Array SSL VPN在安邦保险中的应用

客户名称:

安邦财产保险股份有限公司

行业:

保险业

应用类型

核心业务系统(C/S)、财务系统(用友NC)、理赔系统(B/S)、车险配件查询(B/S)、报表系统(B/S)、呼叫中心(B/S)、OAB/S)、各类测试系统(C/SB/S)、腾讯RTX(内部交流平台,C/S

产品

Array SPX50002台)

 

客户背景:

         安邦财产保险股份有限公司是一家经营财产保险、意外伤害保险和短期健康险业务的全国性保险公司,于200469获得中国保监会批准筹建,2004930获准开业。安邦保险实力雄厚,注册资本37.9亿元。股东包括上海汽车集团股份有限公司(SAIC)、中国石油化工集团公司(Sinopec Corp)等“世界500强”企业。凭借着雄厚的股东实力,一流的企业文化,安邦保险发展态势迅猛。目前已在全国37个省、市、自治区及重点城市设立分公司。2005年营业额超过10亿元。2006年,安邦财险以突破40亿元的保费收入跃居国内财险第二集团军位置。

 

挑战和需求:

         安邦保险的IT系统建设非常完善,总的特点是应用复杂,种类众多。具体来讲,包括核心业务系统(C/S)、财务系统(用友NC)、理赔系统(B/S)、车险配件查询(B/S)、报表系统(B/S)、呼叫中心(B/S)、OAB/S)、各类测试系统(C/SB/S)、腾讯RTX(内部交流平台,C/S。使用人员分布广泛,包括各级领导、各级财务、各级IT、各级员工、各级代理商。迅速壮大的安邦保险,业务拓展其面向的人员总量相对传统企业要高,估计约有1万并发的综合访问量。

 

这些复杂的应用系统的远程安全接入需要考虑如下几点:

 

l        数据传输安全性:数据加密,数据传输在Internet上进行,需要加密机制保障数据传输,防止恶意篡改。

l        接入的灵活性随时随地接入,即使员工出差、家庭、网吧、分支机构、合作伙伴都能够即时接入。

l        用户接入体验:使用方便、灵活,不需要具有复杂的IT使用知识即可接入。

l        VPN部署维护管理:不需要对基础设施进行较大改造,部署维护、操作简单易行。这对于VPN的实施和使用至关重要。在部署和使用软硬件客户端的时候,若需要大量的评价、部署、培训、升级和支持,对于用户来说,这些无论是在经济上和技术上都是个很大的负担,将这样的远程安全解决方案和昂贵的内部应用集成,对任何IT专业人员来说都是严峻。

l        接入方案的适应性:VPN方案要充分适应复杂的网络拓扑结构,和网络防火墙防病毒系统、认证系统相结合,能够适用网络地址转换(NAT)的影响,网关代理设备(proxy)等网络结构。客户端不需要安装复杂的软件,便于大量分散用户、移动用户使用。

l        接入的用户身份验证:身份证明是所有安全系统不可或缺的一个组件。它是区别授权用户和入侵者的唯一方法。认真对待信息资产保护并知道何人试图获取网络访问的任何企业都必须对用户进行身份验证。当使用某些更尖端的通信方式时,身份验证特别重要。

l        接入用户的授权:要能够做到用户授权,保证特定的用户访问特定的办公资源,如财务系统只有财务雇员或相关人员才能访问。

 

         之前,安邦保险考虑使用专线合IPSec VPN进行远程接入, 但专线到省与部分市;而更多的市级分公司的成立与各级代理商的加盟,使得专线互联困难;同时使用CiscoPIX搭建的Remote-to-Site方式IPSec VPN已经成为制约业务拓展的瓶颈,且部署中面临着IPSec固有的问题,如NATWeb Proxy穿越问题,IPSec VPN专用客户端软件的安装问题等。

 

Array SSL VPN接入方案:

     Array 在安邦保险部署两台SPX5000设备,其中面向电信站点,SPX5000单臂接入,面向网通站点,SPX5000双臂接入。这样可以充分利用电信合网通的链路资源。两台SPX5000作为SSL VPN网关为安邦保险提供SSL VPN接入,进而访问内部各种复杂的应用系统。

 

    

认证系统采用安邦保险已有的Cisco ACSRadius系统,达到用户接入SSL VPN的认证。

 

需求实现:

  

关键的挑战和需求

具体描述

安全接入:由于专线到省与部分市;而更多的市级分公司的成立与各级代理商的加盟,使得专线互联困难;同时使用CiscoPIX搭建的Remote-to-Site方式IPSec VPN已经成为制约业务拓展的瓶颈,且部署中面临着IPSec固有的问题。

Array 提供的SSL VPN可以实现无客户端的接入,并实现数据的加密、防篡改等安全防护功能。

1万并发VPN用户量

迅速壮大的安邦保险,业务拓展其面向的人员总量相对传统企业要高。Array SPX可以实现业界最大的并发用户支持。

应用复杂,种类众多。核心业务系统(C/S)、财务系统(用友NC)、理赔系统(B/S)、车险配件查询(B/S)、报表系统(B/S)、呼叫中心(B/S)、OA(B/S)、各类测试系统(C/S、B/S)、腾讯RTX(内部交流平台,C/S)。

通过Array SSL VPN的L3 VPN模块对复杂应用的支撑效果。

使用人群复杂,权限分离要求高。各级领导、各级财务、各级员工、各级IT、各级代理商;其所使用的系统各不相同,其访问内部资源的权限也各不相同。

Array SPX可以实现用户接入的认证合分别授权要求。结合Radius上信息实现组映射本地授权,做到接入人群区分,权限细粒化区分;

SPX成为安邦保险业务向互联网拓展的唯一入口。

保监会特殊要求,使得接入终端控制要求高。保监会对保险业特殊要求(该要求普遍):即保险下单不允许跨区域。故对于有下单权限的人员与有下单权限的分公司终端设备要实现绑定。

Array SSL VPN的MAC信息绑定模块,特殊终端采纳LocalDB认证,同时绑定硬件信息可以完成验证。实现设备与人绑定,屏蔽了原有问题,为安邦保险业务合法性提供了保障.

跨运营商互访瓶颈。安邦保险用户遍布全国,跨运营商互访瓶颈凸显。而宁波IDC已经部署电信/网通双100M互联网专线。

Array 的两台设备分别接入电信、网通链路,可以充分利用两条链路。建议部署Array TMX-LLB/GSLB(二期计划)

竞争分析:

深信服4Sinfor M5800-S ,但由于其并发用户远远达不到安邦保险的要求,且其设备功能简单,产品不够稳定,在国内缺乏大用户应用案例,安邦保险为采用。RadWare 建议采用2RadWare WSD,但它只是SSL加速设备,并不是SSL VPN产品,达不到安邦保险的安全接入要求,如对客户端的检查,用户的认证、授权要求等,最终选择了ArraySSL VPN设备作为安全接入。

 

成功因素:

1.性价比;

2.整体方案的合理性;

3.厂家工程师直接参与前期性能测试与方案设计;

4.国内众多的同级别成功案例

 

业务利益:

         安邦保险部署了ArraySSL VPN后,其各级领导、各级财务、各级员工、各级IT、各级代理商等都可以安全、方便的接入其内部应用,如核心业务系统、财务系统、车险配件查询、报表系统、呼叫中心、OA系统)、各类测试系统、内部交流平台腾讯RTX。从分发挥其IT系统的功用,大大提高了其生产效率。

     ArraySSL VPN接入成为专线很好的备份与补充,替代了原有的IPSec VPN,其无客户端的终端接入更为便利,大幅度提升了办公效率。

     实现设备与人绑定,屏蔽了原有问题,为安邦保险业务合法性提供了保障,可以完全满足保监会的安全接入控制要求。

页面主体部分底边框