哈爾濱市商業(yè)銀行成立于1997年2月，是一家具有法人地位的地方性股份制商業(yè)銀行，擁有19家管轄行，119個營業(yè)網(wǎng)點，現(xiàn)有員工1782人。伴隨著銀行業(yè)務(wù)范圍的擴展，內(nèi)部IT系統(tǒng)的增加和業(yè)務(wù)量的上升，以及眾多的營業(yè)網(wǎng)點的設(shè)立，哈爾濱商業(yè)銀行逐漸形成對移動辦公的需求。主要用于解決銀行員工在外辦理業(yè)務(wù)時能安全便捷的接入銀行內(nèi)部網(wǎng)絡(luò)，使用內(nèi)部OA等IT資源，及時進(jìn)行數(shù)據(jù)交互和匯總，部分小型證券類營業(yè)網(wǎng)點需要安全快速和總部進(jìn)行數(shù)據(jù)傳輸，和其他一些業(yè)務(wù)小型營業(yè)網(wǎng)點的安全接入。哈爾濱商業(yè)銀行內(nèi)部IT部門經(jīng)過分析和調(diào)研，最終選擇采用VPN作為解決方案。

用戶需求

哈爾濱商業(yè)銀行就VPN遠(yuǎn)程接入平臺，需要實現(xiàn)以下兩個目標(biāo)：

1. 通過各種Internet接入方式，都能在確保用戶接入、數(shù)據(jù)傳輸以及內(nèi)部資源訪問等各方面安全性的前提下，VPN用戶能夠方便、靈活、高效地通過該平臺接入哈爾濱商業(yè)銀行內(nèi)部網(wǎng)絡(luò)。

2. 各個下屬分公司和移動辦公人員，遠(yuǎn)程登錄VPN系統(tǒng)后，實時的將業(yè)務(wù)系統(tǒng)的數(shù)據(jù)傳輸?shù)娇偛康姆?wù)器上，并具有權(quán)限分級管理、訪問控制和審計等安全功能。

通過對哈爾濱商業(yè)銀行VPN接入網(wǎng)絡(luò)目標(biāo)的深入分析，得出了建立平臺需遵循的五個原則：

◆ 安全性原則：由于哈爾濱商業(yè)銀行VPN平臺通過Internet方式接入，因而對安全性提出很高要求，而高安全性表現(xiàn)在用戶接入、數(shù)據(jù)傳輸及內(nèi)部資源訪問等幾個方面。

◆ 實用性原則：VPN平臺的建設(shè)，應(yīng)在滿足哈爾濱商業(yè)銀行內(nèi)部信息系統(tǒng)應(yīng)用的功能、性能和安全性要求的前提下，盡量壓縮投資成本，不盲目追求功能大而全，技術(shù)高端一流，應(yīng)以實用性為主，選擇業(yè)界較為成熟的技術(shù)。

◆ 效率原則：由于VPN協(xié)議本身要消耗一定的帶寬資源，因此需要考慮在有限的Internet網(wǎng)接入帶寬下，能夠保證訪問速度和應(yīng)用的高效性。

◆ 可擴充性原則：哈爾濱商業(yè)銀行VPN平臺建立之初，用戶數(shù)和應(yīng)用都會較為固定，但隨著應(yīng)用的推廣和業(yè)務(wù)的發(fā)展，用戶數(shù)會逐漸增多，對平臺的功能和性能需求會越來越高，因此VPN平臺要求具有較強的可擴充性，例如支持?jǐn)U充Internet接入帶寬，支持的用戶數(shù)等。

統(tǒng)一規(guī)劃，分步實施原則：哈爾濱商業(yè)銀行VPN平臺的建設(shè)，需在統(tǒng)一規(guī)劃的前提下分步實施，首先實現(xiàn)支持目前移動辦公的需求，在以后條件逐步成熟時，考慮在平臺上實現(xiàn)一些新的應(yīng)用功能，要保留應(yīng)用的可擴充性。

深信服的SSLVPN設(shè)備憑借優(yōu)良的品質(zhì)，豐富的功能，優(yōu)秀的服務(wù)，得到了哈爾濱商業(yè)銀行的高度認(rèn)可。

解決方案

針對哈爾濱商業(yè)銀行提出的詳細(xì)需求，深信服科技的SSLVPN解決方案針對每一點都提出了優(yōu)秀的解決方法。

1. 深信服SSLVPN產(chǎn)品支持終端用戶采用各種Internet接入方式通過VPN隧道訪問銀行內(nèi)部網(wǎng)絡(luò)，并且憑借SSLVPN技術(shù)的先天優(yōu)勢，用戶可以采用各種支持標(biāo)準(zhǔn)瀏覽器的終端設(shè)備接入VPN網(wǎng)絡(luò)，包括Windows、Linux、Apple電腦、PDA、掌上電腦和智能手機等，而且不需要在終端用戶設(shè)備上安裝任何客戶端軟件，免維護(hù)，讓用戶使用更簡單方便。

SSLVPN作為成熟的技術(shù)，并采用高強度的加密算法來保證數(shù)據(jù)傳輸?shù)陌踩裕獬斯枮I商業(yè)銀行對數(shù)據(jù)傳輸安全性的憂慮。哈爾濱商業(yè)銀行通過自行定制的SSLVPN訪問頁面，統(tǒng)一了網(wǎng)站風(fēng)格，給接入用戶更愉悅的訪問體驗。

2. 哈爾濱商業(yè)銀行移動辦公員工通過使用USB-Key認(rèn)證方式接入銀行內(nèi)部網(wǎng)絡(luò)，如此避免了傳統(tǒng)用戶名／密碼認(rèn)證方式的脆弱的安全性。深信服SSLVPN設(shè)備還支持動態(tài)令牌卡，短信，數(shù)字證書和混合認(rèn)證等多種認(rèn)證方式，并且可以和客戶網(wǎng)絡(luò)中支持微軟AD、LDAP、Radius等協(xié)議的認(rèn)證服務(wù)器，CA數(shù)字證書服務(wù)器無縫配合，完成對接入用戶的認(rèn)證。對成功接入的用戶分組，對被訪問資源基于該資源的IP地址、端口、服務(wù)，甚至URL地址和時間進(jìn)行資源分組，由此進(jìn)行用戶（組）和資源（組）之間的靈活關(guān)聯(lián)綁定，真正做到給合適的用戶授予合適的權(quán)限。憑借深信服特有的數(shù)據(jù)中心組件，能夠?qū)尤胗脩舻乃性L問操作記錄進(jìn)行海量存儲和審計，并能根據(jù)多種條件進(jìn)行查詢和繪制餅狀圖，柱狀圖和曲線圖，直觀反映IT資源使用情況。通過啟用VPN專線功能，杜絕了黑客通過遠(yuǎn)程操控員工客戶端，然后接入VPN隧道潛入客戶內(nèi)網(wǎng)的可能；啟用客戶端安全準(zhǔn)入技術(shù)，拒絕了操作系統(tǒng)不打補丁，不安裝殺毒軟件等不滿足預(yù)設(shè)條件的客戶端接入銀行內(nèi)網(wǎng)，降低安全風(fēng)險。

3. 通過深信服獨創(chuàng)的IPSec/SSLVPN二合一平臺，一臺設(shè)備支持兩種協(xié)議，為哈爾濱商業(yè)銀行日后擴展平臺功用提供保障，并且節(jié)省了再投入的成本。深信服的SSLVPN支持所有基于TCP/UDP/ICMP的IT應(yīng)用，包括VoIP、視頻等，幾乎包括所有IT應(yīng)用。深信服采用獨有的數(shù)據(jù)壓縮封包技術(shù)，能提升帶寬效率到130%。借助SSL硬件加速卡，進(jìn)一步提升系統(tǒng)響應(yīng)和性能，讓哈爾濱商業(yè)銀行的各種IT應(yīng)用都能順利發(fā)布到VPN網(wǎng)絡(luò)中，并且給接入用戶高速的訪問享受。通過深信服的專利技術(shù)：多線路復(fù)用、負(fù)載分擔(dān)和智能選路技術(shù)，使設(shè)備能同時連接多條Internet線路，擴展帶寬的同時，多線路之間互為備份，也解決了跨運營商帶寬不足的問題，如此南電信和北網(wǎng)通之間的互通互訪帶寬瓶頸將不再是問題。