需求分析

随着中国进入WTO后，国内保险行业迅速发展，国外保险机构也加速进入中国市场的步伐，加上人们对保险的意识的逐步增强，日益膨大的市场份额，加速了众多保险公司之间的竞争。迅速占领

但是保险行业机构众多，且分部在全国各地，各营销点、代理商以及保险业务人员经常无法将客户保单及时录入公司总部数据库而导致保单拖延；如果以传统的专线、光纤作为接入解决方案，每个分公司、营业点都通过专线、光纤连接，无疑大大增加了企业自身的运营成本；若采用 MODEM 拨入服务器的方式，又不能在速度和容量上满足保险公司的需求。那么如何解决既能够满足日益扩大的市场需求，又满足各营业点、分公司、移动用户随时随地的接入总部内网，投资还不大呢？

综合考虑投资成本、安全性等多种因素，同时大多数下属企业都已经采取了宽带上网的手段，所以保险企业采用VPN（虚拟专用网）、在Internet基础上构建各分公司，营业点，代理商与总部的网络互联平台，是性价比高的一种方案。

VPN组网方案

分公司、营业点、代理商VPN网络架构根据大多数保险企业的纵向、垂直的经营模式，建议采用以公司总部为中心的星型网络的网络模式。即总公司－分公司之间为一级VPN管理网络；分公司－营销点、办事处为二级VPN管理网络。如图1所示，公司总部为一级中心，各分公司为二级中心，与总部网络互联。而各代理商，营销点、移动人员则接入各自所属的分公司网络，实现整个保险企业：两级管理、集中汇总、授权访问的管理模式。

保险行业VPN组网方案

产品选型

VPN 产品与其他网络产品相比、有一个非常显著的特点，就是VPN产品在应用中的部署一定是跨地域的、分布式的。如何将保险企业跨地域的网络集中、统一的管理起来，并有效的进行部署和升级，保障整网的安全和可持续发展？深信服科技推出的 Sinfor VPN集中安全管理中心（Secure Center）能够很好的解决这些问题。

SC 体系结构：

SC平台包括中心安全策略服务器、GUI 管理器、数据库服务器、日志报表服务器、集中监控服务器、升级部署服务器、VPN 网关设备(3.0以上) 、VPN 网关软件等十几个组件。

其主要特点有：

• 快速集中配置和部署，集中管理，集中维护

管理员可以从任何地方通过SC GUI界面配置所有纳入到SC平台的整网VPN产品，包括DLAN VPN软件、M5400/M5100/S5100 硬件网关、移动客户端等。管理员还可以配置任何网关间的安全策略数据库和每个移动用户的安全策略，可以自由组合成星型、网状或混合网络。通过可视化的策略编辑器，一个管理员就可以同时部署和维护上百个网络节点，节省了大量人力成本。 所有配置都可以通过远程经 SSL 协议加密传输，并且支持对网关和客户端的离线配置，因此节省了绝大多数现场支持开销，为企业管理大中型网络节约了成本。网络规模越大，使用 SC 所带来的管理成本的降低就越明显。

•  实时、可视化的集中监控

管理员可以从任何地方通过SC监控器实时查看和维护所有SC平台下的VPN网关和移动用户客户端，以及它们的运行状况和VPN链路状态。通过SC平台，管理员还可以查看任何一台设备的实时日志和历史日志，从而找出设备故障原因，并通过SC平台远程维护。如果需要监控的网关数量众多，还能够将需要监控的网关分组存放，平时只监控重要节点运行状况。采用智能触发技术，保证只有处于实时监控状态的 VPN 设备才上报状态，就节省了SC平台的带宽占用。支持精简模式和网络拓扑模式两种监控视图，并支持存盘和打印网络拓扑和监控报表。

•  整网集中、智能升级

当 VPN 产品有新特性或新版本发布时，管理员在中心策略服务器导入升级包。 SC所辖的所有设备和软件客户端会自动根据自己的当前版本下载对应的升级包进行升级。升级包的下载支持分片传送，断点续传。管理员可以为每个设备或每个区域的设备制定单独的升级计划，这样可以避免同时升级导致的带宽拥塞问题。升级结束，可以通过报表查看每个设备和软件客户端的升级情况，从而修改和调整升级计划保证及时准确的完成整网升级。 SC的自动升级是一个自动、可控、有序、稳定的智能升级过程。

方案效果

保险行业对安全性，稳定性，速度都有极高的要求，所以采用的传统互联方式是数据专线，光纤，专用网络等物理线路带宽越高价格越高。通过Sinfor VPN集中安全管理中心 Secure Center）搭建的 VPN 平台也能够实现同样的效果。并且，可以达到分级管理、集中汇总，IP管理，证书管理，访问权限管理的四项网络管理要求。既保证高安全性又得到很好的可管理性。

•  分级管理、集中汇总

通过专业的VPN多级远程配置维护功能技术，实现总部的 VPN 总服务器端能够对分公司的VPN服务器端的管理设置和连接情况有监管的管理。同时能够有连接日志的汇总。

• IP管理

建立的所有连接都遵循授权总部的 IP 规划管理原则，达到所有连接都能够按照总部或分公司指定的 IP 地址或者 IP 地址段进行安全管理。

•  证书管理

所有的 VPN 客户端连接，都必须符合指定到每一台计算机终端、每一个操作使用人员的安全管理标准。通过成熟的 VPN 产品技术达到验证终端设备的硬件配置信息证书管理、验证操作人员的双因素认证 USB 口 KEY 的电子证书管理。实现固定机器、指定人员的连接访问。

•  访问权限管理

对所有客户端的连接，都能够指定一个上级 VPN 服务器分配的 IP 地址，能够对每一个客户端到上级 VPN 网络的访问哪些方面的资源，哪些具体服务有很好的访问权限管理。

效果图如下：

方案特点

1 、实施快捷、连接安全

在新兴的保险行业里，公司为了加快市场占有率，规模的扩张也必须很快， SINFOR VPN 的实施具备 SC （安全管理中心）直接下发连接策略，只需将 VPN 网关设备、 USB 客户端设备发到各省公司和营业点，就免调试地构建了总公司－数十个分公司－数千个营业部这样的三级 VPN 虚拟专用网络，连接了几千个营业点。减少了人员实施维护成本和调试时间成本。

同时，每一个营业部的连接能够通过 SINFOR HARDCA 绑定工作电脑，每一个使用者的操作都会通过 USB 客户端记录和固定人员，因此达到指定的工作环境或者固定的使用人员才能建立与上级公司的连接，保障所有业务应用的安全性。

•  分级管理、集中控制

保险公司总部网络管理人员，对所有省级分公司下属的营销管理部的人员接入都有集中审批、报表统计等功能，能够具体监控和管理到人员的应用；各省级分公司支公司的网络管理人员，只需要管理该区域的营销管理部人员的接入和应用。达到各司其职，集中控制。

3 、维护简单、扩展方便

SINFOR VPN 断网自恢复机制，避免了因营业点，分公司没有专门的网络维护人员而出现的麻烦。所有 SINFOR VPN 设备都能远程维护并且可以同时处理，几千个网络节点几个网络管理人员就可以有效管理和维护。

保险行业的营业点扩展迅速，新开网点和迁移网点都会频繁发生， SINFOR VPN 的扩展非常方便，软件安装简单， USB 客户端即插即用，网络连接由策略中心下发，在线即达到所有设备的策略同步，避免了固定线路申请和其他网络设备调试的长期和烦杂。

•  稳定性：

SINFOR VPN 的专利技术之一：基于 WEB 方式的动态寻址技术，采用双备份方式，客户可以把寻址放在自己的网站，或者其他信任的网站，这样足以保证客户自身寻址的安全性，真正搭建企业属于自己的 VPN 网络，避免因寻址不透明而带来的投资风险。

SINFOR VPN 的专利技术之二：通过叠加多条 ADSL 或其他接入方式，来实现扩大 VPN 连接的速度、加强 VPN 的稳定性。目前国内的 ADSL 或者其他宽带接入方式，偶尔会出现断线情况，通过申请多条线路，对 VPN 网络进行平滑切换，保证连接永不停断。

SINFOR VPN 自恢复功能：在断线情况下， SINFOR VPN 能够自动恢复运行，使用者无需手工启动。

5 、速度： SINFOR VPN 对所有传输的数据进行先压缩后传输的方法，从而提高网络带宽平均利用率达 130 ％，超越了其他解决方案，甚至专线的速度。

采用改进的 IPSEC 协议 ―――SINFORSL 协议， IPSEC 协议是主流的 VPN 协议，但是因为其协议结构，导致了它无法穿透 NAT ，加密冗余数据增大，带宽利用率低等缺陷。 SINFOR VPN 改进了 IPSEC 协议，最大限度的把 VPN 性能通过 SINFORSL 协议体现出来。

ADSL 带宽叠加可以支持更多的同时并发数，并且不影响速度。可以通过申请多一条 ADSL 或者其他宽带接入方式，来解决因众多节点同时接入而引起的网络拥塞。

6 、安全性：

SINFOR VPN 的隧道加密采用 AES 128 位加密算法，这样就可以保证企业的数据在 INTERNET 上可以放心安全的传输。

通过总部分配用户名和密码，来管理代理公司以合法身份的登陆，既能很好的连接公司以外的代理商，又能保护公司的内部资源不被滥用。

SINFOR VPN 的专利技术之一：基于硬件 HARD CA 证书认证。收取允许接入计算机的硬件信息，只有完全符合这个计算机的硬件信息才能登陆 。

7 、方便性：

采用 USB Key 技术可以保证 VPN 移动用户的身份不被盗用， 移动客户端可使用 USB Key 加载安全信息，实现零配置。 可以远程实施和部署，可导入导出配置， 极大的减少 VPN 产品的实施成本和方便将来扩展。

8 、与拨号方案比较：

MODEM 拨号是早前保险行业为解决移动用户而采用的方法，其原理就是两地之间通过 MODEM 互相对拨的形式。

VPN 技术是取代远程拨号方式的一种技术，其对比如下：

解决方案        SINFOR VPN          远程拨号
        容量                   大                     小
        成本                   低                     高
        安全                   高                     较低
 
 容量： SINFOR VPN 超大的容量支持 2000 条 VPN 通道， 5000 个网络节点， 2000 个移动用户的同时接入，超大的容量足以满足大部分客户的需求。可随时随地的接入。远程拨号服务的容量有限，其扩充容量往往需要添置 MODEM 池，并且追加设备投入的成本，十分不利于以后网络方面的扩展，是趋于淘汰的技术。

成本： SINFOR VPN 只需要一次性购买一套软件的成本＋当地接入 INTERNET 成本。远程拨号服务需要长期占用电话线路，如果是异地跨省或者跨国传输，通讯投入的成本将十分巨大。并且接入十分不便。

安全： SINFOR VPN 128 位 AES 标准数据加密算法，严格的用户名密码身份验证，具有国家专利技术的硬件捆绑鉴权识别合法用户，采取更细的权限粒度作为接入访问控制，极大的保障了客户 VPN 网络的安全性。远程拨号服务是通过电话线路传输，数据没有经过加密，机密数据容易受到监听或截取，存在安全隐患。

综上所述，从网络管理、安全、稳定、速度等多个方面 SINFOR VPN 都给予了充分的支持，其性能完全可以取代专线，光纤等高昂的物理线路的作用。