经过多年的发展,中国人寿保险股份有限公司已经成为我国最大的商业保险公司。2005年,中国人寿寿险保费收入达到1898.53亿元,境内业务占寿险市场份额的51.02%;总资产达到7247.47亿元,约占全国保险业总资产的47%。同时,中国人寿的销售网点也已遍及全国。如今,中国人寿在全国拥有65万名个人代理人,8000多个营销网点,4000多家分支机构,10000名直销人员,78000家分布在商业银行、邮局、信用社、旅行社、酒店和航空公司的销售网点。
同时,中国人寿也非常重视信息化建设。从1996年机构分设以来,中国人寿对信息化的投入累计已经达到30亿,是中国寿险业对信息化投入最多的一家。如今,其信息化系统从无到有,经历了迅速建立与逐步改善的过程,在队伍建设、信息技术基础设施建设、应用系统的开发完善等方面取得了显著成绩,拥有了强劲的发展基础。“中国人寿确立了以提高经营管理效率为重点的信息化发展战略,将依托卓越的信息技术能力,打造业务的竞争优势,最终搭建一个国内领先、具备国际竞争力的管理规范、服务高效、安全稳定、技术成熟的适应性信息技术应用体系。”中国人寿CIO刘安林先生表示。
不过,随着业务的不断发展,如何对全国各地的保险业务进行实时的控制与管理等问题已经成为当前中国人寿必须考虑的问题。为此,近几年来,中国人寿一直在为数据集中而努力。中国人寿相关人士表示:“2001年中国加入WTO后,数据集中已经成为中国人寿应对全面开放的重点武器。面对4000多家分支机构的庞杂体系,2003年~2005年,中国人寿为全国35个省级实现逻辑集中做了两项基础工作:一是数据再清理;二是将核心业务处理系统由过去二层结构改为三层结构,以适应多层处理。”
为了完成对所属范围内分支网点的安全接入和移动办公接入,实现业务数据的实时汇总这个目标,经过几番论证与综合考量,中国人寿决定在全国24个省分公司建立VPN网络。
明确需求,有的放矢
在建设VPN网络前,中国人寿根据自身的实际情况,明确提出了对VPN网络建设的需求,以便做到有的放矢。其需求具体如下:
网点与中心安全连接:中国人寿网点遍及全国,其末端网点主要是职场网点(包括农村保险服务所或乡镇保险服务所)和代办网点。这些网点分布于地市县乡的各种场所,一般仅有一台或几台PC,一个或几个业务人员。涉及的网络业务也主要为查询保单,但无权录入保单。这些网点原计划采用PC或终端直接拨号到所属地市公司办理业务。但是拨号线路存在很多弊端:一方面,地市或省公司设置拨号接入,打开了内网与外网的接口,违背了总公司的安全规范。另一方面,地市作为接入中心,维护拨号服务器以及MODEM池等设备,工作量大,且地市公司机房环境不好,不利于拨号线路的接入汇聚。同时,各网点采用拨号线路,带宽低、线路质量差。此外,拨号线路易受攻击,网络安全性低。因此,如何为这些网点创建一个方便、安全、经济的网络环境,成了本次VPN建设的主要目的。
移动办公安全接入:中国人寿曾采用的移动办公接入一般是拨号接入的方式,存在安全性不足、并发接入用户数限制、带宽限制和长途电话费用高等问题,无法满足中国人寿现代办公的需求,成了人寿移动办公的瓶颈。而且,对于各级公司管理岗位人员而言,由于工作需要经常出差,在机场、宾馆等场所往往因为上网环境的限制无法连接到公司内部网络,严重影响了日常办公。所以移动办公接入也成了本次VPN建设需要满足的要求之一。
网点的备份:由于数据大量集中,因此中国人寿需要加强一级骨干网、二级骨干网的连通性,包括添加备份线路、实施数据负载均衡、实施QOS等工作。因此,使用VPN网络来完善数据集中后的网络也是本次网络建设的需求之一。
对症下药,搭建高品质VPN网络
从自身实际需求考虑,中国人寿决定寻找一个具有良好商业声誉、强大技术能力、完整产品线的合作伙伴,以建设高品质的VPN网络。经过多番考察,中国人寿最终决定携手H3C构建其VPN网络。
针对中国人寿对VPN网络建设的需求,H3C提供了与之配套的VPN解决方案,以充分满足中国人寿的需要。
针对网点与中心的安全连接需求:在省分公司中心放置SecPath 1000F VPN网关作为汇聚中心,乡镇服务所使用SecPath 10F为端点网关,SecPath 10F与中心VPN网关之间建立VPN隧道;小型待办点采用在专用电脑上安装VPN软件客户端和USB KEY设备,与中心VPN网关之间建立VPN隧道。
针对移动办公安全接入需求:H3C通过在PC或笔记本电脑上安装VPN软件客户端和USB KEY设备,使PC可以以任意方式接入Internet,与省公司中心的VPN网关之间建立VPN隧道,访问内网资源。这样,移动用户无论在任何地方,采用任何方式,只要能够接入Internet,就能够访问内网资源;而且,根据用户接入网络的速度,访问内网资源的速度也可以相应提高,不再受拨号服务器的速度限制。
五大特色助“数字保险”腾飞
“H3C VPN系统投入使用后,不仅解决了我们分支机构安全连接中心的问题,满足了我们未来几年的业务增长需要。同时,也解决了此前移动办公潜在的不安全性,以及多种链路互为备份的问题,节省了中国人寿相关的网络投资。”中国人寿分公司网络管理人员高兴的表示。
据了解,H3C提供的VPN解决方案通过其SecPath VPN系列产品,将强大安全抵御功能、专业VPN服务和智能网络特性无缝集成在一个硬件平台上,为中国人寿提供了广泛和深入的安全防护和安全连接功能;同时,大大降低了与安全相关的总体拥有成本以及部署的复杂程度。整个解决方案具有以下五大特点:
高安全:网络中采用的H3C SecPath VPN产品不仅支持DES/3DES/AES等国际标准算法,还支持国密办认证的加密算法,可以满足中国人寿的加密需求。同时,H3C SecPath VPN产品支持MD5和SHA-1消息认证算法,可以更好的保证中国人寿的消息完整性。
高性能:H3C SecPath VPN产品支持硬件加密,加密处理性能优异。例如,SecPath 1000/1000F内置加密芯片,在3DES加密算法下可以实现350M的加密吞吐量,达到国际领先水平。
高可靠:为保证VPN链路可靠性,避免单点故障,往往在中心或核心网点采用双机备份的组网模式。但是,如何保证主备链路及时切换,保证业务受链路中断影响最小,是解决问题关键。H3C SecPath VPN安全网关引入动态路由协议的技术很好的解决了链路快速切换问题。组网中采用GRE+IPSEC+OSPF的技术,中心设置两台网关设备,分支设备到中心设备建立两条VPN链路,接口之间运行OSPF协议,通过路由协议感知链路状态,当主链路断开时可以及时地把数据流切换到备用线路上,保证了数据业务顺畅进行,有效地提高了网络的可靠性。
完善的管理和部署:H3C SecPath 系列采用的VPN Manger是VPN网络的控制管理部件,可以对VPN网关设备进行集中管理和控制。管理员可以在VPN隧道上配置各个VPN网关:IPSEC策略的设置,监控隧道状态信息,远程调整隧道的建立。根据中国人寿的实际需求制定全局策略,保证VPN网关隧道连接的可靠性和安全性。通过VPN Manager管理员可以进行全网VPN设备的部署和设置,同时可以通过实时监控对链路进行调整。真正实现VPN网络的Easy Manage。
而且,H3C SecPath 系列采用的BIMS (Branch Intelligent Management System)智能管理系统实现从网络管理中心来集中对网络设备的管理,如配置文件下发、设备软件升级等。其可以解决对获取的是动态IP地址或NAT网关后面的设备的集中管理,尤其是在对业务应用基本相同、数量庞大并且分布广泛的接入VPN网络终端设备进行管理时,该系统会极大提高管理的效率,大大节约管理成本,另外,管理界面直观友好,维护简单方便。
VPN移动办公:H3C SecPath VPN安全网关和SecPoint客户端配合,提供本地口令验证、RADIUS、X.509数字证书及SecurID一次密钥验证功能;可以配合Radius服务器、数字证书服务器以及RSA的验证服务器实现用户身份认证。其中基于SecurID的一次性密钥验证采用双因素密钥机制,采用静态密码加一次性动态密码机制有效提高用户密码安全性,减少了用户密码泄漏的风险。
另外,随着网络应用的复杂,用户需要处理和记忆的信息也越来越多:访问不同应用系统,需要安装不同的应用软件,而且需要复杂的配置;登录不同应用系统,需要记忆不同的用户名和密码。这种状况对用户有效应用网络是一个非常大的障碍,为解决这个问题,H3C推出了H3C SecKey的USB Key产品。USB Key芯片存储包括用户名密码、证书、系统配置等信息,利用计算机提供的USB接口进行信息的读取,即插即用,极大简化用户需要记忆的信息。并且此芯片被封装成钥匙大小,非常便于携带,应用安全便捷,极大的方便了用户的使用。
有关专家表示,凭借H3C SecPath VPN解决方案的高安全、高性能、高可靠、易管理等特点,中国人寿有效的解决了对全国各地保险业务实时控制与管理的难题,为业务的持续快速发展奠定了坚实基础。而作为本次VPN解决方案的提供者,H3C经过多年技术积累,不仅形成了完善的安全产品线,同时,其H3C SecPath VPN网关正在成为越来越多用户建设VPN系统的首选。