您现在的位置:首页>行业解决方案

行业解决方案

Netoray NSG 上网行为管理系统高校解决方案

 

1背景

1.1高校网络现状分析

随着信息技术和互联网的深入发展,互联网日益成为人们工作、学习和生活的一部分。在享受互联网带来的巨大便利的同时,由其带来的负面影响和安全威胁也日趋严重。互联网使用管理的缺失正让我们日益面对更多的道德、文化、法律以及使用者身心健康的问题;由此对互联网管理,上网行为规范,提高网络利用率等方面提出了迫切的需要。在日常的高校网络应用中存在如下问题:

由于互联网应用复杂,在网络上黄赌毒、反政府、邪教犯罪、分裂国家等反面内容盛行,而保持网络环境的纯净是网络运营商或网络接入服务提供者对社会和网络使用者应尽的义务。对于高校来说,老师、学生可以利用互联网来了解、掌握最新资讯与知识;但是,如果管理不当,学习时间上网聊天、游戏、看电影,浏览色情网站甚至是浏览反动、邪教网站等将给学校带来大相当的负面影响。据有关机构调查显示,有34.6%的青少年网民承认自己曾经浏览过色情网站,有4.9%的人承认“经常”去看。青少年网民因为缺少外界的约束力,加上自我控制能力比较弱、好奇等因素,曾经(或频繁)访问暴力,色情站点。

高校网络应用复杂多样,既有基于端口的应用,也有基于协议的应用,再加上应用的不可预见性,这都给网络管理者带来了管理上的困难。应用的多样性导致合法应用难以定义,以BBS论坛为例:正常情况下,BBS论坛是一个很好的交流平台,高校学生可以通过这个平台,互相学习,互相帮助,这种状况无论是管理部门或是老师和家长乐于见到的。但是一部分人利用合法的网络资源进行非法活动:黄赌毒、反政府、邪教犯罪等等非法活动总会在某些时候出现,极大的污染了网络环境,严重影响学生的身心健康。

难以对非法网络活动进行有效取证。互联网的开放性以及管理的不足,也给了非法的网络活动以可趁之机:在一个开放的互联网中,没有任何一个管理部门能够对所有互联网的使用者进行规范,管理部门只能将非法的互联网行为定位到一个大致的公网IP上,而无法准确定位到实际责任人上面;而这种非法使用互联网的状况一旦出现,互联网接入服务提供者一般很难查到非法活动的直接责任人,此时互联网提供者将会负相应的管理责任,严重者还将被追究刑事责任。

现有的针对互联网管理的设备大多只具有2~4层的包检测能力,无法深层次识别互联网数据,更无从谈起分析其内容并加以管理控制了,这就从技术以及现有条件上影响到互联网管理的有效性。

1.2网络拓扑

此处为简化的、抽象的校园网络,具体依实际网络而定。网通(或电信)以及教育网提供互联网接入服务。校园网中的学生宿舍为在校学生提供互联网服务。校园网中的教学机房为学校日常的教学活动提供网络接入服务。教师办公网络为教师日常办公提供网络接入服务。

图表 1高校网络拓扑

1.3高校网络特点

以数字化校园为特征的教育信息化得到了迅速的发展,高等学校的教学教务管理、科研管理以及办公自动化等应用系统的建设已初具规模。在校园网络的应用中,也同样存在前面所述的问题;同时,校园网络也有其自身的特性,即使用者大都是出于成长期的青少年,其心志等远未成熟,社会或学校有必要、有义务为青少年学子们提供一个纯洁、纯净的互联网使用环境。

基于上述的校园网络特点和满足国家对互联网管理的要求,应该对校园网络作出应有的管理。针对校园网络的改造应基于这样的目标:保障网络稳定运行,保护现有投入最大限度的降低对网络进行改造的成本。针对不同用户、不同应用实现对网络的合理管。完成对用户上网日志的审计以及记录,满足国家法律法规的要求。

 

2需求分析及建设目标

2.1需求分析

2.1.1网络高性能、高稳定性需求

作为近几年来的高校扩招的结果,各个高校无论从师生人数还是从学校规模均获得了较大的发展。很多学校通过建设新校区或学校间的合并,不仅原校区的面积扩大了,并且还在不同的地点有了第二处甚至更多的新校区。在这样的综合性大学中,学校内部的网络在某种程度上已经超越了一般意义上的校园内部网络或本地网络而变成了一个大型的综合性的网络,其规模甚至已经超过了很多城域网,这样对网络中的各项应用的记录有着更高的要求。其特点为,网络接入用户群体的数量庞大,访问的记录非常多,网络应用非常复杂,同时使用、同时在线的用户众多,各种网站的发帖信息量非常大,难以管理。同时大量师生通过校园网络进行P2P类软件的下载占用大量的网络带宽,使学校的正常业务不能正常的应用。

当前随着校内师生员工的工作、科研、学习、生活、娱乐越来越离不开网络(例如:无纸化办公、网络教学、视频会议和VOD点播、网上购物等业务的开展),但在应用丰富的同时,网络环境也变得异常恶劣。近两年,安全攻击事件呈指数级上升而所需要的知识却越来越弱化,各种攻击工具在网络上可以随手拈来。这也对网络设备在网络攻击或者病毒泛滥情况下的稳定可靠提出了挑战。目前,在高校使用的设备中还存在大量早期采购的设备,这些设备在启用了安全规则情况下性能急剧下降--在受到网络攻击或病毒泛滥的时候,CPU利用率居高不下,设备稳定性降低,很可能死机/宕机。

由此分析看来,网络中复杂的应用给网络带来了巨大的负担。如果能够对网络中的各项应用内容做出准确的统计和分析,并且加以控制和限制。这样就会提高网络的使用率,为学校今后的发展打下坚实的基础。

2.1.2无线网络接入需求

高校师生对于网络接入有着强烈的需求,一方面随着近年来国家对高等教育的大力发展和支持,高校在校生人数普遍呈现上升趋势。另一方面,是由于国家经济实力的增强,技术的发展带来的低成本,导致电脑的普及率也越来越高(据不完全统计,在很多的高校,台式/PC的拥有率可以达到80%)。在部分热点区域,或者难以布线的区域需要采用无线接入的方式作为补充或者备份。比如:广场、操场、体育馆、阅览室、会议室、阶梯教室等,这些区域对于笔记本用户的需要提供无线接入服务。但是针对这些区域的互联网访问确没有做到统一的管控,这样对整个校园网的安全造成了很大的威胁。

2.1.3网络管理需求

 对于高校网络管理员来说,最重要的是能够实现事前的身份认证和准确定位、事中的实时处理、事后的完整日志审计。事前的认证和定位是指可严格实现用户身份识别,根据用户账号、密码、MAC地址、IP地址、交换机IP、交换机端口号、用户所在VLAN的灵活组合,来识别用户身份。将网络中的虚拟用户和生活中的真实用户相对应;事中的实时处理是指对于正在是用网络的用户,如果出现私自拨号上网、使用代理、更改IP地址等,认证计费系统会强制用户下线。事后的日志审计是指记录用户上网的详细信息(包括用户名、IP、MAC等)及完整的用户访问外网的记录(包括源IP、目的IP、源端口、目的端口、访问时间),一旦出现安全事件,可以进行快速完整的审计,迅速定位到个人。

2.1.4网络安全需求

高校网络目前面临着严峻的网络安全挑战,越来越多的报道表明高校校园网已逐渐成为黑客的聚集地。这一方面是由于网络病毒、黑客工具的泛滥,用户安全意识的淡薄,而另一方面,高校学生——这群精力充沛的年轻一族对新鲜事物有着强烈的好奇心,他们有着探索的高智商和冲劲,却缺乏全面思考的责任感。有关数字显示,目前校园网遭受的恶意攻击,90%来自高校网络内部,如何保障校园网络的安全成为高校校园网络建设时不得不考虑的问题。对网络中的各项应用记录提出了更高的标准要求,才能够抵御网络中层出不断的各种状况的发生。

2.1.5防沉迷保护需求

自从1998年,教育部开展高等教育大众化计划实施以来,我国普通高校在校生规模已经从1998年的643万人,达到了2008年列世界首位的2021万人,加上其它各类在职成人培养学生综述更是达到了2900万人,高等学校毛入学率达到了233.3%,全面超越了原来领先的我们的俄罗斯、印度和美国。在此大好形势下,网络技术的发展也给我们带来了全新的挑战,这就是如此庞大的具有自我思维能力、决断能力的青年群体,也成为了网络媒体信息浏览和发布的最大群体组织。据教育部权威人士透露,目前各大高校均不同程度感受到了来自学生上网管理方面的压力,这种压力不仅表现在如此众多的人群同时上网所带来的信息基础设施方面的建设压力,更为使教育行政主管部门和各大高校狼狈不堪的是由此带来的教育管理方面的无奈。

一方面是为了应对现代教育技术的发展,各高校均投入巨大财力、物力、人力,建设了相对先进的网络应用体系,为各学科、专业的教学和科研提供了基本的信息资源采集和利用的便利,也为学生上机实习和查询学习资料提供了方便;另一方面,由此也带来了更多的无奈,丰富的网络信息资源使学生拥有了足够的条件去得到一些自己感兴趣的东西,而这些东西很多却是老师们原来千方百计避免学生们去投入过多精力去思考和认识的东西。到网上玩游戏、花费宝贵的时间去追踪一些明星们还无价值的信息、甚至花费很多时间在深究和探讨一些虚假的信息。形成这种现状的原因,有课程设置的原因,但根本的原因在于广大学生对网络的非自主控制的沉迷程度的加深。

2.1.6法律法规需求

目前在我国已有多部法律法规对互联网使用进行管理,从国家到地方各部门,都对互联网的应用审计进行了一些严格的要求。尤其是2008年以来,互联网的非法活动呈现快速发展的态势,由此引出了七部委联合整治互联网低俗之风的行动。当前,除了地方性的法律法规以及行政命令、管理办法外,全国性的网络规范性发文有国务院签署的第292号国务院令《互联网信息服务管理办法》、公安部颁发的《计算机信息网络国际互联网安全保护管理办法》以及《互联网安全保护技术措施规定》(82号令)、信产部颁布的《互联网电子公告服务管理规定》等等。这些法律和规定都对高校的互联网管理提供了坚实的法律依据。

2.2问题分析

通过对目前高校网络的现状分析发现,目前高校网络中迫切需要解决的问题如下:

2.2.1用户无法统一管理

在本网络中,既存在学生用户,也存在教学用的教学机房管理对象,还有以办公、教学为使用目的的教师。而在实际应用需求上,这些用户的特点很不一样,因此无法依靠防火墙做一些简单的规则来对网络进行管理。

2.2.2非法言论无法控制

通过分析校园网络的用户特点我们不难发现,绝大多数的校园网络用户为在校学生,而学生都处于一个成长期,其人生观、世界观等等都还未成熟,在看待问题上面还存在一定的片面性,因此有时难免会产生偏激的言论,而有些言论又会在一定程度上影响学校的管理。这就需要专业的网络设备能够对校园用户的网络行为进行合理管控、有效引导。

2.2.3不良信息无法屏蔽

对于作为校园网的主体使用者学生而言,其在使用网络时极具开放性,凡是新鲜的东西都会尝试;而目前网络的开放性又使很多不适合成长期学生接触的信息比如黄赌毒等等大量出现在网上。作为校园师生生活的一个重要场所,学校有义务为在校学生营造一个健康的网络环境,因此如何将网络的无序性、完全开放性转换为有序管理、合理的开放性并为学生营造良好的成长环境又是学校所面临的一个问题。

2.2.4上网行为记录困难

在校园网络中,出口带宽往往极大,因此单位时间内网络用户所发起的数据量是极为惊人的,而如何在这海量的数据中将所有用户有效的网络行为进行一一分析并对这些网络访问行为进行记录将是极为困难的,需要专业设备完成。

2.2.5网络资源浪费严重

由于P2P类的娱乐软件的大量使用,非常容易消耗掉大量的宝贵带宽资源。严重影响正常的网络使用。

2.2.6网络故障风险

对于正在使用中的校园网络,稳定和安全是第一位的。由于网络用户极多,并且流量巨大,普通网络设备就算是正常转发数据也将会承受极大压力,更不用说分析数据内容并且记录数据了,因此设备的稳定性至关重要,同时其部署方式也会在很大程度上影响网络的稳定性。

2.3建设目标

为了解决上述网络中存在的问题以及满足国家对互联网管理的要求,并对校园网络作出应有的管理,针对高校网络的改造应基于这样的目标:

1)保障网络运行稳定

目前互联网已成为了高校师生们学习和生活中不可缺少的一种元素,因此对于高校网而言其稳定性是至关重要的;但由于用户众多,相应的网络出口带宽也极其巨大,这种巨大的网络流量对网络设备的稳定性提出了极高的要求,而设备的稳定性又会直接影响到网络的稳定,从而影响到校园师生们的网络使用状况。因此保障高校网络稳定运行是高校网络改造必须要考虑的因素。

2)  制定和实施一套被老师和学生所接受的互联网使用政策

多数高校单位或多或少制定过使用互联网的规定,但是却由于没有一套完善的实施机制确保制度得到执行。上网行为管理系统的使用解决了互联网使用政策的可实施性问题,帮助高校单位制定和实施一套适合自己的互联网使用政策。 

3)针对用户及应用对网络进行合理管控

现有的防火墙等网络设备只能对数据的2~4层内容进行分析,没有实现对数据内容的分析。如果没有深入分析网络数据内容的网络设备的出现,网络管理员将无法实现针对用户以及网络应用来实现对互联网应用的合理管控。

4)  保障带宽资源的合理应用

通过过滤掉大量占用带宽的文件及应用(例如P2P下载,在一个上网有10M带宽的网络中只要有两、三个用户在使用P2P类下载软件,它们将占用总体网络资源的80%以上),提高网络资源的合理利用,最大化网络基础建设的投资回报,节省网络带宽。

5)为学生营造良好的成长环境

作为校园网的主体用户的学生,其正处于成长阶段,良好的成长环境能够造就一批思想道德高尚、符合社会发展潮流的高端人才。而互联网在目前学生们的日常生活中占有极重要的地位,是学生们获取信息、与外界沟通的一种重要方式,互联网上面的信息对成长中的学生的人生观、价值观以及世界观的形成有着不可小视的影响。但是,我们在面对学生通过互联网获取信息以及与外界沟通又不能采取禁止访问、一刀切的方式来保证不良信息涌入校园,否则每一个校园网将会是一个与外界隔绝的信息孤岛,校园信息化也就失去了其本身的意义。

6)  降低学校的法律风险

学校的老师和学生可以利用学校提供的互联网连接,不仅可访问色情、反政府等不良网站,还有可能发表非法言论或从事其他一些非法活动。这些与互联网有关的活动有可能会引起学校法律上的麻烦。“上网行为管理系统”可以有效杜绝这类问题,使得学校免于面临这些潜在问题的困扰。

3方案设计

3.1部署方式

本方案是以我公司Netoray NSG上网行为管理系统(以下简称NSG)产品来具体实现,在部署中NSG上网行为管理系统采用串联的部署方式,在这种部署应用模式下NSG上网行为管理系统按照高校网络结构,可以将整个校园网络划分为一个安全区域,对高校网络内的所有用户的上网行为进行控制和审计,如下图:

[u1]

图表 2高校网络NSG部署图

3.2方案描述

莱克斯作为业内领先的上网行为管理系统的提供商,一直秉承为教育行业提供可靠的解决方案,通过与广大高教用户的深入沟通、互动,根据上述高校网现状的分析,以及出现的问题与需求,提出了“高速、可运营、可管理”的可定制化的高校上网为管理系统解决方案。

3.2.1上网流量的控制

通过使用NSG上网行为管理系统的带宽管理功能对整个高校网络进行合理的带宽划分,屏蔽P2P类软件的下载,对学生宿舍的用户设置上下行带宽,保证每个学生合理的使用带宽。对高校办公、高校图书馆用户划分固定带宽,保障高校老师网络办公化的高效性以及图书馆系统查询的流畅性,这样即限制了那些对带宽需求过高用户占用其他用户的带宽,同时也保证了所有用户的有效带宽,使整个网络运行更加稳定。

NSG上网行为管理系统通过制定用户的优先级别和设定用户组的带宽,使现有的带宽被合理有效的使用。根据不同用户对网络的不同需求分配不同大小的带宽,满足各别用户对高带宽的要求。

3.2.2上网行为审计

针对“高校师生对internet访问不能进行有效的管理和记录”的问题,我们通过NSG上网行为管理系统,对目标网络的浏览和访问进行详细地记录,记录的内容包括http, ftp, smtp, pop3(如网站、论坛、游戏、邮件、QQ、MSN、FTP等)等协议的网络访问,供网络管理者和决策者对于宽带网络应用中的问题进行分析和研究,准确定位访问非法信息的人员,并且能将信息及时反馈到相关部门,从而有效的保证了高校网络安全、稳定的运行。

3.2.3上网行为控制

NSG上网行为管理系统可以针对互联网的访问进行限制,对于正常和法的访问不做任何限制,对于非法的访问信息进行拦截和阻断。

  通过NSG上网行为管理系统的URL库过滤可以实现对色情、钓鱼网站、恶意代码网站、反动论坛等URL的屏蔽阻拦,防止因此带来病毒、木马甚至法律责任。

  通过NSG上网行为管理系统完善的访问审计和监控功能控制高校学生利用通讯软件、邮件、BBS论坛、个人博客宣扬不正确的意识形态,传播色情、暴力、迷信等颓废庸俗内容。以及在网络上发表反动言论、恶意攻击、谩骂他人等信息。如定义敏感信息的类型以及关键字, 对通过HTTP、FTP、SMTP、IMAP等应用协议做敏感数据拦截和在线拦截监控等保证拦截到所有的敏感数据,使上网数据无一纰漏,避免学生因不良的上网行为导致学校受到法律的追究。

3.2.4数据流管理

针对“网络故障诊断不够灵活”的问题,NSG上网行为管理系统提供了对上网用户使用信息的分时段、分种类等查询,并可以自动生成用户网络使用情况数据统计报表。网络管理员能够根据网络上网用户信息获取网络的第一手资料,更好的管理网络。

上网行为管理系统具有详细的用户使用日志,管理员通过查询日志信息,可以了解用户使用网络的详细信息:

l  用户每次上网的起始时间,流量

l  网络实时流量信息

l  网络历史流量信息

l  在当天,当月或当年一天内用户登录人次统计

l  在当天,当月或当年内用户使用流量排行前十名

l  在当天,当月或当年内用户使用时间排行前十名

通过对用户使用信息的查询和记录,网络管理人员可以更加灵活和方便的指定和修改网络用户的各项策略,并且能够有针对性地制定网络的应用策略,及时地预防网络病毒和黑客攻击,引导高校学生正确使用网络,使高校网络正常健康的发展。

3.2.5用户认证

一般来讲,采用IP/Mac地址绑定作为用户认证和上网权限的控制是当前最常见的方法,但随着IP、Mac篡改现象的增多,传统的IP/Mac绑定已无法做到有效的身份认证和权限控制。

NSG上网行为管理系统可以通过多种认证方式对用户上网进行认证和授权,除了通过用户名/密码、IP/Mac认证外,还可以透明结合Radius、LDAP、windows域等认证服务系统进行用户身份校验。IP/Mac认证可以通过NSG上网行为管理系统自带的局域网扫描功能实现。对于后几种认证手段,只要在NSG上网行为管理系统中正确填入Radius、LDAP、windows域服务器的地址和端口,NSG上网行为管理系统将自动更新用户列表和策略,这对建立了完善的内网认证体系的用户来说非常方便。

NSG上网行为管理系统提供了简单方便的认证方式便于用户的接入:

Ø  用户上网前的登陆认证采用Web页面方式,用户上网只需要三步:连接网线、启动计算机和打开浏览器,NSG上网行为管理系统将用户强制连接到学校设定的访问页面,输入用户名和密码进行用户身份认证,无需下载客户端软件和更改用户端设置。

Ø  当用户通过系统认证后,在一段时间内无需再次认证,插上网线就可以继续使用网络,同时也对该用户名进行管理,不需要硬件的支持。

Ø  基于帐号的认证方式,用户可以直接在Web页面上Logout、关闭驻留页面、关机、拔掉网线方式来退出和停止使用网络资源。

3.2.6上网计费

     目前学校对于学生宿舍、图书馆、机房的上网一般都采用计费的方式,NSG上网行为管理系统可以通过多种计费方式,如时间段、流量、时长优惠、流量优惠、包时包月等等对学生的上网进行计费控制,并可打印完善的收费账单,或者提供与其它管理系统的接口数据以形成整体的计费管理系统。

3.2.7报表分析

高校用户的内网PC数量庞大,每秒钟都会生成海量的互联网访问日志。为了加强对整个学校网络资源应用情况的了解,学校网络管理员需要一个内容详尽、分析透彻、功能强大的日志报表系统来提供清晰的管理和决策依据。

  NSG上网行为管理系统提供目前业界最强大的日志中心,可以对所有内网用户的上网行为进行实时监控。可以实时查看内网用户所有的上网记录,包括记录和查看Web访问、FTP、TELNET、邮件(含Webmail)、QQ、MSN、ICQ、YAHOO Message等流行IM软件的数据。丰富的报表功能可以生成完整的日志,记录整个网络的上网行为,方便事后的追踪查询到每一个用户。