谷立成,趙滿勝
(海河水利委員會水利信息網(wǎng)絡(luò)中心,天津 300170)
海委機(jī)關(guān)有線局域網(wǎng)始建于1997 年,目前已覆蓋了全部辦公區(qū)域,為海委的信息化工作提供了強(qiáng)有力的支撐。隨著無線網(wǎng)絡(luò)技術(shù)的發(fā)展和移動設(shè)備的普及,海委對無線網(wǎng)絡(luò)的辦公需求與日俱增。但海委并未系統(tǒng)化地建設(shè)用于辦公的無線網(wǎng)絡(luò)局域網(wǎng),大量職工在辦公臺式機(jī)私接移動WiFi 小工具,分享出熱點(diǎn)給手機(jī)、筆記本電腦等移動設(shè)備使用。私接WiFi 存在大量弱口令、無口令、訪問權(quán)限混亂等問題,給海委的網(wǎng)絡(luò)安全工作帶來了巨大的挑戰(zhàn),給網(wǎng)絡(luò)安全事件的溯源增加了困難,加大了網(wǎng)絡(luò)安全管理部門的管理難度。
2018 年海委防汛調(diào)度樓進(jìn)行修繕,海珠賓館作為臨時辦公地點(diǎn),要求短時間內(nèi)具備網(wǎng)絡(luò)覆蓋的辦公環(huán)境,海委信息中心承擔(dān)此次網(wǎng)絡(luò)建設(shè)工作。通過綜合考慮施工時間、施工難度、資金投入、投資保護(hù)等因素,信息中心決定使用無線網(wǎng)絡(luò),為海珠賓館提供臨時辦公環(huán)境。利用這一時機(jī),考慮到海委機(jī)關(guān)長期以來對無線網(wǎng)絡(luò)的需求,結(jié)合本次建設(shè),信息中心對海委無線網(wǎng)絡(luò)進(jìn)行了整體的規(guī)劃設(shè)計(jì),同時籌措資金完成了海委無線網(wǎng)絡(luò)整體建設(shè)。
本次建設(shè)要求無線網(wǎng)絡(luò)對海委機(jī)關(guān)辦公區(qū)無死角全覆蓋,著重考慮安全與認(rèn)證,同時兼顧技術(shù)先進(jìn)性、投資保護(hù)、易擴(kuò)展、易維護(hù)。
海委機(jī)關(guān)辦公區(qū)對無線網(wǎng)絡(luò)覆蓋存在著多樣性需求,這包括:建筑多樣性,需要覆蓋6幢辦公樓,建設(shè)年代、建設(shè)標(biāo)準(zhǔn)、開間方式均對無線信號的覆蓋效果有不同影響;空間多樣性,標(biāo)準(zhǔn)辦公間、會議室、食堂、球館、樓梯樓道、露天場地等對承載人數(shù)有不同需求。
普通辦公室無線終端連接數(shù)量需求不多,每間辦公室在10 個左右;會議室需求較大,一般一次會議會有數(shù)十人參加,而運(yùn)用日益頻繁的視頻會議也對會議室無線網(wǎng)絡(luò)的終端數(shù)量和網(wǎng)絡(luò)穩(wěn)定性提出了較高的要求;食堂需要提供約200 臺終端同時在線的承載量;樓宇間的室外區(qū)域承載量需求不大,但要保證經(jīng)常路過的地方信號較好;球館的無線需求跟會議室類似。
在正常使用時,保證大部分區(qū)域信號強(qiáng)度不低于-70 dBm。無線設(shè)備放裝應(yīng)保證美觀,沒有過多裸露的線纜,要與周圍環(huán)境風(fēng)格互相協(xié)調(diào)。同時,應(yīng)保證無線設(shè)備的物理安全,以防被盜竊或被黑客用于物理攻擊。
無線網(wǎng)絡(luò)的設(shè)計(jì)需考慮網(wǎng)絡(luò)安全等級保護(hù)2.0的相關(guān)要求,對無線終端接入進(jìn)行身份驗(yàn)證,保證無線網(wǎng)絡(luò)不成為整個局域網(wǎng)安全的短板。目前,主流的認(rèn)證方式有短信驗(yàn)證、微信驗(yàn)證、用戶名+密碼認(rèn)證、設(shè)備物理地址(MAC)綁定等,在不同的場景有不同的使用方式與之適應(yīng)。
在機(jī)場、車站、商場、醫(yī)院等公共場所,針對不特定用戶不特定終端,其通常需要便捷易用的實(shí)名認(rèn)證,所以多采用手機(jī)短信或微信的認(rèn)證方式,這也是公安部門認(rèn)可的實(shí)名制認(rèn)證方式。但該方式并不適合機(jī)關(guān)辦公的應(yīng)用場景,原因一是短信發(fā)送需要獨(dú)立的短信發(fā)送網(wǎng)關(guān)(短信貓),這會增加建設(shè)成本和運(yùn)行成本;二是無法避免利用他人手機(jī)號登陸;三是無線信號覆蓋會蔓延到辦公區(qū)外,海委機(jī)關(guān)毗鄰社會公共區(qū)域,對使用手機(jī)驗(yàn)證或微信驗(yàn)證的用戶,無法保證是海委職工,對于非海委用戶不可控。
家庭無線網(wǎng)絡(luò)使用場景中,通常使用統(tǒng)一的用戶名密碼的方式。這種方式連接步驟較少,方便快捷,但不適用于辦公無線網(wǎng)絡(luò)。其安全性低,無法追蹤到使用人,更無法進(jìn)行網(wǎng)絡(luò)安全事件溯源,增加網(wǎng)絡(luò)管理難度。
海委的無線網(wǎng)絡(luò)主要提供給海委職工,用于日常辦公及水利業(yè)務(wù)的移動訪問,同時可以訪問互聯(lián)網(wǎng)。此外,對來海委辦事的臨時訪客,提供臨時無線網(wǎng)絡(luò)環(huán)境,訪問業(yè)務(wù)互聯(lián)網(wǎng)。上述無線接入和訪問,均需要實(shí)名認(rèn)證,訪問人員、時間、設(shè)備均需要做到可追溯,可倒查,可審計(jì)。
綜上,海委的無線認(rèn)證需要區(qū)分2種用戶,一種是正式長期辦公人員,另一種是臨時訪客。正式人員賬戶需記錄設(shè)備的基本信息,能夠根據(jù)后臺記錄查詢到某個IP 在某一時段是誰在使用,首次登陸后可以無感知連接,用戶不能有相同的密碼。臨時訪客權(quán)限需要設(shè)置有效期,需要能確定到人,若不能保證實(shí)名制,則要確定一個正式人員,由正式人員審批入網(wǎng),以便溯源。
2種用戶的認(rèn)證流程,如圖1—2所示。
圖1 HWCC認(rèn)證流程
圖2 HWCC-Guest認(rèn)證流程
無線設(shè)備應(yīng)選用國內(nèi)主流品牌,以保障設(shè)備質(zhì)量。無線網(wǎng)絡(luò)建設(shè)需保證技術(shù)先進(jìn)性,能夠支持較長的系統(tǒng)生命周期,這也是保護(hù)投資的有效手段。
無線網(wǎng)絡(luò)建設(shè)需充分考慮其擴(kuò)展性,當(dāng)辦公區(qū)域結(jié)構(gòu)、功能發(fā)生變化時,無線設(shè)備應(yīng)具備增加、減少、位移、更換的條件,無線相關(guān)的網(wǎng)絡(luò)設(shè)備要保留足夠的備用接口。
無線網(wǎng)絡(luò)需易于維護(hù)。無線的變更會隨著辦公區(qū)功能的變更而更改,故設(shè)計(jì)和建設(shè)時不能太死板,不能在日后運(yùn)維過程中一成不變,也不能花費(fèi)運(yùn)維人員過多的時間和精力,需要操作簡便、易于排查問題和更換一些設(shè)備。
無線網(wǎng)絡(luò)的建設(shè)還應(yīng)考慮與現(xiàn)有有線網(wǎng)絡(luò)設(shè)備的兼容性,充分利用已有網(wǎng)絡(luò)環(huán)境和已有網(wǎng)絡(luò)設(shè)備,貼近已有網(wǎng)管系統(tǒng),最大限度減少投資。
根據(jù)前期的需求分析,海委無線網(wǎng)絡(luò)的建設(shè)著重圍繞2 個部分而展開,一個是辦公區(qū)無死角全覆蓋的網(wǎng)絡(luò)建設(shè),另一個是可靠安全的認(rèn)證體系建設(shè)。此外,還要兼顧無線用戶在使用中的安全管控。
無線信號的覆蓋強(qiáng)度,將直接影響無線網(wǎng)絡(luò)的使用效果。辦公區(qū)內(nèi)的6 幢建筑樓體建設(shè)年代不盡相同,建設(shè)標(biāo)準(zhǔn)、建筑結(jié)構(gòu)也存在較大差異,這些差異將影響無線信號的傳播距離及衰減強(qiáng)度。無線網(wǎng)絡(luò)建設(shè)前需要進(jìn)行實(shí)地工勘,以無線信號不低于-70 dBm 的標(biāo)準(zhǔn),確定無線AP 的選型、安裝密度和安裝位置,還需要根據(jù)覆蓋功能區(qū)的不同,對無線AP的承載能力進(jìn)行區(qū)別選型。
此次AP選型,根據(jù)放裝位置的不同分別選擇了樓道放裝、室內(nèi)放裝以及室外放裝3種類型;根據(jù)承載能力的區(qū)別,選擇了高密度和低密度2種類型。
(1)樓道放裝。AP放裝分布在各建筑的公共區(qū)域,如樓道、樓梯等位置,為此次無線網(wǎng)絡(luò)建設(shè)的主要AP 類型。此種AP 施工簡單,對樓內(nèi)辦公人員影響最小,可滿足大部分辦公室內(nèi)對無線網(wǎng)絡(luò)的需求。
(2)室內(nèi)放裝。由于各建筑結(jié)構(gòu)不同,在部分建筑樓層內(nèi),僅靠樓道內(nèi)放裝AP 無法滿足網(wǎng)絡(luò)需求,辦公室內(nèi)信號低于-70 dBm。對于這種情況,選擇室內(nèi)放裝AP 或支持X 分天線的樓道放裝AP,利用已有有線網(wǎng)絡(luò)或X分天線,將AP信號直接延伸覆蓋到辦公室內(nèi),為該辦公室內(nèi)人員提供無線網(wǎng)絡(luò)。這種方式,是作為樓道放裝AP的補(bǔ)充和完善。
(3)室外放裝。在機(jī)關(guān)大院不同樓宇之間的室外區(qū)域,通過室外放裝AP 來實(shí)現(xiàn)無線信號全覆蓋、無死角、平滑漫游的功能。室外放裝型AP支持部署在室外,本身具備防水、防塵功能,在安裝時需考慮AP朝向及鎧裝屏蔽雙絞線防雷擊等問題。
此外,針對會議室、食堂、球館等人群聚集的場地空間,選擇高承載力的高密度AP,提供網(wǎng)絡(luò)使用。每個高密度AP可承載不少于100個終端同時連接。
根據(jù)認(rèn)證方式的需求分析,海委的無線網(wǎng)絡(luò)認(rèn)證最終選擇如下認(rèn)證方式。
首先,將海委無線網(wǎng)絡(luò)分為2 個服務(wù)集標(biāo)識(SSID),一個是“HWCC”,另一個是“HWCC-Guest”。
“HWCC”供海委機(jī)關(guān)正式職工、委屬公司員工、掛職交流人員、公司長期聘用人員使用,可訪問部分指定的局域網(wǎng)業(yè)務(wù)(如綜合辦公系統(tǒng)等),也可訪問互聯(lián)網(wǎng),賬號長期有效。申請“HWCC”無線網(wǎng)賬號時,需填寫《海委無線業(yè)務(wù)申請單》,根據(jù)《海委網(wǎng)絡(luò)安全管理辦法(試行)》相關(guān)要求,進(jìn)行實(shí)名綁定,登記每臺無線設(shè)備的MAC 地址。每個賬戶限制綁定的設(shè)備數(shù)。無線賬號只能登錄綁定在該賬號名下的無線設(shè)備,未綁定的無線設(shè)備無法登錄。已綁定在某賬號名下的無線設(shè)備,也無法使用他人賬號登錄。
“HWCC-Guest”用于臨時來委的訪客人員使用,只能訪問互聯(lián)網(wǎng),不允許訪問局域網(wǎng)業(yè)務(wù)系統(tǒng),賬號有效期24 h。在登錄界面需要填寫個人信息并生成二維碼,由連入“HWCC”無線的被授權(quán)人員(已實(shí)名認(rèn)證)掃描二維碼審批才能接入網(wǎng)絡(luò)。
上述方式,有效地將人與設(shè)備進(jìn)行了綁定,避免用戶冒用、越權(quán)訪問等安全問題。同時,遵循了“誰使用誰負(fù)責(zé)、誰審批誰負(fù)責(zé)”的原則。
部分Portal認(rèn)證截圖,如圖3—5所示。
圖3 正式人員登陸界面
圖4 訪客注冊界面
圖5 生成二維碼的審批界面
根據(jù)安全管理的要求,無線AP、無線用戶終端被分配到專用VLAN。通過配置訪問控制策略,只允許指定的IP 對管理后臺和無線設(shè)備進(jìn)行管理和維護(hù),“HWCC”用戶只允許訪問指定的業(yè)務(wù)系統(tǒng),“HWCC-Guest”用戶默認(rèn)只允許訪問互聯(lián)網(wǎng)、不允許訪問局域網(wǎng)內(nèi)業(yè)務(wù)系統(tǒng),同時封禁445 等高危端口和RDP、SSH 等默認(rèn)遠(yuǎn)程端口。在行為管理設(shè)備上,對不同用戶進(jìn)行不同的行為管理策略,包括部分軟件的禁用、網(wǎng)速限制等。這樣,在網(wǎng)絡(luò)安全設(shè)備上能夠方便地對無線用戶進(jìn)行訪問控制,也方便識別和管控?zé)o線用戶的各類網(wǎng)絡(luò)行為。
無線網(wǎng)絡(luò)要想好用,需要加強(qiáng)無線網(wǎng)絡(luò)的日常運(yùn)行維護(hù)。海委信息中心指定專人進(jìn)行無線網(wǎng)絡(luò)的管理和維護(hù)。管理人員定期登錄無線管理后臺,對無線AC、無線AP、PoE 交換機(jī)等無線網(wǎng)絡(luò)相關(guān)設(shè)備進(jìn)行巡檢,檢查無線AP在線情況、終端連接情況、交換機(jī)CPU 占用和內(nèi)存占用等性能參數(shù)情況,保證及時發(fā)現(xiàn)異常,保障無線網(wǎng)絡(luò)整體健康度。終端維護(hù)人員進(jìn)行無線終端的統(tǒng)計(jì),對用戶提交的《海委無線業(yè)務(wù)申請單》進(jìn)行統(tǒng)一整理,并登錄無線管理后臺進(jìn)行賬戶和設(shè)備的綁定,為用戶提供無線設(shè)備連接的問題答疑和疑難雜癥的解決。
根據(jù)規(guī)劃,海委機(jī)關(guān)的無線覆蓋于2019 年8 月建設(shè)完成。無線網(wǎng)絡(luò)對現(xiàn)有的有線網(wǎng)絡(luò)起到很好補(bǔ)充效果,對日益興盛的移動辦公起到了很好的推動作用,手機(jī)App大大促進(jìn)了辦公的便捷性和高效性。
無線網(wǎng)絡(luò)在網(wǎng)絡(luò)安全方面也存在一些潛在問題,需要一些完善和改進(jìn):①職工的無線設(shè)備品牌型號越來越豐富,手機(jī)、平板電腦、智慧屏等設(shè)備自身的安全是網(wǎng)絡(luò)安全短板,目前沒有手段進(jìn)行統(tǒng)一管理;②由于硬件條件有限,目前無線網(wǎng)絡(luò)是混合建設(shè)在現(xiàn)有的有線網(wǎng)絡(luò)中,與有線網(wǎng)絡(luò)混用交換設(shè)備,在海委局域網(wǎng)中只使用劃分VLAN 的方式進(jìn)行了邏輯隔離,無線網(wǎng)絡(luò)中的終端漏洞、網(wǎng)內(nèi)惡意攻擊有可能會影響到有線網(wǎng)絡(luò),這也是網(wǎng)絡(luò)安全隱患之一。