H3C承建中國人壽24省VPN系統(tǒng)

經(jīng)過多年的發(fā)展，中國人壽保險(xiǎn)股份有限公司已經(jīng)成為我國最大的商業(yè)保險(xiǎn)公司。2005年，中國人壽壽險(xiǎn)保費(fèi)收入達(dá)到1898.53億元，境內(nèi)業(yè)務(wù)占壽險(xiǎn)市場份額的51.02%；總資產(chǎn)達(dá)到7247.47億元，約占全國保險(xiǎn)業(yè)總資產(chǎn)的47%。

　　同時(shí)，中國人壽的銷售網(wǎng)點(diǎn)也已遍及全國。如今，中國人壽在全國擁有65萬名個(gè)人代理人，8000多個(gè)營銷網(wǎng)點(diǎn)，4000多家分支機(jī)構(gòu)，10000名直銷人員，78000家分布在商業(yè)銀行、郵局、信用社、旅行社、酒店和航空公司的銷售網(wǎng)點(diǎn)。

同時(shí)，中國人壽也非常重視信息化建設(shè)。從1996年機(jī)構(gòu)分設(shè)以來，中國人壽對信息化的投入累計(jì)已經(jīng)達(dá)到30億，是中國壽險(xiǎn)業(yè)對信息化投入最多的一家。如今，其信息化系統(tǒng)從無到有，經(jīng)歷了迅速建立與逐步改善的過程，在隊(duì)伍建設(shè)、信息技術(shù)基礎(chǔ)設(shè)施建設(shè)、應(yīng)用系統(tǒng)的開發(fā)完善等方面取得了顯著成績，擁有了強(qiáng)勁的發(fā)展基礎(chǔ)。“中國人壽確立了以提高經(jīng)營管理效率為重點(diǎn)的信息化發(fā)展戰(zhàn)略，將依托卓越的信息技術(shù)能力，打造業(yè)務(wù)的競爭優(yōu)勢，最終搭建一個(gè)國內(nèi)領(lǐng)先、具備國際競爭力的管理規(guī)范、服務(wù)高效、安全穩(wěn)定、技術(shù)成熟的適應(yīng)性信息技術(shù)應(yīng)用體系。”中國人壽CIO劉安林先生表示。

不過，隨著業(yè)務(wù)的不斷發(fā)展，如何對全國各地的保險(xiǎn)業(yè)務(wù)進(jìn)行實(shí)時(shí)的控制與管理等問題已經(jīng)成為當(dāng)前中國人壽必須考慮的問題。為此，近幾年來，中國人壽一直在為數(shù)據(jù)集中而努力。中國人壽相關(guān)人士表示：“2001年中國加入WTO后，數(shù)據(jù)集中已經(jīng)成為中國人壽應(yīng)對全面開放的重點(diǎn)武器。面對4000多家分支機(jī)構(gòu)的龐雜體系，2003年～2005年，中國人壽為全國35個(gè)省級實(shí)現(xiàn)邏輯集中做了兩項(xiàng)基礎(chǔ)工作：一是數(shù)據(jù)再清理；二是將核心業(yè)務(wù)處理系統(tǒng)由過去二層結(jié)構(gòu)改為三層結(jié)構(gòu)，以適應(yīng)多層處理。”

為了完成對所屬范圍內(nèi)分支網(wǎng)點(diǎn)的安全接入和移動(dòng)辦公接入，實(shí)現(xiàn)業(yè)務(wù)數(shù)據(jù)的實(shí)時(shí)匯總這個(gè)目標(biāo)，經(jīng)過幾番論證與綜合考量，中國人壽決定在全國24個(gè)省分公司建立VPN網(wǎng)絡(luò)。

明確需求，有的放矢

在建設(shè)VPN網(wǎng)絡(luò)前，中國人壽根據(jù)自身的實(shí)際情況，明確提出了對VPN網(wǎng)絡(luò)建設(shè)的需求，以便做到有的放矢。其需求具體如下：

網(wǎng)點(diǎn)與中心安全連接：中國人壽網(wǎng)點(diǎn)遍及全國，其末端網(wǎng)點(diǎn)主要是職場網(wǎng)點(diǎn)（包括農(nóng)村保險(xiǎn)服務(wù)所或鄉(xiāng)鎮(zhèn)保險(xiǎn)服務(wù)所）和代辦網(wǎng)點(diǎn)。這些網(wǎng)點(diǎn)分布于地市縣鄉(xiāng)的各種場所，一般僅有一臺(tái)或幾臺(tái)PC，一個(gè)或幾個(gè)業(yè)務(wù)人員。涉及的網(wǎng)絡(luò)業(yè)務(wù)也主要為查詢保單，但無權(quán)錄入保單。這些網(wǎng)點(diǎn)原計(jì)劃采用PC或終端直接撥號到所屬地市公司辦理業(yè)務(wù)。但是撥號線路存在很多弊端：一方面，地市或省公司設(shè)置撥號接入，打開了內(nèi)網(wǎng)與外網(wǎng)的接口，違背了總公司的安全規(guī)范。另一方面，地市作為接入中心，維護(hù)撥號服務(wù)器以及MODEM池等設(shè)備，工作量大，且地市公司機(jī)房環(huán)境不好，不利于撥號線路的接入?yún)R聚。同時(shí)，各網(wǎng)點(diǎn)采用撥號線路，帶寬低、線路質(zhì)量差。此外，撥號線路易受攻擊，網(wǎng)絡(luò)安全性低。因此，如何為這些網(wǎng)點(diǎn)創(chuàng)建一個(gè)方便、安全、經(jīng)濟(jì)的網(wǎng)絡(luò)環(huán)境，成了本次VPN建設(shè)的主要目的。

移動(dòng)辦公安全接入：中國人壽曾采用的移動(dòng)辦公接入一般是撥號接入的方式，存在安全性不足、并發(fā)接入用戶數(shù)限制、帶寬限制和長途電話費(fèi)用高等問題，無法滿足中國人壽現(xiàn)代辦公的需求，成了人壽移動(dòng)辦公的瓶頸。而且，對于各級公司管理崗位人員而言，由于工作需要經(jīng)常出差，在機(jī)場、賓館等場所往往因?yàn)樯暇W(wǎng)環(huán)境的限制無法連接到公司內(nèi)部網(wǎng)絡(luò)，嚴(yán)重影響了日常辦公。所以移動(dòng)辦公接入也成了本次VPN建設(shè)需要滿足的要求之一。

網(wǎng)點(diǎn)的備份：由于數(shù)據(jù)大量集中，因此中國人壽需要加強(qiáng)一級骨干網(wǎng)、二級骨干網(wǎng)的連通性，包括添加備份線路、實(shí)施數(shù)據(jù)負(fù)載均衡、實(shí)施QOS等工作。因此，使用VPN網(wǎng)絡(luò)來完善數(shù)據(jù)集中后的網(wǎng)絡(luò)也是本次網(wǎng)絡(luò)建設(shè)的需求之一。

對癥下藥，搭建高品質(zhì)VPN網(wǎng)絡(luò)

從自身實(shí)際需求考慮，中國人壽決定尋找一個(gè)具有良好商業(yè)聲譽(yù)、強(qiáng)大技術(shù)能力、完整產(chǎn)品線的合作伙伴，以建設(shè)高品質(zhì)的VPN網(wǎng)絡(luò)。經(jīng)過多番考察，中國人壽最終決定攜手H3C構(gòu)建其VPN網(wǎng)絡(luò)。

針對中國人壽對VPN網(wǎng)絡(luò)建設(shè)的需求，H3C提供了與之配套的VPN解決方案，以充分滿足中國人壽的需要。

針對網(wǎng)點(diǎn)與中心的安全連接需求：在省分公司中心放置SecPath 1000F VPN網(wǎng)關(guān)作為匯聚中心，鄉(xiāng)鎮(zhèn)服務(wù)所使用SecPath 10F為端點(diǎn)網(wǎng)關(guān)，SecPath 10F與中心VPN網(wǎng)關(guān)之間建立VPN隧道；小型待辦點(diǎn)采用在專用電腦上安裝VPN軟件客戶端和USB KEY設(shè)備，與中心VPN網(wǎng)關(guān)之間建立VPN隧道。

針對移動(dòng)辦公安全接入需求：H3C通過在PC或筆記本電腦上安裝VPN軟件客戶端和USB KEY設(shè)備，使PC可以以任意方式接入Internet，與省公司中心的VPN網(wǎng)關(guān)之間建立VPN隧道，訪問內(nèi)網(wǎng)資源。這樣，移動(dòng)用戶無論在任何地方，采用任何方式，只要能夠接入Internet，就能夠訪問內(nèi)網(wǎng)資源；而且，根據(jù)用戶接入網(wǎng)絡(luò)的速度，訪問內(nèi)網(wǎng)資源的速度也可以相應(yīng)提高，不再受撥號服務(wù)器的速度限制。

五大特色助“數(shù)字保險(xiǎn)”騰飛

“H3C VPN系統(tǒng)投入使用后，不僅解決了我們分支機(jī)構(gòu)安全連接中心的問題，滿足了我們未來幾年的業(yè)務(wù)增長需要。同時(shí)，也解決了此前移動(dòng)辦公潛在的不安全性，以及多種鏈路互為備份的問題，節(jié)省了中國人壽相關(guān)的網(wǎng)絡(luò)投資。”中國人壽分公司網(wǎng)絡(luò)管理人員高興的表示。

據(jù)了解，H3C提供的VPN解決方案通過其SecPath VPN系列產(chǎn)品，將強(qiáng)大安全抵御功能、專業(yè)VPN服務(wù)和智能網(wǎng)絡(luò)特性無縫集成在一個(gè)硬件平臺(tái)上，為中國人壽提供了廣泛和深入的安全防護(hù)和安全連接功能；同時(shí)，大大降低了與安全相關(guān)的總體擁有成本以及部署的復(fù)雜程度。整個(gè)解決方案具有以下五大特點(diǎn)：

高安全：網(wǎng)絡(luò)中采用的H3C SecPath VPN產(chǎn)品不僅支持DES/3DES/AES等國際標(biāo)準(zhǔn)算法，還支持國密辦認(rèn)證的加密算法，可以滿足中國人壽的加密需求。同時(shí)，H3C SecPath VPN產(chǎn)品支持MD5和SHA-1消息認(rèn)證算法，可以更好的保證中國人壽的消息完整性。

高性能：H3C SecPath VPN產(chǎn)品支持硬件加密，加密處理性能優(yōu)異。例如，SecPath 1000/1000F內(nèi)置加密芯片，在3DES加密算法下可以實(shí)現(xiàn)350M的加密吞吐量，達(dá)到國際領(lǐng)先水平。

高可靠：為保證VPN鏈路可靠性，避免單點(diǎn)故障，往往在中心或核心網(wǎng)點(diǎn)采用雙機(jī)備份的組網(wǎng)模式。但是，如何保證主備鏈路及時(shí)切換，保證業(yè)務(wù)受鏈路中斷影響最小，是解決問題關(guān)鍵。H3C SecPath VPN安全網(wǎng)關(guān)引入動(dòng)態(tài)路由協(xié)議的技術(shù)很好的解決了鏈路快速切換問題。組網(wǎng)中采用GRE+IPSEC+OSPF的技術(shù)，中心設(shè)置兩臺(tái)網(wǎng)關(guān)設(shè)備，分支設(shè)備到中心設(shè)備建立兩條VPN鏈路，接口之間運(yùn)行OSPF協(xié)議，通過路由協(xié)議感知鏈路狀態(tài)，當(dāng)主鏈路斷開時(shí)可以及時(shí)地把數(shù)據(jù)流切換到備用線路上，保證了數(shù)據(jù)業(yè)務(wù)順暢進(jìn)行，有效地提高了網(wǎng)絡(luò)的可靠性。[!--empirenews.page--]

完善的管理和部署：H3C SecPath 系列采用的VPN Manger是VPN網(wǎng)絡(luò)的控制管理部件，可以對VPN網(wǎng)關(guān)設(shè)備進(jìn)行集中管理和控制。管理員可以在VPN隧道上配置各個(gè)VPN網(wǎng)關(guān)：IPSEC策略的設(shè)置，監(jiān)控隧道狀態(tài)信息，遠(yuǎn)程調(diào)整隧道的建立。根據(jù)中國人壽的實(shí)際需求制定全局策略，保證VPN網(wǎng)關(guān)隧道連接的可靠性和安全性。通過VPN Manager管理員可以進(jìn)行全網(wǎng)VPN設(shè)備的部署和設(shè)置，同時(shí)可以通過實(shí)時(shí)監(jiān)控對鏈路進(jìn)行調(diào)整。真正實(shí)現(xiàn)VPN網(wǎng)絡(luò)的Easy Manage。

而且，H3C SecPath 系列采用的BIMS (Branch Intelligent Management System)智能管理系統(tǒng)實(shí)現(xiàn)從網(wǎng)絡(luò)管理中心來集中對網(wǎng)絡(luò)設(shè)備的管理，如配置文件下發(fā)、設(shè)備軟件升級等。其可以解決對獲取的是動(dòng)態(tài)IP地址或NAT網(wǎng)關(guān)后面的設(shè)備的集中管理，尤其是在對業(yè)務(wù)應(yīng)用基本相同、數(shù)量龐大并且分布廣泛的接入VPN網(wǎng)絡(luò)終端設(shè)備進(jìn)行管理時(shí)，該系統(tǒng)會(huì)極大提高管理的效率，大大節(jié)約管理成本，另外，管理界面直觀友好，維護(hù)簡單方便。

VPN移動(dòng)辦公：H3C SecPath VPN安全網(wǎng)關(guān)和SecPoint客戶端配合，提供本地口令驗(yàn)證、RADIUS、X.509數(shù)字證書及SecurID一次密鑰驗(yàn)證功能；可以配合Radius服務(wù)器、數(shù)字證書服務(wù)器以及RSA的驗(yàn)證服務(wù)器實(shí)現(xiàn)用戶身份認(rèn)證。其中基于SecurID的一次性密鑰驗(yàn)證采用雙因素密鑰機(jī)制，采用靜態(tài)密碼加一次性動(dòng)態(tài)密碼機(jī)制有效提高用戶密碼安全性，減少了用戶密碼泄漏的風(fēng)險(xiǎn)。

另外，隨著網(wǎng)絡(luò)應(yīng)用的復(fù)雜，用戶需要處理和記憶的信息也越來越多：訪問不同應(yīng)用系統(tǒng)，需要安裝不同的應(yīng)用軟件，而且需要復(fù)雜的配置；登錄不同應(yīng)用系統(tǒng)，需要記憶不同的用戶名和密碼。這種狀況對用戶有效應(yīng)用網(wǎng)絡(luò)是一個(gè)非常大的障礙，為解決這個(gè)問題，H3C推出了H3C SecKey的USB Key產(chǎn)品。USB Key芯片存儲(chǔ)包括用戶名密碼、證書、系統(tǒng)配置等信息，利用計(jì)算機(jī)提供的USB接口進(jìn)行信息的讀取，即插即用，極大簡化用戶需要記憶的信息。并且此芯片被封裝成鑰匙大小，非常便于攜帶，應(yīng)用安全便捷，極大的方便了用戶的使用。

有關(guān)專家表示，憑借H3C SecPath VPN解決方案的高安全、高性能、高可靠、易管理等特點(diǎn)，中國人壽有效的解決了對全國各地保險(xiǎn)業(yè)務(wù)實(shí)時(shí)控制與管理的難題，為業(yè)務(wù)的持續(xù)快速發(fā)展奠定了堅(jiān)實(shí)基礎(chǔ)。而作為本次VPN解決方案的提供者，H3C經(jīng)過多年技術(shù)積累，不僅形成了完善的安全產(chǎn)品線，同時(shí)，其H3C SecPath VPN網(wǎng)關(guān)正在成為越來越多用戶建設(shè)VPN系統(tǒng)的首選。