目前，教育领域的网络安全管理有了新的变化：对端用户的安全关注已经逐渐纳入到校园网的全局考虑；ARP欺骗及一些木马变种的出现使得教育领域的网络安全管理从粗放向精细发展。针对这些变化，本刊专访了长期以来关注教育行业网络安全的Juniper网络公司大中国区技术总监王卫。

　　王卫认为，当前校园网的应用越来越多，其以数据为核心的建设特点日益明显，高校信息化协同合作的模式，一方面使得信息得以高效共享，另一方面给校园网带来巨大的安全威胁。当今应该采用更高层面的协同合作，最大限度地降低这一风险，Juniper提倡以高性能、高度集成、统一接入控制，统一安全管理模式，从应用层着手，保障全局安全。

　　铜墙铁壁不如修炼内功

　　《中国教育网络》：Juniper如何看待近年来校园网在安全管理方面的发展？

　　王卫：以往，网络安全的研发和管理中存在一个误区，就是认为要帮用户建立铜墙铁壁的网络，特别是在出口位置，保护网络免受外部的攻击。然而，一直以来，Juniper就认为，即使是最安全的堡垒往往首先在内部被攻破，因而也要着重关注网络内部的不安全因素。

　　校园网内这种现象更加典型，并在近年内发生了一些变化。以往我们的校园网安全管理只要配上防火墙、IDS等设备就可应对，但随着ARP欺骗、一些木马变种的出现，网管们发现，这些设备已经远远无法阻止端用户可能带来的种种安全隐患。

　　目前，校园网正在向数据为核心的信息化校园转变，更多的资源在网络内共享，教学和教务管理中越来越提倡互相协作。但校园网是一个复杂的群体，终端用户的安全意识都比较淡薄，他们可能会登陆即时通讯传来的网址链接，甚至开启电子邮件传来附件程序，或者忘记更新防毒软件或者操作系统，使各种病毒、蠕虫、后门程序、间谍软件、傀儡程序、仿冒诈骗陷阱等层出不穷的威胁方式大有可趁之机。

　　纵使网管员能够控制终端用户的桌面计算机，在其中安装适当的防毒软件和更新补丁，同时架设防火墙、防毒软件、入侵预防方案等安全设施，各种移动设备仍然防不胜防。像ARP这类的欺骗程序，成为学校难以彻底根治的问题，也正因为此。

　　今天校园网用户也逐渐成熟起来，他们不再仅仅关心端口有多少，是否有这个功能的模块、那个功能的模块等，他更多关注这套业务方案是否能够满足它的业务需求。一方面解决它的眼前问题，另一方面能够使得在未来的三五年内，具有一个稳定的发展平台。这是整个教育行业环境的着眼点。

　　转变观念是至高境界

　　《中国教育网络》:Juniper在终端用户的安全控制上有什么思路？

　　王卫：Juniper从去年开始在教育领域推出了统一接入控制UAC解决方案。其观点是，确保系统能在使用者连接到网络的那一刻开始，便对其进行最彻底的准入控制和最全面的安全监控。这种强制性的措施，旨在帮助用户实现网络安全理念的转变。通过约束用户行为，进而到用户主动判断和防范，这才是最高境界。

　　UAC结合用户端点评估和身份及网络信息认证，能够使整个网络内实行实时的政策管理，当这些外来端点设备进入网络时便及时进行自动的安全评估，检查是否已安装最新安全软件和更新操作系统，杜绝漏洞。这样，既方便用户存取网络资源，亦可顾及安全控制。

　　在二层的接入控制上，Juniper也有相当的优势。比如在802.1X产品中，多数厂商在扩展协议中通常绑定自己的产品进行，这给学校造成两难局面。而Juniper的UAC支持的802.1X则是兼容了主流厂商的802.1X，具很强的包容性，支持多厂商的设备，这无形中也保护了校园网的投资。

　　在三层的访问控制中，UAC可以通过授权认证用户访问各种网络资源，包括出入校园网以及访问校园内的各种门户网址的核心资源，通过UAC的策略控制器将网络管理人员制定的各种策略自动下发到Juniper的全系列防火墙，从而灵活、动态地控制用户对于网络资源的访问。