金融網(wǎng)絡安全測試方案

思博倫通信

思博倫技術專欄

金融網(wǎng)絡安全測試方案

思博倫通信

編者按：金融行業(yè)網(wǎng)絡系統(tǒng)的建設，提高了金融業(yè)務處理的水平，改善了金融行業(yè)的經(jīng)營環(huán)境，增強了金融信息的可靠性，促進了各項新業(yè)務的開展?，F(xiàn)今各金融機構為了提高自己的競爭優(yōu)勢，爭取更大的經(jīng)濟效益，紛紛在改進服務手段、增強服務功能、完善業(yè)務品種、提高服務效率等方面做了大量的工作。但這還不夠，要達到這一目標還必須通過金融電子化，利用高科技手段來提升自己的工作效率。金融行業(yè)業(yè)務的正常動作均需依賴網(wǎng)絡的暢通與可靠運行，網(wǎng)絡的穩(wěn)定與安全已真正成為金融業(yè)正常運轉的首要條件。因此，金融業(yè)網(wǎng)絡安全的正?？煽窟\行，離不開仿真真實環(huán)境的網(wǎng)絡安全測試。思博倫通信的《金融網(wǎng)絡安全測試方案》一文介紹了金融網(wǎng)絡安全面臨的挑戰(zhàn)及需求分析，提出了金融網(wǎng)絡安全測試方案。

1 引言

金融業(yè)已經(jīng)成為信息技術和網(wǎng)絡技術發(fā)展的最大受益者之一。金融行業(yè)網(wǎng)絡系統(tǒng)的建設，提高了金融業(yè)務處理的水平，改善了金融行業(yè)的經(jīng)營環(huán)境，增強了金融信息的可靠性，促進了各項新業(yè)務的開展。現(xiàn)今各金融機構為了提高自己的競爭優(yōu)勢，爭取更大的經(jīng)濟效益，紛紛在改進服務手段、增加服務功能、完善業(yè)務品種、提高服務效率等方面做了大量的工作。

但這還不夠，要達到這一目標還必須通過金融電子化，利用高科技手段來提升自己的工作效率。商業(yè)銀行客戶的業(yè)務系統(tǒng)一般包括核心應用系統(tǒng)、網(wǎng)上銀行系統(tǒng)、辦公系統(tǒng)、監(jiān)控系統(tǒng)、認證系統(tǒng)等；證券基金客戶的業(yè)務系統(tǒng)包括網(wǎng)上交易查詢系統(tǒng)、銀行結算系統(tǒng)、辦公系統(tǒng)和門戶網(wǎng)站等；保險行業(yè)客戶業(yè)務系統(tǒng)包括CRM系統(tǒng)、核心業(yè)務系統(tǒng)、保單管理系統(tǒng)、財務系統(tǒng)等。這些業(yè)務的正常運作均需依賴網(wǎng)絡的暢通與可靠運行，網(wǎng)絡的穩(wěn)定與安全已真正成為金融業(yè)正常運轉的首要條件。

因此，金融業(yè)網(wǎng)絡安全的正?？煽窟\行，離不開仿真真實環(huán)境的網(wǎng)絡安全測試。

2 面臨的挑戰(zhàn)及需求分析

2.1 面臨的挑戰(zhàn)

隨著金融服務的多樣化和金融業(yè)務應用不斷增多，網(wǎng)絡安全風險也日益暴露出來。

金融企業(yè)網(wǎng)絡安全的風險來自多個方面：

（1）來自互聯(lián)網(wǎng)的風險。網(wǎng)上銀行、電子商務、網(wǎng)上交易系統(tǒng)都是通過Internet并且都與金融系統(tǒng)發(fā)生關系，金融系統(tǒng)網(wǎng)絡如果與Internet互聯(lián)，那么由于Internet自身的廣泛性、自由性等特點，像銀行、證券和保險這樣的金融系統(tǒng)自然會被入侵者列入其攻擊目標的前列。

（2）來自外聯(lián)單位的風險。金融系統(tǒng)為了競爭，已不僅僅是局限在本系統(tǒng)縱向上做文章，而是逐步橫向發(fā)展，主要表現(xiàn)在銀行不斷增加中間業(yè)務，增加服務功能。例如，代收電話費、水電費、代收保險費、證券轉賬等業(yè)務。因此，就與電信局、水電公司、保險公司、證券交易所等單位網(wǎng)絡互聯(lián)。由于銀行與這些單位之間并不是完全任信關系，因此它們之間的互聯(lián)，也使得金融網(wǎng)絡系統(tǒng)存在著來自外聯(lián)單位的安全威脅和安全隱患。

（3）來自不信任域的風險。大部分金融系統(tǒng)都發(fā)展到全國聯(lián)網(wǎng)，系統(tǒng)分布在全國各地，范圍較廣，而且各級銀行也都是獨立核算單位，因此對每一個區(qū)域銀行來說，其它區(qū)域銀行都可能是不信任的，同樣存在安全威脅。

（4）來自內部網(wǎng)的風險。據(jù)統(tǒng)計，大多數(shù)網(wǎng)絡安全事件、攻擊來自于內部，如果內部安全管理措施不到位，極易發(fā)生內部攻擊事件。

2.2 需求分析

（1）大型商業(yè)銀行

中國的大型商業(yè)銀行包括國有和地方商業(yè)銀行，這些大型商業(yè)銀行的金融電子化水平在同行業(yè)居領先地位，電子化網(wǎng)點覆蓋率非常高。正是這些商業(yè)銀行在多個領域的不斷發(fā)展，使得現(xiàn)有的網(wǎng)絡體系結構越來越復雜。在網(wǎng)絡結構復雜的同時，暴露了不少的安全隱患。如何使得業(yè)務的高速推進與網(wǎng)絡安全并駕齊驅，成了越來越熱門的話題。

為了避免各種各樣的利用計算機網(wǎng)絡進行犯罪的刑事案件的發(fā)生，以及在系統(tǒng)遭到攻擊中及時做出響應、系統(tǒng)遭到破壞后如何減少損失，設計一整套金融網(wǎng)絡安全體系成了中國大型商業(yè)銀行現(xiàn)在最迫切的需求。

（2）證券企業(yè)

隨著電腦、網(wǎng)絡應用的普及，以及證券市場的發(fā)展和成熟，網(wǎng)上交易委托將會成為股票交易中一個舉足輕重的方式。在這種完全不同于以往的交易方式中，各個證券公司的差別減小，其差異更多地體現(xiàn)在對網(wǎng)絡交易安全的高要求上。這就需要對營業(yè)部和證券公司總部的信息網(wǎng)絡系統(tǒng)進行保護，同時對于網(wǎng)上交易的門戶網(wǎng)站需要防御外來的攻擊和蓄意的破壞，各營業(yè)部與總部、營業(yè)部與營業(yè)部之間信息的傳遞需要通過VPN來保障信息傳遞的安全，從而全面實現(xiàn)網(wǎng)上交易的信息安全。

（3）保險公司

隨著網(wǎng)絡技術的迅猛發(fā)展，現(xiàn)在世界上幾乎所有的保險業(yè)巨頭都看到了網(wǎng)絡發(fā)展中所蘊藏的無限商機，把目光都投向了Internet和電子商務。一種全新的理念——網(wǎng)絡保險應運而生。網(wǎng)絡保險是指保險企業(yè)通過網(wǎng)絡開展電子商務，如通過Internet買賣保險產品和提供服務。保險公司有著自己的商業(yè)機密，同時還掌握著大量保戶的資料，如何保護數(shù)據(jù)和網(wǎng)絡系統(tǒng)不受到非法侵人，已成為發(fā)展網(wǎng)絡保險在技術上的難題。目前，威脅到保險網(wǎng)絡系統(tǒng)的安全主要包括：業(yè)務信息安全，即信息的保密性、完整性、真實性和不可否認性；保險網(wǎng)絡系統(tǒng)運行安全；保險網(wǎng)絡環(huán)境安全；信息傳輸安全等。在我國網(wǎng)絡技術水平不如歐美國家的情況下，如何開發(fā)出適合我國網(wǎng)絡保險發(fā)展需要又與國際標準相一致的網(wǎng)絡技術，已成為迫在眉睫的問題。

綜上所述，金融業(yè)作為對網(wǎng)絡系統(tǒng)的安全性、實時性、不間斷性、高可靠性、可用性等要求更為苛刻的行業(yè)，采用什么解決方案能更好地保護銀行金融網(wǎng)絡呢？不同的安全廠商有不同的解決方案，包括部署防火墻、IPS/IDS、Web應用防火墻、VPN、防病毒網(wǎng)關等，但這些在實施上線后銀行業(yè)務還是受到不同程度的攻擊和破壞，從而造成不少經(jīng)濟和信譽上的損失。

因此，在系統(tǒng)上線之前，通過使用測試工具模擬這些多種真實的網(wǎng)絡攻擊，可幫助網(wǎng)絡管理員盡早發(fā)現(xiàn)網(wǎng)絡安全可能存在的問題。

3 金融網(wǎng)絡安全測試方案

（1）方案介紹

思博倫C1網(wǎng)絡安全測試解決方案可以仿真當今世界復雜的網(wǎng)絡環(huán)境、各種各樣的應用或網(wǎng)絡攻擊，確保在真實的網(wǎng)絡環(huán)境下能提供高質量的產品和服務。C1測試解決方案能夠仿真不同的錯誤狀況、真實的用戶行為以及100多萬不同IP地址的網(wǎng)絡連接，精確重現(xiàn)了真實的網(wǎng)絡環(huán)境。即使是世界上最大的網(wǎng)絡基礎設施，C1測試解決方案也能滿足其需求，并且為網(wǎng)絡設備制造商、服務提供商、企業(yè)和網(wǎng)站管理者提供任何狀況下網(wǎng)絡的真實性和可控性。C1測試解決方案要求任何計算架構的能力能滿足真實網(wǎng)絡的負載和復雜度。

C1測試解決方案在測試實驗室現(xiàn)實網(wǎng)絡、用戶和用戶以及網(wǎng)絡攻擊的真實性，而真實性正是C1測試解決方案架構的核心。

●用戶真實性：C1測試解決方案能夠仿真數(shù)百萬計真實并發(fā)用戶的行為，包括等待時間、點擊操作、用戶受挫行為、不同的瀏覽器版本、不同的SSL版本之間的差別以及與靜態(tài)或動態(tài)網(wǎng)站和代理的交互認證等。

●網(wǎng)絡真實性：C1測試解決方案能夠生成大量的流量來模擬大型網(wǎng)絡（包括因特網(wǎng)）。這些真實的流量包含各種不同種類的網(wǎng)絡和應用協(xié)議，同時能夠再現(xiàn)網(wǎng)絡中的常見問題，如非對稱的寬帶網(wǎng)絡連接、數(shù)據(jù)包丟失、IP包損壞、大型連接池和仿真的網(wǎng)絡攻擊等。

●應用真實性：C1測試解決方案提供大量真實的、有狀態(tài)的Web2.0數(shù)據(jù)流。C1測試解決方案將應用真實性擴展到了支持CIFS以及其他更深層次協(xié)議支持功能的高級內容領域。此外，C1測試解決方案為自定義的數(shù)據(jù)流提供了一個規(guī)?？煽氐膽脜f(xié)議仿真引擎，還為漏洞評估測試提供了一個攻擊數(shù)據(jù)庫。C1測試解決方案是唯一的能夠產生真實、高速、有狀態(tài)和應用感知流量的測試解決方案，用于確定大型網(wǎng)絡和應用基礎設施的端到端性能。

●攻擊真實性：C1測試解決方案可以提供超過7000種以上的攻擊類型，而且不斷更新，具體包括：模擬DDoS/DoS攻擊；模擬口令破解等解碼攻擊行為；模擬惡意代碼和后門程序的攻擊行為；模擬操作系統(tǒng)漏洞滲透攻擊行為；模擬緩沖區(qū)溢出類攻擊行為；模擬蠕蟲攻擊；模擬各種類型病毒；模擬VoIP攻擊；能夠支持有狀態(tài)和無狀態(tài)的攻擊發(fā)起；能夠模擬電子郵件攻擊，包括發(fā)送帶病毒附件的電子郵件等；能夠支持對各種攻擊的混合發(fā)送，可以設置發(fā)送比例，以模擬網(wǎng)絡上真實的攻擊狀況；將各種攻擊流量和正常背景流量混合后通過一個端口發(fā)送，模擬真實的網(wǎng)絡攻擊行為。所提供的攻擊手法要提供相應的標準組織編號（如CVEID、BugTraqID等），以便于參考。

此外，C1測試方案還具有以下的特性：

多種協(xié)議支持：C1支持所有主要的協(xié)議，包括HTTP1.0/1.1、HTTPS（SSL）、FTP、流媒體、電子郵件（SMTP、POP3、IMAP4）、DNS、Telnet、802.1Q VLAN Tagging和SIP。基于寬帶的協(xié)議支持使得您可以正確地測試對性能敏感的網(wǎng)絡行為，諸如：

電子商務：使用瀏覽器Cookie、SessionID、HTTP Post和SSL加密數(shù)據(jù)流，生成真實的Web數(shù)據(jù)流。

郵件：支持SMTP、POP3和IMAP4，您可以模擬大量發(fā)送和接收消息的用戶。該系統(tǒng)與所有主要的郵件服務器兼容，并且支持對郵件附件（包括合法的文檔和病毒）進行模擬和分析。

文件傳輸：C1對FTP的支持允許您模擬大量用戶獲取和上傳文件，文件大小范圍從1kB到1GB，甚至更大。支持Active和Passive模式。

網(wǎng)絡延遲、數(shù)據(jù)包丟失和分片：C1包含模擬用戶連接中延時的高精度延時參數(shù)?？删_仿真非對稱寬帶連接（以高速上行數(shù)據(jù)流、低速下行數(shù)據(jù)流移動）。用戶可以模擬數(shù)據(jù)包丟失水平，也可以指定降低性能的數(shù)據(jù)包分片，包括模擬順序分片、丟失的分片、甚至逆序分片。

TCP/IP協(xié)議棧特征：C1提供對TCP/IP棧特征的控制，諸如最大分段長度、延時ACK、IP分片和TCP超時行為。這些能力使您可以仿真不同的網(wǎng)絡環(huán)境，并且面對不同類型的TCP行為調整您的設備或基礎設施。

4 測試拓撲

（1）測試網(wǎng)絡應用和服務

C1可模擬數(shù)百萬的并發(fā)客戶，通過Internet訪問網(wǎng)上銀行網(wǎng)站。測試拓撲如圖1所示。

在此拓撲中，可以將網(wǎng)上銀行網(wǎng)站作為一個整體進行評估，即整個網(wǎng)站被看成一個“黑盒”。也可以在發(fā)現(xiàn)整體出現(xiàn)問題后，采用隔離法對網(wǎng)站中的某個或某幾個組件進行單獨排查測試。例如，測試系統(tǒng)中的緩存設備對某些頁面是否有效；在面對海量、具有混雜行為的用戶時，響應成功率的下降原因等。

C1模擬網(wǎng)上銀行實現(xiàn)的過程如下：

抓取真實瀏覽器用戶在網(wǎng)上銀行登錄過程的URL，URL中包含注冊、登陸、查詢賬戶等信息。

圖1 測試拓撲圖

將抓取的URL導入到C1模擬的客戶段的Action List中，并根據(jù)需要進行修改，如從C1的數(shù)據(jù)庫中順序提取1萬個不同的用戶/密碼用于登陸。

C1模擬的客戶端可仿真不同的瀏覽器及不同的版本。支持Cookie，并可與SSL結合用于加密訪問。

C1中的ActionList被順序執(zhí)行，并支持條件判斷等，用于網(wǎng)站返回值的驗證。

（2）測試網(wǎng)絡安全設備

C1同時模擬客戶端和服務器，測試各種網(wǎng)絡安去設備，包括防火墻、負載均衡器、IPS、防病毒網(wǎng)關和VPN等。在此測試拓撲，能夠驗證被測設備的性能和功能。

5 測試內容

金融業(yè)務系統(tǒng)和網(wǎng)絡安全設備不論是在上線之前，還是上線后的調優(yōu)測試，負載測試都是至關重要的。通常，可按需進行如下的測試：

（1）網(wǎng)絡攻擊防御能力

通過思博倫安全測試解決方案，驗證企業(yè)網(wǎng)絡入侵防御系統(tǒng)（IPS）和分布式拒絕服務（DDoS）防御系統(tǒng)的防御能力。不僅能證實數(shù)據(jù)是否受到保護，沒有被篡改、破壞或泄露，而且還證明服務性能在各種運行和攻擊條件下能否得到保持。

除了C1硬件設備外，C1安全解決方案還包括兩個關鍵組件：

●C1KnowledgeBase（知識庫）：提供可以運行在C1平臺上進行安全漏洞測試的攻擊特征庫。這項訂閱服務可以在發(fā)現(xiàn)最新威脅的當天就可以拿到攻擊特征，確保安全測試能夠在剛一發(fā)現(xiàn)新的威脅后立即進行。

●C1AttackDesigner：使內部的QA或IT人員無需花費大量的時間進行單調乏味的編程，就可生成或重現(xiàn)威脅。直觀的用戶界面使得威脅和攻擊可以通過簡單的描述來開發(fā)。生成威脅的不同變種的過程得到了優(yōu)化，威脅文件可以由C1專用設備執(zhí)行或者保存在數(shù)據(jù)庫中。

（2）IPSec/SSL測試

通過測試工具模擬IPSec和SSL安全加密系統(tǒng)，幫助網(wǎng)絡管理員盡早發(fā)現(xiàn)網(wǎng)絡安全方案存在的問題。

C1在IPSec測試具有以下特點：

●在加密通道上提供真實的應用流量，實現(xiàn)真正的用戶體驗。

●通過完整的通道控制幫助用戶快速識別最佳的產品部署。

●IPv6和IPv4支持。

●通過收發(fā)高性能應用流量，幫助發(fā)現(xiàn)網(wǎng)關的真實的運行級別。

●全面的統(tǒng)計和分析。

IPSec控制面（ControlPlane）性能測試：

●并發(fā)隧道數(shù)、每秒鐘新建隧道數(shù)。

●支持Site-to-Site和RemoteAccess測試。

●支持多種加密算法：DES、3DEC、AES（128、192 &256）和Null。

●支持ESP（Encapsulating Security Payload）和TunnelMode。

●支持HMAC-MD5&SHA-1IKE協(xié)議支持。

●支持IKEv1和IKEv2測試。

IPSec數(shù)據(jù)面（DataPlane）性能測試：

●所有直接支持的應用層流量可以運行在IPSec隧道中。

●所有SAPEE模擬的私有協(xié)議可以運行在IPSec隧道中。

●攻擊流量可以運行在IPSec隧道中。

C1在SSL測試具有以下特點：

●與真實的Web應用程序服務器的深度的URL互動。

●每秒1000個連接。

●在同一端口和鏈路上測試真實的HTTP、HTTPS 和FTP代理。

●測試真實或仿真的SSL應用。

●支持超過25種加密算法：SSLv2、SSLv3、TLS。

●精細的證書控制。

●IPv4/IPv6支持。

（3）防火墻及APP分發(fā)控制器測試

防火墻測試，使用混合流量，測試防火墻政策。

●IP吞吐量。

●DoS處理。

●HTTP轉發(fā)速率。

●最大HTTP傳輸速率。

●非法流量處理。

●IP分片處理。

●時延。