金融行業(yè)移動辦公網絡解決方案

1、金融行業(yè)移動辦公網絡解決方案、八刖言科學技術是第一生產力，社會的進步與發(fā)展總是離不開科技的推動，從工業(yè)時代到電氣時代 再到現在的信息時代，科學技術的力量掀起了社會的革命。在九十年代伴隨著計算機信息技 術的迅猛發(fā)展，計算機網絡帶來信息科學技術的革命，二十年前我們獲得信息的途徑可能僅 僅局限于報紙、廣播、電視等傳統(tǒng)的媒體，但是在Internet由教育和科研領域擴展到整個社 會領域之后，在短短的三年時間里發(fā)生了由量變到質變的巨大變化，尤其是WWW技術的 發(fā)展，猶如一場”信息風暴”席卷全球，計算機網絡成為了現代社會計算機技術不可忽視的發(fā) 展方向，也正因為由于Internet技術具有的資源共享性、信息快

2、捷性、時空距離縮短性等， 因此計算機信息技術在當代的商務辦公中扮演著不可替代的重要角色。世界的步伐跨入21世紀，隨著全球信息化的浪潮及寬帶網絡建設的飛速發(fā)展，具有跨區(qū)域 遠程辦公及內部信息平臺遠程共享的企業(yè)也是越來越多，并且這種企業(yè)運營模式也逐漸成為 現代企業(yè)的”需要”和”必要”。另外，企業(yè)之間的業(yè)務來往也越來越多的依賴于網絡；在經歷了 2003年春天的一場突發(fā)的SARS侵襲以后，企業(yè)開始了這樣的反思：在面臨風險 社會不可預測的短期危機時，企業(yè)怎樣才能保證商務永續(xù)的運營狀態(tài)，使企業(yè)在非常時期的 損失能夠降到最低，或從根本上避免損失。由此，信息技術的本質與價值通過SARS效應在 人們心中有了更深

3、的認識：信息技術不僅為人們通暢和拓寬了各種信息渠道，也為人們的生 活提供著方方面面的指導，為各個行業(yè)應對SARS提供支持，對企業(yè)向前發(fā)展起著推動與促 進的作用。因此，移動辦公已經成為不可或缺的辦公形式，移動辦公人員通過各種網絡接入方式使計算 機通過Internet接入到公司內部網絡。為了實現移動辦公人員安全地訪問公司內部網絡系統(tǒng)， 必須在移動辦公人員接入內部網絡時進行身份認證，并且需要對移動用戶同內部網絡之間的 通信數據進行加密以保證數據在傳輸過程中的安全。現在根據不同用戶應用的需要我們提出 了基于第三層IP層的IPSecVPN技術的解決方案，實現企業(yè)網絡的安全運作。1.網絡現狀及需求分析1.

4、1客戶項目背景分析從金融行業(yè)的角度來看，推廣以網絡化，信息化為標志的金融業(yè)務，是金融行業(yè)領先與其他 行業(yè)的關鍵點，其業(yè)務的創(chuàng)新建立在不斷進步的網絡技術之上。反之，建立在信息技術基礎 上的新金融業(yè)務，又將促進金融傳統(tǒng)業(yè)務，傳統(tǒng)產品和傳統(tǒng)服務方式的轉變。從而極大提供 金融業(yè)的勞動生產率和服務效率，有效改進金融微觀與宏觀的經濟管理，甚至催生新的金融 生產方式與新業(yè)務。因此，商務永繼的概念在代表著經濟命脈的金融行業(yè)中則體現出了更多 的價值與意義。銀行目前的業(yè)務有：核心業(yè)務（儲蓄和信貸）、OA辦公自動化、中間業(yè)務（與企業(yè)之間的聯(lián)網）、網上銀行、電 話銀行等。其中大部分都是生產業(yè)務，只有OA辦公自動化是金

5、融內部的支撐管理系統(tǒng)。 OA辦公自動化在金融部門的管理中起到了非常重要的作用，它主要采用先進的計算機技術， 將各種現代開發(fā)工具與設計思想組成完整的人機信息處理系統(tǒng)，并利用其處理各部門的辦公 業(yè)務。實現用戶內部信息的網上共享與交流，同時盡可能地挖掘已有的各種信息資源、業(yè)務 數據，輔助領導決策，提高用戶的辦公效率和辦公質量。系統(tǒng)的目標是實現辦公自動化，提 高協(xié)同工作的效率，使組織中的各項工作均處在有效的管理和監(jiān)控之下；并對各種知識信息 進行積累，為各級領導的決策提供有效的支持。正是由于辦公系統(tǒng)對金融部門的正常運行管理是非常重要的，越來越多的運行管理事宜需要 在OA系統(tǒng)中完成，因此當部門的領導或是員

6、工出差在外地的時候，經常造成許多的事情被 擱置或是拖延。因此，移動辦公被推上了前臺。一些新技術的出現使移動辦公成為可能，人們可以不受位置的限制，在辦公室外，甚至在移 動過程中，隨時工作和獲取信息。移動辦公將為人們的工作帶來哪些具體的好處？ 移動辦公就是為人們提供一些工具，使他們可以在任何時候、任何地點開展工作。近幾年， 移動電話已經從少數有錢人專享的奢侈品轉變?yōu)榇蟊姷耐ㄐ殴ぞ?。此外，大量的計算設備也 開始轉為便攜式，使人們能夠在辦公室外接收e-mail、創(chuàng)建文件，甚至召開會議。移動設備 和手機的出現開創(chuàng)了種種新的可能性。移動辦公最直接的好處就是將人們從桌面辦公解放出來。辦公室的工作方式，最初產

7、生自電 話和PC機的接入需求。這種工作方式若干年來一直非常有效。但同時也有這樣一些情況， 比如在旅行中或者在家辦公時，這些時候人們離開了辦公桌，但是仍然需要接進公司系統(tǒng)。 移動技術的出現，使人們可以自由地選擇最佳的地點和方式開展工作。提高勞動生產力，通過移動辦公，人們在旅途中耗費的時間也可以被有效利用了。如今市場 上有一系列的產品和服務，可以使人們在移動過程中處理e-mail、接入公司的數據庫或者編 輯公文。對這種便利所產生的好處進行簡單的計算，結果會是相當驚人的。假如一名公司雇 員每周花費10個小時在旅行中，那么每年就是500多個小時，由此而損失的潛在生產力價 值將達到數十萬元。實時辦公，移

8、動辦公意味著銷售人員或者其他需要在客戶所在地工作的雇員可以一直保持與 公司的聯(lián)系，由此獲得對各種問題的直接回復，或者直接登錄公司系統(tǒng)，獲得最新的信息， 而不必返回辦公室登錄Notes、更新數據庫。這樣他們可以為客戶提供更完全的服務。例如， 銷售人員不僅可以通過膝上電腦展示一款產品，還可以接入公司系統(tǒng)，報給客戶最新的價格 和庫存數，甚至當場下定單。這意味著更高的銷售額和更好的客戶服務。2.解決方案介紹2.1整體解決方案2.1.1解決方案網絡拓撲VPN（Virtual Private Network虛擬專用網絡）技術能夠實現異地網絡通過公用網絡安全的互 聯(lián)，因此移動用戶可以使用VPN客戶端軟件同布

9、設在公司網絡入口處的VPN服務器之間建 立安全的VPN連接，從而實現安全的移動辦公。移動辦公VPN解決方案典型網絡模式圖：上圖所示網絡中，共有五個部分，包括：可信任網絡，一般是公司總部內網Intranet，其中包括：網絡接入設備（路由器、交換機等）VPN網關設備，用戶管理和認證服務器局域網絡應用服務器和工作站不可信任網絡，員工在網吧或者其他公共場所上網，或者通過寬帶網絡接入Internet，而又 沒有采取任何安全措施的辦事處，其中需要登錄Intranet的計算機需要安裝VPN客戶端軟 件。移動辦公用戶，帶著筆記本出差的員工，筆記本上安裝VPN客戶端軟件；家庭用戶或者只有少數聯(lián)網計算機的辦事處，

10、計算機上安裝VPN客戶端軟件； 為金融組建VPN提供網絡互聯(lián)基礎設施的公用網絡，比如Internet。在這樣的網絡環(huán)境中，金融的Intranet透過Internet實現網絡的延伸，保證移動員工或者用 戶在任何地點都能夠進入金融Intranet，必須使用VPN保證金融Intranet延伸的安全性，具 體體現在五個方面：可用性：保證異地用戶能夠訪問金融內部局域網（Intranet），就相當于內部網的一臺主機； 機密性：使用了 DES或是3DES等先進的加密算法，保證訪問金融Intranet的數據在Internet 傳輸的過程中不被人竊??；認證性：保證只有合法的用戶可以訪問Intranet；采用先進

11、的數字證書技術，實現雙方的身 份認證。用戶的數字證書存儲在安全的存儲介質（IC卡）中。服務器可以認證客戶端的用 戶的身份，防止假冒攻擊和非法訪問；客戶端也可以認證服務器的身份，保證服務器的真實 性。訪問控制：VPN網關能夠控制用戶只訪問有權限訪問的內容；完整性：保證金融Intranet數據在Internet上傳輸過程中不被竄改；移動辦公的員工帶著筆記本電腦的”馬路戰(zhàn)士”可以安全地與金融網絡進行通信。他們可以通過筆記本上的 VPN客戶端軟件同公司總部的VPN網關之間建立的VPN隧道實現遠程登錄NT域、瀏覽 Intranet網站、FTP、收發(fā)電子郵件、瀏覽文件、甚至打印通過公共Internet線路

12、傳送的所 有加密信息。用戶只需簡單地加載軟件配合身份認證的IC卡（硬件），導入Intranet管理人 員為其提供的預先創(chuàng)建的安全配置文件。一旦上路，他們可以撥入本地ISP業(yè)務接入點， 金融網絡邊界內的任何通信都將自動加密。家庭/遠程辦公室用戶-安全地遠程接入Intranet在遠程銷售辦事處中的3個用戶-合同工、家中小孩生病的員工、凌晨1點還在工作的高級 經理，都可以安全加密地通過本地ISP撥號、xDSL、線纜調制解調器或ISDN連接接入 Internet，然后通過VPN安全得接入公司內部的Intranet。Extranet用戶接入Extranet用戶可以在自己的計算機上安裝VPN客戶端軟件，導

13、入公司為其頒發(fā)的VPN安全 配置文件，不管其采用何種Internet連接機制。一旦導入了配置，然后點擊兩次鼠標，他們 就可以安全地進入您的Intranet，并且Extranet用戶在Intranet中只能訪問您為其分配的權限 之內的內容，Extranet用戶的一舉一動在Intranet中都有記錄，這樣即實現同合作伙伴的信 息共享，而且整個過程很安全很簡單！邁普公司的網絡安全產品遵循邁普公司秉承狗貼近用戶”的開發(fā)策略，一切從方便用戶使用 角度出發(fā)，即保證用戶網絡系統(tǒng)的安全，同時最大化方便用戶使用，使用邁普網絡安全系列 產品組建移動辦公VPN網絡具有如下特點：對端用戶是完全透明的，不影響原有的網絡

14、應用；支持各種用戶接入方式，支持動態(tài)IP。支持CA認證；無需修改客戶端應用軟件，只需通過啟動、停止隧道就可建立或撤銷安全連接；適用于各種 WINDOWS 操作系統(tǒng)，如 WINDOWS9X、WINDOWS NT、WINDOWS2000 Professional o采用標準IPSec/IKE協(xié)議實現VPN，支持證書、預共享密鑰管理。用戶認證系統(tǒng)支持AAA、LDAP等廣泛應用的認證技術，實現金融用戶認證集中管理。 用戶可選采用智能卡或者USB鑰匙卡或者口令作為用戶認證憑證，安全方便靈活。安裝簡單，操作方便，界面簡潔，簡單易用。既可以通過客戶端圖形界面實現管理，也可以采用集中管理方式。低成本，性能價格

15、比高，較小的投資即可獲取極高的安全保證。2.2關鍵點解決方案第一，IPSEC-VPN技術保證連通性和數據的安全性。VPN （Virtual Private Network）技術，也就是虛擬專用網技術，是一種利用公共網絡（如 Internet）構造私有網絡的一種技術，要架構這種VPN，需要使用數據包隧道傳輸和加解密技術，通?？衫斫鉃樗淼?、認證和密碼加解密技術。最為通俗的形容就是好像在源端與目的 端架設了一個堅固（堅固的含義就是外界力量不能破壞）的石油管道（隧道），讓石油（信 息）絲毫不泄漏的從源端流到目的端，隧道是由隧道協(xié)議來完成建立的，通常的隧道協(xié)議包 括二層隧道協(xié)議（比如PPTP點對點隧道協(xié)

16、議、L2F二層轉發(fā)協(xié)議、L2TP二層 隧道協(xié)議）和三層隧道協(xié)議（比如GRE通用路由封裝協(xié)議、IPSecIP安全協(xié)議）， 而最通用的則是IPSec協(xié)議。IPSec協(xié)議是一組開放協(xié)議的總稱，通過AH （Authentication Header驗證頭）和ESP（Encapsulating Security Payload封裝安全載荷）這兩個安全協(xié)議在特定的通信方之間的IP層通過數據加密與數據源驗證，來保證數據包在Internet網上 傳輸時的私有性、完整性和真實性，一般來說采用了 IPSec安全協(xié)議保護并采用隧道傳輸模 式的數據報文格式如下：第二，數字證書技術保證對進入企業(yè)的終端訪問權限嚴格限制，

17、對用戶采用嚴格的認證、授 權、審計機制。移動辦公系統(tǒng)通過在中心使用邁普公司的CMS證書管理系統(tǒng)，在末端節(jié)點使用身份證書IC 卡，支持X.509v3標準的證書，應用系統(tǒng)的用戶身份全部采用數字證書進行認證，提高了應 用系統(tǒng)的安全性。移動辦公系統(tǒng)可以與MPSec CMS證書管理系統(tǒng)集成，由CMS系統(tǒng)為應 用系統(tǒng)的用戶頒發(fā)數字證書。并且移動辦公系統(tǒng)還可以具有良好的兼容性，可以支持其他 CA頒發(fā)的數字證書。2.3方案給客戶帶來的好處使用IPSEC VPN技術的邁普移動辦公解決方案提供了極好的安全性，靈活性及使用的方便 性，為金融用戶帶來了巨大好處：A、安全。IPSEC VPN提供了很高的安全性，利用先進的加密技術（DES，3DES）和認證 協(xié)議拒絕非授權用戶對網絡信息的訪問。B、與寬帶技術的兼容性。VPN可以與各種移動寬帶技術進行互操作，如Xdsl和無線上網 技術（CDMA1X，GPRS）。C、降低成本。借助ISP建立VPN，可以節(jié)省大量的通信費用及遠程訪問設備。D、易于擴展。如果希望擴大VPN的容量和覆蓋范圍。需要用戶來做的事情很少。而且能 夠很容易的快速實現。E、將來的增值服務。將來可以在移動辦公上實現VOIP的功能，這樣