李赫明，孟德霞

（國網(wǎng)新源控股有限公司潘家口蓄能電廠，河北 唐山064309）

0 引言

潘家口電廠通過部署網(wǎng)絡(luò)準入系統(tǒng)，落實電廠安全防護要求，避免信息內(nèi)網(wǎng)終端出現(xiàn)違規(guī)事件，實現(xiàn)對于接入信息內(nèi)網(wǎng)的終端進行賬戶弱口令審核、桌面終端保密檢測程序安裝審核，防病毒軟件安裝審核，禁止使用多網(wǎng)卡，禁止通過3G/4G網(wǎng)卡、無線路由等不受控第三方出口訪問互聯(lián)網(wǎng)，禁止修改MAC/IP地址，禁止非授權(quán)終端接入公司信息內(nèi)網(wǎng)等安全防護，實現(xiàn)信息內(nèi)網(wǎng)終端集中、統(tǒng)一管理，通過一個平臺完成終端在線監(jiān)控、合規(guī)檢測、策略下發(fā)及安全防護，以提高潘家口電廠整體的安全防護能力。

1 前期設(shè)計

1.1 設(shè)計原則

1.1.1 遵從國家相關(guān)法律法規(guī)

管理系統(tǒng)需以安全法規(guī)為基礎(chǔ)，遵從國家相關(guān)安全政策，創(chuàng)建全面、動態(tài)、安全的策略。

1.1.2 遵從電廠信息安全要求

管理系統(tǒng)建設(shè)須以電廠信息安全要求對終端安全管控的實現(xiàn)為指導(dǎo)方向，建立完整的桌面終端防護體系和管理體系。

1.1.3 適應(yīng)電廠信息安全現(xiàn)狀

管理系統(tǒng)需以電廠安全現(xiàn)狀為基礎(chǔ)，充分考慮電廠存在的信息安全風(fēng)險，完善電廠IT內(nèi)控管理。

1.1.4 管理方便、易于維護

依照目前電廠的管理機制和組織結(jié)構(gòu)，保證系統(tǒng)架構(gòu)明確、管理方便，節(jié)省維護成本。

1.1.5 安全可靠

管理系統(tǒng)需具有安全保障體系，通過先進的軟硬件技術(shù)手段，實現(xiàn)網(wǎng)絡(luò)的傳輸安全、數(shù)據(jù)安全、接口安全，從而確保網(wǎng)絡(luò)的安全和保密，同時系統(tǒng)本身需具有高可靠性和冗余設(shè)計。

1.2 功能構(gòu)架

以網(wǎng)絡(luò)身份識別為基礎(chǔ)，以網(wǎng)絡(luò)準入控制技術(shù)為保障，強制進行終端安全管理，同時提供桌面管理維護功能，從而減低桌面維護工作量，輔助實現(xiàn)終端安全管理。此外通過分權(quán)分域和流程化策略模型，管理靈活方便，并通過可運營報表提供運營支撐，最終形成一體化、多層次、全方位的終端安全管理體系。

1.3 控制單元

控制單元主要部署CONTROLLER管理中心，承擔(dān)著總體指揮、整體協(xié)調(diào)的核心任務(wù)。實現(xiàn)終端接入控制和區(qū)域安全策略定制和管理。主要硬件部署包括服務(wù)器、硬件接入控制網(wǎng)關(guān)和終端。

1.4 網(wǎng)絡(luò)訪問權(quán)限管理

結(jié)合終端用戶的身份認證，通過基于用戶角色的網(wǎng)絡(luò)訪問權(quán)限管理，加強內(nèi)網(wǎng)的網(wǎng)絡(luò)訪問控制，防止非法接入和非授權(quán)訪問，保證電廠內(nèi)網(wǎng)的安全。分控單元節(jié)點所在單位需要根據(jù)業(yè)務(wù)和安全等級將現(xiàn)網(wǎng)的網(wǎng)絡(luò)資源劃分為不同的邏輯安全域，CONTROLLER系統(tǒng)根據(jù)終端用戶身份認證和安全檢查的結(jié)果開放不同安全域的訪問權(quán)限，實現(xiàn)對違規(guī)終端的隔離，保證電廠內(nèi)網(wǎng)的整體安全性。根據(jù)業(yè)務(wù)相關(guān)性和最小授權(quán)原則，基于終端用戶的角色進行細粒度的網(wǎng)絡(luò)訪問權(quán)限控制。管理員可根據(jù)業(yè)務(wù)或安全等級，將業(yè)務(wù)服務(wù)器劃分為不同的認證后域，然后將認證后域授權(quán)給相應(yīng)的部門的員工。只有授權(quán)的用戶經(jīng)過身份認證和安全檢查后才能訪問相應(yīng)的業(yè)務(wù)資源，沒有經(jīng)過授權(quán)的員工將無法訪問。

2 實施步驟

潘家口電廠內(nèi)網(wǎng)拓撲圖如圖1：

圖1 潘家口電廠網(wǎng)絡(luò)拓撲圖

潘家口電廠信息內(nèi)網(wǎng)主要分為核心網(wǎng)絡(luò)區(qū)域，辦公網(wǎng)絡(luò)區(qū)域，以及生產(chǎn)網(wǎng)絡(luò)區(qū)域。

采用SACG接入網(wǎng)關(guān)控制方式，將SACG接入網(wǎng)關(guān)直掛于三層核心交換機H3C LS7506E于防火墻之間，將來自PC的上行流量重定向到SACG設(shè)備之上，通過SACG設(shè)備過濾之后，再次回到交換機上執(zhí)行正常的數(shù)據(jù)流量轉(zhuǎn)發(fā)，對于未正常通過認證的用戶則直接進行阻攔。

實施步驟如下：

（1）網(wǎng)絡(luò)物理連接

（2）IP 地址分配

（3）配置與準入控制服務(wù)器聯(lián)動

選擇“網(wǎng)絡(luò)＞ TSM聯(lián)動＞基本配置”。

在“配置TSM基本參數(shù)”界面中，選中“TSM聯(lián)動”后面的“啟用”復(fù)選框。

配置接口基本參數(shù)。

選擇“網(wǎng)絡(luò)＞接口”。

配置安全策略。

選擇“策略＞安全策略”。

配置防火墻與AC-Campus聯(lián)動。添加2個SC的IP地址、端口和共享密鑰。

選擇“網(wǎng)絡(luò)＞TSM聯(lián)動＞基本配置”。

配置使用Web方式認證的地址。

選擇“網(wǎng)絡(luò)＞TSM聯(lián)動＞基本配置”。

業(yè)務(wù)優(yōu)先原則，啟用逃生通道，當(dāng)2個SC均無法連接時直接對終端用戶放行。

選擇“網(wǎng)絡(luò)＞TSM聯(lián)動＞基本配置”。

在Untrust到Trust域間應(yīng)用SACG聯(lián)動策略。

選擇“網(wǎng)絡(luò)＞TSM聯(lián)動＞聯(lián)動策略”。

（4）配置防火墻接口

連接受控域接口

編號：GigabitEthernet 1/0/2

端口：二層模式

安全區(qū)域：trust區(qū)域

編號：GigabitEthernet 1/03

端口：二層模式

安全區(qū)域：trust區(qū)域

編號：vlan500

端口：二層模式

安全區(qū)域：trust區(qū)域

IP地址：10.XX.XXX.XXX

（5）配置準入控制服務(wù)器策略

選擇“網(wǎng)絡(luò)＞ TSM聯(lián)動＞基本配置”。

在“配置TSM基本參數(shù)”界面，選擇“TSM服務(wù)器列表”頁簽。

單擊，配置TSM服務(wù)器1各參數(shù)。

服務(wù)器IP：XX.XXX.XXX.XXX，端口：XXXX，共享密鑰：xxx_Security。

（6）配置防火墻策略

配置防火墻local到trust，local到untrust區(qū)域的數(shù)據(jù)允許通過。

3 應(yīng)用情況

潘家口電廠網(wǎng)絡(luò)準入控制系統(tǒng)于2016年12月上線試運行，對網(wǎng)絡(luò)準入控制系統(tǒng)進行了安裝調(diào)試，并在各部門配合下進行使用培訓(xùn)。試運行期間主要監(jiān)測任務(wù)：監(jiān)測服務(wù)器于防火墻聯(lián)動效果；根據(jù)用戶需求，針對個別IP地址進行免認證過濾；對所有用戶進行集中上線測試；壓力測試，高峰時期用戶在線人數(shù)123人。

于2017年01月正式投入使用，至今未發(fā)生任何故障，整體運行情況良好，系統(tǒng)穩(wěn)定可靠。