本站小編為你精心準備了增強銀行網絡數據傳輸安全性參考范文，愿這些范文能點燃您思維的火花，激發您的寫作靈感。歡迎深入閱讀并收藏。

摘要：隨著網絡日益成為銀行業快速發展的必要手段和工具，銀行網絡正在向融和網絡的目標靠近。如何確保網絡基礎設施層上承載的各種金融數據的安全，是當今全球金融行業技術關注點。本文也正基于此展開相應研究。

關鍵詞：銀行網絡數據傳輸；增強；安全性

在網絡基礎設施層上承載著銀行交易數據流、OA數據流、路由選擇協議數據流、網絡管理數據流等多種類型數據。對不同類型的數據流的要求采用不同的安全保護級別。目前，很多通用網絡技術經過簡單的培訓就能夠被大部分普通人所使用。如何利用現有通用、成熟技術，在對銀行網絡不作較大規模改動的前提下，提高銀行廣域網數據傳輸安全，降低案件發生的概率，是整個銀行網絡安全保障工作不得不考慮的一個重要方面。

1建設背景

銀行內部網絡目前在廣域網連接上大多數采用運營商的專用線路。在銀行網絡的數據鏈路層主要采用HDLC、PPP、ATM、幀中繼、CPOS、MSTP等通用協議，在網絡層主要采用IP協議，并且在這兩層都沒有作安全處理。如果了解到銀行的網絡層IP規劃和訪問控制技術細節（這些細節密級相對較低，容易獲得），就有可能在銀行以外的物理區域接入銀行內部局域網，模擬出和網點業務網絡相同的環境，從而實施犯罪。例如，在網點柜員簽到后，在運營商機站內模擬出網點終端上的交易畫面，從而實施犯罪。

2.需求分析

在廣域網兩端相應的路由器上，在數據鏈路層或者網絡層增加安全方面配置，提高數據傳輸的安全。

目前在數據鏈路層上做安全性保護難度較大，因為涉及的設備種類多，部門多，還有可能需要購買昂貴的安全產品。在網絡層上做安全保護相對來說就比較容易，它僅僅需要銀行單位的網管人員做一些軟件配置。

IPSec是網絡層的安全機制。通過對網絡層包信息的保護，上層應用程序即使沒有實現安全性，也能夠自動從網絡層提供的安全性中獲益。經過對比，我們認為采用這種方式較為現實。配置簡單，效果明顯。缺點是路由器IPSec軟件進行加密/解密運算將會占用了較多的CPU資源，從而影響了整機性能。但是通過減少需要保護的數據流規模，在大多數目前的銀行網絡上就能實現銀行交易數據流安全性的有效提升。

3技術實施方案和結論

針對大多數銀行核心路由器采用CISCO設備，網點路由器采用華為設備。本方案選用不同廠家設備：華為R2621（VRP1.74）和思科2600（IOS12.0）做的實驗。采用IPSEC機制，兩臺設備分別通過使用ATM仿真幀中繼電路的廣域網絡和使用以太網的局域網等多個異種網絡連接在一起，對有保護需求的數據流作全程加密傳輸。因此，我認為，這個方案具有一定的代表性，對目前銀行所有的局域網、廣域網、各種業務應用都具有實踐意義。

試驗內容如下：

3.1華為2620的配置ikepre-shared-keyvvvremote192.96.19.5

//配置IKE預共享密鑰（vvv）對端接入地址

acl3080match-orderconfig

//定義感興趣數據流

rulenormalpermitipsource192.96.129.10.0.0.0destination192.96.99.10.0.0.0

rulenormaldenyipsourceanydestinationany

ipsecproposalvvv

//定義提議vvv

ipsecpolicyp110isakmp 

//定義策略p1

securityacl3080

//應用訪問表

proposalvvv

//引用提議vvv

tunnelremote192.96.19.5

//定義對端設備接入網絡的接口地址

interfaceSerial0

link-protocolfr

ipaddress192.96.36.78255.255.255.252

ripversion2multicast

ipsecpolicyp1

//在端口上應用策略p1

frlmitypeansi

frmapip192.96.36.77dlci112broadcast

interfaceDialer0

ipaddress192.96.129.1255.255.255.252

rip

undosummary

network192.0.0.0

3.2cisco2600的配置

cryptoisakmppolicy1

//IKE的配置認證方式pre-share預共享密鑰vvv

authenticationpre-share

cryptoisakmpkeyvvvaddress192.96.36.78

cryptoipsectransform-setvvvesp-desesp-md5-hmac

//IPSec提議的配置!

cryptomapccc10ipsec-isakmp

//加密圖ccc的配置

 setpeer192.96.36.78

settransform-setvvv

matchaddress101

interfaceLoopback3

ipaddress192.96.99.1255.255.255.255

interfaceFastEthernet0/0

ipaddress192.96.19.5255.255.255.0

cryptomapccc

//在端口上應用加密圖ccc

ipclassless

iproute0.0.0.00.0.0.0192.96.19.254

//以下訪問表定義感興趣的數據流

access-list101permitiphost192.96.99.1host192.96.129.1

access-list101denyipanyany

4結論

在華為2620設備上以192.96.129.1為源地址和cisco2600上的目標地址192.96.19.5能夠正常通訊。

在cisco2600上以192.96.19.5為源地址和華為2620設備上的目標地址192.96.129.1的通訊也很正常。

如果有一端設備在連接網絡的端口上取消了策略，或者兩端IKE預共享密鑰錯誤，那么兩端敏感的數據流將不能正常通訊，而其他數據流不受影響。因此，只要保護好密鑰不被泄露，銀行交易數據流的安全性就能夠得到必要的保障。

上述配置均使用默認協議、傳輸方式、加密算法、認證算法和生存周期等，所以顯示出來的比較簡單。實際操作時需要注意兩端參數的匹配。

在網絡安全的技術設置方案中，存在多種途徑，考察方案的優劣可能存在各種標準。本方案則是在可靠性的基礎上，充分考慮可操作性和簡便性而采取的設置。因此，在目前技術條件下本方案具有明顯的優勢和特點。隨著網絡技術的日益成熟和發展，更可靠、更先進的技術必將有待我們進一步的研究和發掘。

參考文獻：

[1]卡爾•H•邁耶,斯蒂芬•M•馬特斯著.保密系統設計和實現指南翻譯組譯.密碼學計算機數據保密的新領域——保密系統設計和實現指南[M].北京:總參謀部第五十一所,1995.

[2]蔡立軍.計算機網絡安全技術[M].北京:中國水利水電出版社,2005.

[3]盧開澄.計算機密碼學——計算機網絡中的數據預安全[M].北京:清華大學出版社,200