您当前的位置:首页 > 计算机论文>计算机应用论文

基于访问控制技术的银行网络安全研究及应用

2015-07-09 11:06 来源:学术参考网 作者:未知

摘 要 随着计算机网络技术的迅速发展和广泛应用,计算机网络在银行业的金融电子化建设中已占据了重要位置。目前国内各主要商业银行的网络安全体系结构中,访问控制是保障网络安全最重要的核心策略之一。基于访问控制技术的网络安全体系已成为国内各主要商业银行构建网络安全体系的重要手段。
关键字 访问控制;银行网络安全;虚拟局域网;访问控制列表


1 引言
随着计算机网络在银行各项业务的应用中不断普及,各大商业银行已把网络安全放在了金融电子化建设中的一个极其重要的位置上,网络安全已成为构建银行计算机网络体系进程中必须首先需要考虑和解决的问题。在目前国内各主要商业银行进行金融电子化建设的过程中,访问控制是保证计算机网络安全最重要的核心策略之一,同时它也是维护网络安全、保护网络资源的一个重要手段,其主要任务是保证网络资源不被非法使用和非正常访问。因此,加强以访问控制为核心的银行计算机网络安全,保证银行的资金安全以及提高银行风险防范能力已成为当前各大银行亟待解决的问题。
2 访问控制的解决方案
目前访问控制的解决方案主要有以下几种:MAC地址过滤、VLAN隔离、基于IP地址的访问控制列表和防火墙控制等。
2.1 MAC地址过滤法
MAC地址是网络设备在全球的惟一编号,它也就是我们通常所说的:物理地址、硬件地址、适配器地址或网卡地址。MAC地址可用于直接标识某个网络设备,是目前网络数据交换的基础。
2.2 VLAN隔离法
VLAN(虚拟局域网)技术是为了避免当一个网络系统中网络设备数量增加到一定程度后,众多的网络广播报文消耗大量的网络带宽,使得真正的数据传递受到很大的影响,确保部分安全性比较敏感的部门数据不被随意访问浏览而采用一种划分相互隔离子网的方法。
2.3 基于IP地址的访问控制列表法
访问控制列表在路由器和三层交换机中被广泛采用,它是一种基于包过滤的流向控制技术。标准访问控制列表通过把源地址、目的地址以及端口号作为数据包检查的基本元素,并可以规定符合检查条件的数据包是允许通过,还是不允许通过。
2.4 防火墙控制法
防火墙技术首先将网络划分为内网与外网,它通过分析每一项内网与外网通信应用的协议构成,得出主机IP地址及IP上联端口号,从而规划出业务流,对相应的业务流进行控制。防火墙技术在最大限度上限制了源IP地址、目的IP地址、源上联端口号、目的上联端口号的访问权限,从而限制了每一业务流的通断。
3 访问控制在银行网络安全体系中的应用
银行网络安全体系是根据具体业务对网络安全的需求,以访问控制为核心而构建起来的,其中心思想就是“不同的部门及人员根据其所从事的工作有不同的网络使用权限”。
3.1 银行网络安全体系中访问控制总体应用
根据分行内各部门的具体业务对网络安全的不同需求,在分行的核心交换机上按照具体业务需求划分了若干个VLAN(Virtual Local Area Network),不同的VLAN对安全的要求不同,因而各VLAN对分行网络的访问权限也就不一样。根据此要求,在交换机上对各VLAN都定义了各自的访问控制列表,各VLAN的访问控制列表对本VLAN内的设备能够访问以及禁止访问的目标网段或者具体的目标设备都作了严格的规定,一旦访问控制列表被定义完成,它将立即生效,本VLAN内的所有设备都将受访问控制列表的约束。各VLAN的访问控制列表也不相同,这些列表之间的差异体现了各VLAN对网络安全的需求的差异。在分行内部网和与外单位相连的外部网之间,使用防火墙来对进出内外网的数据流进行筛选和过滤。在防火墙上根据不同的业务定义了不同的安全策略,主要就是根据这些安全策略来对进出的数据流进行过滤,以保证只允许认为安全的数据进出内部网,对认为不安全的数据则禁止其通过。如图1所示,银行网络拓扑结构图。


图1 银行网络拓扑结构

3.2 分行VLAN及访问控制
在分行内部根据具体业务的需要将局域网分成了若干个VLAN,在各VLAN内用访问控制列表(ACL)对VLAN的网络安全作出了各自不同的规定。例如根据总行制定的总体规范和分行具体的业务需求,某分行(分行本部)的网络划分成以下几个VLAN:生产VLAN、办公服务器(科技部管理)VLAN、业务办公VLAN、国际业务VLAN、中间业务VLAN、开发测试VLAN、网络设备VLAN、视频会议VLAN、电话银行VLAN、电话银行语音网关VLAN。按照总行的总体要求,生产系统与办公系统之间必须要有可控制的访问。以目前可利用的实际条件,比较合适的方式是在分行的局域网内设置VLAN,在每个VLAN内根据业务需要设置访问控制列表(ACL),利用访问控制列表来控制访问生产系统与办公系统的VLAN。访问控制的总体设置原则如表1所示。
表1 分行访问控制总体设置

VLAN
网段
VLAN描述
访问控制设置简述
1
0
生产VLAN,用于放置城市前置主备机、柜台前置机、柜台终端等生产用机,办理实时生产业务
可以访问总行及支行网点的生产网段,同时禁止上互联网
2
88
分行内部办公服务器VLAN,同时也是科技部VLAN,放置分行内部服务器,如邮件服务器、公文服务器等
允许访问总行及分行生产网段,允许访问分行设备网络网段,允许上互联网
4
86
分行办公VLAN,放置分行非生产业务的普通用机
允许访问分行及总行办公服务器网段,除少数有特殊需求的用户外,其余机器一律不允许访问生产网段,可以上互联网
5
92
国际业务VLAN,放置国际业务报文处理用机
允许访问总行国际业务网段,允许访问总分行办公服务器网段,禁止访问生产网段,允许上互联网
6
210
中间业务VLAN,放置中间业务外联通信设备及中间业务防火墙
只允许访问生产网段及分行办公服务器网段
7
96
开发测试VLAN,放置外单位开发、测试用机
只允许访问需要访问的网段,如中间业务网段
8
100
网络设备VLAN,放置与总分行通信的路由器、交换机等网络设备
设置成OUT方向,只允许分行科技部管理人员访问该网段,同时将所有其他流量放开
9
87
视频会议VLAN,放置总分行开视频会议时的视频设备
暂无访问控制
10
25
电话银行VLAN,放置分行电话银行前置机
允许访问总行生产网段,允许访问其他分行的电话银行网段,支持异地漫游
11
27
语音网关VLAN,放置分行电话银行所使用的语音网关设备
允许访问总行生产网段,允许访问其他分行的语音网关网段,支持异地漫游

4 结束语
在计算机病毒防御形势日趋严峻的今天,必须加强对运用访问控制来及时发现和抵御病毒这方面的研究,力求在网络层就把病毒拒之门外,为银行各项业务的正常开展提供可靠的安全保障。
参考文献
[1] 戚文静,刘学.网络安全原理与应用[M] .中国水利水电出版社,2005,9
邓集波,洪帆.基于任务的访问控制模型[J] .软件学报,2003,14
谢方军,唐常杰.远程访问中的分布式访问控制[J] .计算机工程,2006,1
雷鹤林,陈志刚.基于任务的访问控制在审批系统中的应用研究[J] .电脑与信息技术,2005,12

相关文章
学术参考网 · 手机版
https://m.lw881.com/
首页