網貸系統安全方法解析

admin ??????2018-01-15??????來源:未知

       沒有絕對安全互聯網金融網貸系統;越是吹噓安全的系統,越是不安全的【也是吹噓投資資金絕對安全的P2P平臺,越可能是騙子平臺】。

  錯誤觀點1:C/S結構的后臺管理系統比B/S的要安全。

網貸系統
 

  解釋

  C/S又稱Client/Server或客戶/服務器模式。服務器通常采用高性能PC、工作站或小型機。客戶端需要安裝專用的客戶端軟件。

  B/S是Brower/Server的縮寫,客戶機只需要要安裝瀏覽器。

  互聯網金融的核心是互聯網+金融,該特性決定了安全方面主要來自于互聯網,也就是說只要是互聯網網貸系統,就有黑客所需的入口。入口來自于三方面:服務器的操作系統;展現給投資人網貸系統;系統所采用的開發技術。后臺管理系統采用什么樣的結構不影響黑客的攻擊成本,除非整個系統才采用C/S結構(這就不是P2P系統了)。

  服務器的操作系統:現在的操作系統或多或少都有安全漏洞,特別是Windows的系統。

  展現給投資人網貸系統:每個網貸系統,都會給使用者提供所需畫面,讓使用者輸入相關的信息,上傳所需文件等,這就為客戶攻擊提供了入口了。木馬病毒的侵入,一般就是通過該入口進入的。

  錯誤觀點2:軟件系統經過安全測試,就是安全的了,可以高枕無憂了。

  解釋

  安全測試是必不可少的一個測試過程。但是現在安全測試大多數只是給運營者一個心里安慰,如果說經過安全測試公司測試后,就認為沒有安全問題了,那么就是自欺欺人了。安全涉及到方方面面的事情,不單涉及到軟件問題;還有硬件問題;還有操作人員的問題。特別是平臺的工作人員,最常范的問題就是把登陸用戶名和密碼設定的特別簡單,而且密碼和用戶名特別相近。

網貸系統
 

  下面的知識來源于前人經驗總結

  N1安全方面的需求

  一業務邏輯安全需求

  身份認證需求

  在雙方進行交易前,首先要能確認對方的身份,要求交易雙方的身份不能被假冒或偽裝。同時客戶端容易感染木馬病毒,普通的靜態密碼認證已不能滿足網貸系統的安全需求。P2P系統需要更有效的身份認證系統,所以盡量接入動態驗證系統。

  訪問控制需求

  訪問控制是P2P系統安全子系統中的核心安全策略,對關鍵網絡、系統和數據的訪問必須得到有效的控制,這就要求網貸系統能夠確認訪問者的身份,謹慎授,并對任何訪問進行跟蹤記錄。寫好Log文件是P2P系統開發的一項要求。

  交易重復提交控制需求

  交易重復提交就是同一個交易被多次提交給P2P網貸系統。查詢類的交易被重復提交將會無故占用更多的系統資源,而管理類或金融類的交易被重復提交后,后果則會嚴重的多。交易被重復提交可能是無意的,也有可能是蓄意的攻擊。P2P系統安全子系統必須對管理類和金融類交易提交的次數進行控制,這種控制即要有效的杜絕用戶的誤操作,還不能影響用戶正常情況下對某個交易的多次提交。
 

網貸系統
 

  二數據安全需求

  數據保密性需求

  數據保密性要求數據只能由授權實體存取和識別,防止非授權泄露。要對敏感重要的商業信息進行加密,即使別人截獲或竊取了數據,也無法識別信息的真實內容,這樣就可以使商業機密信息難以被泄露。從目前國內P2P系統應用的安全案例統計數據來看,數據保密性需求主要體現在以下幾個方面:

  客戶端與P2P系統交互時輸入的各類密碼:包括網貸系統登錄密碼、轉賬密碼、憑證查詢密碼等必須加密傳輸及存放,這些密碼在P2P系統中只能以密文的方式存在,其明文形式能且只能由其合法主體能夠識別。

  P2P網貸系統與其它系統進行數據交換時必須進行端對端的加解密處理。這里的數據加密主要是為了防止交易數據被銀行內部人士截取利用。

  數據完整性需求

  數據完整性要求防止非授權實體對數據進行非法修改。交易各方能夠驗證收到的信息是否完整,即信息是否被人篡改過,或者在數據傳輸過程中是否出現信息丟失、信息重復等差錯。通常P2P系統中有兩個地方需要對數據進行完整性檢查:一是P2P用戶提交交易數據簽名時;另一種是P2P系統與該行其它系統進行通訊時,需要檢查報文的完整性。

  數據可用性需求

  數據可用性要求數據對于授權實體是有效、可用的,保證授權實體對數據的合法存取權利。對數據可用性最典型的攻擊就是拒絕式攻擊和分布式拒絕攻擊,兩者都是通過大量并發的惡意請求來占用系統資源,致使合法用戶無法正常訪問目標系統。
 

網貸系統
 

  P2P網貸系統可用性需求體現在以下幾個方面:

  并發用戶/并發連接。

  同時在線人數。

  中斷允許的最大時間。

  對網貸系統的訪問時間的要求。

  ?數據不可偽造性需求。

  電子交易文件要能做到不可修改。

  數據不可抵賴性需求

  在電子交易通信過程的各個環節中都必須是不可否認的,即交易一旦達成,發送方不能否認他發送的信息,接收方則不能否認他所收到的信息。

  N2安全網貸系統的架構

  PPDRR安全模型

網貸系統


  構建完善的安全系統解決方案,安全模型的選擇至關重要。PDR模型是由ISS公司最早提出的入侵檢測的一種模型。PDR是防護(Protection)、檢測(Detection)和響應(Response)的縮寫。三者構成了一個首尾相接的環,也即“防護->檢測->響應->防護”的一個循環。PDR模型有很多變體,在銀行網絡中最著名的是PPDRR模型。增加了策略(Policy)和恢復(Recovery)。PPDRR模型是典型的、公認的安全模型。它是一種動態的、自適應的安全模型,可適應安全風險和安全需求的不斷變化,提供持續的安全保障。

  PPDRR模型包括策略、防護、檢測、響應和恢復5個主要部分。防護、檢測、響應和恢復構成一個完整的、動態的安全循環,在PPDRR模型安全策略的指導下共同實現安全保障,如下圖所示。

  安全系統網絡拓撲圖

  以PPDRR安全模型為基礎設計的P2P安全系統網絡拓撲圖如下圖所示:

  通過拓撲圖可以看出,整個網絡系統通過三道防火墻劃分為四個邏輯區域。按由外到內的順序部署。最外層為是Internet區(非授信區),為P2P用戶客戶端接入區域;第一道防火墻和第二道防火墻之間是隔離區(DMZ),在此區域中部署RA服務器以及P2P系統的Web服務器等其它第三方應用系統;第二道防火墻和第三道防火墻之間是應用區,是P2P系統的應用/DB區,在此區域中部署P2P系統的應用服務器和數據庫服務器;第三道防火墻之后為銀行的核心系統、中間業務平臺等第三方業務系統。在隔離區和應用區的Web服務器,應用服務器和數據庫服務器都會有相應的雙機熱備方案。

  安全策略

  安全策略是整個安全體系的基礎。構建安全系統需要工程師來操作,這就需要建立健全的規章制度和操作規范,使保護、檢測、響應和恢復環節行之有效。

  一般的安全網貸系統需要以下規章制度和操作規范:設備管理制度,機房管理制度,系統安全管理守則和明細,網絡安全管理守則和明細,應用安全管理守則和明細,應急響應計劃,災難恢復計劃等。

  安全防護方案

  身份認證網貸系統

  權限控制網貸系統
 

網貸系統
 

  邊界控制

  防病毒網關

  傳輸加密

  安全的操作網貸系統

  安全檢測方案

  入侵檢測網貸系統

  入侵檢測可以作為傳統防火墻的輔助方案,可以根據入侵檢測的結果進行防護、響應和恢復。入侵檢測系統(Intrusion Detection System,簡稱IDS)是采用相對應的入侵檢測軟件和硬件的集成。采用基于網絡的入侵檢測產品(NIDS)實時監控公共網絡和銀行網絡間的通信,捕獲網絡入侵;采用基于主機的入侵檢測產品(HIDS)監測服務器會話數據流和系統審計日志以捕獲主機入侵。

  狀態監測系統

  部署網絡和主機的監控網貸系統,監控網絡和主機的運行狀態,可以實時反映P2P系統的性能,以及時做出相應的措施。

  安全審計系統

  在設置防火墻和入侵檢測網貸系統的同時,仍需要對網絡銀行輸入輸出的信息數據需要進行審查核實,防止敏感信息數據的泄露。在整個網絡系統的各個單元中設置安全審計,從軟硬件各方面入手發現安全漏洞,包括數據的安全與操作的安全等。

  安全恢復方案

  P2P網貸系統的用戶量大,訪問和數據的流量也相應增加。所以目前的網絡銀行系統多會采用負載平衡策略。負載平衡的算法有多種,包括依序,比重,流量比例,自動分配等。對于應用IBM WebSphere ApplicationServer作為應用服務器的網絡銀行系統多采用比重算法進行自動分配請求。

  此處講的雙機熱備多指基于高可用網貸系統的兩臺服務器的熱備,包括頁面服務器,應用服務器和數據庫服務器等。其中頁面服務器和應用服務器多配置為群,可采用雙主機方式(Active-Active方式)。數據庫服務可以采用主-備方式(Active-Standby方式)。

掃一掃“現金萬家P2P投資理財網”,微信貸款秒到賬!

點擊菜單“在線秒批”,三步即可快速完成貸款,選擇多、到賬快、額度高、手續簡便。
微信公眾號:現金萬家管家(haha123456)
【原創聲明】凡注明“來源:現金萬家P2P投資理財網”的文章,系本站原創,任何單位或個人未經本站書面授權不得轉載、鏈接、轉貼或以其他方式復制發表。否則,本站將依法追究其法律責任。
理財有風險,投資需謹慎
風險提示:現金萬家P2P投資理財網作為理財產品門戶進行信息發布,不對任何投資人及/或任何交易提供任何擔保,無論是明示、默示或法定的。現金萬家P2P投資理財網提供的各種信息及資料(包括但不限于文字、數據、圖表及超鏈接)僅供參考(如:歷史或預期收益不代表實際收益),不作為任何法律文件,亦不構成任何邀約、投資建議或承諾,投資人應依其獨立判斷做出決策。投資人據此進行投資交易而產生的風險等后果請自行承擔,現金萬家P2P投資理財網不承擔任何責任。
  • 服務支持
  • 商務合作熱線:
    000-000-0000
  • 微信公眾號
  • 新浪微博
現金萬家P2P投資理財網?版權所有???2014-2017??粵ICP備8914516號?? Power by DedeCms??
大乐透历史跨度最小