谷立成，赵满胜

（海河水利委员会水利信息网络中心，天津 300170）

1 背景与现状

海委机关有线局域网始建于1997 年，目前已覆盖了全部办公区域，为海委的信息化工作提供了强有力的支撑。随着无线网络技术的发展和移动设备的普及，海委对无线网络的办公需求与日俱增。但海委并未系统化地建设用于办公的无线网络局域网，大量职工在办公台式机私接移动WiFi 小工具，分享出热点给手机、笔记本电脑等移动设备使用。私接WiFi 存在大量弱口令、无口令、访问权限混乱等问题，给海委的网络安全工作带来了巨大的挑战，给网络安全事件的溯源增加了困难，加大了网络安全管理部门的管理难度。

2018 年海委防汛调度楼进行修缮，海珠宾馆作为临时办公地点，要求短时间内具备网络覆盖的办公环境，海委信息中心承担此次网络建设工作。通过综合考虑施工时间、施工难度、资金投入、投资保护等因素，信息中心决定使用无线网络，为海珠宾馆提供临时办公环境。利用这一时机，考虑到海委机关长期以来对无线网络的需求，结合本次建设，信息中心对海委无线网络进行了整体的规划设计，同时筹措资金完成了海委无线网络整体建设。

2 需求分析

本次建设要求无线网络对海委机关办公区无死角全覆盖，着重考虑安全与认证，同时兼顾技术先进性、投资保护、易扩展、易维护。

2.1 覆盖分析

海委机关办公区对无线网络覆盖存在着多样性需求，这包括：建筑多样性，需要覆盖6幢办公楼，建设年代、建设标准、开间方式均对无线信号的覆盖效果有不同影响；空间多样性，标准办公间、会议室、食堂、球馆、楼梯楼道、露天场地等对承载人数有不同需求。

普通办公室无线终端连接数量需求不多，每间办公室在10 个左右；会议室需求较大，一般一次会议会有数十人参加，而运用日益频繁的视频会议也对会议室无线网络的终端数量和网络稳定性提出了较高的要求；食堂需要提供约200 台终端同时在线的承载量；楼宇间的室外区域承载量需求不大，但要保证经常路过的地方信号较好；球馆的无线需求跟会议室类似。

在正常使用时，保证大部分区域信号强度不低于-70 dBm。无线设备放装应保证美观，没有过多裸露的线缆，要与周围环境风格互相协调。同时，应保证无线设备的物理安全，以防被盗窃或被黑客用于物理攻击。

2.2 安全与认证分析

无线网络的设计需考虑网络安全等级保护2.0的相关要求，对无线终端接入进行身份验证，保证无线网络不成为整个局域网安全的短板。目前，主流的认证方式有短信验证、微信验证、用户名+密码认证、设备物理地址（MAC）绑定等，在不同的场景有不同的使用方式与之适应。

在机场、车站、商场、医院等公共场所，针对不特定用户不特定终端，其通常需要便捷易用的实名认证，所以多采用手机短信或微信的认证方式，这也是公安部门认可的实名制认证方式。但该方式并不适合机关办公的应用场景，原因一是短信发送需要独立的短信发送网关（短信猫），这会增加建设成本和运行成本；二是无法避免利用他人手机号登陆；三是无线信号覆盖会蔓延到办公区外，海委机关毗邻社会公共区域，对使用手机验证或微信验证的用户，无法保证是海委职工，对于非海委用户不可控。

家庭无线网络使用场景中，通常使用统一的用户名密码的方式。这种方式连接步骤较少，方便快捷，但不适用于办公无线网络。其安全性低，无法追踪到使用人，更无法进行网络安全事件溯源，增加网络管理难度。

海委的无线网络主要提供给海委职工，用于日常办公及水利业务的移动访问，同时可以访问互联网。此外，对来海委办事的临时访客，提供临时无线网络环境，访问业务互联网。上述无线接入和访问，均需要实名认证，访问人员、时间、设备均需要做到可追溯，可倒查，可审计。

综上，海委的无线认证需要区分2种用户，一种是正式长期办公人员，另一种是临时访客。正式人员账户需记录设备的基本信息，能够根据后台记录查询到某个IP 在某一时段是谁在使用，首次登陆后可以无感知连接，用户不能有相同的密码。临时访客权限需要设置有效期，需要能确定到人，若不能保证实名制，则要确定一个正式人员，由正式人员审批入网，以便溯源。

2种用户的认证流程，如图1—2所示。

图1 HWCC认证流程

图2 HWCC-Guest认证流程

2.3 其他分析

无线设备应选用国内主流品牌，以保障设备质量。无线网络建设需保证技术先进性，能够支持较长的系统生命周期，这也是保护投资的有效手段。

无线网络建设需充分考虑其扩展性，当办公区域结构、功能发生变化时，无线设备应具备增加、减少、位移、更换的条件，无线相关的网络设备要保留足够的备用接口。

无线网络需易于维护。无线的变更会随着办公区功能的变更而更改，故设计和建设时不能太死板，不能在日后运维过程中一成不变，也不能花费运维人员过多的时间和精力，需要操作简便、易于排查问题和更换一些设备。

无线网络的建设还应考虑与现有有线网络设备的兼容性，充分利用已有网络环境和已有网络设备，贴近已有网管系统，最大限度减少投资。

3 方案实施

根据前期的需求分析，海委无线网络的建设着重围绕2 个部分而展开，一个是办公区无死角全覆盖的网络建设，另一个是可靠安全的认证体系建设。此外，还要兼顾无线用户在使用中的安全管控。

3.1 无线信号覆盖

无线信号的覆盖强度，将直接影响无线网络的使用效果。办公区内的6 幢建筑楼体建设年代不尽相同，建设标准、建筑结构也存在较大差异，这些差异将影响无线信号的传播距离及衰减强度。无线网络建设前需要进行实地工勘，以无线信号不低于-70 dBm 的标准，确定无线AP 的选型、安装密度和安装位置，还需要根据覆盖功能区的不同，对无线AP的承载能力进行区别选型。

此次AP选型，根据放装位置的不同分别选择了楼道放装、室内放装以及室外放装3种类型；根据承载能力的区别，选择了高密度和低密度2种类型。

（1）楼道放装。AP放装分布在各建筑的公共区域，如楼道、楼梯等位置，为此次无线网络建设的主要AP 类型。此种AP 施工简单，对楼内办公人员影响最小，可满足大部分办公室内对无线网络的需求。

（2）室内放装。由于各建筑结构不同，在部分建筑楼层内，仅靠楼道内放装AP 无法满足网络需求，办公室内信号低于-70 dBm。对于这种情况，选择室内放装AP 或支持X 分天线的楼道放装AP，利用已有有线网络或X分天线，将AP信号直接延伸覆盖到办公室内，为该办公室内人员提供无线网络。这种方式，是作为楼道放装AP的补充和完善。

（3）室外放装。在机关大院不同楼宇之间的室外区域，通过室外放装AP 来实现无线信号全覆盖、无死角、平滑漫游的功能。室外放装型AP支持部署在室外，本身具备防水、防尘功能，在安装时需考虑AP朝向及铠装屏蔽双绞线防雷击等问题。

此外，针对会议室、食堂、球馆等人群聚集的场地空间，选择高承载力的高密度AP，提供网络使用。每个高密度AP可承载不少于100个终端同时连接。

3.2 认证方式

根据认证方式的需求分析，海委的无线网络认证最终选择如下认证方式。

首先，将海委无线网络分为2 个服务集标识（SSID），一个是“HWCC”，另一个是“HWCC-Guest”。

“HWCC”供海委机关正式职工、委属公司员工、挂职交流人员、公司长期聘用人员使用，可访问部分指定的局域网业务（如综合办公系统等），也可访问互联网，账号长期有效。申请“HWCC”无线网账号时，需填写《海委无线业务申请单》，根据《海委网络安全管理办法（试行）》相关要求，进行实名绑定，登记每台无线设备的MAC 地址。每个账户限制绑定的设备数。无线账号只能登录绑定在该账号名下的无线设备，未绑定的无线设备无法登录。已绑定在某账号名下的无线设备，也无法使用他人账号登录。

“HWCC-Guest”用于临时来委的访客人员使用，只能访问互联网，不允许访问局域网业务系统，账号有效期24 h。在登录界面需要填写个人信息并生成二维码，由连入“HWCC”无线的被授权人员（已实名认证）扫描二维码审批才能接入网络。

上述方式，有效地将人与设备进行了绑定，避免用户冒用、越权访问等安全问题。同时，遵循了“谁使用谁负责、谁审批谁负责”的原则。

部分Portal认证截图，如图3—5所示。

图3 正式人员登陆界面

图4 访客注册界面

图5 生成二维码的审批界面

3.3 安全管控

根据安全管理的要求，无线AP、无线用户终端被分配到专用VLAN。通过配置访问控制策略，只允许指定的IP 对管理后台和无线设备进行管理和维护，“HWCC”用户只允许访问指定的业务系统，“HWCC-Guest”用户默认只允许访问互联网、不允许访问局域网内业务系统，同时封禁445 等高危端口和RDP、SSH 等默认远程端口。在行为管理设备上，对不同用户进行不同的行为管理策略，包括部分软件的禁用、网速限制等。这样，在网络安全设备上能够方便地对无线用户进行访问控制，也方便识别和管控无线用户的各类网络行为。

4 维护与管理

无线网络要想好用，需要加强无线网络的日常运行维护。海委信息中心指定专人进行无线网络的管理和维护。管理人员定期登录无线管理后台，对无线AC、无线AP、PoE 交换机等无线网络相关设备进行巡检，检查无线AP在线情况、终端连接情况、交换机CPU 占用和内存占用等性能参数情况，保证及时发现异常，保障无线网络整体健康度。终端维护人员进行无线终端的统计，对用户提交的《海委无线业务申请单》进行统一整理，并登录无线管理后台进行账户和设备的绑定，为用户提供无线设备连接的问题答疑和疑难杂症的解决。

5 结语

根据规划，海委机关的无线覆盖于2019 年8 月建设完成。无线网络对现有的有线网络起到很好补充效果，对日益兴盛的移动办公起到了很好的推动作用，手机App大大促进了办公的便捷性和高效性。

无线网络在网络安全方面也存在一些潜在问题，需要一些完善和改进：①职工的无线设备品牌型号越来越丰富，手机、平板电脑、智慧屏等设备自身的安全是网络安全短板，目前没有手段进行统一管理；②由于硬件条件有限，目前无线网络是混合建设在现有的有线网络中，与有线网络混用交换设备，在海委局域网中只使用划分VLAN 的方式进行了逻辑隔离，无线网络中的终端漏洞、网内恶意攻击有可能会影响到有线网络，这也是网络安全隐患之一。