金融網絡安全測試方案

思博倫通信

思博倫技術專欄

金融網絡安全測試方案

思博倫通信

編者按：金融行業網絡系統的建設，提高了金融業務處理的水平，改善了金融行業的經營環境，增強了金融信息的可靠性，促進了各項新業務的開展。現今各金融機構為了提高自己的競爭優勢，爭取更大的經濟效益，紛紛在改進服務手段、增強服務功能、完善業務品種、提高服務效率等方面做了大量的工作。但這還不夠，要達到這一目標還必須通過金融電子化，利用高科技手段來提升自己的工作效率。金融行業業務的正常動作均需依賴網絡的暢通與可靠運行，網絡的穩定與安全已真正成為金融業正常運轉的首要條件。因此，金融業網絡安全的正常可靠運行，離不開仿真真實環境的網絡安全測試。思博倫通信的《金融網絡安全測試方案》一文介紹了金融網絡安全面臨的挑戰及需求分析，提出了金融網絡安全測試方案。

1 引言

金融業已經成為信息技術和網絡技術發展的最大受益者之一。金融行業網絡系統的建設，提高了金融業務處理的水平，改善了金融行業的經營環境，增強了金融信息的可靠性，促進了各項新業務的開展。現今各金融機構為了提高自己的競爭優勢，爭取更大的經濟效益，紛紛在改進服務手段、增加服務功能、完善業務品種、提高服務效率等方面做了大量的工作。

但這還不夠，要達到這一目標還必須通過金融電子化，利用高科技手段來提升自己的工作效率。商業銀行客戶的業務系統一般包括核心應用系統、網上銀行系統、辦公系統、監控系統、認證系統等；證券基金客戶的業務系統包括網上交易查詢系統、銀行結算系統、辦公系統和門戶網站等；保險行業客戶業務系統包括CRM系統、核心業務系統、保單管理系統、財務系統等。這些業務的正常運作均需依賴網絡的暢通與可靠運行，網絡的穩定與安全已真正成為金融業正常運轉的首要條件。

因此，金融業網絡安全的正常可靠運行，離不開仿真真實環境的網絡安全測試。

2 面臨的挑戰及需求分析

2.1 面臨的挑戰

隨著金融服務的多樣化和金融業務應用不斷增多，網絡安全風險也日益暴露出來。

金融企業網絡安全的風險來自多個方面：

（1）來自互聯網的風險。網上銀行、電子商務、網上交易系統都是通過Internet并且都與金融系統發生關系，金融系統網絡如果與Internet互聯，那么由于Internet自身的廣泛性、自由性等特點，像銀行、證券和保險這樣的金融系統自然會被入侵者列入其攻擊目標的前列。

（2）來自外聯單位的風險。金融系統為了競爭，已不僅僅是局限在本系統縱向上做文章，而是逐步橫向發展，主要表現在銀行不斷增加中間業務，增加服務功能。例如，代收電話費、水電費、代收保險費、證券轉賬等業務。因此，就與電信局、水電公司、保險公司、證券交易所等單位網絡互聯。由于銀行與這些單位之間并不是完全任信關系，因此它們之間的互聯，也使得金融網絡系統存在著來自外聯單位的安全威脅和安全隱患。

（3）來自不信任域的風險。大部分金融系統都發展到全國聯網，系統分布在全國各地，范圍較廣，而且各級銀行也都是獨立核算單位，因此對每一個區域銀行來說，其它區域銀行都可能是不信任的，同樣存在安全威脅。

（4）來自內部網的風險。據統計，大多數網絡安全事件、攻擊來自于內部，如果內部安全管理措施不到位，極易發生內部攻擊事件。

2.2 需求分析

（1）大型商業銀行

中國的大型商業銀行包括國有和地方商業銀行，這些大型商業銀行的金融電子化水平在同行業居領先地位，電子化網點覆蓋率非常高。正是這些商業銀行在多個領域的不斷發展，使得現有的網絡體系結構越來越復雜。在網絡結構復雜的同時，暴露了不少的安全隱患。如何使得業務的高速推進與網絡安全并駕齊驅，成了越來越熱門的話題。

為了避免各種各樣的利用計算機網絡進行犯罪的刑事案件的發生，以及在系統遭到攻擊中及時做出響應、系統遭到破壞后如何減少損失，設計一整套金融網絡安全體系成了中國大型商業銀行現在最迫切的需求。

（2）證券企業

隨著電腦、網絡應用的普及，以及證券市場的發展和成熟，網上交易委托將會成為股票交易中一個舉足輕重的方式。在這種完全不同于以往的交易方式中，各個證券公司的差別減小，其差異更多地體現在對網絡交易安全的高要求上。這就需要對營業部和證券公司總部的信息網絡系統進行保護，同時對于網上交易的門戶網站需要防御外來的攻擊和蓄意的破壞，各營業部與總部、營業部與營業部之間信息的傳遞需要通過VPN來保障信息傳遞的安全，從而全面實現網上交易的信息安全。

（3）保險公司

隨著網絡技術的迅猛發展，現在世界上幾乎所有的保險業巨頭都看到了網絡發展中所蘊藏的無限商機，把目光都投向了Internet和電子商務。一種全新的理念——網絡保險應運而生。網絡保險是指保險企業通過網絡開展電子商務，如通過Internet買賣保險產品和提供服務。保險公司有著自己的商業機密，同時還掌握著大量保戶的資料，如何保護數據和網絡系統不受到非法侵人，已成為發展網絡保險在技術上的難題。目前，威脅到保險網絡系統的安全主要包括：業務信息安全，即信息的保密性、完整性、真實性和不可否認性；保險網絡系統運行安全；保險網絡環境安全；信息傳輸安全等。在我國網絡技術水平不如歐美國家的情況下，如何開發出適合我國網絡保險發展需要又與國際標準相一致的網絡技術，已成為迫在眉睫的問題。

綜上所述，金融業作為對網絡系統的安全性、實時性、不間斷性、高可靠性、可用性等要求更為苛刻的行業，采用什么解決方案能更好地保護銀行金融網絡呢？不同的安全廠商有不同的解決方案，包括部署防火墻、IPS/IDS、Web應用防火墻、VPN、防病毒網關等，但這些在實施上線后銀行業務還是受到不同程度的攻擊和破壞，從而造成不少經濟和信譽上的損失。

因此，在系統上線之前，通過使用測試工具模擬這些多種真實的網絡攻擊，可幫助網絡管理員盡早發現網絡安全可能存在的問題。

3 金融網絡安全測試方案

（1）方案介紹

思博倫C1網絡安全測試解決方案可以仿真當今世界復雜的網絡環境、各種各樣的應用或網絡攻擊，確保在真實的網絡環境下能提供高質量的產品和服務。C1測試解決方案能夠仿真不同的錯誤狀況、真實的用戶行為以及100多萬不同IP地址的網絡連接，精確重現了真實的網絡環境。即使是世界上最大的網絡基礎設施，C1測試解決方案也能滿足其需求，并且為網絡設備制造商、服務提供商、企業和網站管理者提供任何狀況下網絡的真實性和可控性。C1測試解決方案要求任何計算架構的能力能滿足真實網絡的負載和復雜度。

C1測試解決方案在測試實驗室現實網絡、用戶和用戶以及網絡攻擊的真實性，而真實性正是C1測試解決方案架構的核心。

●用戶真實性：C1測試解決方案能夠仿真數百萬計真實并發用戶的行為，包括等待時間、點擊操作、用戶受挫行為、不同的瀏覽器版本、不同的SSL版本之間的差別以及與靜態或動態網站和代理的交互認證等。

●網絡真實性：C1測試解決方案能夠生成大量的流量來模擬大型網絡（包括因特網）。這些真實的流量包含各種不同種類的網絡和應用協議，同時能夠再現網絡中的常見問題，如非對稱的寬帶網絡連接、數據包丟失、IP包損壞、大型連接池和仿真的網絡攻擊等。

●應用真實性：C1測試解決方案提供大量真實的、有狀態的Web2.0數據流。C1測試解決方案將應用真實性擴展到了支持CIFS以及其他更深層次協議支持功能的高級內容領域。此外，C1測試解決方案為自定義的數據流提供了一個規模可控的應用協議仿真引擎，還為漏洞評估測試提供了一個攻擊數據庫。C1測試解決方案是唯一的能夠產生真實、高速、有狀態和應用感知流量的測試解決方案，用于確定大型網絡和應用基礎設施的端到端性能。

●攻擊真實性：C1測試解決方案可以提供超過7000種以上的攻擊類型，而且不斷更新，具體包括：模擬DDoS/DoS攻擊；模擬口令破解等解碼攻擊行為；模擬惡意代碼和后門程序的攻擊行為；模擬操作系統漏洞滲透攻擊行為；模擬緩沖區溢出類攻擊行為；模擬蠕蟲攻擊；模擬各種類型病毒；模擬VoIP攻擊；能夠支持有狀態和無狀態的攻擊發起；能夠模擬電子郵件攻擊，包括發送帶病毒附件的電子郵件等；能夠支持對各種攻擊的混合發送，可以設置發送比例，以模擬網絡上真實的攻擊狀況；將各種攻擊流量和正常背景流量混合后通過一個端口發送，模擬真實的網絡攻擊行為。所提供的攻擊手法要提供相應的標準組織編號（如CVEID、BugTraqID等），以便于參考。

此外，C1測試方案還具有以下的特性：

多種協議支持：C1支持所有主要的協議，包括HTTP1.0/1.1、HTTPS（SSL）、FTP、流媒體、電子郵件（SMTP、POP3、IMAP4）、DNS、Telnet、802.1Q VLAN Tagging和SIP。基于寬帶的協議支持使得您可以正確地測試對性能敏感的網絡行為，諸如：

電子商務：使用瀏覽器Cookie、SessionID、HTTP Post和SSL加密數據流，生成真實的Web數據流。

郵件：支持SMTP、POP3和IMAP4，您可以模擬大量發送和接收消息的用戶。該系統與所有主要的郵件服務器兼容，并且支持對郵件附件（包括合法的文檔和病毒）進行模擬和分析。

文件傳輸：C1對FTP的支持允許您模擬大量用戶獲取和上傳文件，文件大小范圍從1kB到1GB，甚至更大。支持Active和Passive模式。

網絡延遲、數據包丟失和分片：C1包含模擬用戶連接中延時的高精度延時參數。可精確仿真非對稱寬帶連接（以高速上行數據流、低速下行數據流移動）。用戶可以模擬數據包丟失水平，也可以指定降低性能的數據包分片，包括模擬順序分片、丟失的分片、甚至逆序分片。

TCP/IP協議棧特征：C1提供對TCP/IP棧特征的控制，諸如最大分段長度、延時ACK、IP分片和TCP超時行為。這些能力使您可以仿真不同的網絡環境，并且面對不同類型的TCP行為調整您的設備或基礎設施。

4 測試拓撲

（1）測試網絡應用和服務

C1可模擬數百萬的并發客戶，通過Internet訪問網上銀行網站。測試拓撲如圖1所示。

在此拓撲中，可以將網上銀行網站作為一個整體進行評估，即整個網站被看成一個“黑盒”。也可以在發現整體出現問題后，采用隔離法對網站中的某個或某幾個組件進行單獨排查測試。例如，測試系統中的緩存設備對某些頁面是否有效；在面對海量、具有混雜行為的用戶時，響應成功率的下降原因等。

C1模擬網上銀行實現的過程如下：

抓取真實瀏覽器用戶在網上銀行登錄過程的URL，URL中包含注冊、登陸、查詢賬戶等信息。

圖1 測試拓撲圖

將抓取的URL導入到C1模擬的客戶段的Action List中，并根據需要進行修改，如從C1的數據庫中順序提取1萬個不同的用戶/密碼用于登陸。

C1模擬的客戶端可仿真不同的瀏覽器及不同的版本。支持Cookie，并可與SSL結合用于加密訪問。

C1中的ActionList被順序執行，并支持條件判斷等，用于網站返回值的驗證。

（2）測試網絡安全設備

C1同時模擬客戶端和服務器，測試各種網絡安去設備，包括防火墻、負載均衡器、IPS、防病毒網關和VPN等。在此測試拓撲，能夠驗證被測設備的性能和功能。

5 測試內容

金融業務系統和網絡安全設備不論是在上線之前，還是上線后的調優測試，負載測試都是至關重要的。通常，可按需進行如下的測試：

（1）網絡攻擊防御能力

通過思博倫安全測試解決方案，驗證企業網絡入侵防御系統（IPS）和分布式拒絕服務（DDoS）防御系統的防御能力。不僅能證實數據是否受到保護，沒有被篡改、破壞或泄露，而且還證明服務性能在各種運行和攻擊條件下能否得到保持。

除了C1硬件設備外，C1安全解決方案還包括兩個關鍵組件：

●C1KnowledgeBase（知識庫）：提供可以運行在C1平臺上進行安全漏洞測試的攻擊特征庫。這項訂閱服務可以在發現最新威脅的當天就可以拿到攻擊特征，確保安全測試能夠在剛一發現新的威脅后立即進行。

●C1AttackDesigner：使內部的QA或IT人員無需花費大量的時間進行單調乏味的編程，就可生成或重現威脅。直觀的用戶界面使得威脅和攻擊可以通過簡單的描述來開發。生成威脅的不同變種的過程得到了優化，威脅文件可以由C1專用設備執行或者保存在數據庫中。

（2）IPSec/SSL測試

通過測試工具模擬IPSec和SSL安全加密系統，幫助網絡管理員盡早發現網絡安全方案存在的問題。

C1在IPSec測試具有以下特點：

●在加密通道上提供真實的應用流量，實現真正的用戶體驗。

●通過完整的通道控制幫助用戶快速識別最佳的產品部署。

●IPv6和IPv4支持。

●通過收發高性能應用流量，幫助發現網關的真實的運行級別。

●全面的統計和分析。

IPSec控制面（ControlPlane）性能測試：

●并發隧道數、每秒鐘新建隧道數。

●支持Site-to-Site和RemoteAccess測試。

●支持多種加密算法：DES、3DEC、AES（128、192 &256）和Null。

●支持ESP（Encapsulating Security Payload）和TunnelMode。

●支持HMAC-MD5&SHA-1IKE協議支持。

●支持IKEv1和IKEv2測試。

IPSec數據面（DataPlane）性能測試：

●所有直接支持的應用層流量可以運行在IPSec隧道中。

●所有SAPEE模擬的私有協議可以運行在IPSec隧道中。

●攻擊流量可以運行在IPSec隧道中。

C1在SSL測試具有以下特點：

●與真實的Web應用程序服務器的深度的URL互動。

●每秒1000個連接。

●在同一端口和鏈路上測試真實的HTTP、HTTPS 和FTP代理。

●測試真實或仿真的SSL應用。

●支持超過25種加密算法：SSLv2、SSLv3、TLS。

●精細的證書控制。

●IPv4/IPv6支持。

（3）防火墻及APP分發控制器測試

防火墻測試，使用混合流量，測試防火墻政策。

●IP吞吐量。

●DoS處理。

●HTTP轉發速率。

●最大HTTP傳輸速率。

●非法流量處理。

●IP分片處理。

●時延。