第一篇:网上银行系统应用交付建设案例分析
网上银行系统应用交付建设案例分析
随着互联网和电子商务的发展,越来越多的银行客户喜欢在网上操作银行业务,因此,在各大银行中,网上银行的建设都是重中之重的一个系统。并且,作为一个对Internet开放的电子渠道,在网上银行建设中会面临各种复杂的问题。本节就以银行网上银行建设作为一个案例,讨论应用交付网络在银行新一代数据中心建设中的主要作用以及建设规划。
在网上银行建设中,可能使用F5应用交付网络中的以下产品和技术:
BIG-IP GTM:用于数据中心虚拟化建设,通过GTM的统一域名解析,提供网上银行用户的统一接入点。隐藏实际多个物理数据中心概念,实现多数据中心的并行处理和灾难备份。并且通过智能判断实现用户就近接入,提高客户体验。
BIG-IP LC:用于链路虚拟化建设,通过LC的统一域名解析和多链路接入处理,提供网上银行用户的统一接入点。隐藏实际多条物理线路的概念,实现多链路的并行处理和故障备份。并通过智能判断实现用户的优先链路选择,提高客户体验。
BIG-IP LTM:用于应用虚拟化建设,通过LTM对服务器应用的虚拟化处理,在同一数据中心中对网上银行用户提供同一的访问地址。隐藏实际多台物理服务器的概念,实现服务器的负载均衡处理和高可用性自动切换。
BIG-IP SAM:应用于大客户的远程安全接入,通过SAM安全接入控制器,位于Internet上的客户端可以安全的接入到银行的安全区。企业客户可以通过SAM建立一条直接与银行业务服务器之间的沟通渠道,起到替换原有专线接入的效果。
BIG-IP WA:用于应用优化处理,通过WA的硬件SSL加解密功能、HTTP页面压缩功能和动态内容加速功能,提高远程客户的访问速度,并减小网上银行系统的Internet接入带宽。在提高客户体验的同时节省银行的Internet接入带宽费用。
BIG-IP ASM:用于Web应用安全处理,通过ASM的被动和主动安全模式,可以对已知和未知的Web应用攻击进行应用层面的安全防护。实现代码级的应用安全。
1.1 网上银行系统结构规划
在大型银行的数据中心建设中,通常设计为2个或两个以上的数据中心,数据中心之间采用Gbps以上高速连接。
根据银行的网上银行发展战略的不同,通常情况下,网上银行的系统建设分为两种部署结构,初期建设时采用单站点结构,在进一步完善的时候采用多站点结构。
1.1.1 单站点结构
单站点结构主要用于在系统建设的初期,在数据同步、后台处理的技术手段尚不完善的情况下使用。
在单站点结构中,使用一个数据中心作为网银的中心接入点,在系统的最前端,使用多台GTM设备分布在每条链路上,作为用户访问流量选择的控制设备。
在链路的接入层采用一对BIG-IP 高端设备,并安装Link Controller模块,作为系统的接入点。负责处理链路接入、NAT和安全防护,并且和GTM配合,实现接入链路应用的最大优化。高端BIG-IP LTM的理论最高吞吐能力为36Gbps,可以在较长的一段时间内满足网上银行扩展需求。
在前端接入后,采用多台防火墙设备形成防火墙负载均衡结构,多台防火墙同时工作,并通过两端BIG-IP LTM实现负载均衡和高可用性。多台防火墙可以采用同一品牌或者不同品牌的防火墙实现安全和高可用性的最大化。
在防火墙负载均衡结构后,根据业务的类型,建议采用三对BIG-IP LTM高端设备分别处理Portal,对公和个人业务实现防火墙负载均衡和服务器负载均衡。这几对BIG-IP LTM的处理基本上为混合模式,既包含四层模式也包含七层工作模式,针对不同的应用采用不同的工作模式。余下的Proxy、邮件等业务可以单独采用一对BIG-IP LTM 实现负载均衡。
在负载均衡处理的BIG-IP LTM后,可采用多台应用加速和应用安全设备(BIG-IP Web Accelerator和Application Security Manager等)实现应用加速系统,其中包括:SSL硬件加解密、HTTP页面压缩、Web应用加速等多项功能。这些设备主要以运行在七层工作模式为主,其主要目的为提高用户体验、节省带宽、减小服务器端压力和提高系统应用安全性。
在Web层到应用服务器层之间,可以选用一对F5 BIG-IP LTM设备实现对应用服务器的负载均衡,在这对BIG-IP LTM上主要以七层工作模式为主,主要实现对应用服务器的连接优化、七层会话保持等。考虑到系统的风险分担,也可以采用多台BIG-IP LTM按照业务类型进行分别处理。
1.1.2 多站点结构
当网银系统发展到一定规模时,则建议采用多站点分布式处理。
多站点分布式处理与单站点处理的主要不同点在于存在两个数据中心,但在大部分的情况下,数据库还是只能使用一个数据库作为主数据库,因此涉及到数据库远程访问的问题。根据应用的类型不同,可能存在两种方式:
Web->APP通过广域网
Web-APP通过广域网主要适合于一次客户端请求,应用服务器需要对数据库进行多次查询的应用特点。将需要多次交互才能得到结果的这部分工作在局域网内完成。减小在广域网上的多次来回以减小延迟带来的影响。
APP->DB通过广域网
APP-DB通过广域网主要适合于在应用服务器一次查询得到结果后,客户端需要多次请求才能获得全部结果的应用特点。同样的道理,将需要多次交互才能得到结果的部分在局域网内完成,减小在广域网上的多次来回以减小延迟带来的影响。
无论采用哪种方式,均可通过BIG-IP LTM或者内网GTM实现站点间的高可用性,保证在任何一个数据中心只要有同一应用的一组服务器在工作,就可以实现用户访问的不间断。
1.2 网上银行数据中心虚拟化(广域网负载均衡)
F5 BIG-IP GTM主要通过DNS 解析来实现数据中心虚拟化功能。当用户访问网上银行的各个应用的时候,首先是通过一个统一的域名进行访问。而这个域名的解析权由GTM进行控制。
在每一个数据中心,针对同样的业务,都对外提供一个IP地址服务。而GTM 则根据特定的算法给用户端的DNS 请求返回不同数据中心的地址。从而实现虚拟化的数据中
心访问控制。
在GTM内部,可以有以下算法保证用户始终访问到最佳的数据中心节点。
循环 全球可用性 LDNS持续性 应用可用性 地理分布 虚拟服务器容量 最少连接
Pkt/sec(数据包/每秒) KB/sec(千字节/每秒) 往返时间 中继段(hop) 数据包完整率
用户定义服务质量(QoS) 动态比率 LDNS循环 比率 随机
在实现优选算法的同时,GTM还将动态检查每个数据中心的业务实际运行状态。如果发现某个数据中心的某个业务出现故障,则将其和其相关业务从DNS解析选择组中去除,而只返回给客户端仍然正常工作的数据中心业务地址。
1.3 网上银行链路虚拟化(链路负载均衡)
由于采用了多条链路接入,在实现链路虚拟化的时候,必将面临将系统中的一台或多台服务器同时对多条链路提供服务的问题。在系统设计中,我们采用了F5 BIG-IP LTM/LC来实现了多出口接入。
如图:
在BIG-IP LTM/LC实现多链路接入的时候,采用了BIG-IP LTM/LC上的
AutoLastHop技术。对于每条线路,在BIG-IP LTM/LC上均配置一个与线路分配网段对应的IP地址,这些IP地址均映射到后端的一台或同一组服务器。当用户访问不同地址的时候,BIG-IP LTM/LC上将建立每个请求与来源设备Mac地址的对应关系表。即将每个用户的请求连接和上端的路由器MAC地址进行对应,在服务器数据返回的时候,则根据该对应表将返回的数据包发送到相应的路由器,避免了数据往返通路不同的问题。
通过AutoLastHop技术,BIG-IP LTM/LC得以内部的单台或者一组服务器对外映射成为多个服务IP地址和服务端口,以提供DNS解析选择。
当一个系统中没有GTM 存在时,BIG-IP LC将自行负责DNS 解析,自动将用户引导到最佳的链路上。同时,BIG-IP LC对每一条接入链路的健康状态进行检查,一旦发现某一条链路发生故障,则对外停止该链路上的所有服务地址的解析。保证用户访问的持续性。
1.4 数据中心和链路虚拟化的配合
当网上银行系统存在多个数据中心,并且一个或多个数据中心存在多条链路时,在系统设计中就会同时存在GTM 与LC。GTM与LC之间采用iQuery协议进行加密通讯。该协议采用443端口,采用标准SSL加密通讯协议对传输内容进行封装。在协议层全部采用业界标准XML进行数据传输。
通过iQuery协议,GTM可以从BIG-IP LC上获得以下主要信息:
Virtual Server定义:通过配置Auto Discovery,GTM可以自动从LC上获取所有的VS定义和Link定义,从而不需要在GTM 中对这些配置进行重新定义和配置。当在LC上进行VS的添加或删除时,GTM可以自动在配置中对这些VS进行添加和删除,以供WideIP算法进行选择。
Link Throughput: 链路的带宽使用状态,即每条链路实际使用的带宽大小,GTM获得该信息之后,可以通过带宽负载均衡算法对用户的访问请求进行动态调整分配,使每条链路的带宽使用保持平衡。同时,在GTM上也可以通过限制每条链路的使用带宽来调整分配算法,避免单条链路使用带宽达到其极限值,避免网络层丢包造成用户访问失败。该设置也适用于不同的数据中心之间的链路选择。
Link Status:链路的通断状态。即每条链路的当前健康状态。GTM获得该信息后,则可以通过链路当前的健康状态决定是否将新的用户请求分配到该链路上。如果发现链路故障,则将该链路关联的所有VS设置为不可用状态,并停止将新的用户分配到这些VS上,从而避免用户访问失败。
VS Connections: 每条链路上每个应用的当前并发连接数。GTM获得该信息后,可以通过负载均衡算法和上限设置方法平衡每条链路上各个应用的实际分配连接数,避免单个VS 在单条链路上的连接数过高而导致用户访问失败。该设置也适用于不同的数据中心之间的链路选择。
VS Kilobytes/Second: 即每条链路上的VS的流量值。GTM获得该信息后,可以通过负载均衡算法和上限设置的方法平衡每条链路上各个应用的实际适用带宽,避免单个VS在单条链路上的连接数过高而导致用户访问失败。该设置也适用于不同数据中心之间的链路选择。
在GTM 从LC上获取信息的同时,也可以驱动LC 进行 Round Trip Time算法的探测工作
当GTM 收到一个Local DNS请求时,会首先查找本地的RTT表。如果请求的Local DNS 在该表中,则直接返回RTT 值最小的链路上的VS给Local DNS。
ldns { address 61.136.178.229 cur_target_state 419446729 ttl 2419199 probe_protocol tcp path { datacenter “CNC” cur_rtt 189850 cur_hops 0 cur_completion_rate 10000 cur_last_hops 0 } path { datacenter “TEL” cur_rtt 57209 cur_hops 0 cur_completion_rate 10000 cur_last_hops 0 }
}
如果访问的Local DNS 不在表中,则先随机选择一个VS返回给Local DNS,然后通过iQuery协议通知每个DataCenter的LC对该Local DNS 进行探测。在得到返回信息后,将返回值存放在RTT 表中,以待下次使用。
1.5 减小远程访问延迟带来的影响
对于目前的网上银行业务单站点接入结构和多数银行计划中的多站点接入结构来说。将面临的最大的一个问题就是应用的跨广域网访问。
通常情况下,多数的网上银行系统都是分为3层结构:
由于网上银行的实际功能就是一个银行业务的电子渠道,因此,实际上还存在有App-主机前置的通道,由于App-主机前置的通道在各银行的处理手段不尽相同,因此,在本书中暂时不讨论此部分带来的影响,读者可以根据本书的分析方式去评估如何减小广域网访问延迟带来的影响。
在网上银行的应用结构中,最为核心的部分是数据库系统。在目前的技术手段中,还没有稳定、可靠的跨广域网并行数据库技术出现。因此,无论网上银行系统分布在多少个数据中心,其核心数据库只能是集中式的主/备部署,同时采用尽量实时复制的方式,保持主备数据库的一致性。主备数据库通常位于不同的数据中心。
当多中心并行处理的时候,可能存在有三种跨广域网的数据访问方式:
用户接入跨广域网
这种结构是最为简单的一种处理手段,采用二层链路透明传输的方式,将异地接入的Internet接入链路汇聚到一个数据中心,直接接入到F5 BIG-IP LTM,然后由BIG-IP LTM转发到后台的服务器。当服务器对请求进行处理后,将回应的请求发送到BIG-IP LTM,再通过BIG-IP LTM的Autolasthop功能,将回应的数据包转发到和请求来源相同的路由器上。再通过Internet返回给最初发起请求的客户端。
在这种结构下,实际上是利用银行的内部网络延伸了互联网接入链路。优点是处理简单,方便,比较适合于网上银行的初期建设,避免Internet本身的不稳定现象带来的用户体验问题。同时避免了应用服务器分布在多个中心带来的复杂性。其缺点是所有的用户请求并没有进行适当的处理,在占用较多的内部网络带宽的同时,对实际用户体验的提高并不是非常显著(与互联网状态较好时相比较)。
Web-APP跨广域网
在Web 跨广域网的结构时,在每个接入的数据中心至少需要有Web服务层。用户的请求直接发送到Web服务器,Web服务器对请求的内容进行处理,如果发现请求的是静态内容,就从本地直接返回,如果发现请求的是动态内容,则通过银行的内部广域网链路发送到生产中心的App服务器,App服务器查询本地的数据库服务器之后原路返回内容。
Web-App跨广域网带来的一个主要优点是静态内容可以直接从用户就近接入的数据中心直接返回给客户端,提高客户体验,同时减小了内部的带宽损耗。缺点是通常在备中心都会部署的App服务器得不到利用。
App-DB跨广域网
App-DB跨广域网的结构下,在每个数据中心都部署有Web层和App层服务器。用户的请求发送到就近接入的Web服务器后,Web服务器对请求的内容进行处理,如果发现请求的是静态内容,就从本地直接返回,如果发现请求的是动
态内容,则直接转发到本地的App服务器,如果App服务器位于备中心,则通过广域网查询生产中心的DB服务器取得结果。
APP-DB跨广域网的主要优点是备中心的APP服务器都在工作状态。缺点是数据库的广域网访问可能带来更大的隐患。
在F5公司已经实施的案例中,几种结构都有在实际环境中部署。具体选择那种部署模式,主要取决于应用的处理流程类型。但无论采用那种结构,都必将面临到如何提升广域网效率的问题。
如果应用的部署必须采用跨广域网访问的情况下,如何解决问题?如何减小远程广域网访问带来影响?
采用Web-App跨广域网方式在大多数的情况下为一种折中的方案,也是对现有系统的影响和改造最小的一种方案,
F5提供了三种优化的方案可供选择:
对于Web-App跨广域网的方案,首先可以通过BIG-IP LTM的HTTP 压缩功能,对App服务器的返回内容进行压缩,将内容压缩后再通过广域网进行传输。在通常情况下,压缩比都在1:5,也就是10K的内容可以压缩到2K左右,减小了4/5的广域网数据传输量。
其次,通过BIG-IP LTM的连接优化功能,可以将Web服务器发送到APP服务器的连接进行聚合,将多个HTTP短连接的请求聚合到少数的TCP长连接中进行传输,减小TCP连接建立和拆断带来的延迟消耗。
另外,对于网上银行的资讯类页面,还可以通过F5 Web Accelerator对动态页面进行缓存。F5 Web Accelerator可以在每个数据中心内部署,通过其特有的动态页面缓存功能,可以将资讯类的动态页面进行缓存,在缓存的有效期内,所有对于该动态页面的请求都可以从Web Accelerator直接返回,而不需要到后台服务器经历一次Web-App-DB的查询过程,这样,可以有效的减小广域网延迟的影响,并且减轻了数据库的查询压力。
1.6 网上银行应用虚拟化(服务器负载均衡)
当用户的请求通过数据中心虚拟化和链路虚拟化层面之后,就到达了数据中心。在数据中心内部,实际上也不止一台服务器在为客户提供服务。这些服务器通过F5 BIG-IP LTM整合在一起,形成应用虚拟化结构,使多台服务器同时对外提供服务。BIG-IP LTM利用虚拟服务(Virtual Server, 虚拟服务由IP地址和TCP/UDP应用的端口组成,它是一个组合)来为数据中心内的的一个或多个目标服务器(称为节点:目标服务器由IP地址和TCP/UDP应用的端口组成,它可以是internet的私网地址)提供服务。因为BIG-IP专门为此设计,因此,它具备超强的性能,能够为大量的基于TCP/IP的网络应用提供服务器负载均衡服务。BIG-IP LTM连续地对目标服务器进行L4到L7合理性检查,当用户通过VS请
求目标服务器服务时,BIG-IP LTM根椐目标服务器之间性能和网络健康情况,选择性能最佳的服务器响应用户的请求。如果能够充分利用所有的服务器资源,将所有流量均衡的分配到各个服务器,我们就可以有效地避免“不平衡”现象的发生。
应用虚拟化带来的好处:
实时监控服务器应用系统的状态,并智能屏蔽故障应用系统 实现多台服务器的负载均衡,提升系统的可靠性
可以监控和同步服务器提供的内容,确保客户获取到准确可靠的内容 提供服务器在线维护和调试的手段
1.7 网上银行应用优化 1.7.1 网上银行SSL加速
目前,所有的网上银行在交易部分,均采用SSL连接方式,实现端到端的数据加密传输。在SSL处理过程中,所有的传输内容均采用加密算法处理。其中最重要的两个部分为SSL握手时交换密钥的非对称加密和数据传输时的对称加密。
在现有的系统中,通常非对称加密采用1024位的密钥进行加解密,因此对服务器的CPU占用率非常高。在一台新型号的双Xeon CPU服务器上,大约每秒钟400次非对称加解密就能导致CPU占用率100%。同时对称加密通常采用128位,最高256位加密的加解密也会导致服务器CPU占用率居高不下,同样的服务器SSL流量大约能达到150Mbps。因此当我们在部署SSL应用时,必须考虑到以下参数:
TPS:Transection Per Second,也就是每秒钟完成的非对称加解密
次数
Bulk:SSL对称加解密的吞吐能力,通常以Mbps来进行衡量。
当SSL的客户端压力超过400TPS时,单台服务器就很难处理请求了。因此,必须采用SSL加速设备来进行处理。
BIG-IP LTM系列可从最低2000TPS到200,000TPS实现全硬件处理SSL非对称加密和对称加密流量。其实现的结构如下:
所有的SSL流量均在BIG-IP上终结,BIG-IP与服务器之间可采用HTTP或者弱加密的SSL进行通讯。这样,就极大的减小了服务器端对HTTPS处理的压力,可将服务器的处理能力释放出来,更加专注的处理业务逻辑。
在BIG-IP可处理单向SSL连接,双向SSL连接,客户端证书认证等。并且可同时处理多种类型和多个应用的SSL加解密处理。
由于采用了独立的安全芯片使用硬件加速SSL流量,基本上对于SSL的流量可实现“零”CPU占用率。
1.7.2 网上银行Web 应用加速
目前基本上所有的网上银行系统都是按照全动态的方式进行编写,后台服务主要以IBM WebSphere和BEA WebLogic为主。全动态系统带来的优点是反应迅速,在资讯和功能发布后立即得到展现,但存在性能差、对大用户访问量难于应付的缺点。
针对网上银行的应用系统特点,Web 应用加速主要从以下几个方面进行:
动态静态内容分离
在网上银行的业务中,实际上存在有大量的相对静态内容,例如图片、CSS和JavaScript等。通过WA强大的Policy配置功能,F5可以和网站开发人员一同,设置适当的策略,对相对静态的内容进行分离。也可以通过WA 的IBR智能引擎,对动静内容进行自动分离,将分离后的相对静态内容进行客户端和服务器端Cache处理。
动态页面压缩
对于网上银行系统来说,所有的交易均通过动态页面进行。用户的账号、余额以及其他很多信息,都是全动态的内容,对于这些无法进行缓存的内容,WA可以将其进行压缩处理,对服务器的返回内容进行压缩,然后由客户端进行解压缩处理。这样,就减小了在广域网上的数据传输量。通常情况下,一个100k的动态页面经过压缩处理后,可以达到20k的压缩后大小。对于这部分的流量,则可以节省80%的网络带宽占用,同时提高了客户端的页面打开速度。
静态内容缓存
在进行了动静内容分离后,对于相对静态内容,WA 就可以通过IBR技术实现客户端缓存。客户端缓存的最大优点就是静态内容都保存在客户端,因此对于此部分内容,客户端无需再到网站进行再次请求。从而减小了网络带宽占用,并且,由于大部分的内容从客户端硬盘直接调入浏览器,大大的加快了客户端的页面访问速度。同时,WA也可以在自身硬盘上进行内容缓存,减小后台
服务器压力。
动态页面缓存
在网上银行的实际处理中,有大部分的所谓动态页面实际上也是属于相对静态的内容,这些内容的变化通常是根据动态页面的不同查询参数而决定的。对于同一个动态页面,同样的参数即返回同样的内容。这些内容最典型的就是在网上银行的资讯类内容。对于同一个栏目,基本上都是采用同一个动态页面进行呈现,只是通过其中的查询参数不同而显示出不同的页面,比如http://www.xiexiebang.com/info.jsp?id=12
3和http://www.xiexiebang.com/info.jsp?id=124就是两条资讯的连接。当用户访问这些资讯的时候,应用服务器每次都需要到后台数据库进行一次id查询,以获得资讯的内容。WA通过UCI(Unified Content Identification)功能,可以将这些指定的页面按照其查询参数进行一定时间缓存。这样,当不同的用户按照同样的查询参数请求动态页面的时候,WA可以直接返回页面内容,而不是将请求转发到后台服务器进行一次完整的数据库查询。这样,就减小了后台数据库的查询压力,提高系统的整体响应速度。同时,还可以避免一些动态页面查询攻击给网上银行系统带来的潜在风险。
1.8 网上银行的大客户虚拟专线接入
在网上银行的实际业务中,针对大客户服务,通常是有专用的服务器、应用系统和接入方式来保障大客户的银行业务操作。在传统方式下,这些接入较多采用点到点专线方式进行接入。即在客户的数据中心到银行的大客户统一接入点直接开通一条专线,使客户端可以直接到达银行内部网络。这样的优点是稳定、数据传输安全。但缺点也非常明显,费用比较昂贵,而且维护的费用更加高昂。
F5通过SAM安全接入网关,可以有效的降低这种建设和维护费用。SAM使用SSL通道技术,在客户端和银行接入端建立一个安全通道,通道的建立基于互联网基础上,但是通过强有力的SSL加密通讯机制,保证了端到端的数据传输安全。在这个安全通道内,可以运行任何基于IP协议的应用。同时,SAM还具备客户端SDK开发包,因此在采用专用客户端软件的时候,可以将SSL VPN客户端编译到专用客户端软件内。从而更加方便用户使用。同时进一步加强了应用的安全性。
1.9 网上银行Web应用安全
由于网上银行业务是针对互联网服务的,位于完全开放式的环境中。因此,其安全性显得尤其重要。网上银行本身的安全性可以用一个非常庞大的体系来完成,在简短的篇幅中也无法进行详尽描述。本书从应用交付网络的角度,来分析一下网上银行的安全体系建设。
1.9.1 网络层安全
在网络安全层面上,F5 应用交付网络的核心设备BIG-IP LTM主要通过两个手段来实现网络层安全。
Hardware SynCookie:在BIG-IP LTM 8400以上平台具备有PVA 10芯片。通过PVA 10可以实现硬件SynCookie计算功能,每秒可以计算数百万次上的SynCookie。这样,所有的Syn攻击都会被抵挡在BIG-IP LTM之外,并且不消耗BIG-IP的CPU资源,因此,BIG-IP 可以在防范每秒钟数百万次的Syn攻击
的同时,有充足的资源处理正常的业务流量。
Full Proxy: Full Proxy为BIG-IP处理业务流量时的标准模式。其工作原理和代理模式防火墙的工作原理类似。BIG-IP最大的优点在于解决了代理防火墙性能低的问题。
在Full Proxy工作模式下,BIG-IP LTM自身分为了两个TCP堆栈,一个TCP堆栈用于客户端连接,另一个TCP堆栈用于服务器端连接。但对于客户端和服务器来说,BIG-IP是工作在透明模式的。在这种结构下,只有连接中真正的数据部分才能穿过BIG-IP进行传输,并且BIG-IP会对所有传输的内容进行严格的校验,而其他所有的不正常的数据包都将会被拦截在BIG-IP上进行丢弃处理。从原理上分析,在Full Proxy结构下,还可以防范未知的网络层面攻击。
对于网上银行的业务而言,最为危险的不是当前已知的攻击手段的防范,而是未知的攻击手段的防范。通过BIG-IP LTM 的Full Proxy模式,可以有效的防范可能遇见的未知网络层攻击手段。当然,从网络安全的角度而言,BIG-IP 不是一个专业的网络安全设备。从网络安全的角度上还是需要有防火墙、IDS等进行协同工作。
1.9.2 数据传输层安全
在网络层之上是数据传输层。在网上银行业务中,对数据传输层主要面临
的问题就是防止中途窃听。因为在网上银行系统中传输内容包含有大量的敏感数据,比如账号、密码等信息。这些信息一旦被非法窃听,带来的后果是灾难性的。
在传输安全上,目前国际上最为标准的就是SSL加密通道处理。至今未知,在全球范围内还没有手段可以快速而有效的破解SSL加密通讯数据。而PKI证书体系又为网上银行的身份识别带来了非常完善的安全可靠性。SSL处理的端到端特性,保证了SSL通道的建立必须是从客户端直接到服务器端。
然而,SSL高安全性同时也带来了服务器的高资源消耗,因此,在F5所有的硬件设备中,都支持硬件的SSL加解密处理。可以对SSL流量的非对称加解密和对称加解密的处理都在硬件芯片上进行处理。从低端到高端设备型号,F5的BIG-IP系列最低可支持2,000TPS,200Mbps吞吐能力,一直到最高端可支持200,000TPS,36Gbps吞吐能力。并且在许多的金融机构内得到了广泛的应用。
通过SSL加解密通道处理,可以有效的保证数据在广域网上的安全传输。
1.9.3 应用层安全
目前网上银行的主要应用方式均是以Web方式访问为主。除了在网络层面和数据传输方面进行安全防护外,还需要在应用层面上进行安全防护。Web访问方式主要使用HTTP协议,在带来应用访问的便利和友好的用户体验界面的同时,HTTP协议也是最容易受到黑客攻击的协议。比如传统的SQL Injection攻击手段,就是利用了页面和数据库之间的连接进行攻击。并且此类的攻击手段方式多变,和网络层、操作系统层基本没有关系。无法通过打补丁、加防火墙等防护手段进行防范。
针对这种情况,F5公司提供了ASM(Application Security Manager)来提供最高级别的安全防护。ASM通过学习和配置基于应用层面的允许访问策略。
可以防范各种未知的攻击手段,提供系统的最大安全性。同时,避免了防火墙无法进行深层次检测的问题和IPS的负向安全带来的巨大隐患。
第二篇:招商银行网上银行案例分析
招商银行网上银行
一、基本情况
招商银行1987 年在中国改革开放的最前沿----深圳经济特区成立,是中国境内第一家完全由企业法人持股的股份制商业银行,也是国家从体制外推动银行业改革的第一家试点银行。成立25年来,招行伴随着中国经济的快速增长,在广大客户和社会各界的支持下,从当初只有1亿元资本金、1家营业网点、30余名员工的小银行,发展成为了资本净额超过1400亿、资产总额突破2.6万亿、机构网点超过800家、员工近5万人的全国性股份制商业银行,并跻身全球前100家大银行之列。凭借持续的金融创新、优质的客户服务、稳健的经营风格和良好的经营业绩,招行现已发展成为中国境内最具品牌影响力的商业银行之一。在银监会对商业银行的综合评级中,招行多年来一直名列前茅。同时荣膺英国《金融时报》、《欧洲货币》、《财资》(The Asset)等权威媒体授予的“最佳商业银行”、“最佳零售银行”“中国区最佳私人银行”、“中国最佳托管专业银行”多项殊荣。在英国《金融时报》发布的全球银行市净率排行榜中,招行在全球市值最大的50家银行中,市净率排名第一。在英国《银行家》(The Banker)杂志发布的2011年“全球1000家大银行”排名中,位居第60位。招行将“服务、创新、稳健”作为核心价值观,坚持效益、质量、规模、结构协调发展,在国内同业中逐渐脱颖而出。在公司治理上,一开始就将所有权和经营权分离,较早地建立了董事会、监事会和经营班子分工明确、相互制衡的现代企业治理结构。在人员管理上,率先打破当时国内企业普遍存在的“铁饭碗、铁交椅、铁工资”的“三铁”制度,实行“人员能进能出、干部能上能下、待遇能高能低”的了“六能”机制。
二、商业模式
1、战略目标
通过提供创新的金融产品和卓越的客户服务,成为具有国际竞争力的商业银行及中国最好的商业银行。
2、战略制定—SWOT分析
优势(S):具有良好的规模效益,资本结构合理。
“新世纪、新形势、新服务”的营销口号。招商银行已经成为国内著名的金融品牌。招商银行坚持“科技兴行”。人才立行 市场细分与差异化服务。劣势(W)资产负债结构不很合理。
同业竞争加剧,面临市场份额缩小的威胁。金融创新优势前景不容乐观。业务结构有待优化。
机会(0)我国宏观因素运行良好。
国家经济更加规范化、灵活化。股份制上市银行发展迅速。招商银行经营管理水平优势明显,成长性在银行业中最高 银行客户范围不断扩大,业务朝多元化发展。
威胁(T)外资银行进入。国有银行竞争力加强。
3、产品和服务
围绕零售银行业务、客户增值服务、网上银行业务三大重点,招行的业务创新令业界耳目一新,它的许多创新更成为包括四大国有银行在内的同业的学习标杆。其中最具代表性的是以下三大创新产品和服务。
1)“一卡通”
1995年,招行利用在国内的率先构建的全行统一的电子化平台,推出了集本外币、定期活期、多储种、多币种、多功能服务于一体的电子货币卡—“一卡通”。
2)“信用卡”
2002年12月,招商银行创新再次拾阶而上,在国内率先推出了一卡双币的国际标准信用卡。凭借“一卡通”、“一网通”奠定的品牌基础,凭借领先的产品、技术、服务、营销优势,招行信用卡再次取得令业界惊叹的成功。截至2006年6月30日,发卡量已达到690万张,其国内双币种
信用卡市场份额超过30%,成为国内最大的国际标准信用卡卡行。
3)“一网通”
在“一卡通”取得空前成功的基础上,1999年招行在国内再次率先推出先进的网上银行服务—“一网通”。
三、经营模式
始终将科技领先、服务领先放在第一位的招商银行,曾以“一卡通”的率先推出博得了很多用户的青睐,截止1999年12月,全行已发卡650万张。这与招商银行合理创新的经营模式相关。
1、构建完整的网上银行服务体系
招商银行构建包括个人银行大众版、个人银行专业版、i理财大众版、电子商务专业版、企业银行UBANK,实现了从点面服务为主的传统服务渠道向现代化的立体式、全方位服务渠道全面转型。
2、创新网上银行产品与服务
1)尝试B2B
招行个人银行处理客户个人账务,适用于个人和家庭。只要在招商银行开立了普通存折或一卡通账户,即可通过Internet网查询账户余额、当天交易和历史交易等信息(保留1到2年),卡内定活期互转、卡折之间的互转,网上交费,并可获得修改账户密码等服务。
2)通用方便快捷
根据市场、持卡人及商户的需求,在传统结算方式的基础上,开发出具有自己特色的网上银行解决方案。
3)安全技术
招行企业银行采用的是数字签名方式,传输中的数据经过两层加密:一是标准的SSL加密方式,并用小额支付来控制风险。
4)移动银行
目前招行在深圳率先推出了“移动银行”服务,主要包括账户查询、多功能转账、自助缴费等,用户可以通过手机完成。
3、注重网上银行业务推广
一是通过联合众多合作伙伴推出了丰富多彩的促销和推广活动,吸引了大量客户使用网上银行。
二是开展全方位的网上银行宣传,普及网上银行知识并引导客户体验和使用。
三是积极利用网点开展营销。
四、技术模式
招行采用的是数字签名方式,传输中的数据经过两层加密:一是标准的SSL加密方式,另一时似有的加密方式,客户有自己的密码。个人银行中采用了SSL加密方式,并用小额支付来控制风险。网上支付的三方交易时,仿商场操作流程,采用SSL与SET结合的方式。持卡人到商户处购物,选择了商品后,形成订单,通过超级链接到招行付款,在此过程中,商家无法截获持卡人的人和信息,在支付过程中,是银行与持卡人之间的单向联系,进行款项的查询、划拨,再到商家进行确认是否有货及配送方式,最后交易成功。
五、管理模式
1、业务管理
在全面合规管理中,招行将以巴塞尔银行监管委员会的合规标准为目标,以增强合规管理的全面性、系统性和独立性为准则,以健全组织架构为起点,以完善制度机制为核心,以营造合规文化为重点,以现代管理技术与方法为工具,努力构建合规管理的长效机制。
在全面服务管理中,将着重于观察客户需求的变化,并在注重人性化服务的基础上,提升服务的细分化、专业化及标准化,并以客户为中心,构建服务提供、服务支持、服务监督三位一体的服务体系。
2、经营管理
在全面预算管理中,按照“全方位管理、全过程控制、全范围参与、条块结合、利润导向”的原则,逐步实施和不断完善全面预算管理,切实推进经营战略调整,促进效益、质量、规模协调发展。
在全面流程管理中,将依据客户和市场的需求,提高运作效率和管控能力。在全面战略管理中,将不断推出新形势下能满足市场需求的有竞争力的产品,大力发展中小企业业务,力争中间业务发展领先同业并占有较高的收入比重。另外,不断研究和完善未来几年的发展思路与策略,充实与丰富战略规划体系。
3.、风险管理
招商银行将按照全面性、独立性、专业性和制衡性原则,不断健全和完善全面风险管理体系,争取早日达到银监会实施新资本协议的首批达标银行的最高标准。
六、资本模式
招商银行实行统一法人授权经营的商业银行经营管理体制,总行是全行的经营管理中心、资金调度中心和领导指挥中心,拥有全行的法人财产权,对全行经营的效益性、安全性和流动性负责。全行实行“下管一级、监控两级”的管理模式,从而保证资本运营。
七、总结
在这几年的实践中,招行积累了一些经验,产品、服务和营销是网上银行成功的基本要素。
1、创新产品是取得竞争优势的关键
招商银行开展网上银行业务以来,进过多次改版,功能不断完善。由于坚持“统一管理、统一规则、统一需求、同意系统”的原则,为网上银行的全行联网通用提供了坚实的基础。
2、优质服务是网上银行成功的保障
只有产品而没有服务是吸引不来客户的,招商银行除了为客户提供顺畅的网上交易渠道,还为网上银行提供了一系列配套服务。
3、市场营销是推动网上银行发展的有利手段
从1999年全面启动网上银行开始,招商银行开展了一系列市场营销活
动,通过活动,拉近了银行与客户的距离,提高了市场占有率。
未来的一段时间内,招商银行将重点向个性化、和理财化合虚拟化发展。2002年招商银行将开始建设全行CRM系统,在这个基础上细分客户,为网上银行客户提供量身定做的个性化服务;我们还将把网上银行由单纯的交易渠道转变为综合理财工具,为客户提供集投资分析,财务管理和在线交易为一体的理财服务,将“一网通”网站变成客户与银行互动交流的理财社区。
在互联网时代,招商银行走在了中国银行业科技化、电子化、网络化的前列,成为国内网上银行服务的市场引导者。未来,招商银行将凭借电子化银行的技术领先地位,在新一轮的试产角逐中,力争继续领跑网络时代,创建国内最好网上银行。
第三篇:应用信息管理系统_案例分析
国内外应用信息管理系统成功案例及分析网销091 缪海鸿 ERP案例
案例一:高露洁-棕榄公司(Colgate-Palmolive)公司简介
高露洁-棕榄是全球顶尖的消费品公司之一,总部在美国纽约,在全球200多个国家和地区设有分公司或办事机构,雇员总数达40000人。公司在口腔护理、个人护理、家居护理和宠物食品等方面为大众提供高品质消费品,其中有很多是广大消费者耳熟能详的全球著名品牌,如高露洁、棕榄、洁齿白、Ajax、Protex、Fab、Irish Spring、Mennen和Science Diet等等。公司自20世纪30年代就在欧洲几个国家建立了公司,其后不断向国外扩展业务。截至1993年,公司已在全世界70多个国家开展了业务。2004年,其总营业额达到106亿美元。ERP实施概况
高露洁公司采用了SAP提供的ERP系统,实施成功的模块包括供应链管理、客户关系管理、供应商关系管理、人力资源管理、财务管理、综合应用程序、订单处理流程管理,物料清单管理、生产制造管理、员工自助服务及其他。该公司的ERP实施始于1996年,至今已完成2次全面升级,目前包括SAP的R/3系列、mySAP的高级排程计划与优化、CRM、SAP门户和mySAP商业仓库(Business Warehouse)。他们分别在欧洲,北美、南美、南亚太平洋等地的分支机构以及其Hill Science Diet品牌实施了R/3系列的5个实例。此外,还实施了全球人力资源管理,而SAP的商业仓库中目前存储有超过6TB(注:1TB相当于1024GB)的客户数据。目前,其ERP使用人数超过15,000。
案例二:联邦快递空运公司(FedEx)
公司简介
联邦快递空运公司(FedEx Express)全球最大的快递公司,凭借其无与伦比的航线权及基础设施使其成为全球最大的快递公司,向220个国家及地区提供快速、可靠、及时的快递运输服务。联邦快递每个工作日运送的包裹超过320万个,其在全球拥有超过138,000名员工、50,000个投递点、671架飞机和41,000辆车辆。公司通过FedEx Ship Manager at fedex.com、FededEx Ship Manager Software 与全球100多万客户保持密切的电子通讯联系。2004年,其总营业额达到290亿美元。
ERP实施概况
采用Oracle提供的ERP产品。已使用的模块包括PeopleSoft的资产管理、会计总帐管理、财务管理、人力资源管理,电子采购、开支报告、库存管理、项目成本核算及其他。1997年,公司开始实施PeopleSoft的会计总帐和资产管理模块。在之后几年内的两次重大升级之后,2004年,整个系统已包括12个PeopleSoft的模块。FedEx’s的国内及国际运营共用同一实例,而合作服务、运输等使用另一个实例。目前其用户超过20,000人。
MRPII案例
案例:上海第二机床厂
公司简介
上海第二机床厂是一个生产车床的中型国有企业,主要产品为普通车床,数控车床与车削中心等,年生产能力达一亿元(销售收入)。其生产方式是典型的离散型多品种小批量生产。于1986年列入上海机床公司接受世界银行贷款改造单位。
MRPII实施概况
在企业实施MRP-II系统,于1992年购置了IBM AS/400小型机和SSA公司的BPCS软件共11个模块,并于1993年初开始实施MRP-II的进程,目前除能力计划(CRP)外,制造数据维护(MDM)、库存(INV)、采购(PUR)、车间控制(SFC)、主生产计划(MPS)、物料需求计划(MRP)、预测(FOR)、成本(CST)、销售订单(ORD)、数据处理(BIL)等10个模块已全部投入运行。生产用物料仓库已全部取消手工记帐,新产品设计的所有目录与工艺文件定额等已取消手工文件,所有车间制造和采购、外协件已全部进入订单控制,MRP系统每周运行一次,根据其运行结果召开生产/采购调度会。MRP-II系统已成为整个工厂运行不可缺少的基本支持系统。
一、企业应用管理信息系统提高了工作效率
1、高露洁公司提高工作效率的情况
A、需求规划:mySAP可以计算出基本需求,根据市场变化,相应增加业务。
B、绩效确认:mySAP可以得到准确、及时、一致的数据信息来支持
各种规划的决策。高露洁还将使用mySAP商业智能系统(mySAP BI),以更快速地获得更加一致和精细的数据信息,支持整个企业
集团的决策。
2、联邦快递公司提高工作效率的情况
联邦快递的ERP信息管理系统正是通过计算机网络将企业、用户、供应商及其他商贸活动涉及的职能机构集成起来,完成信息流、物流和价值流的有效转移与优化,尤其是企业内部运营的网络化、供应链管理、渠道管理和客户关系管理的网络化与功能全面集成优化。
3、上海第二机床厂提高工作效率的情况
MRP-II 要求把全厂原属于各个部门的相同功能集中起来,便于物流、资金流的管理,例如计划,必须成立单独的计划部门,将车间(工段)作业计划、物资采购计划、外协作计划等集中到一个计划部门中。要将各种物料仓库集中到一个部门管理。
实施MRP-II 对目前国内原材料、加工制造工厂的管理体制,方法进行变革是全方位的,目前是从根本上改变传统管理下企业产品的生产周期长,占用资金多,物质消耗高,经济效益低的落后状况。而使国内企业在管理上上一个台阶。
二、企业应用管理信息系统提高了生产效率
1、高露洁公司提高生产效率的情况
在经营领域,SAP企业管理解决方案能够巩固生产设施。国际市场上消费品的竞争十分激烈,尽管高露洁在SAP系统的帮助下取得了很大发展,但还有些方面需要完善。通过实施SAP R/3系统,高露洁将产生订单和完成订单的实现率提高到90%,但它仍希望通过突破公司在需求和能力方面的局限将该数字提高。此外,通过SAP R/3系统,高露洁在北美将订单在企业内部循环的时间由9天缩减到5天,但即使这样成本还是很高。
高露洁的跨地域资源利用系统(CBS)将需求和全球资源信息整合在一起,使以前的月度预测发展成为每周的定货补充。高露洁的投入迅速见效,其中包括出货率的上升、集装箱整箱率上升、补充订单的循环次数下降、库存下降8%等。在新商业模型中,供应商直接负责对高露洁分销中心的资源补充(在此之前,高露洁的销售分支每月发展不均,向海外的工厂发布的补货要求经常不准确)。新的周补给制度是由客户的订单流量来驱动的,通过高露洁在世界各地的分销中心直接传递给供应商。补给要求也是根据高露洁销售机构提供的需求信息(如推广活动刺激的需求增长等)来计算。
2、上海第二机床厂提高生产效率的情况
上海第二机床厂是一个生产车床的中型国有企业,为改进管理,购置了小型机和软件的11个模块,于1993年初开始实施MRPII。经过2年的实施,已有10个模块投入运行。MRPII系统已成为整个工厂运行不可缺少的基本支持系统。由于MRPII系统的支持,目前新开发产品的设计、制造周期已从过去的1年半至2年缩短为8~10个月,大大增强了产品在市场竞争中的能力。
三、企业应用管理信息系统增加了客户价值
1、高露洁公司增加客户价值的情况
mySAP SCM使高露洁及其合作伙伴、消费者能够快速、实时地掌握订单、预测、生产计划,以及库存、订单完成比率等重要指标,完全掌握各项关键商业数据。mySAP SCM帮助企业提高服务质量、减少库存投资,进而提高企业的市场竞争力。高露洁在应用mySAP系统之后,提高了市场竞争力,在价格战、全球业务拓展和市场推广中更有优势。同时,公司也不断加强与全球客户的联系,此外,高露洁通过电子商务还进一步加强了企业内部整合,密切了与合作伙伴和客户的关系。
2、联邦快递公司增加客户价值的情况
对于讲求速度质量优先的快递公司,供应链、渠道与客户关系的处理显得更为重要。而ERP系统能将这繁琐复杂的联系过程最简最优化以达到快递公司扩大市场占有率,提高企业信誉形象的最好方式。
企业ERP信息管理系统能够根据企业内部和外部的变化,及时与先进的管理思想接轨,抛开企业原有不合适宜的管理思想,迅速适应电子商务时代资源优化及企业间协同发展的需要,能够使企业拥有更强盛的生命力和竞争力,为企业在电子商务时代的发展提供新的机遇。
四、企业应用管理信息系统提高了赢利能力
1、高露洁公司提高盈利能力的情况
要证明管理层的能力最好的证据莫过于这家公司的盈利状况。自从鲁宾接掌了高露洁CEO一职,公司的毛利率从最初的39.2%一直飙升至2000年的54.4%。分析家们认为这主要得益于高露洁不断从小处着手提高效率。例如只要经过简单的改进,一种除臭剂的外包装每个就可节省几分钱。高露洁的管理层并不只是高高在上大谈特谈公司的宏观策略问题,他们还会亲自参与到一些细节的讨论中来。虽然在生产过程中节省每一分钱的成本令高露洁大获成功,但这绝对不是公司致胜的唯一原因。高露洁的另一个撒手锏是,向少数几项利润率高的业务全速发展。公司超过一半的销售额来自两项业务:口腔护理和个人卫生用品,牙膏、除臭剂和液体香皂等产品都属于这些业务。相比之下,其它如洗洁精和清洁剂等产品的盈利能力则低得多。
2、联邦快递公司提高盈利能力的情况
每月两次,总有许多世界各地商业人士愿付250美元、花几个小时去参观联邦快递公司的营业中心。目的是为了亲身体会一下这个巨人如何在短短23年间从零开始,发展为拥有100亿美元、占据大量市场份额的行业领袖。
联邦快递选择了固定价格体系来取代按邮区划定的路程和运量定价体系(postal code-inspired zone and volumn pricing systems),在货运业引起了巨大哄动。这一改变不仅简化了联邦快递的业务程序,也使客户能够准确预测自己的运输费用。弗雷德说服国会使the civil aeronautics board(编者译:美国民航管理委员会)解除对航空快运的限制后,开辟了隔夜送达货运业务(overnight cargo transportation business),使对手公司也纷纷受益,整个行业的利润增加了10倍。
就拿2005年的盈利来说,国际速递巨头联邦快递的母公司FedEx集团宣布,截至8月31日,2005财政第一季(2004年6月至8月)取得每股摊薄盈利1.08美元,与去年同期0.42美元相比,大幅飙升157%。联邦快递还将增设12班货机前往中国,使航班数增加一倍。
3、上海第二机床厂提高盈利能力的情况
上海机床业是这方面的一个典型——这一极为传统的行业藉着数字技术的“点化”,在去年一年取得了盈利猛增近2倍的佳绩,今年又有望增50%。循此路径,相信上海的制造业定能形成巨大的优势。
通过实施行业MRP(企业资源计划)管理、运用信息技术优化业务流程,实现由定
性管理、静态管理向动态管理、事后管理向事前控制的转变,逐步达到科学管理。通过在互联网上设立上海机床工具行业网站,借助网络通信和电子商务开展全球贸易。以“比价采购”、“成本管理”为重点,推动信息化管理取得更好的效益。
五、企业应用管理信息系统完善了企业经营模式
1、高露洁公司完善企业经营模式的情况
高露洁从1995年开始采用SAP提供的企业管理核心解决方案,通过财务管理、后勤规划和其他业务环节等统一并全球支持公司的运营。采用SAP的系统也推动了高露洁公司内部所有产品命名、配方、原材料、生产数据及流程、金融信息等方面的标准化。
这些方面的改进提高了高露洁公司在全球的运营效率,真正实现全球化资源利用。
2、联邦快递公司完善企业经营模式的情况
People-Service-Profit,提高员工的素质,把高质量服务提供给客户,从而产生高利润,再把利润回馈给员工。
在需要与顾客建立更为密切联系的情况下,计算机和通讯技术将导致快递运作管理体制向着集权式管理方向发展;另一方面,在分部门比较多的大型企业,集权式系统难于进行有效管理。创业家最大的贡献在于“化不可能为可能,”他的秘诀在于“远见、时机、冒险精神、执行能力”。确实在70年代初期,顾客并没有主动提出“隔夜送到”的需求,但史密斯相信顾客会欢迎这样的服务产品,并且未来快递市场竞争的关键必然在于速度。
采用转运中心营运模式的一项主要困难,就是需要相当的经济规模,也就是说需要极大的投资金额。但“隔夜送到”的初期市场需求却还看不到,当时法令也还限制航空货运的载货量规模,也就是说史密斯所要面对的创业投资风险将非常高。
3、上海第二机床厂完善企业经营模式的情况
A.管理思想的转变,MRP-II 的管理思想是建立在系统工程、决策论、行为科学、劳动心理学等现代管理学科的基础之上,它形成的管理思想是最大限度地利用已有资源来取得最高的利润。
B.管理目标的转变,MRP-II 的目标是企业的整体效益,通过统一企业的物流、资金流来提高企业的竞争力。
C.管理方法的改变。MRP-II 应用工业工程、计划与控制、质量保证体系、物流与布置、工作研究、工程经济等原理于管理上
D.管理手段的改变,MRP-II 管理的手段是计算机网络系统,通过联网的计算机应用,可以使信息共享,可以迅速、正确、及时地处理企业管理中的各类信息,起到强化管理的功能。
E.管理信息传递渠道的改变,MRP-II 改变用书面文件传递信息的方法而通过设在各个部门的计算机终端下达任务指令,报告完成情况,查询各类数据,在与CAD(计算机辅助设计)连通后还可以将生产图纸直接传送到工作中心。
由于实施MRP-II系统是对企业传统观念,管理方式和工作方法的一场变革,特别是在国有企业内,由于整个企业的运营尚未完全进入市场经济的规范,实施难度很大。成功与否关键在于企业领导的支持和要有一批全心投入于企业改革的人才。
第四篇:网上银行在企业的应用分析
龙源期刊网 http://.cn
网上银行在企业的应用分析
作者:杜 鹏
来源:《科学与管理》2005年第02期
摘 要:为了全面提升企业管理水平,充分利用网络技术带来的进步,网上银行正走入企业资金管理的视野。本文以齐鲁石化公司为例,对齐鲁石化公司资金结算网络的现状进行分析,论证了大型企业实施网上银行的可能性和利弊,根据齐鲁石化公司的情况提出了实施方案,最后讨论了应用网上银行应注意的问题。
第五篇:中国网上银行系统安全性分析
中国网上银行系统安全性分析
前言:本文是对于一般性质的网上银行系统安全性的技术分析文章,对于目前中国国内具体银行的安全性不具有评测功能,也不对任何第三方评测数据负责。以下是正文。
网络银行是一个比较新的概念,中国的网络银行大多是对现有银行专用网的延伸和对银行传统业务方式的补充,银行增加一些软、硬件设备,使得用户可以通过家用电脑连接银行系统,进行各种普通的银行业务,以弥补传统银行业务中营业网点少和营业时间短的不足。中国的网上银行起步比较早的是深圳招商银行,他们开发过第一个面向最终用户的网银系统。招行的网络银行有大众版和专业版之分。随着网络的大规模普及,中国各个银行也都逐步开启自己的网银系统,有些银行的系统仅局限在账户信息查询方面,有些则包含转账付款等功能,还有的已经涉及贷款、投资等方面的内容。随着网银的普及,网银的安全性成为整个系统中最为至关重要的部分了。
今年以来,大量的关于网上银行发生骗盗的报道不断见诸报端。不法分子通过窃取用户的卡号和密码,大量盗窃资金和冒用消费,因此虽然网银对于银行和用户都有不少好处,但是发生这些情况使得银行在推广网银面临非常巨大的风险,提高网银的安全性也是刻不容缓。
根据一般的报道分析,不法分子窃取用户信息主要通过木马程序来进行,比如,黑客首先在用户电脑系统注入木马程序后,驻留在中招电脑系统里的监控系统就可以截取、监控系统及用户上网时打开的网银密码窗口。也就是说当用户在网银程序里输入卡号或密码时计算机就会自动将相关信息的编码发送给黑客,他们再据此进行反读取以破译,钱便被黑走了。目前的网银系统的主要问题是,用户安全性过于依赖用户本身的素质,对于安全观念较差的用户,其密码很容易被盗取,因此这种“信任用户”的安全模式设计是很不合理的。用户的电脑可能安装木马程序,用户的一举一动都可能被监听和窃取,安全的网银系统应该设计成为这样的:假设网银的管理员是黑客,并在最终用户电脑安装木马并且可以监听用户的一切键盘鼠标操作,网银的管理员还可以进行系统管理和操作,但是网银的管理员依旧无法通过网银系统来窃取最终用户的资金。如果能做到这一点,那么这个网银系统就算是比较安全了。
明天,我将继续介绍,这样的网银系统安全性是如何实现,从那些方面可以保证系统的安全性,以及这样的系统存在什么样的漏洞。
点击咨询 