项目背景:
自1995年美国诞生世界第一家网络银行SFNB(Security First Network Bank)以来,网络银行正以前所未有的速度在世界范围内迅猛发展。作为传统金融业与高科技产业相结合的产物,网络银行已成为网络经济时代金融业发展的必然选择。SFNB依赖于Internet,没有传统的分支营业厅或自动柜员机(ATM),但可提供网上支票账户、网上支票异地结算、网上货币数据传输、网上互助服务、网上个人信贷等服务,所有金融服务完全通过Internet进行。
另一种则是在现有商业银行基础上发展起来,把银行服务业务从传统领域扩展到Internet,开设新的电子服务窗口,即所谓传统业务的外挂电子银行系统。目前我国开办的网上银行业务都属于后一种。中国XX银行网上银行同样属于该类别。
由于在传统银行系统与Internet之间业务流的跨接,网上银行系统本身将直接承受来自Internet社区的巨大安全压力;而通过网上银行系统的间接导入,传统的银行业务系统同样面临各色访问行为带来的不确定影响,而且由于传统银行业务系统在整个信息资产中所占比重较大,风险代价要远远高于网上银行本身。因此,在进行网上银行建设时,需同时考虑对网上银行和银行业务系统二者的安全防护建设。
需求分析:
中国XX银行网银系统采取客户/网银中心/业务系统三层体系结构,提供信息服务、客户服务、帐务查询和支付转帐功能,其中信息服务和客户服务由总行指定部门在全行范围规划、运作和管理,网银中心具体实现帐务查询和实时交易功能,总行、分行实现业务主机系统与网银中心的实时连接。
(1)客户端采用标准的WWW浏览器。
(2)应用前端接受浏览器的访问,是网上银行与客户的交互界面。
(3)应用网关将客户交易请求发给主机业务服务器的交易处理程序,接收交易结果并发送给客户。
(4)通讯接口完成Web服务器与主机业务服务器的通讯处理。
(5)主机业务服务器接收服务器的交易请求,进行实时交易处理,然后将交易结果发给服务器。
(6)所有的账户信息都存放在银行主机业务服务器上,Web服务器中不存放任何账户信息。
从功能分类上,网银中心系统可以划分出以下多个分界点,这些分界点将整个系统分割成多个不同安全等级的安全域:
a) 应用前端系统与Internet客户端区域之间;
b) 应用前端系统与应用服务器集群之间;
c) 应用服务器集群与中心网关之间;
关键信息流定义为:
a) Internet客户端与应用前端系统之间的HTTP流量;
b) 应用前端系统与应用服务器集群之间的应用交互流量;
c) 应用服务器集群与中心网关之间的数据读写操作。
为了保证整个系统的高可用性,中国XX银行根据业务量的大小在链路、设备多个层次上实现链路冗余、多机集群、负载均衡等各项措施。因此,网络安全建设在进行必要的安全区分界点控制、敏感行为检测、关键数据记录等部署时,更应当注意对网银中心多链路、多机集群的拓扑特性提供支持。
解决方案:
本次网上银行安全建设将从分界点访问控制、行为检测、关键数据记录等多个层面展开。
具体实施步骤:
?在预先定义的各分界点上部署访问控制设备。由于每个分界点允许通过的信息流均不同,因此不同位置的访问控制设备均须针对特定的信息流格式进行应用级的命令过滤和资源访问控制;
?在必要的分界点中部署审计设备,对关键流量进行全天候行为分析和行为审计,尽量形成对全部访问操作的审计记录,为实时入侵分析、报警和事后取证提供坚实的数据基础;
?冗余链路相同位置防火墙设备工作于Active-Active状态,并通过Heart-Beat线路保持转发状态表的一致,满足负载均衡拓扑的要求,保证整个网络银行系统的健壮性。
具体示意请参见下图所示。
项目效果:
在上图所示解决方案中,NetEye防火墙能够很好的把网络银行系统按照前置机、应用服务器和数据系统的职能予以安全域划分,降低整个网银中心对完成县的服务窗口大小,并通过良好的应用级访问控制能力约束来自Internet客户端请求流经网络银行各功能模块的顺序并保证访问请求的合法性。由特定IDS系统构建的网络监控系统能够中国XX银行网络银行所承受的每个访问请求在各个阶段的不同行为状态予以记录,提供实时的入侵检测并为事后取证提供数据积累。