资金管理系统的安全架构设计
财务公司通过资金管理系统实现与成员单位、银行系统的对接,为成员单位提供网上银行服务,用户可以通过网上银行完成存款、贷款、转帐、票据管理等多项业务,系统在后台实现银行间的资金结算。网上银行操作方便快捷,为用户带来极大的便利,同时由于网络的开放性,为不法分子提供了可乘之机,近几年用户密码泄露、资金被盗等安全事件也频频发生。如何通过技术、管理等各种手段加强系统安全性,确保用户信息和资金安全,是资金管理系统架构设计时要解决的问题。
1.安全威胁分析
资金管理系统是财务公司的核心业务系统,是个由多台服务器、存储和网络设备构成的复杂系统,设备和系统存在安全漏洞,并对用户开放应用服务,可能会遭受到各种来自内外部网络的攻击,因此关键问题是确保交易的安全性。一般来说,系统存在如下安全威胁:
(1) 操作系统、数据库、中间件、网络设备等可能遭到攻击,引起系统瘫痪,无法为用户提供服务,用户可能因此错过付款期限,遭受对方索赔。
(2) 信息在传输的过程中可能被攻击者截获,导致用户机密信息被盗。
(3) 攻击者通过篡改数据内容,修改数据包的次序和时间,使系统发生异常故障,完整性遭受破坏。
(4) 伪造用户身份,使用合法消息实现非法目的,使用户受到资金损失,财务公司和银行则名誉受损。
2.安全需求
保证交易过程和资金结算的安全,是资金管理系统设计和实施的关键。资金管理系统面向Intranet和Internet开放,因此对安全性提出了更高的要求。
(1) 机密性。系统应在传输过程中对数据进行加密,防止帐号、密码、交易数据等信息被非法截获。
(2) 完整性。数据未经授权不能改变特征,系统应防止在交易过程中信息被非法修改,确保交易信息完整性。
(3) 可用性。系统可被授权实体访问并按需求使用,防止攻击者占用资源使得系统无法提供正常的服务。
(4) 身份识别。成员单位在系统内开设账户保存资金,每个访问资金管理系统的用户身份必须得到确认,才能访问,转帐时双方的身份都要得到确认。
(5) 防抵赖。系统应通过一定方式保证有足够证据证明消息发送或接受已经发生。
3.安全体系结构
信息安全是个系统工程,涉及到安全通信协议、数据加密、身份认证、网络安全、物理安全、管理制度、法律法规等各个方面。完整的资金管理系统安全体系结构如图1所示。
安全服务层位于最高层,为用户提供具体的机密性、完整性、可用性、身份识别、防抵赖等安全服务。
安全机制层位于安全服务层之下、安全技术层之上,满足资金管理系统安全需求所采用的一系列安全机制,主要是保证安全服务采用的各种标准和协议,比如SSL、SET等。
安全技术层位于安全机制层之下、基础设施层之上,使用数据加密、CA认证、数字签名、身份认证、动态口令、双因素身份认证等技术对传输消息进行加密,并认证用户身份。
基础设施层位于安全技术层之下、人文环境层之上,指防火墙、网络访问控制、服务器RAID阵列、双机热备、数据备份等IT基础平台技术。
人文环境层位于体系最底层,是保障系统正常运行和信息安全的基础,没有完善的管理制度、有效的执行力、员工良好的职业道德,那么一切技术手段都无法起到应有的作用。
五个层次紧密联系、环环相扣,形成完整的安全防护体系,每一层都不可或缺,上层依托下层的基础,为更上一层提供服务和支持,也为系统的`安全运行提供有力保障。
4.架构设计
4.1总体架构
依据上述理论对架构进行了设计,使用防火墙和三层交换机将网络划分为多个区域,部署服务器、存储、银行前置机、客户端等设备,做好各区域之间的网络访问控制;系统采用主流的数据库、中间件、应用层分离的三层架构,两台小型机通过SAN网络共享存储架设数据库,其他应用使用PC服务器,软件体系为B/S架构,采用应用安全网关和USBKey数字证书等多项技术加强系统安全性。
4.2关键技术
(1) 网络区域划分
在内部网络防火墙的LAN和DMZ分别部署三层交换机,将网络划分为核心业务区、对外服务器区、银企互联区、用户接入区、办公区等多个区域。
核心业务区。位于防火墙DMZ区域,只用于部署核心的数据库服务器及后端存储,允许WEB服务器和财务公司前台的客户端等访问。
对外服务器区。位于DMZ区域,部署WEB服务器、接口服务器、应用安全网关等,允许用户通过浏览器访问WEB应用。
银企互联区。位于防火墙LAN区域,各家银行的前置机部署于此,前置机安装双网卡,一个网卡连接财务公司网络,配置静态路由,单向访问数据库和应用服务器,另一个网卡直连银行内部网络,实现资金支付和数据处理。
用户接入区。在防火墙LAN区域,用于部署前台客户端,访问数据库和应用安全网关,不能访问公司办公网络和因特网。
(2) 安全控制策略
资金系统对不同对象相互之间的访问策略有严格要求,在防火墙或三层交换机上可以用访问控制列表实现策略控制,其中测试和备用服务器的访问策略可依照主服务器配置。具体控制策略如下图所示,
(3) 应用安全网关
资金系统为用户提供网上银行的WEB应用,面临着网页篡改、服务攻击、安全漏洞、代码缺陷等多方面的威胁。应用安全网关是WEB应用的“替身”,部署在用户与WEB应用的中间,使用户无法直接访问WEB服务器,必须通过应用安全网关的代理才能正常访问。应用安全网关能监控网页请求的合法性,防止网页被篡改,提供全面的WEB应用攻击防护。并使用户通过SSL安全协议访问网银,具有如下特点:一是数据机密性,利用对称加密算法对传输的数据进行加密;二是数据完整性,利用MAC数据摘要算法保证数据完整性。
(4) USBKey与数字证书
资金系统在人员管理上采用基于USBKey标识的身份识别方案。USBKey内置芯片和存储,在内部生成密钥对,私钥保存在USBKey内终身不可导出,公钥和用户信息发给数字认证机构CA,生成包含用户身份信息、公钥信息、证书有效期以及CA数字签名的用户数字证书,随后导入到USBKey中。CA数字签名可以确保证书信息的真实性,用户公钥信息可以保证数字信息传输的完整性,用户数字签名可以保证数字信息的不可否认性。USBKey内部电路无法读取、破译、篡改和复制,使得用户数字证书和私钥能得到安全保存。
(5) 双因素身份认证
用户访问网银时都必须插入USBKey并输入PIN码,与以摘要值(MD5)的形式保存在USBKey内部的PIN进行比对,服务器和用户数字证书都得到验证后,使用由USBKey生成的密钥建立安全的SSL连接。系统通过对比服务器端存储的身份识别码和从USBKey内部读出的身份标识数据来判断操作者的身份,然后与用户输入用户名密码进行比对,只有上述完全信息匹配,用户才能得到系统访问许可。用户进行支付操作时需要用自己的私钥签名,而私钥存储在用户的USBKey上,在进行签名运算时私钥不会进入计算机内存,即使黑客获取用户名和口令缺没有私钥无法进行支付,确保资金安全。
【资金管理系统的安全架构设计】相关文章: