网上银行网络安全对策浅谈

郝晓磊

（1.山西省农村信用社联合社，山西 太原 030001；2.太原理工大学，山西 太原 030024）

1 网上银行总体情况概述

1.1 网银网络安全需求分析

各商业银行由于自身业务系统的差异，对网银系统应用架构会有不同的设计，但基本的技术构成是类似的，其各部分的功能也相似。

1.1.1 网银WEB服务器

网银WEB服务器是网银业务面向互联网客户的主用界面，网银WEB直接暴露于互联网上，因此，WEB服务器前不仅要通过防火墙实现基于网络层或传输层的访问控制，通过部署IPS实现深度安全检测，还需要通过流量清洗设备实现DDOS攻击防御。另外，由于安全防护要求不同，建议将网银WEB服务器与银行门户WEB服务器部署在不同的网络区域内，以防止门户WEB的安全漏洞对网银业务的影响。

网银WEB服务器与用户浏览器间通过HTTPS协议保证数据的私密性与完整性，为了减少WEB服务器进行密钥交换与加解密的工作负担，建议在WEB服务器前部署SSL卸载设备，既可实现HTTPS协议加速，又可实现业务负载分担和服务高可用性。

1.1.2 网银APP服务器

网银APP（应用）服务器提供网银系统的业务逻辑，包括会话管理、提交后台处理以及向WEB服务器提交应答页面等。APP服务器与WEB服务器共同构成网银业务（如网上支付与结算、网银转账、基金交易、网上理财等）运行环境。由于WEB服务器与互联网客户浏览器之间承载数据的SSL协议不具备数字签名功能，所以网银客户端的数字签名通常由浏览器插件程序完成，而服务器端的验签工作则由单独的验签服务器完成。客户签名的交易数据经由WEB服务器提交给APP服务器，再由APP服务器向验签服务器发起验签请求。

APP服务器作为网银系统的核心组件，应保障其服务高可用性与网络访问安全性。在APP服务器前部署服务器负载分担设备可实现业务流量在多台服务器间的均匀分配，从而提升业务的响应速度和服务高可用性。另外，部署负载分担设备后，可根据网银业务量的大小动态配置APP服务器，可提高业务扩展能力。

从安全角度考虑，由于APP服务器与网银WEB服务器所处的安全区域不同，因此在网银WEB服务器与APP服务器之间应部署防火墙实现访问控制。APP服务器前通常不需要部署IPS设备。

1.1.3 网银DB服务器

网银DB（数据库）服务器的主要作用是保存、共享各种及时业务数据（如客户支付金额）和静态数据（如利率表），支持业务信息系统的运作，对登录客户进行合法性检查。DB服务器通常需要与存储整列连接，并且DB服务器通常采用双机互为备份的方式以保证高可用性。

网银DB服务器与网银APP服务器的安全防护需求基本相同，但DB服务器只允许来自APP服务器的访问，WEB服务器禁止直接访问DB服务器。APP服务器与DB服务器可以部署在同一个安全区域内，也可分别部署在两个不同的安全区域内。如部署在同一安全区域内，则APP与DB服务器将以同一个防火墙作为安全边界，而APP与DB之间的互访控制可通过接入交换机上的ACL实现。建议将APP与DB分别部署于各自独立的安全区域，并以不同的防火墙作安全边界，这样部署有更高的安全性、更清晰的安全策略以及更好的网络可扩展性。

1.1.4 RA服务器、签名验证服务器

RA服务器与签名验证（验签）服务器都是与网银交易中数字签名相关的系统。RA（Registration Authority，数字证书注册审批机构）服务器是PKI体系中CA服务器的延伸，RA负责向CFCA（中国金融认证中心）的CA或银行自建的CA申请审核发放证书。验签服务器负责对用户提交的交易数据进行数字签名验证。

RA服务器与验签服务器都与APP服务器间有数据交互，但RA服务器还需要通过互联网（或专线）与CFCA的CA服务器相连，因此，RA与验签服务器应部署在不同的安全区域内。通常是将RA与WEB服务器部署在一个安全区域内，而将验签服务器与APP服务器部署在一个安全区域内，APP服务器与RA服务器的访问需要通过防火墙作访问控制。

1.1.5 综合业务系统、网银前置、网银管理服务器

网银的账务处理、客户数据及密码的存放都在综合业务系统中完成。网银前置（或ESB系统）负责将APP服务器提交的业务请求经过协议处理、数据格式转换或加密后转交到综合业务系统的主机进行处理。位于网点的客户端通过访问网银管理服务器实现网银用户管理功能。上述3种业务系统都部署在银行数据中心内网区，APP服务器与三者间都存在直接或间接的访问关系，由于网银APP服务器与数据中心内网区分属不同的网络安全区域，所以两者间的网络通信需要通过防火墙进行访问控制。

1.2 存在的安全风险

目前，国内商业银行网络及信息系统主要面临的安全风险。从两个基本的角度来进行，即外部安全风险和内部安全风险。

外部安全风险主要是指通过互联网平台及接入产生的风险。

内部安全风险主要是指由内部人员从事网络办公相关活动带来的威胁所产生的风险。

2 网银风险防范对策

2.1 从银行角度阐述风险防范对策

2.1.1 建立良好的网络银行风险管理体系

加强对网络银行自身特点的研究，做好事前分析与防范工作，完善组织机构和管理制度,制订一整套自上而下的风险管理组织机构和管理规章制度。定期不定期进行深入性检查与整改，确保制度执行能够落到实处。

2.1.2 注重利用先进、成熟的技术手段

进一步搞好网络银行系统的基础建设，充分利用当前先进、成熟的技术手段，设计安全、合理的网银安全架构，在软、硬件设备方面缩小与发达国家的差距,提高关键设备的安全防御能力。

2.1.2.1 网银分区安全部署要求

从网银业务的角度分析了网银系统中各类服务器的网络安全需求，各服务器区以防火墙作为区域安全边界，各区域边界防火墙采用不同厂家的产品，由此在整体布局上形成了“多层异构防火墙”安全架构。从业务功能上考虑，还可将这种安全架构划分成4个功能区域：互联网接入区、DMZ区（接入WEB服务器、RA服务器）、网银业务区（接入APP服务器、DB服务器）、数据中心内网区。

各功能区域的网络安全部署要求如下：

互联网接入区：部署链路分担设备，提供多ISP的互联网接入，并承担网银域名解析；部署流量清洗，防御DDOS攻击；部署外网边界防火墙，实现互联网与DMZ区隔离。

DMZ区：部署网银WEB服务器、门户WEB服务器，RA服务器；部署IPS，为WEB服务器提供深层安全保护；部署SSL卸载&服务器负载分担设备，优化HTTPS响应速度并保证WEB业务高可用性；部署WEB-APP边界防火墙，实现DMZ与网银业务区的隔离。

网银业务区：部署网银APP服务器、网银DB服务器、验签服务器；APP服务器前可部署服务器负载分担设备，用于业务优化和提高可用性；APP服务器与DB服务器间可部署防火墙实现访问控制；部署内网边界防火墙，实现网银业务区与数据中心服务器区间的隔离。

数据中心内网区：部署综合业务系统主机、网银前置（或ESB系统）服务器、网银管理服务器；采用“核心-边缘”分区模块化架构，各服务器区围绕网络核心区部署，各服务器区与网络核心区之间通过防火墙作访问控制。

2.1.2.2 网银网络安全架构设计的网络拓扑

各功能区间采用串行方式连接，在连接点通过防火墙实现区域间的访问控制。在这种拓扑下，业务流量沿着“互联网接入区”、“DMZ”、“网银业务区”、“数据中心内网区”的方向流动，跨区域流量都要经过防火墙的过滤，考虑到异构安全性的优势，各区域边界防火墙应采用不同厂商的设备。

吸取数据中心“核心-边缘”模式的优点，在网银网络中部署核心交换机，网银的各功能区围绕核心交换机部署，在各功能区的汇聚交换机上部署安全（防火墙、IPS）和应用优化设备（负载分担、SSL卸载），于是构建了网银的扁平化网络拓扑，这种设计扁平化部署的好处是扩展性好。

在网银的互联网接入区建议部署“流量清洗设备”以实现对DDOS等攻击行为的防护。流量清洗设备用与网银的互联网出口路由器建立BGP Peer，并发布BGP更新路由通告，路由器将进入网银的流量都转发到清洗设备上，清洗设备对进入的流量做监控检查，当没有DDOS攻击流量时，清洗设备会将报文回注到网银出口路由器，此后报文将进行正常转发流程。当发现DDOS攻击流量时，清洗设备会将DDOS报文删除，并将正常流量回注到网银出口路由器，正常网银流量不受影响。

为了规避运营商出口故障带来的网络可用性风险，网银出口通常租用两个或多个运营商出口（电信、网通等）。链路负载设备通过动态域名解析方式，能够利用就近性算法动态计算链路的质量，保证用户访问WEB服务器的链路是当前最优的链路。另外，链路分担设备还通过健康性检测，可以检查链路内任意节点的连通性，从而有效保证整条路径的可达性。

为保证信息的私密性，要对网上传输的信息进行加密，使未经授权者无法了解信息内容。建立并使用入侵检测系统（IDS），定期对网络银行系统进行安全漏洞的侦查扫描。

2.2 网银安全风险防范从金融监管、网银用户角度提高警惕

（1）网络银行同样需要政府监管,以保护公众利益,降低银行业的经营风险。网络银行作为新兴业务渠道，自身特点决定一旦发生风险，对银行本身，甚至整个金融行业的影响巨大。要防范业务风险和系统风险，就要加强法律对网络银行市场准入的监管。必须有严密的安全对策、制度规范和操作程序，建立以安全为中心的制度保障体系。

（2）网络银行用户作为网络银行终端的管理者与使用者，在网络银行的安全机制中有着不可替代的作用，是网络银行安全的最终环节。因此，网银用户需要有效防范木马与病毒对终端系统的攻击，安装网络银行终端系统的个人电脑上安装防病毒软件，并经常更新软件版本与病毒库、安装软件防火墙、安装木马清除软件，定期更新木马库，扫描与清除木马。第二，使用IC卡和USB卡物理介质的证书认证方式。通过证书验证客户身份，确保其真实性，防止其他人员非法使用。第三，认清网络银行网址，避免进入“假网银”。

3 结束语

网银业务的高技术性、无纸化和瞬时性的特点，决定了其经营风险要高于实体银行业务，其中，技术风险是其核心内容，也是金融机构和广大客户最为关注的问题，只有采用合理的安全架构，综合运营各类安全技术手段（如防火墙、入侵检测、数字证书等），才能有效预防技术风险可能造成的经济损失和信用影响。