国内高校Eduroam管控策略

文/田爱宝

国内高校Eduroam管控策略

文/田爱宝

国内越来越多的高校加入Eduroam联盟的同时也带来管理上的诸多问题。为此，Eduroam需要从网络、账号等方面进行管理控制，保障Eduroam的健康发展。

Eduroam（Education Roaming）是专门用于教育和科研机构跨域之间的全球无线漫游认证服务，目前覆盖了近90个国家或地区，加入Eduroam的机构或组织可以使用自己的账号密码在Eduroam联盟内其他组织或机构免费登录Eduroam无线网络。Eduroam采用标准的802.1x认证模式，采用与域名系统相同的层级结构，通过Radius转发的方式，实现全球范围内的认证信息的传递及网络接入的管理。

2015年中国大陆高校首次加入Eduroam联盟，截至目前，大陆高校有近100所加入了或正在加入Eduroam漫游联盟。随着国内高校加入Eduroam联盟越来越多，校际间互访的也越来越便利，带来师生校际之间的互访交流越来越多，特别是地理距离很近的高校，但同时也带来管理上的其他问题，如账号交换带来的信息安全问题、网络安全攻击问题、网络资源恶意下载问题等。为此，Eduroam的管理需要从网络、账号等方面进行管理控制，保障Eduroam的健康发展。

网络权限管理

Eduroam作为全球漫游网络，提供外来访客对网络的访问，用于连接互联网，且按照Eduroam联盟的免费、自由、开放的理念，网络提供者不应对外来用户进行过多网络接入限制，必然导致网络接入控制策略与自身校园网络存在差异，无法做到与本机构内网络的精确管理。为此，结合网络性质与管理策略，Eduroam网络应该是一个访客网络，所具有的权限也应该是仅仅提供互联网络访问。

按照Eduroam统一标准，加入联盟的结构需要开通独立的无线SSID，名称统一为Eduroam，并配置802.1x认证方式。由于是独立的无线标识，可以通过实现后端逻辑网络的相对独立，这也为Eduroam网络的权限管理提供了充足的条件。因此，Eduroam开通独立的SSID，后端使用独立的地址段，与校园网络进行区分，对互联网访问使用独立的公网IP地址，并将Eduroam的用户网关隔离到校园网出口外侧，实现的效果为Eduroam接入用户的访问权限仅仅为互联网接入用户，但访问校园网的权限与互联网用户权限相同。

采取上述最小网络访问权限策略后，Eduroam接入用户将无法利用接入地的校园网用户身份恶意下载电子文献、攻击校园网及信息系统，有效解决Eduroam用户对校园网络所带来的安全隐患。

用户准出管理

随着高校信息化的发展，统一身份认证是必然的趋势，当前许多高校已经实现了统一身份认证或正在实现统一身份认证，登录网络的账号密码与登录信息系统的账号密码的统一导致账号关联的个人信息越来越多，对账号的安全性也提出了更高的要求。

由于Eduroam采取的是免费策略，而绝大部分高校师生上网采取收费策略，必然导致部分师生为了节省网费而产生交换账号使用的行为，甚至存在部分账号通过类似账号交换中介组织泄漏给其他人，且账号安全不可控，将会产生个人敏感信息泄漏的风险。为此，各个学校应该加强账号的准出管理。如根据对账号的信任程度，采取默认开放或关闭的策略，按需出访。

用户准入管理

与用户准出管理不同，准入机制是网络提供者对网络接入者的管理，由于网络提供者无法通过接入者账号进行身份的识别，因此无法进行精确的管理，且Eduroam奉行免费、开放、自由的理念，网络提供者不大可能实现默认黑名单机制。

在实际Eduroam运维中，网络提供者可能会遇到账号被盗用、恶意使用网络等非正常情况。为此，网络提供者可以建立黑名单机制，将存在问题的用户账号列入黑名单，并根据实际情况对账号采取临时关闭、长期关闭、以及永久关闭等措施，保障网络提供者的网络安全和用户账号安全等。

黑名单机制

绝大部分机构对Eduroam进行严格管理，保障了Eduroam成员之间的网络安全及信任关系，但也存在部分机构对用户账号管理不严，没有尽到联盟成员的义务，损害了联盟内其他机构的利益，影响了其他机构的网络安全，导致与联盟之间的信任关系的破坏，基于维护Eduroam联盟成员的整体利益，可以由上级转发机构将该成员域名加入黑名单，暂停认证报文转发，甚至取消联盟成员资格等。

策略实施

国内大部分高校Eduroam的对接采用Freeradius软件，并通过配置Radius转发实现。在这个架构中，本地Radius转发服务器是中心节点，准出准入的认证转发均须经过该节点，故也是控制策略实施的节点。

为了实现控制策略，可以通过配置Freeradius软件中的policy.conf文件，增加账号特征过滤策略，实现黑白名单的功能，具体配置如下：

通过配置样例，可以实现对test@upc.edu.cn单个账号和以@xxx.edu.cn结尾的整个机构账号的限制准入准出访问。根据配置文件，可以使用正则表达式实现对不同特征的账号和机构进行认证控制，满足Eduroam漫游的网络及账号安全的管理。

通过对Eduroam的网络权限控制、用户的准入和准出管理，辅助黑名单机制，能有效保障Eduroam整套系统的运行稳定与网络安全，建立充分的信任关系，满足正常合法用户的便利接入，阻断非法用户的接入，为正常的学术交流活动提供高效的网络保障。

（责编：杨燕婷）

（作者单位为中国石油大学（华东）网络及教育技术中心）

华硕在京发布行业专供CSM主板

针对各行业不同需求，当下行业客户遇到的难点，华硕正式发布了行业专供CSM(Corporate Stable Motherboard)主板， 量身打造完整的解决方案, 提供稳定货源供应,高效统一化管理的华硕远程管理中心软件（ACC -ASUS Control Center）及提升稳定度的纳米涂层防护功能, 满足用户对稳定安全,高效统一化管理和灵活定制的最高需求。9月26日，华硕商用产品及解决方案发布会在北京饭店举行，发布会以“行业专供，信赖之选”为主题，迷你电脑、无线网络产品及商用显示器等新一代全系列商用产品也同步亮相此发布会。

华硕电脑全球副总裁兼开放平台业务群总经理 许祐嘉

发布会上，华硕电脑全球副总裁兼开放平台业务群总经理许祐嘉在致辞中表示，PC简单来讲可分为两大类，一种是行业定制化（工控）主板，其一般有着特殊规格需求；另一类则是标准化（一般零售版型）主板。但标准化里又将细分很多使用情境，譬如华硕在11年前，就针对电竞市场成立了ROG玩家国度，现已成为高端玩家推崇的游戏硬件品牌之一。而现在又有另一个需求是针对行业市场，类似中小型企业用户。如今华硕推出了CSM行业专供主板，依托尖端主板的研发技术和完备的产品线，为用户提供整套完整的解决方案。

华硕电脑全球行业资深产品总监赵国维在现场分享了华硕在商用领域的经验和成果，并从行业客户角度为出发点，阐述产品针对行业设计的功能特点、提供的解决方案及全球案例运用等多方面，详细介绍了全新的商用产品系列。

赵国维在现场强调到，华硕承诺为用户及合作伙伴提供稳定的货源，专供的主板产品可持续供货1至3年，以帮助用户降低换单的风险，同时节省测试资源及人力成本支出。据了解，华硕此举属业界首创，显示了其对此行业市场的重视和信心。

考虑到中小企业用户在统一系统管理、资料安全防护及降低运营成本等需求，华硕CSM行业专供主板提供华硕远程管理中心软件(ACC -ASUS Control Center)。它可远程管理所有客户端系统、实时开关机、系统设备监控、USB存取安全管控，更可一次性更新所有软件及BIOS，能帮助用户大幅度提高IT管理效率。CSM主板还可以根据客户需求，订制专属的BIOS，例如设置开机LOGO画面、升级固件等。