【正文】 域。為了解決 ―信息孤島 ‖給校園信息化帶來(lái)的一系列問(wèn)題，對(duì)于 用戶的統(tǒng)一身份認(rèn)證和權(quán)限管理是一個(gè)十分關(guān)鍵的環(huán)節(jié)。這樣，老師和學(xué)生不再需要手工下載補(bǔ)丁或更新軟件， SMS服務(wù)器可以大學(xué)校園網(wǎng) 絡(luò) 安全與管理解決方案建議書 4 在自動(dòng)地為校園內(nèi)的每一臺(tái)機(jī)器進(jìn)行軟件升級(jí)或者安裝軟件補(bǔ)丁。為了保障這些運(yùn)行關(guān)鍵業(yè)務(wù)的服務(wù)器 7*24小時(shí)不間斷的正常運(yùn)行，微軟安全與管理解決方案提供了一套運(yùn)營(yíng)維護(hù)系統(tǒng)，它為系統(tǒng)的健康，正常和穩(wěn)定地運(yùn)轉(zhuǎn)提供了一個(gè)監(jiān)控，預(yù)警和排錯(cuò)的機(jī)制，極大程度降低了運(yùn)營(yíng)維護(hù)的成本、難度，減少了維護(hù)人員的人數(shù)和時(shí)間，提高了工作效 率。 而且 ISA的部署非常簡(jiǎn)單， IT 管理員只需在服務(wù)器端部署和維護(hù)，學(xué)校所有的客戶端都遵守 ISA服 務(wù)器端所設(shè)定的所有規(guī)則。Antigen 無(wú)與倫比的技術(shù)使其成為市場(chǎng)上供 Microsoft Exchange 和 Lotus Domino ，以及 Windows SMTP Gateway用戶使用的最為可靠、運(yùn)行最佳的解決方案。 3 方案具體規(guī)劃 統(tǒng)一的用戶管理 –活動(dòng)目錄與目錄整合（ AD+MIIS） 在信 息與系統(tǒng)安全管理體系中，對(duì)于信息和系統(tǒng)用戶的身份認(rèn)證和權(quán)限管理是一個(gè)非常關(guān)鍵的環(huán)節(jié)。 從系統(tǒng)整體架構(gòu)角度出發(fā)，新一代校園網(wǎng)的安全體系需要建立一個(gè)集中、統(tǒng)一、獨(dú)立于各應(yīng)用系統(tǒng)之外的用戶認(rèn)證和權(quán)限管理機(jī)制，以實(shí)現(xiàn)安全、高效的用戶身份和權(quán)限管理。由于統(tǒng)一的目錄系統(tǒng)涉及整個(gè)系統(tǒng)的用戶管理和各個(gè)應(yīng)用系統(tǒng)的安全，在建設(shè)統(tǒng)一的目錄系統(tǒng)是需要由經(jīng)驗(yàn)豐富的專業(yè)技術(shù)人員進(jìn)行仔細(xì)規(guī)劃和設(shè)計(jì)，以適應(yīng)校園網(wǎng)建設(shè)當(dāng)前和未來(lái)持續(xù)發(fā)展的 需求。下圖顯示了校園內(nèi)統(tǒng)一用戶管理的示意圖： 大學(xué)校園網(wǎng) 絡(luò) 安全與管理解決方案建議書 6 圖 1統(tǒng)一用戶管理實(shí)現(xiàn)示意圖 活動(dòng)目錄在校園信息化系統(tǒng)中的主要功能特性有： ? 實(shí)現(xiàn)統(tǒng)一的用戶身份管理 部署活動(dòng)目錄后，可以將所有用戶的身份信息（用戶名、密碼、數(shù)字證書）統(tǒng)一存放、統(tǒng)一管理。 ? 實(shí)現(xiàn)統(tǒng)一的用戶權(quán)限管理 對(duì)于簡(jiǎn)單的應(yīng)用系統(tǒng)，通?？梢允褂媚夸浵到y(tǒng)進(jìn)行用戶的權(quán)限管理。于是可將越普遍的規(guī)則設(shè)定在越高層的容器中，通過(guò)繼承的特性讓規(guī)則作用于之下的所有容器，避免大量規(guī)則的重復(fù)制定， 易于管理。我們需要針對(duì)不同用戶的需要為他們建立不同的界面風(fēng)格、安裝合適的應(yīng)用大學(xué)校園網(wǎng) 絡(luò) 安全與管理解決方案建議書 7 程序；同時(shí)，當(dāng)用戶的身份發(fā)生變化（例如，老師的升職或者調(diào)動(dòng)），可以按照用戶新的身份來(lái)自動(dòng)的對(duì)用戶的桌面進(jìn)行更新。 ? 支持開放的目錄標(biāo)準(zhǔn)協(xié)議 LDAP 微軟的活動(dòng)目錄支持開放的目錄標(biāo)準(zhǔn)協(xié)議 LDAP。 目錄整合服務(wù)（ MIIS） Microsoft Identity Integration ServerMIIS 是微軟推出的用于用戶信息整合與密碼管理的產(chǎn)品，它采用了目錄整合的技術(shù)，可以集成目錄、數(shù)據(jù)庫(kù)、將應(yīng)用程序、電子郵件及操作系統(tǒng)的大學(xué)校園網(wǎng) 絡(luò) 安全與管理解決方案建議書 8 用戶識(shí)別信息合而為一。 ? 提高用戶賬戶信息的可管理性 可以在不同系統(tǒng)及平臺(tái)之間方便地設(shè)置或刪除使用者賬戶及身份信息，如分布區(qū)域、電子郵件及安全性群組等賬戶。 桌面電腦系統(tǒng)安全方案 根據(jù)統(tǒng)計(jì)，平均每七千行左右的軟件程序就可能存在一個(gè)缺陷 (BUG)，軟件缺陷是所有軟件產(chǎn)品不可避免的共同問(wèn)題。使得校園網(wǎng)成為 ―名負(fù)其實(shí) ‖的計(jì)算機(jī)病毒滋生和泛濫的 ―溫床 ‖。當(dāng)出現(xiàn)問(wèn)題時(shí)，往往不能得到 及時(shí)的解決。這樣，老師和學(xué)生不再需要手工下載補(bǔ)丁或更新軟件， SMS服務(wù)器可以在自動(dòng)地為校園內(nèi)的每一臺(tái)機(jī)器進(jìn)行軟件升級(jí)或者安裝軟件補(bǔ)丁。部署在管理中心的 SMS 2020服務(wù)器會(huì)根據(jù) MSBA的掃描結(jié)果生成安全檢查報(bào)告，發(fā)送 給系統(tǒng)管理員，以便及時(shí)發(fā)現(xiàn)安全隱患并采取應(yīng)對(duì)措施。 對(duì)關(guān)鍵服務(wù)器、業(yè)務(wù)系統(tǒng)的運(yùn)維管理 MOM 2020 校園網(wǎng)體系包括眾多的關(guān)鍵業(yè)務(wù)應(yīng)用系統(tǒng)。狀態(tài)視圖包括： ? 各設(shè)備名稱、詳細(xì)的硬件配置、軟件安裝信息； ? 全網(wǎng)系統(tǒng)升級(jí)狀態(tài)信息； ? 以列表形式展現(xiàn)各操作系統(tǒng)、關(guān)鍵業(yè)務(wù)系統(tǒng)、服務(wù)運(yùn)行狀態(tài)； ? 以系統(tǒng)總體拓?fù)浣Y(jié)構(gòu)形式展現(xiàn)各操作系統(tǒng)、關(guān)鍵業(yè)務(wù)系統(tǒng)、服務(wù)運(yùn)行狀態(tài)； ? 對(duì)具體事件、故障提供快速的跟蹤、展現(xiàn)機(jī)制； ? 并聯(lián)結(jié)對(duì)應(yīng)的專家系統(tǒng)以提供技術(shù)支持； ? 根據(jù)不同的應(yīng)用特性對(duì)系統(tǒng)設(shè)備進(jìn)行分組監(jiān)控； ? 高效、多種形式的故障自動(dòng)處理 大學(xué)校園網(wǎng) 絡(luò) 安全與管理解決方案建議書 11 當(dāng)故障或特定事件出現(xiàn)時(shí)， MOM 2020會(huì)通過(guò)電子郵件、短信、即時(shí)消息等形式把故障 信息傳送給指定的負(fù)責(zé)人，或根據(jù)預(yù)案規(guī)則自動(dòng)觸發(fā)并執(zhí)行腳本、批處理命令等；以實(shí)現(xiàn)、報(bào)警、以至自動(dòng)處理 /修復(fù)機(jī)制。 校園網(wǎng)給學(xué)生和教師的學(xué)習(xí)和工作帶來(lái)巨大效益的同時(shí)，它帶來(lái)的一些負(fù)面影響 也不容忽視。 在網(wǎng)絡(luò)層安全方面，微軟提供了網(wǎng)絡(luò)層應(yīng)用的安全工具 Inter Security amp。此外， ISA Server 2020提供了 Web緩存功能，可以提高網(wǎng)絡(luò)的帶寬利用率，在不增加網(wǎng)絡(luò)出口帶寬的情況下，提高用戶上網(wǎng)的速度，改善用戶上網(wǎng)的體驗(yàn)。緩存規(guī)則應(yīng)用于所請(qǐng)求的站點(diǎn)，而與源網(wǎng)絡(luò)無(wú)關(guān)。 4. 安全功能： 所有網(wǎng)絡(luò)管理員共同 關(guān)心的安全問(wèn)題都與攻擊有關(guān)，在 ISA 服務(wù)器上可以通過(guò)配置入侵檢測(cè)篩選器來(lái)檢測(cè)各種特定的攻擊 : ? DNS 入侵。 ? 檢測(cè)到入侵。 大學(xué)校園網(wǎng) 絡(luò) 安全與管理解決方案建議書 13 ? Windows 帶外攻擊 (WinNuke) ? Land 攻擊 ? 循環(huán) Ping 攻擊 ? IP 半掃描攻擊 ? UDP 炸彈攻擊 ? 端口掃描攻擊 另外，網(wǎng)絡(luò)上蠕蟲病毒的攻擊也是令網(wǎng)絡(luò)管理員很頭痛的問(wèn)題， ISA 服務(wù)器可以檢查應(yīng)用程 序?qū)拥拿詈蛿?shù)據(jù)。 5. 監(jiān)控功能： 可以通過(guò) Web界面，實(shí)現(xiàn)對(duì)綠色校園網(wǎng)系統(tǒng)進(jìn)行監(jiān)控。 ? 被過(guò)濾或拒絕訪問(wèn)的情況 ? 用戶最常用的協(xié)議和應(yīng)用程序。具體部署方式如下圖所示： 大學(xué)校園網(wǎng) 絡(luò) 安全與管理解決方案建議書 14 圖 5 單個(gè)校園部署模式 圖 6. 教育城域網(wǎng)部署模式 在每個(gè)學(xué)校及區(qū)教委的網(wǎng)絡(luò)出口處均部署 ISA服務(wù)器，對(duì)于自有 Inter出口的學(xué)校，將通過(guò) Inter連接到區(qū)教委網(wǎng)絡(luò)中心，自動(dòng)下載信息過(guò)濾規(guī)則和網(wǎng)絡(luò)訪問(wèn)策略。 由于 ISA Server具有靈活，開放的借口，本方案的經(jīng)過(guò)擴(kuò)展后，還能為老師教學(xué)，學(xué)生上網(wǎng)起到輔助教學(xué)和護(hù)航的作用。也可以基于 ISA的 Inter訪問(wèn)日志開發(fā)統(tǒng)計(jì)分析應(yīng)用，讓老師，學(xué)校，教委更好地了解上網(wǎng)的情況，對(duì)學(xué)生做出更好的教育和引導(dǎo)。大部分的高校目前都會(huì)有自己獨(dú)立的內(nèi)部網(wǎng)絡(luò)和郵件服務(wù)器，郵件服務(wù)器每秒鐘要收發(fā)數(shù)以萬(wàn)記的郵件，但是一個(gè)郵件服大學(xué)校園網(wǎng) 絡(luò) 安全與管理解決方案建議書 16 務(wù)器的吞吐量和郵件并發(fā)數(shù)是有 限的，當(dāng)郵件病毒泛濫時(shí)，大量的病毒郵件會(huì)隨時(shí)從外部網(wǎng)絡(luò)涌入，如果學(xué)校內(nèi)部感染了郵件病毒，那么同時(shí)也會(huì)有大量的病毒郵件從內(nèi)部網(wǎng)絡(luò)經(jīng)由郵件服務(wù)器而發(fā)送到外網(wǎng)，當(dāng)病毒郵件遠(yuǎn)遠(yuǎn)大于郵件服務(wù)器所能承載的最大郵件數(shù)時(shí)，郵件服務(wù)器便會(huì)來(lái)不及處理郵件請(qǐng)求從而導(dǎo)致郵件阻塞，嚴(yán)重時(shí)還會(huì)使郵件服務(wù)器系統(tǒng)崩潰，從而拒絕服務(wù)。這種危害是普通用戶能親身感受到的，郵件病毒泛濫時(shí)會(huì)給用戶的郵箱發(fā)送大量的病毒郵件，雖然一些郵件服務(wù)商采取了一些郵件過(guò)濾的技術(shù)，如字符串過(guò)濾，截取附件等方法，但是如