隨著保險公司的不斷發展和規模的逐漸擴大,分支機構也在不斷增加,很多大型保險公司在各個地市甚至區縣都發展了分支機構或者代理機構,各個分支機構與總部之間的很多業務都需要通過基于網絡的電子商務平臺來完成。因此,通過Internet接入企業總部內網就給分支機構帶來了便利,但接入以后帶來的各種安全問題也成為困擾企業信息化部門的問題,而聯想網御防火墻則能很好地解決這個問題:在實現企業分支機構安全接入的同時,也能夠保護企業內網安全。同時,通過與用戶認證系統的結合,還可以將內網的認證系統直接用于外網接入的用戶中,便于企業對關鍵業務系統統一認證、授權和審計。目前,針對這個問題,聯想網御防火墻在某保險公司成功得到應用。
該保險公司僅在北京市就有上百個車險定損理賠點,負責對投保人進行出險后的定損和理賠業務,各個定損點都需要通過Internet接入保險公司內網,訪問定損系統(PEDS)和理賠處理系統。保險公司對于外圍接入的安全需求主要有以下幾個方面:
第一、認證。判斷接入主機的合法性,即判斷哪些接入是合法的,哪些是非法的。
第二、授權。進行接入主機訪問內網的權限管理,具體地說,就是要求定損點的業務人員只能訪問與其相關的業務服務器,不能訪問內網上的其他服務器。
第三、審計。能夠對業務人員訪問定損系統和理賠處理系統的情況進行審計,記錄何時、何人訪問了定損系統或理賠處理系統。
第四、數據保密。防止內網的敏感信息通過外網出口被竊取。
第五、保持內網整體安全性和可靠性。防止因接入主機的不可靠使得內網受到波及。例如由接入主機向內網傳播蠕蟲病毒、木馬等有害信息。
第六、遠程用戶接入的易用性。讓非專業人員也可輕松接入至企業內網。
第七、高性能。能夠處理高峰時期近1000用戶同時接入訪問業務系統。
該保險公司采用的是聯想網御Power V-3000系列防火墻,并配置了SSL VPN功能模塊,成功解決了通過Internet的安全接入問題。
聯想網御Power V-3000系列防火墻產品的SSL VPN模塊采用基于USBKey的電子證書,將存儲了證書的電子鑰匙插入電腦,即可自動實現身份認證,拔下電子鑰匙后,遠程接入自動斷開。在電子鑰匙中存儲的證書由企業內網CA系統統一頒發,這樣就實現了內網用戶和外網用戶的統一認證。
此外,聯想網御防火墻還會根據證書,判斷接入用戶是否合法及其可訪問的服務器和應用,并將其可訪問的服務和應用直接顯示到IE瀏覽器上,只允許接入用戶訪問其授權訪問業務。
聯想網御防火墻可將所有接入用戶訪問的時間、用戶信息及其訪問的服務器記錄到日志服務器中,為審計提供依據。作為邊界網關,聯想網御防火墻還可通過抗DDOS/DOS模塊抵御外來的攻擊,通過安全規則限制由內網向外網傳輸數據,從而達到內外數據安全交互的目標。
除此之外,聯想網御防火墻還具有隧道狀態自動探測的功能,拔下電子鑰匙后,遠程電腦會自動斷開與內網的連接,防火墻還可根據管理員的設置,自動探測每個遠程接入隧道的狀態,閑置時間超過設定后,連接將自動斷開。
聯想網御友好的界面可方便用戶按組設置接入用戶的權限,在本案例中,管理員將所有用戶分為可訪問定損系統的組和可訪問理賠系統兩組,方便對接入用戶的權限統一進行管理。
