网上银行技术架构及安全建模（2009年第3期）

绿盟科技 (Tuesday, July 28, 2009 11:35 PM) 李 钠

    摘要：近年来网上银行系统迅速发展，如何管理和控制网上银行业务由于其业务特点带来的风险成了银行和银行监管机构的关注重点之一。本文针对网上银行业务系 统的技术架构、网上银行数据安全建模、网上银行系统客户端的数据安全进行了详细的分析。                          

一、网上银行背景    

    自从1999年中国招商银行在国内第一个推出网上银行以来，网上银行业务作为电子银行业务的一种形式在国内得到了迅猛的发展。中国工商银行、中国建设银 行、中国农业银行、中国银行、中国交通银行等传统五大银行都已经推出了网上银行业务，网上银行业务已经成为全国范围内的普及型业务。    

    目前，全国各银行的个人用户已经有20%以上开通了网上银行，而在经济发达的前10个城市中个人用户的网上银行开通率甚至高达44.9%。除了在消费领域 网上银行得到广泛使用外，全国范围内开通网上银行的企业用户占全部用户的42.8%。而全国网上银行业务的交易额在2008年已经突破了300亿元，各大 型商业银行的日均交易笔数均超过百万。

    由于网上银行业务是利用计算机和互联网开展的银行业务，网上银行业务的相关系统将直接暴露在互联网等公众网络上。随着业务量的不断扩大，如何管理和控制网 上银行业务风险成了银行和银行监管机构的关注重点之一。正是在这样的背景下，中国银行业监督委员会先后发布了《电子银行业务管理办法》、《电子银行安全评 估指引》和《中国银监会办公厅关于做好网上银行风险管理和服务的通知》等一系列文件，对网上银行业务的风险控制提出了指导和要 求。                     

二、 网上银行业务系统技术架构

    网上银行业务属于较新的银行业务类型，而在网上银行业务开展前，银行业的信息技术平台已经具有相当的规模，因此绝大部分银行的网上银行业务属于银行外围子 系统。核心业务系统是银行业务系统中的核心，储户的资金信息都存储在核心业务系统中。而其他的外围业务系统都通过网络平台基础设施与核心业务系统相连接， 为储户提供不同种类的业务服务。而网上银行业务，正是这些业务系统中的一个。    

    目前，在国内银行的网上银行系统大部分都采用的是用户界面层、应用层、数据层分离的三层B/S架构，在数据传输过程中采用了SSL加密技术，以保护财务数 据的保密性。为了提高SSL加解密的速度，在网上银行系统中通常部署了专用的SSL加解密设备。所有的SSL加密数据通过SSL加解密设备之后以明文的方 式转入网上银行业务系统。在网上银行系统中，大多数都通过防火墙进行了严格的区域划分，除了Internet出口处和与核心业务的边界处部署有防火墙之 外，许多大型银行还在用户界面层（Web）、应用层（App）和数据层（DB）间部署了防火墙。网上银行系统的基本系统架构如下图所 示：                       

三、网上银行数据安全建模    

    通过利用此安全体系模型，可以协助我们全面、无遗漏地分析网上银行系统所面临的安全问题，梳理网上银行系统脆弱性、威胁和对应的处理措施之间复杂的关系。而对于网上银行系统而言，要确保网上银行系统的安全就是要确保网上银行系统数据的安全。

    也就是说，网上银行系统数据安全就是确保网上银行的各项功能不会破坏网上银行业务数据的安全属性。因此，我们可以通过利用安全体系模型，全面分析网上银行系统被保护对象的安全要素要求，从而确保这些被保护对象在网上银行系统过程中的安全。 

    1.受保护对象   

    在此模型中的受保护对象是指网上银行系统中的各类信息。一旦受保护对象泄露或被破坏，会直接或间接导致用户资金被非法盗取。受保护对象可以分为以下四类：   

    身份认证数据。包括银行卡卡号、账户号码、身份证件号码、各类登录密码、查询密码、转账密码、安全相关的私密信息等。 

    财务数据。银行账号中资金余额、电子债券、证券基金信息等。 

    交易指令数据。用户发出的网上银行系统中的各种指令。 

    功能数据。登录显示信息、安全设置信息等。

    2.网上银行系统功能   

    在此模型中网上银行系统功能是指网上银行系统提供的各项基本功能。在网上银行系统用户使用网上银行系统功能的时候，被保护对象会不可避免地受到泄露或破坏等安全威胁。网上银行系统功能可以分为以下四类： 

    登录。从启动网上银行系统客户端程序，输入用户名密码进入操作界面的过程。 

    查询。查询网上银行系统账户各类信息，包括余额、交易记录等。 

    交易。会导致资金变化的各项功能，有转账、汇款、支付、证券保险、缴费等。 

    维护。修改、重置密码，进行其他安全设置等。

    3.安全要素     安全要素是被保护对象在用户操作中应保证达到的具体目标。达到这些目标即能保证被保护对象的安全性，最终保证用户资金的安全。根据被保护对象的特点，单个 对象的各个安全要素重要性并不完全一样（例如，网上银行系统交易指令数据最主要的就是保证其完整性，其他安全要素处于相对次要的地位）。网上银行系统的安 全要素可以分为以下四类： 

    保密性。保密性指被保护对象不被攻击者非法获取，如银行卡号和转账密码泄露时会很容易被盗转资金。大多数被保护对象都应有保密性。 

    完整性。完整性是指信息不被非法篡改，如客户端发出转账请求时不能被非法更改，否则资金会被转入非法账户中。 

    可用性。指被保护对象在需要时可被正常利用，来完成网上银行系统功能。考虑到网上银行系统客户端攻击很少进行拒绝服务类攻击，可用性对大多数被保护对象没有实际意义。 

    不可否认性。指用户的某些关键操作必须得到确认，以便在出现纠纷时能提供可靠的依据来证明用户确实进行过这个操作。                   

四、网上银行系统客户端数据安全分析    

    网上银行系统安全模型有三个维度，每个维度都各有四个要素。利用此模型进行分析时，将以网上银行系统功能为主线，对各类网上银行系统功能（登录、查询、交易和维护），分析各个受保护对象面临什么样的威胁，以及如何达到安全要素的目标。 

    网上银行系统客户端安全分析示例

    上图展示了在登录功能中分析的两个安全问题： 

    登录时，如何保证身份认证数据的保密性？ 

    登录时，如何保证交易指令数据的保密性？    

    理论上每一类网上银行系统功能都有16个需要分析的安全问题，而实际中由于现实威胁和信息没有在此阶段采用，不会全部需要分析。如上图登录功能中的两个红 点表示有必要分析的问题，灰点表示没有必要可以忽略的。将网上银行系统客户端登录、查询、交易、维护四类功能的问题分析完毕之后，加以总结，就是该网上银 行系统客户端安全的实际状况。

    1.登录功能安全分析   

    网上银行系统客户端使用的登录功能是认证并得到功能授权的过程。主要是用户输入身份认证数据，经过客户端处理后形成交易指令数据传递给网上银行系统服务器的过程。在此过程中只使用了身份认证数据和交易指令数据，没有使用财务数据和功能数据。

    身份认证数据：应首先确保保密性。

    交易指令数据：应首先确保保密性。

    财务数据：不涉及。

    功能数据：不涉及。 

    2.查询功能安全分析    

    网上银行系统客户端使用的查询功能是认证用户查询自身财务数据的过程，主要是用户通过发送查询指令从网上银行系统获得自身财务数据的过程。在此过程中会使用到身份认证数据、交易指令数据和财务数据，功能数据将不会被使用到。

    身份认证数据：应首先确保保密性。

    交易指令数据：应首先确保保密性。

    财务数据：应首先确保保密性。

    功能数据：不涉及。 

    3.交易功能安全分析    

    网上银行系统客户端使用的交易功能是认证用户对自身财务数据进行修改的过程，网上银行系统的交易功能主要包括转账和支付两大类功能。而这两类功能都是用户 通过发送交易指令来修改自己财务数据的过程。在此过程中会使用到身份认证数据、交易指令数据和财务数据，功能数据将不会被使用到。

    身份认证数据：应首先确保保密性。

    交易指令数据：应确保完整性、不可否认性和保密性。

    财务数据：应首先确保完整性。

    功能数据：不涉及。 

    4.维护功能安全分析    

    维护功能是指对网上银行系统中涉及的各类设置进行修改、调整，如密码更改、个人私密信息更改等，会使用到大部分网上银行系统数据，如银行卡号、银行卡查询 /转账密码、网上银行系统用户名、网上银行系统查询/转账密码、动态口令、电子证书、个人定制信息、个人私密问题等。

    身份认证数据：应首先确保保密性、完整性。 交易指令数据：应确保保密性。

    财务数据：不涉及。

    功能数据：应确保完整性。