网络信息安全作业 3

ssl vpn在四川省农行分行的案例。

姓名：钱交学号：2011311563班级：农林11

中国农业银行是四大国有独资商业银行之一，在全球1000家大银行中名列第25位，是入选《财富》500强的大型企业。在四川，中国农业银行辖21个市、州分行，185个县级支行，2000余个营业网点，3万名员工，机构遍布城乡，是四川省金融服务网点最多，网络覆盖面最广，服务功能最全的国有商业银行。

在新的经济环境下，农行四川省分行需要其员工在任何地点、任何时间访问各种it资源，满足其开展全省业务的需要，在与其他国有大型银行及新兴中小银行的竞争中立于不败之地。目前，农行四川省分行已部署有oa系统、邮件系统、文件数据共享系统等，但这些应用系统只局限在内网的访问和使用。如何让出差在外、在家办公的员工访问应用系统，在任何地点都产生收益，是农行四川省分行亟待解决的一大问题。

技术需求。从技术角度看，农行四川省分行分别从安全性、可控性、易用性等方面提出了相应要求：

1. 安全性：如果需要向外网用户开放部分内网资源，数据传输的安全性首先要得到保障。

其中，用户身份验证的安全性需着重考虑，如不能有效识别用户的身份，使得非法用户接入内网，将给银行带来巨大的安全隐患。

2. 可控性：对通过身份验证的接入用户所访问的内网资源必须可控，即能做到为不同用户分配不同的访问权限，并且能够对用户的访问日志进行详尽记录，以便查询、汇总和审计。

3. 易用性：方案的部署是为了方便用户的使用，提升工作效率，所以要保证客户使用简单方便，并能够适应各种网络接入环境。

解决方案。农行四川省分行从一开始的技术方案选型阶段就已经明确表示：专线一方面不能解决移动接入的问题，同时费用高昂；采用老式拨号接入的方案，部署复杂，且权限无法控制，只有采用vpn技术才是理想的解决措施。

而在农行四川省分行的进一步选型过程中，发现传统的ipsec vpn需要安装客户端软件，在接入用户的访问权限控制方面也不够完善；而ssl vpn无需客户端的安装和配置，一些优秀的产品还支持将多种身份识别方式进行组合，并提供严格的访问权限控制，满足了该行对安全性、可控行和易用性的要求。

在通过对国内外多款ssl vpn的综合比较后，农行四川省分行最终选择了同深信合作，部署其领先的m5400-s ssl vpn远程接入系统。m5400-s是千兆级的ssl vpn网关，支持多种身份认证方式和详细的日志记录，可满足近千名用户同时登录，在国内金融系统的应用较为广泛。

方案优势。安全可靠。

除了在数据传输上采用128-bits aes加密算法外，对于接入用户的身份认证，m5400-s提供了包括usb-key、数字证书、动态令牌、短信认证、硬件特征码等多种方式，并可让用户自由选择。

四川农行主要采用了usb-key双因素动态身份识别方式，出差在外或在家办公的员工只需将随身携带的usb-key接入电脑，就可以在互联网上访问管理员为其划分的内网资源。管理员可以根据内网资源的ip地址、端口、url等进行资源的划分和授权。

对于用户发生的各种内网访问行为，m5400-s都能够进行细致的记录，尤其值得一提的是，网关记录的海量日志能够自动转存到内网的任意一台服务器上，并且通过自带的图形化日志查询、审计、汇总工具，用户可轻松地完成日志的相关操作。

高易用性。凭借ssl vpn的协议特征和m5400-s的技术优势，农行四川省分行的移动用户无须安装客户端软件，借助标准浏览器就可以访问内网的b/s、c/s应用，使银行的非it专业人员也能够轻松体验到ssl vpn给工作带来的方便。

除此之外，m5400-s的访问速度也有极大的优势。其独有的webpush专利技术，让农行四川省分行的员工在访问web页面时，整个页面可以一次性推送到客户端，这使得用户访问b/s应用的速度比其他ssl vpn平均提高20%左右。而通过lzo数据流压缩技术、数据包头压缩和重封包技术，m5400-s又将数据的传输效率提高了30%左右，比明文传输还要快。

农行四川省分行对m5400-s进行了文件拷贝和sql数据库查询的性能测试，当远程客户在互联网直联的情况下查询一个有9000多条数据记录的sql数据库，总费时48秒，而通过m5400-s的ssl vpn接入后进行查询，用时则不到30秒。对于word文档、**和压缩文件等其他应用的传输，通过m5400-s的传输效率普遍比互联网直接传输提高40%以上，极大地提升了用户的访问体验。

网络信息安全作业 3

网络信息安全作业 1

网络信息安全作业带题目

网络信息作业

其他用户还读了