银行办公网络安全接入解决方案

2006-11-15　网友评论 0 条　点击进入论坛

编者按：渐渐增多的信用卡资料被窃、泛滥依旧的垃圾邮件和无处不在花样叠出的病毒，已经构成了一幅关于网络应用的灰色图景。现在，“网络安全”问题已经无可争议地成为坊间众多人们探讨和争论的热门话题，VPN（虚拟专用网）也凭借其出色的安全易用和低成本特点，在很短的时间内成为硬件型网络安全设备新热点。另一方面，为了使企业拥有更强大、更牢靠的网络运营环境，CIO们都考虑着如何用最小的成本补到最好的“钙元素”，这其中各家“手握重金”的银行们自然也在其中。下面的文字可以给许多在银行业供职的CIO们提供一些有益的信息。

　　银行办公网VPN系统需求分析

　　从应用上看，我国银行业务系统的建设可分为业务网络与办公自动化网络系统。由于银行网络系统是典型的多应用和多连接平台，因此在银行网络内外存在着较多的安全隐患。

　　权威数据表明，在企业建立SSL VPN之后，局域网互联费用可以降低20%～40％，而远程接入费用可以减少60％～80％，这无疑是企业机构降低运营成本的一个有效途径。目前，由于VPN (虚拟专网)比租用专线或部署拨号系统更加便宜、灵活．所以有越来越多的银行采用VPN，使移动办公和分支机构的员工可以连接远端的0A工作。采用VPN接入是保障银行办公网安全性的一种非常有效的方法。

　　Array Networks SSL VPN解决方案

　　Array Networks的SSL VPN解决方案是在银行办公网的数据中心放置SSL VPN网关——Array SPX系列产品。有些银行只是总行有Internet出口，有的OA系统服务器在银行总部，或总部和省行都由0A服务器组成分布式结构，这样可将SPX放在总部数据中心的网络边缘。此时雇员通过SSL VPN访问0A系统，可以通过Internet连接SSL VPN，也可以通过行内网访问，达到外网、内网访问办公系统的高安全性。

　　有些银行系统省网有Internet出口，0A服务器在省网，则可将SSL VPN网关SPX放在省网Intenet出口，省行员工可通过本省的SSL VPN访问办公系统。同样,既可以通过Internet访问，也可以通过行内网访问SSL VPN系统，进而访问办公系统。

　　ArrayNetworks的SSL VPN可以提供丰富的应用支持．包括B/S、C/S结构引用．并提供文件共享、隧道式VPN等多种方式，支持复杂的办公系统应用，并可以远程安全地对办公网设备进行维护。

　　SSL VPN使银行远程OA访问趋于完美

　　仍以Array Networks SSL VPN为例。该系统采用专用的SSL加速卡，充分保证SSL的性能，实现企业SSL接入的效能最大化，而且不需要安装客户端程序，极大地简化了IT管理员的工作负担，提高了工作效率．并对VPN的部署和管理带来了极大的方便。

　　SSL VPN网关部署非常适合银行系统现有的网络结构，对于 VPN客户端也有很好的适应性。由于银行雇员上网方式可能多种多样，只要他和SSL VPN网关之间保持畅通，就可以使雇员随时随地安全接入SSL VPN，进而访问银行办公系统。

　　此外，Array Networks SSL VPN组网方案是面向应用的 VPN方案，可支持多种用户认证方法，与银行已有的统一认证系统完美结合，而且SSL VPN网关可以做到基于应用的细粒度控制。基于用户和组赋予不同的应用访问权限，并对相关访问操作进行完善的审计，记录用户登陆/登出、认证/授权失败、被请求的 URL等所有行为；SSL VPN网关还提供客户端安全检查模块（client security），确定客户端的接入权限，对不同用户或组作出多种限定，并和银行已有的网管系统结合起来，达到高度的安全监控。这是一般基于网络的VPN所办不到的。值得一提的是，SSL VPN网关的Client Security还提供Cache Clean，清除客户端cache，使客户访问VPN后不留痕迹。

　　SSL VPN在银行办公网中的安全特性

　　防止信息泄漏由于客户端与SSL VPN网关之间实现高强度的加密信息传输，因此虽然信息传输是通过公网进行的，但是其安全性是可以得到保证的。第三方即使可以得到传输数据，却无法得到隐藏到其中的明文信息。因此敏感的信息如业务帐号等便可通过SSL VPN被保护起来，杜绝了有效信息的泄露。

　　杜绝非法访问 SSL VPN的访问要经过认证和授权，可充分保证用户身份的合法性。SSL VPN只允许那些拥有相应权限的用户进行网络连接。反之SSL VPN将拒绝其连接请求，从而限制了非法用户对内网的访问。

　　保护信息的完整性 SSL VPN使用数字证书进行机密性与完整性参数的协商，它不仅能够对所传输的数据进行机密性的保护，同时也对其提供完整性保护。当在传输过程中的数据被篡改之后，SSL VPN是可以检测到的。如果检测到数据被篡改，他们就会放弃所接收到的数据。

　　防止用户假冒ArryNetworks提供多种认证和授权方式，包括本地用户数据库，并且可以和其他更加强大的认证系统结合起来。

　　保证系统的可用性SSL VPN使用内网、外网相互隔离，只开放所需服务的方式来实现。这样，客户端只能通过授权使用所开放的服务，除该服务之外的其它服务都无从访问，从而减少了很多对内网系统进行攻击的途径，达到了对内部网络的最大保护。

已有 0 位对此文章感兴趣的网友发布了看法　

我来评两句	登录邮箱：密码：
请您在这里发表您的个人看法，发言时请各位遵纪守法并注意语言文明！
	匿名发表