资金管理系统安全架构设计
- 格式:doc
- 大小:26.00 KB
- 文档页数:7
资金管理系统安全架构设计
摘要:资金管理系统是财务公司的核心业务系统,为用户提供网上银行的金融服务,安全性是设计资金管理系统架构的关注重点。
本文对资金管理系统面临的安全威胁进行分析,以信息安全模型和理论为指导,对总体安全体系架构和实施方案进行设计,并介绍了网络访问控制、应用安全网关、数字证书、usb key、双因素身份认证等关键技术的应用。
关键词:资金管理系统、应用安全网关、数字证书、usb key
前言
财务公司通过资金管理系统实现与成员单位、银行系统的对接,为成员单位提供网上银行服务,用户可以通过网上银行完成存款、贷款、转帐、票据管理等多项业务,系统在后台实现银行间的资金结算。
网上银行操作方便快捷,为用户带来极大的便利,同时由于网络的开放性,为不法分子提供了可乘之机,近几年用户密码泄露、资金被盗等安全事件也频频发生。
如何通过技术、管理等各种手段加强系统安全性,确保用户信息和资金安全,是资金管理系统架构设计时要解决的问题。
1.安全威胁分析
资金管理系统是财务公司的核心业务系统,是个由多台服务器、存储和网络设备构成的复杂系统,设备和系统存在安全漏洞,并对用户开放应用服务,可能会遭受到各种来自内外部网络的攻击,因此关键问题是确保交易的安全性。
一般来说,系统存在如下安全威
胁:
(1)操作系统、数据库、中间件、网络设备等可能遭到攻击,引起系统瘫痪,无法为用户提供服务,用户可能因此错过付款期限,遭受对方索赔。
(2)信息在传输的过程中可能被攻击者截获,导致用户机密信息被盗。
(3)攻击者通过篡改数据内容,修改数据包的次序和时间,使系统发生异常故障,完整性遭受破坏。
(4)伪造用户身份,使用合法消息实现非法目的,使用户受到资金损失,财务公司和银行则名誉受损。
2.安全需求
保证交易过程和资金结算的安全,是资金管理系统设计和实施的关键。
资金管理系统面向intranet和internet开放,因此对安全性提出了更高的要求。
(1)机密性。
系统应在传输过程中对数据进行加密,防止帐号、密码、交易数据等信息被非法截获。
(2)完整性。
数据未经授权不能改变特征,系统应防止在交易过程中信息被非法修改,确保交易信息完整性。
(3)可用性。
系统可被授权实体访问并按需求使用,防止攻击者占用资源使得系统无法提供正常的服务。
(4)身份识别。
成员单位在系统内开设账户保存资金,每个访问资金管理系统的用户身份必须得到确认,才能访问,转帐时双方
的身份都要得到确认。
(5)防抵赖。
系统应通过一定方式保证有足够证据证明消息发送或接受已经发生。
3.安全体系结构
信息安全是个系统工程,涉及到安全通信协议、数据加密、身份认证、网络安全、物理安全、管理制度、法律法规等各个方面。
完整的资金管理系统安全体系结构如图1所示。
安全服务层位于最高层,为用户提供具体的机密性、完整性、可用性、身份识别、防抵赖等安全服务。
安全机制层位于安全服务层之下、安全技术层之上,满足资金管理系统安全需求所采用的一系列安全机制,主要是保证安全服务采用的各种标准和协议,比如ssl、set等。
安全技术层位于安全机制层之下、基础设施层之上,使用数据加密、ca认证、数字签名、身份认证、动态口令、双因素身份认证等技术对传输消息进行加密,并认证用户身份。
基础设施层位于安全技术层之下、人文环境层之上,指防火墙、网络访问控制、服务器raid阵列、双机热备、数据备份等it基础平台技术。
人文环境层位于体系最底层,是保障系统正常运行和信息安全的基础,没有完善的管理制度、有效的执行力、员工良好的职业道德,那么一切技术手段都无法起到应有的作用。
五个层次紧密联系、环环相扣,形成完整的安全防护体系,每一
层都不可或缺,上层依托下层的基础,为更上一层提供服务和支持,也为系统的安全运行提供有力保障。
4.架构设计
4.1总体架构
依据上述理论对架构进行了设计,使用防火墙和三层交换机将网络划分为多个区域,部署服务器、存储、银行前置机、客户端等设备,做好各区域之间的网络访问控制;系统采用主流的数据库、中间件、应用层分离的三层架构,两台小型机通过san网络共享存储架设数据库,其他应用使用pc服务器,软件体系为b/s架构,采用应用安全网关和usbkey数字证书等多项技术加强系统安全性。
4.2关键技术
(1)网络区域划分
在内部网络防火墙的lan和dmz分别部署三层交换机,将网络划分为核心业务区、对外服务器区、银企互联区、用户接入区、办公区等多个区域。
核心业务区。
位于防火墙dmz区域,只用于部署核心的数据库服务器及后端存储,允许web服务器和财务公司前台的客户端等访问。
对外服务器区。
位于dmz区域,部署web服务器、接口服务器、应用安全网关等,允许用户通过浏览器访问web应用。
银企互联区。
位于防火墙lan区域,各家银行的前置机部署于此,前置机安装双网卡,一个网卡连接财务公司网络,配置静态路由,单向访问数据库和应用服务器,另一个网卡直连银行内部网络,实
现资金支付和数据处理。
用户接入区。
在防火墙lan区域,用于部署前台客户端,访问数据库和应用安全网关,不能访问公司办公网络和因特网。
(2)安全控制策略
资金系统对不同对象相互之间的访问策略有严格要求,在防火墙或三层交换机上可以用访问控制列表实现策略控制,其中测试和备用服务器的访问策略可依照主服务器配置。
具体控制策略如下图所示,
(3)应用安全网关
资金系统为用户提供网上银行的web应用,面临着网页篡改、服务攻击、安全漏洞、代码缺陷等多方面的威胁。
应用安全网关是web 应用的“替身”,部署在用户与web应用的中间,使用户无法直接访问web服务器,必须通过应用安全网关的代理才能正常访问。
应用安全网关能监控网页请求的合法性,防止网页被篡改,提供全面的web应用攻击防护。
并使用户通过ssl安全协议访问网银,具有如下特点:一是数据机密性,利用对称加密算法对传输的数据进行加密;二是数据完整性,利用mac数据摘要算法保证数据完整性。
(4) usbkey与数字证书
资金系统在人员管理上采用基于usbkey标识的身份识别方案。
usbkey内置芯片和存储,在内部生成密钥对,私钥保存在usbkey 内终身不可导出,公钥和用户信息发给数字认证机构ca,生成包含用户身份信息、公钥信息、证书有效期以及ca数字签名的用户数
字证书,随后导入到usbkey中。
ca数字签名可以确保证书信息的真实性,用户公钥信息可以保证数字信息传输的完整性,用户数字签名可以保证数字信息的不可否认性。
usbkey内部电路无法读取、破译、篡改和复制,使得用户数字证书和私钥能得到安全保存。
(5)双因素身份认证
用户访问网银时都必须插入usbkey并输入pin码,与以摘要值(md5)的形式保存在usbkey内部的pin进行比对,服务器和用户数字证书都得到验证后,使用由usbkey生成的密钥建立安全的ssl 连接。
系统通过对比服务器端存储的身份识别码和从usbkey内部读出的身份标识数据来判断操作者的身份,然后与用户输入用户名密码进行比对,只有上述完全信息匹配,用户才能得到系统访问许可。
用户进行支付操作时需要用自己的私钥签名,而私钥存储在用户的usbkey上,在进行签名运算时私钥不会进入计算机内存,即使黑客获取用户名和口令缺没有私钥无法进行支付,确保资金安全。
5.结束语
本文从资金系统架构面临的安全需求出发,提出信息安全体系架构和实施方案,详细介绍了涉及到的关键技术的具体应用,对涉及信息、资金、物资交易的电子商务平台架构设计和实施均具有一定的参考意义。
参考文献
[1]葛秀惠,田浩,王凌云,盖俊飞。
计算机网络安全管理。
清
华大学出版社,2003.8
[2]程宇贤,袁艺,薛质。
基于硬件的网银认证系统安全研究。
信息安全与通信保密, 2009.10
[3]刘克龙。
电子商务及其安全性分析。
网络安全技术与应用,2003.7。