導語：網(wǎng)銀安全應對策略綜述一文來源于網(wǎng)友上傳，不代表本站觀點，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

1背景簡介

網(wǎng)上銀行作為一種全新的銀行客戶服務提交渠道，使客戶在享受銀行提供的服務時不受時間、空間的限制，因此，近幾年各商業(yè)銀行的網(wǎng)上銀行業(yè)務發(fā)展迅速。據(jù)CFCA(201l中國網(wǎng)上銀行調查報告》顯示，個人網(wǎng)銀用戶比例為27．6％，企業(yè)網(wǎng)銀則替代了60．3％的柜臺業(yè)務。網(wǎng)銀業(yè)務高速發(fā)展的同時，安全性始終是用戶與銀行的關注重點。對用戶而言，提升防范意識并掌握必要的安全技術措施才能有效規(guī)避交易風險。對于銀行來說，采用合理的網(wǎng)絡安全架構，綜合運營各類安全技術手段(如防火墻、入侵檢測、服務器群組防護等)，才能避免網(wǎng)絡安全問題造成的損失。

2安全分析

各商業(yè)銀行由于自身業(yè)務系統(tǒng)的差異，對網(wǎng)銀系統(tǒng)應用架構會有不同的設計，但基本的技術構成是類似的，其各部分的功能也相似。圖l是較為典型的網(wǎng)銀應用系統(tǒng)結構。

2．1網(wǎng)銀Web服務器

網(wǎng)銀Web服務器是網(wǎng)銀業(yè)務面向互聯(lián)網(wǎng)客戶的主要界面，當前互聯(lián)網(wǎng)上有很多基于web應用的攻擊，由于網(wǎng)銀web直接暴露于互聯(lián)網(wǎng)上，因此，Web服務器前不僅要通過防火墻實現(xiàn)基于網(wǎng)絡層、傳輸層或應用層的訪問控制，通過部署IPS實現(xiàn)深度安全檢測，還需要通過流量清洗設備實現(xiàn)DD0S攻擊防御。另外，由于安全防護要求不同，建議將網(wǎng)銀Web服務器與銀行門戶Web服務器部署在不同的網(wǎng)絡區(qū)域內，以防止門戶Web的安全漏洞對網(wǎng)銀業(yè)務的影響。網(wǎng)銀Web服務器與用戶瀏覽器間通過HTTPS協(xié)議保證數(shù)據(jù)的私密性與完整性，為了降低Web服務器進行密鑰交換與加解密的工作負擔，建議在Web服務器前部署SSL設備。在網(wǎng)銀Web服務器前部署服務器群組防護系統(tǒng)，既可實現(xiàn)HTTPS協(xié)議加密，又可實現(xiàn)業(yè)務負載分擔和服務高可用性。

2．2網(wǎng)銀APP服務器

網(wǎng)銀APP(應用)服務器提供網(wǎng)銀系統(tǒng)的業(yè)務應用，包括會話管理、提交后臺處理以及向Web服務器提交應答頁面等。APP服務器與Web服務器共同構成網(wǎng)銀業(yè)務(如網(wǎng)上支付與結算、網(wǎng)銀轉帳、基金交易、網(wǎng)上理財?shù)?運行環(huán)境。由于Web服務器與互聯(lián)網(wǎng)客戶瀏覽器之間承載數(shù)據(jù)的SSL協(xié)議不具備數(shù)字簽名功能，所以網(wǎng)銀客戶端的數(shù)字簽名通常由瀏覽器插件程序完成，而服務器端的驗簽工作則由單獨的驗簽服務器完成?？蛻艉灻慕灰讛?shù)據(jù)經由Web服務器提交給APP服務器，再由APP服務器向驗簽服務器發(fā)起驗簽請求。上述工作流程決定了APP服務器作為網(wǎng)銀系統(tǒng)的核心組件，應保障其服務高可用性與網(wǎng)絡訪問安全性。在APP服務器前部署服務器負載分擔設備可實現(xiàn)業(yè)務流量在多臺服務器問的均勻分配，從而提升業(yè)務的響應速度和服務高可用性。另外，部署負載分擔設備后，可根據(jù)網(wǎng)銀業(yè)務量的大小動態(tài)配置APP服務器，可提高業(yè)務擴展能力。從安全角度考慮，由于APP服務器與網(wǎng)銀Web服務器所處的安全區(qū)域不同，因此在網(wǎng)銀Web服務器與APP服務器之間應部署防火墻實現(xiàn)訪問控制。

2．3網(wǎng)銀DB服務器

網(wǎng)銀DB(數(shù)據(jù)庫)服務器的主要作用是保存、共享各種及時業(yè)務數(shù)據(jù)(如客戶支付金額)和靜態(tài)數(shù)據(jù)(如利率表)，支持業(yè)務信息系統(tǒng)的運作，對登錄客戶進行合法性檢查。DB服務器通常需要與存儲整列連接，并且DB服務器通常采用雙機互為備份的方式以保證高可用性。網(wǎng)銀DB服務器與網(wǎng)銀APP服務器的安全防護需求基本相同，但DB服務器只允許來自APP服務器的訪問，WEB服務器禁止直接訪問DB服務器。APP服務器與DB服務器可以部署在同一個安全區(qū)域內，也可分別部署在兩個不同的安全區(qū)域內。如部署在同一安全區(qū)域內，則APP與DB服務器將以同一個防火墻做為安全邊界，而APP與DB之間的互訪控制可通過接入交換機上的ACL實現(xiàn)。建議將APP與DB分別部署于各自獨立的安全區(qū)域，并以防火墻作安全邊界，這樣部署有更高的安全性，更清晰的安全策略以及更好的網(wǎng)絡可擴展性。

2．4RA服務器、簽名驗證服務器

RA服務器與簽名驗證(驗簽)服務器都是與網(wǎng)銀交易中數(shù)字簽名相關的系統(tǒng)。RA(RegistrationAuthority，數(shù)字證書注冊審批機構)服務器是PKI體系中CA服務器的延伸，RA負責向CFCA(中國金融認證中心)的CA或銀行自建的CA申請審核發(fā)放證書。驗簽服務器負責對用戶提交的交易數(shù)據(jù)進行數(shù)字簽名驗證。RA服務器與驗簽服務器都與APP服務器間有數(shù)據(jù)交互，但RA服務器還需要通過互聯(lián)網(wǎng)(或專線)與CFCA的CA服務器相連，因此RA與驗簽服務器應部署在不同的安全區(qū)域內。通常是將謄謦萋j戴囊j懿方案RA與WEB服務器部署在一個安全區(qū)域內，而將驗簽服務器與APP服務器部署在一個安全區(qū)域內，APP服務器與RA服務器的訪問需要通過防火墻做訪問控制。

2．5綜合業(yè)務系統(tǒng)、網(wǎng)銀前置

網(wǎng)銀管理服務器網(wǎng)銀的賬務處理、客戶數(shù)據(jù)及密碼的存放都在綜合業(yè)務系統(tǒng)中完成。網(wǎng)銀前置(或ESB系統(tǒng))負責將APP服務器提交的業(yè)務請求經過協(xié)議處理、數(shù)據(jù)格式轉換或加密后轉交到綜合業(yè)務系統(tǒng)的主機進行處理。位于網(wǎng)點的客戶端通過訪問網(wǎng)銀管理服務器實現(xiàn)網(wǎng)銀用戶管理功能(如開戶、注銷、證書下載、密碼修改等)。上述三種業(yè)務系統(tǒng)都部署在銀行數(shù)據(jù)中心內網(wǎng)區(qū)，APP服務器與三者問都存在直接或間接的訪問關系，由于網(wǎng)銀APP服務器與數(shù)據(jù)中心內網(wǎng)區(qū)分屬不同的網(wǎng)絡安全區(qū)域，所以兩者問的網(wǎng)絡通信需要通過防火墻進行訪問控制。

3安全部署

前文從網(wǎng)銀業(yè)務的角度分析了網(wǎng)銀系統(tǒng)中各類服務器的網(wǎng)絡安全需求，各服務器區(qū)以防火墻作為區(qū)域安全邊界，如圖2所示。從業(yè)務功能上考慮，還可將這種安全架構劃分成四個功能區(qū)域：互聯(lián)網(wǎng)接入?yún)^(qū)、DMZ區(qū)(接入WEB服務器、RA服務器)、網(wǎng)銀業(yè)務區(qū)(接入APP服務器、DB服務器)、數(shù)據(jù)中心內網(wǎng)區(qū)。各功能區(qū)域的網(wǎng)絡安全部署如下：

(1)互聯(lián)網(wǎng)接入?yún)^(qū)①部署鏈路分擔設備，提供多ISP的互聯(lián)網(wǎng)接入，并承擔網(wǎng)銀域名解析；②部署流量清洗，防御DDoS攻擊；③部署外網(wǎng)邊界防火墻，實現(xiàn)互聯(lián)網(wǎng)與DMZ區(qū)隔離。

(2)DMZ區(qū)①部署網(wǎng)銀WEB服務器、門戶WEB服務器，RA服務器；②部署IPS，為WEB服務器提供深層安全保捷③部署服務器群組防護系統(tǒng)，優(yōu)化HTTPS響應速度并保證WEB業(yè)務高可用性；④部署信息審計系統(tǒng)，防止敏感信息數(shù)據(jù)的泄露⑤部署邊界防火墻，實現(xiàn)DMZ與網(wǎng)銀業(yè)務區(qū)的隔離。

(3)網(wǎng)銀業(yè)務區(qū)①部署網(wǎng)銀APP服務器、網(wǎng)銀DB服務器、驗簽服務器；②APP服務器前可部署服務器群組防護系統(tǒng)，用于業(yè)務優(yōu)化和提高可用性；③APP服務器與DB服務器問通過交換機實現(xiàn)訪問控制；④部署內網(wǎng)邊界防火墻，實現(xiàn)網(wǎng)銀業(yè)務區(qū)與數(shù)據(jù)中心服務器區(qū)間的隔離。

(4)數(shù)據(jù)中心內網(wǎng)區(qū)①部署綜合業(yè)務系統(tǒng)主機、網(wǎng)銀前置(或ESB系統(tǒng))服務器、網(wǎng)銀管理服務器；②采用“核心一邊緣”分區(qū)模塊化架構，各服務器區(qū)圍繞網(wǎng)絡核心區(qū)部署，各服務器區(qū)與網(wǎng)絡核心區(qū)之間通過防火墻做訪問控制。

4結束語

網(wǎng)銀業(yè)務的高技術性、無紙化和瞬時性的特點，決定了其經營風險要高于實體銀行業(yè)務，而技術風險又是網(wǎng)銀風險的核心內容，也是金融機構和廣大客戶最為關注的問題，這些技術風險主要包括交易主體的身份識別、交易過程的商業(yè)機密、電子通信的安全、交易和其他記錄的保存和管理等。只有采用合理的安全架構，綜合運營各類安全技術手段(如防火墻、入侵檢測、服務器群組防護等)，才能有效預防技術風險可能造成的經濟損失和信用影響。