银行网络安全架构

摘要：

高速发达的网络平台衍生出了新型的网络病毒、蠕虫、DDOS和黑客入侵等攻击手 段，所以我们的防护手段不应仅停留在对计算环境和信息资产的保护，还应当从网络底层平台建设开始，将安全防护的特性内置于其中，以防范日益增加的网络安全风险。本文从设备级安全和网络级安全两方面对银行网络安全进行介绍。

1.设备级安全

对于传统的封闭式软硬件一体化架构的网络设备，需要依靠设备商提供的安全手段保证安全性，其中包括：

(1)设备自身应对外部攻击的防护一般手段有防止CPU过载的“控制平面保护”，在传输路径上自动过滤的Unicast Reverse Path Forwarding(URPF,单播逆向路径转发)等。

(2)网络自身协议的稳定性防护比如对二层上生成树协议的根欺骗、BPDU欺骗、ARP欺骗、ARP洪泛、单播/广播恶意洪泛，对三层协议上的路由欺骗、路由过载攻击等的防护。

2.网络级安全

网络级安全是网络基础设施在提供连通性服务的基础上所增值的安全服务，在网络平台上直接实现这些安全功能比在主机操作系统、应用一级实现具有更好的平台化效应，设计得当可以事半功倍，具体包括安全接入认证、授权和审计，网络的访问控制，传输的加密和完整性。

(1)安全接入认证、授权和审计

认证、授权和审计常被简称为AAA(Authentication, Authorization, Audit),分别为：验证(Authentication),验证是否可以获得访问权限；授权(Authorization),授权可以使用哪些服务；审计(Accounting),记录使用资源的情况。

网络安全架构设计中的AAA根据服务对象可以分为三个层面：用户层面的AAA,网络管理的AAA,设备之间的AAA。它们只是作用的对象不同，认证、授权和审计功能基本是一致的。用户通常通过IEEE 802.lx、PPP等协议通过有线/无线局域网或广域网接入具有网络访问控制功能的交换机、无线AP或路由器，通过某种Extensible Authentication Protocol(EAP)方式提交凭证，并在网络访问控制设备后端通过RADIUS或TACACS/TACACS+协议将EAP信息传递给AAA服务器，AAA服务器在通过后台服务目录/数据库的用户信息进行检索以提供验证、授权以及审计服务。当然也有通过Web Portal或者简单通过地址来进行用户认证或者直接在网络访问控制设备本地得到用户信息提供AAA服务的方式。

网络安全架构设计的另一个关键问题在于如何使用AAA服务。一般对于用户远程访问系统内资源，都需要进行AAA,但传统的AAA仅仅关注用户身份、资源访问授权的是或否，往往在移动互连高度发达的今天，特别是BYOD (Bring Your Own Device)概念的提出后显得不足以解决新的安全问题。比如，同样身份的用户通过固定工位的PC客户端进行的访问和该用户自己的安卓手机客户端的访问都提供同样的访问范围和资源权限吗？一个落后版本的操作系统的访问和进行了企业安全核查的系统的访问都同样基于用户名和密码进行权限赋予吗？这些都是新的AAA解决方案的扩展，包括基于用户健康状态的网络准入和授权解决方案(NAC),基于移动客户端管理(MDM)的BYOD解决方案等。

另外，除了对用户访问业务资源，管理员对网络设备管理的AAA也非常重要。一个有效的鉴权机制不仅提供给管理员管理网络设备的灵活性，而且也易于追查和回溯网络维护中发生的问题。比如要针对不同的访问来源进行权限的界定，针对访问的操作行为进行详细的审计，TACACS+协议就比RADIUS协议在命令级审计上要具有优势，而RADIUS在用户客户端的通用性上更具优势，这些都是设计时需要考虑的问题。

最后，不仅用户对资源的访问需要鉴权，在最新的安全框架中设备对设备的互连和访问也需要鉴权。特别是网络大二层互连方式的兴起，使得缺少三层路由认证的二层协议也需要进行安全认证。IEEE 802.lx 2010及IEEE 802.1AR草案已在着手解决这一问题，也有部分厂商先期在其数据中心这些关键领域的设备提供了解决方案，其基本原理如果传统的IEEE802.lx—样，只不过充当网络控制设备和用户角色的都是网络设备自身，它们经过一定的“选举制度”分别相互进行认证，最终达到整体安全关联的目标。

（2）网络的访问控制

网络的访问控制是网络安全设计的核心，它与前述的整体网络的水平分区、垂直分层的设计结构紧密相关。

首先对数据中心、局域网、城域/广域网等几个宏观区域是需要进行访问控制的，这体现在互连设计上要有明显的易于进行访问控制的行政分界，前述城域/广域网的承载网架构相比传统分层架构的优势就体现在这里。在分界点处可以放置专业的安全访问控制设备（比如防火墙、入侵检测等），也可以使用网络设备自身的访问控制隔离能力，视区域安全级别所对应的合规化要求而定。

数据中心区域内部的访问控制是银行网络安全设计的重点和难点，其需要在资源访问灵活性与严格的安全合规化要求间进行权衡。如前面数据中心网络架构中所述，传统的瘦分区模型就是以安全隔离为设计重心的，因此整个架构看起来像是以防火墙为交换核心而非交换机为核心，保证了安全隔离但丧失了业务迁移扩展的灵活性和弹性。随着互联网行业的相关IT技术对传统行业的渗透，银行业务未来的趋势是趋向于补足在系统和应用级安全的短板，在网络上的隔离性也应趋向于从物理隔离向逻辑隔离过渡，在这个背景下新型的数据中心胖分区模型将会占主导地位，它能够在相当大的范围内自由地将二层域（比如VLAN或VLAN组）实现灵活性的延展，但二层域之间隔离仍然存在，也必须经过访问控制设备（如防火墙、入侵检测等）才能互访，与传统结构不同的是这些隔离是通过VLAN或VRF等技术的逻辑隔离。

需要指出的是，在数据中心网络架构未来发展的蓝图中，不依赖基础架构特性的安全域划分将成为未来趋势，即构成安全域的要素不再依赖VLAN/VRF,而是更为广义的策略，比如可以是边缘VLAN的标记、IP地址甚至虚拟机的组名、主机的域名或前缀等，使得应用需求到基础架构配置的映射、复杂的安全策略的实现、日常安全运维等得以上升到一个全新的水平。

（3）传输的加密和完整性

在银行的业务中不乏敏感信息的传输需要安全的加密和完整性的保护，在应用层或会话层（如SocketLayer）可以实现，而在网络上实现的意义在于平台化的加密和完整性保护能够以更低的开销和更高的效率提供给更广泛的服务对象，因而也作为网络设计中一个不可缺少的组成部分。

网络提供的加密和完整性传输手段多用于VPN远程站点或网络的接入，在银行系统内最常用的手段是采用标准的IPSec协议，具体在设计中有Site-to-Site（网络到网络）和Remote Access（远程访问，即单机到网络）等不同方式。在IPSec的实现框架中，加密、完整性乃至可选的线路认证都是可以一体化实现的。

银行网络中还会有一类网络需求以“隐藏”达到传输安全的目的，而无须IPSec这样端到端进行复杂的密钥分发和安全关联性交互（SA）,这种也是VPN的一种。比如MPLSVPN能够很好地隔离各类业务流量，相互之间看不到其他业务传输的存在，因而也保护了各自业务传输的安全性和管理的独立性。在国内银行一些新部署的承载网上使用MPLSVPN隔离不同安全要求的业务。

另外，随着数据中心二层扩展的普及，在数据中心内或同城数据中心之间的安全加密需求逐渐增多，IPSec作为一种基于网络层端到端的安全加密方式用于数据中心有以下不足：

1）对网络设备不透明：对中间的网络不透明，无法在网络上进行协议分析、针对业务类型做QoS标记、安全过滤、IDS等。

2）不能防范二层攻击：没有对链路层进行加密和数据完整性工作，不能防范链路层的攻击。

3）不可扩展：端对端的加密方式造成数据中心内大量端对端的Session,不同的证书、密钥交换方式、Hash和加密的算法等，对于处处皆需安全的普遍加密环境，则几乎难于管理和维护。服务器、终端而言，高带宽I/O的加解密、Session维护等也是极重的负担。

对于此，IEEE 802.1AE（即MACSec）标准则提供了在链路层加密的解决方案，现在已成为很多主流服务器网卡和数据中心级交换机端口的必备配置。

使用MACSec的Link-by-Link方式的加密相比IPSec端到端的加密在数据中心有下列优势：

1）对网络透明：数据只在设备之间的线路上实现对MAC层加密，在设备内是硬件解密后呈明文状态参与原有的转发机制的，这样网络设备内的所有高级功能，比如协议分析、IDS、QoS等皆不受影响。

2）防范二层攻击：在MACSec里，不仅用户数据帧，所有的二层管理帧都可以被打标记和加密，包括LLDP、VTP、UDLD、BPDU等，因此其本身就实现了对设备间包括生成树、邻居发现等二层协议的安全识别、安全保护。

3）扩展性好：MACSec实现邻接网络设备间的加密和完整性保护，无须维护所有终端、服务器之间全网状的加密Session。MACSec的密钥管理在前述的IEEE802.IX2010和IEEE802.1AR的受信认证交互中完成，也可静态定义，加解密由硬件ASIC芯片实现，10/40GE端口可线速实现AES全加密，因此具有极强的扩展性。

↑↑↑长按图片识别二维码关註↑↑↑

原文始发于微信公众号（全栈网络空间安全）：银行网络安全架构