网上银行网络安全架构最佳实践 文/XXX 从分析网银系统的应用架构入手,规划网银服务器端应具备的网络安全架构 网上银行作为一种全新的银行客户服务提交渠道,使客户在享受银行提供的服务时不受时间、空间的限制,因此近几年各商业银行的网上银行业务发展迅速。据CFCA《2009中国网上银行调查报告》显示,全国城镇人口中,个人网银用户的比例为20.9%,企业网银用户的比例为40.5%。网银业务高速发展的同时,安全性始终是用户与银行的关注重点。对用户而言,提升防范意识并掌握必要的安全技术措施才能有效规避交易风险。对于银行来说,采用合理的网络安全架构,综合运营各类安全技术手段(如防火墙、入侵检测、数字证书等),才能避免网络安全问题造成的损失。 一、 网银网络安全需求分析 各商业银行由于自身业务系统的差异,对网银系统应用架构会有不同的设计,但基 本的技术构成是类似 的,其 各部 分的功 能也 相 似 。图 1是较 为典 型 的网银应用系统结 构: 图 1 网银系统结 构图 1. 网银WEB 服务器 网银WEB服务器 是网银业务面 向 互 联 网客户的主 用界 面 ,当 前 互 联 网上有很 多 基 于WEB应用的攻 击 ,由于网银WEB直 接 暴 露 于互 联 网上,因此WEB服务器 前 不仅 要通 过 防火墙实现 基 于网络层 或 传 输 层 的访 问控 制,通 过 部 署 IPS实现 深 度 安全检测,还 需要通 过 流 量清 洗 设备 实现 DDOS攻 击 防御 。另 外 ,由于安全防护 要求不同,建 议 将 网银WEB服务器 与银行门 户WEB服务器 部 署 在不同的网络区 域 内 ,以 防止 门 户WEB的安全漏 洞 对网银业务的影 响 。 网银WEB服务器 与用户浏 览 器 间通 过 HTTPS协 议 保 证数据的私 密 性与完 整 性,为了 降低 WEB服务器 进 行密 钥 交换 与加 解 密 的工 作负 担 ,建 议 在WEB服务器 前 部 署 SSL卸 载 设备 。当前多数厂家生产的服务器负载分担设备兼具SSL卸载功能,因此在网银WEB服务器前部署负载分担设备既可实现HTTPS协议加速,又可实现业务负载分担和服务高可用性。 2. 网银APP 服务器 网银APP(应用)服务器提供网银系统的业务逻辑,包括会话管理、提交后台处理以及向WEB服务器提交应答页面等。APP服务器与WEB服务器共同构成网银业务(如网上支付与结算、网银转帐、基金交易、网上理财等)运行环境。由于W...
