網上銀行安全架構設計淺析論文

網上銀行（Online Banking），也稱爲互聯網銀行（Internet Banking）或網絡銀行、在線銀行。美聯儲對網上銀行的定義是，利用互聯網爲其產品、服務和資訊的業務渠道，向其零售和公司客戶提供服務的銀行。網上銀行的出現給銀行業帶來一種地域無限、時間無限的經營方式，從而改變了銀行業的競爭格局。這種改變使網上銀行成爲網絡經濟時代提供金融服務的一種重要手段，引發了一場銀行業的革命。

但是，同其他任何行業一樣，網絡安全風險的陰霾如同網絡技術的孿生子，伴隨着網絡技術在金融行業的全面應用而全面籠罩在金融行業各個業務角落。尤其是網上銀行系統，由於其基礎環境的開放性和不確定性，使其和傳統銀行業務相比會面臨更大的技術風險，因此，如何保障網上銀行交易系統的安全，關係到整個網上銀行的健康發展，安全是網上銀行建設中最重要的問題，也是對客戶資金安全的根本保障。

資訊化爲金融行業的業務發展提供了強有力的後臺支撐。然而，如果資訊缺少了安全的保障，那麼資訊化對於企業來說不是競爭力的提高而是一場災難，可靠的計算機安全防禦系統是金融行業保障網上銀行安全和發展的前提條件。

一、網上銀行應用架構及安全風險分析

1、網上銀行業務整體架構

網上銀行客戶透過互聯網登入到銀行的門戶Web服務器，透過CFCA認證後連接到該行網上銀行的Web服務器，同時進行RA的身份認證。隨後，客戶的請求數據透過加密後傳達至網上銀行應用（APP）服務器並與銀行的核心業務系統主機進行聯機，享受全方位的網上金融服務。另一方面，銀行網點透過登入網銀管理服務器進行客戶證書籤發、客戶資訊管理等相關操作，整體應用架構大致可劃分爲用戶接入層、應用前置層和系統數據層（見圖1）。

2、網上銀行安全需求分析

（1）用戶接入層。該層主要完成網上銀行客戶接入和訪問需求，主要包括企業Web服務器和網銀Web服務器，由於網銀Web服務器直接暴露於互聯網上，經常成爲互聯網基於Web攻擊的首要對象，因此，Web服務器前不僅要透過防火牆實現基於網絡層或傳輸層的訪問控制，透過部署IPS實現深度安全檢測，還需要透過SSL安全網關實現數據加密的接入。此外，還需額外部署流量清洗設備實現DDOS攻擊防禦，以期打造網銀第一道堅固防線。

（2）應用前置層。該層主要完成網銀系統的相關業務操作，主要包括網銀APP服務器、網銀前置、網銀管理服務器等。網銀APP服務器提供網銀系統的業務邏輯，包括會話管理、提交後臺處理以及向Web服務器提交應答頁面等；網銀前置（或ESB系統）負責將APP服務器提交的業務請求經過協議處理、數據格式轉換或加密後轉交到綜合業務系統的主機進行處理；網銀管理服務器實現網銀用戶管理功能（如開戶、註銷、證書下載、密碼修改等）。對其要求主要是保障服務高可用性與網絡訪問安全性。因而有針對的`部署服務器負載分擔設備可實現業務流量在多臺服務器間的均勻分配，從而提升業務的響應速度和服務高可用性。在訪問安全方面，可以透過異構的防火牆系統進行訪問權限控制，透過漏洞掃描設備實現整體的主機安全性能加固。

（3）系統數據層。該層主要完成網銀和綜合業務系統的數據交互，主要包括網銀數據庫（DB）服務器和綜合業務系統主機。網銀DB服務器的主要作用是儲存、共享各種及時業務數據（如客戶支付金額）和靜態數據（如利率表），支援業務資訊系統的運作，對登入客戶進行合法性檢查。

綜合業務系統主要完成網銀的賬務處理、客戶數據及密碼的存放等。這個區域的顯著特點是要保障數據的高速交互能力和高可用性，應該相對弱化安全設備的部署而加強服務器以及磁盤陣列的冗餘操作。主要透過異構防火牆設備進行區域間的訪問策略控制。

二、網上銀行安全架構及典型拓撲分析

1、網上銀行安全整體架構

前文從網銀業務的角度分析了網銀系統中各類服務器的網絡安全需求，將整體的網銀業務劃分爲三個安全需求層次，各安全層以防火牆作爲區域安全邊界。爲提高網銀的整體安全性，各區域邊界防火牆最好採用不同廠家的產品，由此在整體佈局上形成了多層異構防火牆的安全架構（見圖2）。

網上銀行用戶數據透過SSL加密再經過流量清洗和IDS/IPS檢測，到達網銀Web服務器，Web服務器提供網銀的登入介面和操作環境，網銀APP服務器發起業務邏輯，根據用戶交易請求獲取相關數據，完成網銀交易。合理的安全架構設計使得數據流向清晰可控，各類安全技術手段有機結合，有效地保障了網上銀行的資訊安全。

用戶接入區

安全區集中管理系統數據核心審計工具日誌分析內部防火牆網銀APP、驗籤、網銀應用前置漏洞掃描工具應用負載分擔外部防火牆數據中心內網網銀Web服務器SSL卸載非軍事區SSL加密網上銀行用戶流量清洗鏈路負載分擔CFCA互聯網2、網上銀行分區的典型拓撲各商業銀行由於自身業務系統的差異，網銀系統安全架構會有不同的設計，但基本的技術構成類似，各部分的功能也相似。圖3是較爲典型的商業銀行網銀分區拓撲設計。

（1）系統高可用性設計。網上銀行是一個實時在線的系統，因此要着重考慮系統的高可用性設計。

負載均衡設備、防火牆等網絡設備採用雙機設計，並在對等設備之間啓用熱備份協議，以實現設備之間的熱備切換。設備之間均採用雙路由連結，以保障設備之間的路由互相備份，實現高可用設計。

SSL安全網關、IPS入侵防禦等網絡安全設備採用雙機雙路設計，由負載均衡設備進行Web服務器探測，檢測到故障時切換到另外一路。

網銀Web服務器採用雙機設計，對等雙機之間採用專用HA，主機和網絡設備連結均採用雙路由鏈路互相備份。同時，配置鏈路負載均衡設備可以實現兩個鏈路自動負載均衡和動態DNS解析。由運營商1的互聯網用戶發起的訪問自動訪問銀行端運營商1的接口IP位址，並自動從運營商1的線路返回。當其中一條互聯網線路中斷後，所有用戶訪問的流量和返回的流量均走一條鏈路。

（2）系統安全性設計。外部互聯網和DMZ區接入互聯網直接面對各種攻擊，對系統安全性提出了很高的要求，因此進行整體安全架構設計的時候，必須充分考慮系統對安全方面的特殊要求。一般來說，在網絡安全方面有如下要求：①網銀Web服務器和外部互聯網間用防火牆進行隔離，網銀Web只能訪問位於DMZ停火區的服務，並在該防火牆上只接受443端口的HTTPS訪問。前置系統主機只接受網銀Web的特殊端口調用，防火牆全部拒絕其他訪問。②所有的HTTPS訪問由SSL安全網關認證客戶身份，並建立SSL安全通道，實現通信安全。SSL安全網關雙臂連結，確保外部密文、內部纔有明文。③SSL安全網關將解密的請求提交給IPS入侵防禦服務器，檢測各類攻擊，阻斷惡意通信。IPS入侵防禦採用雙臂連結方式。④內網防火牆與外網防火牆實現異構。