随着商业银行开放步伐的加快、竞争的日趋激烈和互联网的逐步普及,如何向客户提供安全、高效和富有特色的网上银行服务,无疑成为了商业银行拓展新兴业务,增加竞争能力的关键之一。但是,增加网上银行的安全性,个性化,却往往会带来的IT投资的居高不下,否则,就会造成效率的丧失,效果适得其反。不过,最近,该银行采用了国际网络流量控制管理领域顶尖的F5公司的网上银行SSL加速方案,一举打破了以上行业应用的一系列难题,让在安全性、个性化和高效率之间获得了一个最佳的平衡。
由F5公司提供的BIG-IP 2400和SSl加速器e-Commerce构筑的银行网上银行系统,不仅采用外置式SSL加速设备实现了统一认证和减轻服务器负载;而且还采用HTTPS方式并增加了对中国特有的自建CA中心的支持,建立双向认证体系;与此同时,还解决了南北电信分离后的互连互通问题给客户带来的影响,实现了用户访问最佳站点和链路备份的双重功能;使系统能够真正处理3000TPS以上的HTTPS用户请求,从而在控制成本、增加安全性的的前提下,提高了系统效率,并增加了个性化应用,为中国商业银行网上银行提供了一个不可多得经典成功案例和可供借鉴的宝贵经验。
网上银行的两难
随着互联网的日益普及,开展网上银行业务,不仅是大势所趋,也是商业银行赢得未来竞争优势的关键和重点。许多商业银因此开展了网上银行业务,并推出了创新和个性化的服务。但是,与此同时,相伴网络而生的网络犯罪、黑客攻击、病毒、服务器故障等安全事件也层出不穷,让网上银行的安全问题提上日程。而增加网络安全系数,如防火墙,软硬件病毒防护等等,必然会增加服务器的负担,从而使系统效率大大降低。当然,我们可以采取增加服务器的方法,但这样成本负担未免日益高企。
另一方面,中国的金融行业和网络环境,都具有一定中国特色,也使网上银行的系统面临挑战。比如,中国商业银行都需要支持自建CA中心;比如,中国南北电信拆分而导致的互连互通问题。解决不好,往往直接影响了网上银行的服务品质。
基于以上考虑,某银行决定采用一套有针对性的方案,来提高网上银行的安全性、效率和个性化,力图突破网上银行面临的选择两难问题。
据了解,该银行始建于1908年,是中国早期四大银行之一,也是中国早期的发钞行之一。1949年以后,除香港分行仍继续营业外,该银行国内业务分别并入当地中国人民银行和中国人民建设银行。为适应中国经济体制改革和发展,1986年该银行作为金融改革的试点,经国务院批准重新组建,1987年重新组建后的该银行正式对外营业,成为中国第一家全国性的国有股份制商业银行。
该银行组建伊始就按照市场的客观要求,建立新型银企关系,率先在我国金融领域引入竞争机制。该银行引进了国外商业银行先进的管理机制和经验,建立、完善和创新资产负债管理制度、信贷资产质量监控制度、财务指标分析体系制度等,有效地贯彻了现代商业银行全面自律、稳健经营、追求效益的经营管理原则,各项业务和机构建设持续健康地发展。该银行以一个法人、两级管理、分级授权、集中授信等制度为框架,建立了一整套保障商业银行业务健康发展的总分行管理制度。目前在我国86个大中城市设有分支行,共有营业网点近2700多个,全行员工5万多人。
为赢得未来竞争优势,银行决定立新的网上银行系统,考虑到传输的安全性,故将采用HTTPS方式并建立独立的该银行CA中心,并颁发客户证书,建立双向认证体系;为了保证今后系统的稳定性和可扩展性,故需要采用应用流量管理器实现服务器负载均衡,同时希望采用外置式SSL加速设备实现统一认证和减轻服务器负载。
F5提供加速引擎
针对该银行网上银行的需求特点,行业特点和个性特征,F5经过广泛的调查论证,并借助自身丰富的行业实践经验,总结出该银行网上银行的网络流量管理需求,并采取了有效的应对策略。
DNS重定向功能,解决南北电信分拆带来的互连互通问题。DNS重定向是基于对域名解析,根据设定的访问策略从两个网银接入点中自动选择最优的客户接入点,使不同地区的客户能够从各自最优的接入点访问网上银行。
负载均衡功能,保持网上银行服务不中断。根据预设的负载策略,将不同的访问请求分发到相应的服务器。并能够通过规定方式检查服务器是否正常提供相应的服务,若发现某个服务出现异常,则采用设定的方案进行隔离,保证正常服务不受其影响。要求在正常情况下两台或多台服务器的负载基本相同,在某台服务器停机的情况下透明的容错,保证关键服务的持续,提供特别的会话保持能力, 可以根据不同应用的特点保证个别用户的访问会定位在特定的服务器,只有在这台服务器出现故障时再将访问导向到其他服务器, 并且和中间键服务器配合, 避免用户访问会话的丢失。
SSL加速,提高服务器的服务能力。避免SSL运算对服务器造成的额外压力,提高服务器的服务能力, 保证电子商务访问的安全可靠。
LDAP CRL分布,支持银行自建CA中心。SSL加速设备必须支持通过LDAP发布CRL,以实现对作废客户证书的控制。
高可靠性,保证服务不间断。通过HA等方式保证系统的7x24小时服务,保证系统的高可靠性。
解决方案简介及示意拓扑
如上所示,最后的方案采用两台3DNS提供广域网负载均衡,通过动态域名解析引导不同的用户访问电信、网通两个站点。其中,两台3DNS同时工作,但两者之间会实时通讯同步配置,用户访问任意一台3DNS均可以得到准确的域名响应。这样,用户在访问时,相当于系统会自动选择对用户最为有效的网络接入,避免南北电信的互连互通问题。
进行网上交易,势必需要使用SSL加密用户数据。F5公司提供硬件的SSL加密解密方案,通过转移大量占用 CPU 的 SSL 协商, 提高 SSL 流量和改善Web 服务器性能。通过优化服务器处理更多的通信量来降低成本。由于SSL加速设备采用外置堆叠方式,并采用BIG-IP进行负载均衡,所以理论上可以通过简单的增加SSL加速设备的数量提高并发SSL处理能力。更为重要的是,外置SSL加速设备,不会增加服务器的额外负担。在提高安全性的同时,服务器效率依旧。与此同时,F5的SSL加速设备支持LDAP发布CRL,所以可以和CA中心实现动态客户证书作废功能,从而支持银行自建CA中心。
由于综合了多种高级的流量管理技术,并具有针对性,经公开测试和系统招标,该银行最终决定采用F5公司提供的BIG-IP 2400和SSl加速器e-Commerce构筑整个系统。
系统建成后,通过F5极有针对性的网络安全、加速解决方案,该银行网上银一举突破了网上银行面临的效率和成本,安全性和个性化问题,从而能够为用户提供高效、安全和不间断的服务,增加了客户服务能力和业务能力,为未来在市场竞争中赢得优势,奠定了很好的基础。同时,也为中国网上银行的信息化,提供了一个生动的标准和案例。
网友评论