資源描述:
《淺析增強(qiáng)銀行網(wǎng)絡(luò)數(shù)據(jù)傳輸安全性 》由會員上傳分享�,免費(fèi)在線閱讀��,更多相關(guān)內(nèi)容在應(yīng)用文檔-天天文庫�。
1��、淺析增強(qiáng)銀行網(wǎng)絡(luò)數(shù)據(jù)傳輸安全性摘要:隨著網(wǎng)絡(luò)日益成為銀行業(yè)快速發(fā)展的必要手段和工具����,銀行網(wǎng)絡(luò)正在向融和網(wǎng)絡(luò)的目標(biāo)靠近。如何確保網(wǎng)絡(luò)基礎(chǔ)設(shè)施層上承載的各種金融數(shù)據(jù)的安全���,是當(dāng)今全球金融行業(yè)技術(shù)關(guān)注點(diǎn)����。本文也正基于此展開相應(yīng)研究�。關(guān)鍵詞:銀行網(wǎng)絡(luò)數(shù)據(jù)傳輸;增強(qiáng)�����;安全性在網(wǎng)絡(luò)基礎(chǔ)設(shè)施層上承載著銀行交易數(shù)據(jù)流�、OA數(shù)據(jù)流、路由選擇協(xié)議數(shù)據(jù)流�、網(wǎng)絡(luò)管理數(shù)據(jù)流等多種類型數(shù)據(jù)。對不同類型的數(shù)據(jù)流的要求采用不同的安全保護(hù)級別��。目前,很多通用網(wǎng)絡(luò)技術(shù)經(jīng)過簡單的培訓(xùn)就能夠被大部分普通人所使用���。如何利用現(xiàn)有通用����、成熟技術(shù)����,在對銀行網(wǎng)絡(luò)不作較大規(guī)模改動的前提下,提高銀行廣域網(wǎng)
2�����、數(shù)據(jù)傳輸安全���,降低案件發(fā)生的概率����,是整個銀行網(wǎng)絡(luò)安全保障工作不得不考慮的一個重要方面��。1建設(shè)背景銀行內(nèi)部網(wǎng)絡(luò)目前在廣域網(wǎng)連接上大多數(shù)采用運(yùn)營商的專用線路�。在銀行網(wǎng)絡(luò)的數(shù)據(jù)鏈路層主要采用HDLC、PPP、ATM�����、幀中繼�、CPOS�����、MSTP等通用協(xié)議���,在網(wǎng)絡(luò)層主要采用IP協(xié)議���,并且在這兩層都沒有作安全處理。如果了解到銀行的網(wǎng)絡(luò)層IP規(guī)劃和訪問控制技術(shù)細(xì)節(jié)(這些細(xì)節(jié)密級相對較低�,容易獲得),就有可能在銀行以外的物理區(qū)域接入銀行內(nèi)部局域網(wǎng)����,模擬出和網(wǎng)點(diǎn)業(yè)務(wù)網(wǎng)絡(luò)相同的環(huán)境,從而實(shí)施犯罪����。例如,在網(wǎng)點(diǎn)柜員簽到后,在運(yùn)營商機(jī)站內(nèi)模擬出網(wǎng)點(diǎn)終端上的交易畫面�,從而實(shí)施犯
3、罪�。2.需求分析在廣域網(wǎng)兩端相應(yīng)的路由器上,在數(shù)據(jù)鏈路層或者網(wǎng)絡(luò)層增加安全方面配置�,提高數(shù)據(jù)傳輸?shù)陌踩D壳霸跀?shù)據(jù)鏈路層上做安全性保護(hù)難度較大���,因?yàn)樯婕暗脑O(shè)備種類多����,部門多�����,還有可能需要購買昂貴的安全產(chǎn)品�。在網(wǎng)絡(luò)層上做安全保護(hù)相對來說就比較容易,它僅僅需要銀行單位的網(wǎng)管人員做一些軟件配置����。IPSec是網(wǎng)絡(luò)層的安全機(jī)制。通過對網(wǎng)絡(luò)層包信息的保護(hù)��,上層應(yīng)用程序即使沒有實(shí)現(xiàn)安全性����,也能夠自動從網(wǎng)絡(luò)層提供的安全性中獲益����。經(jīng)過對比����,我們認(rèn)為采用這種方式較為現(xiàn)實(shí)���。配置簡單���,效果明顯。缺點(diǎn)是路由器IPSec軟件進(jìn)行加密/解密運(yùn)算將會占用了較多的CPU資源��,從而影響了
4�、整機(jī)性能。但是通過減少需要保護(hù)的數(shù)據(jù)流規(guī)模�����,在大多數(shù)目前的銀行網(wǎng)絡(luò)上就能實(shí)現(xiàn)銀行交易數(shù)據(jù)流安全性的有效提升��。3技術(shù)實(shí)施方案和結(jié)論針對大多數(shù)銀行核心路由器采用CISCO設(shè)備��,網(wǎng)點(diǎn)路由器采用華為設(shè)備。本方案選用不同廠家設(shè)備:華為R2621(VRP1.74)和思科2600(IOS12.0)做的實(shí)驗(yàn)����。采用IPSEC機(jī)制,兩臺設(shè)備分別通過使用ATM仿真幀中繼電路的廣域網(wǎng)絡(luò)和使用以太網(wǎng)的局域網(wǎng)等多個異種網(wǎng)絡(luò)連接在一起����,對有保護(hù)需求的數(shù)據(jù)流作全程加密傳輸。因此���,我認(rèn)為����,這個方案具有一定的代表性��,對目前銀行所有的局域網(wǎng)���、廣域網(wǎng)����、各種業(yè)務(wù)應(yīng)用都具有實(shí)踐意義��。試驗(yàn)內(nèi)容如下
5��、:3.1華為2620的配置ikepre-shared-keyvvvremote192.96.19.5//配置IKE預(yù)共享密鑰(vvv)對端接入地址acl3080match-orderconfig//定義感興趣數(shù)據(jù)流rulenormalpermitipsource192.96.129.10.0.0.0destination192.96.99.10.0.0.0rulenormaldenyipsourceanydestinationanyipsecproposalvvv//定義提議vvvipsecpolicyp110isakmp//定義策略p1securit
6、yacl3080//應(yīng)用訪問表proposalvvv//引用提議vvvtunnelremote192.96.19.5//定義對端設(shè)備接入網(wǎng)絡(luò)的接口地址interfaceSerial0link-protocolfripaddress192.96.36.78255.255.255.252ripversion2multicastipsecpolicyp1//在端口上應(yīng)用策略p1frlmitypeansifrmapip192.96.36.77dlci112broadcastinterfaceDialer0ipaddress192.96.129.1255.255
7�、.255.252ripundosummaryppolicy1//IKE的配置認(rèn)證方式pre-share預(yù)共享密鑰vvvauthenticationpre-sharecryptoisakmpkeyvvvaddress192.96.36.78cryptoipsectransform-setvvvesp-desesp-md5-hmac//IPSec提議的配置!cryptomapccc10ipsec-isakmp//加密圖ccc的配置setpeer192.96.36.78settransform-setvvvmatchaddress101interfaceLo
8、opback3ipaddress192.96.99.1255.255.255.255inter
