电子银行系统安全技术方案.pdf

信息系统安全技术方案应在信息系统安全策略的指导之下完成， 其具体的内 容包括： 1 信息系统建设的背景、目的及依据信息系统建设的背景、目的及依据 近几年来，网上银行系统在银行信息系统中发挥的作用越来越大，在扩展客 户数量，降低运营成本方面的效果非常显著，各家银行纷纷将网上银行渠道作为 银行业务变革的第二战场，在该领域展开激烈的市场竞争。xxxxx 市 xxxx 应对当前电子银行业的高速发展和激烈竞争，特别成立了专门的电子银行部，统 一管理电子银行交易渠道的建设和运营，与全行的整体发展策略保持一致，并充 分利用网上银行跨地区、全天候的特性，发扬“小银行，大网络”的优点，采用 当前成熟的技术、规划先进的具有鲜明 internet 特点的网上银行业务功能，进而 提出建设网上银行系统。 本期网银系统的建设， 目的主要在于梳理网上银行与各后台系统及现有网银 之间的关系，采用成熟技术，搭建网银交易新平台，支持业务快速实现，能为网 上银行并行开发，滚动发展提供了技术基础。同时，将传统的柜面交易服务发布 的 internet 上，建立起整个电子银行业务的发展、营销、管理服务体系，打出 xxxxxxxxx 的电子银行品牌。 1.1 性能指标性能指标 网银应用系统性能主要表现在系统的可靠性，吞吐性能，可扩展性能，负载 均衡能力，系统伸缩能力等。 1.1.1 安全可靠性安全可靠性 网银系统提供多种应用安全机制，如数据访问控制和分类保护机制、数据加 密机制、数据完整性机制、数字签名机制等，充分保证应用的安全性。 pdf created with pdffactory pro trial version 另外，网银系统高度的可靠性，保证网络系统中各主机应保证每天 24 小时 正常运行， 并保证系统在访问高峰期能做到正常工作且快速响应。 系统提供数据、 进程的备份和恢复机制，防止各种可能的问题造成损失。 1.1.2 吞吐性能吞吐性能 为了确保系统的负载均衡（lb）处理和高可用性（ha），构建应用服务器 与数据库服务器群集部署，需要额外配置一磁盘阵列。群集部署既能充分保证网 银系统具有强劲的处理能力，又能在系统关键处理环节上避免单点故障，充分考 虑到网银系统 724 小时的系统运行特征，同时兼顾网银系统不断发展的业务 特点，能够应对不断增长的业务功能要求和系统性能要求。 1.1.3 可扩展性可扩展性 基于组件技术的 liana 具有良好的可扩展性。将业务处理逻辑进行提炼，把 共同模块提炼出来，抽取形成网银中通用的技术组件和业务组件。同时针对网银 交易流程的特点，抽取形成了原子交易库、交易模板库和丰富的业务应用组件， 形成了前端渠道系统的公共组件。由此带来良好的系统可扩展性： l 丰富的通用技术组件以及业务应用组件加快了网银渠道产品和金融服务 的开发和推广 l 高度参数化与最大可重用性使应用系统的开发可以做到便捷、快速和有 效 l 易于扩展的系统体系结构使得网银具有横向和纵向扩展能力 l 基于 liana 之上的网银具有最小代价的跨平台实施的能力，从而为系统 在硬件可扩展性上具备先天条件。 1.1.4 开放性开放性 应用系统方案中采用的 j2ee、xml、组件技术、应用服务器技术包括通讯 方式都符合开放的标准，所以无论在系统设计、开发以及投产，都能够与其他系 统进行顺利的协同工作。 pdf created with pdffactory pro trial version 1.1.5 动态负载均衡能力动态负载均衡能力 采用多台 j2ee 应用服务器通过负载均衡技术共同提供服务只是从系统结 构和应用服务器的角度提供了系统的高可用性， 方案从业务应用系统内部提供动 态负载均衡能力的支持，包括不同应用服务器间的数据的同步，应用动态数据的 同步等。 1.1.6 灵活的系统伸缩能力灵活的系统伸缩能力 网银系统基于 j2ee 标准体系架构设计，通过使用 j2ee 负载均衡处理技术，可以对系 统的处理能力通过简单的添加硬件服务器完成，网银技术平台充分考虑这种扩展方式， 从技术架构上进行支持，不需要修改原有的业务系统。 安全功能：安全功能： 系统安全系统安全 1.1.7 应用层安全应用层安全 网银系统的安全首先要建立一套安全应用体制，即 pki 证书体制。xxxxx 商行 网银采用 cfca 的数字证书认证体系，自建 ra 的方式。 1.1.8 网络层安全网络层安全 网银安全系统中，除了采用安全通信和数字签名等技术外，网络层的安全技术也 十分重要。在本方案中网络层的安全防护主要是通过防火墙，防病毒，入侵检测等安全 技术，保障整个网银系统的网络层安全。 网络层安全集成主要的建设内容是网络安全基础设施的部署，包括安全区域的合 理划分，为实现网络层安全而实施的防火墙、入侵检测、流量检测、完整性保护系统、 防病毒网关等安全产品和安全技术。 典型的网络层安全需要考虑如下问题： l 需要建立防火墙用以对网络各区域进行逻辑隔离。 pdf created with pdffactory pro trial version l 需要使用 vlan 划分不同网段，对关键服务器进行分组安全隔离。 l 需要建立入侵检测系统随时监视网络入侵行为，阻断入侵行为并报警。 l 需要建立全网防病毒系统，保护重要服务器和工作站不受病毒侵害，构成统一整体，但 在病毒的管理方面实行分散管理， 需要在 internet 出口处建立防病毒网关， 防御 internet 病毒对网银系统内部的侵害。 l 在主干交换机实施流量检测系统，监视主干交换机上的百兆以太模块实时数据流量。 l 对网络设备制定安全保护策略。 防火墙（防火墙（firewall） 防火墙保护是网络安全性设计中重要的一环，本方案建议采用多层次的防火墙保 护方案提高系统安全性， 即限制外部对系统的非授权访问， 也限制内部对外部的非授权 访问， 同时还限制内部系统之间特别是安全级别低的系统对安全级别高的系统的非授权 访问。防火墙系统屏蔽所有常用的网络访问如 telnet, ftp，smtp,pop3，rpc，nfs 等。 各安全层次之间须采用不同类型的防火墙。每个安全层次在一个子网上，安全策 略不尽相同，使得网络系统具备很强的防范能力。 网银安全系统的每层防火墙设备建议采用双机热备模式。 入侵检测（入侵检测（ids） 在网银安全系统的入侵检测系统设计中， 建议入侵检测系统采用一级监控的方式， 在网银安全系统部署一个 ids 控制中心，可以为管辖的整个网络环境制定统一策略， 增加安全监测事件，同时接受报警事件报告，这样可以有效全面的对系统的安全隐患、 黑客入侵、安全事故进行很好的监视控制。 通过使用入侵检测系统，可以做到： l 对网银安全系统的网络边界点的数据进行监测，防止黑客的入侵； l 对网银安全系统的网络的数据流量进行监测，防止入侵者的蓄意破坏和篡改； pdf created with pdffactory pro trial version l 监视网银安全系统网络内部用户和系统的运行状况， 查找非法用户和合法用户的越权操 作； l 对用户的非正常活动进行统计分析，发现入侵行为的规律； l 实时对检测到的入侵行为进行报警、阻断，能够与防火墙联动； l 对关键正常事件及异常行为记录日志，进行审计跟踪管理。 1.1.9 系统层安全系统层安全 系统层安全是针对运行网银系统的操作系统和数据库等软件平台进行安全防护， 其主要采用的措施如下： l 安装系统的安全补丁（patch） 。 l 关闭不需要的进程服务和端口。 l 使用漏洞扫描产品，定期进行安全扫描及时发现问题并采取补救措施。 l 审计系统设置配置，避免因配置不当造成的权限管理混乱。 2、应用系统安全、应用系统安全 1.1.10 安全代理服务器安全代理服务器 网上银行系统采用安全代理服务器的方式，在客户端和网上银行服务器间建立一 个安全的 ssl 数据通道。实现用户的证书双向身份认证和数据的签名和加密。以最大 程度的保护交易系统的安全。通过这种方式，只有持有证书的用户（包括企业客户和个 人签约客户） ，才能登录到网上银行系统进行交易。 安全代理服务器被放在停火区内，为 web 服务器提供安全的数据通道。 使用证书的用户采用 ca 中心颁发的数字证书作为身份证明，通过网银的安全代 理服务器进入到网银系统环境来。 安全代理服务器提供服务器证书， 提供 ssl 连接， 自动下载 crl （证书作废列表） 信息等功能。 pdf created with pdffactory pro trial version 1.1.11 统一身份认证统一身份认证 证书的申请者经过审批，会得到自己的数字证书、私有密钥和保护私有密钥的口 令。 用户登录网上银行系统时， 需和服务器进行双向身份认证， 这一过程需要数字证书、 私有密钥以及保护私有密钥的口令共同参与。 1.1.12 交易签名与验证交易签名与验证 网上银行系统用合作安全厂商的产品完成对关键数据与文件的签名和验证的过 程。当用户进行需要交易签名的业务操作（如：转账、缴费等）时，网上银行将要求用 户用自己的数字证书进行签名，以保证交易的不可否认性。 1.1.13 用户端安全用户端安全 当前网上病毒猖獗，而客户大多缺乏网络安全知识与病毒防范意识，使得网上银 行在客户端方面出现重大的安全隐患。 随着网上银行交易的普及， 攻击网上银行系统的 病毒也开始出现，如目前流行的“网银大盗” 、 “酷客变种 i(qukart.i)”都是针对网上银 行系统， 骗取客户的银行账号与密码。 如何有效地避免恶意的黑客程序截取用户输入的 敏感信息和关键交易， 防止用户密码泄露或资金流失， 从而提高网上银行用户端的安全 性将是保证客户安全使用网上银行的一个重要环节。 安全客户端控件安全客户端控件 xxxxxliana 安全客户端控件，是由 xxxxx 公司自主开发的安全成果，能有效 的防治像“网银大盗”等木马程序与黑客病毒盗取网上银行用户敏感信息，保护客户使 用网上银行的安全。可应用于个人普通用户、个人注册用户、对公用户等。 该控件在客户端浏览器载入 web 页面时下载至客户机运行。界面呈现上与普通文 本输入框相同， 在安全性保证上主要表现为： 每次获得焦点时会在系统的键盘钩子队列 首添加一个键盘信息截获程序， 以此保证敏感信息首先传送到该控件处理； 用户输入的 信息只存放在控件内部私有变量中，无法通过外部手段获得；同时该控件通过 https 安全通讯协议将敏感信息传送到服务器端。 这一安全客户端控件能有效的防治像 “网银 大盗” 等木马程序与黑客病毒盗取网上银行用户敏感信息， 保护客户使用网上银行的安 pdf created with pdffactory pro trial version 全。 1.1.14 bea weblogic 应用服务器安全应用服务器安全 bea weblogic 具有适应性强的安全架构。安全管理员无须应用编码，就能设计和 实施实时、现实的运行时安全策略。 l 安全服务 bea weblogic server 向所有的应用和组件，提供功能齐全的安全服务- - 先进的认 证、授权、审核和加密功能。 l bea weblogic 安全框架 bea weblogic 从业务逻辑中去除了安全代码，让容器去保证应用的安全，从而解 决了保证应用安全方面的难题。 l 安全策略 通过其动态脚色映射和利用授权策略引擎， bea weblogic server 允许根据实际情 况实时创建和处理安全策略与角色，因此，创建的安全策略强大而灵活。 l 与第三方安全解决方案间的互操作性 bea weblogic 安全框架支持即插即用，因此，允许外来安全解决方案管理 bea weblogic 资源。 l 支持 ssl 协议。 3、业务安全控制、业务安全控制 1.1.15 登录控制登录控制 个人网银客户分为签约客户和非签约客户两类。签约客户使用安全证书、登陆 id 和登陆密码进入个人网银系统。非签约客户使用注册的卡/账号、身份证件类型和号码、 电子银行密码进入我行个人网银系统。 pdf created with pdffactory pro trial version 企业网银客户分使用安全证书、登陆 id 和登陆密码进入个人网银系统。 非签约客户首次登录时进行密码简单性校验，对于密码过于简单的客户强制要求 用户修改电子银行密码。 登录日志中记录客户访问系统的远程 ip 地址和时间等详细信息，可以统计客户访 问系统的次数。 对于不使用证书登录的应用系统登录页面，会产生图形格式的随机附加码（该功 能可由银行选择使用） ，用户在输入认证信息后，还需要输入此附加码方可登录系统， 防止用程序恶意破解密码。 系统还对客户登录密码输入次数进行记录，如果客户密码输入次数累计达到一定 的值（具体值由银行设置） ，系统会自动将此客户冻结，防止恶意攻击。 1.1.16 会话管理（会话管理（session） xxxxx 公司 liana 网上银行系统与应用服务器的会话管理结合， 实现多种会话的 建立和管理， 让不同的会话采用统一的管理机制。 以及动态负载均衡状态下的会话数据 同步。同时实现会话的超时管理，有效防范避免黑客使用已经失效的会话攻击系统，同 时防止垃圾会话数据占用内存，影响系统性能甚至使系统无法工作。 网银系统中登录的每一个客户都会有唯一 session 用于保存客户在运行期内的主 要信息，以供客户交易时使用，在客户退出系统时失效；同时，为避免过多的占用系统 资源，以及从安全的角度考虑，系统中未使用的 session（因客户操作不当造成）在存 在一定时间后会失效。session 管理包括：session 建立，session 超时处理，session 清 理。 session 管理机制管理机制 系统会在客户登录成功之后为其在应用服务器内存中建立 session，在客户后续的 交易请求中，系统不断检查内存中 session 的有效性，如果 session 失效（没有、超时 或被人窜改） ，则交易请求是非法的，系统不予接受。 pdf created with pdffactory pro trial version session 超时处理超时处理 session 超时处理包括两部分：session 时间戳重置，session 超时检查。 session 时间戳重置是指在有新的交易请求提交到交易平台时，系统首先检查 session 是否超时，如果未超时，则重置 session 的时间戳，继续后续操作；否则，执行 session 超时处理，向客户返回超时信息。 session 超时检查是指为防止垃圾 session 的在内存中堆积而占用系统资源，系统 通过后台线程定时检查超时 session，并将其从内存中清除，从而释放系统资源。 session 实时检查实时检查 网上银行系统里各种复杂交易流程都是通过交易步骤的形式参数化配置到 xml 文件中去的。网上银行交易请求发送到交易平台时，在每个交易的配置定义中，第一个 交易步骤必须是 session 检查交易步骤，来检验 session 有效性。 当交易请求不是直接发送到交易平台，而是通过发送到 jsp 页面来完成交易时， 在响应请求的 jsp 页面头部也有加入 session 检查代码，来检验 session 有效性。 1.1.17 用户角色管理用户角色管理 网上银行系统对使用该系统的各子系统的不同类用户进行统一的角色划分。每一 种角色都分配给对应该角色权限的功能组合。 登录网上银行的用户都有确定的角色， 根 据自己所属角色得到权限范围内的网上银行功能菜单。 这样就能把属于不同角色的客户 权限严格分开。 角色的划分以及角色对应功能的分配都可以由系统管理员灵活定制。另外各级管 理柜员（内部管理子系统的管理柜员）或企业管理员（对公网银子系统的企业管理员） 还可以对自己有权管理的网银用户进行基于角色的功能过滤， 即在每个用户所属角色对 应的功能组的基础上，进一步进行个性化的功能过滤。 系统用户以后把交易请求发送到交易平台后，首先进行 session 校验，在校验通过 后即进入权限校验的交易步骤。 在该环节主要是根据用户所属角色和功能过滤情况判断 pdf created with pdffactory pro trial version 该用户是否有操作该交易的权限。 1.1.18 用户权限设置用户权限设置 个人网银子系统用户需要设定单笔转账限额和每日转账限额，通过设定限额的方 式来减小个人转账带来的风险。 对公网银子系统的操作员的用户分为提交人和授权人。 提交人有指令提交的权限， 授权人没有指令提交的权限， 授权人可以对指令进行授权操作。 客户可以设置每笔转账 的最大限额和客户账户一天的最大转账限额。 1.1.19 交易的提交签名和多级批复机制交易的提交签名和多级批复机制 当有提交转账交易的操作员提交转账交易时，系统通过安全代理，要求用户数字 签名，用户输入证书密码后，安全代理对需要签名的数据（服务器端指定）签名后传回 服务器。只有通过签名验证的交易才能被确定。 企业网上银行支持多人多级授权方式， 可以适合不同企业不同的的财务授权制度。 企业客户开户时，需指定授权方式，即指定授权的级数和每一级授权的人数。同 一企业使用同一种授权方式。 同一级授权人授权无先后顺序， 不同级别的授权人授权有 先后顺序（一级、二级、三级依次进行授权） 。同一个人不能对同一笔指令重复授权。 提交人提交指令时，如果提交指令的金额不超过（小于或等于）提交人的基本限 额，指令不需授权就由系统进行发送处理；如果提交指令的金额超过（大于）提交人的 基本限额，指令等待授权人授权。 系统提供灵活的批复机制定制功能，特殊业务客户可自行制定授权的先后顺序， 如可优先进行组合授权。 1.1.20 批量指令的签名提交和多级批复机制批量指令的签名提交和多级批复机制 与一般转账交易的处理流程类似，如果采用安全代理服务器，则需要用户自己对 批量文件通过所提供的批量签名程序进行签名。 签名后， 由具有批量提交权限的用户传 递到网上银行系统，等待具有批量批复权限的用户进行批复。 pdf created with pdffactory pro trial version 1.1.21 银行内部管理交易的授权银行内部管理交易的授权 对于银行内部管理交易中的关键交易，网上银行系统提供两种授权模式，一种是 柜员提交时需要授权柜员输入授权柜员号和授权密码； 另一种模式是柜员提交后， 需要 授权柜员登录网上银行内部管理系统，对柜员提交的指令进行批复。 1.1.22 关键信息加密存储关键信息加密存储 系统对所有关键信息（如密码） ，都以加密成密文进行存储，防止内部柜员读取关 键信息明文。 1.1.23 支付指令核押支付指令核押 对于每一笔支付指令，系统都根据指令关键信息生成一个支付密码串，供后台系 统核押，有效防止内部人员伪造支付指令。 1.1.24 应用访问控制应用访问控制 系统只开放提供用户访问的接口，而且通过接口只能完成系统提供的功能，有效 防范黑客请求。 1.1.25 日志审计日志审计 xxxxx 公司 liana 网上银行系统具有完备的日志审计功能。用户每次登录、退出 及用户的每次交易都会产生一个完整的审计信息， 并进行记录。 这样就方便日后的查询、 核对等各项工作。 2 信息系统的设计描述信息系统的设计描述 3.1 描述业务应用功能的概要设计； 网银系统的概要设计主要包括如下几个部分： l 系统拓扑结构设计 pdf created with pdffactory pro trial version 主要是梳理网银系统和其他外围业务系统的通讯关系和角色关系， 整理网络 拓扑和典型数据流程。 l 系统数据库设计 l 业务功能 usecase 用例设计 按照需求分析阶段确定的系统业务功能需求进行用例分析。 3.2 描述信息系统的主要业务信息及相关信息和相互联系，并描述这些信息 按敏感程度的分类和处理原则，为此需要： n 按业务类型列出主要的信息 n 列出除业务信息外的其他重要信息（如网管指令信息、性能控制信 息、安全控制信息、重要系统配置信息等） n 说明上述信息所存在的相互关系 n 用不同的图表来描述上述信息在整个信息系统中的信息流流向，并 将不同类别信息的产生、传输、存储所涉及的设备分别进行说明 3.3 详细描述业务应用功能的应用支撑平台设计，并描述与业务应用功能设 计是如何衔接的； 见liana 技术特性介绍 3.4 描述信息系统的支撑网络设施及产品，为此需要： n 给出评估范围内系统的详细网络拓扑结构图，其中包括所有主要的 服务器、通信及交换设备、安全设备及终端，明确标识各种设备的 名称及内外部 ip 地址，如网络比较复杂，可分段描述或辅以相应的 表格补充说明 n 从产品角度简要描述构成信息系统的支撑网络基础设备、服务器等 3.5 描述信息系统的性能设计，为此需要： n 描述信息系统的外部接口（包括不同层次的接口，如物理接口、应 用接口等） ，在需要时应用图表来辅助描述 n 描述信息系统的性能设计，包括各接口的性能设计 3.6 在上述基础上，描述信息系统的安全设计，为此需要： n 对 3.1 所描述信息按敏感程序进行分类分级，并说明处理原则 n 在 3.4 的基础上，并考虑上一条要求来描述信息系统的安全域划分。 pdf created with pdffactory pro trial version 这里安全域即安全策略覆盖的逻辑范围或区域，是安全策略覆盖的 逻辑范围或区域。 n 从信息系统的各个逻辑层次（网络基础设施层次、操作系统层次、 应用支撑平台层次、应用逻辑层次）以及系统的逻辑部署结构（即 系统的网络拓扑逻辑结构）来描述信息系统的安全功能及安全技术 设计，这些安全功能及安全技术设计应包括或覆盖以下安全机制： 1) 标识和鉴别标识和鉴别 标识和鉴别涉及建立和验证所声称身份的功能。这些功能要求确保 用户与正确的安全属性（如身份、组、角色、安全或完整性等级）相关 联。具体包括： 标志 用户属性定义 鉴别 鉴别失败处理 对秘密执行质量量度 2) 安全审计安全审计 安全审计包括识别、记录、存储和分析那些与安全相关活动（如， 由信息系统安全策略控制的活动）有关的信息。检查审计记录结果可用 来判断发生了哪些安全相关活动以及哪个实体要对这些活动负责。具体 包括： 安全审计数据产生 入侵标识分析 安全审计查阅 安全审计事件选择 安全审计事件存储 操作攻击及脆弱性分析和纠正 3) 通信通信 通信要确保在数据交换中参与方的身份，既确保发起者不能否认发 送过信息，又确保收信者不能否认收到过信息。即包括： pdf created with pdffactory pro trial version ww