IS0017加油站安全接入解决方案20090519.docVIP

加油站安全接入方案 一、行业背景分析 为应对加入WTO和经济全球化所带来的挑战，为实现成品油零售系统电子化的目标，石油石化行业都开始利用先进的电子信息技术，以IC卡为载体，实现成品油零售系统的改造。通过在加油站中安装IC卡系统，以IC卡这一现代支付工具取代传统的现金、油票等结算方式，实现加油款的电子支付和交易数据的自动采集；在各级石油公司和加油站安装零售业务管理信息系统，提高加油站经营管理的科技含量和服务水平，从而进一步提高工作效率，降低成本，增强抵御市场风险的能力，使石油石化企业在市场竞争中处于有利的地位。 加油IC卡交易系统以省作为运行和数据处理、管理的基本单位，它通过省级数据中心联接各个地级前置系统，再通过地级前置系统连接辖内加油站、加油卡发卡网点和POS，构成了以省为单位的加油IC卡的交易体系。同时，通过数据交换总中心和各省级数据中心相连，负责数据交换，实现异地资金清算，从而实现“一卡在手，各地加油”的建设目标。 在整个加油IC卡交易系统中，加油站是成品油零售业务的最末端产生地点，客户加油的交易过程在加油站内部完成。加油站负责接受IC卡加油，交易数据每天通过地级前置系统，上送到省级数据中心。加油站能够接受各级管理中心下达的管理信息的控制，包括油价调整、黑名单、灰名单；实现对每个加油员工的加油业务对帐处理；管理信息及黑、灰名单等通过地级前置系统下传。 二、加油站联网技术方案选择 在加油站联网上，目前有租用运营商专线（DDN/SDH）、PSTN/ISDN拨号、通过Internet构建VPN三种技术方案可以选择，下面分别描述如下： 1、租用运营商专线（DDN/SDH） 租用运营商专线（DDN/SDH）在链路质量上具有最高品质的保证，同时也能提供高安全的保证，但其最大的缺点就是链路租用费用高昂。而加油站往往数量巨大，每个省往往都有数千个加油站；如果所有加油站都通过租用专线方式进行联网，其资金的代价是无法承受的，不是一种可行的解决方案。 2、PSTN/ISDN拨号 加油站联网的另外一种方式是通过拨号的方式，通过利用PSTN/ISDN的模拟电话线路，在加油站通过配置的调制解调器，采用拨号的方式，登录到公司内部的拨号服务器，实现远程对公司内部资源的访问。这种方式的优点在于比较灵活，PSTN电话线路资源比较容易获得。缺点在于网络连接性能低，不提供QOS保障，无法保证对实时业务的支持，无法满足复杂业务处理的需求；网络数据在PSTN传输，没有任何安全措施，数据在传输过程中存在很大的安全风险；缺少足够的访问控制能力以及日志记录能力，不能满足事后审计需求。 3、通过Internet构建VPN VPN（Virtual Private Network，虚拟私有网）是近年来随着Internet的广泛应用而迅速发展起来的一种新技术，实现在公用网络上构建私人专用网络。“虚拟”主要指这种网络是一种逻辑上的网络。 VPN有别于传统网络，它并不实际存在，而是利用现有公共网络，通过资源配置而成的虚拟网络，是一种逻辑上的网络。VPN只为特定的企业或用户群体所专用。从VPN用户角度看来，使用VPN与传统专网没有区别。VPN作为私有专网，一方面与底层承载网络之间保持资源独立性，即在一般情况下，VPN资源不会被承载网络中的其它VPN或非该VPN用户的网络成员所使用；另一方面，VPN提供足够安全性，确保VPN内部信息不受外部的侵扰。其中，VPN接入又可分为IPsec VPN和SSL VPN。 IPSec是网络层的VPN技术。IPSec VPN的诱人之处包括，它采用了集中式安全和策略管理部件，从而大大缓解了维护需求。可问题在于，部署IPSec需要对基础设施进行重大改造，以便远程访问管理成本很高在每一台客户使用的计算机上安装了管理软件，软件补丁的发布和远程电脑的配置升级将是一件十分令人头疼的任务。采用SSL VPN的第一项好处就是降低成本。虽然购买软件或硬件的费用不一定便宜，但部署SSL VPN很便宜。安装了这类软件或硬件，使用者基本上就不需要IT部门的支持了，只要从其PC机上的浏览器向公司网注册即可。这种IPSec以外的替代方案避开了部署及管理必要客户软件的复杂性和人力需求。最终用户避免了携带电脑，通过与因特网连接的任何设备就能获得访问，SSL更容易满足大多数员工对移动连接的需求。用户通过与因特网连接的任务设备实现连接，并借助于SSL隧道获得安全访问。这需要在企业防火墙后面增添硬件，但企业只要管理一种设备，不必维护、升级及配置客户软件。提供免客户端、任何地点的访问能力、增加的安全性，使得IT部门管理更容易，和IPSec VPN相比，终端用户使用更简化由于没有配置、管理和支持终端用户复杂的IPSec客户端软件的负担，SSL VPN的支持更便宜，也比IPSec更容易部署。