“绿色校园“之上网行为管理

　　“绿化校园”的前行障碍

　　教育信息化是在教育过程中比较全面地运用以计算机多媒体和网络通讯为基础的现代化信息技术，促进教育的全面改革，使之适应于正在到来的信息化社会对于教育发展的新要求。2000年10月国家教育部正式开始推行的“校校通”工程，更进一步推动了校园网的建设和发展，明确了信息化教育事业的大方向：就是充分利用校园网，为学校的教师、学生和教学管理人员，提供面向学校应用服务的多媒体教学、信息化管理、信息交流平台，以实现学校教学手段现代化、教学管理科学化、教学资源信息化，为学校培养面向21世纪信息化社会高素质人才的服务。

　　虽然每年国家在教育信息化方面投入大量的人力和资金，但是校园网络部分依然出现众多的隐患，比如：校园网络安全防御系统的不健全，导致招到外网大量的病毒和黑客攻击;校园网络资源的滥用导致正常业务无法开展;没有合适的手段来保障学生有一个健康的上网环境等。而对校园网络管理人员来说，有没有一种更好的解决方案来降低自己的维护量，保护内部重要信息不外漏呢?曾有某高校网络中心老师唉声连连：“100M的光纤出口，为什么网速这么慢呢，BT、电驴好难搞啊!”

　　网络边界安全性的思考?

　　对于外网的防范，规模稍微大一点的校园网络，都部署了多层安全网关，比如：防火墙、IDS、防病毒其墙、垃圾邮件过滤设备等。

　　其实现在校园网络抵御外网的攻击的能力上已经比较完善，但是内网网络的管理是否也同样完善呢?是否有必要通过原有的完全防范设备就能合理分配网络资源，规范内网用户的上网习惯呢?

　　校园内网中的“丑恶面容”

　　很多网管员很难查看到内网用户的上网行为，一个原因在于精力有限，需要维护很多而且不同厂商的不同网络设备，以及处理其他事务。另一个更重要的原因是在于很难找到有效的手段进行内网状况分析。这些也导致内网资源被很多不规范的上网行为给占用。那内网用户不规范的上网行为有哪些呢?

　　通过上面的图表，很直观的反映出校园网中的由于各种规范的上网行为使得网络资源被滥用，而导致用户的业务工作无法正常开展，学生也无心思把学习的重心放对自己有正面影响的事务上，每天都在BT、电驴下载，访问黄色网站、在网站上发布比较激进的言论等等，这样的局面如果没有能够被学校合理控制，何谈社会培养面向21世纪信息化社会高素质人才?也直接影响着整个校园信息化建设的步伐。那对于这些行为，作为学校来说只能坐以待毙吗?我们接下来先分析一下产生这种状况的原因。

　　BT下载、电驴下载、机密泄漏、病毒有机可趁?

　　随着互联技术的不断发展，很多例如BT、电驴等主流互联网共享技术丰富了人们的网络生活，也使得我们能够找到以往很难找到的信息。但是这些信息来源的前提条件是，需要我们付出更大的带宽资源。假如一个2M带宽的家庭用户通过P2P软件下载某个资源需要占据1M左右的带宽，而校园网络的出口为100M光纤，某校师生共有6000人，其中就有4000名学生，而经常使用BT、电驴的人在1000人左右或者更多，一个100M必然难以分配，学校正常业务能够在这样恶劣的网络带宽情况下开展吗?

　　一些高端网络交换设备通过一定的配置可以通过端口进行封赌P2P，但是不能彻底封赌，原因在于P2P一类的软件都在不断更新的，版本不同使用的端口也不同。

　　现在一些上网行为管理的厂商已经有了一种能够根据P2P特征信息进行深度检测的技术对最新P2P软件进行限制。P2P也有自己的特定的身份，以“不变以万变”，无论端口怎么改变，都能对这些恼火的东西彻底封杀。上网行为管理设备还应该可以把这些占用带宽比较高的网络服务限定于某个时间段才能享用，并且 通过限制P2P的流量，保证其不影响其他正常业务的开展，还能做到更细致的权限管理。事务总有利弊两个方面，关键是合理的控制。

　　网页过滤，限制敏感数据。

　　校园信息发布平台，让校园网成为教师工作的一部分，如校内新闻、行政办公通知信息、教学信息、课外活动信息等有关事项尽可能采用校园网站来发布，一方面可以让师生养成使用校园网站的习惯，另一方面可以留存较长时间。互联是网提供给了学生更多知识和信息，但是互联也存在很多不堪的信息，比如黄色网站、反政言论(法伦功)等，这些因素都在阻碍校园信息化进程。曾经某学校因为该校某学生在学校门户网站上大量发表一些自己的激进言论，导致该校的领导受到法律部门的处分，至今也未能找出到底是谁所为。

　　上网行为管理设备使用哪些手段防止类似现象的产生，并可做到事后有证可查呢?

　　1、自定义URL资源、限制URL访问

　　结合时间策略可为不同的访问控制组分配不同的URL访问权限。

　　2、关键字过滤

　　禁止用户通过Internet搜索、浏览反动、政治敏感、色情等相关信息;禁止用户通过BBS、WEB-Mail、BLOG等发表反动、政治敏感及色情等信息;

　　3、敏感数据拦截

　　对HTTP、FTP、SMTP、IMAP等应用协议做敏感数据拦截，以防泄密或引起法律纠纷。

　　4、完备的数据中心

　　对内网的所有行为进行纪录和查询，包括QQ、MSN等IM即时聊天信息，发送的邮件等等。

　　机密信息不可外漏

　　国家信息安全部门对学校机密信息的保护有相关的要求，同时中国公安部也颁布了《中华人民共和国公安部第82号令》。因此学校高等级研究部门需要将国家机密信息通过有有效且安全的手段加以保护。我们来分析一下，机密信息会通过何种途径泄漏?

　　机密信息泄漏的途径分析：

　　1、电子邮件是用户通过Internet 交流的主要途径，但随之而来的泄密行为给用户造成了巨大的损失。传统的监控软件只能在泄密行为发生以后再做审计，这时机密信息已经外泄，损失已经很难挽回。(例如：通过Outlook,Foxmail等软件发送的邮件和附件)

　　2、通过BBS、BLOG、WEBMAIL发表的所有言论泄漏;

　　3、所有MSN,QQ,ICQ,YahooMsg等聊天软件的聊天行为泄漏;

　　应对措施：

　　1、通过一种针对邮件接收发送的审计监控技术，避免与国家相关的机密泄漏，可以把该技术称做为邮件延迟审计的技术机制，目前国内上网行为管理厂商之一的深信服电子科技公司的SINFOR AC系列网关产品具备此项功能。该技术可以把疑是携带机密信息的邮件进行拦截，经审计后才能发出。

　　2、BBS、BLOG、WEBMAI，QQ、MSN等IM，都可以通过上网行为管理设备最基本的数据记录手段进行监控审计，也可备事后有证可查，直接追究当事人责任。

　　上网通行证

　　内网的合理划分和管理对内网的上网行为管理也是必不可少的手段。合理的规划，可以减轻网络管理员的维护量，而对所划分的每个组制定相应上网权限也能规范内网用户上网的行为，增加内网抵御外网众多混合型病毒的威胁。

　　“没有规矩不成方圆”。特别是校园网内网众多用户，包括教师和学生，以学生居多，他们对新鲜事物的敏锐性非常高，互联网成为其第一时间获取信息的主要手段，但是个人的PC对于互联网的防范性参差不齐的，这就需要他们必需“强壮”自己的PC，才能获取上网的“许可证”。网管员可以统一限制上网的条件，比如，必需打上最新的系统补丁程序或者安装指定的防病毒软件，而这些程序都可以通过开放某些地址进行下载后更新，按指定要求做好准备后才可以正常上网。

　　也可以对所划分的某个组(研究中心、国家重点实验室)启用多种认证形式，方可上网，并可指定所能访问的网站范围。现在认证技术包括网页的认证、LDAP认证等。同过认证功能使得所规划的某个组只能访问安全性较高的网站，例如学校内部在线教育平台和在线模拟实验室等。

　　‘我’该放在哪?

　　在过去四年里校园网建设中，可以看出建硬件建设投入多所占这个网络建设的比例较大。可以说，教育信息化方面的大建设仍主要停留在硬件设施建设上，在购置校园网设施上可以一掷千金。另一方面，我国校园网建设规模到目前为止已经达到了80%，也就说大概有80%已经建成网的学校存在内网的管理的需求，要在这些校园网中普及上网行为管理的解决方案，最基本的要求是：对原有网络整体结构不做太大改动，甚至不做改动，同时依然要保证校园网络的可扩展性。

　　上网行为管理设备为满足校园网用户的网络的需求，就必须要具备多种部署模式，例如：网关(Gateway)、透明(Pass-Through)、网桥(Bridge)、旁路(Pass-by)模式。这些也需要结合校园网络的实际状况和需求进行部署。

　　如果需要对整网所有数据进行监控，并对内网所有用户进行管理，常用的模式如下图：

　　方案优点：

　　无需改变用户原有的网络拓扑机构，与原有网络无缝结合，内网用户也感觉不到它的存在。当然，曾经也有用户提到，“如果设备出现故障，会不会影响我的业务传输啊?”。国内的一些知名厂的上网管理厂商也已经把bypass功能(通过内核定时发送心跳消息给bypass模块)集成与设备当中。保证设备一旦故障也能保证企业正常业务的开展，即如果系统故障，bypass模块将两个网口直通，相当于一根网线。

　　旁路模式。这种模式基本上对原有网络不做任何修改，但是相当于透明模式来说，所能够监听的内网服务数据信息就不如透明模式全面，管理性也相对较弱，特别是对UDP形式放送的数据。

　　方案优点：

　　不改动原有的网络，只需用一根网线连接即可，部署起来非常方便。对内网以TCP协议发送的部数据进行详细记录，并且不会影响到网络的流量，其最大的优点就在于部署方便迅速。

　　上网行为管理给学校带来的价值

　　随着校园网络的不断建设和改造，上网行为管理在教育行业中的应用也越来广，用户也在逐渐的关注自身内网的管理，特别是对规范学生上网行为上(比如禁止访问不良网站等);增加内网机密信息的保护机制，保护内部数据，防止机密信息泄漏;流量控制、带宽管理，提升带宽利用率;通过关键子过滤、网页过滤等手段净化校园网内网不堪的言论等。