一、   客户概述

招商证券股份有限公司前身是1991年7月创立的招商银行证券业务部，经过十余年的创业发展，公司的资本实力已列行业前三甲，目前公司注册资本32.27亿元，员工总人数1200人，目前在全国25个城市开设了52家营业部和2家证券服务部。

       招商证券非常重视IT系统的建设，拥有技术领先、安全高效的证券交易平台，并且已经完成了客户资产独立存管系统建设，推出了国内第一个全国范围的大集中交易系统，实现了券商交易、清算、财务管理、中心数据库和风险控制五大系统的集中，为客户打造了更加安全、高效的证券交易平台。

二、   客户需求分析

       当前证券市场的爆炸性发展为招商银行带来了历史性的发展机遇，为了扩大证券交易的规模和覆盖范围，招商证券需要在招商银行的营业部设立柜台为证券交易服务。招商银行是招商证券的大股东，并在全国部署有1500个点左右的营业部。利用这些营业部的全国覆盖，扩展招商证券的营业范围是显而易见的全国业务拓展之道。目前，招商证券已经开发出了远程柜台系统，作为股票交易用户账号的管理，如开户、销户等服务。招商证券将在全国各地招聘一批员工负责各个招商银行营业部远程柜台系统的操作，招商银行将在各个营业部为他们专门开辟操作柜台。

       但这里存在一个问题，招商银行具有自己的内部专网，根据银行的规定，虽然招商银行是招商证券的大股东，但是这个专网还是不允许招商证券的员工或业务系统来使用的。如何将各个营业部的操作终端接入招商证券总部的远程柜台系统就是需要迫切解决的问题。具体来讲，招商证券希望这种远程接入方案需要满足如下几点需求：

1.      接入方法需要通过Internet来接入总部的远程柜台系统，因为铺设专网需要极大的投资，部署时间也很大。但采用Internet接入就需要解决安全度不高的问题，需要这种方案能够提供用户认证、数据加密、应用访问权限控制等安全要求；

2.      能够和总部的CA系统结合起来，通过数字证书认证方式来提高认证的安全性。同时还需要对操作员进行用户名/口令的验证并赋予相应的应用访问权限；

3.      招商证券远程柜台系统是C/S架构，如果在每台操作终端安装系统的Client端程序，将给系统的部署维护带来巨大的工作量，所以接入方案要求能够使用Terminal Service的方法，接入到招商证券的终端服务器进行业务操作；

4.      接入方案需要简单易行，全国各地部署数百个柜台，以后还会增加到1000个以上，而员工都是新招聘的，所以需要接入操作灵活简单，不需要复杂的培训即可使用操作；

5.      证券系统对于广大用户来讲，时间将是非常关键的因素，所以需要接入方案、产品性能要非常高，能够满足大并发量要求，响应时间要非常快，这样才能满足用户的接入要求。

三、   Array证券远程柜台安全接入方案

       针对以上招商证券的需求，Array Networks 提供了SSL VPN TCS (Thin Client Service)方案来满足招商证券在全国范围内部署远程柜台系统。具体拓扑图如下：

Array Networks SPX SSL VPN网关部署在招商证券的内网边缘，放在防火墙的DMZ区，采用单臂架构，这样可以不用修改接入的总体网络结构，实施方便，为在招商银行各个营业部的招商证券操作柜台提供互连网安全接入手段。访问时，柜台操作人员只需打开浏览器(如IE)，访问SSL VPN门户，通过认证后，即可在终端和总部柜台系统之间建立一条穿越互联网的SSL VPN通道，进而访问远程柜台系统。

用户认证：采用双因素认证方式，首先接入的操作终端必须具有总部颁发的USB-Key，这个Key上面存储了总部颁发给每个操作柜台的数字证书。操作终端只有插入USB-Key才能接入远程柜台的SSL VPN系统，Array的SSL VPN网关会和CA服务器一起验证数字证书的合法性。其次，每个用户还需要具备总部分配的接入账号和密码，招商证券总部具有LDAP认证服务器(AD服务器)，SPX和LDAP服务器一起验证接入SSL VPN的账号。

用户授权：用户认证通过后，SPX还会根据用户所在的AD服务器上的组来确定他能够接入哪些应用，不能使用哪些应用，即应用访问权限控制。这是通过Array SPX的group mapping的组授权实现的。

       用户应用访问：Array SPX SSL VPN提供了TCS (Thin Client Services)方式来提供操作柜台对远程柜台系统的访问。招商证券总部部署了远程柜台系统的服务器，同时，将柜台系统的客户端软件部署在总部的HP PC server上面，这台安装了客户端软件的服务器也提供Terminal Services服务，由于招商证券购买的这台终端服务器硬件性能非常高，能够响应大并发量的终端访问需求。远程柜台操作时，只需点击SSL VPN门户上的TCS模块，即可通过远程桌面系统登陆到HP的终端服务器上，并在这台HP终端服务器运行远程柜台系统的客户端程序，访问远程柜台系统服务器，完成股票交易的账号管理等相关业务操作。

       远程柜台系统TCS接入方案的特点：

1.      不需要在远程操作柜台安装系统的客户端软件，方便了系统的部署，每个招商银行营业部的操作终端只需要具备浏览器即可接入SSL VPN访问远程柜台系统。

2.      客户端软件安装在总部的终端服务器上，便于维护和升级。如果每台远程操作终端都安装客户端软件的话，维护和升级对网管和运维人员来讲将是一场灾难。

3.      安全度提升，由于客户端软件并未安装在远程柜台终端上面，无论是软件程序还是业务应用数据，如股民的帐户数据都是存在总部的终端服务器和数据库中，所以通过操作终端窃取信息和软件破解都是不可能的，进而极大提升了安全度。

方案总结：

四、   竞争分析

在本项目中，Array再次碰到了老对手F5。Array的SPX以无可比拟的性能优势战胜了F5：在项目设备选型测试中，招商证券以100并发用户进行了设备性能测试，在此情况下，F5的CPU利用率高达20％以上，而Array的CPU利用率只有不到4％，这证明Array的设备有足够的能力支持招商证券全国部署的高并发用户数，使招商证券最终选择了Array的SPX产品。

五、   方案对客户的业务价值

利用Array SSL VPN的TCS方案，使招商证券能够在招商银行的营业部快速部署远程柜台来进行股民帐户管理，方便了广大用户，他们通过走进招商银行的营业厅即可完成操作。这对招商证券的的业务拓展提供巨大的支持。

Array SSL VPN的TCS方案可以使部署在招商银行营业部的招商证券远程柜台通过互联网即可接入总部，而不需要使用招商银行的专网系统。而SSL VPN可以提供访问的安全保障，如USB-Key认证、数据的加密、防篡改等完全可以保障互联网接入的安全性。

通过Array 的TCS方案，由于客户端采用标准浏览器，远程操作柜台不需要安装相应的客户端软件，所有操作都是通过终端登陆访问总部的终端服务器完成的。这样作即安全又简便，对于招商证券新雇佣的远程柜台操作员工来说是最适合不过了。

       由于不需要在操作柜台安装客户端软件，对于系统的部署，维护和升级来讲非常方便，系统的维护升级只需要在总部数据中心即可完成，而不用管理维护远程的操作终端相关程序，这也极大的节省了招商证券关于系统的总投资，同时节省了系统的部署时间，对于飞速发展的证券行业，机会成本的降低更是不可估量的。