作为国家信息化建设的重要行业，中国建设银行某市分行通过网点、自助设备等渠道办理银行核心业务，以及与外联单位联网实时办理银行代理业务等网络远程接入的需求，都早已通过DDN专线等解决方案实现。随着建设银行某市分行办公自动化的发展，企业信息资源越来越多地通过网络传送和共享，因此银行内部员工的工作对电脑网络的依赖性越来越大。尤其是建行某市分行的管理人员，每天办公都需要通过银行的OA系统，及时浏览分行发布的通知、内部公告等，而且还需要通过内部的邮件系统收发内部邮件和电子文档。这些，都离不开银行内部办公网、离不开办公场所。若管理人员遇到在外地出差等情况，则无法连接入银行的办公网。如果在外出差也能像坐在办公室里面一样远程办公，将会大大提高银行的管理效率。

　　中国建设银行某市分行在实施DCC系统之前，核心柜面系统主机NUMA-Q 2000提供有专门的远程拨号访问工具，HP小型机也有其专用远程支持工具，但在DCC系统上线之后，建行某市分行几个重要的核心系统如大前置与文件服务器、特色业务平台、历史数据平台等均采用IBM RS6000 P系列小型机，该服务器本身不附带远程支持工具。为了能够对以上核心系统提供远程技术支持，建行某市分行需要建立一个统一的远程支持技术平台。

　　此外，建行某市分行下属有几十个固定的分支机构，每个分支机构都是通过申请专线连接到核心系统。随着分行业务的拓展，需要建立一些临时性的分支机构。这些分支机构地理位置较偏远，申请专线代价太高，且难以铺设。但由于管理和业务需要，这些分支机构需要远程接入建行内部应用系统，如建行某市分行的报表系统和业务系统。另外，建行的客户经理以及和建行合作关系密切的VIP客户，有时也需要远程接入建行某市分行内部应用系统办理相关业务，如：上门收款业务，委托划款业务等。

　　 SINFOR SC集中安全管理平台的VPN解决方案

    由于银行系统涉及客户个人隐私和银行金融机密，因此。基于VPN网络互连的安全性是建行某市分行在选择VPN产品时首要考虑的因素。深信服科技在VPN数据安全上有多种先进的技术来保证安全性。

　　 首先是隧道的安全。深信服科技的所有VPN产品都采用了国际先进的AES 128位加密技术加密隧道，防止了数据在隧道内被黑客窃取和侦听。并支持DES/3DES以及国密办指定的多种加密算法，高强度的加密确保了建行某市分行基于公网上数据传送的安全。

　　 其次是接入的安全。除了支持基于用户账号的Radius身份验证外，SINFOR SC VPN产品采用了深信服科技专利技术－基于硬件身份的鉴权体系（专利号：031141803）。将用户账号与其所在计算机硬件信息进行绑定，即便用户账号意外泄露，由于非法用户无法使用与此账号事先绑定的那台计算机，不会因此造成非法用户接入。对于远程移动办公人员，由于计算机存在失窃或被非法使用的可能性，深信服科技还对移动用户采用了基于硬件USB KEY的身份验证机制，利用DKEY这种USB的便携设备的唯一ID号作为其使用VPN的许可方式，使得只有指定人员使用指定账号及指定计算机接入总部访问指定资源成为可能，极大的提高了建行某市分行VPN的整体安全性。

　　 最后是接入的安全。传统的VPN在接入VPN网络以后，就可以随意访问内网资源。这种不受限制的访问，容易造成极大的安全隐患。SINFOR SC VPN通过在VPN系统中更细致的内网权限设置，以及针对不同用户访问相应权限的资源，完全杜绝了这类的安全隐患。并且，针对临时客户可以启用过期时间。一旦超过时间，连接则失效。这使得建行某市分行在部署规划VPN远程连接的时更灵活安全地部署VPN网络。

　　通过SINFOR SC VPN集中安全管理平台的解决方案，无论是建行管理人员、客户经理还是VIP客户，只要以任何一种方式（CDMA、GPRS、ADSL、WLAN、小区宽带等）接入Internet、便可以安全快捷方便的接入建行某市分行总部局域网访问相应资源。实现了银行领导远程移动办公、组建远程支持系统平台和客户经理、VIP用户连接建行某市分行内部办公网的要求，提高了建行某市分行的工作效率，推进了建行办公自动化的进一步发展。

　　 SINFOR SC集中安全管理平台技术特点

     快速集中配置和部署，集中管理，集中维护通过通过SC GUI界面，管理员可以在任何地方配置所有纳入到SC平台的整个VPN产品。可视化的策略编辑器，可以让一个管理员轻松地部署和维护上百个网络节点，节省了大量人力成本。所有配置都经SSL协议加密传输传送到策略服务器，并支持网关和移动的离线配置，节省了绝大多数现场支持开销，为企业管理大中型网络节约了成本。

　　实时、可视化的集中监控管理员可以从任何地方通过SC监控器实时查看和维护所有SC平台下的VPN网关和移动用户客户端，以及它们的运行状况和VPN链路状态。通过SC平台，管理员还可以查看任何一台设备的实时日志和历史日志，从而找出设备故障原因，并通过SC平台远程维护。

　　整网集中、智能升级当VPN产品有新特性或新版本发布时，管理员在中心策略服务器导入升级包。SC所辖的所有设备和软件客户端会自动根据自己的当前版本下载对应的升级包进行升级。升级包的下载支持分片传送，断点续传。管理员可以为每个设备或每个区域的设备制定单独的升级计划，这样可以避免同时升级导致的带宽拥塞问题。升级结束，可以通过报表查看每个设备和软件客户端的升级情况，从而修改和调整升级计划保证及时准确的完成整网升级。SC的自动升级是一个自动、可控、有序、稳定的智能升级过程。

　　建行案例点评：

　　作为国家金融行业的支柱，建设银行某市分行网络的安全性不言而喻，所以对于网络产品的安全性考核自然要严格的多。深信服科技凭借在VPN领域的多项专利技术，以及SC产品的集中管理、实时监控和整网维护智能升级等特点，最终取得了建行某市分行的信赖，成为银行界集中管理以及移动办公安全接入的典型案例。

　　采用了SINFOR SC的安全VPN管理平台，建行某市分行解决了其银行内部员工远程安全接入银行内部网络移动办公的需要，并实现了DDN无法解决的固定和临时节点分支机构灵活接入的问题。整个VPN网络的部署仅用了两天的时间。SINFOR SC的集中管理、集中配置以及实时监控器和丰富的日志功能深得建行某市分行信息部IT管理人员的赞赏。"集中管理和实时监控为我们节省了大量的维护成本，实现建行真正意义上的移动办公。我们的效率提高了，也带动了建行信息化建设上了新的一个台阶！"
　
技术文档：

　　Sinfor Secure Center集中安全管理中心大型网络、集团信息中心的选择

　　VPN产品与其他网络产品相比、有一个非常显著的特点，就是VPN产品在应用中的部署一定是跨地域的、分布式的，如何将这个跨地域的网络集中、统一的管理起来，并有效的进行部署和升级，保障整网的安全和可持续发展？Sinfor VPN集中安全管理中心（Secure Center）能够很好的解决这些问题。

　　快速集中配置和部署，集中管理，集中维护管理员可以从任何地方通过SC GUI界面配置所有纳入到SC平台的整网VPN产品，包括DLAN VPN软件、M5400/M5100/S5100硬件网关、移动客户端等。管理员还可以配置任何网关间的安全策略数据库和每个移动用户的安全策略，可以自由组合成星型、网状或混合网络。通过可视化的策略编辑器，一个管理员就可以同时部署和维护上百个网络节点，节省了大量人力成本。所有配置都可以通过远程经SSL协议加密传输，并且支持对网关和客户端的离线配置，因此节省了绝大多数现场支持开销，为企业管理大中型网络节约了成本。网络规模越大，使用SC所带来的管理成本的降低就越明显。

　 实时、可视化的集中监控管理员可以从任何地方通过SC监控器实时查看和维护所有SC平台下的VPN网关和移动用户客户端，以及它们的运行状况和VPN链路状态。通过SC平台，管理员还可以查看任何一台设备的实时日志和历史日志，从而找出设备故障原因，并通过SC平台远程维护。如果需要监控的网关数量众多，还能够将需要监控的网关分组存放，平时只监控重要节点运行状况。采用智能触发技术，保证只有处于实时监控状态的VPN设备才上报状态，就节省了SC平台的带宽占用。支持精简模式和网络拓扑模式两种监控视图，并支持存盘和打印网络拓扑和监控报表。

　　整网集中、智能升级当VPN产品有新特性或新版本发布时，管理员在中心策略服务器导入升级包。SC所辖的所有设备和软件客户端会自动根据自己的当前版本下载对应的升级包进行升级。升级包的下载支持分片传送，断点续传。管理员可以为每个设备或每个区域的设备制定单独的升级计划，这样可以避免同时升级导致的带宽拥塞问题。升级结束，可以通过报表查看每个设备和软件客户端的升级情况，从而修改和调整升级计划保证及时准确的完成整网升级。SC的自动升级是一个自动、可控、有序、稳定的智能升级过程。