中国国电集团公司小龙潭发电厂(简称“小龙潭发电厂”)是云南省能源建设的重点工程，位于云南南部开远市，现有装机容量6×100MW，在建2×300MW，2007年建成后总装机120万千瓦，是国电集团公司在云南的大型火力发电厂。

　　小龙潭发电厂的内网中部署了OA办公系统、MIS系统等;内网的用户规模较大，基础网络建设也较为完善。

　　连通、管理如何解决?

　　随着互联网的发展，小龙潭发电厂的信息化建设也需要与时俱进：怎样让出差在外的用户安全方便的接入内网处理业务，尤其是领导的公文审批、文件签发和决策等?如何解决P2P占用互联网带宽资源的问题?怎样解决病毒攻击、ARP欺骗、DOS攻击等安全威胁?这些都是摆在小龙谭发电厂面前的现实问题。

　　通过分析，小龙潭发电厂总结出了其亟待解决的2大问题：即“连通”和“管理”：

　　“连通”：

　　1. 为出差在外的移动用户构建安全的远程接入平台。

　　2. 该平台必须支持现有和未来可能出现的各种IT应用系统。

　　3. 平台的构建是为了方便用户使用，要求简单易用。

　　“管理”：

　　1. 优化带宽资源的使用，尤其是管理BT、电骡等P2P流量对带宽的占用。

　　2. 降低内网被病毒、ARP欺骗、DOS攻击侵犯的几率。

　　3. 员工网络访问行为的管理，提升工作效率，规避法律风险。

　　针对小龙潭发电厂信息化建设的最新着力点，深信服科技的SSL VPN和AC上网行为管理方案妥善的满足了其对“连通”和“管理”的需求。

　　SSL VPN实现“连通”

　　小龙谭发电厂以单臂模式部署了深信服M5400-S SSL VPN网关，并结合小龙潭现有AD域控服务器上的账户信息，让处于外网的领导等高权限用户采用USB-Key，其他用户采用“用户名/密码”和“硬件特征码”的识别方式，通过双因素认证保障安全。

　　“硬件特征码”验证技术将接入终端电脑的CPU、硬盘、主板等硬件信息与指定账户绑定，即使黑客得到了小龙谭发电厂的SSL VPN用户名/密码甚至是USB-key，由于无法窃取到硬件信息，都不能接入SSL VPN，全方位保障小龙潭发电厂办公网资源的安全性。

　　而通过M5400-S的“端点安全检查”检测功能，通过审核接入终端的操作系统补丁、杀毒软件、注册表和进程等安全参数，SSL VPN系统进一步保证了用户接入终端的安全性。用户登录SSL VPN后的访问行为则按照小龙谭发电厂的要求，在M5400-S中提供日志存储和图形化查询、审计等。当用户退出后，M5400-S会自动清除Cache、文件访问记录。

　　对于小龙谭发电厂中部分采用非Windows桌面系统、PDA、SmartPhone的用户，同样可以使用这套SSL VPN访问包括VOIP和视频会议等复杂内网应用。借助标准浏览器、免客户端的安装和配置，M5400-S降低了小龙潭发电厂的管理和维护工作量。

　　AC助小龙谭电厂实现“网络行为管理”

　　SSL VPN满足了电厂的“连通”需求，而SINFOR AC则实现了“管理”的需要：

　　BT、电骡、QQLive等P2P行为严重占用了带宽，小龙潭发电厂通过部署深信服M5400-AC，对部分部门的P2P行为实施了全面封堵;而因业务需要使用P2P的部门和用户，则通过AC的流量控制功能，为不同用户预留相应的带宽，既保障了核心应用，又充分利用了带宽。

　　小龙潭发电厂也启用了AC的准入规则(NAC)功能，内网中不安装杀毒软件或没有定时更新、使用不安全软件的用户都将被禁止访问Internet，修复了内网的安全隐患点;同时，M5400-AC通过封堵无关网站，过滤特定文件的下载，查杀网页、邮件潜藏的病毒，为小龙潭内网全方位抵御病毒。

　　在日志方面，M5400-AC的部署让小龙潭发电厂全面记录了用户访问的URL、向公网发布的言论、收发的Email等所有行为，海量存储日志、图形化查询和审计，满足了公安部82号令的要求，规避了电厂的法律风险;而小龙潭高层领导的网络访问行为关乎企业发展和决策，通过使用免监控Key(俗称“老板key”，插入此key的用户将不经过AC审计)，实现了更全面灵活的管控和审计。