VPN技術在現代金融監管系統中應用論文

導語：VPN技術在現代金融監管系統中應用論文一文來源于網友上傳，不代表本站觀點，若需要原創文章可咨詢客服老師，歡迎參考。

摘要：在現代金融行業里，計算機網絡有著廣泛全面的應用，現代金融管理正朝著電子化、信息化、網絡安全化的方向在發展，尤其是網絡信息安全化發展的vpn技術在現代金融行業管理中起著越來越重要的作用。

一、現代金融網絡系統典型架構及其安全現狀

就金融業目前的大部分網絡應用而言，典型的省內網絡結構一般是由一個總部（省級網絡中心）和若干個地市分支機構、以及數量不等的合作伙伴和移動遠程（撥號）用戶所組成。除遠程用戶外，其余各地市分支機構均為規模不等的局域網絡系統。其中省級局域網絡是整個網絡系統的核心，為金融機構中心服務所在地，同時也是該金融企業的省級網絡管理中心。而各地市及合作伙伴之間的聯接方式則多種多樣，包括遠程撥號、專線、Internet等。

從省級和地市金融機構的互聯方式來看，可以分為以下三種模式：（1）移動用戶和遠程機構用戶通過撥號訪問網絡，撥號訪問本身又可分為通過電話網絡撥入管理中心訪問服務器和撥入網絡服務提供商兩種方式；（2）各地市遠程金融分支機構局域網通過專線或公共網絡與總部局域網絡連接；（3）合作伙伴（客戶、供應商）局域網通過專線或公共網絡與總部局域網連接。

由于各類金融機構網絡系統均有其特定的發展歷史，其網絡技術的運用也是傳統技術和先進技術兼收并蓄。通常在金融機構的網絡系統建設過程中，主要側重于網絡信息系統的穩定性并確保金融機構的正常生產營運。

就網絡信息系統安全而言，目前金融機構的安全防范機制仍然是脆弱的，一般金融機構僅利用了一些常規的安全防護措施，這些措施包括利用操作系統、數據庫系統自身的安全設施；購買并部署商用的防火墻和防病毒產品等。在應用程序的設計中，也僅考慮到了部分信息安全問題。應該說這在金融業務網絡建設初期的客觀環境下是可行的，也是客觀條件限制下的必然。由于業務網絡系統中大量采用不是專為安全系統設計的各種版本的商用基礎軟件，這些軟件通常僅具備一些基本的安全功能，而且在安裝時的缺省配置往往更多地照顧了使用的方便性而忽略了系統的安全性，如考慮不周很容易留下安全漏洞。此外，金融機構在獲得公共Internet信息服務的同時并不能可靠地獲得安全保障，Internet服務提供商（ISP）采取的安全手段都是為了保護他們自身和他們核心服務的可靠性，而不是保護他們的客戶不被攻擊，他們對于你的安全問題的反應可能是提供建議，也可能是盡力幫助，或者只是關閉你的連接直到你恢復正常。因此，總的來說金融系統中的大部分網絡系統遠沒有達到與金融系統信息的重要性相稱的安全級別，有的甚至對于一些常規的攻擊手段也無法抵御，這些都是金融管理信息系統亟待解決的安全問題。

二、現代金融網絡面臨的威脅及安全需求

目前金融系統存在的網絡安全威脅，就其攻擊手段而言可分為針對信息的攻擊、針對系統的攻擊、針對使用者的攻擊以及針對系統資源的攻擊等四類，而實施安全攻擊的人員則可能是外部人員，也可能是機構內部人員。

針對信息的攻擊是最常見的攻擊行為，信息攻擊是針對處于傳輸和存儲形態的信息進行的，其攻擊地點既可以在局域網內，也可以在廣域網上。針對信息的攻擊手段的可怕之處在于其隱蔽性和突然性，攻擊者可以不動聲色地竊取并利用信息，而無慮被發現；犯罪者也可以在積聚足夠的信息后驟起發難，進行敲詐勒索。此類案件見諸報端層出不窮，而未公開案例與之相比更是數以倍數。

利用系統（包括操作系統、支撐軟件及應用系統）固有的或系統配置及管理過程中的安全漏洞，穿透或繞過安全設施的防護策略，達到非法訪問直至控制系統的目的，并以此為跳板，繼續攻擊其他系統。由于我國的網絡信息系統中大量采用不是專為安全系統設計的基礎軟件和支撐平臺，為了照顧使用的方便性而忽略了安全性，導致許多安全漏洞的產生，如果再考慮到某些軟件供應商出于政治或經濟的目的，可能在系統中預留“后門”，因此必須采用有效的技術手段加以預防。

針對使用者的攻擊是一種看似困難卻普遍存在的攻擊途徑，攻擊者多利用管理者和使用者安全意識不強、管理制度松弛、認證技術不嚴密的特點，通過種種手段竊取系統權限，通過合法程序來達到非法目的，并可在事后嫁禍他人或毀滅證據，導致此類攻擊難以取證。

針對資源的攻擊是以各種手段耗盡系統某一資源，使之喪失繼續提供服務的能力，因此又稱為拒絕服務類攻擊。拒絕服務攻擊的高級形式為分布式拒絕服務攻擊，即攻擊者利用其所控制的成百上千個系統同時發起攻擊，迫使攻擊對象癱瘓。由于針對資源的攻擊利用的是現有的網絡架構，尤其是Internet以及TCP/IP協議的固有缺陷，因此在網絡的基礎設施沒有得到大的改進前，難以徹底解決。

金融的安全需求安全包括五個基本要素：機密性、完整性、可用性、可審查性和可控性。目前國內金融機構的網絡信息系統應重點解決好網絡內部的信息流動及操作層面所面臨的安全問題，即總部和分支機構及合作伙伴之間在各個層次上的信息傳輸安全和網絡訪問控制問題。網絡系統需要解決的關鍵安全問題概括起來主要有：傳輸信息的安全、節點身份認證、交易的不可抵賴性和對非法攻擊事件的可追蹤性。

必須指出：網絡信息系統是由人參與的信息環境，建立良好的安全組織和管理是首要的安全需求，也是一切安全技術手段得以有效發揮的基礎。金融行業需要的是集組織、管理和技術為一體的完整的安全解決方案。

三、網絡安全基本技術與VPN技術

解決網絡信息系統安全保密問題的兩項主要基礎技術為網絡訪問控制技術和密碼技術。網絡訪問控制技術用于對系統進行安全保護，抵抗各種外來攻擊。密碼技術用于加密隱蔽傳輸信息、認證用戶身份、抗否認等。

密碼技術是實現網絡安全的最有效的技術之一，實際上，數據加密作為一項基本技術已經成為所有通信數據安全的基石。在多數情況下，數據加密是保證信息機密性的唯一方法。一個加密網絡，不但可以防止非授權用戶的搭線竊聽和入網，而且也是對付惡意軟件的有效方法，這使得它能以較小的代價提供很強的安全保護，在現代金融的網絡安全的應用上起著非常關鍵的作用。

虛擬專用網絡（VPN：VirtualPrivateNetwork）技術就是在網絡層通過數據包封裝技術和密碼技術，使數據包在公共網絡中通過“加密管道”傳播，從而在公共網絡中建立起安全的“專用”網絡。利用VPN技術，金融機構只需要租用本地的數據專線，連接上本地的公眾信息網，各地的機構就可以互相安全的傳遞信息；另外，金融機構還可以利用公眾信息網的撥號接入設備，讓自己的用戶撥號到公眾信息網上，就可以安全的連接進入金融機構網絡中，進行各類網絡結算和匯兌。

綜合利用網絡互聯的隧道技術、數據加密技術、網絡訪問控制技術，并通過適當的密鑰管理機制，在公共的網絡基礎設施上建立安全的虛擬專用網絡系統，可以實現完整的集成化金融機構范圍VPN安全解決方案。對于現行的金融行業網絡應用系統，采用VPN技術可以在不影響現行業務系統正常運行的前提下，極大地提高系統的安全性能，是一種較為理想的基礎解決方案。

當今VPN技術中對數據包的加解密一般應用在網絡層（對于TCP/IP網絡，發生在IP層），從而既克服了傳統的鏈（線）路加密技術對通訊方式、傳輸介質、傳輸協議依賴性高，適應性差，無統一標準等缺陷，又避免了應用層端——端加密管理復雜、互通性差、安裝和系統遷移困難等問題，使得VPN技術具有節省成本、適應性好、標準化程度高、便于管理、易于與其他安全和系統管理技術融合等優勢，成為目前和今后金融安全網絡發展的一個必然趨勢。公務員之家

從應用上看虛擬專用網可以分為虛擬企業網和虛擬專用撥號網絡（VPDN）。虛擬企業網主要是使用專線上網的部分企業、合作伙伴間的虛擬專網；虛擬專用撥號網絡是使用電話撥號（PPP撥號）上網的遠程用戶與企業網間的虛擬專網。虛擬專網的重點在于建立安全的數據通道，構造這條安全通道的協議應該具備以下條件：保證數據的真實性，通訊主機必須是經過授權的，要有抵抗地址假冒（IPSpoofing）的能力。保證數據的完整性，接收到的數據必須與發送時的一致，要有抵抗不法分子篡改數據的能力。保證通道的機密性，提供強有力的加密手段，必須使竊聽者不能破解攔截到的通道數據。提供動態密鑰交換功能和集中安全管理服務。提供安全保護措施和訪問控制，具有抵抗黑客通過VPN通道攻擊企業網絡的能力，并且可以對VPN通道進行訪問控制。

針對現行的金融機構的網絡信息安全，VPN具有以下優點：（1）降低成本。不必租用長途專線建設專網，不必大量的網絡維護人員和設備投資；（2）容易擴展。網絡路由設備配置簡單，無需增加太多的設備，省時省錢；（3）完全控制主動權。VPN上的設施和服務完全掌握在金融機構自己的手中。比方說，金融機構可以把撥號訪問交給網絡服務商（NSP）去做，由自己負責用戶的查驗、訪問權、網絡地址、安全性和網絡變化管理等重要工作。

綜上所述，VPN技術使金融行業各部門的內部信息可以跨越公共網絡進行傳輸，如同在各金融機構各部門之間架起眾多的“虛擬專用”的網絡連接線，同時，VPN為每個用戶定義出各自相應的網絡空間，根據使用者的身份和權限，直接將他們引導到應該接觸的信息環境中去，針對目前金融管理的信息安全存在的隱患，VPN技術可以彌補這些缺點。VPN作為廣域網的一種新形式，確實為金融行業在新世紀提供了一個系統實用的技術平臺。總之，VPN技術擁有很吸引人的優點，隨著VPN技術發展的不斷完善，在未來的金融管理信息安全領域里，將會起著至關重要的作用。