近年来,迅速占领市场占有率成为各保险公司的市场策略,分公司,营业点,代理商遍布各地,内部的通讯以及沟通显得十分重要,尤其在保单的录入与查询,要求所有的保单必须同步录入公司数据库,这就使得各分公司,营业点,代理商、移动人员能够实时的对客户资料进行查询以及录入。但是由于众多的机构分部在各地,无法将客户保单及时录入公司总部数据库而导致保单拖延;如果以传统的专线、光纤作为接入解决方案,每个分公司、营业点都通过专线、光纤连接,无疑大大增加了企业自身的运营成本。综合考虑投资成本、安全性等多种因素,同时大多数下属企业都已经采取了宽带上网的手段,所以企业采用VPN(虚拟专用网)、在Internet 基础上构建营业点,代理商与总部的网络互联平台,是性价比较好的一种方案。
业界现在占主导地位的VPN接入方式主要有两种,分别是IPSec VPN和SSL VPN。IPSec VPN是针对数据在通过公共网络时的数据完整性、安全性和合法性等问题设计的一整套隧道、加密和认证方案。SSL VPN是解决远程用户访问敏感公司数据最简单最安全的解决技术。与复杂的IPSec VPN相比,SSL通过简单易用的方法实现信息远程连通。任何安装浏览器的机器都可以使用SSL VPN, 这是因为SSL 内嵌在浏览器中,它不需要象传统IPSec VPN一样必须为每一台客户机安装客户端软件。然而,SSL VPN无法支持非WEB的应用流量。
保险公司在公司总部部署VPN网关并设置基于IPSec技术的Easy VPN。出单点员工电脑终端安装VPN客户端,通过ADSL或企业局域网方式接入Internet,经由IPSec隧道,根据统一设定的VPN用户名和密码访问位于公司总部的核心业务系统。这种VPN接入方式虽然简单明晰,却没有考虑到实际接入情况,同时安全性很差。其具体问题表现为以下几个方面:
1.不同网络运营商线路互通问题。保险公司总部一般会采用总部所在地区的单一主流网络运营商的线路接入Internet,而保险公司的出单点分布在全国各地,接入Internet的网络运营商各不相同。不同运营商之间由于Internet互联接口带宽有限,在流量高峰时部分出单点由于线路质量差会出现经常断线的情况。
2.保险公司总部Internet接入带宽问题。保险公司总部VPN应用经常会和总部的其他信息外网应用共用一条接入Internet专线,这种方式第一安全性很差,第二会造成VPN的接入带宽无法得到保证,如果没有流量控制措施,在其他信息外网应用遭受DDOS攻击时,VPN应用也会趋于瘫痪。
3.出单点接入方式问题。出单点多由ADSL拨号或其他企业局域网两种方式接入Internet。对前一种方式,当同时IPSec VPN用户数大于1人时,会出现VPN经常断线问题,问题由ADSL Modem以及用户自己所接路由器内在机制引起;后一种方式接入企业局域网的防火墙或路由器等设置如果和保险公司总部的VPN设置有冲突,也会造成VPN经常断线的情况时常发生。
4.用户名和密码设置安全隐患。对所有用户预置统一的用户名和密码安全性很差,而且会引起不同用户之间的互相干扰断线情况。
针对上述VPN接入问题,可以采用如下的优化策略:
1.保险公司总部VPN网关采用不同网络运营商线路接入Internet。为了解决不同运营商之间带宽有限的问题,可以根据实际情况采用多条VPN接入Internet专线。图中以电信和网通为例,通过电信接入的出单点登陆电信VPN网关,通过网通接入的出单点登陆网通VPN网关。这种优化不仅解决了问题,而且可以达到线路备份效用。
2.VPN网关接入Internet和其他Internet应用分开。为了保证VPN流量带宽以及数据安全,VPN接入Internet采用独立的专线,和其他Internet应用接入隔离开来。如果条件所限,无法使用独立专线,可以配备流量控制设备,对VPN流量进行控制和保护。
3.出单点根据实际情况选择多种多样的接入方式。首先,如果出单点只有一台员工电脑终端通过ADSL接入Internet,可以维持安装VPN客户端通过IPSec隧道接入VPN网关的Easy VPN应用方式,这种接入方式简单,稳定,造价低。其次,如果出单点员工电脑终端很多,出单量很大,可以考虑在出单点配置一台低端的VPN网关,和保险公司总部建立起Site-to-Site的IPSec VPN隧道。Site-to-Site的IPSec VPN的稳定性明显高于Easy VPN,它的作用仿佛就是保险公司总部局域网的延伸。最后,员工通过其他企业的局域网接入Internet时,可以考虑再保险公司总部配置SSL VPN网关,SSL VPN不需要象传统IPSec VPN一样必须为每一台客户机安装客户端软件,同时其他企业的网络设置也不会影响它的应用。但是如果系统中如果有非WEB的应用,SSL VPN将无法支持,这种情况下只能使用IPSec VPN。
4.配备VPN认证服务器对VPN用户进行安全认证。购买认证服务器,统一提供认证、审计和授权服务,解决VPN安全问题。目前市场上可用的认证主要包括以下三类:
(1)本机认证――使用本机存储的用户名和密码进行认证,这种认证方法成本较低,但过于简单,缺乏灵活性和可管理性。
(2)AAA认证服务――包括认证、审计和授权服务,目前比较流行的是Cisco的TACACS+服务,成本较低,具有较好的可操作性和灵活的管理特性。
(3)CA认证――主要使用双因素来进行认证,这种方式具有最好的安全性,较好的管理特性,但是成本偏高。
保险公司可以根据实际情况采用最经济的认证策略。
综上所述,保险行业对数据传送的安全性,稳定性,速度都有极高的要求,所以采用的传统互联方式是数据专线。光纤,专用网络等物理线路带宽越高价格越高,而通过对实际情况的分析,部署不同接入方式的VPN系统可以达到同样的效果。部署性能稳定的VPN系统重点在于总部VPN系统的接入方式、分支机构的接入方式、SSL VPN和IPSec VPN的结合使用、以及VPN系统的安全认证机制等几个方面。保险业信息安全人员应该积极分析实际情况,规划性能优越的VPN系统,做好保险业信息系统安全运行的良好支撑。
