中國國電集團公司小龍潭發電廠（簡稱“小龍潭發電廠”）是云南省能源建設的重點工程，位于云南南部開遠市，現有裝機容量6×100MW，在建2×300MW，2007年建成后總裝機120萬千瓦，是國電集團公司在云南的大型火力發電廠。小龍潭發電廠的內網中部署了OA辦公系統、MIS系統等；內網的用戶規模較大，基礎網絡建設也較為完善。

連通、管理如何解決？

隨著互聯網的發展，小龍潭發電廠的信息化建設也需要與時俱進：怎樣讓出差在外的用戶安全方便的接入內網處理業務，尤其是領導的公文審批、文件簽發和決策等？如何解決P2P占用互聯網帶寬資源的問題？怎樣解決病毒攻擊、ARP欺騙、DOS攻擊等安全威脅？這些都是擺在小龍譚發電廠面前的現實問題。

通過分析，小龍潭發電廠總結出了其亟待解決的2大問題：即“連通”和“管理”：

“連通”：

1.為出差在外的移動用戶構建安全的遠程接入平臺。
2.該平臺必須支持現有和未來可能出現的各種IT應用系統。
3.平臺的構建是為了方便用戶使用，要求簡單易用。

“管理”：

1.優化帶寬資源的使用，尤其是管理BT、電騾等P2P流量對帶寬的占用。
2.降低內網被病毒、ARP欺騙、DOS攻擊侵犯的幾率。
3.員工網絡訪問行為的管理，提升工作效率，規避法律風險。

針對小龍潭發電廠信息化建設的最新著力點，深信服科技的SSL VPN和AC上網行為管理方案妥善的滿足了其對“連通”和“管理”的需求。

SSL VPN實現“連通”

小龍譚發電廠以單臂模式部署了深信服M5400-S SSL VPN網關，并結合小龍潭現有AD域控服務器上的賬戶信息，讓處于外網的領導等高權限用戶采用USB-Key，其他用戶采用“用戶名/密碼”和“硬件特征碼”的識別方式，通過雙因素認證保障安全。

“硬件特征碼”驗證技術將接入終端電腦的CPU、硬盤、主板等硬件信息與指定賬戶綁定，即使黑客得到了小龍譚發電廠的SSL VPN用戶名/密碼甚至是USB-key，由于無法竊取到硬件信息，都不能接入SSL VPN，全方位保障小龍潭發電廠辦公網資源的安全性。

而通過M5400-S的“端點安全檢查”檢測功能，通過審核接入終端的操作系統補丁、殺毒軟件、注冊表和進程等安全參數，SSL VPN系統進一步保證了用戶接入終端的安全性。用戶登錄SSL VPN后的訪問行為則按照小龍譚發電廠的要求，在M5400-S中提供日志存儲和圖形化查詢、審計等。當用戶退出后，M5400-S會自動清除Cache、文件訪問記錄。

對于小龍譚發電廠中部分采用非Windows桌面系統、PDA、SmartPhone的用戶，同樣可以使用這套SSL VPN訪問包括VOIP和視頻會議等復雜內網應用。借助標準瀏覽器、免客戶端的安裝和配置，M5400-S降低了小龍潭發電廠的管理和維護工作量。

AC助小龍譚電廠實現“網絡行為管理”

SSL VPN滿足了電廠的“連通”需求，而SINFOR AC則實現了“管理”的需要：

BT、電騾、QQLive等P2P行為嚴重占用了帶寬，小龍潭發電廠通過部署深信服M5400-AC，對部分部門的P2P行為實施了全面封堵；而因業務需要使用P2P的部門和用戶，則通過AC的流量控制功能，為不同用戶預留相應的帶寬，既保障了核心應用，又充分利用了帶寬。

小龍潭發電廠也啟用了AC的準入規則（NAC）功能，內網中不安裝殺毒軟件或沒有定時更新、使用不安全軟件的用戶都將被禁止訪問Internet，修復了內網的安全隱患點；同時，M5400-AC通過封堵無關網站，過濾特定文件的下載，查殺網頁、郵件潛藏的病毒，為小龍潭內網全方位抵御病毒。

在日志方面，M5400-AC的部署讓小龍潭發電廠全面記錄了用戶訪問的URL、向公網發布的言論、收發的Email等所有行為，海量存儲日志、圖形化查詢和審計，滿足了公安部82號令的要求，規避了電廠的法律風險；而小龍潭高層領導的網絡訪問行為關乎企業發展和決策，通過使用免監控Key（俗稱“老板key”，插入此key的用戶將不經過AC審計），實現了更全面靈活的管控和審計。