資金管理系統(tǒng)的安全架構(gòu)設(shè)計(jì)

　　財(cái)務(wù)公司通過(guò)資金管理系統(tǒng)實(shí)現(xiàn)與成員單位、銀行系統(tǒng)的對(duì)接，為成員單位提供網(wǎng)上銀行服務(wù)，用戶可以通過(guò)網(wǎng)上銀行完成存款、貸款、轉(zhuǎn)帳、票據(jù)管理等多項(xiàng)業(yè)務(wù)，系統(tǒng)在后臺(tái)實(shí)現(xiàn)銀行間的資金結(jié)算。網(wǎng)上銀行操作方便快捷，為用戶帶來(lái)極大的便利，同時(shí)由于網(wǎng)絡(luò)的開(kāi)放性，為不法分子提供了可乘之機(jī)，近幾年用戶密碼泄露、資金被盜等安全事件也頻頻發(fā)生。如何通過(guò)技術(shù)、管理等各種手段加強(qiáng)系統(tǒng)安全性，確保用戶信息和資金安全，是資金管理系統(tǒng)架構(gòu)設(shè)計(jì)時(shí)要解決的問(wèn)題。

　　1.安全威脅分析

　　資金管理系統(tǒng)是財(cái)務(wù)公司的核心業(yè)務(wù)系統(tǒng)，是個(gè)由多臺(tái)服務(wù)器、存儲(chǔ)和網(wǎng)絡(luò)設(shè)備構(gòu)成的復(fù)雜系統(tǒng)，設(shè)備和系統(tǒng)存在安全漏洞，并對(duì)用戶開(kāi)放應(yīng)用服務(wù)，可能會(huì)遭受到各種來(lái)自內(nèi)外部網(wǎng)絡(luò)的攻擊，因此關(guān)鍵問(wèn)題是確保交易的安全性。一般來(lái)說(shuō)，系統(tǒng)存在如下安全威脅：

　　(1) 操作系統(tǒng)、數(shù)據(jù)庫(kù)、中間件、網(wǎng)絡(luò)設(shè)備等可能遭到攻擊，引起系統(tǒng)癱瘓，無(wú)法為用戶提供服務(wù)，用戶可能因此錯(cuò)過(guò)付款期限，遭受對(duì)方索賠。

　　(2) 信息在傳輸?shù)倪^(guò)程中可能被攻擊者截獲，導(dǎo)致用戶機(jī)密信息被盜。

　　(3) 攻擊者通過(guò)篡改數(shù)據(jù)內(nèi)容，修改數(shù)據(jù)包的次序和時(shí)間，使系統(tǒng)發(fā)生異常故障，完整性遭受破壞。

　　(4) 偽造用戶身份，使用合法消息實(shí)現(xiàn)非法目的，使用戶受到資金損失，財(cái)務(wù)公司和銀行則名譽(yù)受損。

　　2.安全需求

　　保證交易過(guò)程和資金結(jié)算的安全，是資金管理系統(tǒng)設(shè)計(jì)和實(shí)施的關(guān)鍵。資金管理系統(tǒng)面向Intranet和Internet開(kāi)放，因此對(duì)安全性提出了更高的要求。

　　(1) 機(jī)密性。系統(tǒng)應(yīng)在傳輸過(guò)程中對(duì)數(shù)據(jù)進(jìn)行加密，防止帳號(hào)、密碼、交易數(shù)據(jù)等信息被非法截獲。

　　(2) 完整性。數(shù)據(jù)未經(jīng)授權(quán)不能改變特征，系統(tǒng)應(yīng)防止在交易過(guò)程中信息被非法修改，確保交易信息完整性。

　　(3) 可用性。系統(tǒng)可被授權(quán)實(shí)體訪問(wèn)并按需求使用，防止攻擊者占用資源使得系統(tǒng)無(wú)法提供正常的服務(wù)。

　　(4) 身份識(shí)別。成員單位在系統(tǒng)內(nèi)開(kāi)設(shè)賬戶保存資金，每個(gè)訪問(wèn)資金管理系統(tǒng)的用戶身份必須得到確認(rèn)，才能訪問(wèn)，轉(zhuǎn)帳時(shí)雙方的身份都要得到確認(rèn)。

　　(5) 防抵賴。系統(tǒng)應(yīng)通過(guò)一定方式保證有足夠證據(jù)證明消息發(fā)送或接受已經(jīng)發(fā)生。

　　3.安全體系結(jié)構(gòu)

　　信息安全是個(gè)系統(tǒng)工程，涉及到安全通信協(xié)議、數(shù)據(jù)加密、身份認(rèn)證、網(wǎng)絡(luò)安全、物理安全、管理制度、法律法規(guī)等各個(gè)方面。完整的資金管理系統(tǒng)安全體系結(jié)構(gòu)如圖1所示。

　　安全服務(wù)層位于最高層，為用戶提供具體的機(jī)密性、完整性、可用性、身份識(shí)別、防抵賴等安全服務(wù)。

　　安全機(jī)制層位于安全服務(wù)層之下、安全技術(shù)層之上，滿足資金管理系統(tǒng)安全需求所采用的一系列安全機(jī)制，主要是保證安全服務(wù)采用的各種標(biāo)準(zhǔn)和協(xié)議，比如SSL、SET等。

　　安全技術(shù)層位于安全機(jī)制層之下、基礎(chǔ)設(shè)施層之上，使用數(shù)據(jù)加密、CA認(rèn)證、數(shù)字簽名、身份認(rèn)證、動(dòng)態(tài)口令、雙因素身份認(rèn)證等技術(shù)對(duì)傳輸消息進(jìn)行加密，并認(rèn)證用戶身份。

　　基礎(chǔ)設(shè)施層位于安全技術(shù)層之下、人文環(huán)境層之上，指防火墻、網(wǎng)絡(luò)訪問(wèn)控制、服務(wù)器RAID陣列、雙機(jī)熱備、數(shù)據(jù)備份等IT基礎(chǔ)平臺(tái)技術(shù)。

　　人文環(huán)境層位于體系最底層，是保障系統(tǒng)正常運(yùn)行和信息安全的基礎(chǔ)，沒(méi)有完善的管理制度、有效的執(zhí)行力、員工良好的職業(yè)道德，那么一切技術(shù)手段都無(wú)法起到應(yīng)有的作用。

　　五個(gè)層次緊密聯(lián)系、環(huán)環(huán)相扣，形成完整的安全防護(hù)體系，每一層都不可或缺，上層依托下層的基礎(chǔ)，為更上一層提供服務(wù)和支持，也為系統(tǒng)的安全運(yùn)行提供有力保障。

　　4.架構(gòu)設(shè)計(jì)

　　4.1總體架構(gòu)

　　依據(jù)上述理論對(duì)架構(gòu)進(jìn)行了設(shè)計(jì)，使用防火墻和三層交換機(jī)將網(wǎng)絡(luò)劃分為多個(gè)區(qū)域，部署服務(wù)器、存儲(chǔ)、銀行前置機(jī)、客戶端等設(shè)備，做好各區(qū)域之間的網(wǎng)絡(luò)訪問(wèn)控制;系統(tǒng)采用主流的數(shù)據(jù)庫(kù)、中間件、應(yīng)用層分離的三層架構(gòu)，兩臺(tái)小型機(jī)通過(guò)SAN網(wǎng)絡(luò)共享存儲(chǔ)架設(shè)數(shù)據(jù)庫(kù)，其他應(yīng)用使用PC服務(wù)器，軟件體系為B/S架構(gòu)，采用應(yīng)用安全網(wǎng)關(guān)和USBKey數(shù)字證書(shū)等多項(xiàng)技術(shù)加強(qiáng)系統(tǒng)安全性。

　　4.2關(guān)鍵技術(shù)

　　(1) 網(wǎng)絡(luò)區(qū)域劃分

　　在內(nèi)部網(wǎng)絡(luò)防火墻的LAN和DMZ分別部署三層交換機(jī)，將網(wǎng)絡(luò)劃分為核心業(yè)務(wù)區(qū)、對(duì)外服務(wù)器區(qū)、銀企互聯(lián)區(qū)、用戶接入?yún)^(qū)、辦公區(qū)等多個(gè)區(qū)域。

　　核心業(yè)務(wù)區(qū)。位于防火墻DMZ區(qū)域，只用于部署核心的數(shù)據(jù)庫(kù)服務(wù)器及后端存儲(chǔ)，允許WEB服務(wù)器和財(cái)務(wù)公司前臺(tái)的客戶端等訪問(wèn)。

　　對(duì)外服務(wù)器區(qū)。位于DMZ區(qū)域，部署WEB服務(wù)器、接口服務(wù)器、應(yīng)用安全網(wǎng)關(guān)等，允許用戶通過(guò)瀏覽器訪問(wèn)WEB應(yīng)用。

　　銀企互聯(lián)區(qū)。位于防火墻LAN區(qū)域，各家銀行的前置機(jī)部署于此，前置機(jī)安裝雙網(wǎng)卡，一個(gè)網(wǎng)卡連接財(cái)務(wù)公司網(wǎng)絡(luò)，配置靜態(tài)路由，單向訪問(wèn)數(shù)據(jù)庫(kù)和應(yīng)用服務(wù)器，另一個(gè)網(wǎng)卡直連銀行內(nèi)部網(wǎng)絡(luò)，實(shí)現(xiàn)資金支付和數(shù)據(jù)處理。

　　用戶接入?yún)^(qū)。在防火墻LAN區(qū)域，用于部署前臺(tái)客戶端，訪問(wèn)數(shù)據(jù)庫(kù)和應(yīng)用安全網(wǎng)關(guān)，不能訪問(wèn)公司辦公網(wǎng)絡(luò)和因特網(wǎng)。

　　(2) 安全控制策略

　　資金系統(tǒng)對(duì)不同對(duì)象相互之間的訪問(wèn)策略有嚴(yán)格要求，在防火墻或三層交換機(jī)上可以用訪問(wèn)控制列表實(shí)現(xiàn)策略控制，其中測(cè)試和備用服務(wù)器的訪問(wèn)策略可依照主服務(wù)器配置。具體控制策略如下圖所示，

 　　(3) 應(yīng)用安全網(wǎng)關(guān)

　　資金系統(tǒng)為用戶提供網(wǎng)上銀行的WEB應(yīng)用，面臨著網(wǎng)頁(yè)篡改、服務(wù)攻擊、安全漏洞、代碼缺陷等多方面的威脅。應(yīng)用安全網(wǎng)關(guān)是WEB應(yīng)用的“替身”，部署在用戶與WEB應(yīng)用的中間，使用戶無(wú)法直接訪問(wèn)WEB服務(wù)器，必須通過(guò)應(yīng)用安全網(wǎng)關(guān)的代理才能正常訪問(wèn)。應(yīng)用安全網(wǎng)關(guān)能監(jiān)控網(wǎng)頁(yè)請(qǐng)求的合法性，防止網(wǎng)頁(yè)被篡改，提供全面的WEB應(yīng)用攻擊防護(hù)。并使用戶通過(guò)SSL安全協(xié)議訪問(wèn)網(wǎng)銀，具有如下特點(diǎn)：一是數(shù)據(jù)機(jī)密性，利用對(duì)稱加密算法對(duì)傳輸?shù)臄?shù)據(jù)進(jìn)行加密;二是數(shù)據(jù)完整性，利用MAC數(shù)據(jù)摘要算法保證數(shù)據(jù)完整性。

　　(4) USBKey與數(shù)字證書(shū)

　　資金系統(tǒng)在人員管理上采用基于USBKey標(biāo)識(shí)的身份識(shí)別方案。USBKey內(nèi)置芯片和存儲(chǔ)，在內(nèi)部生成密鑰對(duì)，私鑰保存在USBKey內(nèi)終身不可導(dǎo)出，公鑰和用戶信息發(fā)給數(shù)字認(rèn)證機(jī)構(gòu)CA，生成包含用戶身份信息、公鑰信息、證書(shū)有效期以及CA數(shù)字簽名的用戶數(shù)字證書(shū)，隨后導(dǎo)入到USBKey中。CA數(shù)字簽名可以確保證書(shū)信息的真實(shí)性，用戶公鑰信息可以保證數(shù)字信息傳輸?shù)耐暾�性，用戶�?shù)字簽名可以保證數(shù)字信息的不可否認(rèn)性。USBKey內(nèi)部電路無(wú)法讀取、破譯、篡改和復(fù)制，使得用戶數(shù)字證書(shū)和私鑰能得到安全保存。

　　(5) 雙因素身份認(rèn)證

　　用戶訪問(wèn)網(wǎng)銀時(shí)都必須插入U(xiǎn)SBKey并輸入PIN碼，與以摘要值(MD5)的形式保存在USBKey內(nèi)部的PIN進(jìn)行比對(duì)，服務(wù)器和用戶數(shù)字證書(shū)都得到驗(yàn)證后，使用由USBKey生成的密鑰建立安全的SSL連接。系統(tǒng)通過(guò)對(duì)比服務(wù)器端存儲(chǔ)的身份識(shí)別碼和從USBKey內(nèi)部讀出的身份標(biāo)識(shí)數(shù)據(jù)來(lái)判斷操作者的身份，然后與用戶輸入用戶名密碼進(jìn)行比對(duì)，只有上述完全信息匹配，用戶才能得到系統(tǒng)訪問(wèn)許可。用戶進(jìn)行支付操作時(shí)需要用自己的私鑰簽名，而私鑰存儲(chǔ)在用戶的USBKey上，在進(jìn)行簽名運(yùn)算時(shí)私鑰不會(huì)進(jìn)入計(jì)算機(jī)內(nèi)存，即使黑客獲取用戶名和口令缺沒(méi)有私鑰無(wú)法進(jìn)行支付，確保資金安全。

【資金管理系統(tǒng)的安全架構(gòu)設(shè)計(jì)】相關(guān)文章：

基于云架構(gòu)的系統(tǒng)安全設(shè)計(jì)08-08

MES系統(tǒng)安全架構(gòu)設(shè)計(jì)09-19

系統(tǒng)架構(gòu)設(shè)計(jì)模式大全08-22

系統(tǒng)架構(gòu)設(shè)計(jì)師要素01-11

基于GIS的通信管網(wǎng)管理系統(tǒng)架構(gòu)設(shè)計(jì)10-18

森林資源監(jiān)測(cè)管理預(yù)警系統(tǒng)架構(gòu)設(shè)計(jì)09-20

基于Web的MES系統(tǒng)安全架構(gòu)設(shè)計(jì)及分析10-16

系統(tǒng)架構(gòu)設(shè)計(jì)師考試之路01-11

三層架構(gòu)的商務(wù)智能系統(tǒng)設(shè)計(jì)12-25

系統(tǒng)架構(gòu)設(shè)計(jì)師考試報(bào)考條件12-30