时间:2023-03-06 16:00:34
序论:写作是一种深度的自我表达。它要求我们深入探索自己的思想和情感,挖掘那些隐藏在内心深处的真相,好投稿为您带来了七篇客户端推广方案范文,愿它们成为您写作过程中的灵感催化剂,助力您的创作。
关键词:DCEMAP;无线营业厅;GPRS
针对移动无线营业厅系统,采用了基于DCEMAP的全面解决方案,该方案能为辽宁移动BOSS系统提供了安全、方便、快捷的GPRS无线接入解决方案。对GPRS网络现阶段存在高延迟,低连接速率,访问速度慢等特点有效改善用户访问体验,降低安全风险性。
1 DCEMAP核心技术
DCEMAP直接让在应用服务器上的应用程序与客户端设备沟通,既提高性能,又简化加密安全与效能之间的矛盾。DCEMAP解决方案通过设置专门应用部署服务器群组,将关键性的应用软件集中安装并进行,所有应用软件的客户端将100%在这些服务器上执行,即Application Serving(简称A/S结构),从而使得用户无论在何地,无论使用何设备,都能通过各种网络连接方式高效访问总部的各种程序和数据。
多个用户透过不同的客户端设备,同时访问和执行服务器上的同一个应用软件。产品在网络操作系统之上构筑了一层集中计算模式的平台,改变应用程序客户端的安装、和管理模式,实现了“以应用为核心,贯穿所有的节点,对系统的管理和控制由面简化到点”。DCEMAP这种基于服务器的计算的模式之所以成为可能,是因为使用了独立计算体系结构(ICA)技术和MultiWin技术。ICA 协议是基于服务器计算的一项事实上的标准,它把应用处理从客户端设备转移到了服务器之上。MultiWin是微软用以创建Terminal Server(终端服务器)的一项技术,它能让多个用户同时访问在一个服务器上运行的应用程序。ICA作为OSI表示层,分成多个虚拟通道,每个通道只负责一种功能的数据传输,且可以单独开启或关闭,数据在送往虚拟通道前均被压缩,在通道中传输可选择多种加密方式保证数据安全。
DCEMAP应用过程及技术实现主要有以下步骤。
(1)DCEMAP的组件Webinterface为用户提供统一接入平台,用户开启IE浏览器访问DCEMAP的Web Port站点,输入用户名和密码,由Web服务器通过XML服务向DCEMAP服务器传递身份验证信息。身份验证后,DCEMAP服务器也通过XML服务向Web服务器返回的应用设置,并在客户端IE浏览器上显示出该用户授权范围内的应用程序图标。
(2)用户点击应用程序图标时,即通过ICA协议向DCEMAP服务器发出会话请求,DCEMAP监听ICA端口1494收到请求,验证用户请求的信息,建立ICA虚拟通道,在服务器端应用MultiWin技术为此会话分配独立内存空间,在此内存空间里启动该用户的请求的应用程序。
(3)应用程序运行后的位图变化由ICA利用底层图形技术采集和编码,在送往ICA虚拟专用通道前需经过优化的行程长度压缩(RLE)技术进行数据压缩。
(4)客户端接受到ICA通道传输的数据后由ICA客户端解密、解压后重组位图还原为应用图形,其应用屏幕的更新采用服务器推送方式;同时客户端的键盘鼠标操作信息由ICA客户端收集同样经压缩、加密通过ICA虚拟通道传输到服务器段还原为对应用程序的操作。
2 DCEMAP解决方案
为保证系统的业务连续性,在不破坏现有信息系统的前提下,利用现有的网络设施和资源,仅通过增加DCEMAP应用部署服务器层来改变无线营业厅系统的、管理和访问的模式,即能达到安全、快捷、简单地应用无线营业厅系统。
在公司内部域中建立DCEMAP服务器群,自带智能负载均衡功能,并和移动BOSS营业WEB服务器同处于一个网段中,部署并移动营业系统的客户端;为合作伙伴以及大客户建立AD用户,加入域指定全局组和OU中,设置OU组策略,并授权访问DCEMAP的移动营业系统。
合作伙伴以及大客户经理的计算机不需要高的硬件和软件配置,只需要安装IE浏览器,再下载安装基于浏览器IE的DCEMAP插件(可通过推送方式实现)即可。手机接入时,只要手机支持IE浏览器,无需对现有应用做任何改造开发,利用移动现有的网络设施和资源,仅通过增加DCEMAP应用部署服务器层来改变营业系统的、管理和访问的模式,即能达到安全、快捷、简单地应用营业系统。
DCEMAP服务器部署在移动内网中,BOSS系统客户端,后端与BOSS系统通讯。合作伙伴或大客户经理使用无线网卡拨入GPRS网络,通过对指定SIM卡的认证,获得内网地址。通过内网直接访问DCEMAP服务器,使用移动AD帐户登陆DCEMAP服务器,从而应用BOSS系统。
由于DCEMAP客户端向服务器的传输的只是键盘鼠标的信息,而服务器向客户端传输的是位图的变化,并经过压缩加密。所以,用户使用无线营业厅系统时,只需10~20Kbps,只有在打印和上下载数据文件的情况下才会占用更多的网络连接资源。经测试现有GPRS网络可满足用户使用要求。由于DCEMAP客户端没有运行应用程序,因此客户端无需很高的配置,客户端成本很低。而且,由于客户端只是远端呈现,不会在IE上留下Cookie信息,也可以限制用户进行拷贝等操作,保证了信息的安全。
3 DCEMAP接入平台的优势
(1)使用DCEMAP产品确实有助于提高应用的效率,由于只在DCEMAP服务器跟客户端之间传送画面及鼠标、键盘信息,所以传送数据只与画面变化及鼠标、键盘信息多少有关,尤其是一些操作,在BOSS客户端跟BOSS服务器间需要传送的大量的数据,但显示画面却没多少改变时,该产品优势尤为明显,生成大容量报表操作就是一个明显的例子。
(2)要使用DCEMAP接入平台访问BOSS服务器,只需在DCEMAP服务器上安装基于B/S的浏览器或基于C/S的BOSS客户端程序即可,而用户只需跟DCEMAP服务器连接,就可以用IE浏览器登录访问。接近B/S模式,方便用户使用。同时对原有应用系统无须二次开发和改造。
(3)DCEMAP平台具有断线恢复功能:如果连接过程中出现断线的情况,只要不关闭DCEMAP,待客户端重新连接服务器后,可继续处理;同时也可设置空闲超时断开,超时自动关闭等安全措施。
(4)维护较方便,如有问题可远程检查DCEMAP服务器即可。
(5)安全性高,在DCEMAP和客户端通信中只传输图像变化的部分,并没有传输实际的数据,并且传输过程中采用了多种加密方式;如使用专用隧道、登入DCEMAP需要认证用户和密码,其所的程序还需有管理员授权才能看见和启用。
目前,第一财经新媒体移动客户端产品主要分为两个序列:资讯媒体序列和应用产品序列。
一、资讯媒体序列。该序列主要有第一财经新媒体iPhone、Android客户端、第一财经广播iPhone客户端、《第一财经日报》iPad客户端、《第一财经周刊》iPad客户端。此外,正在探讨推出第一财经电视的iPad客户端,目前处于调研阶段。 第一财经新媒体iPhone、Android客户端针对中高端投资者和关注经济热点的人士,属于金融资讯类,免费下载使用。除不断推出即时资讯外,还开设了图片专辑与音视频新闻。图片专辑讲述财经新闻或故事,避免纯粹文字新闻的枯燥和乏味,带来视觉享受。《第一财经日报》iPad客户端则是专为海内外读者设计的呈现《第一财经日报》内容的iPad应用程序,目前开发有App免费版本。其中部分内容的推出时间领先于《第一财经日报》的清样印刷时间,方便海外读者阅读。而第一财经广播iPhone客户端和《第一财经周刊》iPad客户端则针对关心投资市场与经济热点、生活资讯的受众设计的应用程序,并通过一财广播的官方微博参与互动,丰富了编播对话渠道。
二、应用产品序列。该序列主要有第一财经证券iPad、iPhone客户端,CBN金融蓝皮书,以及第一财经理财手机。
第一财经证券iPad、iPhone客户端侧重于理财应用,为投资者打造随身理财专家。整合了第一财经旗下各媒体的财经信息服务精华,包括沪深两市股票行情数据、视音频播报、海量滚动资讯、实时证券交易等。CBN金融蓝皮书则是依据“第一财经金融价值榜(CFV)”评选结果而推出的年度金融新闻报告,包括年度金融人物、年度经济学家、年度金融机构、年度理财品牌以及年度金融书籍等。适合学术界、商业界和媒体界的人士使用。而第一财经理财手机则有别于iPad、iPhoRe应用程序的移动客户端,它本身是一款手机,嵌入第一财经的资讯内容及交易功能,专注于行情和交易,是为具有一定投资理财意识的大众投资理财人士提供的贴身随行的理财手机。
三、第一财经发展新媒体移动客户端的思考
1.移动客户端单一化还是分散化?
第一财经作为国内最大的全媒体资讯平台,在新媒体移动客户端建设初期,曾有过“推出一个第一财经客户端”还是“按照子媒体推出多个客户端”的争论。
前一种方案认为,既然第一财经是一个高度统一的品牌,那么在新媒体移动客户端建设上,应该集中所有优势资源,做成—个“巨无霸”性质的集合多种资讯形态、功能的客户端,以提高对消费者的黏性,并且有助于经营模式的构建。因为单个客户端更容易积累下载量、点击量,从而产生广告价值。
后一种方案认为,新媒体移动客户端建设应该把用户体验放在首位,并且顺应第一财经全媒体“品牌统一,内容相对独立分散”的格局。从技术角度看,根据各种媒体形态分别设计相应的移动客户端,更利于用户的使用,体验更好,毕竟移动客户端不是网站,硬件条件难以支持仅靠一个客户端就能满足第一财经庞大的视、听、读、交易等资源与功能。
该方案还认为,第一财经目前这种“品牌统一,内容相对独立分散”的生产格局是合理的,并不需要刻意去改变与打破。一方面强调资源共享与融合,另一方面要尊重各种媒体形态的差异性,。因此,第一财经移动客户端也有必要顺应这种格局的需求,依靠各个子媒体的移动客户端建设,最终形成完整合理的产品集群,也是一种较为理想的形态,也能产生良好的广告价值,形成健康的经营模式。
该方案还指出,调研显示,用户每天花在新媒体的时间有一个平均值,基于此,不管产品是单一还是分散,争取到的读者时间其实是相差不大的。
2.移动客户端建设与网站的关系
一般说来,移动客户端与网站都属于新媒体的范畴。本文在介绍第一财经移动客户端的同时,也适度探讨一下第一财经网站与第一财经移动客户端的关系问题。 实践证明,一财网()与第一财经移动客户端形成了良性的互相促进的关系。
目前最成功的一个例子是,《第一财经日报》iPad客户端与一财网的融合。该模式可以简单总结为“日报内容、宫博推广、iPad页面、网站链接”。
读者打开《第一财经日报》的官方微博可以发现,近一个月该微博出现了新的内容形态:以《第一财经日报》当天的热点新闻、评论作为主体内容,以一财网的链接作为全文阅读,以日报iPad的页面作为配图。
该模式一方面发挥了iPad页面的美观功能,对iPad是一个推广,另一方面增加了一财网的点击量,扩大了网站的影响。而《第一财经日报》的内容也得到了更大范围的呈现,扩大了日报的影响力。并且,这也丰富了《第一财经日报》官方微博的内容形态,提升了微博的内容建设。
3.如何构建经营模式
新媒体移动客户端的建设,不是简单的数字化转型,也要充分考虑如何构建可持续的经营模式。
目前,第一财经新媒体移动客户端的经营模式还处于起步与探索阶段。笔者认为,这将经历三个发展阶段:(1)传统媒体的助手;(2)新媒体与传统媒体并驾齐驱;(3)新媒体成为广告与市场活动的主要贡献者。
当前,第一财经新媒体移动客户端正在扮演着为《第一财经日报》、电视、广播等传统媒体服务的角色,还未能大规模产生独立的广告收入。
比如,《第一财经日报》iPad多次承担了《第一财经日报》市场部的任务,如2012米兰时装周、2012巴塞尔钟表展等,有效发挥了iPad对图片的独特呈现优势,克服了报纸版面的有限性与时滞性,获得了日报广告客户的好评,有力配合了日报经营活动的开展。
长远来看,第一财经新媒体移动客户端要形成良好的经营模式并担纲主力,还有很长的路要走。这需要技术开发的不断投入,用户体验的不断提高,下载量与点击量的逐步积累,以及广告客户的最终认可。
在这个过程里,拥有强大传统媒体内容基础与客户资源的第一财经,如何处理好传统媒体的内容优势与新媒体的技术优势的关系,也是经营模式构建的重要议题,在此不展开更多论述。
4.未来的发展方向
随着技术进步与用户习惯的改变,新媒体必定是传统媒体未来形态的主要演变方向,新媒体首要解决的是原有传统媒体的数字化生存和发展的问题,而不是脱离原有的内容优势独立创造出一个新的产品。立足未来,第一财经新媒体移动客户端的发展方向主要有:
(1)丰富产品形态。目前第一财经电视的iPad客户端正处于调研阶段,该产品的目标是实现与第一财经电视的同步直播。这将极大丰富第一财经新媒体移动客户端产品序列的内容架构,满足视频用户的需求。也将在目前极有发展潜力的“微视频”领域建立起商业模式。
(2)走向应用领域。未来第一财经新媒体移动客户端将更多向应用领域的方向发展,互联网技术和通讯技术的发展为财经资讯的收费服务提供了条件和空间,比如基于《第一财经日报》历史数据库的“第一财经电子文丛”等。
【关键词】房屋登记 信息查询平台 WebService
镇江市房产信息查询平台采用Web模式,基于B/S模式实现镇江全市房产联网数据的查询设计、信息查阅和数据统计等,完成纪检部门、公积金中心、金融机构等单位对镇江市房产登记中心提出的房产信息联网数据共享需求。本系统包含的功能有:纪检系统信息查询、公积金信息查询、金融机构信息查询、收费管理、系统管理等。除了产权信息之外,同时也将商品房备案系统数据整合进来,从而形成涵盖全市的产权登记信息及商品房备案信息的全面信息库。为以后的银行、公积金、地税等相关单位提供信息查询服务,实现整个镇江市产权数据全面、完整的综合查询服务。
1 系统设计方案
系统设计方案如图1。
为实现查询平台的各项功能此次采用了基于CXF的webService服务,提供webService方式的房产信息服务,从而为其他合作单位的业务系统与房产信息平台的信息查询提供灵活的对接方式。WebService技术,能使得运行在不同机器上的不同应用无须借助附加的、专门的第三方软件或硬件,就可相互交换数据或集成。依据WebService规范实施的应用之间,无论它们所使用的语言、平台或内部协议是什么,都可以相互交换数据。
事实上,许多IT工程师宁愿忍受浏览器所带来的功能限制,也不愿在局域网上去运行一个DCOM。所以,我们借助CXF提供前端建模的概念,允许您使用不同的前端API来创建Web服务。API允许您使用简单的工厂Bean并通过JAX-WAS实现来创建Web服务和动态Web服务客户端。
2 地税WebService查档
2.1 获取数据说明
如果是通过产权证号查,查的数据有:
10001:10001*D:Z:QUERY#keycode:0200002689
fcbookowner=ownername,ownertype,owneridtype,ownerid,contractdate,appmoney,hsfrom,rightshare,qszylx_0,sfwyzf_0,zrflxdh_0
hsbuyer=hsbuyer,hsbuyertype,hsbuyerid,hsbuyeridtype,csflxdh_0
说明:所有以_0开头的都是地税需要但是房产没有的字段,在提供的xml也需要提供这些字段(xml中这些字段需要去掉_0),只是字段的值可以是空。
2.2 密钥认证方案
(1)地税业务系统发送获取数据请求,在请求中除了业务数据请求字符串之外,还应包含“数据获取说明”中规定内容。
(2)请求方式为socket通讯方式。发送的业务数据由部署在指定服务器的Socket客户端接收。
(3)服务器的Socket客户端接收请求后,应用程序开始读取客户端的IP地址和密钥码信息,应用程序向房产端的webservice发送请求,请求数据中包含客户端的IP地址,密钥信息和业务数据请求字符串。Webservice首先M行验证客户端的IP地址和密钥码信息是否在数据库中存在,如果存在,根据业务数据请求字符串查询房产数据,并在进行查档扣费后返回房产数据,否则返回空。
(4)Socket客户端将相应的结果返回给地税业务系统。
参考文献
[1]顾宁,刘家茂,柴晓路.WebServices原理与研发实践[M].机械工业出版社,2005.
[2]蔡月茹,柳西玲.WebService基础教程[M].清华大学出版社,2011.
[3]陆昆仑,李旭东,吴媛静.WebService编程[M].北京希望电子出版社,2014.
[4]王紫瑶.SOA核心技术及应用[M].电子工业出版社,2009.
[5]卡林.JavaWeb服务[M].东南大学,2008.
[6]KapilApshankar.开放源代码的Web服务高级编程[M].清华大学出版社,2015.
商业银行对其信息系统进行国密算法升级改造既是一项监管政策要求,也是银行提高信息技术安全可控能力的重要途径。企业网银系统是银行针对企业客户提供支付结算等多种金融服务的应用系统,相比个人网银系统,虽然单笔交易金额大、安全防护要求高,但也有用户数量少、交易笔数少、系统架构简单的特点。因此选择以企业网银系统为样本进行国密算法升级改造具有相对较低的实施难度,并可为其他重要信息系统的改造积累经验。本文针对基于公钥密码体系的典型企业网银系统,研究制定国密算法升级改造方案,并对其中涉及的关键环节和问题进行了分析。
一、企业网银系统现状分析
1.1企业网银系统的典型架构
企业网银系统一般采用B/S模式部署。在网络上,采用分区纵深防护的原则,划分为网银外联区、网银DMZ区、网银应用服务区和核心内网区,系统服务器分为典型的Web、应用、数据库三层次。同时,通过在客户端、服务器端部署智能密码钥匙(USB-key)、安全网关、签名验签服务器等密码组件,实现加密技术的应用,确保交易过程的安全。以下为网银系统部署示意图。
各区域主要功能为:
(1)网银外联区:到互联网的线路连接,外部用户接入区。
(2)网银DMZ区:负责验证客户身份并处理用户访问请求,客户与SSL安全网关建立安全传输通道,对系统Web服务器进行保护。
(3)网银应用区:部署网银系统应用服务器和签名验签服务器。
(4)核心内网区:部署数据库服务器,并通过此区域和银行其他信息系统进行数据交互。
(5)证书认证区:部署电子认证系统,负责客户数字证书的生成和核验。
(6)客户端:客户采用浏览器和智能密码钥匙(USBkey)与网银系统通信。
1.2系统密码算法应用场景及对应关系
密码技术在企业网银中一般起到保障数据传输安全、身份认证安全和交易信息安全三种职能。在数据传输方面,浏览器与网银安全网关之间通过建立SSL加密通道方式确保数据传输过程的安全,在建立SSL会话过程中,采用了对称加密算法AES协商会话密钥。在身份认证方面,通过客户、服务器建立双向数字证书认证机制,数字证书一般采用RSA算法生成,防止被仿冒。在业务交易环节,网银系统对客户提交的交易信息采用摘要杂凑算法SHA-1进行了签名加密,服务器端对应进行了验签,确保交易信息安全。
综上,网银系统中密码算法的应用共有数字证书生成、身份认证、通信协商、签名验签四个场景。国密算法改造需将各个应用场景中的国际通用算法替换为对应的国产SM系列算法。
二、系统算法升级改造方案
根据企业网银系统架构,采用分区域分模块改造的方式,对系统采用的全部通用算法进行改造。具体可分为安全基础设施改造、业务应用系统改造、客户端改造三部分。
2.1安全基础设施改造
安全基础设施改造的主要任务是对企业网银系统服务器端使用的安全接入设备、签名验签服务器等密码产品进行升级,替换为由国家密码主管部门批准的产品,使企业网银系统在软硬件上具备使用国密SM系列算法的基础。
2.1.1安全网关改造
通过对安全网关进行升级,实现安全网关可支持与客户端建立基于国产算法SM4的双向SSL加密链路,提高SSL协议传输的加密强度。
2.1.2签名验签改造
签名验签服务器作为底层硬件密码设备,将为应用服务器提供硬件密码生成和核验服务。改造后,新的签名验签服务器应支持对国产SM系列算法密钥的加密和解密。
2.2电子认证(CA)系统改造
网银系统一般采用第三方CA系统签发数字证书,对CA改造的目标是实现支持国密算法SM2签发的数字证书。银行应选择具有电子认证服务使用密码许可资质的单位合作建设基于国密算法的证书认证系统。
2.3网银应用系统改造
2.3.1应用系统改造内容
应用系统改造的内容是与新算法的签名验签服务器对接,可以直接调用新的签名验签服务器提供的开发接口方式实现。然而考虑到新的密码算法上线后,旧的密码体系并不会立刻中断,应用系统将会同时收到由SM2算法和RSA算法签发的两种不同类型的数字证书认证信息以及由SHA-1算法和SM3算法签名的两种不同类型的客户交易信息。因此应用服务器改造后还必须具备同时识别不同算法的数字证书和签名信息的能力。考虑到对重要生产系统实施大规模改造的复杂度以及对客户服务连续性的影响,可以通过部署密码服务中间件的方式,降低应用系统改造工作的难度。
2.3.2密码服务中间件的设计
密码服务中间件将签名验签、数据加解密过程采用中间件进行包装,由密码服务中间件同时连接新旧算法的密码设备,并自动判断是报文的加密算法并进行相应的解密。应用系统则改造为直接调用密码服务中间件的标准接口,实现了密码服务与应用系统的松耦合,从而简化了系统算法兼容性改造的复杂度。密码服务中间件的架构如图2。
2.4客户端改造
2.4.1硬件改造
新的客户端硬件设备需要选用内置了国密算法的设备(智能密码钥匙),同时该设备作为数字证书的载体需要兼容国密算法的数字证书。
2.4.2软件改造
客户端软件改造的核心内容是实现浏览器对国密算法的支持。目前SM2算法尚未被Windows系统和IE浏览器兼容,导致SM2算法数字证书无法直接应用在现有的客户端环境中。由于这一现实困难,一些机构在系统国密改造时,采用了通用算法和国密算法混搭使用的多证书方式,即使用浏览器支持的通用算法(RSA2048和AES)用于会话协商和证书认证,在需要签名时,再调用国密算法(SM2)证书进行签名。这种方式作为过渡方案有其合理性,但由于算法改造不够彻底,后续还面临较高的升级成本。国内相关安全厂商已于2015年推出了国密专用浏览器,实现了对国产密码算法和安全协议的完整支持,且通过了国家主管部门的检测。因此,在本次网银系统改造中,我们在客户端采用专用浏览器的方式,实现系统密码算法的全面国产化和改造的彻底性。采用国密浏览器的不足之处是需要给客户额外安装专用浏览器,需要做好客户引导说明。
三、系统上线和推广
3.1新旧系统的并行过渡期
系统国产算法升级改造完成后,原有通用算法体系下的存量客户会在一段时间内逐步迁移到新的系统。这就需要考虑新旧密码体系的并行和过渡问题。
为降低技术复杂度和对现有生产系统运行的影响,可以采用新增国密算法系统前端网络入口的方式,将国密算法的网银系统Web层服务器独立进行部署。一是启用新的国密网银系统域名,便于区分网络流量和用户群体。二是配置独立的国密SSL安全网关,对新的密码算法体系下的客户建立国密安全通道并完成身份认证。
3.2新系统的推广应用
国密算法的企业网银系统的推广应用工作影响因素多、实施周期长,为高效快捷完成新国密系统的推广,可以从三个方面展开工作:一是加强组织领导,周密部署,总分行联合制定推广工作方案,将推广任务逐层分解,设定目标和考核机制。二是采用短信通知、电话热线、网站提示等多种服务渠道加强宣介,积极引导客户主动到当地机构网点进行客户端设备的升级更换。三是对重要客户采用客户经理会同信息科技人员上门服务支持等方式,提升服务质量和客户满意度。
关键词:质检机构 vpn 组网方案
中图分类号:S886文献标识码: A 文章编号:
一.背景介绍
随着质检机构对于网络的依赖程度越来越高,大部分质检机构都建立了局域网和广域网。随着信息化建设的深入,围绕不同的网络平台而展开的业务系统越来越多。由于博州质量与计量检测所需要对外开展业务,使在单位之外的工作人员通过internet网络访问,并进行工作。其核心的关键业务系统放在内部的局域网来访问,对于广域网上的工作人员访问业务系统来说,面临如下几个方面的问题:
1.业务系统直接挂在公网上,容易被黑客攻击
2.业务系统数据未加密,很容易被黑客所窃取
3.没有足够的安全保障,在广域网上访问的电脑客户端所携带的木马病毒极易侵入到内部网络中
4.业务系统认证手段单一,很容易造成冒名登录,造成信息泄漏
以上是广域网访问遇到的问题,但是对于在局域网访问的核心关键业务系统来说也是不可避免的,下面我们看下我们到底会面临哪些问题呢?
二.目前面临的问题
1.为了保护核心关键业务系统的安全,直接将其放置在内部局域网访问,核心关键业务系统只针对部分人员开放,但互联网上的其他办公人员极有可能登录访问,因此存在一定安全隐患,所以需要对于核心关键业务系统进行逻辑隔离。
2.核心关键业务系统在内网进行访问,已经足够安全,但是核心关键业务系统的数据未进行加密,而这些核心关键数据将直接暴露给局域网的其他用户,其他用户极有可能通过一些黑客工具获取到这些数据,造成信息泄漏,因此存在数据被窃取的风险
3.对于内部的核心关键业务系统来说,只采用了简单的用户名和密码认证方式,这些简单的认证方式极易被内部的技术高超者所破解,就很容易出现冒名登录的情况,因此存在着冒名登录的风险
4.内部有关键业务系统,接入访问人员不一,因此存在着越权访问的风险
5.对于哪些需要访问核心关键业务系统的电脑来说,一旦这些电脑中毒或者中了木马,那么这些危险的信息就有可能在访问这些核心关键业务系统时而感染这些业务系统,极有可能造成内部核心关键业务系统的瘫痪,因此存在着客户端的安全隐患.
三.解决方案
为了更好地解决针对内部应用系统进行保护隔离,笔者提出了SSL VPN解决方案。
SSL VPN 应用隔离保护拓扑:
互联网用户通过ADSL设备连接到SSL VPN设备,SSL VPN由于使用ADSL拨号的方式连接互联网,所以分配了动态的IP地址。SSL VPN使用动态域名手段来解决动态IP的问题。当用户连接到VPN后,可以访问博州质量检测所的质检系统。
解决方案简述:
1.为了更好地保护内部核心关键业务系统,通过SSL VPN来进行逻辑隔离,保护内部核心关键业务系统
2.为了保证数据传输的安全性,SSL VPN提供多种加密算法,并通过SSL协议保证数据传输的安全性
3.为了对于接入访问人员进行控制防止冒名访问,深信服提供多种身份认证手段保证接入访问身份的安全性。
4.对于有核心关键业务系统,而核心关键业务系统使用者不一的情况,SSL VPN提供细致的权限划分,为不同的接入人员划分不同的访问权限,防止越权访问
5.为了保证接入终端的安全性,提供客户端安全检查功能,防止客户端携带的木马病毒威胁核心关键业务服务器。
四.SSL VPN功能介绍
SSL VPN安全网关使用安全套接层(SSL协议)提供数据加密,保证数据在公网上传输的安全。由于SSL 协议属于高层安全机制,因而广泛应用于Web 浏览程序和Web 服务器程序。当前几乎所有的标准浏览器中都内置了SSL协议,因而企业员工、合作伙伴、移动办公人员可以通过任何标准的浏览器实现远程安全接入。
SSL VPN安全网关内置了CA认证,用户可自建CA中心,也可支持第三方CA认证。除了支持常规的Local DB,LDAP/AD,Radius,Secur ID等认证以外, SSL VPN安全网关还支持USB Dkey的双因素身份认证。通过将SSL加密隧道与USB Key认证相结合,结合客户端计算机安全检查功能, SSL VPN安全网关为企业用户提供了完善的内部网络或应用程序的安全远程接入服务。对经常外出的移动办公人员,只要通过任何标准Web浏览器,就可以在任何场所、通过任何终端,无需安装任何客户终端软件就可以安全访问公司的任何资源。
由于采用了IP Tunnel技术, SSL VPN安全网关实现了对应用程序的完整支持。包括:文件共享/打印、FTP、Outlook、SQL、Lotus Notes、Sybase、Oracle、Citrix等常用应用程序以及基于TCP、UDP以及ICMP协议层以上的所有应用程序的支持。对于网络维护人员而言,由于SSL 的易用性,无需部署和维护客户端软件,极大降低了管理和维护VPN网络的工作量。对于拥有众多的移动员工、远程用户以及合作伙伴的企业用户来说, SSL VPN提供了性价比极高的远程接入解决方案,降低了企业的总体拥有成本。
目前针对国内存在的不同运营商之间VPN互连使用时带宽小、延迟大的问题, SSL VPN安全网关创新性采用了多线路智能选路的专利技术。该技术结合了深信服科技原有的多线路复用技术。在企业的数据中心采用多条上网线路,当VPN客户端在访问总部资源时, SSL VPN安全网关会自动检测最优线路,使得使用不同运营商上网线路的VPN客户端访问企业数据总部时的速度大大提高。SSL VPN安全网关的多线路智能选路功能,不仅解决了跨运营商部署VPN网络时的延迟问题,还实现了企业上网线路的带宽迭加和负载均衡,有效扩大了网络的出口带宽,保证了企业VPN网络的稳定性。
为了避免因SSL 的易用性,客户端的不安全因素通过SSL VPN登录到企业内部网络而导致的安全问题, SSL VPN安全网关集成了对客户端计算机安全性检查的功能。有效防止了不具备相应安全等级的终端用户通过SSL VPN登录到企业总部带来的安全隐患,保证远程接入的安全性。并且, SSL VPN安全网关除了支持多种常规安全认证以外,还增加了基于手机短信的动态身份认证功能。
到现在还有不少人记得第一代英特尔博锐技术时的那场经典话剧,孙小空、白骨静……一干企业白领演绎出一场活脱脱源自日常工作的烦恼与喜乐。那一次,让观众在笑声中明白,原来技术并非都是冷冰冰的,它如同无形的手,改变着你的工作,也在一定程度上影响着你的情绪。
然而,企业应用可不是演话剧,要的是真材实料,真刀真枪。从2006年英特尔开始倡导客户端管理开始,博锐技术就开始了它的商用之旅,从早期台式机,到后来覆盖到移动领域,坚守价值内核,融入创新技术,演进到第五代的博锐产品在实际应用中证明了它独特的商业价值。
智能是平衡之道
《哈佛商业评论》提出一个观点:“过去是推的年代,现在却是拉的年代。”虽然这是带有普适性的推论,但聚焦于IT领域,却发现是那么惊人地贴切。IT本身就是与企业、业务深度融合的,这种发展变化本身也就是IT的角色变化。
“过去是把想法和产品推给客户,未来是吸引客户围绕在自己周围,企业必须借助更多平台,利用各种新技术来提升竞争力。”3月25日,英特尔(中国)客户端平台部经理张健在接受本报记者采访时谈及“企业2.0”的概念。他认为,过去更多谈到的是企业如何应用以Web2.0为基础的互联网技术来提高企业在协同、创新以及客户沟通方面的效率,并且降低成本,但对这种概念带来的挑战却甚少提及。应对挑战离不开后台的技术支持,尤其是智能的技术和思维,这是一种平衡的策略。
在第二代英特尔智能酷睿处理器后,博锐平台也随之进行升级,面向商用客户端的博锐技术(基于第二代英特尔智能酷睿i5、i7处理器及特定芯片组)正式服务企业用户。时间推移,市场成熟度提高,如今的博锐平台技术已经不再如早期一样,被认为是拥有大量客户端的大中型企业的首选,它不仅走进了垂直行业,还走进了数量庞大的中小企业。虽然企业规模不同,但同样基于企业商用,同样有对安全、管理、性能方面的需求,博锐技术提供了一种有别于消费类产品的高附加值选择。
在桌面虚拟化领域,英特尔是主要倡导者之一,在技术诉求方面,桌面虚拟化带来的优势,以及对后端产品的需求与英特尔博锐平台早期的价值定位十分趋近。“越来越多用户考虑使用桌面虚拟化,我们总结出几点原因:帮助简化管理,从应用和数据的角度看,集中管理完全可以在后端进行;解决信息安全问题,所有数据都集中管理,可以大幅提高安全性;节能减排,虚拟化是实现绿色企业的有效手段。”英特尔(中国)商用电脑产品经理陈乐良认为,企业做桌面虚拟化的主要动机在于安全和管理,与英特尔博锐技术完全一致。
而要实现虚拟化,一般都依赖于强劲的硬件基础性能,对于前后端结合的桌面虚拟化而言,既需要强劲的后端,也需要智能的客户端,这样可以给客户提供灵活的选择。”张健把用户与后台之间的交互归结为数据、计算、管理的调配,技术手段无非就是在这三个维度上的调整。“每个企业的需求是不一样的。如何面对今后的需求,同时保留最大的灵活性非常重要。”张健认为,“在整个设备部署里面,在前后端有一个平衡的计算能力是很重要的,当前端需要的时候,它们有足够的计算能力、足够的管理能力来满足用户的需要,同时又不降低用户整个生产效率。”并非所有计算压力都集中在后端才是最佳方案。“笔记本电脑需要在移动过程中保持一定程度的本地计算能力。即便是在虚拟机概念里,性能对用户来讲仍然非常重要。”张健给出一组比较数据,如果通过加密算法上网进行认证,采用当前博锐平台比瘦客户端快75%;如果登录企业内网,网页包含大量图片、文字,甚至视频和Flash,基于当前博锐平台打开网页要比瘦客户端快10倍。“这些速度的快慢影响着员工日常的工作效率和整体的用户感受。”智能的前后端配合将带来更好的经济性和前端用户体验,并为未来创新留出了发展空间。
帮客户算好经济账
成本控制、大规模部署、稳定与可靠性的要求都对客户端提出了新要求。同样突出的一点还有移动化。笔记本电脑提高了企业员工的办公灵活度,但同时对数据安全和有效管理也带来了新挑战。“英特尔三方面主要技术在推动新博锐平台发展。”张健介绍说,先是要保证后台保护是透明运行的,用户完全不会有任何感知,也就不会受到影响;同时,应对全球企业每年200万台笔记本电脑失窃的实际状况,基于硬件芯片组的防盗技术开始大规模推广,即便遗失,关键数据也不会被泄露。而对于经常移动中的笔记本电脑来说,远程依然可以接受主动管理服务,通过公用互联网,依然能接受企业的IT远程技术支持,甚至可以通过无线方式来进行。这些对于企业来说,都是切中了问题的要害。
对于英特尔来说,不断升级的新技术特征都是为合作伙伴提供创新的可能性,硬件层面已经准备完毕,后面的工作就是广结善缘,打造生态系统了。“这是一项持久又庞大的工程,从硬件产品的设计、优化到软件调优,我们长期与合作伙伴密切合作。目前,我们在全球已经有约550家各类应用方案提供商在博锐平台上提供解决方案了。”张健表示,从总保有成本角度看,基于博锐平台的智能化客户端解决方案一定是企业客户的最佳选择。
英特尔客户端平台部经理张健答本报记者问
中国计算机报:现在越来越多的中小企业应用博锐产品,但它们自身并没有很强的IT力量。英特尔认为通过何种服务方式,才能使它们真正从博锐的管理维护优势当中获益?
张健:这个问题已经有比较明显的答案了。基于博锐处理器技术,有很多品牌电脑厂商自己专门成立部门,直接提供终端维护服务给最终用户。我们也看到,一些专门的服务公司也开始成形,甚至已经形成很大的用户规模,它们与电脑厂商共同配合,提供合约和服务给最终企业用户。我们还看到,甚至有一些大型企业,也在进一步扩展自己的业务范围,进入终端服务领域中。基于博锐处理器技术的服务将有很大的市场前景,前面提到的三类服务提供商都从中看到了新技术带来的新机会。
纷繁复杂的线上和线下代售点?密集的广告轰炸?赶到机场时发现飞机晚点只好等待?……你也许会叹息着说:“这真是一个传统而无趣的生意!”别着急,“APP”正让它变得有趣起来。如果你的移动终端上有航空公司的客户端,你能订票选座,随时随地关注航班动态……当然还有一些颇具创意且实惠的应用,比如Sas航空公司过一个带有两段二维码的广告,用户必须用两部手机同时扫描才能解读代码,而代码意味着机票买一赠一。
“APP”不但会改善用户的出行体验,也会改变航空公司的经营理念,甚至可能孕育一场组织结构的变革。中国国际航空公司(以下简称“国航”)就在发生着这样的故事。
2006年,国航的电子商务网站上线,其实就是搭建一个网站从事网上直销业务。在国内以谷歌、百度等为主要推广渠道,在海外则以谷歌搜索为主。国航电子商务部高级经理胡法进介绍说,因为互联网销售的投放效果容易跟踪和评估,他们最初的精力主要集中在如何让投放更有效率。比如在海外市场,类似“机票”这样的通用关键词很昂贵,获得一位客户的成本可以和一张机票的价格不相上下,于是他们就投放如“长城”之类的关键词,先在当地建立品牌影响力,再带动销售。
在广告投放稍有收获之后,国航电子商务部又启动了两个大动作:一是实施“增值服务”,比如网上自助值机,定中转休息室,再为一些高端客户提供接送定制服务,但由于种种限制,这些服务还难以称得上贴心;第二,国航手机客户端在2010年7月上线,其后不久又成为国内第一个推出iPad版本的航空公司。迄今为止,国航移动客户端下载量达到40万,注册用户过半。
不久之后,国航就看到了移动客户端的威力。国航移动客户端迄今达成的销售额超过1亿元人民币,相比国航年销售额700亿元的大盘子,这个业绩原本微不足道,但与网站、呼叫中心等渠道相比,移动客户端的收益率最高——订票者大都是商务旅客,而且多是临近起飞前一天或两天预订,以全价票为主。有很多顾客对服务的敏感程度高过价格,只是以前没有很好的渠道满足他们的需求。
而智能终端的迅猛发展,更让国航意识到移动端对于旅游业的价值所在。今年第一季度,谷歌与市场调研机构IPSOS(益普索)开展了一次有关人们如何使用智能手机的调查,其中和旅游业相关的数据有:64%的用户每天都会使用智能手机访问互联网、46%的用户会通过智能设备了解旅游目的地、43%?的用户通过智能手机调查研究旅游产品、26%?的用户会通过智能手机来预订旅游产品。
由此,国航高层开始重新审视移动端对国航电子商务,甚至整个国航的价值。2011年底,国航开始重新规划移动平台战略。此时,“APP”已经不止是电子商务部门的事,国航各个部门都有相关的需求。比如国航的长尾客户部门就有很多移动业务的需求,如把微信集成在移动程序上。在胡法进看来,国航是一个传统的全服务型公司,很难建立如廉价航空公司的商业模式,但也需要让顾客感受到附加服务的差别。而移动的好处就是每个人都有一部手机,国航可以推送不同的功能服务。“当然,我们只提供一个客户端,在它上面做一些智能识别。比如你是商务旅客,你在乎的是时间,那么我可以直接对你进行信息推送,提醒飞机时间,同时也可以根据你的地理位置信息进行相关后续服务的推送。”胡法进说。
这样的设想很美好,但要做好可不容易。它涉及到的不只是销售环节,还包括结算和后续服务。如航班变更延误,后续服务保障能不能跟上?这种按需服务、菜单定制的模式,对整个国航的IT系统和服务流程都是一个巨大的考验。国航需要解决好一个最基本的命题:了解客户。
以前,国航对用户需求的了解并不尽如人意。现在,在移动业务领域,国航在产品设计之初就邀请用户参与。国航前不久刚做过一次用户调查,通过邮件邀请一些曾经乘坐过国航飞机的用户或国航会员,测试新版未上线的客户端,有用户反映,“客票使用条件在航班选择页和信息输入页都没有看到,只有支付前的确认才看到,不太好”、“知音卡注册和普通注册提示不清”,用户在过去使用订票系统时还存在一些麻烦,也希望借由手机客户端改善,比如“增加自愿改期功能”。
当然,更重要的则是建立客户数据库,对客户的行为进行分析,以优化产品和服务。从今年开始,国航着手建立更精细化的客户数据库,引入一些数据模型和指标对用户的数据进行挖掘,进行定向推广。比如国航的一个金卡客户,去年坐了50次飞机,但今年只坐了10次,那么国航会向这名用户推送一些优惠信息。而在过去,类似的信息可能会统一发送给国航的所有会员。
数据挖掘以及移动平台的建设考验着国航的IT能力。最初,国航本身并不具备做移动平台程序的能力,项目大都以外包的形式完成,但目前国航正在补充技术和业务人员,以便由自己的IT部门来主导移动平台的建设以及对客户的数据挖掘。这对国航来说至关重要,因为项目外包会留下许多后遗症。目前国航移动客户端和网站的数据库无法打通,这可能会给一些用户带来麻烦,比如,通过移动端订购的机票,却没办法在网站修改。“这应该属于技术层面的范畴,它使得你在一个渠道下的订单,另一个渠道却无法抓取。我们会尽快解决这一问题。”国航一位内部人士说。
同时,移动端的数据挖掘也面临国航自身无法解决的瓶颈,这是整个移动领域共同面对的问题:对消费者使用移动平台的行为跟踪能力不如网站。当前,网站的消费者跟踪和分析方案已经很成熟,但移动平台上是一个个应用,并没有一套规范的跟踪系统,胡法进说:“我们移动平台的下载量很多,但订单统计还是有问题。技术还不是最大的障碍,关键还是用户隐私。我们希望未来业界可以形成一个统一的标准。”