上海石油天然气有限公司(以下简称上海石气)成立于1992年9月,由上海申能股份有限公司、中海石油(中国)有限公司、中国石化股份有限公司联合组建,是集海上油气勘探、开发、建设、生产经营和治理为一体的高新技术企业。从1999年开始,上海石气连续5年进入上海100强企业,被中国石油和化学工业协会和国家统计局工业交通统计司评为2003年度和2004年度中国石油和化学工业100强企业,被国家信息化测评中心评为2003年度中国企业信息化500强企业。
上海石气对其相关产业资源进行优化,充分利用现代治理技术和信息技术,培育自己独有的核心能力,为社会用户提供优质、可靠的服务和有力的支撑,提升公司整体竞争力。
随着上海石气业务的拓展,对信息化的要求也显著提高,如何实现远程分支机构高效率低成本的网络互连和便捷的移动办公,成为上海石气迫切需要解决的问题。
上海石气的总部位于上海的江宁路上,下属有:南汇处理厂、岱山以及海上平台等几大分支机构。目前上海石气在江宁路总部已经实现了办公自动化、实时生产数据系统、安全治理系统等三大信息系统,并采用电信的DDN专线来实现语音和数据的信息传送。伴随着MIS系统的应用,上海石气部分分公司外派机构需要对总部的MIS系统实现安全访问,同时希望能够解决在外办公人员以及出差人员和公司总部的信息同步问题。考虑到以上几个方面的原因以及对整个网络安全架构的要求,上海石气决定采用VPN安全互联解决方案。经过对众多中外厂商的考察及测试,上海石气最终选定深信服科技SSL VPN移动办公解决方案来解决上述问题。
整体部署图如下:
上海石油天然气网络部署图
在上海石气总部,采用深信服科技SSL VPN解决方案:SINFOR M5100-S一体化安全网关。对于原来使用DDN专线实现南汇、岱山这些分支机构和江宁路总部互连的方案,考虑到成本、安全及可治理型,使用SINFOR M5100-S的ipSec VPN实现这些分支机构以及分公司外派机构等局域网之间的安全互连。而对于在外办公以及出差人员,使用SSL VPN实现安全接入。
实施步骤如下:
1、在上海石气总部网内采用SINFOR M5100-S一体化的VPN网关,为IPSec 和SSL VPN用户实现安全接入;
2、在总部的M5100-S硬件总部上为接入的各分支机构和移动用户分配相应的账号,比如用户名、密码、权限等账号信息;
3、针对每个不同的分支用户、移动用户,进行内网资源权限的分配,不同的用户根据所分配的权限、访问局域网内的特定资源,并根据各分支机构、移动用户的办公规律设置连接时间规则。
4、对于单点接入的用户,可以采用SSL协议基于B/S结构形式访问总部的MIS系统安全方便地进行办公。考虑到安全性,将每个移动用户的登陆账号、接入权限等信息导入硬件加密客户端载体(DKEY)中,启用数字证书实现安全认证。
方案特点:
作为专业的VPN解决方案,深信服科技为上海石油天然气提供了集高安全性、高可靠性、高性能、灵活方便的互联方案,具备以下几个重要特性:
一、IPSec和SSL一体化
SINFOR SSL VPN安全网关结合了IPSec和SSL 两套主流的VPN技术,实现了在一台安全网关设备上稳定高效运行两套VPN系统。利用两者的优势进行互补,避免了单一VPN设备存在的不足。最大限度地发挥了VPN给企业带来的方便性和易用性,节约了企业大量的投入成本和治理成本。
SINFOR VPN对移动用户提供了强大的支持。对于上海石油天然气的在外出差人员和移动人员,可以利用SSL VPN的易用性实现远程用户的安全连接;而对于要远程接入调试的技术人员,可使用IPSec VPN实现“移动IP”的安全接入,进行远程调试。SINFOR SSL VPN提供了USB KEY的身份认证方式和配置集成功能,一个USB Key支持两套VPN,能够确保接入身份的唯一性。
二、多种认证方式,高安全性
SINFOR SSL VPN提供了多种安全方式来保证客户端认证的安全。
对于IPSec VPN部分,采用了AES 128的高强度加密算法。用户在接入认证时采用了HARDCA、USB KEY等多种认证方式保证客户端身份认证的安全。
而对于SSL VPN功能部分,SINFOR SSL VPN采用SSL协议加密建立安全的专用加密通道,除了使用1024位的非对称密钥加强安全性,还使用DKEY(一种USB 的身份认证设备)进行双因素身份认证,并使用PIN码保护DKEY的安全。
SINFOR SSL VPN内置有LDAP/AD、Radius、Secur ID、短信认证等多种安全认证方式,可以根据相应的安全级别,对客户端组合几种认证方式,最大限度地保证了接入用户的合法性。当前,间谍软件、木马等安全威胁日益严重,传统的基于口令的认证方式轻易被窃取,一旦泄漏将造成企业数据的安全隐患。深信服科技采用了基于手机短信的动态身份认证系统来消除该隐患,方便易用,保证了用户使用SSL VPN访问总部资源时的安全性。
同时,SINFOR SSL VPN网关集成了高性能的企业级防火墙,有效保护内部服务器免受来自Internet的各种攻击,包括对开放端口的DOS攻击。
三、多线路智能选路,解决跨运营商网络互连问题
目前,大规模VPN网络往往都是跨运营商的。但是国内运营商间的带宽太小,严重影响了VPN的应用效果。作为国内领先的VPN和网络安全研发产商,深信服科技在IPSec VPN 中,创新性地采用了多线路智能选路功能(专利技术),并成功应用到SINFOR SSL VPN网关中。对于分布到不同运营商网络的远程接入用户,SINFOR SSL VPN会自动迁移到最快的线路上。只要在VPN总部端,申请多条运营商线路,便能最有效地解决跨运营商之间连接延迟大、带宽小的问题。
SINFOR SSL VPN支持多达4条线路的负载均衡,为远程接入提供更大的带宽。在VPN隧道连接过程中,SSL VPN网关会按照客户数目均衡分配到各条线路上,一条线路中断,不会影响SSL VPN 用户的接入。SINFOR SSL VPN的多线路负载均衡,为企业节省了采购成本,并且降低了企业的维护量。同时,SINFOR SSL VPN支持双机热备,保证了VPN网络稳定、高效地运行。
四、灵活方便
由于宽带的普及以及ADSL资费的降低,国内宽带网络已经深入到社会的每个角落。目前绝大部分企业通常采用ADSL拨号等动态IP的方式接入互联网。SINFOR SSL VPN集成了深信服科技独创的基于Web的动态IP寻址技术(专利技术),使得SINFOR SSL VPN网关在部署的时候无需固定IP,完全支持动态IP。并且,当企业在使用SSL VPN功能时,可以使用和IPSec VPN 相同的Webagent(基于网页的动态寻址文件)来解析网关的动态IP,减少了治理员的维护量。移动办公人员使用浏览器连接入公司内网时,也更加便捷。
传统的IPSEC VPN在部署客户端的时候,往往需要复杂的安装和配置。借助于SINFOR SSL VPN独创的基于Web的IPSec客户端在线安装方式,用户可以很方便安装使用IPSec VPN。电力企业可以结合自身的需求,按需部署IPSec /SSL VPN网络。