多業(yè)務(wù)融合安全校園網(wǎng)絡(luò)平臺(tái)

梁俊

一、實(shí)踐目的

我校今年3月完成了校園網(wǎng)的全面升級(jí)改造，我們對(duì)此次校園網(wǎng)改造的定位是：穩(wěn)定、高效、安全、統(tǒng)一。在產(chǎn)品調(diào)研期間，我們對(duì)多個(gè)知名網(wǎng)絡(luò)產(chǎn)品進(jìn)行考察，從硬件的質(zhì)量和性能來說，各家產(chǎn)品差異不大，均能滿足學(xué)校校園網(wǎng)穩(wěn)定、高效的需求。學(xué)校擁有6000多名學(xué)生、300多位教師。而且又是幼兒園、小學(xué)、中學(xué)一條龍的辦學(xué)模式，各學(xué)段的師生思想存在差異，如何構(gòu)建安全、統(tǒng)一的校園網(wǎng)就成了此次建設(shè)的重點(diǎn)。我們對(duì)各類網(wǎng)絡(luò)產(chǎn)品進(jìn)行了試用，發(fā)現(xiàn)這些產(chǎn)品功能單一。應(yīng)用操作繁瑣，為了滿足學(xué)校信息化建設(shè)，并且應(yīng)用操作簡(jiǎn)單，因此，需要針對(duì)中小學(xué)的校園網(wǎng)設(shè)計(jì)實(shí)名制安全認(rèn)證平臺(tái)以及整體解決方案。

此外，為了加強(qiáng)校園信息化建設(shè)和信息化管理，我校陸續(xù)建設(shè)了大量的應(yīng)用系統(tǒng)，其涉及的業(yè)務(wù)面基本覆蓋了我校的大部分管理和業(yè)務(wù)，其中包括人事管理系統(tǒng)、固定資產(chǎn)系統(tǒng)、辦公自動(dòng)化系統(tǒng)、郵件系統(tǒng)、校務(wù)管理系統(tǒng)，論壇等信息管理系統(tǒng)。隨著系統(tǒng)的增多，出現(xiàn)用戶賬號(hào)密碼太多、用戶管理分散，并且登錄頻繁等現(xiàn)象，師生使用起來極其麻煩。

為了建設(shè)一個(gè)穩(wěn)定、高效、安全、統(tǒng)一的校園網(wǎng)，解決學(xué)校上網(wǎng)用戶接入的安全問題。并實(shí)現(xiàn)多業(yè)務(wù)的融合。我校本次網(wǎng)絡(luò)建設(shè)著重設(shè)計(jì)基礎(chǔ)網(wǎng)絡(luò)平臺(tái)、實(shí)名制安全認(rèn)證平臺(tái)以及校園網(wǎng)統(tǒng)一登錄平臺(tái)。

二、實(shí)踐內(nèi)容

1.基礎(chǔ)設(shè)施平臺(tái)

整網(wǎng)設(shè)計(jì)采用萬兆核心、千兆到匯聚、百兆到桌面的三層架構(gòu)設(shè)計(jì)。全網(wǎng)設(shè)計(jì)按照結(jié)構(gòu)化、模塊化理念設(shè)計(jì)?？偣苍O(shè)計(jì)包括以下模塊：網(wǎng)絡(luò)出口、核心層、匯聚層、接入層、數(shù)據(jù)服務(wù)器平臺(tái)、應(yīng)用服務(wù)平臺(tái)。

2.應(yīng)用支撐平臺(tái)

通過部署一套網(wǎng)絡(luò)智能指揮官來實(shí)現(xiàn)。通過網(wǎng)絡(luò)智能指揮官可實(shí)現(xiàn)全網(wǎng)網(wǎng)絡(luò)設(shè)備的可視化管理。包括有線設(shè)備以及無線設(shè)備。

3.實(shí)名制安全認(rèn)證平臺(tái)

中心機(jī)房部署一套實(shí)名制安全認(rèn)證平臺(tái)，并通過千兆鏈路與核心交換機(jī)連接，實(shí)現(xiàn)全網(wǎng)上網(wǎng)用戶的身份認(rèn)證。整個(gè)認(rèn)證通過實(shí)名制安全認(rèn)證平臺(tái)與接入交換機(jī)聯(lián)動(dòng)實(shí)現(xiàn)，認(rèn)證技術(shù)采用技術(shù)成熟且大規(guī)模在校園網(wǎng)應(yīng)用的802.1x技術(shù)。

用戶通過在電腦端安裝802.1x客戶端，輸入用戶名和密碼，通過實(shí)名制安全認(rèn)證平臺(tái)的審核后，接入交換機(jī)對(duì)該用戶放行。即允許訪問校園網(wǎng)。通過實(shí)名制安全認(rèn)證平臺(tái)的日志記錄功能，用戶接入校園網(wǎng)的時(shí)間、地點(diǎn)、下線時(shí)間全部可查。

4.校園網(wǎng)統(tǒng)一登錄平臺(tái)

校園網(wǎng)統(tǒng)一登錄平臺(tái)是和實(shí)名制安全認(rèn)證平臺(tái)配合實(shí)現(xiàn)的，其具體實(shí)現(xiàn)過程有以下幾點(diǎn)：

在用戶端安裝安全認(rèn)證系統(tǒng)的客戶端，使用安全認(rèn)證系統(tǒng)的用戶賬號(hào)登錄安全認(rèn)證系統(tǒng)服務(wù)器，進(jìn)行網(wǎng)絡(luò)層面的認(rèn)證。一旦網(wǎng)絡(luò)認(rèn)證通過，所有網(wǎng)絡(luò)層面的授權(quán)、審計(jì)功能生效。

網(wǎng)絡(luò)認(rèn)證通過的同時(shí)，安全認(rèn)證系統(tǒng)服務(wù)器會(huì)給校園網(wǎng)統(tǒng)一登錄平臺(tái)服務(wù)器發(fā)送消息，通知該用戶已經(jīng)通過網(wǎng)絡(luò)認(rèn)證。校園網(wǎng)統(tǒng)一登錄平臺(tái)服務(wù)器判斷該用戶所在的用戶組，根據(jù)這個(gè)用戶組可以訪問的應(yīng)用資源情況。給用戶推送應(yīng)用系統(tǒng)訪問列表，用戶通過校園網(wǎng)統(tǒng)一登錄平臺(tái)服務(wù)器提供的訪問資源列表來訪問應(yīng)用系統(tǒng)。

用戶點(diǎn)擊需要訪問的應(yīng)用鏈接的時(shí)候，訪問請(qǐng)求發(fā)送到校園網(wǎng)統(tǒng)一登錄平臺(tái)服務(wù)器，由校園網(wǎng)統(tǒng)一登錄平臺(tái)服務(wù)器將原系統(tǒng)中的用戶登錄信息和訪問請(qǐng)求轉(zhuǎn)發(fā)給所請(qǐng)求的應(yīng)用系統(tǒng)服務(wù)器。

應(yīng)用系統(tǒng)服務(wù)器接收到轉(zhuǎn)發(fā)的認(rèn)證信息后，與用戶建立連接。

三、實(shí)踐效果

通過部署基礎(chǔ)設(shè)施平臺(tái)，實(shí)現(xiàn)了穩(wěn)定、高效、安全的基礎(chǔ)網(wǎng)絡(luò)，為學(xué)校各種業(yè)務(wù)的開展奠定了基礎(chǔ)。

通過部署應(yīng)用支撐平臺(tái)，實(shí)現(xiàn)了對(duì)全網(wǎng)網(wǎng)絡(luò)設(shè)備的高效管理，可以快速定位和排除故障，大大減輕了網(wǎng)絡(luò)維護(hù)人員的工作量。

通過部署實(shí)名認(rèn)證平臺(tái)后，學(xué)?？梢詫?duì)上網(wǎng)用戶進(jìn)行更加合理的監(jiān)管，在發(fā)生網(wǎng)絡(luò)安全事件后，可以快速定位到人，減少了網(wǎng)絡(luò)安全事件的風(fēng)險(xiǎn)。

通過部署統(tǒng)一登錄平臺(tái)，用戶只需要使用1套用戶名和密碼，就可以登錄到不同的應(yīng)用系統(tǒng)，大大簡(jiǎn)化了師生登錄學(xué)校業(yè)務(wù)系統(tǒng)的復(fù)雜度，節(jié)省了不少時(shí)間，提高了工作效率，得到了學(xué)校教師和學(xué)生的一致好評(píng)。

(編輯：魯利瑞)