业务挑战

為了應對內外部的競爭與挑戰,各大成品油零售企業都在主動或被動的進行轉型,自動化、智能化將成為不可避免的發展趨勢,企業在實現加油站智能組網的過程中,面臨着許多的挑戰:

1.專線組網成本高

當前採用租用運營商專線的方式連接至總部運營中心,每年需要支付高昂的線路租用費用。

2.缺乏統一管理手段

由於採用專線接入的方式,網絡的相關設置都被固定在運營商提供的設備上,企業無法自主進行管理,也無法進行網絡的統一調整,給業務帶來諸多不便。

3.應急備份線路問題

為了應對極端情況下網絡中斷的情況,需要具備通過4G來做應急網絡備份的能力。

4.設備安全接入問題

隨着加油站業務的不斷豐富,接入到網絡中的終端類型越來越多,現有設備沒有安全接入的管控能力,無法對終端做安全准入管理、威脅檢測和應用管控。

5.網絡質量可視化需求

網絡流量和帶寬利用率情況不可見,無法根據業務實際需求來做互聯帶寬的管理和規劃,也很難對網絡進行精細化運維,無法在滿足常規故障定位和處理的基礎上,做到對網絡中業務的進行高中低優先級分配。

解决方案

奇安信加油站智能安全組網解決方案基於SDN技術及網絡功能虛擬化技術設計,能夠實現全自動組網、業務保障、終端授信接入、數據加密傳輸、全面安全防護、統一智能運維。方案支持MPLS VPN專線接入、互聯網接入、4G/5G無線接入等多種接入方式,可在分支機構至總部、數據中心、公有云平台按需建立虛擬專用網絡,有效進行用户和業務的安全隔離,防止業務數據在傳送過程中被竊取或篡改。

方案包括安全網絡管控平台(簡稱“管控平台”)和安全網絡路由網關(簡稱“安全網關”)兩部分。其中,安全網絡管控平台由奇安信提供SaaS化服務,負責對安全網關的設備、網絡連接、安全功能以及接入的終端和用户進行集中化、可視化的統一控制和管理。

設計方案拓撲如下:


1.以總部/分支機構為基礎進行安全網關部署,採用SaaS化安全管控平台,對總部/分支機構部署的安全網關進行統一的集中管控,運維管理人員只通過管控平台就可以遠程管理和配置安全網關設備,而不需要在各分支機構安排網絡管理人員進行現場運維。

2.總部部署2台安全網關互為主備,通過帶安全防護、全程加密的傳輸方式與分支機構的安全網關自動組建虛擬專用網絡。

3.每個加油站部署一台安全網關,安全網關支持4G網絡,用於加油站的網絡接入及提供安全防護功能。

4.為提升線路可靠性,增加4G線路作為應急備份網絡,讓不方便安裝有線線路的加油站也可採用4G接入,確保業務能夠順利開展。

5.在管控平台上設置業務轉發線路選擇優先級,設置有線線路為主線路,4G為備份線路。

6.數據鏈路加密支持標準國際算法和國密算法,確保業務數據在傳輸鏈路上的安全。

客户价值

加油站智能安全組網解決方案不僅通過先進的SD-WAN技術解決了組網與業務可靠性問題,還實現了組網與安全的融合以及組網策略與安全策略的敏捷協同。通過SaaS化管控平台,客户可以快速、安全、便捷的掌握全網網絡質量狀態分析、業務傳輸狀態分析、威脅風險狀態,並可通過網絡、用户、業務多個維度定位安全風險,在保障自動組網、業務可靠、安全隔離的基礎上,偵察、定位、處置異常行為,將“內生安全”能力從局域網延伸至廣域網,實現全網的組網、安全、運營三同步。

方案优势

1. 自主安全組網

方案採用PrivateEX增強隔離技術為客户按需組建網絡,在總部和加油站之間建立業務隔離的安全加密連接,保證業務數據傳送的安全性及私密性。基於SDP的身份認證和終端准入技術,對接入網絡的人和終端進行鑑別,受信任後綁定訪問策略,控制訪問範圍,實現邊界憑“證”入內,保障網絡安全。

2. 零配置快部署

方案支持通過無線上線、郵件上線、部署嚮導上線、批量上線、4G上線的方式自動註冊安全網關,並可從管控平台獲取網絡配置和安全策略配置,實現分鐘級上線,極大縮短了設備上線時間,降低了加油站開通業務的複雜度,節省了運維實施成本。

3. 廣域出口整合

方案支持Internet、4G、MPLS、MSTP等多種廣域(WAN)出口的統一整合,當其中一個廣域網出口出現故障時,可以切換到其他正常的廣域網出口,保證業務持續服務不受影響。而且,方案支持相同運營商、相同網絡介質的優先互聯,實現多出口資源的高效整合和業務互聯體驗。

4. 智能路徑優選

方案支持遙測技術,通過管控平台監測整個企業廣域網的端到端服務質量,採用WKSP技術,支持基於跳數、時延、帶寬、丟包率等多維度的智能選路,實現基於應用的路徑優選和質量保證。基於對業務及應用的深度感知,根據用户設定的業務及應用的優先級、當前線路可用帶寬、當前線路探測質量,按需進行多路徑調度及帶寬資源保障。

5. 可視集中管控

方案提供可視化集中管控能力,支持對全網安全網關的自動化運維、網絡編排、安全編排、業務管理、威脅管理、安全能力按需定製等,支持全網網絡狀態、業務數據及網絡質量的集中管理和展示,支持一鍵跳轉安全網關管理界面。

6. 全面安全防護

方案支持多種類型的安全防護,如漏洞防護、抗 DDoS 防護、 病毒防護以及上網URL過濾策略防護等。同時通過數據加密傳輸、身份統一認證、權限集中管控、威脅深度識別的體系化安全保障,是一個能提供全面安全防護能力的組網方案。

7. 威脅情報加持

方案具備基於“TI INSIDE”引擎驅動的威脅情報能力,可以精準檢測出多種勒索病毒、挖礦木馬、APT攻擊工具等,定位到網絡中的失陷主機並進行一鍵處置。通過管控平台與威脅情報中心的協同聯動,最新威脅情報可以迅速由管控平台推送至全網所有安全網關上,升級全網安全網關的檢測能力。