打造 “绿色校园”之上网行为管理

“绿色校园”的前行障碍
 

教育信息化是在教育过程中比较全面地运用以计算机多媒体和网络通讯为基础的现代化信息技术,促进教育的全面改革,使之适应于正在到来的信息化社会对于教育发展的新要求。200010月国家教育部正式开始推行的“校校通”工程,更进一步推动了校园网的建设和发展,明确了信息化教育事业的大方向:就是充分利用校园网,为学校的教师、学生和教学管理人员,提供面向学校应用服务的多媒体教学、信息化管理、信息交流平台,以实现学校教学手段现代化、教学管理科学化、教学资源信息化,为学校培养面向21世纪信息化社会高素质人才的服务。
 

虽然每年国家在教育信息化方面投入大量的人力和资金,但是校园网络部分依然出现众多的隐患,比如:校园网络安全防御系统的不健全,导致招到外网大量的病毒和黑客攻击;校园网络资源的滥用导致正常业务无法开展;没有合适的手段来保障学生有一个健康的上网环境等。而对校园网络管理人员来说,有没有一种更好的解决方案来降低自己的维护量,保护内部重要信息不外漏呢?江西省委党校网络中心李老师唉声连连:“100M的光纤出口,为什么网速这么慢呢,BT、电驴好难搞啊!”
 

网络边界安全性的思考?
 

对于外网的防范,规模稍微大一点的校园网络,都部署了多层安全网关,江西省委党校目前的外部网络安全层次上部署的产品也不少,比如:防火墙、IDS、防毒墙、垃圾邮件过滤设备等。

 

其实江西省委党校现在的网络抵御外网的攻击的能力上已经比较完善,但是内网网络的管理是否也同样完善呢?是否有必要通过原有的完全防范设备就能合理分配网络资源,规范内网用户的上网习惯呢?
 

校园内网中的“丑恶面容”
 

江西省委党校在未部署深信服上网行为管理网关之前无法了解内网的诸多情况,一个原因在于精力有限,需要维护很多而且不同厂商的不同网络设备,以及处理其他事务。另一个更重要的原因是在于很难找到有效的手段进行内网状况分析。这些也导致内网资源被很多不规范的上网行为给占用。那内网用户不规范的上网行为有哪些呢?

 

通过上面的图表,江西省委党校内网情况很直观的反映出来,我们可以看到内网中的由于各种不规范的上网行为使得网络资源被滥用,而导致学校日常的业务工作无法正常开展,学生也无心思把学习的重心放对自己有正面影响的事务上,每天都在BT、电驴下载,访问黄色网站、在网站上发布比较激进的言论等等,这样的局面如果没有能够被学校合理控制,直接影响着整个校园信息化建设的步伐,更重要是江西省委党校是一个党政性质的学校,是不容出现反政的言论的。那对于这些行为,作为学校来说只能坐以待毙吗?我们接下来先分析一下产生这种状况的原因。
 

BT下载、电驴下载、机密泄漏、病毒有机可趁?
 

随着互联技术的不断发展,很多例如BT、电驴等主流互联网共享技术丰富了人们的网络生活,也使得我们能够找到以往很难找到的信息。但是这些信息来源的前提条件是,需要我们付出更大的带宽资源。假如一个2M带宽的家庭用户通过P2P软件下载某个资源需要占据1M左右的带宽,而校园网络的出口为100M光纤,某校师生共有6000人,其中就有4000名学生,而经常使用BT、电驴的人在1000人左右或者更多,一个100M必然难以分配,学校正常业务能够在这样恶劣的网络带宽情况下开展吗?
 

一些高端网络交换设备通过一定的配置可以通过端口进行封赌P2P,但是不能彻底封赌,原因在于P2P一类的软件都在不断更新的,版本不同使用的端口也不同。
 

深信服AC上网行为管理系列网关已经能够根通过根据P2P软件特征信息进行深度检测,对最新P2P软件进行限制。P2P也有自己的特定的身份,以“不变以万变”,无论端口怎么改变,都能对这些恼火的东西彻底封杀。深信服SANGFOR AC上网行为管理网关还可以把这些占用带宽比较高的网络服务限定于某个时间段才能享用,并且通过限制P2P的流量,保证其不影响其他正常业务的开展,也能做到更细致的权限管理。事物总有利弊两个方面,关键是合理的控制。
 

网页过滤,限制敏感数据。
 

江西省委党校校园信息发布平台,让校园网成为教师工作的一部分,如校内新闻、行政办公通知信息、教学信息、课外活动信息等有关事项尽可能采用校园网站来发布,一方面可以让师生养成使用校园网站的习惯,另一方面可以留存较长时间。互联是网提供给了学生更多知识和信息,但是互联也存在很多不堪的信息,比如黄色网站等,这些因素都在阻碍校园信息化进程。曾经某学校因为该校某学生在学校门户网站上大量发表一些自己的激进言论,导致该校的领导受到法律部门的处分,至今也未能找出到底是谁所为。
 

深信服AC上网行为管理网关使用哪些手段防止类似现象的产生,并可做到事后有证可查呢?
 

1、自定义URL资源、限制URL访问
结合时间策略可为不同的访问控制组分配不同的URL访问权限。
 

2、关键字过滤
禁止用户通过Internet搜索、浏览反动、政治敏感、色情等相关信息;禁止用户通过BBSWEB-MailBLOG等发表反动、政治敏感及色情等信息;
 

3、敏感数据拦截
HTTPFTPSMTPIMAP等应用协议做敏感数据拦截,以防泄密或引起法律纠纷。
 

4、完备的数据中心
对内网的所有行为进行纪录和查询,包括QQMSNIM即时聊天信息,发送的邮件等等。
 

深信服AC保证学校机密信息不外漏
国家信息安全部门对学校机密信息的保护有相关的要求,同时中国公安部也颁布了《中华人民共和国公安部第82号令》。因此学校高等级研究部门需要将国家机密信息通过有有效且安全的手段加以保护。我们来分析一下,机密信息会通过何种途径泄漏?
 

机密信息泄漏的途径分析:
 

1、电子邮件是用户通过Internet 交流的主要途径,但随之而来的泄密行为给用户造成了巨大的损失。传统的监控软件只能在泄密行为发生以后再做审计,这时机密信息已经外泄,损失已经很难挽回。(例如:通过Outlook,Foxmail等软件发送的邮件和附件)
 

2、通过BBSBLOGWEBMAIL发表的所有言论泄漏;
 

3、所有MSN,QQ,ICQ,YahooMsg等聊天软件的聊天行为泄漏;
应对措施:
 

1、深信服SNFOR AC 上网行为管理网关通过专利技术之一的邮件延迟审计技术,针对邮件接收发送的审计监控技术,避免与国家相关的机密泄漏。该技术可以把疑是携带机密信息的邮件进行拦截,经审计后才能发出。
 

2BBSBLOGWEBMAIQQMSNIM,深信服SANGFOR AC上网行为管理网关都可以通过设备中丰富的数据记录手段进行监控审计,也可备事后有证可查,直接追究当事人责任。
 

上网通行证
 

对江西省委党校内网的合理划分和管理,是必不可少的手段。江西省委党校网络中心通过深信服SANGFOR AC细致的网权限划分功能合理的规划自己的内网环境,这样可以减轻网络管理员的维护量,而对所划分的每个组制定相应上网权限也能规范内网用户上网的行为,增加内网抵御外网众多混合型病毒的威胁。
 

“没有规矩不成方圆”。特别是校园网内网众多用户,包括教师和学生,以学生居多,他们对新鲜事物的敏锐性非常高,互联网成为其第一时间获取信息的主要手段,但是个人的PC对于互联网的防范性参差不齐的,这就需要他们必需“强壮”自己的PC,才能获取上网的“许可证”。深信服SANGFOR AC对江西省委党校的内网启用户了专利技术之一的网络准入规则来对内网的上网用户进行管理,指网管员可以统一限制上网的条件,比如,必需打上最新的系统补丁程序或者安装指定的防病毒软件,而这些程序都可以通过开放某些地址进行下载后更新,按指定要求做好准备后才可以正常上网。
 

多种认证形式。对所划分的某个组(研究中心、国家重点实验室)启用认证,方可上网,并可指定所能访问的网站范围。现在深信服SANGFOR AC能够支持认证技术包括网页的认证、LDAP认证等。可以通过认证功能使得所规划的某个组只能访问安全性较高的网站,例如学校内部在线教育平台和在线模拟实验室等。
 

随着校园网络的不断建设和改造,上网行为管理在教育行业中的应用也越来广,用户也在逐渐的关注自身内网的管理,特别是对规范学生上网行为上(比如禁止访问不良网站等);增加内网机密信息的保护机制,保护内部数据,防止机密信息泄漏;流量控制、带宽管理,提升带宽利用率;通过关键子过滤、网页过滤等手段净化校园网内网不堪的言论等。
 

高性能平台服务下一代校园网
 

建设“绿色校园”是深信服校园解决方案的实践方向,为了满足校园网高流量的需求、深信服上网行为管理还提供万兆硬件平台,完美支持IPV6,为下一代校园网建设提供强劲支撑。
更多项请请浏览:http://www.sangfor.com.cn/solutions/edu.html