隨著保險(xiǎn)公司的不斷發(fā)展和規(guī)模的逐漸擴(kuò)大,分支機(jī)構(gòu)也在不斷增加,很多大型保險(xiǎn)公司在各個(gè)地市甚至區(qū)縣都發(fā)展了分支機(jī)構(gòu)或者代理機(jī)構(gòu),各個(gè)分支機(jī)構(gòu)與總部之間的很多業(yè)務(wù)都需要通過基于網(wǎng)絡(luò)的電子商務(wù)平臺(tái)來完成。因此,通過Internet接入企業(yè)總部?jī)?nèi)網(wǎng)就給分支機(jī)構(gòu)帶來了便利,但接入以后帶來的各種安全問題也成為困擾企業(yè)信息化部門的問題,而聯(lián)想網(wǎng)御防火墻則能很好地解決這個(gè)問題:在實(shí)現(xiàn)企業(yè)分支機(jī)構(gòu)安全接入的同時(shí),也能夠保護(hù)企業(yè)內(nèi)網(wǎng)安全。同時(shí),通過與用戶認(rèn)證系統(tǒng)的結(jié)合,還可以將內(nèi)網(wǎng)的認(rèn)證系統(tǒng)直接用于外網(wǎng)接入的用戶中,便于企業(yè)對(duì)關(guān)鍵業(yè)務(wù)系統(tǒng)統(tǒng)一認(rèn)證、授權(quán)和審計(jì)。目前,針對(duì)這個(gè)問題,聯(lián)想網(wǎng)御防火墻在某保險(xiǎn)公司成功得到應(yīng)用。
該保險(xiǎn)公司僅在北京市就有上百個(gè)車險(xiǎn)定損理賠點(diǎn),負(fù)責(zé)對(duì)投保人進(jìn)行出險(xiǎn)后的定損和理賠業(yè)務(wù),各個(gè)定損點(diǎn)都需要通過Internet接入保險(xiǎn)公司內(nèi)網(wǎng),訪問定損系統(tǒng)(PEDS)和理賠處理系統(tǒng)。保險(xiǎn)公司對(duì)于外圍接入的安全需求主要有以下幾個(gè)方面:
第一、認(rèn)證。判斷接入主機(jī)的合法性,即判斷哪些接入是合法的,哪些是非法的。
第二、授權(quán)。進(jìn)行接入主機(jī)訪問內(nèi)網(wǎng)的權(quán)限管理,具體地說,就是要求定損點(diǎn)的業(yè)務(wù)人員只能訪問與其相關(guān)的業(yè)務(wù)服務(wù)器,不能訪問內(nèi)網(wǎng)上的其他服務(wù)器。
第三、審計(jì)。能夠?qū)I(yè)務(wù)人員訪問定損系統(tǒng)和理賠處理系統(tǒng)的情況進(jìn)行審計(jì),記錄何時(shí)、何人訪問了定損系統(tǒng)或理賠處理系統(tǒng)。
第四、數(shù)據(jù)保密。防止內(nèi)網(wǎng)的敏感信息通過外網(wǎng)出口被竊取。
第五、保持內(nèi)網(wǎng)整體安全性和可靠性。防止因接入主機(jī)的不可靠使得內(nèi)網(wǎng)受到波及。例如由接入主機(jī)向內(nèi)網(wǎng)傳播蠕蟲病毒、木馬等有害信息。
第六、遠(yuǎn)程用戶接入的易用性。讓非專業(yè)人員也可輕松接入至企業(yè)內(nèi)網(wǎng)。
第七、高性能。能夠處理高峰時(shí)期近1000用戶同時(shí)接入訪問業(yè)務(wù)系統(tǒng)。
該保險(xiǎn)公司采用的是聯(lián)想網(wǎng)御Power V-3000系列防火墻,并配置了SSL VPN功能模塊,成功解決了通過Internet的安全接入問題。
聯(lián)想網(wǎng)御Power V-3000系列防火墻產(chǎn)品的SSL VPN模塊采用基于USBKey的電子證書,將存儲(chǔ)了證書的電子鑰匙插入電腦,即可自動(dòng)實(shí)現(xiàn)身份認(rèn)證,拔下電子鑰匙后,遠(yuǎn)程接入自動(dòng)斷開。在電子鑰匙中存儲(chǔ)的證書由企業(yè)內(nèi)網(wǎng)CA系統(tǒng)統(tǒng)一頒發(fā),這樣就實(shí)現(xiàn)了內(nèi)網(wǎng)用戶和外網(wǎng)用戶的統(tǒng)一認(rèn)證。
此外,聯(lián)想網(wǎng)御防火墻還會(huì)根據(jù)證書,判斷接入用戶是否合法及其可訪問的服務(wù)器和應(yīng)用,并將其可訪問的服務(wù)和應(yīng)用直接顯示到IE瀏覽器上,只允許接入用戶訪問其授權(quán)訪問業(yè)務(wù)。
聯(lián)想網(wǎng)御防火墻可將所有接入用戶訪問的時(shí)間、用戶信息及其訪問的服務(wù)器記錄到日志服務(wù)器中,為審計(jì)提供依據(jù)。作為邊界網(wǎng)關(guān),聯(lián)想網(wǎng)御防火墻還可通過抗DDOS/DOS模塊抵御外來的攻擊,通過安全規(guī)則限制由內(nèi)網(wǎng)向外網(wǎng)傳輸數(shù)據(jù),從而達(dá)到內(nèi)外數(shù)據(jù)安全交互的目標(biāo)。
除此之外,聯(lián)想網(wǎng)御防火墻還具有隧道狀態(tài)自動(dòng)探測(cè)的功能,拔下電子鑰匙后,遠(yuǎn)程電腦會(huì)自動(dòng)斷開與內(nèi)網(wǎng)的連接,防火墻還可根據(jù)管理員的設(shè)置,自動(dòng)探測(cè)每個(gè)遠(yuǎn)程接入隧道的狀態(tài),閑置時(shí)間超過設(shè)定后,連接將自動(dòng)斷開。
聯(lián)想網(wǎng)御友好的界面可方便用戶按組設(shè)置接入用戶的權(quán)限,在本案例中,管理員將所有用戶分為可訪問定損系統(tǒng)的組和可訪問理賠系統(tǒng)兩組,方便對(duì)接入用戶的權(quán)限統(tǒng)一進(jìn)行管理。
