第一篇:網上銀行系統應用交付建設案例分析
網上銀行系統應用交付建設案例分析
隨著互聯網和電子商務的發展,越來越多的銀行客戶喜歡在網上操作銀行業務,因此,在各大銀行中,網上銀行的建設都是重中之重的一個系統。并且,作為一個對Internet開放的電子渠道,在網上銀行建設中會面臨各種復雜的問題。本節就以銀行網上銀行建設作為一個案例,討論應用交付網絡在銀行新一代數據中心建設中的主要作用以及建設規劃。
在網上銀行建設中,可能使用F5應用交付網絡中的以下產品和技術:
BIG-IP GTM:用于數據中心虛擬化建設,通過GTM的統一域名解析,提供網上銀行用戶的統一接入點。隱藏實際多個物理數據中心概念,實現多數據中心的并行處理和災難備份。并且通過智能判斷實現用戶就近接入,提高客戶體驗。
BIG-IP LC:用于鏈路虛擬化建設,通過LC的統一域名解析和多鏈路接入處理,提供網上銀行用戶的統一接入點。隱藏實際多條物理線路的概念,實現多鏈路的并行處理和故障備份。并通過智能判斷實現用戶的優先鏈路選擇,提高客戶體驗。
BIG-IP LTM:用于應用虛擬化建設,通過LTM對服務器應用的虛擬化處理,在同一數據中心中對網上銀行用戶提供同一的訪問地址。隱藏實際多臺物理服務器的概念,實現服務器的負載均衡處理和高可用性自動切換。
BIG-IP SAM:應用于大客戶的遠程安全接入,通過SAM安全接入控制器,位于Internet上的客戶端可以安全的接入到銀行的安全區。企業客戶可以通過SAM建立一條直接與銀行業務服務器之間的溝通渠道,起到替換原有專線接入的效果。
BIG-IP WA:用于應用優化處理,通過WA的硬件SSL加解密功能、HTTP頁面壓縮功能和動態內容加速功能,提高遠程客戶的訪問速度,并減小網上銀行系統的Internet接入帶寬。在提高客戶體驗的同時節省銀行的Internet接入帶寬費用。
BIG-IP ASM:用于Web應用安全處理,通過ASM的被動和主動安全模式,可以對已知和未知的Web應用攻擊進行應用層面的安全防護。實現代碼級的應用安全。
1.1 網上銀行系統結構規劃
在大型銀行的數據中心建設中,通常設計為2個或兩個以上的數據中心,數據中心之間采用Gbps以上高速連接。
根據銀行的網上銀行發展戰略的不同,通常情況下,網上銀行的系統建設分為兩種部署結構,初期建設時采用單站點結構,在進一步完善的時候采用多站點結構。
1.1.1 單站點結構
單站點結構主要用于在系統建設的初期,在數據同步、后臺處理的技術手段尚不完善的情況下使用。
在單站點結構中,使用一個數據中心作為網銀的中心接入點,在系統的最前端,使用多臺GTM設備分布在每條鏈路上,作為用戶訪問流量選擇的控制設備。
在鏈路的接入層采用一對BIG-IP 高端設備,并安裝Link Controller模塊,作為系統的接入點。負責處理鏈路接入、NAT和安全防護,并且和GTM配合,實現接入鏈路應用的最大優化。高端BIG-IP LTM的理論最高吞吐能力為36Gbps,可以在較長的一段時間內滿足網上銀行擴展需求。
在前端接入后,采用多臺防火墻設備形成防火墻負載均衡結構,多臺防火墻同時工作,并通過兩端BIG-IP LTM實現負載均衡和高可用性。多臺防火墻可以采用同一品牌或者不同品牌的防火墻實現安全和高可用性的最大化。
在防火墻負載均衡結構后,根據業務的類型,建議采用三對BIG-IP LTM高端設備分別處理Portal,對公和個人業務實現防火墻負載均衡和服務器負載均衡。這幾對BIG-IP LTM的處理基本上為混合模式,既包含四層模式也包含七層工作模式,針對不同的應用采用不同的工作模式。余下的Proxy、郵件等業務可以單獨采用一對BIG-IP LTM 實現負載均衡。
在負載均衡處理的BIG-IP LTM后,可采用多臺應用加速和應用安全設備(BIG-IP Web Accelerator和Application Security Manager等)實現應用加速系統,其中包括:SSL硬件加解密、HTTP頁面壓縮、Web應用加速等多項功能。這些設備主要以運行在七層工作模式為主,其主要目的為提高用戶體驗、節省帶寬、減小服務器端壓力和提高系統應用安全性。
在Web層到應用服務器層之間,可以選用一對F5 BIG-IP LTM設備實現對應用服務器的負載均衡,在這對BIG-IP LTM上主要以七層工作模式為主,主要實現對應用服務器的連接優化、七層會話保持等。考慮到系統的風險分擔,也可以采用多臺BIG-IP LTM按照業務類型進行分別處理。
1.1.2 多站點結構
當網銀系統發展到一定規模時,則建議采用多站點分布式處理。
多站點分布式處理與單站點處理的主要不同點在于存在兩個數據中心,但在大部分的情況下,數據庫還是只能使用一個數據庫作為主數據庫,因此涉及到數據庫遠程訪問的問題。根據應用的類型不同,可能存在兩種方式:
Web->APP通過廣域網
Web-APP通過廣域網主要適合于一次客戶端請求,應用服務器需要對數據庫進行多次查詢的應用特點。將需要多次交互才能得到結果的這部分工作在局域網內完成。減小在廣域網上的多次來回以減小延遲帶來的影響。
APP->DB通過廣域網
APP-DB通過廣域網主要適合于在應用服務器一次查詢得到結果后,客戶端需要多次請求才能獲得全部結果的應用特點。同樣的道理,將需要多次交互才能得到結果的部分在局域網內完成,減小在廣域網上的多次來回以減小延遲帶來的影響。
無論采用哪種方式,均可通過BIG-IP LTM或者內網GTM實現站點間的高可用性,保證在任何一個數據中心只要有同一應用的一組服務器在工作,就可以實現用戶訪問的不間斷。
1.2 網上銀行數據中心虛擬化(廣域網負載均衡)
F5 BIG-IP GTM主要通過DNS 解析來實現數據中心虛擬化功能。當用戶訪問網上銀行的各個應用的時候,首先是通過一個統一的域名進行訪問。而這個域名的解析權由GTM進行控制。
在每一個數據中心,針對同樣的業務,都對外提供一個IP地址服務。而GTM 則根據特定的算法給用戶端的DNS 請求返回不同數據中心的地址。從而實現虛擬化的數據中
心訪問控制。
在GTM內部,可以有以下算法保證用戶始終訪問到最佳的數據中心節點。
? 循環 ? 全球可用性 ? LDNS持續性 ? 應用可用性 ? 地理分布 ? 虛擬服務器容量 ? 最少連接
? Pkt/sec(數據包/每秒)? KB/sec(千字節/每秒)? 往返時間 ? 中繼段(hop)? 數據包完整率
? 用戶定義服務質量(QoS)? 動態比率 ? LDNS循環 ? 比率 ? 隨機
在實現優選算法的同時,GTM還將動態檢查每個數據中心的業務實際運行狀態。如果發現某個數據中心的某個業務出現故障,則將其和其相關業務從DNS解析選擇組中去除,而只返回給客戶端仍然正常工作的數據中心業務地址。
1.3 網上銀行鏈路虛擬化(鏈路負載均衡)
由于采用了多條鏈路接入,在實現鏈路虛擬化的時候,必將面臨將系統中的一臺或多臺服務器同時對多條鏈路提供服務的問題。在系統設計中,我們采用了F5 BIG-IP LTM/LC來實現了多出口接入。
如圖:
在BIG-IP LTM/LC實現多鏈路接入的時候,采用了BIG-IP LTM/LC上的
AutoLastHop技術。對于每條線路,在BIG-IP LTM/LC上均配置一個與線路分配網段對應的IP地址,這些IP地址均映射到后端的一臺或同一組服務器。當用戶訪問不同地址的時候,BIG-IP LTM/LC上將建立每個請求與來源設備Mac地址的對應關系表。即將每個用戶的請求連接和上端的路由器MAC地址進行對應,在服務器數據返回的時候,則根據該對應表將返回的數據包發送到相應的路由器,避免了數據往返通路不同的問題。
通過AutoLastHop技術,BIG-IP LTM/LC得以內部的單臺或者一組服務器對外映射成為多個服務IP地址和服務端口,以提供DNS解析選擇。
當一個系統中沒有GTM 存在時,BIG-IP LC將自行負責DNS 解析,自動將用戶引導到最佳的鏈路上。同時,BIG-IP LC對每一條接入鏈路的健康狀態進行檢查,一旦發現某一條鏈路發生故障,則對外停止該鏈路上的所有服務地址的解析。保證用戶訪問的持續性。
1.4 數據中心和鏈路虛擬化的配合
當網上銀行系統存在多個數據中心,并且一個或多個數據中心存在多條鏈路時,在系統設計中就會同時存在GTM 與LC。GTM與LC之間采用iQuery協議進行加密通訊。該協議采用443端口,采用標準SSL加密通訊協議對傳輸內容進行封裝。在協議層全部采用業界標準XML進行數據傳輸。
?通過iQuery協議,GTM可以從BIG-IP LC上獲得以下主要信息:
Virtual Server定義:通過配置Auto Discovery,GTM可以自動從LC上獲取所有的VS定義和Link定義,從而不需要在GTM 中對這些配置進行重新定義和配置。當在LC上進行VS的添加或刪除時,GTM可以自動在配置中對這些VS進行添加和刪除,以供WideIP算法進行選擇。
Link Throughput: 鏈路的帶寬使用狀態,即每條鏈路實際使用的帶寬大小,GTM獲得該信息之后,可以通過帶寬負載均衡算法對用戶的訪問請求進行動態調整分配,使每條鏈路的帶寬使用保持平衡。同時,在GTM上也可以通過限制每條鏈路的使用帶寬來調整分配算法,避免單條鏈路使用帶寬達到其極限值,避免網絡層丟包造成用戶訪問失敗。該設置也適用于不同的數據中心之間的鏈路選擇。
Link Status:鏈路的通斷狀態。即每條鏈路的當前健康狀態。GTM獲得該信息后,則可以通過鏈路當前的健康狀態決定是否將新的用戶請求分配到該鏈路上。如果發現鏈路故障,則將該鏈路關聯的所有VS設置為不可用狀態,并停止將新的用戶分配到這些VS上,從而避免用戶訪問失敗。
VS Connections: 每條鏈路上每個應用的當前并發連接數。GTM獲得該信息后,可以通過負載均衡算法和上限設置方法平衡每條鏈路上各個應用的實際分配連接數,避免單個VS 在單條鏈路上的連接數過高而導致用戶訪問失敗。該設置也適用于不同的數據中心之間的鏈路選擇。
VS Kilobytes/Second: 即每條鏈路上的VS的流量值。GTM獲得該信息后,可以通過負載均衡算法和上限設置的方法平衡每條鏈路上各個應用的實際適用帶寬,避免單個VS在單條鏈路上的連接數過高而導致用戶訪問失敗。該設置也適用于不同數據中心之間的鏈路選擇。
?在GTM 從LC上獲取信息的同時,也可以驅動LC 進行 Round Trip Time算法的探測工作
當GTM 收到一個Local DNS請求時,會首先查找本地的RTT表。如果請求的Local DNS 在該表中,則直接返回RTT 值最小的鏈路上的VS給Local DNS。
ldns { address 61.136.178.229 cur_target_state 419446729 ttl 2419199 probe_protocol tcp path { datacenter “CNC” cur_rtt 189850 cur_hops 0 cur_completion_rate 10000 cur_last_hops 0 } path { datacenter “TEL” cur_rtt 57209 cur_hops 0 cur_completion_rate 10000 cur_last_hops 0 }
}
如果訪問的Local DNS 不在表中,則先隨機選擇一個VS返回給Local DNS,然后通過iQuery協議通知每個DataCenter的LC對該Local DNS 進行探測。在得到返回信息后,將返回值存放在RTT 表中,以待下次使用。
1.5 減小遠程訪問延遲帶來的影響
對于目前的網上銀行業務單站點接入結構和多數銀行計劃中的多站點接入結構來說。將面臨的最大的一個問題就是應用的跨廣域網訪問。
通常情況下,多數的網上銀行系統都是分為3層結構:
由于網上銀行的實際功能就是一個銀行業務的電子渠道,因此,實際上還存在有App-主機前置的通道,由于App-主機前置的通道在各銀行的處理手段不盡相同,因此,在本書中暫時不討論此部分帶來的影響,讀者可以根據本書的分析方式去評估如何減小廣域網訪問延遲帶來的影響。
在網上銀行的應用結構中,最為核心的部分是數據庫系統。在目前的技術手段中,還沒有穩定、可靠的跨廣域網并行數據庫技術出現。因此,無論網上銀行系統分布在多少個數據中心,其核心數據庫只能是集中式的主/備部署,同時采用盡量實時復制的方式,保持主備數據庫的一致性。主備數據庫通常位于不同的數據中心。
當多中心并行處理的時候,可能存在有三種跨廣域網的數據訪問方式:
?用戶接入跨廣域網
這種結構是最為簡單的一種處理手段,采用二層鏈路透明傳輸的方式,將異地接入的Internet接入鏈路匯聚到一個數據中心,直接接入到F5 BIG-IP LTM,然后由BIG-IP LTM轉發到后臺的服務器。當服務器對請求進行處理后,將回應的請求發送到BIG-IP LTM,再通過BIG-IP LTM的Autolasthop功能,將回應的數據包轉發到和請求來源相同的路由器上。再通過Internet返回給最初發起請求的客戶端。
在這種結構下,實際上是利用銀行的內部網絡延伸了互聯網接入鏈路。優點是處理簡單,方便,比較適合于網上銀行的初期建設,避免Internet本身的不穩定現象帶來的用戶體驗問題。同時避免了應用服務器分布在多個中心帶來的復雜性。其缺點是所有的用戶請求并沒有進行適當的處理,在占用較多的內部網絡帶寬的同時,對實際用戶體驗的提高并不是非常顯著(與互聯網狀態較好時相比較)。
?Web-APP跨廣域網
在Web 跨廣域網的結構時,在每個接入的數據中心至少需要有Web服務層。用戶的請求直接發送到Web服務器,Web服務器對請求的內容進行處理,如果發現請求的是靜態內容,就從本地直接返回,如果發現請求的是動態內容,則通過銀行的內部廣域網鏈路發送到生產中心的App服務器,App服務器查詢本地的數據庫服務器之后原路返回內容。
Web-App跨廣域網帶來的一個主要優點是靜態內容可以直接從用戶就近接入的數據中心直接返回給客戶端,提高客戶體驗,同時減小了內部的帶寬損耗。缺點是通常在備中心都會部署的App服務器得不到利用。
?App-DB跨廣域網
App-DB跨廣域網的結構下,在每個數據中心都部署有Web層和App層服務器。用戶的請求發送到就近接入的Web服務器后,Web服務器對請求的內容進行處理,如果發現請求的是靜態內容,就從本地直接返回,如果發現請求的是動
態內容,則直接轉發到本地的App服務器,如果App服務器位于備中心,則通過廣域網查詢生產中心的DB服務器取得結果。
APP-DB跨廣域網的主要優點是備中心的APP服務器都在工作狀態。缺點是數據庫的廣域網訪問可能帶來更大的隱患。
在F5公司已經實施的案例中,幾種結構都有在實際環境中部署。具體選擇那種部署模式,主要取決于應用的處理流程類型。但無論采用那種結構,都必將面臨到如何提升廣域網效率的問題。
如果應用的部署必須采用跨廣域網訪問的情況下,如何解決問題?如何減小遠程廣域網訪問帶來影響?
采用Web-App跨廣域網方式在大多數的情況下為一種折中的方案,也是對現有系統的影響和改造最小的一種方案,
F5提供了三種優化的方案可供選擇:
對于Web-App跨廣域網的方案,首先可以通過BIG-IP LTM的HTTP 壓縮功能,對App服務器的返回內容進行壓縮,將內容壓縮后再通過廣域網進行傳輸。在通常情況下,壓縮比都在1:5,也就是10K的內容可以壓縮到2K左右,減小了4/5的廣域網數據傳輸量。
其次,通過BIG-IP LTM的連接優化功能,可以將Web服務器發送到APP服務器的連接進行聚合,將多個HTTP短連接的請求聚合到少數的TCP長連接中進行傳輸,減小TCP連接建立和拆斷帶來的延遲消耗。
另外,對于網上銀行的資訊類頁面,還可以通過F5 Web Accelerator對動態頁面進行緩存。F5 Web Accelerator可以在每個數據中心內部署,通過其特有的動態頁面緩存功能,可以將資訊類的動態頁面進行緩存,在緩存的有效期內,所有對于該動態頁面的請求都可以從Web Accelerator直接返回,而不需要到后臺服務器經歷一次Web-App-DB的查詢過程,這樣,可以有效的減小廣域網延遲的影響,并且減輕了數據庫的查詢壓力。
1.6 網上銀行應用虛擬化(服務器負載均衡)
當用戶的請求通過數據中心虛擬化和鏈路虛擬化層面之后,就到達了數據中心。在數據中心內部,實際上也不止一臺服務器在為客戶提供服務。這些服務器通過F5 BIG-IP LTM整合在一起,形成應用虛擬化結構,使多臺服務器同時對外提供服務。BIG-IP LTM利用虛擬服務(Virtual Server, 虛擬服務由IP地址和TCP/UDP應用的端口組成,它是一個組合)來為數據中心內的的一個或多個目標服務器(稱為節點:目標服務器由IP地址和TCP/UDP應用的端口組成,它可以是internet的私網地址)提供服務。因為BIG-IP專門為此設計,因此,它具備超強的性能,能夠為大量的基于TCP/IP的網絡應用提供服務器負載均衡服務。BIG-IP LTM連續地對目標服務器進行L4到L7合理性檢查,當用戶通過VS請
求目標服務器服務時,BIG-IP LTM根椐目標服務器之間性能和網絡健康情況,選擇性能最佳的服務器響應用戶的請求。如果能夠充分利用所有的服務器資源,將所有流量均衡的分配到各個服務器,我們就可以有效地避免“不平衡”現象的發生。
應用虛擬化帶來的好處:
? 實時監控服務器應用系統的狀態,并智能屏蔽故障應用系統 ? 實現多臺服務器的負載均衡,提升系統的可靠性
? 可以監控和同步服務器提供的內容,確保客戶獲取到準確可靠的內容 ? 提供服務器在線維護和調試的手段
1.7 網上銀行應用優化 1.7.1 網上銀行SSL加速
目前,所有的網上銀行在交易部分,均采用SSL連接方式,實現端到端的數據加密傳輸。在SSL處理過程中,所有的傳輸內容均采用加密算法處理。其中最重要的兩個部分為SSL握手時交換密鑰的非對稱加密和數據傳輸時的對稱加密。
在現有的系統中,通常非對稱加密采用1024位的密鑰進行加解密,因此對服務器的CPU占用率非常高。在一臺新型號的雙Xeon CPU服務器上,大約每秒鐘400次非對稱加解密就能導致CPU占用率100%。同時對稱加密通常采用128位,最高256位加密的加解密也會導致服務器CPU占用率居高不下,同樣的服務器SSL流量大約能達到150Mbps。因此當我們在部署SSL應用時,必須考慮到以下參數:
? TPS:Transection Per Second,也就是每秒鐘完成的非對稱加解密
次數
? Bulk:SSL對稱加解密的吞吐能力,通常以Mbps來進行衡量。
當SSL的客戶端壓力超過400TPS時,單臺服務器就很難處理請求了。因此,必須采用SSL加速設備來進行處理。
BIG-IP LTM系列可從最低2000TPS到200,000TPS實現全硬件處理SSL非對稱加密和對稱加密流量。其實現的結構如下:
所有的SSL流量均在BIG-IP上終結,BIG-IP與服務器之間可采用HTTP或者弱加密的SSL進行通訊。這樣,就極大的減小了服務器端對HTTPS處理的壓力,可將服務器的處理能力釋放出來,更加專注的處理業務邏輯。
在BIG-IP可處理單向SSL連接,雙向SSL連接,客戶端證書認證等。并且可同時處理多種類型和多個應用的SSL加解密處理。
由于采用了獨立的安全芯片使用硬件加速SSL流量,基本上對于SSL的流量可實現“零”CPU占用率。
1.7.2 網上銀行Web 應用加速
目前基本上所有的網上銀行系統都是按照全動態的方式進行編寫,后臺服務主要以IBM WebSphere和BEA WebLogic為主。全動態系統帶來的優點是反應迅速,在資訊和功能發布后立即得到展現,但存在性能差、對大用戶訪問量難于應付的缺點。
針對網上銀行的應用系統特點,Web 應用加速主要從以下幾個方面進行:
? 動態靜態內容分離
在網上銀行的業務中,實際上存在有大量的相對靜態內容,例如圖片、CSS和JavaScript等。通過WA強大的Policy配置功能,F5可以和網站開發人員一同,設置適當的策略,對相對靜態的內容進行分離。也可以通過WA 的IBR智能引擎,對動靜內容進行自動分離,將分離后的相對靜態內容進行客戶端和服務器端Cache處理。
? 動態頁面壓縮
對于網上銀行系統來說,所有的交易均通過動態頁面進行。用戶的賬號、余額以及其他很多信息,都是全動態的內容,對于這些無法進行緩存的內容,WA可以將其進行壓縮處理,對服務器的返回內容進行壓縮,然后由客戶端進行解壓縮處理。這樣,就減小了在廣域網上的數據傳輸量。通常情況下,一個100k的動態頁面經過壓縮處理后,可以達到20k的壓縮后大小。對于這部分的流量,則可以節省80%的網絡帶寬占用,同時提高了客戶端的頁面打開速度。
? 靜態內容緩存
在進行了動靜內容分離后,對于相對靜態內容,WA 就可以通過IBR技術實現客戶端緩存。客戶端緩存的最大優點就是靜態內容都保存在客戶端,因此對于此部分內容,客戶端無需再到網站進行再次請求。從而減小了網絡帶寬占用,并且,由于大部分的內容從客戶端硬盤直接調入瀏覽器,大大的加快了客戶端的頁面訪問速度。同時,WA也可以在自身硬盤上進行內容緩存,減小后臺
服務器壓力。
? 動態頁面緩存
在網上銀行的實際處理中,有大部分的所謂動態頁面實際上也是屬于相對靜態的內容,這些內容的變化通常是根據動態頁面的不同查詢參數而決定的。對于同一個動態頁面,同樣的參數即返回同樣的內容。這些內容最典型的就是在網上銀行的資訊類內容。對于同一個欄目,基本上都是采用同一個動態頁面進行呈現,只是通過其中的查詢參數不同而顯示出不同的頁面,比如http://www.tmdps.cn/info.jsp?id=12
3和http://www.tmdps.cn/info.jsp?id=124就是兩條資訊的連接。當用戶訪問這些資訊的時候,應用服務器每次都需要到后臺數據庫進行一次id查詢,以獲得資訊的內容。WA通過UCI(Unified Content Identification)功能,可以將這些指定的頁面按照其查詢參數進行一定時間緩存。這樣,當不同的用戶按照同樣的查詢參數請求動態頁面的時候,WA可以直接返回頁面內容,而不是將請求轉發到后臺服務器進行一次完整的數據庫查詢。這樣,就減小了后臺數據庫的查詢壓力,提高系統的整體響應速度。同時,還可以避免一些動態頁面查詢攻擊給網上銀行系統帶來的潛在風險。
1.8 網上銀行的大客戶虛擬專線接入
在網上銀行的實際業務中,針對大客戶服務,通常是有專用的服務器、應用系統和接入方式來保障大客戶的銀行業務操作。在傳統方式下,這些接入較多采用點到點專線方式進行接入。即在客戶的數據中心到銀行的大客戶統一接入點直接開通一條專線,使客戶端可以直接到達銀行內部網絡。這樣的優點是穩定、數據傳輸安全。但缺點也非常明顯,費用比較昂貴,而且維護的費用更加高昂。
F5通過SAM安全接入網關,可以有效的降低這種建設和維護費用。SAM使用SSL通道技術,在客戶端和銀行接入端建立一個安全通道,通道的建立基于互聯網基礎上,但是通過強有力的SSL加密通訊機制,保證了端到端的數據傳輸安全。在這個安全通道內,可以運行任何基于IP協議的應用。同時,SAM還具備客戶端SDK開發包,因此在采用專用客戶端軟件的時候,可以將SSL VPN客戶端編譯到專用客戶端軟件內。從而更加方便用戶使用。同時進一步加強了應用的安全性。
1.9 網上銀行Web應用安全
由于網上銀行業務是針對互聯網服務的,位于完全開放式的環境中。因此,其安全性顯得尤其重要。網上銀行本身的安全性可以用一個非常龐大的體系來完成,在簡短的篇幅中也無法進行詳盡描述。本書從應用交付網絡的角度,來分析一下網上銀行的安全體系建設。
1.9.1 網絡層安全
在網絡安全層面上,F5 應用交付網絡的核心設備BIG-IP LTM主要通過兩個手段來實現網絡層安全。
Hardware SynCookie:在BIG-IP LTM 8400以上平臺具備有PVA 10芯片。通過PVA 10可以實現硬件SynCookie計算功能,每秒可以計算數百萬次上的SynCookie。這樣,所有的Syn攻擊都會被抵擋在BIG-IP LTM之外,并且不消耗BIG-IP的CPU資源,因此,BIG-IP 可以在防范每秒鐘數百萬次的Syn攻擊
的同時,有充足的資源處理正常的業務流量。
Full Proxy: Full Proxy為BIG-IP處理業務流量時的標準模式。其工作原理和代理模式防火墻的工作原理類似。BIG-IP最大的優點在于解決了代理防火墻性能低的問題。
在Full Proxy工作模式下,BIG-IP LTM自身分為了兩個TCP堆棧,一個TCP堆棧用于客戶端連接,另一個TCP堆棧用于服務器端連接。但對于客戶端和服務器來說,BIG-IP是工作在透明模式的。在這種結構下,只有連接中真正的數據部分才能穿過BIG-IP進行傳輸,并且BIG-IP會對所有傳輸的內容進行嚴格的校驗,而其他所有的不正常的數據包都將會被攔截在BIG-IP上進行丟棄處理。從原理上分析,在Full Proxy結構下,還可以防范未知的網絡層面攻擊。
對于網上銀行的業務而言,最為危險的不是當前已知的攻擊手段的防范,而是未知的攻擊手段的防范。通過BIG-IP LTM 的Full Proxy模式,可以有效的防范可能遇見的未知網絡層攻擊手段。當然,從網絡安全的角度而言,BIG-IP 不是一個專業的網絡安全設備。從網絡安全的角度上還是需要有防火墻、IDS等進行協同工作。
1.9.2 數據傳輸層安全
在網絡層之上是數據傳輸層。在網上銀行業務中,對數據傳輸層主要面臨
的問題就是防止中途竊聽。因為在網上銀行系統中傳輸內容包含有大量的敏感數據,比如賬號、密碼等信息。這些信息一旦被非法竊聽,帶來的后果是災難性的。
在傳輸安全上,目前國際上最為標準的就是SSL加密通道處理。至今未知,在全球范圍內還沒有手段可以快速而有效的破解SSL加密通訊數據。而PKI證書體系又為網上銀行的身份識別帶來了非常完善的安全可靠性。SSL處理的端到端特性,保證了SSL通道的建立必須是從客戶端直接到服務器端。
然而,SSL高安全性同時也帶來了服務器的高資源消耗,因此,在F5所有的硬件設備中,都支持硬件的SSL加解密處理。可以對SSL流量的非對稱加解密和對稱加解密的處理都在硬件芯片上進行處理。從低端到高端設備型號,F5的BIG-IP系列最低可支持2,000TPS,200Mbps吞吐能力,一直到最高端可支持200,000TPS,36Gbps吞吐能力。并且在許多的金融機構內得到了廣泛的應用。
通過SSL加解密通道處理,可以有效的保證數據在廣域網上的安全傳輸。
1.9.3 應用層安全
目前網上銀行的主要應用方式均是以Web方式訪問為主。除了在網絡層面和數據傳輸方面進行安全防護外,還需要在應用層面上進行安全防護。Web訪問方式主要使用HTTP協議,在帶來應用訪問的便利和友好的用戶體驗界面的同時,HTTP協議也是最容易受到黑客攻擊的協議。比如傳統的SQL Injection攻擊手段,就是利用了頁面和數據庫之間的連接進行攻擊。并且此類的攻擊手段方式多變,和網絡層、操作系統層基本沒有關系。無法通過打補丁、加防火墻等防護手段進行防范。
針對這種情況,F5公司提供了ASM(Application Security Manager)來提供最高級別的安全防護。ASM通過學習和配置基于應用層面的允許訪問策略。
可以防范各種未知的攻擊手段,提供系統的最大安全性。同時,避免了防火墻無法進行深層次檢測的問題和IPS的負向安全帶來的巨大隱患。
第二篇:招商銀行網上銀行案例分析
招商銀行網上銀行
一、基本情況
招商銀行1987 年在中國改革開放的最前沿----深圳經濟特區成立,是中國境內第一家完全由企業法人持股的股份制商業銀行,也是國家從體制外推動銀行業改革的第一家試點銀行。成立25年來,招行伴隨著中國經濟的快速增長,在廣大客戶和社會各界的支持下,從當初只有1億元資本金、1家營業網點、30余名員工的小銀行,發展成為了資本凈額超過1400億、資產總額突破2.6萬億、機構網點超過800家、員工近5萬人的全國性股份制商業銀行,并躋身全球前100家大銀行之列。憑借持續的金融創新、優質的客戶服務、穩健的經營風格和良好的經營業績,招行現已發展成為中國境內最具品牌影響力的商業銀行之一。在銀監會對商業銀行的綜合評級中,招行多年來一直名列前茅。同時榮膺英國《金融時報》、《歐洲貨幣》、《財資》(The Asset)等權威媒體授予的“最佳商業銀行”、“最佳零售銀行”“中國區最佳私人銀行”、“中國最佳托管專業銀行”多項殊榮。在英國《金融時報》發布的全球銀行市凈率排行榜中,招行在全球市值最大的50家銀行中,市凈率排名第一。在英國《銀行家》(The Banker)雜志發布的2011年“全球1000家大銀行”排名中,位居第60位。招行將“服務、創新、穩健”作為核心價值觀,堅持效益、質量、規模、結構協調發展,在國內同業中逐漸脫穎而出。在公司治理上,一開始就將所有權和經營權分離,較早地建立了董事會、監事會和經營班子分工明確、相互制衡的現代企業治理結構。在人員管理上,率先打破當時國內企業普遍存在的“鐵飯碗、鐵交椅、鐵工資”的“三鐵”制度,實行“人員能進能出、干部能上能下、待遇能高能低”的了“六能”機制。
二、商業模式
1、戰略目標
通過提供創新的金融產品和卓越的客戶服務,成為具有國際競爭力的商業銀行及中國最好的商業銀行。
2、戰略制定—SWOT分析
優勢(S):具有良好的規模效益,資本結構合理。
“新世紀、新形勢、新服務”的營銷口號。招商銀行已經成為國內著名的金融品牌。招商銀行堅持“科技興行”。人才立行 市場細分與差異化服務。劣勢(W)資產負債結構不很合理。
同業競爭加劇,面臨市場份額縮小的威脅。金融創新優勢前景不容樂觀。業務結構有待優化。
機會(0)我國宏觀因素運行良好。
國家經濟更加規范化、靈活化。股份制上市銀行發展迅速。招商銀行經營管理水平優勢明顯,成長性在銀行業中最高 銀行客戶范圍不斷擴大,業務朝多元化發展。
威脅(T)外資銀行進入。國有銀行競爭力加強。
3、產品和服務
圍繞零售銀行業務、客戶增值服務、網上銀行業務三大重點,招行的業務創新令業界耳目一新,它的許多創新更成為包括四大國有銀行在內的同業的學習標桿。其中最具代表性的是以下三大創新產品和服務。
1)“一卡通”
1995年,招行利用在國內的率先構建的全行統一的電子化平臺,推出了集本外幣、定期活期、多儲種、多幣種、多功能服務于一體的電子貨幣卡—“一卡通”。
2)“信用卡”
2002年12月,招商銀行創新再次拾階而上,在國內率先推出了一卡雙幣的國際標準信用卡。憑借“一卡通”、“一網通”奠定的品牌基礎,憑借領先的產品、技術、服務、營銷優勢,招行信用卡再次取得令業界驚嘆的成功。截至2006年6月30日,發卡量已達到690萬張,其國內雙幣種
信用卡市場份額超過30%,成為國內最大的國際標準信用卡卡行。
3)“一網通”
在“一卡通”取得空前成功的基礎上,1999年招行在國內再次率先推出先進的網上銀行服務—“一網通”。
三、經營模式
始終將科技領先、服務領先放在第一位的招商銀行,曾以“一卡通”的率先推出博得了很多用戶的青睞,截止1999年12月,全行已發卡650萬張。這與招商銀行合理創新的經營模式相關。
1、構建完整的網上銀行服務體系
招商銀行構建包括個人銀行大眾版、個人銀行專業版、i理財大眾版、電子商務專業版、企業銀行UBANK,實現了從點面服務為主的傳統服務渠道向現代化的立體式、全方位服務渠道全面轉型。
2、創新網上銀行產品與服務
1)嘗試B2B
招行個人銀行處理客戶個人賬務,適用于個人和家庭。只要在招商銀行開立了普通存折或一卡通賬戶,即可通過Internet網查詢賬戶余額、當天交易和歷史交易等信息(保留1到2年),卡內定活期互轉、卡折之間的互轉,網上交費,并可獲得修改賬戶密碼等服務。
2)通用方便快捷
根據市場、持卡人及商戶的需求,在傳統結算方式的基礎上,開發出具有自己特色的網上銀行解決方案。
3)安全技術
招行企業銀行采用的是數字簽名方式,傳輸中的數據經過兩層加密:一是標準的SSL加密方式,并用小額支付來控制風險。
4)移動銀行
目前招行在深圳率先推出了“移動銀行”服務,主要包括賬戶查詢、多功能轉賬、自助繳費等,用戶可以通過手機完成。
3、注重網上銀行業務推廣
一是通過聯合眾多合作伙伴推出了豐富多彩的促銷和推廣活動,吸引了大量客戶使用網上銀行。
二是開展全方位的網上銀行宣傳,普及網上銀行知識并引導客戶體驗和使用。
三是積極利用網點開展營銷。
四、技術模式
招行采用的是數字簽名方式,傳輸中的數據經過兩層加密:一是標準的SSL加密方式,另一時似有的加密方式,客戶有自己的密碼。個人銀行中采用了SSL加密方式,并用小額支付來控制風險。網上支付的三方交易時,仿商場操作流程,采用SSL與SET結合的方式。持卡人到商戶處購物,選擇了商品后,形成訂單,通過超級鏈接到招行付款,在此過程中,商家無法截獲持卡人的人和信息,在支付過程中,是銀行與持卡人之間的單向聯系,進行款項的查詢、劃撥,再到商家進行確認是否有貨及配送方式,最后交易成功。
五、管理模式
1、業務管理
在全面合規管理中,招行將以巴塞爾銀行監管委員會的合規標準為目標,以增強合規管理的全面性、系統性和獨立性為準則,以健全組織架構為起點,以完善制度機制為核心,以營造合規文化為重點,以現代管理技術與方法為工具,努力構建合規管理的長效機制。
在全面服務管理中,將著重于觀察客戶需求的變化,并在注重人性化服務的基礎上,提升服務的細分化、專業化及標準化,并以客戶為中心,構建服務提供、服務支持、服務監督三位一體的服務體系。
2、經營管理
在全面預算管理中,按照“全方位管理、全過程控制、全范圍參與、條塊結合、利潤導向”的原則,逐步實施和不斷完善全面預算管理,切實推進經營戰略調整,促進效益、質量、規模協調發展。
在全面流程管理中,將依據客戶和市場的需求,提高運作效率和管控能力。在全面戰略管理中,將不斷推出新形勢下能滿足市場需求的有競爭力的產品,大力發展中小企業業務,力爭中間業務發展領先同業并占有較高的收入比重。另外,不斷研究和完善未來幾年的發展思路與策略,充實與豐富戰略規劃體系。
3.、風險管理
招商銀行將按照全面性、獨立性、專業性和制衡性原則,不斷健全和完善全面風險管理體系,爭取早日達到銀監會實施新資本協議的首批達標銀行的最高標準。
六、資本模式
招商銀行實行統一法人授權經營的商業銀行經營管理體制,總行是全行的經營管理中心、資金調度中心和領導指揮中心,擁有全行的法人財產權,對全行經營的效益性、安全性和流動性負責。全行實行“下管一級、監控兩級”的管理模式,從而保證資本運營。
七、總結
在這幾年的實踐中,招行積累了一些經驗,產品、服務和營銷是網上銀行成功的基本要素。
1、創新產品是取得競爭優勢的關鍵
招商銀行開展網上銀行業務以來,進過多次改版,功能不斷完善。由于堅持“統一管理、統一規則、統一需求、同意系統”的原則,為網上銀行的全行聯網通用提供了堅實的基礎。
2、優質服務是網上銀行成功的保障
只有產品而沒有服務是吸引不來客戶的,招商銀行除了為客戶提供順暢的網上交易渠道,還為網上銀行提供了一系列配套服務。
3、市場營銷是推動網上銀行發展的有利手段
從1999年全面啟動網上銀行開始,招商銀行開展了一系列市場營銷活
動,通過活動,拉近了銀行與客戶的距離,提高了市場占有率。
未來的一段時間內,招商銀行將重點向個性化、和理財化合虛擬化發展。2002年招商銀行將開始建設全行CRM系統,在這個基礎上細分客戶,為網上銀行客戶提供量身定做的個性化服務;我們還將把網上銀行由單純的交易渠道轉變為綜合理財工具,為客戶提供集投資分析,財務管理和在線交易為一體的理財服務,將“一網通”網站變成客戶與銀行互動交流的理財社區。
在互聯網時代,招商銀行走在了中國銀行業科技化、電子化、網絡化的前列,成為國內網上銀行服務的市場引導者。未來,招商銀行將憑借電子化銀行的技術領先地位,在新一輪的試產角逐中,力爭繼續領跑網絡時代,創建國內最好網上銀行。
第三篇:應用信息管理系統_案例分析
國內外應用信息管理系統成功案例及分析網銷091 繆海鴻 ERP案例
案例一:高露潔-棕欖公司(Colgate-Palmolive)公司簡介
高露潔-棕欖是全球頂尖的消費品公司之一,總部在美國紐約,在全球200多個國家和地區設有分公司或辦事機構,雇員總數達40000人。公司在口腔護理、個人護理、家居護理和寵物食品等方面為大眾提供高品質消費品,其中有很多是廣大消費者耳熟能詳的全球著名品牌,如高露潔、棕欖、潔齒白、Ajax、Protex、Fab、Irish Spring、Mennen和Science Diet等等。公司自20世紀30年代就在歐洲幾個國家建立了公司,其后不斷向國外擴展業務。截至1993年,公司已在全世界70多個國家開展了業務。2004年,其總營業額達到106億美元。ERP實施概況
高露潔公司采用了SAP提供的ERP系統,實施成功的模塊包括供應鏈管理、客戶關系管理、供應商關系管理、人力資源管理、財務管理、綜合應用程序、訂單處理流程管理,物料清單管理、生產制造管理、員工自助服務及其他。該公司的ERP實施始于1996年,至今已完成2次全面升級,目前包括SAP的R/3系列、mySAP的高級排程計劃與優化、CRM、SAP門戶和mySAP商業倉庫(Business Warehouse)。他們分別在歐洲,北美、南美、南亞太平洋等地的分支機構以及其Hill Science Diet品牌實施了R/3系列的5個實例。此外,還實施了全球人力資源管理,而SAP的商業倉庫中目前存儲有超過6TB(注:1TB相當于1024GB)的客戶數據。目前,其ERP使用人數超過15,000。
案例二:聯邦快遞空運公司(FedEx)
公司簡介
聯邦快遞空運公司(FedEx Express)全球最大的快遞公司,憑借其無與倫比的航線權及基礎設施使其成為全球最大的快遞公司,向220個國家及地區提供快速、可靠、及時的快遞運輸服務。聯邦快遞每個工作日運送的包裹超過320萬個,其在全球擁有超過138,000名員工、50,000個投遞點、671架飛機和41,000輛車輛。公司通過FedEx Ship Manager at fedex.com、FededEx Ship Manager Software 與全球100多萬客戶保持密切的電子通訊聯系。2004年,其總營業額達到290億美元。
ERP實施概況
采用Oracle提供的ERP產品。已使用的模塊包括PeopleSoft的資產管理、會計總帳管理、財務管理、人力資源管理,電子采購、開支報告、庫存管理、項目成本核算及其他。1997年,公司開始實施PeopleSoft的會計總帳和資產管理模塊。在之后幾年內的兩次重大升級之后,2004年,整個系統已包括12個PeopleSoft的模塊。FedEx’s的國內及國際運營共用同一實例,而合作服務、運輸等使用另一個實例。目前其用戶超過20,000人。
MRPII案例
案例:上海第二機床廠
公司簡介
上海第二機床廠是一個生產車床的中型國有企業,主要產品為普通車床,數控車床與車削中心等,年生產能力達一億元(銷售收入)。其生產方式是典型的離散型多品種小批量生產。于1986年列入上海機床公司接受世界銀行貸款改造單位。
MRPII實施概況
在企業實施MRP-II系統,于1992年購置了IBM AS/400小型機和SSA公司的BPCS軟件共11個模塊,并于1993年初開始實施MRP-II的進程,目前除能力計劃(CRP)外,制造數據維護(MDM)、庫存(INV)、采購(PUR)、車間控制(SFC)、主生產計劃(MPS)、物料需求計劃(MRP)、預測(FOR)、成本(CST)、銷售訂單(ORD)、數據處理(BIL)等10個模塊已全部投入運行。生產用物料倉庫已全部取消手工記帳,新產品設計的所有目錄與工藝文件定額等已取消手工文件,所有車間制造和采購、外協件已全部進入訂單控制,MRP系統每周運行一次,根據其運行結果召開生產/采購調度會。MRP-II系統已成為整個工廠運行不可缺少的基本支持系統。
一、企業應用管理信息系統提高了工作效率
1、高露潔公司提高工作效率的情況
A、需求規劃:mySAP可以計算出基本需求,根據市場變化,相應增加業務。
B、績效確認:mySAP可以得到準確、及時、一致的數據信息來支持
各種規劃的決策。高露潔還將使用mySAP商業智能系統(mySAP BI),以更快速地獲得更加一致和精細的數據信息,支持整個企業
集團的決策。
2、聯邦快遞公司提高工作效率的情況
聯邦快遞的ERP信息管理系統正是通過計算機網絡將企業、用戶、供應商及其他商貿活動涉及的職能機構集成起來,完成信息流、物流和價值流的有效轉移與優化,尤其是企業內部運營的網絡化、供應鏈管理、渠道管理和客戶關系管理的網絡化與功能全面集成優化。
3、上海第二機床廠提高工作效率的情況
MRP-II 要求把全廠原屬于各個部門的相同功能集中起來,便于物流、資金流的管理,例如計劃,必須成立單獨的計劃部門,將車間(工段)作業計劃、物資采購計劃、外協作計劃等集中到一個計劃部門中。要將各種物料倉庫集中到一個部門管理。
實施MRP-II 對目前國內原材料、加工制造工廠的管理體制,方法進行變革是全方位的,目前是從根本上改變傳統管理下企業產品的生產周期長,占用資金多,物質消耗高,經濟效益低的落后狀況。而使國內企業在管理上上一個臺階。
二、企業應用管理信息系統提高了生產效率
1、高露潔公司提高生產效率的情況
在經營領域,SAP企業管理解決方案能夠鞏固生產設施。國際市場上消費品的競爭十分激烈,盡管高露潔在SAP系統的幫助下取得了很大發展,但還有些方面需要完善。通過實施SAP R/3系統,高露潔將產生訂單和完成訂單的實現率提高到90%,但它仍希望通過突破公司在需求和能力方面的局限將該數字提高。此外,通過SAP R/3系統,高露潔在北美將訂單在企業內部循環的時間由9天縮減到5天,但即使這樣成本還是很高。
高露潔的跨地域資源利用系統(CBS)將需求和全球資源信息整合在一起,使以前的月度預測發展成為每周的定貨補充。高露潔的投入迅速見效,其中包括出貨率的上升、集裝箱整箱率上升、補充訂單的循環次數下降、庫存下降8%等。在新商業模型中,供應商直接負責對高露潔分銷中心的資源補充(在此之前,高露潔的銷售分支每月發展不均,向海外的工廠發布的補貨要求經常不準確)。新的周補給制度是由客戶的訂單流量來驅動的,通過高露潔在世界各地的分銷中心直接傳遞給供應商。補給要求也是根據高露潔銷售機構提供的需求信息(如推廣活動刺激的需求增長等)來計算。
2、上海第二機床廠提高生產效率的情況
上海第二機床廠是一個生產車床的中型國有企業,為改進管理,購置了小型機和軟件的11個模塊,于1993年初開始實施MRPII。經過2年的實施,已有10個模塊投入運行。MRPII系統已成為整個工廠運行不可缺少的基本支持系統。由于MRPII系統的支持,目前新開發產品的設計、制造周期已從過去的1年半至2年縮短為8~10個月,大大增強了產品在市場競爭中的能力。
三、企業應用管理信息系統增加了客戶價值
1、高露潔公司增加客戶價值的情況
mySAP SCM使高露潔及其合作伙伴、消費者能夠快速、實時地掌握訂單、預測、生產計劃,以及庫存、訂單完成比率等重要指標,完全掌握各項關鍵商業數據。mySAP SCM幫助企業提高服務質量、減少庫存投資,進而提高企業的市場競爭力。高露潔在應用mySAP系統之后,提高了市場競爭力,在價格戰、全球業務拓展和市場推廣中更有優勢。同時,公司也不斷加強與全球客戶的聯系,此外,高露潔通過電子商務還進一步加強了企業內部整合,密切了與合作伙伴和客戶的關系。
2、聯邦快遞公司增加客戶價值的情況
對于講求速度質量優先的快遞公司,供應鏈、渠道與客戶關系的處理顯得更為重要。而ERP系統能將這繁瑣復雜的聯系過程最簡最優化以達到快遞公司擴大市場占有率,提高企業信譽形象的最好方式。
企業ERP信息管理系統能夠根據企業內部和外部的變化,及時與先進的管理思想接軌,拋開企業原有不合適宜的管理思想,迅速適應電子商務時代資源優化及企業間協同發展的需要,能夠使企業擁有更強盛的生命力和競爭力,為企業在電子商務時代的發展提供新的機遇。
四、企業應用管理信息系統提高了贏利能力
1、高露潔公司提高盈利能力的情況
要證明管理層的能力最好的證據莫過于這家公司的盈利狀況。自從魯賓接掌了高露潔CEO一職,公司的毛利率從最初的39.2%一直飆升至2000年的54.4%。分析家們認為這主要得益于高露潔不斷從小處著手提高效率。例如只要經過簡單的改進,一種除臭劑的外包裝每個就可節省幾分錢。高露潔的管理層并不只是高高在上大談特談公司的宏觀策略問題,他們還會親自參與到一些細節的討論中來。雖然在生產過程中節省每一分錢的成本令高露潔大獲成功,但這絕對不是公司致勝的唯一原因。高露潔的另一個撒手锏是,向少數幾項利潤率高的業務全速發展。公司超過一半的銷售額來自兩項業務:口腔護理和個人衛生用品,牙膏、除臭劑和液體香皂等產品都屬于這些業務。相比之下,其它如洗潔精和清潔劑等產品的盈利能力則低得多。
2、聯邦快遞公司提高盈利能力的情況
每月兩次,總有許多世界各地商業人士愿付250美元、花幾個小時去參觀聯邦快遞公司的營業中心。目的是為了親身體會一下這個巨人如何在短短23年間從零開始,發展為擁有100億美元、占據大量市場份額的行業領袖。
聯邦快遞選擇了固定價格體系來取代按郵區劃定的路程和運量定價體系(postal code-inspired zone and volumn pricing systems),在貨運業引起了巨大哄動。這一改變不僅簡化了聯邦快遞的業務程序,也使客戶能夠準確預測自己的運輸費用。弗雷德說服國會使the civil aeronautics board(編者譯:美國民航管理委員會)解除對航空快運的限制后,開辟了隔夜送達貨運業務(overnight cargo transportation business),使對手公司也紛紛受益,整個行業的利潤增加了10倍。
就拿2005年的盈利來說,國際速遞巨頭聯邦快遞的母公司FedEx集團宣布,截至8月31日,2005財政第一季(2004年6月至8月)取得每股攤薄盈利1.08美元,與去年同期0.42美元相比,大幅飆升157%。聯邦快遞還將增設12班貨機前往中國,使航班數增加一倍。
3、上海第二機床廠提高盈利能力的情況
上海機床業是這方面的一個典型——這一極為傳統的行業藉著數字技術的“點化”,在去年一年取得了盈利猛增近2倍的佳績,今年又有望增50%。循此路徑,相信上海的制造業定能形成巨大的優勢。
通過實施行業MRP(企業資源計劃)管理、運用信息技術優化業務流程,實現由定
性管理、靜態管理向動態管理、事后管理向事前控制的轉變,逐步達到科學管理。通過在互聯網上設立上海機床工具行業網站,借助網絡通信和電子商務開展全球貿易。以“比價采購”、“成本管理”為重點,推動信息化管理取得更好的效益。
五、企業應用管理信息系統完善了企業經營模式
1、高露潔公司完善企業經營模式的情況
高露潔從1995年開始采用SAP提供的企業管理核心解決方案,通過財務管理、后勤規劃和其他業務環節等統一并全球支持公司的運營。采用SAP的系統也推動了高露潔公司內部所有產品命名、配方、原材料、生產數據及流程、金融信息等方面的標準化。
這些方面的改進提高了高露潔公司在全球的運營效率,真正實現全球化資源利用。
2、聯邦快遞公司完善企業經營模式的情況
People-Service-Profit,提高員工的素質,把高質量服務提供給客戶,從而產生高利潤,再把利潤回饋給員工。
在需要與顧客建立更為密切聯系的情況下,計算機和通訊技術將導致快遞運作管理體制向著集權式管理方向發展;另一方面,在分部門比較多的大型企業,集權式系統難于進行有效管理。創業家最大的貢獻在于“化不可能為可能,”他的秘訣在于“遠見、時機、冒險精神、執行能力”。確實在70年代初期,顧客并沒有主動提出“隔夜送到”的需求,但史密斯相信顧客會歡迎這樣的服務產品,并且未來快遞市場競爭的關鍵必然在于速度。
采用轉運中心營運模式的一項主要困難,就是需要相當的經濟規模,也就是說需要極大的投資金額。但“隔夜送到”的初期市場需求卻還看不到,當時法令也還限制航空貨運的載貨量規模,也就是說史密斯所要面對的創業投資風險將非常高。
3、上海第二機床廠完善企業經營模式的情況
A.管理思想的轉變,MRP-II 的管理思想是建立在系統工程、決策論、行為科學、勞動心理學等現代管理學科的基礎之上,它形成的管理思想是最大限度地利用已有資源來取得最高的利潤。
B.管理目標的轉變,MRP-II 的目標是企業的整體效益,通過統一企業的物流、資金流來提高企業的競爭力。
C.管理方法的改變。MRP-II 應用工業工程、計劃與控制、質量保證體系、物流與布置、工作研究、工程經濟等原理于管理上
D.管理手段的改變,MRP-II 管理的手段是計算機網絡系統,通過聯網的計算機應用,可以使信息共享,可以迅速、正確、及時地處理企業管理中的各類信息,起到強化管理的功能。
E.管理信息傳遞渠道的改變,MRP-II 改變用書面文件傳遞信息的方法而通過設在各個部門的計算機終端下達任務指令,報告完成情況,查詢各類數據,在與CAD(計算機輔助設計)連通后還可以將生產圖紙直接傳送到工作中心。
由于實施MRP-II系統是對企業傳統觀念,管理方式和工作方法的一場變革,特別是在國有企業內,由于整個企業的運營尚未完全進入市場經濟的規范,實施難度很大。成功與否關鍵在于企業領導的支持和要有一批全心投入于企業改革的人才。
第四篇:網上銀行在企業的應用分析
龍源期刊網 http://.cn
網上銀行在企業的應用分析
作者:杜 鵬
來源:《科學與管理》2005年第02期
摘 要:為了全面提升企業管理水平,充分利用網絡技術帶來的進步,網上銀行正走入企業資金管理的視野。本文以齊魯石化公司為例,對齊魯石化公司資金結算網絡的現狀進行分析,論證了大型企業實施網上銀行的可能性和利弊,根據齊魯石化公司的情況提出了實施方案,最后討論了應用網上銀行應注意的問題。
第五篇:中國網上銀行系統安全性分析
中國網上銀行系統安全性分析
前言:本文是對于一般性質的網上銀行系統安全性的技術分析文章,對于目前中國國內具體銀行的安全性不具有評測功能,也不對任何第三方評測數據負責。以下是正文。
網絡銀行是一個比較新的概念,中國的網絡銀行大多是對現有銀行專用網的延伸和對銀行傳統業務方式的補充,銀行增加一些軟、硬件設備,使得用戶可以通過家用電腦連接銀行系統,進行各種普通的銀行業務,以彌補傳統銀行業務中營業網點少和營業時間短的不足。中國的網上銀行起步比較早的是深圳招商銀行,他們開發過第一個面向最終用戶的網銀系統。招行的網絡銀行有大眾版和專業版之分。隨著網絡的大規模普及,中國各個銀行也都逐步開啟自己的網銀系統,有些銀行的系統僅局限在賬戶信息查詢方面,有些則包含轉賬付款等功能,還有的已經涉及貸款、投資等方面的內容。隨著網銀的普及,網銀的安全性成為整個系統中最為至關重要的部分了。
今年以來,大量的關于網上銀行發生騙盜的報道不斷見諸報端。不法分子通過竊取用戶的卡號和密碼,大量盜竊資金和冒用消費,因此雖然網銀對于銀行和用戶都有不少好處,但是發生這些情況使得銀行在推廣網銀面臨非常巨大的風險,提高網銀的安全性也是刻不容緩。
根據一般的報道分析,不法分子竊取用戶信息主要通過木馬程序來進行,比如,黑客首先在用戶電腦系統注入木馬程序后,駐留在中招電腦系統里的監控系統就可以截取、監控系統及用戶上網時打開的網銀密碼窗口。也就是說當用戶在網銀程序里輸入卡號或密碼時計算機就會自動將相關信息的編碼發送給黑客,他們再據此進行反讀取以破譯,錢便被黑走了。目前的網銀系統的主要問題是,用戶安全性過于依賴用戶本身的素質,對于安全觀念較差的用戶,其密碼很容易被盜取,因此這種“信任用戶”的安全模式設計是很不合理的。用戶的電腦可能安裝木馬程序,用戶的一舉一動都可能被監聽和竊取,安全的網銀系統應該設計成為這樣的:假設網銀的管理員是黑客,并在最終用戶電腦安裝木馬并且可以監聽用戶的一切鍵盤鼠標操作,網銀的管理員還可以進行系統管理和操作,但是網銀的管理員依舊無法通過網銀系統來竊取最終用戶的資金。如果能做到這一點,那么這個網銀系統就算是比較安全了。
明天,我將繼續介紹,這樣的網銀系統安全性是如何實現,從那些方面可以保證系統的安全性,以及這樣的系統存在什么樣的漏洞。
點擊咨詢 