| 信息安全

请登录

注册

SINFOR电力行业VPN解决方案

2013-10-11 16:33:00 EP电力信息化网
A A
需求分析电力行业是关系到国计民生的基础性行业,随着电力市场化以及电网建设的进一步发展,传统的电力系统业务正在发生变化,对电力信息化的需求日益增强,对数据的即时性、准确性有了更高的要求,各种管理信息

需求分析

    电力行业是关系到国计民生的基础性行业,随着电力市场化以及电网建设的进一步发展,传统的电力系统业务正在发生变化,对电力信息化的需求日益增强,对数据的即时性、准确性有了更高的要求,各种管理信息如财务、收费、电力营销、生产管理等应用系统在电力行业日常业务中扮演了越来越重要的角色。各级电力公司普遍建立了自己的内部网络,基本实现了办公网络化,但是由于地域上的距离和网络发展的不平衡性,网络之间缺少互联互通,各网络的信息系统不能共享,造成了网络的割裂和信息的孤岛。 

    随着电力市场化的深入推行,各级机构之间需要传递的数据量大大增加,对数据的实时性要求也越来越高,在电力系统的骨干网络上主要采用了专线的方式来实现国家-省-市间电力系统的互联互通,但是对于数量巨大的市-县-乡的网络传输需求来说,昂贵的专线方案将给电力系统带来巨大的运营成本,而电话拨号网络又存在着速度慢、容量小、安全性差的弱点,电力行业迫切需要一种可靠、安全、性价比高的网络传输方案。 

    近年来,VPN以其可以利用公网资源,建立安全、可靠、经济、高效的传输链路的特点引起了人们的广泛注意。在VPN技术的支持下,位于不同地区的电力部门只需分别联入当地的Internet,就可以组成一个高效统一的虚拟专用网络。深信服科技提供的SINFOR VPN解决方案在传统的VPN技术基础上,提供了性价比极高的软硬件一体化解决方案,并特别针对国内固定IP的匮乏、复杂的Internet接入方式、操作人员技术能力较低等多种不利因素进行了技术和产品上的创新,为电力行业提供了一种高安全、高性能、高稳定性的VPN解决方案。

VPN组网方案

    以某县供电局为例,该局下属数十个营业厅,在县局上了电力营销系统以后,所有的用户数据和销售数据都需要联入县局数据中心进行存取,但如果采用专线的方式来连接县局和这么多的营业厅的话,以每条专线的租用费用为2000元计算,十个营业厅每月光线路租用费用就是两万元,还不算采用专线时极高的实施成本和设备采购费用,对于一个县局来说,这样的费用是相当高昂的,因此,在综合考虑成本、安全性、稳定性等多方面的因素后,该县供电局决定采用深信服提供的SINFOR VPN解决方案,彻底解决了困扰多时的线路问题,利用当地廉价的ADSL接入方式(每月200元),将线路成本降低为专线方案的10%。

 

产品选型

    该县供电局在县局使用了SINFOR M5100这款屡获殊荣的高性价比VPN/防火墙安全网关,在提供强劲性能的同时具有极好的长时间稳定运行能力,能够保证下属营业厅随时可靠的接入,在下属各级营业厅根据其规模分别采用了SINFOR S5100边缘VPN/防火墙安全网关或软件VPN分支模块,充分体现了深信服科技软硬件一体化方案的性价比优势,对于规模较小的营业厅直接采用软件VPN模块,在不降低VPN网络稳定、安全等特性情况下大大降低了方案整体投入。 

方案效果

    通过SINFOR VPN的实施,该供电局实现了应用系统的远程拓展,大大提高了业务处理水平和整体管理水平:
? 下属收费点通过各种上网方式直接实现异地查询总部收费系统信息,数据集中供电局总部
? 县局与各营业厅信息实时共享;通过OA、内部邮件等应用系统的使用,提高了内部交流的效率
? 实现领导及员工远程移动办公,在任何地点、任何上网方式都可以接入总部,查询收费管理系统以及其它相关信息 

方案特点

    作为专业的VPN解决方案,SINFOR VPN方案为电力行业提供了集高安全性、高可靠性、高性能、灵活方便的互联方案,具备以下几个重要特性:

    高安全的VPN

    由于使用了Internet作为连接链路的基础,通过Internet来进行数据的传送不得不考虑由此产生的安全隐患。深信服科技的SINFOR M5100是一款高性价比的硬件VPN/防火墙安全网关。在系统内部,集成了高强度的加密算法,并可以进一步通过软件或硬件卡的形式进行加密算法的扩展,保证了数据传输的安全。并且系统内置Radius服务、并采用了HARDCA硬件证书的形式进行身份认证,确保接入用户的合法有效。另外,SINFOR M5100还针对内网用户可以设定细致的访问权限、避免了病毒类文件的随意传播和越权访问带来的安全隐患。同时,SINFOR M5100本身也是一台高性能的防火墙设备,系统采用SINFOR-Linux嵌入式操作系统,可以有效抵御外网的攻击。

    隧道加密:采用国际先进的AES 128位加密技术加密隧道,防止数据窃取和侦听。先进的加密技术在保证高加密级别的同时提供了强大的性能保证,有效加强隧道传输效率。 

    接入用户身份验证:除基于用户账号的Radius身份验证外,SINFOR VPN创新性的采用了深信服科技专利技术-基于硬件身份的鉴权体系,将用户账号与其所在计算机硬件信息进行绑定,即便用户账号意外泄露,由于非法用户无法使用与此账号事先绑定的那台计算机,不会因此造成非法用户接入。对于远程移动办公人员,由于计算机存在失窃或被非法使用的可能性,深信服科技还对移动用户采用了基于硬件USB KEY的身份验证机制,利用DKEY这种USB的便携设备的唯一ID号作为其使用VPN的许可方式,使得只有指定人员使用指定账号及指定计算机接入总部访问指定资源成为可能,极大的提高了VPN的整体安全性。 

    接入用户权限控制:普通的VPN产品在用户接入后即可随意访问局域网内任意资源,对于安全要求较高的单位来说,这种不受限制的访问容易造成极大的安全隐患,深信服科技通过在VPN系统中设置更细致的服务访问权限来杜绝这些安全隐患。SINFOR VPN可以针对每个用户设定不同的接入访问权限,如某些用户只能访问总部的OA系统,不能访问财务系统等,不同的VPN用户可以设定对不同资源的访问权限,避免因为VPN用户权限过大造成的安全隐患。 

    深信服科技提供的SINFOR M5100、S5100安全网关及软件VPN产品均集成VPN及企业级防火墙于一体,在提供丰富的VPN功能的同时,其自带的企业级防火墙能够提供对网络强大的保护和管理功能,确保网络不被Internet非法用户攻击及入侵,并对内网用户上网行为进行非常细致的管理,避免内网用户随意的Internet访问行为带来的安全隐患,能够充分保护VPN网络工作于Internet时其内外网络的安全。 
高可靠的VPN

    作为基础应用的连接链路,VPN网络的可靠性是极其重要的,SINFOR VPN通过多种技术保证VPN网络的高度可靠性。 

    互为备份的Web寻址技术:基于Web的动态寻址技术是深信服公司专利技术,通过该技术,使得SINFOR VPN可以支持ADSL等动态IP拨号上网方式,无需固定IP,大大降低了客户使用VPN的成本。由于动态寻址过程依赖于WEB的可靠性,因此,在SINFOR VPN中采用了互为备份的WEB设置,只要有一个WEB能够正常工作,即可正常实现动态寻址,保证了VPN寻址的可靠性。 

    多线路技术增强线路稳定性:由于Internet线路具有不可靠性的特点,使用Internet线路存在断线的可能性,对VPN网络的可靠运行产生了隐患,因此,SINFOR VPN创新性的提出了多线路捆绑技术,在一个VPN节点上可以同时使用多条Internet线路,只要其中的一条线路仍然正常工作,DLAN VPN网络即可保持正常。 

    断线重拨技术:为了保证拨号网络的稳定性,SINFOR VPN中集成了自动拨号软件,在拨号中断后,5秒内可以重拨。网络物理连接恢复正常后,VPN隧道将在1分钟内自动建立,从而保证系统迅速恢复。 

    VPN内部QOS功能:VPN内的智能QOS可动态为各优先级别的VPN应用合理分配带宽,在网络繁忙时优先传送更重要的数据(如对时延较为敏感的VOIP及视频数据及数据库查询等),而智能的QOS在网络空闲时可充分利用所有带宽。 

    完善的日志功能:SINFOR VPN集成完善的日志服务,提供信息日志,告警日志,错误日志和调试日志等多种类型的日志,能极大的帮助网络管理员分析和维护整个网络系统。由于有独立的日志服务器,因此日志空间仅受管理员分配的存储空间的限制。 

    高性能的VPN

    高效的传输效率:高效的加解密算法和强大的“流压缩”技术使得SINFOR VPN对实际带宽的利用率高达130%,在传输Word、BMP等文档和SQL查询等数据时表现尤为出众,远远超出一般VPN产品70%-80%的传输效率。 

     冗余容量设计:电信网经常因为话务高峰而瘫痪,数据网络也如此,如果网络设备的容量承载不了突然增长的业务负荷,那么系统就可能瘫痪。SINFOR M5100的设计容量大大超过一般用户的实际容量,达到一个网关支持5000个网络用户,1500条VPN隧道,54.4M的VPN隧道带宽,这种冗余容量的设计保证VPN网络即使遇到业务突发高峰,也能稳定运行。 

    强大的路由功能:SINFOR VPN自带智能软路由功能,可以将非互联的数据(即直接访问Internet数据)路由到本局域网的其他网关或路由设备,从而达到分离内外网数据和扩大出口带宽的目的;或者利用多条线路多个网关组成的集群同时接入众多的分支。 

    灵活方便的VPN

    对移动IP的全面实现:一般VPN部署都需要改变网络结构,SINFOR VPN在充当远程接入服务器时,不需要客户网络做任何改变。远程用户接入到网络来时,可获得一个该网络的内外IP地址,并以此IP与网络内其它节点进行双向的访问,若该远程用户原本就是该网络内的一个用户,则在远程接入后仍可保留原本的IP地址,做到在远程和在本地时一模一样。 

    对各种接入方式的全面支持:通过改进的IPSEC隧道封装技术,SINFOR VPN能很好的支持NAT穿透功能,使得SINFOR VPN可以支持任何接入方式,包括GPRS, CDMA1X,WLAN等最新的无线上网接入方式,甚至是未来NGN接入方式。SINFOR VPN实现了用户随时随地移动办公的梦想,并能保护用户对未来的网络投资。 

    安全策略随时携带,客户端零配置:SINFOR VPN 集成DKEY技术,可以将移动用户的安全策略存储在类似U盘的USB Key(又名DKEY)中。这样移动用户随身携带标识自己身份和存储了对应安全策略配置信息的DKEY,可以在任何一台电脑安全的接入到总部。安装好PDLAN软件后,用户只需要插入DKEY,输入自己的密码就可以完成接入,做到了VPN客户端零配置,和使用银行取款机一样安全方便。 

       简单方便的配置备份和恢复:SINFOR VPN采用多个加密的配置文件形式保存配置信息。系统提供了对所有配置的打包备份功能,管理员可方便的对配置文件进行备份和恢复。同时管理员还可以在本地配置好远程网络,利用配置恢复功能在远程导入配置。


    支持远程部署、软硬兼施:SINFOR VPN既有安装方便的纯软件产品,也有相应的硬件模块。软件模块可以实现远程安装、远程部署。模块化设计,用户可以根据需要,下载相应的模块文件即可增加新的功能。而SINFOR M5100硬件模块既可以和所有S5100、M5400、M5100等硬件产品系列产品之间互连互通,也可以和SINFOR VPN系列软件VPN互连互通,方便用户根据各地的实际环境、按需选择产品模块,构建量身定制的VPN网络。 
大云网官方微信售电那点事儿
免责声明:本文仅代表作者个人观点,与本站无关。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
我要收藏
个赞

相关新闻