浙江农林大学
责任编辑:盈高科技 时间:2020-04-27 浏览次数:9776
客户简介
浙江农林大学(Zhejiang A & F University),简称浙农林大,是浙江省属全日制本科院校、浙江省唯一的省属本科农林类高校、浙江省人民政府和国家林业局共建高校。在校生30000余人,其中全日制本科生20000余人,研究生1200余人,留学生、农民大学生、继续教育学生9000余人。
客户需求
根据国家互联网安全管理的相关法规,公安部、教育部的相关文件(《互联网安全保护技术措施规定》
、《关于进一步加强高等学校校园网络管理工作的意见》),互联网使用单位必须实行实名制认证上网。为了响应国家政策,需对网内终端实行实名制入网,另因网内终端众多,需要多终端做规范化管理。
总体来说,浙农林大在内网安全建设中需要解决以下需求:
1. 入网认证:终端用户入网后被强制重定向到特定页面进行身份认证(和LDAP联动);
2. 实名注册:在重定向页面要求终端用户填入个人信息,达到实名制入网的目的;
3. 首次认证注册:终端仅需要在初次入网时进行认证及填写注册信息,之后系统需对终端的特征进行记录,不需要再次认证或填写注册信息。
4. 终端审核:入网终端初次入网,填写完个人信息后需经过管理中心审核批准才可入网;
5. IP地址使用记录:因网内为DHCP环境,需对IP地址的历史使用记录进行保存,方便后期查询;
6. 防IP/MAC伪造:需要对可能存在的IP/MAC伪造进行识别,禁止终端伪造IP/MAC入网;
7. 访问权限控制:对入网终端进行访问权限的控制,防止有人越权访问服务;
8. 无客户端:为了保证终端的使用体验,防止用户出现抵触心理,以上需求,要求终端不安装客户端即可实现;
设计方案
采用ASM(入网规范管理系统)作为整个项目的准入平台,通过双机热备的方式进行部署,提供了较高的网络稳定性,保障信息系统网络安全,满足国家政策要求。
方案效果
实现终端入网认证
每一个新入网的终端打开浏览器都将被重定向到指定的页面进行身份认证(通过系统和LDAP联动,终端用户输入现有的LDAP账号即可),从而保证入网人员的合法性。
实现终端实名注册和入网审核
后台台账支持自定义,管理员可自定义终端所需填写信息,终端入网需必须填写注册信息;新接入电脑终端必须通过审核才可入网。
实现终端访问控制
基于终端用户的角色分配网络访问权限,通过权限规范了用户的网络使用行为。
实现IP使用记录可查
系统可对终端的历史使用IP进行记录,当出现安全事件时可根据IP历史使用记录查询到使用人。
实现了对移动终端的管控
系统支持对BYOD设备的管控,移动终端入网也必须认证及填写注册信息。
规范了网络边界
可以对私自接入的小路由及HUB提出报警信息,管理员可以直接通过ASM设备定位到私接设备位置,实现网络透视管理。