随着保险公司的不断发展和规模的逐渐扩大,分支机构也在不断增加,很多大型保险公司在各个地市甚至区县都发展了分支机构或者代理机构,各个分支机构与总部之间的很多业务都需要通过基于网络的电子商务平台来完成。因此,通过Internet接入企业总部内网就给分支机构带来了便利,但接入以后带来的各种安全问题也成为困扰企业信息化部门的问题,而联想网御防火墙则能很好地解决这个问题:在实现企业分支机构安全接入的同时,也能够保护企业内网安全。同时,通过与用户认证系统的结合,还可以将内网的认证系统直接用于外网接入的用户中,便于企业对关键业务系统统一认证、授权和审计。目前,针对这个问题,联想网御防火墙在某保险公司成功得到应用。
该保险公司仅在北京市就有上百个车险定损理赔点,负责对投保人进行出险后的定损和理赔业务,各个定损点都需要通过Internet接入保险公司内网,访问定损系统(PEDS)和理赔处理系统。保险公司对于外围接入的安全需求主要有以下几个方面:
第一、认证。判断接入主机的合法性,即判断哪些接入是合法的,哪些是非法的。
第二、授权。进行接入主机访问内网的权限管理,具体地说,就是要求定损点的业务人员只能访问与其相关的业务服务器,不能访问内网上的其他服务器。
第三、审计。能够对业务人员访问定损系统和理赔处理系统的情况进行审计,记录何时、何人访问了定损系统或理赔处理系统。
第四、数据保密。防止内网的敏感信息通过外网出口被窃取。
第五、保持内网整体安全性和可靠性。防止因接入主机的不可靠使得内网受到波及。例如由接入主机向内网传播蠕虫病毒、木马等有害信息。
第六、远程用户接入的易用性。让非专业人员也可轻松接入至企业内网。
第七、高性能。能够处理高峰时期近1000用户同时接入访问业务系统。
该保险公司采用的是联想网御Power V-3000系列防火墙,并配置了SSL VPN功能模块,成功解决了通过Internet的安全接入问题。
联想网御Power V-3000系列防火墙产品的SSL VPN模块采用基于USBKey的电子证书,将存储了证书的电子钥匙插入电脑,即可自动实现身份认证,拔下电子钥匙后,远程接入自动断开。在电子钥匙中存储的证书由企业内网CA系统统一颁发,这样就实现了内网用户和外网用户的统一认证。
此外,联想网御防火墙还会根据证书,判断接入用户是否合法及其可访问的服务器和应用,并将其可访问的服务和应用直接显示到IE浏览器上,只允许接入用户访问其授权访问业务。
联想网御防火墙可将所有接入用户访问的时间、用户信息及其访问的服务器记录到日志服务器中,为审计提供依据。作为边界网关,联想网御防火墙还可通过抗DDOS/DOS模块抵御外来的攻击,通过安全规则限制由内网向外网传输数据,从而达到内外数据安全交互的目标。
除此之外,联想网御防火墙还具有隧道状态自动探测的功能,拔下电子钥匙后,远程电脑会自动断开与内网的连接,防火墙还可根据管理员的设置,自动探测每个远程接入隧道的状态,闲置时间超过设定后,连接将自动断开。
联想网御友好的界面可方便用户按组设置接入用户的权限,在本案例中,管理员将所有用户分为可访问定损系统的组和可访问理赔系统两组,方便对接入用户的权限统一进行管理。