作者: arade , 　出处:51cto.com　,　责任编辑: 张琰琤,　 2008-07-11 06:00

　　哈尔滨商业银行经过分析和调研，最终采用深信服科技的sslvpn作为解决方案，以确保内部资源访问等各方面安全。

　　哈尔滨市商业银行成立于1997年2月，是一家具有法人地位的地方性股份制商业银行，拥有19家管辖行，119个营业网点，现有员工1782人。伴随着银行业务范围的扩展，内部it系统的增加和业务量的上升，以及众多的营业网点的设立，哈尔滨商业银行逐渐形成对移动办公的需求。主要用于解决银行员工在外办理业务时能安全便捷的接入银行内部网络，使用内部oa等it资源，及时进行数据交互和汇总，部分小型证券类营业网点需要安全快速和总部进行数据传输，和其他一些业务小型营业网点的安全接入。哈尔滨商业银行内部it部门经过分析和调研，最终选择采用vpn作为解决方案。

　　用户需求

　　哈尔滨商业银行就vpn远程接入平台，需要实现以下两个目标：

　　1. 通过各种internet接入方式，都能在确保用户接入、数据传输以及内部资源访问等各方面安全性的前提下，vpn用户能够方便、灵活、高效地通过该平台接入哈尔滨商业银行内部网络。

　　2. 各个下属分公司和移动办公人员，远程登录vpn系统后，实时的将业务系统的数据传输到总部的服务器上，并具有权限分级管理、访问控制和审计等安全功能。

　　通过对哈尔滨商业银行vpn接入网络目标的深入分析，得出了建立平台需遵循的五个原则：

　　◆ 安全性原则：由于哈尔滨商业银行vpn平台通过internet方式接入，因而对安全性提出很高要求，而高安全性表现在用户接入、数据传输及内部资源访问等几个方面。

　　◆ 实用性原则：vpn平台的建设，应在满足哈尔滨商业银行内部信息系统应用的功能、性能和安全性要求的前提下，尽量压缩投资成本，不盲目追求功能大而全，技术高端一流，应以实用性为主，选择业界较为成熟的技术。

　　◆ 效率原则：由于vpn协议本身要消耗一定的带宽资源，因此需要考虑在有限的internet网接入带宽下，能够保证访问速度和应用的高效性。

　　◆ 可扩充性原则：哈尔滨商业银行vpn平台建立之初，用户数和应用都会较为固定，但随着应用的推广和业务的发展，用户数会逐渐增多，对平台的功能和性能需求会越来越高，因此vpn平台要求具有较强的可扩充性，例如支持扩充internet接入带宽，支持的用户数等。

　　统一规划，分步实施原则：哈尔滨商业银行vpn平台的建设，需在统一规划的前提下分步实施，首先实现支持目前移动办公的需求，在以后条件逐步成熟时，考虑在平台上实现一些新的应用功能，要保留应用的可扩充性。

　　深信服的sslvpn设备凭借优良的品质，丰富的功能，优秀的服务，得到了哈尔滨商业银行的高度认可。

　　解决方案

　　针对哈尔滨商业银行提出的详细需求，深信服科技的sslvpn解决方案针对每一点都提出了优秀的解决方法。

　　1. 深信服sslvpn产品支持终端用户采用各种internet接入方式通过vpn隧道访问银行内部网络，并且凭借sslvpn技术的先天优势，用户可以采用各种支持标准浏览器的终端设备接入vpn网络，包括windows、linux、apple电脑、pda、掌上电脑和智能手机等，而且不需要在终端用户设备上安装任何客户端软件，免维护，让用户使用更简单方便。

　　sslvpn作为成熟的技术，并采用高强度的加密算法来保证数据传输的安全性，解除了哈尔滨商业银行对数据传输安全性的忧虑。哈尔滨商业银行通过自行定制的sslvpn访问页面，统一了网站风格，给接入用户更愉悦的访问体验。

　　2. 哈尔滨商业银行移动办公员工通过使用usb-key认证方式接入银行内部网络，如此避免了传统用户名/密码认证方式的脆弱的安全性。深信服sslvpn设备还支持动态令牌卡，短信，数字证书和混合认证等多种认证方式，并且可以和客户网络中支持微软ad、ldap、radius等协议的认证服务器，ca数字证书服务器无缝配合，完成对接入用户的认证。对成功接入的用户分组，对被访问资源基于该资源的ip地址、端口、服务，甚至url地址和时间进行资源分组，由此进行用户(组)和资源(组)之间的灵活关联绑定，真正做到给合适的用户授予合适的权限。凭借深信服特有的数据中心组件，能够对接入用户的所有访问操作记录进行海量存储和审计，并能根据多种条件进行查询和绘制饼状图，柱状图和曲线图，直观反映it资源使用情况。通过启用vpn专线功能，杜绝了黑客通过远程操控员工客户端，然后接入vpn隧道潜入客户内网的可能;启用客户端安全准入技术，拒绝了操作系统不打补丁，不安装杀毒软件等不满足预设条件的客户端接入银行内网，降低安全风险。

　　3. 通过深信服独创的ipsec/sslvpn二合一平台，一台设备支持两种协议，为哈尔滨商业银行日后扩展平台功用提供保障，并且节省了再投入的成本。深信服的sslvpn支持所有基于tcp/udp/icmp的it应用，包括voip、视频等，几乎包括所有it应用。深信服采用独有的数据压缩封包技术，能提升带宽效率到130%。借助ssl硬件加速卡，进一步提升系统响应和性能，让哈尔滨商业银行的各种it应用都能顺利发布到vpn网络中，并且给接入用户高速的访问享受。通过深信服的专利技术：多线路复用、负载分担和智能选路技术，使设备能同时连接多条internet线路，扩展带宽的同时，多线路之间互为备份，也解决了跨运营商带宽不足的问题，如此南电信和北网通之间的互通互访带宽瓶颈将不再是问题。