国际实时汇兑系统安全解决方案.doc

国际实时汇兑系统安全解决方案第31卷Vo1.31第20期2rJ计算机工程ComputerEngineering2005年lO月October2005?安全技术?文章编号:100(卜_3428(2oo5)20014402文献标识码:A中圈分类号:TP309国际实时汇兑系统安全解决方案林松1,2(1四川大学信息安全研究所,成都610064;2戴宗坤中国农业银行软件开发中心,北京100073)摘要:针对一种金融业务新产品(国际实时汇兑)实现中的安全问题,设计和配置了包括访问控制,数据库安全,用户管理,El令加密,额度控管,菜单管理,主机安全和防火墙等安全策略和安全措施.系统的实际运行结果证明,这种基于技术和管理结合的安全解决方案,完全满足了业务系统可靠,有序和安全运行的要求.关健词:信息安全;安全解决方案;国际实时汇兑SecuritySolutioninRealTimeMoneyTransferSystemLINSong一.DAIZongkun(1.InformationSecurityInstitute,SichuanUniversity,Chengdu610064;2.SoftwareDevelopmentCenter,AgriculturalBankofChina,Beijing100073)AbstractConcerningthesecurityproblemsoccurredwhileintroducinganewfinancialproduct(internationalrealtimetransfersystem),thepapercompletesdesignandconfigurationofsecuritystrategyandsafetyprecautionincludingaccesscontrol,databasesecurity,usermanagement,passwordencryption,creditcontrol,menumanagement,mainframesecurityandfirewal1.Theresultshowsthatthesecuritysolution,whichisbasedonthecombinationoftechnologyandmanagement,isfullysatisfyingtherequirementsforareliable,orderlyandsecurebusinesssystem.KeywordsInformationsecurity;Securitysolution;Internationalrealtimetransfer国际实时汇兑业务处理系统(RealTimeMoneyTransferSystem,RMTS)是一种个人外汇业务金融新产品,具有实时,快捷,方便,低投入,高收益等特点,可以通过遍布全球的l4万多代理网点为全球200多个国家和地区的客户提供安全,快捷的汇兑服务,其汇款业务在一二分钟内解付.该系统既是全国数据集中本外币一体化的成功尝试,也是国内银行业建立的第一家国际实时汇兑系统,技术上目前处于国际领先水平.但该系统的网络庞大,环节复杂和处理快捷也给监管和安全防范带来了更大的挑战.l系统概述RMTS采用了流行的三层结构的设计思想,引入IBM公司的中间件产品cIcs(cust0merInformationControlSystem),由CICS负责前台操作的交易流和后台数据库的逻辑连接,实现了交易流的合理调度和流量控制.RMTS从不同的视角和层面对系统采用了构件方式设计,系统分层设计,软件分层设计,面向对象设计等设计方法,实现金融业务的创新.RMTS的交易处理部分基于开放式操作系统(AIX,HPUX,Linux,SCOUnix等),OLTP中间件CICS和DB2,SYBASE数据库服务,用标准C和嵌入式结构化查询语言ESQL作为开发工具.网关部分基于Linux操作系统,用c+作为开发工具.RMTS系统结构如图l所示,业务数据流从网点前台到省分行前置,由省分行前置到总行交换中心的主机系统,外币清算则通过SWIFT(SocietyforWorldwideInterbankFinancialTelecommunication)从总行国际业务部到省分行国际业务部,再转入相应的地市分行国际业务处理系统进行资金的境内,外和上,下级行清算.总分行之问的清算,总行一144一与国际汇兑公司之间的清算是通过SWIFT报文来实现的.图1国际实时忙兑系统结构注:总行与境外的网络接口采用硬件防火墙.机机作者倚介:林松(197o一),男,高工,博士生,主研方向:信息安全和计算机软件;戴宗坤,教授收稿日期:20050616E-mail:.2系统的安全风险分析2.1人员的安全风险分析(1)非法用户进入系统;(2)非法用户截获敏感数据;(3)非法用户对业务数据进行恶意的修改;(4)合法用户对系统资源的非法使用;(5)13令管理风险;(6)工作人员兼职多个岗位的风险;(7)合法用户有意或无意的误操作.2.2网络的安全风险分析(1)主机安全风险.主机硬件的可靠性差,机房环境及报警系统等;(2)业务报文安全风险.业务报文的渠道合法性,报文内容的真实性和保密性等;(3)数据库安全风险.数据库的稳定性,处理事务的高效性;(4)系统意外故障或损坏风险.可采用备份和恢复机制.2.3业务的安全风险分析(1)用户业务操作不熟练,没有严格按照操作流程处理;(2)业务处理的动态变化;(3)操作额度风险的管理;(4)管理责权不明;(5)业务管理章程上的安全漏洞.3系统的安全实现3.1在人员管理上的安全实现3.1.1用户管理人是各个安全环节中最重要的因素.国内外多家安全权威机构统计表明,大约有70%的安全事件完全或部分地由内部引发.内部员工对自身企业网络结构,应用环境比较熟悉,自己攻击或泄露重要信息内外勾结,都将可能成为导致系统受攻击的致命的安全威胁.内部工作人员越权操作,违规操作或者其他不当操作,特别是系统管理员和安全管理员出现管理配置的操作失误,可能会造成重大安全事件.因此,全面提高人员的道德品质和技术水平,加强内部用户管理就成为一项重要任务.RMTS实现多级用户管理,用户分为3类:超级用户,最高级行用户,普通用户.3.1.213令管理和加密13令是网络信息系统中最常用的安全措施之一.RMTS中要求用户密码不可以少于4位,数字和字母混合使用,而且避免使用生日或名字作为自己的密码.13令加密流程如图2所示.其中,加密算法为F(X,E.K)为不可逆加密,其中x为明文(待加密字符串),E为加密字符串,K为密匙.图2I1令加密流程3.1.3访问控制(1)主机访问控制:由省域数据中心维护的该表来限制访问服务器,必须在表中存在记录的主机,并且IP地址和端13号要配置正确,才可以访问服务器.(2)系统访问控制:系统管理员只能维护主机,对主机的运行性能进行调优,维护计算机操作系统,保障主机高效平稳运行,同时保障网络通信的可靠和畅通,系统管理员不允许也不能做任何业务.(3)操作员访问控制:只有系统中存在的操作员才可以登录数据库,而且操作员只能接触允许的业务数据.在系统中上级行可以审查下级行的业务.而且下级行超权限的业务会自动传到上级行,需要上级行授权后才可以完成.对于已经离职的操作员,可以通过定期改变13令和删除记录来防范风险.(4)菜单访问控制:操作员进入所有的业务菜单前都要事先进行权限的检查,如果操作员访问到其无权的业务菜单时,系统会提示无权使用.(5)单笔业务的访问控制:对于重要业务,尤其是有严格先后次序要求的业务,以及防止经办人员篡改数据,笔者设计为对该业务加锁,复核员必须等待经办人员完全退出业务,该业务解锁后,才可以进入业务操作界面,同时复核员也将该笔业务加锁,这样就确保了单笔业务的原子性.(6)非法访问次数的控制:对用户非法登录次数加以限制,如果用户连续3次输入用户名或密码错误,系统则强制该用户退出系统.3.1.4屏蔽用户操作错误提供对用户常见的误操作的提示和屏蔽功能.例如可以有效地避免日期的录入错误或写入错误的币种等,当用户操作错误或软件发生错误时,能给出清晰的提示,使用户知道错误的原因,并且提供一些自动修正功能.3.1.5操作记录所有业务都记录下经办和复核员的姓名和所属银行,风险较大的重要业务需要领导授权,并且还要上级行的逐级把关直到网络的最高级行才可以完成.3.2在网络资源上的安全实现3.2.】Unix主机安全RMTS采用双主机热备份方式保证主机安全.为了保护机构网络中的敏感部位,RMTS设置了内部防火墙”,使用了四川大学的防火墙产品.该防火墙是一种硬软件一体的网络安全专用设备,专门用于在TCP/IP体系的网络层提供鉴别,访问控制和安全审计等功能.3.2.2Windows主机安全严防外部病毒的侵入,外来软件或拷贝的软件一律在专用机上进行病毒检测,清除病毒后进行试用,试用前应做好数据备份;严禁在计算机上玩游戏;新机器使用前要进行病毒检测;不允许用户拨号访问;屏蔽对软盘的网络访问;禁止接收电子邮件.3.2.3业务报文数据安全RMTS对报文进行校验以确定报文的完整性,检查发起交易的渠道设备是否注册,交易标识是否与渠道保持一致,并检查报文关键域是否存在和完整以确定报文的合法性.对于重要数据则在传输过程的不同环节更换密钥,全程加密.3.2.4入侵检测作为安全系统的重要组成部件和安全技术手段的不可缺少的补充,入侵检测系统已经越来越受到重视,人们对它的依赖程度也越来越高.入侵检测系统可以实时检测,反应和保护信息系统,检测所有的入侵行为并及时报警J.(下转第228页)一l45减1,更新系统时间等.时钟中断服务程序由汇编子程序OSTicklSR实现.包括以下步骤:(1)保存被中断程序的上下文环境;(2)执行标识中断结束的指令;(3)切换到系统模式并允许IRQ和FIQ中断;(4)保存系统模式下相关的寄存器;(5)在调用OSTimeTick函数之前,先调用操作系统提供的OSIntEnter函数,以使操作系统对中断程序进行跟踪调用OSTimeTick之后,再调用函数OSIntExit,通知操作系统中断完成.4.6中断级上下文切换的实现ARM处理器在跳到中断服务程序时,自动关闭IRQ中断.在程序设计中要保证IRQ中断的可重入性,即一个IRQ中断程序能被另一个IRQ中断.为了能够跟踪中断服务程序,操作系统提供了两个函数:一个是OSIntEnter,在开始运行实际的中断服务之前调用;另一个是OSIntExit,在退出中断服务时调用.由于中断服务程序可能会激活一个更高优先级的任务,因此OSIntExit对就绪任务队列进行检查,如果有更高优先级的任务且任务调度允许,则调用中断级的上下文切换例程,保存被中断的任务,运行高优先级的任务.OSIntCtxSw过程用于实现中断级的上下文切换,它由OSIntExit调用.OSIntCtxSw的主要功能是将被中断任务的执行环境保存到其堆栈中,而被中断任务堆栈指针的保存,高优先级任务执行环境的恢复与执行,由例程CmnCtxSw完成.因此,实现OSIntCtxSw的关键在于如何收集被中断任务的上下文.下面的代码段实现了中断级任务上下文的保存:OSlntCtxSwMSRCPSRC,#ARMMODEIRQ:OR:IBIT;SwitchtOIRQmodewithIRQdisabledADDSP,SP,#415:AdjuststackpointerofIRQmodeSYSmodewithlRQdisabledADDSESE#8:AdjustOSIntExitLDMFDSP!,Rl4LDMDBR121,R0ofsystemmodeSTMFDSP!,R01STMFDSP!,Rl4M0VRl4.Rl2LDMDBRl41,R0一Rl21STMFDSP!,R0一Rl2LDMDBRl41,R0STMFDSP!,R0)BCmnCtxSwPopLRSYSRl2containstheinitialaddressStorereturnaddressPCStoreLRSYSTransferstackpointerofIRQ5结论移植程序在普天慧讯和北京微芯力联合推出的WS一903嵌入式教学实验箱上实现,经该环境的多任务运行结果表明,系统稳定可靠.同时,移植的方法在同类ARM架构处理器上具有较强的通用性,移植程序在不同处理器上运行时,主要修改的地方在中断级任务切换部分程序和定时中断程序,工作量非常小,作者已在另外两款处理器($3C4510B和AT9140800)上移植得到验证.参考文献1LabrosseJJ.邵贝贝译.UC/OSII源码公开的实时嵌入式操作系统【M(第1版).北京:北京航空航天大学出版社,20032李驹光,聂雪媛,江泽明等.ARM应用系统开发详解基于$3C4510B的系统设计M.北京:清华大学出版社,20033ARMDeveloperSuite(Version1-21.DeveloperGuide.ARMLimited.1999MOVR12,SP;SavetheSPtotransferittoSYSmode4MC9328MX1ReferenceManua1.MotorolaCorporation,200204MSRCPSRC,#ARMMODESYS:OR:IBIT;Switchto(上接第145页)3.2.5数据库安全将数据库建立在裸设备上,这样不易被非法删除和修改.建立单独的应用库,同系统库Master独立开来,将数据库的用户管理放在Master库中,严格管理数据库超级用户sa的密码,而且数字和字母以及大小写字母要混合使用,规定一定时间间隔必须变换.3.2.6备份和恢复备份和恢复是非常有效的安全措施.系统每天日终时自动做数据库的Dump备份和表数据的Bcp备份.同时将备份出来的数据放在远程,实现了远程备份工作.通过这些措施以备系统出现意想不到的故障时进行快速数据恢复处理.3.3在业务环境上的安全实现(1)业务流程管理由业务管理部门制定详细的操作流程,要求业务人员严格按照规范的流程来运行系统,大大降低安全风险,有效防范了金融违规操作.(2)操作额度管理