学生宿舍区安全运营解决方案.doc

学生宿舍区安全运营解决方案 ?? 如何建设一个高度可运营、易管理的学生宿舍网，来提供高质量的网络服务；并通过合理的运营计费策略，实现以网养网的目的，对于高校来说仍然是一个很重要的课题。根据CNNIC在2008年1月的《第21次中国互联网络发展状况统计报告》中指出，中国网民总数已经达到2.1亿，而上网用户中的学生比例占到了28.8%，基本上站到了1/3，这些用户都集中在校园网内部或者学校外面的网吧。由于学校上网用户密度大，已经越来越成为学校或者运营商关注的一个热点。早在2002年前后，国内高校的校园网建设开始从办公区、图书馆区延伸到教学楼、学生宿舍以及教师家属区。尤其在2003-2005年间，宿舍网的建设达到了一个顶峰。除了高校自主建设外，包括中国电信、中国网通等在内的运营商都已经开展了学生宿舍区的上网业务。学生宿舍网经过6年多的建设经验，到目前为止还会出现安全运营情况和效果并不理想的现象，对高校来讲这不仅仅是一个重要的课题，而且是面临的一个挑战。 神州数码宿舍网安全运营解决方案：?? 神州数码根据多年教育行业的建设经验，推荐以下三种方案选择以解决现在学生宿舍网安全运营中遇到的问题。?（一）802.1X融合统一认证计费方案 组网说明??? 需要部署支持802.1x的接入交换机，负责用户的接入认证数据，其中，对于非神州数码品牌的接入交换机，只需要支持标准802.1x即可；内网部署DCSM作为AAA统一管理中心，进行统一开户、配置计费策略、用户帐号的绑定控制等；DCSM接收来自802.1x的接入交换机的认证和计费数据，用户的流量不经过DCSM；可采用两台DCSM，以主备方式组网，保证整个网络的核心稳定运行。方案特点* 多厂家设备融合统一认证计费??? 神州数码有线无线集成化客户端，在实现有线无线统一身份认证的同时，还解决了长时间困扰用户的多厂家设备同时存在时无法实现统一认证的问题，由于高校校园网建设周期较长，在不同的阶段由于不同的需求可能采用不同厂家的设备，目前的802.1x认证，各厂家均是采用私有认证，在终端设备上必须安装各厂家独有的私有客户端才能与其接入交换机、认证计费系统互动，实现私有802.1x认证，这种私有认证对接入设备的依赖性很强，不便于后续的应用扩展，神州数码有线无线集成化客户端，配合DCSM统一身份认证平台，无论接入设备是否是神州数码的产品，只要支持标准的802.1x协议即可，在客户端安装神州数码有线无线集成化客户端，就可以与神州数码DCSM认证平台互动，实现私有802.1x认证，实现即时消息通知、IP地址上传、强制下线以及keep alive等功能。* 接入控制安全可靠：??? 功能强大的安全接入管理功能：不仅可实现认证的绑定、防代理上网，更可以实现基于安全交换机的ACL转发控制功能，从而防止内网中假冒地址等方式的攻击、扫描、ARP病毒、冲击波病毒等对网络造成的影响。通过对网络的扫描，DCSM可以实时动态地发现网络的情况，确定网络中是否有各种各样问题，并且实时发现网络中的终端、服务器和网络设备。即使在终端启用防止ping的个人防火墙的情况下，DCSM仍然可以通过其它的方式发现这些终端并获得这些终端的配置信息。这对于动态了解网络中的情况变化发现网络中存在的问题、IP地址管理、终端的资产管理提供了技术手段。对于终端，可实现如下交互操作：√ 阻断与强制下线√ 信息收集√ 强制补丁升级√ 强制客户端升级√ 与瑞星等防病毒软件实现联动，保证上网前的客户机的安全性√ 发送实时消息√ 启动与停止用户主机中的软件进程等* 灵活的认证计费???? 预付费业务（功能强大，强调费用用光后的实时强制断线功能），后付费业务（很少人用）。精确的流量计费，精确的时长计费。包天、包月计费；支持用户上网的时段控制，可在某些时间段内禁止用户上网。基于授权组的管理策略：可通过授权组功能实现对用户、用户组实现带宽、VLAN等的灵活授权功能。* 轻松的网络管理??? 支持对用户的强制下线管理。防代理，防上网后IP地址篡改，防启用非法DHCP Server；基于用户组的用户管理。支持开户模板方式；用户web自注册开户功能，节省管理员输入大量用户信息的工作量。用户web自修改计费策略功能，用户可通过web自服务来自己修改管理允许的计费策略