让分支机构更有生气——浅析上海石气SSL VPN改造计划始末

上海石油天然气有限公司（以下简称上海石气）成立于1992年9月，公司诞生之初就考虑到了，充分利用现代管理技术和信息技术来培育自己独有的核心竞争力。近两年来，随着公司业务的拓展，对信息化的要求也显著提高，如何实现远程分支机构高效率低成本的网络互连和便捷的移动办公，成为上海石气迫切需要解决的问题。
上海石气的总部位于上海的江宁路，旗下包括了南汇、岱山以及海上平台等几大分支机构。目前上海石气在江宁路总部已经实现了办公自动化、实时生产、安全管理等三大信息系统，并采用电信的DDN专线来实现语音和数据的信息传送。
伴随着MIS系统的应用，上海石气部分分公司外派机构需要对总部的MIS系统实现安全访问，同时希望能够解决在外办公人员以及出差人员和公司总部的信息同步问题。考虑到以上几个方面的原因以及对整个网络安全架构的要求，上海石气决定采用VPN安全互联解决方案。
用VPN保证业务
作为项目的实施方，深信服科技为上海石气部署了SSL VPN移动办公解决方案。在上海石气总部，采用SINFOR M5100-S一体化安全网关，为IPSec和SSL VPN用户实现安全接入；对于原来使用DDN专线实现南汇、岱山这些分支机构和江宁路总部互连的方案，改用SINFOR M5100-S的IPSec VPN实现；而对于在外办公以及出差人员，使用SSL VPN进行安全接入。
上海石气认为，SSL VPN安全网关结合了IPSec和SSL两套主流的VPN技术，实现了在一台安全网关设备上稳定高效运行两套VPN系统。利用两者的优势进行互补，避免了单一VPN设备存在的不足，最大限度地发挥了VPN给企业带来的方便性和易用性，节约了企业大量的投入成本和管理成本。
具体部署中，在上海石气总部的M5100-S硬件上为接入的各分支机构和移动用户分配相应的账号，包括用户名、密码、权限等信息。同时针对每个不同的分支用户、移动用户，进行内网资源权限的分配，不同的用户根据所分配的权限、访问局域网内的特定资源，并根据各分支机构、移动用户的办公规律设置连接时间规则。
而对于单点接入的用户，上海石气采用SSL协议，基于B/S结构访问总部的MIS系统。考虑到安全性，公司将每个移动用户的登陆账号、接入权限等信息导入硬件加密客户端载体（DKEY）中，启用数字证书实现安全认证。
为了确保远距离连接的带宽问题，上海石气采用了安全网关中的多线路智能选路功能，对于分布到不同运营商网络的远程接入用户，SSL VPN网关会自动迁移到最快的线路上。只要在上海石气总部端申请多条运营商线路，便能最有效地解决跨运营商之间连接延迟大、带宽小的问题。

【相关文章】

• 山东电信选择深信服SSL VPN

• 接入安全：SSL VPN与NAC间的PK

• 统一威胁管理UTM整合VPN 让网络安全高枕无忧