李赫明，孟德霞

（國(guó)網(wǎng)新源控股有限公司潘家口蓄能電廠，河北 唐山064309）

0 引言

潘家口電廠通過部署網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)，落實(shí)電廠安全防護(hù)要求，避免信息內(nèi)網(wǎng)終端出現(xiàn)違規(guī)事件，實(shí)現(xiàn)對(duì)于接入信息內(nèi)網(wǎng)的終端進(jìn)行賬戶弱口令審核、桌面終端保密檢測(cè)程序安裝審核，防病毒軟件安裝審核，禁止使用多網(wǎng)卡，禁止通過3G/4G網(wǎng)卡、無線路由等不受控第三方出口訪問互聯(lián)網(wǎng)，禁止修改MAC/IP地址，禁止非授權(quán)終端接入公司信息內(nèi)網(wǎng)等安全防護(hù)，實(shí)現(xiàn)信息內(nèi)網(wǎng)終端集中、統(tǒng)一管理，通過一個(gè)平臺(tái)完成終端在線監(jiān)控、合規(guī)檢測(cè)、策略下發(fā)及安全防護(hù)，以提高潘家口電廠整體的安全防護(hù)能力。

1 前期設(shè)計(jì)

1.1 設(shè)計(jì)原則

1.1.1 遵從國(guó)家相關(guān)法律法規(guī)

管理系統(tǒng)需以安全法規(guī)為基礎(chǔ)，遵從國(guó)家相關(guān)安全政策，創(chuàng)建全面、動(dòng)態(tài)、安全的策略。

1.1.2 遵從電廠信息安全要求

管理系統(tǒng)建設(shè)須以電廠信息安全要求對(duì)終端安全管控的實(shí)現(xiàn)為指導(dǎo)方向，建立完整的桌面終端防護(hù)體系和管理體系。

1.1.3 適應(yīng)電廠信息安全現(xiàn)狀

管理系統(tǒng)需以電廠安全現(xiàn)狀為基礎(chǔ)，充分考慮電廠存在的信息安全風(fēng)險(xiǎn)，完善電廠IT內(nèi)控管理。

1.1.4 管理方便、易于維護(hù)

依照目前電廠的管理機(jī)制和組織結(jié)構(gòu)，保證系統(tǒng)架構(gòu)明確、管理方便，節(jié)省維護(hù)成本。

1.1.5 安全可靠

管理系統(tǒng)需具有安全保障體系，通過先進(jìn)的軟硬件技術(shù)手段，實(shí)現(xiàn)網(wǎng)絡(luò)的傳輸安全、數(shù)據(jù)安全、接口安全，從而確保網(wǎng)絡(luò)的安全和保密，同時(shí)系統(tǒng)本身需具有高可靠性和冗余設(shè)計(jì)。

1.2 功能構(gòu)架

以網(wǎng)絡(luò)身份識(shí)別為基礎(chǔ)，以網(wǎng)絡(luò)準(zhǔn)入控制技術(shù)為保障，強(qiáng)制進(jìn)行終端安全管理，同時(shí)提供桌面管理維護(hù)功能，從而減低桌面維護(hù)工作量，輔助實(shí)現(xiàn)終端安全管理。此外通過分權(quán)分域和流程化策略模型，管理靈活方便，并通過可運(yùn)營(yíng)報(bào)表提供運(yùn)營(yíng)支撐，最終形成一體化、多層次、全方位的終端安全管理體系。

1.3 控制單元

控制單元主要部署CONTROLLER管理中心，承擔(dān)著總體指揮、整體協(xié)調(diào)的核心任務(wù)。實(shí)現(xiàn)終端接入控制和區(qū)域安全策略定制和管理。主要硬件部署包括服務(wù)器、硬件接入控制網(wǎng)關(guān)和終端。

1.4 網(wǎng)絡(luò)訪問權(quán)限管理

結(jié)合終端用戶的身份認(rèn)證，通過基于用戶角色的網(wǎng)絡(luò)訪問權(quán)限管理，加強(qiáng)內(nèi)網(wǎng)的網(wǎng)絡(luò)訪問控制，防止非法接入和非授權(quán)訪問，保證電廠內(nèi)網(wǎng)的安全。分控單元節(jié)點(diǎn)所在單位需要根據(jù)業(yè)務(wù)和安全等級(jí)將現(xiàn)網(wǎng)的網(wǎng)絡(luò)資源劃分為不同的邏輯安全域，CONTROLLER系統(tǒng)根據(jù)終端用戶身份認(rèn)證和安全檢查的結(jié)果開放不同安全域的訪問權(quán)限，實(shí)現(xiàn)對(duì)違規(guī)終端的隔離，保證電廠內(nèi)網(wǎng)的整體安全性。根據(jù)業(yè)務(wù)相關(guān)性和最小授權(quán)原則，基于終端用戶的角色進(jìn)行細(xì)粒度的網(wǎng)絡(luò)訪問權(quán)限控制。管理員可根據(jù)業(yè)務(wù)或安全等級(jí)，將業(yè)務(wù)服務(wù)器劃分為不同的認(rèn)證后域，然后將認(rèn)證后域授權(quán)給相應(yīng)的部門的員工。只有授權(quán)的用戶經(jīng)過身份認(rèn)證和安全檢查后才能訪問相應(yīng)的業(yè)務(wù)資源，沒有經(jīng)過授權(quán)的員工將無法訪問。

2 實(shí)施步驟

潘家口電廠內(nèi)網(wǎng)拓?fù)鋱D如圖1：

圖1 潘家口電廠網(wǎng)絡(luò)拓?fù)鋱D

潘家口電廠信息內(nèi)網(wǎng)主要分為核心網(wǎng)絡(luò)區(qū)域，辦公網(wǎng)絡(luò)區(qū)域，以及生產(chǎn)網(wǎng)絡(luò)區(qū)域。

采用SACG接入網(wǎng)關(guān)控制方式，將SACG接入網(wǎng)關(guān)直掛于三層核心交換機(jī)H3C LS7506E于防火墻之間，將來自PC的上行流量重定向到SACG設(shè)備之上，通過SACG設(shè)備過濾之后，再次回到交換機(jī)上執(zhí)行正常的數(shù)據(jù)流量轉(zhuǎn)發(fā)，對(duì)于未正常通過認(rèn)證的用戶則直接進(jìn)行阻攔。

實(shí)施步驟如下：

（1）網(wǎng)絡(luò)物理連接

（2）IP 地址分配

（3）配置與準(zhǔn)入控制服務(wù)器聯(lián)動(dòng)

選擇“網(wǎng)絡(luò)＞ TSM聯(lián)動(dòng)＞基本配置”。

在“配置TSM基本參數(shù)”界面中，選中“TSM聯(lián)動(dòng)”后面的“啟用”復(fù)選框。

配置接口基本參數(shù)。

選擇“網(wǎng)絡(luò)＞接口”。

配置安全策略。

選擇“策略＞安全策略”。

配置防火墻與AC-Campus聯(lián)動(dòng)。添加2個(gè)SC的IP地址、端口和共享密鑰。

選擇“網(wǎng)絡(luò)＞TSM聯(lián)動(dòng)＞基本配置”。

配置使用Web方式認(rèn)證的地址。

選擇“網(wǎng)絡(luò)＞TSM聯(lián)動(dòng)＞基本配置”。

業(yè)務(wù)優(yōu)先原則，啟用逃生通道，當(dāng)2個(gè)SC均無法連接時(shí)直接對(duì)終端用戶放行。

選擇“網(wǎng)絡(luò)＞TSM聯(lián)動(dòng)＞基本配置”。

在Untrust到Trust域間應(yīng)用SACG聯(lián)動(dòng)策略。

選擇“網(wǎng)絡(luò)＞TSM聯(lián)動(dòng)＞聯(lián)動(dòng)策略”。

（4）配置防火墻接口

連接受控域接口

編號(hào)：GigabitEthernet 1/0/2

端口：二層模式

安全區(qū)域：trust區(qū)域

編號(hào)：GigabitEthernet 1/03

端口：二層模式

安全區(qū)域：trust區(qū)域

編號(hào)：vlan500

端口：二層模式

安全區(qū)域：trust區(qū)域

IP地址：10.XX.XXX.XXX

（5）配置準(zhǔn)入控制服務(wù)器策略

選擇“網(wǎng)絡(luò)＞ TSM聯(lián)動(dòng)＞基本配置”。

在“配置TSM基本參數(shù)”界面，選擇“TSM服務(wù)器列表”頁簽。

單擊，配置TSM服務(wù)器1各參數(shù)。

服務(wù)器IP：XX.XXX.XXX.XXX，端口：XXXX，共享密鑰：xxx_Security。

（6）配置防火墻策略

配置防火墻local到trust，local到untrust區(qū)域的數(shù)據(jù)允許通過。

3 應(yīng)用情況

潘家口電廠網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)于2016年12月上線試運(yùn)行，對(duì)網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)進(jìn)行了安裝調(diào)試，并在各部門配合下進(jìn)行使用培訓(xùn)。試運(yùn)行期間主要監(jiān)測(cè)任務(wù)：監(jiān)測(cè)服務(wù)器于防火墻聯(lián)動(dòng)效果；根據(jù)用戶需求，針對(duì)個(gè)別IP地址進(jìn)行免認(rèn)證過濾；對(duì)所有用戶進(jìn)行集中上線測(cè)試；壓力測(cè)試，高峰時(shí)期用戶在線人數(shù)123人。

于2017年01月正式投入使用，至今未發(fā)生任何故障，整體運(yùn)行情況良好，系統(tǒng)穩(wěn)定可靠。