浅谈“访问控制”技术在银行网络安全中的运用.docVIP

PAGE PAGE 1 浅谈“访问控制”技术在银行网络安全中的运用 　　摘要：随着计算机网络技术的迅速发展和广泛应用，计算机网络在银行业的金融电子化建设中已占据了重要位置。目前国内各主要商业银行的网络安全体系结构中，访问控制是保障网络安全最重要的核心策略之一。基于访问控制技术的网络安全体系已成为国内各主要商业银行构建网络安全体系的重要手段。 　　关键词：访问控制；银行网络安全；虚拟局域网；访问控制列表 　　中图分类号：TP393.08文献标识码：A文章编号：1007-9599（2012）20-0000-02 　　1引言 　　随着计算机网络在银行各项业务的应用中不断普及，各大商业银行已把网络安全放在了金融电子化建设中的一个极其重要的位置上，网络安全已成为构建银行计算机网络体系进程中必须首先需要考虑和解决的问题。在目前国内各主要商业银行进行金融电子化建设的过程中，访问控制是保证计算机网络安全最重要的核心策略之一，同时它也是维护网络安全、保护网络资源的一个重要手段，其主要任务是保证网络资源不被非法使用和非正常访问。因此，加强以访问控制为核心的银行计算机网络安全，保证银行的资金安全以及提高银行风险防范能力已成为当前各大银行亟待解决的问题。 　　2网上银行系统的安全问题 　　从系统层的角度，整个网上银行系统结构分为三个层次：第一部分是Internet接入区域；第二部分是对外提供服务的Web服务器，同时也放置了CA服务器；第三个部分是内网区域，含应用服务器、数据库服务器等。 　　对不同的安全级别的区域采用网关类的设备进行隔离，使用既能实现防火墙功能，又能实现IPS和病毒过滤的相关安全防护产品，实现网络层的隔离，应用层的攻击和病毒的隔离，形成真正意义上的立体全面多位一体综合侦测防御体系。 　　在网银系统互联网接入的入口处，为了保证链路的可用性，一般采取双链路接入方式，通过两家不同的ISP提供互联网接入，在其中一条链路出现故障时仍然可以提供网上银行的交易服务。同时，作为提供认证服务的CA中心，也是通过互联网提供连接的。CA认证中心作为独立的第三方机构，不属于网银系统的网络范畴，但客户对网银的验证和网银对客户的验证都是通过互联网连接CA中心实现的。 　　在网银系统的Internet接入路由器之后，部署安全网关（或防火墙）、负载均衡设备和WEB服务器。安全网关可根据需要也做双机热备处理。同时部署负载均衡设备，对访问网银系统的流量进行动态分配。负载均衡设备的另一个重要应用是可做SSL解密，因为SSL在解除非对称加密时会占用系统大量资源，因此在网银系统的设计中，SSL的解密一般放在负载均衡设备上处理，负载均衡设备专门对SSL解密过程做了硬件优化，因此在效率上能够得到保障。通过负载均衡设备后用户请求将进入WEB服务器，WEB服务器将部署网银门户网站的静态内容，如网银系统登陆入口、用户手册下载、驱动程序下载、工具软件下载、营销信息等网银相关内容，此外WEB服务器的另一个重要职责是向应用服务器转发通讯请求，对于需要和应用服务器交互的动态信息，如网银登陆、转账、实时查询等交易请求将通过部署在WEB服务器上的插件转发至应用服务器。 　　3访问控制技术的基本原理 　　在路由器上，我们可通过使用访问列表来执行数据包过滤。访问列表可用来控制网络上数据包的传递，限制虚拟终端线路的通信量或者控制路由选择更新。 　　包过滤功能对路由器本身产生的数据包不起作用，当数据包进入某个端口时，路由器首先检查该数据是否可以通过路由或桥接方式送出去。如果不能，则路由器将丢掉该数据包；如果该数据包可以传送出去，则路由器将检查该数据包是否满足该端口中定义的包过滤规则，如果包过滤规则不允许该数据包通过，则路由器将丢掉该数据包。 　　每个访问列表由多条规则组成，可以通过输入规则来允许或者禁止数据包。访问列表用号码来标志，对同一个访问列表的所有语句必须使用相同的号码。 　　使用的号码范围可以由正在应用的访问列表的类型决定。 　　结合大多数银行目前的实际应用情况，在此主要介绍IP访问控制列表：标准型和扩展型。IP访问列表是应用于IP地址的允许和禁止规则的集合，对于每个数据包，路由器顺序执行每个访问列表中的规则。如果路由器到达访问列表的底端而没有找到与该数据包相匹配的语句，则遗弃该数据包（这叫做隐式denyany）。 　　4访问控制的解决方案 　　目前访问控制的解决方案主要有以下几种：MAC地址过滤、VLAN隔离、基于IP地址的访问控制列表和防火墙控制等。 　　4.1MAC地址过滤法 　　MAC地址是网络设备在全球的惟一编号，它也就是我们通常所说的：物理地址、硬件地址、适配器地址或网卡地址。MAC地址可用于直接标识某个网络设备，是目前网络数据交换的基础。 　　4.2VLAN隔离法 　　VLA