基础防护系统设计
4.1.1入侵监测系统
入侵监测系统(IDS)的部署主要是防治外界非法人员对银行网络进行攻击,及时发现非法人员的入侵行为,以确保能够立刻采取网络阻止措施。在银行网络中的关键部位部署入侵检测系统,可以实时监控流入和流出银行网络的数据流量,分析确认非法入侵行为,以确保银行网络业务的正常开展。
采用基于大数据分析的网络入侵数据检测系统设计,对感应器、包嗅探器、异常分析器、报警器进行设计。首先感应器实现对数据包的捕捉、数据流的协议解析等功能,还要加强对数据的预备处理与具有一些初步的入侵数据检测功能。其次包嗅探器作为一个简单的捕捉信息的接口对网络数据进行收集,然后异常分析器主要负责检查网络数据规则库中的规则集,利用异常检测手段将那些异常数据送往规则生成器,从而形成差别,最后分析器报告数据异常行为,通过人机交互界面向工作人员发出通知同时向防御系统发出指令。
入侵监测系统结构图如图4-1所示:
图 4-1 入侵监测系统结构图
4.1.2主动防御系统
整个防御系统主要由两级防御系统组成,第一级防御系统由基于网络的入侵防御系统(NIPS)组成,第二级防御系统选用成熟的主机安全代理软件。两系统都与管理中心保持有密切的通信机制,其中主机安全代理以软件的方式实现并运行在内部网的各个主机中,也可以安装在远程用户的便携机和托管服务器上。
NIPS主要基于IDS与防火墙技术的基础构建,提供主动防护。它预先对入侵活动和攻击性网络流量进行拦截,避免其造成损失,而不是简单地在恶意流量传送时或传送后才发出警报。NIPS是通过直接嵌入到网络中实现这一功能的,即通过一个网络端口接收来自外部系统的流量,经过检查确认其中不包含异常活动或可疑内容后,再通过另外一个端口将它传送到内部系统中。这样一来,有问题的数据包,以及所有来自同一数据流的后续数据包,都能在主动防御系统中被清除掉。
主动防御系统结构如图4-2所示:
图 4-2 主动防御系统结构图
4.1.3网络防病毒系统
网络防病毒系统建立在NIPS系统的基础上,在这基础上安装杀毒软件,提升防御病毒的能力,及时将病毒阻隔在设备之外。然后利用硬盘保护卡保护部分操作系统,这里的硬盘保护卡主要指计算机操作系统使用的一种PCI扩展卡,这种扩展卡通常有还原计算机硬盘中所有数据的功能。当用户开启计算机时,硬盘还原卡会让计算机硬盘中的部分或所有数据还原至使用前的内容,而在硬盘保护分区进行任何修改操作都不会产生效果,从而有利于全面保护计算机的硬盘数据内容。最后,因为网络病毒会直接破坏计算机的运行系统,造成系统,所以需要第一时间安装系统补丁,同时更新计算机病毒免疫程序,及时抑制病毒扩散,做好系统备份工作,增强病毒防范意识。
4.1.4漏洞扫描系统
漏洞扫描技术是目前网络安全防御中的一项重要技术,本系统采用插件技术的漏洞扫描系统,优点在于插件技术可以提供更强的扫描范围和扫描力度,能够迅速找到网络安全中存在的问题,然后有针对性的进行修补。对于每一个检测的漏洞,都必须与之对应的检测脚本插件,针对系统漏洞的不定时更新,插件必须具备一定的通用性和适当的拓展性,从而能更好的发挥系统维护的作用。如果存在发现的新漏洞也可以通过插件语言进行随时的编辑,增加目前所需的功能,提升系统检测的实用。与此同时,建立完备的系统漏洞库,记录某个漏洞,在发现问题的时候能自动进行修复,同时注重漏洞库的兼容性,从而不断更新系统需要的功能。
4.2身份认证系统设计
现阶段广泛使用的身份认证系统主要有三种实现模式:1.利用共享的记忆信息,即各种口令、暗号等。2.利用计算存储信息,即智能卡和移动设备等信息硬件设备。3.利用独有的生物特征信息。就前两种实现模式而言,两者的安全级别较低,容易泄露,也容易遭到不法分子的盗窃和冒用,因此有较大的局限性。所以本系统采用基于生物特征的指纹身份认证系统。
整个身份系统包括两个部分:客户端和服务器端。这两部分各自完成各自的功能,其中用户指纹数据的采集、提取和使用证书签名认证请求信息的功能任务主要由客户端完成。服务器端的功能主要是解密送过来的身份认证信息、验证客户的数字签名、证书有效期等信息、提取指纹特征值与数据库中的客户指纹特征信息进行对比,并将对比的结果以数据输送回客户端。
如图4-3所示,为身份认证系统总体结构图。
图 4-3 身份认证系统总体结构图
4.3数据加密系统设计
移动支付系统的公文数据的分发处理通过自身自带的综合办公系统进行处理。公文数据本身内容和附件的具体内容均没有加密,只是通过用户自身的口令系统,采取了传输的加密,没有采取其他任意加密手段。用户在应用系统时对口令保护重视不够,口令类型为了方便记忆也常采用简单的弱口令。公文在发给用户后,用户可以离线下载至自身的各种终端中,以文件传输的方式与他人在内部网中进行流转,如果通过存储设备,还可以拷贝,导致在互联网中进行传播,为公文带来极大的安全隐患。
用户登录使用移动支付系统时,其使用安卓端发送信息被SSL加密(这里使用RSA非对称加密)后传送到HTTP服务器,在HTTP服务器端解密后的信息以XML方式发送到应用服务器,应用服务器读取XML文件内容,再将具体信息流送往各处理流程,经过处理后获取请求结果,HTTP服务器将得到的结果再次进行SSL加密,并送回用户端。
数据加密系统结构图如图4-4所示:
图 4-4 数据加密系统结构图
4.4VPN技术的设计
本系统采用最为流行的SSL VPN技术,依赖通用协议SSL来保证公用网络上数据传输的安全性,其主要优点易于部署和维护,提供更细粒度的访问控制,能够穿越NAT和防火墙,并且能够较好的抵御外部系统和病毒攻击。SSL通过加密方式保护在互联网上传输的数据安全性,而VPN则主要应用于虚拟连接网络,它可以确保数据的机密性并且具有一定的访问控制功能。本系统将SSL VPN置于防火墙之后,使内网可以受到防火墙的保护,同时避免服务器直面外网的威胁。同时通过负载均衡技术来提高SSL VPN服务器的性能。
SSL VPN技术实现远程登录如图4-5所示:
图 4-5 SSL VPN技术实现远程登录
4.5防范恶意软件的设计
金融类恶意软件存在两种攻击模式,常规攻击和针对性攻击。前者通过SSL会话来盗取用户登录信息,举例来说,攻击者还搜集基于网络的电子邮件和脸谱之类社会化网站的证书。后者则是针对特定的网络金融机构建立了配置文件,这些配置文件被应用在所谓的浏览器中间人(Man-in-the-Browser,MitB)攻击中,可以让网络浏览器访问由配置文件提供的冒牌页面。
由于移动支付安全验证具有身份验证简单些与复杂性并存的特定,所以以上两种攻击模式都需要防范。数字证书可以通过身份认证和加密功能提供安全性,例如SSL/TLS证书是网站安全证书,可以实现用户与站点的Web服务器之间安全,加密的数据传输,还能向终端证明企业身份,让浏览器和用户知道此网站是合法网站,而不是钓鱼网站。同时设置电子邮件过滤器,阻止包含恶意附件和链接的电子邮件发生到邮箱。如果存在狡猾的邮件躲避了这个电子过滤器,则可以对电子邮件进行数字签名,发送加密的邮件给使用方,可以使检测钓鱼邮件变得更加容易,有效降低网络钓鱼邮件的事件的发生。