資源描述:
《淺談“訪問控制”技術(shù)在銀行網(wǎng)絡(luò)安全中的運用》由會員上傳分享�����,免費在線閱讀���,更多相關(guān)內(nèi)容在工程資料-天天文庫。
1���、摘要:隨著計算機網(wǎng)絡(luò)技術(shù)的迅速發(fā)展和廣泛應(yīng)用��,計算機網(wǎng)絡(luò)在銀行業(yè)的金融電子化建設(shè)屮已占據(jù)了重要位置��。目詢國內(nèi)各主要商業(yè)銀行的網(wǎng)絡(luò)安全體系結(jié)構(gòu)中�����,訪問控制是保障網(wǎng)絡(luò)女全最重要的核心策略Z—�。基于訪問控制技術(shù)的網(wǎng)絡(luò)女全體系已成為國內(nèi)各主要商業(yè)銀行構(gòu)建網(wǎng)絡(luò)安全體系的重要手段�。中國論文網(wǎng)關(guān)鍵詞:訪問控制;銀行網(wǎng)絡(luò)安全�����;虛擬局域網(wǎng)���;訪問控制列表中圖分類號:TP393.08文獻(xiàn)標(biāo)識碼:A文章編號:1007-9599(2012)20-0000-021引言隨著計算機網(wǎng)絡(luò)在銀行各項業(yè)務(wù)的應(yīng)用中不斷普及�����,各大商業(yè)銀行已把網(wǎng)絡(luò)安全放在了金融電子化
2�����、建設(shè)中的一個極其重耍的位置上�,網(wǎng)絡(luò)安全已成為構(gòu)建銀行計算機網(wǎng)絡(luò)體系進(jìn)程中必須首先需要考慮和解決的問題�。在目前國內(nèi)各主要商業(yè)銀行進(jìn)行金融電子化建設(shè)的過程中,訪問控制是保證計算機網(wǎng)絡(luò)安全最重要的核心策略之一�,同時它也是維護(hù)網(wǎng)絡(luò)安全、保護(hù)網(wǎng)絡(luò)資源的一個重要手段����,其主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使川和非正常訪問���。因此,加強以訪問控制為核心的銀行計算機網(wǎng)絡(luò)安全�,保證銀行的資金安全以及提高銀行風(fēng)險防范能力己成為當(dāng)前各大銀行亟待解決的問題。2網(wǎng)上銀行系統(tǒng)的安全問題從系統(tǒng)層的角度�,整個網(wǎng)上銀行系統(tǒng)結(jié)構(gòu)分為三個層次:第一部分是Internet
3、接入?yún)^(qū)域;第二部分是對外提供服務(wù)的Web服務(wù)器�,同時也放置了CA服務(wù)器;第三個部分是內(nèi)網(wǎng)區(qū)域,含應(yīng)丿IJ服務(wù)器����、數(shù)據(jù)庫服務(wù)器等。對不同的女全級別的區(qū)域采用網(wǎng)關(guān)類的設(shè)備進(jìn)行隔離��,使用既能實現(xiàn)防火墻功能�,又能實現(xiàn)IPS和病毒過濾的相關(guān)安全防護(hù)產(chǎn)品,實現(xiàn)網(wǎng)絡(luò)層的隔離��,應(yīng)用層的攻擊和病毒的隔離����,形成真正意義上的立體全而多位一體綜合偵測防御體系。在網(wǎng)銀系統(tǒng)互聯(lián)網(wǎng)接入的入口處��,為了保證鏈路的可用性,一般采取雙鏈路接入方式�����,通過兩家不同的ISP提供互聯(lián)網(wǎng)接入��,在其中一條鏈路出現(xiàn)故障時仍然可以提供網(wǎng)上銀行的交易服務(wù)�����。同時���,作為提供認(rèn)證服務(wù)的
4���、CA+心,也是通過互聯(lián)網(wǎng)提供連接的���。CA認(rèn)證屮心作為獨立的第三方機構(gòu)�����,不屬于網(wǎng)銀系統(tǒng)的網(wǎng)絡(luò)范疇�����,但并戶對網(wǎng)銀的驗證和網(wǎng)銀對客戶的驗證都是通過互聯(lián)網(wǎng)連接CA中心實現(xiàn)的��。在網(wǎng)銀系統(tǒng)的Internet接入路由器之后���,部署安全網(wǎng)關(guān)(或防火墻)�、負(fù)載均衡設(shè)備和WEB服務(wù)器�。安全網(wǎng)關(guān)可根據(jù)需要也做雙機熱備處理�。同時部署負(fù)載均衡設(shè)備,對訪問網(wǎng)銀系統(tǒng)的流量進(jìn)行動態(tài)分配��。負(fù)載均衡設(shè)備的另一個重要應(yīng)用是可做SSL解密�����,因為SSL在解除非對稱加密時會占用系統(tǒng)大量資源�,因此在網(wǎng)銀系統(tǒng)的設(shè)計中,SSL的解密一般放在負(fù)載均衡設(shè)備上處理���,負(fù)載均衡設(shè)備專門
5���、對SSL解密過程做了硬件優(yōu)化,因此在效率上能夠得到保障��。通過負(fù)載均衡設(shè)備后用戶請求將述入WEB服務(wù)器,WEB服務(wù)器將部署網(wǎng)銀門八網(wǎng)站的靜態(tài)內(nèi)容�,如網(wǎng)銀系統(tǒng)登陸入口、用八手冊卜載���、驅(qū)動程序下載��、工具軟件下載��、營銷信息等網(wǎng)銀相關(guān)內(nèi)容�,此外WEB服務(wù)器的另一個重要職責(zé)是向應(yīng)用服務(wù)器轉(zhuǎn)發(fā)通訊請求��,對丁需要和應(yīng)用服務(wù)器交互的動態(tài)信息����,如網(wǎng)銀登陸、轉(zhuǎn)賬��、實時查詢等交易請求將通過部署在WEB服務(wù)器上的插件轉(zhuǎn)發(fā)至應(yīng)用服務(wù)器�����。3訪問控制技術(shù)的基本原理在路由器上�����,我們可通過使川訪問列表來執(zhí)行數(shù)據(jù)包過濾。訪問列表可川來控制網(wǎng)絡(luò)上數(shù)據(jù)包的傳遞��,限制
6����、虛擬終端線路的通信量或者控制路由選擇更新。包過濾功能對路rlr器本身產(chǎn)生的數(shù)據(jù)包不起作用����,當(dāng)數(shù)據(jù)包進(jìn)入某個端口時,路rh器首先檢杏該數(shù)據(jù)是否可以通過路山或橋接方式送出去���。如果不能,則路山器將丟掉該數(shù)據(jù)包�;如果該數(shù)據(jù)包可以傳送出去,則路由器將檢查該數(shù)據(jù)包是否滿足該端II屮定義的包過濾規(guī)則����,如果包過濾規(guī)則不允許該數(shù)據(jù)包通過,則路由器將丟掉該數(shù)據(jù)包����。每個訪問列表山多條規(guī)則組成,可以通過輸入規(guī)則來允許或者禁止數(shù)據(jù)包��。訪問列表用號碼來標(biāo)志,對同一個訪問列表的所有語句必須使川相同的號碼�。使用的號碼范圍可以由正在應(yīng)用的訪問列表的類型決定。
7�、結(jié)合大多數(shù)銀行目前的實際應(yīng)用情況,在此主要介紹TP訪問控制列衣:標(biāo)準(zhǔn)型和擴展型。IP訪問列表是應(yīng)用于TP地址的允許和禁止規(guī)則的集合��,對于每個數(shù)據(jù)包��,路山器順序執(zhí)行每個訪問列表中的規(guī)則���。如果路由器到達(dá)訪問列表的底端而沒有找到與該數(shù)據(jù)包相匹配的語句��,則遺棄該數(shù)據(jù)包(這叫做隱式donyany)o4訪問控制的解決方案目前訪問控制的解決方案主耍有以下幾種:MAC地址過濾����、VLAN隔離�����、基于IP地址的訪問控制列表和防火墻控制等���。4.1MAC地址過濾法MAC地址是網(wǎng)絡(luò)設(shè)備在全球的惟一?編號�,它也就是我們通常所說的:物理地址、硬件地址��、適配
8�、器地址或網(wǎng)卡地址。MAC地址可川于直接標(biāo)識某個網(wǎng)絡(luò)設(shè)備�����,是目前網(wǎng)絡(luò)數(shù)據(jù)交換的基礎(chǔ)�����。4.2VLAN隔離法VLAN(虛擬局域網(wǎng))技術(shù)是為了避免當(dāng)一個網(wǎng)絡(luò)系統(tǒng)中網(wǎng)絡(luò)設(shè)備數(shù)量增加到一定程度后,眾多的網(wǎng)絡(luò)廣播報文消耗大量的網(wǎng)絡(luò)帶寬���,使得真止的數(shù)據(jù)傳遞受到很大的影響�����,確保部分安全性比較敏感的部門數(shù)據(jù)不
