（水利工程专业论文）农业银行省级分行网络安全方案设计.pdf

华中科技大学硕士学位论文 摘要 中国农业银行计算机安全建设工作f 在与时俱进，从过去关注信息的保密、完整、 可刖、可控和不可否认的个体信息安全，继而发展到现今的关注整体网络安全的建设。 本论文从农业银行总行的角度来研究省级分行网络安全的建设。笔者详细分析了省级 分行网络安全建设的必要性和技术可行性；提出了银行网络安全建设的技术要求和实 s i ) , t 日标；从网络安全基础设施建设、网络系统安全、管理信息系统安全等方面分析了 农业银行现有网络安全各项需求，在此基础上进一步提出了建设农业银行网络安全中 心的新概念。并对各部分需求有针对性地进行了局部和整体的网络安全方案设计。该 设计部分已由湖北省农行实施，通过验证有较强的现实指导意义。 父键词：农业银行，省级分行，网络安全，设计 华中科技大学硕士学位论文 a b s t r a c t t h ed e v e l o p m e n tw o r ko fa g r i c u l t u r a lb a n ko fc h i n ac o m p u t e rs e c u r i t yi sg r o w i n g w i t ht h et i m e t h ec o n t e n t so fi n f o r m a t i o ns e c u r i t yf o c h ss h i f t sf r o mt h et r a d i t i o n a l c o n f i d e n t i a l i t y ，i n t e g r i t y ，a v a i l a b i l i t y ，c o n t r o l l a b i l i t ya n di r r e v e r s i b i l i t yt ot h ec o n s t r u c t i o n o ff u l l s c a l ei n f o r m a t i o ns e c u r i t yf r a m e w o r k t h i st h e s i sp r i m a r i l ys t u d i e st h ec o n s t r u c t i o n o ff u l l s c a l ei n f o r m a t i o ns e c u r i t yf r a m e w o r ko ft h ea g r i c u l t u r a lb a n ko fc h i n a t h ea u t h o r a n a l y z e st h en e c e s s i t ya n dt e c h n i c a lf e a s i b i l i t yo fd e s i g na n db u i l d i n gs u c hs e c u r i t y f r a m e w o r kf o rt h eb a n ke n v i r o n m e n t ；a n dp u tf o r w a r dt h et e c h n i c a lr e q u i r e m e n ta n dg o a l s o ft h es e c u r i t yf r a m e w o r kc o n s t r u c t i o n b a s e do nt h ea n a l y s i so ft h eb u s i n e s sr e q u i r e m e n t s i nf o u n d a t i o nf a c i l i t i e sc o n s t r u c t i o n ，n e t w o r ks e c u r i t y ，m a n a g e m e n ti n f o r m a t i o ns y s t e m s e c u r i t y ，b u s i n e s ss y s t e ms e c u r i t yo ft h eb a n k ，t h ea u t h o rf u r t h e rr a i s e dt h en e wc o n c e p t i o n o fc o n s t r u c t i o no ft h es e c u r i t ym a n a g e m e n tc e n t e ri nt h ea g r i c u l t u r a lb a n ko fc h i n a t h e l o c a la n dw h o l es o l u t i o nf o r t h ea g r i c u l t u r a lb a n ko fc h i n ah a sb e e np r o p o s e da n d i m p l e m e n t e di nh u b e ib r a n c hd a t ac e n t e r i th a sb e e np r o v e dt h a tt h ew o r kh a sg r e a t g u i d a n c eo nt h ef u r t h e rw o r k k e y w o r d s ：t h ea g r i c u l t u r a lb a n ko fc h i n a ，p r o v i n c e l e v e lb r a n c h ， n e t w o r ks e c u r i t y ，d e s i g n l i 独创性声明 本人声明所呈交的学位论文是我个人在导师指导下进行的研究工作及取得的研 究成果。尽我所知，除文中已经标明引用的内容外，本论文不包含任何其他个人或集 体已经发表或撰写过的研究成果。对本文的研究做出贡献的个人和集体，均已在文中 以明确方式标明。本人完全意识到，本声明的法律结果由本人承担。 学位论文作者签名：、矛 同期：肋圹年i t 月，e t 学位论文版权使用授权书 本学位论文作者完全了解学校有关保留、使用学位论文的规定，即：学校有权保 留并向国家有关部门或机构送交论文的复印件和电子版，允许论文被查阅和借阅。本 人授权华中科技大学可以将本学位论文的全部或部分内容编入有关数据库进行检索， 可以采用影印、缩印或扫描等复制手段保存和汇编本学位论文。 保密口，在年解密后适用本授权书。 本论文属于， 不保密函。 ( 请在以上方框内打“”) 学位论文作者签名 爱矛 日j 埘：却哆年j 1 月p 日 指剥黼：哜缘 1 3 期：, 9 - o o 夕年“月8 匠 华中科技大学硕士学位论文 1 绪论 随着金融电子化技术的发展，以计算机技术、通讯技术、互联网技术为代表的现 代信息技术对金融业务经营和管理的支撑与推动作用同益明显，经济全球化、信息全 球化的浪潮促进了银行计算机网络的前进步伐，银行计算机网络正逐渐从一个相对封 刚的嗣络变成一个全面丌放的网络。这一方面便于银行为社会提供更快捷、更方便、 史便利的金融服务，但另一方面也大大增加了银行计算机网络系统受到安全威胁与攻 击的可能性i “。 据数据显示，在已发现的银行计算机犯罪案例中，金融诈骗占3 6 ，非法使用资 源l j3 4 ，信息篡改占8 ，偷窃数据占1 2 ，破坏软件占2 ，其它占8 。在已破 获的、采用计算机技术进行金融犯罪的人员中，外部非授权人员占1 0 ，外部授权人 员占1 5 ，内部非授权人员占1 7 ，内部授权人员占5 8 ，每年全世界银行因计算 机犯罪而遭受的损失高达数十亿美元，我国银行界遭受的损失也逾上亿7 t 人民币。因 i - l ，必须采取切实合理的技术与管理措施，加强对银行计算机网络系统的安全防范与 管理，及时有效地发现并阻止计算机犯罪事件的发生【2 。 1 1 银行网络安全建设的背景 加强网络安全建设是确保银行资金安全、保护客户利益的需要。银行业务经营与 管理行为主要表现对资金的运用与管理，在计算机系统中银行的资金具体体现就是数 据，要确保银行资金安全和客户利益不受损害就必须保证数据的安全性，网络安全建 没就是要保证数据在采集、传输、处理、存储过程中安全性的一项基础性工程一1 a 加强银行网络安全建设可有效地防止计算机犯罪，为发现计算犯罪行为和惩办犯 罪提供有力的证据。近几年来，银行计算机犯罪事件不断发生，无论是涉及犯罪金额 和数量上都呈上升趋势，计算机犯罪所采用的技术也越来越先进，犯罪手法也越来高 明。只有加强网络系统安全建设，才能建立有效的计算机安全防范与管理机制，及时 发现汁算机犯罪行为，z o j k 计算机犯罪事件的发生。 加强计算机网络安全建设有助于进一步拓展商业银行的业务经营范围，提高商业 银行的市场竞争能力。i n t e r n e t 等新颖计算机技术促使银行业务不断创新，出现了自 华中科技大学硕士学位论文 助银行、网上银行、电子商务等新颖银行业务模式，这些业务的开展需要建立相应的 安全控制措旌，应用以p k i 为代表的公钥加密体系技术为确保这些新业务的丌展提供 r 安全的技术保证【“。 1 2 银行网络安全建设的发展趋势 随着中国加入世界贸易组织，国内银行、证券、保险业务必将全面对外开放，不 可避免地要经受国外银行业的严峻挑战。同时随着我国金融电子化进一步发展，银行 既要保障有坚固的银行内部业务网络，又要扩展业务，利用互联网、无线网等尽可能 多的通讯途径对全国甚至全球个人实行2 4 小时金融电子服务，金融信息网络的安全 已绎成为银行业各级领导和广大工作人员关心的重要问题【6 】。 农k 银行的网络经过多年的建设，已经形成比较完善的综合网络，典型的省行整 体结构是一个通过w a n 连接的多级网络，整个内部网络分为三个层次：省级分行、 地市分行和县支行( 包括营业网点) ，在多级网络上运行着对公业务、储蓄业务、银 行 业务、中间业务、电子汇兑、自助服务、事后监督、管理信息、经营数据综合分 析、国际业务等十大基础应用系统，覆盖了经营管理各个环节。农业银行对公、储蓄、 银行卡、中间业务系统和管理信息系统均实现了省际大联嘲。自助银行在各地分行成 j j 卜线。同时，农业银行已经开始大规模发展银行卡业务，具备了广泛开展电子银行 和巳子商务的支付基础。 目前农、1 k 银行金融电予化呈现三大趋势： 1 经营集约化由业务数据分类处理向集中处理转变，使资金清算、柜台业 务、信用卡业务等数据源统一。 2 ，数据集中化银行核心数据向上集中，由总行统一处理，既提高了效率又 便于丌发新的金融业务，更提高了风险控制能力。 3 用户个人化争取通过各种通讯手段实现网上银行、网上证券交易、手机 银行等等新业务。 那些想将银行业务局限于专用网络而弓互联网和无线网隔绝的想法都不符合金 融t u 子化业务进展的要求o ”。随着应用系统的复杂化以及内部网络与外部网络之间联 系增多建立整体的网络安全体系迫在眉睫。 2 华中科技大学硕士学位论文 1 3 银行网络安全建设的目标和内容 根据农业银行电子化建设“十五”规划的实施意见，银行网络安全建设的总体目 机；足：以网络安全为突破口，配合全行企业网建设，建立网络安全检测系统，采取各 种有效措施，建成网络安全监控中心，实现实时监控，为企业网的安全运行提供保障； 建立从总行到各分支机构的网络防病毒立体防护和快速反应系统，制订了计算机病毒 防 f f 工作规范，对计算机病毒防治进行统一管理，紧急处理计算机病毒破坏事件：利 州密码技术完成计算机系统终端安全改造工程，确保客户资会安全。“十血”期末， 基本建成密码技术、计算机病毒防治、身份认证、访问控制、审计跟踪、入侵检测和 灾难恢复等多层次、全方位技术防范体系【8 l1 9 1 。 中困农业银行湖北省分行网络安全方案设计是“湖北省农行计算机安全体系建设 项目”的核心部分，本人作为该建设项目的工程人员，参与该体系的总体设计工作、 其中包括总体框架设计、总体及分部需求设计、总体及分部安全解决方案设计等工作。 本文即是选取了本人实际工作中的重点部分，作为专题研究。 1 4 银行网络安全建设的原则 银行网络安全建设应满足和遵循以下的特点原则：f 1 0 | 1 先进性：采用的技术具有前瞻性，能够满足同类信息系统跨平台的移植和推 广要求； 2 可靠性：遵循国家有关安全标准和规定，符合中困农业银行信息系统的网络 接入模式、接口规范、带宽和性能要求，尽量不影响业务处理性能、网络性能。 确保安全系统自身能够确保安全正常运行。 3 可扩展性：不存在一劳永逸的安全保障系统，随着技术的发展，安全问题也 层出不穷，因此，银行计算机网络安全建设必须具有可扩展性和持续性： 4 可维护性：从具体的应用角度出发，满足业务和管理的需要。一方面，安全 系统本身必须是易于集中管理、可维护的，另一方面，安全系统对其管理对象 的管理必须是方便的、简单的。 华中科技大学硕士学位论文 2 网络安全基础设施建设 2 1 系统总体结构 网络安全基础设施主要包括信任管理平台、授权管理平台、统一密钥管理平台、 物理设施、操作系统、重要数据等。长期以来，银行在网络安全基础设施方面的建设 远远落后于信息系统的建设，对安全建设缺乏统一的部署。银行网络系统安全建设的 总体结构示意图见图1 。 圈1 银行网络系统安全建设的总体结构示意图 p k i 统一信任管理平台和统一授权平台构成了银行信息系统建设的安全基础。 p k i 统- 信任管理平台利用非对称公钥技术、采用数字证书为银行信息系统构建了一 个统- - i j , j 信任环境，它通过各种安全网关、安全代理系统和安全客户端等安全软件为 应j h 系统提供数据加密、签名、安全传输等安全服务。统一授权管理平台建立在p k i 统 信任管理平台之上，利用数字证书标识用户的身份，建立起数字证书与权限、资 源的映射关系，从而实现基于p k i 的授权管理机制，同时，统一授权管理平台的实现 4 华中科技大学硕士学位论文 采用了国际上公认的信任和授权标准s a m l ( s e c u r i t y a s s e r t i o n m a r k u p l a n g u a g e ) ， 系统具有很强的可伸缩性和可扩展性，并可以根据具体规模需求，灵活建谢“j 。 统一数据交换安全平台是建立在统一信任和授权之上的安全支撑平台，该平台为 银行信息系统提供了数据多方交互的安全机制和安全传输保障。 综合业务系统交易安全平台、关键主机和数据库访问控制以及电子对账单系统是 建立在上述平台之上的银行业务应用系统，他们充分利用了上述平台所提供的安全服 务，通过身份认证、保密传输、访问控制等为自身进行安全加固，保证了银行业务系 统的安全运行。下面针对其中的每一项进行详细的安全需求分析与安全性设计 1 2 1 。 2 2 统一信任管理平台建设 统一信息安全平台包括统一信任管理服务平台和统一授权管理服务平台，统一信 任管理平台采用p k i 技术，利用数字证书为银行信息系统中各种实体提供了统一的 合法身份；统一授权管理平台为银行信息系统提供了统一的授权管理，整个平台的设 计将基于p k i 体系，采用证书标识用户身份，遵循s a m l 标准规范，实现跨应用、 跨业务域的信任和授权信息共享，实旌对银行信息系统中各种用户的统一授权管理。 统一信息安全平台建设的目的是为银行信息系统实现一种通用的、与具体安全应用无 关的、平台独立的信任与授权构架【”1 1 4 1 。 统一信任管理平台采用p k i 技术为银行信息系统构建了一个安全、可信、可控、 可管理的网络运行环境。它通过建立c a 认证中心及其配套设施，为网络上的每个实 体颁发信任状数字证书，使得网络上的实体能够通过证书建立统一的互相信任关 系。 数字证书是一种包含了实体公钥的数据结构，它将公钥与用户信息唯一的对应起 来，标识了用户身份的唯一性，因此也称作公钥证书i ”l 。通过一个可信权威为系统中 各个实体颁发的证书具有合法性，从而在应用系统中建立起一个基于证书的可信机 制，实现银行信息系统中各实体间的统一信任。 华中科技大学硕士学位论文 2 3 统一的信任管理平台 在任何一个信息系统中，信任是安全的基础，在缺乏信任的环境下，实现信息系 统的安全是不可想象的。实现有效可靠的信任关系，主要是通过以下三种手段的结合： 身份认证、数据秘密性和完整性、不可抵赖性。 2 3 1 安全需求分析 1 身份认证 在银行信息系统中，身份认证无所不在，例如：在银行综合业务系统中，以银行 卡自助设备交易为例，参与交易的每一方( 包括持卡人、银行卡、a t m 、主机系统 等) 都需要经过身份合法性的确认，才能确保交易的安全可靠；在银行内部管理系统 中，m i s 系统的使用者身份认证则直接关系到敏感数据的保护等【1 6 】f 1 7 】。 目前，对银行系统内部服务器级别以上的访问，都需要验证用户的身份，这种身 份验证机制普遍存在于农行的各个逻辑网络中。 现有业务系统网络对访问主机的用户通过柜员卡和终端认证的方式进行认证，其 身份认证和信任管理模式停留在老办法、老算法的基础上，这些办法已被人熟知，而 算法在现代科技的处理下也可能极易被攻破；终端认证的方式难以防止伪造合法终端 进行交易的犯罪手段。因此需要对柜员、管理人员、设各、网点提供更强的身份鉴别 和信任管理机制【l ”。 内部企业网系统中，个人用户通过用户名和口令访问代理服务器，不同级别的用 户对代理服务器的权限也各不相同，但是口令访问本身安全性级别很低，口令极易丢 失、遗忘、并易被窃取。 随着金融网络的互联互通，例如：网上银行、企业银行、中间业务等的高速发展， 对银行外的网络用户的信任管理成为银行业务拓展所必须面对的问题。 针对于目前农行信息系统内部身份认证机制的安全现状：认证物件和认证手段种 类繁多，应用范围广泛，难于管理：只采用用户名+ 口令的认证机制过于单一；缺乏 有效的信任管理机制和技术手段，有必要建立起统一的信任管理平台。一方面，在此 平台的基础上，构建先进、有效的身份认证机制；另一方面，通过该平台，建立起全 华中科技大学硕士学位论文 系统统一的身份认证体系，实现身份认证物件和认证手段的集中化和全方位管理。p k i 公开密钥基础体系为上述目标的实现提供了良好的技术手段。 2 数据秘密性和完整性 实现身份认证仅仅完成了信任体系的基础，但仅凭身份认证，并不能防止数据在 交换过程中被窃听或篡改，尤其是当数据交换是建立在开放的网络基础上时，如果数 据被窃听或篡改，那么信任也失去了意义【1 9 1 。因此，数据的秘密性和完整性也是建立 信任体系的重要环节。 目前银行信息系统正在从以封闭环境中和封闭系统为主走向以开放环境和开放 系统为主，农行新一代系统中，t c p i p 这样的开放协议正在取代s n a 成为应用系统 中的主要传输协议。在享受开放协议所带来的低成本、高效率的同时开放扔议的安全 性也是我们面临严重考验。 在目前银行信息系统中，数据秘密性和完整性的保证主要是通过以d e s 算法为 主的对称密钥体系实现，但是对称密钥体系一些固有的缺陷随着业务的扩展越来越明 显，需要受到高度的重视。非对称密钥体系( p k i ) 的使用，提供了更为完善和安全 的密钥管理机制，可以有效地保证数据传输的秘密性和完整性拉0 1 。 但是，随着基于p k i 体系的应用系统的增加，新的问题也出现了：各类p k i 应 用之间互不兼容。每一个p k i 应用投入运行，都必须重复地进行c a 等p k i 基础应 用设施的建设，数字证书也无法通用，为p k i 体系在整个银行信息系统中的广泛使用 造成障碍。因此，有必要尽早地规划和建立统一的p k i 基础平台，以适应未来银行系 统中p i g 体系的广泛应用和推广1 2 ” 2 2 1 。 3 不可抵赖性 身份认证建立了信任的基础，数据秘密性和完整性为信任的过程提供安全保证， 不可抵赖性则为信任的后果提供安全保证。 不可抵赖性体现在：参与交易的任何一方都无法否认发生的交易。服务提供者无 法否认在某个时间某个客户提出了某个交易申请，而客户也不能抵赖他曾经提交过的 交易。 在目前的银行信息系统中，不可抵赖性尚未得到广泛的体现。因此，有必要在银 行业务蓬勃发展的基础上，借鉴网上银行业务中高度安全性、高度秘密性、高度完整 性和高度不可抵赖性的成熟经验，通过建立统一的信任管理体系，为银行业务的全面 发展和数字化、网络化，提供坚实的安全基础。 华中科技大学硕士学位论文 2 3 2p 安全方案 公开密钥体系p k i 能够为所有网络应用提供加密和数字签名等密码服务及所必 需的密钥和证书管理体系，满足信息系统在身份认证、数据秘密性和完整性、不可抵 赖性等方面的安全需求【2 2 1 。 1 建设目的 建立起农业银行系统内部的企业级p k i 信任管理平台，为包括综合业务系统、 i n t e m e t 业务系统、管理信息系统、地区性跨行系统应用在内的广泛的应用提供可信 的认证平台，注重平台的开放性、扩展性和可管理性【2 3 1 2 4 1 o 2 p k i 的基本组成 一个实用的p k i 体系应该是安全的、易用的、灵活的和经济的。它必须充分考虑 互操作性和可扩展性。它包含五大系统： 证书认证中心c a 注册机构r a 证书管理系统 密钥管理中心k m 系统 应用界面 3 分布式信任层次结构设计 p k i 体系的建立一般采用分布式层次结构，根据银行管理结构，统一信任管理平 台的信任结构如下图2 所示： 图2 以某省分行为例，c a 体系信任层次结构图 华中科技大学硕士学位论文 建立农业银行系统内部的企业级p k i 信任管理平台，其中在总行设立c a 中心一 个，省级分行设立二级c a 中心，其它地市行设立相应的r a 机构，其中c a 中心负 责生成根证书，定制全网统一的c a 实施策略；r a 负责用户注册和管理【2 5 】。 上述结构的优点在于： 层次清晰，便于c a 统一管理。一级c a 管理中心既能对整个体系进行管 理，又避免了繁琐的具体细节的问题； 可以保证c a 数字证书在省行系统内部的兼容性； 实施简单，实用性好。c a 系统是保证系统信息安全的基础，处于系统的 核心地位，它对环境的要求非常高；另外c a 系统本身比较复杂，需要有专门 的人员进行维护管理，因此，建立c a 系统需要较强的物力人力资源。若在各 个市建立c a 系统，不仅增加了系统的复杂性，加大实施难度，也占用了大量 的物力人力。只在省一级建立c a 系统，既能保证项目实施的质量，也能保证 项目实施的进度： 通过p k l 体系以及农业银行内部企业级c a 的建设，为信息系统安全提供统一的 信任管理平台。在此平台基础上，使用先进的非对称密钥体系和数字证书技术，为各 类应用提供全网统一，高度灵活，具备身份认证、数据秘密性和完整性、交易不可抵 赖性等信任管理重要因素的有效的技术基础。 但是，随着基于p k l 体系的应用投入运行，都必须重复地进行c a 等p k i 基础应 用设施的建设，数字证书也无法通用，各成体系，为p k i 体系在整个银行信息系统中 的广泛使用造成障碍【2 6 。因此，有必要尽早地规划和建立统一的p k i 基础平台，以 适应未来银行信息系统中p k i 体系的广泛应用和推广。 2 4 统一的密钥管理平台 在银行信息系统原有应用中，密钥和加密算法的使用非常广泛，同样，要搭建完 整可靠的信任与授权平台，并在其基础上进行安全的数据传输，就不可避免的要涉及 到各类密钥或是证书管理1 2 7 】。随着各种安全构件在信息系统中的大量应用，密钥和证 书的种类、数目也越来越多，这需要寻求一种能够满足信息系统安全密钥管理需求的 统一平台，缓解日渐沉重的管理负担。 华中科技大学硕士学位论文 2 4 1 安全需求分析 目前，银行信息系统添加了大量的安全构件来有效保障系统正常有序地运行，但 这。j 安全构件( 包括传统的密码设备和集成的信息保障特性) 的大量应用，在加固系 统安全的同时也增加了系统的负担，具体表现在： 各种安全构件自成体系。当前的密钥管理环境是由许多单独的、针对某个 特定应用设计的解决方案组成，这些方案为了满足各自服务的特定安全需求， 要采用不同的工具和培训，给资源造成不可保证的过度负担。同时，随着密码 产品的不断增加以及规划中的基于p k i 的应用软件的广泛采用将使用户在获 得密钥证书的过程中面临更多的人工干预负担。 新功能扩充效率低下。如果需要加入一个现存系统所没有为之设计的、新 的密钥管理功能，就必须频繁的集成新的功能，或者建立新的、独立的体系来 提供新的支持。这不但减缓了新需求响应的效能，同时也增大了财力的支出。 缺乏完善的对称密钥体系管理机制。与非对称密钥体系相比，对称密钥体 系加解密速度快，适合于大批量数据的加解密要求；但也正是基于对称密钥的 对称性( 由加密密钥可以推导出解密密钥，反之亦然) ，使对称密钥的管理、 分配存在着一定的难度。 缺乏统一的证书管理机制i 硎。p m i 统一授权管理平台同p k i 统一信任管理 平台的应用，使系统中出现了多种不同等级、不同应用的证书概念。各种证书 机制对证书的产生、分发、审计、销毁有不同的要求和实现方式，给相应的系 统用户带来了使用上的不便。 冗余的共同功能和操作。尽管现有信息系统的各项安全服务应用是独立建 立的，但还是包含了许多相同的思路( 如等缴、命令、分布等) ，这些其实可 以从逻辑上进行联合并且作为统一的处理集合来提供，以减少管理、操作和开 发上的人力物力成本。 由以上分析可以看出，将分离的密钥管理统一到一个单一的体系中，是目前银行 嘲络安全建设不得不面临的迫切问题。 1 0 华中科技大学硕士学位论文 2 4 2k l v n 安全方案 k m i 密钥管理体系是为广泛的安全应用提供登记、注册、生成、发行和跟踪的 规范化框架和服务集成 2 8 1 。k m i 密钥管理体系结合现代先进技术的，以其模块化的、 灵活的和可扩展的特性，通过整合操作、维护和培训来减免冗余资源，以至极大地减 少系统建设花费。 1 建设目的 建立银行系统内部的企业级k m i 密钥管理平台，集成p k i 统一信任管理平台和 p m i 统一授权管理平台的信任授权机制，对包括传统密钥产品、公钥产品在内的密码 数据体统统的密码登记、密码产生、安全密钥归档和密钥分发等管理功能和证书管 理功能，为广泛的安全应用提供统一可靠的密钥管理平台1 。平台建设注重开放性、 通用性和可扩展性。 2 k m i 的功能节点 k m i 密钥管理体系可实现电子密钥管理、物理密钥管理和操作公钥体系等功能， 这为传统的对称密钥系统提供了广范围的加密密钥，也为公钥系统提供了密钥对和证 书。k m i 所能具体支持的产品范畴包括：点对点的对称密钥、非对称密钥、电子证 书、密钥管理文文件以及人们可读的密码产品( 代码本、密钥表等) 。 k m i 利用一系列广泛的现存网络和工作站来完成它的任务，同时它被设计成针 对每一个安全级别领域分别构建分离的k m i 功能【3 0 1 。这样，系统在发展的过程中必 将过渡到在一个域间相互传输合法数据的结构。 k m i 体系结构由四种功能接点组成： 中心服务节点c s n 为系统框架提供一个总体的系统管理和监视功能，包括：数据存储，根证书认证， 归档审计记录和入侵检测系统。 生产资源节点p s n 在证书认证层次上提供密钥生成服务和证书生成服务。 基本服务节点p r s n 提供密钥登记、跟踪、目录服务、密钥恢复服务和特权分配。为客户节点提供统 一的、透明的对所有不同生产资源的访问。 客户节点 华中科技大学硕士学位论文 直接和用户打交道，用于分发密钥，为用户提供一个服务接口。 3 k m i 平台的搭建 k m i 将为使用对称密钥体系和或非对称密钥体系的多种安全应用提供密钥管理 服务，考虑到p k i 统一信任管理平台和p m i 统授权管理平台在银行网络安全建设 中的实施架构，为了得到系统建设良好的兼容性和互通性，建议银行系统内部的企业 级k m i 密钥管理平台进行如下方案设计： 在总行设立中心服务节点c s n 一个，在全国范围内选重要战略位置设立生产资 源节点p s n 三个到五个，一级分行设立基本服务节点p r s n ，其它各地市支行、服务 终端设立客户节点，接收各种实际的安全应用请求。其中，整个k m i 体系应以模块 化的方式进行配置；中心服务节点必须配备物理上隔离的热备份来减轻由于自然损坏 造成的中断操作带来的风险，每个p r s n 都具有作为其它节点的备份的方式进行服 务，通过自动冗余性性能来保证对于k m i 用户提供不中断的服务。 以上结构的优点在于： 层次清晰，便于对k m l 密钥管理体系进行统一管理。总行设立c s n 负责全 面的系统管理和监测，这可以实现对总体整体策略的管理和安全审计：省行设立 p r s n 生产资源节点，可以较好的配合p k i 统一信任管理平台和p m i 同意授权管 理平台的实施架构，方便密钥及证书的管理，同时又避免了烦琐的权限管理等具 体细节问题；而p s n 的设立则能快速、系统的处理具体密钥产生、分发需求； 通过由p r s n 接收客户节点提交的密锔证书的签发请求，p s n 节点迸行的统 一生成操作，既可做到对密钥的统一管理又不失应用的灵活性：而且还可以保证 密钥证书在农业银行系统内部的兼容性； 在综合考虑当前技术发展及各种技术手段的优劣性，总结以往工程经验的基 础上，使用k m i 密钥管理体系对以对称密钥体系和非对称密钥体系为核心的银行 业务安全系统进行统的密钥管理服务，势必会给银行业务系统带来从信息私密 性、完整性到不可否认性的信息安全高效便捷的处理。 2 5 统一数据交换平台 在农行安全建设总体规划中，利用p k i k m i 体系及p m i 体系构筑了整个网络安 全信息系统的统一认证与授权管理平台，实现了对身份、授权、密钥，证书的同意管 华中科技大学硕士学位论文 理。在此基础上，随着银行电子化业务系统的迅速发展，有必要建立统一的数据交换 平台，为错综复杂的业务数据流提供统一有效的集中管理。 2 5 1 安全需求分析 在金融电子化的大趋势下，越来越多的银行业务电子化信息交换体系如雨后春笋 般迅速的发展起来。目前农行已经在多级网络上运行着对公业务、储蓄业务、银行卡 业务、中间业务、电子汇兑、自助服务、事后监督、管理信息、经营数据综合分析、 国际业务等十大基础应用系统，但这些各个独立开发和运行的应用系统建设很可能会 形成隔离的数字鸿沟和信息孤岛，而且随着信息技术的发展，原有的业务平台电子化 信息交换体系也面l 临新的考验，如系统建设中的重复性投入和系统扩展性的降低等 等，因此，有必要建立统一的数据交换平台来缓解现有信息交换流程中各业务系统所 面临的矛盾。 银行信息系统建立统一数据交换平台的需求分析如下： 建立统一的数据交换平台有利于各类业务系统的综合利用。目前银行与企业 用户之间没有统一的数据交换平台，因而造成应用系统的数据交换平台多样化，数据 交换的接口标准也各不一致，给各业务系统之间的信息交互带来了极大的不便和众多 的安全隐患。 建立统一的数据交换平台有利于避免业务系统的重复性建设。由于没有统一 的数据交换平台，目前的银行业务系统只能针对各自应用独立开发数据交换平台，这 种重复建设不但造成了人力物力的极大浪费，同时也给各业务系统今后的整合和综台 利用带来了困难。 建立同意的数据交换平台有利于数据交换流程的统一管理。现有的银行业务 系统中，各种应用系统的网络连接方式不尽相同( 点对点、点对网、网闯互联) ，导 致网络连接方式随意性较强，给管理和维护带来许多不便。而且现有业务系统中有些 专网专用的，用户需通过手工方式将数据在网间进行传送，给最终用户也带来许多不 便。 建立统一的数据交换平台有利于银行系统的业务扩展。现有银行业务系统没 有统一的数据交换标准，这就意味着新业务加入以后，必须面临与其它原有业务系统 之闽错综复杂的兼容闯题，严重阻碍了业务拓展的进程。 华中科技大学硕士学位论文 2 5 2 安全解决方案 本方案着重解决上述银行业务服务需求，在建立统一的p k i 认证管理平台与p m i 授权管理平台的基础上，为中间业务平台和其它信息交换型应用系统提供统一、安全、 灵活的数据交换平台，以适应我国加入w t o 后，商业银行所面临的挑战和机遇口”。 1 建设目的 本着统一规划，分步实施的原则，本方案的建设目标将首先着重在于：构建现有 银行业务应用领域内典型业务可以依托的统一的信息交换平台，全面提高信息交换的 效率和安全性，尽量减少系统建设中的重复性投入，并充分保证系统的扩展性以适应 未来迅速发展的业务需求。 2 功能需求 目前银行系统的各级业务操作大部分已经实现了电子化操作，但不同业务系统数 据存储管理模式各自为政的局面却给信息系统的运行、管理和维护带来了诸多麻烦， 建立统一的资料交换安全平台，可以有效地降低资料的采集成本，提高数据的利用效 率，并可以通过对业务数据的增值处理为系统间的信息交换应用提供有力支持。解决 方案拟实现以下功能： 建立现有银行各级业务系统数据交换功能的通用构件化接口，是现有业务系 统通过该接口完成不同数据格式的转换。 建立银行业务系统扩展业务功能的同意数据交换存储机制，使新扩展的业务 可以方便的集成到整个信息系统平台中来，获得便捷的系统兼容性。 建立银行业务系统与数据库系统之间的通用统一存取接口，为各种业务应用 提供统一、迅速的数据库访阊操作。 建立银行各级业务系统间通用业务功能的数据有效性保护机制，为不同密级 的业务系统之间数据流动添加安全防护。 建立统一框架下与商家、证券、信托、保险、统计等相关业务系统之间的跨 系统的业务安全交互接口和权限控制机制。 3 解决方案 统一的数据交换平台是指信息系统基础设施、p k i 信任管理平台、p m i 授权管理 平台、k m i 统一密钥管理平台以及数据库系统作支撑层的基础之上，最终承载各级 银行系统具体业务应用数据交换软硬件综合平台。它一方面作为银行数据库系统统一 华中科技大学硕士学位论文 的对外访问节点，对授权操作提供所需数据；另一方面作为银行各业务应用统一的对 内访问节点，提供对内的数据共享、协作办公、数据挖掘等服务。 统一数据交换平台在银行信息系统中的位置如下图3 所示： 图3 统一数据交换平台在银行信息系统中的位置 统一数据交换平台要完成不同业务系统( 子系统) 之间或业务系统与数据库系统 之间的数据汇总、传递和交换。同时，鉴于不同业务系统之间的数据交换是典型的多 级系统互联情况，因此必须对数据流进行严格的安全控制，这主要是通过p m i 技术 来实现。 2 6 统一数据交换安全平台总体结构 统一的数据交换安全平台基于统一的信息安全平台，利用基础的信任与授权服务 平台提供的安全支撑，解决农行业务系统自身以及与外部机构( 海关、证券等) 系统 的数据安全交换问题。统一的数据交换安全平台总体应用逻辑结构如图4 所示： 1 5 华中科技大学硕士学位论文 甚t 淼五藉扒 t 矗 竺竺 蕞 麓一 熏 置 聃 巍 鲁 岳 奄 瞄 髯 盘 臂尊 ，添i 茹孙。 督 九产 燕矗 蕞托 、竺， 曩 重 螭 茂艘 麓埔t 盘蕞宦t f 矗 h 埠旃自嚏 ， l i i 鬻圣瓤蚺嘴甜i l 童蠢轼_ 嘴蹲lj譬土辅p 甜#鹫盘轼哪嚣l illl 虫女5 搠售鹰t 辄黼 蠹t 翮咿黼辩算 曩 删i 夤糟 簟 庸臆曩彝一 搿 盘纛t 鼻 馕 辅攀鲁 谨 鞋吐 蔗薹 茹l t 懿噬- 簟 纛 控簋罐井一 尊麟 堆t 糍 键壤* 摹瓤番r 鬟羹幂境 鸯榭摹蟪棒礴基舞磊蕊 图4 统一的数据交换安全平台总体应肘逻辑结构 统一的数据交换安全平台主要包括安全接入网关系统、安全数据传输系统、业务 应用服务系统以及统一接入门户四个部分。其中： 安全接入网关系统通过与统一信任平台交互，从c a 发布目录服务器下载c r l 和信任链，实现对接入用户身份合法性本地验证； 业务应用服务管理系统中的业务应用采用w e b 服务技术实现，所有的业务w e b 服务的接口采用w s d l 描述语言进行统一描述，应用客户端通过标准接口调用业务 照务完成相应的功能： 数据安全交互系统采用x m l 加密和签名技术，通过双方的密钥协商实现安全的 s o a p 通信，构造多方数据交互和传输的安全性； 统一的接入门户是统一的数据交换安全平台应用中，是面向实际用户的最终接 口，基于统一的数据交换安全平台可将所有的业务系统在统- f 3 户中集中提供给用 户，方便用户便捷的使用所有关联业务应用。 统一数据交换安全平台物理设计 1 6 华中科技大学硕士学位论文 统一数据交换安全平台由一台x m l 安全网关服务器、一台业务应用服务器、一 台管理审计服务器和一台管理审计终端构成。其物理结构如图5 所示： 图5 统一数据交换安全平台物理结构 接入分行的应用首先通过x m l 安全网关系统，然后才能使用业务应用服务器中 的业务应用。统一数据交换安全平台系统配置如下： x m l 安全网关服务器作用：x m l 安全网关服务器上运行着安全接入网关系统和 安全数据传输系统，通过c a 系统的目录服务器下载了c r l 和信任链，实现对接入 用户身份的本地验证【3 。采用x m l 加密和签名技术、s o a p 标准通信协议实现银行 业务系统中多方数据交互的安全性。 2 7 重要数据安全 数据是应用的核心，为适应银行系统大批量信息处理的要求，必须要采取有效的 措麓，确保数据的完整性、可信性和有效性。 华中科技大学硕士学位论文 2 7 1 安全需求分析 从数据库安全、网络共享数据安全、重要文件安全这三个方面来描述重要数据的 安全需求。 2 7 1 1 数据库安全需求 数据库系统担负着存储和管理数据信息的任务。凡是造成对数据库内存储数据的 非授权访问一读取，或非授权的写入一增加、删除、修改等，原则上都属于对数据库 的数据安全造成了威胁或破坏。 对数据库安全的威胁或侵犯大致可以分为以下几类： 自然意外事故，如地震、水灾、火灾等导致的硬件损坏，进而导致数据的损 坏和丢失： 硬件或软件的故障错误导致的数据丢失或是系统内部安全机制失效； 操作人员或系统直接用户的错误输入、应用系统的不正确使用； 蓄意的侵犯或敌意的攻击；授权用户滥用权限，蓄意窃取、破坏信息； 病毒通过自我复制，永久地或是不可恢复地破坏自我复制现场，破坏信息系 统、取得信息； 特洛伊木马：隐藏并收集环境信息，利用用户的合法权限对数据的安全惊醒 进行攻击； 天窗、隐通道：在特定条件下启动，从而跳过系统设置的安全稽核机制而进 入系统，以实现对数据防范的攻击和窃取数据的目的； 由授权读取的数据，通过推论得到不应访问的数据； 非法用户访问的风险绕过d b m s 直接对数据进行读写； 数据库本身存在安全漏洞的风险。 银行系统的业务特征要求数据库系统具有较高的安全性，因此，面对数据库的安 全威胁，必须采取有效措施，满足数据安全的需求。具体的，可以从以下几个方面考 虑数据库安全性： 物理上的数据完整性预防数据库数据物理方面的问题，如掉电，以及当被 灾祸破坏后能重构数据库； 逻辑上的数据完整性保持数据结构，如一个字段的值的修改不至于影响其 它字段： 华中科技大学硕士学位论文 元素的完整性包含在每个元素中的数据是准确的； 可审计性能够追踪到和人访问过或修改过数据库的元素； 访问控制允许用户只访问被批准的数据，以及限制不同的用户有不同的访 i u 模式( 读或写) ： 用户认证确保每个用户被正确的识别，既便于审计追踪，电为了限制对特定 的数据进行访问： 可获用性用户一般可以访问数据库以及所有被批准访问的资料。 2 7 】2 网络共享数据安全需求 在网络中，使用文件服务器集中保存数据或备份数据是常见的操作。在w i n d o w s h 络中，对文件的共享基于两种方式，一：基于口令的共享：二；基于用户的共享。 这陌种共享方式都是不安全的，主要安全漏洞是：文件的数据以明文在网络上传送， 通过网络监听能够窃取文件的内容，因此，网络共享数据的安全有待进一步加强。 2 7 1 3 重要文件安全需求 在网络中，p c 机是个人用户的主要工作平台，经常会出现用户从服务器下载文 件到p c 机后，再在p c 上浏览或修改的情况，因此p c 中也可能保存有重要敏感文 件的数据内容，相应的，就需要保护p c 机数据的安全。 另外，使用网络共享、邮件或软盘来传送文件这样的事是经常发生的。在文件的 传送过程中，可能由于网络、介质原因发生数据破坏或改变，还可能发生恶意的数据 篡改，因此要采取相应措施保证传送过程的有效性和防篡改。 2 7 2 安全解决方案 根据对农行信息系统数据库安全所做的需求分析，在数据库安全解决方案中，必 须从存储环境、存储主机系统、数据库本身存在安全漏洞、数据库用户误操作或者恶 意破坏数据等方面规避风险，同时还要考虑访问途径、数据库受非法用户访问以及数 捌厍合法用户权限设置错误等方面存在的安全风险。 下面针对数据库提供的数据存储与数据访问服务给出合适的安全解决方案。 2 7 2 1 数据库的安全实现 数据库安全实现是如何通过技术制度手段规避数据库的安全风险。它包括： 实现环境安全 实现主机系统安全 华中科技大学硕士学位论文 实行强用户认证 进行访问控制 保证数据传输安全 保证数据库运行稳定性 加强数据库操作审计 1 实现环境安全 系统的硬件配置：比如注意可用存储空间情况；c p u 性能；可用的内存数量； 是否有冗余电源等问题。 操作系统：对于操作系统，则应该周期性的检查内存是否有泄漏，根文件系 统是否需要清理，重要的日志是否已经察看。 网络配置及功能：确保网络没有过载、网络 安全是否得到保证等等。 数据存储配置：应用数据加密机制、数据备份机制。 2 主机系统安全 及时修补系统安全漏洞； 保护内存里的数据不被非法修改； 数据库主机只提供必要的服务( 删除不使用的内置命令) ； 操作系统管理员密码足够复杂； 操作系统用户和数据库用户使用不同账号； 使用其它安全措施保护数据库主机( f w 、i d s ) ； 应能正确地进行物理i o 操作。 3