SSL VPN远程安全接入方案在城市商业银行的应用

1     引言

    随着我国银行业的全面开放，国内银行业呈现出空前活跃的状态。一方面优质的国有商业银行和股份制商业银行纷纷上市，引入战略投资者；另一方面国家启动对邮政储蓄及农信社的改制，丰富中小企业和农村金融市场。处在中间地带的城市商业银行深感竞争的压力。城市商业银行要想谋求更大的发展，必须在战略上做出重大的调整。

    据调查，2010年中国城市商业银行IT投入将达到41.8亿元人民币，到2011年投入总额将达到47.7亿元人民币，从2007年到2011年的年均复合增长率为21.5%。

    城市商业银行在战略变化中对IT的整体投入普遍加大，成为银行IT投入的新的增长点。一些领先的城市商业银行已经实现跨区域经营，它们对风险管理，营销支持，产品创新等业务主题都有很大的需求；大部分城市商业银行已经把对中小企业的服务和零售业务作为战略方向去发展，在这些方面的信息化投入也有了很大的增长；同时，在信息化法律遵从、数据集中和远程灾备、移动办公的建设上，城市商业银行也表现出旺盛的需求。

2     城市商业银行远程安全接入的现状

    福州市商业银行（以下简称福州市商行）成立于1996年12月27日，是具有独立法人资格的福州市第一家地方性股份制商业银行，下辖29家支行和一个总行营业部，实行“总行—支行”扁平式经营管理模式。

    福州市商行早期的信息化建设多是由信息技术部门或者IT部门主导推动的，现如今，这个局面已经发生了变化。由于业务需求是基础，很多重大的信息化建设项目是业务需求驱动的，信息化建设需要适应银行的总体要求，适应业务的发展要求。

    随着社会进步和发展，不管是小企业抑或是大公司，越来越多的数据信息需要IT系统的支撑，企业的经营，员工的日常工作都越来越离不开计算机的辅助和参与。

    福州市商行自然也不例外，并且其具有作为银行业所独特的情况和要求：单位领导经常因为工作的原因出差在外，因此，领导在外及时进行对公文的审阅、批复，以及对机关工作进行监控、审核成为办公自动化应用中的一个重要需求。

    另外，还有部分银行工作人员需要长期在外工作，这时他们同样需要访问本银行的综合办公管理信息系统，进行必要的文件处理和获取有关的业务信息和其他资料。因此，远程/移动办公将成为福州商业银行综合办公管理信息系统中的一个重要组成部分。

3    城市商业银行选择SSL VPN远程安全接入方案的必要性分析

    福州商业银行提出的“远程／移动办公”应该怎样来解决呢？

    在传统的企业网络配置中，要进行异地局域网之间的互连，传统的方法是租用DDN(数字数据网)专线或帧中继。这样的通讯方案必然导致高昂的网络通讯/维护费用。对于移动用户(移动办公人员)与远端个人用户而言，一般通过拨号线路(Internet)进入企业的局域网，而这样必然带来安全上的隐患。

    这时，福州商业银行的信息部想到了应用虚拟专用网技术，即VPN虚拟专用网络（Virtual Private Network，VPN）又称为虚拟私人网络，是一种常用于连接中、大型企业或团体与团体间的私人网络的通讯方法。虚拟专用网不是真的专用网络，但却能依靠ISP（Internet服务提供商）和其它NSP（网络服务提供商），在公用网络中建立专用的数据通信网络的技术。在虚拟专用网中，任意两个节点之间的连接并没有传统专网所需的端到端的物理链路，而是利用某种公众网的资源动态如Internet、ATM(异步传输模式〉、Frame Relay (帧中继)等之上的逻辑网络组成，用户数据在逻辑链路中传输。

    对于福州市商行来说，使用VPN有如下好处：

    1．降低成本——通过公用网来建立VPN，就可以节省大量的通信费用，而不必投入大量的人力和物力去安装和维护WAN(广域网)设备和远程访问设备。

    2．传输数据安全可靠——虚拟专用网产品均采用加密及身份验证等安全技术，保证连接用户的可靠性及传输数据的安全和保密性。

    3．连接方便灵活——用户如果想与合作伙伴联网，如果没有虚拟专用网，双方的信息技术部门就必须协商如何在双方之间建立租用线路或帧中继线路，有了虚拟专用网之后，只需双方配置安全连接信息即可。

    4．完全控制——虚拟专用网使用户可以利用ISP的设施和服务，同时又完全掌握着自己网络的控制权。用户只利用ISP提供的网络资源，对于其它的安全设置、网络管理变化可由自己管理。在企业内部也可以自己建立虚拟专用网。

    在VPN领域有2种主流的产品，即IPSec VPN和SSL VPN。IPSec VPN从诞生之日开始，即主要用来解决网对网互联的问题，即主要用来解决公司的分支机构和总公司互联之用，在使用IPSec VPN解决移动／远程办公时，由于需要安装客户端软件，该软件对不同操作系统存在兼容性问题，并且可能和系统已有的软件冲突，而且需要用户手工配置该软件具体参数，不能对接入用户做详细的授权等等问题，导致IPSec VPN技术不能满足福州商业银行的移动／远程办公需求。

    相应的SSLVPN作为近几年成熟起来的技术，该技术提出之时，就完美的满足了移动／远程办公要求，解决了IPSec VPN在此环境下遇到的所有问题。

    从概念角度来说，SSL VPN即指采用SSL （Security Socket Layer）协议来实现远程接入的一种新型VPN技术。SSL协议是网景公司提出的基于WEB应用的安全协议，它包括：服务器认证、客户认证（可选）、SSL链路上的数据完整性和SSL链路上的数据保密性。对于内、外部应用来说，使用SSL可保证信息的真实性、完整性和保密性。目前SSL 协议被广泛应用于各种浏览器应用，也可以应用于Outlook等使用TCP协议传输数据的C/S应用。正因为SSL 协议被内置于IE等浏览器中，使用SSL 协议进行认证和数据加密的SSL VPN就可以免于安装客户端。相对于传统的IPSEC VPN而言，SSL VPN具有部署简单，无客户端，维护成本低，网络适应强等特点，这两种类型的VPN之间的差别就类似C/S构架和B/S构架的区别。