网络银行安全分析
网络银行(Internet BANK or E-BANK),又叫网上银行、在线银行,是指金融机构利用Internet技术,在Internet上开设的银行。用户可以不受上网方式(PC、 PDA、手机、电视机机顶盒等)和时空的限制,只要能够上网,无论身在何处都能够安全便捷地管理自己的资产和享受到银行的服务, 与银行传统的服务方式相比更方便、更详细、更高效,因而成为银行业今后发展的重要方向之一。
由于网上银行是一种网络应用,它的所有内容都是以数字的形式流转于Internet之上,因此,在网上银行应用中不可避免地存在着由 Internet的自由、开放所带来的信息安全隐患。网上银行作为庞大资金流动的载体,更易成为非法入侵和恶意攻击的对象,安全风险同时关系到交易的双 方。2004年的调查显示,在9400万中国网民中,有超过34%的人认为网上交易不安全。最近,美国也发生了及其严重的信用卡“泄密事件”。
此外,由于网络银行涉及客户个人隐私和银行金融机密,所以网络银行的安全性是系统建设首先要考虑的问题。目前的网络银行所采用的安全技术中,除 了常见的防火墙、部署安全监控工作站和防病毒系统,来减少Internet带来的非安全因素之外,采用SSL协议以实现重要信息在Internet上的传 输安全控制,则成为网络银行安全策略中最重要的方面。
基于以上考虑,Array Networks提出了解决网上银行业务的安全需求的SSL VPN解决方案,充分利用SSL 协议作安全接入,为网络银行的个人客户、企业客户、大客户等的接入提供了一种安全接入方式。
网络银行安全接入解决方案
SSL VPN建立在互联网的公共网络架构上,通过VPN的认证授权系统与CA系统结合完成控制接入,并在发端加密数据、在收端解密数据,以保证数据的私密性。 Array Networks SPX系列产品将SSL VPN转换成一种安全高效的核心业务安全访问的解决方案。它在提供网上银行客户的便捷访问的同时,保证了金融网络和核心数据资源免受各种攻击。该平台采用 了一套简化的集成方法,集网络安全和Web优化应用于一体,包括SSL VPN,身份管理,应用层防火墙,安全文件共享和非Web应用支持、网络层VPN等多种功能。
网络银行系统一般已经部署了防火墙、防病毒、IDS/IPS等安全系统,Array Networks 的SSL VPN系统可以和银行原有的安全设施结合起来,一般部署在防火墙的后面,利用防火墙的防护功能,共同提高网银的安全性;在认证方面可以和银行内部的CA系 统,或者是和第三方的认证中心结合起来,通过PKI/CA认证系统,可以确保各种人员、资源的身份。
如下图:
在银行的网络边缘部署SSL VPN网关-Array Networks SPX ,SPX可以放在路由器和防火墙的后面,提供网络银行客户的接入门户。所有网银用户必须登陆此 SSL VPN 门户站点才能访问内部的网银服务器,同时每个用户必须有自己的帐号、口令并享有访问SSL VPN各种资源的相应权限。
Array Networks 的SSL VPN可以提供丰富的应用支持,支持包括B/S 、C/S结构应用,采用WEB资源映射、应用程序代理、隧道式VPN等多种方式,支持复杂的网络银行应用,并可以远程安全地对网银设备进行安全的维护操作。
网上银行的系统需要一个操作实施简单、管理维护容易、 不需要改变网络结构、运营成本低廉的可实施度高的方案。SSL VPN是以SSL 协议为基础的远程安全访问技术,最大的好处就是不需要安装客户端程序,远程用户基本上不需要IT部门的支持就可以随时随地从任何安装了支持SSL协议浏览 器的客户端安全地访问网络银行,从而最大限度的减少了分发和管理客户端软件的麻烦,降低了系统部署成本和IT部门日常性的管理支持工作费用。
Array SSL VPN的技术特点
SSL VPN不需要安装客户端程序。Array Networks SSL VPN只要客户端安装了标准浏览器,如IE、Netscape就可以登陆SSL VPN,IE是Windows的内含软件,无须单独购买,因而不会增加客户端的开支。同时由于所有的部署工作和维护管理工作都在SSL VPN网关,属于集中部署、集中管理模式,对于VPN的部署和管理带来了极大的便捷。
Array Networks SSL VPN网关的部署可以非常灵活的适合银行系统现有的网络结构。SPX网关在网络边缘可以采用单臂结构或双臂结构,可以放在防火墙后面或DMZ区,达到 SSL VPN网关本身的高安全性,可以灵活适应NAT转换、防火墙只需要对SSL VPN网关只开放443端口就可以了,使黑客或内部不法人员或恶意代码无发力之处。
Array Networks SSL VPN可以支持多种用户认证方法,LocalDB,Radius、LDAP、RSA SecurID、Securcomputing、AD等等,和银行已有的统一认证系统完美的结合起来。此外,Array Networks SSL VPN组网方案是面向应用的VPN方案,可以做到基于应用的细粒度控制,基于用户和组赋予不同的应用访问权限,并对相关访问操作进行审计。这是一般基于网 络的VPN所办不到的。系统对用户接入网银系统是经过精细授权控制的,针对不同的用户或用户所属的组,SSL VPN可以按预定义的规则来对用户的访问权限进行设定。
Array Networks SSL VPN网关提供客户端安全检查模块(Client Security),确定客户端的接入权限,可以对不同用户或组作如下权限设定,如Web Access、Web Browser、File Share、Application Manager、L3 VPN,可自定义接入的级别。用户接入网银系统是经过加密的,Array Networks SSL VPN设备采用强加密算法,同时SPX采用专用的SSL加速卡,充分保证SSL的性能,实现网银SSL接入的效能最大化。
SSL VPN解决方案提高网银系统安全性
防止信息泄漏
由于客户端与SSL VPN网关之间实现高强度的加密信息传输,因此虽然信息传输是通过公网进行的,但是其安全性是可以得到保证的。第三方即使可以得到传输数据,但是却无法得到隐藏到其中的明文信息。因此敏感的信息如业务帐号等被保护起来,杜绝了有效信息的泄露。
杜绝非法访问
SSL VPN的访问要经过认证和授权,充分保证用户身份的合法性。SSL VPN只允许那些拥有相应权限的用户进行网络连接。如果请求连接的用户没有合法身份,则SSL VPN将拒绝其连接请求,从而限制了非法用户对内网的访问。
保护信息的完整性
SSL VPN使用数字证书进行机密性与完整性参数的协商,它不仅能够对所传输的数据进行机密性的保护,同时也对其提供完整性保护。当在传输过程中的数据被篡改之后,SSL VPN是可以检测到的,如果检测到数据被篡改,他们就会放弃所接收到的数据。
防止用户假冒
Array Networks提供多种认证和授权方式,包括本地 本地用户数据库,并且可以和其他更加强大的认证系统结合起来,如AD,Radius,RSA SecurID,SecureComputing、X.509数字证书认证等。
保证系统的可用性
SSL VPN使用内网、外网相互隔离,只开放所需服务的方式来实现,这样客户端只能通过授权使用所开放的服务,除该服务之外的其它服务都无从访问,从而减少了很多对内网系统进行攻击的途径,达到了对内部网络的最大保护。