本站小編為你精心準(zhǔn)備了增強銀行網(wǎng)絡(luò)數(shù)據(jù)傳輸安全性參考范文，愿這些范文能點燃您思維的火花，激發(fā)您的寫作靈感。歡迎深入閱讀并收藏。

摘要：隨著網(wǎng)絡(luò)日益成為銀行業(yè)快速發(fā)展的必要手段和工具，銀行網(wǎng)絡(luò)正在向融和網(wǎng)絡(luò)的目標(biāo)靠近。如何確保網(wǎng)絡(luò)基礎(chǔ)設(shè)施層上承載的各種金融數(shù)據(jù)的安全，是當(dāng)今全球金融行業(yè)技術(shù)關(guān)注點。本文也正基于此展開相應(yīng)研究。

關(guān)鍵詞：銀行網(wǎng)絡(luò)數(shù)據(jù)傳輸；增強；安全性

在網(wǎng)絡(luò)基礎(chǔ)設(shè)施層上承載著銀行交易數(shù)據(jù)流、OA數(shù)據(jù)流、路由選擇協(xié)議數(shù)據(jù)流、網(wǎng)絡(luò)管理數(shù)據(jù)流等多種類型數(shù)據(jù)。對不同類型的數(shù)據(jù)流的要求采用不同的安全保護(hù)級別。目前，很多通用網(wǎng)絡(luò)技術(shù)經(jīng)過簡單的培訓(xùn)就能夠被大部分普通人所使用。如何利用現(xiàn)有通用、成熟技術(shù)，在對銀行網(wǎng)絡(luò)不作較大規(guī)模改動的前提下，提高銀行廣域網(wǎng)數(shù)據(jù)傳輸安全，降低案件發(fā)生的概率，是整個銀行網(wǎng)絡(luò)安全保障工作不得不考慮的一個重要方面。

1建設(shè)背景

銀行內(nèi)部網(wǎng)絡(luò)目前在廣域網(wǎng)連接上大多數(shù)采用運營商的專用線路。在銀行網(wǎng)絡(luò)的數(shù)據(jù)鏈路層主要采用HDLC、PPP、ATM、幀中繼、CPOS、MSTP等通用協(xié)議，在網(wǎng)絡(luò)層主要采用IP協(xié)議，并且在這兩層都沒有作安全處理。如果了解到銀行的網(wǎng)絡(luò)層IP規(guī)劃和訪問控制技術(shù)細(xì)節(jié)（這些細(xì)節(jié)密級相對較低，容易獲得），就有可能在銀行以外的物理區(qū)域接入銀行內(nèi)部局域網(wǎng)，模擬出和網(wǎng)點業(yè)務(wù)網(wǎng)絡(luò)相同的環(huán)境，從而實施犯罪。例如，在網(wǎng)點柜員簽到后，在運營商機站內(nèi)模擬出網(wǎng)點終端上的交易畫面，從而實施犯罪。

2.需求分析

在廣域網(wǎng)兩端相應(yīng)的路由器上，在數(shù)據(jù)鏈路層或者網(wǎng)絡(luò)層增加安全方面配置，提高數(shù)據(jù)傳輸?shù)陌踩?/p>

目前在數(shù)據(jù)鏈路層上做安全性保護(hù)難度較大，因為涉及的設(shè)備種類多，部門多，還有可能需要購買昂貴的安全產(chǎn)品。在網(wǎng)絡(luò)層上做安全保護(hù)相對來說就比較容易，它僅僅需要銀行單位的網(wǎng)管人員做一些軟件配置。

IPSec是網(wǎng)絡(luò)層的安全機制。通過對網(wǎng)絡(luò)層包信息的保護(hù)，上層應(yīng)用程序即使沒有實現(xiàn)安全性，也能夠自動從網(wǎng)絡(luò)層提供的安全性中獲益。經(jīng)過對比，我們認(rèn)為采用這種方式較為現(xiàn)實。配置簡單，效果明顯。缺點是路由器IPSec軟件進(jìn)行加密/解密運算將會占用了較多的CPU資源，從而影響了整機性能。但是通過減少需要保護(hù)的數(shù)據(jù)流規(guī)模，在大多數(shù)目前的銀行網(wǎng)絡(luò)上就能實現(xiàn)銀行交易數(shù)據(jù)流安全性的有效提升。

3技術(shù)實施方案和結(jié)論

針對大多數(shù)銀行核心路由器采用CISCO設(shè)備，網(wǎng)點路由器采用華為設(shè)備。本方案選用不同廠家設(shè)備：華為R2621（VRP1.74）和思科2600（IOS12.0）做的實驗。采用IPSEC機制，兩臺設(shè)備分別通過使用ATM仿真幀中繼電路的廣域網(wǎng)絡(luò)和使用以太網(wǎng)的局域網(wǎng)等多個異種網(wǎng)絡(luò)連接在一起，對有保護(hù)需求的數(shù)據(jù)流作全程加密傳輸。因此，我認(rèn)為，這個方案具有一定的代表性，對目前銀行所有的局域網(wǎng)、廣域網(wǎng)、各種業(yè)務(wù)應(yīng)用都具有實踐意義。

試驗內(nèi)容如下：

3.1華為2620的配置ikepre-shared-keyvvvremote192.96.19.5

//配置IKE預(yù)共享密鑰（vvv）對端接入地址

acl3080match-orderconfig

//定義感興趣數(shù)據(jù)流

rulenormalpermitipsource192.96.129.10.0.0.0destination192.96.99.10.0.0.0

rulenormaldenyipsourceanydestinationany

ipsecproposalvvv

//定義提議vvv

ipsecpolicyp110isakmp 

//定義策略p1

securityacl3080

//應(yīng)用訪問表

proposalvvv

//引用提議vvv

tunnelremote192.96.19.5

//定義對端設(shè)備接入網(wǎng)絡(luò)的接口地址

interfaceSerial0

link-protocolfr

ipaddress192.96.36.78255.255.255.252

ripversion2multicast

ipsecpolicyp1

//在端口上應(yīng)用策略p1

frlmitypeansi

frmapip192.96.36.77dlci112broadcast

interfaceDialer0

ipaddress192.96.129.1255.255.255.252

rip

undosummary

network192.0.0.0

3.2cisco2600的配置

cryptoisakmppolicy1

//IKE的配置認(rèn)證方式pre-share預(yù)共享密鑰vvv

authenticationpre-share

cryptoisakmpkeyvvvaddress192.96.36.78

cryptoipsectransform-setvvvesp-desesp-md5-hmac

//IPSec提議的配置!

cryptomapccc10ipsec-isakmp

//加密圖ccc的配置

 setpeer192.96.36.78

settransform-setvvv

matchaddress101

interfaceLoopback3

ipaddress192.96.99.1255.255.255.255

interfaceFastEthernet0/0

ipaddress192.96.19.5255.255.255.0

cryptomapccc

//在端口上應(yīng)用加密圖ccc

ipclassless

iproute0.0.0.00.0.0.0192.96.19.254

//以下訪問表定義感興趣的數(shù)據(jù)流

access-list101permitiphost192.96.99.1host192.96.129.1

access-list101denyipanyany

4結(jié)論

在華為2620設(shè)備上以192.96.129.1為源地址和cisco2600上的目標(biāo)地址192.96.19.5能夠正常通訊。

在cisco2600上以192.96.19.5為源地址和華為2620設(shè)備上的目標(biāo)地址192.96.129.1的通訊也很正常。

如果有一端設(shè)備在連接網(wǎng)絡(luò)的端口上取消了策略，或者兩端IKE預(yù)共享密鑰錯誤，那么兩端敏感的數(shù)據(jù)流將不能正常通訊，而其他數(shù)據(jù)流不受影響。因此，只要保護(hù)好密鑰不被泄露，銀行交易數(shù)據(jù)流的安全性就能夠得到必要的保障。

上述配置均使用默認(rèn)協(xié)議、傳輸方式、加密算法、認(rèn)證算法和生存周期等，所以顯示出來的比較簡單。實際操作時需要注意兩端參數(shù)的匹配。

在網(wǎng)絡(luò)安全的技術(shù)設(shè)置方案中，存在多種途徑，考察方案的優(yōu)劣可能存在各種標(biāo)準(zhǔn)。本方案則是在可靠性的基礎(chǔ)上，充分考慮可操作性和簡便性而采取的設(shè)置。因此，在目前技術(shù)條件下本方案具有明顯的優(yōu)勢和特點。隨著網(wǎng)絡(luò)技術(shù)的日益成熟和發(fā)展，更可靠、更先進(jìn)的技術(shù)必將有待我們進(jìn)一步的研究和發(fā)掘。

參考文獻(xiàn)：

[1]卡爾•H•邁耶,斯蒂芬•M•馬特斯著.保密系統(tǒng)設(shè)計和實現(xiàn)指南翻譯組譯.密碼學(xué)計算機數(shù)據(jù)保密的新領(lǐng)域——保密系統(tǒng)設(shè)計和實現(xiàn)指南[M].北京:總參謀部第五十一所,1995.

[2]蔡立軍.計算機網(wǎng)絡(luò)安全技術(shù)[M].北京:中國水利水電出版社,2005.

[3]盧開澄.計算機密碼學(xué)——計算機網(wǎng)絡(luò)中的數(shù)據(jù)預(yù)安全[M].北京:清華大學(xué)出版社,200