格尔网上银行解决方案探析doc 32页正式版.docx
《格尔网上银行解决方案探析doc 32页正式版.docx》由会员分享,可在线阅读,更多相关《格尔网上银行解决方案探析doc 32页正式版.docx(22页珍藏版)》请在冰豆网上搜索。
格尔网上银行解决方案探析doc32页正式版
KOALSoftware安全白皮书
格尔网上银行安全方案
版本:
2.0
日期:
1999/12/21
上海格尔软件有限公司
格尔网上银行安全方案
概述
从第一家网络银行(InternetBank)——SecurityFirstNetworkBank(SFNB)1995年10月在网络上开业至今四年多。
开业后的短短几个月,即有近千万人次上网浏览,给金融界带来极大震撼。
于是更有若干银行立即紧跟其后在网络上开设银行,随即此风潮逐渐蔓延全世界,网络银行走进了人们的生活。
由于Internet无所不在,客户只要拥有帐号和密码便能在世界各地与Internet联网,处理个人交易。
这不仅方便客户,银行本身也可因此加强与客户的亲和性。
随着金融环境竞争加剧,银行不得不重新审视自身的服务方式。
在我国,已经有许多商业银行纷纷推出了网上银行服务。
网上银行系统在蕴藏着无限商机的同时,也带来了风险,对于开设网上银行服务的提供者来说,当务之急就是要解决安全问题。
为此,上海格尔软件公司在本文中介绍了一种网上银行系统安全方案。
在本文中所指的网上银行,包括了个人银行和企业银行两个概念,个人银行是指通过网络为个人银行业务提供服务,企业银行则是指通过网络为企业用户提供服务。
两者相比,个人银行业务应该具有较简便的操作界面,而企业银行更注重整个环节的安全性。
从广义来讲,安全的概念可以包括数据安全,系统安全和信息安全三个方面,数据安全是指通过采用系统备份,磁盘镜像等安全手段以防止数据丢失;系统安全是指通过系统加固,边界防御,入侵检测等手段以防止黑客攻击系统破坏数据;而信息安全则主要是指通过加密技术防止信息和数据在公开网络传输上被窃听、篡改和顶替。
信息安全包括四个功能:
数据保密,身份认证,数据完整性和防止抵赖。
本文并没有涉及到有关数据安全方面的概念,对系统安全作了一定的介绍,而对信息安全技术的实施则作了比较详细的方案设计。
本方案是基于上海格尔软件公司电子商务部开发的以下三个安全软件产品:
PKI加密模块,SSL代理和EnterpriseCA。
这三个产品为解决网上银行系统中数据加密,身份认证,数据完整性和防止抵赖等信息安全问题提供了完整的解决方案。
1
网上银行安全需求分析
1.1网上银行的业务安全分析
从功能划分,网上银行的业务可分为三类:
1.1.1公共信息发布
公共信息发布用于介绍网上银行的业务范围流程,金融公共信息等。
这类业务由于面向公众发布,不需要保证信息只能被特定团体或个人访问,需要的是保护信息不会被非法篡改。
目前在Internet上比较多的黑客事件都是篡改公共Web站点的内容,制造虚假信息或涂改页面。
如美国NASA和国防部站点被“黑”事件就是这类事件。
对于银行来说,公共金融信息虽然是公开的,但是如果被篡改某些敏感数据,如银行利率等,很可能会造成不必要的麻烦,对银行的名誉也会造成不利的影响。
因此,对这些内容的保护也是不能够忽视的。
Web站点内容被黑客篡改,是这些黑客通过主动攻击实现的。
例如,黑客通过密码字典猜测信息系统的特权口令,在获得特权口令之后,登录进入系统,篡改发布内容,制造不良影响。
对于这种情况,我们可以通过改进系统配置、增加防火墙防护、配置入侵检测模块和完善安全管理策略来实现安全保护,避免站点被非法篡改。
完善安全管理策略
黑客一般是通过分析网络管理上的漏洞以达到其攻击目的。
很难定义怎样的系统管理才是完善的,因为完善的系统管理是各方面的总和,例如对路由器以及其他主机定期更改密码,采用不规则密码,关闭不必要的服务,关闭防火墙任何不使用的端口等。
对于一个Unix系统,安全管理主要可分为四个方面:
1.防止未授权存取
权限控制是系统安全的基本问题,即防止未被授权的用户进入系统。
良好的用户意识,良好的口令管理(由系统管理员和用户双方配合),登录活动记录和报告,用户和网络活动的周期检查是防止未授权存取的关键。
2.防止泄密
数据保密也是系统安全的一个重要问题。
防止已授权或未授权的用户相互存取对方的重要信息,经常性的文件系统查帐,su登录和报告以及良好的用户保密意识都是防止泄密的手段。
3.防止用户滥用系统资源
一个系统不应被一个有意试图使用过多资源的用户损害,因为在高负载的情况下系统的安全性能往往会降低。
例如黑客通过占用整个磁盘空间来防止日志生成,不幸的是很多商业UNIX不能很好地限制用户对资源的使用。
因此系统管理员必须通过一些系统命令如PS命令,记帐程序df和du周期地检查系统.查出过多占用CUP的进程和大量占用磁盘的文件。
同时安装某些监控软件也是有效的手段之一。
4.维护系统的完整性
大多数情况下,维护系统完整是系统管理员的责任,例如:
周期地备份文件系统,系统崩溃后运行磁盘扫描检查,修复文件系统,检测用户是否正在使用可能导致系统崩溃的软件。
良好的安全管理策略对系统的安全水平起着至关重要的作用。
因此系统管理员可以将以下几个方面作为维护的重点:
系统配置 仔细研究最新的系统维护文档,完善系统各方面的安全配置,降低安全风险。
同时,周期性的维护系统,包括备份和安装补丁程序、订阅安全电子新闻。
系统隔离 将内网和外网进行隔离,确保银行业务前置机、业务主机和数据库服务器只处于内网中,内网和外网通过防火墙相连。
切断共享 Web服务器上的系统配置尽可能地保证安全。
关闭所有不必要的文件共享。
停止所有与业务无关的服务器进程,如Telnet、SMTP和FTP等服务器守护进程。
日志记录 打开日志记录功能,保存系统的访问日志记录,对其进行分析,可以有助于发现有问题的访问情况。
如有必要,使用专门的入侵检测模块。
口令策略 制定完善的口令策略,限制口令的最小长度和最长有效期,检查口令的质量。
专人专权 由专人负责系统安全和系统维护,减少不必要的用户管理权限,严格控制非系统管理员的权限和系统管理员的数量。
以下是一个简化的虚拟网上银行网络结构图:
图1网上银行网络结构图
从图中可以看到整个网络体系分为:
Internet,非军事区(DMZ),Intranet以及银行内部网四部分。
其安全等级从前往后逐次递增。
这些网段由两个网关连为一体。
首先防火墙将Internet和Intranet以及非军事区分离。
非军事区是所有用户可以访问的区域,而Intranet则只有特定用户才能访问,通过对防火墙的合理配置可以避免内部服务器被攻击,可以采用多级防火墙配置(如在非军事区和Internet之间用防火墙隔离)以提供更强的网络安全保护。
Intranet与网上内部网络由前置机相连,为了保证银行业务主机的运行安全,网上银行系统不直接连接业务主机,而是由特定的前置机来代理其请求,前置机只响应特定服务请求,然后将请求转换为特定消息格式发送给业务主机,收到应答后再将数据返回给请求者。
通过这种隔离进一步增强了系统的安全保证。
增加防火墙防护
在网络系统中,防火墙是一种装置,可使内部网络不受公共部分(整个Internet)的影响。
它能同时连接受到保护的网络和Internet两端,但受到保护的网络无法直接接到Internet,Internet也无法直接接到受到保护的网络。
如果要从受到保护的网络内部接到Internet,首先需要连接到防火墙,然后从防火墙接入Internet。
最简单的防火墙是双主机系统(具有两个网络连接的系统)。
防火墙有两种:
1.IP过滤防火墙
IP过滤防火墙在数据包一层工作。
它依据起点、终点、端口号和每一数据包中所含的数据包种类信息控制数据包的流动。
这种防火墙非常安全。
它阻挡别人进入内部网络。
过滤防火墙是绝对性的过滤系统。
即使要让外界的一些人进入防火墙之内,也无法让每一个人进入服务器。
2.代理服务器
代理服务器允许通过防火墙间接进入Internet。
最好的例子是先连接到防火墙,然后从该处再连接到另一个系统。
在有代理服务器的系统中,这项工作是完全自动的。
利用客户端软件连接代理服务器后,代理服务器启动它的客户端软件(代理),然后传回数据。
只要配置正确,代理服务器就绝对安全,它阻挡任何人进入内部网络,因为没有直接的IP通路。
在网上银行系统中,由于Web服务器需要连接到Internet,因此,我们建议在Web服务器和Internet之间架设一个IP过滤防火墙。
配置入侵检测模块
除了防火墙之外,配置入侵检测模块也是一个重要的安全措施。
例如,对于银行帐户和密码,入侵者可能尝试枚举攻击,由于密码长度有限且均为数字,密码空间比较小。
如果入侵者知道帐户号码,很容易通过枚举攻击猜测出帐户密码。
入侵攻击的特点是在一个攻击源同时发出密集攻击数据。
自然,这些攻击数据对于查询系统来说,可能是合法的查询参数,它的特点是在同一个攻击源同时发出大批量查询请求。
普通情况下,一个用户连接后不会非常频繁的查询数据(每分钟最多不超过5次查询),而且查询的帐户号码也有限(每分钟最多不超过10个帐户)。
相反,入侵者为了猜测密码,会大批量、长时间、从同一地点发出攻击信息。
这种攻击模式是能够被检测到的。
检测到异常情况之后,检测模块能够自动予以记录和预警。
自动预警甚至可以通过寻呼机通知系统管理员。
1.1.2网上帐户查询
网上账户查询是指网上银行通过Internet进行帐户实时查询功能,企业银行的查询功能包括:
●余额查询
●交易历史查询
●汇款查询
●公司对公账户查询
个人银行的查询功能包括:
●公积金账户查询
●交易明细查询
●定期到期查询
●消费积分查询
网上账户查询的安全需求比公共信息发布要更高,因此网上账户对系统安全也有同样的需求,而且,除此之外,网上账户查询的还需要解决用户的私有信息(口令,账户数据)在Internet这个公开网络上传输的安全问题。
而这些属于信息安全范畴。
网上账户查询的信息安全功能应包括两个方面:
身份认证和数据保密。
身份验证
传统银行业务的身份验证方案主要是通过口令或PIN来实现的,它具有以下两个特点:
1.PIN一般为4-8个数字,范围比较窄。
2.银行主机记录用户输错PIN的次数,一旦超过一定数量,就自动关闭该账户的服务功能。
在网上银行业务中,仅通过这样的方式来进行身份验证,存在很大的不足:
1.由于网上银行业务的通信信道是公开网络,所以口令明文传输容易被截获。
2.在网络上,口令猜测是黑客使用最多的攻击手段,即使使用蛮力攻击法,攻破8位的数字口令也只需很短的时间。
3.在网上提供服务,很难对错误PIN输入进行限制。
网络的信道故障或者人为的恶意行为都很容易使输错口令次数达到限制。
错误次数限制会给合法的用户带来了很大的不便。
因此,传统的口令验证难以成为网上银行业务的唯一身份认证技术。
在网络应用中,目前采用较多的方法是动态口令(例如Kerberos),令牌卡和数字证书认证技术。
这些技术配合口令机制,就称为双因子身份认证技术。
SSL协议是采用最为广泛的数字证书身份认证技术。
它不但可以解决身份认证,也解决了数据保密问题,所以目前大部分网上应用,包括网上银行都采用SSL技术来实现身份认证。
关于SSL技术的具体介绍参见本文第三章。
简单地说,SSL就是在传输数据前,服务器和客户双方通过数字证书进行“握手”,验证对方的数字证书是否合法,并且约定一个临时的会话密钥,对接下来要传输的数据进行加密。
SSLV2.0不支持客户证书,客户可以通过验证服务器的证书来判断服务器的合法性,服务器则无法验证客户的证书,通常服务器仍然通过口令验证客户的身份,由于口令在传输时已经被加密,所以安全性有了很大的提高。
SSLV3.0对V2.0进行了扩展,支持客户证书,这时服务器就可以验证客户的证书,只有那些拥有合法证书的用户才能继续保持与服务器的连接,如果配合口令验证,就成为双因子身份认证。
采用数字证书的安全体现在私钥的安全,只要私钥不
升级会员 