現業務流量在多臺服務器間的均勻分配,從而提升業務的`響應速度和服務高可用性。在訪問安全方面,可以通過異構的防火墻系統進行訪問權限控制,通過漏洞掃描設備實現整體的主機安全性能加固。
(3)系統數據層。該層主要完成網銀和綜合業務系統的數據交互,主要包括網銀數據庫(DB)服務器和綜合業務系統主機。網銀DB服務器的主要作用是保存、共享各種及時業務數據(如客戶支付金額)和靜態數據(如利率表),支持業務信息系統的運作,對登錄客戶進行合法性檢查。
綜合業務系統主要完成網銀的賬務處理、客戶數據及密碼的存放等。這個區域的顯著特點是要保障數據的高速交互能力和高可用性,應該相對弱化安全設備的部署而加強服務器以及磁盤陣列的冗余操作。主要通過異構防火墻設備進行區域間的訪問策略控制。
二、網上銀行安全架構及典型拓撲分析
1、網上銀行安全整體架構
前文從網銀業務的角度分析了網銀系統中各類服務器的網絡安全需求,將整體的網銀業務劃分為三個安全需求層次,各安全層以防火墻作為區域安全邊界。為提高網銀的整體安全性,各區域邊界防火墻最好采用不同廠家的產品,由此在整體布局上形成了多層異構防火墻的安全架構(見圖2)。
網上銀行用戶數據通過SSL加密再經過流量清洗和IDS/IPS檢測,到達網銀Web服務器,Web服務器提供網銀的登錄界面和操作環境,網銀APP服務器發起業務邏輯,根據用戶交易請求獲取相關數據,完成網銀交易。合理的安全架構設計使得數據流向清晰可控,各類安全技術手段有機結合,有效地保障了網上銀行的信息安全。
用戶接入區
安全區集中管理系統數據核心審計工具日志分析內部防火墻網銀APP、驗簽、網銀應用前置漏洞掃描工具應用負載分擔外部防火墻數據中心內網網銀Web服務器SSL卸載非軍事區SSL加密網上銀行用戶流量清洗鏈路負載分擔CFCA互聯網2、網上銀行分區的典型拓撲各商業銀行由于自身業務系統的差異,網銀系統安全架構會有不同的設計,但基本的技術構成類似,各部分的功能也相似。圖3是較為典型的商業銀行網銀分區拓撲設計。
(1)系統高可用性設計。網上銀行是一個實時在線的系統,因此要著重考慮系統的高可用性設計。
負載均衡設備、防火墻等網絡設備采用雙機設計,并在對等設備之間啟用熱備份協議,以實現設備之間的熱備切換。設備之間均采用雙路由鏈接,以保障設備之間的路由互相備份,實現高可用設計。
SSL安全網關、IPS入侵防御等網絡安全設備采用雙機雙路設計,由負載均衡設備進行Web服務器探測,檢測到故障時切換到另外一路。
網銀Web服務器采用雙機設計,對等雙機之間采用專用HA,主機和網絡設備鏈接均采用雙路由鏈路互相備份。同時,配置鏈路負載均衡設備可以實現兩個鏈路自動負載均衡和動態DNS解析。由運營商1的互聯網用戶發起的訪問自動訪問銀行端運營商1的接口IP地址,并自動從運營商1的線路返回。當其中一條互聯網線路中斷后,所有用戶訪問的流量和返回的流量均走一條鏈路。
(2)系統安全性設計。外部互聯網和DMZ區接入互聯網直接面對各種攻擊,對系統安全性提出了很高的要求,因此進行整體安全架構設計的時候,必須充分考慮系統對安全方面的特殊要求。一般來說,在網絡安全方面有如下要求:①網銀Web服務器和外部互聯網間用防火墻進行隔離,網銀Web只能訪問位于DMZ停火區的服務,并在該防火墻上只接受443端口的HTTPS訪問。前置系統主機只接受網銀Web的特殊端口調用,防火墻全部拒絕其他訪問。②所有的HTTPS訪問由SSL安全網關認證客戶身份,并建立SSL安全通道,實現通信安全。SSL安全網關雙臂鏈接,確保外部密文、內部才有明文。③SSL安全網關將解密的請求提交給IPS入侵防御服務器,檢測各類攻擊,阻斷惡意通信。IPS入侵防御采用雙臂鏈接方式。④內網防火墻與外網防火墻實現異構。
【網上銀行安全架構設計淺析論文】相關文章:
淺析基于云存儲的數字校園存儲架構論文05-28
高清播出系統網絡安全架構設計研究論文10-22
淺析軟件開發中的三層架構技術論文05-21
庫存管理Struts架構系統設計思考論文10-23
淺析辦公空間設計趨勢論文01-06
淺析辦公空間設計思路論文01-06
淺析天窗結構優化設計論文11-21
淺析對設計思維的認識論文11-20