无锡能洁化工有限公司

当前位置:首页 > 新闻中心 > 正文

网络实名制在高校网络管理中的应用

编辑:无锡能洁化工有限公司  时间:2019/06/05
面对开放的网络应用、纷杂的操作系统和软件、参差不齐的用户操作水平,还有恶意或者善意的冒险用户等,如何保障校园网的高可用性、高稳定性和高安全性成了当下的问题。

聊城大学校园网经过十多年的快速发展,校园网出口总带宽为公网1000M和教育网155M,校园网覆盖了两个校区的100多座楼宇,联网计算机接近8000台,已成为学校一卡通、办公自动化、档案管理和安保系统等应用的“中流砥柱”。然而,校园网管理部门的人员有限,面对开放的网络应用、纷杂的操作系统和软件、参差不齐的用户操作水平,还有恶意或者善意的冒险用户等,如何保障校园网的高可用性、高稳定性和高安全性成了当下的问题。作为负责本项工作的网络管理人员,在建立网络用户信息中就借鉴了网络实名制的思想。普通用户都需要经过802.1X认证上网,需要输入各自的用户名和密码进行验证,只有信息均正确方可上外网。

网络实名制概念引入

这些年,关于网络实名制的讨论一直在如火如荼地进行着。网络管理者、业内专家大多支持网络实名制,认为必须通过实名制维护整个社会信息系统的安全与稳定。对于网络实名制的定义,目前在业内尚未形成一致和统一的论断。但普遍认可的陈述是:网民们使用网络服务如博客、BBS讨论、电子购物、网络游戏等时,要进行真实姓名和身份证号登记与验证,以加强网络管理。

办公区和家属区用户建立规则

1。第一个字母用e来表示东校区办公区,英语单词east(东)的首字母;第一个字母用w来表示西校区办公区,英语单词west(西)的首字母。

2。对东校重点办公楼和教学楼以及实验楼,分别命名为eo(东校办公的意思,EastOffice的首字母简写)、et(东校教学的意思,EastTeaching的首字母简写)以及ets(东校教学实验的意思,EastTeaching的首字母简写加上S,S代表实验)。例如:办公楼B区的一个用户命名为eob5011(eob代表东校办公楼B区,501代表房间号码,最后一位的1代表第一个用户)、4#教学楼A区的一个帐号为et04a5071(et代表东校教学的意思,04指4#教学楼,a指A区,507是房间号,最后一位的1代表第一个用户)、5#实验楼的一个用户为ets052031(ets代表东校教学实验楼,05指楼号,203是房间号,最后一位的1代表第一个用户);西校类似。

3。对于东校餐厅、车队、地理园、东湖宾馆、事务服务中心、农校办公楼、招生就业楼等楼号命名如下:ecanting、echedui、ediliyuan、edonghu、eshiwu、enongxue、ezhaosheng等;西校类似。

4。对于一些特殊用户命名规则:比如eshiwubbs01代表东校事务服务中心楼上的bbs的第一个用户。没有房间号的房间,直接特殊标示;对于用户自己可以批量管理的帐号,直接在名字后面加了表示第几个用户的数字,如edonghu01等。

5。家属区命名规则,西校家属区分东和西两个院,命名为类似dj112051和xj041051;东校家属区命名类似dx025011。

6。用户命名规则依然以体现见名知意为主要原则,看到名字即知道所在的楼号以及房间号等细粒度的信息,以方便网络的运行与管理维护等。

在日志系统中,可以看到用户名体现的见名知意的便捷。学生宿舍用户命名以学生学号直接作为用户名,如:2009200017。

管理网络实名制的实现

聊城大学之所以能借鉴网络实名制思想,是由于现在在全校范围内实行了802.1X认证上网。经过了6年多的摸索,形成了自己的一套解决方案。虽然都使用802.1X认证上网,但是不同用户使用细节上又各有不同。对部分用户实行的是静态IP地址方式,802.1X认证绑定的元素为用户账号、用户IP地址、用户机器MAC地址、用户所在的交换机IP以及所在交换机上的具体端口;对另一部分用户使用DHCP动态获取IP地址方式,802.1X认证绑定的元素为用户账号、用户机器MAC地址、用户所在的交换机,IP以及所在交换机上的具体端口等。采用802.1X认证计费系统后,对接入用户进行用户帐号与IP、MAC、端口等多元素绑定,以唯一确定用户;网络中的非法用户由于无法通过认证,支持802.1X的交换机此端口在物理上将此用户隔离在网络之外。这样,一些麻烦的问题也随之而去,例如经常发生的IP地址盗用、非法设备接入等。用户不启动客户端,其上连端口是禁止状态,与外界的网络是隔离状态,避免了原有网络实时在线,经常被扫描的情况。日志服务器记录有用户完整的访问记录,包括源IP、目的IP、源端口、目的端口、源MAC、目的MAC、访问开始时间、访问结束时间、发送流量、接受流量等,通过日志管理查询系统,可以对日志进行管理和查询。

在办公区和家属区的网络用户,首先在网络信息中心办理手续,分发给其上网账号,密码和个人信息按照用户实际信息录入,确保网络实名制的进行;之后网络信息中心人员负责将线路调通,并指导用户下载802.1X认证客户端;最后让用户能正常上网。

在学生宿舍区上网的学生用户是集中办理上网手续,欲申请上网的学生用户首先在网络信息中心综合业务平台网站上注册个人信息,本业务系统是网络信息中心人员根据聊城大学实际自主研发的系统,只要学生自己输入信息与系统中预先导入的全校学生信息相符就可以正常注册。以学生的学号作为用户账号名,学生可以自己设定密码,并录入具体上网的地点等相关信息。学生在网络信息中心缴费完毕后,在网络信息中心综合业务平台网站上导出缴费信息。网络信息中心将每个宿舍的上网信息接口预先调通,全部学生宿舍区均使用DHCP动态获取IP地址方式,简化了用户配置静态IP地址的麻烦,也省去了网络中心人员分发静态IP地址的大量工作;为了使客户端分发方便,在接入设备中做配置,允许未通过认证即可上聊城大学网站,并让用户可以从聊城大学网络信息中心网站上下载客户端,学生安装好802.1X认证客户端用自己的用户名和账号即可通过认证上外网。由于学生自己设定密码,对网络账号的安全性有了重要保证;为了对学生用户的网络管理更安全,在接入设备中引入ip DHCP Snooping思想,第一次上网后就绑定了用户上网位置和上网设备,避免了学生乱用账号,有利于网络管理。

聊城大学通过借鉴网络实名制思想而使网络管理变得更简单和快捷。在办公和家属区的上网用户都基于上网地点来命名,当有网络安全问题出现时,可追寻性强;当有网络故障问题出现时,对网络地点的确定很容易,解决问题针对性更强。在学生宿舍区上网的学生用户是基于学生学号命名的,对网络安全问题的可追踪性强;由于引入ip DHCP Snooping思想,通过学号在802.1X认证系统中查询到学生上网所在的具体位置,这样解决网络故障更加容易。

总之,聊城大学能够借鉴网络实名制思想与全校范围内实行802.1X认证是分不开的,两者互相促进,在保障校园网的高可用性、高稳定性和高安全性方面发挥了重要作用。

上一条:关于冷链物流几个热点问题的思考

下一条:暂时没有!