Forefront安全解决方案：银行案例分析

引言：银行已经全面渗透到了我们社会生活的方方面面，绝大多数人至少拥有一个银行户头，相当数量的人拥有一家或多家银行的信用卡。我们每天的生活都直接或间接地与银行打着交道，但由于其对整个经济秩序和社会生活的巨大影响和特殊性，银行和所有与银行有着紧密联系的名词也都由此有了一层神秘感，是如此的贴切却又神秘不可及的，我们总会联想到威严的银行大门，厚厚的防弹玻璃，运钞车上穿防弹衣、荷枪实弹的运钞员。但在“最安全的计算机是关掉电源、锁在保险箱里的电脑”的E时代，高度依赖IT技术以展开日常事务的银行是如何采取安全措施来保护其客户和交易的安全的呢？

作为软件领域的绝对的领袖，微软在安全软件领域已经有超过10年的实施经验，尤其是于06年推出全面的企业IT软件解决方案以来，以形成了涵盖企业应用服务器安全、网络边界安全和客户端信息安全的全面安全解决方案，但对于信息安全要求绝对高的银行而言，微软Forefront安全解决方案能够在银行业这个IT行业的促进者的安全领域占有一席之地吗？本文将给出相应的分析和实施方案。

1、银行业行业和安全背景分析

1）银行行业背景

银行业因其对整个金融业乃至社会经济的巨大影响自其出现就处于一个非常特殊的地位，长期以来银行在世界多种社会体制、经济体制环境下发挥着对该体制经济的主导作用，中国从封建社会即有类似现在银行功能的银号、钱庄等机构，现在银行和其他的金融机构则无时无刻在影响着我们的生活。我们的钱包里面拥有形形色色的银行卡，拥有一张乃至多张信用卡；我们已经习惯购物不带现金，习惯通过银行来交付各项日常开支：电费、电话费、上网费等等；我们的工资、公司商业来往、甚至在淘宝淘到的一本书、手机话费的支付等等也都是通过银行来完成。如果我们想要把银行在我们社会生活的各个方面都做出展示的话，可能需要花费很多人很多的时间来做一个清单。

在计算机应用到银行业之前，所有的账目往来都会以手工的方式进行登记，以手工计算的方式进行结算，尽管在古代有很多计算工具，如中国的算盘，我们也经常可以从电视中看到某个朝代清算国库存银时噼里啪啦敲打算盘的场面。银行业对于快速、高效计算的需求，很大程度上推动了计算机技术的发明与发展，乃至今天，银行和金融行业以及国防等有着强大计算需求的领域，仍旧是推动超级计算技术发展的中坚力量。

这个行业对经济和社会生活的重要性使它在出现之初就意味着它对安全要求的特殊性，甚至可以说在银行创立之初就需要应对来自内部、外部等各个可能的威胁。在中国封建社会，民间大量货币的转移往往依赖于非政府的个人武装或者是专门的安全机构，如我们所熟知的镖局、或者其他具备安全保证能力的组织等，来保证商业活动中大量货币转移的安全性，显然这是一个弱肉强食的体制，当用以确保货币安全的力量弱于觊觎这批货币的力量时，受保护的货币则无任何的安全性可言。尽管纸币代替了沉重的金银货币，但现金的存在风险总是要大一些，而且携带也不方便，但纸币作为日常经济活动最为重要的一部分，仍旧无法完全从现有的社会体制中消失，这就是为何我们经常可以看到街头持枪的运钞车。相比金银，纸币已经安全了很多，但如果从北京运送上百万的纸币到上海，远比从北京通过银行存入上海的某个银行户头相同数目风险要大的多。或许将来有新的更为安全的、可携带的电子货币出现，能够用以日常生活的所有交易，哪怕在街头地摊买个小饰物也可以使用这种电子货币。

人类对于财富的占用欲望使得银行这个财富象征的聚集地成为极易被攻击的地方，从古代的劫镖到手段繁多的银行抢劫，乃至现在经常见诸报纸的运钞车抢劫，等等，对于普通人而言，银行意味着神秘和不可及，却又现实地影响着我们社会生活的各个方面，每当看到某某银行被抢劫等新闻的时候，在震惊之余，只有感叹世界上真的是没有绝对的安全。在经济史上由于某一银行的倒闭而引发的全球性股票暴跌和经济衰退不在少数，如名声显赫的巴林银行于1995年被荷兰国际集团收购以后，导致欧洲和美国股市暴跌；在刚刚过去的2007年底-2008年初，法国兴业银行爆出历史上最大的违规操作事件，该银行一名交易员利用其电脑知识未经授权大量违规买入股指期货，最终给公司带来49亿欧元（约合71.4亿美元）的损失，该交易员竟然通过银行5道安全授权机制获得使用大量资金的权限；目前备受网民关注的“许霆案件”也是由于银行ATM机故障而引发，该事件甚至暴露出了中国立法空白。

随着越来越多的银行业务通过网络展开，银行的IT管理员们也面对着越来越大的压力，上述案例都与银行的安全管理，尤其是技术相关的管理有关，机器很强大，而且一旦逻辑制定完成就会严格执行，但是机器的麻烦就在于会出故障，而管理机器的人也会因为种种原因犯下无法挽回的错误。现在银行的入侵者不需要在挖掘一个地道通入银行的地下室，去盗取金库中的金条，或许在地球的某个可以上网的角落便可以窃取到无法计算的财富，且不论使用这笔财富是否现实，但对于IT技术的依赖，确实给银行业带来快捷与方便的同时，带来了更多的安全隐患，而这些隐患一旦被利用，后果往往是灾难性的

2）案例分析银行简介

银行在应用IT解决方案之初，对于安全的考虑就远远大于了应用程序的需求，如航天飞机的发射一样，绝不可以漏过任何一个安全细节，任何的疏忽都可能导致灾难性的后果，这些后果通常是直接的经济损失。

由于这一行业的特殊性，本文中用以进行架构和解决方案分析的银行将以B银行代替其真实名称，本文将单纯从当前整个银行行业的业务范围及其带来的IT需求进行分析，介绍由此需求衍生的安全架构和解决方案。本文将从单纯的安全解决方案技术的角度展开，不针对任何一家特定的银行机构。

B银行是一家由三家世界级大型银行联合出资创建的国际性商业银行，其主要商业目的是为三家股东银行所在国之间的贸易开展提供便利。本文将首先通过该银行分析整个银行业对电子商务的需求，然后分析其IT架构具备的特征和相应的安全需求，最后概述该银行采取的安全措施。

3）、电子银行主要的组件

如图1所示该银行的企业应用程序分层结构，对于很多现代银行以及开展电子商务的企业而言，同样拥有相似的应用程序分层结构。

图1中所示的组件具备以下特性：
◆可用性和高性能；
◆可依赖性；
◆可扩展性；
◆高安全性和出色的隐私保护；
◆系统集成、系统监控和管理；
◆操作系统和数据库；
◆开发工具；
◆网络协议和接口；
◆可外包能力；
◆与符合法规性系统和外部系统集成的能力。

对于应用程序基础架构的安全要求，瑞士银行有以下标准：身份认证谨慎处理、身份认证与银行数据相分离、确保银行数据传输的正确性并经过严格的审计。B银行的安全架构则遵循于瑞士银行的上述标准。

4）、应用程序集成架构

B银行采用市场智能企业（Market Intelligent Enterprise，MIE ）架构以进行其应用程序的集成架构设计，本文将以对该模型的介绍以替代B银行的具体应用程序集成架构。严格的MIE架构将整个企业的业务实施流程划分为8层，终端用户的请求经过层层严格的认证与审核，最终通过位于底层的符合法规性系统和数据仓库应用程序等进行审计和审批。这八个应用层的名称和具体功能如表1所示：