郝曉磊

（1.山西省農村信用社聯(lián)合社，山西 太原 030001；2.太原理工大學，山西 太原 030024）

1 網上銀行總體情況概述

1.1 網銀網絡安全需求分析

各商業(yè)銀行由于自身業(yè)務系統(tǒng)的差異，對網銀系統(tǒng)應用架構會有不同的設計，但基本的技術構成是類似的，其各部分的功能也相似。

1.1.1 網銀WEB服務器

網銀WEB服務器是網銀業(yè)務面向互聯(lián)網客戶的主用界面，網銀WEB直接暴露于互聯(lián)網上，因此，WEB服務器前不僅要通過防火墻實現(xiàn)基于網絡層或傳輸層的訪問控制，通過部署IPS實現(xiàn)深度安全檢測，還需要通過流量清洗設備實現(xiàn)DDOS攻擊防御。另外，由于安全防護要求不同，建議將網銀WEB服務器與銀行門戶WEB服務器部署在不同的網絡區(qū)域內，以防止門戶WEB的安全漏洞對網銀業(yè)務的影響。

網銀WEB服務器與用戶瀏覽器間通過HTTPS協(xié)議保證數(shù)據(jù)的私密性與完整性，為了減少WEB服務器進行密鑰交換與加解密的工作負擔，建議在WEB服務器前部署SSL卸載設備，既可實現(xiàn)HTTPS協(xié)議加速，又可實現(xiàn)業(yè)務負載分擔和服務高可用性。

1.1.2 網銀APP服務器

網銀APP（應用）服務器提供網銀系統(tǒng)的業(yè)務邏輯，包括會話管理、提交后臺處理以及向WEB服務器提交應答頁面等。APP服務器與WEB服務器共同構成網銀業(yè)務（如網上支付與結算、網銀轉賬、基金交易、網上理財?shù)龋┻\行環(huán)境。由于WEB服務器與互聯(lián)網客戶瀏覽器之間承載數(shù)據(jù)的SSL協(xié)議不具備數(shù)字簽名功能，所以網銀客戶端的數(shù)字簽名通常由瀏覽器插件程序完成，而服務器端的驗簽工作則由單獨的驗簽服務器完成?？蛻艉灻慕灰讛?shù)據(jù)經由WEB服務器提交給APP服務器，再由APP服務器向驗簽服務器發(fā)起驗簽請求。

APP服務器作為網銀系統(tǒng)的核心組件，應保障其服務高可用性與網絡訪問安全性。在APP服務器前部署服務器負載分擔設備可實現(xiàn)業(yè)務流量在多臺服務器間的均勻分配，從而提升業(yè)務的響應速度和服務高可用性。另外，部署負載分擔設備后，可根據(jù)網銀業(yè)務量的大小動態(tài)配置APP服務器，可提高業(yè)務擴展能力。

從安全角度考慮，由于APP服務器與網銀WEB服務器所處的安全區(qū)域不同，因此在網銀WEB服務器與APP服務器之間應部署防火墻實現(xiàn)訪問控制。APP服務器前通常不需要部署IPS設備。

1.1.3 網銀DB服務器

網銀DB（數(shù)據(jù)庫）服務器的主要作用是保存、共享各種及時業(yè)務數(shù)據(jù)（如客戶支付金額）和靜態(tài)數(shù)據(jù)（如利率表），支持業(yè)務信息系統(tǒng)的運作，對登錄客戶進行合法性檢查。DB服務器通常需要與存儲整列連接，并且DB服務器通常采用雙機互為備份的方式以保證高可用性。

網銀DB服務器與網銀APP服務器的安全防護需求基本相同，但DB服務器只允許來自APP服務器的訪問，WEB服務器禁止直接訪問DB服務器。APP服務器與DB服務器可以部署在同一個安全區(qū)域內，也可分別部署在兩個不同的安全區(qū)域內。如部署在同一安全區(qū)域內，則APP與DB服務器將以同一個防火墻作為安全邊界，而APP與DB之間的互訪控制可通過接入交換機上的ACL實現(xiàn)。建議將APP與DB分別部署于各自獨立的安全區(qū)域，并以不同的防火墻作安全邊界，這樣部署有更高的安全性、更清晰的安全策略以及更好的網絡可擴展性。

1.1.4 RA服務器、簽名驗證服務器

RA服務器與簽名驗證（驗簽）服務器都是與網銀交易中數(shù)字簽名相關的系統(tǒng)。RA（Registration Authority，數(shù)字證書注冊審批機構）服務器是PKI體系中CA服務器的延伸，RA負責向CFCA（中國金融認證中心）的CA或銀行自建的CA申請審核發(fā)放證書。驗簽服務器負責對用戶提交的交易數(shù)據(jù)進行數(shù)字簽名驗證。

RA服務器與驗簽服務器都與APP服務器間有數(shù)據(jù)交互，但RA服務器還需要通過互聯(lián)網（或專線）與CFCA的CA服務器相連，因此，RA與驗簽服務器應部署在不同的安全區(qū)域內。通常是將RA與WEB服務器部署在一個安全區(qū)域內，而將驗簽服務器與APP服務器部署在一個安全區(qū)域內，APP服務器與RA服務器的訪問需要通過防火墻作訪問控制。

1.1.5 綜合業(yè)務系統(tǒng)、網銀前置、網銀管理服務器

網銀的賬務處理、客戶數(shù)據(jù)及密碼的存放都在綜合業(yè)務系統(tǒng)中完成。網銀前置（或ESB系統(tǒng)）負責將APP服務器提交的業(yè)務請求經過協(xié)議處理、數(shù)據(jù)格式轉換或加密后轉交到綜合業(yè)務系統(tǒng)的主機進行處理。位于網點的客戶端通過訪問網銀管理服務器實現(xiàn)網銀用戶管理功能。上述3種業(yè)務系統(tǒng)都部署在銀行數(shù)據(jù)中心內網區(qū)，APP服務器與三者間都存在直接或間接的訪問關系，由于網銀APP服務器與數(shù)據(jù)中心內網區(qū)分屬不同的網絡安全區(qū)域，所以兩者間的網絡通信需要通過防火墻進行訪問控制。

1.2 存在的安全風險

目前，國內商業(yè)銀行網絡及信息系統(tǒng)主要面臨的安全風險。從兩個基本的角度來進行，即外部安全風險和內部安全風險。

外部安全風險主要是指通過互聯(lián)網平臺及接入產生的風險。

內部安全風險主要是指由內部人員從事網絡辦公相關活動帶來的威脅所產生的風險。

2 網銀風險防范對策

2.1 從銀行角度闡述風險防范對策

2.1.1 建立良好的網絡銀行風險管理體系

加強對網絡銀行自身特點的研究，做好事前分析與防范工作，完善組織機構和管理制度,制訂一整套自上而下的風險管理組織機構和管理規(guī)章制度。定期不定期進行深入性檢查與整改，確保制度執(zhí)行能夠落到實處。

2.1.2 注重利用先進、成熟的技術手段

進一步搞好網絡銀行系統(tǒng)的基礎建設，充分利用當前先進、成熟的技術手段，設計安全、合理的網銀安全架構，在軟、硬件設備方面縮小與發(fā)達國家的差距,提高關鍵設備的安全防御能力。

2.1.2.1 網銀分區(qū)安全部署要求

從網銀業(yè)務的角度分析了網銀系統(tǒng)中各類服務器的網絡安全需求，各服務器區(qū)以防火墻作為區(qū)域安全邊界，各區(qū)域邊界防火墻采用不同廠家的產品，由此在整體布局上形成了“多層異構防火墻”安全架構。從業(yè)務功能上考慮，還可將這種安全架構劃分成4個功能區(qū)域：互聯(lián)網接入?yún)^(qū)、DMZ區(qū)（接入WEB服務器、RA服務器）、網銀業(yè)務區(qū)（接入APP服務器、DB服務器）、數(shù)據(jù)中心內網區(qū)。

各功能區(qū)域的網絡安全部署要求如下：

互聯(lián)網接入?yún)^(qū)：部署鏈路分擔設備，提供多ISP的互聯(lián)網接入，并承擔網銀域名解析；部署流量清洗，防御DDOS攻擊；部署外網邊界防火墻，實現(xiàn)互聯(lián)網與DMZ區(qū)隔離。

DMZ區(qū)：部署網銀WEB服務器、門戶WEB服務器，RA服務器；部署IPS，為WEB服務器提供深層安全保護；部署SSL卸載&服務器負載分擔設備，優(yōu)化HTTPS響應速度并保證WEB業(yè)務高可用性；部署WEB-APP邊界防火墻，實現(xiàn)DMZ與網銀業(yè)務區(qū)的隔離。

網銀業(yè)務區(qū)：部署網銀APP服務器、網銀DB服務器、驗簽服務器；APP服務器前可部署服務器負載分擔設備，用于業(yè)務優(yōu)化和提高可用性；APP服務器與DB服務器間可部署防火墻實現(xiàn)訪問控制；部署內網邊界防火墻，實現(xiàn)網銀業(yè)務區(qū)與數(shù)據(jù)中心服務器區(qū)間的隔離。

數(shù)據(jù)中心內網區(qū)：部署綜合業(yè)務系統(tǒng)主機、網銀前置（或ESB系統(tǒng)）服務器、網銀管理服務器；采用“核心-邊緣”分區(qū)模塊化架構，各服務器區(qū)圍繞網絡核心區(qū)部署，各服務器區(qū)與網絡核心區(qū)之間通過防火墻作訪問控制。

2.1.2.2 網銀網絡安全架構設計的網絡拓撲

各功能區(qū)間采用串行方式連接，在連接點通過防火墻實現(xiàn)區(qū)域間的訪問控制。在這種拓撲下，業(yè)務流量沿著“互聯(lián)網接入?yún)^(qū)”、“DMZ”、“網銀業(yè)務區(qū)”、“數(shù)據(jù)中心內網區(qū)”的方向流動，跨區(qū)域流量都要經過防火墻的過濾，考慮到異構安全性的優(yōu)勢，各區(qū)域邊界防火墻應采用不同廠商的設備。

吸取數(shù)據(jù)中心“核心-邊緣”模式的優(yōu)點，在網銀網絡中部署核心交換機，網銀的各功能區(qū)圍繞核心交換機部署，在各功能區(qū)的匯聚交換機上部署安全（防火墻、IPS）和應用優(yōu)化設備（負載分擔、SSL卸載），于是構建了網銀的扁平化網絡拓撲，這種設計扁平化部署的好處是擴展性好。

在網銀的互聯(lián)網接入?yún)^(qū)建議部署“流量清洗設備”以實現(xiàn)對DDOS等攻擊行為的防護。流量清洗設備用與網銀的互聯(lián)網出口路由器建立BGP Peer，并發(fā)布BGP更新路由通告，路由器將進入網銀的流量都轉發(fā)到清洗設備上，清洗設備對進入的流量做監(jiān)控檢查，當沒有DDOS攻擊流量時，清洗設備會將報文回注到網銀出口路由器，此后報文將進行正常轉發(fā)流程。當發(fā)現(xiàn)DDOS攻擊流量時，清洗設備會將DDOS報文刪除，并將正常流量回注到網銀出口路由器，正常網銀流量不受影響。

為了規(guī)避運營商出口故障帶來的網絡可用性風險，網銀出口通常租用兩個或多個運營商出口（電信、網通等）。鏈路負載設備通過動態(tài)域名解析方式，能夠利用就近性算法動態(tài)計算鏈路的質量，保證用戶訪問WEB服務器的鏈路是當前最優(yōu)的鏈路。另外，鏈路分擔設備還通過健康性檢測，可以檢查鏈路內任意節(jié)點的連通性，從而有效保證整條路徑的可達性。

為保證信息的私密性，要對網上傳輸?shù)男畔⑦M行加密，使未經授權者無法了解信息內容。建立并使用入侵檢測系統(tǒng)（IDS），定期對網絡銀行系統(tǒng)進行安全漏洞的偵查掃描。

2.2 網銀安全風險防范從金融監(jiān)管、網銀用戶角度提高警惕

（1）網絡銀行同樣需要政府監(jiān)管,以保護公眾利益,降低銀行業(yè)的經營風險。網絡銀行作為新興業(yè)務渠道，自身特點決定一旦發(fā)生風險，對銀行本身，甚至整個金融行業(yè)的影響巨大。要防范業(yè)務風險和系統(tǒng)風險，就要加強法律對網絡銀行市場準入的監(jiān)管。必須有嚴密的安全對策、制度規(guī)范和操作程序，建立以安全為中心的制度保障體系。

（2）網絡銀行用戶作為網絡銀行終端的管理者與使用者，在網絡銀行的安全機制中有著不可替代的作用，是網絡銀行安全的最終環(huán)節(jié)。因此，網銀用戶需要有效防范木馬與病毒對終端系統(tǒng)的攻擊，安裝網絡銀行終端系統(tǒng)的個人電腦上安裝防病毒軟件，并經常更新軟件版本與病毒庫、安裝軟件防火墻、安裝木馬清除軟件，定期更新木馬庫，掃描與清除木馬。第二，使用IC卡和USB卡物理介質的證書認證方式。通過證書驗證客戶身份，確保其真實性，防止其他人員非法使用。第三，認清網絡銀行網址，避免進入“假網銀”。

3 結束語

網銀業(yè)務的高技術性、無紙化和瞬時性的特點，決定了其經營風險要高于實體銀行業(yè)務，其中，技術風險是其核心內容，也是金融機構和廣大客戶最為關注的問題，只有采用合理的安全架構，綜合運營各類安全技術手段（如防火墻、入侵檢測、數(shù)字證書等），才能有效預防技術風險可能造成的經濟損失和信用影響。