石油石化行业一直是国内信息化建设的大户,随着国内信息化建设力度的不断加大,石油、石化行业也在加速信息化建设进程,陆续实施信息门户、办公应用、电子商务、产业信息化等重点信息化工程建设,目前各石化企业相继建成OA、ERP、视频会议等等信息系统。同时由于石油石化行业自身生产、销售、管理较为分散的特性,信息化建设给该行业业务数据传输的安全性、稳定性和及时性也提出了较高要求。
传统的专线传输方式的高昂的费用成为了企业一笔不小的负担,且下属加油站分布数量多、地域广,甚至存在于偏远山区,对总公司有效的信息管理和数据管理提出挑战,而通过VPN虚拟专网的建设,在提高信息的安全性同时,可以有效保证信息传输的速度、稳定性,提高石化总公司对加油站的有效管理。
虚拟专网使加油站管理走向专业化
作为国家支柱产业之一的石化石油行业,多年以来,一直在依托信息化手段提高管理和营运效率,促进旗下各个分支加油站有效的信息数据传输和管理。“石油石化行业正通过VPN虚拟专网实现对分支加油站的有效数据管理”,济南确信信息技术有限公司副总经理田涛介绍说。
在中国,加油站经历了一个由少到多、由分散经营到规模经营、由单一经济成分向多种经济成分、由经验型管理向专业化管理、由单品种经营向多种经营转化的发展过程。目前石油行业已经拥有一个庞大的内部网络,主要服务于加油IC卡系统的加油IC卡网络。总公司对系统加油站实行统一经营管理,统一进货渠道,统一管理规范,统一形象设计,统一销售价格。“广泛推广应用微机控制收发油系统和IC卡加油系统,实现加油站规范化、标准化、科学化管理。系统加油站通过开设免费服务项目,为客户提供优质、便利服务,树立了良好的企业形象,促进了经营量和经济效益的提高”,中石化山东石油分公司一位不愿透露姓名的信息主管表示IC卡加油系统带给石化加油站的变化。
此内部庞大工程网络系统覆盖1个省数据中心、多个前置中心及多个片区经营处、发卡网点、加油站等,内部网联网机器多达500-1000台。目前加油IC卡网络主干一般为SDH线路,备份线路一般为ATM线路。发卡网点大多通过ADSL的方式接入地市前置中心的网络,各个加油站仍采用的电话拨号方式接入到地市前置中心。
据田涛介绍,公司总部的IC卡应用服务器和地市的前置服务器,为公司内部、下属机构和加油站提供IC卡应用。“截至到目前,中石化山东石油分公司已经建立起**的加油IC卡通信网络服务于一线生产的加油卡网络”。
随着信息技术的不断应用和发展,山东石油公司的信息化建设有了突飞猛进的发展。目前已经建立和逐步部署公司的IC卡网络系统,正要部署面对于加油站的ERP系统,当前所面临的问题是分支机构如何安全的使用这些系统。而VPN虚拟专网的建设则正在改变安全问题。作为山东的知名SI集成商,确信公司正在积极部署中石化山东石油分公司的全部加油站的VPN虚拟网项目。
经济性高VPN构建专用加密网络
在实施VPN之前,整个公司的IC卡系统已经正常运行,采用的是基于运营商的MPLS的访问方式。公司将要部署ERP系统,随之对整个网络的安全性的要求也提高很多。“之前的网络条件下,会存在一些问题,数据传输过程存在泄密问题,服务器本身也容易受到攻击”,田涛说到,加油站存在的这些管理上的弊端可以说是石油石化行业加油站管理上的通病。
据介绍,目前IC卡和ERP用户数据都通过运营商的线路直接传输,运营商虽然采用了MPLS的方式,但MPLS方式并不对整个线路进行加密,对于运营商而言,数据没有任何的机密性可言。IC卡和ERP的网络传输数据体现了单位的业务等敏感信息,属于商业机密,直接传输存在着很大的隐患,某些有不良居心的人员可以利用专用软件在网络结点设备或线路上截获业务数据,如果这些数据被公布或篡改,后果是非常严重的。
目前的这种访问方式,客户端对用户来说是可以直接访问到的,别有用心的人就可以对服务器发起攻击或暴力破解;如果加油站使用一台机器访问IC卡网络和ERP的办公网络,也没有做任何访问控制,办公网上的机器就可以采用加油站作为跳板访问IC卡网络的机器,这样就存在极大的安全隐患,对IC卡服务器的数据造成极大的威胁,一旦服务器的密码被暴力破解,或者利用操作系统的某些漏洞进入了服务器,后果不堪设想。
“上面说的管理弊端,可以说是石油行业的通病,主要原因是对运营商的过分依赖与信任”那位石油公司的信息主管表示。“这就要求各分支机构和总部之间需要实现信息加密传输,即需要在总部和分支机构之间建设一个覆盖全省范围的‘专用加密网络’。正是基于上面的安全隐患状况的分析,我们提出了VPN建设方案”,田涛说。
同时,与传统的一些拨号和专线相比具有易部署、经济性的特点。 一是从安全性方面考虑。专线方式是相对安全的,但对电信运营商来说是毫无安全性可言的,通过网络嗅探器等工具便可以轻松的截取传输的数据,内容容易暴露。而通过VPN的方式,由于数据传输的时候是经过加密处理的,安全性可以得到很好的保证,并且控制权是在VPN用户手中的。
二是从可扩展性角度,专线连接由于依据运营商扩展起来极不方便;而VPN的方式由于基于TCP/IP方式,只要网络可达便可以方便的实现扩展的要求。
第三,从经济方面考虑,专线需要做前期的投资,后期需要每个月交纳昂贵的专线租赁费用,而且带宽有限;VPN方式的接入只需要对设备进行一次性的投资,长期看来大幅度节省支出,而且其带宽取决于接入方式的不同,并且可以使用各种廉价的宽带接入方式,如ADSL宽带的方式,带宽一般为1—100M。
第四,从管理方面考虑和移动用户角度来看,专线方式有电信运营商来做管理,控制权在电信运营商手中。VPN的方式控制权在自己的手里,管理起来非常的方便;专线方式顾名思义也就是线路能够到达的地方才可以实现接入,移动用户由于接入的位置不同也不可能采用专线的方式接入。VPN方式只要是网络可以到达的地方便可以实现接入。
VPN提升用户管理水平
“公司看重确信提供的这一套VPN解决方案,看重的就是其方案的灵活和高效,能够有效管理和监督个分支加油站的信息数据和营运状况”,石油公司的信息那位信息主管介绍。
通过这套解决方案,实现(总部和下属机构)安全联网以及总公司内部的网络资源共享和访问控制,实现ERP应用、以及IC卡服务,能实时的与各个下属分支机构的安全互联。对加油站的用户终端实现访问控制,只开放指定服务的端口,并实现传输加密。
“采用VPN加密技术基于企业现有网络状况建立安全的传输通道,满足山东石油公司实现ERP和IC卡业务需要”,田涛认为,VPN方案实施可以实现山东石油公司总部和市一级网络、加油站网络的数据安全传输,构建起山东石油公司的信息交互平台,使下属机构能够安全的、可控的访问总部IC卡系统和ERP系统。
此外,还可以解决领导和出差人员的移动办公问题,只要能够访问Internet,就可以安全、方便、快捷地访问指定的内部网络和服务器资源,使领导的办公可以不受地域、时间的限制;采用的VPN安全网关均配置有防火墙模块,在解决数据安全传输的同时,还可以提供控制和限制的安全机制和安全措施,可以有效地保证内部网络的安全性,从经济性来说,也节约了用户的经济投入。由于VPN安全网关采用了认证技术和加密技术,可以有效地保证远程的接入是授权的合法用户,同时,基于此的任何通讯均是加密传输的,具有更强的管理**性
“VPN是加密设备,对基层用户透明,基层用户较之前使用不会有任何的变化;对于管理层来讲,VPN网络不仅对原来网络进行了加密保护,而且对业务端口进行了限制,减少了不法人员的入侵机会,加固了石化的内部网络”,一位加油站的信息主管认为。
田涛认为,石油行业都存在互联加密的需求,全国的石化系统已经有多个省份认识到这一潜在的安全隐患,并实施了VPN对网络进行安全加固,石油行业信息化建设的趋势在于资源规划、数据整合和业务平台的统一,石油行业信息化建设水平在不断的提升,也将会会取得突破性进展。
