中企东方iGate远程访问解决方案

一、企业概述：

　　中企东方资产管理有限责任公司成立于2001年，是“德隆系”旗下从事产业研究和金融服务的核心企业。目前跟集团公司有合作或股权关系的上市公司已经超过120家。

　　二、需求分析

　　金融投资管理是一个复杂、特殊的高风险行业，其业务会涉及到投资人的直接资产投资，企业资产及项目评估，证券二级市场运作，上市推荐，债券股票承销等等。在金融投资管理公司的运作过程中，网络及应用信息系统是维系其业务良性发展的关键资源之一，随着证券投资业务的蓬勃发展，网络规模在不断扩大，投资管理公司自身的网络也越来越面向开放化，相当数量的敏感资金数据资料在投资管理公司内部网以及公网上传输交换，如何确保这些重要数据资料的访问安全性，在最大限度内保证网络的访问控制安全性已成为金融投资管理公司在信息化建设中极为重要的一环。

　　应用实施的安全性需求

　　集团信息部门于2002年决定通过因特网把内部的信息(包括内部证券交易作业平台、上市公司的资产评估报告、行业投资分析报告等)以WEB方式供分公司或子公司经理访问。

　　因此，集团公司投资实施了一套CRM管理系统，主要功能是实现企业资产及项目评估、证券二级市场和相关金融投资管理的核心信息的管理查询。作为一套完整的信息管理系统，本身的数据处理 、查询和分析功能已经很完善。但是，一直没有正式投入使用，因为一直没有找到一个完善的安全应用方案来满足系统实施的安全性要求。下面是该公司的信息管理主管自身的安全需求为出发点提出的要求：

　　1. 网络安全体系必须保证运行业务系统的主机，数据库，CRM应用服务器系统数据的安全性。这些服务器要放置在DMZ区，这就要求相应的安全系统要适应公司的网络结构安全性要求。

　　2. 在保证数据库安全的同时，数据本身的机密性同样极为重要。企业的财务报表、资料、交易数据统计、行情分析报告、资产评估报告。。。。。。都必须采取极为严密的加密措施和精确的安全等级划分，稍有疏忽就会造成毁灭性的灾难。

　　3. 整个应用系统是基于B/S结构设计，采用的是TCP/IP标准协议，必须保证数据在公网上传输的安全性。

　　4. 因为整个应用要在公网上实施，各证券公司、投资人、上市公司和内部管理人员要进行数据查询，要最大限度的确保对使用人员的身份控制。实现对访问各级应用系统、数据库、文件的实时有效记录、跟踪管理。

　　5. 减少配置复杂程度

　　除了安全性以及运行效率外，配置复杂程度也是该公司关注的一项指标。因为整个项

　　目实施后，具体的使用人员将分布在全国十几个省份200个管理人员手中。所以，不可能对每一个客户端进行安装调试。

　　三、解决方案

　　针对以上需求，Rainbow 公司向客户推荐了iGate远程访问解决方案。

　　1. 不需要更改网络结构，只需在防火墙和服务器之间，通过使用交换机和网线，将iGate和这些设备物理连接，通过软件配置放置于同一个网段上。通过iGate内置的协议转换、IP地址的跳转功能，将公网的域名和iGate的虚拟IP地址捆绑在一起，从物理上将后台服务器保护起来。从而起到一个第二层防火墙的功能。

　　2. iGate服务器通过硬件的方式来完成数据的加密处理功能。一旦用户要访问iGate保护的应用，iGate就会在用户的客户端机器和iGate服务器之间建立SSL安全通道。从而实现了数据的加密传输，同时硬件的加密实现方式极大的提高了整个网络传输的速度性能。

　　3. 针对于用户的要求，客户端通过双因素认证令牌iKey来确认用户的身份。ikey的安全性基于这样一种强有力的身份认证机制：“挑战---响应”原理。在客户端通过内置有算法芯片的硬件(ikey)来储存唯一的验证值，同时在服务器端保留相同的验证值，从而确保整个验证实现的唯一性。

　　4. 用户原有的CRM系统中已经进行了相应的权限设置和用户分配，因此在本方案中采用Master Key的技术。从而将基于iKey的认证功能和原有的认证体系完全集成在一起，用户只需要插入iKey，并输入相应的PIN码。就可以按照原有的权限进行访问，从而免去了多次输入密码的麻烦。同时，iGate的日志监测功能满足了用户对访问记录的跟踪。

　　5. 整个安全应用解决方案基于B/S构架设计。对于客户端，iGate系统实现了自动检测功能，检测客户端是否安装有相应的 iKey驱动。如果没有则执行自动安装。对于每一个客户端因为不需要相应的软件设置，从而极大的降低了安装配置的复杂度。

　　四、实施效果

　　整个方案从开始布置到实施完毕只用了一天的时间。实施了Rainbow iGate远程访问解决方案后，该公司的CRM系统完全在Internet上运行。谈起实施后的效果，该公司的IT经理说：“iGate完全解决了我们所关心的安全问题。我们的分公司经理们都很满意。现在他们只需要像浏览一般网页一样，在地址栏输入我们的应用系统的域名。系统就会自动提示他们插入Key来进行验证。整个使用过程安全方便。强有力的SSL验证机制确保了数据在因特网上传输的安全性要求。”