安全生产_网上银行安全系统课件

网上银行安全系统 Shanxixian20130516 一 网上银行安全系统概述二 网上银行系统安全需求三 安全系统架构四 安全检测方案五 评价 一 网上银行安全系统概述 背景安全是网上银行应用推广的基础 网上银行的安全系统是为了保证网上银行系统的数据不被非法存取或修改 保证业务处理按照银行规定的流程被执行 如何保证网上银行交易系统的安全 关系到银行内部整个金融网的安全 也关系到银行客户的资金安全 因此 网上银行的安全建设至关重要 二 网上银行系统安全需求 业务逻辑安全需求数据安全需求 1 业务逻辑安全需求 身份认证需求访问控制需求交易重复提交控制需求 身份认证需求在双方进行交易前 首先要能确认对方的身份 要求交易双方的身份不能被假冒或伪装 同时客户端容易感染木马病毒 普通的静态密码认证已不能满足网络银行的安全需求 网银系统需要更有效的身份认证系统 1 业务逻辑安全需求 访问控制需求访问控制是网上银行安全子系统中的核心安全策略 对关键网络 系统和数据的访问必须得到有效的控制 这就要求系统能够确认访问者的身份 谨慎授权 并对任何访问进行跟踪记录 1 业务逻辑安全需求 交易重复提交控制需求交易重复提交就是同一个交易被多次提交给网银系统 查询类的交易被重复提交将会无故占用更多的系统资源 而管理类或金融类的交易被重复提交后 后果则会严重的多 交易被重复提交可能是无意的 也有可能是蓄意的攻击 网银安全子系统必须对管理类和金融类交易提交的次数进行控制 这种控制即要有效的杜绝用户的误操作 还不能影响用户正常情况下对某个交易的多次提交 1 业务逻辑安全需求 2 数据安全需求 数据保密性需求数据完整性需求数据可用性需求数据不可伪造性需求数据不可抵赖性需求 2 数据安全需求 数据保密性需求数据保密性要求数据只能由授权实体存取和识别 防止非授权泄露 要对敏感重要的商业信息进行加密 即使别人截获或窃取了数据 也无法识别信息的真实内容 这样就可以使商业机密信息难以被泄露 从目前国内网银应用的安全案例统计数据来看 数据保密性需求主要体现在以下几个方面 客户端与网银系统交互时输入的各类密码 包括系统登录密码 转账密码 凭证查询密码等必须加密传输及存放 这些密码在网银系统中只能以密文的方式存在 其明文形式能且只能由其合法主体能够识别 网银系统与其它系统进行数据交换时必须进行端对端的加解密处理 这里的数据加密主要是为了防止交易数据被银行内部人士截取利用 数据的完整性需求数据完整性要求防止非授权实体对数据进行非法修改 交易各方能够验证收到的信息是否完整 即信息是否被人篡改过 或者在数据传输过程中是否出现信息丢失 信息重复等差错 通常网银系统中有两个地方需要对数据进行完整性检查 一是在网银用户提交交易数据签名时 另一种是网银系统与该行其它系统进行通讯时 需要检查报文的完整性 2 数据安全需求 数据的可用性需求数据可用性要求数据对于授权实体是有效 可用的 保证授权实体对数据的合法存取权利 对数据可用性最典型的攻击就是拒绝式攻击和分布式拒绝攻击 两者都是通过大量并发的恶意请求来占用系统资源 致使合法用户无法正常访问目标系统 网银系统可用性需求体现在以下几个方面 并发用户 并发连接 同时在线人数 中断允许的最大时间 对系统的访问时间的要求 2 数据安全需求 数据不可伪造性需求电子交易文件要能做到不可修改 2 数据安全需求 数据不可抵赖性需求在电子交易通信过程的各个环节中都必须是不可否认的 即交易一旦达成 发送方不能否认他发送的信息 接收方则不能否认他所收到的信息 2 数据安全需求 三 安全系统架构 PPDRR安全模型安全系统网络拓扑图安全策略安全防护方案安全检测方案安全恢复方案 三 安全系统架构 3 1PPDRR安全模型构建完善的安全系统解决方案 安全模型的选择至关重要 PDR模型是由ISS公司最早提出的入侵检测的一种模型 PDR是防护 Protection 检测 Detection 和响应 Response 的缩写 三者构成了一个首尾相接的环 也即 防护 检测 响应 防护 的一个循环 PDR模型有很多变体 在银行网络中最著名的是PPDRR模型 增加了策略 Policy 和恢复 Recovery PPDRR模型是典型的 公认的安全模型 它是一种动态的 自适应的安全模型 可适应安全风险和安全需求的不断变化 提供持续的安全保障 PPDRR模型包括策略 防护 检测 响应和恢复5个主要部分 防护 检测 响应和恢复构成一个完整的 动态的安全循环 在PPDRR模型安全策略的指导下共同实现安全保障 如下图所示 PPDRR安全模型 图1 PPDRR模型 3 2安全系统网络拓扑图 以PPDRR安全模型为基础设计的网银安全系统网络拓扑图如下图所示 安全系统网络拓扑图 通过拓扑图可以看出 整个网络系统通过三道防火墙划分为四个逻辑区域 按由外到内的顺序部署 最外层为是Internet区 非授信区 为网银用户客户端接入区域 第一道防火墙和第二道防火墙之间是隔离区 DMZ 在此区域中部署RA服务器以及网银系统的Web服务器等其它第三方应用系统 第二道防火墙和第三道防火墙之间是应用区 是网银系统的应用 DB区 在此区域中部署网银系统的应用服务器和数据库服务器 第三道防火墙之后为银行的核心系统 中间业务平台等第三方业务系统 在隔离区和应用区的Web服务器 应用服务器和数据库服务器都会有相应的双机热备方案 3 3安全策略 安全策略是整个安全体系的基础 构建安全系统需要工程师来操作 这就需要建立健全的规章制度和操作规范 使保护 检测 响应和恢复环节行之有效 一般的安全系统需要以下规章制度和操作规范 设备管理制度 机房管理制度 系统安全管理守则和明细 网络安全管理守则和明细 应用安全管理守则和明细 应急响应计划 灾难恢复计划等 3 4安全防护方案 身份认证系统权限控制系统边界控制防病毒网关传输加密安全的操作系统 3 4 1身份认证系统网上银行应用系统中的安全防护的第一道防线是身份认证 身份认证的技术有很多 可以分为两类 软件认证和硬件认证 其中软件认证多为用户自己知道的秘密信息 譬如用户名和密码 硬件认证包括IC卡 基于生物学信息的身份认证 比如指纹识别 虹膜识别 面部识别等 单纯的软件认证已不能满足网络银行系统的身份认证需求 所以网络银行多采用软硬件结合的双因子认证方式作为身份认证的辅助解决方案 其中流行的双因子认证多为动态密码 3 4安全防护方案 USBKey认证动态口令刮刮卡动态短信上面介绍的这四种身份认证的辅助解决方案可以在相当大的程度上杜绝目前流行的专门盗取客户的账号和密码的 盗号木马 的危害 USBKey认证 USBKey内置智能卡芯片 可以存储用户的密钥或数字证书 一般的USBKey都以CA认证为核心 采用双证书 加密证书 签名证书 双中心 认证中心 密钥中心 机制来做身份认证 通常还有个启动PIN码 提供对USBKey持有人的认证 这样不怕USBKey被别人盗用 动态口令 动态口令由专有的动态令牌定时生成 一般60秒随机更新一次 用户每次登陆输入完静态密码后直接输入动态口令牌显示窗口显示的6 8位密码即可 刮刮卡 刮刮卡是用一次性口令技术事先算出一次性口令的子集或全集 将这些口令印制在一张卡片上 刮刮卡密码本身为静态的数字 但是每次登陆网银系统的时候 系统会随机抽取一组坐标组合 由这组坐标组合对应的数字组合成动态密码 动态短信 动态短信是服务器端通过通信服务商向用户的手机上发送一次性密码短信 用户也可以通过拨打相应的客服电话来获得一次性密码 对客户来说几乎没有投入成本 安全性强 3 4 2权限控制系统权限控制包括网络的访问权限控制 设备的访问权限控制 服务器的远程访问权限控制 包括页面服务器 应用服务器 数据库服务器等 网银系统的权限控制 其中企业网银和后台管理系统涉及到多人在同一系统内的操作 权限控制尤其重要 3 4安全防护方案 3 4 3边界控制可以在网络边界设置多重的防火墙 防止外界的非法访问 在网络拓扑图中也可以清楚的看到 多种的防火墙可以保证网银系统和银行核心系统以及其他渠道系统的通信安全 其中第一重和第二重防火墙主要是防护互联网用户的非法入侵 第三道防火墙可以防护银行内部用户非法侵入网银系统 3 4安全防护方案 3 4 4防病毒网关病毒 蠕虫和木马等对网银系统安全造成极大威胁 防病毒必须软 硬件两手抓 设置防病毒网关对进入应用区的信息进行扫描 同时网银系统的程序本身也要防止SQL注入等应用层的安全漏洞 3 4安全防护方案 3 4 5传输加密数据加密的方法里有链路层加密 网络层加密及应用层加密 其中对网银来说 应用层的加密应用比较广泛 网银客户端至服务器端的安全连接可以采用SSL SecuritySocketLayer 协议 SSL已得到各主流浏览器内置的支持 由于标准的SSL协议 在采用客户端证书时 并未对用户的交易数据进行显式签名 所以一般的网银系统可通过在客户浏览器安装签名控件来完成 签名控件一方面可以完成数字签名 另一方面 通过自定义签名格式 只对需要的页面要素进行签名 去除不必要的数据被签名 3 4安全防护方案 3 4 6安全的操作系统银行交易服务器需要更高级别的安全性 而服务器的安全性又极大的依赖操作系统的安全性 可以在服务器上安装的增强型安全插件 防止缓冲器溢出攻击和服务器劫持等 3 4安全防护方案 四 安全检测方案 入侵检测系统状态监测系统安全审计系统 4 1入侵检测系统 入侵检测可以作为传统防火墙的辅助方案 可以根据入侵检测的结果进行防护 响应和恢复 入侵检测系统 IntrusionDetectionSystem 简称IDS 是采用相对应的入侵检测软件和硬件的集成 采用基于网络的入侵检测产品 NIDS 实时监控公共网络和银行网络间的通信 捕获网络入侵 采用基于主机的入侵检测产品 HIDS 监测服务器会话数据流和系统审计日志以捕获主机入侵 4 2状态监测系统 部署网络和主机的监控系统 监控网络和主机的运行状态 可以实时反映网银系统的性能 以及时做出相应的措施 4 3安全审计系统 在设置防火墙和入侵检测系统的同时 仍需要对网络银行输入输出的信息数据需要进行审查核实 防止敏感信息数据的泄露 在整个网络系统的各个单元中设置安全审计 从软硬件各方面入手发现安全漏洞 包括数据的安全与操作的安全等 安全恢复方案 负载均衡和双机热备网银系统的用户量大 访问和数据的流量也相应增加 所以目前的网络银行系统多会采用负载平衡策略 负载平衡的算法有多种 包括依序 比重 流量比例 自动分配等 对于应用IBMWebSphereApplicationServer作为应用服务器的网络银行系统多采用比重算法进行自动分配请求 此处讲的双机热备多指基于高可用系统的两台服务器的热备 包括页面服务器 应用服务器和数据库服务器等 其中页面服务器和应用服务器多配置为集群 可采用双主机方式 Active Active方式 数据库服务可以采用主 备方式 Active Standby方式 五 评价 1 PPDRR模型阐述的是网络安全最终的存在形态 并没有阐述实现目标体系的途径和方法 也没有涉及管理等方面的因素 2 PPDRR是一个平面上的网络安全模型 对于动态的防御思想表现得不充分 尽管以安全策略发中心 其它部分都是按此安全策略来进行 但各个部分在网络中执行的有效性没有及时传递给安全策略 也未对策略做出必要的评估和调整 3 PPDRR模型中的防护 检测 响应 恢复各个部分 在经过一周期后 才取得相应的联系 而未及时地相互直接取得联系 立体防御的思想就是将分散系统整合成一个异构网络系统 基于联动联防和网络集中管理 监控 将各部分有机结合 联动