谷立成，趙滿勝

（海河水利委員會水利信息網(wǎng)絡(luò)中心，天津 300170）

1 背景與現(xiàn)狀

海委機(jī)關(guān)有線局域網(wǎng)始建于1997 年，目前已覆蓋了全部辦公區(qū)域，為海委的信息化工作提供了強(qiáng)有力的支撐。隨著無線網(wǎng)絡(luò)技術(shù)的發(fā)展和移動設(shè)備的普及，海委對無線網(wǎng)絡(luò)的辦公需求與日俱增。但海委并未系統(tǒng)化地建設(shè)用于辦公的無線網(wǎng)絡(luò)局域網(wǎng)，大量職工在辦公臺式機(jī)私接移動WiFi 小工具，分享出熱點(diǎn)給手機(jī)、筆記本電腦等移動設(shè)備使用。私接WiFi 存在大量弱口令、無口令、訪問權(quán)限混亂等問題，給海委的網(wǎng)絡(luò)安全工作帶來了巨大的挑戰(zhàn)，給網(wǎng)絡(luò)安全事件的溯源增加了困難，加大了網(wǎng)絡(luò)安全管理部門的管理難度。

2018 年海委防汛調(diào)度樓進(jìn)行修繕，海珠賓館作為臨時辦公地點(diǎn)，要求短時間內(nèi)具備網(wǎng)絡(luò)覆蓋的辦公環(huán)境，海委信息中心承擔(dān)此次網(wǎng)絡(luò)建設(shè)工作。通過綜合考慮施工時間、施工難度、資金投入、投資保護(hù)等因素，信息中心決定使用無線網(wǎng)絡(luò)，為海珠賓館提供臨時辦公環(huán)境。利用這一時機(jī)，考慮到海委機(jī)關(guān)長期以來對無線網(wǎng)絡(luò)的需求，結(jié)合本次建設(shè)，信息中心對海委無線網(wǎng)絡(luò)進(jìn)行了整體的規(guī)劃設(shè)計(jì)，同時籌措資金完成了海委無線網(wǎng)絡(luò)整體建設(shè)。

2 需求分析

本次建設(shè)要求無線網(wǎng)絡(luò)對海委機(jī)關(guān)辦公區(qū)無死角全覆蓋，著重考慮安全與認(rèn)證，同時兼顧技術(shù)先進(jìn)性、投資保護(hù)、易擴(kuò)展、易維護(hù)。

2.1 覆蓋分析

海委機(jī)關(guān)辦公區(qū)對無線網(wǎng)絡(luò)覆蓋存在著多樣性需求，這包括：建筑多樣性，需要覆蓋6幢辦公樓，建設(shè)年代、建設(shè)標(biāo)準(zhǔn)、開間方式均對無線信號的覆蓋效果有不同影響；空間多樣性，標(biāo)準(zhǔn)辦公間、會議室、食堂、球館、樓梯樓道、露天場地等對承載人數(shù)有不同需求。

普通辦公室無線終端連接數(shù)量需求不多，每間辦公室在10 個左右；會議室需求較大，一般一次會議會有數(shù)十人參加，而運(yùn)用日益頻繁的視頻會議也對會議室無線網(wǎng)絡(luò)的終端數(shù)量和網(wǎng)絡(luò)穩(wěn)定性提出了較高的要求；食堂需要提供約200 臺終端同時在線的承載量；樓宇間的室外區(qū)域承載量需求不大，但要保證經(jīng)常路過的地方信號較好；球館的無線需求跟會議室類似。

在正常使用時，保證大部分區(qū)域信號強(qiáng)度不低于-70 dBm。無線設(shè)備放裝應(yīng)保證美觀，沒有過多裸露的線纜，要與周圍環(huán)境風(fēng)格互相協(xié)調(diào)。同時，應(yīng)保證無線設(shè)備的物理安全，以防被盜竊或被黑客用于物理攻擊。

2.2 安全與認(rèn)證分析

無線網(wǎng)絡(luò)的設(shè)計(jì)需考慮網(wǎng)絡(luò)安全等級保護(hù)2.0的相關(guān)要求，對無線終端接入進(jìn)行身份驗(yàn)證，保證無線網(wǎng)絡(luò)不成為整個局域網(wǎng)安全的短板。目前，主流的認(rèn)證方式有短信驗(yàn)證、微信驗(yàn)證、用戶名+密碼認(rèn)證、設(shè)備物理地址（MAC）綁定等，在不同的場景有不同的使用方式與之適應(yīng)。

在機(jī)場、車站、商場、醫(yī)院等公共場所，針對不特定用戶不特定終端，其通常需要便捷易用的實(shí)名認(rèn)證，所以多采用手機(jī)短信或微信的認(rèn)證方式，這也是公安部門認(rèn)可的實(shí)名制認(rèn)證方式。但該方式并不適合機(jī)關(guān)辦公的應(yīng)用場景，原因一是短信發(fā)送需要獨(dú)立的短信發(fā)送網(wǎng)關(guān)（短信貓），這會增加建設(shè)成本和運(yùn)行成本；二是無法避免利用他人手機(jī)號登陸；三是無線信號覆蓋會蔓延到辦公區(qū)外，海委機(jī)關(guān)毗鄰社會公共區(qū)域，對使用手機(jī)驗(yàn)證或微信驗(yàn)證的用戶，無法保證是海委職工，對于非海委用戶不可控。

家庭無線網(wǎng)絡(luò)使用場景中，通常使用統(tǒng)一的用戶名密碼的方式。這種方式連接步驟較少，方便快捷，但不適用于辦公無線網(wǎng)絡(luò)。其安全性低，無法追蹤到使用人，更無法進(jìn)行網(wǎng)絡(luò)安全事件溯源，增加網(wǎng)絡(luò)管理難度。

海委的無線網(wǎng)絡(luò)主要提供給海委職工，用于日常辦公及水利業(yè)務(wù)的移動訪問，同時可以訪問互聯(lián)網(wǎng)。此外，對來海委辦事的臨時訪客，提供臨時無線網(wǎng)絡(luò)環(huán)境，訪問業(yè)務(wù)互聯(lián)網(wǎng)。上述無線接入和訪問，均需要實(shí)名認(rèn)證，訪問人員、時間、設(shè)備均需要做到可追溯，可倒查，可審計(jì)。

綜上，海委的無線認(rèn)證需要區(qū)分2種用戶，一種是正式長期辦公人員，另一種是臨時訪客。正式人員賬戶需記錄設(shè)備的基本信息，能夠根據(jù)后臺記錄查詢到某個IP 在某一時段是誰在使用，首次登陸后可以無感知連接，用戶不能有相同的密碼。臨時訪客權(quán)限需要設(shè)置有效期，需要能確定到人，若不能保證實(shí)名制，則要確定一個正式人員，由正式人員審批入網(wǎng)，以便溯源。

2種用戶的認(rèn)證流程，如圖1—2所示。

圖1 HWCC認(rèn)證流程

圖2 HWCC-Guest認(rèn)證流程

2.3 其他分析

無線設(shè)備應(yīng)選用國內(nèi)主流品牌，以保障設(shè)備質(zhì)量。無線網(wǎng)絡(luò)建設(shè)需保證技術(shù)先進(jìn)性，能夠支持較長的系統(tǒng)生命周期，這也是保護(hù)投資的有效手段。

無線網(wǎng)絡(luò)建設(shè)需充分考慮其擴(kuò)展性，當(dāng)辦公區(qū)域結(jié)構(gòu)、功能發(fā)生變化時，無線設(shè)備應(yīng)具備增加、減少、位移、更換的條件，無線相關(guān)的網(wǎng)絡(luò)設(shè)備要保留足夠的備用接口。

無線網(wǎng)絡(luò)需易于維護(hù)。無線的變更會隨著辦公區(qū)功能的變更而更改，故設(shè)計(jì)和建設(shè)時不能太死板，不能在日后運(yùn)維過程中一成不變，也不能花費(fèi)運(yùn)維人員過多的時間和精力，需要操作簡便、易于排查問題和更換一些設(shè)備。

無線網(wǎng)絡(luò)的建設(shè)還應(yīng)考慮與現(xiàn)有有線網(wǎng)絡(luò)設(shè)備的兼容性，充分利用已有網(wǎng)絡(luò)環(huán)境和已有網(wǎng)絡(luò)設(shè)備，貼近已有網(wǎng)管系統(tǒng)，最大限度減少投資。

3 方案實(shí)施

根據(jù)前期的需求分析，海委無線網(wǎng)絡(luò)的建設(shè)著重圍繞2 個部分而展開，一個是辦公區(qū)無死角全覆蓋的網(wǎng)絡(luò)建設(shè)，另一個是可靠安全的認(rèn)證體系建設(shè)。此外，還要兼顧無線用戶在使用中的安全管控。

3.1 無線信號覆蓋

無線信號的覆蓋強(qiáng)度，將直接影響無線網(wǎng)絡(luò)的使用效果。辦公區(qū)內(nèi)的6 幢建筑樓體建設(shè)年代不盡相同，建設(shè)標(biāo)準(zhǔn)、建筑結(jié)構(gòu)也存在較大差異，這些差異將影響無線信號的傳播距離及衰減強(qiáng)度。無線網(wǎng)絡(luò)建設(shè)前需要進(jìn)行實(shí)地工勘，以無線信號不低于-70 dBm 的標(biāo)準(zhǔn)，確定無線AP 的選型、安裝密度和安裝位置，還需要根據(jù)覆蓋功能區(qū)的不同，對無線AP的承載能力進(jìn)行區(qū)別選型。

此次AP選型，根據(jù)放裝位置的不同分別選擇了樓道放裝、室內(nèi)放裝以及室外放裝3種類型；根據(jù)承載能力的區(qū)別，選擇了高密度和低密度2種類型。

（1）樓道放裝。AP放裝分布在各建筑的公共區(qū)域，如樓道、樓梯等位置，為此次無線網(wǎng)絡(luò)建設(shè)的主要AP 類型。此種AP 施工簡單，對樓內(nèi)辦公人員影響最小，可滿足大部分辦公室內(nèi)對無線網(wǎng)絡(luò)的需求。

（2）室內(nèi)放裝。由于各建筑結(jié)構(gòu)不同，在部分建筑樓層內(nèi)，僅靠樓道內(nèi)放裝AP 無法滿足網(wǎng)絡(luò)需求，辦公室內(nèi)信號低于-70 dBm。對于這種情況，選擇室內(nèi)放裝AP 或支持X 分天線的樓道放裝AP，利用已有有線網(wǎng)絡(luò)或X分天線，將AP信號直接延伸覆蓋到辦公室內(nèi)，為該辦公室內(nèi)人員提供無線網(wǎng)絡(luò)。這種方式，是作為樓道放裝AP的補(bǔ)充和完善。

（3）室外放裝。在機(jī)關(guān)大院不同樓宇之間的室外區(qū)域，通過室外放裝AP 來實(shí)現(xiàn)無線信號全覆蓋、無死角、平滑漫游的功能。室外放裝型AP支持部署在室外，本身具備防水、防塵功能，在安裝時需考慮AP朝向及鎧裝屏蔽雙絞線防雷擊等問題。

此外，針對會議室、食堂、球館等人群聚集的場地空間，選擇高承載力的高密度AP，提供網(wǎng)絡(luò)使用。每個高密度AP可承載不少于100個終端同時連接。

3.2 認(rèn)證方式

根據(jù)認(rèn)證方式的需求分析，海委的無線網(wǎng)絡(luò)認(rèn)證最終選擇如下認(rèn)證方式。

首先，將海委無線網(wǎng)絡(luò)分為2 個服務(wù)集標(biāo)識（SSID），一個是“HWCC”，另一個是“HWCC-Guest”。

“HWCC”供海委機(jī)關(guān)正式職工、委屬公司員工、掛職交流人員、公司長期聘用人員使用，可訪問部分指定的局域網(wǎng)業(yè)務(wù)（如綜合辦公系統(tǒng)等），也可訪問互聯(lián)網(wǎng)，賬號長期有效。申請“HWCC”無線網(wǎng)賬號時，需填寫《海委無線業(yè)務(wù)申請單》，根據(jù)《海委網(wǎng)絡(luò)安全管理辦法（試行）》相關(guān)要求，進(jìn)行實(shí)名綁定，登記每臺無線設(shè)備的MAC 地址。每個賬戶限制綁定的設(shè)備數(shù)。無線賬號只能登錄綁定在該賬號名下的無線設(shè)備，未綁定的無線設(shè)備無法登錄。已綁定在某賬號名下的無線設(shè)備，也無法使用他人賬號登錄。

“HWCC-Guest”用于臨時來委的訪客人員使用，只能訪問互聯(lián)網(wǎng)，不允許訪問局域網(wǎng)業(yè)務(wù)系統(tǒng)，賬號有效期24 h。在登錄界面需要填寫個人信息并生成二維碼，由連入“HWCC”無線的被授權(quán)人員（已實(shí)名認(rèn)證）掃描二維碼審批才能接入網(wǎng)絡(luò)。

上述方式，有效地將人與設(shè)備進(jìn)行了綁定，避免用戶冒用、越權(quán)訪問等安全問題。同時，遵循了“誰使用誰負(fù)責(zé)、誰審批誰負(fù)責(zé)”的原則。

部分Portal認(rèn)證截圖，如圖3—5所示。

圖3 正式人員登陸界面

圖4 訪客注冊界面

圖5 生成二維碼的審批界面

3.3 安全管控

根據(jù)安全管理的要求，無線AP、無線用戶終端被分配到專用VLAN。通過配置訪問控制策略，只允許指定的IP 對管理后臺和無線設(shè)備進(jìn)行管理和維護(hù)，“HWCC”用戶只允許訪問指定的業(yè)務(wù)系統(tǒng)，“HWCC-Guest”用戶默認(rèn)只允許訪問互聯(lián)網(wǎng)、不允許訪問局域網(wǎng)內(nèi)業(yè)務(wù)系統(tǒng)，同時封禁445 等高危端口和RDP、SSH 等默認(rèn)遠(yuǎn)程端口。在行為管理設(shè)備上，對不同用戶進(jìn)行不同的行為管理策略，包括部分軟件的禁用、網(wǎng)速限制等。這樣，在網(wǎng)絡(luò)安全設(shè)備上能夠方便地對無線用戶進(jìn)行訪問控制，也方便識別和管控?zé)o線用戶的各類網(wǎng)絡(luò)行為。

4 維護(hù)與管理

無線網(wǎng)絡(luò)要想好用，需要加強(qiáng)無線網(wǎng)絡(luò)的日常運(yùn)行維護(hù)。海委信息中心指定專人進(jìn)行無線網(wǎng)絡(luò)的管理和維護(hù)。管理人員定期登錄無線管理后臺，對無線AC、無線AP、PoE 交換機(jī)等無線網(wǎng)絡(luò)相關(guān)設(shè)備進(jìn)行巡檢，檢查無線AP在線情況、終端連接情況、交換機(jī)CPU 占用和內(nèi)存占用等性能參數(shù)情況，保證及時發(fā)現(xiàn)異常，保障無線網(wǎng)絡(luò)整體健康度。終端維護(hù)人員進(jìn)行無線終端的統(tǒng)計(jì)，對用戶提交的《海委無線業(yè)務(wù)申請單》進(jìn)行統(tǒng)一整理，并登錄無線管理后臺進(jìn)行賬戶和設(shè)備的綁定，為用戶提供無線設(shè)備連接的問題答疑和疑難雜癥的解決。

5 結(jié)語

根據(jù)規(guī)劃，海委機(jī)關(guān)的無線覆蓋于2019 年8 月建設(shè)完成。無線網(wǎng)絡(luò)對現(xiàn)有的有線網(wǎng)絡(luò)起到很好補(bǔ)充效果，對日益興盛的移動辦公起到了很好的推動作用，手機(jī)App大大促進(jìn)了辦公的便捷性和高效性。

無線網(wǎng)絡(luò)在網(wǎng)絡(luò)安全方面也存在一些潛在問題，需要一些完善和改進(jìn)：①職工的無線設(shè)備品牌型號越來越豐富，手機(jī)、平板電腦、智慧屏等設(shè)備自身的安全是網(wǎng)絡(luò)安全短板，目前沒有手段進(jìn)行統(tǒng)一管理；②由于硬件條件有限，目前無線網(wǎng)絡(luò)是混合建設(shè)在現(xiàn)有的有線網(wǎng)絡(luò)中，與有線網(wǎng)絡(luò)混用交換設(shè)備，在海委局域網(wǎng)中只使用劃分VLAN 的方式進(jìn)行了邏輯隔離，無線網(wǎng)絡(luò)中的終端漏洞、網(wǎng)內(nèi)惡意攻擊有可能會影響到有線網(wǎng)絡(luò)，這也是網(wǎng)絡(luò)安全隱患之一。