网贷系统建设之见解(九)--网贷系统安全方案
来源:网贷人作者:网贷之家天平
在和客户进行售前沟通的时候,很多运营者都问我系统安全的问题。很多运营者也被一些技术人员和、销售人员和系统提供商忽悠的一脸茫然。
常见的误解我简单分析一下,希望以后各位运营者能避免被忽悠【本人结合自己的知识和前人总结的经验】。
没有绝对安全互联网金融系统;越是吹嘘安全的系统,越是不安全的【也是吹嘘投资资金绝对安全的P2P平台,越可能是骗子平台】。
错误观点1:C/S结构的后台管理系统比B/S的要安全。
解释:
C/S又称Client/Server或客户/服务器模式。服务器通常采用高性能PC、工作站或小型机。客户端需要安装专用的客户端软件。
B/S是Brower/Server的缩写 客户机只需要要安装浏览器。
互联网金融的核心是互联网+金融,该特性决定了安全方面主要来自于互联网,也就是说只要是互联网系统,就有黑客所需的入口。入口来自于三方面:服务器的
操作系统;展现给投资人网贷系统;系统所采用的开发技术。后台管理系统采用什么样的结构不影响黑客的攻击成本,除非整个系统都是采用C/S结构(这就不是
P2P系统了)。
服务器的操作系统:现在的操作系统或多或少都有安全漏洞,特别是Windows系统。
系统所采用的开发技术:任何开发语言,特别所采用框架结构,都有相应的优缺点。比如PHP开发语言的漏洞,见下图:
展现给投资人网贷系统:每个网贷系统,都会给使用者提供所需画面,让使用者输入相关的信息,上传所需文件等,这就为黑客攻击提供了入口了。木马病毒的侵入,一般就是通过该入口进入的。
错误观点2:软件系统经过安全测试,就是安全的了,可以高枕无忧了。
安全测试是必不可少的一个测试过程。但是现在安全测试大多数只是给运营者一个心里安慰,如果说经过安全测试公司测试后,就认为没有安全问题了,那么就是
自欺欺人了。安全涉及到方方面面的事情,不单涉及到软件问题;还有硬件问题;还有操作人员的问题。特别是平台的工作人员,最常范的问题就是:把登陆用户名
和密码设定的特别简单,而且密码和用户名特别相近。
【下面的知识来源于前人经验总结】
安全方面的需求
一、业务逻辑安全需求
二、数据安全需求
业务逻辑安全需求
—— 身份认证需求
在双方进行交易前,首先要能确认对方的身份,要求交易双方的身份不能被假冒或伪装。同时客户端容易感染木马病毒,普通的静态密码认证已不能满足网贷系统的安全需求。P2P系统需要更有效的身份认证系统,所以尽量接入动态验证系统。
—— 访问控制需求
访问控制是P2P系统安全子系统中的核心安全策略,对关键网络、系统和数据的访问必须得到有效的控制,这就要求系统能够确认访问者的身份,谨慎授,并对任何访问进行跟踪记录。写好Log文件是P2P系统开发的一项要求。
—— 交易重复提交控制需求
交易重复提交就是同一个交易被多次提交给P2P系统。查询类的交易被重复提交将会无故占用更多的系统资源,而管理类或金融类的交易被重复提交后,后果则
会严重的多。交易被重复提交可能是无意的,也有可能是蓄意的攻击。P2P系统安全子系统必须对管理类和金融类交易提交的次数进行控制,这种控制即要有效的
杜绝用户的误操作,还不能影响用户正常情况下对某个交易的多次提交。
数据安全需求
—— 数据保密性需求
数据保密性要求数据只能由授权实体存取和识别,防止非授权泄露。要对敏感重要的商业信息进行加密,即使别人截获或窃取了数据,也无法识别信息的真实内容,
这样就可以使商业机密信息难以被泄露。从目前国内P2P系统应用的安全案例统计数据来看,数据保密性需求主要体现在以下几个方面:
客户端与P2P系统交互时输入的各类密码:包括系统登录密码、转账密码、凭证查询密码等必须加密传输及存放,这些密码在P2P系统中只能以密文的方式存在,其明文形式能且只能由其合法主体能够识别。
P2P系统与其它系统进行数据交换时必须进行端对端的加解密处理。这里的数据加密主要是为了防止交易数据被银行内部人士截取利用。
—— 数据完整性需求
数据完整性要求防止非授权实体对数据进行非法修改。交易各方能够验证收到的信息是否完整,即信息是否被人篡改过,或者在数据传输过程中是否出现信息丢
失、信息重复等差错。通常P2P系统中有两个地方需要对数据进行完整性检查:一是P2P用户提交交易数据签名时;另一种是P2P系统与该行其它系统进行通
讯时,需要检查报文的完整性。
—— 数据可用性需求
数据可用性要求数据对于授权实体是有效、可用的,保证授权实体对数据的合法存取权利。对数据可用性最典型的攻击就是拒绝式攻击和分布式拒绝攻击,两者都是通过大量并发的恶意请求来占用系统资源,致使合法用户无法正常访问目标系统。
P2P系统可用性需求体现在以下几个方面:
并发用户 / 并发连接。
同时在线人数。
中断允许的最大时间。
对系统的访问时间的要求。
—— 数据不可伪造性需求
电子交易文件要能做到不可修改
—— 数据不可抵赖性需求
在电子交易通信过程的各个环节中都必须是不可否认的,即交易一旦达成,发送方不能否认他发送的信息,接收方则不能否认他所收到的信息。
安全系统架构
—— PPDRR 安全模型
构建完善的安全系统解决方案,安全模型的选择至关重要。PDR 模型是由 ISS 公司最早提出的入侵检测的一种模型。PDR
是防护(Protection)、检测(Detection)和响应(Response)的缩写。三者构成了一个首尾相接的环,也即“防护 ->
检测 -> 响应 -> 防护”的一个循环。PDR 模型有很多变体,在银行网络中最著名的是 PPDRR 模型。增加了策略
(Policy) 和恢复 (Recovery)。PPDRR
模型是典型的、公认的安全模型。它是一种动态的、自适应的安全模型,可适应安全风险和安全需求的不断变化,提供持续的安全保障。
PPDRR 模型包括策略 、防护 、检测 、响应和恢复 5个主要部分。防护、检测、响应和恢复构成一个完整的、动态的安全循环,在 PPDRR 模型安全策略的指导下共同实现安全保障,如下图所示。
—— 安全系统网络拓扑图
以 PPDRR 安全模型为基础设计的P2P安全系统网络拓扑图如下图所示:
通过拓扑图可以看出,整个网络系统通 过三道防火墙划分为四个逻辑区域。按由外到内的顺序部署。最外层为是 Internet 区(非授信区),为P2P用户客户端接入区域;第一道防火墙和第二道防火墙之间是隔离区(DMZ),在此区域中部署 RA 服务器以及P2P系统的 Web 服务器等其它第三方应用系统;第二道防火墙和第三道防火墙之间是应用区,是P2P系统的应用 /DB 区,在此区域中部署P2P系统的应用服务器和数据库服务器;第三道防火墙之后为银行的核心系统、中间业务平台等第三方业务系统。在隔离区和应用区的 Web 服务器,应用服务器和数据库服务器都会有相应的双机热备方案。
—— 安全策略
安全策略是整个安全体系的基础。构建安全系统需要工程师来操作,这就需要建立健全的规章制度和操作规范,使保护、检测、响应和恢复环节行之有效。
一般的安全系统需要以下规章制度和操作规范:设备管理制度,机房管理制度,系统安全管理守则和明细,网络安全管理守则和明细,应用安全管理守则和明细,应急响应计划,灾难恢复计划等。
—— 安全防护方案
身份认证系统
权限控制系统
边界控制
防病毒网关
传输加密
安全的操作系统
—— 安全检测方案
入侵检测系统
入侵检测可以作为传统防火墙的辅助方案,可以根据入侵检测的结果进行防护、响应和恢复。入侵检测系统(Intrusion Detection System,简称 IDS)是采用相对应的入侵检测软件和硬件的集成。采用基于网络的入侵检测产品(NIDS)实时监控公共网络和银行网络间的通信,捕获网络入侵;采用基于主机的入侵检测产品(HIDS)监测服务器会话数据流和系统审计日志以捕获主机入侵。
状态监测系统
部署网络和主机的监控系统,监控网络和主机的运行状态,可以实时反映P2P系统的性能,以及时做出相应的措施。
安全审计系统
在设置防火墙和入侵检测系统的同时,仍需要对网络银行输入输出的信息数据需要进行审查核实,防止敏感信息数据的泄露。在整个网络系统的各个单元中设置安全审计,从软硬件各方面入手发现安全漏洞,包括数据的安全与操作的安全等。
—— 安全恢复方案
P2P系统的用户量大,访问和数据的流量也相应增加。所以目前的网络银行系统多会采用负载平衡策略。负载平衡的算法有多种,包括依序,比重,流量比例,自动分配等。对于应用 IBM WebSphere Application Server 作为应用服务器的网络银行系统多采用比重算法进行自动分配请求。
此处讲的双机热备多指基于高可用系统的两台服务器的热备,包括页面服务器,应用服务器和数据库服务器等。其中页面服务器和应用服务器多配置为群,可采用双主机方式(Active-Active 方式)。数据库服务可以采用主 - 备方式(Active-Standby 方式)。
