淺談網上銀行的安全體系設計

摘要：自1999年我國推出網上銀行以來，網上銀行業務以其方便、直觀、基本覆蓋傳統銀行業務范圍等優點，已經成為人們日常生活中不可分割的一部分。客戶通過網上銀行可以在任何時間、任何地點、任何方式使用銀行提供的金融服務，足不出戶的辦理銀行業務。

本文以網上銀行安全體系為研究對象，分析網上銀行的安全區域劃分、數據流分析、風險點挖掘等內容，從管理和技術兩個角度來設計網上銀行的安全體系。

關鍵詞：網上銀行 安全體系 設計

一、概述

網上銀行是商業銀行等金融機構通過互聯網、移動通信網絡及其他開放性公眾網絡向其客戶提供各種金融服務的信息系統。網上銀行系統將傳統的銀行業務同互聯網等資源和技術進行融合，將傳統的柜臺通過互聯網、移動通信網絡、其他開放性公眾網絡向客戶進行延伸，是商業銀行開拓新業務、方便客戶操作、改善服務質量、推動生產關系變革等的重要舉措，提高了商業銀行的社會效益和經濟效益。

2005年實施的《電子簽名法》是促進我國電子商務發展的點睛之筆。該法律既順應了信息化的時代潮流，也符合我國信息化戰略的發展要求。《電子簽名法》不僅保障了網上交易的合法有效性，還從法律保障和權益保護的角度樹立廣大企業和社會公眾對電子支付安全性、可靠性的信心，為網上銀行等電子支付業務帶來了發展契機。

網上銀行的最大特點是開放性，不受地域與時間的限制。開放性帶來的優點是交易成本的降低和交易便利性的提高，缺點是交易安全易受到威脅及通訊可靠性降低。因此，網上銀行業務設計應充分發揮開放網絡低成本和便利的特點，有效應對開放網絡通訊安全威脅，同時采取手段提高交易穩定性和成功率。

與傳統銀行經營模式相比，網上銀行的風險主要體現在操作風險與聲譽風險兩個方面。操作風險是指由不完善或有問題的內部程序、員工、信息科技系統以及外部事件所造成損失的風險。網上銀行體現的操作風險主要包括：網絡故障引發的風險、黑客襲擊引發的風險、網上銀行系統可靠性、穩定性、安全性的缺陷而導致的潛在損失風險、員工操作風險、客戶的疏忽引發的操作風險等幾個方面。操作風險具有普遍性與非營利性，商業銀行應當通過各種措施來降低操作風險的發生概率，降低風險發生帶來的損失。網上銀行引發的信譽風險尤指由于網上銀行業務遭受襲擊、出現損失、響應緩慢、無法使用或者其他原因給網上銀行客戶造成經濟損失、導致負面評價，對銀行造成信譽受損的風險。

網上銀行安全體系應當以保障國家金融安全及公眾利益為目標，采取措施保障交易全過程的安全性，保障交易雙方的信任可信、交易信息的不泄露和不被篡改及不可抵賴。網上銀行安全體系建立過程是一個涵蓋風險管理、策略制定、規劃實施、審計、整改完善的動態運作過程。

根據中國人民銀行頒布的《網上銀行系統信息安全通用規范》，網上銀行的安全區域包括外部區域、WEB訪問安全區域、網上銀行應用安全區域、銀行內部區域等。網上銀行的主要數據流量包括信息瀏覽、查詢、交易三類。信息瀏覽數據量基本在WEB訪問安全區域終結，大部分查詢類流量在網上銀行應用安全區域終結，交易流量、部分查詢流量一般需要到銀行內部核心區域訪問。可以看出，網上銀行的數據訪問流量具有明顯的分層分級特點，這個特點非常有利于我們進行安全層級的劃分。

二、管理角度的安全體系設計

商業銀行應當充分重視網上銀行的安全工作，將之納入全行的安全體系建設工作中，從組織架構、管理制度、人員配備、審計檢查、數據備份及災難管理、系統運維等多方面考慮，從管理上設計網上銀行的安全體系。

（一）組織架構

應建立與商業銀行發展戰略相匹配的網上銀行安全保障與風險管理組織架構，從董事會、高級管理層到各部門均應參與網上銀行的安全體系協調機制，明確各部門在其中的職責。

應設立網上銀行安全保障與風險管理工作的主要負責部門，由該部門牽頭制定發布相關制度、規范、流程，協調跨部門的應急演練等工作，明確該部門在涉及網上銀行業務時和其他各相關部門的職責范圍、工作流程和溝通協調機制。

（二）管理制度

建立貫穿網上銀行業務運作、系統設計、編碼、測試、集成、運行維護以及評估、應急處置等過程，并涵蓋安全制度、安全規范、安全操作規程和操作記錄手冊等方面的安全管理制度體系。

（三）人員配備

網上銀行應當配備專門的安全管理員、系統管理員、網絡管理員，有條件的商業銀行還應為網上銀行配備專門的數據備份與恢復人員。堅持關鍵崗位的不兼容原則，堅持開發與運維分離、技術與業務分離、操作與審計分離。應當建立外包人員、外包廠家的管理制度，從事網銀相關工作的人員應進行身份驗證、背景調查等審查程序，簽署保密協議。

（四）審計檢查

定期對網上銀行進行內部IT審計，全面審視制度的制定與執行情況。改進傳統審計方法，充分利用現代化的網絡和信息技術，采用計算機輔助審計技術，如利用追蹤與標示技術來監控審計數據處理是否正確。要加強對操作記錄、操作日志的審計工作，保障日常變更有章可循，記錄清楚。

應充分利用兩年一次的外部審計對網上銀行的運維進行安全審計，發現并整改問題。

（五）數據管理及災難備份

網上銀行應該加強網上銀行的數據管理工作，定期對網上銀行的數據進行備份。對備份方式、備份周期、存儲介質及保存方式等內容進行規范，定期組織備份數據的恢復測試工作。

有條件的商業銀行應當將網上銀行的業務納入到全行的災難備份計劃中，并根據全行的統一計劃進行相關的演練與切換工作。

（六）系統運維管理

商業銀行應當高度重視機房的安全管理工作，對有關機房物理訪問，物品帶進、帶出機房和機房環境安全等方面的管理明確規定。對“風火水電”指定專人負責，定期巡檢，加強保密管理。加強對設備的管理工作，尤其是設備外修等情況的管理工作。

針對網上銀行的變更、升級、改造，應當科學規劃、充分論證、嚴格審查。記錄變更文檔與變更記錄。減少緊急變更，制定日常性的變更管理，保障變更具有充分的調研、設計、測試與審查時間。

三、技術角度的安全體系設計

商業銀行還應當充分重視網上銀行的安全技術防范，從軟件及應用層面風險防范、網絡架構、安全防護設備、應急響應等方面綜合設計網上銀行的安全體系。

（一）防范軟件風險

此處所指的軟件主要包括網上銀行系統程序軟件、操作系統軟件、數據庫軟件、中間件等應用程序軟件。應用程序方面應當從防攻擊、保護數據完整性、防抵賴、防重發等方面保障安全。

首先，應高度重視網銀程序自身的風險。在開發過程中，應當引進內部審計對關鍵里程碑進行審計。開發結束后，應當進行多輪測試，力爭在程序正式上線前就能夠發現潛在風險并加以改正。程序正式上線后發現的問題，應當充分論證后再行升級修改，避免緊急變更。

其次，應充分重視OS漏洞、數據庫漏洞、中間件漏洞等的管理工作。一方面，通過外部安全評估部門出具的評估報告。另一方面內部定期開展漏洞掃描工作，獲得現有系統的較為全面的漏洞清單及風險。然后組織相關人員討論漏洞修復的可行性，咨詢軟件廠家的意見，并充分參考同業的實施情況。在測試環境中先行測試，未發現次生問題后再行組織生產環境的漏洞修復工作。

再次，在應用層面的設計中體現安全設計。利用身份鑒別、數據完整性、簽名防抵賴性、時間戳等技術來實現應用層面的安全。

1.身份鑒別提高安全。在網銀系統中，用戶的身份認證依靠基于“RSA公鑰”的加密機制、數字簽名機制和用戶登錄密碼的多重保證。用戶的唯一身份標識是銀行發放給用戶的“數字證書”，用戶的登錄密碼以密文的方式傳輸，確保了身份認證的安全可靠。將數字證書和客戶號關聯，客戶號及其密碼與數字證書同時被竊取才可能造成損失，安全性得到很大提高。

2.公鑰保護數據完整性。網銀系統應采用“HASH算法”和“RSA公鑰”等方法，對數據傳輸的完整性進行保護。

3.數字簽名機制防抵賴。網銀系統中，每一筆金融交易均應附帶有發出方的數字簽名。這主要有兩個目的：一是銀行根據交易的數字簽名來確認交易發出方的身份合法性，實現交易的認證要求；二是用戶每次業務操作的信息均由用戶的私鑰進行數字簽名，實現了交易的抗抵賴性要求。

4.時間戳防重發。在每個用戶發出的操作數據包中，加入當前系統的時間信息，時間信息和業務信息一同進行數字簽名。可以對每次的業務操作進行區分，保證了信息的唯一性。

（二）安全的分層網絡架構

網絡架構應當適應并配合數據流向，并對數據加以保護。根據數據流向的特點，網絡架構應當遵循分層訪問、逐級訪問的特點，區分外部訪問區、WEB服務器區、APP服務器區、銀行核心區等幾個安全區域，每個安全區域邊界使用安全防護設備進行安全防范。

（三）配備安全防護設備

由于網銀數據具有保密性、完整性和防抵賴性等特點，因此必須采用多種安全防護措施來保障數據的安全性。

1.抗DDOS攻擊防護。抗DDOS攻擊防護也叫抗拒絕服務系統，一般由檢測設備和清洗設備共同組成。其中，流量檢測系統采集流量信息，進行定性判斷。一旦檢測到DDOS攻擊流量，將自動將攻擊流量牽引到防護設備，由防護設備對DDOS攻擊流量進行阻斷，并將清洗后的流量重新返回到接入設備，不影響正常業務訪問。

2.入侵檢測（IDS）與入侵防御（IPS）。入侵檢測是指對進入WEB層和APP層網絡流量進行實時檢測、預警功能、事后的審計。入侵防御系統可以對識別的入侵流量實時阻斷，能主動防御已知和未知攻擊，實時阻斷各種黑客攻擊。

3.SSL加速。SSL加速設備負責對使用證書登錄的客戶進行身份認證，建立雙向SSL安全通訊鏈路，對于非證書用戶的單向SSL安全通訊鏈路也由此設備建立。用戶登錄并通過身份認證以后，用戶和銀行間在網絡上傳輸的所有數據全部用會話密鑰加密，直到用戶退出。SSL安全設備提供服務器證書，提供SSL連接，自動下載CRL（證書作廢列表）。

4.異構防火墻。外部安全區域、WEB服務器區域和APP服務器區域間配置兩道異構防火墻。第一道防火墻設立在外部安全區域、WEB服務器區域之間，保護DMZ（非軍事化區）網絡。在DMZ和APP服務器區域之間設立了第二道防火墻，保護網銀核心設備不受攻擊。

5.鏈路負載均衡。通過鏈路負載均衡系統對電信、聯通的鏈路進行負載均衡。網上銀行用戶通過鏈路負載均衡系統進行DNS解析，返回最優鏈路提供的IP地址，確保用戶登陸網上銀行系統時，是通過最優鏈路訪問網上銀行WEB服務器，保障網上銀行用戶能快速訪問WEB服務器。鏈路負載均衡設備大大提高了用戶訪問的速度，提升了用戶體驗，提高了系統可用性。

6.頁面防篡改。頁面防篡改系統使用嚴密的Web服務器核心內嵌技術，網頁在被閱讀前都進行水印檢測，確保網站的網頁都不被篡改。系統覆蓋了網頁的自動發布、篡改檢測、警告和自動恢復，保證傳輸、鑒別、審計等各個環節的安全，為網站保駕護航。

7.安全證書體系。采用證書來保證客戶信息的傳輸安全，防止用戶身份被冒用、數據被截取、數據被修改和數據被否認。目前，一般通過中國金融認證中心（簡稱CFCA）來實現的。CFCA的任務就是為了確保數據的安全性、數據的完整性和真實性、數據的防抵賴及用戶身份的確認。為提高簽名驗簽的效率，可以采用簽名驗簽服務器來進行硬件驗簽。

（四）建立應急響應機制

銀行應當從技術角度和業務角度出發，假設網上銀行系統的主機、網絡及安全設備等IT設施在突發安全事件的時候，指導各相關部門和人員如何根據有序的流程和計劃對系統進行有效恢復，減少網銀業務停頓造成的損失。建立覆蓋全行相應部門的應急響應機制，一般包括發現、報告、分析、處理、總結幾個程序。

四、總結

總的來說，網上銀行的安全體系建立涵蓋了管理與技術的方方面面。首先需要爭取領導層的支持，其次需要各業務部門、信息科技部門的大力配合與實施。通過保障組織架構、完善管理制度、配備充足人員、定期審查審計、加強數據及災備管理、加強運維管理等管理方面的手段，從管理層面來保障安全體系的建立。在技術方面既要重視應用層面的安全風險，利用漏洞修復技術、優化數據流、RSA、證書等手段來保障網上銀行數據的安全性、完整性及防抵賴性。還要重視網絡層面的安全風險，采用業內認可的網絡架構，通過配備抗DDOS設備、IPS、IDS、鏈路負載均衡器、異構防火墻、防頁面篡改等技術手段來保障網上銀行的可用性及安全性。

參考文獻：

[1]中國銀監會，商業銀行信息科技風險管理指引

[2]中國人民銀行，網上銀行系統信息安全通用規范

[3]陳學榮，淺談銀行網上銀行業務與網絡安全，中國金融網

[4]王鐵剛，淺談“訪問控制”技術在銀行網絡安全中的運用，計算機光盤軟件與應用，2012年第20期