華為準控系統在潘家口電廠信息內網中的應用

李赫明，孟德霞

（國網新源控股有限公司潘家口蓄能電廠，河北 唐山064309）

0 引言

潘家口電廠通過部署網絡準入系統，落實電廠安全防護要求，避免信息內網終端出現違規事件，實現對于接入信息內網的終端進行賬戶弱口令審核、桌面終端保密檢測程序安裝審核，防病毒軟件安裝審核，禁止使用多網卡，禁止通過3G/4G網卡、無線路由等不受控第三方出口訪問互聯網，禁止修改MAC/IP地址，禁止非授權終端接入公司信息內網等安全防護，實現信息內網終端集中、統一管理，通過一個平臺完成終端在線監控、合規檢測、策略下發及安全防護，以提高潘家口電廠整體的安全防護能力。

1 前期設計

1.1 設計原則

1.1.1 遵從國家相關法律法規

管理系統需以安全法規為基礎，遵從國家相關安全政策，創建全面、動態、安全的策略。

1.1.2 遵從電廠信息安全要求

管理系統建設須以電廠信息安全要求對終端安全管控的實現為指導方向，建立完整的桌面終端防護體系和管理體系。

1.1.3 適應電廠信息安全現狀

管理系統需以電廠安全現狀為基礎，充分考慮電廠存在的信息安全風險，完善電廠IT內控管理。

1.1.4 管理方便、易于維護

依照目前電廠的管理機制和組織結構，保證系統架構明確、管理方便，節省維護成本。

1.1.5 安全可靠

管理系統需具有安全保障體系，通過先進的軟硬件技術手段，實現網絡的傳輸安全、數據安全、接口安全，從而確保網絡的安全和保密，同時系統本身需具有高可靠性和冗余設計。

1.2 功能構架

以網絡身份識別為基礎，以網絡準入控制技術為保障，強制進行終端安全管理，同時提供桌面管理維護功能，從而減低桌面維護工作量，輔助實現終端安全管理。此外通過分權分域和流程化策略模型，管理靈活方便，并通過可運營報表提供運營支撐，最終形成一體化、多層次、全方位的終端安全管理體系。

1.3 控制單元

控制單元主要部署CONTROLLER管理中心，承擔著總體指揮、整體協調的核心任務。實現終端接入控制和區域安全策略定制和管理。主要硬件部署包括服務器、硬件接入控制網關和終端。

1.4 網絡訪問權限管理

結合終端用戶的身份認證，通過基于用戶角色的網絡訪問權限管理，加強內網的網絡訪問控制，防止非法接入和非授權訪問，保證電廠內網的安全。分控單元節點所在單位需要根據業務和安全等級將現網的網絡資源劃分為不同的邏輯安全域，CONTROLLER系統根據終端用戶身份認證和安全檢查的結果開放不同安全域的訪問權限，實現對違規終端的隔離，保證電廠內網的整體安全性。根據業務相關性和最小授權原則，基于終端用戶的角色進行細粒度的網絡訪問權限控制。管理員可根據業務或安全等級，將業務服務器劃分為不同的認證后域，然后將認證后域授權給相應的部門的員工。只有授權的用戶經過身份認證和安全檢查后才能訪問相應的業務資源，沒有經過授權的員工將無法訪問。

2 實施步驟

潘家口電廠內網拓撲圖如圖1：

圖1 潘家口電廠網絡拓撲圖

潘家口電廠信息內網主要分為核心網絡區域，辦公網絡區域，以及生產網絡區域。

采用SACG接入網關控制方式，將SACG接入網關直掛于三層核心交換機H3C LS7506E于防火墻之間，將來自PC的上行流量重定向到SACG設備之上，通過SACG設備過濾之后，再次回到交換機上執行正常的數據流量轉發，對于未正常通過認證的用戶則直接進行阻攔。

實施步驟如下：

（1）網絡物理連接

（2）IP 地址分配

（3）配置與準入控制服務器聯動

選擇“網絡＞ TSM聯動＞基本配置”。

在“配置TSM基本參數”界面中，選中“TSM聯動”后面的“啟用”復選框。

配置接口基本參數。

選擇“網絡＞接口”。

配置安全策略。

選擇“策略＞安全策略”。

配置防火墻與AC-Campus聯動。添加2個SC的IP地址、端口和共享密鑰。

選擇“網絡＞TSM聯動＞基本配置”。

配置使用Web方式認證的地址。

選擇“網絡＞TSM聯動＞基本配置”。

業務優先原則，啟用逃生通道，當2個SC均無法連接時直接對終端用戶放行。

選擇“網絡＞TSM聯動＞基本配置”。

在Untrust到Trust域間應用SACG聯動策略。

選擇“網絡＞TSM聯動＞聯動策略”。

（4）配置防火墻接口

連接受控域接口

編號：GigabitEthernet 1/0/2

端口：二層模式

安全區域：trust區域

編號：GigabitEthernet 1/03

端口：二層模式

安全區域：trust區域

編號：vlan500

端口：二層模式

安全區域：trust區域

IP地址：10.XX.XXX.XXX

（5）配置準入控制服務器策略

選擇“網絡＞ TSM聯動＞基本配置”。

在“配置TSM基本參數”界面，選擇“TSM服務器列表”頁簽。

單擊，配置TSM服務器1各參數。

服務器IP：XX.XXX.XXX.XXX，端口：XXXX，共享密鑰：xxx_Security。

（6）配置防火墻策略

配置防火墻local到trust，local到untrust區域的數據允許通過。

3 應用情況

潘家口電廠網絡準入控制系統于2016年12月上線試運行，對網絡準入控制系統進行了安裝調試，并在各部門配合下進行使用培訓。試運行期間主要監測任務：監測服務器于防火墻聯動效果；根據用戶需求，針對個別IP地址進行免認證過濾；對所有用戶進行集中上線測試；壓力測試，高峰時期用戶在線人數123人。

于2017年01月正式投入使用，至今未發生任何故障，整體運行情況良好，系統穩定可靠。