网上银行业务运营设施与技术系统介绍.doc

秘密*网上银行业务运营设施与技术系统介 绍 *村镇银行1 概述背景为促进*村镇银行业务发展，完善服务手段，丰富金融产品种类，村镇银行积极准备网银系统建设，现网银系统已具备上线运行的条件。2 网上银行系统总体结构3 业务需求概览根据业务发展需要，网上银行将分批实现以下功能：（一）企业网上银行系统*村镇银行企业网上银行可实现账户管理、收付款管理、集团服务等功能。功能如下： 一级菜单二级菜单三级菜单备注首页固定栏目用户信息公告信息我的账户特色服务-证书提醒到期过期温馨提示快捷菜单账户管理账户查询账户明细查询账户别名设置收付款管理本企业行内账户互转对外付款收款人账户信息企业内部管理交易查询交易撤销客户服务登录名修改登录密码修改自助换发证书申请换发证书下载证书USBKEY管理本人资料及账户权限账户业务权限查询操作日志查询（二）个人网上银行系统*村镇银行个人网上银行可实现账户查询、转账汇款、客户服务等功能。功能如下：一级菜单二级菜单三级菜单备注登录页面用户管理网银自助注册证书使用说明网银助手下载使用帮助注意事项使用指南常见问题业务简介忘记登录密码我的网银固定栏目用户信息通知公告我的账户特色服务-预留信息特色服务-证书提醒到期过期温馨提示常用功能我的账户账户查询明细查询账户挂失账户维护添加/删除注册卡及账户账户别名设置转账汇款本人行内账户互转行内账户转账跨行汇款转账汇款记录查询收款人账户信息卡内互转定活互转整存整取零存整取通知存款客户服务用户名设置个人资料修改个性化设置快捷菜单设置操作日志查询安全中心修改登录密码安全设置账号保护预留信息暂停网银自助换发证书申请换发证书下载证书USBKEY管理修改USBKEY密码查看USBKEY证书系统登录安全退出网银自助注册忘记登录密码功能搜索切换至时尚版网站地图个性化设置（三）网银柜面系统网银柜面系统是*村镇银行业务人员进行网银后台维护的平台，包括业务功能管理、参数管理、日志管理、客户服务等功能。柜面系统提供的详细功能如下： 一级菜单二级菜单三级菜单备注个人业务受理个人客户开户个人客户信息查询个人客户维护个人客户关键信息维护个人客户信息维护个人客户账户管理个人客户更改注册方式个人客户启用个人客户停用个人客户注销个人客户解锁个人客户密码重置企业业务受理一般企业开户集团客户开户企业客户信息查询企业客户信息维护银企对账查询凭证管理密码信封初始化密码信封重打凭证使用情况查询证书管理个人客户证书管理证书换发/补发证书查询企业客户证书管理证书申请证书换发/补发证书查询证书下载个人证书下载企业证书下载风险管理企业转账汇款授权个人转账汇款授权企业转账汇款授权查询个人转账汇款授权查询事后监督柜员操作日志个人客户操作日志企业客户操作日志报表中心开销户统计表交易量统计表(转出对象)交易量统计表(行内行外)中间业务统计表转账交易统计表开户登记簿销户登记簿开户汇总表企业转账汇款查询个人转账汇款查询业务管理认证方式限额设置大额落地限额设置机构柜员管理机构管理角色管理柜员管理功能管理系统授权转账交易信贷授权系统功能修改登录密码我的操作日志客户服务银行公告公告管理公告查询公告发布4 网银系统方案 安全方案设计原则安全是网银系统设计的重中之重。依据木桶原理，系统安全需要考虑系统使用的所有方位、所有角度。i. 网络架构的安全应具有全方位安全性保护部署，如：内外网段隔离，防止外部各种入侵和黑客攻击；在局域网环境中保证用户的隔离，对核心管理系统实现安全保护，防止内部非系统管理员的各类入侵和攻击。ii. 服务器及其操作系统的安全核心服务器必须放到安全域，只能被有业务需要的应用访问。操作系统或其上的数据库平台本身不被攻击，也不能成为攻击工具。iii. 客户端计算机的安全提示客户查毒、杀毒。使用安全控件，尽最大力量减少客户端被攻击的可能性。iv. 客户认证手段的安全推荐用户采用安全级别更高的认证工具；提示客户使用相应认证手段的必须注意到环节。保证客户在个人信息、口令全部泄密的情况下，安全的使用认证工具，客户资金不被非法盗取。v. 通讯层安全在通信过程中保证不被看到（数据加解密）；不是别人发过来的、没有被篡改（身份认证、抗否认性）；不是以前的通信等（唯一性）。vi. 网络层安全通过防火墙，防病毒，入侵检测等安全技术，保障整个系统的网络层安全。vii. 信息在各业务系统中交换的安全保证关键信息（如客户取款密码）在各业务系统中交换时是密文，不泄漏客户信息。保证交互的信息不被篡改，不是重放的信息。viii. 系统使用中业务的安全控制严格的用户权限管理机制，灵活的用户角色划分和管理；多维的交易权限管理机制，企业关键交易提供多重组合授权功能。涉及账务的关键交易要求做数字签名。完备的交易日志和操作日志。ix. 数据库的安全存储与灾难备份数据存储在安全的设备上，备份的数据也需要安全管理保障。最终系统需要异地的、实时的灾难备份系统。 存储和备份i. 数据存储备份网上银行系统采用磁带库实现数据的备份，并配置专用的备份软件来实现应用和数据的备份，支持联机备份、脱机备份方式，也可以支持自动备份、人工备份，对于数据备份支持完全备份、增量备份、部分备份。用户可以根据需要设置备份的时间和备份时间周期。备份方案数据备份策略周期业务信息完全备份周帐务记录完全备份+增量备份日流水日志完全备份+增量备份日接入流水日志完全备份+增量备份日接入交易数据记录完全备份+增量备份日应用程序完全备份周ii. 数据恢复数据恢复是指将备份的数据从备份介质中恢复到系统。根据恢复内容的不同可以采取离线恢复或在线恢复。数据恢复前，需要制定详细的数据恢复方案，并对现有的环境进行保存和备份。恢复数据后，对数据进行完整性和一致性检查。 应用系统安全设计网上应用系统的安全主要包括信息的安全，用户客户端环境的安全和多种的用户身份识别手段。i. 信息安全网上银行应用系统的安全主要包括数据的不可否认性和保密性，以及对用户的认证等。从总体策略上，网上银行交易系统的安全，是通过安全代理服务器的方式，向用户发放证书，实现对用户的认证，以及在用户与网上银行系统间建立安全的通信通道，实现对重要交易数据的加密与签名。应用系统安全架构图1. 安全代理服务器网上银行系统采用安全代理服务器的方式，在客户端和网上银行服务器间建立一个安全的SSL数据通道。实现用户的证书双向身份认证和数据的签名和加密。以最大程度的保护交易系统的安全。通过这种方式，只有持有证书的用户（包括企业客户和个人签约客户），才能登录到网上银行系统进行交易。安全代理服务器被放在停火区内，为Web服务器提供安全的数据通道。使用证书的用户采用CA中心颁发的数字证书作为身份证明，通过网银的安全代理服务器进入到网银系统环境来。安全代理服务器提供服务器证书，提供SSL连接，自动下载CRL（证书作废列表）信息等功能。2. 交易签名与验证网上银行系统用合作安全厂商的产品完成对关键数据与文件的签名和验证的过程。当用户进行需要交易签名的业务操作（如：转账、缴费等）时，网上银行将要求用户用自己的数字证书进行签名，以保证交易的不可否认性。需要交易签名的业务实现流程如下：1用户通过普通浏览器发出需要进行数字签名的业务访问请求，安全客户端提示用户选择数字证书并进行处理，如果证书无效（例如没有选择正确的证书），安全客户端将给出无效证书的提示并要求用户重选；2安全客户端作为代理在访问请求中加入认证标识，表示在此次访问之前已经通过身份认证，并连同有效证书一起发送给应用Web服务器；3应用后台程序根据Web服务器上记录的该用户的认证标识和身份标识来确定其用户类型，并赋以一用户类型标识，形成图中所示的用户信息列表；4应用后台程序在确定了该用户的用户类型标识后，根据权限控制规则确定其可以进行的交易业务类型；5记录用户交易签名；6后台主机进行交易处理；7主机将用户的交易处理结果返回给应用后台程序；8应用后台程序将交易处理结果返回给用户。ii. 客户端安全当前网上病毒猖獗，而客户大多缺乏网络安全知识与病毒防范意识，使得网上银行在客户端方面出现重大的安全隐患。随着网上银行交易的普及，攻击网上银行系统的病毒也开始出现，骗取客户的银行账号与密码。网银系统采取安全客户端控件方式避免恶意的黑客程序截取用户输入的敏感信息和关键交易，防止用户密码泄露或资金流失，从而提高网上银行用户端的安全性，保证客户安全使用网上银行。1. 安全客户端控件开发安全控件，在客户输入密码等关键信息时使用。安全控件可进行中断级、操作系统级监测，阻止黑客使用钩子等黑客手段从键盘输入中获得或者篡改关键信息，包括PS2键盘、USB键盘、无线键盘。安全控件可阻止黑客使用屏幕拷贝等手段直接从控件获得信息。安全控件可阻止内核驱动过滤攻击获得控件内输入的信息。安全控件同时使用金融加密机的公钥，直接对交易密码进行加密，保证交易密码在各系统内流转的都是密文，各系统无法解开。iii. 身份识别技术身份识别作为网上银行各阶段最重要的安全措施，对资金安全有着举足轻重的作用。现在通用的身份认证方式有6种，每种认证方式都各有特色，有些认证方式之间是可以互补的，所以网上银行可以同时支持多种认证方式，而且通过对业务分安全级别的方法来进行操作权限控制。银行网银系统可以采用以下认证方式 静态密码 动态密码i. 动态口令卡ii. 手机动态密码iii. 动态密码令牌iv. 带挑战应答的动态密码令牌v. 带屏幕的交易信息动态确认密码器 数字证书i. USB Keyii. 带按键的USB keyiii. 带液晶屏及按键的USB Key。以上方式可以组合： 静态密码 + 动态密码 静态密码 + 数字证书1. 刮刮卡是动态口令卡的一种，刮刮卡的优点是成本低、方便易用，缺点是由于每张卡上包含多个密码，密码容易被偷看。因此对交易金额较小、对成本和易用性要求较高的客户使用刮刮卡作为身份认证方式。常见的刮刮卡如下图所示：2. 数字证书证书的申请者经过审批，会得到自己的数字证书、私有密钥和保护私有密钥的口令。用户登录网上银行系统时，需和服务器进行双向身份认证，这一过程需要数字证书、私有密钥以及保护私有密钥的口令共同参与。具体的认证过程参见下图： 基于安全代理服务器的身份认证流程图步骤如下：1用户发出访问请求；2安全客户端代理该访问请求；3银行应用Web服务器接收该请求，交由身份认证后台程序处理，后台程序检查请求中是否带有认证标识和标识的有效期。如果带有认证标识并在有效期内，说明该用户已经通过认证并且没有超时，直接跳至第9步；4对于没有通过身份认证的用户，身份认证后台程序调用安全代理服务器提供的认证功能模块，向安全客户端发出认证请求，同时给出银行应用Web服务器的数字证书和签名；安全客户端接收到银行应用Web服务器发来的认证请求后，对服务器证书的合法性进行验证，并验证签名的真实性。5验证通过后，安全客户端即可以确认自己正在访问的服务器正是自己希望访问的服务器，安全客户端向银行应用Web服务器提交用户数字证书和用户签名；6身份认证后台程序调用安全服务器的认证功能模块对用户数字证书进行合法性验证，并验证用户签名的真实性；7验证完成后认证功能模块向身份认证后台程序返回认证结果和用户的身份标识信息，银行应用Web服务器保存此记录，该记录格式定义如下：认证标识身份标识说明：认证标识是银行应用Web服务器为通过身份认证的用户分配的唯一标记，带有该标记的访问请求不必再作认证；身份标识即为用户数字证书中“用户唯一标识”字段；8银行应用Web服务器将认证标识传给安全客户端；9向用户提供Web服务。这里的身份认证过程为强认证，不仅银行应用Web服务器对用户进行认证，用户也对Web服务器进行认证，认证是双向的，为了保证登录安全，一般还需要在第6步进行认证次数限制。数字证书存储在USB Key内，只能使用，不能读取。但是2006年以来，USB Key越来越多的受到远程证书劫持攻击。因此使用USB Key时，同时需要输入手机收到的交易确认动态密码。或者采用带语音、按键或带屏幕、按键的USB Key。3. 手机动态密码身份验证网上银行系统支持在客户进行转账与或外支付等活动的时候，向客户手机发送动态生成密码，通过客户在密码项输入其所收到的动态密码，以确认客户的身份。手机动态密码的缺陷是实时性无法保障。对于时效要求高的客户不建议采用。4. 动态电子令牌动态电子令牌采用一种称之为动态令牌的专用硬件，大小相当于一张闪存盘，显示方式类似于电子手表，它内置电源、密码生成芯片和显示屏。密码生成芯片运行专门的密码算法，根据当前时间或使用次数生成当前密码并显示在显示屏上。认证服务器采用相同的算法计算当前的有效密码。由于每次使用的密码必须由动态令牌来产生，只有合法用户才持有该硬件，所以只要密码验证通过，系统就可以认为该用户的身份是可靠的。而用户每次使用的密码都不相同，即使黑客截获了一次密码，也无法利用这个密码来仿冒合法用户的身份。5. 银行采用方式综合我行客户情况，银行采用以下认证方式：个人客户：静态密码+刮刮卡（动态口令卡）静态密码+矩阵卡（动态口令卡）静态密码+手机动态口令静态密码+Ukey(证书)企业客户：静态密码+Ukey(证书)iv. 服务端安全1. 网站防篡改由于我们的网银WEB服务器被SSL安全网关保护，又经过入侵防御，从外网无法进行网站篡改。但内部网站发布系统可能会受到内部威胁。我们将采用专用的网站防篡改技术，能够及时发现黑客对网站的篡改，并有效控制传送给客户的信息的合法性。该防篡改技术可以使得任何针对网站内容的篡改在发送到客户端之前，被监测到，理论上完全避免了网页被修改，减少政治风险。2. 网站防毒由于银行网银系统WEB服务器被SSL安全网关保护，又经过入侵防御，系统内操作系统基本上是UNIX或Linux。不会有病毒从外网侵入。为提高网银系统安全性，在二期考虑增加防毒墙设备，部署在WEB服务器前，IPS后，进一步增加系统防病毒能力。 业务安全控制设计网上银行系统通过安全代理服务器，防火墙，等系统来保证系统的安全性，以及通过负载均衡来保证系统的高可用性。网上银行系统本身还需要从业务功能的角度来保证网上银行业务的安全性。主要从以下几个方面来保证： 严格的用户权限管理机制，灵活的用户角色划分和管理 多维的交易权限管理机制，企业关键交易提供多重组合授权功能。 涉及账务的关键交易要求做数字签名。 完备的交易日志和操作日志。i. 登录控制个人网银客户使用登录ID、登录密码和验证码进入个人网银系统。对于密码过于简单的客户强制要求用户修改电子银行密码。企业网银客户使用安全证书、登录ID、登录密码和验证码进入企业网银系统。登录日志中记录客户访问系统的远程IP地址和时间等详细信息，可以统计客户访问系统的次数。对于应用系统登录页面，会产生图形格式的随机附加码，用户在输入认证信息后，还需要输入此附加码方可登录系统，防止用程序恶意破解密码。系统还对客户登录密码输入次数进行记录，如果客户密码输入次数累计达到一定的值，系统会自动将此客户冻结，防止恶意攻击。ii. 会话管理（Session）网上银行系统与应用服务器的会话管理结合，实现多种会话的建立和管理，让不同的会话采用统一的管理机制。以及动态负载均衡状态下的会话数据同步。同时实现会话的超时管理，有效防范避免黑客使用已经失效的会话攻击系统，同时防止垃圾会话数据占用内存，影响系统性能甚至使系统无法工作。网银系统中登录的每一个客户都会有唯一Session用于保存客户在运行期内的主要信息，以供客户交易时使用，在客户退出系统时失效；同时，为避免过多的占用系统资源，以及从安全的角度考虑，系统中未使用的Session（因客户操作不当造成）在存在一定时间后会失效。Session管理包括：Session建立，Session超时处理，Session清理。1. Session管理机制系统会在客户登录成功之后为其在应用服务器内存中建立Session，在客户后续的交易请求中，系统不断检查内存中Session的有效性，如果Session失效（没有、超时或被人窜改），则交易请求是非法的，系统不予接受。2. Session超时处理Session超时处理包括两部分：Session时间戳重置，Session超时检查。Session时间戳重置是指在有新的交易请求提交到交易平台时，系统首先检查Session是否超时，如果未超时，则重置Session的时间戳，继续后续操作；否则，执行Session超时处理，向客户返回超时信息。Session超时检查是指为防止垃圾Session的在内存中堆积而占用系统资源，系统通过后台线程定时检查超时Session，并将其从内存中清除，从而释放系统资源。3. Session实时检查网上银行系统里各种复杂交易流程都是通过交易步骤的形式参数化配置到XML文件中去的。网上银行交易请求发送到交易平台时，在每个交易的配置定义中，第一个交易步骤必须是Session检查交易步骤，来检验Session有效性。当交易请求不是直接发送到交易平台，而是通过发送到JSP页面来完成交易时，在响应请求的JSP页面头部也有加入Session检查代码，来检验Session有效性。iii. 用户角色管理网上银行系统对使用该系统的各子系统的不同类用户进行统一的角色划分。每一种角色都分配给对应该角色权限的功能组合。登录网上银行的用户都有确定的角色，根据自己所属角色得到权限范围内的网上银行功能菜单。这样就能把属于不同角色的客户权限严格分开。系统用户以后把交易请求发送到交易平台后，首先进行session校验，在校验通过后即进入权限校验的交易步骤。在该环节主要是根据用户所属角色和功能过滤情况判断该用户是否有操作该交易的权限。iv. 用户权限设置个人网银子系统用户需要设定单笔转账限额和每日转账限额，通过设定限额的方式来减小个人转账带来的风险。对公网银子系统的操作员的用户分为提交人和授权人。提交人有指令提交的权限，授权人没有指令提交的权限，授权人可以对指令进行授权操作。客户可以设置每笔转账的最大限额和客户账户一天的最大转账限额。v. 交易的提交签名和多级批复机制当有提交转账交易的操作员提交转账交易时，系统通过安全代理，要求用户数字签名，用户输入证书密码后，安全代理对需要签名的数据（服务器端指定）签名后传回服务器。只有通过签名验证的交易才能被确定。vi. 批量指令的签名提交和多级批复机制与一般转账交易的处理流程类似，如果采用安全代理服务器，则需要用户自己对批量文件通过所提供的批量签名程序进行签名。签名后，由具有批量提交权限的用户传递到网上银行系统，等待具有批量批复权限的用户进行批复。vii. 银行内部管理交易的授权对于银行内部管理交易中的关键交易，提交时需要授权柜员输入授权柜员号和授权密码； viii. 可疑日志查询银行内部管理的柜员可以登录网上银行内部管理系统，查询可疑的日志，可疑日志的记录类型包括密码连续输入错误导致用