2011年，中石油投资84亿美元在伊朗开发该国阿扎代干油田。为更好地完成石油勘探业务，中石油希望建成集各项核心生产业务、语音、视频会议、行政办公、决策支持及外部接入为一体的信息化综合网络平台。

　　随着业务的不多扩大和成熟，中石油伊朗油田网络平台也面临着网络带宽低、可靠性不高、安全防护薄弱、可管理性差的挑战。针对这一现状，中石油希望能够进行技术改造，为中石油伊朗油田平台网络工程构建更高效、更安全、更可靠的网络运行环境。

　　S系列交换机夯实网络安全

　　对中石油伊朗油田网络系统而言，其安全性尤其重要，必须防范来自网上的恶意攻击。同时，也避免考虑到内部用户无意识但有破坏性的访问导致的设备故障问题。因此，在网络系统环境构建中，交换机的选择也至关重要。

　　最终，中石油选择了华为S系列交换机，来保证系统中网络设备本身的安全。

　　S系列交换机具备一些独特性能，可保障网络安全：

　　1.基于RADIUS（Remote Authentication Dial-In User Service）协议和HWTACACS协议的AAA（Authentication, Authorization, Accounting）服务：路由器与RADIUS或HWTACACS服务器配合实施AAA服务，可以提供对接入用户的验证、授权和计费安全服务，防止非法访问。

　　2.验证协议：在PPP线路上支持CHAP（Challenge Handshake Authentication Protocol）和PAP（Password Authentication Protocol）验证。

　　3.包过滤（Packet Filter）：通过访问控制列表实施，指定允许通过或禁止通过路由器的报文类型。

　　4.应用层报文过滤ASPF（Application Specific Packet Filter）：也称为状态防火墙，是一种高级通信过滤，它检查应用层协议信息并且监控基于连接的应用层协议状态，维护每一个连接的状态信息，并动态地决定数据包是否被允许通过防火墙或路由器。

　　5.网络层安全（IP Security，IPSec）：特定的通信方之间在IP层通过加密与数据源验证，来保证数据包在Internet上传输时的私有性、完整性和真实性。

　　6.事件日志：记录系统安全方面的事件，以跟踪非法侵入。

　　7.地址转换：NAT网关将公共网络和企业内部网隔离开来，在公共网络中隐藏企业内部设备的IP地址，阻止来自公共网络上的攻击。

　　8.相邻路由器验证：确保所交换路由信息的可靠性。

　　全方位网络安全度量设计

　　在路由器选用上，中石油采用华为NE40E系列路由器，充分考虑了设备的可靠安全性，核心设备采用双主控、双电源、双交换网实现冗余备份，故障时能够自动倒换，并支持热插拔和更换。倒换时不影响转发。

　　同时设备通过完善的QoS功能能够严格的控制网络流量，提高网络效率，在局域网通过VLAN划分来防网络窃听， 对关键的主机系统和子网，能够进行网络资源检查，并及时发现问题。使用安全扫描软件，对关键的主机系统和网络定期进行扫描，可以检查出网络弱点和策略配置上的问题。根据扫描软件发现的问题，及时更新操作系统补丁，查杀病毒，更新安全策略。定期强制更新用户口令，并制定用户口令规则，禁止使用不符合规则的口令。定期检查文件系统的访问权限是否合理，检查用户帐号的使用是否正常。

　　为了合理的解决网络安全问题，华为根据中石油伊朗油田网络现状，充分分析网络逻辑组成，从空间，网络层次，时间三个角度考虑中石油伊朗油田网络的安全解决方案。从空间上，华为建议中石油伊朗油田网络采用模块化思路构建，整个网络可以分为不同的逻辑功能区，根据网络中不同部分的不同功能，关注不同的安全问题，如中石油伊朗油田网络部分的主要功能是设备互联及数据传送，所以接入网络安全关注的重点是网络自身安全及数据传送安全。相应的，在其它两个方面（网络层次及时间）也会采取不同的安全措施进行应对。