高校网络安全及上网行为管理需求分析

• 关 键 词：
• microsoft
• internet
• director
• sinfor
• access

讨论组 ：http://group.qqread.com

   三、用户有效身份认证和上网权限管理难以控制：

　　一般来讲，采用IP/Mac地址绑定作为用户认证和上网权限的控制是当前最常见的方法，但随着IP、Mac篡改现象的增多，传统的IP/Mac绑定已无法做到有效的身份认证和权限控制。 现在网络建设较完善的高校一般都采用了基于Radius、LDAP或Microsoft AD的服务器认证，用于学校用户在众多应用系统中的帐号管理。在这里，我们来探讨一下互联网访问的认证机制。

　　3A(认证，授权和审计)是组织安全设施的基础，能对用户和内容进行有效的保护和控制。认证对于一个局域网来说主要分为两个层面，首先是借助应用系统自身的认证，例如OA系统的用户名/密码，这可以从一定程度上避免非授权用户对内网核心资源的访问;另一层面是借助于网络部门建立的Radius域认证、微软LDAP(Lightweight Directory Access Protocol , LDAP)等来对内部用户进行身份认证管理。然而，基于内网安全的认证机制还需要进一步完善。试想，如果一个打算离职的员工还属于可信用户，但他却把内网中的财务报表打个包上传到公网的一台FTP服务器，或将组织辛苦搜集到的客户信息通过Email发送给竞争对手，这些行为对组织的经济效益将带来巨大的损失。

　　所以，我们迫切需要管理局域网中所有用户的Internet访问。现在我们应该对用户组进行认证方式的设置。在深信服AC中你将切实感受到多种认证方式带来的好处。身份认证主要有两种方式，免客户端认证和客户端认证，深信服AC中的Web认证属于前者。Web认证通过浏览器即可完成全部认证，即使对计算机操作并不熟悉的用户也能够理解和使用，很好提高了操作的互动性和弹性。

　　Web认证是这样运行的：内网的用户第一次开机时，只要在浏览器中输入网址，AC将自动把用户的访问页面重定向到预设的Web认证界面。只有在页面中正确输入管理员分配的帐号信息才能正常访问Internet并获取相应资源，否则网关将拒绝用户的所有Internet连接请求。另外，为了避免用户离开后主机被他人利用，当用户在一段时间内没有发生任何网络流量时，AC的Web认证将断开该用户的网络连接，直到用户再次通过Web认证。

　　深信服AC支持多种认证方式，除了通过用户名/密码、IP/Mac认证外， 其W eb认证还可以透明结合Radius、LDAP、POP3等认证服务系统进行用户身份校验。IP/Mac认证可以通过AC自带的局域网扫描功能实现。对于后几种认证手段，只要在AC中正确填入域、活动目录和邮件服务器的地址和端口，AC将自动更新用户列表和策略，这对建立了完善的内网认证体系的用户来说非常方便。

　　四、如何确保客户端的安全，以解决潜在的网络安全问题

　　由于高校拥有众多的内网用户，因而客户端的安全级别往往难以保证，学校师生使用版本陈旧的操作系统、长时间不更新个人防火墙和杀毒软件、应用具有潜在安全漏洞的软件，这些都成为了局域网安全中的"短板"。

　　基于此，深信服AC通过对端点安全评估和访问策略列表来实现全方位的安全防护。当启用了深信服AC的客户端安全准入功能后，内网用户第一次发起互联网连接请求时，AC将动态分发准入代理(Sinfor Ingress Agent, SIA)至客户端主机。SIA是轻量级软件代理，用于确定端点是否遵从管理员设定的安全策略。SIA中可配置用于检查预定义的以及可定制的标准，包括操作系统、运行程序、系统进程、注册表的存在/版本/补丁等。当SIA将搜集到的客户端信息传回AC网关后，入发现内网用户的端点安全状态不符合SIA的规则设置时，AC将对相应用户执行预定义的策略，放行或强制关闭某项程序或进程。

　　如果一位内网用户矢志不渝地使用某些具有安全隐患的程序，而这一程序又有可能将病毒、蠕虫和恶意程序从主机的桌面传播至整个网络，这时我们就可以通过客户端安全准入功能将此程序禁用，当用户一旦启用此程序后，用户的PC将同互联网"隔离"，只有关闭掉恶意程序，用户才能正常访问互联网，这会使内网用户的网络行为更规范、内网更安全。

　　客户端安全准入功能提供的可定制的网络行为标准可以赋予学校网络管理者更多的权限和扩展性，通过对程序、注册表、进程的自定义，客户端安全准入机制可以管理几乎所有的终端在线状态，使安全策略更有效地同整体安全防御体系合为一体，从而彻底解决潜在的内部网络安全问题。

　　五、用户上网行为的日志、报表分析的重要性突出：

　　高校用户的内网PC数量庞大，每秒钟都会生成海量的互联网访问日志。为了加强对整个学校网络资源应用情况的了解，学校网络管理员需要一个内容详尽、分析透彻、功能强大的日志报表系统来提供清晰的管理和决策依据。

　　深信服AC提供目前业界最强大的日志中心，可以对所有内网用户的上网行为进行实时监控。可以实时查看内网用户所有的上网记录，包括记录和查看Web访问、FTP、TELNET、邮件(含Webmail)、QQ、MSN、ICQ、YAHOO Message等流行IM软件的数据。丰富的报表功能可以生成完整的日志，记录整个网络的上网行为，方便事后的追踪查询到每一个用户。

　　不同于其它上网行为管理产品，深信服AC的日志中心具有良好的移植性，对于那些日志量较大的用户，可以将深信服AC的日志中心平滑的转移到内网中的任何一台服务器上，并通过Web访问方式随时查询和导出数据。这种可移植的日志中心有两大优势：1.独立部署的日志中心将不受设备的硬盘容量限制，更方便用户的日志记录和扩展。对于一些需要记录大量互联网访问信息的用户，此功能特别实用;2.由于深信服AC可将日志和设备分离，大大减轻了上网行为管理设备的工作量，避免大量的数据存取操作成为影响网关性能的瓶颈。

　　在管理方面，深信服AC可通过对组、用户、规则、协议等多种对象进行查询，按饼图、柱状图、曲线图等方式进行比较，能够直观地查看到网络流量、邮件、网络监控、IPS系统、准入规则、防火墙等详细信息，而且还可以直接打印和导出报表。SINFOR AC强大的日志系统和丰富的报表功能，可准确的分析出高校Internet的详尽使用情况，为网络管理员提供了最有效的数据支持。

【深 度 阅 读】 相 关 文 章

• 家用宽带ADSL上网共享从细节入手
• 优化你的宽带 让上网的速度超快
• 能上QQ不能上网的终极解决办法
• 上网经典实用的六招小技巧