網上銀行網絡安全對策淺談

郝曉磊

（1.山西省農村信用社聯合社，山西 太原 030001；2.太原理工大學，山西 太原 030024）

1 網上銀行總體情況概述

1.1 網銀網絡安全需求分析

各商業銀行由于自身業務系統的差異，對網銀系統應用架構會有不同的設計，但基本的技術構成是類似的，其各部分的功能也相似。

1.1.1 網銀WEB服務器

網銀WEB服務器是網銀業務面向互聯網客戶的主用界面，網銀WEB直接暴露于互聯網上，因此，WEB服務器前不僅要通過防火墻實現基于網絡層或傳輸層的訪問控制，通過部署IPS實現深度安全檢測，還需要通過流量清洗設備實現DDOS攻擊防御。另外，由于安全防護要求不同，建議將網銀WEB服務器與銀行門戶WEB服務器部署在不同的網絡區域內，以防止門戶WEB的安全漏洞對網銀業務的影響。

網銀WEB服務器與用戶瀏覽器間通過HTTPS協議保證數據的私密性與完整性，為了減少WEB服務器進行密鑰交換與加解密的工作負擔，建議在WEB服務器前部署SSL卸載設備，既可實現HTTPS協議加速，又可實現業務負載分擔和服務高可用性。

1.1.2 網銀APP服務器

網銀APP（應用）服務器提供網銀系統的業務邏輯，包括會話管理、提交后臺處理以及向WEB服務器提交應答頁面等。APP服務器與WEB服務器共同構成網銀業務（如網上支付與結算、網銀轉賬、基金交易、網上理財等）運行環境。由于WEB服務器與互聯網客戶瀏覽器之間承載數據的SSL協議不具備數字簽名功能，所以網銀客戶端的數字簽名通常由瀏覽器插件程序完成，而服務器端的驗簽工作則由單獨的驗簽服務器完成。客戶簽名的交易數據經由WEB服務器提交給APP服務器，再由APP服務器向驗簽服務器發起驗簽請求。

APP服務器作為網銀系統的核心組件，應保障其服務高可用性與網絡訪問安全性。在APP服務器前部署服務器負載分擔設備可實現業務流量在多臺服務器間的均勻分配，從而提升業務的響應速度和服務高可用性。另外，部署負載分擔設備后，可根據網銀業務量的大小動態配置APP服務器，可提高業務擴展能力。

從安全角度考慮，由于APP服務器與網銀WEB服務器所處的安全區域不同，因此在網銀WEB服務器與APP服務器之間應部署防火墻實現訪問控制。APP服務器前通常不需要部署IPS設備。

1.1.3 網銀DB服務器

網銀DB（數據庫）服務器的主要作用是保存、共享各種及時業務數據（如客戶支付金額）和靜態數據（如利率表），支持業務信息系統的運作，對登錄客戶進行合法性檢查。DB服務器通常需要與存儲整列連接，并且DB服務器通常采用雙機互為備份的方式以保證高可用性。

網銀DB服務器與網銀APP服務器的安全防護需求基本相同，但DB服務器只允許來自APP服務器的訪問，WEB服務器禁止直接訪問DB服務器。APP服務器與DB服務器可以部署在同一個安全區域內，也可分別部署在兩個不同的安全區域內。如部署在同一安全區域內，則APP與DB服務器將以同一個防火墻作為安全邊界，而APP與DB之間的互訪控制可通過接入交換機上的ACL實現。建議將APP與DB分別部署于各自獨立的安全區域，并以不同的防火墻作安全邊界，這樣部署有更高的安全性、更清晰的安全策略以及更好的網絡可擴展性。

1.1.4 RA服務器、簽名驗證服務器

RA服務器與簽名驗證（驗簽）服務器都是與網銀交易中數字簽名相關的系統。RA（Registration Authority，數字證書注冊審批機構）服務器是PKI體系中CA服務器的延伸，RA負責向CFCA（中國金融認證中心）的CA或銀行自建的CA申請審核發放證書。驗簽服務器負責對用戶提交的交易數據進行數字簽名驗證。

RA服務器與驗簽服務器都與APP服務器間有數據交互，但RA服務器還需要通過互聯網（或專線）與CFCA的CA服務器相連，因此，RA與驗簽服務器應部署在不同的安全區域內。通常是將RA與WEB服務器部署在一個安全區域內，而將驗簽服務器與APP服務器部署在一個安全區域內，APP服務器與RA服務器的訪問需要通過防火墻作訪問控制。

1.1.5 綜合業務系統、網銀前置、網銀管理服務器

網銀的賬務處理、客戶數據及密碼的存放都在綜合業務系統中完成。網銀前置（或ESB系統）負責將APP服務器提交的業務請求經過協議處理、數據格式轉換或加密后轉交到綜合業務系統的主機進行處理。位于網點的客戶端通過訪問網銀管理服務器實現網銀用戶管理功能。上述3種業務系統都部署在銀行數據中心內網區，APP服務器與三者間都存在直接或間接的訪問關系，由于網銀APP服務器與數據中心內網區分屬不同的網絡安全區域，所以兩者間的網絡通信需要通過防火墻進行訪問控制。

1.2 存在的安全風險

目前，國內商業銀行網絡及信息系統主要面臨的安全風險。從兩個基本的角度來進行，即外部安全風險和內部安全風險。

外部安全風險主要是指通過互聯網平臺及接入產生的風險。

內部安全風險主要是指由內部人員從事網絡辦公相關活動帶來的威脅所產生的風險。

2 網銀風險防范對策

2.1 從銀行角度闡述風險防范對策

2.1.1 建立良好的網絡銀行風險管理體系

加強對網絡銀行自身特點的研究，做好事前分析與防范工作，完善組織機構和管理制度,制訂一整套自上而下的風險管理組織機構和管理規章制度。定期不定期進行深入性檢查與整改，確保制度執行能夠落到實處。

2.1.2 注重利用先進、成熟的技術手段

進一步搞好網絡銀行系統的基礎建設，充分利用當前先進、成熟的技術手段，設計安全、合理的網銀安全架構，在軟、硬件設備方面縮小與發達國家的差距,提高關鍵設備的安全防御能力。

2.1.2.1 網銀分區安全部署要求

從網銀業務的角度分析了網銀系統中各類服務器的網絡安全需求，各服務器區以防火墻作為區域安全邊界，各區域邊界防火墻采用不同廠家的產品，由此在整體布局上形成了“多層異構防火墻”安全架構。從業務功能上考慮，還可將這種安全架構劃分成4個功能區域：互聯網接入區、DMZ區（接入WEB服務器、RA服務器）、網銀業務區（接入APP服務器、DB服務器）、數據中心內網區。

各功能區域的網絡安全部署要求如下：

互聯網接入區：部署鏈路分擔設備，提供多ISP的互聯網接入，并承擔網銀域名解析；部署流量清洗，防御DDOS攻擊；部署外網邊界防火墻，實現互聯網與DMZ區隔離。

DMZ區：部署網銀WEB服務器、門戶WEB服務器，RA服務器；部署IPS，為WEB服務器提供深層安全保護；部署SSL卸載&服務器負載分擔設備，優化HTTPS響應速度并保證WEB業務高可用性；部署WEB-APP邊界防火墻，實現DMZ與網銀業務區的隔離。

網銀業務區：部署網銀APP服務器、網銀DB服務器、驗簽服務器；APP服務器前可部署服務器負載分擔設備，用于業務優化和提高可用性；APP服務器與DB服務器間可部署防火墻實現訪問控制；部署內網邊界防火墻，實現網銀業務區與數據中心服務器區間的隔離。

數據中心內網區：部署綜合業務系統主機、網銀前置（或ESB系統）服務器、網銀管理服務器；采用“核心-邊緣”分區模塊化架構，各服務器區圍繞網絡核心區部署，各服務器區與網絡核心區之間通過防火墻作訪問控制。

2.1.2.2 網銀網絡安全架構設計的網絡拓撲

各功能區間采用串行方式連接，在連接點通過防火墻實現區域間的訪問控制。在這種拓撲下，業務流量沿著“互聯網接入區”、“DMZ”、“網銀業務區”、“數據中心內網區”的方向流動，跨區域流量都要經過防火墻的過濾，考慮到異構安全性的優勢，各區域邊界防火墻應采用不同廠商的設備。

吸取數據中心“核心-邊緣”模式的優點，在網銀網絡中部署核心交換機，網銀的各功能區圍繞核心交換機部署，在各功能區的匯聚交換機上部署安全（防火墻、IPS）和應用優化設備（負載分擔、SSL卸載），于是構建了網銀的扁平化網絡拓撲，這種設計扁平化部署的好處是擴展性好。

在網銀的互聯網接入區建議部署“流量清洗設備”以實現對DDOS等攻擊行為的防護。流量清洗設備用與網銀的互聯網出口路由器建立BGP Peer，并發布BGP更新路由通告，路由器將進入網銀的流量都轉發到清洗設備上，清洗設備對進入的流量做監控檢查，當沒有DDOS攻擊流量時，清洗設備會將報文回注到網銀出口路由器，此后報文將進行正常轉發流程。當發現DDOS攻擊流量時，清洗設備會將DDOS報文刪除，并將正常流量回注到網銀出口路由器，正常網銀流量不受影響。

為了規避運營商出口故障帶來的網絡可用性風險，網銀出口通常租用兩個或多個運營商出口（電信、網通等）。鏈路負載設備通過動態域名解析方式，能夠利用就近性算法動態計算鏈路的質量，保證用戶訪問WEB服務器的鏈路是當前最優的鏈路。另外，鏈路分擔設備還通過健康性檢測，可以檢查鏈路內任意節點的連通性，從而有效保證整條路徑的可達性。

為保證信息的私密性，要對網上傳輸的信息進行加密，使未經授權者無法了解信息內容。建立并使用入侵檢測系統（IDS），定期對網絡銀行系統進行安全漏洞的偵查掃描。

2.2 網銀安全風險防范從金融監管、網銀用戶角度提高警惕

（1）網絡銀行同樣需要政府監管,以保護公眾利益,降低銀行業的經營風險。網絡銀行作為新興業務渠道，自身特點決定一旦發生風險，對銀行本身，甚至整個金融行業的影響巨大。要防范業務風險和系統風險，就要加強法律對網絡銀行市場準入的監管。必須有嚴密的安全對策、制度規范和操作程序，建立以安全為中心的制度保障體系。

（2）網絡銀行用戶作為網絡銀行終端的管理者與使用者，在網絡銀行的安全機制中有著不可替代的作用，是網絡銀行安全的最終環節。因此，網銀用戶需要有效防范木馬與病毒對終端系統的攻擊，安裝網絡銀行終端系統的個人電腦上安裝防病毒軟件，并經常更新軟件版本與病毒庫、安裝軟件防火墻、安裝木馬清除軟件，定期更新木馬庫，掃描與清除木馬。第二，使用IC卡和USB卡物理介質的證書認證方式。通過證書驗證客戶身份，確保其真實性，防止其他人員非法使用。第三，認清網絡銀行網址，避免進入“假網銀”。

3 結束語

網銀業務的高技術性、無紙化和瞬時性的特點，決定了其經營風險要高于實體銀行業務，其中，技術風險是其核心內容，也是金融機構和廣大客戶最為關注的問題，只有采用合理的安全架構，綜合運營各類安全技術手段（如防火墻、入侵檢測、數字證書等），才能有效預防技術風險可能造成的經濟損失和信用影響。