人保集团股份有限公司是一家综合性保险(金融)公司,旗下拥有财险、资产、健康、寿险、投资、保险经纪等十余家专业子公司,目前集团员工规模约30万人。其中,随着中国人民财产保险股份有限公司各项业务的快速发展,信息化建设程度越来越高,公司内部的公文流转、信息共享和数据传递依赖于统一建设的办公自动化系统和邮件系统,理赔、核赔、核保等多项核心业务数据依赖于专业的应用系统创建、传递、处理、存储和共享。人保财险业务的开展越来越依赖于信息系统的同时,也使信息安全的重要性日渐突出。能否保障信息系统和业务数据的安全成为促进公司业务迅速发展,降低公司运营风险的关键因素。
北京天诚安信公司就人保财险的信息化应用现状及需求进行系统分析,从人员、应用系统、设备的帐户、授权、认证、审计等角度,提供全面的统一安全认证体系建设方案,以最大限度满足人保财险信息化的管控需求。人保财险身份认证与授权管理项目的主要目标是:加强对包括办公网和业务网在内的各应用系统使用者身份的管理;加强系统管理员对应用系统访问人员的审计和管控;加强管理员的自身管控;通过对人员的身份、权限、行为的管理,实现对各应用系统访问者的识别和行为的抗抵赖,从而实现人保财险信息化的集中管控,保障信息系统和业务数据的安全成为促进公司业务迅速发展,降低公司运营风险。
图一 PICC人保财险身份认证与授权管理项目系统逻辑架构图
在该项目建设中,全部采用了由天诚安信提供的拥有自主知识产权的“自主可控”统一认证管理平台产品(TOPUTS)和数字认证中心(TOPCA),以PKI/CA技术为安全基础依托,构建起建覆盖全国36个省公司的统一认证管理平台系统整体架构设计(如图一所示)。
其中,统一安全认证与授权体系由TOPUTS管理平台、安全认证网关及认证门户组成。通过在人保财险总公司部署1套TOPUTS管理平台,负责公司总部及各省分公司应用系统的集中管控;36个省分公司各部署1套TOPUTS管理平台,共36套,负责各自所辖应用系统及人员的集中管控。系统均采用双机部署以防止单点故障的发生。通过办公系统及业务系统与统一信任管理平台进行应用集成,目前总部已经集成了43个应用系统,以实现对人保财险信息化系统的集中用户管理、集中认证管理、集中授权管理、集中审计管理及非在编员工集中管理。
同时,在PICC总部及36个省完成了自建CA系统的分布式部署。通过在总公司部署根CA及二级子CA,由总公司管理员负责CA中心的管理与维护,同时在总公司及各省分公司均部署RA系统,由各自RA管理员为所管辖的人员进行鉴证并颁发具有员工统一且唯一标识的USB Key数字证书,同时负责对所颁发的证书的生命周期进行管理及维护,目前共发出约11万支KEY。以此实现员工统一身份标识及对身份的统一管理,确保员工身份的可信。
图二 PICC人保财险身份认证与授权管理项目系统部署图