一、银行网络安全建设的意义 银行金融网络系统是以总行为中心,覆盖各个支行和多个营业网点的网络系统。从金融系统的特殊性来看,银行网络系统对的安全性有着很高的要求,如果对网络的安全问题考虑不周,将可能直接影响整个网络的正常运行,造成网络泄密、延误,同时,可能影响到社会的稳定,甚至危害金融秩序。因此,有必要对网络的安全进行全方位、多角度的设计。 二、网络安全需求分析 出于银行金融系统特殊职能的要求,以及客户终端登录和电话委托交易的需求,银行安全系统网络必须在严格受控的模式下运行,这就提出网络安全性的需求:将任何对安全系统网络构成威胁的因素和行为拒于合法访问网络资源之外,并同时保证终端远程登录的实时性和准确性。现有金融系统的网络中普遍存在着如下安全问题: 1)由于在终端登录以及信息传输等操作的过程中使用的是静态口令字,很容易被非法分子窃取口令字; 2)在链路层,由于采用公用信道(DDN、X.25),使得传输信道本身存在安全隐患。非法入侵者可以通过搭线,侦听等方式,很容易地窃取到网络中的信息; 3)目前被广泛采用的开放性的网络互联协议——TCP/IP协议,使非法入侵者很容易进行协议的分析、篡改和假冒。 以上是银行系统网络中存在的较为突出的几个安全问题。实际上,网络所面临的安全问题远远不止以上三种,因此,有必要对现有网络安全进行全方面的考虑和设计,加入必要的技术手段,消除以上的安全隐患。为了解决网络的安全保密性问题,最有效和可靠的办法是采用口令保护措施。本方案就此有针对性的提出了采用本公司开发研制的SDK-01身份认证系统,对银行的静态口令登录系统进行改造,解决了静态口令字容易泄密的安全隐患。 三、动态身份认证技术 身份认证技术发展到今天已经成为网络信息系统中比不可少的一部分,扮演着网络系统看门人的角色。强有力的身份认证技术能够在网络和信息资源周围构筑一个安全屏障,确保只有授权用户才能进入。但目前各网络系统对用户身份认证的核心是静态的用户口令,这种机制虽然能够为系统提供一定的安全保护,但也存在如下缺陷:(1)为了便于记忆,大多数网络用户选择常用词作口令,因此很容易被猜到;(2)一个口令多次使用,容易造成泄露和被黑客或心怀叵测的人猜测到;(3)黑客可从网上截获口令;(4)口令自动破译工具使猜测口令的时间大大缩短,甚至克服了口令加密的问题。 动态身份认证技术即利用动态身份认证技术实现对网络用户的身份鉴别,动态身份认证系统由DID动态口令卡提供随机的、每分钟一变的一次性口令,确保只有授权用户才能访问网络资源,而非授权用户通过非法途径所取得的口令字无效。 SDK-01认证系统是由中科院DCS中心和福建凯特信息安全技术有限公司在国家密码管理委员会办公室的指导下联合研制成功的基于DID(动态口令)技术的身份认证系统。它提供强有力的身份认证服务,达到保护客户的网络和信息资源安全的目的。SDK-01认证系统完全兼容目前认证服务器的国际标准RADIUS(远程拨号用户身份认证服务)协议,可以容易地集成到客户现有的计算机主机和各种类型的网络计算机系统中,包括公共交换网、局域网、广域网、Internet和Intranet,从而最大程度地避免对现有系统的重复开发。 SDK-01认证系统由认证服务器、后备服务器、管理工作站、DID卡、认证服务接口函数(API)组成。 四、银行安全方案介绍 1.安全方案的设计思路 银行安全网络需求的主要方面如下: *客户终端登录:要求充分利用银行网络系统中的各个终端,根据相应权限来允许授权用户进行登录访问金融网络资源和进行相关业务操作,并采用安全措施屏蔽非法登录。 *电话委托交易:利用银行网络PSTN网以及普通城乡电话网进行远程委托交易。为防止非法搭线侦听,在身份认证过程中需用动态口令来取代一成不变的静态口令。 基于以上需求,我们安全方案的设计思路可以概括为:对授权用户的动态身份认证。 访问金融网络资源和进行相关业务操作是银行网络系统的基本功能之一,为了确保只有合法的授权用户才能访问网络资源和进行业务操作,我们对客户终端登录及电话委托交易网络集成了SDK-01动态口令身份认证系统。该系统包括一个安全网关(防火墙)、DID认证服务器、管理工作站和分发给网络用户的DID卡。它运用具有世界领先水平的DID身份认证技术对用户进行身份认证和鉴别,在不影响原网络系统效率、可靠性的前提下,使银行与各支行、营业所网点之间形成一个安全的金融网络体系,消除了原先存在的不安全隐患。 这样,一方面合法的授权用户可以通过DID动态口令卡从总行内部网终端登录,或是从支行以及各个营业网点通过专线的方式登录,在经过挂在网络上的SDK-01认证服务器进行身份认证之后,便可登录进入银行网络系统进行相应的操作;另一方面,远程用户也可以使用DID动态口令卡通过普通城乡电话网登录到银行的远程拨号访问服务器,近而通过SDK-01认证服务器的身份认证,确定其为合法授权用户后,才允许其进行电话委托交易。在身份认证的过程中,用户和银行方面不必担忧因登录认证时间跨度过大而造成口令失窃,引起金融秩序的纷乱。 相关安全网络的具体配置请参阅“银行安全计算机网络结构图”。 2.银行安全网络示意图 图1 银行安全网络结构图 3.安全性能分析 网络的信息安全应该从两方面入手,一是应该具有正确的信息安全意识、详细周全的安全策略、严格的安全保密制度;二是具有良好的安全保密解决方案,以及优良、可靠的安全加密设备。本方案采用动态口令认证的网络安全技术,系统投入运行后,将具有以下功能: (1)杜绝假冒合法授权用户 由于系统采用SDK-01动态身份认证技术,避免因采用静态口令而带来的种种弊端,确保了只有合法用户才能访问网络资源,从而扩大和增强了银行网络的各项功能,免除后顾之忧。 (2)免除恶意破坏 由于非法入侵者无法在相当短的动态口令有效期内破译或窃取口令,即使获得了单次登录口令也无法延用至下次,所以他们不能从事上述的网络破坏活动,也就不能利用网络协议自身的“后门”进入网络,这样,也就不可能给他们机会进行破坏活动。 五、DK-01身份认证系统的使用说明 SDK-01动态身份认证系统是由SDK-01认证服务器和DID动态口令卡两部分组成,两者动态口令的生成是基于时间同步。在本方案中,可将 SDK-01认证服务器挂在中心行的一级网络上,所有访问该网络的请求都要经过认证服务器的认证,只有授权用户才能被允许进行访问。 DID动态口令卡经过管理工作站进行初始化后,分发至用户手中,用户进行终端登录或电话委托交易时,首先打开终端登录窗口,输入DID卡的编号或用户姓名,此时,终端通过调用认证服务接口函数(API)来请求挂在银行网络中心的SDK-01认证服务器提供认证服务,认证服务器接收用户信息后,根据系统信息库中的相应用户信息计算出用户当前的八位动态口令(Pcurrent),再与用户终端传输来的DID卡上的动态口令(Plogin)进行比较,若Plogin=Pcurrent,则系统认为该用户为授权用户,允许其登录进行访问;而在用户端,用户开启DID卡,输入正确的操作口令后,DID卡产生八位动态口令(Plogin),随即传送至认证服务器进行认证。整个过程的流程示意图如下: 六、嵌入动态身份认证技术后银行网络发展前景 嵌入SDK-01动态身份认证系统后,银行就能够以强有力的安全身份认证为基础,拓展自己网络金融系统的功能,发展出许多新兴的银行业务,例如: 1.网络缴费:银行可在安全的网络银行系统的基础上,与邮电、工商、电力、税务、交通等部门联合开展网络缴费业务,使上网的企业和个人用户通过动态身份认证后,即可方便地通过银行网络系统缴费,而不必担心资金被盗用。 2.网络证券交易:网络证券交易是银行系统一个非常重要的业务方向。将银行网络系统与证券交易所的交易系统相连,向客户提供在线的证券交易服务。经过动态身份认证后,授权客户可以实时地进行证券交易,客户的资金流动由银行网络系统完成。 3.网络商场:网络商场是一种基于INTERNET的网上服务机制,为上网者提供购物服务,在付款资金流动方面,它需要有安全的身份认证机制作为前提。网络商场的付款操作需要银行介入,建立了安全的网络银行系统,银行就可方便地与网络商场连接,支持网络商场的付款功能。 4.移动办公:由于采用的是SDK-01动态口令身份认证系统,无须任何读卡设备,因此可以放心地、随时随地进行远程访问、网络会议等一些移动办公业务。 (相关图片稍后上传)
银行安全网络结构图
SDK-01动态身份认证系统认证原理流程图 |