摘 要：随着网络日益成为银行业快速发展的必要手段和工具，银行网络正在向融和网络的目标靠近。如何确保网络基础设施层上承载的各种金融数据的安全，是当今全球金融行业技术关注点。本文也正基于此展开相应研究。
关键词：银行网络数据传输；增强；安全性
在网络基础设施层上承载着银行交易数据流、oa数据流、路由选择协议数据流、网络管理数据流等多种类型数据。对不同类型的数据流的要求采用不同的安全保护级别。目前，很多通用网络技术经过简单的培训就能够被大部分普通人所使用。如何利用现有通用、成熟技术，在对银行网络不作较大规模改动的前提下，提高银行广域网数据传输安全，降低案件发生的概率，是整个银行网络安全保障工作不得不考虑的一个重要方面。
1建设背景
银行内部网络目前在广域网连接上大多数采用运营商的专用线路。在银行网络的数据链路层主要采用hdlc 、ppp、 atm、帧中继、cpos、mstp等通用协议，在网络层主要采用ip协议，并且在这两层都没有作安全处理。如果了解到银行的网络层ip规划和访问控制技术细节（这些细节密级相对较低，容易获得），就有可能在银行以外的物理区域接入银行内部局域网，模拟出和网点业务网络相同的环境，从而实施犯罪。例如，在网点柜员签到后，在运营商机站内模拟出网点终端上的交易画面，从而实施犯罪。
2.需求分析
在广域网两端相应的路由器上，在数据链路层或者网络层增加安全方面配置，提高数据传输的安全。loCalhOsT
目前在数据链路层上做安全性保护难度较大，因为涉及的设备种类多，部门多，还有可能需要购买昂贵的安全产品。在网络层上做安全保护相对来说就比较容易，它仅仅需要银行单位的网管人员做一些软件配置。
ipsec是网络层的安全机制。通过对网络层包信息的保护，上层应用程序即使没有实现安全性，也能够自动从网络层提供的安全性中获益。经过对比，我们认为采用这种方式较为现实。配置简单，效果明显。缺点是路由器ipsec软件进行加密/解密运算将会占用了较多的cpu资源，从而影响了整机性能。但是通过减少需要保护的数据流规模，在大多数目前的银行网络上就能实现银行交易数据流安全性的有效提升。
3技术实施方案和结论
针对大多数银行核心路由器采用cisco设备，网点路由器采用华为设备。本方案选用不同厂家设备：华为r2621（vrp1.74）和思科2600（ios 12.0）做的实验。采用ipsec机制，两台设备分别通过使用atm仿真帧中继电路的广域网络和使用以太网的局域网等多个异种网络连接在一起，对有保护需求的数据流作全程加密传输。因此，我认为，这个方案具有一定的代表性，对目前银行所有的局域网、广域网、各种业务应用都具有实践意义。
试验内容如下：
3.1华为2620的配置 ike pre-shared-key vvv remote 192.96.19.5
// 配置ike 预共享密钥（vvv）对端接入地址
acl 3080 match-order config
// 定义感兴趣数据流
rule normal permit ip source 192.96.129.1 0.0.0.0 destination 192.96.99.1 0.0.0.0
rule normal deny ip source any destination any
ipsec proposal vvv

// 定义提议vvv
ipsec policy p1 10 isakmp
// 定义策略p1
security acl 3080
// 应用访问表
proposal vvv
// 引用提议vvv
tunnel remote 192.96.19.5
// 定义对端设备接入网络的接口地址
interface serial0
link-protocol fr
ip address 192.96.36.78 255.255.255.252
rip version 2 multicast
ipsec policy p1
// 在端口上应用策略p1
fr lmi type ansi
fr map ip 192.96.36.77 dlci 112 broadcast
interface dialer0
ip address 192.96.129.1 255.255.255.252
rip
undo summary
network 192.0.0.0
3.2cisco2600的配置
crypto isakmp policy 1
// ike的配置 认证方式pre-share预共享密钥 vvv
authen

[1] [2] 下一页