無線網絡在海委機關建設中的應用

谷立成，趙滿勝

（海河水利委員會水利信息網絡中心，天津 300170）

1 背景與現狀

海委機關有線局域網始建于1997 年，目前已覆蓋了全部辦公區域，為海委的信息化工作提供了強有力的支撐。隨著無線網絡技術的發展和移動設備的普及，海委對無線網絡的辦公需求與日俱增。但海委并未系統化地建設用于辦公的無線網絡局域網，大量職工在辦公臺式機私接移動WiFi 小工具，分享出熱點給手機、筆記本電腦等移動設備使用。私接WiFi 存在大量弱口令、無口令、訪問權限混亂等問題，給海委的網絡安全工作帶來了巨大的挑戰，給網絡安全事件的溯源增加了困難，加大了網絡安全管理部門的管理難度。

2018 年海委防汛調度樓進行修繕，海珠賓館作為臨時辦公地點，要求短時間內具備網絡覆蓋的辦公環境，海委信息中心承擔此次網絡建設工作。通過綜合考慮施工時間、施工難度、資金投入、投資保護等因素，信息中心決定使用無線網絡，為海珠賓館提供臨時辦公環境。利用這一時機，考慮到海委機關長期以來對無線網絡的需求，結合本次建設，信息中心對海委無線網絡進行了整體的規劃設計，同時籌措資金完成了海委無線網絡整體建設。

2 需求分析

本次建設要求無線網絡對海委機關辦公區無死角全覆蓋，著重考慮安全與認證，同時兼顧技術先進性、投資保護、易擴展、易維護。

2.1 覆蓋分析

海委機關辦公區對無線網絡覆蓋存在著多樣性需求，這包括：建筑多樣性，需要覆蓋6幢辦公樓，建設年代、建設標準、開間方式均對無線信號的覆蓋效果有不同影響；空間多樣性，標準辦公間、會議室、食堂、球館、樓梯樓道、露天場地等對承載人數有不同需求。

普通辦公室無線終端連接數量需求不多，每間辦公室在10 個左右；會議室需求較大，一般一次會議會有數十人參加，而運用日益頻繁的視頻會議也對會議室無線網絡的終端數量和網絡穩定性提出了較高的要求；食堂需要提供約200 臺終端同時在線的承載量；樓宇間的室外區域承載量需求不大，但要保證經常路過的地方信號較好；球館的無線需求跟會議室類似。

在正常使用時，保證大部分區域信號強度不低于-70 dBm。無線設備放裝應保證美觀，沒有過多裸露的線纜，要與周圍環境風格互相協調。同時，應保證無線設備的物理安全，以防被盜竊或被黑客用于物理攻擊。

2.2 安全與認證分析

無線網絡的設計需考慮網絡安全等級保護2.0的相關要求，對無線終端接入進行身份驗證，保證無線網絡不成為整個局域網安全的短板。目前，主流的認證方式有短信驗證、微信驗證、用戶名+密碼認證、設備物理地址（MAC）綁定等，在不同的場景有不同的使用方式與之適應。

在機場、車站、商場、醫院等公共場所，針對不特定用戶不特定終端，其通常需要便捷易用的實名認證，所以多采用手機短信或微信的認證方式，這也是公安部門認可的實名制認證方式。但該方式并不適合機關辦公的應用場景，原因一是短信發送需要獨立的短信發送網關（短信貓），這會增加建設成本和運行成本；二是無法避免利用他人手機號登陸；三是無線信號覆蓋會蔓延到辦公區外，海委機關毗鄰社會公共區域，對使用手機驗證或微信驗證的用戶，無法保證是海委職工，對于非海委用戶不可控。

家庭無線網絡使用場景中，通常使用統一的用戶名密碼的方式。這種方式連接步驟較少，方便快捷，但不適用于辦公無線網絡。其安全性低，無法追蹤到使用人，更無法進行網絡安全事件溯源，增加網絡管理難度。

海委的無線網絡主要提供給海委職工，用于日常辦公及水利業務的移動訪問，同時可以訪問互聯網。此外，對來海委辦事的臨時訪客，提供臨時無線網絡環境，訪問業務互聯網。上述無線接入和訪問，均需要實名認證，訪問人員、時間、設備均需要做到可追溯，可倒查，可審計。

綜上，海委的無線認證需要區分2種用戶，一種是正式長期辦公人員，另一種是臨時訪客。正式人員賬戶需記錄設備的基本信息，能夠根據后臺記錄查詢到某個IP 在某一時段是誰在使用，首次登陸后可以無感知連接，用戶不能有相同的密碼。臨時訪客權限需要設置有效期，需要能確定到人，若不能保證實名制，則要確定一個正式人員，由正式人員審批入網，以便溯源。

2種用戶的認證流程，如圖1—2所示。

圖1 HWCC認證流程

圖2 HWCC-Guest認證流程

2.3 其他分析

無線設備應選用國內主流品牌，以保障設備質量。無線網絡建設需保證技術先進性，能夠支持較長的系統生命周期，這也是保護投資的有效手段。

無線網絡建設需充分考慮其擴展性，當辦公區域結構、功能發生變化時，無線設備應具備增加、減少、位移、更換的條件，無線相關的網絡設備要保留足夠的備用接口。

無線網絡需易于維護。無線的變更會隨著辦公區功能的變更而更改，故設計和建設時不能太死板，不能在日后運維過程中一成不變，也不能花費運維人員過多的時間和精力，需要操作簡便、易于排查問題和更換一些設備。

無線網絡的建設還應考慮與現有有線網絡設備的兼容性，充分利用已有網絡環境和已有網絡設備，貼近已有網管系統，最大限度減少投資。

3 方案實施

根據前期的需求分析，海委無線網絡的建設著重圍繞2 個部分而展開，一個是辦公區無死角全覆蓋的網絡建設，另一個是可靠安全的認證體系建設。此外，還要兼顧無線用戶在使用中的安全管控。

3.1 無線信號覆蓋

無線信號的覆蓋強度，將直接影響無線網絡的使用效果。辦公區內的6 幢建筑樓體建設年代不盡相同，建設標準、建筑結構也存在較大差異，這些差異將影響無線信號的傳播距離及衰減強度。無線網絡建設前需要進行實地工勘，以無線信號不低于-70 dBm 的標準，確定無線AP 的選型、安裝密度和安裝位置，還需要根據覆蓋功能區的不同，對無線AP的承載能力進行區別選型。

此次AP選型，根據放裝位置的不同分別選擇了樓道放裝、室內放裝以及室外放裝3種類型；根據承載能力的區別，選擇了高密度和低密度2種類型。

（1）樓道放裝。AP放裝分布在各建筑的公共區域，如樓道、樓梯等位置，為此次無線網絡建設的主要AP 類型。此種AP 施工簡單，對樓內辦公人員影響最小，可滿足大部分辦公室內對無線網絡的需求。

（2）室內放裝。由于各建筑結構不同，在部分建筑樓層內，僅靠樓道內放裝AP 無法滿足網絡需求，辦公室內信號低于-70 dBm。對于這種情況，選擇室內放裝AP 或支持X 分天線的樓道放裝AP，利用已有有線網絡或X分天線，將AP信號直接延伸覆蓋到辦公室內，為該辦公室內人員提供無線網絡。這種方式，是作為樓道放裝AP的補充和完善。

（3）室外放裝。在機關大院不同樓宇之間的室外區域，通過室外放裝AP 來實現無線信號全覆蓋、無死角、平滑漫游的功能。室外放裝型AP支持部署在室外，本身具備防水、防塵功能，在安裝時需考慮AP朝向及鎧裝屏蔽雙絞線防雷擊等問題。

此外，針對會議室、食堂、球館等人群聚集的場地空間，選擇高承載力的高密度AP，提供網絡使用。每個高密度AP可承載不少于100個終端同時連接。

3.2 認證方式

根據認證方式的需求分析，海委的無線網絡認證最終選擇如下認證方式。

首先，將海委無線網絡分為2 個服務集標識（SSID），一個是“HWCC”，另一個是“HWCC-Guest”。

“HWCC”供海委機關正式職工、委屬公司員工、掛職交流人員、公司長期聘用人員使用，可訪問部分指定的局域網業務（如綜合辦公系統等），也可訪問互聯網，賬號長期有效。申請“HWCC”無線網賬號時，需填寫《海委無線業務申請單》，根據《海委網絡安全管理辦法（試行）》相關要求，進行實名綁定，登記每臺無線設備的MAC 地址。每個賬戶限制綁定的設備數。無線賬號只能登錄綁定在該賬號名下的無線設備，未綁定的無線設備無法登錄。已綁定在某賬號名下的無線設備，也無法使用他人賬號登錄。

“HWCC-Guest”用于臨時來委的訪客人員使用，只能訪問互聯網，不允許訪問局域網業務系統，賬號有效期24 h。在登錄界面需要填寫個人信息并生成二維碼，由連入“HWCC”無線的被授權人員（已實名認證）掃描二維碼審批才能接入網絡。

上述方式，有效地將人與設備進行了綁定，避免用戶冒用、越權訪問等安全問題。同時，遵循了“誰使用誰負責、誰審批誰負責”的原則。

部分Portal認證截圖，如圖3—5所示。

圖3 正式人員登陸界面

圖4 訪客注冊界面

圖5 生成二維碼的審批界面

3.3 安全管控

根據安全管理的要求，無線AP、無線用戶終端被分配到專用VLAN。通過配置訪問控制策略，只允許指定的IP 對管理后臺和無線設備進行管理和維護，“HWCC”用戶只允許訪問指定的業務系統，“HWCC-Guest”用戶默認只允許訪問互聯網、不允許訪問局域網內業務系統，同時封禁445 等高危端口和RDP、SSH 等默認遠程端口。在行為管理設備上，對不同用戶進行不同的行為管理策略，包括部分軟件的禁用、網速限制等。這樣，在網絡安全設備上能夠方便地對無線用戶進行訪問控制，也方便識別和管控無線用戶的各類網絡行為。

4 維護與管理

無線網絡要想好用，需要加強無線網絡的日常運行維護。海委信息中心指定專人進行無線網絡的管理和維護。管理人員定期登錄無線管理后臺，對無線AC、無線AP、PoE 交換機等無線網絡相關設備進行巡檢，檢查無線AP在線情況、終端連接情況、交換機CPU 占用和內存占用等性能參數情況，保證及時發現異常，保障無線網絡整體健康度。終端維護人員進行無線終端的統計，對用戶提交的《海委無線業務申請單》進行統一整理，并登錄無線管理后臺進行賬戶和設備的綁定，為用戶提供無線設備連接的問題答疑和疑難雜癥的解決。

5 結語

根據規劃，海委機關的無線覆蓋于2019 年8 月建設完成。無線網絡對現有的有線網絡起到很好補充效果，對日益興盛的移動辦公起到了很好的推動作用，手機App大大促進了辦公的便捷性和高效性。

無線網絡在網絡安全方面也存在一些潛在問題，需要一些完善和改進：①職工的無線設備品牌型號越來越豐富，手機、平板電腦、智慧屏等設備自身的安全是網絡安全短板，目前沒有手段進行統一管理；②由于硬件條件有限，目前無線網絡是混合建設在現有的有線網絡中，與有線網絡混用交換設備，在海委局域網中只使用劃分VLAN 的方式進行了邏輯隔離，無線網絡中的終端漏洞、網內惡意攻擊有可能會影響到有線網絡，這也是網絡安全隱患之一。