中山市华泰纺织有限公司的员工发薪时,发现卡里的工资竟多了两倍。更为离谱的是,一名员工卡中的工资竟然达1000多万元!针对此事件,银行办公室负责人承认,确有此事。
有人钱多了,说不定什么时候就有人钱少了。银行的服务比较单一的时候,老百姓把自己的血汗钱都放到银行,心里也会偶尔担心,银行是不是够安全。现在,信息技术的发展,改变了我们的生活方式。国内的四大国有商业银行已经完成或正在进行大集中。数据中心的大集中,好处是显而易见的,但发生故障时,影响面就会很大。高度集中的数据中心,更要求硬件、软件的安全系数,保证系统的稳定运行。安全,被提到新的高度。
此外,网络技术的发展,给人们的生活带来极大的便利,也为银行提供了更好的服务手段。但网络是安全的吗?网络就像一个江湖,充满了各种险恶和不确定的危险。如何才能化解这样的电子化风险?银行要加强业务上的安全措施,客户也需要自己增强防范意识,提高防窃能力。
高便利,意味着高风险。信息时代的银行,无疑对信息安全提出了更高要求。
每年庞大的专线费用对每个公司来说都是一笔不小的开支。如何选择一条价格上有优势,性能相对其他方式又有良好的备份线路呢?
虽然金融、证券行业的异地网络一般已经采用了专线的方案,但是随着信息化的不断深入,原有线路已经不能满足业务及办公的需要,而且随着移动办公的需求增加,互联的问题再次出现。
为了确保业务的稳定和可靠,金融、证券公司基本都采用专线方式(DDN、帧中继)将公司总部和各分公司或营业部连接起来,每年庞大的专线费用对每个公司来说都是一笔不小的开支。
大部分金融、证券公司的内部网络非常复杂,且目前信息化水平都较高,特别是办公信息化,如果还通过原有的DDN等线路来传输,会出现影响业务系统的正常运行或需要加大对线路成本投入的现象,而且还不能解决移动的问题。其次,金融、证券公司的分公司或营业部特别多,且分布在全国大多数城市,所以上网线路ISP的选择很难统一。
再有,他们的数据传输过程不允许因线路故障而出现中断。如何选择一条价格上有优势,性能相对其他方式又有良好的备份线路呢?
VPN组网高中低方案
VPN产品的出现很好地解决了上述问题。相对于按期付费的专线,一次性投入的VPN系统将在整体成本上具有无可比拟的优越性。以下是深信服的推荐产品。
SINFOR M5100
深信服科技推出的SINFOR M5100是一款高性价比的硬件VPN/防火墙网关,适用于中型企业总部网络或大型企业的区域总部网络。该产品又分标准版、专业版两款,其中标准版支持3个百兆网络接口,为单线路VPN。专业版支持4个百兆网络接口,为双线路VPN,支持两条Internet线路带宽叠加及备份。SINFOR M5100具有强大的VPN功能,支持各种Internet接入方式。
设备内置WebAgent动态IP寻址机制,双寻址方式保证了寻址的稳定性。SINFOR M5100采用了改进的IPSec协议,在确保VPN隧道安全的同时,进一步提高了数据传输的效率。同时集成了LZO高速流压缩算法,对常见的应用(如文件传输、数据库查询等)大大提高了速度。同时,在安全性上,SINFOR M5100网关集成了高强度的加密算法,并可以进一步通过软件或硬件卡的形式进行加密算法的扩展,保证了数据传输的安全。
其次,网关系统内置RADIUS服务、并采用了HARDCA硬件证书的形式进行身份认证,确保接入用户的合法有效。另外,SINFOR M5100还针对内网用户设定细致的访问权限,避免了病毒类文件的随意传播和越权访问带来的安全隐患。
SINFOR S5100
SINFOR S5100是集成VPN/防火墙的硬件网关,采用了先进的嵌入式一体化硬件平台和RISC NP处理器,保证了高可靠性和突出的性能。S5100支持3个百兆网络接口,为小型企业、分支机构提供了强大的安全网关功能。S5100的VPN吞吐量为5~10M,而防火墙的吞吐量达到50M,完全能够满足绝大部分中小型企业ADSL等宽带网络接入环境。
SINFOR M5400
SINFOR M5400是一款功能强大的安全平台,是千兆高性能的硬件VPN/防火墙网关,用于大型企业或重要网络的中心节点。标准配置的一台设备支持4个千兆接口和两个百兆接口。各网口均可自定义,并能通过模块扩充的方式增加网口或者光口。
对于大型企业或重要网络来说,带宽和稳定性的要求更高。SINFOR M5400支持4个WAN口,可支持4条Internet出口线路的带宽叠加和备份,增强了网络的稳定性和出口带宽。同时,多条线路与其他节点建立VPN连接时,能够根据线路匹配质量智能选择通信线路,尤其适用于分支或移动节点。
SINFOR DLAN VPN
SINFOR DLAN VPN软件是领先的VPN软件系统,从产品功能上分为标准版、安全版(集成DWALL软件防火墙)和专业版(支持多线路绑定、带宽叠加)3种类型。每一类型的产品均由总部模块(MDLAN)、分支模块(SDLAN)和移动用户模块(PDLAN)构成。用户可根据自身的网络规模选择合适的产品类型、模块数量,构建适合自身业务需求的VPN网络平台。
SINFOR VPN集中安全管理中心
VPN产品与其他网络产品相比、有一个非常显著的特点,就是VPN产品在应用中的部署一定是跨地域的、分布式的。如何将这个跨地域的网络集中、统一管理起来,并有效进行部署和升级,保障整网的安全和可持续发展?SINFOR VPN集中安全管理中心能够很好地解决这些问题。
平台包括中心安全策略服务器、GUI管理器、数据库服务器、日志报表服务器、集中监控服务器、升级部署服务器、VPN网关设备(3.0以上)、VPN网关软件等十几个组件。
实现五大特性
线路绑定,实现统一
采用SINFOR多线路叠加功能产品,可以实现不同ISP的线路绑定。在实现总部与分公司互联时,分公司主动与总部采用对接较快的ISP线路,保证整个互联应用的效果、速度、稳定等特性,避免了不同ISP线路之间互联存在的问题,同时也避免了金融、证券行业分公司多,分布在不同城市,无法统一ISP运营商的问题。
稳定性
深信服科技在保证VPN网络稳定性方面有独到的技术。
1.互为备份的Web寻址技术。基于Web的动态寻址技术是深信服公司专利技术,通过该技术,SINFOR DLAN可以支持ADSL等动态IP拨号上网方式,无需固定IP,大大降低了客户使用VPN的成本。由于动态寻址过程依赖于Web的可靠性,因此在SINFOR所有VPN中均采用了互为备份的Web设置,只要有一个Web能够正常工作,即可正常实现动态寻址,保证了VPN寻址的可靠性。
2.多线路技术增加线路稳定性。深信服SINFOR VPN创新性地提出了多线路捆绑技术,在一个VPN节点上可以同时使用多条Internet线路,只要其中的一条线路正常工作,DLAN VPN网络即可保持正常。
3.断线重拨技术。为了保证拨号网络的稳定性,SINFOR VPN产品中集成了自动拨号软件,在拨号中断后,5秒内可以重拨。网络物理连接恢复正常后,VPN隧道将在1分钟内自动建立,从而保证系统迅速恢复。
高效性
通过平均传输效率为130%的"数据流压缩"技术,对所有的传输数据进行压缩传输,很多应用情况下超过直接连接速度。对速度要求高的金融、证券行业,SINFOR VPN独有的带宽叠加技术,能够将多条Internet的接入带宽叠加,提高VPN互联的速度。同时,还具有多线路备份功能,确保VPN通道不断线,持续畅通。
安全性
SINFOR VPN凭借以下4层防护充分保障金融、证券公司及其用户的利益不受侵犯。
1.隧道的安全。在隧道的建立过程中,深信服科技的所有产品都采用国际先进的AES 128位加密技术加密隧道,防止数据窃取和侦听。
2.接入用户身份验证。除基于用户账号的RADIUS身份验证外,SINFOR VPN 产品创新性地采用了基于硬件身份的鉴权体系,将用户账号与其所在计算机硬件信息进行绑定,即便用户账号意外泄露,由于非法用户无法使用与此账号事先绑定的那台计算机,不会因此造成非法用户接入。
对于远程移动办公人员,由于计算机存在失窃或被非法使用的可能性,深信服科技还对移动用户采用了基于硬件USB Key的身份验证机制,只有指定人员使用指定账号及指定计算机才能接入总部访问指定资源,极大地提高了VPN的整体安全性。
3.接入用户权限控制。普通的VPN产品在用户接入后即可随意访问局域网内任意资源。对于安全要求较高的单位来说,这种不受限制的访问容易造成极大的安全隐患。深信服科技所有产品都可以通过在VPN系统中设置更细致的服务访问权限来杜绝这些安全隐患,可以针对每个用户设定不同的接入访问权限。
4.集成企业级的防火墙。深信服科技提供的产品可以集成VPN及企业级防火墙于一体,在提供丰富的VPN功能的同时,其自带的企业级防火墙能够提供对网络强大的保护和管理功能,确保网络不被Internet非法用户攻击及入侵,并对内网用户上网行为进行非常细致的管理,避免内网用户随意的Internet访问行为带来的安全隐患。
灵活性
1.对移动IP的全面实现。一般VPN部署都需要改变网络结构,SINFOR DLAN在充当远程接入服务器时,不需要客户网络做任何改变。远程用户接入到网络时,可获得一个该网络的内外IP地址,并以此IP与网络内其他节点进行双向的访问。
2.对各种接入方式的全面支持。通过改进的IPSec隧道封装技术,SINFOR DLAN能很好地支持NAT穿透功能,使得SINFOR DLAN可以支持任何接入方式,包括最新的无线上网接入方式,甚至是未来NGN接入方式。
3.安全策略随时携带,客户端零配置。SINFOR DLAN集成DKEY技术,可以将移动用户的安全策略存储在类似U盘的USB Key中。这样移动用户随身携带标识自己身份和存储了对应安全策略配置信息的DKEY,可以在任何一台电脑安全接入到总部。
4.简单方便的配置备份和恢复。SINFOR VPN采用多个加密的配置文件形式保存配置信息。系统提供了对所有配置的打包备份功能,管理员可方便地对配置文件进行备份和恢复。同时管理员还可以在本地配置好远程网络,利用配置恢复功能在远程导入配置。
5.支持远程部署,软硬兼施。SINFOR VPN既有安装方便的纯软件产品,也有相应的硬件模块,方便金融、证券行业公司根据自身的实际环境,按需选择产品模块,构建量身定制的VPN网络。
- 案例分析
中国银联商务应用SINFOR VPN平台
银联商务有限公司是中国银联控股的一家专业为银行卡金融机构服务的全国性有限责任公司,注册资本1.5亿元,总部设在上海。公司通过在全国设立的分(子)公司为各地商业银行、特约商户和广大持卡人提供高质量的银行卡专业化服务。
由于信息化应用的迅速发展及宽带的普及应用,目前银联商务有限公司的业务主要是银行卡专业化服务,即专业服务机构在一定范围内,通过规模化、集约化的经营管理,为商业银行、特约商户和持卡人提供与银行卡业务相关的一系列服务,以便金融机构致力于银行卡产品研发、风险管理等核心环节,达到发挥专业分工优势、节约经营成本、提高银行卡受理水平的目的。
为了解决分部在全国各地的分公司及移动人员的统一信息化,实时同步使用总部的财务系统、NOTES系统,银联商务选用了"SINFOR DLAN VPN"的多线路产品,把总部基于不同ISP(电信、网通)的两条线路叠加起来,解决总部线路备份、总部宽带瓶颈及不同ISP线路之间带宽瓶颈的问题,保证了整个互联的稳定、快速。现在,SINFOR VPN平台已经成为支撑银联商务所有分公司和移动人员办公的安全、稳定、快速互联VPN平台。
华夏证券应用SINFOR VPN平台
华夏证券股份有限公司成立于1992年10月,是我国较早成立的全国性证券公司。其下属营业厅采用DDN专线与总部相连,并采用SINFOR DLAN VPN作为DDN专线的备份线路。在DDN专线出现故障的时候,SINFOR DLAN VPN可迅速承担起数据传输的任务。
同时所有非核心业务的数据(如日常的办公数据)则全部通过SINFOR DLAN VPN传送到总部,确保有限的DDN带宽全部用来进行核心业务的开展。部分规模较小的非核心营业厅则完全采用SINFOR VPN作为连接方式,大大削减了信息化投入成本。
