資源描述:
《淺析增強銀行網(wǎng)絡(luò)數(shù)據(jù)傳輸安全性》由會員上傳分享����,免費在線閱讀,更多相關(guān)內(nèi)容在學(xué)術(shù)論文-天天文庫���。
1����、淺析增強銀行網(wǎng)絡(luò)數(shù)據(jù)傳輸安全性摘要:隨著網(wǎng)絡(luò)日益成為銀行業(yè)快速發(fā)展的必要手段和工具,銀行網(wǎng)絡(luò)正在向融和網(wǎng)絡(luò)的目標(biāo)靠近����。如何確保網(wǎng)絡(luò)基礎(chǔ)設(shè)施層上承載的各種金融數(shù)據(jù)的安全�,是當(dāng)今全球金融行業(yè)技術(shù)關(guān)注點。本文也正基于此展開相應(yīng)研究����。關(guān)鍵詞:銀行網(wǎng)絡(luò)數(shù)據(jù)傳輸;增強���;安全性在網(wǎng)絡(luò)基礎(chǔ)設(shè)施層上承載著銀行交易數(shù)據(jù)流����、OA數(shù)據(jù)流�、路由選擇協(xié)議數(shù)據(jù)流、網(wǎng)絡(luò)管理數(shù)據(jù)流等多種類型數(shù)據(jù)���。對不同類型的數(shù)據(jù)流的要求采用不同的安全保護級別�����。目前��,很多通用網(wǎng)絡(luò)技術(shù)經(jīng)過簡單的培訓(xùn)就能夠被大部分普通人所使用�����。如何利用現(xiàn)有通用��、成熟技術(shù)���,在對銀行網(wǎng)絡(luò)不作
2����、較大規(guī)模改動的前提下����,提高銀行廣域網(wǎng)數(shù)據(jù)傳輸安全,降低案件發(fā)生的概率���,是整個銀行網(wǎng)絡(luò)安全保障工作不得不考慮的一個重要方面����。1建設(shè)背景銀行內(nèi)部網(wǎng)絡(luò)目前在廣域網(wǎng)連接上大多數(shù)采用運營商的專用線路。在銀行網(wǎng)絡(luò)的數(shù)據(jù)鏈路層主要采用HDLC�����、PPP�、ATM、幀中繼�、CPOS、MSTP等通用協(xié)議�,在網(wǎng)絡(luò)層主要采用IP協(xié)議,并且在這兩層都沒有作安全處理���。如果了解到銀行的網(wǎng)絡(luò)層IP規(guī)劃和訪問控制技術(shù)細節(jié),就有可能在銀行以外的物理區(qū)域接入銀行內(nèi)部局域網(wǎng)�����,模擬出和網(wǎng)點業(yè)務(wù)網(wǎng)絡(luò)相同的環(huán)境�����,從而實施犯罪��。例如��,在網(wǎng)點柜員簽到后,在運營商機站內(nèi)
3���、模擬出網(wǎng)點終端上的交易畫面�����,從而實施犯罪��。.需求分析在廣域網(wǎng)兩端相應(yīng)的路由器上�,在數(shù)據(jù)鏈路層或者網(wǎng)絡(luò)層增加安全方面配置��,提高數(shù)據(jù)傳輸?shù)陌踩?�。目前在?shù)據(jù)鏈路層上做安全性保護難度較大���,因為涉及的設(shè)備種類多���,部門多,還有可能需要購買昂貴的安全產(chǎn)品���。在網(wǎng)絡(luò)層上做安全保護相對來說就比較容易�,它僅僅需要銀行單位的網(wǎng)管人員做一些軟件配置。IPSec是網(wǎng)絡(luò)層的安全機制����。通過對網(wǎng)絡(luò)層包信息的保護,上層應(yīng)用程序即使沒有實現(xiàn)安全性��,也能夠自動從網(wǎng)絡(luò)層提供的安全性中獲益����。經(jīng)過對比,我們認為采用這種方式較為現(xiàn)實��。配置簡單�����,效果明顯�。缺點是路由
4、器IPSec軟件進行加密/解密運算將會占用了較多的CPU資源����,從而影響了整機性能�。但是通過減少需要保護的數(shù)據(jù)流規(guī)模,在大多數(shù)目前的銀行網(wǎng)絡(luò)上就能實現(xiàn)銀行交易數(shù)據(jù)流安全性的有效提升��。技術(shù)實施方案和結(jié)論針對大多數(shù)銀行核心路由器采用CISCO設(shè)備�����,網(wǎng)點路由器采用華為設(shè)備。本方案選用不同廠家設(shè)備:華為R2621和思科2600做的實驗����。采用IPSEC機制,兩臺設(shè)備分別通過使用ATM仿真幀中繼電路的廣域網(wǎng)絡(luò)和使用以太網(wǎng)的局域網(wǎng)等多個異種網(wǎng)絡(luò)連接在一起�����,對有保護需求的數(shù)據(jù)流作全程加密傳輸�����。因此�����,我認為��,這個方案具有一定的代表性���,對
5��、目前銀行所有的局域網(wǎng)�����、廣域網(wǎng)�、各種業(yè)務(wù)應(yīng)用都具有實踐意義。試驗內(nèi)容如下:.1華為2620的配置ikepre-shared-keyvvvremote//配置IKE預(yù)共享密鑰對端接入地址acl080match-orderconfig//定義感興趣數(shù)據(jù)流rulenormalpermitipsourcedestinationrulenormaldenyipsourceanydestinationanyipsecproposalvvv//定義提議vvvipsecpolicyp110isakmp//定義策略p1securitya
6����、cl080//應(yīng)用訪問表proposalvvv//引用提議vvvtunnelremote//定義對端設(shè)備接入網(wǎng)絡(luò)的接口地址interfaceSerial0link-protocolfripaddressripversionmulticastipsecpolicyp1//在端口上應(yīng)用策略p1frlmitypeansifrmapip11broadcastinterfaceDialer0ipaddressripundosummarynetwork.2cisco2600的配置cryptoisakmppolicy1//IKE的
7、配置認證方式pre-share預(yù)共享密鑰vvvauthenticationpre-sharecryptoisakmpkeyvvvaddresscryptoipsectransform-setvvvesp-desesp-md5-hmac//IPSec提議的配置!cryptomapccc10ipsec-isakmp//加密圖ccc的配置setpeersettransform-setvvvmatchaddress101interfaceLoopback3ipaddressinterfaceFastEthernet0/0ip
8����、addresscryptomapccc//在端口上應(yīng)用加密圖cccipclasslessiproute//以下訪問表定義感興趣的數(shù)據(jù)流access-list101permitiphosthostaccess-list101denyipanyany結(jié)論在華為2620設(shè)備上以為源地址和cisco600上的目標(biāo)地址能夠正常通訊。在cisco600上以
