從實名製管控入手維護校園網絡安全

行業應用

作者：湯銘

相對於其他行業，高校對互聯網訪問內容的管理更加嚴格，特別是針對學生的上網訪問行為，需要進行適度的管控，引導學生健康地上網。根據國家頒布的相關法律，有關部門對互聯網訪問日誌審計提出了明確要求，要求互聯網服務提供者、互聯網使用單位必須采取必要的安全保護技術措施，對上網行為進行監控，並對違規訪問進行有效記錄。如何做到既開放又管控，既穩定運營又靈活擴展，既要符合綠色校園的要求又要提供差異化服務，既要實現透明化審計又要進行全麵有效規劃，這些都是高校安全建設中比較關心的問題。

自從1996年接入CERNET以來，中國人民大學（下稱人大）對校園網建設給予了大量的資金投入，目前的網絡基礎設施已經具備了相當規模，覆蓋全部教學、辦公區以及校園公共區域。

“根據我們統計，目前人大校園裏麵有1.4萬台設備在線。最高峰的時候大概有3萬左右的活躍賬戶。現在校內幾乎是人人都在上網，甚至有很多學生有兩部以上可以上網的設備。隨著校園人員的不斷增加，以及大家網絡使用習慣的改變，校園內網絡的壓力越來越大。例如2013年新生剛剛入校，校內的無線網就‘趴下’了。”中國人民大學信息技術中心副主任張丹東說。

據了解，日常工作中，如果有人在校園網絡進行違規活動，有關部門會要求高校提取相關用戶的IP，以便盡快鎖定嫌疑人。因此，在人大日常的網絡實名製安全管控和日誌審計工作中，存在著基於實名製用戶的NAT、URL、IM日誌記錄與查詢需求。

在這種情況下，以往的的靜態分配IP方式已經無法滿足人大對校園網絡安全的需求。麵對不斷增加的用戶的需求，需要通過認證計費係統來進行IPPoE、Web+Portal、IEEE802.1x用戶接入認證和計費，從而動態分配IP。這樣就會帶來校園網出口處防火牆進行日誌審計時，日誌記錄隻有動態分給用戶IP，而缺少真實用戶名的問題。

“過去對用戶的網絡行為進行事後核查的時候，由於缺少一個統一的設備，工作人員需要先去查計費係統，然後再查網絡認證的記錄，然後通過Mac地址才能把幾個係統裏麵的數據關聯起來，最後找到相關的人員。”張丹東說，這種方式非常費時費力，準確性也不高。

從2013年5月開始，人大部署了Hillstone高校實名製安全管控與日誌審計方案。“用這套方案，查當天的數據也就需要20多秒的時間，如果查以往的數據，也就是一分鍾左右，在速度上比以往的過程縮短了很多。”張丹東說。

據悉，Hillstone高校實名製安全管控與日誌審計方案通過Hillstone安全網關、安全審計平台和計費認證係統進行聯動，可以進行實名製的訪問策略控製、權限管理，針對不同用戶開放不同的訪問權限；可以進行URL上網控製，針對不同用戶進行不同的URL類訪問控製；可以進行NAT、URL、IM日誌審計，在NAT、URL、IM日誌中記錄用戶名，方便進行日誌查詢；可以實現實名製用戶流量管理，可基於用戶或用戶組進行流量管理，或配合應用進行用戶或用戶組、應用的組合流量管理。