中國國電集團公司小龍?zhí)栋l(fā)電廠（簡稱“小龍?zhí)栋l(fā)電廠”）是云南省能源建設的重點工程，位于云南南部開遠市，現(xiàn)有裝機容量6×100MW，在建2×300MW，2007年建成后總裝機120萬千瓦，是國電集團公司在云南的大型火力發(fā)電廠。小龍?zhí)栋l(fā)電廠的內網中部署了OA辦公系統(tǒng)、MIS系統(tǒng)等；內網的用戶規(guī)模較大，基礎網絡建設也較為完善。

連通、管理如何解決？

隨著互聯(lián)網的發(fā)展，小龍?zhí)栋l(fā)電廠的信息化建設也需要與時俱進：怎樣讓出差在外的用戶安全方便的接入內網處理業(yè)務，尤其是領導的公文審批、文件簽發(fā)和決策等？如何解決P2P占用互聯(lián)網帶寬資源的問題？怎樣解決病毒攻擊、ARP欺騙、DOS攻擊等安全威脅？這些都是擺在小龍譚發(fā)電廠面前的現(xiàn)實問題。

通過分析，小龍?zhí)栋l(fā)電廠總結出了其亟待解決的2大問題：即“連通”和“管理”：

“連通”：

1.為出差在外的移動用戶構建安全的遠程接入平臺。
2.該平臺必須支持現(xiàn)有和未來可能出現(xiàn)的各種IT應用系統(tǒng)。
3.平臺的構建是為了方便用戶使用，要求簡單易用。

“管理”：

1.優(yōu)化帶寬資源的使用，尤其是管理BT、電騾等P2P流量對帶寬的占用。
2.降低內網被病毒、ARP欺騙、DOS攻擊侵犯的幾率。
3.員工網絡訪問行為的管理，提升工作效率，規(guī)避法律風險。

針對小龍?zhí)栋l(fā)電廠信息化建設的最新著力點，深信服科技的SSL VPN和AC上網行為管理方案妥善的滿足了其對“連通”和“管理”的需求。

SSL VPN實現(xiàn)“連通”

小龍譚發(fā)電廠以單臂模式部署了深信服M5400-S SSL VPN網關，并結合小龍?zhí)冬F(xiàn)有AD域控服務器上的賬戶信息，讓處于外網的領導等高權限用戶采用USB-Key，其他用戶采用“用戶名/密碼”和“硬件特征碼”的識別方式，通過雙因素認證保障安全。

“硬件特征碼”驗證技術將接入終端電腦的CPU、硬盤、主板等硬件信息與指定賬戶綁定，即使黑客得到了小龍譚發(fā)電廠的SSL VPN用戶名/密碼甚至是USB-key，由于無法竊取到硬件信息，都不能接入SSL VPN，全方位保障小龍?zhí)栋l(fā)電廠辦公網資源的安全性。

而通過M5400-S的“端點安全檢查”檢測功能，通過審核接入終端的操作系統(tǒng)補丁、殺毒軟件、注冊表和進程等安全參數(shù)，SSL VPN系統(tǒng)進一步保證了用戶接入終端的安全性。用戶登錄SSL VPN后的訪問行為則按照小龍譚發(fā)電廠的要求，在M5400-S中提供日志存儲和圖形化查詢、審計等。當用戶退出后，M5400-S會自動清除Cache、文件訪問記錄。

對于小龍譚發(fā)電廠中部分采用非Windows桌面系統(tǒng)、PDA、SmartPhone的用戶，同樣可以使用這套SSL VPN訪問包括VOIP和視頻會議等復雜內網應用。借助標準瀏覽器、免客戶端的安裝和配置，M5400-S降低了小龍?zhí)栋l(fā)電廠的管理和維護工作量。

AC助小龍譚電廠實現(xiàn)“網絡行為管理”

SSL VPN滿足了電廠的“連通”需求，而SINFOR AC則實現(xiàn)了“管理”的需要：

BT、電騾、QQLive等P2P行為嚴重占用了帶寬，小龍?zhí)栋l(fā)電廠通過部署深信服M5400-AC，對部分部門的P2P行為實施了全面封堵；而因業(yè)務需要使用P2P的部門和用戶，則通過AC的流量控制功能，為不同用戶預留相應的帶寬，既保障了核心應用，又充分利用了帶寬。

小龍?zhí)栋l(fā)電廠也啟用了AC的準入規(guī)則（NAC）功能，內網中不安裝殺毒軟件或沒有定時更新、使用不安全軟件的用戶都將被禁止訪問Internet，修復了內網的安全隱患點；同時，M5400-AC通過封堵無關網站，過濾特定文件的下載，查殺網頁、郵件潛藏的病毒，為小龍?zhí)秲染W全方位抵御病毒。

在日志方面，M5400-AC的部署讓小龍?zhí)栋l(fā)電廠全面記錄了用戶訪問的URL、向公網發(fā)布的言論、收發(fā)的Email等所有行為，海量存儲日志、圖形化查詢和審計，滿足了公安部82號令的要求，規(guī)避了電廠的法律風險；而小龍?zhí)陡邔宇I導的網絡訪問行為關乎企業(yè)發(fā)展和決策，通過使用免監(jiān)控Key（俗稱“老板key”，插入此key的用戶將不經過AC審計），實現(xiàn)了更全面靈活的管控和審計。