加油站智能安全组 解决方案

业务挑战

为了应对内外部的竞争与挑战，各大成品油零售企业都在主动或被动的进行转型，自动化、智能化将成为不可避免的发展趋势，企业在实现加油站智能组 的过程中，面临着许多的挑战：

1.专线组 成本高

当前采用租用运营商专线的方式连接至总部运营中心，每年需要支付高昂的线路租用费用。

2.缺乏统一管理手段

由于采用专线接入的方式， 络的相关设置都被固定在运营商提供的设备上，企业无法自主进行管理，也无法进行 络的统一调整，给业务带来诸多不便。

3.应急备份线路问题

为了应对极端情况下 络中断的情况，需要具备通过4G来做应急 络备份的能力。

4.设备安全接入问题

随着加油站业务的不断丰富，接入到 络中的终端类型越来越多，现有设备没有安全接入的管控能力，无法对终端做安全准入管理、威胁检测和应用管控。

5. 络质量可视化需求

络流量和带宽利用率情况不可见，无法根据业务实际需求来做互联带宽的管理和规划，也很难对 络进行精细化运维，无法在满足常规故障定位和处理的基础上，做到对 络中业务的进行高中低优先级分配。

解决方案

奇安信加油站智能安全组 解决方案基于SDN技术及 络功能虚拟化技术设计，能够实现全自动组 、业务保障、终端授信接入、数据加密传输、全面安全防护、统一智能运维。方案支持MPLS VPN专线接入、互联 接入、4G/5G无线接入等多种接入方式，可在分支机构至总部、数据中心、公有云平台按需建立虚拟专用 络，有效进行用户和业务的安全隔离，防止业务数据在传送过程中被窃取或篡改。

方案包括安全 络管控平台（简称“管控平台”）和安全 络路由 关（简称“安全 关”）两部分。其中，安全 络管控平台由奇安信提供SaaS化服务，负责对安全 关的设备、 络连接、安全功能以及接入的终端和用户进行集中化、可视化的统一控制和管理。

设计方案拓扑如下：

1．以总部/分支机构为基础进行安全 关部署，采用SaaS化安全管控平台，对总部/分支机构部署的安全 关进行统一的集中管控，运维管理人员只通过管控平台就可以远程管理和配置安全 关设备，而不需要在各分支机构安排 络管理人员进行现场运维。

2．总部部署2台安全 关互为主备，通过带安全防护、全程加密的传输方式与分支机构的安全 关自动组建虚拟专用 络。

3．每个加油站部署一台安全 关，安全 关支持4G 络，用于加油站的 络接入及提供安全防护功能。

4．为提升线路可靠性，增加4G线路作为应急备份 络，让不方便安装有线线路的加油站也可采用4G接入，确保业务能够顺利开展。

5．在管控平台上设置业务转发线路选择优先级，设置有线线路为主线路，4G为备份线路。

6．数据链路加密支持标准国际算法和国密算法，确保业务数据在传输链路上的安全。

客户价值

加油站智能安全组 解决方案不仅通过先进的SD-WAN技术解决了组 与业务可靠性问题，还实现了组 与安全的融合以及组 策略与安全策略的敏捷协同。通过SaaS化管控平台，客户可以快速、安全、便捷的掌握全 络质量状态分析、业务传输状态分析、威胁风险状态，并可通过 络、用户、业务多个维度定位安全风险，在保障自动组 、业务可靠、安全隔离的基础上，侦察、定位、处置异常行为，将“内生安全”能力从局域 延伸至广域 ，实现全 的组 、安全、运营三同步。

方案优势

1. 自主安全组

方案采用PrivateEX增强隔离技术为客户按需组建 络，在总部和加油站之间建立业务隔离的安全加密连接，保证业务数据传送的安全性及私密性。基于SDP的身份认证和终端准入技术，对接入 络的人和终端进行鉴别，受信任后绑定访问策略，控制访问范围，实现边界凭“证”入内，保障 络安全。

2. 零配置快部署

方案支持通过无线上线、邮件上线、部署向导上线、批量上线、4G上线的方式自动注册安全 关，并可从管控平台获取 络配置和安全策略配置，实现分钟级上线，极大缩短了设备上线时间，降低了加油站开通业务的复杂度，节省了运维实施成本。

3. 广域出口整合

方案支持Internet、4G、MPLS、MSTP等多种广域（WAN）出口的统一整合，当其中一个广域 出口出现故障时，可以切换到其他正常的广域 出口，保证业务持续服务不受影响。而且，方案支持相同运营商、相同 络介质的优先互联，实现多出口资源的高效整合和业务互联体验。

4. 智能路径优选

方案支持遥测技术，通过管控平台监测整个企业广域 的端到端服务质量，采用WKSP技术，支持基于跳数、时延、带宽、丢包率等多维度的智能选路，实现基于应用的路径优选和质量保证。基于对业务及应用的深度感知，根据用户设定的业务及应用的优先级、当前线路可用带宽、当前线路探测质量，按需进行多路径调度及带宽资源保障。

5. 可视集中管控

方案提供可视化集中管控能力，支持对全 安全 关的自动化运维、 络编排、安全编排、业务管理、威胁管理、安全能力按需定制等，支持全 络状态、业务数据及 络质量的集中管理和展示，支持一键跳转安全 关管理界面。

6. 全面安全防护

方案支持多种类型的安全防护，如漏洞防护、抗 DDoS 防护、 病毒防护以及上 URL过滤策略防护等。同时通过数据加密传输、身份统一认证、权限集中管控、威胁深度识别的体系化安全保障，是一个能提供全面安全防护能力的组 方案。

7. 威胁情 加持

方案具备基于“TI INSIDE”引擎驱动的威胁情 能力，可以精准检测出多种勒索病毒、挖矿木马、APT攻击工具等，定位到 络中的失陷主机并进行一键处置。通过管控平台与威胁情 中心的协同联动，最新威胁情 可以迅速由管控平台推送至全 所有安全 关上，升级全 安全 关的检测能力。