(中国工商银行股份有限公司徐州分行技术支持中心,江苏徐州221003)
作者简介:魏强,中国工商银行股份有限公司徐州分行技术支持中心。
摘要:随着网络日益成为银行业快速发展的必要手段和工具,银行网络正在向融和网络的目标靠近。如何确保网络基础设施层上承载的各种金融数据的安全,是当今全球金融行业技术关注点。本文也正基于此展开相应研究。
关键词:银行网络数据传输;增强;安全性
在网络基础设施层上承载着银行交易数据流、OA数据流、路由选择协议数据流、网络管理数据流等多种类型数据。对不同类型的数据流的要求采用不同的安全保护级别。目前,很多通用网络技术经过简单的培训就能够被大部分普通人所使用。如何利用现有通用、成熟技术,在对银行网络不作较大规模改动的前提下,提高银行广域网数据传输安全,降低案件发生的概率,是整个银行网络安全保障工作不得不考虑的一个重要方面。
1建设背景
银行内部网络目前在广域网连接上大多数采用运营商的专用线路。在银行网络的数据链路层主要采用HDLC、PPP、ATM、帧中继、CPOS、MSTP等通用协议,在网络层主要采用IP协议,并且在这两层都没有作安全处理。如果了解到银行的网络层IP规划和访问控制技术细节(这些细节密级相对较低,容易获得),就有可能在银行以外的物理区域接入银行内部局域网,模拟出和网点业务网络相同的环境,从而实施犯罪。例如,在网点柜员签到后,在运营商机站内模拟出网点终端上的交易画面,从而实施犯罪。
2.需求分析
在广域网两端相应的路由器上,在数据链路层或者网络层增加安全方面配置,提高数据传输的安全。
目前在数据链路层上做安全性保护难度较大,因为涉及的设备种类多,部门多,还有可能需要购买昂贵的安全产品。在网络层上做安全保护相对来说就比较容易,它仅仅需要银行单位的网管人员做一些软件配置。
IPSec是网络层的安全机制。通过对网络层包信息的保护,上层应用程序即使没有实现安全性,也能够自动从网络层提供的安全性中获益。经过对比,我们认为采用这种方式较为现实。配置简单,效果明显。缺点是路由器IPSec软件进行加密/解密运算将会占用了较多的CPU资源,从而影响了整机性能。但是通过减少需要保护的数据流规模,在大多数目前的银行网络上就能实现银行交易数据流安全性的有效提升。
3技术实施方案和结论
针对大多数银行核心路由器采用CISCO设备,网点路由器采用华为设备。本方案选用不同厂家设备:华为R2621(VRP1.74)和思科2600(IOS12.0)做的实验。采用IPSEC机制,两台设备分别通过使用ATM仿真帧中继电路的广域网络和使用以太网的局域网等多个异种网络连接在一起,对有保护需求的数据流作全程加密传输。因此,我认为,这个方案具有一定的代表性,对目前银行所有的局域网、广域网、各种业务应用都具有实践意义。
试验内容如下:
3.1华为2620的配置ikepre-shared-keyvvvremote192.96.19.5
//配置IKE预共享密钥(vvv)对端接入地址
acl3080match-orderconfig
//定义感兴趣数据流
rulenormalpermitipsource192.96.129.10.0.0.0destination192.96.99.10.0.0.0
rulenormaldenyipsourceanydestinationany
ipsecproposalvvv
//定义提议vvv
ipsecpolicyp110isakmp
//定义策略p1
securityacl3080
//应用访问表
proposalvvv
//引用提议vvv
tunnelremote192.96.19.5
//定义对端设备接入网络的接口地址
interfaceSerial0
link-protocolfr
ipaddress192.96.36.78255.255.255.252
ripversion2multicast
ipsecpolicyp1
//在端口上应用策略p1
frlmitypeansi
frmapip192.96.36.77dlci112broadcast
interfaceDialer0
ipaddress192.96.129.1255.255.255.252
rip
undosummary
network192.0.0.0
3.2cisco2600的配置
cryptoisakmppolicy1
//IKE的配置认证方式pre-share预共享密钥vvv
authenticationpre-share
cryptoisakmpkeyvvvaddress192.96.36.78
cryptoipsectransform-setvvvesp-desesp-md5-hmac
//IPSec提议的配置!
cryptomapccc10ipsec-isakmp
//加密图ccc的配置
setpeer192.96.36.78
settransform-setvvv
matchaddress101
interfaceLoopback3
ipaddress192.96.99.1255.255.255.255
interfaceFastEthernet0/0
ipaddress192.96.19.5255.255.255.0
cryptomapccc
//在端口上应用加密图ccc
ipclassless
iproute0.0.0.00.0.0.0192.96.19.254
//以下访问表定义感兴趣的数据流
access-list101permitiphost192.96.99.1host192.96.129.1
access-list101denyipanyany
4结论
在华为2620设备上以192.96.129.1为源地址和cisco2600上的目标地址192.96.19.5能够正常通讯。
在cisco2600上以192.96.19.5为源地址和华为2620设备上的目标地址192.96.129.1的通讯也很正常。
如果有一端设备在连接网络的端口上取消了策略,或者两端IKE预共享密钥错误,那么两端敏感的数据流将不能正常通讯,而其他数据流不受影响。因此,只要保护好密钥不被泄露,银行交易数据流的安全性就能够得到必要的保障。
上述配置均使用默认协议、传输方式、加密算法、认证算法和生存周期等,所以显示出来的比较简单。实际操作时需要注意两端参数的匹配。
在网络安全的技术设置方案中,存在多种途径,考察方案的优劣可能存在各种标准。本方案则是在可靠性的基础上,充分考虑可操作性和简便性而采取的设置。因此,在目前技术条件下本方案具有明显的优势和特点。随着网络技术的日益成熟和发展,更可靠、更先进的技术必将有待我们进一步的研究和发掘。
参考文献:
[1]卡尔•H•迈耶,斯蒂芬•M•马特斯著.保密系统设计和实现指南翻译组译.密码学计算机数据保密的新领域——保密系统设计和实现指南[M].北京:总参谋部第五十一所,1995.
[2]蔡立军.计算机网络安全技术[M].北京:中国水利水电出版社,2005.
[3]卢开澄.计算机密码学——计算机网络中的数据预安全[M].北京:清华大学出版社,2003