引言：银行已经全面渗透到了我们社会生活的方方面面，绝大多数人至少拥有一个银行户头，相当数量的人拥有一家或多家银行的信用卡。我们每天的生活都直接或间接地与银行打着交道，但由于其对整个经济秩序和社会生活的巨大影响和特殊性，银行和所有与银行有着紧密联系的名词也都由此有了一层神秘感，是如此的贴切却又神秘不可及的，我们总会联想到威严的银行大门，厚厚的防弹玻璃，运钞车上穿防弹衣、荷枪实弹的运钞员。但在“最安全的计算机是关掉电源、锁在保险箱里的电脑”的E时代，高度依赖IT技术以展开日常事务的银行是如何采取安全措施来保护其客户和交易的安全的呢？
作为软件领域的绝对的领袖，微软在安全软件领域已经有超过10年的实施经验，尤其是于06年推出全面的企业IT软件解决方案以来，以形成了涵盖企业应用服务器安全、网络边界安全和客户端信息安全的全面安全解决方案，但对于信息安全要求绝对高的银行而言，微软Forefront安全解决方案能够在银行业这个IT行业的促进者的安全领域占有一席之地吗？本文将给出相应的分析和实施方案。

1、银行业行业和安全背景分析

1）银行行业背景

银行业因其对整个金融业乃至社会经济的巨大影响自其出现就处于一个非常特殊的地位，长期以来银行在世界多种社会体制、经济体制环境下发挥着对该体制经济的主导作用，中国从封建社会即有类似现在银行功能的银号、钱庄等机构，现在银行和其他的金融机构则无时无刻在影响着我们的生活。我们的钱包里面拥有形形色色的银行卡，拥有一张乃至多张信用卡；我们已经习惯购物不带现金，习惯通过银行来交付各项日常开支：电费、电话费、上网费等等；我们的工资、公司商业来往、甚至在淘宝淘到的一本书、手机话费的支付等等也都是通过银行来完成。如果我们想要把银行在我们社会生活的各个方面都做出展示的话，可能需要花费很多人很多的时间来做一个清单。

在计算机应用到银行业之前，所有的账目往来都会以手工的方式进行登记，以手工计算的方式进行结算，尽管在古代有很多计算工具，如中国的算盘，我们也经常可以从电视中看到某个朝代清算国库存银时噼里啪啦敲打算盘的场面。银行业对于快速、高效计算的需求，很大程度上推动了计算机技术的发明与发展，乃至今天，银行和金融行业以及国防等有着强大计算需求的领域，仍旧是推动超级计算技术发展的中坚力量。

这个行业对经济和社会生活的重要性使它在出现之初就意味着它对安全要求的特殊性，甚至可以说在银行创立之初就需要应对来自内部、外部等各个可能的威胁。在中国封建社会，民间大量货币的转移往往依赖于非政府的个人武装或者是专门的安全机构，如我们所熟知的镖局、或者其他具备安全保证能力的组织等，来保证商业活动中大量货币转移的安全性，显然这是一个弱肉强食的体制，当用以确保货币安全的力量弱于觊觎这批货币的力量时，受保护的货币则无任何的安全性可言。尽管纸币代替了沉重的金银货币，但现金的存在风险总是要大一些，而且携带也不方便，但纸币作为日常经济活动最为重要的一部分，仍旧无法完全从现有的社会体制中消失，这就是为何我们经常可以看到街头持枪的运钞车。相比金银，纸币已经安全了很多，但如果从北京运送上百万的纸币到上海，远比从北京通过银行存入上海的某个银行户头相同数目风险要大的多。或许将来有新的更为安全的、可携带的电子货币出现，能够用以日常生活的所有交易，哪怕在街头地摊买个小饰物也可以使用这种电子货币。

人类对于财富的占用欲望使得银行这个财富象征的聚集地成为极易被攻击的地方，从古代的劫镖到手段繁多的银行抢劫，乃至现在经常见诸报纸的运钞车抢劫，等等，对于普通人而言，银行意味着神秘和不可及，却又现实地影响着我们社会生活的各个方面，每当看到某某银行被抢劫等新闻的时候，在震惊之余，只有感叹世界上真的是没有绝对的安全。在经济史上由于某一银行的倒闭而引发的全球性股票暴跌和经济衰退不在少数，如名声显赫的巴林银行于1995年被荷兰国际集团收购以后，导致欧洲和美国股市暴跌；在刚刚过去的2007年底-2008年初，法国兴业银行爆出历史上最大的违规操作事件，该银行一名交易员利用其电脑知识未经授权大量违规买入股指期货，最终给公司带来49亿欧元（约合71.4亿美元）的损失，该交易员竟然通过银行5道安全授权机制获得使用大量资金的权限；目前备受网民关注的“许霆案件”也是由于银行ATM机故障而引发，该事件甚至暴露出了中国立法空白。

随着越来越多的银行业务通过网络展开，银行的IT管理员们也面对着越来越大的压力，上述案例都与银行的安全管理，尤其是技术相关的管理有关，机器很强大，而且一旦逻辑制定完成就会严格执行，但是机器的麻烦就在于会出故障，而管理机器的人也会因为种种原因犯下无法挽回的错误。现在银行的入侵者不需要在挖掘一个地道通入银行的地下室，去盗取金库中的金条，或许在地球的某个可以上网的角落便可以窃取到无法计算的财富，且不论使用这笔财富是否现实，但对于IT技术的依赖，确实给银行业带来快捷与方便的同时，带来了更多的安全隐患，而这些隐患一旦被利用，后果往往是灾难性的。

2）案例分析银行简介
银行在应用IT解决方案之初，对于安全的考虑就远远大于了应用程序的需求，如航天飞机的发射一样，绝不可以漏过任何一个安全细节，任何的疏忽都可能导致灾难性的后果，这些后果通常是直接的经济损失。
由于这一行业的特殊性，本文中用以进行架构和解决方案分析的银行将以B银行代替其真实名称，本文将单纯从当前整个银行行业的业务范围及其带来的IT需求进行分析，介绍由此需求衍生的安全架构和解决方案。本文将从单纯的安全解决方案技术的角度展开，不针对任何一家特定的银行机构。
B银行是一家由三家世界级大型银行联合出资创建的国际性商业银行，其主要商业目的是为三家股东银行所在国之间的贸易开展提供便利。本文将首先通过该银行分析整个银行业对电子商务的需求，然后分析其IT架构具备的特征和相应的安全需求，最后概述该银行采取的安全措施。
3）、电子银行主要的组件
如图1所示该银行的企业应用程序分层结构，对于很多现代银行以及开展电子商务的企业而言，同样拥有相似的应用程序分层结构。

图1：B银行应用程序分层结构

图1中所示的组件具备以下特性：
◆可用性和高性能；
◆可依赖性；
◆可扩展性；
◆高安全性和出色的隐私保护；
◆系统集成、系统监控和管理；
◆操作系统和数据库；
◆开发工具；
◆网络协议和接口；
◆可外包能力；
◆与符合法规性系统和外部系统集成的能力。

对于应用程序基础架构的安全要求，瑞士银行有以下标准：身份认证谨慎处理、身份认证与银行数据相分离、确保银行数据传输的正确性并经过严格的审计。B银行的安全架构则遵循于瑞士银行的上述标准。

4）、应用程序集成架构

B银行采用市场智能企业（Market Intelligent Enterprise，MIE ）架构以进行其应用程序的集成架构设计，本文将以对该模型的介绍以替代B银行的具体应用程序集成架构。严格的MIE架构将整个企业的业务实施流程划分为8层，终端用户的请求经过层层严格的认证与审核，最终通过位于底层的符合法规性系统和数据仓库应用程序等进行审计和审批。这八个应用层的名称和具体功能如表1所示：

层序号	名称	功能简介
1	初始联系层	所有可能触发业务流程启动的人都被视为是联系出发者，包括客户、潜在客户和员工等；
2	联系渠道层	描述所有可能被用以当前或以后联系的物理渠道，包括常见的渠道如邮件、数字电视、传真、电话、互联网等等；
3	获取、路由层	这是整个MIE层次结构中最为重要的一层，它是企业内外连接的重要途径。它负责路由联系人的相应信息，其主要任务是： ·        确保联系信息传送到组织内正确的地方； ·        确保传送到的点是最佳服务点； ·        这一层的实施提供了提供客户服务质量和降低成本的机会；
4	企业网关层	企业网关层提供了客户交互的智能判断能力，它用以决定怎样的流程和行动来满足相应的联系人；
5	前端办公室应用程序层	提供了企业网关引擎以与广泛的企业联系人进行交互，包括业务规则和数据访问规则，用以判断应该如何将什么数据呈现在客户面前；
6	企业流程集成层	该层提供了把业务流程分解为多个业务单元的能力，以工作流的方式来控制和监控企业流程的实施以确保关键信息和流程步骤被执行；
7	企业数据集成层	提供了必要的中间件功能来联合数据和企业内部相当数量的应用系统；
8	企业应用程序层	包括现有的和未来可能添加到企业当中的备份系统，这些系统包括了所有与客户相关的信息。

表1：B银行流程实施采用的模型

从表1可知，一个联系人，即便是企业的员工，想要达到企业应用程序并应用这些应用程序，期间经过了多层，每一层上都会附带有相应的授权、认证机制，用以确保流程的实施是合法的。对于银行而言，最为重要的是实现这些业务流程的同时，确保所有的合法请求都受到正确的处理，不合法的或者未经授权的、或者伪造合法授权进行的访问请求都被拒之门外。思路是清晰的，但是想要做到无懈可击，却非常的困难。

在现有攻击面前，被动的认证机制总是落后于攻击技术，比如一个攻击者可能通过各种手段获取到了到达企业应用程序并操作这些应用程序的全套资料，系统、即便是银行的操作人员，相信的只是相应的数据，而无法对这些数据是否有合法的人进行操作做出完全正确的判断。即是说，绝对的安全是不存在的，对于银行而言，也只能在现有的技术条件下最大程度地确保每笔交易都是合法且安全的，比如基于USB Key的数字签名认证机制，攻击者可以通过网络获取到受害者的帐号和口令等信息，却很难再从物理上获取USB Key的数字签名信息。

2、B银行Forefront安全解决

1）、B银行Forefront安全解决方案概述

首先了解B银行Forefront安全解决方案整体实施情况。微软Forefront安全解决方案偏重于软件实施，同时偏重于windows平台下的应用安全防护，具有鲜明的平台特性，对于运行于基于Unix的Mainframe上的应用程序的防护不如对Windows Server平台上的应用程序的支持效果显著，但对于基于Windows平台的客户端，如笔记本、桌面电脑、使用Windows Mobile操作系统的手机等客户端的防护、以及采用ISA Server的企业网络边界防护，都有卓越的性能。当然Forefront不能解决所有的问题，比如引入基于硬件的入侵检测和数据包分析应用等，以用以更为有效的外部入侵防护，以及基于公钥私钥体系的证书服务器等等。

B银行基于Forefront的安全体系结构如图2所示：

图2：B银行Forefront安全体系架构

图2展示了B银行所有与安全防护的应用架构，省略了其他银行运行相关的必要应用程序，如银行引擎、电子商务应用程序、审计应用等等。接下来了解Forefront解决方案详情。
2）、银行应用服务器安全与Forefront server Security
微软Forefront安全解决方案中针对服务器安全的应用产品有针对SharePoint Server和Exchange Server的两款主要产品，B银行引入了SharePoint服务器和Exchange服务器以用以企业内部协作和电子邮件服务。
如图2所示，Exchange 服务器与SharePoint服务器位于B银行企业内部防火墙之后，银行内部客户端通过内部防火墙使用Exchange服务和SharePoint服务，银行采用了Forefront server Security for SharePoint和Forefront server Security for Exchange分别进行SharePoint服务器和Exchange服务器的安全防护。
3）、银行企业边界安全与Forefront ISA server
我们可以从表1了解到B银行业务实施流程所采用的模型，从创建初始联系到达企业应用程序，共需要多达8层的路由授权与认证，其中位于第4阶段的企业网关层提供了客户交互的智能判断能力，它用以决定怎样的流程和行动来满足相应的联系人，该层的控制在B银行整个安全架构中的作用表现为企业外部防火墙。一般而言企业不会采用单一的外部防火墙防护形式，大多数解决方案采取软、硬件结合的防护形式，除基于硬件的高效率入侵检测应用程序之外，软件防火墙的应用大多为辅助作用，B银行在防火墙软件的选择上采取了微软ISA server 2006，如图2所示，ISA Server提供了强大的VPN和访问过滤、控制能力。S
位于银行外部的基于不同平台的客户端，如手机、固定电话、笔记本电脑、桌面电脑等，在使用银行网络资源的时候，必须要经过企业的外部防火墙，如使用网上银行的功能时。与其他任何网络应用程序类似，通过外部防火墙以后，是外部应用服务器集群，这里存在有企业的Web服务器集群、以及代理服务器等应用服务器，这些服务器提供了对外部应用程序的支持，这些应用面向外部用户，当然企业内部客户端也可以以普通客户端的角色来使用这些资源。
针对可能出差的B银行工作人员，其使用的电脑可以通过ISA server 2006的VPN的功能以安全的方式连接到企业内部资源，进而使用企业内部资源。ISA server 2006同时扮演访问控制的角色，尤其对于企业内部客户端而言，B银行通过配置ISA Server严格限制内部客户端对外部资源的访问，以确保企业内部客户端的安全，避免由于访问不安全资源而带来安全隐患。一般而言，企业内部客户端会被限制于只访问企业内部的网络和应用程序资源。同时，在这些客户端电脑上，B银行采用了微软Forefront Client Security进行客户端的安全防护。
4）、银行客户端信息安全与Forefront Client Security 
 

微软Forefront Client Security是进行客户端安全防护的安全软件产品，B银行有选择性地应用FCS作为企业内部客户端以及出差在外的移动办公设备的安全防护产品，防护的目标也仅限于使用Windows平台的客户端。

由于Windows操作系统被广泛应用，针对Windows平台的攻击方式也层出不穷，尽管微软对提供Windows平台的安全性做出了相当大的努力，但由于B银行引入IT技术的时间较早，采取的Windows平台的版本等较老，加之IT技术的跟新换代速度实在是太快，尽管在06年的时候Windows新的操作系统环境Vista以及随后新的SQL server 2008以及Windows server 2008等新产品的发布，但B银行的客户端以及服务器环境还没有这么快升级到新的应用环境平台，而旧的操作系统环境确实存在较多的安全隐患。之前B银行的安全防护解决方案采用某大型数据管理厂商的企业级安全防护产品，而现在企业的IT决策人员决定使用基于FCS的防护手段以期和企业整体的IT环境整合在一起，从而最大程度重用之前的IT投资和现有IT基础架构，进而达到节省IT成本、提高防护能力的效果。

对于部分内部客户端，如进行Mainframe应用程序维护的客户端电脑，出于方便和安全的角度，B银行采用的是基于Unix的客户端，Unix操作系统的安全性相对比Windows平台的要高，但其操作性不是很方便，也无法完全替代所有的客户端系统，因此带有专有性。这些客户端将采用Unix平台下基于Open软件的安全防护方式，但其对企业内部资源的访问将受到ISA server 2006企业防火墙的限制与控制。

3、小  结

作为银行这一特殊的行业，其IT工作人员无时无刻不在寻求更为先进的安全防护解决方案，出于对现有IT基础架构和IT资产重用的考虑，将会有越来越多的企业引入Forefront安全解决方案以期更好地与现有IT投资融合在一起，以更少的成本达到更好的防护效果。本文首先分析了银行这个行业大的安全防护背景，然后通过某银行的安全实施解决方案和Forefront的应用情况，向读者展示了银行安全防护、尤其是微软Forefront安全解决方案在银行安全防护中的应用现状。本文对于其他开展电子商务的企业以及寻求Forefront安全解决方案的IT解决方案设计人员而言，同样具备较大的参考作用。