网贷系统安全方法解析

admin       2018-01-15      来源:未知

       没有绝对安全互联网金融网贷系统;越是吹嘘安全的系统,越是不安全的【也是吹嘘投资资金绝对安全的P2P平台,越可能是骗子平台】。

  错误观点1:C/S结构的后台管理系统比B/S的要安全。

网贷系统
 

  解释

  C/S又称Client/Server或客户/服务器模式。服务器通常采用高性能PC、工作站或小型机。客户端需要安装专用的客户端软件。

  B/S是Brower/Server的缩写,客户机只需要要安装浏览器。

  互联网金融的核心是互联网+金融,该特性决定了安全方面主要来自于互联网,也就是说只要是互联网网贷系统,就有黑客所需的入口。入口来自于三方面:服务器的操作系统;展现给投资人网贷系统;系统所采用的开发技术。后台管理系统采用什么样的结构不影响黑客的攻击成本,除非整个系统才采用C/S结构(这就不是P2P系统了)。

  服务器的操作系统:现在的操作系统或多或少都有安全漏洞,特别是Windows的系统。

  展现给投资人网贷系统:每个网贷系统,都会给使用者提供所需画面,让使用者输入相关的信息,上传所需文件等,这就为客户攻击提供了入口了。木马病毒的侵入,一般就是通过该入口进入的。

  错误观点2:软件系统经过安全测试,就是安全的了,可以高枕无忧了。

  解释

  安全测试是必不可少的一个测试过程。但是现在安全测试大多数只是给运营者一个心里安慰,如果说经过安全测试公司测试后,就认为没有安全问题了,那么就是自欺欺人了。安全涉及到方方面面的事情,不单涉及到软件问题;还有硬件问题;还有操作人员的问题。特别是平台的工作人员,最常范的问题就是把登陆用户名和密码设定的特别简单,而且密码和用户名特别相近。

网贷系统
 

  下面的知识来源于前人经验总结

  N1安全方面的需求

  一业务逻辑安全需求

  身份认证需求

  在双方进行交易前,首先要能确认对方的身份,要求交易双方的身份不能被假冒或伪装。同时客户端容易感染木马病毒,普通的静态密码认证已不能满足网贷系统的安全需求。P2P系统需要更有效的身份认证系统,所以尽量接入动态验证系统。

  访问控制需求

  访问控制是P2P系统安全子系统中的核心安全策略,对关键网络、系统和数据的访问必须得到有效的控制,这就要求网贷系统能够确认访问者的身份,谨慎授,并对任何访问进行跟踪记录。写好Log文件是P2P系统开发的一项要求。

  交易重复提交控制需求

  交易重复提交就是同一个交易被多次提交给P2P网贷系统。查询类的交易被重复提交将会无故占用更多的系统资源,而管理类或金融类的交易被重复提交后,后果则会严重的多。交易被重复提交可能是无意的,也有可能是蓄意的攻击。P2P系统安全子系统必须对管理类和金融类交易提交的次数进行控制,这种控制即要有效的杜绝用户的误操作,还不能影响用户正常情况下对某个交易的多次提交。
 

网贷系统
 

  二数据安全需求

  数据保密性需求

  数据保密性要求数据只能由授权实体存取和识别,防止非授权泄露。要对敏感重要的商业信息进行加密,即使别人截获或窃取了数据,也无法识别信息的真实内容,这样就可以使商业机密信息难以被泄露。从目前国内P2P系统应用的安全案例统计数据来看,数据保密性需求主要体现在以下几个方面:

  客户端与P2P系统交互时输入的各类密码:包括网贷系统登录密码、转账密码、凭证查询密码等必须加密传输及存放,这些密码在P2P系统中只能以密文的方式存在,其明文形式能且只能由其合法主体能够识别。

  P2P网贷系统与其它系统进行数据交换时必须进行端对端的加解密处理。这里的数据加密主要是为了防止交易数据被银行内部人士截取利用。

  数据完整性需求

  数据完整性要求防止非授权实体对数据进行非法修改。交易各方能够验证收到的信息是否完整,即信息是否被人篡改过,或者在数据传输过程中是否出现信息丢失、信息重复等差错。通常P2P系统中有两个地方需要对数据进行完整性检查:一是P2P用户提交交易数据签名时;另一种是P2P系统与该行其它系统进行通讯时,需要检查报文的完整性。

  数据可用性需求

  数据可用性要求数据对于授权实体是有效、可用的,保证授权实体对数据的合法存取权利。对数据可用性最典型的攻击就是拒绝式攻击和分布式拒绝攻击,两者都是通过大量并发的恶意请求来占用系统资源,致使合法用户无法正常访问目标系统。
 

网贷系统
 

  P2P网贷系统可用性需求体现在以下几个方面:

  并发用户/并发连接。

  同时在线人数。

  中断允许的最大时间。

  对网贷系统的访问时间的要求。

  —数据不可伪造性需求。

  电子交易文件要能做到不可修改。

  数据不可抵赖性需求

  在电子交易通信过程的各个环节中都必须是不可否认的,即交易一旦达成,发送方不能否认他发送的信息,接收方则不能否认他所收到的信息。

  N2安全网贷系统的架构

  PPDRR安全模型

网贷系统


  构建完善的安全系统解决方案,安全模型的选择至关重要。PDR模型是由ISS公司最早提出的入侵检测的一种模型。PDR是防护(Protection)、检测(Detection)和响应(Response)的缩写。三者构成了一个首尾相接的环,也即“防护->检测->响应->防护”的一个循环。PDR模型有很多变体,在银行网络中最著名的是PPDRR模型。增加了策略(Policy)和恢复(Recovery)。PPDRR模型是典型的、公认的安全模型。它是一种动态的、自适应的安全模型,可适应安全风险和安全需求的不断变化,提供持续的安全保障。

  PPDRR模型包括策略、防护、检测、响应和恢复5个主要部分。防护、检测、响应和恢复构成一个完整的、动态的安全循环,在PPDRR模型安全策略的指导下共同实现安全保障,如下图所示。

  安全系统网络拓扑图

  以PPDRR安全模型为基础设计的P2P安全系统网络拓扑图如下图所示:

  通过拓扑图可以看出,整个网络系统通过三道防火墙划分为四个逻辑区域。按由外到内的顺序部署。最外层为是Internet区(非授信区),为P2P用户客户端接入区域;第一道防火墙和第二道防火墙之间是隔离区(DMZ),在此区域中部署RA服务器以及P2P系统的Web服务器等其它第三方应用系统;第二道防火墙和第三道防火墙之间是应用区,是P2P系统的应用/DB区,在此区域中部署P2P系统的应用服务器和数据库服务器;第三道防火墙之后为银行的核心系统、中间业务平台等第三方业务系统。在隔离区和应用区的Web服务器,应用服务器和数据库服务器都会有相应的双机热备方案。

  安全策略

  安全策略是整个安全体系的基础。构建安全系统需要工程师来操作,这就需要建立健全的规章制度和操作规范,使保护、检测、响应和恢复环节行之有效。

  一般的安全网贷系统需要以下规章制度和操作规范:设备管理制度,机房管理制度,系统安全管理守则和明细,网络安全管理守则和明细,应用安全管理守则和明细,应急响应计划,灾难恢复计划等。

  安全防护方案

  身份认证网贷系统

  权限控制网贷系统
 

网贷系统
 

  边界控制

  防病毒网关

  传输加密

  安全的操作网贷系统

  安全检测方案

  入侵检测网贷系统

  入侵检测可以作为传统防火墙的辅助方案,可以根据入侵检测的结果进行防护、响应和恢复。入侵检测系统(Intrusion Detection System,简称IDS)是采用相对应的入侵检测软件和硬件的集成。采用基于网络的入侵检测产品(NIDS)实时监控公共网络和银行网络间的通信,捕获网络入侵;采用基于主机的入侵检测产品(HIDS)监测服务器会话数据流和系统审计日志以捕获主机入侵。

  状态监测系统

  部署网络和主机的监控网贷系统,监控网络和主机的运行状态,可以实时反映P2P系统的性能,以及时做出相应的措施。

  安全审计系统

  在设置防火墙和入侵检测网贷系统的同时,仍需要对网络银行输入输出的信息数据需要进行审查核实,防止敏感信息数据的泄露。在整个网络系统的各个单元中设置安全审计,从软硬件各方面入手发现安全漏洞,包括数据的安全与操作的安全等。

  安全恢复方案

  P2P网贷系统的用户量大,访问和数据的流量也相应增加。所以目前的网络银行系统多会采用负载平衡策略。负载平衡的算法有多种,包括依序,比重,流量比例,自动分配等。对于应用IBM WebSphere ApplicationServer作为应用服务器的网络银行系统多采用比重算法进行自动分配请求。

  此处讲的双机热备多指基于高可用网贷系统的两台服务器的热备,包括页面服务器,应用服务器和数据库服务器等。其中页面服务器和应用服务器多配置为群,可采用双主机方式(Active-Active方式)。数据库服务可以采用主-备方式(Active-Standby方式)。

关键字:网贷系统
本文地址: 现金万家P2P投资理财网 /kuaixun/wangdai/1306.html

扫一扫“现金万家P2P投资理财网”,微信贷款秒到账!

点击菜单“在线秒批”,三步即可快速完成贷款,选择多、到账快、额度高、手续简便。
微信公众号:现金万家管家(haha123456)
【原创声明】凡注明“来源:现金万家P2P投资理财网”的文章,系本站原创,任何单位或个人未经本站书面授权不得转载、链接、转贴或以其他方式复制发表。否则,本站将依法追究其法律责任。
理财有风险,投资需谨慎
风险提示:现金万家P2P投资理财网作为理财产品门户进行信息发布,不对任何投资人及/或任何交易提供任何担保,无论是明示、默示或法定的。现金万家P2P投资理财网提供的各种信息及资料(包括但不限于文字、数据、图表及超链接)仅供参考(如:历史或预期收益不代表实际收益),不作为任何法律文件,亦不构成任何邀约、投资建议或承诺,投资人应依其独立判断做出决策。投资人据此进行投资交易而产生的风险等后果请自行承担,现金万家P2P投资理财网不承担任何责任。
  • 服务支持
  • 商务合作热线:
    000-000-0000
  • 微信公众号
  • 新浪微博
现金万家P2P投资理财网 版权所有 © 2014-2017  粤ICP备8914516号   Power by DedeCms