金融機構目前大多采用同步數(shù)字序列(SDH)和異步轉移模式(ATM)等數(shù)據網絡提供固定（虛擬）線路來連接需要通信的部門和分支機構。從內部網絡流出的數(shù)據不加防范地在網際線路中穿行，給使用搭線竊聽、電磁泄露等入侵手段的不法黑客以可趁之機。為此，很多金融機構使用網絡加密機在這方面進行了一些嘗試。

一、加密機配置于何處

加密機根據工作類型不同一般采用應用層加密、IP層加密和鏈路層加密三種方式進行，應用層加密傳輸往往與具體的業(yè)務系統(tǒng)軟件緊密結合在一起，需要針對每種應用系統(tǒng)開發(fā)應用層加密系統(tǒng)鏈路層加密是對鏈路層幀數(shù)據
進行加密，鏈路層加密對鏈路協(xié)議有嚴格的要求，每一種不同協(xié)議的線路都要采用相應的鏈路加密設備，而且鏈路層加密設備都是端到端加密設備，所以在大型復雜網絡中如果采用鏈路層加密方式，必須投入巨大的資金量。

IP加密方式是在IP層對網絡數(shù)據進行加密，對鏈路層協(xié)議透明，IP加密設備往往是一對多的方式運行，也可以對每個IP地址或地址段采用不同的加密策略，既經濟又靈活。IP加密一般采用IPsec協(xié)議進行，IPsec是IETF制定的標準，其中包括一整套IP層安全協(xié)議集，用于在兩個IP網絡設備之間實施所采用的加密和數(shù)字簽名方法。IPSEC提供了訪問控制、無連接完整性、數(shù)據源鑒別、載荷機密性和有限流量機密等安全服務，完全彌補了由于TCP/IP協(xié)議體系自身帶來的安全漏洞。

從性價比、可操作性以及網絡擴展等因素考慮，金融機構大多采用基于IP層加密的網絡密碼機，加密機可采用透明模式接入，完全可以做到不影響原有網絡結構。IP加密系統(tǒng)組建網絡安全平臺的思想是將網絡密碼機部署在網絡的出口處，并將網絡密碼機置于密鑰管理中心設置的統(tǒng)一安全策略（包括密鑰管理體系）的管理下，使各網絡密碼機之間以及網絡加密機相互對IP包進行加密處理，協(xié)調一致地通信，從而在IP層上構建起網絡安全傳輸信道，為網絡的連接安全和傳輸安全提供有效的保障。

由于IP加密系統(tǒng)通過在網絡層對IP數(shù)據包進行相應的安全處理來組建安全傳輸信道，故采用IP加密系統(tǒng)組建的虛擬專用網絡，無須考慮底層傳輸協(xié)議，具有極強的適應性，能夠有效地為網絡的各級交換節(jié)點提供信息安全保障，符合安全技術發(fā)展的方向，具有易于管理、易于適應網絡鏈路變化的特點。根據應用系統(tǒng)的特點，目前一般使用以下兩種接入式：

①加密機部署于防火墻出口和對端交換機之間。如圖1左邊，這種配置相當于點對點接入，要求防火墻與交換機間接入網段留有足夠的IP以便配置加密機，并使用這些IP地址對其進行管理。防火墻以主從模式運行，加密機接入網絡后應該進行反復的主從線路切換，從實際效果來看，這種接入方式沒有影響原網絡的運行，完全符合設計要求。

②加密機部署于兩組交換機之間。這種接入方式是為了保持原來的本地局域網絡結構，機構搬遷后可申請透明線路更替原來的本地雙絞線，兩端接口配置TRUNK模式，傳輸若干個VLAN。

如圖1右邊部分接入加密機，采用其中某個VLAN中的IP配置加密機，接下來進行熱備線路切換，當斷開經過生成樹協(xié)議確定的主線路后，備線沒有按預定計劃啟用，整個網絡不通，經檢測線路情況為連通，加密機之間連通，切回主線路，整個網絡仍然不通，關閉所有設備，重新啟動，網絡恢復通信。經過互換線路和加密機組，都不能成功切換。在后續(xù)的實驗中，當斷開主線，并對各位置的網絡設備進行分析時，網絡竟然在中斷15 min后，恢復了通信。反復進行多次實驗均可再現(xiàn)這種現(xiàn)象，無論是斷開主線還是恢復主線，均出現(xiàn)同樣效果。在搭建的模擬測試環(huán)境中，網絡恢復的時間雖然不同，但也呈現(xiàn)了經過相對較長的、固定的一段時間后，網絡才能恢復通信的情況，而從網絡中拿掉加密機，該現(xiàn)象消失，說明加密機的這種接入方式確實對現(xiàn)有網絡造成了影響。

經過對兩種接入方式以及抓取模擬環(huán)境數(shù)據包的比較和分析，最終確定，該種類型加密機不適合接入傳輸多VLAN的TRUNK網絡中，因為它的操作系統(tǒng)處理帶TRUNK標志的數(shù)據包有不完善的地方，而這種缺陷在第一種接入方式中被單一的VLAN掩蓋了。加密機經過提供商定制的擴展版本升級，圓滿地解決了切換問題。

接下來，應該在城市網的入口處接入了密管中心設備，如圖1中“密管中心”位置；通過對網絡各防火墻的配置，使其能夠管理分散在各處的加密機，定期為各加密機更換密鑰，達到了既方便管理又節(jié)約成本的良好效果。

經過實踐證明，IP加密系統(tǒng)在IP層保護了數(shù)據的安全，并且與上層應用無關。隨著加密機技術的不斷發(fā)展，IP加密系統(tǒng)已經能夠實現(xiàn)100 M線速。支持QoS策略的實現(xiàn)，對網絡帶寬資源占用小§時延小h易管理，能很好地滿足金融應用系統(tǒng)信息傳輸?shù)摹皩崟r、保密、高速”的要求。

二、如何保護數(shù)據

在實際工作中，金融網絡主要存在如下4方面的風險：

①傳輸數(shù)據機密性破壞。攻擊者通過非法手段竊取金融系統(tǒng)網絡內部的傳輸信息，或對信道數(shù)據進行破譯分析，使內聯(lián)網傳輸內容泄露給未被授權的用戶；

②傳輸數(shù)據完整性破壞。攻擊者篡改金融系統(tǒng)網絡線路上傳輸?shù)臄?shù)據內容，或數(shù)據傳輸中的錯誤、丟失或次序差異等都可能導致數(shù)據的完整性被破壞；

⑧傳輸數(shù)據真實性破壞攻擊者通過偽造金融系統(tǒng)網絡數(shù)據進行欺騙；

④傳輸線路沒有高強度隔離措施攻擊者通過中國電信或中國網通公眾網絡以路由穿透、口令破譯等攻擊方式可以進入到金融系統(tǒng)網絡中，獲取內部網中的關鍵數(shù)據，或者對內部網絡進行破壞。

IP加密系統(tǒng)采用國家主管部門規(guī)定的高強度密碼算法對數(shù)據進行加密處理，任何以明文方式對IP加密設備的訪問都會認為是非法訪問而被拒絕，因此，即使攻擊者通過中國電信或中國聯(lián)通等公司的公用網絡以路由穿透方式登錄到內聯(lián)網接入路由器上，也不能訪問金融系統(tǒng)內部的網絡。另外，在金融系統(tǒng)總行和各下屬分行、支行之間建立IP虛擬專用通道，只有配置了IP密碼設備的單位才能進行加密通信，沒有配置加密機的單位一般不能和配有IP密碼設備的單位互通。

IP加密系統(tǒng)可以讓用戶自行選擇以下兩種方式對傳輸數(shù)據進行加密。

①凈荷加密方式．所謂凈荷加密就是直接對數(shù)據包中的上層凈荷數(shù)據實施加密，不修改原數(shù)據包頭，凈荷加密的特點是只對凈荷數(shù)據實施加解密，不對數(shù)據包頭實施任何修改和保護，對線路透明，不需要占用更多IP地址，這種加密方式對QoS的適應性較好，便于數(shù)據的傳輸；

②IPsec方式：IPsec有傳輸模式(Transport Mode)和隧道模式(Tunneling Mode)兩種工作模式。傳輸模式的工作原理是在IP包的包頭與上層數(shù)據之間插入一個IPsec頭，并將上層數(shù)據進行加密，然后在公共網絡上傳輸。這種模式的特點是保留了原IP頭信息，即信源／宿地址不變，所有安全相關信息包括在IPsec頭中，傳輸雙方依此進行安全封裝傳輸和拆封還原。隧道模式的工作原理是先將IP數(shù)據包整個進行加密后再加上IPsec頭和新的IP頭，這個新的IP頭中包含有隧道源／宿的地址，當通過IPsec隧道的數(shù)據包到達目的網關（即隧道的另一端）后，利用IPsec頭中的安全相關信息對加密過的原IP包進行安全處理，將還原的高層數(shù)據按原IP頭標明的IP地址遞交，以完成信源／信宿之間的安全傳輸。

加密機還可以針對特定IP間傳輸信息進行加密，通過配置主要的端對端通信IP，可以提高線路通信效率，將加密機介入后對網絡通信的影響降低到最小程度。數(shù)據加密如圖2所示。

admin

收藏 海報分享