銀行系統(tǒng)遠(yuǎn)程接入服務(wù)控制方案
【51CTO.com 綜合報道】行業(yè)背景
銀行業(yè)已經(jīng)成為信息技術(shù)和網(wǎng)絡(luò)技術(shù)發(fā)展的最大受益者之一。銀行行業(yè)網(wǎng)絡(luò)系統(tǒng)的建設(shè),提高了銀行業(yè)務(wù)處理的水平,改善了銀行行業(yè)的經(jīng)營環(huán)境,將銀行業(yè)務(wù)發(fā)展推進(jìn)到一個全新的時代。同時,銀行行業(yè)網(wǎng)絡(luò)架構(gòu)縱向集中的趨勢日益明顯,業(yè)務(wù)網(wǎng)絡(luò)物理上要求統(tǒng)一、邏輯上要求安全隔離的呼聲也越來越高。
銀行業(yè)新型業(yè)務(wù)的發(fā)展要求將原來局限于辦公室的內(nèi)容向外界擴(kuò)展。為增強(qiáng)企業(yè)競爭力,在內(nèi)部形成快速便捷的信息溝通渠道,以及實(shí)現(xiàn)對市場信息的快速響應(yīng)與快速決策,必須具備移動辦公及遠(yuǎn)程接入的能力。比如領(lǐng)導(dǎo)在外及時進(jìn)行對公文的審閱、批復(fù)已成為辦公自動化應(yīng)用中的一個重要需求。
另一方面,銀行機(jī)構(gòu)掌管著大量的敏感數(shù)據(jù),網(wǎng)絡(luò)資源的集中也帶來了一系列新的問題,如不同業(yè)務(wù)系統(tǒng)在同一個網(wǎng)絡(luò)上承載,如何有效的實(shí)現(xiàn)邏輯上的隔離、實(shí)現(xiàn)不同類別業(yè)務(wù)的區(qū)別服務(wù)等等都是需要仔細(xì)設(shè)計的環(huán)節(jié)。
目前遠(yuǎn)程接入的安全技術(shù)中, SSL VPN實(shí)現(xiàn)了重要信息在Internet上的傳輸安全控制,已使其成為銀行機(jī)構(gòu)遠(yuǎn)程接入安全策略中重要的方式之一。
功能優(yōu)勢 nbsp; 安全性
1、采用標(biāo)準(zhǔn)SSL協(xié)議加密建立安全的專用加密通道;同時,SSL VPN內(nèi)置有LDAP/AD、Radius、SecurID、短信認(rèn)證等多種安全認(rèn)證方式,結(jié)合對客戶端的安全檢查,最大限度地保證了接入用戶的安全性。
2、硬件特征綁定技術(shù);保障遠(yuǎn)程用戶只能從指定PC終端(比如公司指定的筆記本)接入,大大降低接入終端不可控帶來的安全威脅。
3、VPN專線技術(shù);杜絕黑客通過遠(yuǎn)程控制用戶電腦然后進(jìn)入VPN隧道從而潛入。
4、角色關(guān)聯(lián)機(jī)制;在資源授權(quán)方面, SSL VPN對用戶進(jìn)行分組,針對被訪問的資源的IP地址,端口,服務(wù),甚至URL地址和時間進(jìn)行資源分組,將用戶(組)和資源(組)之間進(jìn)行角色關(guān)聯(lián),細(xì)致的接入。
5、詳盡審計; SINFOR SSL VPN通過行為跟蹤引擎,對每個遠(yuǎn)程接入用戶的所有訪問記錄都留下了日志記錄。通過第三方日志服務(wù)器,對審計日志進(jìn)行定期導(dǎo)出,對所有遠(yuǎn)程用戶的登錄行為做全面的分析和統(tǒng)計。管理員可按照餅圖、柱狀圖、曲線圖等多種顯示方式對服務(wù)的被訪問次數(shù)、被拒絕次數(shù),用戶的登錄次數(shù)、告警次數(shù)等形成直觀報表。
高速、易用性
1、移動辦公的優(yōu)勢體現(xiàn)在可以在任何場所、通過任何終端、隨時地接入到內(nèi)網(wǎng),訪問需要的信息資源。銀行機(jī)構(gòu)辦公人員經(jīng)常因為出差等原因在各種網(wǎng)絡(luò)下工作,如家庭ADSL寬帶、CDMA/GPRS無線網(wǎng)絡(luò)等。由于無線網(wǎng)絡(luò)、跨運(yùn)營商網(wǎng)絡(luò)存在著比較大的時延或丟包問題,如果SSL VPN無法解決這些問題,那么移動辦公效果將大打折扣。
為了解決接入速度慢的問題,深信服利用特有的基于硬件的GZIP和LZO高速流壓縮算法等業(yè)內(nèi)領(lǐng)先技術(shù),可將SSL VPN數(shù)據(jù)傳輸率提高20%-30%;
另外,Web Push專利技術(shù)通過對Web頁面的整合發(fā)布,減少了大量的TCP響應(yīng)次數(shù),大幅度提高了用戶訪問WEB資源的速度。
2、在易用性方面,SSL VPN免客戶端接入的特點(diǎn)收到了廣大用戶的歡迎,使用者只需打開瀏覽器,輸入相應(yīng)地址,就可以訪問到其所授權(quán)的服務(wù)。做到了用戶只要能上網(wǎng)、只要會操作電腦,就可以使用SSL VPN。
并通過深信服的單點(diǎn)登陸技術(shù)(SSO),使客戶免去了內(nèi)部系統(tǒng)中的多次重復(fù)驗證,在保障了系統(tǒng)安全的前提下減少了用戶的多余操作步驟,降低了由于重復(fù)輸入而造成賬號外泄的風(fēng)險。
網(wǎng)絡(luò)拓?fù)?/STRONG>
SSL VPN系統(tǒng)一般部署在防火墻之后的內(nèi)網(wǎng)中,對內(nèi)網(wǎng)拓?fù)溆绊懮跷ⅲ徊⑴c機(jī)構(gòu)內(nèi)部的CA系統(tǒng),或第三那方認(rèn)證中心相結(jié)合,達(dá)到內(nèi)部IT系統(tǒng)的整合融入。部署情況如圖:
 |
| 圖1 |
