金融网络安全测试方案

思博伦通信

思博伦技术专栏

金融网络安全测试方案

思博伦通信

编者按：金融行业网络系统的建设，提高了金融业务处理的水平，改善了金融行业的经营环境，增强了金融信息的可靠性，促进了各项新业务的开展。现今各金融机构为了提高自己的竞争优势，争取更大的经济效益，纷纷在改进服务手段、增强服务功能、完善业务品种、提高服务效率等方面做了大量的工作。但这还不够，要达到这一目标还必须通过金融电子化，利用高科技手段来提升自己的工作效率。金融行业业务的正常动作均需依赖网络的畅通与可靠运行，网络的稳定与安全已真正成为金融业正常运转的首要条件。因此，金融业网络安全的正常可靠运行，离不开仿真真实环境的网络安全测试。思博伦通信的《金融网络安全测试方案》一文介绍了金融网络安全面临的挑战及需求分析，提出了金融网络安全测试方案。

1 引言

金融业已经成为信息技术和网络技术发展的最大受益者之一。金融行业网络系统的建设，提高了金融业务处理的水平，改善了金融行业的经营环境，增强了金融信息的可靠性，促进了各项新业务的开展。现今各金融机构为了提高自己的竞争优势，争取更大的经济效益，纷纷在改进服务手段、增加服务功能、完善业务品种、提高服务效率等方面做了大量的工作。

但这还不够，要达到这一目标还必须通过金融电子化，利用高科技手段来提升自己的工作效率。商业银行客户的业务系统一般包括核心应用系统、网上银行系统、办公系统、监控系统、认证系统等；证券基金客户的业务系统包括网上交易查询系统、银行结算系统、办公系统和门户网站等；保险行业客户业务系统包括CRM系统、核心业务系统、保单管理系统、财务系统等。这些业务的正常运作均需依赖网络的畅通与可靠运行，网络的稳定与安全已真正成为金融业正常运转的首要条件。

因此，金融业网络安全的正常可靠运行，离不开仿真真实环境的网络安全测试。

2 面临的挑战及需求分析

2.1 面临的挑战

随着金融服务的多样化和金融业务应用不断增多，网络安全风险也日益暴露出来。

金融企业网络安全的风险来自多个方面：

（1）来自互联网的风险。网上银行、电子商务、网上交易系统都是通过Internet并且都与金融系统发生关系，金融系统网络如果与Internet互联，那么由于Internet自身的广泛性、自由性等特点，像银行、证券和保险这样的金融系统自然会被入侵者列入其攻击目标的前列。

（2）来自外联单位的风险。金融系统为了竞争，已不仅仅是局限在本系统纵向上做文章，而是逐步横向发展，主要表现在银行不断增加中间业务，增加服务功能。例如，代收电话费、水电费、代收保险费、证券转账等业务。因此，就与电信局、水电公司、保险公司、证券交易所等单位网络互联。由于银行与这些单位之间并不是完全任信关系，因此它们之间的互联，也使得金融网络系统存在着来自外联单位的安全威胁和安全隐患。

（3）来自不信任域的风险。大部分金融系统都发展到全国联网，系统分布在全国各地，范围较广，而且各级银行也都是独立核算单位，因此对每一个区域银行来说，其它区域银行都可能是不信任的，同样存在安全威胁。

（4）来自内部网的风险。据统计，大多数网络安全事件、攻击来自于内部，如果内部安全管理措施不到位，极易发生内部攻击事件。

2.2 需求分析

（1）大型商业银行

中国的大型商业银行包括国有和地方商业银行，这些大型商业银行的金融电子化水平在同行业居领先地位，电子化网点覆盖率非常高。正是这些商业银行在多个领域的不断发展，使得现有的网络体系结构越来越复杂。在网络结构复杂的同时，暴露了不少的安全隐患。如何使得业务的高速推进与网络安全并驾齐驱，成了越来越热门的话题。

为了避免各种各样的利用计算机网络进行犯罪的刑事案件的发生，以及在系统遭到攻击中及时做出响应、系统遭到破坏后如何减少损失，设计一整套金融网络安全体系成了中国大型商业银行现在最迫切的需求。

（2）证券企业

随着电脑、网络应用的普及，以及证券市场的发展和成熟，网上交易委托将会成为股票交易中一个举足轻重的方式。在这种完全不同于以往的交易方式中，各个证券公司的差别减小，其差异更多地体现在对网络交易安全的高要求上。这就需要对营业部和证券公司总部的信息网络系统进行保护，同时对于网上交易的门户网站需要防御外来的攻击和蓄意的破坏，各营业部与总部、营业部与营业部之间信息的传递需要通过VPN来保障信息传递的安全，从而全面实现网上交易的信息安全。

（3）保险公司

随着网络技术的迅猛发展，现在世界上几乎所有的保险业巨头都看到了网络发展中所蕴藏的无限商机，把目光都投向了Internet和电子商务。一种全新的理念——网络保险应运而生。网络保险是指保险企业通过网络开展电子商务，如通过Internet买卖保险产品和提供服务。保险公司有着自己的商业机密，同时还掌握着大量保户的资料，如何保护数据和网络系统不受到非法侵人，已成为发展网络保险在技术上的难题。目前，威胁到保险网络系统的安全主要包括：业务信息安全，即信息的保密性、完整性、真实性和不可否认性；保险网络系统运行安全；保险网络环境安全；信息传输安全等。在我国网络技术水平不如欧美国家的情况下，如何开发出适合我国网络保险发展需要又与国际标准相一致的网络技术，已成为迫在眉睫的问题。

综上所述，金融业作为对网络系统的安全性、实时性、不间断性、高可靠性、可用性等要求更为苛刻的行业，采用什么解决方案能更好地保护银行金融网络呢？不同的安全厂商有不同的解决方案，包括部署防火墙、IPS/IDS、Web应用防火墙、VPN、防病毒网关等，但这些在实施上线后银行业务还是受到不同程度的攻击和破坏，从而造成不少经济和信誉上的损失。

因此，在系统上线之前，通过使用测试工具模拟这些多种真实的网络攻击，可帮助网络管理员尽早发现网络安全可能存在的问题。

3 金融网络安全测试方案

（1）方案介绍

思博伦C1网络安全测试解决方案可以仿真当今世界复杂的网络环境、各种各样的应用或网络攻击，确保在真实的网络环境下能提供高质量的产品和服务。C1测试解决方案能够仿真不同的错误状况、真实的用户行为以及100多万不同IP地址的网络连接，精确重现了真实的网络环境。即使是世界上最大的网络基础设施，C1测试解决方案也能满足其需求，并且为网络设备制造商、服务提供商、企业和网站管理者提供任何状况下网络的真实性和可控性。C1测试解决方案要求任何计算架构的能力能满足真实网络的负载和复杂度。

C1测试解决方案在测试实验室现实网络、用户和用户以及网络攻击的真实性，而真实性正是C1测试解决方案架构的核心。

●用户真实性：C1测试解决方案能够仿真数百万计真实并发用户的行为，包括等待时间、点击操作、用户受挫行为、不同的浏览器版本、不同的SSL版本之间的差别以及与静态或动态网站和代理的交互认证等。

●网络真实性：C1测试解决方案能够生成大量的流量来模拟大型网络（包括因特网）。这些真实的流量包含各种不同种类的网络和应用协议，同时能够再现网络中的常见问题，如非对称的宽带网络连接、数据包丢失、IP包损坏、大型连接池和仿真的网络攻击等。

●应用真实性：C1测试解决方案提供大量真实的、有状态的Web2.0数据流。C1测试解决方案将应用真实性扩展到了支持CIFS以及其他更深层次协议支持功能的高级内容领域。此外，C1测试解决方案为自定义的数据流提供了一个规模可控的应用协议仿真引擎，还为漏洞评估测试提供了一个攻击数据库。C1测试解决方案是唯一的能够产生真实、高速、有状态和应用感知流量的测试解决方案，用于确定大型网络和应用基础设施的端到端性能。

●攻击真实性：C1测试解决方案可以提供超过7000种以上的攻击类型，而且不断更新，具体包括：模拟DDoS/DoS攻击；模拟口令破解等解码攻击行为；模拟恶意代码和后门程序的攻击行为；模拟操作系统漏洞渗透攻击行为；模拟缓冲区溢出类攻击行为；模拟蠕虫攻击；模拟各种类型病毒；模拟VoIP攻击；能够支持有状态和无状态的攻击发起；能够模拟电子邮件攻击，包括发送带病毒附件的电子邮件等；能够支持对各种攻击的混合发送，可以设置发送比例，以模拟网络上真实的攻击状况；将各种攻击流量和正常背景流量混合后通过一个端口发送，模拟真实的网络攻击行为。所提供的攻击手法要提供相应的标准组织编号（如CVEID、BugTraqID等），以便于参考。

此外，C1测试方案还具有以下的特性：

多种协议支持：C1支持所有主要的协议，包括HTTP1.0/1.1、HTTPS（SSL）、FTP、流媒体、电子邮件（SMTP、POP3、IMAP4）、DNS、Telnet、802.1Q VLAN Tagging和SIP。基于宽带的协议支持使得您可以正确地测试对性能敏感的网络行为，诸如：

电子商务：使用浏览器Cookie、SessionID、HTTP Post和SSL加密数据流，生成真实的Web数据流。

邮件：支持SMTP、POP3和IMAP4，您可以模拟大量发送和接收消息的用户。该系统与所有主要的邮件服务器兼容，并且支持对邮件附件（包括合法的文档和病毒）进行模拟和分析。

文件传输：C1对FTP的支持允许您模拟大量用户获取和上传文件，文件大小范围从1kB到1GB，甚至更大。支持Active和Passive模式。

网络延迟、数据包丢失和分片：C1包含模拟用户连接中延时的高精度延时参数。可精确仿真非对称宽带连接（以高速上行数据流、低速下行数据流移动）。用户可以模拟数据包丢失水平，也可以指定降低性能的数据包分片，包括模拟顺序分片、丢失的分片、甚至逆序分片。

TCP/IP协议栈特征：C1提供对TCP/IP栈特征的控制，诸如最大分段长度、延时ACK、IP分片和TCP超时行为。这些能力使您可以仿真不同的网络环境，并且面对不同类型的TCP行为调整您的设备或基础设施。

4 测试拓扑

（1）测试网络应用和服务

C1可模拟数百万的并发客户，通过Internet访问网上银行网站。测试拓扑如图1所示。

在此拓扑中，可以将网上银行网站作为一个整体进行评估，即整个网站被看成一个“黑盒”。也可以在发现整体出现问题后，采用隔离法对网站中的某个或某几个组件进行单独排查测试。例如，测试系统中的缓存设备对某些页面是否有效；在面对海量、具有混杂行为的用户时，响应成功率的下降原因等。

C1模拟网上银行实现的过程如下：

抓取真实浏览器用户在网上银行登录过程的URL，URL中包含注册、登陆、查询账户等信息。

图1 测试拓扑图

将抓取的URL导入到C1模拟的客户段的Action List中，并根据需要进行修改，如从C1的数据库中顺序提取1万个不同的用户/密码用于登陆。

C1模拟的客户端可仿真不同的浏览器及不同的版本。支持Cookie，并可与SSL结合用于加密访问。

C1中的ActionList被顺序执行，并支持条件判断等，用于网站返回值的验证。

（2）测试网络安全设备

C1同时模拟客户端和服务器，测试各种网络安去设备，包括防火墙、负载均衡器、IPS、防病毒网关和VPN等。在此测试拓扑，能够验证被测设备的性能和功能。

5 测试内容

金融业务系统和网络安全设备不论是在上线之前，还是上线后的调优测试，负载测试都是至关重要的。通常，可按需进行如下的测试：

（1）网络攻击防御能力

通过思博伦安全测试解决方案，验证企业网络入侵防御系统（IPS）和分布式拒绝服务（DDoS）防御系统的防御能力。不仅能证实数据是否受到保护，没有被篡改、破坏或泄露，而且还证明服务性能在各种运行和攻击条件下能否得到保持。

除了C1硬件设备外，C1安全解决方案还包括两个关键组件：

●C1KnowledgeBase（知识库）：提供可以运行在C1平台上进行安全漏洞测试的攻击特征库。这项订阅服务可以在发现最新威胁的当天就可以拿到攻击特征，确保安全测试能够在刚一发现新的威胁后立即进行。

●C1AttackDesigner：使内部的QA或IT人员无需花费大量的时间进行单调乏味的编程，就可生成或重现威胁。直观的用户界面使得威胁和攻击可以通过简单的描述来开发。生成威胁的不同变种的过程得到了优化，威胁文件可以由C1专用设备执行或者保存在数据库中。

（2）IPSec/SSL测试

通过测试工具模拟IPSec和SSL安全加密系统，帮助网络管理员尽早发现网络安全方案存在的问题。

C1在IPSec测试具有以下特点：

●在加密通道上提供真实的应用流量，实现真正的用户体验。

●通过完整的通道控制帮助用户快速识别最佳的产品部署。

●IPv6和IPv4支持。

●通过收发高性能应用流量，帮助发现网关的真实的运行级别。

●全面的统计和分析。

IPSec控制面（ControlPlane）性能测试：

●并发隧道数、每秒钟新建隧道数。

●支持Site-to-Site和RemoteAccess测试。

●支持多种加密算法：DES、3DEC、AES（128、192 &256）和Null。

●支持ESP（Encapsulating Security Payload）和TunnelMode。

●支持HMAC-MD5&SHA-1IKE协议支持。

●支持IKEv1和IKEv2测试。

IPSec数据面（DataPlane）性能测试：

●所有直接支持的应用层流量可以运行在IPSec隧道中。

●所有SAPEE模拟的私有协议可以运行在IPSec隧道中。

●攻击流量可以运行在IPSec隧道中。

C1在SSL测试具有以下特点：

●与真实的Web应用程序服务器的深度的URL互动。

●每秒1000个连接。

●在同一端口和链路上测试真实的HTTP、HTTPS 和FTP代理。

●测试真实或仿真的SSL应用。

●支持超过25种加密算法：SSLv2、SSLv3、TLS。

●精细的证书控制。

●IPv4/IPv6支持。

（3）防火墙及APP分发控制器测试

防火墙测试，使用混合流量，测试防火墙政策。

●IP吞吐量。

●DoS处理。

●HTTP转发速率。

●最大HTTP传输速率。

●非法流量处理。

●IP分片处理。

●时延。