財務公司通過資金管理系統實現與成員單位、銀行系統的對接,爲成員單位提供網上銀行服務,用戶可以通過網上銀行完成存款、貸款、轉帳、票據管理等多項業務,系統在後臺實現銀行間的資金結算。網上銀行操作方便快捷,爲用戶帶來極大的便利,同時由於網絡的開放性,爲不法分子提供了可乘之機,近幾年用戶密碼泄露、資金被盜等安全事件也頻頻發生。如何通過技術、管理等各種手段加強系統安全性,確保用戶信息和資金安全,是資金管理系統架構設計時要解決的問題。
1.安全威脅分析
資金管理系統是財務公司的核心業務系統,是個由多臺服務器、存儲和網絡設備構成的複雜系統,設備和系統存在安全漏洞,並對用戶開放應用服務,可能會遭受到各種來自內外部網絡的攻擊,因此關鍵問題是確保交易的安全性。一般來說,系統存在如下安全威脅:
(1) 操作系統、數據庫、中間件、網絡設備等可能遭到攻擊,引起系統癱瘓,無法爲用戶提供服務,用戶可能因此錯過付款期限,遭受對方索賠。
(2) 信息在傳輸的過程中可能被攻擊者截獲,導致用戶機密信息被盜。
(3) 攻擊者通過篡改數據內容,修改數據包的次序和時間,使系統發生異常故障,完整性遭受破壞。
(4) 僞造用戶身份,使用合法消息實現非法目的,使用戶受到資金損失,財務公司和銀行則名譽受損。
2.安全需求
保證交易過程和資金結算的安全,是資金管理系統設計和實施的關鍵。資金管理系統面向Intranet和Internet開放,因此對安全性提出了更高的要求。
(1) 機密性。系統應在傳輸過程中對數據進行加密,防止帳號、密碼、交易數據等信息被非法截獲。
(2) 完整性。數據未經授權不能改變特徵,系統應防止在交易過程中信息被非法修改,確保交易信息完整性。
(3) 可用性。系統可被授權實體訪問並按需求使用,防止攻擊者佔用資源使得系統無法提供正常的服務。
(4) 身份識別。成員單位在系統內開設賬戶保存資金,每個訪問資金管理系統的用戶身份必須得到確認,才能訪問,轉帳時雙方的身份都要得到確認。
(5) 防抵賴。系統應通過一定方式保證有足夠證據證明消息發送或接受已經發生。
3.安全體系結構
信息安全是個系統工程,涉及到安全通信協議、數據加密、身份認證、網絡安全、物理安全、管理制度、法律法規等各個方面。完整的資金管理系統安全體系結構如圖1所示。
安全服務層位於最高層,爲用戶提供具體的機密性、完整性、可用性、身份識別、防抵賴等安全服務。
安全機制層位於安全服務層之下、安全技術層之上,滿足資金管理系統安全需求所採用的一系列安全機制,主要是保證安全服務採用的各種標準和協議,比如SSL、SET等。
安全技術層位於安全機制層之下、基礎設施層之上,使用數據加密、CA認證、數字簽名、身份認證、動態口令、雙因素身份認證等技術對傳輸消息進行加密,並認證用戶身份。
基礎設施層位於安全技術層之下、人文環境層之上,指防火牆、網絡訪問控制、服務器RAID陣列、雙機熱備、數據備份等IT基礎平臺技術。
人文環境層位於體系最底層,是保障系統正常運行和信息安全的基礎,沒有完善的管理制度、有效的執行力、員工良好的職業道德,那麼一切技術手段都無法起到應有的作用。
五個層次緊密聯繫、環環相扣,形成完整的安全防護體系,每一層都不可或缺,上層依託下層的基礎,爲更上一層提供服務和支持,也爲系統的`安全運行提供有力保障。
4.架構設計
4.1總體架構
依據上述理論對架構進行了設計,使用防火牆和三層交換機將網絡劃分爲多個區域,部署服務器、存儲、銀行前置機、客戶端等設備,做好各區域之間的網絡訪問控制;系統採用主流的數據庫、中間件、應用層分離的三層架構,兩臺小型機通過SAN網絡共享存儲架設數據庫,其他應用使用PC服務器,軟件體系爲B/S架構,採用應用安全網關和USBKey數字證書等多項技術加強系統安全性。
4.2關鍵技術
(1) 網絡區域劃分
在內部網絡防火牆的LAN和DMZ分別部署三層交換機,將網絡劃分爲核心業務區、對外服務器區、銀企互聯區、用戶接入區、辦公區等多個區域。
核心業務區。位於防火牆DMZ區域,只用於部署核心的數據庫服務器及後端存儲,允許WEB服務器和財務公司前臺的客戶端等訪問。
對外服務器區。位於DMZ區域,部署WEB服務器、接口服務器、應用安全網關等,允許用戶通過瀏覽器訪問WEB應用。
銀企互聯區。位於防火牆LAN區域,各家銀行的前置機部署於此,前置機安裝雙網卡,一個網卡連接財務公司網絡,配置靜態路由,單向訪問數據庫和應用服務器,另一個網卡直連銀行內部網絡,實現資金支付和數據處理。
用戶接入區。在防火牆LAN區域,用於部署前臺客戶端,訪問數據庫和應用安全網關,不能訪問公司辦公網絡和因特網。
(2) 安全控制策略
資金系統對不同對象相互之間的訪問策略有嚴格要求,在防火牆或三層交換機上可以用訪問控制列表實現策略控制,其中測試和備用服務器的訪問策略可依照主服務器配置。具體控制策略如下圖所示,
(3) 應用安全網關
資金系統爲用戶提供網上銀行的WEB應用,面臨着網頁篡改、服務攻擊、安全漏洞、代碼缺陷等多方面的威脅。應用安全網關是WEB應用的“替身”,部署在用戶與WEB應用的中間,使用戶無法直接訪問WEB服務器,必須通過應用安全網關的代理才能正常訪問。應用安全網關能監控網頁請求的合法性,防止網頁被篡改,提供全面的WEB應用攻擊防護。並使用戶通過SSL安全協議訪問網銀,具有如下特點:一是數據機密性,利用對稱加密算法對傳輸的數據進行加密;二是數據完整性,利用MAC數據摘要算法保證數據完整性。
(4) USBKey與數字證書
資金系統在人員管理上採用基於USBKey標識的身份識別方案。USBKey內置芯片和存儲,在內部生成密鑰對,私鑰保存在USBKey內終身不可導出,公鑰和用戶信息發給數字認證機構CA,生成包含用戶身份信息、公鑰信息、證書有效期以及CA數字簽名的用戶數字證書,隨後導入到USBKey中。CA數字簽名可以確保證書信息的真實性,用戶公鑰信息可以保證數字信息傳輸的完整性,用戶數字簽名可以保證數字信息的不可否認性。USBKey內部電路無法讀取、破譯、篡改和複製,使得用戶數字證書和私鑰能得到安全保存。
(5) 雙因素身份認證
用戶訪問網銀時都必須插入USBKey並輸入PIN碼,與以摘要值(MD5)的形式保存在USBKey內部的PIN進行比對,服務器和用戶數字證書都得到驗證後,使用由USBKey生成的密鑰建立安全的SSL連接。系統通過對比服務器端存儲的身份識別碼和從USBKey內部讀出的身份標識數據來判斷操作者的身份,然後與用戶輸入用戶名密碼進行比對,只有上述完全信息匹配,用戶才能得到系統訪問許可。用戶進行支付操作時需要用自己的私鑰簽名,而私鑰存儲在用戶的USBKey上,在進行簽名運算時私鑰不會進入計算機內存,即使黑客獲取用戶名和口令缺沒有私鑰無法進行支付,確保資金安全。