國內(nèi)高校Eduroam管控策略

文/田愛寶

國內(nèi)高校Eduroam管控策略

文/田愛寶

國內(nèi)越來越多的高校加入Eduroam聯(lián)盟的同時也帶來管理上的諸多問題。為此，Eduroam需要從網(wǎng)絡、賬號等方面進行管理控制，保障Eduroam的健康發(fā)展。

Eduroam（Education Roaming）是專門用于教育和科研機構(gòu)跨域之間的全球無線漫游認證服務，目前覆蓋了近90個國家或地區(qū)，加入Eduroam的機構(gòu)或組織可以使用自己的賬號密碼在Eduroam聯(lián)盟內(nèi)其他組織或機構(gòu)免費登錄Eduroam無線網(wǎng)絡。Eduroam采用標準的802.1x認證模式，采用與域名系統(tǒng)相同的層級結(jié)構(gòu)，通過Radius轉(zhuǎn)發(fā)的方式，實現(xiàn)全球范圍內(nèi)的認證信息的傳遞及網(wǎng)絡接入的管理。

2015年中國大陸高校首次加入Eduroam聯(lián)盟，截至目前，大陸高校有近100所加入了或正在加入Eduroam漫游聯(lián)盟。隨著國內(nèi)高校加入Eduroam聯(lián)盟越來越多，校際間互訪的也越來越便利，帶來師生校際之間的互訪交流越來越多，特別是地理距離很近的高校，但同時也帶來管理上的其他問題，如賬號交換帶來的信息安全問題、網(wǎng)絡安全攻擊問題、網(wǎng)絡資源惡意下載問題等。為此，Eduroam的管理需要從網(wǎng)絡、賬號等方面進行管理控制，保障Eduroam的健康發(fā)展。

網(wǎng)絡權(quán)限管理

Eduroam作為全球漫游網(wǎng)絡，提供外來訪客對網(wǎng)絡的訪問，用于連接互聯(lián)網(wǎng)，且按照Eduroam聯(lián)盟的免費、自由、開放的理念，網(wǎng)絡提供者不應對外來用戶進行過多網(wǎng)絡接入限制，必然導致網(wǎng)絡接入控制策略與自身校園網(wǎng)絡存在差異，無法做到與本機構(gòu)內(nèi)網(wǎng)絡的精確管理。為此，結(jié)合網(wǎng)絡性質(zhì)與管理策略，Eduroam網(wǎng)絡應該是一個訪客網(wǎng)絡，所具有的權(quán)限也應該是僅僅提供互聯(lián)網(wǎng)絡訪問。

按照Eduroam統(tǒng)一標準，加入聯(lián)盟的結(jié)構(gòu)需要開通獨立的無線SSID，名稱統(tǒng)一為Eduroam，并配置802.1x認證方式。由于是獨立的無線標識，可以通過實現(xiàn)后端邏輯網(wǎng)絡的相對獨立，這也為Eduroam網(wǎng)絡的權(quán)限管理提供了充足的條件。因此，Eduroam開通獨立的SSID，后端使用獨立的地址段，與校園網(wǎng)絡進行區(qū)分，對互聯(lián)網(wǎng)訪問使用獨立的公網(wǎng)IP地址，并將Eduroam的用戶網(wǎng)關(guān)隔離到校園網(wǎng)出口外側(cè)，實現(xiàn)的效果為Eduroam接入用戶的訪問權(quán)限僅僅為互聯(lián)網(wǎng)接入用戶，但訪問校園網(wǎng)的權(quán)限與互聯(lián)網(wǎng)用戶權(quán)限相同。

采取上述最小網(wǎng)絡訪問權(quán)限策略后，Eduroam接入用戶將無法利用接入地的校園網(wǎng)用戶身份惡意下載電子文獻、攻擊校園網(wǎng)及信息系統(tǒng)，有效解決Eduroam用戶對校園網(wǎng)絡所帶來的安全隱患。

用戶準出管理

隨著高校信息化的發(fā)展，統(tǒng)一身份認證是必然的趨勢，當前許多高校已經(jīng)實現(xiàn)了統(tǒng)一身份認證或正在實現(xiàn)統(tǒng)一身份認證，登錄網(wǎng)絡的賬號密碼與登錄信息系統(tǒng)的賬號密碼的統(tǒng)一導致賬號關(guān)聯(lián)的個人信息越來越多，對賬號的安全性也提出了更高的要求。

由于Eduroam采取的是免費策略，而絕大部分高校師生上網(wǎng)采取收費策略，必然導致部分師生為了節(jié)省網(wǎng)費而產(chǎn)生交換賬號使用的行為，甚至存在部分賬號通過類似賬號交換中介組織泄漏給其他人，且賬號安全不可控，將會產(chǎn)生個人敏感信息泄漏的風險。為此，各個學校應該加強賬號的準出管理。如根據(jù)對賬號的信任程度，采取默認開放或關(guān)閉的策略，按需出訪。

用戶準入管理

與用戶準出管理不同，準入機制是網(wǎng)絡提供者對網(wǎng)絡接入者的管理，由于網(wǎng)絡提供者無法通過接入者賬號進行身份的識別，因此無法進行精確的管理，且Eduroam奉行免費、開放、自由的理念，網(wǎng)絡提供者不大可能實現(xiàn)默認黑名單機制。

在實際Eduroam運維中，網(wǎng)絡提供者可能會遇到賬號被盜用、惡意使用網(wǎng)絡等非正常情況。為此，網(wǎng)絡提供者可以建立黑名單機制，將存在問題的用戶賬號列入黑名單，并根據(jù)實際情況對賬號采取臨時關(guān)閉、長期關(guān)閉、以及永久關(guān)閉等措施，保障網(wǎng)絡提供者的網(wǎng)絡安全和用戶賬號安全等。

黑名單機制

絕大部分機構(gòu)對Eduroam進行嚴格管理，保障了Eduroam成員之間的網(wǎng)絡安全及信任關(guān)系，但也存在部分機構(gòu)對用戶賬號管理不嚴，沒有盡到聯(lián)盟成員的義務，損害了聯(lián)盟內(nèi)其他機構(gòu)的利益，影響了其他機構(gòu)的網(wǎng)絡安全，導致與聯(lián)盟之間的信任關(guān)系的破壞，基于維護Eduroam聯(lián)盟成員的整體利益，可以由上級轉(zhuǎn)發(fā)機構(gòu)將該成員域名加入黑名單，暫停認證報文轉(zhuǎn)發(fā)，甚至取消聯(lián)盟成員資格等。

策略實施

國內(nèi)大部分高校Eduroam的對接采用Freeradius軟件，并通過配置Radius轉(zhuǎn)發(fā)實現(xiàn)。在這個架構(gòu)中，本地Radius轉(zhuǎn)發(fā)服務器是中心節(jié)點，準出準入的認證轉(zhuǎn)發(fā)均須經(jīng)過該節(jié)點，故也是控制策略實施的節(jié)點。

為了實現(xiàn)控制策略，可以通過配置Freeradius軟件中的policy.conf文件，增加賬號特征過濾策略，實現(xiàn)黑白名單的功能，具體配置如下：

通過配置樣例，可以實現(xiàn)對test@upc.edu.cn單個賬號和以@xxx.edu.cn結(jié)尾的整個機構(gòu)賬號的限制準入準出訪問。根據(jù)配置文件，可以使用正則表達式實現(xiàn)對不同特征的賬號和機構(gòu)進行認證控制，滿足Eduroam漫游的網(wǎng)絡及賬號安全的管理。

通過對Eduroam的網(wǎng)絡權(quán)限控制、用戶的準入和準出管理，輔助黑名單機制，能有效保障Eduroam整套系統(tǒng)的運行穩(wěn)定與網(wǎng)絡安全，建立充分的信任關(guān)系，滿足正常合法用戶的便利接入，阻斷非法用戶的接入，為正常的學術(shù)交流活動提供高效的網(wǎng)絡保障。

（責編：楊燕婷）

（作者單位為中國石油大學（華東）網(wǎng)絡及教育技術(shù)中心）

華碩在京發(fā)布行業(yè)專供CSM主板

針對各行業(yè)不同需求，當下行業(yè)客戶遇到的難點，華碩正式發(fā)布了行業(yè)專供CSM(Corporate Stable Motherboard)主板， 量身打造完整的解決方案, 提供穩(wěn)定貨源供應,高效統(tǒng)一化管理的華碩遠程管理中心軟件（ACC -ASUS Control Center）及提升穩(wěn)定度的納米涂層防護功能, 滿足用戶對穩(wěn)定安全,高效統(tǒng)一化管理和靈活定制的最高需求。9月26日，華碩商用產(chǎn)品及解決方案發(fā)布會在北京飯店舉行，發(fā)布會以“行業(yè)專供，信賴之選”為主題，迷你電腦、無線網(wǎng)絡產(chǎn)品及商用顯示器等新一代全系列商用產(chǎn)品也同步亮相此發(fā)布會。

華碩電腦全球副總裁兼開放平臺業(yè)務群總經(jīng)理 許祐嘉

發(fā)布會上，華碩電腦全球副總裁兼開放平臺業(yè)務群總經(jīng)理許祐嘉在致辭中表示，PC簡單來講可分為兩大類，一種是行業(yè)定制化（工控）主板，其一般有著特殊規(guī)格需求；另一類則是標準化（一般零售版型）主板。但標準化里又將細分很多使用情境，譬如華碩在11年前，就針對電競市場成立了ROG玩家國度，現(xiàn)已成為高端玩家推崇的游戲硬件品牌之一。而現(xiàn)在又有另一個需求是針對行業(yè)市場，類似中小型企業(yè)用戶。如今華碩推出了CSM行業(yè)專供主板，依托尖端主板的研發(fā)技術(shù)和完備的產(chǎn)品線，為用戶提供整套完整的解決方案。

華碩電腦全球行業(yè)資深產(chǎn)品總監(jiān)趙國維在現(xiàn)場分享了華碩在商用領(lǐng)域的經(jīng)驗和成果，并從行業(yè)客戶角度為出發(fā)點，闡述產(chǎn)品針對行業(yè)設計的功能特點、提供的解決方案及全球案例運用等多方面，詳細介紹了全新的商用產(chǎn)品系列。

趙國維在現(xiàn)場強調(diào)到，華碩承諾為用戶及合作伙伴提供穩(wěn)定的貨源，專供的主板產(chǎn)品可持續(xù)供貨1至3年，以幫助用戶降低換單的風險，同時節(jié)省測試資源及人力成本支出。據(jù)了解，華碩此舉屬業(yè)界首創(chuàng)，顯示了其對此行業(yè)市場的重視和信心。

考慮到中小企業(yè)用戶在統(tǒng)一系統(tǒng)管理、資料安全防護及降低運營成本等需求，華碩CSM行業(yè)專供主板提供華碩遠程管理中心軟件(ACC -ASUS Control Center)。它可遠程管理所有客戶端系統(tǒng)、實時開關(guān)機、系統(tǒng)設備監(jiān)控、USB存取安全管控，更可一次性更新所有軟件及BIOS，能幫助用戶大幅度提高IT管理效率。CSM主板還可以根據(jù)客戶需求，訂制專屬的BIOS，例如設置開機LOGO畫面、升級固件等。