上海石油天然氣有限公司(以下簡(jiǎn)稱上海石氣)成立于1992年9月����,由上海申能股份有限公司�、中海石油(中國)有限公司��、中國石化股份有限公司聯(lián)合組建���,是集海上油氣勘探�、開發(fā)�����、建設(shè)�����、生產(chǎn)經(jīng)營(yíng)和治理為一體的高新技術(shù)企業(yè)。從1999年開始���,上海石氣連續(xù)5年進(jìn)入上海100強(qiáng)企業(yè),被中國石油和化學(xué)工業(yè)協(xié)會(huì)和國家統(tǒng)計(jì)局工業(yè)交通統(tǒng)計(jì)司評(píng)為2003年度和2004年度中國石油和化學(xué)工業(yè)100強(qiáng)企業(yè)����,被國家信息化測(cè)評(píng)中心評(píng)為2003年度中國企業(yè)信息化500強(qiáng)企業(yè)����。
上海石氣對(duì)其相關(guān)產(chǎn)業(yè)資源進(jìn)行優(yōu)化��,充分利用現(xiàn)代治理技術(shù)和信息技術(shù)���,培育自己獨(dú)有的核心能力��,為社會(huì)用戶提供優(yōu)質(zhì)��、可靠的服務(wù)和有力的支撐�����,提升公司整體競(jìng)爭(zhēng)力。
隨著上海石氣業(yè)務(wù)的拓展��,對(duì)信息化的要求也顯著提高�,如何實(shí)現(xiàn)遠(yuǎn)程分支機(jī)構(gòu)高效率低成本的網(wǎng)絡(luò)互連和便捷的移動(dòng)辦公,成為上海石氣迫切需要解決的問題�。
上海石氣的總部位于上海的江寧路上��,下屬有:南匯處理廠、岱山以及海上平臺(tái)等幾大分支機(jī)構(gòu)�����。目前上海石氣在江寧路總部已經(jīng)實(shí)現(xiàn)了辦公自動(dòng)化���、實(shí)時(shí)生產(chǎn)數(shù)據(jù)系統(tǒng)���、安全治理系統(tǒng)等三大信息系統(tǒng)����,并采用電信的DDN專線來實(shí)現(xiàn)語音和數(shù)據(jù)的信息傳送。伴隨著MIS系統(tǒng)的應(yīng)用�,上海石氣部分分公司外派機(jī)構(gòu)需要對(duì)總部的MIS系統(tǒng)實(shí)現(xiàn)安全訪問����,同時(shí)希望能夠解決在外辦公人員以及出差人員和公司總部的信息同步問題��?����?紤]到以上幾個(gè)方面的原因以及對(duì)整個(gè)網(wǎng)絡(luò)安全架構(gòu)的要求��,上海石氣決定采用VPN安全互聯(lián)解決方案��。經(jīng)過對(duì)眾多中外廠商的考察及測(cè)試�,上海石氣最終選定深信服科技SSL VPN移動(dòng)辦公解決方案來解決上述問題�。
整體部署圖如下:
上海石油天然氣網(wǎng)絡(luò)部署圖在上海石氣總部,采用深信服科技SSL VPN解決方案:SINFOR M5100-S一體化安全網(wǎng)關(guān)���。對(duì)于原來使用DDN專線實(shí)現(xiàn)南匯、岱山這些分支機(jī)構(gòu)和江寧路總部互連的方案�,考慮到成本���、安全及可治理型����,使用SINFOR M5100-S的ipSec VPN實(shí)現(xiàn)這些分支機(jī)構(gòu)以及分公司外派機(jī)構(gòu)等局域網(wǎng)之間的安全互連�。而對(duì)于在外辦公以及出差人員,使用SSL VPN實(shí)現(xiàn)安全接入����。
實(shí)施步驟如下:
1���、在上海石氣總部網(wǎng)內(nèi)采用SINFOR M5100-S一體化的VPN網(wǎng)關(guān)����,為IPSec 和SSL VPN用戶實(shí)現(xiàn)安全接入���;
2���、在總部的M5100-S硬件總部上為接入的各分支機(jī)構(gòu)和移動(dòng)用戶分配相應(yīng)的賬號(hào)���,比如用戶名�����、密碼、權(quán)限等賬號(hào)信息;
3���、針對(duì)每個(gè)不同的分支用戶、移動(dòng)用戶,進(jìn)行內(nèi)網(wǎng)資源權(quán)限的分配,不同的用戶根據(jù)所分配的權(quán)限��、訪問局域網(wǎng)內(nèi)的特定資源�,并根據(jù)各分支機(jī)構(gòu)、移動(dòng)用戶的辦公規(guī)律設(shè)置連接時(shí)間規(guī)則。
4�、對(duì)于單點(diǎn)接入的用戶��,可以采用SSL協(xié)議基于B/S結(jié)構(gòu)形式訪問總部的MIS系統(tǒng)安全方便地進(jìn)行辦公。考慮到安全性,將每個(gè)移動(dòng)用戶的登陸賬號(hào)、接入權(quán)限等信息導(dǎo)入硬件加密客戶端載體(DKEY)中,啟用數(shù)字證書實(shí)現(xiàn)安全認(rèn)證�����。
方案特點(diǎn):
作為專業(yè)的VPN解決方案��,深信服科技為上海石油天然氣提供了集高安全性�����、高可靠性、高性能、靈活方便的互聯(lián)方案,具備以下幾個(gè)重要特性:
一�����、IPSec和SSL一體化
SINFOR SSL VPN安全網(wǎng)關(guān)結(jié)合了IPSec和SSL 兩套主流的VPN技術(shù)�����,實(shí)現(xiàn)了在一臺(tái)安全網(wǎng)關(guān)設(shè)備上穩(wěn)定高效運(yùn)行兩套VPN系統(tǒng)����。利用兩者的優(yōu)勢(shì)進(jìn)行互補(bǔ)����,避免了單一VPN設(shè)備存在的不足���。最大限度地發(fā)揮了VPN給企業(yè)帶來的方便性和易用性�����,節(jié)約了企業(yè)大量的投入成本和治理成本��。
SINFOR VPN對(duì)移動(dòng)用戶提供了強(qiáng)大的支持����。對(duì)于上海石油天然氣的在外出差人員和移動(dòng)人員��,可以利用SSL VPN的易用性實(shí)現(xiàn)遠(yuǎn)程用戶的安全連接����;而對(duì)于要遠(yuǎn)程接入調(diào)試的技術(shù)人員�,可使用IPSec VPN實(shí)現(xiàn)“移動(dòng)IP”的安全接入,進(jìn)行遠(yuǎn)程調(diào)試。SINFOR SSL VPN提供了USB KEY的身份認(rèn)證方式和配置集成功能�����,一個(gè)USB Key支持兩套VPN�,能夠確保接入身份的唯一性。
二、多種認(rèn)證方式���,高安全性
SINFOR SSL VPN提供了多種安全方式來保證客戶端認(rèn)證的安全。
對(duì)于IPSec VPN部分��,采用了AES 128的高強(qiáng)度加密算法��。用戶在接入認(rèn)證時(shí)采用了HARDCA、USB KEY等多種認(rèn)證方式保證客戶端身份認(rèn)證的安全���。
而對(duì)于SSL VPN功能部分,SINFOR SSL VPN采用SSL協(xié)議加密建立安全的專用加密通道���,除了使用1024位的非對(duì)稱密鑰加強(qiáng)安全性,還使用DKEY(一種USB 的身份認(rèn)證設(shè)備)進(jìn)行雙因素身份認(rèn)證�����,并使用PIN碼保護(hù)DKEY的安全�。
SINFOR SSL VPN內(nèi)置有LDAP/AD、Radius�、Secur ID��、短信認(rèn)證等多種安全認(rèn)證方式,可以根據(jù)相應(yīng)的安全級(jí)別�,對(duì)客戶端組合幾種認(rèn)證方式��,最大限度地保證了接入用戶的合法性。當(dāng)前�,間諜軟件���、木馬等安全威脅日益嚴(yán)重�����,傳統(tǒng)的基于口令的認(rèn)證方式輕易被竊取,一旦泄漏將造成企業(yè)數(shù)據(jù)的安全隱患���。深信服科技采用了基于手機(jī)短信的動(dòng)態(tài)身份認(rèn)證系統(tǒng)來消除該隱患,方便易用���,保證了用戶使用SSL VPN訪問總部資源時(shí)的安全性。
同時(shí)����,SINFOR SSL VPN網(wǎng)關(guān)集成了高性能的企業(yè)級(jí)防火墻�����,有效保護(hù)內(nèi)部服務(wù)器免受來自Internet的各種攻擊�,包括對(duì)開放端口的DOS攻擊。
三、多線路智能選路���,解決跨運(yùn)營(yíng)商網(wǎng)絡(luò)互連問題
目前,大規(guī)模VPN網(wǎng)絡(luò)往往都是跨運(yùn)營(yíng)商的��。但是國內(nèi)運(yùn)營(yíng)商間的帶寬太小�,嚴(yán)重影響了VPN的應(yīng)用效果。作為國內(nèi)領(lǐng)先的VPN和網(wǎng)絡(luò)安全研發(fā)產(chǎn)商��,深信服科技在IPSec VPN 中���,創(chuàng)新性地采用了多線路智能選路功能(專利技術(shù))�����,并成功應(yīng)用到SINFOR SSL VPN網(wǎng)關(guān)中�����。對(duì)于分布到不同運(yùn)營(yíng)商網(wǎng)絡(luò)的遠(yuǎn)程接入用戶��,SINFOR SSL VPN會(huì)自動(dòng)遷移到最快的線路上。只要在VPN總部端�,申請(qǐng)多條運(yùn)營(yíng)商線路��,便能最有效地解決跨運(yùn)營(yíng)商之間連接延遲大、帶寬小的問題���。
SINFOR SSL VPN支持多達(dá)4條線路的負(fù)載均衡,為遠(yuǎn)程接入提供更大的帶寬���。在VPN隧道連接過程中,SSL VPN網(wǎng)關(guān)會(huì)按照客戶數(shù)目均衡分配到各條線路上��,一條線路中斷����,不會(huì)影響SSL VPN 用戶的接入����。SINFOR SSL VPN的多線路負(fù)載均衡,為企業(yè)節(jié)省了采購成本,并且降低了企業(yè)的維護(hù)量。同時(shí),SINFOR SSL VPN支持雙機(jī)熱備�����,保證了VPN網(wǎng)絡(luò)穩(wěn)定����、高效地運(yùn)行。
四、靈活方便
由于寬帶的普及以及ADSL資費(fèi)的降低�,國內(nèi)寬帶網(wǎng)絡(luò)已經(jīng)深入到社會(huì)的每個(gè)角落�。目前絕大部分企業(yè)通常采用ADSL撥號(hào)等動(dòng)態(tài)IP的方式接入互聯(lián)網(wǎng)���。SINFOR SSL VPN集成了深信服科技獨(dú)創(chuàng)的基于Web的動(dòng)態(tài)IP尋址技術(shù)(專利技術(shù))����,使得SINFOR SSL VPN網(wǎng)關(guān)在部署的時(shí)候無需固定IP,完全支持動(dòng)態(tài)IP。并且�����,當(dāng)企業(yè)在使用SSL VPN功能時(shí)���,可以使用和IPSec VPN 相同的Webagent(基于網(wǎng)頁的動(dòng)態(tài)尋址文件)來解析網(wǎng)關(guān)的動(dòng)態(tài)IP�,減少了治理員的維護(hù)量。移動(dòng)辦公人員使用瀏覽器連接入公司內(nèi)網(wǎng)時(shí)��,也更加便捷�����。
傳統(tǒng)的IPSEC VPN在部署客戶端的時(shí)候,往往需要復(fù)雜的安裝和配置���。借助于SINFOR SSL VPN獨(dú)創(chuàng)的基于Web的IPSec客戶端在線安裝方式,用戶可以很方便安裝使用IPSec VPN�����。電力企業(yè)可以結(jié)合自身的需求��,按需部署IPSec /SSL VPN網(wǎng)絡(luò)����。
