ssl vpn在四川省农行分行的案例。
姓名:钱交学号:2011311563班级:农林11
中国农业银行是四大国有独资商业银行之一,在全球1000家大银行中名列第25位,是入选《财富》500强的大型企业。在四川,中国农业银行辖21个市、州分行,185个县级支行,2000余个营业网点,3万名员工,机构遍布城乡,是四川省金融服务网点最多,网络覆盖面最广,服务功能最全的国有商业银行。
在新的经济环境下, 农行四川省分行需要其员工在任何地点、任何时间访问各种it资源,满足其开展全省业务的需要,在与其他国有大型银行及新兴中小银行的竞争中立于不败之地。目前,农行四川省分行已部署有oa系统、邮件系统、文件数据共享系统等,但这些应用系统只局限在内网的访问和使用。如何让出差在外、在家办公的员工访问应用系统,在任何地点都产生收益,是农行四川省分行亟待解决的一大问题。
技术需求。从技术角度看,农行四川省分行分别从安全性、可控性、易用性等方面提出了相应要求:
1. 安全性:如果需要向外网用户开放部分内网资源,数据传输的安全性首先要得到保障。
其中,用户身份验证的安全性需着重考虑,如不能有效识别用户的身份,使得非法用户接入内网,将给银行带来巨大的安全隐患。
2. 可控性:对通过身份验证的接入用户所访问的内网资源必须可控,即能做到为不同用户分配不同的访问权限,并且能够对用户的访问日志进行详尽记录,以便查询、汇总和审计。
3. 易用性:方案的部署是为了方便用户的使用,提升工作效率,所以要保证客户使用简单方便,并能够适应各种网络接入环境。
解决方案。农行四川省分行从一开始的技术方案选型阶段就已经明确表示:专线一方面不能解决移动接入的问题,同时费用高昂;采用老式拨号接入的方案,部署复杂,且权限无法控制,只有采用vpn技术才是理想的解决措施。
而在农行四川省分行的进一步选型过程中,发现传统的ipsec vpn需要安装客户端软件,在接入用户的访问权限控制方面也不够完善;而ssl vpn无需客户端的安装和配置,一些优秀的产品还支持将多种身份识别方式进行组合,并提供严格的访问权限控制,满足了该行对安全性、可控行和易用性的要求。
在通过对国内外多款ssl vpn的综合比较后,农行四川省分行最终选择了同深信合作,部署其领先的m5400-s ssl vpn远程接入系统。m5400-s是千兆级的ssl vpn网关,支持多种身份认证方式和详细的日志记录,可满足近千名用户同时登录,在国内金融系统的应用较为广泛。
方案优势。安全可靠。
除了在数据传输上采用128-bits aes加密算法外,对于接入用户的身份认证,m5400-s提供了包括usb-key、数字证书、动态令牌、短信认证、硬件特征码等多种方式,并可让用户自由选择。
四川农行主要采用了usb-key双因素动态身份识别方式,出差在外或在家办公的员工只需将随身携带的usb-key接入电脑,就可以在互联网上访问管理员为其划分的内网资源。管理员可以根据内网资源的ip地址、端口、url等进行资源的划分和授权。
对于用户发生的各种内网访问行为,m5400-s都能够进行细致的记录,尤其值得一提的是,网关记录的海量日志能够自动转存到内网的任意一台服务器上,并且通过自带的图形化日志查询、审计、汇总工具,用户可轻松地完成日志的相关操作。
高易用性。凭借ssl vpn的协议特征和m5400-s的技术优势,农行四川省分行的移动用户无须安装客户端软件,借助标准浏览器就可以访问内网的b/s、c/s应用,使银行的非it专业人员也能够轻松体验到ssl vpn给工作带来的方便。
除此之外,m5400-s的访问速度也有极大的优势。其独有的webpush专利技术,让农行四川省分行的员工在访问web页面时,整个页面可以一次性推送到客户端,这使得用户访问b/s应用的速度比其他ssl vpn平均提高20%左右。而通过lzo数据流压缩技术、数据包头压缩和重封包技术,m5400-s又将数据的传输效率提高了30%左右,比明文传输还要快。
农行四川省分行对m5400-s进行了文件拷贝和sql数据库查询的性能测试,当远程客户在互联网直联的情况下查询一个有9000多条数据记录的sql数据库,总费时48秒,而通过m5400-s的ssl vpn接入后进行查询,用时则不到30秒。对于word文档、**和压缩文件等其他应用的传输,通过m5400-s的传输效率普遍比互联网直接传输提高40%以上,极大地提升了用户的访问体验。
网络信息安全作业 1
个人防火墙与病毒防火墙的区别与联系。姓名 钱交学号 2011311563班级 农林11 个人防火墙是防止您电脑中的信息被外部侵袭的一项技术,在您的系统中监控 阻止任何未经授权允的数据进入或发出到互联网及其他网络系统。就是一个位于计算机和它所连接的网络之间的软件。计算机与网络的所有通信均要经过此防火墙...
网络信息安全作业带题目
单选部分 1 计算机网络的体系结构是指 c a 网络数据交换的标准b 网络的协议。c 网络层次结构与各层协议的集合d 网络的层次结构。2 osi网络安全体系结构参考模型中增设的内容不包括 a a 网络威胁b 安全服务。c 安全机制d 安全管理。3 在常见的病毒中,只能以模板文件形式传播的病毒是 c ...
网络信息作业
1 搜索课题名称 品牌管理若干基础问题研究。2 课题分析 品牌管理 属于本课题的主题,其是 基础问题 过程的主题,若干 是修饰词,即 品牌管理 过程中的 若干 的 基本问题 故 若干 可不作为检索词,由此得出如下检索词 按其对课题影响程度排序 中文关键词 1 品牌管理 2 基础问题 3 研究。3 选...