浅析增强银行网络数据传输安全性

1 / 6浅析增强银行网络数据传输安全性摘 要：随着网络日益成为银行业快速发展的必要手段和工具，银行网络正在向融和网络的目标靠近。如何确保网络基础设施层上承载的各种金融数据的安全，是当今全球金融行业技术关注点。也正基于此展开相应研究。关键词：银行网络数据传输；增强；安全性在网络基础设施层上承载着银行交易数据流、OA 数据流、路由选择协议数据流、网络管理数据流等多种类型数据。对不同类型的数据流的要求采用不同的安全保护级别。目前，很多通用网络技术经过简单的培训就能够被大部分普通人所使用。如何利用现有通用、成熟技术，在对银行网络不作较大规模改动的前提下，提高银行广域网数据传输安全，降低案件发生的概率，是整个银行网络安全保障工作不得不考虑的一个重要方面。1 建设背景银行内部网络目前在广域网连接上大多数采用运营商的专用线路。在银行网络的数据链路层主要采用 HDLC 、PPP、 ATM、帧中继、CPOS、MSTP 等通用协议，在网络层主要采用 IP 协议，并且在这两层都没有作安全处理。如果了解到银行的网络层 IP 规划和访问控制技术细节，就有可能在银行以外的物理区域接入银行内部局域网，模拟出和2 / 6网点业务网络相同的环境，从而实施犯罪。例如，在网点柜员签到后，在运营商机站内模拟出网点终端上的交易画面，从而实施犯罪。2.需求分析在广域网两端相应的路由器上，在数据链路层或者网络层增加安全方面配置，提高数据传输的安全。目前在数据链路层上做安全性保护难度较大，因为涉及的设备种类多，部门多，还有可能需要购买昂贵的安全产品。在网络层上做安全保护相对来说就比较容易，它仅仅需要银行单位的网管人员做一些软件配置。IPSec 是网络层的安全机制。通过对网络层包信息的保护，上层应用程序即使没有实现安全性，也能够自动从网络层提供的安全性中获益。经过对比，我们认为采用这种方式较为现实。配置简单，效果明显。缺点是路由器 IPSec软件进行加密/解密运算将会占用了较多的 CPU 资源，从而影响了整机性能。但是通过减少需要保护的数据流规模，在大多数目前的银行网络上就能实现银行交易数据流安全性的有效提升。3 技术实施方案和结论针对大多数银行核心路由器采用 CISCO 设备，网点路由器采用华为设备。本方案选用不同厂家设备：华为 R2621和思科 2600 做的实验。采用 IPSEC 机制，两台设备分别通3 / 6过使用 ATM 仿真帧中继电路的广域网络和使用以太网的局域网等多个异种网络连接在一起，对有保护需求的数据流作全程加密传输。因此，我认为，这个方案具有一定的代表性，对目前银行所有的局域网、广域网、各种业务应用都具有实践意义。试验内容如下：华为 2620 的配置 ike pre-shared-key vvv remote / 配置 IKE 预共享密钥对端接入地址acl 3080 match-order config / 定义感兴趣数据流rule normal permit ip source destination rule normal deny ip source any destination anyipsec proposal vvv / 定义提议 vvvipsec policy p1 10 isakmp / 定义策略 p1security acl 3080 / 应用访问表proposal vvv / 引用提议 vvvtunnel remote 4 / 6/ 定义对端设备接入网络的接口地址interface Serial0link-protocol frip address rip version 2 multicastipsec policy p1 / 在端口上应用策略 p1fr lmi type ansifr map ip dlci 112 broadcastinterface Dialer0ip address ripundo summarynetwork 的配置crypto isakmp policy 1 / IKE 的配置 认证方式 pre-share 预共享密钥 vvvauthentication pre-sharecrypto isakmp key vvv address crypto ipsec transform-set vvv esp-des esp-md5-hmac / IPSec 提议的配置!5 / 6crypto map ccc 10 ipsec-isakmp / 加密图 ccc 的配置set peer set transform-set vvv match address 101interface Loopback3ip address interface FastEthernet0/0ip address crypto map ccc / 在端口上应用加密图 cccip classlessip route /以下访问表定义感兴趣的数据流 access-list 101 permit ip host host access-list 101 deny ip any any4 结论在华为 2620 设备上以为源地址和 cisco 2600 上的目标地址 能够正常通讯。在 cisco 2600 上以为源地址和华为 2620 设备上的目标地址的通讯也很正常。6 / 6如果有一端设备在连接网络的端口上取消了策略，或者两端 IKE 预共享密钥错误，那么两端敏感的数据流将不能正常通讯，而其他数据流不受影响。因此，只要保护好密钥不被泄露，银行交易数据流的安全性就能够得到必要的保障。上述配置均使用默认协议、传输方式、加密算法、认证算法和生存周期等，所以显示出来的比较简单。实际操作时需要注意两端参数的匹配。在网络安全的技术设置