網絡銀行安全分析
網絡銀行(Internet BANK or E-BANK),又叫網上銀行、在線銀行,是指金融機構利用Internet技術,在Internet上開設的銀行。用戶可以不受上網方式(PC、PDA、手機、電視機機頂盒等)和時空的限制,只要能夠上網,無論身在何處都能夠安全便捷地管理自己的資產和享受到銀行的服務, 與銀行傳統的服務方式相比更方便、更詳細、更高效,因而成為銀行業今后發展的重要方向之一。
由于網上銀行是一種網絡應用,它的所有內容都是以數字的形式流轉于Internet之上,因此,在網上銀行應用中不可避免地存在著由Internet的自由、開放所帶來的信息安全隱患。網上銀行作為龐大資金流動的載體,更易成為非法入侵和惡意攻擊的對象,安全風險同時關系到交易的雙方。2004年的調查顯示,在9400萬中國網民中,有超過34%的人認為網上交易不安全。最近,美國也發生了及其嚴重的信用卡“泄密事件”。
此外,由于網絡銀行涉及客戶個人隱私和銀行金融機密,所以網絡銀行的安全性是系統建設首先要考慮的問題。目前的網絡銀行所采用的安全技術中,除了常見的防火墻、部署安全監控工作站和防病毒系統,來減少Internet帶來的非安全因素之外,采用SSL協議以實現重要信息在Internet上的傳輸安全控制,則成為網絡銀行安全策略中最重要的方面。
基于以上考慮,Array Networks提出了解決網上銀行業務的安全需求的SSL VPN解決方案,充分利用SSL 協議作安全接入,為網絡銀行的個人客戶、企業客戶、大客戶等的接入提供了一種安全接入方式。
網絡銀行安全接入解決方案
SSL VPN建立在互聯網的公共網絡架構上,通過VPN的認證授權系統與CA系統結合完成控制接入,并在發端加密數據、在收端解密數據,以保證數據的私密性。Array Networks SPX系列產品將SSL VPN轉換成一種安全高效的核心業務安全訪問的解決方案。它在提供網上銀行客戶的便捷訪問的同時,保證了金融網絡和核心數據資源免受各種攻擊。該平臺采用了一套簡化的集成方法,集網絡安全和Web優化應用于一體,包括SSL VPN,身份管理,應用層防火墻,安全文件共享和非Web應用支持、網絡層VPN等多種功能。
網絡銀行系統一般已經部署了防火墻、防病毒、IDS/IPS等安全系統,Array Networks 的SSL VPN系統可以和銀行原有的安全設施結合起來,一般部署在防火墻的后面,利用防火墻的防護功能,共同提高網銀的安全性;在認證方面可以和銀行內部的CA系統,或者是和第三方的認證中心結合起來,通過PKI/CA認證系統,可以確保各種人員、資源的身份。
如下圖:
![]("http://searchsecurity.techtarget.com.cn/imagelist/05/08/e3za29fohpxw.jpg" "網絡銀行")
在銀行的網絡邊緣部署SSL VPN網關-Array Networks SPX ,SPX可以放在路由器和防火墻的后面,提供網絡銀行客戶的接入門戶。所有網銀用戶必須登陸此 SSL VPN 門戶站點才能訪問內部的網銀服務器,同時每個用戶必須有自己的帳號、口令并享有訪問SSL VPN各種資源的相應權限。
Array Networks 的SSL VPN可以提供豐富的應用支持,支持包括B/S 、C/S結構應用,采用WEB資源映射、應用程序代理、隧道式VPN等多種方式,支持復雜的網絡銀行應用,并可以遠程安全地對網銀設備進行安全的維護操作。
如下圖所示:
![]("http://searchsecurity.techtarget.com.cn/imagelist/05/08/8ufsu217mlqu.jpg" "網絡銀行")
網上銀行的系統需要一個操作實施簡單、管理維護容易、 不需要改變網絡結構、運營成本低廉的可實施度高的方案。SSL VPN是以SSL 協議為基礎的遠程安全訪問技術,最大的好處就是不需要安裝客戶端程序,遠程用戶基本上不需要IT部門的支持就可以隨時隨地從任何安裝了支持SSL協議瀏覽器的客戶端安全地訪問網絡銀行,從而最大限度的減少了分發和管理客戶端軟件的麻煩,降低了系統部署成本和IT部門日常性的管理支持工作費用。
Array SSL VPN的技術特點
SSL VPN不需要安裝客戶端程序。Array Networks SSL VPN只要客戶端安裝了標準瀏覽器,如IE、Netscape就可以登陸SSL VPN,IE是Windows的內含軟件,無須單獨購買,因而不會增加客戶端的開支。同時由于所有的部署工作和維護管理工作都在SSL VPN網關,屬于集中部署、集中管理模式,對于VPN的部署和管理帶來了極大的便捷。
Array Networks SSL VPN網關的部署可以非常靈活的適合銀行系統現有的網絡結構。SPX網關在網絡邊緣可以采用單臂結構或雙臂結構,可以放在防火墻后面或DMZ區,達到SSL VPN網關本身的高安全性,可以靈活適應NAT轉換、防火墻只需要對SSL VPN網關只開放443端口就可以了,使黑客或內部不法人員或惡意代碼無發力之處。
Array Networks SSL VPN可以支持多種用戶認證方法,LocalDB,Radius、LDAP、RSA SecurID、Securcomputing、AD等等,和銀行已有的統一認證系統完美的結合起來。此外,Array Networks SSL VPN組網方案是面向應用的VPN方案,可以做到基于應用的細粒度控制,基于用戶和組賦予不同的應用訪問權限,并對相關訪問操作進行審計。這是一般基于網絡的VPN所辦不到的。系統對用戶接入網銀系統是經過精細授權控制的,針對不同的用戶或用戶所屬的組,SSL VPN可以按預定義的規則來對用戶的訪問權限進行設定。
Array Networks SSL VPN網關提供客戶端安全檢查模塊(Client Security),確定客戶端的接入權限,可以對不同用戶或組作如下權限設定,如Web Access、Web Browser、File Share、Application Manager、L3 VPN,可自定義接入的級別。用戶接入網銀系統是經過加密的,Array Networks SSL VPN設備采用強加密算法,同時SPX采用專用的SSL加速卡,充分保證SSL的性能,實現網銀SSL接入的效能最大化。
SSL VPN解決方案提高網銀系統安全性
防止信息泄漏
由于客戶端與SSL VPN網關之間實現高強度的加密信息傳輸,因此雖然信息傳輸是通過公網進行的,但是其安全性是可以得到保證的。第三方即使可以得到傳輸數據,但是卻無法得到隱藏到其中的明文信息。因此敏感的信息如業務帳號等被保護起來,杜絕了有效信息的泄露。
杜絕非法訪問
SSL VPN的訪問要經過認證和授權,充分保證用戶身份的合法性。SSL VPN只允許那些擁有相應權限的用戶進行網絡連接。如果請求連接的用戶沒有合法身份,則SSL VPN將拒絕其連接請求,從而限制了非法用戶對內網的訪問。
保護信息的完整性
SSL VPN使用數字證書進行機密性與完整性參數的協商,它不僅能夠對所傳輸的數據進行機密性的保護,同時也對其提供完整性保護。當在傳輸過程中的數據被篡改之后,SSL VPN是可以檢測到的,如果檢測到數據被篡改,他們就會放棄所接收到的數據。
防止用戶假冒
Array Networks提供多種認證和授權方式,包括本地 本地用戶數據庫,并且可以和其他更加強大的認證系統結合起來,如AD,Radius,RSA SecurID,SecureComputing、X.509數字證書認證等。
保證系統的可用性
SSL VPN使用內網、外網相互隔離,只開放所需服務的方式來實現,這樣客戶端只能通過授權使用所開放的服務,除該服務之外的其它服務都無從訪問,從而減少了很多對內網系統進行攻擊的途徑,達到了對內部網絡的最大保護。
Array Networks 的SSL VPN可以提供豐富的應用支持,支持包括B/S 、C/S結構應用,采用WEB資源映射、應用程序代理、隧道式VPN等多種方式,支持復雜的網絡銀行應用,并可以遠程安全地對網銀設備進行安全的維護操作。
如下圖所示:
網上銀行的系統需要一個操作實施簡單、管理維護容易、 不需要改變網絡結構、運營成本低廉的可實施度高的方案。SSL VPN是以SSL 協議為基礎的遠程安全訪問技術,最大的好處就是不需要安裝客戶端程序,遠程用戶基本上不需要IT部門的支持就可以隨時隨地從任何安裝了支持SSL協議瀏覽器的客戶端安全地訪問網絡銀行,從而最大限度的減少了分發和管理客戶端軟件的麻煩,降低了系統部署成本和IT部門日常性的管理支持工作費用。
Array SSL VPN的技術特點
SSL VPN不需要安裝客戶端程序。Array Networks SSL VPN只要客戶端安裝了標準瀏覽器,如IE、Netscape就可以登陸SSL VPN,IE是Windows的內含軟件,無須單獨購買,因而不會增加客戶端的開支。同時由于所有的部署工作和維護管理工作都在SSL VPN網關,屬于集中部署、集中管理模式,對于VPN的部署和管理帶來了極大的便捷。
Array Networks SSL VPN網關的部署可以非常靈活的適合銀行系統現有的網絡結構。SPX網關在網絡邊緣可以采用單臂結構或雙臂結構,可以放在防火墻后面或DMZ區,達到SSL VPN網關本身的高安全性,可以靈活適應NAT轉換、防火墻只需要對SSL VPN網關只開放443端口就可以了,使黑客或內部不法人員或惡意代碼無發力之處。
Array Networks SSL VPN可以支持多種用戶認證方法,LocalDB,Radius、LDAP、RSA SecurID、Securcomputing、AD等等,和銀行已有的統一認證系統完美的結合起來。此外,Array Networks SSL VPN組網方案是面向應用的VPN方案,可以做到基于應用的細粒度控制,基于用戶和組賦予不同的應用訪問權限,并對相關訪問操作進行審計。這是一般基于網絡的VPN所辦不到的。系統對用戶接入網銀系統是經過精細授權控制的,針對不同的用戶或用戶所屬的組,SSL VPN可以按預定義的規則來對用戶的訪問權限進行設定。
Array Networks SSL VPN網關提供客戶端安全檢查模塊(Client Security),確定客戶端的接入權限,可以對不同用戶或組作如下權限設定,如Web Access、Web Browser、File Share、Application Manager、L3 VPN,可自定義接入的級別。用戶接入網銀系統是經過加密的,Array Networks SSL VPN設備采用強加密算法,同時SPX采用專用的SSL加速卡,充分保證SSL的性能,實現網銀SSL接入的效能最大化。
SSL VPN解決方案提高網銀系統安全性
防止信息泄漏
由于客戶端與SSL VPN網關之間實現高強度的加密信息傳輸,因此雖然信息傳輸是通過公網進行的,但是其安全性是可以得到保證的。第三方即使可以得到傳輸數據,但是卻無法得到隱藏到其中的明文信息。因此敏感的信息如業務帳號等被保護起來,杜絕了有效信息的泄露。
杜絕非法訪問
SSL VPN的訪問要經過認證和授權,充分保證用戶身份的合法性。SSL VPN只允許那些擁有相應權限的用戶進行網絡連接。如果請求連接的用戶沒有合法身份,則SSL VPN將拒絕其連接請求,從而限制了非法用戶對內網的訪問。
保護信息的完整性
SSL VPN使用數字證書進行機密性與完整性參數的協商,它不僅能夠對所傳輸的數據進行機密性的保護,同時也對其提供完整性保護。當在傳輸過程中的數據被篡改之后,SSL VPN是可以檢測到的,如果檢測到數據被篡改,他們就會放棄所接收到的數據。
防止用戶假冒
Array Networks提供多種認證和授權方式,包括本地 本地用戶數據庫,并且可以和其他更加強大的認證系統結合起來,如AD,Radius,RSA SecurID,SecureComputing、X.509數字證書認證等。
保證系統的可用性
SSL VPN使用內網、外網相互隔離,只開放所需服務的方式來實現,這樣客戶端只能通過授權使用所開放的服務,除該服務之外的其它服務都無從訪問,從而減少了很多對內網系統進行攻擊的途徑,達到了對內部網絡的最大保護。
