無(wú)線網(wǎng)絡(luò)在海委機(jī)關(guān)建設(shè)中的應(yīng)用

谷立成，趙滿勝

（海河水利委員會(huì)水利信息網(wǎng)絡(luò)中心，天津 300170）

1 背景與現(xiàn)狀

海委機(jī)關(guān)有線局域網(wǎng)始建于1997 年，目前已覆蓋了全部辦公區(qū)域，為海委的信息化工作提供了強(qiáng)有力的支撐。隨著無(wú)線網(wǎng)絡(luò)技術(shù)的發(fā)展和移動(dòng)設(shè)備的普及，海委對(duì)無(wú)線網(wǎng)絡(luò)的辦公需求與日俱增。但海委并未系統(tǒng)化地建設(shè)用于辦公的無(wú)線網(wǎng)絡(luò)局域網(wǎng)，大量職工在辦公臺(tái)式機(jī)私接移動(dòng)WiFi 小工具，分享出熱點(diǎn)給手機(jī)、筆記本電腦等移動(dòng)設(shè)備使用。私接WiFi 存在大量弱口令、無(wú)口令、訪問(wèn)權(quán)限混亂等問(wèn)題，給海委的網(wǎng)絡(luò)安全工作帶來(lái)了巨大的挑戰(zhàn)，給網(wǎng)絡(luò)安全事件的溯源增加了困難，加大了網(wǎng)絡(luò)安全管理部門的管理難度。

2018 年海委防汛調(diào)度樓進(jìn)行修繕，海珠賓館作為臨時(shí)辦公地點(diǎn)，要求短時(shí)間內(nèi)具備網(wǎng)絡(luò)覆蓋的辦公環(huán)境，海委信息中心承擔(dān)此次網(wǎng)絡(luò)建設(shè)工作。通過(guò)綜合考慮施工時(shí)間、施工難度、資金投入、投資保護(hù)等因素，信息中心決定使用無(wú)線網(wǎng)絡(luò)，為海珠賓館提供臨時(shí)辦公環(huán)境。利用這一時(shí)機(jī)，考慮到海委機(jī)關(guān)長(zhǎng)期以來(lái)對(duì)無(wú)線網(wǎng)絡(luò)的需求，結(jié)合本次建設(shè)，信息中心對(duì)海委無(wú)線網(wǎng)絡(luò)進(jìn)行了整體的規(guī)劃設(shè)計(jì)，同時(shí)籌措資金完成了海委無(wú)線網(wǎng)絡(luò)整體建設(shè)。

2 需求分析

本次建設(shè)要求無(wú)線網(wǎng)絡(luò)對(duì)海委機(jī)關(guān)辦公區(qū)無(wú)死角全覆蓋，著重考慮安全與認(rèn)證，同時(shí)兼顧技術(shù)先進(jìn)性、投資保護(hù)、易擴(kuò)展、易維護(hù)。

2.1 覆蓋分析

海委機(jī)關(guān)辦公區(qū)對(duì)無(wú)線網(wǎng)絡(luò)覆蓋存在著多樣性需求，這包括：建筑多樣性，需要覆蓋6幢辦公樓，建設(shè)年代、建設(shè)標(biāo)準(zhǔn)、開間方式均對(duì)無(wú)線信號(hào)的覆蓋效果有不同影響；空間多樣性，標(biāo)準(zhǔn)辦公間、會(huì)議室、食堂、球館、樓梯樓道、露天場(chǎng)地等對(duì)承載人數(shù)有不同需求。

普通辦公室無(wú)線終端連接數(shù)量需求不多，每間辦公室在10 個(gè)左右；會(huì)議室需求較大，一般一次會(huì)議會(huì)有數(shù)十人參加，而運(yùn)用日益頻繁的視頻會(huì)議也對(duì)會(huì)議室無(wú)線網(wǎng)絡(luò)的終端數(shù)量和網(wǎng)絡(luò)穩(wěn)定性提出了較高的要求；食堂需要提供約200 臺(tái)終端同時(shí)在線的承載量；樓宇間的室外區(qū)域承載量需求不大，但要保證經(jīng)常路過(guò)的地方信號(hào)較好；球館的無(wú)線需求跟會(huì)議室類似。

在正常使用時(shí)，保證大部分區(qū)域信號(hào)強(qiáng)度不低于-70 dBm。無(wú)線設(shè)備放裝應(yīng)保證美觀，沒(méi)有過(guò)多裸露的線纜，要與周圍環(huán)境風(fēng)格互相協(xié)調(diào)。同時(shí)，應(yīng)保證無(wú)線設(shè)備的物理安全，以防被盜竊或被黑客用于物理攻擊。

2.2 安全與認(rèn)證分析

無(wú)線網(wǎng)絡(luò)的設(shè)計(jì)需考慮網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0的相關(guān)要求，對(duì)無(wú)線終端接入進(jìn)行身份驗(yàn)證，保證無(wú)線網(wǎng)絡(luò)不成為整個(gè)局域網(wǎng)安全的短板。目前，主流的認(rèn)證方式有短信驗(yàn)證、微信驗(yàn)證、用戶名+密碼認(rèn)證、設(shè)備物理地址（MAC）綁定等，在不同的場(chǎng)景有不同的使用方式與之適應(yīng)。

在機(jī)場(chǎng)、車站、商場(chǎng)、醫(yī)院等公共場(chǎng)所，針對(duì)不特定用戶不特定終端，其通常需要便捷易用的實(shí)名認(rèn)證，所以多采用手機(jī)短信或微信的認(rèn)證方式，這也是公安部門認(rèn)可的實(shí)名制認(rèn)證方式。但該方式并不適合機(jī)關(guān)辦公的應(yīng)用場(chǎng)景，原因一是短信發(fā)送需要獨(dú)立的短信發(fā)送網(wǎng)關(guān)（短信貓），這會(huì)增加建設(shè)成本和運(yùn)行成本；二是無(wú)法避免利用他人手機(jī)號(hào)登陸；三是無(wú)線信號(hào)覆蓋會(huì)蔓延到辦公區(qū)外，海委機(jī)關(guān)毗鄰社會(huì)公共區(qū)域，對(duì)使用手機(jī)驗(yàn)證或微信驗(yàn)證的用戶，無(wú)法保證是海委職工，對(duì)于非海委用戶不可控。

家庭無(wú)線網(wǎng)絡(luò)使用場(chǎng)景中，通常使用統(tǒng)一的用戶名密碼的方式。這種方式連接步驟較少，方便快捷，但不適用于辦公無(wú)線網(wǎng)絡(luò)。其安全性低，無(wú)法追蹤到使用人，更無(wú)法進(jìn)行網(wǎng)絡(luò)安全事件溯源，增加網(wǎng)絡(luò)管理難度。

海委的無(wú)線網(wǎng)絡(luò)主要提供給海委職工，用于日常辦公及水利業(yè)務(wù)的移動(dòng)訪問(wèn)，同時(shí)可以訪問(wèn)互聯(lián)網(wǎng)。此外，對(duì)來(lái)海委辦事的臨時(shí)訪客，提供臨時(shí)無(wú)線網(wǎng)絡(luò)環(huán)境，訪問(wèn)業(yè)務(wù)互聯(lián)網(wǎng)。上述無(wú)線接入和訪問(wèn)，均需要實(shí)名認(rèn)證，訪問(wèn)人員、時(shí)間、設(shè)備均需要做到可追溯，可倒查，可審計(jì)。

綜上，海委的無(wú)線認(rèn)證需要區(qū)分2種用戶，一種是正式長(zhǎng)期辦公人員，另一種是臨時(shí)訪客。正式人員賬戶需記錄設(shè)備的基本信息，能夠根據(jù)后臺(tái)記錄查詢到某個(gè)IP 在某一時(shí)段是誰(shuí)在使用，首次登陸后可以無(wú)感知連接，用戶不能有相同的密碼。臨時(shí)訪客權(quán)限需要設(shè)置有效期，需要能確定到人，若不能保證實(shí)名制，則要確定一個(gè)正式人員，由正式人員審批入網(wǎng)，以便溯源。

2種用戶的認(rèn)證流程，如圖1—2所示。

圖1 HWCC認(rèn)證流程

圖2 HWCC-Guest認(rèn)證流程

2.3 其他分析

無(wú)線設(shè)備應(yīng)選用國(guó)內(nèi)主流品牌，以保障設(shè)備質(zhì)量。無(wú)線網(wǎng)絡(luò)建設(shè)需保證技術(shù)先進(jìn)性，能夠支持較長(zhǎng)的系統(tǒng)生命周期，這也是保護(hù)投資的有效手段。

無(wú)線網(wǎng)絡(luò)建設(shè)需充分考慮其擴(kuò)展性，當(dāng)辦公區(qū)域結(jié)構(gòu)、功能發(fā)生變化時(shí)，無(wú)線設(shè)備應(yīng)具備增加、減少、位移、更換的條件，無(wú)線相關(guān)的網(wǎng)絡(luò)設(shè)備要保留足夠的備用接口。

無(wú)線網(wǎng)絡(luò)需易于維護(hù)。無(wú)線的變更會(huì)隨著辦公區(qū)功能的變更而更改，故設(shè)計(jì)和建設(shè)時(shí)不能太死板，不能在日后運(yùn)維過(guò)程中一成不變，也不能花費(fèi)運(yùn)維人員過(guò)多的時(shí)間和精力，需要操作簡(jiǎn)便、易于排查問(wèn)題和更換一些設(shè)備。

無(wú)線網(wǎng)絡(luò)的建設(shè)還應(yīng)考慮與現(xiàn)有有線網(wǎng)絡(luò)設(shè)備的兼容性，充分利用已有網(wǎng)絡(luò)環(huán)境和已有網(wǎng)絡(luò)設(shè)備，貼近已有網(wǎng)管系統(tǒng)，最大限度減少投資。

3 方案實(shí)施

根據(jù)前期的需求分析，海委無(wú)線網(wǎng)絡(luò)的建設(shè)著重圍繞2 個(gè)部分而展開，一個(gè)是辦公區(qū)無(wú)死角全覆蓋的網(wǎng)絡(luò)建設(shè)，另一個(gè)是可靠安全的認(rèn)證體系建設(shè)。此外，還要兼顧無(wú)線用戶在使用中的安全管控。

3.1 無(wú)線信號(hào)覆蓋

無(wú)線信號(hào)的覆蓋強(qiáng)度，將直接影響無(wú)線網(wǎng)絡(luò)的使用效果。辦公區(qū)內(nèi)的6 幢建筑樓體建設(shè)年代不盡相同，建設(shè)標(biāo)準(zhǔn)、建筑結(jié)構(gòu)也存在較大差異，這些差異將影響無(wú)線信號(hào)的傳播距離及衰減強(qiáng)度。無(wú)線網(wǎng)絡(luò)建設(shè)前需要進(jìn)行實(shí)地工勘，以無(wú)線信號(hào)不低于-70 dBm 的標(biāo)準(zhǔn)，確定無(wú)線AP 的選型、安裝密度和安裝位置，還需要根據(jù)覆蓋功能區(qū)的不同，對(duì)無(wú)線AP的承載能力進(jìn)行區(qū)別選型。

此次AP選型，根據(jù)放裝位置的不同分別選擇了樓道放裝、室內(nèi)放裝以及室外放裝3種類型；根據(jù)承載能力的區(qū)別，選擇了高密度和低密度2種類型。

（1）樓道放裝。AP放裝分布在各建筑的公共區(qū)域，如樓道、樓梯等位置，為此次無(wú)線網(wǎng)絡(luò)建設(shè)的主要AP 類型。此種AP 施工簡(jiǎn)單，對(duì)樓內(nèi)辦公人員影響最小，可滿足大部分辦公室內(nèi)對(duì)無(wú)線網(wǎng)絡(luò)的需求。

（2）室內(nèi)放裝。由于各建筑結(jié)構(gòu)不同，在部分建筑樓層內(nèi)，僅靠樓道內(nèi)放裝AP 無(wú)法滿足網(wǎng)絡(luò)需求，辦公室內(nèi)信號(hào)低于-70 dBm。對(duì)于這種情況，選擇室內(nèi)放裝AP 或支持X 分天線的樓道放裝AP，利用已有有線網(wǎng)絡(luò)或X分天線，將AP信號(hào)直接延伸覆蓋到辦公室內(nèi)，為該辦公室內(nèi)人員提供無(wú)線網(wǎng)絡(luò)。這種方式，是作為樓道放裝AP的補(bǔ)充和完善。

（3）室外放裝。在機(jī)關(guān)大院不同樓宇之間的室外區(qū)域，通過(guò)室外放裝AP 來(lái)實(shí)現(xiàn)無(wú)線信號(hào)全覆蓋、無(wú)死角、平滑漫游的功能。室外放裝型AP支持部署在室外，本身具備防水、防塵功能，在安裝時(shí)需考慮AP朝向及鎧裝屏蔽雙絞線防雷擊等問(wèn)題。

此外，針對(duì)會(huì)議室、食堂、球館等人群聚集的場(chǎng)地空間，選擇高承載力的高密度AP，提供網(wǎng)絡(luò)使用。每個(gè)高密度AP可承載不少于100個(gè)終端同時(shí)連接。

3.2 認(rèn)證方式

根據(jù)認(rèn)證方式的需求分析，海委的無(wú)線網(wǎng)絡(luò)認(rèn)證最終選擇如下認(rèn)證方式。

首先，將海委無(wú)線網(wǎng)絡(luò)分為2 個(gè)服務(wù)集標(biāo)識(shí)（SSID），一個(gè)是“HWCC”，另一個(gè)是“HWCC-Guest”。

“HWCC”供海委機(jī)關(guān)正式職工、委屬公司員工、掛職交流人員、公司長(zhǎng)期聘用人員使用，可訪問(wèn)部分指定的局域網(wǎng)業(yè)務(wù)（如綜合辦公系統(tǒng)等），也可訪問(wèn)互聯(lián)網(wǎng)，賬號(hào)長(zhǎng)期有效。申請(qǐng)“HWCC”無(wú)線網(wǎng)賬號(hào)時(shí)，需填寫《海委無(wú)線業(yè)務(wù)申請(qǐng)單》，根據(jù)《海委網(wǎng)絡(luò)安全管理辦法（試行）》相關(guān)要求，進(jìn)行實(shí)名綁定，登記每臺(tái)無(wú)線設(shè)備的MAC 地址。每個(gè)賬戶限制綁定的設(shè)備數(shù)。無(wú)線賬號(hào)只能登錄綁定在該賬號(hào)名下的無(wú)線設(shè)備，未綁定的無(wú)線設(shè)備無(wú)法登錄。已綁定在某賬號(hào)名下的無(wú)線設(shè)備，也無(wú)法使用他人賬號(hào)登錄。

“HWCC-Guest”用于臨時(shí)來(lái)委的訪客人員使用，只能訪問(wèn)互聯(lián)網(wǎng)，不允許訪問(wèn)局域網(wǎng)業(yè)務(wù)系統(tǒng)，賬號(hào)有效期24 h。在登錄界面需要填寫個(gè)人信息并生成二維碼，由連入“HWCC”無(wú)線的被授權(quán)人員（已實(shí)名認(rèn)證）掃描二維碼審批才能接入網(wǎng)絡(luò)。

上述方式，有效地將人與設(shè)備進(jìn)行了綁定，避免用戶冒用、越權(quán)訪問(wèn)等安全問(wèn)題。同時(shí)，遵循了“誰(shuí)使用誰(shuí)負(fù)責(zé)、誰(shuí)審批誰(shuí)負(fù)責(zé)”的原則。

部分Portal認(rèn)證截圖，如圖3—5所示。

圖3 正式人員登陸界面

圖4 訪客注冊(cè)界面

圖5 生成二維碼的審批界面

3.3 安全管控

根據(jù)安全管理的要求，無(wú)線AP、無(wú)線用戶終端被分配到專用VLAN。通過(guò)配置訪問(wèn)控制策略，只允許指定的IP 對(duì)管理后臺(tái)和無(wú)線設(shè)備進(jìn)行管理和維護(hù)，“HWCC”用戶只允許訪問(wèn)指定的業(yè)務(wù)系統(tǒng)，“HWCC-Guest”用戶默認(rèn)只允許訪問(wèn)互聯(lián)網(wǎng)、不允許訪問(wèn)局域網(wǎng)內(nèi)業(yè)務(wù)系統(tǒng)，同時(shí)封禁445 等高危端口和RDP、SSH 等默認(rèn)遠(yuǎn)程端口。在行為管理設(shè)備上，對(duì)不同用戶進(jìn)行不同的行為管理策略，包括部分軟件的禁用、網(wǎng)速限制等。這樣，在網(wǎng)絡(luò)安全設(shè)備上能夠方便地對(duì)無(wú)線用戶進(jìn)行訪問(wèn)控制，也方便識(shí)別和管控?zé)o線用戶的各類網(wǎng)絡(luò)行為。

4 維護(hù)與管理

無(wú)線網(wǎng)絡(luò)要想好用，需要加強(qiáng)無(wú)線網(wǎng)絡(luò)的日常運(yùn)行維護(hù)。海委信息中心指定專人進(jìn)行無(wú)線網(wǎng)絡(luò)的管理和維護(hù)。管理人員定期登錄無(wú)線管理后臺(tái)，對(duì)無(wú)線AC、無(wú)線AP、PoE 交換機(jī)等無(wú)線網(wǎng)絡(luò)相關(guān)設(shè)備進(jìn)行巡檢，檢查無(wú)線AP在線情況、終端連接情況、交換機(jī)CPU 占用和內(nèi)存占用等性能參數(shù)情況，保證及時(shí)發(fā)現(xiàn)異常，保障無(wú)線網(wǎng)絡(luò)整體健康度。終端維護(hù)人員進(jìn)行無(wú)線終端的統(tǒng)計(jì)，對(duì)用戶提交的《海委無(wú)線業(yè)務(wù)申請(qǐng)單》進(jìn)行統(tǒng)一整理，并登錄無(wú)線管理后臺(tái)進(jìn)行賬戶和設(shè)備的綁定，為用戶提供無(wú)線設(shè)備連接的問(wèn)題答疑和疑難雜癥的解決。

5 結(jié)語(yǔ)

根據(jù)規(guī)劃，海委機(jī)關(guān)的無(wú)線覆蓋于2019 年8 月建設(shè)完成。無(wú)線網(wǎng)絡(luò)對(duì)現(xiàn)有的有線網(wǎng)絡(luò)起到很好補(bǔ)充效果，對(duì)日益興盛的移動(dòng)辦公起到了很好的推動(dòng)作用，手機(jī)App大大促進(jìn)了辦公的便捷性和高效性。

無(wú)線網(wǎng)絡(luò)在網(wǎng)絡(luò)安全方面也存在一些潛在問(wèn)題，需要一些完善和改進(jìn)：①職工的無(wú)線設(shè)備品牌型號(hào)越來(lái)越豐富，手機(jī)、平板電腦、智慧屏等設(shè)備自身的安全是網(wǎng)絡(luò)安全短板，目前沒(méi)有手段進(jìn)行統(tǒng)一管理；②由于硬件條件有限，目前無(wú)線網(wǎng)絡(luò)是混合建設(shè)在現(xiàn)有的有線網(wǎng)絡(luò)中，與有線網(wǎng)絡(luò)混用交換設(shè)備，在海委局域網(wǎng)中只使用劃分VLAN 的方式進(jìn)行了邏輯隔離，無(wú)線網(wǎng)絡(luò)中的終端漏洞、網(wǎng)內(nèi)惡意攻擊有可能會(huì)影響到有線網(wǎng)絡(luò)，這也是網(wǎng)絡(luò)安全隱患之一。