银企直联系统网络安全技术应用研究

第２３卷第２期　河北建筑科技学院学报　Ｖｏ１．２３　Ｎｏ．２　２００６年６月　Ｊｏｕｒｎａｌ　ｏｆ　Ｈｅｂｅｉ　Ｉｎｓｔｉｔｕｔｅ　ｏｆ　Ａｒｃｈｉｔｅｃｔｕｒａｌ　Ｓｃｉｅｎｃｅ　ａｎｄ　Ｔｅｃｈｎｏｌｏｇｙ　Ｊｕｎ．２０ｏ６　文章编号：１００７—６７４３（２００６）０２一ＯＯ９９—０４　银企直联系统网络安全技术应用研究　苗海涛　，　（１．天津大学电子信息工程学院，天津３０００７２；２．邯郸钢铁集团公司，河北邯郸０５６０１５）　摘要：银企直联系统是企业信息化应用新模式，应对来自网络的信息安全威胁是一个关键问题。　本文以一个银企直联系统为实例，从企业财务系统和网上银行系统两方面分析其系统结构，考　察了系统信息安全需求。通过合理设计系统安全结构，综合运用网络安全技术，给出了一个有　效加强系统安全性的实现方案，为实现系统功能提供有效的信息安全保证。　关键词：网络安全；网上银行；财务系统　中图分类号：ＴＰ３９３．０８　文献标识码：Ａ　随着电子商务的应用和发展，企事业单位为　提高资金的效益，对资金的管理提出了更高的要　求，迫切需要银行提供相应服务。在此背景下，国　１）信息机密性。即在网络上传递的信息是保　密的。通过对敏感数据文件加密来保护双方信息　安全，防止第三方截获数据得到其内容。　２）身份真实性。企业财务系统与银行业务系　统通过网络直接交易，要求能够对交易信息和交　易主体的真实性进行鉴别。　内各家商业银行纷纷建立起自己的网上银行系　统，为企业提供电子支付、信息查询等服务。银行　在不断完善网银系统功能的过程中，更加重视大　型集团企业客户的需求，银企直联系统就是推出　的一种新的金融服务产品。所谓银企直联系统，　就是集团企业在集团内部建立自己的资金管理系　３）数据完整性。通过网络传递的信息是完整　的，在传输过程中没有被非法窃取或篡改。包括　交易信息从财务业务主机浏览器到银企直联系统　数据库，以及银行前置机到网上银行应用服务器　到后台主机系统的全过程完整性考虑。　４）交易不可抵赖性。要求考虑不同用户、不　统，并与商业银行共同开发内部资金管理系统与　商业银行网银系统之间的数据接口，通过数据接　口将内部资金管理系统与商业银行网银系统实现　联接。此模式一经启动就无需人工干预，所以称　同网银的身份标识和鉴别。要在交易信息的传递　过程中为参与交易的实体提供可靠的标识，防止　任何一方抵赖。　为银企直联。银企直联系统实现了实时帐户信息　查询、明细查询、自动转帐、交易查询等功能。交　易的实时性和方便性得到大幅提高。同时，为应　对网络安全威胁、规避安全风险，本文通过合理规　划系统结构，综合应用网络安全技术，在系统安全　连接、可信赖交易、敏感数据保护等方面做了有益　的研究。　２银企直联系统结构　银企直联系统结构以防火墙为边界，分为银　行和企业两个层次。　２．１企业财务系统　１系统安全需求分析　为了保障银企直联系统的安全运行，需要从两　目前企业普遍采用的财务系统包括ＳＡＰ、ＯＲ—　ＡＣＬＥ、ＢＰＣＳ（ＳＳＡ）、ＰＥＯＰＬＥＳＯｒｒ（含Ｊ．Ｄ．Ｅ）、微软，　方面考虑信息的安全保护：一方面是保障企业财务　系统与银行查询服务、交易过程的安全；另一方面　是为应对来自Ｉｎｔｅｍｅｔ的安全威胁，对企业财务系统　内部应用的保护。具体表现在以下几个方面：　国内九恒星、用友、金蝶、拜特、新意、东软等公司　提供的软件。本系统中，对接的企业财务系统得　到银行授权，能够通过专用接口与前置机通讯。　在财务软件内部采用ＷＥＢ发布、中间件、数据库　收稿日期：２００５—１２—２８　作者简介：苗海涛（１９７３一），男，河北邯郸人，硕士研究生，从事网络技术与信息安全。　维普资讯 http://www.cqvip.com

ｌ０ｏ　河北建筑科技学　院学报　２００６焦　三层结构。数据库采用接口软件和ＥＲＰ服务器的　财务模块实现数据交互。企业财务业务主机和驻　财务中心银行网点访问ＷＥＢ服务器，通过中间件　用交易数据，特别是敏感交易数据，银企直联系统　服务采用访问控制、数据签名技术、完整性技术以　及防抵赖技术加以多重保证。　调用后台数据库实现查询、资金管理、票据管理等　业务功能。　访问控制：访问控制功能由防火墙实现，对企　业内部网之间和内络的数据流进行内容审　前置机是在企业端运行安全业务处理软件、　完成银行与企业之间主机数据传输的计算机终　端。采用企业前置机进行银企系统对接是目前比　查，只允许合法的数据通过。还可实现用户认证、　负载分担等功能。提供网络地址翻译（ＮＡＴ）服务，　对外隐藏网络地址，防止内部地址公开。为保障　较流行的方式，它可以有效的屏蔽双方主机，并强　化通信安全措施。各家银行前置机上安装有专用　通讯软件，通过加密、认证方法以专线网络或Ｉｎ—　ｔｅｍｅｔ与特定银行业务服务器实时安全连接。经　过数字签名、身份认证后，银行前置机向银行数据　库服务器发送请求，并接受返回的数据，通过专用　接口软件解密后返回银企直联系统数据库。　２．２网上银行系统　各家银行提供的对企业网上银行直联系统，　名称略有不同，提供了相同或者相近的服务功能。　如工行的网上银行系统（或简称网银）、建行的重　要客户系统（或简称重客系统）、农行的现金管理　平台（或简称ＣＭＰ）、企业（集团）内部网银系统、财　务软件系统、ＥＲＰ系统等（统称财务系统）进行系　统间数据直接交换的服务系统。　银行对接平台位于银行网络内部，设置于对　接服务器之上，完成企业网上银行系统与企业财　务系统前端前置机的连接，完成数据传递、加密认　证、数据格式转换、历史信息采集等功能。　３系统安全管理　３．１系统拓扑结构　本文研究了一个银企直联系统的实例，该系　统完成了企业财务系统与四家商业银行的直联系　统集成。系统具体实现结构如图ｌ所示。　３．２安全管理实现方案　银企直联系统为企业和银行之间建立了安　全、高效、可追踪的直接信息交互渠道。在直通渠　道的建立过程中，银行和企业之间对彼此身份进　行基于数字证书的身份确认，以确保服务双方身　份的正确性。另外，对于在对接渠道中交换的应　系统内网络安全并实现与银行网络的安全访问，　系统通过２个防火墙将银企直联系统分成５个安　全区域。对不同区域设定安全优先级，并根据数　据访问流向定义访问控制规则。如图１所示。　５个区域的安全优先级从高到低分为：　区域１：银企直联系统数据库服务器和银行的　前置机。数据库服务器从银行前置机上获取数　据，写人数据库中，提供ＷＥＢ服务器调用，并与　ＥＲＰ财务模块交换数据。　区域４：银企直联系统ＷＥＢ发布服务器和财　务中心营业前台的业务主机。ＷＥＢ服务器提供所　用查询功能。ＷＥＢ服务器提供企业内部网络和系　统内部ＷＥＢ访问，财务业务主机所有的查询、转　帐等业务操作都是通过ｗｅｂ浏览器完成。　区域２：企业内部网络和ＥＲＰ服务器财务模块。　满足内部网络对ＷＥＢ服务器的查询需求，以及ＥＲＰ　财务系统与银企直联系统数据库的数据交换。　区域３：各家银行驻企业财务中心的营业网　点。主要提供对ＷＥＢ服务器的访问，完成对汇票　部分的查询功能。虽然银行网点和企业财务主机　物理位置相同，但由于业务功能不同，必须区分在　不同网络区域。　区域５：银企直联系统与银行的网络连接部　分。主要是提供各家银行网银服务器与数据库区　相应银行前置机的数据交换。与不同银行的连接　由不同的接人路由器和外部防火墙实现。　区域之间数据流向在图１中用Ａ、Ｂ、Ｃ、Ｄ、Ｅ　标识，访问控制策略如表１。　入侵检测和漏洞扫描：为弥补防火墙的不足，　同时在区域１和区域４部署了入侵检测系统。入　侵检测通过监控主机或网络中流动的数据，分析　已有的特征码，识别可能的攻击尝试。目的是提　供实时的入侵检测及采取相应的防护手段，如记　录证据用于跟踪和恢复、断开网络连接等，缩短响　应外部网络入侵的时间。　维普资讯 http://www.cqvip.com

第２期　苗海涛：银企直联系统网络安全技术应用研究　ｌＯｌ　图１某银企直联系统拓扑结构　在区域ｌ设置一台网络漏洞扫描器。漏洞扫　构，它的主要任务是受理数字证书的申请、签发和　管理。　。ＣＡ证书发放系统保留了客户的信息数　描（事前的检测系统），也称为安全性评估或脆弱　性分析，是对网络设备进行自动的安全漏洞检测　和分析，支持基于安全策略的安全风险管理过程。　另外，能够执行预定的网络探测，包括对网络通信　服务、操作系统、路由器、电子邮件、ＷＥＢ服务器、　据，承担证书管理工作，并与安全传输平台连接，　对通过网络传输的用户证书进行身份认证。　在前置机上安装银行各种接口平台、安全客　户端软件和读卡器、ＵＳＢ　ＫＥＹ等外接设备。合法　生成的证书或者密钥写入专用外接设备，或存放　防火墙和应用程序的检测，从而识别能被入侵者　利用来非法进入网络的漏洞　Ｊ。它的作用就是在　发生网络攻击事件前，通过对整个网络范围扫描　发现网络的漏洞隐患，及时给出修补方案。　系统安全控制器：在企业内部系统层面的安　全管理由系统安全控制器来实现。系统安全控制　器配备了系统安全控制软件，部署在ＷＥＢ服务器　在安全配置文件指定的路径。从而使前置机成为　银企直联系统中企业面向银行的身份认证终端。　数据加密：数据加密由前置机上安装安全客　户端软件，或者采用专门的加密机实现。采用ＰＫＩ　的公钥加密算法，使用的加密密钥和解密密钥不　同，而且不可能由加密密钥解出解密密钥。ＣＡ管　理方把密钥成对发放，一个在信息团体内公开称　上，用以实现业务用户身份认证、操作权限控制、　日志记录、数据备份和数据恢复，是面向企业内部　的安全控制系统。　公钥，一个由用户秘密保存称私钥。信息传递时　使用其中一个密钥对信息进行加密，由另一个解　密，其优点是便于密钥管理、分发、便于签字签名。　银企之间传递的数据在发送方和接收方经加密、　身份认证终端：身份认证依靠“ＰＫＩ公钥密码　”的加密机制、数字签名机制和用户登录密码　等提供多重保证。身份认证由专门的认证机构负　解密后接受。密钥由Ｉｃ卡或硬件加密机中存储　的数据产生，具备较好的保密性；同时利用接入平　台软件完成对银行网银系统进行连接。　数字签名：数字签名解决了否认、伪造、篡改　责证书或密钥的生成、发放、删除管理。各家银行　均有严谨的证书申请流程、ＣＡ证书发放系统和安　全客户端软件。ＣＡ，即认证中心，是ＰＫＩ的核心机　维普资讯 http://www.cqvip.com

河北建筑科技学　院学报　２００６正　及冒充等问题。发送者事后不能否认发送的报文　签名、接收者能够核实发送者发送的报文签名、接　收者不能伪造发送者的报文签名、接收者不能对　发送者的报文进行部分篡改、网络中的某一用户　络传播。建立严格的内部控制制度，从管理层面　上加强Ｉｃ卡、ＵＳＢ　ｋｅｙ等硬件设施管理，加强对密　钥、证书的管理，防止非系统管理员操作等。　不能冒充另一用户作为发送者或接收者‘３　Ｊ。具体　做法是前置机向银行提交信息时，会在信息后附　加该客户的数字签名，然后使用私钥对完整信息　进行加密后发送到银行端，由银行端的接受服务　器访问ＣＡ服务器，获得客户的公钥后解密，分析　交易或查询内容并进行业务处理，同时记录客户　的签名，以作日后核对。　４结束语　依据系统一对一的典型结构，同时考察一对　多的集成方案的特点制定信息安全控制策略，从　网络、链路、物理、系统、管理等方面均有安全保障　机制。经过长时间运行实践，证明该方案在实现　企业系统功能保证信息安全性方面可行有效。系　统可实现与多家商业银行的安全直联，具有良好　的扩展性和健壮性。在充分考虑不同银行网银系　银行向前置机反馈信息时，通过向ＣＡ服务器　提取客户公钥，加上银行的签名，加密发送给客户。　客户前置机收到后，安全客户端软件会使用用户私　统各自特点和细节差异后，与其它银行直联可有　效借鉴，对提高国内大中型企业财务信息化水平　作了有益探索。　钥解密，然后通过前置机的数据接口发送信息。　审计跟踪技术：安全审计评估系统就是指根　据一定的安全策略记录和分析历史操作事件及数　据，发现能够改进系统性能和系统安全的地方＿４　Ｊ。　企业财务系统前置设备增加系统参数设置功能，　可通过开关此功能达到记录交易日志的目的；网　参考文献：　［１］徐捷史润生．建设银行网上银行Ｐ２ＤＲ安全体系建设　［Ｊ］　中国金融电脑，２００１，５：８—９．　［２］尹传勇刘寿强．陈娇春．基于ＰＫＩ／ＣＡ身份认证体系的　应用研究［Ｊ］．计算机安全，２００３，８：９—１１．　［３］康丽军．数字签名技术及应用，太原重型机械学院学报　［Ｊ］　２００３，２４（３）：３１—３４．　上银行系统中记录每笔交易的经手人信息，以达　到对交易审计跟踪目的。　其他安全控制措施：在系统内部建立网络防　病毒系统，实现病毒引擎和代码自动升级更新、防　病毒策略统一部署等，防止病毒、木马等恶意程序　［４］刘枫，薛松山．安全审计在电子政务中的应用［Ｊ］．信息　技术，２００４，２８（３）：９４—９６．　对系统内部的攻击，同时防止病毒向银行内部网　Ｔｅｃｈｎｉｃａｌ　ａｐｐｌｉｃａｔｉｏｎ　ｏｆ　ｎｅｔｗｏｒｋ　ｓｅｃｕｒｉｔｙ　ｉｎ　ｅｎｔｅｒｐｒｉｓｅ　ｆｉｎａｎｃｉａｌ　ｓｙｓｔｅ　ｍ　ａｎｄ　ｎｅｔｗｏｒｋ　ｂａｎｋｓ　ＭＩＡＯ　Ｈａｉ—ｔａｏ　，　（１．Ｓｃｈｏｏｌ　ｏｆ　Ｅｌｅｃｔｒｏｎｉｃ　ａｎｄ　Ｉｎｆｏｒｍａｔｉｏｎ　Ｅｎｇｉｎｅｅｒｉｎｇ，Ｔｉａｎｊｉｎ　Ｕｎｉｖｅｒｓｉｔｙ，Ｔｉ蚰ｊｉｎ　３０００７２，　Ｃｈｉｎａ：２．Ｈａｎｄａｎ　Ｉｒｏｎ　ａｎｄ　Ｓｔｅｅｌ　Ｃｒｏｕｐ　Ｃｏｍｐａｎｙ，Ｈａｎｄａｎ　０５６０１５，Ｃｈｉｎａ）　Ａｂｓｔｒａｃｔ：Ｄｉｒｅｃｔｌｖ　ｃｏｎｎｅｃｔｉｏｎ　ｓｙｓｔｅｍ　ｏｆ　ｅｎｔｅｒｐｒｉｓｅ　ｆｉｎａｎｃｉａｌ　ｓｙｓｔｅｍ　ａｎｄ　ｎｅｔｗｏｒｋ　ｂａｎｋｓ　ｉｓ　ａ　ｍｏｄｅｍ　ａｐｐｌｉｃａｔｉｏｎ　ｐａｔ－　ｔｅｒｎ．ａｎｄ　ｔｈｅ　ｎｅｔｗｏｒｋ　ｉｎｆｏｒｍａｔｉｏｎ　ｓｅｃｕｒｉｔｙ　ｒｉｓｋ　ｉｓ　ａ　ｋｅｙ　ｐｒｏｂｌｅｍ．Ｔｈｉｓ　ｐａｐｅｒ　ａｎａｌｙｓｅｓ　ｉｔｓ　ｓｙｓｔｅｍ　ｓｔｒｕｃｔｕｒｅ，ｓｔｕｄｉｅｓ　ｉｔｓ　Ｄｏｔｅｎｔｉａｌ　ｒｉｓｋｓ　ａｎｄ　ｓｅｃｕｒｉｔｙ　ｎｅｅｄｓ，ｄｅｖｉｓｅｓ　ｉｔｓ　ｓｅｃｕｒｉｔｙ　ｓｔｒｕｃｔｕｒｅ　ｒａｔｉｏｎａｌｌｙ，ｐｒｏｖｉｄｅｓ　ａ　ｉｎｔｅｇｒａｔｅｄ　ｓｅｃｕｒｉｔｙ　ｍａｎａｇｅｍｅｎｔ　ｓｏｌｕｔｉｏｎ　ｔｏ　ｅｆｆｅｃｔｉｖｅｌｙ　ｅｎｓｕｒｅ　ｔｈｅ　ｓｙｓｔｅｍ　ｓｅｃｕｒｉｔｙ　ｂｙ　ｕｓｉｎｇ　ｎｅｔｗｏｒｋ　ｓｅｃｕｒｉｔｙ　ｔｅｃｈｎｉｑｕｅ．　Ｋｅｙ　ｗｏｒｄｓ：ｎｅｔｗｏｒｋ　ｓｅｃｕｒｉｔｙ；ｎｅｔｗｏｒｋ　ｂａｎｋ；ｆｉｎａｎｃｉａｌ　ｓｙｓｔｅｍ　（责任编辑刘存英）