相对于其他行业,高校对互联网访问内容的管理更加严格,特别是针对学生的上网访问行为,需要进行适度的管控,引导学生健康地上网。根据国家颁布的相关法律,有关部门对互联网访问日志审计提出了明确要求,要求互联网服务提供者、互联网使用单位必须采取必要的安全保护技术措施,对上网行为进行监控,并对违规访问进行有效记录。如何做到既开放又管控,既稳定运营又灵活扩展,既要符合绿色校园的要求又要提供差异化服务,既要实现透明化审计又要进行全面有效规划,这些都是高校安全建设中比较关心的问题。
自从1996年接入CERNET以来,中国人民大学(下称人大)对校园网建设给予了大量的资金投入,目前的网络基础设施已经具备了相当规模,覆盖全部教学、办公区以及校园公共区域。
“根据我们统计,目前人大校园里面有1.4万台设备在线。最高峰的时候大概有3万左右的活跃账户。现在校内几乎是人人都在上网,甚至有很多学生有两部以上可以上网的设备。随着校园人员的不断增加,以及大家网络使用习惯的改变,校园内网络的压力越来越大。例如2013年新生刚刚入校,校内的无线网就‘趴下’了。”中国人民大学信息技术中心副主任张丹东说。
据了解,日常工作中,如果有人在校园网络进行违规活动,有关部门会要求高校提取相关用户的IP,以便尽快锁定嫌疑人。因此,在人大日常的网络实名制安全管控和日志审计工作中,存在着基于实名制用户的NAT、URL、IM日志记录与查询需求。
在这种情况下,以往的的静态分配IP方式已经无法满足人大对校园网络安全的需求。面对不断增加的用户的需求,需要通过认证计费系统来进行IPPoE、Web+Portal、IEEE802.1x用户接入认证和计费,从而动态分配IP。这样就会带来校园网出口处防火墙进行日志审计时,日志记录只有动态分给用户IP,而缺少真实用户名的问题。
“过去对用户的网络行为进行事后核查的时候,由于缺少一个统一的设备,工作人员需要先去查计费系统,然后再查网络认证的记录,然后通过Mac地址才能把几个系统里面的数据关联起来,最后找到相关的人员。”张丹东说,这种方式非常费时费力,准确性也不高。
从2013年5月开始,人大部署了Hillstone高校实名制安全管控与日志审计方案。“用这套方案,查当天的数据也就需要20多秒的时间,如果查以往的数据,也就是一分钟左右,在速度上比以往的过程缩短了很多。”张丹东说。
据悉,Hillstone高校实名制安全管控与日志审计方案通过Hillstone安全网关、安全审计平台和计费认证系统进行联动,可以进行实名制的访问策略控制、权限管理,针对不同用户开放不同的访问权限;可以进行URL上网控制,针对不同用户进行不同的URL类访问控制;可以进行NAT、URL、IM日志审计,在NAT、URL、IM日志中记录用户名,方便进行日志查询;可以实现实名制用户流量管理,可基于用户或用户组进行流量管理,或配合应用进行用户或用户组、应用的组合流量管理。
本报记者 汤铭
关注读览天下微信,
100万篇深度好文,
等你来看……
