淺析增強(qiáng)銀行網(wǎng)絡(luò)數(shù)據(jù)傳輸安全性

摘要:隨著網(wǎng)絡(luò)日益成為銀行業(yè)快速發(fā)展的必要手段和工具，銀行網(wǎng)絡(luò)正在向融和網(wǎng)絡(luò)的目標(biāo)靠近。如何確保網(wǎng)絡(luò)基礎(chǔ)設(shè)施層上承載的各種金融數(shù)據(jù)的安全，是當(dāng)今全球金融行業(yè)技術(shù)關(guān)注點(diǎn)，文章也正基于此展開(kāi)相應(yīng)研究。

關(guān)鍵詞:銀行網(wǎng)絡(luò)數(shù)據(jù)傳輸;增強(qiáng);安全性

中圖分類(lèi)號(hào):TP309.2文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):1006-8937(2009)14-0115-02

在網(wǎng)絡(luò)基礎(chǔ)設(shè)施層上承載著銀行交易數(shù)據(jù)流、OA數(shù)據(jù)流、路由選擇協(xié)議數(shù)據(jù)流、網(wǎng)絡(luò)管理數(shù)據(jù)流等多種類(lèi)型數(shù)據(jù)。對(duì)不同類(lèi)型的數(shù)據(jù)流的要求采用不同的安全保護(hù)級(jí)別。

目前，很多通用網(wǎng)絡(luò)技術(shù)經(jīng)過(guò)簡(jiǎn)單的培訓(xùn)就能夠被大部分普通人所使用。如何利用現(xiàn)有通用、成熟技術(shù)，在對(duì)銀行網(wǎng)絡(luò)不作較大規(guī)模改動(dòng)的前提下，提高銀行廣域網(wǎng)數(shù)據(jù)傳輸安全，降低案件發(fā)生的概率，是整個(gè)銀行網(wǎng)絡(luò)安全保障工作不得不考慮的一個(gè)重要方面。

1建設(shè)背景

銀行內(nèi)部網(wǎng)絡(luò)目前在廣域網(wǎng)連接上大多數(shù)采用運(yùn)營(yíng)商的專(zhuān)用線(xiàn)路。在銀行網(wǎng)絡(luò)的數(shù)據(jù)鏈路層主要采用HDLC 、PPP、 ATM、幀中繼、CPOS、MSTP等通用協(xié)議，在網(wǎng)絡(luò)層主要采用IP協(xié)議，并且在這兩層都沒(méi)有作安全處理。如果了解到銀行的網(wǎng)絡(luò)層IP規(guī)劃和訪(fǎng)問(wèn)控制技術(shù)細(xì)節(jié)(這些細(xì)節(jié)密級(jí)相對(duì)較低，容易獲得)，就有可能在銀行以外的物理區(qū)域接入銀行內(nèi)部局域網(wǎng)，模擬出和網(wǎng)點(diǎn)業(yè)務(wù)網(wǎng)絡(luò)相同的環(huán)境，從而實(shí)施犯罪。例如，在網(wǎng)點(diǎn)柜員簽到后，在運(yùn)營(yíng)商機(jī)站內(nèi)模擬出網(wǎng)點(diǎn)終端上的交易畫(huà)面，從而實(shí)施犯罪。

2需求分析

在廣域網(wǎng)兩端相應(yīng)的路由器上，在數(shù)據(jù)鏈路層或者網(wǎng)絡(luò)層增加安全方面配置，提高數(shù)據(jù)傳輸?shù)陌踩?/p>

目前在數(shù)據(jù)鏈路層上做安全性保護(hù)難度較大，因?yàn)樯婕暗脑O(shè)備種類(lèi)多，部門(mén)多，還有可能需要購(gòu)買(mǎi)昂貴的安全產(chǎn)品。在網(wǎng)絡(luò)層上做安全保護(hù)相對(duì)來(lái)說(shuō)就比較容易，它僅僅需要銀行單位的網(wǎng)管人員做一些軟件配置。

IPSec是網(wǎng)絡(luò)層的安全機(jī)制。通過(guò)對(duì)網(wǎng)絡(luò)層包信息的保護(hù)，上層應(yīng)用程序即使沒(méi)有實(shí)現(xiàn)安全性，也能夠自動(dòng)從網(wǎng)絡(luò)層提供的安全性中獲益。經(jīng)過(guò)對(duì)比，我們認(rèn)為采用這種方式較為現(xiàn)實(shí)。配置簡(jiǎn)單，效果明顯。缺點(diǎn)是路由器IPSec軟件進(jìn)行加密/解密運(yùn)算將會(huì)占用了較多的CPU資源，從而影響了整機(jī)性能。但是通過(guò)減少需要保護(hù)的數(shù)據(jù)流規(guī)模，在大多數(shù)目前的銀行網(wǎng)絡(luò)上就能實(shí)現(xiàn)銀行交易數(shù)據(jù)流安全性的有效提升。

3技術(shù)實(shí)施方案和結(jié)論

針對(duì)大多數(shù)銀行核心路由器采用CISCO設(shè)備，網(wǎng)點(diǎn)路由器采用華為設(shè)備。本方案選用不同廠(chǎng)家設(shè)備:華為R2621(VRP1.74)和思科2600(IOS 12.0)做的實(shí)驗(yàn)。采用IPSEC機(jī)制，兩臺(tái)設(shè)備分別通過(guò)使用ATM仿真幀中繼電路的廣域網(wǎng)絡(luò)和使用以太網(wǎng)的局域網(wǎng)等多個(gè)異種網(wǎng)絡(luò)連接在一起，對(duì)有保護(hù)需求的數(shù)據(jù)流作全程加密傳輸。因此，我認(rèn)為，這個(gè)方案具有一定的代表性，對(duì)目前銀行所有的局域網(wǎng)、廣域網(wǎng)、各種業(yè)務(wù)應(yīng)用都具有實(shí)踐意義。

試驗(yàn)內(nèi)容如下:

3.1華為2620的配置

ike pre-shared-key vvv remote 192.96.19.5

// 配置IKE 預(yù)共享密鑰(vvv)對(duì)端接入地址

acl 3080 match-order config

// 定義感興趣數(shù)據(jù)流

rule normal permit ip source 192.96.129.1 0.0.0.0

destination 192.96.99.1 0.0.0.0

rule normal deny ip source any destination any

ipsec proposal vvv

// 定義提議vvv

ipsec policy p1 10 isakmp

// 定義策略p1

security acl 3080

// 應(yīng)用訪(fǎng)問(wèn)表

proposal vvv

// 引用提議vvv

tunnel remote 192.96.19.5

// 定義對(duì)端設(shè)備接入網(wǎng)絡(luò)的接口地址

interface Serial0

link-protocol fr

ip address 192.96.36.78 255.255.255.252

rip version 2 multicast

ipsec policy p1

// 在端口上應(yīng)用策略p1

fr lmi type ansi

fr map ip 192.96.36.77 dlci 112 broadcast

interface Dialer0

ip address 192.96.129.1 255.255.255.252

rip

undo summary

network 192.0.0.0

3.2cisco2600的配置

crypto isakmp policy 1

// IKE的配置 認(rèn)證方式pre-share預(yù)共享密鑰 vvv

authentication pre-share

crypto isakmp key vvv address 192.96.36.78

crypto ipsec transform-set vvv esp-des esp-md5-hmac

// IPSec提議的配置!

crypto map ccc 10 ipsec-isakmp

// 加密圖ccc的配置

set peer 192.96.36.78

set transform-set vvv

match address 101

interface Loopback3

ip address 192.96.99.1 255.255.255.255

interface FastEthernet0/0

ip address 192.96.19.5 255.255.255.0

crypto map ccc

// 在端口上應(yīng)用加密圖ccc

ip classless

ip route 0.0.0.0 0.0.0.0 192.96.19.254

//以下訪(fǎng)問(wèn)表定義感興趣的數(shù)據(jù)流

access-list 101 permit ip host 192.96.99.1 host 192.96.129.1

access-list 101 deny ip any any

4結(jié) 論

在華為2620設(shè)備上以192.96.129.1為源地址和cisco 2600上的目標(biāo)地址192.96.19.5 能夠正常通訊。

在cisco 2600上以192.96.19.5為源地址和華為2620設(shè)備上的目標(biāo)地址192.96.129.1的通訊也很正常。

如果有一端設(shè)備在連接網(wǎng)絡(luò)的端口上取消了策略，或者兩端IKE預(yù)共享密鑰錯(cuò)誤，那么兩端敏感的數(shù)據(jù)流將不能正常通訊，而其他數(shù)據(jù)流不受影響。因此，只要保護(hù)好密鑰不被泄露，銀行交易數(shù)據(jù)流的安全性就能夠得到必要的保障。

上述配置均使用默認(rèn)協(xié)議、傳輸方式、加密算法、認(rèn)證算法和生存周期等，所以顯示出來(lái)的比較簡(jiǎn)單。實(shí)際操作時(shí)需要注意兩端參數(shù)的匹配。下面是一些主要參數(shù):

[router]disp ikepro

Default protection policy suite

encryption:DES_CBC

hash:SHA

authentication:PRE_SHARED

DH Group:MODP_768

duration(seconds):86400

[router]disp ikepre

Remote AddressPre-shared-key

192.96.19.5 vvv

[router]disp ipse pr

proposal set name: vvv

proposal set mode: tunnel

transform: esp-new

ESP protocol: authentication md5-hmac-96， encryption-algorithm des

[router]disp ipse po all

ipsec policy name: p1

ipsec policy sequence: 10

negotiation mode: isakmp

security acl: 3080

remote address 0: 192.96.19.5

Proposal name:vvv

ipsec sa duration: 3600 seconds

ipsec sa duration: 1843200 kilobytes

OutBound SA has been established.

InBound SA has been established.

在網(wǎng)絡(luò)安全的技術(shù)設(shè)置方案中，存在多種途徑，考察方案的優(yōu)劣可能存在各種標(biāo)準(zhǔn)。本方案則是在可靠性的基礎(chǔ)上，充分考慮可操作性和簡(jiǎn)便性而采取的設(shè)置。因此，在目前技術(shù)條件下本方案具有明顯的優(yōu)勢(shì)和特點(diǎn)。隨著網(wǎng)絡(luò)技術(shù)的日益成熟和發(fā)展，更可靠、更先進(jìn)的技術(shù)必將有待我們進(jìn)一步的研究和發(fā)掘。

參考文獻(xiàn):

[1] 卡爾·H·邁耶，斯蒂芬·M·馬特斯.保密系統(tǒng)設(shè)計(jì)和實(shí)現(xiàn)指南翻譯組譯.密碼學(xué)計(jì)算機(jī)數(shù)據(jù)保密的新領(lǐng)域——保密系統(tǒng)設(shè)計(jì)和實(shí)現(xiàn)指南[M].北京:總參謀部第五十一所，1995.

[2] 蔡立軍.計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)[M].北京:中國(guó)水利水電出版社，2005.

[3] 盧開(kāi)澄.計(jì)算機(jī)密碼學(xué)——計(jì)算機(jī)網(wǎng)絡(luò)中的數(shù)據(jù)預(yù)安全[M].北京:清華大學(xué)出版社，2003.