IS0017加油站安全接入解决方案20090519

解决案例加油站安全接入方案解决案例一、行业背景分析为应对加入WTO和经济全球化所带来的挑战，为实现成品油零售系统电子化的目标，石油石化行业都开始利用先进的电子信息技术，以IC卡为载体，实现成品油零售系统的改造。通过在加油站中安装IC卡系统，以IC卡这一现代支付工具取代传统的现金、油票等结算方式，实现加油款的电子支付和交易数据的自动采集；在各级石油公司和加油站安装零售业务管理信息系统，提高加油站经营管理的科技含量和服务水平，从而进一步提高工作效率，降低成本，增强抵御市场风险的能力，使石油石化企业在市场竞争中处于有利的地位。加油IC卡交易系统以省作为运行和数据处理、管理的基本单位，它通过省级数据中心联接各个地级前置系统，再通过地级前置系统连接辖内加油站、加油卡发卡网点和POS，构成了以省为单位的加油IC卡的交易体系。同时，通过数据交换总中心和各省级数据中心相连，负责数据交换，实现异地资金清算，从而实现“一卡在手，各地加油”的建设目标。在整个加油IC卡交易系统中，加油站是成品油零售业务的最末端产生地点，客户加油的交易过程在加油站内部完成。加油站负责接受IC卡加油，交易数据每天通过地级前置系统，上送到省级数据中心。加油站能够接受各级管理中心下达的管理信息的控制，包括油价调整、黑名单、灰名单；实现对每个加油员工的加油业务对帐处理；管理信息及黑、灰名单等通过地级前置系统下传。二、加油站联网技术方案选择在加油站联网上，目前有租用运营商专线（DDN/SDH）、PSTN/ISDN拨号、通过Internet构建VPN三种技术方案可以选择，下面分别描述如下：1、租用运营商专线（DDN/SDH）租用运营商专线（DDN/SDH）在链路质量上具有最高品质的保证，同时也能提供高安全的保证，但其最大的缺点就是链路租用费用高昂。而加油站往往数量巨大，每个省往往都有数千个加油站；如果所有加油站都通过租用专线方式进行联网，其资金的代价是无法承受的，不是一种可行的解决方案。2、PSTN/ISDN拨号解决案例加油站联网的另外一种方式是通过拨号的方式，通过利用PSTN/ISDN的模拟电话线路，在加油站通过配置的调制解调器，采用拨号的方式，登录到公司内部的拨号服务器，实现远程对公司内部资源的访问。这种方式的优点在于比较灵活，PSTN电话线路资源比较容易获得。缺点在于网络连接性能低，不提供QOS保障，无法保证对实时业务的支持，无法满足复杂业务处理的需求；网络数据在PSTN传输，没有任何安全措施，数据在传输过程中存在很大的安全风险；缺少足够的访问控制能力以及日志记录能力，不能满足事后审计需求。3、通过Internet构建VPNVPN（VirtualPrivateNetwork，虚拟私有网）是近年来随着Internet的广泛应用而迅速发展起来的一种新技术，实现在公用网络上构建私人专用网络。“虚拟”主要指这种网络是一种逻辑上的网络。VPN有别于传统网络，它并不实际存在，而是利用现有公共网络，通过资源配置而成的虚拟网络，是一种逻辑上的网络。VPN只为特定的企业或用户群体所专用。从VPN用户角度看来，使用VPN与传统专网没有区别。VPN作为私有专网，一方面与底层承载网络之间保持资源独立性，即在一般情况下，VPN资源不会被承载网络中的其它VPN或非该VPN用户的网络成员所使用；另一方面，VPN提供足够安全性，确保VPN内部信息不受外部的侵扰。其中，VPN接入又可分为IPsecVPN和SSLVPN。IPSec是网络层的VPN技术。IPSecVPN的诱人之处包括，它采用了集中式安全和策略管理部件，从而大大缓解了维护需求。可问题在于，部署IPSec需要对基础设施进行重大改造，以便远程访问,管理成本很高。IPSecVPN在解决远程安全访问时具有几个比较大的缺点，如:需要安装客户端软件，但并非所有客户端操作系统均支持IPSecVPN的客户端程序,由于在每一台客户使用的计算机上安装了管理软件，软件补丁的发布和远程电脑的配置升级将是一件十分令人头疼的任务。有些IPSecVPN的连接性会受到网络地址转换（NAT）的影响，大部分受网关代理设备（proxy）的影响；IPSecVPN需要先完成客户端配置才能建立通信信道，并且配置复杂；而采用SSLVPN的第一项好处就是降低成本。虽然购买软件或硬件的费用不一定便宜，但部署SSLVPN很便宜。安装了这类软件或硬件，使用者基本上就不需要IT部门的支持了，只要从其PC机上的浏览器向公司网注册即可。这种IPSec以外的替代方案避开了部署解决案例及管理必要客户软件的复杂性和人力需求。最终用户避免了携带电脑，通过与因特网连接的任何设备就能获得访问，SSL更容易满足大多数员工对移动连接的需求。用户通过与因特网连接的任务设备实现连接，并借助于SSL隧道获得安全访问。虽然这需要在企业防火墙后面增添硬件，但企业只要管理一种设备，不必维护、升级及配置客户软件。总结一下，采用SSLVPN接入有如下优势：2.1用户端无需安装专用的VPN客户端软件使用标准的浏览器，如IE和Netscape即可接入SSLVPN访问加油站系统。提供免客户端、任何地点的访问能力、增加的安全性，使得IT部门管理更容易，和IPSecVPN相比，终端用户使用更简化。由于没有配置、管理和支持终端用户复杂的IPSec客户端软件的负担，SSLVPN的支持更便宜，也比IPSec更容易部署。2.2SSLVPN能为使用者提供任意地方的访问能力使用者可以在他们能得到Internet接入能力的地方访问他们的应用——从机场商务中心，从任何他人的计算机，甚至任何无线设备。SSL也能在宽带网络上工作。此外，SSLVPN可以成功地穿越防火墙，能处理网络地址转换（NAT）问题，而对基于IPSec的VPN来说，这是一个难题。2.3SPX采用的是SSLPROXY技术带来极大安全提升因此，使用者根本没有和他们要访问的资源直接建立连接，并且隐藏了那不DNS解析空间，所以安全度是很高的。即使是SPX提供的L3VPN技术，在其VPN隧道内部我们依然存在一个网络层的防火墙提供安全保护。2.4SSLVPN接入加油站系统的用户认证的、授权、审计认证方式可以采用ArrayNetworksSSLVPN设备自己的用户数据库，也可以和加油站已有的认证系统结合起来，如AD、RADIUS等。接入加油站系统是经过精细授权控制的，针对不同的用户或用户所属的组，SSLVPN可以按加油站系统预定义的规则来对用户的访问权限进行设定。2.5部署方式灵活多样，管理更加容易，用户使用方便SSLVPN网关SPX可以放在路由器、防火墙后面使用NAT后的私有地址。用户可以是NAT，或者是通过HTTP代理等灵活的方式，只需保持SSL通道畅通既可。采用SSLVPN要比IPSecVPN更容易管理，由于使用者可以从任何浏览器更安全地访问应用，所以，像解决案例SSLVPN能减少分发和管理客户端软件的麻烦。同时，不需要改变网络，不需要修改防火墙配置和修改终端用户的配置，所以，比采用IPSec有更低的总体拥有成本。支持Cluster技术。为加油站系统提供高可靠性。三、加油站联网需求分析随着成品油零售系统电子化的推进，这些加油站都必须通过远程连接到成品油零售系统，以提高了加油站经营管理的科技含量和服务水平，进而增强其竞争力。但是，这些加油站最初是通过远程电话拨号方式上网，来接入成品油零售系统，不仅需要在各个加油站放置大量的制解调器，每个月的电话和上网费用也居高不下，更为关键的是，在网络安全，应用等方面也带来许多问题和隐患。显然公司需要一个更为安全、经济和高可用的网络接入解决方案，比如IPSecVPN或者SSLVPN。这样，从技术实现的方式来看，公司对于加油站远程解决方案的需求包括几个方面:1、在安全性上，应该使用公开的协议保证信息传输的机密性;还需要完善的客户端安全检查手段:可以根据石油公司的安全策略对客户端做各种扫描，如操作系统版本、补丁版本、防病毒软件种类、病毒库更新时间等等，不符合公司的安全策略的客户端不允许接入;同时提供多种身份认证手段，以满足多种应用的需求;让网络接入安全无忧。2、在需求定制方面，解决方案需要支持加油站使用的各种操作系统，包括linux。3、在应用方面，解决方案需要“透明”:能够满足所有基于IP的应用都可以接入，包括基于TCP、UDP的C/S应用以及B/S应用，提供与应用无关的特性，可以使用各种windows平台。当然，在降低成本和高可用方面，解决方案也需要有出色表现。例如，现行的电话拨号方式电话费用高达100-200元/月，应该可以使用ADSL等接入方式降低客户端接入成本;加油站需要7×24小时的远程接入，接入解决方案必须高可用。等等。四、SSLVPN解决方案SPX网关在网络边缘可以采用单臂结构或双臂结构，可以放在防火墙后面或DMZ区，达到SSLVPN网关本身的高安全性，可以灵活适应NAT转换、防火墙只需要对SSLVPN网关开放443端口就可以了，使黑客或内部恶意人员或恶意代码无能为力。对于VPN客户解决案例端，无论他是通过WebProxy上网、还是通过NAT上网，只要他和SSLVPN网关之间的TCP443畅通即可。由于加油站上网方式可能多种多样，这样就可以作到加油站的随时随地安全接入SSLVPN，进而访问企业办公系统，或进行企业办公系统的维护工作。SSLVPN不需要安装客户端程序，任何一台可以上网的电脑一般都安装了浏览器，就可以使用SSLVPN访问办公网，这样无客户端的特点解放了IT工作人员。ArrayNetworksSSLVPN只要客户端安装了标准浏览器，如IE、Netscape就可以登陆SSLVPN，IE是Windows的内含软件，无须单独购买，因而不会增加客户端的开支。如果一个VPN方案需要安装客户端程序，就会带来许多麻烦，即使这个程序做得非常简单，安装和使用都简单，也免不了有很多求救电话，用户会怀疑一切奇怪的现象都与新安装的客户端程序有关，因为它无法判断与客户端程序无关，所以SSLVPN可以极大的简化IT管理员的工作负担，提高工作效率。同时由于所有的部署工作和维护管理工作都在SSLVPN网关，属于集中部署、集中管理模式，对于VPN的部署和管理带来了极大的便捷。ArrayNetworksSSLVPN可以支持多种用户认证方法，LocalDB，Radius、LDAP、RSASecurID、Securcomputing、AD等等，和企业已有的统一认证系统完美的结合起来。同时SSL协议支持X.509证书，可以作VPN网关和VPN客户端的证书双向认证，由于现在一些大企业都建设了自己的CA系统，通过数字证书系统达到更高的安全性，支持CertificateRevocationList(证书撤销列表)。ArrayNetworks的SPX支持将数字证书存储在USB-KEY或智能卡里面，必须具有相应的数字证书存储介质才可以访问SSLVPN系统，充分享有企业的CA系统提供的高安全性。ArrayNetworksSSLVPN组网方案是面向应用的VPN方案，可以做到基于应用的细粒度控制，基于用户和组赋予不同的应用访问权限，并对相关访问操作进行审计。系统对用户Server1加油站SSLSSLCorporateNetworkSPXServer2解决案例接入加油站系统是经过经过精细授权控制的，针对不同的用户或用户所属的组，SSLVPN可以按加油站系统预定义的规则来对用户的访问权限进行设定。ArrayNetworksSSLVPN系统提供完善的审计。记录所有行为，如用户登陆/登出、认证/授权失败、被请求的URL等，支持Syslog、Snmp。可以和企业已有的网管系统结合起来，达到高度的安全监控和审计。