基于訪問控制技術(shù)的銀行網(wǎng)絡(luò)安全研究及應(yīng)用

基于訪問控制技術(shù)的銀行網(wǎng)絡(luò)安全研究及應(yīng)用

摘要隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的迅速發(fā)展和廣泛應(yīng)用，計(jì)算機(jī)網(wǎng)絡(luò)在銀行業(yè)的金融電子化建設(shè)中已占據(jù)了重要位置。目前國內(nèi)各主要商業(yè)銀行的網(wǎng)絡(luò)安全體系結(jié)構(gòu)中，訪問控制是保障網(wǎng)絡(luò)安全最重要的核心策略之一?；谠L問控制技術(shù)的網(wǎng)絡(luò)安全體系已成為國內(nèi)各主要商業(yè)銀行構(gòu)建網(wǎng)絡(luò)安全體系的重要手段。

關(guān)鍵字訪問控制；銀行網(wǎng)絡(luò)安全；虛擬局域網(wǎng)；訪問控制列表1引言

隨著計(jì)算機(jī)網(wǎng)絡(luò)在銀行各項(xiàng)業(yè)務(wù)的應(yīng)用中不斷普及，各大商業(yè)銀行已把網(wǎng)絡(luò)安全放在了金融電子化建設(shè)中的一個(gè)極其重要的位置上，網(wǎng)絡(luò)安全已成為構(gòu)建銀行計(jì)算機(jī)網(wǎng)絡(luò)體系進(jìn)程中必須首先需要考慮和解決的問題。在目前國內(nèi)各主要商業(yè)銀行進(jìn)行金融電子化建設(shè)的過程中，訪問控制是保證計(jì)算機(jī)網(wǎng)絡(luò)安全最重要的核心策略之一，同時(shí)它也是維護(hù)網(wǎng)絡(luò)安全、保護(hù)網(wǎng)絡(luò)資源的一個(gè)重要手段，其主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和非正常訪問。因此，加強(qiáng)以訪問控制為核心的銀行計(jì)算機(jī)網(wǎng)絡(luò)安全，保證銀行的資金安全以及提高銀行風(fēng)險(xiǎn)防范能力已成為當(dāng)前各大銀行亟待解決的問題。2訪問控制的解決方案

目前訪問控制的解決方案主要有以下幾種：MAC地址過濾、VLAN隔離、基于IP地址的訪問控制列表和防火墻控制等。2.1MAC地址過濾法

MAC地址是網(wǎng)絡(luò)設(shè)備在全球的惟一編號，它也就是我們通常所說的：物理地址、硬件地址、適配器地址或網(wǎng)卡地址。MAC地址可用于直接標(biāo)識某個(gè)網(wǎng)絡(luò)設(shè)備，是目前網(wǎng)絡(luò)數(shù)據(jù)交換的基礎(chǔ)。2.2VLAN隔離法

VLAN(虛擬局域網(wǎng))技術(shù)是為了避免當(dāng)一個(gè)網(wǎng)絡(luò)系統(tǒng)中網(wǎng)絡(luò)設(shè)備數(shù)量增加到一定程度后，眾多的網(wǎng)絡(luò)廣播報(bào)文消耗大量的網(wǎng)絡(luò)帶寬，使得真正的數(shù)據(jù)傳遞受到很大的影響，確保部分安全性比較敏感的部門數(shù)據(jù)不被隨意訪問瀏覽而采用一種劃分相互隔離子網(wǎng)的方法。2.3基于IP地址的訪問控制列表法

訪問控制列表在路由器和三層交換機(jī)中被廣泛采用，它是一種基于包過濾的流向控制技術(shù)。標(biāo)準(zhǔn)訪問控制列表通過把源地址、目的地址以及端口號作為數(shù)據(jù)包檢查的基本元素，并可以規(guī)定符合檢查條件的數(shù)據(jù)包是允許通過，還是不允許通過。2.4防火墻控制法

防火墻技術(shù)首先將網(wǎng)絡(luò)劃分為內(nèi)網(wǎng)與外網(wǎng)，它通過分析每一項(xiàng)內(nèi)網(wǎng)與外網(wǎng)通信應(yīng)用的協(xié)議構(gòu)成，得出主機(jī)IP地址及IP上聯(lián)端口號，從而規(guī)劃出業(yè)務(wù)流，對相應(yīng)的業(yè)務(wù)流進(jìn)行控制。防火墻技術(shù)在最大限度上限制了源IP地址、目的IP地址、源上聯(lián)端口號、目的上聯(lián)端口號的訪問權(quán)限，從而限制了每一業(yè)務(wù)流的通斷。3訪問控制在銀行網(wǎng)絡(luò)安全體系中的應(yīng)用

銀行網(wǎng)絡(luò)安全體系是根據(jù)具體業(yè)務(wù)對網(wǎng)絡(luò)安全的需求，以訪問控制為核心而構(gòu)建起來的，其中心思想就是“不同的部門及人員根據(jù)其所從事的工作有不同的網(wǎng)絡(luò)使用權(quán)限”。3.1銀行網(wǎng)絡(luò)安全體系中訪問控制總體應(yīng)用

根據(jù)分行內(nèi)各部門的具體業(yè)務(wù)對網(wǎng)絡(luò)安全的不同需求，在分行的核心交換機(jī)上按照具體業(yè)務(wù)需求劃分了若干個(gè)VLAN(VirtualLocalAreaNetwork)，不同的VLAN對安全的要求不同，因而各VLAN對分行網(wǎng)絡(luò)的訪問權(quán)限也就不一樣。根據(jù)此要求，在交換機(jī)上對各VLAN都定義了各自的訪問控制列表，各VLAN的訪問控制列表對本VLAN內(nèi)的設(shè)備能夠訪問以及禁止訪問的目標(biāo)網(wǎng)段或者具體的目標(biāo)設(shè)備都作了嚴(yán)格的規(guī)定，一旦訪問控制列表被定義完成，它將立即生效，本VLAN內(nèi)的所有設(shè)備都將受訪問控制列表的約束。各VLAN的訪問控制列表也不相同，這些列表之間的差異體現(xiàn)了各VLAN對網(wǎng)絡(luò)安全的需求的差異。在分行內(nèi)部網(wǎng)和與外單位相連的外部網(wǎng)之間，使用防火墻來對進(jìn)出內(nèi)外網(wǎng)的數(shù)據(jù)流進(jìn)行篩選和過濾。在防火墻上根據(jù)不同的業(yè)務(wù)定義了不同的安全策略，主要就是根據(jù)這些安全策略來對進(jìn)出的數(shù)據(jù)流進(jìn)行過濾，以保證只允許認(rèn)為安全的數(shù)據(jù)進(jìn)出內(nèi)部網(wǎng)，對認(rèn)為不安全的數(shù)據(jù)則禁止其通過。如圖1所示，銀行網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖。3.2分行VLAN及訪問控制

在分行內(nèi)部根據(jù)具體業(yè)務(wù)的需要將局域網(wǎng)分成了若干個(gè)VLAN，在各VLAN內(nèi)用訪問控制列表(ACL)對VLAN的網(wǎng)絡(luò)安全作出了各自不同的規(guī)定。例如根據(jù)總行制定的總體規(guī)范和分行具體的業(yè)務(wù)需求，某分行(分行本部)的網(wǎng)絡(luò)劃分成以下幾個(gè)VLAN：生產(chǎn)VLAN、辦公服務(wù)器(科技部管理)VLAN、業(yè)務(wù)辦公VLAN、國際業(yè)務(wù)VLAN、中間業(yè)務(wù)VLAN、開發(fā)測試VLAN、網(wǎng)絡(luò)設(shè)備VLAN、視頻會(huì)議VLAN、電話銀行VLAN、電話銀行語音網(wǎng)關(guān)VLAN。按照總行的總體要求，生產(chǎn)系統(tǒng)與辦公系統(tǒng)之間必須要有可控制的訪問。以目前可利用的實(shí)際條件，比較合適的方式是在分行的局域網(wǎng)內(nèi)設(shè)置VLAN，在每個(gè)VLAN內(nèi)根據(jù)業(yè)務(wù)需要設(shè)置訪問控制列表(ACL)，利用訪問控制列表來控制訪問生產(chǎn)系統(tǒng)與辦公系統(tǒng)的VLAN。訪問控制的總體設(shè)置原則如表1所示。

表1分行訪問控制總體設(shè)置4結(jié)束語

在計(jì)算機(jī)病毒防御形勢日趨嚴(yán)峻的今天，必須加強(qiáng)對運(yùn)用訪問控制來及時(shí)發(fā)現(xiàn)和抵御病毒這方面的研究，力求在網(wǎng)絡(luò)層就把病毒拒之門外，為銀行各項(xiàng)業(yè)務(wù)的正常開展提供可靠的安全保障。參考文獻(xiàn)[1]戚文靜，劉學(xué).網(wǎng)絡(luò)安全原理與應(yīng)用[M].中國水利水電出版社，2005，9[2]鄧集波，洪帆.基于任務(wù)的訪問控