中国国电集团公司小龙潭发电厂(简称“小龙潭发电厂”)是云南省能源建设的重点工程,位于云南南部开远市,现有装机容量6×100MW,在建2×300MW,2007年建成后总装机120万千瓦,是国电集团公司在云南的大型火力发电厂。
小龙潭发电厂的内网中部署了OA办公系统、MIS系统等;内网的用户规模较大,基础网络建设也较为完善。
连通、管理如何解决?
随着互联网的发展,小龙潭发电厂的信息化建设也需要与时俱进:怎样让出差在外的用户安全方便的接入内网处理业务,尤其是领导的公文审批、文件签发和决策等?如何解决P2P占用互联网带宽资源的问题?怎样解决病毒攻击、ARP欺骗、DOS攻击等安全威胁?这些都是摆在小龙谭发电厂面前的现实问题。
通过分析,小龙潭发电厂总结出了其亟待解决的2大问题:即“连通”和“管理”:
“连通”:
1. 为出差在外的移动用户构建安全的远程接入平台。
2. 该平台必须支持现有和未来可能出现的各种IT应用系统。
3. 平台的构建是为了方便用户使用,要求简单易用。
“管理”:
1. 优化带宽资源的使用,尤其是管理BT、电骡等P2P流量对带宽的占用。
2. 降低内网被病毒、ARP欺骗、DOS攻击侵犯的几率。
3. 员工网络访问行为的管理,提升工作效率,规避法律风险。
针对小龙潭发电厂信息化建设的最新着力点,深信服科技的SSL VPN和AC上网行为管理方案妥善的满足了其对“连通”和“管理”的需求。
SSL VPN实现“连通”
小龙谭发电厂以单臂模式部署了深信服M5400-S SSL VPN网关,并结合小龙潭现有AD域控服务器上的账户信息,让处于外网的领导等高权限用户采用USB-Key,其他用户采用“用户名/密码”和“硬件特征码”的识别方式,通过双因素认证保障安全。
“硬件特征码”验证技术将接入终端电脑的CPU、硬盘、主板等硬件信息与指定账户绑定,即使黑客得到了小龙谭发电厂的SSL VPN用户名/密码甚至是USB-key,由于无法窃取到硬件信息,都不能接入SSL VPN,全方位保障小龙潭发电厂办公网资源的安全性。
而通过M5400-S的“端点安全检查”检测功能,通过审核接入终端的操作系统补丁、杀毒软件、注册表和进程等安全参数,SSL VPN系统进一步保证了用户接入终端的安全性。用户登录SSL VPN后的访问行为则按照小龙谭发电厂的要求,在M5400-S中提供日志存储和图形化查询、审计等。当用户退出后,M5400-S会自动清除Cache、文件访问记录。
对于小龙谭发电厂中部分采用非Windows桌面系统、PDA、SmartPhone的用户,同样可以使用这套SSL VPN访问包括VOIP和视频会议等复杂内网应用。借助标准浏览器、免客户端的安装和配置,M5400-S降低了小龙潭发电厂的管理和维护工作量。
AC助小龙谭电厂实现“网络行为管理”
SSL VPN满足了电厂的“连通”需求,而SINFOR AC则实现了“管理”的需要:
BT、电骡、QQLive等P2P行为严重占用了带宽,小龙潭发电厂通过部署深信服M5400-AC,对部分部门的P2P行为实施了全面封堵;而因业务需要使用P2P的部门和用户,则通过AC的流量控制功能,为不同用户预留相应的带宽,既保障了核心应用,又充分利用了带宽。
小龙潭发电厂也启用了AC的准入规则(NAC)功能,内网中不安装杀毒软件或没有定时更新、使用不安全软件的用户都将被禁止访问Internet,修复了内网的安全隐患点;同时,M5400-AC通过封堵无关网站,过滤特定文件的下载,查杀网页、邮件潜藏的病毒,为小龙潭内网全方位抵御病毒。
在日志方面,M5400-AC的部署让小龙潭发电厂全面记录了用户访问的URL、向公网发布的言论、收发的Email等所有行为,海量存储日志、图形化查询和审计,满足了公安部82号令的要求,规避了电厂的法律风险;而小龙潭高层领导的网络访问行为关乎企业发展和决策,通过使用免监控Key(俗称“老板key”,插入此key的用户将不经过AC审计),实现了更全面灵活的管控和审计。
