隨著網(wǎng)絡(luò)的普及和金融業(yè)務(wù)的不斷擴(kuò)展，網(wǎng)上銀行已經(jīng)逐漸成為人們?nèi)粘＠碡?cái)工具之一。由于互聯(lián)網(wǎng)的開(kāi)放性，安全性成為網(wǎng)銀系統(tǒng)設(shè)計(jì)和實(shí)施的重要挑戰(zhàn)。根據(jù)一份國(guó)內(nèi)媒體的調(diào)查結(jié)果統(tǒng)計(jì)，超過(guò)九成的網(wǎng)民有意嘗試網(wǎng)銀業(yè)務(wù)，但是超過(guò)一半的受訪者擔(dān)心安全性問(wèn)題。而在國(guó)外，根據(jù)美國(guó)互聯(lián)網(wǎng)犯罪投訴中心報(bào)告，2009年美國(guó)銀行客戶(hù)因網(wǎng)上賬號(hào)被盜而遭受的經(jīng)濟(jì)損失高達(dá)5.59億美元。網(wǎng)銀系統(tǒng)安全的重要性可見(jiàn)一斑，相關(guān)的軟件開(kāi)發(fā)人員也面臨巨大的挑戰(zhàn)。
IBM的工程師董偉、程平平最近撰文（下文稱(chēng)“文章”）簡(jiǎn)要描述了網(wǎng)上銀行普遍采用的安全系統(tǒng)架構(gòu)以及相關(guān)技術(shù)，為關(guān)注金融領(lǐng)域的開(kāi)發(fā)人員提供了參考。
文章首先對(duì)網(wǎng)銀系統(tǒng)的安全需求作了分析，提出了業(yè)務(wù)邏輯和數(shù)據(jù)兩方面的考量：

• 業(yè)務(wù)邏輯安全需求
  身份認(rèn)證需求訪問(wèn)控制需求交易重復(fù)提交控制需求
  • 數(shù)據(jù)安全需求
    數(shù)據(jù)保密性需求數(shù)據(jù)完整性需求數(shù)據(jù)可用性需求數(shù)據(jù)不可偽造性需求數(shù)據(jù)不可抵賴(lài)性需求 這里要特別強(qiáng)調(diào)與銀行客戶(hù)利益密切相關(guān)并為大眾熟知的數(shù)據(jù)保密性需求：
    

    客戶(hù)端與網(wǎng)銀系統(tǒng)交互時(shí)輸入的各類(lèi)密碼：包括系統(tǒng)登錄密碼、轉(zhuǎn)賬密碼、憑證查詢(xún)密碼等必須加密傳輸及存放，這些密碼在網(wǎng)銀系統(tǒng)中只能以密文的方式存在，其明文形式能且只能由其合法主體能夠識(shí)別。 網(wǎng)銀系統(tǒng)與其它系統(tǒng)進(jìn)行數(shù)據(jù)交換時(shí)必須進(jìn)行端對(duì)端的加解密處理。這里的數(shù)據(jù)加密主要是為了防止交易數(shù)據(jù)被銀行內(nèi)部人士截取利用。

    在分析安全性需求的基礎(chǔ)上，文章引入了目前網(wǎng)上銀行最為著名的安全系統(tǒng)架構(gòu)模型——PPDRR 模型，即策略 (Policy)、防護(hù) (Protection)、檢測(cè) (Detection)、響應(yīng) (Response) 和恢復(fù) (Recovery)，并認(rèn)為這是“一種動(dòng)態(tài)的、自適應(yīng)的安全模型，可適應(yīng)安全風(fēng)險(xiǎn)和安全需求的不斷變化，提供持續(xù)的安全保障“。基于PPDRR模型的網(wǎng)絡(luò)拓?fù)淙鐖D1所示：
     
    圖1 網(wǎng)銀系統(tǒng)拓?fù)鋱D （來(lái)源：developerWorks）關(guān)于拓?fù)浣Y(jié)構(gòu)，文章指出了幾個(gè)關(guān)鍵點(diǎn)：
    
    整個(gè)網(wǎng)絡(luò)系統(tǒng)通過(guò)三道防火墻劃分為四個(gè)邏輯區(qū)域。最外層為是 Internet 區(qū)（非授信區(qū)），為網(wǎng)銀用戶(hù)客戶(hù)端接入?yún)^(qū)域。第一道防火墻和第二道防火墻之間是隔離區(qū)（DMZ），在此區(qū)域中部署 RA 服務(wù)器以及網(wǎng)銀系統(tǒng)的 Web 服務(wù)器等其它第三方應(yīng)用系統(tǒng)。第二道防火墻和第三道防火墻之間是應(yīng)用區(qū)，是網(wǎng)銀系統(tǒng)的應(yīng)用 /DB 區(qū)，在此區(qū)域中部署網(wǎng)銀系統(tǒng)的應(yīng)用服務(wù)器和數(shù)據(jù)庫(kù)服務(wù)器。第三道防火墻之后為銀行的核心系統(tǒng)、中間業(yè)務(wù)平臺(tái)等第三方業(yè)務(wù)系統(tǒng)。在隔離區(qū)和應(yīng)用區(qū)的 Web 服務(wù)器，應(yīng)用服務(wù)器和數(shù)據(jù)庫(kù)服務(wù)器都會(huì)有相應(yīng)的雙機(jī)熱備方案。 對(duì)于目前流行的專(zhuān)門(mén)盜取客戶(hù)的賬號(hào)和密碼的盜號(hào)木馬，文章指出“單純的軟件認(rèn)證已不能滿(mǎn)足網(wǎng)絡(luò)銀行系統(tǒng)的身份認(rèn)證需求，所以網(wǎng)絡(luò)銀行多采用軟硬件結(jié)合的雙因子認(rèn)證方式作為身份認(rèn)證的輔助解決方案”，其中包括：
    
    USB Key 認(rèn)證動(dòng)態(tài)口令刮刮卡動(dòng)態(tài)短信 網(wǎng)銀系統(tǒng)的設(shè)計(jì)和實(shí)現(xiàn)過(guò)程中，安全性一直是架構(gòu)師和開(kāi)發(fā)人員最關(guān)注的因素之一，文章概述了一種目前廣泛采用的安全模型，具有參考和借鑒意義。InfoQ將繼續(xù)關(guān)注和報(bào)道相關(guān)領(lǐng)域的最新發(fā)展，也歡迎讀者朋友分享經(jīng)驗(yàn)和提供反饋。
    在本文發(fā)表不久，多位熱心的讀者通過(guò)各種形式進(jìn)行了反饋，特別是來(lái)自梁江通信的狄衛(wèi)華先生基于對(duì)網(wǎng)銀系統(tǒng)的理解，表達(dá)了自己的看法：
    

    當(dāng)前對(duì)于網(wǎng)絡(luò)安全保障的主要手段就是使用安全的協(xié)議SSL/TLS。SSL/TLS協(xié)議結(jié)合數(shù)字證書(shū)基本上保障了網(wǎng)銀系統(tǒng)用戶(hù)的安全性，包括數(shù)據(jù)的私密性，完整性和不可否認(rèn)性，但是SL/TLS協(xié)議結(jié)合數(shù)字證書(shū)也不是萬(wàn)能鑰匙，在用戶(hù)使用過(guò)程中的種種疏忽或者網(wǎng)銀系統(tǒng)設(shè)計(jì)本身存在的種種安全隱患都可成為黑客攻破的大門(mén)。網(wǎng)銀系統(tǒng)直接牽扯到用戶(hù)資金的安全，因此網(wǎng)銀系統(tǒng)使用安全也逐漸成為廣大用戶(hù)關(guān)注的熱點(diǎn)，尤其是在當(dāng)前電子商務(wù)開(kāi)始盛行的時(shí)代。
    網(wǎng)銀系統(tǒng)的安全性一般分為服務(wù)端和客戶(hù)端兩個(gè)方面。服務(wù)端的安全包括用戶(hù)數(shù)據(jù)庫(kù)私密信息，服務(wù)器數(shù)字證書(shū)等安全性的保證，是網(wǎng)銀系統(tǒng)安全的基石；客戶(hù)端安全主要是對(duì)使用網(wǎng)銀系統(tǒng)用戶(hù)在使用過(guò)程中存在的種種問(wèn)題提供的保護(hù)措施。
    服務(wù)器端的安全決定著整個(gè)網(wǎng)銀系統(tǒng)的安全性，用戶(hù)私密信息數(shù)據(jù)庫(kù)、服務(wù)器數(shù)字證書(shū)、用戶(hù)的私人證書(shū)等一切敏感信息都部署在服務(wù)器端。服務(wù)器端安全又包括物理安全和軟件安全。物理安全包括對(duì)于應(yīng)用服務(wù)器硬件安全性的保障。軟件安全包括部署服務(wù)器的操作系統(tǒng)、網(wǎng)銀系統(tǒng)等方面的安全性。此處主要談?wù)摲?wù)器軟件方面的安全，大體內(nèi)容概括如下：
    網(wǎng)銀系統(tǒng)服務(wù)端安全性保障
    (1)相關(guān)的服務(wù)器所處局域網(wǎng)和操作系統(tǒng)層次的安全是最基本的保障，包括檢測(cè)系統(tǒng)漏洞，掃描Intranet安全，及時(shí)打補(bǔ)丁等措施。
    (2)保證服務(wù)器端數(shù)據(jù)和用戶(hù)數(shù)據(jù)的安全性和私密性，特別是服務(wù)器數(shù)字證書(shū)、個(gè)人數(shù)字證書(shū)的安全性；保證用戶(hù)敏感數(shù)據(jù)賬號(hào)、密碼等即使在服務(wù)器被攻破的情況下，也需要在一定程度上保證獲取者不能直接或者完全獲取用戶(hù)敏感信息，包括對(duì)敏感信息使用摘要算法MD5，SHA-1等。
    (3)網(wǎng)銀系統(tǒng)軟件架構(gòu)健壯性和安全性保障。服務(wù)器端網(wǎng)銀軟件安全性必須包括應(yīng)對(duì)重試攻擊、重放攻擊、堆溢出、拒絕服務(wù)攻擊（DOS），分布式拒絕服務(wù)攻擊（DDOS）、SQL注入等常見(jiàn)的各種攻擊的保護(hù)措施；另外也包括通過(guò)雙機(jī)熱備等措施提供的高可用性、高可靠性等。
    (4)網(wǎng)銀系統(tǒng)軟件用于交換密鑰或者生成驗(yàn)證碼的隨機(jī)數(shù)的隨機(jī)性，驗(yàn)證圖片的加入干擾因素的強(qiáng)度。
    網(wǎng)銀用戶(hù)安全性保障
    目前網(wǎng)銀系統(tǒng)的主要安全隱患在于諸多使用者的安全意識(shí)薄弱，對(duì)網(wǎng)絡(luò)使用安全了解甚少，也是網(wǎng)銀系統(tǒng)存在的最大安全隱患。因此在網(wǎng)銀系統(tǒng)的設(shè)計(jì)上應(yīng)最大程度上減輕甚至避免由于用戶(hù)安全意識(shí)薄弱等方面帶來(lái)的安全隱患。當(dāng)前大多數(shù)的網(wǎng)銀系統(tǒng)也正在逐步通過(guò)系統(tǒng)的完善性來(lái)保障用戶(hù)端使用的安全性。
    （1）保證用戶(hù)登陸過(guò)程中密鑰的安全性。網(wǎng)銀用戶(hù)的客戶(hù)端基本上都是Web瀏覽器，諸多的網(wǎng)銀系統(tǒng)都采取了開(kāi)發(fā)自己的安全控件加強(qiáng)用戶(hù)的輸入個(gè)人敏感信息的保護(hù)，但是安全控件的安全性設(shè)計(jì)及其數(shù)字簽名也存在諸多的隱患，攻擊者可能會(huì)使用類(lèi)似的安全控件達(dá)到混淆的目的。某些網(wǎng)銀系統(tǒng)的大眾版也提供初級(jí)安全，使用圖片讓用戶(hù)點(diǎn)擊輸入的方式防范密碼竊取工具。當(dāng)然最好的解決辦法還是提供針對(duì)性的登陸軟件，但是無(wú)形之間復(fù)雜了用戶(hù)的使用。
    （2）使用驗(yàn)證碼保護(hù)用戶(hù)密碼的軟件攻擊。使用隨機(jī)高強(qiáng)度的驗(yàn)證碼圖片用于用戶(hù)單次登陸的憑證，防止攻擊者使用軟件自動(dòng)進(jìn)行頻繁重試破解密碼或者使用用戶(hù)登陸后的信息重放攻擊服務(wù)器。另對(duì)于可能由于疏忽忘記退出登陸提供時(shí)限的保護(hù)，超過(guò)時(shí)限自動(dòng)退出。
    （3）使用多因子認(rèn)證方案。提供除了用戶(hù)登陸密碼以外的其他信息作為輔助密碼：1）個(gè)人信息校驗(yàn)，登陸過(guò)程總驗(yàn)證用戶(hù)的個(gè)人信息如身份證號(hào)碼；2）申請(qǐng)個(gè)人數(shù)字證書(shū)，下載成功后保存于用戶(hù)登陸機(jī)器中，保存的數(shù)字證書(shū)使用密碼保護(hù)，提供一定的安全保障；3）使用物理介質(zhì)保存?zhèn)€人數(shù)字證書(shū)，保證個(gè)人證書(shū)和機(jī)器分離，例如USB Key保存數(shù)字證書(shū)，用戶(hù)登陸時(shí)提供保存數(shù)字證書(shū)USB Key，USB Key還可以使用PIN碼來(lái)保護(hù)；4）提供附件的動(dòng)態(tài)的密碼，每次登陸密鑰進(jìn)行重新提供，密碼的有效性?xún)H為此次登陸，常見(jiàn)的有動(dòng)態(tài)口令，刮刮卡，動(dòng)態(tài)短信等。
    

    感謝各位讀者朋友對(duì)本文的關(guān)注和意見(jiàn)，希望大家繼續(xù)關(guān)注InfoQ！
     
    崔康 熱情的技術(shù)探索者，資深軟件工程師，InfoQ編輯，從事企業(yè)級(jí)Web應(yīng)用的相關(guān)工作，關(guān)注性能優(yōu)化、Web技術(shù)、瀏覽器等領(lǐng)域
    

最新評(píng)論