思博倫通信

思博倫技術(shù)專欄

金融網(wǎng)絡(luò)安全測試方案

思博倫通信

編者按：金融行業(yè)網(wǎng)絡(luò)系統(tǒng)的建設(shè)，提高了金融業(yè)務(wù)處理的水平，改善了金融行業(yè)的經(jīng)營環(huán)境，增強(qiáng)了金融信息的可靠性，促進(jìn)了各項新業(yè)務(wù)的開展。現(xiàn)今各金融機(jī)構(gòu)為了提高自己的競爭優(yōu)勢，爭取更大的經(jīng)濟(jì)效益，紛紛在改進(jìn)服務(wù)手段、增強(qiáng)服務(wù)功能、完善業(yè)務(wù)品種、提高服務(wù)效率等方面做了大量的工作。但這還不夠，要達(dá)到這一目標(biāo)還必須通過金融電子化，利用高科技手段來提升自己的工作效率。金融行業(yè)業(yè)務(wù)的正常動作均需依賴網(wǎng)絡(luò)的暢通與可靠運(yùn)行，網(wǎng)絡(luò)的穩(wěn)定與安全已真正成為金融業(yè)正常運(yùn)轉(zhuǎn)的首要條件。因此，金融業(yè)網(wǎng)絡(luò)安全的正?？煽窟\(yùn)行，離不開仿真真實環(huán)境的網(wǎng)絡(luò)安全測試。思博倫通信的《金融網(wǎng)絡(luò)安全測試方案》一文介紹了金融網(wǎng)絡(luò)安全面臨的挑戰(zhàn)及需求分析，提出了金融網(wǎng)絡(luò)安全測試方案。

1 引言

金融業(yè)已經(jīng)成為信息技術(shù)和網(wǎng)絡(luò)技術(shù)發(fā)展的最大受益者之一。金融行業(yè)網(wǎng)絡(luò)系統(tǒng)的建設(shè)，提高了金融業(yè)務(wù)處理的水平，改善了金融行業(yè)的經(jīng)營環(huán)境，增強(qiáng)了金融信息的可靠性，促進(jìn)了各項新業(yè)務(wù)的開展?，F(xiàn)今各金融機(jī)構(gòu)為了提高自己的競爭優(yōu)勢，爭取更大的經(jīng)濟(jì)效益，紛紛在改進(jìn)服務(wù)手段、增加服務(wù)功能、完善業(yè)務(wù)品種、提高服務(wù)效率等方面做了大量的工作。

但這還不夠，要達(dá)到這一目標(biāo)還必須通過金融電子化，利用高科技手段來提升自己的工作效率。商業(yè)銀行客戶的業(yè)務(wù)系統(tǒng)一般包括核心應(yīng)用系統(tǒng)、網(wǎng)上銀行系統(tǒng)、辦公系統(tǒng)、監(jiān)控系統(tǒng)、認(rèn)證系統(tǒng)等；證券基金客戶的業(yè)務(wù)系統(tǒng)包括網(wǎng)上交易查詢系統(tǒng)、銀行結(jié)算系統(tǒng)、辦公系統(tǒng)和門戶網(wǎng)站等；保險行業(yè)客戶業(yè)務(wù)系統(tǒng)包括CRM系統(tǒng)、核心業(yè)務(wù)系統(tǒng)、保單管理系統(tǒng)、財務(wù)系統(tǒng)等。這些業(yè)務(wù)的正常運(yùn)作均需依賴網(wǎng)絡(luò)的暢通與可靠運(yùn)行，網(wǎng)絡(luò)的穩(wěn)定與安全已真正成為金融業(yè)正常運(yùn)轉(zhuǎn)的首要條件。

因此，金融業(yè)網(wǎng)絡(luò)安全的正常可靠運(yùn)行，離不開仿真真實環(huán)境的網(wǎng)絡(luò)安全測試。

2 面臨的挑戰(zhàn)及需求分析

2.1 面臨的挑戰(zhàn)

隨著金融服務(wù)的多樣化和金融業(yè)務(wù)應(yīng)用不斷增多，網(wǎng)絡(luò)安全風(fēng)險也日益暴露出來。

金融企業(yè)網(wǎng)絡(luò)安全的風(fēng)險來自多個方面：

（1）來自互聯(lián)網(wǎng)的風(fēng)險。網(wǎng)上銀行、電子商務(wù)、網(wǎng)上交易系統(tǒng)都是通過Internet并且都與金融系統(tǒng)發(fā)生關(guān)系，金融系統(tǒng)網(wǎng)絡(luò)如果與Internet互聯(lián)，那么由于Internet自身的廣泛性、自由性等特點(diǎn)，像銀行、證券和保險這樣的金融系統(tǒng)自然會被入侵者列入其攻擊目標(biāo)的前列。

（2）來自外聯(lián)單位的風(fēng)險。金融系統(tǒng)為了競爭，已不僅僅是局限在本系統(tǒng)縱向上做文章，而是逐步橫向發(fā)展，主要表現(xiàn)在銀行不斷增加中間業(yè)務(wù)，增加服務(wù)功能。例如，代收電話費(fèi)、水電費(fèi)、代收保險費(fèi)、證券轉(zhuǎn)賬等業(yè)務(wù)。因此，就與電信局、水電公司、保險公司、證券交易所等單位網(wǎng)絡(luò)互聯(lián)。由于銀行與這些單位之間并不是完全任信關(guān)系，因此它們之間的互聯(lián)，也使得金融網(wǎng)絡(luò)系統(tǒng)存在著來自外聯(lián)單位的安全威脅和安全隱患。

（3）來自不信任域的風(fēng)險。大部分金融系統(tǒng)都發(fā)展到全國聯(lián)網(wǎng)，系統(tǒng)分布在全國各地，范圍較廣，而且各級銀行也都是獨(dú)立核算單位，因此對每一個區(qū)域銀行來說，其它區(qū)域銀行都可能是不信任的，同樣存在安全威脅。

（4）來自內(nèi)部網(wǎng)的風(fēng)險。據(jù)統(tǒng)計，大多數(shù)網(wǎng)絡(luò)安全事件、攻擊來自于內(nèi)部，如果內(nèi)部安全管理措施不到位，極易發(fā)生內(nèi)部攻擊事件。

2.2 需求分析

（1）大型商業(yè)銀行

中國的大型商業(yè)銀行包括國有和地方商業(yè)銀行，這些大型商業(yè)銀行的金融電子化水平在同行業(yè)居領(lǐng)先地位，電子化網(wǎng)點(diǎn)覆蓋率非常高。正是這些商業(yè)銀行在多個領(lǐng)域的不斷發(fā)展，使得現(xiàn)有的網(wǎng)絡(luò)體系結(jié)構(gòu)越來越復(fù)雜。在網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜的同時，暴露了不少的安全隱患。如何使得業(yè)務(wù)的高速推進(jìn)與網(wǎng)絡(luò)安全并駕齊驅(qū)，成了越來越熱門的話題。

為了避免各種各樣的利用計算機(jī)網(wǎng)絡(luò)進(jìn)行犯罪的刑事案件的發(fā)生，以及在系統(tǒng)遭到攻擊中及時做出響應(yīng)、系統(tǒng)遭到破壞后如何減少損失，設(shè)計一整套金融網(wǎng)絡(luò)安全體系成了中國大型商業(yè)銀行現(xiàn)在最迫切的需求。

（2）證券企業(yè)

隨著電腦、網(wǎng)絡(luò)應(yīng)用的普及，以及證券市場的發(fā)展和成熟，網(wǎng)上交易委托將會成為股票交易中一個舉足輕重的方式。在這種完全不同于以往的交易方式中，各個證券公司的差別減小，其差異更多地體現(xiàn)在對網(wǎng)絡(luò)交易安全的高要求上。這就需要對營業(yè)部和證券公司總部的信息網(wǎng)絡(luò)系統(tǒng)進(jìn)行保護(hù)，同時對于網(wǎng)上交易的門戶網(wǎng)站需要防御外來的攻擊和蓄意的破壞，各營業(yè)部與總部、營業(yè)部與營業(yè)部之間信息的傳遞需要通過VPN來保障信息傳遞的安全，從而全面實現(xiàn)網(wǎng)上交易的信息安全。

（3）保險公司

隨著網(wǎng)絡(luò)技術(shù)的迅猛發(fā)展，現(xiàn)在世界上幾乎所有的保險業(yè)巨頭都看到了網(wǎng)絡(luò)發(fā)展中所蘊(yùn)藏的無限商機(jī)，把目光都投向了Internet和電子商務(wù)。一種全新的理念——網(wǎng)絡(luò)保險應(yīng)運(yùn)而生。網(wǎng)絡(luò)保險是指保險企業(yè)通過網(wǎng)絡(luò)開展電子商務(wù)，如通過Internet買賣保險產(chǎn)品和提供服務(wù)。保險公司有著自己的商業(yè)機(jī)密，同時還掌握著大量保戶的資料，如何保護(hù)數(shù)據(jù)和網(wǎng)絡(luò)系統(tǒng)不受到非法侵人，已成為發(fā)展網(wǎng)絡(luò)保險在技術(shù)上的難題。目前，威脅到保險網(wǎng)絡(luò)系統(tǒng)的安全主要包括：業(yè)務(wù)信息安全，即信息的保密性、完整性、真實性和不可否認(rèn)性；保險網(wǎng)絡(luò)系統(tǒng)運(yùn)行安全；保險網(wǎng)絡(luò)環(huán)境安全；信息傳輸安全等。在我國網(wǎng)絡(luò)技術(shù)水平不如歐美國家的情況下，如何開發(fā)出適合我國網(wǎng)絡(luò)保險發(fā)展需要又與國際標(biāo)準(zhǔn)相一致的網(wǎng)絡(luò)技術(shù)，已成為迫在眉睫的問題。

綜上所述，金融業(yè)作為對網(wǎng)絡(luò)系統(tǒng)的安全性、實時性、不間斷性、高可靠性、可用性等要求更為苛刻的行業(yè)，采用什么解決方案能更好地保護(hù)銀行金融網(wǎng)絡(luò)呢？不同的安全廠商有不同的解決方案，包括部署防火墻、IPS/IDS、Web應(yīng)用防火墻、VPN、防病毒網(wǎng)關(guān)等，但這些在實施上線后銀行業(yè)務(wù)還是受到不同程度的攻擊和破壞，從而造成不少經(jīng)濟(jì)和信譽(yù)上的損失。

因此，在系統(tǒng)上線之前，通過使用測試工具模擬這些多種真實的網(wǎng)絡(luò)攻擊，可幫助網(wǎng)絡(luò)管理員盡早發(fā)現(xiàn)網(wǎng)絡(luò)安全可能存在的問題。

3 金融網(wǎng)絡(luò)安全測試方案

（1）方案介紹

思博倫C1網(wǎng)絡(luò)安全測試解決方案可以仿真當(dāng)今世界復(fù)雜的網(wǎng)絡(luò)環(huán)境、各種各樣的應(yīng)用或網(wǎng)絡(luò)攻擊，確保在真實的網(wǎng)絡(luò)環(huán)境下能提供高質(zhì)量的產(chǎn)品和服務(wù)。C1測試解決方案能夠仿真不同的錯誤狀況、真實的用戶行為以及100多萬不同IP地址的網(wǎng)絡(luò)連接，精確重現(xiàn)了真實的網(wǎng)絡(luò)環(huán)境。即使是世界上最大的網(wǎng)絡(luò)基礎(chǔ)設(shè)施，C1測試解決方案也能滿足其需求，并且為網(wǎng)絡(luò)設(shè)備制造商、服務(wù)提供商、企業(yè)和網(wǎng)站管理者提供任何狀況下網(wǎng)絡(luò)的真實性和可控性。C1測試解決方案要求任何計算架構(gòu)的能力能滿足真實網(wǎng)絡(luò)的負(fù)載和復(fù)雜度。

C1測試解決方案在測試實驗室現(xiàn)實網(wǎng)絡(luò)、用戶和用戶以及網(wǎng)絡(luò)攻擊的真實性，而真實性正是C1測試解決方案架構(gòu)的核心。

●用戶真實性：C1測試解決方案能夠仿真數(shù)百萬計真實并發(fā)用戶的行為，包括等待時間、點(diǎn)擊操作、用戶受挫行為、不同的瀏覽器版本、不同的SSL版本之間的差別以及與靜態(tài)或動態(tài)網(wǎng)站和代理的交互認(rèn)證等。

●網(wǎng)絡(luò)真實性：C1測試解決方案能夠生成大量的流量來模擬大型網(wǎng)絡(luò)（包括因特網(wǎng)）。這些真實的流量包含各種不同種類的網(wǎng)絡(luò)和應(yīng)用協(xié)議，同時能夠再現(xiàn)網(wǎng)絡(luò)中的常見問題，如非對稱的寬帶網(wǎng)絡(luò)連接、數(shù)據(jù)包丟失、IP包損壞、大型連接池和仿真的網(wǎng)絡(luò)攻擊等。

●應(yīng)用真實性：C1測試解決方案提供大量真實的、有狀態(tài)的Web2.0數(shù)據(jù)流。C1測試解決方案將應(yīng)用真實性擴(kuò)展到了支持CIFS以及其他更深層次協(xié)議支持功能的高級內(nèi)容領(lǐng)域。此外，C1測試解決方案為自定義的數(shù)據(jù)流提供了一個規(guī)?？煽氐膽?yīng)用協(xié)議仿真引擎，還為漏洞評估測試提供了一個攻擊數(shù)據(jù)庫。C1測試解決方案是唯一的能夠產(chǎn)生真實、高速、有狀態(tài)和應(yīng)用感知流量的測試解決方案，用于確定大型網(wǎng)絡(luò)和應(yīng)用基礎(chǔ)設(shè)施的端到端性能。

●攻擊真實性：C1測試解決方案可以提供超過7000種以上的攻擊類型，而且不斷更新，具體包括：模擬DDoS/DoS攻擊；模擬口令破解等解碼攻擊行為；模擬惡意代碼和后門程序的攻擊行為；模擬操作系統(tǒng)漏洞滲透攻擊行為；模擬緩沖區(qū)溢出類攻擊行為；模擬蠕蟲攻擊；模擬各種類型病毒；模擬VoIP攻擊；能夠支持有狀態(tài)和無狀態(tài)的攻擊發(fā)起；能夠模擬電子郵件攻擊，包括發(fā)送帶病毒附件的電子郵件等；能夠支持對各種攻擊的混合發(fā)送，可以設(shè)置發(fā)送比例，以模擬網(wǎng)絡(luò)上真實的攻擊狀況；將各種攻擊流量和正常背景流量混合后通過一個端口發(fā)送，模擬真實的網(wǎng)絡(luò)攻擊行為。所提供的攻擊手法要提供相應(yīng)的標(biāo)準(zhǔn)組織編號（如CVEID、BugTraqID等），以便于參考。

此外，C1測試方案還具有以下的特性：

多種協(xié)議支持：C1支持所有主要的協(xié)議，包括HTTP1.0/1.1、HTTPS（SSL）、FTP、流媒體、電子郵件（SMTP、POP3、IMAP4）、DNS、Telnet、802.1Q VLAN Tagging和SIP?；趯拵У膮f(xié)議支持使得您可以正確地測試對性能敏感的網(wǎng)絡(luò)行為，諸如：

電子商務(wù)：使用瀏覽器Cookie、SessionID、HTTP Post和SSL加密數(shù)據(jù)流，生成真實的Web數(shù)據(jù)流。

郵件：支持SMTP、POP3和IMAP4，您可以模擬大量發(fā)送和接收消息的用戶。該系統(tǒng)與所有主要的郵件服務(wù)器兼容，并且支持對郵件附件（包括合法的文檔和病毒）進(jìn)行模擬和分析。

文件傳輸：C1對FTP的支持允許您模擬大量用戶獲取和上傳文件，文件大小范圍從1kB到1GB，甚至更大。支持Active和Passive模式。

網(wǎng)絡(luò)延遲、數(shù)據(jù)包丟失和分片：C1包含模擬用戶連接中延時的高精度延時參數(shù)?？删_仿真非對稱寬帶連接（以高速上行數(shù)據(jù)流、低速下行數(shù)據(jù)流移動）。用戶可以模擬數(shù)據(jù)包丟失水平，也可以指定降低性能的數(shù)據(jù)包分片，包括模擬順序分片、丟失的分片、甚至逆序分片。

TCP/IP協(xié)議棧特征：C1提供對TCP/IP棧特征的控制，諸如最大分段長度、延時ACK、IP分片和TCP超時行為。這些能力使您可以仿真不同的網(wǎng)絡(luò)環(huán)境，并且面對不同類型的TCP行為調(diào)整您的設(shè)備或基礎(chǔ)設(shè)施。

4 測試拓?fù)?/h2>

（1）測試網(wǎng)絡(luò)應(yīng)用和服務(wù)

C1可模擬數(shù)百萬的并發(fā)客戶，通過Internet訪問網(wǎng)上銀行網(wǎng)站。測試拓?fù)淙鐖D1所示。

在此拓?fù)渲?，可以將網(wǎng)上銀行網(wǎng)站作為一個整體進(jìn)行評估，即整個網(wǎng)站被看成一個“黑盒”。也可以在發(fā)現(xiàn)整體出現(xiàn)問題后，采用隔離法對網(wǎng)站中的某個或某幾個組件進(jìn)行單獨(dú)排查測試。例如，測試系統(tǒng)中的緩存設(shè)備對某些頁面是否有效；在面對海量、具有混雜行為的用戶時，響應(yīng)成功率的下降原因等。

C1模擬網(wǎng)上銀行實現(xiàn)的過程如下：

抓取真實瀏覽器用戶在網(wǎng)上銀行登錄過程的URL，URL中包含注冊、登陸、查詢賬戶等信息。

圖1 測試拓?fù)鋱D

將抓取的URL導(dǎo)入到C1模擬的客戶段的Action List中，并根據(jù)需要進(jìn)行修改，如從C1的數(shù)據(jù)庫中順序提取1萬個不同的用戶/密碼用于登陸。

C1模擬的客戶端可仿真不同的瀏覽器及不同的版本。支持Cookie，并可與SSL結(jié)合用于加密訪問。

C1中的ActionList被順序執(zhí)行，并支持條件判斷等，用于網(wǎng)站返回值的驗證。

（2）測試網(wǎng)絡(luò)安全設(shè)備

C1同時模擬客戶端和服務(wù)器，測試各種網(wǎng)絡(luò)安去設(shè)備，包括防火墻、負(fù)載均衡器、IPS、防病毒網(wǎng)關(guān)和VPN等。在此測試拓?fù)?，能夠驗證被測設(shè)備的性能和功能。

5 測試內(nèi)容

金融業(yè)務(wù)系統(tǒng)和網(wǎng)絡(luò)安全設(shè)備不論是在上線之前，還是上線后的調(diào)優(yōu)測試，負(fù)載測試都是至關(guān)重要的。通常，可按需進(jìn)行如下的測試：

（1）網(wǎng)絡(luò)攻擊防御能力

通過思博倫安全測試解決方案，驗證企業(yè)網(wǎng)絡(luò)入侵防御系統(tǒng)（IPS）和分布式拒絕服務(wù)（DDoS）防御系統(tǒng)的防御能力。不僅能證實數(shù)據(jù)是否受到保護(hù)，沒有被篡改、破壞或泄露，而且還證明服務(wù)性能在各種運(yùn)行和攻擊條件下能否得到保持。

除了C1硬件設(shè)備外，C1安全解決方案還包括兩個關(guān)鍵組件：

●C1KnowledgeBase（知識庫）：提供可以運(yùn)行在C1平臺上進(jìn)行安全漏洞測試的攻擊特征庫。這項訂閱服務(wù)可以在發(fā)現(xiàn)最新威脅的當(dāng)天就可以拿到攻擊特征，確保安全測試能夠在剛一發(fā)現(xiàn)新的威脅后立即進(jìn)行。

●C1AttackDesigner：使內(nèi)部的QA或IT人員無需花費(fèi)大量的時間進(jìn)行單調(diào)乏味的編程，就可生成或重現(xiàn)威脅。直觀的用戶界面使得威脅和攻擊可以通過簡單的描述來開發(fā)。生成威脅的不同變種的過程得到了優(yōu)化，威脅文件可以由C1專用設(shè)備執(zhí)行或者保存在數(shù)據(jù)庫中。

（2）IPSec/SSL測試

通過測試工具模擬IPSec和SSL安全加密系統(tǒng)，幫助網(wǎng)絡(luò)管理員盡早發(fā)現(xiàn)網(wǎng)絡(luò)安全方案存在的問題。

C1在IPSec測試具有以下特點(diǎn)：

●在加密通道上提供真實的應(yīng)用流量，實現(xiàn)真正的用戶體驗。

●通過完整的通道控制幫助用戶快速識別最佳的產(chǎn)品部署。

●IPv6和IPv4支持。

●通過收發(fā)高性能應(yīng)用流量，幫助發(fā)現(xiàn)網(wǎng)關(guān)的真實的運(yùn)行級別。

●全面的統(tǒng)計和分析。

IPSec控制面（ControlPlane）性能測試：

●并發(fā)隧道數(shù)、每秒鐘新建隧道數(shù)。

●支持Site-to-Site和RemoteAccess測試。

●支持多種加密算法：DES、3DEC、AES（128、192 &256）和Null。

●支持ESP（Encapsulating Security Payload）和TunnelMode。

●支持HMAC-MD5&SHA-1IKE協(xié)議支持。

●支持IKEv1和IKEv2測試。

IPSec數(shù)據(jù)面（DataPlane）性能測試：

●所有直接支持的應(yīng)用層流量可以運(yùn)行在IPSec隧道中。

●所有SAPEE模擬的私有協(xié)議可以運(yùn)行在IPSec隧道中。

●攻擊流量可以運(yùn)行在IPSec隧道中。

C1在SSL測試具有以下特點(diǎn)：

●與真實的Web應(yīng)用程序服務(wù)器的深度的URL互動。

●每秒1000個連接。

●在同一端口和鏈路上測試真實的HTTP、HTTPS 和FTP代理。

●測試真實或仿真的SSL應(yīng)用。

●支持超過25種加密算法：SSLv2、SSLv3、TLS。

●精細(xì)的證書控制。

●IPv4/IPv6支持。

（3）防火墻及APP分發(fā)控制器測試

防火墻測試，使用混合流量，測試防火墻政策。

●IP吞吐量。

●DoS處理。

●HTTP轉(zhuǎn)發(fā)速率。

●最大HTTP傳輸速率。

●非法流量處理。

●IP分片處理。

●時延。