相對(duì)于其他行業(yè),高校對(duì)互聯(lián)網(wǎng)訪問(wèn)內(nèi)容的控制更加嚴(yán)格,特別是針對(duì)學(xué)生的上網(wǎng)訪問(wèn)行為,需要進(jìn)行適度的管控,引導(dǎo)學(xué)生健康的上網(wǎng)。根據(jù)2005 年頒布的“公安部82 令”中對(duì)互聯(lián)網(wǎng)訪問(wèn)日志審計(jì)提出的明確要求,要求互聯(lián)網(wǎng)服務(wù)提供者、互聯(lián)網(wǎng)使用單位必須采取必要的安全保護(hù)技術(shù)措施,對(duì)上網(wǎng)行為進(jìn)行監(jiān)控,并對(duì)非法行為進(jìn)行有效記錄。如何做到既開(kāi)放又管控,既穩(wěn)定運(yùn)營(yíng)又靈活擴(kuò)展,既要符合綠色校園的要求又要提供差異化服務(wù),既要實(shí)現(xiàn)透明化審計(jì)又要進(jìn)行全面有效規(guī)劃,這些都是高校安全建設(shè)中比較關(guān)心的問(wèn)題。
同時(shí),隨著高校學(xué)生規(guī)模的不斷的擴(kuò)大以及校園網(wǎng)的安全防護(hù)需要,以前的靜態(tài)分配IP方式已經(jīng)無(wú)法滿足不斷增加用戶的需求,需要通過(guò)認(rèn)證計(jì)費(fèi)系統(tǒng)來(lái)進(jìn)行PPPoE、Web+Portal、IEEE802.1x用戶接入認(rèn)證和計(jì)費(fèi),從而動(dòng)態(tài)分配IP。這樣就會(huì)帶來(lái)校園網(wǎng)出口處防火墻進(jìn)行日志審計(jì)時(shí),日志記錄只有動(dòng)態(tài)分給用戶IP,而缺少真實(shí)用戶名的問(wèn)題。
Hillstone高校實(shí)名制安全管控與日志審計(jì)方案通過(guò)Hillstone數(shù)據(jù)中心防火墻、安全審計(jì)平臺(tái)和計(jì)費(fèi)認(rèn)證系統(tǒng)聯(lián)動(dòng)來(lái)進(jìn)行基于實(shí)名制用戶的安全管控和日志審計(jì)來(lái)保障學(xué)生健康上網(wǎng)和符合安全監(jiān)管的要求。
需求分析
監(jiān)管部門(mén)會(huì)要求高校提供相關(guān)的NAT、IM、URL訪問(wèn)等日志信息。當(dāng)高校互聯(lián)網(wǎng)中有人發(fā)表非法言論、組織非法集會(huì)或者從事非法活動(dòng)時(shí),公安機(jī)關(guān)查到相關(guān)的互聯(lián)網(wǎng)IP地址時(shí),就要求高校查出相關(guān)用戶的IP,以便快鎖定嫌疑人。因此,高校相關(guān)實(shí)名制安全管控和日志審計(jì)需求包括:| ● |
實(shí)現(xiàn)基于實(shí)名制用戶的NAT、URL、IM日志記錄與查詢,符合安全監(jiān)管要求;
|
|
| ● | 實(shí)現(xiàn)基于實(shí)名制用戶的URL過(guò)濾和策略訪問(wèn)控制,引導(dǎo)學(xué)生健康上網(wǎng); | |
| ● | 實(shí)現(xiàn)基于實(shí)名制用戶的流量管理,保障校園網(wǎng)帶寬合理利用。 |
解決方案
Hillstone高校實(shí)名制安全管控與日志審計(jì)方案通過(guò)Hillstone數(shù)據(jù)中心防火墻、安全審計(jì)平臺(tái)和計(jì)費(fèi)認(rèn)證系統(tǒng)進(jìn)行聯(lián)動(dòng),可以進(jìn)行實(shí)名制的訪問(wèn)策略控制,權(quán)限管理,針對(duì)不同用戶開(kāi)放不同的訪問(wèn)權(quán)限;可以進(jìn)行URL上網(wǎng)控制,針對(duì)不同用戶進(jìn)行不同的URL類訪問(wèn)控制;可以進(jìn)行NAT、URL、IM日志審計(jì),在NAT、URL、IM日志中記錄用戶名,方便進(jìn)行日志查詢;可以實(shí)現(xiàn)的實(shí)名制用戶流量管理,可基于用戶或用戶組進(jìn)行流量管理,或配合應(yīng)用進(jìn)行用戶或用戶組、應(yīng)用的組合流量管理。
Hillstone高校實(shí)名制安全管控與日志審計(jì)方案
基于實(shí)名制用戶日志審計(jì)滿足安全監(jiān)管要求
Hillstone安全審計(jì)平臺(tái)可同時(shí)收集多臺(tái)Hillstone防火墻的日志信息,支持每秒10萬(wàn)條日志的接收速度。通過(guò)和計(jì)費(fèi)認(rèn)證設(shè)備進(jìn)行聯(lián)動(dòng),可以記錄包含實(shí)名制用戶的NAT、URL、IM日志,方便運(yùn)維人員進(jìn)行查詢。同時(shí),Hillstone安全審計(jì)平臺(tái)采用優(yōu)化的查詢算法,及時(shí)在日志記錄接近飽和時(shí),查詢?nèi)罩镜淖畲髸r(shí)間不超過(guò)20秒。高性能、高效率的安全審計(jì)平臺(tái)可滿足安全監(jiān)管的要求。
基于實(shí)名制用戶上網(wǎng)行為管控引導(dǎo)學(xué)生健康上網(wǎng)
Hillstone數(shù)據(jù)中心防火墻中結(jié)合監(jiān)管部門(mén)制訂的內(nèi)容訪問(wèn)的政策、法規(guī)和習(xí)慣量身定制了強(qiáng)大的URL地址庫(kù),包含數(shù)千萬(wàn)條域名的分類web頁(yè)面,并能夠?qū)崟r(shí)同步更新。通過(guò)和計(jì)費(fèi)認(rèn)證設(shè)備聯(lián)動(dòng),從而實(shí)現(xiàn)基于實(shí)名制用戶的URL過(guò)濾以及策略訪問(wèn)控制,針對(duì)不同的用戶進(jìn)行不同訪問(wèn)權(quán)限控制,引導(dǎo)學(xué)生健康上網(wǎng)。
基于實(shí)名制用戶流量管理提升用戶上網(wǎng)體驗(yàn)
通過(guò)和計(jì)費(fèi)認(rèn)證設(shè)備進(jìn)行聯(lián)動(dòng),Hillstone數(shù)據(jù)中心防火墻通過(guò)智能流量管理功能可以對(duì)高校互聯(lián)網(wǎng)進(jìn)行基于應(yīng)用和用戶的精細(xì)、全面的管理。首先,會(huì)對(duì)高校互聯(lián)網(wǎng)中各種應(yīng)用甚至包括加密的P2P應(yīng)用和即時(shí)消息流量進(jìn)行深度應(yīng)用識(shí)別和標(biāo)記,然后根據(jù)應(yīng)用識(shí)別和標(biāo)記結(jié)果對(duì)流量帶寬進(jìn)行控制并區(qū)分優(yōu)先級(jí),同時(shí)能夠?qū)崟r(shí)探測(cè)網(wǎng)絡(luò)出入帶寬的利用率,進(jìn)而動(dòng)態(tài)調(diào)整特定用戶的帶寬,為用戶充分利用帶寬資源提供了極大的靈活性,又能保證高峰時(shí)段的網(wǎng)絡(luò)使用性能,限制非關(guān)鍵業(yè)務(wù)流量,保障關(guān)鍵業(yè)務(wù)流量。