（计算机科学与技术专业论文）银行卡系统安全技术研究及其实现.pdf

摘要 y 5 1 5 2 8 9 银行卡系统以银行卡为媒介，实现全国各银行网络资源共享，客户储蓄资金全 国范围内的通存通兑，使银行卡持卡人能够在全国联网的任一台a t m ( 自动取款 机) 上查询帐户、提取现金，在任一台p o s ( 销售终端) 上实现查询帐户、购物 消费，在任一储蓄营业网点做存取款、转帐交易，并对客户的资金进行实时帐务处 理。陔系统的安全是一个错综复杂的问题，涉及面很宽。威胁系统安全的因素很 多，有自然灾害、各种故障以及无意或有意的破坏等。为了保障银行卡业务的安全 运行、确保国家、银行和客户的利益免受损失，从安全体系的高度全面研究银行卡 系统安全问题十分必要。 本文通过讨论计算机系统安全问题，在对某银行银行卡系统安全需求分析的基 础上，提出了该银行银行卡系统安全体系框架，从安全组织、安全管理和安全技 术三个方面全方位建设银行卡系统安全体系。安全技术体系从网络安全、主机安 全、生产运行安全、数据安全各方面论述安全功能和安全机制。从而达到安全目 标：防范银行卡系统中各交换中心之间通过广域网络侵入系统，防范各交换中心的 内部局域网侵入系统，防止交换中心主机节点的非法侵入，防范交换中心主机系统 资源的非授权访问，防止银行卡端节点的非法侵入。 本文着重从技术角度出发，针对银行卡系统的安全需求，系统论述解决银行卡 系统安全的一些关键技术和实现方法，在主机安全方面论述了银行卡系统中关于主 机平台的安全策略及其技术实现，主要包括：主机用户群的分组原则和身份验证安 全控制机制、系统资源的分类及其访问控制机制、主机系统中与安全关联的事件 的安全审计系统的设计和实现。银行卡系统应用软件的安全策略和安全机制的实 现，包括：联机处理部分的安全机制及其实现、系统管理部分的安全机制及其实 现、批处理部分的安全机制及其实现、通信程序的安全机制及其实现、文件系统 的安全机制及其实现。银行卡系统的网络报文传输的安全策略及其实现，将信息安 全理论和技术特别是密码理论和技术融于银行卡系统的实际应用之中，如客户p i n 的加密、报文鉴别m a c 、密钥管理系统。以防止未授权的读取报文信息，保障报 文的机密性。防止未授权的变更报文信息内容，以保障报文的完整性。防止来自伪 造的网络节点的报文，以保障报文来源的真实性。 关键词：银行卡系统，安全机制，密钥管理，安全审计 2 a b s t r a c t t h es y s t e mo ft h eb a n k sc r e d i tc a r da n dd e b i tc a r d ，c a l l e da ss a b c c d c ， r e l i e so nb o t ht h en e t w o r ka n dt h em e d i u mo fc r e d i ta n dd e b i tc a r d s i t a i m st or e a l i z es h a r er e s o u r c e so ft h en e t w o r ka n dag o o de n v i r o n m e n to f d e p o s i t i n ga n dc a s h i n ga n y w h e r e o n ep e r s o nw h o h a sac r e d i tc a r do rd e b i t c a r dc a nq u e r yh i sa c c o u n ts t a t u so rc a s ha ta n ya t m ( a u t o m a t e dt e l l e r m a c h i n e ) w h i c h c o n n e c t st ot h en e t w o r k o n ep e r s o nw h oh a sac r e d i tc a r d o rd e b i tc a r dc a n q u e r yh i sa c c o u n ts t a t u so rp a y a ta n yp o s ( p o i n t 0 f - s a l e1 w h i c hc o n n e c t st ot h en e t w o r k o n ep e r s o nw h oh a sac r e d i tc a r do rd e b i t c a r dc a n q u e r y h i sa c c o u n ts t a t u so rd e p o s i to rc a s ho rt r a n s f e rf o u n da ta n y f r o n tt e r m i n a lo ft h en e t w o r k t h es e c u r i t yo ft h es y s t e mi sac o m p l e x p r o b l e ma n dh a sr e l a t i o n s h i pw i t hm a n ys i t e s t h ea l m o s tf a c t o r sw h i c h c a u s es e c u r i t yp r o b l e ma r ec a t a l o g e di n t ot w om a i ns i d e s t h ef i r s to n ei s i n v a s i o nt od e s t r o yn e t w o r ka n di n f o r m a t i o n t h es e c o n do n ei sc o m m i t t i n g ac r i m eb y c o m p u t e r o n ed i s c u s s i o na r e ap r o v i d e db yt h i sp a d e ri st h ei s s u eo fc o m p u t e rs y s t e m s e c u r i t y o n es e c u r i t ya r c h i t e c t u r ef l a m eo ft h eb a n k sc r e d i tc a r da n dd e b i t c a r di sp r o v i d e do nb a s i so ft h er e q u i r e m e n ta n a l y s i so ft h es e c u r i t yo ft h e b a n k sc r e d i tc a r da n dd e b i t t h es e c u r i t ya r c h i t e c t u r ef r a m eo ft h eb a n k s c r e d i tc a r da n dd e b i tc a r di sc o n s t r u c t e df r o mt h r e ea s p e c t s o n eo ft h et h r e e a s p e c t si ss e c u r i t yo r g a n i z a t i o n t h eo t h e r so ft h et h r e ea s p e c t sa r es e c u r i t y m a n a g e m e n t a n d s e c u r i t yt e c h n o l o g y t h e a r c h i t e c t u r eo f s e c u r i t y t e c h n o l o g ye x p l a i n sb o ms e c u r i t yf a c i l i t ya n ds e c u r i t ym e c h a n i s mf r o ma l l a s p e c t si n c l u d i n gc o m p u t e rn e t w o r k ，h o s t ，p r o d u c t i o nr u n n i n ge n v i r o n m e n t a n dd a t as e c u r i t ys ot h a tt or e a l i z et h es e c u r i t yp u r p o s et h a ta r et op r o t e c tt h e n e t w o r kw h i c hc o n n e c t se v e r ys w i t c hc e n t e ro ft h es a b c c d ca g a i n s t a t t a c k ，p r o t e c ti n t r a n e tw i t l l i ne v e r ys w i t c hc e n t e rf r o mi n v a s i o n p r o t e c th o s t f r o mi n v a l i d l o g o n a n da c c e s s r e s o u r c e ，p r o t e c t t e r m i n a l sf r o m b e i n g a t t a c k e d ，i n j u r e d ，o rd a m a g e d f r o mav i e wo f t e c h n o l o g y ，t h ek e yp o i n tt e c h n o l o g ya n d r e a l i z a t i o nm e t h o d o ft h es o l u t i o nt h a tp r o t e c tt h es a b c c d cf r o mb e i n gd a m a g e d ，a t t a c k e d ， c h a n g e d ，o ri n j u r e d a r ep r o v i d e d t h es e c u r i t y p o l i c ya n d r e a l i z a t i o nm e t h o d o fm a i n f r a m ep l a t f o r ms e c u r i t ya r ee x p a t i a t e d i ti n c l u d e st h ep r i n c i p l e so f t h e g r o u p i n go f u s e r si n t o c a t e g o r i e so nt h eb a s i so fs e c u r i t yp o l i c y ，t h e 3 m e c h a n i s mo fu s e ri d e n t i f i c a t i o na n d v e r i f i c a t i o n ，t h em e c h a n i s mo f a u t h o r i z a t i o n c h e c k i n g ，t h eg r o u p i n go fr e s o u r c e si n t oc a t e g o r i e so nt h e s e c u r i t yp o l i c y ，t h em e c h a n i s mo fa c c e s sr e s o u r c ec o n t r o l ，t h ed e s i g na n d r e a l i z a t i o no fs y s t e ma u d i t a b i l i t yo fs e c u f i t y r e l a t e de v e n t s ，t h ep o l i c ya n d r e a l i z a t i o no ft h ep r o g r a m m i n g p l a t f o r i l la n dp r o g r a m s t h em e c h a n i s ma n d r e a l i z a t i o no f t h ea p p l i c a t i o ns y s t e mt h a ti sc o n s i s t e do fr e a l l i n ep r o c e s s i n g a p p l l c a t i o ns y s t e mm a n a g e m e n t ，b a t c hp r o c e s s i n g ，f i l es y s t e m ，t h ep r o g r a m s o fc o m m u n i c a t i o n ，m e s s a g et r a n s m i t t i n go nt h en e t w o r ka r ed i s c u s s e d w e i n t e g r a t eb e t h t h e c o m p u t e ri n f o r r n a t i o ns e c u r i t yt h e o r ya n dt e c h n o l o g y e s p e c i a l l yf o rc r y p t o g r a p h yt h e o r ya n dt e c h n o l o g y w i t h p r a c t i c ew i t h i n t h e s y s t e mo f t h eb a n k sc r e d i tc a r da n dd e b i tc a r d ，s u c ha st h ee n c r y o t i o no f p i n ，m e s s a g ea u t h e n t i c a t i o nc o d e ( m a c ) ，a n d t h es y s t e mo f c r y p t o g r a p h i c k e y t h e s es e c u r i t ys e r v i c e sa n d m e c h a n i s m sc a l lg u a r a n t e et h es a f e t yo ft h e m e s s a g et h r o u g ht h en e t w o r k ，k e 印t h es e c r e tm e s s a g ef r o me x p o s u r e ， p r o t e c tt h em e s s a g ei n t e g r i t yf i o m 鳓l l g e r w i t h o u ta u t h o r i t y , a n d p r o t e c t t h em e s s a g ea u t h e n t i c i t yf r o mf o r g ec i p h e r t e x t k e y w o r d s ：t h ec r e d i tc a r da n dd e b i tc a r ds y s t e m ，s e c u r i t ym e c h a n i s m ，m a n a g e m e n t o f c r y p t o g r a p h i ck e y ，s e c u r i t ya u d i t 4 1 引言 现代计算机技术和网络通信技术的广泛应用，使世界金融业进入了电子信 息化时代。计算机以其快速、准确、便利的功能成为银行业赖以生存和发展的 基本条件。电子化已成为我国金融业改革与发展的重要组成部分，也是衡量其 现代化水平的重要标志。但金融电子化正面临严峻的安全挑战：一方面银行计 算机系统需要安全、可靠、可抗击各种故障、抵御自然和人为的破坏，另一方 面则面临“计算机犯罪”的威胁。 1 1 系统开发背景 随着我国金融体制改革的进一步深化和市场经济的不断发展，金融竞争越 来越激烈，为社会和客户提供全方位的服务成为提高银行服务水平和加强银行 自身竞争力的关键。以银行卡为主体的金融交易卡的广泛发行和使用，是一个 国家或地区金融、投资、零售、计算机、通信和社会管理水平高度发展的标 志。它不仅取决于发卡量、发卡银行系统、特约商户和广泛分布的银行终端， 而且必须依靠完备的银行卡互联网络。只有通过银行卡的互联网络，将不同银 行、不同地区、不同国家的银行卡终端和银行主机系统联成一体，才能形成一 个覆盖全球的广泛、便捷、可靠的服务网络，使银行卡真正成为社会经济生 活、特别是消费和零售行业的主要支付手段。促进经济发展、科学进步、改善 人民生活水平。实现金卡工程的战略目标，“一卡在手，走遍天下”。 银行卡系统是某商业银行1 9 9 9 - - 2 0 0 1 年信息电子化建设的一项重点工程， 是面向二十一世纪计算机综合网络规划中的关键一步，它以省级分行为依托， 以银行卡为媒介，实现全国行内网络资源共享，客户储蓄资金全国范围内的通 存通兑。该系统的建立，使银行卡持卡人能够在全国联网的任一台a t m ( 自动 取款机) 上查询帐户、提取现金，在任一台p o s ( 销售终端) 上实现查询帐 户、购物消费，在任一储蓄营业网点作存取款、转帐交易，并对客户的资金进 行实时帐务处理。该系统的投产起到了全国某商业银行网络枢纽的作用，加快 了银行客户资金的清算速度，减少现金的流通量，增强银行的综合竞争力，具 有极大的经济效益和社会效益。同时，该系统的建立为我行信息交换业务的发 展奠定了扎实的基础，对实现某银行现代化管理，保证总行实施宏观调控，起 到十分积极的作用。 银行卡系统互联网络不仅是个跨银行、跨地区、跨国家的复杂的银行业 务系统，而且是一个不同计算机机型、不同通信网络协议的异构网络。所以银 行卡系统互联网络的安全性，较一般的金融系统要复杂。任何一个局部的疏 忽、都可能使堡垒洞开，令其他方面的努力付诸东流。在全面的研究银行卡系 统的特点的基础上，认为与银行卡系统有关的金融计算机犯罪的特点，主要表 现在两个方面：一是来自外部的非法侵入、盗窃银行或者客户的资金，获取客 户信息和银行机密，甚至破坏计算机网络和信息系统，造成应用系统的瘫痪， 给银行的信誉和社会形象造成恶劣的影响。二是来自内部的非法攻击、伪造帐 户、转移资金、编制金额，盗窃银行或者客户的资金，擅自修改系统流程，获 取客户信息和银行机密，直接危威胁银行卡系统的生存。为了保障银行卡系统 的稳定运行，保护银行和客户的资金不受损失，必须从网络安全、主机安全、 应用安全、报文安全、生产运行安全管理、数据安全等各方面系统全面地构建 银行卡系统的安全防护体系。 1 2 系统目标 银行卡系统的设计目标是建立以某银行总行为一级信息交换中心，上连全 国银行卡中心，下连某银行所有省域交换中心( 二级信息交换中心) ，对外实 现银行卡的跨不同的发卡行的使用，对内实现行内的网络资源共享；解决银行 卡在全国范围内的通存通兑问题。 1 2 1 系统业务目标 银行卡的客户在全国联网城市行的任a t m ( 自动取款机) 、p o s ( 销售终 端) 或任一受理银行卡业务的网点可以办理如下业务： a t m 查询 a t m 取款 4 柜台取款 柜台存款 柜台查询 柜台取款撤消 柜台存款撤消 p o s 购物消费 p o s 退货 p o s 预授权 p o s 预授权完成及撤消 1 2 2 系统安全目标 银行卡系统安全的主要目标是保障系统的安全运行，保护银行和客户的利 益不受侵犯。包括： 防止交换中心之间的广域网络非法侵入 防止各银行卡交换中心局域网络非法侵入 防止交换中心主机节点非法侵入 防止银行卡终端节点非法侵入 客户机密信息p i n ，在任何地方，应以密文的形式存储和传输； 建立报文安全体系，防止未经授权的读取信息，以保障信息的机密性 防止未经授权的变更报文，以保障报文的完整性 防止来自非法或伪造的网络接点的报文，以保障来源的真实性。保障报 文授权的唯一性，防止抵赖事件； 1 3 银行卡系统现状 我国金融界目前的银行卡系统的报文安全处理与国际标准和规范尚有一定 的差距，尚没有国家标准可以依据。不仅缺乏硬件安全手段，而且在认识上存 在有误区，其主要的问题表现在以下若干方面： 缺乏完整的安全体系观念，未能从网络安全、主机安全、应用安全、报文 安全、生产运行安全管理、数据安全等各方面系统全面地分析和构建安全体 系。 缺乏完整的网络报文安全体系观念，缺乏全面的网络报文安全需求分析； 重外部攻击，轻内部作案；侧重与机密性安全，忽视报文完整性认证；注重密 码学算法，忽视密钥管理；重加密、解密操作，忽视密钥存储管理；使用固定 的工作密钥，缺乏密钥动态更新功能；采用主机软件方式实现安全处理：黑盒 子与应用系统之间以明文通信，难以防范内部作案。 没有完整的安全组织体系，计算机安全审计制度没有严格的执行。 因此，必须在全面研究计算机系统和安全问题的基础上，按照国际标准化 组织规定的安全标准，研究制定银行卡系统安全的完整解决方案，构建系统安 全体系框架。从安全组织、安全管理和安全技术三个方面全方位建设计算机系 统安全体系。 1 4 本论文目的及其内容 根据前面对银行卡系统安全需求与现状的分析，本论文的目的是：以银行 卡系统开发和研制为背景，以国际标准化组织规定的计算机安全理论为指导， 从一个银行主干业务系统安全控制的角度，系统地论述银行卡系统的安全体系 结构和关键技术，详细论述银行卡系统对主机平台的安全策略和技术实现方 法，银行卡系统对开发平台的安全策略和技术实现方法，银行卡网络报文的安 全策略和技术实现方法，探索适合某商业银行计算机安全体系的安全理论和实 现方法。 本文第二部分在对银行卡系统安全需求分析的基础上，提出了某商业银行 卡系统安全体系框架，从安全组织、安全管理和安全技术三个方面全方位建设 6 银行卡系统安全体系。安全技术体系从网络安全、主机安全、生产运行安全、 数据安全各方面论述安全功能和安全机制。从而达到安全目标：防范银行卡系 统中各交换中心之间通过广域网络侵入系统，防范各交换中心的内部局域网侵 入系统，防止交换中心主机节点的非法侵入，防范交换中心主机系统资源的非 授权访问，防止银行卡端节点的非法侵入。 第三部分着重从技术角度出发，针对银行卡系统的安全需求，系统论述解 决银行卡安全的一些关键技术和实现方法，在主机安全方面论述了银行卡系统 中关于主机平台的安全策略及其技术实现，主要包括：主机用户群的分组原则 和身份验证安全控制机制、系统资源的分类及其访问控制机制、主机系统中与 安全关联的事件的安全审计设计和实现，银行卡系统的开发平台的安全策略和 技术实现。 第四部分着重论述银行卡系统的应用软件的安全策略和安全机制的实现， 包括：联机处理部分的安全机制及其实现、系统管理部分的安全机制及其实 现、批处理部分的安全机制及其实现、通信程序的安全机制及其实现、文件 系统的安全机制及其实现。银行卡系统的网络报文传输的安全策略及其实现， 将信息安全理论和技术特别是密码理论和技术融于银行卡系统的实际应用之 中，如客户p i n 的加密、报文鉴别m a c 、密钥管理系统。以防止未授权的读取 报文信息，保障报文的机密性。防止未授权的变更报文信息内容，以保障报文 的完整性。防止来自伪造的网络节点的报文，以保障报文来源的真实性。 2 银行卡系统安全体系结构 银行卡系统是一个以总行为中心，连接省级分行计算机网络应用系统。在 全面研究计算机系统和安全问题的基础上，按照银行卡系统安全总体需求，研 究制定某商业银行银行卡系统安全的完整解决方案，构建该系统安全体系框 架。从安全组织、安全管理和安全技术三个方面全方位建设某银行银行卡系统 安全体系。 计算机系统安全包含两个主要内容，一是计算机系统及相关设备与介质的安 全，二是存于计算机系统及相关设备与介质中软件与数据的安全。计算机系统 安全体系是一个综合性的防范体系，涉及到如下方面的内容。 1 、环境安全。包括机房环境安全、存储环境安全、环境灾害防护、环境 防护设施。 2 、网络安全。包括网络通讯协议安全、网络管理平台安全、网络传输信 道安全、网络运行安全监督、网络路由控制安全、网络隔离安全、网 点合法性。 3 、主机安全。包括操纵系统选择，操作系统的安全等级；安全检测与验 收、安全跟踪与报告。 4 、软件的运行安全。包括软件平台和应用软件、版本管理安全、使用与 维护安全、安全稽核。 5 、操作安全。主要是操作权限安全、规范管理安全、岗位责任安全、操 作监督安全。 6 、数据安全。包括数据载体安全、数据密级安全、数据存储的备份安 全、存储信息的完整性。 7 、交易报文安全。包括报文的真伪性、完整性、来源可靠性。 8 、密码与密钥安全。包括加密算法强度、加密算法选用、密码算法启用 和退役管理、密钥管理原则制定、密钥生成、密钥保存及备份、密钥 传送与分配、密钥更新管理安全、密钥的注销管理安全。 2 1 银行卡系统安全体系组成 银行卡系统安全体系细分为安全组织体系、安全管理体系和安全技术体 系。( 见图1 ) 安全组织体系主要涉及计算机系统安全的组织结构，是针对银行管理体制 建立的从总行到基层支行，主管部门与相关部门有机结合的组织体系，是计算 机系统安全的组织保证。 安全管理体系是计算机系统安全管理工作的基础，是计算机系统安全的制 度保障体系。 安全技术体系是指充分运用高新技术，采用安全技术防范措施和技术安全 机制建立的现代化技术防范体系，是计算机系统安全的技术保障体系。 图1 ：银行计算机系统安全体系框 9 安全组织体系包括决策组织、日常管理机构和执行检查层次。安全管理体 系包括安全政策法规和安全管理制度两方面。安全技术体系包括计算机设备和 计算机机房等物理环境安全、系统平台安全、通信网络平台安全、应用平台安 全、系统技术管理和系统可靠性设计，系统可靠性主要包括数据可靠性和计算 机灾难备份。 2 1 1 安全管理体系 安全管理体系是计算机系统安全管理工作的基础，是计算机系统安全的制 度保障体系。制定保障计算机系统安全的有关运行环境、操作人员安全管理、 计算机硬件、计算机软件、计算机网络、数据、应用项目开发、系统操作等安 全管理规章制度。 a 系统安全管理 系统安全管理主要应包括如下内容： 1 、系统选型：选择达到相应安全等级的操作系统。 2 、访问控制：用户身份鉴别、用户口令检查、计算机系统资源的访问控 制。 3 、运行安全：建立正确的安全运行机制、实旌正确的安全运行管理。 4 、备份安全管理：确认备份的有效性与完整性、确认备份的可用性。 5 、异常情况管理：系统日志的保护、记录系统出现的异常运行情况、分 析出现异常情况的原因、建立排除机制。 6 、系统安全恢复管理：制定系统安全恢复方案并准备恢复条件。 b 通信网络安全管理 l 、计算机网络设立全网管理中心，由专人实施对全网的统一管理、监督 与控制，不得随意变更网络拓朴、网络配置及参数。 2 、网络安全首先考虑采用存储加密、传输加密、存取控制、数字签名及 验证等安全措施。 3 、公用数据网作为通信子网，应设置闭合用户群等限制非法外来或外出 访问措施，确保网络安全。 c 应用软件安全管理 1 、安全设计：应用软件设计必须根据其对安全等级的要求，进行相应的 系统安全设计。 2 、安全开发：应用软件的丌发必须有安全管理人员对系统安全设计方案 的实施进行监督和检查。 3 、开发人员安全管理：软件开发人员必须经过安全审查。 4 、丌发环境安全管理：丌发环境必须与生产环境分离。 5 、安全功能的测试和鉴定：必须由安全管理部门对应用软件的安全功能 进行专项测试和鉴定，确认达到安全设计要求。 d 数据安全管理 1 、数据安全管理的内容 ( 1 ) 确认数据的有效性：必须经过合法渠道采集、；s n i 、处理和传 播数据；数据使用范围应与规定用途相符。 ( 2 )保证数据的可用性： 必须保持数据的完攘、准确和可用；应采 用冗余和异地保存方式。 ( 3 ) 提供安全的数据服务：严格按制度提供数据分析、数据查询、数 据稽核服务。 e 个人身份识别号及其口令与密钥安全管理 个人身份识别号及其e l 令和密钥是计算机系统中进行用户鉴别、身份认证 和数据保密传输的核心，对密码和密钥进行有效的安全管理是保证计算机系统 安全的关键。 1 、个人身份识别号、口令、密钥的存放：存储密钥的媒体必须严加保 护，以加密形式存储；确保未授权人员不能以任何方式获取存储的个 人身份识别号、口令和密钥。 2 、保密分发个人身份识别号、口令、密钥：密钥分发必须通过机要传递 渠道或加密后在通信网内分发。 3 、个人身份识别号、口令、密钥的时效管理：针对不同的安全密级要 求，决定个人口令、密钥的生成与更新周期。对失密的个人口令、密 钥，必须有立即销毁、更新的手段和措施。 4 、检验密钥的正确性：密钥注入过程要有正确性检查功能，确保加解密 过程的正常进行。 f 认证管理 认证管理内容主要包括： 1 、认证机构的建设、运行和管理 2 、颁发数字证书； 3 、更新数字证书； 4 、数字证书查询和撤消管理； 5 、数字证书存储、归档、备份管理； 6 、密钥产生、分配、更新周期、存储及其管理 7 、密钥归档、备份和恢复管理； 8 、销毁过期的密钥： g 审计管理 安全审计通过对计算机系统访问操作等线索的监视、记录、控制和分 析，提高计算机系统安全性。 】、确定安全审计等级：确定所要实旌安全审计的内容和范围。 2 、保存审计内容：审计内容必须具有不可消除性、保密性、真实性，应 对审计内容严格保管，防止审计内容的泄密、篡改与破坏。 3 、进行审计分析：按照安全审计等级的要求，及时对审计内容进行分 析，找出潜在的安全威胁与行为。 4 、审计跟踪：对在窜计中发现的异常行为，必须进行跟踪审计，追查发 生异常行为的原因与人员。 审计处理：根据异常行为对计算机系统的影响程度，决定进行审计处理的 形式，包括：警告、取消访问与操作权限、追究责任直至法律责任 等。 h 可靠性设计 可靠性设计需要考虑两个方面的内容：系统冗余设计和灾难恢复措施 设计。 冗余设计 通过采取通讯网络的冗余设计、通讯网络设备冗余设计、关键主机服 务器冗余设计以及其它系统可靠性措施，保证计算机系统能够提供不间 断服务。 1 、通信网络冗余设计 包括多路由的网络拓扑结构以及多网融合的通信平台。 2 、通信网络设备冗余设计 对主干节点设备、关键接入设备要考虑设备的冗余，以增加可靠性。 3 、关键主机朋殴务器冗余设计 对关键主机朋艮务器、重要数据采取冷热备份措施，重要资源服务器采 用主从方式构造，或根据应用软件特性，采取服务器复制的措施。 灾难恢复设计 灾难恢复主要考虑在发生意外灾害，如火灾、地震等之后数据的恢复和业务 的正常运行。 灾难恢复以数据备份，特别是远程、异地数据备份为基础。 远程容灾备份是为防范生产中心现场整体发生瘫痪故障，备份中心以适当 方式接管工作，从而保证业务连续性。远程容灾数据备份的主要方式有冷备份 和热备份。 1 、冷备份 冷备份方式是指数据通过磁带等介质从生产中心备份后，送到备份中心并 恢复。它的致命弱点在于备份中心的数据有较长延迟，不同步，一旦故障发 生，恢复过程除了最新磁带备份数据恢复外，还需对最后备份时间以后的交易 数据根据凭证进行输入。一方面这整个过程耗时较长，另一方面万一凭证也随 主现场一同丢失，则事实上已不可能有完备的恢复。 2 、热备份 热备份方式是指备份中心与生产中心之间，通过适当解决方案确保数据实 时同步，在生产中心现场整体发生瘫痪故障，备份中心能迅速切换为生产系 统，以保证业务连续性。 2 2 安全技术体系 安全技术体系是以技术手段保证计算机信息系统的环境设备、网络、系 统、应用、数据的安全可靠。 2 2 1 安全技术架构 安全技术架构是一个三维结构：( 见图2 ) 第一维是结构协议层次，参照了国际标准化组织i s o 的开放系统互连 ( o s i ) 模型，包括物理层、链路层、网络层、传输层、应用层。 第二维是系统单元，给出了计算机网络系统的组成，包括通信网络平台、 系统平台、应用平台。 第三维是安全服务，给出了7 种安全属性：身份认证，用于确认所声明身 份的有效性；访问控制，防止非授权使用资源或以非授权的方式使用资源；数 据保密性，数据存储和传输时加密，防止数据被窃取、窃听；数据完整性，防 止数据被篡改；不可抵赖性，用于防止发送者企图否认曾经发送过数据或内 容：审计管理，设置审计记录，分析审计记录；可靠性、可用性，在系统降级 或受到破坏时能使系统继续完成其功能，使得在不利的条件下尽可能少地受到 影响和破坏。 图2 安全技术体系三维模型图 1 4 2 2 2 通信网络平台安全 网络安全措施是为了防御来自于网络、特别是暴露于银行计算机机房外的 广域网的外部攻击和威胁。 a 安全功能 l 、数据传输的完整性、保密性和可用性 2 、出入网络的访问控制 3 、网络资源服务的访问控制 4 、网络和网络服务的可用性和可靠性 5 、防范对网络的入侵 b 安全机制 1 链路加密机制 链路加密技术用于保证链路层的通讯安全。 2 防火墙机制 防火墙是保护内部网络的重要安全机制，使内部主机免受来自防火墙外 部网络( 非安全网络，如i n t e m e t ) 的侵袭。 安全决策的集中控制：形成网络安全的控制点，所有进出网络的信息都 必须经过防火墙控制。 安全策略的强制实施：针对不同用户对网络安全的不同需求，通过防火 墙强制实旋复杂的安全策略。 隐藏内部网络她址：进行地址转换，隔离内外网络，使外部用户无法掌 握内部网络的架构和信息；还可以隔离内部重要网段与一般网段，从而进 一步保护内部敏感信息。 记录网络非法活动：对通过防火墙进出内部网的非法用户、操作和信息 进行记录与审计，以便分析网络侵袭和攻击，并及时给出报警。 3 虚拟网络机制 a 1 v p n 安全机制 v p n 的建立可以通过虚网的划分、链路加密技术、传输层加密技 术、网络层加密技术或者应用层加密技术实现。 采用i p s e c 技术在两个网络接点问建立透明的安全加密隧道，在不安全 的公共通信网上建立安全的虚拟专用网，提供主机对主机、网络到网络、 主机到网络的安全服务。 b ) v l a n 安全机制 通过v l a n 技术，可以把交换局域网划分成各自独立的逻辑子网， 隔离各个逻辑子网间的访问。 c ) 闭合用户群机制 通过闭合用户群可防止非授权x 2 5 用户呼进网内，增加x 2 5 网络的 安全。 4 安全检测和监控系统 采用安全检测和监控系统；结合网络安全管理和行政管理手段。 a ) 根据网络攻击的特征，在被保护网络的入口处进行实时监测。发现攻击 时，向管理员报警并阻断、记录攻击的来源。 b ) 运用成熟的攻击、反攻击技术，分析已知的系统安全漏洞和薄弱环节。 安全检测可以在不安全因素被诱发之前，消除系统可能的安全隐患。攻 击预警系统可以实时发现网络攻击，阻止不安全用户进入系统。 2 2 3 系统平台的安全 主机系统安全侧重于从系统平台的运行操作管理上防止内部作案，主要是 在操作系统和数据库一级采取措施，防止越权访问、窃取数据、非法侵入系 统。对关键数据，如客户信息、工作密钥、客户帐目、系统日志、系统审计数 据等的访问活动进行监控，对特殊用户进行跟踪和审计。 a 安全功能 1 各类用户对各子系统实行访问权限的分级、分类管理，关键性注册 的审计。 2 各类终端对各子系统实行访问权限的分级、分类管理，关键性注册 的审计。 3 用户对于文件的访问权限设置，可对文件定义被访问的权限。 4 用户组对文件系统的分级访问权限设置。 5 完整的文件访问权限控制，包括建立、删除、更新、搜索和阅读， 有允许、忽略、审计等级别。 1 6 6 完整的口令管理，包括口令的格式、口令的有限期、限制口令重 用、口令错误的警告、强迫签退和口令挂起。 7 建立文件系统的访问日志，便于严格管理。 8 对系统管理员的权限控管、审计和监督。 9 分离系统管理员和应用系统管理员的权限。 1 0 系统主控台的访问控制，系统命令的安全控制。 11 操作系统下的各子系统的启动控制。 1 2 批处理作业的提交运行、删除、更改和作业输出结果的保护。 1 3 系统功能调用的分级权限设置。 1 4 审计和报警功能，根据设置，实时记录和告警越权注册和文件非法 访问。 b 安全机制 采用较高安全强度的操作系统；它的安全等级基本上属于c 2 级，某些部分要 求达到b 级。如i b m 公司的o s 3 9 0 操作系统。 其特征包括： 1 、用户必须通过用户注册名和口令让系统识别； 2 、系统可以根据用户注册名决定用户访问资源的权限； 3 、系统可以对系统中发生的每一件事进行审核和记录； 4 、可以创建其他具有系统管理权限的用户； 5 、计算机系统中所有对象都加标签，且给设备( 如磁盘、磁带或终端) 分 配单个或多个安全级别； 2 2 4 应用平台安全 从应用系统操作运行管理方面采取措旌，防止内部作案。应用系统的安全 性主要由开发平台和应用软件来实现。 a 安全功能 1 、身份认证：通过用户向系统提供所需信息完成身份识别。最普通的识别 形式是用户i d 。 2 、访问控制：根据用户身份实现对应用和服务访问的粗粒度或细粒度控 制，防止非授权访问。对参与互联网络的银行和银行卡终端的交易权限 进行控制。对交换中心和成员行的操作人员运行权限进行控制。 3 、数据完整性、一致性和保密性：在身份认证、访问控制、数据传输等过 程中，对数据进行加密保护。 4 、审计记录：详细记录资源的被访问情况，操作行为的记录。日志加密存 储在特定的目录下，只有指定人员才能读取，保证可审计性，防止否认 抵赖。 b 安全机制 1 采用较高安全强度的安全控管软件r a c f ，它的安全等级基本上属于c 2 级，某些部分可以达到b 级。 2 程序设计时引入操作人员的分级访问控制。 3 授权管理和审计记录机制必须是基于用户身份认证机制之上的。只有经 过了认证的用户才能访问应用系统，必须针对用户身份才能赋予用户相 应的权限，只有记录下了用户身份、用户访问的资源以及用户操作的审 计记录才是有效的。授权管理有三个要素：用户身份，或者是标志用户 身份的某种凭据；资源目录，是授权管理系统控制的最终对象；访问权 限，即用户对资源有什么样的访问权限。授权管理系统即是把上述三要 素组合起来，保证只有通过认证的用户才能拥有系统授予的权限访问特 定的资源。 2 2 5 交易报文的安全 报文安全措施是为了防止非法截取网上传输的报文，从中窃取银行或者客 户的商业机密、变更报文的关键字段或伪造报文。 a 安全功能 1 信息的机密性，防止未经授权的读取信息。 2 报文的完整性，防止未经授权的变更报文。 3 来源的真实性，防止来自非法或伪造的网络节点的报文。 4 不可否定性，即报文授权的唯一性，防止抵赖事件。 b 安全机制 1 d e s 加密算法，采用密码学的算法乱码信息，用于解决信息的机密性。 2 报文鉴别m a c ，发报方对报文或报文的重要字段进行密码学计算，产生 报文认证码m a c 或m a c i n g ，并发往接受方，收报方重复发报方同样计 算，并对比收到的m a c i n g 。报文认证可用于报文完整性确认和报文来源 证明。 3 数字签名，用于不可否定性，可用于报文完整性确认和报文来源证明。 1 8 2 2 6 安全技术管理 a 安全功能 1 、系统安全管理，解决协议层次维下三层的安全技术管理： 2 、应用安全管理，解决协议层次维四层以上的安全技术管理。 b 安全机制 1 、系统安全管理：在网管平台、网管应用软件的控制下，网管控制台通过 s n m p 、r m o n 协议与被管设备、主机、服务进行通信，实现有关的安 全管理： ( 1 ) 维护并识别被管设备、主机、服务的身份，防止非法设备、主机、服 务的接入，防止设备、主机、服务之间的非法操作； ( 2 ) 实时监视被管设备、主机、服务的运行，发生异常时向管理员报警； ( 3 ) 维护被管设备、主机、服务的配置信息，防止非授权修改，配置遭到 破坏时可自动恢复； ( 4 ) 维护网络的安全拓扑，确保交换、路由、虚网的正常运行。 2 、应用安全管理：在应用安全管理平台的支持下，安全管理员使用安全控 制台实旆应用安全管理策略。安全管理员可以： ( 1 ) 建立和维护用户帐号； ( 2 ) 建立和维护被管资源的连接和目录； ( 3 ) 建立和维护访问控制列表； ( 4 ) 统计、分析审计记录信息； ( 5 ) 配置、维护安全平台： 1 9 3 主机系统安全策略及其实现 计算机主机是计算机网络系统中重要的组成部分，是完成联机事物处理和 批量任务处理的核心部件。计算机主机的安全尤其是银行卡系统中各银行卡交 换中心主机、各数据处理中心主机，承担着主要任务的处理，所以计算机主机安 全十分必要。 主机系统安全侧重于从系统平台的运行操作管理上防止内部作案，主要是 在操作系统和数据库一级采取措施，防止越权访问、窃取数据、非法侵入系 统。对关键数据，如客户信息、工作密钥、客户帐目、系统日志、系统审计数 据等的访问活动进行监控，对特殊用户进行跟踪和审计。 本节从用户身份验证、系统资源访问控制、数据访问控制、用户活动监 督、系统资源安全监督和审计几个方面讨论计算机操作系统的安全管理。 用户身份验证的目的是为了防止非法用户进入系统，用户输入用户识别码 和口令，计算机核对用户识别码和口令无误后即可完成身份验证。 用户1 3 令检查，完整的口令管理，包括口令的格式、口令的有限期、限制 口令重用、口令错误的警告、强迫签退和口令挂起。 访问控制是为了防止系统中出现非法用户访问，非法用户访问包括未授权 用户对系统的访问和授权用户超越权限的访问。系统对用户的权限要严格限 制，使其在授权范围内进行相应活动。系统中以u s e r i d 区分用户，为了管理 方便，把工作任务近似的用户划归为用户组，每个组以g r o u p i d 为唯一识别 码。系统资源按照资源的不同用途，划分为不同的资源类，每个资源类用资源 类i d 为唯一识别码。用户按照工作需要分为不同的安全级属性和允许访问的类 别