方案特点:省级网络可以同时提供IPSec和SSL两种VPN接入方式,I psec VPN对网络业务的支持能力较强,可以与EAD系统配合完成终端的安全状态监控,需要安装客户端软件,维护成本较高;SSL VPN可以提供免安装软件接入,对于B/S模式的业务支持能力强,维护成本较低,但对于复杂业务的处理支持能力有限。
方案II
图3 数据承载方式2
适用环境:加油站介入节点较多。
实现方式:由于加油站采用多台PC或Win终端,所以首先使用VPN的LAN口交换机在网点构成一个小型局域网环境。安装网点硬件VPN网关产品,连接ADSL Modem拨号到Internet,网点硬件VPN网关产品与中心硬件VPN网关之间建立VPN隧道,加油站网点所有终端或PC可以办理业务,汇聚到地市公司,内 部终端可以使用EAD进行终端安全状态的监控。
方案特点:采用硬件方式实现,使用H3C SecPathF100-C设备除了可以提供用户使用硬件VPN进行高性能组网外,设备本身还可以提供防火墙,交换机,路由器等附加功能,性价高,对于加油站网点的组网可以说是一机多能。如果有SSL VPN访问需求,加油站内部终端同样可以通过Internet出口网关直接通过SSL VPN与地市网关建立连接,完成SSL VPN接入。
3、 综合安全平台
传统的加油站解决方案有从安全的角度来看有两方面有待完善和改进:
终端使用的安全:主要是指上传数据终端的安全与控制的问题,以保证是正确的、安全的终端上传的数据。
数据访问的安全:主要指数据流传递当中的安全性问题,保证上行数据流中没有相关病毒、网络攻击等流量,降低网络压力和安全性隐患。
针对存在的相关问题,H3C提出了网络改造优化的方案。主要关注网络安全性与运行维护中的管理简便性等方面,希望通过对于基础信息网络的优化与改造,能够有助于企业的商业目标的实现。在整个网络架构上主要通过两种方式优化现有网络架构,网络中插入防火墙、IPS等安全设备来解决数据流传递中的安全性问题在用户终端接入上采用H3C 端点准入防御方案(EAD)来保证安全、可靠的终端用户接入;防火墙、IPS等安全设备主要部署在网络出口位置或需要防护的服务器群组前端,提供重点区域的防护,属于孤立的单点防御;
图4 安全访问控制
端点准入防御方案(EAD)旨在整合孤立的单点防御,统一实施企业安全策略,增强网络主动防御的能力,从而降低病毒、非法访问等安全威胁对企业网络带来的危害。为达到以上目的,H3C提出了包括检查——隔离——修复——监控的整体解决思路。
图5 端点准入流程
4、多媒体通讯及监控平台
由于加油站原来存在偷油以及管理上的各种问题,为了加强加油站的管理,各大石油公司不断改进加油站的技术装备,比如加装雷达液位仪,油罐车定位系统,加油站 监控系统等等。普通加油站通常需要部署3-4个监控点,分别对油车(卸油过程)、营业室(主要指收费处),作业区(加油区)等重点场所进行监控。
加油站联网监控系统由加油站前端监控设备和省级公司监控中心两部分组成。其中,各加油站将各摄像机的图像接入ECR系列视频编码器,在带宽仅有2M或4M左右的情况下,将站端视频图像本地存储,同时能够实现将报警发生或上级单位关心的关键事件图像上传到市公司或省公司的存储设备当中;在省级或市级公司部署VM视频管理服务器,负责下属加油站点的设备接入、用户注册、权限管理等业务。部署DM数据管理服务器和IP-SAN,负责站级监控图像的存储和关键事件的图像备份存储,并且配置部分软硬件解码器VC客户端供实时观看和事后查看。
图5 加油站监控拓扑