1.引言
随着我国银行业的全面开放,国内银行业呈现出空前活跃的状态。一方面优质的国有商业银行和股份制商业银行纷纷上市,引入战略投资者;另一方面国家启动对邮政储蓄及农信社的改制,丰富中小企业和农村金融市场。处在中间地带的城市商业银行深感竞争的压力。城市商业银行要想谋求更大的发展,必须在战略上做出重大的调整。
据调查,2010年中国城市商业银行IT投入将达到41.8亿元人民币,到2011年投入总额将达到47.7亿元人民币,从2007年到2011年的年均复合增长率为21.5%。
城市商业银行在战略变化中对IT的整体投入普遍加大,成为银行IT投入的新的增长点。一些领先的城市商业银行已经实现跨区域经营,它们对风险管理,营销支持,产品创新等业务主题都有很大的需求;大部分城市商业银行已经把对中小企业的服务和零售业务作为战略方向去发展,在这些方面的信息化投入也有了很大的增长;同时,在信息化法律遵从、数据集中和远程灾备、移动办公的建设上,城市商业银行也表现出旺盛的需求。
2.城市商业银行远程安全接入的现状
福州市商业银行(以下简称福州市商行)成立于1996年12月27日,是具有独立法人资格的福州市第一家地方性股份制商业银行,下辖29家支行和一个总行营业部,实行“总行—支行”扁平式经营管理模式。
福州市商行早期的信息化建设多是由信息技术部门或者IT部门主导推动的,现如今,这个局面已经发生了变化。由于业务需求是基础,很多重大的信息化建设项目是业务需求驱动的,信息化建设需要适应银行的总体要求,适应业务的发展要求。
随着社会进步和发展,不管是小企业抑或是大公司,越来越多的数据信息需要IT系统的支撑,企业的经营,员工的日常工作都越来越离不开计算机的辅助和参与。
福州市商行自然也不例外,并且其具有作为银行业所独特的情况和要求:单位领导经常因为工作的原因出差在外,因此,领导在外及时进行对公文的审阅、批复,以及对机关工作进行监控、审核成为办公自动化应用中的一个重要需求。
另外,还有部分银行工作人员需要长期在外工作,这时他们同样需要访问本银行的综合办公管理信息系统,进行必要的文件处理和获取有关的业务信息和其他资料。因此,远程/移动办公将成为福州商业银行综合办公管理信息系统中的一个重要组成部分。
3.城市商业银行选择SSL VPN远程安全接入方案的必要性分析
福州商业银行提出的“远程/移动办公”应该怎样来解决呢?
在传统的企业网络配置中,要进行异地局域网之间的互连,传统的方法是租用DDN(数字数据网)专线或帧中继。这样的通讯方案必然导致高昂的网络通讯/维护费用。对于移动用户(移动办公人员)与远端个人用户而言,一般通过拨号线路(Internet)进入企业的局域网,而这样必然带来安全上的隐患。
这时,福州商业银行的信息部想到了应用虚拟专用网技术,即VPN虚拟专用网络(Virtual Private Network,VPN)又称为虚拟私人网络,是一种常用于连接中、大型企业或团体与团体间的私人网络的通讯方法。虚拟专用网不是真的专用网络,但却能依靠ISP(Internet服务提供商)和其它NSP(网络服务提供商),在公用网络中建立专用的数据通信网络的技术。在虚拟专用网中,任意两个节点之间的连接并没有传统专网所需的端到端的物理链路,而是利用某种公众网的资源动态如Internet、ATM(异步传输模式〉、Frame Relay (帧中继)等之上的逻辑网络组成,用户数据在逻辑链路中传输。
对于福州市商行来说,使用VPN有如下好处:
(1)降低成本——通过公用网来建立VPN,就可以节省大量的通信费用,而不必投入大量的人力和物力去安装和维护WAN(广域网)设备和远程访问设备。
(2)传输数据安全可靠——虚拟专用网产品均采用加密及身份验证等安全技术,保证连接用户的可靠性及传输数据的安全和保密性。
(3)连接方便灵活——用户如果想与合作伙伴联网,如果没有虚拟专用网,双方的信息技术部门就必须协商如何在双方之间建立租用线路或帧中继线路,有了虚拟专用网之后,只需双方配置安全连接信息即可。
(4)完全控制——虚拟专用网使用户可以利用ISP的设施和服务,同时又完全掌握着自己网络的控制权。用户只利用ISP提供的网络资源,对于其它的安全设置、网络管理变化可由自己管理。在企业内部也可以自己建立虚拟专用网。
在VPN领域有2种主流的产品,即IPSec VPN和SSL VPN。IPSec VPN从诞生之日开始,即主要用来解决网对网互联的问题,即主要用来解决公司的分支机构和总公司互联之用,在使用IPSec VPN解决移动/远程办公时,由于需要安装客户端软件,该软件对不同操作系统存在兼容性问题,并且可能和系统已有的软件冲突,而且需要用户手工配置该软件具体参数,不能对接入用户做详细的授权等等问题,导致IPSec VPN技术不能满足福州商业银行的移动/远程办公需求。
相应的SSLVPN作为近几年成熟起来的技术,该技术提出之时,就完美的满足了移动/远程办公要求,解决了IPSec VPN在此环境下遇到的所有问题。
从概念角度来说,SSL VPN即指采用SSL (Security Socket Layer)协议来实现远程接入的一种新型VPN技术。SSL协议是网景公司提出的基于WEB应用的安全协议,它包括:服务器认证、客户认证(可选)、SSL链路上的数据完整性和SSL链路上的数据保密性。对于内、外部应用来说,使用SSL可保证信息的真实性、完整性和保密性。目前SSL 协议被广泛应用于各种浏览器应用,也可以应用于Outlook等使用TCP协议传输数据的C/S应用。正因为SSL 协议被内置于IE等浏览器中,使用SSL 协议进行认证和数据加密的SSL VPN就可以免于安装客户端。相对于传统的IPSEC VPN而言,SSL VPN具有部署简单,无客户端,维护成本低,网络适应强等特点,这两种类型的VPN之间的差别就类似C/S构架和B/S构架的区别。
4.城市商业银行远程接入方案的选型需求
在确定要选择SSL VPN来解决福州市商行的移动办公后,银行信息部的负责人对SSL提出VPN了几点需求:
(1)安全性高
既然SSL VPN是依托Internet,将用户的重要资源在网络上实现扩展。那么,SSL VPN必须具备强大的安全保护措施。目前网络攻击的热点已经从数年前的恶意攻击、炫耀式入侵向怀有商业目的的侵入转移,越来越多的网络安全事件都牵扯了机密的泄漏、帐户的盗取等。拿SSL VPN来说,如果被不怀好意的黑客盗取了登录帐号和口令,一旦被其入侵内网,对福州市商行的信息系统造成的风险将不堪设想。
所以,福州市商行要求SSL VPN有一套强认证系统,保障用户接入身份的万无一失,避免不明身份的人接入内部网络。
(2)速度快
移动办公的优势就体现在可以在任何场所、通过任何终端、随时地接入到企业内网,访问需要的信息资源。由于福州市商行的领导和工作人员经常在各种网络下工作,例如家庭ADSL宽带、CDMA/GPRS无线网络等,有时候因为出差的原因,还需要在北方网通的网络下接入。由于无线网络、跨运营商网络存在着比较大的时延或丢包问题,如果SSL VPN无法解决这些问题,那么福州市商行的移动办公将面临很严峻的问题。
“能连、不能用”的SSL VPN只会成为一个摆设而已,只有大家能够迅速的通过SSL VPN接入,并快速的访问其所需要的资源,这才是SSL VPN的最终目的。所以,一款能够快速访问、甚至是有加速作用的SSL VPN,是福州市商行心目中的理想解决方案。
(3)用户体验好
用户体验是福州市商行另外的一个关注重点。
由于使用SSL VPN的领导和同事并不是专业的IT技术人员,对于他们来说,SSL VPN的易用程度决定了移动办公是否能够普及。如果操作复杂、使用步骤繁琐、肯定会影响这套系统的推广。
另外,作为国内城市商业银行中的佼佼者,福州市商行也希望能够和在商行领域有合作经验的SSL VPN厂商合作,也借鉴一下其他同行的成功经验。
5.SSL VPN远程安全接入方案特点与应用案例分析
经过了对各种SSL VPN解决方案的对比,福州市商行选择了同国内前沿网络的领导厂商深信服科技合作,部署了一套深信服SSL VPN系统。
福州市商行选择的这套SSL VPN系统在国内已经有超过1000千的用户,包括中国人寿、新华人寿、中国银行、中国农业银行、哈尔滨市商业银行、苏州市商业银行、华夏基金等多家金融行业知名用户。更重要的是,这套SSL VPN极好的迎合了福州市商行对SSL VPN的选型要求。
(1)安全性
网上银行是被广泛使用的安全接入应用。优秀的网上银行,其安全性也得到了用户的认可。福州商业银行选择的这套SSL VPN解决方案,是一种经强化的、严密的高安全接入方式,其安全性甚至远远超过了网上银行。
这套SSL VPN采用标准SSL协议加密建立安全的专用加密通道,除了使用1024位的非对称密钥
加强安全性,还使用DKEY(一种USB 的身份认证设备)进行双因素身份认证,并使用PIN码保护DKEY的安全。这种USB DKEY可以支持两套VPN系统,安全方便。同时,此SSL VPN内置有LDAP/AD、Radius、SecurID、短信认证等多种安全认证方式,可以根据相应的安全级别,对客户端组合几种认证方式,最大限度地保证了接入用户的合法性。同时,由于在隧道连接过程中,SSL VPN仅仅使用443端口传输数据,大大降低了病毒从远程客户端入侵VPN网络的可能,从而保证了福州商业银行的信息安全。
另外,该SSL VPN可启用VPN专线特性,杜绝黑客通过远程控制用户电脑然后进入VPN隧道从而潜入
银行内网;客户端安全准入检测,使得操作系统没有及时打补丁,没有安装指定杀毒软件等存在安全威胁的客户端不能和银行内网建立VPN连接;
在身份认证方面,一旦用户成功接入,SSL VPN可对用户进行分组,针对被访问的资源,可以根据该资源的IP地址,端口,服务,甚至URL地址和时间进行资源分组,用户(组)和资源(组)之间进行角色关联,真正的做到了只给合适的用户授予合适的权限,并且所有用户的访问活动,都有详细的日志记录,以备审计查验。
(2)速度
目前在SSL VPN领域,LZO流压缩技术是公认的效果较好的数据压缩手段。福州市商行也在选择SSL VPN时格外注意了这一点。深信服科技最早将LZO流压缩技术结合到了SSL VPN中。LZO压缩算法是SSL VVPN领域压缩效率最高的技术,可将SSL VPN数据传输率提高20%-30%;
同时,Web Push专利技术通过对Web页面的整合发布,减少了大量的TCP响应次数,当用户通过SSL VPN访问B/S架构的服务时,其加速效果非常明显。
另外,福州市商行的这套SSL VPN系统也具备了多线路选择技术,这对于业务范围较广的用户来说非常有效。通过在总部申请多条广域网线路,分布于全国的分支机构和办公室便可选择最优的线路接入,达到了网络资源的有效匹配。
本项目的实施方深信服科技表示,他们还针对3G、WiMax、Wi-Fi等未来的主流无线网络接入技术进行了分析优化,逐渐将广域网加速技术、无线网络优化技术加入到了SSL VPN中,为用户提供了超出想象的高速访问体验。
(3)用户体验
基于福州市商行SSL VPN的使用者主要是非IT专业人员, SSL VPN应该能让他们轻易上手,使用尽量简化,做到了用户只要能上网、只要会操作电脑,就可以使用SSL VPN。而通过深信服的单点登陆技术(SSO),用户只需要通过一次验证登陆到SSL VPN,就可以直接访问内网的所有应用系统,包括B/S服务和C/S服务,而不需要进行多次的验证,这在保障了系统安全的前提下减少了用户的多余操作步骤。
同时,深信服SSLVPN是提供对IT应用的全面支持的业界仅有的几家厂商之一,支持所有基于TCP/UDP/ICMP的应用,甚至支持VoIP,视频等,让用户的IP电话和视频会议轻松扩展到VPN网络上;凭借SSLVPN的天生优势,用户不管采用windows,linux,apple电脑,还是PDA,掌上电脑,智能手机,只要是具有标准浏览器(IE,Mozilla,Firefox,Netscape等)的终端,都可以用来接入福州市商行的SSLVPN网络;
无论是终端用户还是IT管理员,福州市商行的SSLVPN系统都呈现给他们一个简单的web访问操作页面,并且,客户通过自己定制SSL VPN的访问相关页面,可以将其统一为客户网站的统一风格,给终端用户以良好的访问感受。
6.我国金融业远程安全接入方案的展望
整体来看,城商行总体的IT需求呈现多极化,并与其资产和业务规模存在一定的对应关系。随着业务规模的扩大,将会有越来越多的领先城商行选择部署SSL VPN移动办公系统,使所有的人员都能够随时随地产生效益、获得收益。
对此,深信服科技负责SSL VPN产品线开发的总监夏伟伟表示,金融行业对SSL VPN的需求集中在对内部IT系统的远程扩展访问上。鉴于金融行业对安全性的极高要求,深信服SSL VPN针对金融用户增添了很多新功能,也对系统进行了相应的改进,让方案更能适应银行、保险、证券等行业用户的使用。我们相信,随着更多的金融用户使用SSL VPN解决方案,他们将进一步享受到网络技术为其应用带来的便捷。