关注网银系统:安全模型和架构设计

随着网络的普及和金融业务的不断扩展,网上银行已经逐渐成为人们日常理财工具之一。由于互联网的开放性,安全性成为网银系统设计和实施的重要挑战。根据一份国内媒体的调查结果统计,超过九成的网民有意尝试网银业务,但是超过一半的受访者担心安全性问题。而在国外,根据美国互联网犯罪投诉中心报告,2009年美国银行客户因网上账号被盗而遭受的经济损失高达5.59亿美元。网银系统安全的重要性可见一斑,相关的软件开发人员也面临巨大的挑战。

IBM的工程师董伟、程平平最近撰文(下文称“文章”)简要描述了网上银行普遍采用的安全系统架构以及相关技术,为关注金融领域的开发人员提供了参考。

文章首先对网银系统的安全需求作了分析,提出了业务逻辑和数据两方面的考量:

  • 业务逻辑安全需求

    • 身份认证需求
    • 访问控制需求
    • 交易重复提交控制需求
  • 数据安全需求
    • 数据保密性需求
    • 数据完整性需求
    • 数据可用性需求
    • 数据不可伪造性需求
    • 数据不可抵赖性需求

这里要特别强调与银行客户利益密切相关并为大众熟知的数据保密性需求:

  1. 客户端与网银系统交互时输入的各类密码:包括系统登录密码、转账密码、凭证查询密码等必须加密传输及存放,这些密码在网银系统中只能以密文的方式存在,其明文形式能且只能由其合法主体能够识别。
  2. 网银系统与其它系统进行数据交换时必须进行端对端的加解密处理。这里的数据加密主要是为了防止交易数据被银行内部人士截取利用。

在分析安全性需求的基础上,文章引入了目前网上银行最为著名的安全系统架构模型——PPDRR 模型,即策略 (Policy)、防护
(Protection)、检测 (Detection)、响应 (Response) 和恢复
(Recovery),并认为这是“一种动态的、自适应的安全模型,可适应安全风险和安全需求的不断变化,提供持续的安全保障“。基于PPDRR模型的网
络拓扑如图1所示:

 

图1 网银系统拓扑图 (来源:developerWorks)

关于拓扑结构,文章指出了几个关键点:

  • 整个网络系统通过三道防火墙划分为四个逻辑区域。
  • 最外层为是 Internet 区(非授信区),为网银用户客户端接入区域。
  • 第一道防火墙和第二道防火墙之间是隔离区(DMZ),在此区域中部署 RA 服务器以及网银系统的 Web 服务器等其它第三方应用系统。
  • 第二道防火墙和第三道防火墙之间是应用区,是网银系统的应用 /DB 区,在此区域中部署网银系统的应用服务器和数据库服务器。
  • 第三道防火墙之后为银行的核心系统、中间业务平台等第三方业务系统。
  • 在隔离区和应用区的 Web 服务器,应用服务器和数据库服务器都会有相应的双机热备方案。

对于目前流行的专门盗取客户的账号和密码的盗号木马,文章指出“单纯的软件认证已不能满足网络银行系统的身份认证需求,所以网络银行多采用软硬件结合的双因子认证方式作为身份认证的辅助解决方案”,其中包括:

  • USB Key 认证
  • 动态口令
  • 刮刮卡
  • 动态短信

网银系统的设计和实现过程中,安全性一直是架构师和开发人员最关注的因素之一,文章概述了一种目前广泛采用的安全模型,具有参考和借鉴意义。InfoQ将继续关注和报道相关领域的最新发展,也欢迎读者朋友分享经验和提供反馈。

This entry was posted in Achitecture. Bookmark the permalink.

发表评论

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / 更改 )

Twitter picture

You are commenting using your Twitter account. Log Out / 更改 )

Facebook photo

You are commenting using your Facebook account. Log Out / 更改 )

Google+ photo

You are commenting using your Google+ account. Log Out / 更改 )

Connecting to %s