林琬臻

摘 要 隨著中國加入WTO，外國銀行進入中國市場，國內(nèi)銀行的業(yè)務(wù)越來越多的移植到網(wǎng)絡(luò)銀行上，因此網(wǎng)上銀行的需求日益增加。但是網(wǎng)絡(luò)的開放性特點，使網(wǎng)上銀行面臨種種風(fēng)險，可以說安全性是網(wǎng)上銀行最大的考核要素。所以一套完善的安全系統(tǒng)是網(wǎng)上銀行的必備。？本文介紹國內(nèi)外網(wǎng)上銀行所普遍采用的安全技術(shù)和方案，將從數(shù)據(jù)和業(yè)務(wù)邏輯的兩個角度詳細地分析一般網(wǎng)上銀行系統(tǒng)的安全需求，并據(jù)此引入以PPDRR為安全模型的安全設(shè)計方案。

關(guān)鍵詞 網(wǎng)上銀行 J2EE網(wǎng)銀系統(tǒng) 安全性

中圖分類號：F83 文獻標識碼：A

1網(wǎng)上銀行的安全系統(tǒng)概述

安全是網(wǎng)上銀行應(yīng)用推廣的基礎(chǔ)，網(wǎng)上銀行的安全系統(tǒng)是為了保證網(wǎng)上銀行系統(tǒng)的數(shù)據(jù)不被非法存取或修改，保證業(yè)務(wù)處理按照銀行規(guī)定的流程被執(zhí)行。網(wǎng)絡(luò)與信息安全涉及的領(lǐng)域非常廣泛，為保證網(wǎng)上銀行的網(wǎng)絡(luò)與信息安全，銀行一般采用多層次體系結(jié)構(gòu)的網(wǎng)上銀行安全系統(tǒng)?？梢詣澐譃椋壕W(wǎng)絡(luò)層、系統(tǒng)層和應(yīng)用層三個層次。網(wǎng)絡(luò)層的組成部件包括：物理線路、路由器、交換機、網(wǎng)管軟件、防火墻、加密機等；系統(tǒng)層主要由主機、操作系統(tǒng)、數(shù)據(jù)庫、殺毒軟件等部件構(gòu)成；應(yīng)用層主要由Web服務(wù)器、應(yīng)用服務(wù)器、網(wǎng)上銀行系統(tǒng)軟件、RA服務(wù)器、動態(tài)密碼服務(wù)器等組成。

2身份認證需求

首先要能確認對方的身份要求交易雙方的身份不能被假冒或偽裝。同時客戶端容易感染木馬病毒，普通的靜態(tài)密碼認證已不能滿足網(wǎng)絡(luò)銀行的安全需求。網(wǎng)銀系統(tǒng)需要更有效的身份認證系統(tǒng)。

3訪問控制需求

訪問控制是網(wǎng)上銀行安全子系統(tǒng)中的核心安全策略，對關(guān)鍵網(wǎng)絡(luò)、系統(tǒng)和數(shù)據(jù)的訪問必須得到有效的控制，這就要求系統(tǒng)能夠確認訪問者的身份，謹慎授權(quán)，并對任何訪問進行跟蹤記錄。網(wǎng)銀系統(tǒng)訪問控制需求體現(xiàn)在以下幾個方面：

（1）制卡和卡數(shù)據(jù)維護必須指定專門的管理人員；

（2）企業(yè)用戶不能訪問面向個人的交易；

（3）個人網(wǎng)銀用戶不能訪問面向企業(yè)用戶的交易；

（4）批量制卡操作和制卡數(shù)據(jù)導(dǎo)出只能由動態(tài)密碼管理的系統(tǒng)管理員操作；

（5）柜員建立卡信息和客戶信息的關(guān)聯(lián)應(yīng)采取授權(quán)機制。

交易重復(fù)提交控制需求，交易重復(fù)提交就是同一個交易被多次提交給網(wǎng)銀系統(tǒng)。查詢類的交易被重復(fù)提交將會無故占用更多的系統(tǒng)資源，而管理類或金融類的交易被重復(fù)提交后，后果則會嚴重的多。交易被重復(fù)提交可能是無意的，也有可能是蓄意的攻擊。網(wǎng)銀安全子系統(tǒng)必須對管理類和金融類交易提交的次數(shù)進行控制，這種控制即要有效的杜絕用戶的誤操作，還不能影響用戶正常情況下對某個交易的多次提交。

4數(shù)據(jù)安全需求

數(shù)據(jù)保密性要求數(shù)據(jù)只能由授權(quán)實體存取和識別，防止非授權(quán)泄露。要對敏感重要的商業(yè)信息進行加密，即使別人截獲或竊取了數(shù)據(jù)，也無法識別信息的真實內(nèi)容，這樣就可以使商業(yè)機密信息難以被泄露。從目前國內(nèi)網(wǎng)銀應(yīng)用的安全案例統(tǒng)計數(shù)據(jù)來看，數(shù)據(jù)保密性需求主要體現(xiàn)在以下幾個方面：

（1）客戶端與網(wǎng)銀系統(tǒng)交互時輸入的各類密碼：包括系統(tǒng)登錄密碼、轉(zhuǎn)賬密碼、憑證查詢密碼等必須加密傳輸及存放，這些密碼在網(wǎng)銀系統(tǒng)中只能以密文的方式存在，其明文形式能且只能由其合法主體能夠識別。

（2）網(wǎng)銀系統(tǒng)與其它系統(tǒng)進行數(shù)據(jù)交換時必須進行端對端的加解密處理。這里的數(shù)據(jù)加密主要是為了防止交易數(shù)據(jù)被銀行內(nèi)部人士截取利用。數(shù)據(jù)完整性需求數(shù)據(jù)完整性要求防止非授權(quán)實體對數(shù)據(jù)進行非法修改。交易各方能夠驗證收到的信息是否完整，即信息是否被人篡改過，或者在數(shù)據(jù)傳輸過程中是否出現(xiàn)信息丟失、信息重復(fù)等差錯。

5安全策略

安全策略是整個安全體系的基礎(chǔ)。構(gòu)建安全系統(tǒng)需要工程師來操作，這就需要建立健全的規(guī)章制度和操作規(guī)范，使保護、檢測、響應(yīng)和恢復(fù)環(huán)節(jié)行之有效。一般的安全系統(tǒng)需要以下規(guī)章制度和操作規(guī)范：設(shè)備管理制度，機房管理制度，系統(tǒng)安全管理守則和明細，網(wǎng)絡(luò)安全管理守則和明細，應(yīng)用安全管理守則和明細，應(yīng)急響應(yīng)計劃，災(zāi)難恢復(fù)計劃等。安全防護方案主要包括以下幾個方面：

5.1身份認證系統(tǒng)

網(wǎng)上銀行應(yīng)用系統(tǒng)中的安全防護的第一道防線是身份認證。身份認證的技術(shù)有很多，可以分為兩類：軟件認證和硬件認證。其中軟件認證多為用戶自己知道的秘密信息，譬如用戶名和密碼。硬件認證包括IC 卡，基于生物學(xué)信息的身份認證，比如指紋識別，虹膜識別，面部識別等。單純的軟件認證已不能滿足網(wǎng)絡(luò)銀行系統(tǒng)的身份認證需求，

所以網(wǎng)絡(luò)銀行多采用軟硬件結(jié)合的雙因子認證方式作為身份認證的輔助解決方案。

5.2 權(quán)限控制系統(tǒng)

權(quán)限控制包括網(wǎng)絡(luò)的訪問權(quán)限控制，設(shè)備的訪問權(quán)限控制，服務(wù)器的遠程訪問權(quán)限控制（包括頁面服務(wù)器、應(yīng)用服務(wù)器、數(shù)據(jù)庫服務(wù)器等），網(wǎng)銀系統(tǒng)的權(quán)限控制。其中企業(yè)網(wǎng)銀和后臺管理系統(tǒng)涉及到多人在同一系統(tǒng)內(nèi)的操作，權(quán)限控制尤為重要。

5.3 邊界控制

可以在網(wǎng)絡(luò)邊界設(shè)置多重的防火墻，防止外界的非法訪問。在網(wǎng)絡(luò)拓撲圖中也可以清楚的看到，多種的防火墻可以保證網(wǎng)銀系統(tǒng)和銀行核心系統(tǒng)以及其他渠道系統(tǒng)的通？信安全。其中第一重和第二重防火墻主要是防護互聯(lián)網(wǎng)用戶的非法入侵，第三道防火墻可以防護銀行內(nèi)部用戶非法侵入網(wǎng)銀系統(tǒng)。防病毒網(wǎng)關(guān)病毒、蠕蟲和木馬等對網(wǎng)銀系統(tǒng)安全造成極大威脅。防病毒必須軟、硬件兩手抓。設(shè)置防病毒網(wǎng)關(guān)對進入應(yīng)用區(qū)的信息進行掃描，同時網(wǎng)銀系統(tǒng)的程序本身也要防止SQL注入等應(yīng)用層的安全漏洞。傳輸加密數(shù)據(jù)加密地方法有里鏈路層加密、網(wǎng)絡(luò)層加密及應(yīng)用層加密。

5.4入侵檢測系統(tǒng)

入侵檢測可以作為傳統(tǒng)防火墻的輔助方案，可以根據(jù)入侵檢測的結(jié)果進行防護、響應(yīng)和恢復(fù)。入侵檢測系統(tǒng)是采用相對應(yīng)的入侵檢測軟件和硬件的集成。采用基于網(wǎng)絡(luò)的入侵檢測產(chǎn)品實時監(jiān)控公共網(wǎng)絡(luò)和銀行網(wǎng)絡(luò)間的通信，捕獲網(wǎng)絡(luò)入侵；采用基于主機的入侵檢測產(chǎn)品監(jiān)測服務(wù)器會話數(shù)據(jù)流和系統(tǒng)審計日志以捕獲主機入侵。