摘  要：隨著城市商業銀行的業務規模不斷擴大和人員數量的持續增加，越來越多的工作人員需要利用各種方式接入銀行內網進行移動辦公，使得網絡成為推動業務創新、產生新的收益的重要途徑。

1 引言

隨著我國銀行業的全面開放，國內銀行業呈現出空前活躍的狀態。一方面優質的國有商業銀行和股份制商業銀行紛紛上市，引入戰略投資者；另一方面國家啟動對郵政儲蓄及農信社的改制，豐富中小企業和農村金融市場。處在中間地帶的城市商業銀行深感競爭的壓力。城市商業銀行要想謀求更大的發展，必須在戰略上做出重大的調整。

據調查，2010年中國城市商業銀行IT投入將達到41.8億元人民幣，到2011年投入總額將達到47.7億元人民幣，從2007年到2011年的年均復合增長率為21.5%。

城市商業銀行在戰略變化中對IT的整體投入普遍加大，成為銀行IT投入的新的增長點。一些領先的城市商業銀行已經實現跨區域經營，它們對風險管理，營銷支持，產品創新等業務主題都有很大的需求；大部分城市商業銀行已經把對中小企業的服務和零售業務作為戰略方向去發展，在這些方面的信息化投入也有了很大的增長；同時，在信息化法律遵從、數據集中和遠程災備、移動辦公的建設上，城市商業銀行也表現出旺盛的需求。

2 城市商業銀行遠程安全接入的現狀

福州市商業銀行（以下簡稱福州市商行）成立于1996年12月27日，是具有獨立法人資格的福州市第一家地方性股份制商業銀行，下轄29家支行和一個總行營業部，實行“總行—支行”扁平式經營管理模式。

福州市商行早期的信息化建設多是由信息技術部門或者IT部門主導推動的，現如今，這個局面已經發生了變化。由于業務需求是基礎，很多重大的信息化建設項目是業務需求驅動的，信息化建設需要適應銀行的總體要求，適應業務的發展要求。

隨著社會進步和發展，不管是小企業抑或是大公司，越來越多的數據信息需要IT系統的支撐，企業的經營，員工的日常工作都越來越離不開計算機的輔助和參與。

福州市商行自然也不例外，并且其具有作為銀行業所獨特的情況和要求：單位領導經常因為工作的原因出差在外，因此，領導在外及時進行對公文的審閱、批復，以及對機關工作進行監控、審核成為辦公自動化應用中的一個重要需求。

另外，還有部分銀行工作人員需要長期在外工作，這時他們同樣需要訪問本銀行的綜合辦公管理信息系統，進行必要的文件處理和獲取有關的業務信息和其他資料。因此，遠程/移動辦公將成為福州商業銀行綜合辦公管理信息系統中的一個重要組成部分。

3 城市商業銀行選擇SSL VPN遠程安全接入方案的必要性分析

福州商業銀行提出的“遠程／移動辦公”應該怎樣來解決呢？

在傳統的企業網絡配置中，要進行異地局域網之間的互連，傳統的方法是租用DDN(數字數據網)專線或幀中繼。這樣的通訊方案必然導致高昂的網絡通訊/維護費用。對于移動用戶(移動辦公人員)與遠端個人用戶而言，一般通過撥號線路(Internet)進入企業的局域網，而這樣必然帶來安全上的隱患。

這時，福州商業銀行的信息部想到了應用虛擬專用網技術，即VPN虛擬專用網絡（Virtual Private Network，VPN）又稱為虛擬私人網絡，是一種常用于連接中、大型企業或團體與團體間的私人網絡的通訊方法。虛擬專用網不是真的專用網絡，但卻能依靠ISP（Internet服務提供商）和其它NSP（網絡服務提供商），在公用網絡中建立專用的數據通信網絡的技術。在虛擬專用網中，任意兩個節點之間的連接并沒有傳統專網所需的端到端的物理鏈路，而是利用某種公眾網的資源動態如Internet、ATM(異步傳輸模式〉、Frame Relay (幀中繼)等之上的邏輯網絡組成，用戶數據在邏輯鏈路中傳輸。

對于福州市商行來說，使用VPN有如下好處：

1．降低成本——通過公用網來建立VPN，就可以節省大量的通信費用，而不必投入大量的人力和物力去安裝和維護WAN(廣域網)設備和遠程訪問設備。

2．傳輸數據安全可靠——虛擬專用網產品均采用加密及身份驗證等安全技術，保證連接用戶的可靠性及傳輸數據的安全和保密性。

3．連接方便靈活——用戶如果想與合作伙伴聯網，如果沒有虛擬專用網，雙方的信息技術部門就必須協商如何在雙方之間建立租用線路或幀中繼線路，有了虛擬專用網之后，只需雙方配置安全連接信息即可。

4．完全控制——虛擬專用網使用戶可以利用ISP的設施和服務，同時又完全掌握著自己網絡的控制權。用戶只利用ISP提供的網絡資源，對于其它的安全設置、網絡管理變化可由自己管理。在企業內部也可以自己建立虛擬專用網。

在VPN領域有2種主流的產品，即IPSec VPN和SSL VPN。IPSec VPN從誕生之日開始，即主要用來解決網對網互聯的問題，即主要用來解決公司的分支機構和總公司互聯之用，在使用IPSec VPN解決移動／遠程辦公時，由于需要安裝客戶端軟件，該軟件對不同操作系統存在兼容性問題，并且可能和系統已有的軟件沖突，而且需要用戶手工配置該軟件具體參數，不能對接入用戶做詳細的授權等等問題，導致IPSec VPN技術不能滿足福州商業銀行的移動／遠程辦公需求。

相應的SSLVPN作為近幾年成熟起來的技術，該技術提出之時，就完美的滿足了移動／遠程辦公要求，解決了IPSec VPN在此環境下遇到的所有問題。

從概念角度來說，SSL VPN即指采用SSL （Security Socket Layer）協議來實現遠程接入的一種新型VPN技術。SSL協議是網景公司提出的基于WEB應用的安全協議，它包括：服務器認證、客戶認證（可選）、SSL鏈路上的數據完整性和SSL鏈路上的數據保密性。對于內、外部應用來說，使用SSL可保證信息的真實性、完整性和保密性。目前SSL 協議被廣泛應用于各種瀏覽器應用，也可以應用于Outlook等使用TCP協議傳輸數據的C/S應用。正因為SSL 協議被內置于IE等瀏覽器中，使用SSL 協議進行認證和數據加密的SSL VPN就可以免于安裝客戶端。相對于傳統的IPSEC VPN而言，SSL VPN具有部署簡單，無客戶端，維護成本低，網絡適應強等特點，這兩種類型的VPN之間的差別就類似C/S構架和B/S構架的區別。

4 城市商業銀行遠程接入方案的選型需求

在確定要選擇SSL VPN來解決福州市商行的移動辦公后，銀行信息部的負責人對SSL提出VPN了幾點需求：

1．安全性高
既然SSL VPN是依托Internet，將用戶的重要資源在網絡上實現擴展。那么，SSL VPN必須具備強大的安全保護措施。目前網絡攻擊的熱點已經從數年前的惡意攻擊、炫耀式入侵向懷有商業目的的侵入轉移，越來越多的網絡安全事件都牽扯了機密的泄漏、帳戶的盜取等。拿SSL VPN來說，如果被不懷好意的黑客盜取了登錄帳號和口令，一旦被其入侵內網，對福州市商行的信息系統造成的風險將不堪設想。所以，福州市商行要求SSL VPN有一套強認證系統，保障用戶接入身份的萬無一失，避免不明身份的人接入內部網絡。

2．速度快
移動辦公的優勢就體現在可以在任何場所、通過任何終端、隨時地接入到企業內網，訪問需要的信息資源。由于福州市商行的領導和工作人員經常在各種網絡下工作，例如家庭ADSL寬帶、CDMA/GPRS無線網絡等，有時候因為出差的原因，還需要在北方網通的網絡下接入。由于無線網絡、跨運營商網絡存在著比較大的時延或丟包問題，如果SSL VPN無法解決這些問題，那么福州市商行的移動辦公將面臨很嚴峻的問題。“能連、不能用”的SSL VPN只會成為一個擺設而已，只有大家能夠迅速的通過SSL VPN接入，并快速的訪問其所需要的資源，這才是SSL VPN的最終目的。所以，一款能夠快速訪問、甚至是有加速作用的SSL VPN，是福州市商行心目中的理想解決方案。

3．用戶體驗好
用戶體驗是福州市商行另外的一個關注重點。由于使用SSL VPN的領導和同事并不是專業的IT技術人員，對于他們來說，SSL VPN的易用程度決定了移動辦公是否能夠普及。如果操作復雜、使用步驟繁瑣、肯定會影響這套系統的推廣。

另外，作為國內城市商業銀行中的佼佼者，福州市商行也希望能夠和在商行領域有合作經驗的SSL VPN廠商合作，也借鑒一下其他同行的成功經驗。

5 SSL VPN遠程安全接入方案特點與應用案例分析

經過了對各種SSL VPN解決方案的對比，福州市商行選擇了同國內前沿網絡的領導廠商深信服科技合作，部署了一套深信服SSL VPN系統。

福州市商行選擇的這套SSL VPN系統在國內已經有超過1000千的用戶，包括中國人壽、新華人壽、中國銀行、中國農業銀行、哈爾濱市商業銀行、蘇州市商業銀行、華夏基金等多家金融行業知名用戶。更重要的是，這套SSL VPN極好的迎合了福州市商行對SSL VPN的選型要求。

1.安全性

網上銀行是被廣泛使用的安全接入應用。優秀的網上銀行，其安全性也得到了用戶的認可。福州商業銀行選擇的這套SSL VPN解決方案，是一種經強化的、嚴密的高安全接入方式，其安全性甚至遠遠超過了網上銀行。

這套SSL VPN采用標準SSL協議加密建立安全的專用加密通道，除了使用1024位的非對稱密鑰加強安全性，還使用DKEY(一種USB 的身份認證設備)進行雙因素身份認證，并使用PIN碼保護DKEY的安全。這種USB DKEY可以支持兩套VPN系統，安全方便。同時，此SSL VPN內置有LDAP/AD、Radius、SecurID、短信認證等多種安全認證方式，可以根據相應的安全級別，對客戶端組合幾種認證方式，最大限度地保證了接入用戶的合法性。同時，由于在隧道連接過程中，SSL VPN僅僅使用443端口傳輸數據，大大降低了病毒從遠程客戶端入侵VPN網絡的可能，從而保證了福州商業銀行的信息安全。

另外，該SSL VPN可啟用VPN專線特性，杜絕黑客通過遠程控制用戶電腦然后進入VPN隧道從而潛入

銀行內網；客戶端安全準入檢測，使得操作系統沒有及時打補丁，沒有安裝指定殺毒軟件等存在安全威脅的客戶端不能和銀行內網建立VPN連接；

在身份認證方面，一旦用戶成功接入，SSL VPN可對用戶進行分組，針對被訪問的資源，可以根據該資源的IP地址，端口，服務，甚至URL地址和時間進行資源分組，用戶（組）和資源（組）之間進行角色關聯，真正的做到了只給合適的用戶授予合適的權限，并且所有用戶的訪問活動，都有詳細的日志記錄，以備審計查驗。

2.速度

目前在SSL VPN領域，LZO流壓縮技術是公認的效果較好的數據壓縮手段。福州市商行也在選擇SSL VPN時格外注意了這一點。深信服科技最早將LZO流壓縮技術結合到了SSL VPN中。LZO壓縮算法是SSL VVPN領域壓縮效率最高的技術，可將SSL VPN數據傳輸率提高20％－30％；

同時，Web Push專利技術通過對Web頁面的整合發布，減少了大量的TCP響應次數，當用戶通過SSL VPN訪問B/S架構的服務時，其加速效果非常明顯。

另外，福州市商行的這套SSL VPN系統也具備了多線路選擇技術，這對于業務范圍較廣的用戶來說非常有效。通過在總部申請多條廣域網線路，分布于全國的分支機構和辦公室便可選擇最優的線路接入，達到了網絡資源的有效匹配。

本項目的實施方深信服科技表示，他們還針對3G、WiMax、Wi-Fi等未來的主流無線網絡接入技術進行了分析優化，逐漸將廣域網加速技術、無線網絡優化技術加入到了SSL VPN中，為用戶提供了超出想象的高速訪問體驗。

3.用戶體驗

基于福州市商行SSL VPN的使用者主要是非IT專業人員， SSL VPN應該能讓他們輕易上手，使用盡量簡化，做到了用戶只要能上網、只要會操作電腦，就可以使用SSL VPN。而通過深信服的單點登陸技術（SSO），用戶只需要通過一次驗證登陸到SSL VPN，就可以直接訪問內網的所有應用系統，包括B/S服務和C/S服務，而不需要進行多次的驗證，這在保障了系統安全的前提下減少了用戶的多余操作步驟。

同時，深信服SSLVPN是提供對IT應用的全面支持的業界僅有的幾家廠商之一，支持所有基于TCP/UDP/ICMP的應用，甚至支持VoIP，視頻等，讓用戶的IP電話和視頻會議輕松擴展到VPN網絡上；憑借SSLVPN的天生優勢，用戶不管采用windows，linux，apple電腦，還是PDA，掌上電腦，智能手機，只要是具有標準瀏覽器（IE，Mozilla，Firefox，Netscape等）的終端，都可以用來接入福州市商行的SSLVPN網絡；

無論是終端用戶還是IT管理員，福州市商行的SSLVPN系統都呈現給他們一個簡單的web訪問操作頁面，并且，客戶通過自己定制SSL VPN的訪問相關頁面，可以將其統一為客戶網站的統一風格，給終端用戶以良好的訪問感受。

6 我國金融業遠程安全接入方案的展望

整體來看，城商行總體的IT需求呈現多極化，并與其資產和業務規模存在一定的對應關系。隨著業務規模的擴大，將會有越來越多的領先城商行選擇部署SSL VPN移動辦公系統，使所有的人員都能夠隨時隨地產生效益、獲得收益。

對此，深信服科技負責SSL VPN產品線開發的總監夏偉偉表示，金融行業對SSL VPN的需求集中在對內部IT系統的遠程擴展訪問上。鑒于金融行業對安全性的極高要求，深信服SSL VPN針對金融用戶增添了很多新功能，也對系統進行了相應的改進，讓方案更能適應銀行、保險、證券等行業用戶的使用。我們相信，隨著更多的金融用戶使用SSL VPN解決方案，他們將進一步享受到網絡技術為其應用帶來的便捷。