相对于其他行业,高校对互联网访问内容的控制更加严格,特别是针对学生的上网访问行为,需要进行适度的管控,引导学生健康的上网。根据2005 年颁布的“公安部82 令”中对互联网访问日志审计提出的明确要求,要求互联网服务提供者、互联网使用单位必须采取必要的安全保护技术措施,对上网行为进行监控,并对非法行为进行有效记录。如何做到既开放又管控,既稳定运营又灵活扩展,既要符合绿色校园的要求又要提供差异化服务,既要实现透明化审计又要进行全面有效规划,这些都是高校安全建设中比较关心的问题。
同时,随着高校学生规模的不断的扩大以及校园网的安全防护需要,以前的静态分配IP方式已经无法满足不断增加用户的需求,需要通过认证计费系统来进行PPPoE、Web+Portal、IEEE802.1x用户接入认证和计费,从而动态分配IP。这样就会带来校园网出口处防火墙进行日志审计时,日志记录只有动态分给用户IP,而缺少真实用户名的问题。
Hillstone高校实名制安全管控与日志审计方案通过Hillstone数据中心防火墙、安全审计平台和计费认证系统联动来进行基于实名制用户的安全管控和日志审计来保障学生健康上网和符合安全监管的要求。
需求分析
监管部门会要求高校提供相关的NAT、IM、URL访问等日志信息。当高校互联网中有人发表非法言论、组织非法集会或者从事非法活动时,公安机关查到相关的互联网IP地址时,就要求高校查出相关用户的IP,以便快锁定嫌疑人。因此,高校相关实名制安全管控和日志审计需求包括:● |
实现基于实名制用户的NAT、URL、IM日志记录与查询,符合安全监管要求;
|
|
● | 实现基于实名制用户的URL过滤和策略访问控制,引导学生健康上网; | |
● | 实现基于实名制用户的流量管理,保障校园网带宽合理利用。 |
解决方案
Hillstone高校实名制安全管控与日志审计方案通过Hillstone数据中心防火墙、安全审计平台和计费认证系统进行联动,可以进行实名制的访问策略控制,权限管理,针对不同用户开放不同的访问权限;可以进行URL上网控制,针对不同用户进行不同的URL类访问控制;可以进行NAT、URL、IM日志审计,在NAT、URL、IM日志中记录用户名,方便进行日志查询;可以实现的实名制用户流量管理,可基于用户或用户组进行流量管理,或配合应用进行用户或用户组、应用的组合流量管理。
Hillstone高校实名制安全管控与日志审计方案
基于实名制用户日志审计满足安全监管要求
Hillstone安全审计平台可同时收集多台Hillstone防火墙的日志信息,支持每秒10万条日志的接收速度。通过和计费认证设备进行联动,可以记录包含实名制用户的NAT、URL、IM日志,方便运维人员进行查询。同时,Hillstone安全审计平台采用优化的查询算法,及时在日志记录接近饱和时,查询日志的最大时间不超过20秒。高性能、高效率的安全审计平台可满足安全监管的要求。
基于实名制用户上网行为管控引导学生健康上网
Hillstone数据中心防火墙中结合监管部门制订的内容访问的政策、法规和习惯量身定制了强大的URL地址库,包含数千万条域名的分类web页面,并能够实时同步更新。通过和计费认证设备联动,从而实现基于实名制用户的URL过滤以及策略访问控制,针对不同的用户进行不同访问权限控制,引导学生健康上网。
基于实名制用户流量管理提升用户上网体验
通过和计费认证设备进行联动,Hillstone数据中心防火墙通过智能流量管理功能可以对高校互联网进行基于应用和用户的精细、全面的管理。首先,会对高校互联网中各种应用甚至包括加密的P2P应用和即时消息流量进行深度应用识别和标记,然后根据应用识别和标记结果对流量带宽进行控制并区分优先级,同时能够实时探测网络出入带宽的利用率,进而动态调整特定用户的带宽,为用户充分利用带宽资源提供了极大的灵活性,又能保证高峰时段的网络使用性能,限制非关键业务流量,保障关键业务流量。