保险行业解决方案
1、背景情况
随着中国经济的快速发展和保险市场的不断成熟,人均GDP、人均可支配收入和人均财富的持续增长将推动保险需求的增长,而教育水平的提高和保险意识的增强将促进人均保险支出比例的提高。在此背景下保险行业得到了迅速发展,包括很多外资保险机构的介入,形成一个庞大的市场规模。但外资保险企业的进入,业内的竞争已经非常激烈,保险公司已经意识到IT投入对于公司拓展业务,提升公司竞争力有很大作用,保险公司的产品和服务也会更多通过IT技术实现。
随着网络普及率提高和公民保险意识增强,网上保险发展前景广阔,保险公司推广网上保险将是未来几年的重要目标之一。保险业电子商务将作为一种全新的经营方式和商业模式。同时对于网络威胁应对和网络交易的安全性也困扰各保险公司,保险行业由于涉及到用户的敏感信息,在安全性上要求比较高,如何在信息化建设过程中,加强安全防御体系建设,及时采取有效的安全管理策略和防范措施,在开放的网络环境下确保企业信息系统的安全,已成为摆在各保险企业面前的一件迫在眉睫的大事。
2、 应用需求
目前保险公司的业务范围已经延伸到银行、证券、期货、信托、资产管理等多个业务范围,包括自身的多级网络系统,各地分公司、营业点和代理商,还需要与第三方合作伙伴的网络互联,多个网络进行信息交换,各网络之间的边界防护尤为重要。各营业部分之间需要进行保单的数据传输,对于公网数据的传输安全性需特别保护。在保单的录入与查询方面,要求所有的保单必须同步录入公司数据库,各分公司,营业点,代理商、移动人员必须实时的对客户资料进行查询以及录入,需要对访问人员的合法身份进行鉴别。保险公司还涉及到网上交易、网上支付等业务,对于网上交易的风险需要特别防护。
3、 解决方案
通过对保险行业的应用需求进行详细的分析,我们采用中华卫士防火墙+中华卫士安管平台来满足保险业的网络需求。
● 访问控制
防火墙最重要的一个功能就是访问控制功能,它能够将内网与外网在逻辑上进行隔离,在网络边界上使用防火墙,能够实现内外网之间的访问控制。中华卫士防火墙不仅能够实现内外网之间进行访问控制,还可以对内网中不同的逻辑区域进行访问控制,如可以将公司内网分为几个区域,办公室,财务室,查询室……等等,中华卫士防火墙可以实现这些内网区域之间的访问控制,如财务室的员工可以访问办公室,而办公室却不能访问财务室,等等,提供更加细粒度的访问控制功能。
● 防攻击
对于日益流行的DOS/DDOS攻击,中华卫士防火墙采取了一系列措施。首先,针对基于TCP的网络应用,中华卫士防火墙采用SYN Cookie认证机制,通过SYN Cookie认证的数据流才是合法数据流,可以进行会话或者规则的检查,如果无法通过SYN Cookie认证,则认为是非法的数据流,直接将报文丢弃。
针对UDP和其他协议的报文,采用基于源IP地址进行统计限制的方法,避免IP地址攻击。如有2个HTTP服务器需要进行保护,每个HTTP服务器可以提供200M的浏览服务,假设黑客对HTTP服务器发动攻击,由于有大量的伪装IP,很快就耗光了HTTP服务器的带宽,因此当正常用户访问时,HTTP服务器就无法提供服务,黑客达到了攻击的目的。而中华卫士防火墙采用了统计限制的方式,如可以限制同一个源IP地址不能超过1M,这样就能将伪装IP的多余链接限制住,保证HTTP服务器还有剩余带宽给正常用户。统计项可以包括新建链接速率、链接总数、转发流量等。
通过这些方法中华卫士防火墙可以极大的减轻DOS/DDOS攻击对网络的威胁。
●内容过滤
在保险系统中,会经常需要控制内部网络对某些站点的访问,如禁止用户访问某些站点(如暴力、色情、言辞反动的主页等)或站点中的某些网页;仅允许用户访问某些站点或站点中的某些网页等。这就需要有效的管理工具来给管理员提供严格的管控手段,有效地实现地址过滤的功能。中华卫士防火墙提供URL过滤和网页内容过滤功能,不仅可以控制用户对站点的访问,还可以控制用户对网页内容的访问。系统提供灵活的管控手段,可根据管理员的设定自动控制用户对网站或网页的访问,提供细粒度的内容过滤规则。
●VPN
中华卫士防火墙自带VPN功能,支持IPSEC VPN,L2TP VPN以及PPTP VPN,可实现网关—网关以及移动用户—网关之间的VPN组建,在保险系统网络边界的防火墙可以确保两个节点网络之间传输的信息的保密性、完整性和可用性,防止机密信息在传输过程中被窃取、篡改和破坏。特别是保险行业需要对数据进行特别保护,分公司与总公司,分公司与下属分部门以及外地出差的员工之间,通过中华卫士防火墙强大的VPN功能,满足了这方面的需求。
●支持第三方认证
中华卫士防火墙支持多种不同强度的身份认证方式,如RADIUS、AD、LDAP、证书、证书+口令等。并且,还支持企业已有的认证系统,如已有的RADIUS、AD或LDAP认证服务器。
● 一体化管理
中华卫士安全管理平台支持多设备多主机管理,在安全管理平台上能更轻松简捷的管理中华卫士防火墙,包括策略配置,日志监控等。同时还能对内网所有主机进行管理、监控、升级、杀毒等等。同时安全管理平台还支持多种设备,比如通用的VPN安全接入网关、路由器、交换机等。中华卫士安全管理平台从真正意义上实现了一体化管理,大大提高了管理员的工作效率,也大大提高了网络的安全性。
4 、产品部属
保险行业安全网络部署如下图所示:
5 、应用效果
应用本方案后,保险行业系统达到了下列效果:
● 防火墙在各个边界保护了内网的安全,并实现各个边界的访问控制策略;
● 防火墙内的VPN系统保证了防火墙所连接的两个网络之间数据传输的安全;
● 防火墙起到网络门卫作用,只有合法用户才可访问保险网,防止非法用户进入;
● 防火墙有效的防止了DOS/DDOS等网络攻击,并与IDS一起联动,更能使网络攻击无处藏身;
● 防火墙内设置内容过滤规则,使内部办公人员不能随意访问外部网站;
● 在防火墙内设置P2P控制规则,有效的限制了员工不能使用BT大量下载视频从而占用大量带宽;
● 外部出差如果想接入公司内网取资料必须先经过VPN认证,从来保证了移动用户的接入安全;
● 在防火墙中配置原有LDAP服务器,可以将原有LDAP服务器上的用户帐号导入到防火墙中进行更细粒度的授权,也可以直接对LDAP组进行授权,配置好LDAP服务器后,用户在登录VPN时就可以直接选择使用LDAP进行认证了,与原有认证服务器完美结合。
● 安全管理平台实现了一体化管理,极大方便了管理员,让网络管理更加快捷与高效,特别是对主机的管理,从根本上解决了内网管理上的种种问题,提高了网络安全性。
部署如下图所示。