【正文】 第二章 系統(tǒng)安全的需求分析本章從數(shù)據(jù)安全和業(yè)務(wù)邏輯安全兩個(gè)角度對應(yīng)用系統(tǒng)的安全進(jìn)行需求分析，主要包括保密性需求、完整性需求、可用性需求三部分；隨后對業(yè)務(wù)邏輯安全需求進(jìn)行了分析，包括身份認(rèn)證、訪問控制、交易重復(fù)提交控制、異步交易處理、交易數(shù)據(jù)不可否認(rèn)性、監(jiān)控與審計(jì)等幾個(gè)方面；最后還分析了系統(tǒng)中一些其它的安全需求。 數(shù)據(jù)安全需求 數(shù)據(jù)保密性需求數(shù)據(jù)保密性要求數(shù)據(jù)只能由授權(quán)實(shí)體存取和識別，防止非授權(quán)泄露。從目前國內(nèi)應(yīng)用的安全案例統(tǒng)計(jì)數(shù)據(jù)來看，數(shù)據(jù)保密性是最易受到攻擊的一個(gè)方面，通常表現(xiàn)為客戶端發(fā)生的數(shù)據(jù)泄密，包括用戶的基本信息、賬戶信息、登錄信息等的泄露。在應(yīng)用系統(tǒng)中，數(shù)據(jù)保密性需求通常主要體現(xiàn)在以下幾個(gè)方面：A．客戶端與系統(tǒng)交互時(shí)輸入的各類密碼：包括系統(tǒng)登錄密碼、轉(zhuǎn)賬密碼、憑證查詢密碼、憑證交易密碼等必須加密傳輸及存放，這些密碼在應(yīng)用系統(tǒng)中只能以密文的方式存在，其明文形式能且只能由其合法主體能夠識別。以網(wǎng)銀系統(tǒng)為例，在網(wǎng)銀系統(tǒng)中，通常存有四種密碼：系統(tǒng)登錄密碼、網(wǎng)銀轉(zhuǎn)賬密碼、柜面交易密碼及一次性密碼。系統(tǒng)登錄密碼用來認(rèn)證當(dāng)前登錄者為指定登錄名的合法用戶，網(wǎng)銀用戶的登錄密碼和網(wǎng)銀轉(zhuǎn)賬密碼由用戶在柜面開戶時(shí)指定，用戶在首次登錄網(wǎng)銀系統(tǒng)時(shí)，系統(tǒng)必須強(qiáng)制用戶修改初始密碼，通常要求長度不得少于六位數(shù)，且不能是類似于111111234569876543等的簡單數(shù)字序列，系統(tǒng)將進(jìn)行檢查。網(wǎng)銀轉(zhuǎn)賬密碼是指網(wǎng)銀系統(tǒng)為鞏固用戶資金安全，在涉及資金變動的交易中對用戶身份進(jìn)行了再認(rèn)證，要求用戶輸入預(yù)設(shè)的密碼，網(wǎng)銀交易密碼僅針對個(gè)人用戶使用，企業(yè)用戶沒有網(wǎng)銀交易密碼。建立多重密碼機(jī)制，將登錄密碼與網(wǎng)銀轉(zhuǎn)賬密碼分開管理，有利于加強(qiáng)密碼的安全性。由于用戶在使用網(wǎng)銀時(shí)每次都必須先提供登錄密碼，故登錄密碼暴露的機(jī)會較多，安全性相對較弱；但登錄網(wǎng)銀的用戶并不是每次都會操作賬戶資金的，所以專門設(shè)定網(wǎng)銀轉(zhuǎn)賬密碼可加強(qiáng)賬戶的安全性。網(wǎng)銀轉(zhuǎn)賬密碼在網(wǎng)銀開戶時(shí)設(shè)定，網(wǎng)銀用戶在系統(tǒng)中作轉(zhuǎn)賬支付、理財(cái)、代繳費(fèi)等資金變動類交易時(shí)使用。柜面交易密碼是指用戶在銀行柜面辦理儲蓄時(shí)，針對儲蓄憑證（如卡折、存單等）而設(shè)的密碼。柜面交易密碼常用于POS系統(tǒng)支付時(shí)、ATM取款時(shí)、憑證柜面取款時(shí)，柜面交易密碼一個(gè)明顯的特征是它目前只能是六位的數(shù)字，這是由于目前柜面密碼輸入設(shè)備的限制而造成的。柜面交易密碼與上述的網(wǎng)銀轉(zhuǎn)賬密碼的區(qū)別在于：網(wǎng)銀轉(zhuǎn)賬密碼和系統(tǒng)登錄密碼都產(chǎn)生于網(wǎng)銀系統(tǒng)，儲存在網(wǎng)銀系統(tǒng)中，僅限網(wǎng)銀系統(tǒng)中認(rèn)證使用；而柜面交易密碼產(chǎn)生于銀行柜臺，可以在外圍渠道如ATM、電話銀行、自助終端上修改，它保存在銀行核心系統(tǒng)中，供外圍各個(gè)渠道系統(tǒng)共同使用。另外網(wǎng)銀轉(zhuǎn)賬密碼可以有非數(shù)字字符組成，而柜面交易密碼只能是六位的數(shù)字。網(wǎng)銀中使用到柜面交易密碼的交易包括：網(wǎng)銀開戶、加掛賬戶。一次性密碼由用戶的智能卡、令牌卡產(chǎn)生，或由動態(tài)密碼系統(tǒng)產(chǎn)生通過短信方式發(fā)送到用戶注冊的手機(jī)上。一次性密碼的作用與網(wǎng)銀轉(zhuǎn)賬密碼相同，適用的場合也相同。一次性密碼在農(nóng)商行網(wǎng)銀系統(tǒng)中是可選的安全服務(wù)，用戶需到柜面辦理開通手續(xù)才能使用，沒有開通一次性密碼服務(wù)的用戶必須設(shè)定網(wǎng)銀交易密碼，開通一次性密碼服務(wù)的用戶則無需設(shè)定網(wǎng)銀交易密碼，要求網(wǎng)銀系統(tǒng)自動判斷并提示用戶在某個(gè)交易中是要輸入網(wǎng)銀交易密碼還是提示一次性密碼。B．應(yīng)用系統(tǒng)與其它系統(tǒng)進(jìn)行數(shù)據(jù)交換時(shí)在特定安全需求下需進(jìn)行端對端的加解密處理。這里的數(shù)據(jù)加密主要是為了防止交易數(shù)據(jù)被銀行內(nèi)部人士截取利用，具體通訊加密方案參照應(yīng)用系統(tǒng)的特定需求。 數(shù)據(jù)完整性需求數(shù)據(jù)完整性要求防止非授權(quán)實(shí)體對數(shù)據(jù)進(jìn)行非法修改。用戶在跟應(yīng)用系統(tǒng)進(jìn)行交互時(shí)，其輸入設(shè)備如鍵盤、鼠標(biāo)等有可能被木馬程序偵聽，輸入的數(shù)據(jù)遭到截取修改后被提交到應(yīng)用系統(tǒng)中，如原本用戶準(zhǔn)備向A賬戶轉(zhuǎn)一筆資金在交易數(shù)據(jù)遭到修改后就被轉(zhuǎn)到B賬戶中了。同樣的威脅還存在于交易數(shù)據(jù)的傳輸過程中，如在用戶向應(yīng)用系統(tǒng)提交的網(wǎng)絡(luò)傳輸過程中或應(yīng)用系統(tǒng)跟第三方等其它系統(tǒng)的通訊過程中，另外存儲在應(yīng)用系統(tǒng)數(shù)據(jù)庫中的數(shù)據(jù)也有可能遭到非法修改，如SQL注入攻擊等。 數(shù)據(jù)可用性需求數(shù)據(jù)可用性要求數(shù)據(jù)對于授權(quán)實(shí)體是有效、可用的，保證授權(quán)實(shí)體對數(shù)據(jù)的合法存取權(quán)利。對數(shù)據(jù)可用性最典型的攻擊就是拒絕式攻擊（DoS）和分布式拒絕攻擊，兩者都是通過大量并發(fā)的惡意請求來占用系統(tǒng)資源，致使合法用戶無法正常訪問目標(biāo)系統(tǒng)，如SYN Flood攻擊等，將會直接導(dǎo)致其他用戶無法登錄系統(tǒng)。另外，應(yīng)用登錄機(jī)器人對用戶的密碼進(jìn)行窮舉攻擊也會嚴(yán)重影響系統(tǒng)的可用性。 業(yè)務(wù)邏輯安全需求業(yè)務(wù)邏輯安全主要是為了保護(hù)應(yīng)用系統(tǒng)的業(yè)務(wù)邏輯按照特定的規(guī)則和流程被存取及處理。 身份認(rèn)證需求身份認(rèn)證就是確定某個(gè)個(gè)體身份的過程。系統(tǒng)通過身份認(rèn)證過程以識別個(gè)體的用戶身份，確保個(gè)體為所宣稱的身份。應(yīng)用系統(tǒng)中身份認(rèn)證可分為單向身份認(rèn)證和雙向身份認(rèn)證，單向身份認(rèn)證是指應(yīng)用系統(tǒng)對用戶進(jìn)行認(rèn)證，而雙向身份認(rèn)證則指應(yīng)用系統(tǒng)和用戶進(jìn)行互相認(rèn)證，雙向身份認(rèn)證可有效防止“網(wǎng)絡(luò)釣魚”等假網(wǎng)站對真正系統(tǒng)的冒充。應(yīng)用服務(wù)器采用數(shù)字證書，向客戶端提供身份認(rèn)證，數(shù)字證書要求由權(quán)威、獨(dú)立、公正的第三方機(jī)構(gòu)頒發(fā)；系統(tǒng)為客戶端提供兩種可選身份認(rèn)證方案，服務(wù)器端對客戶端進(jìn)行多重身份認(rèn)證，要求充分考慮到客戶端安全問題。將客戶端用戶身份認(rèn)證與賬戶身份認(rèn)證分開進(jìn)行，在用戶登錄系統(tǒng)時(shí)，采用單點(diǎn)用戶身份認(rèn)證，在用戶提交更新類、管理類交易請求時(shí)，再次對用戶的操作進(jìn)行認(rèn)證或?qū)τ脩羯矸葸M(jìn)行二次認(rèn)證，以確保用戶信息安全。 訪問控制需求訪問控制規(guī)定了主體對客體訪問的限制，并在身份識別的基礎(chǔ)上，根據(jù)身份對提出資源訪問的請求加以控制。訪問控制是應(yīng)用系統(tǒng)中的核心安全策略，它的主要任務(wù)是保證應(yīng)用系統(tǒng)資源不被非法訪問。主體、客體和主體對客體操作的權(quán)限構(gòu)成訪問控制機(jī)制的三要素。訪問控制策略可以劃分為自主訪問控制、強(qiáng)制訪問控制和基于角色的訪問控制三種。 交易重復(fù)提交控制需求交易重復(fù)提交就是同一個(gè)交易被多次提交給應(yīng)用系統(tǒng)。查詢類的交易被重復(fù)提交將會無故占用更多的系統(tǒng)資源，而管理類或金融類的交易被重復(fù)提交后，后果則會嚴(yán)重的多，譬如一筆轉(zhuǎn)賬交易被提交兩次則將導(dǎo)致用戶的賬戶被轉(zhuǎn)出兩筆相同額的資金，顯然用戶只想轉(zhuǎn)出一筆。交易被重復(fù)提交可能是無意的，也有可能是故意的：A．用戶的誤操作。在B/S結(jié)構(gòu)中，從客戶端來看，服務(wù)器端對客戶端的響應(yīng)總有一定的延遲，這在某些交易處理上體現(xiàn)的更為明顯，特別是那些涉及多個(gè)系統(tǒng)交互、遠(yuǎn)程訪問、數(shù)據(jù)庫全表掃描、頁面數(shù)據(jù)簽名等交易，這種延遲通常都會在5至7秒以上。這時(shí)用戶有可能在頁面已提交的情況下，再次點(diǎn)擊了提交按鈕，這時(shí)將會造成交易被重復(fù)提交。B．被提交的交易數(shù)據(jù)有可能被拿來作重放攻擊。應(yīng)用系統(tǒng)必須對管理類和金融類交易提交的次數(shù)進(jìn)行控制，這種控制即要有效的杜絕用戶的誤操作，還不能影響用戶正常情況下對某個(gè)交易的多次提交。比如說：當(dāng)某個(gè)用戶在10秒內(nèi)提交了兩筆相同的轉(zhuǎn)賬業(yè)務(wù)，則系統(tǒng)必須對此進(jìn)行控制；另一方面，當(dāng)用戶在第一筆轉(zhuǎn)賬業(yè)務(wù)完成后，再作另一筆數(shù)據(jù)相同的轉(zhuǎn)賬時(shí)，則系統(tǒng)不能對此進(jìn)行誤控制。這里判斷的依據(jù)就是交易重復(fù)提交的控制因子a，當(dāng)交易提交的間隔小于a時(shí)，系統(tǒng)認(rèn)為這是重復(fù)提交，提交間隔大于a的則不作處理，控制因子的大小由應(yīng)用系統(tǒng)業(yè)務(wù)人員決定，系統(tǒng)應(yīng)可對其進(jìn)行配置化管理。 異步交易處理需求所謂異步交易就是指那些錄入與提交不是同時(shí)完成的交易，這里的同時(shí)是指客戶端在錄入交易數(shù)據(jù)與提交交易的過程中，應(yīng)用系統(tǒng)服務(wù)器端并沒有對錄入的數(shù)據(jù)進(jìn)行持久化保存，而異步交易在系統(tǒng)處理過