深信服SSL VPN助中銀基金"風險控制"

2024-09-23 09:39:10 1

    中銀基金管理有限公司是由中國銀行股份有限公司和貝萊德投資管理有限公司兩大全球著名領先金融品牌強強聯合組建的中外合資基金管理公司，其前身為中銀國際基金管理有限公司。中銀國際基金憑藉在基金管理卓越的業績表現在業內脫穎而出，榮獲中國非常好的風險管理基金管理公司榮譽稱號和中國投資者教育優秀獎。經中國證監會和中國商務部批准，並已在國家工商總局完成了註冊變更手續，中銀國際基金管理有限公司更名為中銀基金管理有限公司。

　　對於基金公司而言，信息化建設有著不言而喻的重要意義，幾乎所有的業務、資訊、交易都需要依託於各種業務系統及網絡。經過多年的發展，中銀基金已在總部與各分數機構建設完成了較為完備網絡及應用體系，總部內網部署有文件伺服器、辦公系統、業務系統等一系列信息化資源，實現數據集中式統一應用平臺。

　　在日常的使用中，中銀基金信息中心發現，許多基金工作人員出差或者在外調研的過程中，往往有許多立即業務需要快速的處理。但由於基金公司對於核心數據的高安全性要求，各種業務系統及辦公系統不可直接暴露在公網上，導致許多需要立即處理的業務不得不等到回到公司以後才能進行，大大影響了快速響應的要求。同時，為了保障公司網絡及各種系統的時刻暢通運轉，信息中心的工程師們即使是在外或在家，也需要有必要的技術手段連接到相關的公司內部網絡資源，實施相關的管理和維護。

　　完備的信息化建設才可保障公司的快速發展，中銀基金信息中心在意識到這個問題之後，立即著手尋求遠程接入的解決方案，並確立了三個基本原則：首先，必須滿足安全性要求，伺服器不可外置於安全域，同時對於接入用戶必須是有保證的身份確認後建立的安全隧道;其次，終端的使用必須具有良好的易用性，在外工作的基金人員需處理的事物往往要求能夠快速響應，在終端上需保證便捷性以最大的提供便利;最後，所採用的方案必須對現有的網絡改動最小，與業務系統進行良好的結合，不可影響正常應用的使用。

　　在進行一系列的調研和測試，並考量同行組網經驗後，中銀基金最終採用了深信服SSL VPN實現遠程接入，在三個原則的基礎上滿足出差人員移動辦公、信息中心人員遠程維護的需求。

　　SSL VPN是業內公認安全度高、部署靈活的一種虛擬專用網組建方式。中銀基金將SSL VPN以旁路模式部署，並進行相應的設置。僅VPN流量通過設備，其餘數據按原有方式進行傳輸，對既有網絡不會造成任何影響。

　　對於內網伺服器的發布通過SSL VPN安全發布完成，SSL VPN對外僅開放443埠，而SSL VPN本身置於出口安全設備之後，設備本身的安全是有保障的。對於接入SSL VPN加密隧道的用戶，採用嚴格的身份認證進行，SSL VPN可提供USB KEY證書、簡訊口令、動態令牌、硬體特徵碼等軟硬結合的身份認證方式，最大程度上確保了用戶身份的合法性，保證隧道的入口的安全。在用戶接入後，根據用戶的身份進行內網訪問權限的嚴格劃分，限定業務人員僅可訪問權限範圍內的應用系統，網絡維護人員可對全網網絡設備進行遠程訪問管理。

　　在用戶終端的使用上，SSL VPN便利性有著得天獨厚的優勢，有別於傳統的VPN接入方式，SSL VPN採用內置於瀏覽器的SSL協議構建安全隧道，無需在終端主機安裝客戶端軟體或進行繁雜的配置。用戶登錄SSL VPN即可如同登錄HTTPS網銀、郵箱一樣便利，符合日常使用習慣。

　　中銀基金通過SSL VPN平臺的建設，構建起安全、快速、便利的移動辦公平臺及遠程維護平臺，在發展的道路上詮釋信息化建設的非常好的風險控制。■