摘要：隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的迅速發(fā)展和廣泛應(yīng)用，計(jì)算機(jī)網(wǎng)絡(luò)在銀行業(yè)的金融電子化建設(shè)中已占據(jù)了重要位置。目前國(guó)內(nèi)各主要商業(yè)銀行的網(wǎng)絡(luò)安全體系結(jié)構(gòu)中，訪問控制是保障網(wǎng)絡(luò)安全最重要的核心策略之一?；谠L問控制技術(shù)的網(wǎng)絡(luò)安全體系已成為國(guó)內(nèi)各主要商業(yè)銀行構(gòu)建網(wǎng)絡(luò)安全體系的重要手段。

關(guān)鍵詞：訪問控制；銀行網(wǎng)絡(luò)安全；虛擬局域網(wǎng)；訪問控制列表

中圖分類號(hào)：TP393.08 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1007-9599 （2012） 20-0000-02

1 引言

隨著計(jì)算機(jī)網(wǎng)絡(luò)在銀行各項(xiàng)業(yè)務(wù)的應(yīng)用中不斷普及，各大商業(yè)銀行已把網(wǎng)絡(luò)安全放在了金融電子化建設(shè)中的一個(gè)極其重要的位置上，網(wǎng)絡(luò)安全已成為構(gòu)建銀行計(jì)算機(jī)網(wǎng)絡(luò)體系進(jìn)程中必須首先需要考慮和解決的問題。在目前國(guó)內(nèi)各主要商業(yè)銀行進(jìn)行金融電子化建設(shè)的過程中，訪問控制是保證計(jì)算機(jī)網(wǎng)絡(luò)安全最重要的核心策略之一，同時(shí)它也是維護(hù)網(wǎng)絡(luò)安全、保護(hù)網(wǎng)絡(luò)資源的一個(gè)重要手段，其主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和非正常訪問。因此，加強(qiáng)以訪問控制為核心的銀行計(jì)算機(jī)網(wǎng)絡(luò)安全，保證銀行的資金安全以及提高銀行風(fēng)險(xiǎn)防范能力已成為當(dāng)前各大銀行亟待解決的問題。

2 網(wǎng)上銀行系統(tǒng)的安全問題

從系統(tǒng)層的角度，整個(gè)網(wǎng)上銀行系統(tǒng)結(jié)構(gòu)分為三個(gè)層次：第一部分是Internet接入?yún)^(qū)域；第二部分是對(duì)外提供服務(wù)的Web服務(wù)器，同時(shí)也放置了CA服務(wù)器；第三個(gè)部分是內(nèi)網(wǎng)區(qū)域，含應(yīng)用服務(wù)器、數(shù)據(jù)庫(kù)服務(wù)器等。

對(duì)不同的安全級(jí)別的區(qū)域采用網(wǎng)關(guān)類的設(shè)備進(jìn)行隔離，使用既能實(shí)現(xiàn)防火墻功能，又能實(shí)現(xiàn)IPS和病毒過濾的相關(guān)安全防護(hù)產(chǎn)品，實(shí)現(xiàn)網(wǎng)絡(luò)層的隔離，應(yīng)用層的攻擊和病毒的隔離，形成真正意義上的立體全面多位一體綜合偵測(cè)防御體系。

在網(wǎng)銀系統(tǒng)互聯(lián)網(wǎng)接入的入口處，為了保證鏈路的可用性，一般采取雙鏈路接入方式，通過兩家不同的ISP提供互聯(lián)網(wǎng)接入，在其中一條鏈路出現(xiàn)故障時(shí)仍然可以提供網(wǎng)上銀行的交易服務(wù)。同時(shí)，作為提供認(rèn)證服務(wù)的CA中心，也是通過互聯(lián)網(wǎng)提供連接的。CA認(rèn)證中心作為獨(dú)立的第三方機(jī)構(gòu)，不屬于網(wǎng)銀系統(tǒng)的網(wǎng)絡(luò)范疇，但客戶對(duì)網(wǎng)銀的驗(yàn)證和網(wǎng)銀對(duì)客戶的驗(yàn)證都是通過互聯(lián)網(wǎng)連接CA中心實(shí)現(xiàn)的。

在網(wǎng)銀系統(tǒng)的Internet接入路由器之后，部署安全網(wǎng)關(guān)（或防火墻）、負(fù)載均衡設(shè)備和WEB服務(wù)器。安全網(wǎng)關(guān)可根據(jù)需要也做雙機(jī)熱備處理。同時(shí)部署負(fù)載均衡設(shè)備，對(duì)訪問網(wǎng)銀系統(tǒng)的流量進(jìn)行動(dòng)態(tài)分配。負(fù)載均衡設(shè)備的另一個(gè)重要應(yīng)用是可做SSL解密，因?yàn)镾SL在解除非對(duì)稱加密時(shí)會(huì)占用系統(tǒng)大量資源，因此在網(wǎng)銀系統(tǒng)的設(shè)計(jì)中，SSL的解密一般放在負(fù)載均衡設(shè)備上處理，負(fù)載均衡設(shè)備專門對(duì)SSL解密過程做了硬件優(yōu)化，因此在效率上能夠得到保障。通過負(fù)載均衡設(shè)備后用戶請(qǐng)求將進(jìn)入WEB服務(wù)器，WEB服務(wù)器將部署網(wǎng)銀門戶網(wǎng)站的靜態(tài)內(nèi)容，如網(wǎng)銀系統(tǒng)登陸入口、用戶手冊(cè)下載、驅(qū)動(dòng)程序下載、工具軟件下載、營(yíng)銷信息等網(wǎng)銀相關(guān)內(nèi)容，此外WEB服務(wù)器的另一個(gè)重要職責(zé)是向應(yīng)用服務(wù)器轉(zhuǎn)發(fā)通訊請(qǐng)求，對(duì)于需要和應(yīng)用服務(wù)器交互的動(dòng)態(tài)信息，如網(wǎng)銀登陸、轉(zhuǎn)賬、實(shí)時(shí)查詢等交易請(qǐng)求將通過部署在WEB服務(wù)器上的插件轉(zhuǎn)發(fā)至應(yīng)用服務(wù)器。

3 訪問控制技術(shù)的基本原理

在路由器上，我們可通過使用訪問列表來執(zhí)行數(shù)據(jù)包過濾。訪問列表可用來控制網(wǎng)絡(luò)上數(shù)據(jù)包的傳遞，限制虛擬終端線路的通信量或者控制路由選擇更新。

包過濾功能對(duì)路由器本身產(chǎn)生的數(shù)據(jù)包不起作用，當(dāng)數(shù)據(jù)包進(jìn)入某個(gè)端口時(shí)，路由器首先檢查該數(shù)據(jù)是否可以通過路由或橋接方式送出去。如果不能，則路由器將丟掉該數(shù)據(jù)包；如果該數(shù)據(jù)包可以傳送出去，則路由器將檢查該數(shù)據(jù)包是否滿足該端口中定義的包過濾規(guī)則，如果包過濾規(guī)則不允許該數(shù)據(jù)包通過，則路由器將丟掉該數(shù)據(jù)包。

每個(gè)訪問列表由多條規(guī)則組成，可以通過輸入規(guī)則來允許或者禁止數(shù)據(jù)包。訪問列表用號(hào)碼來標(biāo)志，對(duì)同一個(gè)訪問列表的所有語(yǔ)句必須使用相同的號(hào)碼。

使用的號(hào)碼范圍可以由正在應(yīng)用的訪問列表的類型決定。

結(jié)合大多數(shù)銀行目前的實(shí)際應(yīng)用情況，在此主要介紹IP訪問控制列表：標(biāo)準(zhǔn)型和擴(kuò)展型。IP訪問列表是應(yīng)用于IP地址的允許和禁止規(guī)則的集合，對(duì)于每個(gè)數(shù)據(jù)包，路由器順序執(zhí)行每個(gè)訪問列表中的規(guī)則。如果路由器到達(dá)訪問列表的底端而沒有找到與該數(shù)據(jù)包相匹配的語(yǔ)句，則遺棄該數(shù)據(jù)包（這叫做隱式deny any）。

4 訪問控制的解決方案

目前訪問控制的解決方案主要有以下幾種：MAC地址過濾、VLAN隔離、基于IP地址的訪問控制列表和防火墻控制等。

4.1 MAC地址過濾法

MAC地址是網(wǎng)絡(luò)設(shè)備在全球的惟一編號(hào)，它也就是我們通常所說的：物理地址、硬件地址、適配器地址或網(wǎng)卡地址。MAC地址可用于直接標(biāo)識(shí)某個(gè)網(wǎng)絡(luò)設(shè)備，是目前網(wǎng)絡(luò)數(shù)據(jù)交換的基礎(chǔ)。

4.2 VLAN隔離法

VLAN（虛擬局域網(wǎng)）技術(shù)是為了避免當(dāng)一個(gè)網(wǎng)絡(luò)系統(tǒng)中網(wǎng)絡(luò)設(shè)備數(shù)量增加到一定程度后，眾多的網(wǎng)絡(luò)廣播報(bào)文消耗大量的網(wǎng)絡(luò)帶寬，使得真正的數(shù)據(jù)傳遞受到很大的影響，確保部分安全性比較敏感的部門數(shù)據(jù)不被隨意訪問瀏覽而采用一種劃分相互隔離子網(wǎng)的方法。

4.3 基于IP地址的訪問控制列表法

訪問控制列表在路由器和三層交換機(jī)中被廣泛采用，它是一種基于包過濾的流向控制技術(shù)。標(biāo)準(zhǔn)訪問控制列表通過把源地址、目的地址以及端口號(hào)作為數(shù)據(jù)包檢查的基本元素，并可以規(guī)定符合檢查條件的數(shù)據(jù)包是允許通過，還是不允許通過。

5 訪問控制在銀行網(wǎng)絡(luò)安全體系中的應(yīng)用

銀行網(wǎng)絡(luò)安全體系是根據(jù)具體業(yè)務(wù)對(duì)網(wǎng)絡(luò)安全的需求，以訪問控制為核心而構(gòu)建起來的，其中心思想就是“不同的部門及人員根據(jù)其所從事的工作有不同的網(wǎng)絡(luò)使用權(quán)限”。

5.1 銀行網(wǎng)絡(luò)安全體系中訪問控制總體應(yīng)用

根據(jù)分行內(nèi)各部門的具體業(yè)務(wù)對(duì)網(wǎng)絡(luò)安全的不同需求，在分行的核心交換機(jī)上按照具體業(yè)務(wù)需求劃分了若干個(gè)VLAN（Virtual Local Area Network），不同的VLAN對(duì)安全的要求不同，因而各VLAN對(duì)分行網(wǎng)絡(luò)的訪問權(quán)限也就不一樣。

根據(jù)此要求，在交換機(jī)上對(duì)各VLAN都定義了各自的訪問控制列表，各VLAN的訪問控制列表對(duì)本VLAN內(nèi)的設(shè)備能夠訪問以及禁止訪問的目標(biāo)網(wǎng)段或者具體的目標(biāo)設(shè)備都作了嚴(yán)格的規(guī)定，一旦訪問控制列表被定義完成，它將立即生效，本VLAN內(nèi)的所有設(shè)備都將受訪問控制列表的約束。各VLAN的訪問控制列表也不相同，這些列表之間的差異體現(xiàn)了各VLAN對(duì)網(wǎng)絡(luò)安全的需求的差異。在分行內(nèi)部網(wǎng)和與外單位相連的外部網(wǎng)之間，使用防火墻來對(duì)進(jìn)出內(nèi)外網(wǎng)的數(shù)據(jù)流進(jìn)行篩選和過濾。

5.2 分行VLAN及訪問控制

在分行內(nèi)部根據(jù)具體業(yè)務(wù)的需要將局域網(wǎng)分成了若干個(gè)VLAN，在各VLAN內(nèi)用訪問控制列表（ACL）對(duì)VLAN的網(wǎng)絡(luò)安全作出了各自不同的規(guī)定。例如根據(jù)總行制定的總體規(guī)范和分行具體的業(yè)務(wù)需求，某分行（分行本部）的網(wǎng)絡(luò)劃分成以下幾個(gè)VLAN：生產(chǎn)VLAN、辦公服務(wù)器（科技部管理）VLAN、業(yè)務(wù)辦公VLAN、國(guó)際業(yè)務(wù)VLAN、中間業(yè)務(wù)VLAN、開發(fā)測(cè)試VLAN、網(wǎng)絡(luò)設(shè)備VLAN、視頻會(huì)議VLAN、電話銀行VLAN、電話銀行語(yǔ)音網(wǎng)關(guān)VLAN。按照總行的總體要求，生產(chǎn)系統(tǒng)與辦公系統(tǒng)之間必須要有可控制的訪問。

參考文獻(xiàn)：

[1]戚文靜，劉學(xué).網(wǎng)絡(luò)安全原理與應(yīng)用[M].北京：中國(guó)水利水電出版社，2005.