1引言随着我国银行业的片面开放，国际银行业出现出绝后活泼的形态。一方面优质的国有商业银行和股份制商业银行纷繁上市，引入战略投资者；另一方面国度启动对邮政储蓄及农信社的改制，丰厚中小企业和乡村金融市场。处在两头地带的城市商业银行深感竞争的压力。城市商业银行要想追求更大的开展，必需在战略上做出严重的调整。据调查，2010年中国城市商业银行IT投入将到达41.8亿元人民币，到2011年投入总额将到达47.7亿元人民币，从2007年到2011年的年均复合增长率为21.5%。城市商业银行在战略变化中对IT的全体投入普遍加大，成为银行IT投入的新的增长点。一些抢先的城市商业银行曾经完成跨区域运营，它们对风险管理，营销支持，产品创新等业务主题都有很大的需求；大局部城市商业银行曾经把对中小企业的效劳和批发业务作为战略方向去开展，在这些方面的信息化投入也有了很大的增长；同时，在信息化法律服从、数据集中和近程灾备、挪动办公的建立上，城市商业银行也表现出旺盛的需求。2城市商业银行近程平安接入的现状福州市商业银行（以下简称福州市商行）成立于1996年12月27日，是具有独立法人资历的福州市第一家中央性股份制商业银行，下辖29家支行和一个总行营业部，实行“总行支行”扁平式运营管理形式。福州市商行晚期的信息化建立多是由信息技术部门或许IT部门主导推进的，现如今，这个场面曾经发作了变化。由于业务需求是根底，很多严重的信息化建立项目是业务需求驱动的，信息化建立需求顺应银行的总体要求，顺应业务的开展要求。随着社会提高和开展，不论是小企业抑或是大公司，越来越多的数据信息需求IT零碎的支撑，企业的运营，员工的日常任务都越来越离不开计算机的辅佐和参与。福州市商行自然也不例外，并且其具有作为银行业所共同的状况和要求：单位指导常常由于任务的缘由出差在外，因而，指导在外及时停止对公文的审阅、批复，以及对机关任务停止监控、审核成为办公自动化使用中的一个重要需求。另外，还有局部银行任务人员需求临时在外任务，这时他们异样需求拜访本银行的综合办公管理信息零碎，停止必要的文件处置和获取有关的业务信息和其他材料。因而，近程/挪动办公将成为福州商业银行综合办公管理信息零碎中的一个重要组成局部。3城市商业银行选择SSL VPN近程平安接入方案的必要性剖析福州商业银行提出的“近程／挪动办公”应该怎样来处理呢？在传统的企业网络配置中，要停止异地局域网之间的互连，传统的办法是租用DDN(数字数据网)专线或帧中继。这样的通讯方案必定招致昂扬的网络通讯/维护费用。关于挪动用户(挪动办公人员)与远端团体用户而言，普通经过拨号线路(Internet)进入企业的局域网，而这样必定带来平安上的隐患。这时，福州商业银行的信息部想到了使用虚拟公用网技术，即VPN虚拟公用网络（Virtual Private Network，VPN）又称为虚拟公家网络，是一种常用于衔接中、大型企业或集团与集团间的公家网络的通讯办法。虚拟公用网不是真的公用网络，但却能依托ISP（Internet效劳提供商）和其它NSP（网络效劳提供商），在公用网络中树立公用的数据通讯网络的技术。在虚拟公用网中，恣意两个节点之间的衔接并没有传统专网所需的端到端的物理链路，而是应用某种大众网的资源静态如Internet、ATM(异步传输形式〉、frame Relay (帧中继)等之上的逻辑网络组成，用户数据在逻辑链路中传输。关于福州市商行来说，运用VPN有如下益处：1．降低本钱经过公用网来树立VPN，就可以节省少量的通讯费用，而不用投入少量的人力和物力去装置和维护WAN(广域网)设备和近程拜访设备。2．传输数据平安牢靠虚拟公用网产品均采用加密及身份验证等平安技术，保证衔接用户的牢靠性及传输数据的平安和保密性。3．衔接方便灵敏用户假如想与协作同伴联网，假如没有虚拟公用网，单方的信息技术部门就必需协商如何在单方之间树立租用线路或帧中继线路，有了虚拟公用网之后，只需单方配置平安衔接信息即可。4．完全控制虚拟公用网运用户可以应用ISP的设备和效劳，同时又完全掌握着本人网络的控制权。用户只应用ISP提供的网络资源，关于其它的平安设置、网络管理变化可由本人管理。在企业外部也可以本人树立虚拟公用网。在VPN范畴有2种主流的产品，即IPSec VPN和SSL VPN。IPSec VPN从降生之日开端，即次要用来处理网对网互联的成绩，即次要用来处理公司的分支机构和总公司互联之用，在运用IPSec VPN处理挪动／近程办公时，由于需求装置客户端软件，该软件对不同操作零碎存在兼容性成绩，并且能够和零碎已有的软件抵触，而且需求用户手工配置该软件详细参数，不能对接入用户做详细的受权等等成绩，招致IPSec VPN技术不能满足福州商业银行的挪动／近程办公需求。相应的SSLVPN作为近几年成熟起来的技术，该技术提出之时，就完满的满足了挪动／近程办公要求，处理了IPSec VPN在此环境下遇到的一切成绩。从概念角度来说，SSL VPN即指采用SSL （Security Socket Layer）协议来完成近程接入的一种新型VPN技术。SSL协议是网景公司提出的基于WEB使用的平安协议，它包括：效劳器认证、客户认证（可选）、SSL链路上的数据完好性和SSL链路上的数据保密性。关于内、内部使用来说，运用SSL可保证信息的真实性、完好性和保密性。目前SSL 协议被普遍使用于各种阅读器使用，也可以使用于Outlook等运用TCP协议传输数据的C/S使用。正由于SSL 聚焦消费升级、多维视频、家庭场景、数字营销、新零售等创新领域，为用户提供更多元、更前沿、更贴心的产品，满足用户日益多样化、个性化的需求。协议被内置于IE等阅读器中，运用SSL 协议停止认证和数据加密的SSL VPN就可以免于装置客户端。绝对于传统的IPSEC VPN而言，SSL VPN具有部署复杂，无客户端，维护本钱低，网络顺应强等特点，这两品种型的VPN之间的差异就相似C/S构架和B/S构架的区别。4城市商业银行近程接入方案的选型需求在确定要选择SSL VPN来处理福州市商行的挪动办公后，银行信息部的担任人对SSL提出VPN了几点需求：1．平安性高既然SSL VPN是依托Internet，将用户的重要资源在网络上完成扩展。那么，SSL VPN必需具有弱小的平安维护措施。目前网络攻击的热点曾经从数年前的歹意攻击、夸耀式入侵向怀有商业目的的侵入转移，越来越多的网络平安事情都牵扯了秘密的走漏、帐户的盗取等。拿SSL VPN来说，假如被不怀好意的黑客盗取了登录帐号和口令，一旦被其入侵内网，对福州市商行的信息零碎形成的风险将不可思议。所以，福州市商行要求SSL VPN有一套强认证零碎，保证用户接入身份的万无一失，防止不明身份的人接入外部网络。2．速度快挪动办公的优势就表现在可以在任何场所、经过任何终端、随时地接入到企业内网，拜访需求的信息资源。由于福州市商行的指导和任务人员常常在各种网络下任务，例如家庭ADSL宽带、CDMA/GPRS无线网络等，有时分由于出差的缘由，还需求在南方网通的网络下接入。由于无线网络、跨运营商网络存在着比拟大的时延或丢包成绩，假如SSL VPN无法处理这些成绩，那么福州市商行的挪动办公将面临很严峻的成绩。“能连、不能用”的SSL VPN只会成为一个摆设而已，只要大家可以迅速的经过SSL VPN接入，并疾速的拜访其所需求的资源，这才是SSL VPN的最终目的。所以，一款可以疾速拜访、甚至是有减速作用的SSL VPN，是福州市商行心目中的理想处理方案。3．用户体验好用户体验是福州市商行另外的一个关注重点。由于运用SSL VPN的指导和同事并不是专业的IT技术人员，关于他们来说，SSL VPN的易用水平决议了挪动办公能否可以普及。假如操作复杂、运用步骤繁琐、一定会影响这套零碎的推行。另外，作为国际城市商业银行中的佼佼者，福州市商行也希望可以和在商行范畴有协作经历的SSL VPN厂商协作，也自创一下其他同行的成功经历。5SSL VPN近程平安接入方案特点与使用案例剖析经过了对各种SSL VPN处理方案的比照，福州市商行选择了同国际前沿网络的指导厂商坚信服科技协作，部署了一套坚信服SSL VPN零碎。福州市商行选择的这套SSL VPN零碎在国际曾经有超越1000千的用户，包括中国人寿、新华人寿、中国银行、中国农业银行、哈尔滨市商业银行、苏州市商业银行、华夏基金等多家金融行业知名用户。更重要的是，这套SSL VPN极好的投合了福州市商行对SSL VPN的选型要求。1.平安性网上银行是被普遍运用的平安接入使用。优秀的网上银行，其平安性也失掉了用户的认可。福州商业银行选择的这套SSL VPN处理方案，是一种经强化的、紧密的高平安接入方式，其平安性甚至远远超越了网上银行。这套SSL VPN采用规范SSL协议加密树立平安的公用加密通道，除了运用1024位的非对称密钥增强平安性，还运用DKEY(一种USB 的身份认证设备)停止双要素身份认证，并运用PIN码维护DKEY的平安。这种USB DKEY可以支持两套VPN零碎，平安方便。同时，此SSL VPN内置有LDAP/AD、Radius、SecurID、短信认证等多种平安认证方式，可以依据相应的平安级别，对客户端组合几种认证方式，最大限制地保证了接入用户的合法性。同时，由于在隧道衔接进程中，SSL VPN仅仅运用443端口传输数据，大大降低了病毒从近程客户端入侵VPN网络的能够，从而保证了福州商业银行的信息平安。另外，该SSL VPN可启用VPN专线特性，根绝黑客经过近程控制用户电脑然后进入VPN隧道从而潜入银行内网；客户端平安准入检测，使得操作零碎没有及时打补丁，没有装置指定杀毒软件等存在平安要挟的客户端不能和银行内网树立VPN衔接；在身份认证方面，一旦用户成功接入，SSL VPN可对用户停止分组，针对被拜访的资源，可以依据该资源的IP地址，端口，效劳，甚至URL地址和工夫停止资源分组，用户（组）和资源（组）之间停止角色关联，真正的做到了只给适宜的用户授予适宜的权限，并且一切用户的拜访活动，都有详细的日志记载，以备审计查验。2.速度目前在SSL VPN范畴，LZO流紧缩技术是公认的效果较好的数据紧缩手腕。福州市商行也在选择SSL VPN时格外留意了这一点。坚信服科技最早将LZO流紧缩技术结合到了SSL VPN中。LZO紧缩算法是SSL VVPN范畴紧缩效率最高的技术，可将SSL VPN数据传输率进步20％－30％；

　　同时，Web Push专利技术经过对Web页面的整合发布，增加了少量的TCP呼应次数，当用户经过SSL VPN拜访B/S架构的效劳时，其减速效果十分分明。

#p#分页标题#e#

　　另外，福州市商行的这套SSL VPN零碎也具有了多线路选择技术，这关于业务范围较广的用户来说十分无效。经过在总部请求多条广域网线路，散布于全国的分支机构和办公室便可选择最优的线路接入，到达了网络资源的无效婚配。

#p#分页标题#e#

　　本项目的施行方坚信服科技表示，他们还针对3G、WiMax、Wi-Fi等将来的主流无线网络接入技术停止了剖析优化，逐步将广域网减速技术、无线网络优化技术参加到了SSL VPN中，为用户提供了超出想象的高速拜访体验。3.用户体验基于福州市商行SSL VPN的运用者次要是非IT专业人员， SSL VPN应该能让他们随便在互联网思维的影响下，传统服务业不再局限于规模效益，加强对市场的反应速度成为传统服务业发展的首要选择。在互联网思维下，通过对传统服务业的改革，为传统服务业发展创造了全新的天地。上手，运用尽量简化，做到了用户只需能上网、只需会操作电脑，就可以运用SSL VPN。而经过坚信服的单点登陆技术（SSO），用户只需求经过一次验证登陆到SSL VPN，就可以直接拜访内网的一切使用零碎，包括B/S效劳和C/S效劳，而不需求停止屡次的验证，这在保证了零碎平安的前提下增加了用户的多余操作步骤。同时，坚信服SSLVPN是提供对IT使用的片面支持的业界仅有的几家厂商之一，支持一切基于TCP/UDP/ICMP的使用，甚至支持VoIP，视频等，让用户的IP电话和视频会议轻松扩展到VPN网络上；凭仗SSLVPN的天生优势，用户不论采用windows，linux，apple电脑，还是PDA，掌上电脑，智能手机，只需是具有规范阅读器（IE，Mozilla，Firefox，Netscape等）的终端，都可以用来接入福州市商行的SSLVPN网络；无论是终端用户还是IT管理员，福州市商行的SSLVPN零碎都出现给他们一个复杂的web拜访操作页面，并且，客户经过本人定制SSL VPN的拜访相关页面，可以将其一致为客户网站的一致作风，给终端用户以良好的拜访感受。6我国金融业近程平安接入方案的瞻望全体来看，城商行总体的IT需求出现多极化，并与其资产和业务规模存在一定的对应关系。随着业务规模的扩展，将会有越来越多的抢先城商行选择部署SSL VPN挪动办公零碎，使一切的人员都可以随时随地发生效益、取得收益。对此，坚信服科技担任SSL VPN产品线开发的总监夏伟伟表示，金融行业对SSL VPN的需求集中在对外部IT零碎的近程扩展拜访上。鉴于金融行业对平安性的极高要求，坚信服SSL VPN针对金融用户增添了很多新功用，也对零碎停止了相应的改良，让方案更能顺应银行、保险、证券等行业用户的运用。我们置信，随着更多的金融用户运用SSL VPN处理方案，他们将进一步享用到网络技术为其使用带来的便捷。