淺談網(wǎng)上銀行的安全體系設(shè)計(jì)

摘要：自1999年我國推出網(wǎng)上銀行以來，網(wǎng)上銀行業(yè)務(wù)以其方便、直觀、基本覆蓋傳統(tǒng)銀行業(yè)務(wù)范圍等優(yōu)點(diǎn)，已經(jīng)成為人們?nèi)粘Ｉ钪胁豢煞指畹囊徊糠帧？蛻敉ㄟ^網(wǎng)上銀行可以在任何時(shí)間、任何地點(diǎn)、任何方式使用銀行提供的金融服務(wù)，足不出戶的辦理銀行業(yè)務(wù)。

本文以網(wǎng)上銀行安全體系為研究對象，分析網(wǎng)上銀行的安全區(qū)域劃分、數(shù)據(jù)流分析、風(fēng)險(xiǎn)點(diǎn)挖掘等內(nèi)容，從管理和技術(shù)兩個角度來設(shè)計(jì)網(wǎng)上銀行的安全體系。

關(guān)鍵詞：網(wǎng)上銀行 安全體系 設(shè)計(jì)

一、概述

網(wǎng)上銀行是商業(yè)銀行等金融機(jī)構(gòu)通過互聯(lián)網(wǎng)、移動通信網(wǎng)絡(luò)及其他開放性公眾網(wǎng)絡(luò)向其客戶提供各種金融服務(wù)的信息系統(tǒng)。網(wǎng)上銀行系統(tǒng)將傳統(tǒng)的銀行業(yè)務(wù)同互聯(lián)網(wǎng)等資源和技術(shù)進(jìn)行融合，將傳統(tǒng)的柜臺通過互聯(lián)網(wǎng)、移動通信網(wǎng)絡(luò)、其他開放性公眾網(wǎng)絡(luò)向客戶進(jìn)行延伸，是商業(yè)銀行開拓新業(yè)務(wù)、方便客戶操作、改善服務(wù)質(zhì)量、推動生產(chǎn)關(guān)系變革等的重要舉措，提高了商業(yè)銀行的社會效益和經(jīng)濟(jì)效益。

2005年實(shí)施的《電子簽名法》是促進(jìn)我國電子商務(wù)發(fā)展的點(diǎn)睛之筆。該法律既順應(yīng)了信息化的時(shí)代潮流，也符合我國信息化戰(zhàn)略的發(fā)展要求。《電子簽名法》不僅保障了網(wǎng)上交易的合法有效性，還從法律保障和權(quán)益保護(hù)的角度樹立廣大企業(yè)和社會公眾對電子支付安全性、可靠性的信心，為網(wǎng)上銀行等電子支付業(yè)務(wù)帶來了發(fā)展契機(jī)。

網(wǎng)上銀行的最大特點(diǎn)是開放性，不受地域與時(shí)間的限制。開放性帶來的優(yōu)點(diǎn)是交易成本的降低和交易便利性的提高，缺點(diǎn)是交易安全易受到威脅及通訊可靠性降低。因此，網(wǎng)上銀行業(yè)務(wù)設(shè)計(jì)應(yīng)充分發(fā)揮開放網(wǎng)絡(luò)低成本和便利的特點(diǎn)，有效應(yīng)對開放網(wǎng)絡(luò)通訊安全威脅，同時(shí)采取手段提高交易穩(wěn)定性和成功率。

與傳統(tǒng)銀行經(jīng)營模式相比，網(wǎng)上銀行的風(fēng)險(xiǎn)主要體現(xiàn)在操作風(fēng)險(xiǎn)與聲譽(yù)風(fēng)險(xiǎn)兩個方面。操作風(fēng)險(xiǎn)是指由不完善或有問題的內(nèi)部程序、員工、信息科技系統(tǒng)以及外部事件所造成損失的風(fēng)險(xiǎn)。網(wǎng)上銀行體現(xiàn)的操作風(fēng)險(xiǎn)主要包括：網(wǎng)絡(luò)故障引發(fā)的風(fēng)險(xiǎn)、黑客襲擊引發(fā)的風(fēng)險(xiǎn)、網(wǎng)上銀行系統(tǒng)可靠性、穩(wěn)定性、安全性的缺陷而導(dǎo)致的潛在損失風(fēng)險(xiǎn)、員工操作風(fēng)險(xiǎn)、客戶的疏忽引發(fā)的操作風(fēng)險(xiǎn)等幾個方面。操作風(fēng)險(xiǎn)具有普遍性與非營利性，商業(yè)銀行應(yīng)當(dāng)通過各種措施來降低操作風(fēng)險(xiǎn)的發(fā)生概率，降低風(fēng)險(xiǎn)發(fā)生帶來的損失。網(wǎng)上銀行引發(fā)的信譽(yù)風(fēng)險(xiǎn)尤指由于網(wǎng)上銀行業(yè)務(wù)遭受襲擊、出現(xiàn)損失、響應(yīng)緩慢、無法使用或者其他原因給網(wǎng)上銀行客戶造成經(jīng)濟(jì)損失、導(dǎo)致負(fù)面評價(jià)，對銀行造成信譽(yù)受損的風(fēng)險(xiǎn)。

網(wǎng)上銀行安全體系應(yīng)當(dāng)以保障國家金融安全及公眾利益為目標(biāo)，采取措施保障交易全過程的安全性，保障交易雙方的信任可信、交易信息的不泄露和不被篡改及不可抵賴。網(wǎng)上銀行安全體系建立過程是一個涵蓋風(fēng)險(xiǎn)管理、策略制定、規(guī)劃實(shí)施、審計(jì)、整改完善的動態(tài)運(yùn)作過程。

根據(jù)中國人民銀行頒布的《網(wǎng)上銀行系統(tǒng)信息安全通用規(guī)范》，網(wǎng)上銀行的安全區(qū)域包括外部區(qū)域、WEB訪問安全區(qū)域、網(wǎng)上銀行應(yīng)用安全區(qū)域、銀行內(nèi)部區(qū)域等。網(wǎng)上銀行的主要數(shù)據(jù)流量包括信息瀏覽、查詢、交易三類。信息瀏覽數(shù)據(jù)量基本在WEB訪問安全區(qū)域終結(jié)，大部分查詢類流量在網(wǎng)上銀行應(yīng)用安全區(qū)域終結(jié)，交易流量、部分查詢流量一般需要到銀行內(nèi)部核心區(qū)域訪問。可以看出，網(wǎng)上銀行的數(shù)據(jù)訪問流量具有明顯的分層分級特點(diǎn)，這個特點(diǎn)非常有利于我們進(jìn)行安全層級的劃分。

二、管理角度的安全體系設(shè)計(jì)

商業(yè)銀行應(yīng)當(dāng)充分重視網(wǎng)上銀行的安全工作，將之納入全行的安全體系建設(shè)工作中，從組織架構(gòu)、管理制度、人員配備、審計(jì)檢查、數(shù)據(jù)備份及災(zāi)難管理、系統(tǒng)運(yùn)維等多方面考慮，從管理上設(shè)計(jì)網(wǎng)上銀行的安全體系。

（一）組織架構(gòu)

應(yīng)建立與商業(yè)銀行發(fā)展戰(zhàn)略相匹配的網(wǎng)上銀行安全保障與風(fēng)險(xiǎn)管理組織架構(gòu)，從董事會、高級管理層到各部門均應(yīng)參與網(wǎng)上銀行的安全體系協(xié)調(diào)機(jī)制，明確各部門在其中的職責(zé)。

應(yīng)設(shè)立網(wǎng)上銀行安全保障與風(fēng)險(xiǎn)管理工作的主要負(fù)責(zé)部門，由該部門牽頭制定發(fā)布相關(guān)制度、規(guī)范、流程，協(xié)調(diào)跨部門的應(yīng)急演練等工作，明確該部門在涉及網(wǎng)上銀行業(yè)務(wù)時(shí)和其他各相關(guān)部門的職責(zé)范圍、工作流程和溝通協(xié)調(diào)機(jī)制。

（二）管理制度

建立貫穿網(wǎng)上銀行業(yè)務(wù)運(yùn)作、系統(tǒng)設(shè)計(jì)、編碼、測試、集成、運(yùn)行維護(hù)以及評估、應(yīng)急處置等過程，并涵蓋安全制度、安全規(guī)范、安全操作規(guī)程和操作記錄手冊等方面的安全管理制度體系。

（三）人員配備

網(wǎng)上銀行應(yīng)當(dāng)配備專門的安全管理員、系統(tǒng)管理員、網(wǎng)絡(luò)管理員，有條件的商業(yè)銀行還應(yīng)為網(wǎng)上銀行配備專門的數(shù)據(jù)備份與恢復(fù)人員。堅(jiān)持關(guān)鍵崗位的不兼容原則，堅(jiān)持開發(fā)與運(yùn)維分離、技術(shù)與業(yè)務(wù)分離、操作與審計(jì)分離。應(yīng)當(dāng)建立外包人員、外包廠家的管理制度，從事網(wǎng)銀相關(guān)工作的人員應(yīng)進(jìn)行身份驗(yàn)證、背景調(diào)查等審查程序，簽署保密協(xié)議。

（四）審計(jì)檢查

定期對網(wǎng)上銀行進(jìn)行內(nèi)部IT審計(jì)，全面審視制度的制定與執(zhí)行情況。改進(jìn)傳統(tǒng)審計(jì)方法，充分利用現(xiàn)代化的網(wǎng)絡(luò)和信息技術(shù)，采用計(jì)算機(jī)輔助審計(jì)技術(shù)，如利用追蹤與標(biāo)示技術(shù)來監(jiān)控審計(jì)數(shù)據(jù)處理是否正確。要加強(qiáng)對操作記錄、操作日志的審計(jì)工作，保障日常變更有章可循，記錄清楚。

應(yīng)充分利用兩年一次的外部審計(jì)對網(wǎng)上銀行的運(yùn)維進(jìn)行安全審計(jì)，發(fā)現(xiàn)并整改問題。

（五）數(shù)據(jù)管理及災(zāi)難備份

網(wǎng)上銀行應(yīng)該加強(qiáng)網(wǎng)上銀行的數(shù)據(jù)管理工作，定期對網(wǎng)上銀行的數(shù)據(jù)進(jìn)行備份。對備份方式、備份周期、存儲介質(zhì)及保存方式等內(nèi)容進(jìn)行規(guī)范，定期組織備份數(shù)據(jù)的恢復(fù)測試工作。

有條件的商業(yè)銀行應(yīng)當(dāng)將網(wǎng)上銀行的業(yè)務(wù)納入到全行的災(zāi)難備份計(jì)劃中，并根據(jù)全行的統(tǒng)一計(jì)劃進(jìn)行相關(guān)的演練與切換工作。

（六）系統(tǒng)運(yùn)維管理

商業(yè)銀行應(yīng)當(dāng)高度重視機(jī)房的安全管理工作，對有關(guān)機(jī)房物理訪問，物品帶進(jìn)、帶出機(jī)房和機(jī)房環(huán)境安全等方面的管理明確規(guī)定。對“風(fēng)火水電”指定專人負(fù)責(zé)，定期巡檢，加強(qiáng)保密管理。加強(qiáng)對設(shè)備的管理工作，尤其是設(shè)備外修等情況的管理工作。

針對網(wǎng)上銀行的變更、升級、改造，應(yīng)當(dāng)科學(xué)規(guī)劃、充分論證、嚴(yán)格審查。記錄變更文檔與變更記錄。減少緊急變更，制定日常性的變更管理，保障變更具有充分的調(diào)研、設(shè)計(jì)、測試與審查時(shí)間。

三、技術(shù)角度的安全體系設(shè)計(jì)

商業(yè)銀行還應(yīng)當(dāng)充分重視網(wǎng)上銀行的安全技術(shù)防范，從軟件及應(yīng)用層面風(fēng)險(xiǎn)防范、網(wǎng)絡(luò)架構(gòu)、安全防護(hù)設(shè)備、應(yīng)急響應(yīng)等方面綜合設(shè)計(jì)網(wǎng)上銀行的安全體系。

（一）防范軟件風(fēng)險(xiǎn)

此處所指的軟件主要包括網(wǎng)上銀行系統(tǒng)程序軟件、操作系統(tǒng)軟件、數(shù)據(jù)庫軟件、中間件等應(yīng)用程序軟件。應(yīng)用程序方面應(yīng)當(dāng)從防攻擊、保護(hù)數(shù)據(jù)完整性、防抵賴、防重發(fā)等方面保障安全。

首先，應(yīng)高度重視網(wǎng)銀程序自身的風(fēng)險(xiǎn)。在開發(fā)過程中，應(yīng)當(dāng)引進(jìn)內(nèi)部審計(jì)對關(guān)鍵里程碑進(jìn)行審計(jì)。開發(fā)結(jié)束后，應(yīng)當(dāng)進(jìn)行多輪測試，力爭在程序正式上線前就能夠發(fā)現(xiàn)潛在風(fēng)險(xiǎn)并加以改正。程序正式上線后發(fā)現(xiàn)的問題，應(yīng)當(dāng)充分論證后再行升級修改，避免緊急變更。

其次，應(yīng)充分重視OS漏洞、數(shù)據(jù)庫漏洞、中間件漏洞等的管理工作。一方面，通過外部安全評估部門出具的評估報(bào)告。另一方面內(nèi)部定期開展漏洞掃描工作，獲得現(xiàn)有系統(tǒng)的較為全面的漏洞清單及風(fēng)險(xiǎn)。然后組織相關(guān)人員討論漏洞修復(fù)的可行性，咨詢軟件廠家的意見，并充分參考同業(yè)的實(shí)施情況。在測試環(huán)境中先行測試，未發(fā)現(xiàn)次生問題后再行組織生產(chǎn)環(huán)境的漏洞修復(fù)工作。

再次，在應(yīng)用層面的設(shè)計(jì)中體現(xiàn)安全設(shè)計(jì)。利用身份鑒別、數(shù)據(jù)完整性、簽名防抵賴性、時(shí)間戳等技術(shù)來實(shí)現(xiàn)應(yīng)用層面的安全。

1.身份鑒別提高安全。在網(wǎng)銀系統(tǒng)中，用戶的身份認(rèn)證依靠基于“RSA公鑰”的加密機(jī)制、數(shù)字簽名機(jī)制和用戶登錄密碼的多重保證。用戶的唯一身份標(biāo)識是銀行發(fā)放給用戶的“數(shù)字證書”，用戶的登錄密碼以密文的方式傳輸，確保了身份認(rèn)證的安全可靠。將數(shù)字證書和客戶號關(guān)聯(lián)，客戶號及其密碼與數(shù)字證書同時(shí)被竊取才可能造成損失，安全性得到很大提高。

2.公鑰保護(hù)數(shù)據(jù)完整性。網(wǎng)銀系統(tǒng)應(yīng)采用“HASH算法”和“RSA公鑰”等方法，對數(shù)據(jù)傳輸?shù)耐暾赃M(jìn)行保護(hù)。

3.數(shù)字簽名機(jī)制防抵賴。網(wǎng)銀系統(tǒng)中，每一筆金融交易均應(yīng)附帶有發(fā)出方的數(shù)字簽名。這主要有兩個目的：一是銀行根據(jù)交易的數(shù)字簽名來確認(rèn)交易發(fā)出方的身份合法性，實(shí)現(xiàn)交易的認(rèn)證要求；二是用戶每次業(yè)務(wù)操作的信息均由用戶的私鑰進(jìn)行數(shù)字簽名，實(shí)現(xiàn)了交易的抗抵賴性要求。

4.時(shí)間戳防重發(fā)。在每個用戶發(fā)出的操作數(shù)據(jù)包中，加入當(dāng)前系統(tǒng)的時(shí)間信息，時(shí)間信息和業(yè)務(wù)信息一同進(jìn)行數(shù)字簽名。可以對每次的業(yè)務(wù)操作進(jìn)行區(qū)分，保證了信息的唯一性。

（二）安全的分層網(wǎng)絡(luò)架構(gòu)

網(wǎng)絡(luò)架構(gòu)應(yīng)當(dāng)適應(yīng)并配合數(shù)據(jù)流向，并對數(shù)據(jù)加以保護(hù)。根據(jù)數(shù)據(jù)流向的特點(diǎn)，網(wǎng)絡(luò)架構(gòu)應(yīng)當(dāng)遵循分層訪問、逐級訪問的特點(diǎn)，區(qū)分外部訪問區(qū)、WEB服務(wù)器區(qū)、APP服務(wù)器區(qū)、銀行核心區(qū)等幾個安全區(qū)域，每個安全區(qū)域邊界使用安全防護(hù)設(shè)備進(jìn)行安全防范。

（三）配備安全防護(hù)設(shè)備

由于網(wǎng)銀數(shù)據(jù)具有保密性、完整性和防抵賴性等特點(diǎn)，因此必須采用多種安全防護(hù)措施來保障數(shù)據(jù)的安全性。

1.抗DDOS攻擊防護(hù)。抗DDOS攻擊防護(hù)也叫抗拒絕服務(wù)系統(tǒng)，一般由檢測設(shè)備和清洗設(shè)備共同組成。其中，流量檢測系統(tǒng)采集流量信息，進(jìn)行定性判斷。一旦檢測到DDOS攻擊流量，將自動將攻擊流量牽引到防護(hù)設(shè)備，由防護(hù)設(shè)備對DDOS攻擊流量進(jìn)行阻斷，并將清洗后的流量重新返回到接入設(shè)備，不影響正常業(yè)務(wù)訪問。

2.入侵檢測（IDS）與入侵防御（IPS）。入侵檢測是指對進(jìn)入WEB層和APP層網(wǎng)絡(luò)流量進(jìn)行實(shí)時(shí)檢測、預(yù)警功能、事后的審計(jì)。入侵防御系統(tǒng)可以對識別的入侵流量實(shí)時(shí)阻斷，能主動防御已知和未知攻擊，實(shí)時(shí)阻斷各種黑客攻擊。

3.SSL加速。SSL加速設(shè)備負(fù)責(zé)對使用證書登錄的客戶進(jìn)行身份認(rèn)證，建立雙向SSL安全通訊鏈路，對于非證書用戶的單向SSL安全通訊鏈路也由此設(shè)備建立。用戶登錄并通過身份認(rèn)證以后，用戶和銀行間在網(wǎng)絡(luò)上傳輸?shù)乃袛?shù)據(jù)全部用會話密鑰加密，直到用戶退出。SSL安全設(shè)備提供服務(wù)器證書，提供SSL連接，自動下載CRL（證書作廢列表）。

4.異構(gòu)防火墻。外部安全區(qū)域、WEB服務(wù)器區(qū)域和APP服務(wù)器區(qū)域間配置兩道異構(gòu)防火墻。第一道防火墻設(shè)立在外部安全區(qū)域、WEB服務(wù)器區(qū)域之間，保護(hù)DMZ（非軍事化區(qū)）網(wǎng)絡(luò)。在DMZ和APP服務(wù)器區(qū)域之間設(shè)立了第二道防火墻，保護(hù)網(wǎng)銀核心設(shè)備不受攻擊。

5.鏈路負(fù)載均衡。通過鏈路負(fù)載均衡系統(tǒng)對電信、聯(lián)通的鏈路進(jìn)行負(fù)載均衡。網(wǎng)上銀行用戶通過鏈路負(fù)載均衡系統(tǒng)進(jìn)行DNS解析，返回最優(yōu)鏈路提供的IP地址，確保用戶登陸網(wǎng)上銀行系統(tǒng)時(shí)，是通過最優(yōu)鏈路訪問網(wǎng)上銀行WEB服務(wù)器，保障網(wǎng)上銀行用戶能快速訪問WEB服務(wù)器。鏈路負(fù)載均衡設(shè)備大大提高了用戶訪問的速度，提升了用戶體驗(yàn)，提高了系統(tǒng)可用性。

6.頁面防篡改。頁面防篡改系統(tǒng)使用嚴(yán)密的Web服務(wù)器核心內(nèi)嵌技術(shù)，網(wǎng)頁在被閱讀前都進(jìn)行水印檢測，確保網(wǎng)站的網(wǎng)頁都不被篡改。系統(tǒng)覆蓋了網(wǎng)頁的自動發(fā)布、篡改檢測、警告和自動恢復(fù)，保證傳輸、鑒別、審計(jì)等各個環(huán)節(jié)的安全，為網(wǎng)站保駕護(hù)航。

7.安全證書體系。采用證書來保證客戶信息的傳輸安全，防止用戶身份被冒用、數(shù)據(jù)被截取、數(shù)據(jù)被修改和數(shù)據(jù)被否認(rèn)。目前，一般通過中國金融認(rèn)證中心（簡稱CFCA）來實(shí)現(xiàn)的。CFCA的任務(wù)就是為了確保數(shù)據(jù)的安全性、數(shù)據(jù)的完整性和真實(shí)性、數(shù)據(jù)的防抵賴及用戶身份的確認(rèn)。為提高簽名驗(yàn)簽的效率，可以采用簽名驗(yàn)簽服務(wù)器來進(jìn)行硬件驗(yàn)簽。

（四）建立應(yīng)急響應(yīng)機(jī)制

銀行應(yīng)當(dāng)從技術(shù)角度和業(yè)務(wù)角度出發(fā)，假設(shè)網(wǎng)上銀行系統(tǒng)的主機(jī)、網(wǎng)絡(luò)及安全設(shè)備等IT設(shè)施在突發(fā)安全事件的時(shí)候，指導(dǎo)各相關(guān)部門和人員如何根據(jù)有序的流程和計(jì)劃對系統(tǒng)進(jìn)行有效恢復(fù)，減少網(wǎng)銀業(yè)務(wù)停頓造成的損失。建立覆蓋全行相應(yīng)部門的應(yīng)急響應(yīng)機(jī)制，一般包括發(fā)現(xiàn)、報(bào)告、分析、處理、總結(jié)幾個程序。

四、總結(jié)

總的來說，網(wǎng)上銀行的安全體系建立涵蓋了管理與技術(shù)的方方面面。首先需要爭取領(lǐng)導(dǎo)層的支持，其次需要各業(yè)務(wù)部門、信息科技部門的大力配合與實(shí)施。通過保障組織架構(gòu)、完善管理制度、配備充足人員、定期審查審計(jì)、加強(qiáng)數(shù)據(jù)及災(zāi)備管理、加強(qiáng)運(yùn)維管理等管理方面的手段，從管理層面來保障安全體系的建立。在技術(shù)方面既要重視應(yīng)用層面的安全風(fēng)險(xiǎn)，利用漏洞修復(fù)技術(shù)、優(yōu)化數(shù)據(jù)流、RSA、證書等手段來保障網(wǎng)上銀行數(shù)據(jù)的安全性、完整性及防抵賴性。還要重視網(wǎng)絡(luò)層面的安全風(fēng)險(xiǎn)，采用業(yè)內(nèi)認(rèn)可的網(wǎng)絡(luò)架構(gòu)，通過配備抗DDOS設(shè)備、IPS、IDS、鏈路負(fù)載均衡器、異構(gòu)防火墻、防頁面篡改等技術(shù)手段來保障網(wǎng)上銀行的可用性及安全性。

參考文獻(xiàn)：

[1]中國銀監(jiān)會，商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引

[2]中國人民銀行，網(wǎng)上銀行系統(tǒng)信息安全通用規(guī)范

[3]陳學(xué)榮，淺談銀行網(wǎng)上銀行業(yè)務(wù)與網(wǎng)絡(luò)安全，中國金融網(wǎng)

[4]王鐵剛，淺談“訪問控制”技術(shù)在銀行網(wǎng)絡(luò)安全中的運(yùn)用，計(jì)算機(jī)光盤軟件與應(yīng)用，2012年第20期