相對(duì)于其他行業(yè)，高校對(duì)互聯(lián)網(wǎng)訪問(wèn)內(nèi)容的管理更加嚴(yán)格，特別是針對(duì)學(xué)生的上網(wǎng)訪問(wèn)行為，需要進(jìn)行適度的管控，引導(dǎo)學(xué)生健康地上網(wǎng)。根據(jù)國(guó)家頒布的相關(guān)法律，有關(guān)部門對(duì)互聯(lián)網(wǎng)訪問(wèn)日志審計(jì)提出了明確要求，要求互聯(lián)網(wǎng)服務(wù)提供者、互聯(lián)網(wǎng)使用單位必須采取必要的安全保護(hù)技術(shù)措施，對(duì)上網(wǎng)行為進(jìn)行監(jiān)控，并對(duì)違規(guī)訪問(wèn)進(jìn)行有效記錄。如何做到既開放又管控，既穩(wěn)定運(yùn)營(yíng)又靈活擴(kuò)展，既要符合綠色校園的要求又要提供差異化服務(wù)，既要實(shí)現(xiàn)透明化審計(jì)又要進(jìn)行全面有效規(guī)劃，這些都是高校安全建設(shè)中比較關(guān)心的問(wèn)題。

自從1996年接入CERNET以來(lái)，中國(guó)人民大學(xué)（下稱人大）對(duì)校園網(wǎng)建設(shè)給予了大量的資金投入，目前的網(wǎng)絡(luò)基礎(chǔ)設(shè)施已經(jīng)具備了相當(dāng)規(guī)模，覆蓋全部教學(xué)、辦公區(qū)以及校園公共區(qū)域。

“根據(jù)我們統(tǒng)計(jì)，目前人大校園里面有1.4萬(wàn)臺(tái)設(shè)備在線。最高峰的時(shí)候大概有3萬(wàn)左右的活躍賬戶?，F(xiàn)在校內(nèi)幾乎是人人都在上網(wǎng)，甚至有很多學(xué)生有兩部以上可以上網(wǎng)的設(shè)備。隨著校園人員的不斷增加，以及大家網(wǎng)絡(luò)使用習(xí)慣的改變，校園內(nèi)網(wǎng)絡(luò)的壓力越來(lái)越大。例如2013年新生剛剛?cè)胄?，校?nèi)的無(wú)線網(wǎng)就‘趴下’了?！敝袊?guó)人民大學(xué)信息技術(shù)中心副主任張丹東說(shuō)。

據(jù)了解，日常工作中，如果有人在校園網(wǎng)絡(luò)進(jìn)行違規(guī)活動(dòng)，有關(guān)部門會(huì)要求高校提取相關(guān)用戶的IP，以便盡快鎖定嫌疑人。因此，在人大日常的網(wǎng)絡(luò)實(shí)名制安全管控和日志審計(jì)工作中，存在著基于實(shí)名制用戶的NAT、URL、IM日志記錄與查詢需求。

在這種情況下，以往的的靜態(tài)分配IP方式已經(jīng)無(wú)法滿足人大對(duì)校園網(wǎng)絡(luò)安全的需求。面對(duì)不斷增加的用戶的需求，需要通過(guò)認(rèn)證計(jì)費(fèi)系統(tǒng)來(lái)進(jìn)行IPPoE、Web+Portal、IEEE802.1x用戶接入認(rèn)證和計(jì)費(fèi)，從而動(dòng)態(tài)分配IP。這樣就會(huì)帶來(lái)校園網(wǎng)出口處防火墻進(jìn)行日志審計(jì)時(shí)，日志記錄只有動(dòng)態(tài)分給用戶IP，而缺少真實(shí)用戶名的問(wèn)題。

“過(guò)去對(duì)用戶的網(wǎng)絡(luò)行為進(jìn)行事后核查的時(shí)候，由于缺少一個(gè)統(tǒng)一的設(shè)備，工作人員需要先去查計(jì)費(fèi)系統(tǒng)，然后再查網(wǎng)絡(luò)認(rèn)證的記錄，然后通過(guò)Mac地址才能把幾個(gè)系統(tǒng)里面的數(shù)據(jù)關(guān)聯(lián)起來(lái)，最后找到相關(guān)的人員?！睆埖|說(shuō)，這種方式非常費(fèi)時(shí)費(fèi)力，準(zhǔn)確性也不高。

從2013年5月開始，人大部署了Hillstone高校實(shí)名制安全管控與日志審計(jì)方案?！坝眠@套方案，查當(dāng)天的數(shù)據(jù)也就需要20多秒的時(shí)間，如果查以往的數(shù)據(jù)，也就是一分鐘左右，在速度上比以往的過(guò)程縮短了很多?！睆埖|說(shuō)。

據(jù)悉，Hillstone高校實(shí)名制安全管控與日志審計(jì)方案通過(guò)Hillstone安全網(wǎng)關(guān)、安全審計(jì)平臺(tái)和計(jì)費(fèi)認(rèn)證系統(tǒng)進(jìn)行聯(lián)動(dòng)，可以進(jìn)行實(shí)名制的訪問(wèn)策略控制、權(quán)限管理，針對(duì)不同用戶開放不同的訪問(wèn)權(quán)限；可以進(jìn)行URL上網(wǎng)控制，針對(duì)不同用戶進(jìn)行不同的URL類訪問(wèn)控制；可以進(jìn)行NAT、URL、IM日志審計(jì)，在NAT、URL、IM日志中記錄用戶名，方便進(jìn)行日志查詢；可以實(shí)現(xiàn)實(shí)名制用戶流量管理，可基于用戶或用戶組進(jìn)行流量管理，或配合應(yīng)用進(jìn)行用戶或用戶組、應(yīng)用的組合流量管理。