随着信息技术的进步和信息技术应用的不断深入，各行业的信息化程度不断提高。面对日益增加的各类安全威胁，如何安全、快速地远程访问内部资源，以及确保重要信息传输的安全性，已成为行业信息化进程中的重大挑战。

对于金融行业来说，数据传输安全尤为关键。任何形式的数据泄露或破坏都可能带来巨大的经济损失和声誉损害。传统通过WEB服务器自身软件实现加解密功能的模式，存在软件性能不足、密钥存放方式不安全以及难以进一步部署WAF防护设备等问题。因此，采用专用SSL硬件网关设备来完成数据传输环节的机密性和完整性保护，成为金融机构的首选方案。

为了响应自主可控要求，信安世纪为G行打造了SSL应用安全网关自主可控改造方案，为其网上银行业务系统配备了全自主可控SSL应用安全网关设备。在实现数据传输环节的机密性和完整性保护的同时，进一步提升了用户服务的安全性和便捷性。

改造背景

根据《“十四五”国家信息化规划》、《关于银行业保险业数字化转型的指导意见》等标准的相关出台，信息技术应用创新进一步确立为我国信息化建设的国家级战略，要求实现核心技术及产品的可掌控、可研究、可生产、可发展。

2018年，中共中央办公厅、国务院办公厅联合印发第36号文件《金融和重要领域密码应用与创新发展工作规划(2018-2022年)》（以下简称36号文），对金融及关键基础设施行业的国密改造工作进行了明确要求。

2020年监管机构在36号文的基础上下发《金融领域信息系统商用密码改造基线要求》和《金融领域商用密码改造评价指标体系》，进一步细化了金融行业商用密码算法改造的相关要求，明确“通过密码技术实现数据传输的机密性和完整性”。

在此背景下，数据安全传输和系统稳定运行成为金融领域国密改造重点，为更好满足上述标准规范要求，G行计划推广部署自主可控SSL应用安全网关设备，结合2023年行内SSL应用安全网关设备升级替换计划，G行试点互联网网上银行系统使用全自主可控应用安全网关设备，为用户提供国产密码算法的系统接入功能的同时，进一步提升用户体验，支撑日常业务需求。

网络架构

G行网上银行系统主要实现了账户管理、转账汇款、缴费充值、投资理财、个人贷款、外汇买卖、信用卡以及对公客户等多项在线金融服务，与每个用户的身份认证、交易数据息息相关。G行采用多台自主可控SSL应用安全网关设备组成SSL资源池，对外提供SSL加解密能力，保证业务连续性，采用自主可控SSL应用安全网关设备分布式部署，对网上银行数据传输通道进行加密，实现数据传输的机密性和完整性。 

技术特点

数据加密技术

通过使用公开密钥和对称密钥技术以达到信息保密。客户端和服务端之间的所有业务都使用在SSL握手过程中建立的密钥和国密算法进行加密。防止非法用户通过使用IP数据包嗅探工具非法窃听。实现用户访问网上银行系统时的个人数据和交易数据机密性和完整性保护,提高互联网系统安全防护水平。

同站点双证书部署

服务端相同域名支持配置同时两套证书，即一套RSA证书和一套SM2证书，对接通用浏览器采用RSA算法进行加密，对接国密浏览器采用国密SM2算法加密，自适应兼容多种浏览器和移动终端，保证网银系统业务连续性前提下同时兼顾国密及通用要求。

身份认证

确保客户端与服务器之间通信过程安全。在这个过程中，根据用户部署模式，可选择单向身份验证或者双向身份验证模式；单向认证SSL协议为服务端对客户端的单向身份验证，不需要客户拥有CA证书，双向认证SSL则要求服务器和用户双方都拥有CA证书；G行网银系统针对企业级客户采用双向认证模式，同步校验客户端和服务端身份，提高业务访问安全可靠性。

实施效果

经过充分测试，G行网上银行系统自主可控SSL投产后运行稳定，网银系统日常流入流出吞吐量基本平稳，新建、并发连接数与改造前保持一致，访问延时、用户体验、稳定性方面较以往无差异，有力保障了网上银行系统的稳定性，提高了用户使用连续性。 

信安世纪SSL应用安全网关设备支持应用负载均衡、身份认证、SSL卸载、访问授权和全面审计等多项实用功能，广泛应用于金融、政务和企业等多个领域，为数据安全传输和安全访问提供了坚实屏障。