科技公司保险业解决预案

43/43广优资讯科技有限公司广优资讯科技有限公司保险业解决方案TOC\o"1-2"\h\z\u一、 公司介绍 3二、 背景介绍 4三、 功能介绍 5四、 产品优势连接性能 6五、 成功用户 7六、 某烟草企业SSLVPN需求 8七、 附录（FAQ） 11公司介绍广优资讯科技有限公司（UUDynamics,Inc.），是专门从事网络安全产品开发与销售，提供企业最佳VPN解决方案的服务提供商。公司总部位于美国加州硅谷,亚洲分公司设在中国上海。自公司成立以来凭借着优秀的销售团队与独特优异的VPN开发技术，差不多获得包含IBM与Acer等公司的确信，并进一步成为了合作伙伴。公司大事纪：公司成立于2002年8月。2003年7月，推出iSTAR™Beta测试版本。2004年3月，宏碁与UUDynamics签约，成为台湾地区总代理。2004年4月，推出正式版本iSTAR™。2004年12月,中国普天集团南方电信公司与UUDynamics签约，成为中国大陆地区代理。2005年10月，iSTAR™平台通过国际安全认证权威ICSALabsSSL-TLSV2.0的认证。2005年12月UUDynamics成为IBM大中国地区安全产品合作伙伴。2006年至今在金融、电信、制造、流通与政府机构中皆有宽敞的用户。

背景介绍当今世界瞬息万变，全球化的商业环境使分布在全国甚至是世界各地的企业分支机构职员、合作伙伴和客户之间的联系更加紧密。如何安全、快速、方便的VPN远程访问企业内部资源成为企业首先要解决的当务之急。（图一VPN技术应用的进展）然而到目前为止，大多数的VPN远程安全访问解决方案仍然停留在97年的IPSecVPN技术。随着移动办公和远程用户的急速增加，源于10年前的IPSec技术不再适合今天多变的网络环境。IPSec的易用性差，和防火墙兼容度低，维护成本高，更关键的是：在实际的网络环境中经常无法正常工作；2001年所面世的第一代SSLVPN技术（第一代VPN）又受限於架构上的缺失，因此企业莫不寻求更好的远程访问技术，亦或者全然放弃远程访问技术。UUDynamics公司研发的iSTAR™（instantSecureTunnelARchitecture）系列，是针对解决现代网络安全问题所设计的新世代网络安全平台。我们强调「网络安全平台」这一观念，即不管是远程访问或是内网安全，也无分是WAN依旧LAN，都需要一个「安全平台」来保障其资源、主机与通讯的安全性，幸免不速之客的威胁及蠕虫的传播。iSTAR™集成了已知各种VPN的优点，以「交换单元」（UUCentral）、「公布单元」（UUPublisher）及「客户端」三者架构出新世代的网络安全平台，能广泛的保障远程访问、Lan-to-Lan、内网爱护、实体隔离、物理隔离以及远程维护等各种网络应用的安全。它能适应不同的网络环境，支持各种应用软件的运行，能最快速的架构出适合各行各业的网络安全平台。iSTAR™的两级式（2-level）治理概念，使得它不但符合企业的安全需求，更能够为服务商（ServiceProvider）提供一个网络安全服务的营运平台。功能介绍特色功能功能讲明远程访问以安全、快速、方便的远程访问方案协助解决企业分布在全国乃至世界各地的分支机构职员、合作伙伴和客户之间的联系，或远程访问企业内部资源，并能掌握互联网不可预测的延时和路由参数。远程维护以安全、快速、方便的远程维护方案关心企业为其客户提供迅速、优质的远程维护服务，使企业能有效的降低成本和扩大客户群。物理隔离目前政府与税务等部门内部网络与外部网络之间需要交换的信息越来越多，通过媒体拷贝或其它方式不仅无法保证信息传递的效率，更缺乏对信息安全的严格审查，极易导致攻击程序的流入和重要信息的泄漏，iSTAR™提供了理想的物理隔离方案以协助政府、税务等部门轻松落实物理隔离需求。端到端安全爱护（endtoend）iSTAR™集成了各种VPN的优点，以「交换单元」（UUCentral）、「公布单元」（UUPublisher）及「客户端」三者架构出新世代的网络安全平台，能完全满足企业关于端到端安全爱护需求。

产品优势支持Web、C/S应用及「网络文件夹共享」功能，支持专门用户使用网络共享功能。支持远程服务器连接本地网络功能，支持site-to-site连接。部署简单，无须预装客户端软件，无须更改现有的网络及防火墙设置，可被安装在各种的内部网络上。提供使用PublicIP地址（DirectAccess）或是PrivateIP地址（PrivateAccess）两种部署方式。使用者（User-based）存取操纵政策，简单清晰。高安全性，基于应用层的endtoend安全机制，无须在应用服务器端的防火墙上开任何进向端口。无须PublicIP地址（PrivateAccess）。能完全地与企业现有认证机制整合。支持双因子（Dual-factor）认证功能。支持客户端凭证功能，支持角色（Role-based）治理政策，支持存取时刻段（Time-based）政策，支持主机检查（Hostchecker）政策，可强制规定上线主机板本的一致性。内建式CA（Build-inCA）。采纳丛集（cluster）以及负载平衡（loadbalance）技术，扩充性佳。N＋1的架构方式，免除成双成对的购买方式，实现低TCO（TotalCostofOwnership）优势。以单一环境同时支持企业职员以及商务伙伴使用，能够多个site共享一个电子凭证（PrivateAccess）。获得ICSA认证（ICSAlabsSSL-TLSCertification）。

某烟草企业SSLVPN需求某烟草专卖局（公司）现有职能部门6个，下辖九个县市局，全部职员1300余人，拥有资产总额近5亿元。是该省烟草行业中最大的一个专卖专营销地局（公司）。随着烟草行业信息化的提高，为提供更好服务质量和内部信息交换的需要，该烟草专卖局（公司）下辖九个县市分公司通过2M光纤连接到市中心，需要安全的访问市中心的OA办公系统，内部网站，FTP服务器。同时所有烟草专卖店需要汇总数据到各县中心数据库服务器，再由各县汇总到市数据库中心，所有烟草专卖店与公司治理层也需要从外部网络访问市中心内部资源，更需要公司IT人员在外也能维护整个系统。面对如此复杂的应用，某烟草专卖局（公司）面临了以下的困扰：配置治理复杂，工作量大假如整个项目采纳IPSecVPN，那么各个地区需要设置防火墙开放IPSec的通讯端口，同时需要给每个客户端安装IPSec客户端软件，加上需要培训职员使用客户端软件，网络治理员的配置和维护工作量特不庞大。为了一个应用程序，必须开放整个网络为了让使用者访问文件服务器，内部Web服务器和OA办公系统，必须从网络层进行连接，导致网络的安全性降低。假如分支机构的计算机感染蠕虫病毒，势必阻碍到总部的网络和服务器。不适合远程访问公司治理层和IT治理人员在移动办公时需要远程访问企业的网络资源，为此网管人员必须随时依照需求修改IPSecVPN设备上的使用者认证配置。即便如此，由于某些上网的地点，设置了上网安全策略（例如酒店架设防火墙），经常发生在外的人员无法使用和维护企业网络资源的现象。成本高假如使用IPSecVPN方案，就需要在九个县市也部署IPSecVPN设备，企业的购买成本增加，由于IPSecVPN整个的复杂性和需要安装客户端，整个部署过程也将变的漫长，同时整个维护量也特不大，维护成本也会大大提高。（图二为烟草业提供的SSLVPN需求解决方案）方案讲明：关于该烟草专卖局（公司）的需求而言，非但不易整合，架设的成本特不高且难以治理！iSTAR™比起传统的SSLVPN与IPSECVPN更具有优越性的地点在于，「越是复杂的环境，越能体现iSTAR™便捷的部属方式」。针对该烟草专卖局（公司）的需求，我们在总公司架设了iSTAR™交换单元，利用iSTAR™特有的部属方式，准确且快速的建立起各支点的相互传递网络。各个支点分不利用iSTAR™的安全通道隐密的接收与传送重要数据，充分保证数据在安全的模式下传输。「不同的应用，但采纳相同的公布手段」，完全免除了针对不同应用特不部属的昂贵人力物力成本。烟草专卖局（公司）的需求复杂，但iSTAR™的实施却是特不简单。获得效益：选用基于逻辑名的概念，进行连接，适合动态的网络，即插即用，不需对原有的“城墙”作任何变更，无处不达，并实现端到端的安全爱护。针对市场需求的挑战而设计，不但适合企业公司内部互联，并可实时与Extranet合作伙伴互通企业信息，特不在企业重组或者合并时候，提供最好弹性的整和，不必重新配置协同工作的“城墙”。在互联网的基础上，可利用iSTAR™的架构，构架独特的企业架构，有效的左右路由路径与优化延迟参数，可处理偏远地区的节点，包括大范围的全球各地区的节点。包含IPSecVPN与SSLVPN产品全部功能，提供一个整体而且高度集成的解决方案。架构优越，技术超越，因此能够提供高性能，性价比高，低TCO（TotalCostofOwnership）的全面的端到端的解决方案。部署独立于现存“坚墙厚壁”的架构，无需重新调整现存架构，无需担心IP地址冲突，和现有的IT设备完全兼容。安全iSTAR™架构使得位于Site端的设备（公布单元）得以摆脱PublicIP的束缚，不再被局限在网关的位置，能够任意的向内网延伸；这不但简化了VPN的部署，同时也增加了内网的安全性。提供了真正的端到端的爱护。iSTAR™架构下，防火墙不需要开任何向内的端口，能有效阻断常见的端口扫描黑客攻击方式。iSTAR™可与大多数常见的认证方式相容，包括WindowsActiveDirectory,WindowsNTDomain,LDAP服务器,Radius服务器，以及Ace服务器，它同时也具备了本地数据库功能(localdatabase)。iSTAR™能无缝地与您现有的安全认证机制完全整合。客户端支持双因子认证，可支持常见的RSASecurID®token，one-timepassword，UUKey，使保险业企业的重要数据资源得到高级不的爱护。Build-in快速部署iSTAR™架构不需要改变企业现有网络配置，实现即插即用，快速部署。快速访问iSTAR™架构提供了基于Internet的路由可控性，大大提高访问速度，尤其是有效解决了不同ISP间跨网访问、偏远地区的营业网点、以及大范围的全球各地区的网点的网络延迟问题。扩展性强通过iSTAR™架构下的Multi-site部署方式，能够在原有架构内快速加入新的网点，有效支持了保险行业营业网点迅速扩充的拓展性需求。可靠性高iSTAR™支持Clustering及LoadBalancing技术，并采纳N+1的高可靠性爱护机制，有效保障了信息系统的可靠运行。易用性高企业职员通过IE就能够实现对企业相关资源的访问，并通过独特的UUKey自动登录功能，方便用户即插即用，而且所有的应用以图标方式双击访问，无须任何培训。维护简单由于不需要安装客户端，通过扫瞄器实现访问，维护量低，设备也支持通过SSL加密实现远程治理。附录（FAQ）iSTAR™的目标客户是谁？中大型制造企业、银行、政券公司、保险、电信等运营商、政府（电子政务）、IT服务公司、连锁及物流企业等。通过iSTAR™用什么？提供企业的远程安全访问解决方案，包括：C/S应用程序访问：支持C/S应用程序、WEB应用程序、常用的终端连接（IBM5250/3270、Telnet等）远程桌面操纵（MSTerminal、PCAnywhere、RAdmin等）、邮件（Outlook、OutlookExpress、Eudora等）和其它应用程序，如Notes、ERP、NetMeeting、SQLServer、CVS等。文件服务器访问：支持文件扫瞄、FTP、SMB、NFS服务器等。子网访问UURemote能够让远程用户在需要的时候接入虚拟子网，如同在本地局域网里一样。UUSoft能够让远程服务器直接接入虚拟子网，能够为远程维护服务器或IT服务运营商提供不间断的远程接入模式。Site-to-site访问：Site-to-site安全通道连接方式提供了私有专线以外的另一种选择，安全通道两端的资源和应用程序透明共享。企业哪些人员会通过iSTAR™远程访问公司资源？出差或在公司外部的人员，对信息提供或获得的时效性要求比较高，同时需要有安全的访问保障，如：公司高级治理层、销售部、特定项目小组、IT部门维护人员与合作伙伴。iSTAR™能保证客户任何时刻、任何地点的远程安全访问吗？通过IE扫瞄器，在任何时刻、任何地点（如：公司内部、分公司、宾馆、家庭、机场HOTSPOTWLAN与合作伙伴公司等），只要能够连接INTERNET，无需复杂的参数设置，就能够特不方便安全的访问所需资源。iSTAR™安全性体现在哪几个方面？采纳银行金融广泛使用的SSL协议，同时可选AES-256-CBC、DES-EDE3-CBC、DES-CBC加密算法，可选支持MD5和SHA1哈希算法。三种网络模式（单模式、透明模式及路由模式）提供真正端到端的安全。而IPSecVPN提供网关到网关的安全,传统式SSLVPN只提供端到网关的安全。支持企业部署比用户名/密码更高的安全策略，如目前流行的双因子认证：RSASECURID®、ONE-TIMEPASSWORD与客户端证书等，同时能够和大多数企业的认证环境（如：WindowsAD、WindowsNTDOMAIN、LDAPServer或本地数据库认证）无缝集成；并依照企业的安全策略，制定规则分配给相应的角色，对不同的角色授予不同的权限；通过上述安全策略，iSTAR™公布单元能够公布应用程序、文件夹或子网给一个或多个用户、一个或多个组、专门角色或持有定制客户端证书的用户。更安全的防火墙策略，一般SSLVPN是部署在防火墙之后，需要开启向内的TCP443端口，开启端口会相应导致潜在的安全隐患，而iSTAR™通过交换单元在访问端和被访问端都无需开启向内的端口，安全性更高。iSTAR™的综合成本优势中包含那几个方面？配置和维护：IPSECVPN和SSLVPN比较选项选项SSLVPNIPSecVPN全程安全性A.端到端的安全B.从客户到资源端全程加密A.网络边缘到客户端B.仅对从客户到VPN网关之间通道加密可访问性选用于任何时刻、任何地点访问限制适用于差不多定义好受控用户的访问费用低（无需任何附加客户端软件）高（需要治理客户端软件）安装A.即插即用安装B.无需附加的客户端软、硬件安装A.通常需要长时刻的配置B.需要客户端软件或者硬件用户的易使用性A.特不友好，使用熟悉的扫瞄器B.无需终端用户的培训A.对没有相应技术的用户比较困难B.需要培训支持的应用A.基于WEB的应用B.文件共享部分C/S应用所有基于IP协议的服务用户客户、合作伙伴用户、远程用户、供应商等更适用于企业内部使用可伸缩性容易配置和扩展在服务器端容易实现自由伸缩，在客户端比较困难少多少多客户培训小和客户端数量成正比客户端小大服务器端SSLVPNIPSec.VPN维护成本低低高安装成本不需要需要客户端安全软件（防病毒和个人防火墙）不需要需要VPN客户端软件和硬件需要需要服务器端SSLVPNIPSec.VPN设备投资iSTAR™独有的交换单元，解决了企业没有静态公网IP地址、又要使用SSLVPN的问题，尤其在亚洲地区IP资源紧张的现状下，能够为企业节约申请静态公网IP地址的高昂费用。共享数字证书：SSLVPN关于需要一张数字证书来认证被访问端的可信性，数字证书有:1、权威机构签发如：VeriSign一年大约US$800，2、SSLVPN厂商签发;iSTAR™PrivateAccess连接方式，能够使多个交换单元共享一张数字证书，大大降低SSLVPN的使用成本。iSTAR™倡导的SSLVPN网络安全新理念。在冷兵器时代，构筑城墙是专门好的防护手段，但自从有了航空器后，城墙式的二维地面防护效用就变得专门低，防火墙在公司的网关位置承担看门的职能。但由于目前WLAN、GPRS/CDMA移动终端的广泛应用，无线上网使公司的数据不仅仅通过物理线路，而且也能够通过无线进行传输，防火墙对这部分差不多没有防护方法，而iSTAR™基于应用的访问操纵方式,不仅建立了从公司局域网外的安全访问操纵,而且,将同样的安全机制延伸到内网,从而了有效解决了企业内网到服务器端的访问爱护问题.什么是iSTAR™？iSTAR™是instantSecureTunnelARchitecture的缩写，它是UUDynamics公司首创的新一代SSLVPN技术,能快速的解决应用程序或文件安全跨越网络和组织边界的问题，为企业用户和服务商（ServiceProvider）提供安全、灵活的VPN解决方案。与传统的网络架构比较，iSTAR™有什么不同？iSTAR™技术提供了基于「公布单元」和「交换单元」的安全信息网络模型，为现代企业用户提供了应用程序或文件存取的公布、操纵和治理平台。同时，它涵盖了传统VPN的所有功能，为现代企业网的Intranet、Extranet、RemoteAccess、ApplicationExport等提供了安全、高效的整体解决方案；iSTAR™还能快速实现企业与其分支机构和商业伙伴之间的B2B、供应链、分布式OA等电子业务的需求。部署iSTAR™是否需要公网地址？需要几个公网IP? 部署时公布单元选择使用PrivateAccess方式进行连接，公布单元不需要静态公共IP地址，设置私有IP地址就能够正常工作。假如公布单元选择使用DirectAccess方式，公布单元需要一个静态公共IP地址就能够把企业内所有资源提供给不处用户访问。部署iSTAR™对网络速度是否有要求？公布单元需要宽带网络，以便给客户端提供快速的访问。客户端对访问速度差不多没有要求，支持MODEM拨号，ADSL拨号，有线通和其它各种上网方式。使用iSTAR™，要不要对每个客户机进行安装配置?iSTAR™是通过微软标准的IE扫瞄器实现SSLVPN连接，因此对客户机无需预先安装软件。iSTAR™部署需要对现有网络做什么样的改动？iSTAR™的部署对网络完全透明，无需更改任何网络设置。在内网提供单模式（StandaloneMode）、透明模式（TransparentMode）、路由模式（RouterMode）这三种模式来适应企业的具体网络。iSTAR™部署是否需要对应用服务器进行改动？iSTAR™的部署无需对应用服务器进行任何改动，能够和目前使用的应用服务器无缝连接。iSTAR™接入需要要对防火墙做改动吗? iSTAR™使用的TCP443端口，目前的防火墙差不多将此端口打开。iSTAR™是否支持无线上网？ 支持标准的WIFI，GPRS和CDMA无线上网方式。客户端如何使用iSTAR™进行接入？ iSTAR™SSLVPN为客户的应用程序提供一个透明的运行平台。在客户端，第一次通过IE以HTTPS连接到iSTAR™SSLVPN的服务器上时，一个ActiveX控件会自动下载并安装（IE的安全设置应同意该操作）。用户不需要手工安装任何客户端软件。然后打开MicrosoftInternetExplorer，输入URL地址，通过用户认证后，就能够猎取在服务器端授权给该用户的应用列表，执行该列表中的应用程序客户端，该应用客户端就能够安全地连接到远程的服务器进行工作。iSTAR™支持那些应用程序，支持C/S程序吗？支持WEB应用程序，C/S应用程序，文件共享，支持使用任何静态和动态TCP端口的C/S程序，同时能够自定义需要使用的应用程序。还支持能够访问多个服务器的单个应用，这些服务器将开启相同端口。支持能同时访问多个服务器的分布式应用，其中的每个服务器都会打开一组不同的端口，并提供不同的服务。iSTAR™支持哪些客户端安全策略？iSTAR™能够要求客户端必须安装和启用指定的防病毒软件，客户端访问的操作系统类型，操作系统的补丁，以及基于时刻段访问的策略。iSTAR™是否能够实现子网虚拟接入功能？iSTAR™支持SiteToSite，UURemote支持按需连接虚拟子网，UUSoft支持不间断连接虚拟子网。iSTAR™支持那几种语言版本？目前支持简体中文，繁体中文和英文三种语言版本，以后将支持更多的语言版本。iSTAR™支持什么样的认证方式？ iSTAR™支持目前要紧的认证方式，包括WindowsAD、WindowsNTDomain、LDAPserver、Radiusserver和Ace/Server以及客户端证书等，同时也提供本地数据库认证。iSTAR™能够专门好的和大多数企业的认证环境集成。iSTAR™需要什么定期维护? 治理员应该定期备份iSTAR™的配置文件，使用治理界面就能够轻松完成。客户端是否支持数字证书方式认证？支持。iSTAR™是否支持CLUSTER？方式是什么样？iSTAR™支持最多10台的CLUSTER，方式是N+1的方式。iSTAR™能否支持用“户名+口令”这种认证方式?是否能够将某些用户配置成通过用“户名+口令”的方式登录，而另外一些用户使用USBKey登录？iSTAR™的最简单的认证方式确实是用“户名+口令”，同时通过多重安全域支持多级治理部署，用户可选择登录不同的安全域进行认证。或依照企业的需要对一些不同用户通过用“户名+口令”方式录，高级用户实现USBKEY登录的认证方式。iSTAR™是否有审记功能？iSTAR™有6级审计功能，能够清晰的进行审计工作。iSTAR™支持什么样的报警方式？支持邮件或者寻呼机报警。iSTAR™是否有导入，导出，和恢复出厂设置功能？支持导出，导入配置，同时提供恢复出厂设置功能。iSTAR™是否有清除访问的CACHE和记录的功能？有，能够选择清除扫瞄缓存，扫瞄历史记录，用户认证信息与自动填充密码等功能。实施iSTAR™需要做什么相关预备? 为了使远程客户能够访问iSTAR™公布出来的应用，公司需要接入Internet。iSTAR™本身使用什么操作系统？ 使用的是通过安全加固和精简的LINUX的系统。iSTAR™如何进行治理？iSTAR™支持本地和远程治理，通过IE扫瞄器使用同样的界面治理进行治理。整个管理过程通过SSL信道实现。有了iSTAR™，还需要IPSecVPN吗？iSTAR™融合了SSLVPN和IPSecVPN的特点，企业完全能够通过iSTAR™实现整体VPN方案，不需再使用IPSecVPN。iSTAR™是否支持现有的用户数据库，是如何工作的？ iSTAR™能够使用WindowsAD、NTLM、RADIUS，LDAP等用户数据库完成认证。iSTAR™在对远程访问的操纵包括认证和授权两个时期。当一个用户从外部访问iSTAR™的时候，iSTAR™首先要完成对该用户的身份认证。默认情况下，iSTAR™完成认证过程，用户也能够通过配置，由上述认证服务器完成用户认证工作，例如用户在使用RSASECURID®认证时，能够将认证工作交给ACE服务器完成。当认证通过后，iSTAR™会完成接下来的授权工作。iSTAR™界面中是否能定制企业自己的LOGO？企业能够依照自己的需要，在iSTAR™的访问界面中使用企业自己的LOGO。iSTAR™如何升级新版本？在治理界面中提供升级选项，治理员只需猎取升级包，使用此功能就能够轻松完成升级。iSTAR™是否支持双因子认证？支持。目前支持RSASECURID®令牌卡，动态式密码（one-timepassword），客户端证书认证。iSTAR™支持那些加密算法？目前支持AES-256-CBC，DES-EDE3-CBC，DES-CBC加密算法，支持MD5和SHA1哈希算法。什么是iSTAR™的公布单元？它的要紧作用是什么？公布单元（Publisher）UU100/UU200位于iSTAR™体系结构中的应用服务器端，它可以将应用服务器提供的服务安全地公布给合法的用户，也能够将应用服务器端的某个子网公布给合法的用户。公布单元能够与用户的认证服务器相联接，依照认证服务器的认证结果确定是否提供服务。什么是iSTAR™的交换单元？它的要紧作用是什么？