銀行網絡安全架構

1.設備級安全

對于傳統的封閉式軟硬件一體化架構的網絡設備，需要依靠設備商提供的安全手段保證安全性，其中包括：

(1)設備自身應對外部攻擊的防護一般手段有防止CPU過載的“控制平面保護”，在傳輸路徑上自動過濾的Unicast Reverse Path Forwarding(URPF,單播逆向路徑轉發)等。

(2)網絡自身協議的穩定性防護比如對二層上生成樹協議的根欺騙、BPDU欺騙、ARP欺騙、ARP洪泛、單播/廣播惡意洪泛，對三層協議上的路由欺騙、路由過載攻擊等的防護。

2.網絡級安全

網絡級安全是網絡基礎設施在提供連通性服務的基礎上所增值的安全服務，在網絡平臺上直接實現這些安全功能比在主機操作系統、應用一級實現具有更好的平臺化效應，設計得當可以事半功倍，具體包括安全接入認證、授權和審計，網絡的訪問控制，傳輸的加密和完整性。

(1)安全接入認證、授權和審計

認證、授權和審計常被簡稱為AAA(Authentication, Authorization, Audit),分別為：驗證(Authentication),驗證是否可以獲得訪問權限；授權(Authorization),授權可以使用哪些服務；審計(Accounting),記錄使用資源的情況。

網絡安全架構設計中的AAA根據服務對象可以分為三個層面：用戶層面的AAA,網絡管理的AAA,設備之間的AAA。它們只是作用的對象不同，認證、授權和審計功能基本是一致的。用戶通常通過IEEE 802.lx、PPP等協議通過有線/無線局域網或廣域網接入具有網絡訪問控制功能的交換機、無線AP或路由器，通過某種Extensible Authentication Protocol(EAP)方式提交憑證，并在網絡訪問控制設備后端通過RADIUS或TACACS/TACACS+協議將EAP信息傳遞給AAA服務器，AAA服務器在通過后臺服務目錄/數據庫的用戶信息進行檢索以提供驗證、授權以及審計服務。當然也有通過Web Portal或者簡單通過地址來進行用戶認證或者直接在網絡訪問控制設備本地得到用戶信息提供AAA服務的方式。

網絡安全架構設計的另一個關鍵問題在于如何使用AAA服務。一般對于用戶遠程訪問系統內資源，都需要進行AAA,但傳統的AAA僅僅關注用戶身份、資源訪問授權的是或否，往往在移動互連高度發達的今天，特別是BYOD (Bring Your Own Device)概念的提出后顯得不足以解決新的安全問題。比如，同樣身份的用戶通過固定工位的PC客戶端進行的訪問和該用戶自己的安卓手機客戶端的訪問都提供同樣的訪問范圍和資源權限嗎？一個落后版本的操作系統的訪問和進行了企業安全核查的系統的訪問都同樣基于用戶名和密碼進行權限賦予嗎？這些都是新的AAA解決方案的擴展，包括基于用戶健康狀態的網絡準入和授權解決方案(NAC),基于移動客戶端管理(MDM)的BYOD解決方案等。

另外，除了對用戶訪問業務資源，管理員對網絡設備管理的AAA也非常重要。一個有效的鑒權機制不僅提供給管理員管理網絡設備的靈活性，而且也易于追查和回溯網絡維護中發生的問題。比如要針對不同的訪問來源進行權限的界定，針對訪問的操作行為進行詳細的審計，TACACS+協議就比RADIUS協議在命令級審計上要具有優勢，而RADIUS在用戶客戶端的通用性上更具優勢，這些都是設計時需要考慮的問題。

最后，不僅用戶對資源的訪問需要鑒權，在最新的安全框架中設備對設備的互連和訪問也需要鑒權。特別是網絡大二層互連方式的興起，使得缺少三層路由認證的二層協議也需要進行安全認證。IEEE 802.lx 2010及IEEE 802.1AR草案已在著手解決這一問題，也有部分廠商先期在其數據中心這些關鍵領域的設備提供了解決方案，其基本原理如果傳統的IEEE802.lx—樣，只不過充當網絡控制設備和用戶角色的都是網絡設備自身，它們經過一定的“選舉制度”分別相互進行認證，最終達到整體安全關聯的目標。

（2）網絡的訪問控制

網絡的訪問控制是網絡安全設計的核心，它與前述的整體網絡的水平分區、垂直分層的設計結構緊密相關。

首先對數據中心、局域網、城域/廣域網等幾個宏觀區域是需要進行訪問控制的，這體現在互連設計上要有明顯的易于進行訪問控制的行政分界，前述城域/廣域網的承載網架構相比傳統分層架構的優勢就體現在這里。在分界點處可以放置專業的安全訪問控制設備（比如防火墻、入侵檢測等），也可以使用網絡設備自身的訪問控制隔離能力，視區域安全級別所對應的合規化要求而定。

數據中心區域內部的訪問控制是銀行網絡安全設計的重點和難點，其需要在資源訪問靈活性與嚴格的安全合規化要求間進行權衡。如前面數據中心網絡架構中所述，傳統的瘦分區模型就是以安全隔離為設計重心的，因此整個架構看起來像是以防火墻為交換核心而非交換機為核心，保證了安全隔離但喪失了業務遷移擴展的靈活性和彈性。隨著互聯網行業的相關IT技術對傳統行業的滲透，銀行業務未來的趨勢是趨向于補足在系統和應用級安全的短板，在網絡上的隔離性也應趨向于從物理隔離向邏輯隔離過渡，在這個背景下新型的數據中心胖分區模型將會占主導地位，它能夠在相當大的范圍內自由地將二層域（比如VLAN或VLAN組）實現靈活性的延展，但二層域之間隔離仍然存在，也必須經過訪問控制設備（如防火墻、入侵檢測等）才能互訪，與傳統結構不同的是這些隔離是通過VLAN或VRF等技術的邏輯隔離。

需要指出的是，在數據中心網絡架構未來發展的藍圖中，不依賴基礎架構特性的安全域劃分將成為未來趨勢，即構成安全域的要素不再依賴VLAN/VRF,而是更為廣義的策略，比如可以是邊緣VLAN的標記、IP地址甚至虛擬機的組名、主機的域名或前綴等，使得應用需求到基礎架構配置的映射、復雜的安全策略的實現、日常安全運維等得以上升到一個全新的水平。

（3）傳輸的加密和完整性

在銀行的業務中不乏敏感信息的傳輸需要安全的加密和完整性的保護，在應用層或會話層（如SocketLayer）可以實現，而在網絡上實現的意義在于平臺化的加密和完整性保護能夠以更低的開銷和更高的效率提供給更廣泛的服務對象，因而也作為網絡設計中一個不可缺少的組成部分。

網絡提供的加密和完整性傳輸手段多用于VPN遠程站點或網絡的接入，在銀行系統內最常用的手段是采用標準的IPSec協議，具體在設計中有Site-to-Site（網絡到網絡）和Remote Access（遠程訪問，即單機到網絡）等不同方式。在IPSec的實現框架中，加密、完整性乃至可選的線路認證都是可以一體化實現的。

銀行網絡中還會有一類網絡需求以“隱藏”達到傳輸安全的目的，而無須IPSec這樣端到端進行復雜的密鑰分發和安全關聯性交互（SA）,這種也是VPN的一種。比如MPLSVPN能夠很好地隔離各類業務流量，相互之間看不到其他業務傳輸的存在，因而也保護了各自業務傳輸的安全性和管理的獨立性。在國內銀行一些新部署的承載網上使用MPLSVPN隔離不同安全要求的業務。

另外，隨著數據中心二層擴展的普及，在數據中心內或同城數據中心之間的安全加密需求逐漸增多，IPSec作為一種基于網絡層端到端的安全加密方式用于數據中心有以下不足：

1）對網絡設備不透明：對中間的網絡不透明，無法在網絡上進行協議分析、針對業務類型做QoS標記、安全過濾、IDS等。

2）不能防范二層攻擊：沒有對鏈路層進行加密和數據完整性工作，不能防范鏈路層的攻擊。

3）不可擴展：端對端的加密方式造成數據中心內大量端對端的Session,不同的證書、密鑰交換方式、Hash和加密的算法等，對于處處皆需安全的普遍加密環境，則幾乎難于管理和維護。服務器、終端而言，高帶寬I/O的加解密、Session維護等也是極重的負擔。

對于此，IEEE 802.1AE（即MACSec）標準則提供了在鏈路層加密的解決方案，現在已成為很多主流服務器網卡和數據中心級交換機端口的必備配置。

使用MACSec的Link-by-Link方式的加密相比IPSec端到端的加密在數據中心有下列優勢：

1）對網絡透明：數據只在設備之間的線路上實現對MAC層加密，在設備內是硬件解密后呈明文狀態參與原有的轉發機制的，這樣網絡設備內的所有高級功能，比如協議分析、IDS、QoS等皆不受影響。

2）防范二層攻擊：在MACSec里，不僅用戶數據幀，所有的二層管理幀都可以被打標記和加密，包括LLDP、VTP、UDLD、BPDU等，因此其本身就實現了對設備間包括生成樹、鄰居發現等二層協議的安全識別、安全保護。

3）擴展性好：MACSec實現鄰接網絡設備間的加密和完整性保護，無須維護所有終端、服務器之間全網狀的加密Session。MACSec的密鑰管理在前述的IEEE802.IX2010和IEEE802.1AR的受信認證交互中完成，也可靜態定義，加解密由硬件ASIC芯片實現，10/40GE端口可線速實現AES全加密，因此具有極強的擴展性。