國內高校Eduroam管控策略

文/田愛寶

國內高校Eduroam管控策略

文/田愛寶

國內越來越多的高校加入Eduroam聯盟的同時也帶來管理上的諸多問題。為此，Eduroam需要從網絡、賬號等方面進行管理控制，保障Eduroam的健康發展。

Eduroam（Education Roaming）是專門用于教育和科研機構跨域之間的全球無線漫游認證服務，目前覆蓋了近90個國家或地區，加入Eduroam的機構或組織可以使用自己的賬號密碼在Eduroam聯盟內其他組織或機構免費登錄Eduroam無線網絡。Eduroam采用標準的802.1x認證模式，采用與域名系統相同的層級結構，通過Radius轉發的方式，實現全球范圍內的認證信息的傳遞及網絡接入的管理。

2015年中國大陸高校首次加入Eduroam聯盟，截至目前，大陸高校有近100所加入了或正在加入Eduroam漫游聯盟。隨著國內高校加入Eduroam聯盟越來越多，校際間互訪的也越來越便利，帶來師生校際之間的互訪交流越來越多，特別是地理距離很近的高校，但同時也帶來管理上的其他問題，如賬號交換帶來的信息安全問題、網絡安全攻擊問題、網絡資源惡意下載問題等。為此，Eduroam的管理需要從網絡、賬號等方面進行管理控制，保障Eduroam的健康發展。

網絡權限管理

Eduroam作為全球漫游網絡，提供外來訪客對網絡的訪問，用于連接互聯網，且按照Eduroam聯盟的免費、自由、開放的理念，網絡提供者不應對外來用戶進行過多網絡接入限制，必然導致網絡接入控制策略與自身校園網絡存在差異，無法做到與本機構內網絡的精確管理。為此，結合網絡性質與管理策略，Eduroam網絡應該是一個訪客網絡，所具有的權限也應該是僅僅提供互聯網絡訪問。

按照Eduroam統一標準，加入聯盟的結構需要開通獨立的無線SSID，名稱統一為Eduroam，并配置802.1x認證方式。由于是獨立的無線標識，可以通過實現后端邏輯網絡的相對獨立，這也為Eduroam網絡的權限管理提供了充足的條件。因此，Eduroam開通獨立的SSID，后端使用獨立的地址段，與校園網絡進行區分，對互聯網訪問使用獨立的公網IP地址，并將Eduroam的用戶網關隔離到校園網出口外側，實現的效果為Eduroam接入用戶的訪問權限僅僅為互聯網接入用戶，但訪問校園網的權限與互聯網用戶權限相同。

采取上述最小網絡訪問權限策略后，Eduroam接入用戶將無法利用接入地的校園網用戶身份惡意下載電子文獻、攻擊校園網及信息系統，有效解決Eduroam用戶對校園網絡所帶來的安全隱患。

用戶準出管理

隨著高校信息化的發展，統一身份認證是必然的趨勢，當前許多高校已經實現了統一身份認證或正在實現統一身份認證，登錄網絡的賬號密碼與登錄信息系統的賬號密碼的統一導致賬號關聯的個人信息越來越多，對賬號的安全性也提出了更高的要求。

由于Eduroam采取的是免費策略，而絕大部分高校師生上網采取收費策略，必然導致部分師生為了節省網費而產生交換賬號使用的行為，甚至存在部分賬號通過類似賬號交換中介組織泄漏給其他人，且賬號安全不可控，將會產生個人敏感信息泄漏的風險。為此，各個學校應該加強賬號的準出管理。如根據對賬號的信任程度，采取默認開放或關閉的策略，按需出訪。

用戶準入管理

與用戶準出管理不同，準入機制是網絡提供者對網絡接入者的管理，由于網絡提供者無法通過接入者賬號進行身份的識別，因此無法進行精確的管理，且Eduroam奉行免費、開放、自由的理念，網絡提供者不大可能實現默認黑名單機制。

在實際Eduroam運維中，網絡提供者可能會遇到賬號被盜用、惡意使用網絡等非正常情況。為此，網絡提供者可以建立黑名單機制，將存在問題的用戶賬號列入黑名單，并根據實際情況對賬號采取臨時關閉、長期關閉、以及永久關閉等措施，保障網絡提供者的網絡安全和用戶賬號安全等。

黑名單機制

絕大部分機構對Eduroam進行嚴格管理，保障了Eduroam成員之間的網絡安全及信任關系，但也存在部分機構對用戶賬號管理不嚴，沒有盡到聯盟成員的義務，損害了聯盟內其他機構的利益，影響了其他機構的網絡安全，導致與聯盟之間的信任關系的破壞，基于維護Eduroam聯盟成員的整體利益，可以由上級轉發機構將該成員域名加入黑名單，暫停認證報文轉發，甚至取消聯盟成員資格等。

策略實施

國內大部分高校Eduroam的對接采用Freeradius軟件，并通過配置Radius轉發實現。在這個架構中，本地Radius轉發服務器是中心節點，準出準入的認證轉發均須經過該節點，故也是控制策略實施的節點。

為了實現控制策略，可以通過配置Freeradius軟件中的policy.conf文件，增加賬號特征過濾策略，實現黑白名單的功能，具體配置如下：

通過配置樣例，可以實現對test@upc.edu.cn單個賬號和以@xxx.edu.cn結尾的整個機構賬號的限制準入準出訪問。根據配置文件，可以使用正則表達式實現對不同特征的賬號和機構進行認證控制，滿足Eduroam漫游的網絡及賬號安全的管理。

通過對Eduroam的網絡權限控制、用戶的準入和準出管理，輔助黑名單機制，能有效保障Eduroam整套系統的運行穩定與網絡安全，建立充分的信任關系，滿足正常合法用戶的便利接入，阻斷非法用戶的接入，為正常的學術交流活動提供高效的網絡保障。

（責編：楊燕婷）

（作者單位為中國石油大學（華東）網絡及教育技術中心）

華碩在京發布行業專供CSM主板

針對各行業不同需求，當下行業客戶遇到的難點，華碩正式發布了行業專供CSM(Corporate Stable Motherboard)主板， 量身打造完整的解決方案, 提供穩定貨源供應,高效統一化管理的華碩遠程管理中心軟件（ACC -ASUS Control Center）及提升穩定度的納米涂層防護功能, 滿足用戶對穩定安全,高效統一化管理和靈活定制的最高需求。9月26日，華碩商用產品及解決方案發布會在北京飯店舉行，發布會以“行業專供，信賴之選”為主題，迷你電腦、無線網絡產品及商用顯示器等新一代全系列商用產品也同步亮相此發布會。

華碩電腦全球副總裁兼開放平臺業務群總經理 許祐嘉

發布會上，華碩電腦全球副總裁兼開放平臺業務群總經理許祐嘉在致辭中表示，PC簡單來講可分為兩大類，一種是行業定制化（工控）主板，其一般有著特殊規格需求；另一類則是標準化（一般零售版型）主板。但標準化里又將細分很多使用情境，譬如華碩在11年前，就針對電競市場成立了ROG玩家國度，現已成為高端玩家推崇的游戲硬件品牌之一。而現在又有另一個需求是針對行業市場，類似中小型企業用戶。如今華碩推出了CSM行業專供主板，依托尖端主板的研發技術和完備的產品線，為用戶提供整套完整的解決方案。

華碩電腦全球行業資深產品總監趙國維在現場分享了華碩在商用領域的經驗和成果，并從行業客戶角度為出發點，闡述產品針對行業設計的功能特點、提供的解決方案及全球案例運用等多方面，詳細介紹了全新的商用產品系列。

趙國維在現場強調到，華碩承諾為用戶及合作伙伴提供穩定的貨源，專供的主板產品可持續供貨1至3年，以幫助用戶降低換單的風險，同時節省測試資源及人力成本支出。據了解，華碩此舉屬業界首創，顯示了其對此行業市場的重視和信心。

考慮到中小企業用戶在統一系統管理、資料安全防護及降低運營成本等需求，華碩CSM行業專供主板提供華碩遠程管理中心軟件(ACC -ASUS Control Center)。它可遠程管理所有客戶端系統、實時開關機、系統設備監控、USB存取安全管控，更可一次性更新所有軟件及BIOS，能幫助用戶大幅度提高IT管理效率。CSM主板還可以根據客戶需求，訂制專屬的BIOS，例如設置開機LOGO畫面、升級固件等。