隨著網(wǎng)絡(luò)的普及和金融業(yè)務(wù)的不斷擴(kuò)展，網(wǎng)上銀行已經(jīng)逐漸成為人們?nèi)粘＠碡敼ぞ咧?。由于互?lián)網(wǎng)的開放性，安全性成為網(wǎng)銀系統(tǒng)設(shè)計和實(shí)施的重要挑戰(zhàn)。根據(jù)一份國內(nèi)媒體的調(diào)查結(jié)果統(tǒng)計，超過九成的網(wǎng)民有意嘗試網(wǎng)銀業(yè)務(wù)，但是超過一半的受訪者擔(dān)心安全性問題。而在國外，根據(jù)美國互聯(lián)網(wǎng)犯罪投訴中心報告，2009年美國銀行客戶因網(wǎng)上賬號被盜而遭受的經(jīng)濟(jì)損失高達(dá)5.59億美元。網(wǎng)銀系統(tǒng)安全的重要性可見一斑，相關(guān)的軟件開發(fā)人員也面臨巨大的挑戰(zhàn)。
IBM的工程師董偉、程平平最近撰文（下文稱“文章”）簡要描述了網(wǎng)上銀行普遍采用的安全系統(tǒng)架構(gòu)以及相關(guān)技術(shù)，為關(guān)注金融領(lǐng)域的開發(fā)人員提供了參考。
文章首先對網(wǎng)銀系統(tǒng)的安全需求作了分析，提出了業(yè)務(wù)邏輯和數(shù)據(jù)兩方面的考量：

• 業(yè)務(wù)邏輯安全需求
  身份認(rèn)證需求訪問控制需求交易重復(fù)提交控制需求
  • 數(shù)據(jù)安全需求
    數(shù)據(jù)保密性需求數(shù)據(jù)完整性需求數(shù)據(jù)可用性需求數(shù)據(jù)不可偽造性需求數(shù)據(jù)不可抵賴性需求 這里要特別強(qiáng)調(diào)與銀行客戶利益密切相關(guān)并為大眾熟知的數(shù)據(jù)保密性需求：
    

    客戶端與網(wǎng)銀系統(tǒng)交互時輸入的各類密碼：包括系統(tǒng)登錄密碼、轉(zhuǎn)賬密碼、憑證查詢密碼等必須加密傳輸及存放，這些密碼在網(wǎng)銀系統(tǒng)中只能以密文的方式存在，其明文形式能且只能由其合法主體能夠識別。 網(wǎng)銀系統(tǒng)與其它系統(tǒng)進(jìn)行數(shù)據(jù)交換時必須進(jìn)行端對端的加解密處理。這里的數(shù)據(jù)加密主要是為了防止交易數(shù)據(jù)被銀行內(nèi)部人士截取利用。

    在分析安全性需求的基礎(chǔ)上，文章引入了目前網(wǎng)上銀行最為著名的安全系統(tǒng)架構(gòu)模型——PPDRR 模型，即策略 (Policy)、防護(hù) (Protection)、檢測 (Detection)、響應(yīng) (Response) 和恢復(fù) (Recovery)，并認(rèn)為這是“一種動態(tài)的、自適應(yīng)的安全模型，可適應(yīng)安全風(fēng)險和安全需求的不斷變化，提供持續(xù)的安全保障“?；赑PDRR模型的網(wǎng)絡(luò)拓?fù)淙鐖D1所示：
     
    圖1 網(wǎng)銀系統(tǒng)拓?fù)鋱D （來源：developerWorks）關(guān)于拓?fù)浣Y(jié)構(gòu)，文章指出了幾個關(guān)鍵點(diǎn)：
    
    整個網(wǎng)絡(luò)系統(tǒng)通過三道防火墻劃分為四個邏輯區(qū)域。最外層為是 Internet 區(qū)（非授信區(qū)），為網(wǎng)銀用戶客戶端接入?yún)^(qū)域。第一道防火墻和第二道防火墻之間是隔離區(qū)（DMZ），在此區(qū)域中部署 RA 服務(wù)器以及網(wǎng)銀系統(tǒng)的 Web 服務(wù)器等其它第三方應(yīng)用系統(tǒng)。第二道防火墻和第三道防火墻之間是應(yīng)用區(qū)，是網(wǎng)銀系統(tǒng)的應(yīng)用 /DB 區(qū)，在此區(qū)域中部署網(wǎng)銀系統(tǒng)的應(yīng)用服務(wù)器和數(shù)據(jù)庫服務(wù)器。第三道防火墻之后為銀行的核心系統(tǒng)、中間業(yè)務(wù)平臺等第三方業(yè)務(wù)系統(tǒng)。在隔離區(qū)和應(yīng)用區(qū)的 Web 服務(wù)器，應(yīng)用服務(wù)器和數(shù)據(jù)庫服務(wù)器都會有相應(yīng)的雙機(jī)熱備方案。 對于目前流行的專門盜取客戶的賬號和密碼的盜號木馬，文章指出“單純的軟件認(rèn)證已不能滿足網(wǎng)絡(luò)銀行系統(tǒng)的身份認(rèn)證需求，所以網(wǎng)絡(luò)銀行多采用軟硬件結(jié)合的雙因子認(rèn)證方式作為身份認(rèn)證的輔助解決方案”，其中包括：
    
    USB Key 認(rèn)證動態(tài)口令刮刮卡動態(tài)短信 網(wǎng)銀系統(tǒng)的設(shè)計和實(shí)現(xiàn)過程中，安全性一直是架構(gòu)師和開發(fā)人員最關(guān)注的因素之一，文章概述了一種目前廣泛采用的安全模型，具有參考和借鑒意義。InfoQ將繼續(xù)關(guān)注和報道相關(guān)領(lǐng)域的最新發(fā)展，也歡迎讀者朋友分享經(jīng)驗(yàn)和提供反饋。
    在本文發(fā)表不久，多位熱心的讀者通過各種形式進(jìn)行了反饋，特別是來自梁江通信的狄衛(wèi)華先生基于對網(wǎng)銀系統(tǒng)的理解，表達(dá)了自己的看法：
    

    當(dāng)前對于網(wǎng)絡(luò)安全保障的主要手段就是使用安全的協(xié)議SSL/TLS。SSL/TLS協(xié)議結(jié)合數(shù)字證書基本上保障了網(wǎng)銀系統(tǒng)用戶的安全性，包括數(shù)據(jù)的私密性，完整性和不可否認(rèn)性，但是SL/TLS協(xié)議結(jié)合數(shù)字證書也不是萬能鑰匙，在用戶使用過程中的種種疏忽或者網(wǎng)銀系統(tǒng)設(shè)計本身存在的種種安全隱患都可成為黑客攻破的大門。網(wǎng)銀系統(tǒng)直接牽扯到用戶資金的安全，因此網(wǎng)銀系統(tǒng)使用安全也逐漸成為廣大用戶關(guān)注的熱點(diǎn)，尤其是在當(dāng)前電子商務(wù)開始盛行的時代。
    網(wǎng)銀系統(tǒng)的安全性一般分為服務(wù)端和客戶端兩個方面。服務(wù)端的安全包括用戶數(shù)據(jù)庫私密信息，服務(wù)器數(shù)字證書等安全性的保證，是網(wǎng)銀系統(tǒng)安全的基石；客戶端安全主要是對使用網(wǎng)銀系統(tǒng)用戶在使用過程中存在的種種問題提供的保護(hù)措施。
    服務(wù)器端的安全決定著整個網(wǎng)銀系統(tǒng)的安全性，用戶私密信息數(shù)據(jù)庫、服務(wù)器數(shù)字證書、用戶的私人證書等一切敏感信息都部署在服務(wù)器端。服務(wù)器端安全又包括物理安全和軟件安全。物理安全包括對于應(yīng)用服務(wù)器硬件安全性的保障。軟件安全包括部署服務(wù)器的操作系統(tǒng)、網(wǎng)銀系統(tǒng)等方面的安全性。此處主要談?wù)摲?wù)器軟件方面的安全，大體內(nèi)容概括如下：
    網(wǎng)銀系統(tǒng)服務(wù)端安全性保障
    (1)相關(guān)的服務(wù)器所處局域網(wǎng)和操作系統(tǒng)層次的安全是最基本的保障，包括檢測系統(tǒng)漏洞，掃描Intranet安全，及時打補(bǔ)丁等措施。
    (2)保證服務(wù)器端數(shù)據(jù)和用戶數(shù)據(jù)的安全性和私密性，特別是服務(wù)器數(shù)字證書、個人數(shù)字證書的安全性；保證用戶敏感數(shù)據(jù)賬號、密碼等即使在服務(wù)器被攻破的情況下，也需要在一定程度上保證獲取者不能直接或者完全獲取用戶敏感信息，包括對敏感信息使用摘要算法MD5，SHA-1等。
    (3)網(wǎng)銀系統(tǒng)軟件架構(gòu)健壯性和安全性保障。服務(wù)器端網(wǎng)銀軟件安全性必須包括應(yīng)對重試攻擊、重放攻擊、堆溢出、拒絕服務(wù)攻擊（DOS），分布式拒絕服務(wù)攻擊（DDOS）、SQL注入等常見的各種攻擊的保護(hù)措施；另外也包括通過雙機(jī)熱備等措施提供的高可用性、高可靠性等。
    (4)網(wǎng)銀系統(tǒng)軟件用于交換密鑰或者生成驗(yàn)證碼的隨機(jī)數(shù)的隨機(jī)性，驗(yàn)證圖片的加入干擾因素的強(qiáng)度。
    網(wǎng)銀用戶安全性保障
    目前網(wǎng)銀系統(tǒng)的主要安全隱患在于諸多使用者的安全意識薄弱，對網(wǎng)絡(luò)使用安全了解甚少，也是網(wǎng)銀系統(tǒng)存在的最大安全隱患。因此在網(wǎng)銀系統(tǒng)的設(shè)計上應(yīng)最大程度上減輕甚至避免由于用戶安全意識薄弱等方面帶來的安全隱患。當(dāng)前大多數(shù)的網(wǎng)銀系統(tǒng)也正在逐步通過系統(tǒng)的完善性來保障用戶端使用的安全性。
    （1）保證用戶登陸過程中密鑰的安全性。網(wǎng)銀用戶的客戶端基本上都是Web瀏覽器，諸多的網(wǎng)銀系統(tǒng)都采取了開發(fā)自己的安全控件加強(qiáng)用戶的輸入個人敏感信息的保護(hù)，但是安全控件的安全性設(shè)計及其數(shù)字簽名也存在諸多的隱患，攻擊者可能會使用類似的安全控件達(dá)到混淆的目的。某些網(wǎng)銀系統(tǒng)的大眾版也提供初級安全，使用圖片讓用戶點(diǎn)擊輸入的方式防范密碼竊取工具。當(dāng)然最好的解決辦法還是提供針對性的登陸軟件，但是無形之間復(fù)雜了用戶的使用。
    （2）使用驗(yàn)證碼保護(hù)用戶密碼的軟件攻擊。使用隨機(jī)高強(qiáng)度的驗(yàn)證碼圖片用于用戶單次登陸的憑證，防止攻擊者使用軟件自動進(jìn)行頻繁重試破解密碼或者使用用戶登陸后的信息重放攻擊服務(wù)器。另對于可能由于疏忽忘記退出登陸提供時限的保護(hù)，超過時限自動退出。
    （3）使用多因子認(rèn)證方案。提供除了用戶登陸密碼以外的其他信息作為輔助密碼：1）個人信息校驗(yàn)，登陸過程總驗(yàn)證用戶的個人信息如身份證號碼；2）申請個人數(shù)字證書，下載成功后保存于用戶登陸機(jī)器中，保存的數(shù)字證書使用密碼保護(hù)，提供一定的安全保障；3）使用物理介質(zhì)保存?zhèn)€人數(shù)字證書，保證個人證書和機(jī)器分離，例如USB Key保存數(shù)字證書，用戶登陸時提供保存數(shù)字證書USB Key，USB Key還可以使用PIN碼來保護(hù)；4）提供附件的動態(tài)的密碼，每次登陸密鑰進(jìn)行重新提供，密碼的有效性僅為此次登陸，常見的有動態(tài)口令，刮刮卡，動態(tài)短信等。
    

    感謝各位讀者朋友對本文的關(guān)注和意見，希望大家繼續(xù)關(guān)注InfoQ！
     
    崔康 熱情的技術(shù)探索者，資深軟件工程師，InfoQ編輯，從事企業(yè)級Web應(yīng)用的相關(guān)工作，關(guān)注性能優(yōu)化、Web技術(shù)、瀏覽器等領(lǐng)域
    

最新評論