|
| 校园网属于典型的园区网络,但其在安全管理、技术前瞻性方面的要求又超越了普通的园区网。我们从其本质出发,将校园网中存在的主要问题及需求归为三个方面——用户接入、管理运营、安全可控。此三者中,用户接入其实是实施网络运营管理、网络安全可控的基础;接入认证做得好,已经能够一定程度的杜绝校园网中常存在的问题,如IP地址冲突、IP地址盗用、病毒扫描广播等。
管理运营的需求实际上也代表了现代校园网络的发展方向,这方面已经超越了传统意义上的网络管理,新增和丰富了用户管理、认证计费、网络运营等方面的内容。安全隐患则是校园网中最为突出的问题,一方面这是由校园这一特殊的内部环境造成:学生本身的好奇心和技术能力都较强,但网络安全意识、网络行为责任心却相对较低。另一方面,整个网络大的外部环境也在变化:病毒和攻击的复合化、攻击工具增多、攻击方法简化,但网络破坏性却逐步增大。另外,由于网络设备和安全系统的分立,造成了校园网对安全事件的应急响应能力不够,许多安全问题往往是由于处理响应不及时,而最终导致了整网的感染。
针对上述各种问题及需求,港湾网络基于自身对教育行业的深刻认识和理解,提供了全面有效的解决方案。对于接入问题,我们提供了安全准入机制;对于管理运营需求,我们提供了人员管理和主机管理两套机制;对于安全隐患,我们提供了安全事件应急响应机制和网络资源保护机制。
安全准入SAC机制是港湾提出了“网络安检”的重要技术内容,机制要求在对用户身份确认的基础上,同样也需要对进入网络的PC系统进行安全检查,将存在问题隐患的主机拒之于网外,做到一种主动的防患于未然。检查的内容主要包括主机安全防毒与系统补丁方面的状况,是否安装防毒软件、病毒库是否更新、是否有病毒发作、系统补丁状况等等。然后再用这一系列检测的结果跟网管中心预定义的安全级别作比较,若能满足,则允许用户进入网络;若不满足存在隐患的,则将PC系统转入后台SAC中心进行相关的治疗,治疗后能满足预定义安全级别的也将允许进入网络。安全准入SAC机制实际上是安全由网络侧向主机侧的延伸,在之前网络侧一味被动防御的基础上,加强了主机侧的监控,是一种主动防御的理念。它的本质目的是能够对已知的病毒攻击进行防范,让网络不必为能够解决的问题而造成动荡或瘫痪。
人员及主机管理机制是港湾推行“网络实名制”的支撑内容,无论是现实社会,还是虚拟网络,人员身份的唯一确认都是其安全的基础。因此我们建立了网络人员控制机制:通过多元素绑定来确认人的身份唯一、通过权限的自动下发来控制人的活动范围、通过流量分析来监控人的行为、通过Radius属性追踪定位来追查“凶手”。这套机制定义了人员或主机实体在进入网络“事前”——“事中”——“事后”的相关管理手段,包含了开始进入网络前的认证绑定、系统检测;进入网络中的流量监控、行为分析;离开网络后的日志记录、异常反查等。另外,港湾在此套系统中针对校方的管理运营提供了诸多开发支持,建立了帐号群组、策略计费、客户自理系统、多重消息等功能支持,便于网络中心进行相关的用户管理、安全管理和运营 |
|
