信息化的最终目标是信息共享和信息利用,而随着电子商务和电子政务的发展,需要访问内部网络的人员的身份也日趋复杂,如何在保证资源开放的同时,实现对接入的管理与控制?早在2002年开始就在全国率先开始信息化建设的华东师范大学就遇到了这样的问题。
从校外访问开始
作为学习、教学以及科研的重要手段,华东师范大学在信息化建设过程中非常看重数字图书馆的建设。华东师范大学不仅将自身馆藏书籍数字化,与商业化机构合作购买国内期刊的阅览版权,而且还通过向国外商业图书馆交纳版板费,与海外数字图书馆连接。为了保证数据信息的知识产权,浏览者必须是已缴纳版权费的本校内网地址。
此外,随着教育信息化的应用逐渐规模化,华东师范大学的校务系统、办公自动化系统发展迅速,如网上排课系统、学校公告发布、邮件系统等都是典型的应用。如果校务管理人员和教师不在校园网内,同样出现了安全访问的问题。
“作为一个文科学校,很多老师喜欢在家中办公,学生也希望在假期期间在家中访问这些学习资源。”华东师范大学网络中心副主任常潘经常接到这样的反馈。
为了解决这些问题,今年以来,华东师范选择了Array Networks的UAC(Universal Access Control)解决方案。通过这一系统,大学师生从校外公网接入只需经过SSL VPN的认证和授权,就会在登陆后会分配一个虚拟的网卡。由于其地址体系是校内的统一地址体系,这样无论使用任何运营商的宽带接入服务,用户都可以通过SSL VPN隧道方式顺利访问校内资源。
“由于不需要安装客户端等复杂操作,很多年岁较长,对计算机操作不熟悉的老师反映尤其好。”常潘说。
另外,系统部署后,常老师及他的同事也体会到了便利。在出现故障的情况下,无论是在家,还是出差,他们都可以马上远程接入,即时修复故障,保障校园信息化系统的稳定性工作。
为了安全的WLAN
华东师范大学为了师生方便上网,还提供了WLAN接入。但802.11自带的加密和验证标准很容易受到攻击,带来非授权访问、黑客攻击等一系列问题。因此,华东师范也意识到,在部署WLAN时不仅要考虑WLAN设备本身的认证、授权加密,还要增加在用户认证授权、应用控制层面的安全访问控制等措施。Array的UAC方案也特别考虑到WLAN的安全访问问题,在WLAN的环境中,将Array SPX UAC网关部署在AP ( Access Point)与企业的路由器之间。同样,由于不需要安装客户端程序,远程和本地用户基本上不需要IT部门的支持就可以随时随地从任何安装了支持SSL协议浏览器的客户端访问企业网络,进而安全地访问内网的各种应用。
这样,在一个开放的网络环境下,对于来宾和访问者,华东师范可以做到只允许通过企业网络访问Internet;对于合作伙伴用户,允许访问Internet,同时也允许访问企业开放给合作伙伴的应用;对于内部员工则可以基于组赋予更细致的访问权限。
据Array Networks中国公司解决方案经理吴跃鹏介绍,除了WLAN的接入控制外,Array也正在研发基于蜂窝移动通信的接入控制,以实现与移动办公系统的契合。
Array UAC解决方案的另一优势是对WLAN设备兼容性很高,不论是哪个厂家的产品,不论WLAN采用何种的具体的协议都可以实现接入控制功能。对于早期购买WLAN产品的用户也依然可以使用,对今后802.11n等一系列新标准版本也完全能够兼容。
从NAC到UAC
吴跃鹏表示,Array Networks提供的并不是简单的NAC(网络接入控制),而是包括网络接入控制、用户接入控制、对应用的全程控制、客户端控制、审计计费及安全分析在内的UAC(统一接入控制)。
事实上,除了用户身份鉴权、接入设备鉴权、认证和授权提供访问控制外,Array的UAC还能够实现客户端安全状态检测、接入设备鉴权、安全隔离和纠正、高强度不可逆的数据加密、基于网络和资源的细粒度访问控制以及计费系统/日志系统的集成等一系列功能。
华东师范大学就应用了其中的计费系统。据常潘介绍,通过Array认证功能和城市热点的Radius计费系统结合,华东师范大学实现了针对教职员工、全日制学生以及自考生、网络学院学生等不同用户的不同计费策略。同时,SSL VPN还可以和WLAN的接入认证和计费系统一起配合来控制WLAN接入用户的访问权限,允许或禁止访问某些网段,是否可以访问公网等接入控制。
再比如,在华东师范WLAN接入控制中,Array SPX网关就提供了一系列终端安全检测的方法和防护措施,结合企业的隔离和纠正策略,克服了WLAN固有的安全缺陷,对于访客也能够提供适当的WLAN接入权限,提高企业的业务效率。
作为高校信息化先行者的华东师范,率先感受到网络建设只是信息化的开始,控制、管理以及计费等一系列策略的实现才是信息化的中心内容。而随着信息化的持续开展,华东师范的现身说法也只是开始。