信雅达银行业VPN系统技术应用分析-VPN解决方案.doc
信雅达银行业 VPN 系统技术应用分析 -VPN 解决方案 1.背景 VPN( Virtual Private Network)即“虚拟专用网”,是一种成熟的网络安全技术,它通过在网络层使用专门的加密和认证算法,在公共的网络( Internet)上构建起用户自己的安全通道。 VPN 在实现如同专线一样传输效果的同时,还可以为用户带来更高的安全性、更大的网络带宽和更低的网络构建与运行费用。目前 VPN 技术已经在全社会各行业广泛使用,在这里我们对 VPN 技术在银行业的应用进行分析,以供银行业用户参考。 2.银行业现状 随着经济全球化的发展,国内的银行业所面临的竞争压力已经进入到前所未有的激烈阶段。我国各大银行已经意识到充分运用先进科技的重要性 ,因为只有这样才能帮助银行提高自身综合竞争力,从而达到降低运营成本这一最终目的。我国各大银行已经逐步形成了全国及全球性的网络化服务体系,其网络结构采取总行到省行及地市分行的三级网络结构:总行网络中心为一级节点,省行网络中心为二级节点,各地市银行网络中心、各支行网络中心为三级节点。 目前,多数银行通过主干网(如 DDN/ATM/SDH 等专线方式)连接各级银 行网络,为提高系统的稳定性,还提供了数据备份网(如 FR/ISDN/PSTN 等)。与此同时,随着各项新兴业务的兴起,如:各项外联业务(如代收 /付业务、证券 /保险类业务等)、 ATM(自助银行)、移动办公、集中监控,仅仅依靠传统专线已经无法满足这些业务发展的需要,一方面专线的带宽限制影响了业务的开展和效果,另一方面银行用于网络构建与运行的费用更是逐年增加,因此银行开始考虑基于 Internet 来构建银行的部分应用,但是由于 Internet 的开放性,又使得银行面临着来自内部、外部的各种威胁,如:非法授权、信息窜改或丢 失。 银行做为重要的金融机构,一旦信息泄露或者信息混乱,将给银行自身信誉、社会稳定、国家安全带来巨大影响。 3.VPN 技术 根据以上对银行业现状的分析,我们认为低成本、高带宽、节点灵活的 VPN技术能够很好的解决银行业的一部分需求。而基于 Internet 的 VPN 技术就是近年来快速发展并得到应用普及的一种互联网技术,它完全摒弃了传统组网方式,综合利用了现有互联网络资源,全面降低了用户的运营成本,在低投入的情况下充分满足了银行业用户对网络高保密性、私有性的需求。 3.1 保密的实现 网络安全保密可以通过密码技术来实现。密码技术是目前实现网络安全的最有效的技术之一。实际上,数据加密作为一项基本技术已经成为网络通信安全的基础。一个网络系统经过加密后进行通信,不但可以防止非授权用户的搭线窃听和入网,而且也是对付黑客软件的有效方法。 根据密码算法所使用的加密密钥和解密密钥是否相同、能否由加密过程推导出解密过程 (或相反 ),可将密码体制分成对称密码体制和非对称密码体制。 1、对称密码体制是加解密双方使用相同的密钥进行加解密,最著名的对称密码算法就是 DES 及其变形 3DES。对称密码算法的 优点是有很强的保密强度和较快的运算速度,缺点是加解密密钥相同,要求密钥必须通过安全的途径交互,因此产生了密钥管理的问题; 2、非对称密码体制是加解密双方使用不同的密钥进行加解密,并且两个密钥之间几乎不可能相互推导。最著名的非对称算法就是 RSA 算法。它的优点是密钥管理简单,适应了网络的开放性要求,缺点是算法复杂,运算速度较慢。 这两种密码体制的优缺点都是很明显的,在很多场合下都是需要将两种密码算法结合起来使用。譬如先通过使用非对称密码算法认证对方的身份并协商出一个只有双方掌握的密钥,然后由这个密钥 来加密保护真正的数据通信。 3.2 技术原理 信雅达 VPN 系统的技术实现是基于 IPSec 标准的第三层隧道协议。 相对于以 PPTP, L2TP 等为代表的二层隧道协议,第三层协议更加安全,更加容易扩展,效率也更高。 IPSec 是一组开放协议的总称,它给出了应用于 IP 层上网络数据安全的一整套体系结构,包括网络安全协议: Authentication Header( AH) 协议、 Encapsulating Security Payload ( ESP)协议,密钥交换协议: Internet Key Exchange ( IKE)协议,用于验证及加密的一些算法等,用以提供访问控制( Access Control)、数据起源的验证( data origin authentication)、数据内容的机密性( Confidentiality)、抗重播保护( Anti-replay)、无连接的完整性验证( connectionless integrity)、以及有限的数据流完整性验证( a form of partial sequence integrity)等服务。 信雅达 VPN 系统使用的对称算法有:采用 SSP02-A 芯片的国密算法, 3DES,AES;非对称算法有: RSA;其它算法: D-H, MD5, SHA1。 4.银行业 VPN 应用分析 我们下面将对银行业可应用 VPN 技术组网的系统和业务应用进行分析,在这里我们重点讨论外联业务和数据备份网。 4.1 外联业务 外联业务是一项方便于民的服务,指银行利用其场所、网络、技术等设施为客户提供方便服务,收取手续费的各种业务。如:银证转帐业务、基金托管业务、代收电信 /移动 /连通通讯费用业务、代缴水 /电 /煤气费业务等。 但外联业务要与其它行业部门(如电信 、证券、保险、税务、电力)进行业务往来,不同的行业其网络构架大为不同,组网方式存在多样化选择。银行若要与这些外联单位进行通信,首要前提是提供一套安全的网络体系,保证其数据传输的安全性,从而减少给银行网络带来的安全隐患。目前,银行多通过专线方式进行业务数据的互传,但不能要求外联单位采用同样的网络构架,无论对银行,还是证券、保险等行业,都要部署一条独立的专线,因此相对其业务收益来说其成本过高。 故外联业务做为银行的一向外围业务,采用基于 Internet 的 VPN 是一种经济、安全的组网方式,它既能满足低成本组 网需求,又能满足不同行业灵活的组网需求。但是由于 Internet 的开放性,对其数据传输的安全性提出了更高的要求。若不对两者之间的网络进行必要的保护措施,一旦银行与电信、证券等行业联网,通过 Internet 会给银行带来严重的安全漏洞,如病毒、黑客攻击,造成信息窜改或丢失,给银行自身信誉带来巨大影响。 VPN 组网很好的解决了由于公共网带来的安全隐患,同时也是一种经济的组网方式,完全适合银行与电信、证券等部门组网,开展外联业务。 从上图中可看到,通过在银行和外联单位部署信雅达 SJW56 系列 VPN 产品,可以实现银行与外联单位之间经济、安全的网络互连。 ( 1) 银行 银行数据中心集中了银行主机、中间业务前置机和银行其它应用服务器,其网络的安全性和稳定性显得至关重要,为此我们在银行数据中心部署两台高端网络密码机 — — SJW56-508 作为 VPN 接入网关,在中心机房的两台高端 VPN 接入网关采用双机热备以增加系统的稳定性。信雅达 SJW56-508 VPN 网关密文吞吐量达到 100M,支持 3000 个安全通道,完全能满足银行业用户的组网需要。 同时在银行数据中心还建立了 VPN 的管理中心: SJW56-SMC(安全管理中心)、SJW56-miniCA。 SJW56-SMC 可实现对所有设备的集中管理,并对设备的初始化尽量做到“零配置”,实现实施、管理的方便性,并减少了异地 VPN 设备维护的工作量。 SJW56-miniCA 通过颁发证 书,以 USB KEY 为密钥介质,确保接入银行内部局域网设备的合法性。 ( 2) 外联单位 外联单位采用边缘 VPN 设备接入银行 VPN 网络,信雅达 SJW56-108A VPN 网关密文吞吐量为 40M,支持 100 个安全通道,主要进行外联业务单位与银行建立VPN 连接。 信雅达的中低端网络密码机具有宽带( PPPoE)接入功能,如 ADSL、 Cabel Modem、以太网等方式,对外联单位的 VPN 设备可直接接入宽带。 信雅达的中低端网络密码机还具有全状态防火墙功能,对较小的应用还能节省防火墙的投资。 4.2 银行业务备份网 各种网点业务一直是银行的业务基础,同时也与广大老百姓密切相关,因此各项网点业务的稳定运行同时关系到银行的经济利益和社会利益。 长期以来,银行网点的网络一直采用主 /备方式,伴随着银行业务的不断发展和金融信息化建设的不断推进,银行网点的网络也在不断的进步,其中备份网络从最初的 PSTN 拨号逐渐发展到了现在的 ISDN 和 FR(帧中继),随着网络性能的提升,接入线路的租费也是水涨船高,目前一个储蓄所的网络备份线路的月租费一般不低于一千元(甚至更高),这给银行的业务开展带来不小的 负担。同时由于营业网点的网络备份线路不常使用,因此这不小的负担在某种意义上来讲亦是一种浪费。 目前随着 Internet 的广泛应用和线路稳定性的不断提高,已经被越来越多的用户选择用来作为非关键应用实时数据的传输,在基于 Internet 的 VPN 技术出现后更是出现了一大批通过 VPN 网络技术来实现的关键应用。同时,由于基于Internet 的 VPN 技术特有的方便性和高安全性,一些银行已经开始考虑将一部分应用从传统的窄带专线向宽带 VPN 网络发展,面向银行网点业务的备份线路就是 VPN 在银行中的一个很好的应用舞台。 上图通过在银行数据中心和网点间部署信雅达 SJW56系列 VPN产品来构建银行网点的 VPN 备份网络,实现经济、安全的组网。 ( 1) 银行数据中心 在银行端构建 VPN 网络中心的过程与外联业务的 VPN 应用一样,都是在银行数据中心部署两台互为备份的高端网络密码机 —— SJW56-508作为 VPN接入网关,同时部署 SJW56-SMC、 SJW56-miniCA 建立了 VPN 的管理中心,各项功能也与外联业务的 VPN 应用一样。 ( 2) 银行网点 我们在每个银行网点均部署了边缘 VPN 设备来接入银行 VPN 网络,信雅达SJW56-108B VPN 网关密文吞吐量为 40M,支持 100 个安全通道,如有需要也可以采用密文吞吐量为 40M 的 SJW56-208 VPN 网关。 信雅达 A款系列 VPN网关产品只有一个外网口, B款系列产品有两个外网口。两个外网口便于银行申请两条宽带接入,从而保证系统的高可用性。一般对金融行业建议配置 B 款系列产品。 信雅达的中低端网络密码机具有宽带( PPPoE)接入功能,如 ADSL、 Cabel Modem、以太网等方式,对网点的 VPN 设备可直接接入宽带。 信雅达的中低端网络密码机还 具有全状态检测防火墙功能,对较小的应用还能节省防火墙的投资。 4.3 银行业其它 VPN 应用分析 4.3.1 银行 ATM 业务 银行 ATM 业务的迅速发展,代表银行在推进电子银行渠道建设方面取得了重大进展,也显示了消费者对电子银行接受程度逐步提高。建立一套完善的银行ATM 网络则是提高银行服务水平的的一种重要方式。 目前,银行 ATM 网络多采用专线方式相连,但昂贵的线路租用费用,对逐渐增多的 ATM 站点显然不能适应。随着各种 Internet 组网(如 xDSL, Cable Modem, Ethernet)及无线组网(如 CDMA、 GPRS 等)的成熟发展,采用这些新型组网方式已得到普遍认同。但在充分应用公用网时,也必须认识到开放的网络带来的安全隐患,必须采取必要的安全措施,保证信息传输的安全性。 VPN 技术则能很好的解决 ATM 组网成本及安全问题。信雅达 VPN 产品还支持无线接入,满足银行多样化的组网方式。 4.3.2 (集中)监控业务 银行做为国家的重要金融机构,位于城市的各个角落,它具有规模多样、重要设施繁多、出入人员管理复杂、涉及领域广等特点。而今高科技犯罪越来越多,因此,银行需要建立 一套先进、可靠的监控系统。该系统保证 24 小时全天侯不间断地工作,且进行实时的数据传输,并要求具有强大的扩展能力,能满足扩大营业网点或机构调整,可随时增大监控的规模。 银行视频监控系统主要应用在:收银柜台监控、储蓄所现场、 ATM 机监控等,有了视频监控系统能有效地解决抢劫、信息被盗等案件。尤其对 ATM 业务来说,其犯罪现象越来越多,在全国各地出现了多起盗取合法持卡人钱款的犯罪活动以及各种破坏 ATM 的恶性事件。如何保护用户的合法财产及银行的利益,防范各种针对银行的犯罪行为是一个亟待解决的问题,因此许多银行都开 始积极推进监控系统深入应用。 但大多数银行通过专网进行业务传送,专网的带宽往往不能支撑监控等视频信息的传送。专网的高带宽是以高成本为代价,如 1M 的 DDN 专线每个月的线路费用为两千元,因此用户无法将监控业务通过网络集中管理、集中保存监控数据。由于带宽,目前绝大部分的监控图象只能在本地保存,这样一方面由于数据分散,设备的投入和维护工作量都较大,数据丢失风险就更高了;另一方面由于无法实现集中管理,使得系统的随意性较大,增加了数据丢失风险。近年来基于Internet 通过 VPN 技术来实现的集中监控系统开始逐 渐为银行所接受,由于其廉价的宽带接入,并且有足够的带宽保证银行集中监控系统,同时还通过 VPN技术获得了很好的数据安全保障,可谓是一举两得。目前, ADSL、 Ethernet 等接入线路一般都能够提供 1~100M 的带宽,完全能满足传送多媒体等业务。 4.3.3 移动办公用户 随着经济全球化的发展,我国各个银行各地分支营业点越来越多,也逐步在国外开展业务。为有效提高办公效率,有些员工偶尔在家办公,或出差员工都需要访问银行内部资源,则需要通过远程或移动办公的方式,尤其是美国 “ 911”事件及 SARS 在全球 广泛爆发后,其移动办公显得更为重要。 早期远程 /移动办公用户通过拨号方式,通常做法是在银行内部创建庞大的Modem Pool,远程访问的用户需要在外地长途拨号到银行总部实现资源共享,则用户往往需要付长途电话费用,增加了成本投入,同时大量的 Modem Pool 也增加了银行对设备管理维护的难度。 随着 Internet 的飞速发展,就给移动办公用户或远程办公用户带来了极大的方便,移动办公用户可以利用无处不在的 Internet 网对银行内部网进行远程访问及开展远程办公。但这种便捷的方式却潜伏着很多危险,内部 网络随时会受到黑客的攻击,通过公网通讯信息也很容易被窃听和非法修改。 通过使用 VPN 技术可以很好地解决上述组网带来的安全问题,利用隧道技术,通过在公用网络上建立逻辑通道,网络层的加密以及采用口令保护、权限设置及多种身份认证措施,保证数据的保密性、完整性、真实性、抗重放性。 每个移动办公用户通过安装一套 VPN 客户端软件,通过电话拨号或 LAN 等方式接入 Internet,与银行总部或营业分支建立 VPN 通道,实现内部 OA、 Web 服务应用共享甚至实现数据库访问。 通过 VPN 技术实现的移动办公,银行内 部不需要大量的设备,只需要建设一个 VPN 网关和一个身份认证系统,对每个移动用户来说,也只是安装一个 VPN客户端软件即可实现与银行的安全连接,从而实现方便、快捷的远程办公。 4.4 银行业 VPN 实现 从上图中可看到,通过在银行总部、营业厅、银行 ATM 站点及移动用 户部署信雅达 SJW56 系列产品,能实现银行各系统之间经济、安全的网络互连。 ( 1) 银行总部 位于银行总部的 VPN接入网关和 VPN的管理中心可以与外联业务或网点备份网络的中心端 VPN 系统共用。 若对移动办公用户采用动态口令卡 (TOKEN 卡 )的方式做为身份认证,则在总行还需要配置信雅达 SJW56-OTPS( One Time Password Server),做为 TOKEN卡的发行、管理、认证服务器。 ( 2) 自助银行 /ATM 各自助银行 /ATM 通过 ADSL 方式联入 Internet,由 SJW56-108 网络密码机与银行总部建立 VPN 连接,每台密码机都经过总部的发行认证过程,保证设备的合法性。 ( 3) 营业厅(监控系统) 银行的监控系统主要应用在:收银柜台监控、储蓄所现场、 ATM 机监控等,能有效地解决抢劫、信息被盗等案件。由于此业务数据流量较大,基于传统专线组网,其带宽很难得到保证,故基于 Internet 构建的 VPN 组网,能提供较高的带宽,满足该业务需求,即集中监控线路不能采用银行的业务线路。 为实现 VPN 组网,在各营业网点部署一台 SJW56-108 网络密码机实现与银 行总部的集中监控业务。 ( 4) 移动用户 每个移动用户安装一套客户端软件 SJW56-Remote,并可灵活采用两种身份认证方式。或者由总部 miniCA 颁发证书,对其身份进行认证,或者采用总部 OTPS颁发的 TOKEN 卡进行身份认证。 通过以上部署,为银行业提供了一种性价比比较高的组网方式,有效的解决了外联业务、移动办公业务、(集中)监控业务、 ATM 业务组网,从组网成本、网络安全性均得到了充分保证。 5.银行业 VPN 应用投资分析 我们下面以银行网点业务备份网络为应用目标,以某省级分 行为蓝本进行投资分析。目前某省级分行有营业网点约 1000 个(未包自助银行),计 1000 个VPN 用户。 组网方式 FR(营业区内) ADSL 带宽 128K 10M/2M 线路租费 1,000 元 /月 67 元 /月 年线路租费 12,000 元 /年 800 元 /年 全省年线路租费 12,000,000 元 /年 800,000 元 /年 VPN 设备投资分析 VPN 设备投入 单价 按照 5 年折旧 全省年使用费 银行总部 600,000 元 /台 120,000 元 /台 /年 120,000 元 /年 营业网点 /自助银行 15,000 元 /台 3,000 元 /台 /年 3,000,000 元 /年 综上: 传统窄带专线年线路租费(未包括设备投资、维护费用): 12,000,000 元 /年; 宽带 VPN 年线路租费(已经包括设备投资和前三年维护费用) 3,920,000 元/年。 可以不难看出,宽带 VPN 的年使用费用不到传统窄带专线的三分之一,其带来的经济效益是不言而喻的。