客户概述

中国石油天然气集团公司（简称中国石油集团）是一家世界领先的集石油和天然气上下游业务、油气田工程技术服务、石油物资装备制造和供应于一体的综合性能源公司，在世界50家大石油公司中排名第9位。

中国石油广域网是整个中国石油信息建设的重要基础组成部分。广域网改进与建设在技术上需采取现代网络技术的先进成果，必须保持一定的技术前瞻性，使中国石油的广域网建设进入世界石油公司的先进行列；同时还应考虑经济的合理性，考虑企业的网络现状和实际应用需求，结合企业未来发展需求，在统一网络管理与安全策略的前提下，使中国石油广域网的技术建设水平与经济投资效益及业务发展需求结合起来，为中国石油企业服务，发挥应有效益。

挑战和问题

中国石油上市后，成为一家国际化、市场化的公司。为适应国家化经营及市场竞争的要求，中国石油必须充分利用信息技术改善管理水平、降低成本、提升业务能力和应变能力，确保在激烈的市场竞争中领先。

中国石油广域网主要包括主干网和地区网两大部分，为了完善中国石油广域网络安全系统的建设，加强企业内部的的信息交流，提高工作效率，为中国石油的移动用户提供网络支持服务，为公司的未来飞速发展提供更好的保障，中国石油根据《中国石油局域网参考概念体系结构》和《中国石油局域网标准与规范》的规定，建立了一个总体规划的，规范实施的VPN系统。

于此同时，复杂的VPN系统平台带来了海量的数据信息，任何一个IT部门也无法从海量的信息中顺利提取或审计有效的安全信息，判断复杂的VPN网络结构中，是否有着不安全的接入或访问因素。为此，中石油总部决定建设统一的安全信息管理平台。

信息系统的安全性和服务的便利性是中国石油考虑的首要问题，因此如何在构筑的互联网安全架构中，有效管理对全国节点和用户的行为跟踪，保证全国各地用户的快速访问，即时发现并解决统一架构中的问题，是中国石油的主要需求。

挑战和需求

关键的挑战和需求	具体描述
事中审计	用户当前状态审计
事后审计	访问接入信息和用户行为的查询审计
多网关支持	能够收集并支持中石油全国各个节点的网关
多站点审计	多个虚拟站点审计
多应用审计	由于不同用户访问不同类型资源,使用虚拟站点技术，将用户访问的不同应用进行区分审计
高可用性	任何情况下（含大并发数据量情况），审计系统需要正常运转并能够提供查询响应
高并发支持	瞬时并发超过1000条不能丢包
稳定可靠	数据容量并发达到极限，数据存储达到极限，网络访问达到极限时，设备均不能出现失去响应或死机等情况，需要提供智能的数据备份解决方案

解决方案

针对中国石油下属单位的分布特点和业务特点，OCT提出了针对分布是不熟的SSL VPN多台设备的统一日志信息管理整体解决方案。通过在全国中心节点部署NAR信息安全平台，分布式接收并汇总全国安全设备的所有日志信息，提供详细的数据分析报告，来使用户能够即时的了解安全架构及所有用户的状态和问题。使用户能够即时发现并解决已知系统中的潜在不稳定和不安全因素。

各地接入中心的SSL VPN SPX系列产品将采用统一的身份认证平台，通过在中国石油的专网内设置的认证服务器进行认证、授权和审计等。

通过对海量信息的抓取，汇总并进行极为详尽的分析，NAR平台能够给出符合用户需求的分析报告。无论对B/S , C/S应用的访问信息、认证信息，对VPN的操作，用户的登录、认证、授权，都能够以可视化的图表进行展示。

解决方案的网络拓扑

业务优势

部署Octopus Link解决方案前	部署Octopus Link解决方案后
终端用户数量众多，通过VPN访问中心应用的日志量巨大，一般安全信息设备无法稳定收集海量数据，数据丢失严重	实施了NAR方案后，不仅海量数据传输不在丢失，还提供了更大的扩展能力，每秒钟并发数量提升4倍以上。
数据查询不够精准，无法提供详细报表	NAR能够提供极为精准并高速的数据检索和查询，能够极为智能的解析用户日志格式，并按照用户需求进行分类处理，生成图文并茂的数据报表。
针对大信息量的网络数据处理，系统无法稳定运行，100G数据级别已经出现系统down机	数据处理能力和系统稳定性经受实际测试考验，任何情况下均没有发生down机情况，数据处理能力和存储能力大幅提升
无分布式扩展能力	可进行分布式无限扩展

成功因素

1、高度的可扩展性：单台设备最大可以支持到30台网关，并发日志数支持2000条以上。

2、丰富的报表查询功能，精准定位用户需求，提供多种条件的高效查询。

3、响应迅速的厂家支持和服务：在测试过程中，各个厂家都遇到很多问题，但Octopus Link的北京研发中心能提供最快的响应速度。

客户名称	中石油总部
行业	能源
应用类型	针对所有网关保护的应用系统的日志分析审计（对接网关为Arraynetworks SPX SSL VPN 9 台）
产品	NAR-3000