淺析增強銀行網絡數據傳輸安全性

摘要:隨著網絡日益成為銀行業快速發展的必要手段和工具，銀行網絡正在向融和網絡的目標靠近。如何確保網絡基礎設施層上承載的各種金融數據的安全，是當今全球金融行業技術關注點，文章也正基于此展開相應研究。

關鍵詞:銀行網絡數據傳輸;增強;安全性

中圖分類號:TP309.2文獻標識碼:A文章編號:1006-8937(2009)14-0115-02

在網絡基礎設施層上承載著銀行交易數據流、OA數據流、路由選擇協議數據流、網絡管理數據流等多種類型數據。對不同類型的數據流的要求采用不同的安全保護級別。

目前，很多通用網絡技術經過簡單的培訓就能夠被大部分普通人所使用。如何利用現有通用、成熟技術，在對銀行網絡不作較大規模改動的前提下，提高銀行廣域網數據傳輸安全，降低案件發生的概率，是整個銀行網絡安全保障工作不得不考慮的一個重要方面。

1建設背景

銀行內部網絡目前在廣域網連接上大多數采用運營商的專用線路。在銀行網絡的數據鏈路層主要采用HDLC 、PPP、 ATM、幀中繼、CPOS、MSTP等通用協議，在網絡層主要采用IP協議，并且在這兩層都沒有作安全處理。如果了解到銀行的網絡層IP規劃和訪問控制技術細節(這些細節密級相對較低，容易獲得)，就有可能在銀行以外的物理區域接入銀行內部局域網，模擬出和網點業務網絡相同的環境，從而實施犯罪。例如，在網點柜員簽到后，在運營商機站內模擬出網點終端上的交易畫面，從而實施犯罪。

2需求分析

在廣域網兩端相應的路由器上，在數據鏈路層或者網絡層增加安全方面配置，提高數據傳輸的安全。

目前在數據鏈路層上做安全性保護難度較大，因為涉及的設備種類多，部門多，還有可能需要購買昂貴的安全產品。在網絡層上做安全保護相對來說就比較容易，它僅僅需要銀行單位的網管人員做一些軟件配置。

IPSec是網絡層的安全機制。通過對網絡層包信息的保護，上層應用程序即使沒有實現安全性，也能夠自動從網絡層提供的安全性中獲益。經過對比，我們認為采用這種方式較為現實。配置簡單，效果明顯。缺點是路由器IPSec軟件進行加密/解密運算將會占用了較多的CPU資源，從而影響了整機性能。但是通過減少需要保護的數據流規模，在大多數目前的銀行網絡上就能實現銀行交易數據流安全性的有效提升。

3技術實施方案和結論

針對大多數銀行核心路由器采用CISCO設備，網點路由器采用華為設備。本方案選用不同廠家設備:華為R2621(VRP1.74)和思科2600(IOS 12.0)做的實驗。采用IPSEC機制，兩臺設備分別通過使用ATM仿真幀中繼電路的廣域網絡和使用以太網的局域網等多個異種網絡連接在一起，對有保護需求的數據流作全程加密傳輸。因此，我認為，這個方案具有一定的代表性，對目前銀行所有的局域網、廣域網、各種業務應用都具有實踐意義。

試驗內容如下:

3.1華為2620的配置

ike pre-shared-key vvv remote 192.96.19.5

// 配置IKE 預共享密鑰(vvv)對端接入地址

acl 3080 match-order config

// 定義感興趣數據流

rule normal permit ip source 192.96.129.1 0.0.0.0

destination 192.96.99.1 0.0.0.0

rule normal deny ip source any destination any

ipsec proposal vvv

// 定義提議vvv

ipsec policy p1 10 isakmp

// 定義策略p1

security acl 3080

// 應用訪問表

proposal vvv

// 引用提議vvv

tunnel remote 192.96.19.5

// 定義對端設備接入網絡的接口地址

interface Serial0

link-protocol fr

ip address 192.96.36.78 255.255.255.252

rip version 2 multicast

ipsec policy p1

// 在端口上應用策略p1

fr lmi type ansi

fr map ip 192.96.36.77 dlci 112 broadcast

interface Dialer0

ip address 192.96.129.1 255.255.255.252

rip

undo summary

network 192.0.0.0

3.2cisco2600的配置

crypto isakmp policy 1

// IKE的配置 認證方式pre-share預共享密鑰 vvv

authentication pre-share

crypto isakmp key vvv address 192.96.36.78

crypto ipsec transform-set vvv esp-des esp-md5-hmac

// IPSec提議的配置!

crypto map ccc 10 ipsec-isakmp

// 加密圖ccc的配置

set peer 192.96.36.78

set transform-set vvv

match address 101

interface Loopback3

ip address 192.96.99.1 255.255.255.255

interface FastEthernet0/0

ip address 192.96.19.5 255.255.255.0

crypto map ccc

// 在端口上應用加密圖ccc

ip classless

ip route 0.0.0.0 0.0.0.0 192.96.19.254

//以下訪問表定義感興趣的數據流

access-list 101 permit ip host 192.96.99.1 host 192.96.129.1

access-list 101 deny ip any any

4結 論

在華為2620設備上以192.96.129.1為源地址和cisco 2600上的目標地址192.96.19.5 能夠正常通訊。

在cisco 2600上以192.96.19.5為源地址和華為2620設備上的目標地址192.96.129.1的通訊也很正常。

如果有一端設備在連接網絡的端口上取消了策略，或者兩端IKE預共享密鑰錯誤，那么兩端敏感的數據流將不能正常通訊，而其他數據流不受影響。因此，只要保護好密鑰不被泄露，銀行交易數據流的安全性就能夠得到必要的保障。

上述配置均使用默認協議、傳輸方式、加密算法、認證算法和生存周期等，所以顯示出來的比較簡單。實際操作時需要注意兩端參數的匹配。下面是一些主要參數:

[router]disp ikepro

Default protection policy suite

encryption:DES_CBC

hash:SHA

authentication:PRE_SHARED

DH Group:MODP_768

duration(seconds):86400

[router]disp ikepre

Remote AddressPre-shared-key

192.96.19.5 vvv

[router]disp ipse pr

proposal set name: vvv

proposal set mode: tunnel

transform: esp-new

ESP protocol: authentication md5-hmac-96， encryption-algorithm des

[router]disp ipse po all

ipsec policy name: p1

ipsec policy sequence: 10

negotiation mode: isakmp

security acl: 3080

remote address 0: 192.96.19.5

Proposal name:vvv

ipsec sa duration: 3600 seconds

ipsec sa duration: 1843200 kilobytes

OutBound SA has been established.

InBound SA has been established.

在網絡安全的技術設置方案中，存在多種途徑，考察方案的優劣可能存在各種標準。本方案則是在可靠性的基礎上，充分考慮可操作性和簡便性而采取的設置。因此，在目前技術條件下本方案具有明顯的優勢和特點。隨著網絡技術的日益成熟和發展，更可靠、更先進的技術必將有待我們進一步的研究和發掘。

參考文獻:

[1] 卡爾·H·邁耶，斯蒂芬·M·馬特斯.保密系統設計和實現指南翻譯組譯.密碼學計算機數據保密的新領域——保密系統設計和實現指南[M].北京:總參謀部第五十一所，1995.

[2] 蔡立軍.計算機網絡安全技術[M].北京:中國水利水電出版社，2005.

[3] 盧開澄.計算機密碼學——計算機網絡中的數據預安全[M].北京:清華大學出版社，2003.