39个 摘要:
高速发达的网络平台衍生出了新型的网络病毒、蠕虫、DDOS和黑客入侵等攻击手 段,所以我们的防护手段不应仅停留在对计算环境和信息资产的保护,还应当从网络底层平台建设开始,将安全防护的特性内置于其中,以防范日益增加的网络安全风险。本文从设备级安全和网络级安全两方面对银行网络安全进行介绍。
1.设备级安全
对于传统的封闭式软硬件一体化架构的网络设备,需要依靠设备商提供的安全手段保证安全性,其中包括:
(1)设备自身应对外部攻击的防护一般手段有防止CPU过载的“控制平面保护”,在传输路径上自动过滤的Unicast Reverse Path Forwarding(URPF,单播逆向路径转发)等。
(2)网络自身协议的稳定性防护比如对二层上生成树协议的根欺骗、BPDU欺骗、ARP欺骗、ARP洪泛、单播/广播恶意洪泛,对三层协议上的路由欺骗、路由过载攻击等的防护。
2.网络级安全
网络级安全是网络基础设施在提供连通性服务的基础上所增值的安全服务,在网络平台上直接实现这些安全功能比在主机操作系统、应用一级实现具有更好的平台化效应,设计得当可以事半功倍,具体包括安全接入认证、授权和审计,网络的访问控制,传输的加密和完整性。
(1)安全接入认证、授权和审计
认证、授权和审计常被简称为AAA(Authentication, Authorization, Audit),分别为:验证(Authentication),验证是否可以获得访问权限;授权(Authorization),授权可以使用哪些服务;审计(Accounting),记录使用资源的情况。
网络安全架构设计中的AAA根据服务对象可以分为三个层面:用户层面的AAA,网络管理的AAA,设备之间的AAA。它们只是作用的对象不同,认证、授权和审计功能基本是一致的。用户通常通过IEEE 802.lx、PPP等协议通过有线/无线局域网或广域网接入具有网络访问控制功能的交换机、无线AP或路由器,通过某种Extensible Authentication Protocol(EAP)方式提交凭证,并在网络访问控制设备后端通过RADIUS或TACACS/TACACS+协议将EAP信息传递给AAA服务器,AAA服务器在通过后台服务目录/数据库的用户信息进行检索以提供验证、授权以及审计服务。当然也有通过Web Portal或者简单通过地址来进行用户认证或者直接在网络访问控制设备本地得到用户信息提供AAA服务的方式。
网络安全架构设计的另一个关键问题在于如何使用AAA服务。一般对于用户远程访问系统内资源,都需要进行AAA,但传统的AAA仅仅关注用户身份、资源访问授权的是或否,往往在移动互连高度发达的今天,特别是BYOD (Bring Your Own Device)概念的提出后显得不足以解决新的安全问题。比如,同样身份的用户通过固定工位的PC客户端进行的访问和该用户自己的安卓手机客户端的访问都提供同样的访问范围和资源权限吗?一个落后版本的操作系统的访问和进行了企业安全核查的系统的访问都同样基于用户名和密码进行权限赋予吗?这些都是新的AAA解决方案的扩展,包括基于用户健康状态的网络准入和授权解决方案(NAC),基于移动客户端管理(MDM)的BYOD解决方案等。
另外,除了对用户访问业务资源,管理员对网络设备管理的AAA也非常重要。一个有效的鉴权机制不仅提供给管理员管理网络设备的灵活性,而且也易于追查和回溯网络维护中发生的问题。比如要针对不同的访问来源进行权限的界定,针对访问的操作行为进行详细的审计,TACACS+协议就比RADIUS协议在命令级审计上要具有优势,而RADIUS在用户客户端的通用性上更具优势,这些都是设计时需要考虑的问题。
最后,不仅用户对资源的访问需要鉴权,在最新的安全框架中设备对设备的互连和访问也需要鉴权。特别是网络大二层互连方式的兴起,使得缺少三层路由认证的二层协议也需要进行安全认证。IEEE 802.lx 2010及IEEE 802.1AR草案已在着手解决这一问题,也有部分厂商先期在其数据中心这些关键领域的设备提供了解决方案,其基本原理如果传统的IEEE802.lx
