第一篇:网上银行在企业的应用分析
龙源期刊网 http://.cn
网上银行在企业的应用分析
作者:杜 鹏
来源:《科学与管理》2005年第02期
摘 要:为了全面提升企业管理水平,充分利用网络技术带来的进步,网上银行正走入企业资金管理的视野。本文以齐鲁石化公司为例,对齐鲁石化公司资金结算网络的现状进行分析,论证了大型企业实施网上银行的可能性和利弊,根据齐鲁石化公司的情况提出了实施方案,最后讨论了应用网上银行应注意的问题。
第二篇:网上银行系统应用交付建设案例分析
网上银行系统应用交付建设案例分析
随着互联网和电子商务的发展,越来越多的银行客户喜欢在网上操作银行业务,因此,在各大银行中,网上银行的建设都是重中之重的一个系统。并且,作为一个对Internet开放的电子渠道,在网上银行建设中会面临各种复杂的问题。本节就以银行网上银行建设作为一个案例,讨论应用交付网络在银行新一代数据中心建设中的主要作用以及建设规划。
在网上银行建设中,可能使用F5应用交付网络中的以下产品和技术:
BIG-IP GTM:用于数据中心虚拟化建设,通过GTM的统一域名解析,提供网上银行用户的统一接入点。隐藏实际多个物理数据中心概念,实现多数据中心的并行处理和灾难备份。并且通过智能判断实现用户就近接入,提高客户体验。
BIG-IP LC:用于链路虚拟化建设,通过LC的统一域名解析和多链路接入处理,提供网上银行用户的统一接入点。隐藏实际多条物理线路的概念,实现多链路的并行处理和故障备份。并通过智能判断实现用户的优先链路选择,提高客户体验。
BIG-IP LTM:用于应用虚拟化建设,通过LTM对服务器应用的虚拟化处理,在同一数据中心中对网上银行用户提供同一的访问地址。隐藏实际多台物理服务器的概念,实现服务器的负载均衡处理和高可用性自动切换。
BIG-IP SAM:应用于大客户的远程安全接入,通过SAM安全接入控制器,位于Internet上的客户端可以安全的接入到银行的安全区。企业客户可以通过SAM建立一条直接与银行业务服务器之间的沟通渠道,起到替换原有专线接入的效果。
BIG-IP WA:用于应用优化处理,通过WA的硬件SSL加解密功能、HTTP页面压缩功能和动态内容加速功能,提高远程客户的访问速度,并减小网上银行系统的Internet接入带宽。在提高客户体验的同时节省银行的Internet接入带宽费用。
BIG-IP ASM:用于Web应用安全处理,通过ASM的被动和主动安全模式,可以对已知和未知的Web应用攻击进行应用层面的安全防护。实现代码级的应用安全。
1.1 网上银行系统结构规划
在大型银行的数据中心建设中,通常设计为2个或两个以上的数据中心,数据中心之间采用Gbps以上高速连接。
根据银行的网上银行发展战略的不同,通常情况下,网上银行的系统建设分为两种部署结构,初期建设时采用单站点结构,在进一步完善的时候采用多站点结构。
1.1.1 单站点结构
单站点结构主要用于在系统建设的初期,在数据同步、后台处理的技术手段尚不完善的情况下使用。
在单站点结构中,使用一个数据中心作为网银的中心接入点,在系统的最前端,使用多台GTM设备分布在每条链路上,作为用户访问流量选择的控制设备。
在链路的接入层采用一对BIG-IP 高端设备,并安装Link Controller模块,作为系统的接入点。负责处理链路接入、NAT和安全防护,并且和GTM配合,实现接入链路应用的最大优化。高端BIG-IP LTM的理论最高吞吐能力为36Gbps,可以在较长的一段时间内满足网上银行扩展需求。
在前端接入后,采用多台防火墙设备形成防火墙负载均衡结构,多台防火墙同时工作,并通过两端BIG-IP LTM实现负载均衡和高可用性。多台防火墙可以采用同一品牌或者不同品牌的防火墙实现安全和高可用性的最大化。
在防火墙负载均衡结构后,根据业务的类型,建议采用三对BIG-IP LTM高端设备分别处理Portal,对公和个人业务实现防火墙负载均衡和服务器负载均衡。这几对BIG-IP LTM的处理基本上为混合模式,既包含四层模式也包含七层工作模式,针对不同的应用采用不同的工作模式。余下的Proxy、邮件等业务可以单独采用一对BIG-IP LTM 实现负载均衡。
在负载均衡处理的BIG-IP LTM后,可采用多台应用加速和应用安全设备(BIG-IP Web Accelerator和Application Security Manager等)实现应用加速系统,其中包括:SSL硬件加解密、HTTP页面压缩、Web应用加速等多项功能。这些设备主要以运行在七层工作模式为主,其主要目的为提高用户体验、节省带宽、减小服务器端压力和提高系统应用安全性。
在Web层到应用服务器层之间,可以选用一对F5 BIG-IP LTM设备实现对应用服务器的负载均衡,在这对BIG-IP LTM上主要以七层工作模式为主,主要实现对应用服务器的连接优化、七层会话保持等。考虑到系统的风险分担,也可以采用多台BIG-IP LTM按照业务类型进行分别处理。
1.1.2 多站点结构
当网银系统发展到一定规模时,则建议采用多站点分布式处理。
多站点分布式处理与单站点处理的主要不同点在于存在两个数据中心,但在大部分的情况下,数据库还是只能使用一个数据库作为主数据库,因此涉及到数据库远程访问的问题。根据应用的类型不同,可能存在两种方式:
Web->APP通过广域网
Web-APP通过广域网主要适合于一次客户端请求,应用服务器需要对数据库进行多次查询的应用特点。将需要多次交互才能得到结果的这部分工作在局域网内完成。减小在广域网上的多次来回以减小延迟带来的影响。
APP->DB通过广域网
APP-DB通过广域网主要适合于在应用服务器一次查询得到结果后,客户端需要多次请求才能获得全部结果的应用特点。同样的道理,将需要多次交互才能得到结果的部分在局域网内完成,减小在广域网上的多次来回以减小延迟带来的影响。
无论采用哪种方式,均可通过BIG-IP LTM或者内网GTM实现站点间的高可用性,保证在任何一个数据中心只要有同一应用的一组服务器在工作,就可以实现用户访问的不间断。
1.2 网上银行数据中心虚拟化(广域网负载均衡)
F5 BIG-IP GTM主要通过DNS 解析来实现数据中心虚拟化功能。当用户访问网上银行的各个应用的时候,首先是通过一个统一的域名进行访问。而这个域名的解析权由GTM进行控制。
在每一个数据中心,针对同样的业务,都对外提供一个IP地址服务。而GTM 则根据特定的算法给用户端的DNS 请求返回不同数据中心的地址。从而实现虚拟化的数据中
心访问控制。
在GTM内部,可以有以下算法保证用户始终访问到最佳的数据中心节点。
循环 全球可用性 LDNS持续性 应用可用性 地理分布 虚拟服务器容量 最少连接
Pkt/sec(数据包/每秒) KB/sec(千字节/每秒) 往返时间 中继段(hop) 数据包完整率
用户定义服务质量(QoS) 动态比率 LDNS循环 比率 随机
在实现优选算法的同时,GTM还将动态检查每个数据中心的业务实际运行状态。如果发现某个数据中心的某个业务出现故障,则将其和其相关业务从DNS解析选择组中去除,而只返回给客户端仍然正常工作的数据中心业务地址。
1.3 网上银行链路虚拟化(链路负载均衡)
由于采用了多条链路接入,在实现链路虚拟化的时候,必将面临将系统中的一台或多台服务器同时对多条链路提供服务的问题。在系统设计中,我们采用了F5 BIG-IP LTM/LC来实现了多出口接入。
如图:
在BIG-IP LTM/LC实现多链路接入的时候,采用了BIG-IP LTM/LC上的
AutoLastHop技术。对于每条线路,在BIG-IP LTM/LC上均配置一个与线路分配网段对应的IP地址,这些IP地址均映射到后端的一台或同一组服务器。当用户访问不同地址的时候,BIG-IP LTM/LC上将建立每个请求与来源设备Mac地址的对应关系表。即将每个用户的请求连接和上端的路由器MAC地址进行对应,在服务器数据返回的时候,则根据该对应表将返回的数据包发送到相应的路由器,避免了数据往返通路不同的问题。
通过AutoLastHop技术,BIG-IP LTM/LC得以内部的单台或者一组服务器对外映射成为多个服务IP地址和服务端口,以提供DNS解析选择。
当一个系统中没有GTM 存在时,BIG-IP LC将自行负责DNS 解析,自动将用户引导到最佳的链路上。同时,BIG-IP LC对每一条接入链路的健康状态进行检查,一旦发现某一条链路发生故障,则对外停止该链路上的所有服务地址的解析。保证用户访问的持续性。
1.4 数据中心和链路虚拟化的配合
当网上银行系统存在多个数据中心,并且一个或多个数据中心存在多条链路时,在系统设计中就会同时存在GTM 与LC。GTM与LC之间采用iQuery协议进行加密通讯。该协议采用443端口,采用标准SSL加密通讯协议对传输内容进行封装。在协议层全部采用业界标准XML进行数据传输。
通过iQuery协议,GTM可以从BIG-IP LC上获得以下主要信息:
Virtual Server定义:通过配置Auto Discovery,GTM可以自动从LC上获取所有的VS定义和Link定义,从而不需要在GTM 中对这些配置进行重新定义和配置。当在LC上进行VS的添加或删除时,GTM可以自动在配置中对这些VS进行添加和删除,以供WideIP算法进行选择。
Link Throughput: 链路的带宽使用状态,即每条链路实际使用的带宽大小,GTM获得该信息之后,可以通过带宽负载均衡算法对用户的访问请求进行动态调整分配,使每条链路的带宽使用保持平衡。同时,在GTM上也可以通过限制每条链路的使用带宽来调整分配算法,避免单条链路使用带宽达到其极限值,避免网络层丢包造成用户访问失败。该设置也适用于不同的数据中心之间的链路选择。
Link Status:链路的通断状态。即每条链路的当前健康状态。GTM获得该信息后,则可以通过链路当前的健康状态决定是否将新的用户请求分配到该链路上。如果发现链路故障,则将该链路关联的所有VS设置为不可用状态,并停止将新的用户分配到这些VS上,从而避免用户访问失败。
VS Connections: 每条链路上每个应用的当前并发连接数。GTM获得该信息后,可以通过负载均衡算法和上限设置方法平衡每条链路上各个应用的实际分配连接数,避免单个VS 在单条链路上的连接数过高而导致用户访问失败。该设置也适用于不同的数据中心之间的链路选择。
VS Kilobytes/Second: 即每条链路上的VS的流量值。GTM获得该信息后,可以通过负载均衡算法和上限设置的方法平衡每条链路上各个应用的实际适用带宽,避免单个VS在单条链路上的连接数过高而导致用户访问失败。该设置也适用于不同数据中心之间的链路选择。
在GTM 从LC上获取信息的同时,也可以驱动LC 进行 Round Trip Time算法的探测工作
当GTM 收到一个Local DNS请求时,会首先查找本地的RTT表。如果请求的Local DNS 在该表中,则直接返回RTT 值最小的链路上的VS给Local DNS。
ldns { address 61.136.178.229 cur_target_state 419446729 ttl 2419199 probe_protocol tcp path { datacenter “CNC” cur_rtt 189850 cur_hops 0 cur_completion_rate 10000 cur_last_hops 0 } path { datacenter “TEL” cur_rtt 57209 cur_hops 0 cur_completion_rate 10000 cur_last_hops 0 }
}
如果访问的Local DNS 不在表中,则先随机选择一个VS返回给Local DNS,然后通过iQuery协议通知每个DataCenter的LC对该Local DNS 进行探测。在得到返回信息后,将返回值存放在RTT 表中,以待下次使用。
1.5 减小远程访问延迟带来的影响
对于目前的网上银行业务单站点接入结构和多数银行计划中的多站点接入结构来说。将面临的最大的一个问题就是应用的跨广域网访问。
通常情况下,多数的网上银行系统都是分为3层结构:
由于网上银行的实际功能就是一个银行业务的电子渠道,因此,实际上还存在有App-主机前置的通道,由于App-主机前置的通道在各银行的处理手段不尽相同,因此,在本书中暂时不讨论此部分带来的影响,读者可以根据本书的分析方式去评估如何减小广域网访问延迟带来的影响。
在网上银行的应用结构中,最为核心的部分是数据库系统。在目前的技术手段中,还没有稳定、可靠的跨广域网并行数据库技术出现。因此,无论网上银行系统分布在多少个数据中心,其核心数据库只能是集中式的主/备部署,同时采用尽量实时复制的方式,保持主备数据库的一致性。主备数据库通常位于不同的数据中心。
当多中心并行处理的时候,可能存在有三种跨广域网的数据访问方式:
用户接入跨广域网
这种结构是最为简单的一种处理手段,采用二层链路透明传输的方式,将异地接入的Internet接入链路汇聚到一个数据中心,直接接入到F5 BIG-IP LTM,然后由BIG-IP LTM转发到后台的服务器。当服务器对请求进行处理后,将回应的请求发送到BIG-IP LTM,再通过BIG-IP LTM的Autolasthop功能,将回应的数据包转发到和请求来源相同的路由器上。再通过Internet返回给最初发起请求的客户端。
在这种结构下,实际上是利用银行的内部网络延伸了互联网接入链路。优点是处理简单,方便,比较适合于网上银行的初期建设,避免Internet本身的不稳定现象带来的用户体验问题。同时避免了应用服务器分布在多个中心带来的复杂性。其缺点是所有的用户请求并没有进行适当的处理,在占用较多的内部网络带宽的同时,对实际用户体验的提高并不是非常显著(与互联网状态较好时相比较)。
Web-APP跨广域网
在Web 跨广域网的结构时,在每个接入的数据中心至少需要有Web服务层。用户的请求直接发送到Web服务器,Web服务器对请求的内容进行处理,如果发现请求的是静态内容,就从本地直接返回,如果发现请求的是动态内容,则通过银行的内部广域网链路发送到生产中心的App服务器,App服务器查询本地的数据库服务器之后原路返回内容。
Web-App跨广域网带来的一个主要优点是静态内容可以直接从用户就近接入的数据中心直接返回给客户端,提高客户体验,同时减小了内部的带宽损耗。缺点是通常在备中心都会部署的App服务器得不到利用。
App-DB跨广域网
App-DB跨广域网的结构下,在每个数据中心都部署有Web层和App层服务器。用户的请求发送到就近接入的Web服务器后,Web服务器对请求的内容进行处理,如果发现请求的是静态内容,就从本地直接返回,如果发现请求的是动
态内容,则直接转发到本地的App服务器,如果App服务器位于备中心,则通过广域网查询生产中心的DB服务器取得结果。
APP-DB跨广域网的主要优点是备中心的APP服务器都在工作状态。缺点是数据库的广域网访问可能带来更大的隐患。
在F5公司已经实施的案例中,几种结构都有在实际环境中部署。具体选择那种部署模式,主要取决于应用的处理流程类型。但无论采用那种结构,都必将面临到如何提升广域网效率的问题。
如果应用的部署必须采用跨广域网访问的情况下,如何解决问题?如何减小远程广域网访问带来影响?
采用Web-App跨广域网方式在大多数的情况下为一种折中的方案,也是对现有系统的影响和改造最小的一种方案,
F5提供了三种优化的方案可供选择:
对于Web-App跨广域网的方案,首先可以通过BIG-IP LTM的HTTP 压缩功能,对App服务器的返回内容进行压缩,将内容压缩后再通过广域网进行传输。在通常情况下,压缩比都在1:5,也就是10K的内容可以压缩到2K左右,减小了4/5的广域网数据传输量。
其次,通过BIG-IP LTM的连接优化功能,可以将Web服务器发送到APP服务器的连接进行聚合,将多个HTTP短连接的请求聚合到少数的TCP长连接中进行传输,减小TCP连接建立和拆断带来的延迟消耗。
另外,对于网上银行的资讯类页面,还可以通过F5 Web Accelerator对动态页面进行缓存。F5 Web Accelerator可以在每个数据中心内部署,通过其特有的动态页面缓存功能,可以将资讯类的动态页面进行缓存,在缓存的有效期内,所有对于该动态页面的请求都可以从Web Accelerator直接返回,而不需要到后台服务器经历一次Web-App-DB的查询过程,这样,可以有效的减小广域网延迟的影响,并且减轻了数据库的查询压力。
1.6 网上银行应用虚拟化(服务器负载均衡)
当用户的请求通过数据中心虚拟化和链路虚拟化层面之后,就到达了数据中心。在数据中心内部,实际上也不止一台服务器在为客户提供服务。这些服务器通过F5 BIG-IP LTM整合在一起,形成应用虚拟化结构,使多台服务器同时对外提供服务。BIG-IP LTM利用虚拟服务(Virtual Server, 虚拟服务由IP地址和TCP/UDP应用的端口组成,它是一个组合)来为数据中心内的的一个或多个目标服务器(称为节点:目标服务器由IP地址和TCP/UDP应用的端口组成,它可以是internet的私网地址)提供服务。因为BIG-IP专门为此设计,因此,它具备超强的性能,能够为大量的基于TCP/IP的网络应用提供服务器负载均衡服务。BIG-IP LTM连续地对目标服务器进行L4到L7合理性检查,当用户通过VS请
求目标服务器服务时,BIG-IP LTM根椐目标服务器之间性能和网络健康情况,选择性能最佳的服务器响应用户的请求。如果能够充分利用所有的服务器资源,将所有流量均衡的分配到各个服务器,我们就可以有效地避免“不平衡”现象的发生。
应用虚拟化带来的好处:
实时监控服务器应用系统的状态,并智能屏蔽故障应用系统 实现多台服务器的负载均衡,提升系统的可靠性
可以监控和同步服务器提供的内容,确保客户获取到准确可靠的内容 提供服务器在线维护和调试的手段
1.7 网上银行应用优化 1.7.1 网上银行SSL加速
目前,所有的网上银行在交易部分,均采用SSL连接方式,实现端到端的数据加密传输。在SSL处理过程中,所有的传输内容均采用加密算法处理。其中最重要的两个部分为SSL握手时交换密钥的非对称加密和数据传输时的对称加密。
在现有的系统中,通常非对称加密采用1024位的密钥进行加解密,因此对服务器的CPU占用率非常高。在一台新型号的双Xeon CPU服务器上,大约每秒钟400次非对称加解密就能导致CPU占用率100%。同时对称加密通常采用128位,最高256位加密的加解密也会导致服务器CPU占用率居高不下,同样的服务器SSL流量大约能达到150Mbps。因此当我们在部署SSL应用时,必须考虑到以下参数:
TPS:Transection Per Second,也就是每秒钟完成的非对称加解密
次数
Bulk:SSL对称加解密的吞吐能力,通常以Mbps来进行衡量。
当SSL的客户端压力超过400TPS时,单台服务器就很难处理请求了。因此,必须采用SSL加速设备来进行处理。
BIG-IP LTM系列可从最低2000TPS到200,000TPS实现全硬件处理SSL非对称加密和对称加密流量。其实现的结构如下:
所有的SSL流量均在BIG-IP上终结,BIG-IP与服务器之间可采用HTTP或者弱加密的SSL进行通讯。这样,就极大的减小了服务器端对HTTPS处理的压力,可将服务器的处理能力释放出来,更加专注的处理业务逻辑。
在BIG-IP可处理单向SSL连接,双向SSL连接,客户端证书认证等。并且可同时处理多种类型和多个应用的SSL加解密处理。
由于采用了独立的安全芯片使用硬件加速SSL流量,基本上对于SSL的流量可实现“零”CPU占用率。
1.7.2 网上银行Web 应用加速
目前基本上所有的网上银行系统都是按照全动态的方式进行编写,后台服务主要以IBM WebSphere和BEA WebLogic为主。全动态系统带来的优点是反应迅速,在资讯和功能发布后立即得到展现,但存在性能差、对大用户访问量难于应付的缺点。
针对网上银行的应用系统特点,Web 应用加速主要从以下几个方面进行:
动态静态内容分离
在网上银行的业务中,实际上存在有大量的相对静态内容,例如图片、CSS和JavaScript等。通过WA强大的Policy配置功能,F5可以和网站开发人员一同,设置适当的策略,对相对静态的内容进行分离。也可以通过WA 的IBR智能引擎,对动静内容进行自动分离,将分离后的相对静态内容进行客户端和服务器端Cache处理。
动态页面压缩
对于网上银行系统来说,所有的交易均通过动态页面进行。用户的账号、余额以及其他很多信息,都是全动态的内容,对于这些无法进行缓存的内容,WA可以将其进行压缩处理,对服务器的返回内容进行压缩,然后由客户端进行解压缩处理。这样,就减小了在广域网上的数据传输量。通常情况下,一个100k的动态页面经过压缩处理后,可以达到20k的压缩后大小。对于这部分的流量,则可以节省80%的网络带宽占用,同时提高了客户端的页面打开速度。
静态内容缓存
在进行了动静内容分离后,对于相对静态内容,WA 就可以通过IBR技术实现客户端缓存。客户端缓存的最大优点就是静态内容都保存在客户端,因此对于此部分内容,客户端无需再到网站进行再次请求。从而减小了网络带宽占用,并且,由于大部分的内容从客户端硬盘直接调入浏览器,大大的加快了客户端的页面访问速度。同时,WA也可以在自身硬盘上进行内容缓存,减小后台
服务器压力。
动态页面缓存
在网上银行的实际处理中,有大部分的所谓动态页面实际上也是属于相对静态的内容,这些内容的变化通常是根据动态页面的不同查询参数而决定的。对于同一个动态页面,同样的参数即返回同样的内容。这些内容最典型的就是在网上银行的资讯类内容。对于同一个栏目,基本上都是采用同一个动态页面进行呈现,只是通过其中的查询参数不同而显示出不同的页面,比如http://www.xiexiebang.com/info.jsp?id=12
3和http://www.xiexiebang.com/info.jsp?id=124就是两条资讯的连接。当用户访问这些资讯的时候,应用服务器每次都需要到后台数据库进行一次id查询,以获得资讯的内容。WA通过UCI(Unified Content Identification)功能,可以将这些指定的页面按照其查询参数进行一定时间缓存。这样,当不同的用户按照同样的查询参数请求动态页面的时候,WA可以直接返回页面内容,而不是将请求转发到后台服务器进行一次完整的数据库查询。这样,就减小了后台数据库的查询压力,提高系统的整体响应速度。同时,还可以避免一些动态页面查询攻击给网上银行系统带来的潜在风险。
1.8 网上银行的大客户虚拟专线接入
在网上银行的实际业务中,针对大客户服务,通常是有专用的服务器、应用系统和接入方式来保障大客户的银行业务操作。在传统方式下,这些接入较多采用点到点专线方式进行接入。即在客户的数据中心到银行的大客户统一接入点直接开通一条专线,使客户端可以直接到达银行内部网络。这样的优点是稳定、数据传输安全。但缺点也非常明显,费用比较昂贵,而且维护的费用更加高昂。
F5通过SAM安全接入网关,可以有效的降低这种建设和维护费用。SAM使用SSL通道技术,在客户端和银行接入端建立一个安全通道,通道的建立基于互联网基础上,但是通过强有力的SSL加密通讯机制,保证了端到端的数据传输安全。在这个安全通道内,可以运行任何基于IP协议的应用。同时,SAM还具备客户端SDK开发包,因此在采用专用客户端软件的时候,可以将SSL VPN客户端编译到专用客户端软件内。从而更加方便用户使用。同时进一步加强了应用的安全性。
1.9 网上银行Web应用安全
由于网上银行业务是针对互联网服务的,位于完全开放式的环境中。因此,其安全性显得尤其重要。网上银行本身的安全性可以用一个非常庞大的体系来完成,在简短的篇幅中也无法进行详尽描述。本书从应用交付网络的角度,来分析一下网上银行的安全体系建设。
1.9.1 网络层安全
在网络安全层面上,F5 应用交付网络的核心设备BIG-IP LTM主要通过两个手段来实现网络层安全。
Hardware SynCookie:在BIG-IP LTM 8400以上平台具备有PVA 10芯片。通过PVA 10可以实现硬件SynCookie计算功能,每秒可以计算数百万次上的SynCookie。这样,所有的Syn攻击都会被抵挡在BIG-IP LTM之外,并且不消耗BIG-IP的CPU资源,因此,BIG-IP 可以在防范每秒钟数百万次的Syn攻击
的同时,有充足的资源处理正常的业务流量。
Full Proxy: Full Proxy为BIG-IP处理业务流量时的标准模式。其工作原理和代理模式防火墙的工作原理类似。BIG-IP最大的优点在于解决了代理防火墙性能低的问题。
在Full Proxy工作模式下,BIG-IP LTM自身分为了两个TCP堆栈,一个TCP堆栈用于客户端连接,另一个TCP堆栈用于服务器端连接。但对于客户端和服务器来说,BIG-IP是工作在透明模式的。在这种结构下,只有连接中真正的数据部分才能穿过BIG-IP进行传输,并且BIG-IP会对所有传输的内容进行严格的校验,而其他所有的不正常的数据包都将会被拦截在BIG-IP上进行丢弃处理。从原理上分析,在Full Proxy结构下,还可以防范未知的网络层面攻击。
对于网上银行的业务而言,最为危险的不是当前已知的攻击手段的防范,而是未知的攻击手段的防范。通过BIG-IP LTM 的Full Proxy模式,可以有效的防范可能遇见的未知网络层攻击手段。当然,从网络安全的角度而言,BIG-IP 不是一个专业的网络安全设备。从网络安全的角度上还是需要有防火墙、IDS等进行协同工作。
1.9.2 数据传输层安全
在网络层之上是数据传输层。在网上银行业务中,对数据传输层主要面临
的问题就是防止中途窃听。因为在网上银行系统中传输内容包含有大量的敏感数据,比如账号、密码等信息。这些信息一旦被非法窃听,带来的后果是灾难性的。
在传输安全上,目前国际上最为标准的就是SSL加密通道处理。至今未知,在全球范围内还没有手段可以快速而有效的破解SSL加密通讯数据。而PKI证书体系又为网上银行的身份识别带来了非常完善的安全可靠性。SSL处理的端到端特性,保证了SSL通道的建立必须是从客户端直接到服务器端。
然而,SSL高安全性同时也带来了服务器的高资源消耗,因此,在F5所有的硬件设备中,都支持硬件的SSL加解密处理。可以对SSL流量的非对称加解密和对称加解密的处理都在硬件芯片上进行处理。从低端到高端设备型号,F5的BIG-IP系列最低可支持2,000TPS,200Mbps吞吐能力,一直到最高端可支持200,000TPS,36Gbps吞吐能力。并且在许多的金融机构内得到了广泛的应用。
通过SSL加解密通道处理,可以有效的保证数据在广域网上的安全传输。
1.9.3 应用层安全
目前网上银行的主要应用方式均是以Web方式访问为主。除了在网络层面和数据传输方面进行安全防护外,还需要在应用层面上进行安全防护。Web访问方式主要使用HTTP协议,在带来应用访问的便利和友好的用户体验界面的同时,HTTP协议也是最容易受到黑客攻击的协议。比如传统的SQL Injection攻击手段,就是利用了页面和数据库之间的连接进行攻击。并且此类的攻击手段方式多变,和网络层、操作系统层基本没有关系。无法通过打补丁、加防火墙等防护手段进行防范。
针对这种情况,F5公司提供了ASM(Application Security Manager)来提供最高级别的安全防护。ASM通过学习和配置基于应用层面的允许访问策略。
可以防范各种未知的攻击手段,提供系统的最大安全性。同时,避免了防火墙无法进行深层次检测的问题和IPS的负向安全带来的巨大隐患。
第三篇:网上银行战略分析
摘要:随着电子商务发展的不断深化,基于网络的交易越来越频繁,通过网络进行流转的资金也相应的扩大,网上银行也随之越来越重要。本文通过分析我国目前网上银行市场营销当中存在的问题,提出适合我国网上银行发展的市场营销策略。
关键词:网上银行 营销策略 对策
网上银行(internet banking)是基于互联网技术的一种新型银行服务手段。1995年10月8日,世界上第一家网上银行——安全第一网络银行(security first network bank, SFBN)在美国诞生。1997年初,招商银行率先在国内尝试网上银行业务,随后,中国银行,中国建设银行,中国工商银行等先后开展了网上银行业务。网上银行的技术基础,使其具有灵活、强大的业务创新能力,不仅可以延伸、改良传统的银行业务,降低交易成本,提高服务效率,还产生了诸如银证合一、存折炒股、在线支付等新业务,并且其创新的空间还很巨大。同时,网上银行的出现弥补了传统银行业无法或不便涉及的领域,其信息容量惊人,且灵活、便捷,正被人们迅速接受。可以预料,传统银行业支撑着网上银行业务的快速成长,网上银行也将拉动传统银行业务的持续发展。能否及时、有效地在网上银行领域占有一席之地,不仅关系到能否保持商业银行现有的市场份额,也将决定其未来的市场结构。面对激烈的竞争态势,如何找准网上银行的市场定位、制定营销策略,获取更大的市场份额和效益,已经成为我国银行当前必须深入研究的问题。
一、我国网上银行业务发展的现状
中国互联网络信息中心(CNNIC)发布的《第22次中国互联网络发展状况统计报告》显示,截至2008年6月底,中国网民数量达到2.53亿,半年新增4300万,网民规模跃居世界第一位。其中,宽带网民数已达到2.14亿人,手机网民规模达到7305万人。但另一方面,互联网普及率只有19.1%,仍然低于全球平均水平(21.1%),还有很大的发展空间。
互联网的迅速普及并持续高速发展,为我国网络银行的快速发展提供了坚实的基础。2001年,我国网上银行用户只有200多万户,2005年已发展到3460万户。2006年上半年已获准开放的外国银行开设网上银行的有48家,农村信用社约有5家也开设了网上银行,07年上半年的网上银行客户数达6900万左右,网银交易额约140多万亿。其中工商银行个人网上银行集银行、投资、理财于一体,可以为客户提供包括账户查询、转账、7×24小时汇款、缴费站、网上外汇、网上证券、网上保险、网上黄金、网上期货、在线支付等多种服务,是目前国内功能比较齐全的个人网上银行。截至2007年11月,工商银行个人客户数已达3844万户,企业网上银行客户数达到94.9万户,电子银行交易额达到92.6万亿元,较去年同期增长了127%。中国工商银行股份有限公司董事长姜建清曾经在05年12月12日的“财经年会”上表示,要在未来四年内,把工行40%的业务转移到网上银行,十年内可能将把70%的银行业务转移到网络渠道。
二、我国网上银行市场营销中存在的突出问题
1.产品匮乏。目前中国网上银行的业务匮乏,没有发挥对银行业务的重组和再造功能。所提供的产品,无论是账务查询、转账服务、代理交费、银证转账,还是为企业销售网络办理结算、为集团客户进行内部资金调拨,除业务品种少的问题比较突出外,另一个比较突出的问题是这些产品只是传统业务在网络银行的实现,也就是说目前网络银行只起到了一个传统银行业务渠道的作用。在产品上没有完全摆脱传统业务功能的限制,没有推出利用网络银行直接面对客户的特性重组商业银行业务流程的新产品和新应用,在操作界面上没有体现个性化服务的特点,只是传统业务处理系统界面的简单模仿,没有体现网络的根本属性———靠变化和新颖吸引客户。
2.安全问题。自2004年,社会上开始出现假冒银行网站,利用木马病毒或者通过欺诈
手段盗取客户资金的情况。根据对网上银行的调查,以全国10个经济发达城市为样本空间,对现有客户、潜在客户和不可能客户均进行统计,有50%~70%的用户认为网上银行不安全,这与互联网的一些调查结果相吻合。互联网网民最反感的问题也集中在安全问题,选择比例最高的十个问题中涉及安全的有五条,网络病毒、入侵、网络陷阱、隐私泄漏等。所有统计数据表明,安全成为网上银行各方最关心的问题,如果这个问题解决不好,网上银行就不能健康、快速的发展。
3.品牌形象问题。未来的营销是品牌的竞争,拥有市场的惟一途径是先拥有占市场优势的品牌。就目前的情况来看,我国的商业银行还没有完全意识到品牌形象的重要性,各个分行、支行各自为政,纷纷设立自己的网站,各网站是孤立的,彼此互不相连,各自推广自己的网站,忽略了整体的品牌形象的建立。银行系统内的网络资源没有得到充分利用,不能达到商业银行网络营销的最佳效果。
4.网上支付信用体制不健全。银行对于各种电子商务活动,主要是支持和服务。网上支付可以减少银行成本,加快处理速度,方便客户、扩展业务,以快捷简便的方式,使消费者可以在任何地方、任何时间通过互联网获得银行的支持服务,而无需再到银行传统的营业柜台。在电子银行交易得以实现的关键环节是支付手段,电子银行交易双方通过Internet进行交流,洽谈确认,最终通过支付手段得以实现。但是,我国网上银行的网上支付手段运行机制还不够完善,通过互联网提供网上支付的时间不长,业务量也较少。目前,已经开展的电子商务,使用了多种支付方式,包括信用卡、储蓄卡、邮政汇款和货到付款等多种方式,然而在多种方式中,货到付款占了相当大的比例,这与西方发达国家的状况相比,我国许多人宁愿采取成本较高的货到付款方式,也不愿采取信用卡网上支行的方式。
三、我国网上银行的营销策略
1.建立和完善网上银行产品的新体系。首先,要以客户为中心,建立产品创新规划体系。客户是银行业竞争的主体,也是我们生存与发展的根本保证。因此,做到想客户之所想,最大限度地满足客户要求,是我们产品创新的宗旨。要做到这一点,就必须在产品创新前做好系统而科学的市场调研、论证,分析工作,了解客户真正需要的是怎样的产品、怎样的功能,了解客户心目中喜欢的电子银行模式和使用方式。同时,细分客户,针对不同的客户群进行相应的客户需求调查,再针对不同的目标客户开发不同的产品。对于已经投产的创新产品要跟踪调查,及时了解客户的使用情况和反馈意见,高度重视收集客户信息,了解新产品对客户的适应性,并计算出该产品所占的市场价额,实现的经济效益等,从而提出修改意见,使产品的可行性和流动性进一步增强,并不断地完善,从而满足客户不断变化的需求。其次,实行项目的量化管理,提高产品的创新效率。明确各部门在产品创新中的关系,严格规定产品的研发流程和开发时间,将每一产品的开发进行量化管理。并且,制定合理的考核激励机制,充分调动业务创新部门员工的积极性,将所负责的产品创新工作与激励机制相结合,对于工作效率高、完成任务出色、工作中有创新思路且收效显著的部门和个人给予重奖,从而促进工作效率的提高。最后,成立专门的电子银行部门,全面负责电子银行业务管理与新产品的推广工作,协调各相关部门之间的关系,形成整体优势,确保电子银行业务的顺利开展和电子银行新产品的成功推广。
2.切实解决电子银行的安全技术问题。实际上,技术问题早已不是发展电子银行的关键。我们可以借鉴国外成熟的技术,我国信息应用技术与国外的差距并不是很大,有些方面还比较领先,所需的是进一步加强。为此,要增强安全防范意识,加强信息产业、工商企业、银行及公安等部门的协商配合,完善安全技术和硬件设施,把网络通信技术和现代密码技术结合起来尽快建立客户终端浏览器码处理技术、防火墙技术和保护交易中枢不被入侵的三重安全防护措施。在充分分析网络脆弱性的基础上,通过采取物理安全策略、访问控制策略,构筑防火墙、安全接口、数字签名等高新网络技术的拓展来实现网络系统的事前防护。加快网
络加密技术的创新、开发和应用,包括乱码加密处理、系统自动签退技术、网络使用记录检查评定技术、人体特征识别技术等。并且,建立不良借款人的预警名单和“黑名单”制度,实现统一授信的监控。同时,建立一整套电子银行业务风险管理办法,加强电子银行业务的规范化管理,建立电子银行重大事件应急处理机制,明确具体重大事件内容,处理程序,着力解决好安全与发展速度的关系。在业务发展时,要时刻注意风险防范,努力为银行的客户创造一个安全的服务平台。
3.加强品牌塑造和推广,形成网上银行品牌优势。据调查,购买网上银行服务的顾客消费心理多属理智型,只有消费者认同的网上银行品牌,才有可能成为其最终的选择。同时,品牌的知名度和忠诚度不仅是可观的无形资产,更是网上银行持续创造利润的来源。国内网上银行发展较早的招商银行拥有“金葵花个人理财”、“点金企业理财”、“一网通”等知名网上银行服务品牌,工商银行则拥有“理财e站”企业网上现金服务平台、金融家个人金融理财业务平台等知名品牌,在消费者心目中树立了良好的品牌形象,为其带来了源源不断的网上银行客户和业务量。与之比较,其他银行至今没有一个叫得响的网银品牌,在市场竞争中明显落于下风。因此,我国网上银行应加大品牌建设和宣传力度,塑造卓著的网银品牌形象,以此培养顾客的忠诚度并吸引潜在顾客,不断开拓市场。
4.对网上银行目标市场和目标客户进行准确定位。据调查,网上银行也存在明显的“二八定律”,即20%的客户带来80%的网上银行业务和利润。因此,网上银行目标市场定位应有针对性。从目前网上银行发展情况来看,对目标市场缺乏了解,对各类客户提供的网上金融产品和服务同质化现象严重,难以有效扩大市场份额和利润空间,也分散了营销力量,难以形成网上银行的业务发展重心和增长点。因此,建议对国内网上银行市场进行细分和目标市场定位,对高创利的客户加强宣传和营销,并进行特别照顾,努力建立和维护他们的忠诚度。在公司网银业务(B2B)方面,建议定位于跨国公司、大型企业集团、优质上市公司及金融同业客户;在零售网银业务(B2C)方面,则定位于高端个人客户(白领、高收入、高学历群体)。
5.充分发掘客户的潜在需求,为其提供个性化、差异化的网上银行增值服务。目前绝大多数开办网上银行业务的分支机构只能提供简单的网上代缴费、购物支付、转帐、帐单查询等业务,与金融同业相比,网银产品和服务的同质化现象非常严重,加之品牌形象一般,在竞争中无优势可言。对网上银行而言,目标市场客户群体的差异性更为明显,因此要针对不同客户的特点,设计与之相适应的网银产品和服务,同时应随时发现客户的变化,做出快速反映和创新。建议运用问卷调查、现场咨询、上门走访、消费者行为和偏好分析等手段,在充分发掘目标市场客户现实需求和潜在需求的基础上,大力开拓网上银行创新性产品,针对客户特点为其提供个性化的增值服务,以满足其差异化的需求。如开发集团客户网上现金管理、网上企业和个人集合理财、网上授信及资金扣划、与证券公司合作推出网上银证资金划转和银证合一业务、与移动运营商合作推出手机支付业务、与其他商业银行合作推出跨行网上银行业务品种等。
参考文献:
[1]高学敏:网络营销[M].人民教育出版社,2004
[2]钟赣生:银行营销[M].武汉大学出版社,2005
[3]张庭模:网络银行的营销问题及对策[J].商业时代,2006年12月
[4]李平:金融网络营销探析[J].金融与经济,2007年6月
第四篇:企业网上银行服务协议书
企业网上银行服务协议书
甲方:_________
乙方:_________
为维护双方利益,规范双方业务行为,甲、乙双方本着平等互利的原则,就上银行服务相关事宜达成如下协议:
一、甲乙双方均应遵守本协议及《_________上银行业务章程》。
二、乙方加入甲方上银行系统的各账户原有性质不变,仍可在甲方分支机构营业柜台办理各项业务。
三、乙方应按甲方规定的上银行注册程序申请注册,正确填写《_________上银行企业客户注册登记表》并提供有关资料。乙方应保证所填写的上银行注册登记表和所提供的资料真实、准确、完整。
四、乙方在使用上银行过程中,有关资料信息如有变更,诸如增删账号,增加、修改客户信息,增加、撤销分支机构,分支机构开户银行、账号、户名等变更,作废、更新、挂失客户证书等,均应按甲方规定的程序办理有关手续,否则由此发生的风险和损失由乙方承担。
五、客户证书是指存放在ic卡或usbkey等物理介质上乙方身份证明的文件。客户证书和密码是乙方进入甲方上银行系统办理交易时确认乙方身份的唯一有效依据。凡是凭客户证书和密码进行的上银行业务操作,均视为客户所为。
六、乙方客户证书毁损或遗失,密码遗忘或锁码,应及时到_________受理点办理更新或挂失手续。更新或挂失自正式办妥之日起生效。更新或挂失生效前发生的资金损失由乙方承担。乙方应妥善保管客户证书和密码,如因保管不当、密码泄露等造成的风险损失或纠纷,由乙方自行负责。
七、乙方如需暂停使用或恢复使用甲方上银行系统,均应持有效资料到开户行办理有关手续,甲方应按照乙方要求冻结或解冻其客户证书。
八、客户证书有效期一年,客户证书有效期满后,如需继续使用,乙方应到开户行办理更新手续。
九、乙方使用甲方上银行服务,须支付下列费用:
1.客户证书工本费:以ic卡为介质的,每张人民币_________元;以usbkey为介质的,每张人民币_________元。
卡读卡器:每台_________元。
3.客户证书年服务费:每张人民币_________元。
4.客户证书挂失手续费:每次人民币_________元。
5.上业务交易仍按照原有业务相关收费标准收取。
乙方同意甲方从其账户主动扣收办理上银行业务应支付的相关费用。
十、甲方有义务及时准确执行乙方
发送的电子指令,并及时向乙方返回业务处理信息。
十一、如乙方对其通过甲方上银行办理的业务有疑问,可向甲方查询,甲方应在接到查询通知之日起的3个银行工作日内告知乙方调查结果。
十二、甲方依法对乙方提供的申请资料和企业信息等保密。
十三、乙方如需终止使用甲方上银行服务,可向甲方申请办理上银行撤消注册手续,终止本协议。乙方违反《_________上银行业务章程》或本协议时,甲方亦有权暂停或取消乙方上银行业务功能的使用资格,暂停或终止本协议。
十四、集团企业分支机构申请办理集团客户业务时,应填写《_________上银行授权办理集团企业业务通知书》,_________以此为依据办理集团客户业务。
十五、在履行本协议的过程中,如发生争议,甲乙双方应通过友好协商方
式解决;协商不成的,可向甲方所在地人民法院提起诉讼。
第五篇:企业网上银行服务协议
甲方:_________
乙方:_________
为维护双方利益,规范双方业务行为,甲、乙双方本着平等互利的原则,就网上银行服务相关事宜达成如下协议:
一、甲乙双方均应遵守本协议及《_________网上银行业务章程》(见附件)。
二、乙方加入甲方网上银行系统的各账户原有性质不变,仍可在甲方分支机构营业柜台办理各项业务。
三、乙方应按甲方规定的网上银行注册程序申请注册,正确填写《_________网上银行企业客户注册登记表》并提供有关资料。乙方应保证所填写的网上银行注册登记表和所提供的资料真实、准确、完整。
四、乙方在使用网上银行过程中,有关资料信息如有变更,诸如增删账号,增加、修改客户信息,增加、撤销分支机构,分支机构开户银行、账号、户名等变更,作废、更新、挂失客户证书等,均应按甲方规定的程序办理有关手续,否则由此发生的风险和损失由乙方承担。
五、客户证书是指存放在ic卡或usbkey等物理介质上乙方身份证明的文件。客户证书和密码是乙方进入甲方网上银行系统办理交易时确认乙方身份的唯一有效依据。凡是凭客户证书和密码进行的网上银行业务操作,均视为客户所为。
六、乙方客户证书毁损或遗失,密码遗忘或锁码,应及时到_________受理网点办理更新或挂失手续。更新或挂失自正式办妥之日起生效。更新或挂失生效前发生的资金损失由乙方承担。乙方应妥善保管客户证书和密码,如因保管不当、密码泄露等造成的风险损失或纠纷,由乙方自行负责。
七、乙方如需暂停使用或恢复使用甲方网上银行系统,均应持有效资料到开户行办理有关手续,甲方应按照乙方要求冻结或解冻其客户证书。
八、客户证书有效期一年,客户证书有效期满后,如需继续使用,乙方应到开户行办理更新手续。
九、乙方使用甲方网上银行服务,须支付下列费用:
1.客户证书工本费:以ic卡为介质的,每张人民币_________元;以usbkey为介质的,每张人民币_________元。
2.ic卡读卡器:每台_________元。
3.客户证书年服务费:每张人民币_________元。
4.客户证书挂失手续费:每次人民币_________元。
5.网上业务交易仍按照原有业务相关收费标准收取。
乙方同意甲方从其账户主动扣收办理网上银行业务应支付的相关费用。
十、甲方有义务及时准确执行乙方发送的电子指令,并及时向乙方返回业务处理信息。
十一、如乙方对其通过甲方网上银行办理的业务有疑问,可向甲方查询,甲方应在接到查询通知之日起的3个银行工作日内告知乙方调查结果。
十二、甲方依法对乙方提供的申请资料和企业信息等保密。
十三、乙方如需终止使用甲方网上银行服务,可向甲方申请办理网上银行撤消注册手续,终止本协议。乙方违反《_________网上银行业务章程》或本协议时,甲方亦有权暂停或取消乙方网上银行业务功能的使用资格,暂停或终止本协议。
十四、集团企业分支机构申请办理集团客户业务时,应填写《_________网上银行授权办理集团企业业务通知书》,_________以此为依据办理集团客户业务。
十五、在履行本协议的过程中,如发生争议,甲乙双方应通过友好协商方式解决;协商不成的,可向甲方所在地人民法院提起诉讼。
十六、本协议自双方签章后生效。
十七、本协议一式_________份,甲乙双方各执_________份。
十八、甲方已提请乙方注意对本协议各条款作全面、准确的理解,并应乙方的要求作了相应的条款说明,签约各方对本协议的含义认识一致。
甲方(盖章):_________ 乙方(盖章):_________
法定代表人(签字):_________法定代表人(签字):_________
_________年____月____日 _________年____月____日
签订地点:_________ 签订地点:_________
附件
_________网上银行业务章程
第一条 为规范_________网上银行业务操作,维护客户与银行的合法权益,特制订本章程。
第二条 凡是在_________网上银行办理业务的客户,均须遵守本章程。
第三条 _________网上银行以因特网为传输媒介,向客户提供金融服务。客户通过网上银行可以办理查询、转帐、支付等各种金融及衍生业务。
第四条 凡是在_________开立帐户、信誉良好的客户均可向_________受理网点申请注册使用网上银行系统。未经注册的客户可以享受_________网上银行提供的一般性服务。
第五条 客户申请注册时,应按规定据实填写注册登记表并提供相关申请资料。客户须保证所填写的注册登记表和所提供的资料真实、准确、完整。
第六条 _________受理网点负责受理、审核客户提交的申请资料,对审核合格的客户,由_________与客户签订协议书,成为_________网上银行注册客户,由受理网点为客户发放客户证书。
第七条 客户证书和密码是注册客户进入_________网上银行系统办理各项业务的唯一身份标识。凡是凭客户证书和密码进行的操作皆视同客户本人所为。
第八条 注册客户应妥善保管客户证书和密码。如客户证书毁损或遗失,密码遗忘或锁码,应及时到_________受理网点办理更新或挂失手续。
第九条 _________以注册客户发出的电子指令作为办理网上业务的有效依据。
第十条 客户应按照《_________网上银行客户操作指南》办理网上银行业务。
第十一条 客户申请注册、办理_________网上银行业务时,需按相关规定缴纳有关费用。
第十二条 对违反本章程和服务协议的注册客户,_________有权暂停或取消其网上银行业务使用资格。
第十三条 因不可抗力或银行无过错导致网上银行系统无法正常运行,_________不承担任何责任。
第十四条 _________不介入注册客户与第三方的商业纠纷,只在法律允许范围内对网上银行转帐交易提供事实证明。
第十五条 本章程由_________负责解释和修改。
第十六条 本章程经中国人民银行批准实行。