深信服SSL VPN助中银基金实现风险控制

中银基金管理有限公司是由中国银行股份有限公司和贝莱德投资管理有限公司两大全球著名领先金融品牌强强联合组建的中外合资基金管理公司,其前身为中银国际基金管理有限公司。中银国际基金凭借在基金管理卓越的业绩表现在业内脱颖而出,荣获中国最佳风险管理基金管理公司荣誉称号和中国投资者教育优秀奖。经中国证监会和中国商务部批准,并已在国家工商总局完成了注册变更手续,中银国际基金管理有限公司更名为中银基金管理有限公司。

对于基金公司而言,信息化建设有着不言而喻的重要意义,几乎所有的业务、资讯、交易都需要依托于各种业务系统及网络。经过多年的发展,中银基金已在总部与各分数机构建设完成了较为完备网络及应用体系,总部内网部署有文件服务器、办公系统、业务系统等一系列信息化资源,实现数据集中式统一应用平台。

在日常的使用中,中银基金信息中心发现,许多基金工作人员出差或者在外调研的过程中,往往有许多立即业务需要快速的处理。但由于基金公司对于核心数据的高安全性要求,各种业务系统及办公系统不可直接暴露在公网上,导致许多需要立即处理的业务不得不等到回到公司以后才能进行,大大影响了快速响应的要求。同时,为了保障公司网络及各种系统的时刻畅通运转,信息中心的工程师们即使是在外或在家,也需要有必要的技术手段连接到相关的公司内部网络资源,实施相关的管理和维护。

完备的信息化建设才可保障公司的快速发展,中银基金信息中心在意识到这个问题之后,立即着手寻求远程接入的解决方案,并确立了三个基本原则:首先,必须满足安全性要求,服务器不可外置于安全域,同时对于接入用户必须是有保证的身份确认后建立的安全隧道;其次,终端的使用必须具有良好的易用性,在外工作的基金人员需处理的事物往往要求能够快速响应,在终端上需保证便捷性以最大的提供便利;最后,所采用的方案必须对现有的网络改动最小,与业务系统进行良好的结合,不可影响正常应用的使用。

在进行一系列的调研和测试,并考量同行组网经验后,中银基金最终采用了深信服SSL VPN实现远程接入,在三个原则的基础上满足出差人员移动办公、信息中心人员远程维护的需求。

SSL VPN是业内公认安全度高、部署灵活的一种虚拟专用网组建方式。中银基金将SSL VPN以旁路模式部署,并进行相应的设置。仅VPN流量通过设备,其余数据按原有方式进行传输,对既有网络不会造成任何影响。

对于内网服务器的发布通过SSL VPN安全发布完成,SSL VPN对外仅开放443端口,而SSL VPN本身置于出口安全设备之后,设备本身的安全是有保障的。对于接入SSL VPN加密隧道的用户,采用严格的身份认证进行,SSL VPN可提供USB KEY证书、短信口令、动态令牌、硬件特征码等软硬结合的身份认证方式,最大程度上确保了用户身份的合法性,保证隧道的入口的安全。在用户接入后,根据用户的身份进行内网访问权限的严格划分,限定业务人员仅可访问权限范围内的应用系统,网络维护人员可对全网网络设备进行远程访问管理。

在用户终端的使用上,SSL VPN便利性有着得天独厚的优势,有别于传统的VPN接入方式,SSL VPN采用内置于浏览器的SSL协议构建安全隧道,无需在终端主机安装客户端软件或进行繁杂的配置。用户登录SSL VPN即可如同登录HTTPS网银、邮箱一样便利,符合日常使用习惯。

中银基金通过SSL VPN平台的建设,构建起安全、快速、便利的移动办公平台及远程维护平台,在发展的道路上诠释信息化建设的最佳风险控制。