基于访问控制技术的银行网络安全研究及应用.docVIP

　　基于访问控制技术的银行网络安全研究及应用 摘 要 随着 计算 机 网络 技术的迅速 发展 和广泛 应用 ，计算机网络在银行业的 金融 电子 化建设中已占据了重要位置。 目前 国内各主要商业银行的网络安全体系结构中，访问控制是保障网络安全最重要的核心策略之一。基于访问控制技术的网络安全体系已成为国内各主要商业银行构建网络安全体系的重要手段。 关键字 访问控制；银行网络安全；虚拟局域网；访问控制列表 1 引言 随着计算机网络在银行各项业务的应用中不断普及，各大商业银行已把网络安全放在了金融电子化建设中的一个极其重要的位置上，网络安全已成为构建银行计算机网络体系进程中必须首先需要考虑和解决的 问题 。在目前国内各主要商业银行进行金融电子化建设的过程中，访问控制是保证计算机网络安全最重要的核心策略之一，同时它也是维护网络安全、保护网络资源的一个重要手段，其主要任务是保证网络资源不被非法使用和非正常访问。因此，加强以访问控制为核心的银行计算机网络安全，保证银行的资金安全以及提高银行风险防范能力已成为当前各大银行亟待解决的问题。 2 访问控制的解决方案 目前访问控制的解决方案主要有以下几种：MAC地址过滤、VLAN隔离、基于IP地址的访问控制列表和防火墙控制等。 2.1 MAC地址过滤法 MAC地址是网络设备在全球的惟一编号，它也就是我们通常所说的：物理地址、硬件地址、适配器地址或网卡地址。MAC地址可用于直接标识某个网络设备，是目前网络数据交换的基础。 2.2 VLAN隔离法 VLAN(虚拟局域网)技术是为了避免当一个网络系统中网络设备数量增加到一定程度后，众多的网络广播报文消耗大量的网络带宽，使得真正的数据传递受到很大的 影响 ，确保部分安全性比较敏感的部门数据不被随意访问浏览而采用一种划分相互隔离子网的 方法 。 2.3 基于IP地址的访问控制列表法 访问控制列表在路由器和三层交换机中被广泛采用，它是一种基于包过滤的流向控制技术。标准访问控制列表通过把源地址、目的地址以及端口号作为数据包检查的基本元素，并可以规定符合检查条件的数据包是允许通过，还是不允许通过。 2.4 防火墙控制法 防火墙技术首先将网络划分为内网与外网，它通过 分析 每一项内网与外网通信应用的协议构成，得出主机IP地址及IP上联端口号，从而规划出业务流，对相应的业务流进行控制。防火墙技术在最大限度上限制了源IP地址、目的IP地址、源上联端口号、目的上联端口号的访问权限，从而限制了每一业务流的通断。 3 访问控制在银行网络安全体系中的应用 银行网络安全体系是根据具体业务对网络安全的需求，以访问控制为核心而构建起来的，其中心思想就是“不同的部门及人员根据其所从事的工作有不同的网络使用权限”。 3.1 银行网络安全体系中访问控制总体应用 根据分行内各部门的具体业务对网络安全的不同需求，在分行的核心交换机上按照具体业务需求划分了若干个VLAN(Virtual Local Area Network)，不同的VLAN对安全的要求不同，因而各VLAN对分行网络的访问权限也就不一样。根据此要求，在交换机上对各VLAN都定义了各自的访问控制列表，各VLAN的访问控制列表对本VLAN内的设备能够访问以及禁止访问的目标网段或者具体的目标设备都作了严格的规定，一旦访问控制列表被定义完成，它将立即生效，本VLAN内的所有设备都将受访问控制列表的约束。各VLAN的访问控制列表也不相同，这些列表之间的差异体现了各VLAN对网络安全的需求的差异。在分行内部网和与外单位相连的外部网之间，使用防火墙来对进出内外网的数据流进行筛选和过滤。在防火墙上根据不同的业务定义了不同的安全策略，主要就是根据这些安全策略来对进出的数据流进行过滤，以保证只允许认为安全的数据进出内部网，对认为不安全的数据则禁止其通过。如图1所示，银行网络拓扑结构图。 图1 银行网络拓扑结构 3.2 分行VLAN及访问控制 在分行内部根据具体业务的需要将局域网分成了若干个VLAN，在各VLAN内用访问控制列表(ACL)对VLAN的 网络 安全作出了各自不同的规定。例如根据总行制定的总体规范和分行具体的业务需求，某分行(分行本部)的网络划分成以下几个VLAN：生产VLAN、办公服务器( 科技 部管理)VLAN、业务办公VLAN、国际业务VLAN、中间业务VLAN、开发测试VLAN、网络设备VLAN、视频会议VLAN、电话银行VLAN、电话银行语音网关VLAN。按照总行的总体要求，生产系统与办公系统之间必须要有可控制的访问。以 目前 可利用的实际条件，比较合适的方式是在分行的局域网内设置VLAN，在每个VLAN内根据业务需要设置访问控制列表(ACL)，利用访问控制列表来控制访问生产系统与办公系统