網(wǎng)絡(luò)銀行安全分析
網(wǎng)絡(luò)銀行(Internet BANK or E-BANK),又叫網(wǎng)上銀行、在線銀行,是指金融機(jī)構(gòu)利用Internet技術(shù),在Internet上開設(shè)的銀行。用戶可以不受上網(wǎng)方式(PC、PDA、手機(jī)、電視機(jī)機(jī)頂盒等)和時(shí)空的限制,只要能夠上網(wǎng),無論身在何處都能夠安全便捷地管理自己的資產(chǎn)和享受到銀行的服務(wù), 與銀行傳統(tǒng)的服務(wù)方式相比更方便、更詳細(xì)、更高效,因而成為銀行業(yè)今后發(fā)展的重要方向之一。
由于網(wǎng)上銀行是一種網(wǎng)絡(luò)應(yīng)用,它的所有內(nèi)容都是以數(shù)字的形式流轉(zhuǎn)于Internet之上,因此,在網(wǎng)上銀行應(yīng)用中不可避免地存在著由Internet的自由、開放所帶來的信息安全隱患。網(wǎng)上銀行作為龐大資金流動的載體,更易成為非法入侵和惡意攻擊的對象,安全風(fēng)險(xiǎn)同時(shí)關(guān)系到交易的雙方。2004年的調(diào)查顯示,在9400萬中國網(wǎng)民中,有超過34%的人認(rèn)為網(wǎng)上交易不安全。最近,美國也發(fā)生了及其嚴(yán)重的信用卡“泄密事件”。
此外,由于網(wǎng)絡(luò)銀行涉及客戶個(gè)人隱私和銀行金融機(jī)密,所以網(wǎng)絡(luò)銀行的安全性是系統(tǒng)建設(shè)首先要考慮的問題。目前的網(wǎng)絡(luò)銀行所采用的安全技術(shù)中,除了常見的防火墻、部署安全監(jiān)控工作站和防病毒系統(tǒng),來減少Internet帶來的非安全因素之外,采用SSL協(xié)議以實(shí)現(xiàn)重要信息在Internet上的傳輸安全控制,則成為網(wǎng)絡(luò)銀行安全策略中最重要的方面。
基于以上考慮,Array Networks提出了解決網(wǎng)上銀行業(yè)務(wù)的安全需求的SSL VPN解決方案,充分利用SSL 協(xié)議作安全接入,為網(wǎng)絡(luò)銀行的個(gè)人客戶、企業(yè)客戶、大客戶等的接入提供了一種安全接入方式。
網(wǎng)絡(luò)銀行安全接入解決方案
SSL VPN建立在互聯(lián)網(wǎng)的公共網(wǎng)絡(luò)架構(gòu)上,通過VPN的認(rèn)證授權(quán)系統(tǒng)與CA系統(tǒng)結(jié)合完成控制接入,并在發(fā)端加密數(shù)據(jù)、在收端解密數(shù)據(jù),以保證數(shù)據(jù)的私密性。Array Networks SPX系列產(chǎn)品將SSL VPN轉(zhuǎn)換成一種安全高效的核心業(yè)務(wù)安全訪問的解決方案。它在提供網(wǎng)上銀行客戶的便捷訪問的同時(shí),保證了金融網(wǎng)絡(luò)和核心數(shù)據(jù)資源免受各種攻擊。該平臺采用了一套簡化的集成方法,集網(wǎng)絡(luò)安全和Web優(yōu)化應(yīng)用于一體,包括SSL VPN,身份管理,應(yīng)用層防火墻,安全文件共享和非Web應(yīng)用支持、網(wǎng)絡(luò)層VPN等多種功能。
網(wǎng)絡(luò)銀行系統(tǒng)一般已經(jīng)部署了防火墻、防病毒、IDS/IPS等安全系統(tǒng),Array Networks 的SSL VPN系統(tǒng)可以和銀行原有的安全設(shè)施結(jié)合起來,一般部署在防火墻的后面,利用防火墻的防護(hù)功能,共同提高網(wǎng)銀的安全性;在認(rèn)證方面可以和銀行內(nèi)部的CA系統(tǒng),或者是和第三方的認(rèn)證中心結(jié)合起來,通過PKI/CA認(rèn)證系統(tǒng),可以確保各種人員、資源的身份。
如下圖:
![]("http://searchsecurity.techtarget.com.cn/imagelist/05/08/e3za29fohpxw.jpg" "網(wǎng)絡(luò)銀行")
在銀行的網(wǎng)絡(luò)邊緣部署SSL VPN網(wǎng)關(guān)-Array Networks SPX ,SPX可以放在路由器和防火墻的后面,提供網(wǎng)絡(luò)銀行客戶的接入門戶。所有網(wǎng)銀用戶必須登陸此 SSL VPN 門戶站點(diǎn)才能訪問內(nèi)部的網(wǎng)銀服務(wù)器,同時(shí)每個(gè)用戶必須有自己的帳號、口令并享有訪問SSL VPN各種資源的相應(yīng)權(quán)限。
Array Networks 的SSL VPN可以提供豐富的應(yīng)用支持,支持包括B/S 、C/S結(jié)構(gòu)應(yīng)用,采用WEB資源映射、應(yīng)用程序代理、隧道式VPN等多種方式,支持復(fù)雜的網(wǎng)絡(luò)銀行應(yīng)用,并可以遠(yuǎn)程安全地對網(wǎng)銀設(shè)備進(jìn)行安全的維護(hù)操作。
如下圖所示:
![]("http://searchsecurity.techtarget.com.cn/imagelist/05/08/8ufsu217mlqu.jpg" "網(wǎng)絡(luò)銀行")
網(wǎng)上銀行的系統(tǒng)需要一個(gè)操作實(shí)施簡單、管理維護(hù)容易、 不需要改變網(wǎng)絡(luò)結(jié)構(gòu)、運(yùn)營成本低廉的可實(shí)施度高的方案。SSL VPN是以SSL 協(xié)議為基礎(chǔ)的遠(yuǎn)程安全訪問技術(shù),最大的好處就是不需要安裝客戶端程序,遠(yuǎn)程用戶基本上不需要IT部門的支持就可以隨時(shí)隨地從任何安裝了支持SSL協(xié)議瀏覽器的客戶端安全地訪問網(wǎng)絡(luò)銀行,從而最大限度的減少了分發(fā)和管理客戶端軟件的麻煩,降低了系統(tǒng)部署成本和IT部門日常性的管理支持工作費(fèi)用。
Array SSL VPN的技術(shù)特點(diǎn)
SSL VPN不需要安裝客戶端程序。Array Networks SSL VPN只要客戶端安裝了標(biāo)準(zhǔn)瀏覽器,如IE、Netscape就可以登陸SSL VPN,IE是Windows的內(nèi)含軟件,無須單獨(dú)購買,因而不會增加客戶端的開支。同時(shí)由于所有的部署工作和維護(hù)管理工作都在SSL VPN網(wǎng)關(guān),屬于集中部署、集中管理模式,對于VPN的部署和管理帶來了極大的便捷。
Array Networks SSL VPN網(wǎng)關(guān)的部署可以非常靈活的適合銀行系統(tǒng)現(xiàn)有的網(wǎng)絡(luò)結(jié)構(gòu)。SPX網(wǎng)關(guān)在網(wǎng)絡(luò)邊緣可以采用單臂結(jié)構(gòu)或雙臂結(jié)構(gòu),可以放在防火墻后面或DMZ區(qū),達(dá)到SSL VPN網(wǎng)關(guān)本身的高安全性,可以靈活適應(yīng)NAT轉(zhuǎn)換、防火墻只需要對SSL VPN網(wǎng)關(guān)只開放443端口就可以了,使黑客或內(nèi)部不法人員或惡意代碼無發(fā)力之處。
Array Networks SSL VPN可以支持多種用戶認(rèn)證方法,LocalDB,Radius、LDAP、RSA SecurID、Securcomputing、AD等等,和銀行已有的統(tǒng)一認(rèn)證系統(tǒng)完美的結(jié)合起來。此外,Array Networks SSL VPN組網(wǎng)方案是面向應(yīng)用的VPN方案,可以做到基于應(yīng)用的細(xì)粒度控制,基于用戶和組賦予不同的應(yīng)用訪問權(quán)限,并對相關(guān)訪問操作進(jìn)行審計(jì)。這是一般基于網(wǎng)絡(luò)的VPN所辦不到的。系統(tǒng)對用戶接入網(wǎng)銀系統(tǒng)是經(jīng)過精細(xì)授權(quán)控制的,針對不同的用戶或用戶所屬的組,SSL VPN可以按預(yù)定義的規(guī)則來對用戶的訪問權(quán)限進(jìn)行設(shè)定。
Array Networks SSL VPN網(wǎng)關(guān)提供客戶端安全檢查模塊(Client Security),確定客戶端的接入權(quán)限,可以對不同用戶或組作如下權(quán)限設(shè)定,如Web Access、Web Browser、File Share、Application Manager、L3 VPN,可自定義接入的級別。用戶接入網(wǎng)銀系統(tǒng)是經(jīng)過加密的,Array Networks SSL VPN設(shè)備采用強(qiáng)加密算法,同時(shí)SPX采用專用的SSL加速卡,充分保證SSL的性能,實(shí)現(xiàn)網(wǎng)銀SSL接入的效能最大化。
SSL VPN解決方案提高網(wǎng)銀系統(tǒng)安全性
防止信息泄漏
由于客戶端與SSL VPN網(wǎng)關(guān)之間實(shí)現(xiàn)高強(qiáng)度的加密信息傳輸,因此雖然信息傳輸是通過公網(wǎng)進(jìn)行的,但是其安全性是可以得到保證的。第三方即使可以得到傳輸數(shù)據(jù),但是卻無法得到隱藏到其中的明文信息。因此敏感的信息如業(yè)務(wù)帳號等被保護(hù)起來,杜絕了有效信息的泄露。
杜絕非法訪問
SSL VPN的訪問要經(jīng)過認(rèn)證和授權(quán),充分保證用戶身份的合法性。SSL VPN只允許那些擁有相應(yīng)權(quán)限的用戶進(jìn)行網(wǎng)絡(luò)連接。如果請求連接的用戶沒有合法身份,則SSL VPN將拒絕其連接請求,從而限制了非法用戶對內(nèi)網(wǎng)的訪問。
保護(hù)信息的完整性
SSL VPN使用數(shù)字證書進(jìn)行機(jī)密性與完整性參數(shù)的協(xié)商,它不僅能夠?qū)λ鶄鬏數(shù)臄?shù)據(jù)進(jìn)行機(jī)密性的保護(hù),同時(shí)也對其提供完整性保護(hù)。當(dāng)在傳輸過程中的數(shù)據(jù)被篡改之后,SSL VPN是可以檢測到的,如果檢測到數(shù)據(jù)被篡改,他們就會放棄所接收到的數(shù)據(jù)。
防止用戶假冒
Array Networks提供多種認(rèn)證和授權(quán)方式,包括本地 本地用戶數(shù)據(jù)庫,并且可以和其他更加強(qiáng)大的認(rèn)證系統(tǒng)結(jié)合起來,如AD,Radius,RSA SecurID,SecureComputing、X.509數(shù)字證書認(rèn)證等。
保證系統(tǒng)的可用性
SSL VPN使用內(nèi)網(wǎng)、外網(wǎng)相互隔離,只開放所需服務(wù)的方式來實(shí)現(xiàn),這樣客戶端只能通過授權(quán)使用所開放的服務(wù),除該服務(wù)之外的其它服務(wù)都無從訪問,從而減少了很多對內(nèi)網(wǎng)系統(tǒng)進(jìn)行攻擊的途徑,達(dá)到了對內(nèi)部網(wǎng)絡(luò)的最大保護(hù)。
Array Networks 的SSL VPN可以提供豐富的應(yīng)用支持,支持包括B/S 、C/S結(jié)構(gòu)應(yīng)用,采用WEB資源映射、應(yīng)用程序代理、隧道式VPN等多種方式,支持復(fù)雜的網(wǎng)絡(luò)銀行應(yīng)用,并可以遠(yuǎn)程安全地對網(wǎng)銀設(shè)備進(jìn)行安全的維護(hù)操作。
如下圖所示:
網(wǎng)上銀行的系統(tǒng)需要一個(gè)操作實(shí)施簡單、管理維護(hù)容易、 不需要改變網(wǎng)絡(luò)結(jié)構(gòu)、運(yùn)營成本低廉的可實(shí)施度高的方案。SSL VPN是以SSL 協(xié)議為基礎(chǔ)的遠(yuǎn)程安全訪問技術(shù),最大的好處就是不需要安裝客戶端程序,遠(yuǎn)程用戶基本上不需要IT部門的支持就可以隨時(shí)隨地從任何安裝了支持SSL協(xié)議瀏覽器的客戶端安全地訪問網(wǎng)絡(luò)銀行,從而最大限度的減少了分發(fā)和管理客戶端軟件的麻煩,降低了系統(tǒng)部署成本和IT部門日常性的管理支持工作費(fèi)用。
Array SSL VPN的技術(shù)特點(diǎn)
SSL VPN不需要安裝客戶端程序。Array Networks SSL VPN只要客戶端安裝了標(biāo)準(zhǔn)瀏覽器,如IE、Netscape就可以登陸SSL VPN,IE是Windows的內(nèi)含軟件,無須單獨(dú)購買,因而不會增加客戶端的開支。同時(shí)由于所有的部署工作和維護(hù)管理工作都在SSL VPN網(wǎng)關(guān),屬于集中部署、集中管理模式,對于VPN的部署和管理帶來了極大的便捷。
Array Networks SSL VPN網(wǎng)關(guān)的部署可以非常靈活的適合銀行系統(tǒng)現(xiàn)有的網(wǎng)絡(luò)結(jié)構(gòu)。SPX網(wǎng)關(guān)在網(wǎng)絡(luò)邊緣可以采用單臂結(jié)構(gòu)或雙臂結(jié)構(gòu),可以放在防火墻后面或DMZ區(qū),達(dá)到SSL VPN網(wǎng)關(guān)本身的高安全性,可以靈活適應(yīng)NAT轉(zhuǎn)換、防火墻只需要對SSL VPN網(wǎng)關(guān)只開放443端口就可以了,使黑客或內(nèi)部不法人員或惡意代碼無發(fā)力之處。
Array Networks SSL VPN可以支持多種用戶認(rèn)證方法,LocalDB,Radius、LDAP、RSA SecurID、Securcomputing、AD等等,和銀行已有的統(tǒng)一認(rèn)證系統(tǒng)完美的結(jié)合起來。此外,Array Networks SSL VPN組網(wǎng)方案是面向應(yīng)用的VPN方案,可以做到基于應(yīng)用的細(xì)粒度控制,基于用戶和組賦予不同的應(yīng)用訪問權(quán)限,并對相關(guān)訪問操作進(jìn)行審計(jì)。這是一般基于網(wǎng)絡(luò)的VPN所辦不到的。系統(tǒng)對用戶接入網(wǎng)銀系統(tǒng)是經(jīng)過精細(xì)授權(quán)控制的,針對不同的用戶或用戶所屬的組,SSL VPN可以按預(yù)定義的規(guī)則來對用戶的訪問權(quán)限進(jìn)行設(shè)定。
Array Networks SSL VPN網(wǎng)關(guān)提供客戶端安全檢查模塊(Client Security),確定客戶端的接入權(quán)限,可以對不同用戶或組作如下權(quán)限設(shè)定,如Web Access、Web Browser、File Share、Application Manager、L3 VPN,可自定義接入的級別。用戶接入網(wǎng)銀系統(tǒng)是經(jīng)過加密的,Array Networks SSL VPN設(shè)備采用強(qiáng)加密算法,同時(shí)SPX采用專用的SSL加速卡,充分保證SSL的性能,實(shí)現(xiàn)網(wǎng)銀SSL接入的效能最大化。
SSL VPN解決方案提高網(wǎng)銀系統(tǒng)安全性
防止信息泄漏
由于客戶端與SSL VPN網(wǎng)關(guān)之間實(shí)現(xiàn)高強(qiáng)度的加密信息傳輸,因此雖然信息傳輸是通過公網(wǎng)進(jìn)行的,但是其安全性是可以得到保證的。第三方即使可以得到傳輸數(shù)據(jù),但是卻無法得到隱藏到其中的明文信息。因此敏感的信息如業(yè)務(wù)帳號等被保護(hù)起來,杜絕了有效信息的泄露。
杜絕非法訪問
SSL VPN的訪問要經(jīng)過認(rèn)證和授權(quán),充分保證用戶身份的合法性。SSL VPN只允許那些擁有相應(yīng)權(quán)限的用戶進(jìn)行網(wǎng)絡(luò)連接。如果請求連接的用戶沒有合法身份,則SSL VPN將拒絕其連接請求,從而限制了非法用戶對內(nèi)網(wǎng)的訪問。
保護(hù)信息的完整性
SSL VPN使用數(shù)字證書進(jìn)行機(jī)密性與完整性參數(shù)的協(xié)商,它不僅能夠?qū)λ鶄鬏數(shù)臄?shù)據(jù)進(jìn)行機(jī)密性的保護(hù),同時(shí)也對其提供完整性保護(hù)。當(dāng)在傳輸過程中的數(shù)據(jù)被篡改之后,SSL VPN是可以檢測到的,如果檢測到數(shù)據(jù)被篡改,他們就會放棄所接收到的數(shù)據(jù)。
防止用戶假冒
Array Networks提供多種認(rèn)證和授權(quán)方式,包括本地 本地用戶數(shù)據(jù)庫,并且可以和其他更加強(qiáng)大的認(rèn)證系統(tǒng)結(jié)合起來,如AD,Radius,RSA SecurID,SecureComputing、X.509數(shù)字證書認(rèn)證等。
保證系統(tǒng)的可用性
SSL VPN使用內(nèi)網(wǎng)、外網(wǎng)相互隔離,只開放所需服務(wù)的方式來實(shí)現(xiàn),這樣客戶端只能通過授權(quán)使用所開放的服務(wù),除該服務(wù)之外的其它服務(wù)都無從訪問,從而減少了很多對內(nèi)網(wǎng)系統(tǒng)進(jìn)行攻擊的途徑,達(dá)到了對內(nèi)部網(wǎng)絡(luò)的最大保護(hù)。
