高校网络安全及上网行为管理需求分析

    近年来,国内高等院校的信息化水平快速发展, 互联网也发挥着越来越重要的作用;与此同时，网络的安全问题日益突出，利用互联网进行违法犯罪的案件呈日益增长的趋势, 散布各种损害学校名誉的情况也时有发生。而高教行业动辄成千上万的内网用户规模，一方面为网络带宽带来很大压力，另一方面用户众多难于管理，很容易出现网络安全问题。国家教育部、公安部等相关部门也三令五申地要求各高校切实做好网络安全建设和管理工作。

　　但是在校园网络建设的过程中，随着网络规模的急剧膨胀、网络用户的快速增长、关键性应用的普及和深入，校园网从早先教育、科研的试验网已经转变成教育、科研和服务并重的带有运营性质的网络，校园网在学校的信息化建设中已经在扮演了至关重要的角色。

　　作为数字化信息的最重要传输载体，如何保证校园网络能正常的运行不受各种网络黑客的侵害，并对学生的上网行为进行有效的管理，已经成为了各个高校不可回避的紧迫问题。

　　我们从5个方面，分别阐述高校面临的问题以及相应的解决方案：

　　一、上网流量的控制、P2P应用的限制,带宽的管理：

　　首先，对于高校动辄成千上万的用户规模而言，我们很难弄清楚学生们每天上网都在做些什么，有哪些是与学习有关的，浏览了多少网页、收发了多少邮件、占用了多少流量，我们往往不得而知。而当高校要确保某些电脑上网能够顺畅、确保某些网络服务(网络语音、网络视频会议、OA办公系统)能够正常开展时，就需要对整个网络进行有效的带宽分配和流量控制，以确保正常业务能够开顺利进行。如果不能有效控制学校网络实时流量， 100M、1000M的Internet出口带宽也是微不足道的。

　　其次，网络收费包月吸引了大量的学生在宿舍上网，在方便了学生获取知识的同时，也产生了一些其他问题，例如普遍的过度下载。目前高校特别是网络规模较完善的高校一般对学生实行网络包月收费，这就造成学生大量使用BT、电驴、迅雷等软件来"充分"利用网络资源下载电影、音乐或文字材料，或在线看电影、使用视频直播等，造成了带宽大量被抢占，学校网络速度受到极大影响，也让网络中心面临了很大的压力。如何有效封堵此类P2P应用或限制此类应用的流量，也成为高校网络建设的一个明确的需求点。

　　针对以上的问题，深信服AC上网行为管理方案可以做到对网络流量进行细致的管理，通过AC的带宽管理和多线路策略功能实现对带宽质量的保证以及网络的有效管理，并能对P2P软件进行智能识别，对其下载作出控制以及完全的封堵。

　　1,网络流量管理

　　AC上网行为管理产品通过审计、控制、优化和带宽叠加等功能，协助管理者全面分析和优化广域网带宽资源。AC的数据中心(Network Data Center， NDC)对局域网发生的所有网络行为进行记录、分析和趋势报告。借助图形化的数据和报表，用户可以直观地了解到哪些服务占用了广域网宝贵的带宽资源，在线视频，收发邮件，还是疯狂的P2P下载。通过对网络使用情况的深入了解，管理者能够制定出最适合自身组织机构的互联网访问管理策略。

　　由于深信服AC提供对各种网络服务的拦截和管理，以往的拔网线、封IP的强制性手段将成为过去，如何智能的管理网络取决于你的决心。如果管理员在"彻底封杀某个服务"，还是"完全放开这项服务"的决定中摇摆不定(例如P2P下载，其吞噬带宽的同时也带给了用户丰富的信息资源)，也可以选择对应用的流量进行调整。

　　2,P2P软件的控制

　　P2P技术使人们可以高速获取海量的网络资源，而P2P软件对带宽的占用也使其招致种种恶言。一个2M以太网出口的局域网，只要有两个以上的员工不限速地使用BT或其他P2P软件，所有人的正常网络浏览都将成为不可完成的任务(Mission Impossible)。每天，互联网上都会有人发布最新的P2P软件以及补丁，这让大多数的P2P控制工具望尘莫及，它们往往只能封堵"昨天的P2P软件"。深信服AC改变了这一切。通过对P2P下载软件的智能检测 (专利号： 200610156977.8)，管理员甚至可以彻底封锁所有的P2P流量。如果不想做的太绝，你可以选择针对特定用户和相应的P2P工具进行流量控制，只要不超出网络使用者的容忍程度，大多数用户还是可以允许内网中存在P2P的下载。

　　3,带宽优化和多线路策略

　　QOS(网络服务质量)技术包括专用带宽、抖动控制和延迟、丢包率的改进以及对指定高优先级网络服务的流量保证。深信服AC同样采用了QOS技术，对流经WAN和LAN的数据进行了优先级处理，保证了重要服务的带宽质量。

　　AC产品也继承了深信服科技其他产品线的领先技术。借助多线路负载均衡技术(专利号：ZL03113974.4)，内网用户访问不同的运营商网络时可以自动匹配最优的网络出口;而通过配置带宽叠加策略(专利号：200310112006X)，可以把多条Internet线路叠加为一条公网总出口，以获得更好的互联网访问感受。.

　　二、网络行为的规范，内容安全审计过滤，违规警慑,事后追踪查询需求：

　　这里主要体现在三个方面：

　　首先，URL库过滤可以实现对色情、钓鱼网站、恶意代码网站、反动论坛等URL的屏蔽阻拦，防止因此带来病毒、木马甚至法律责任，带给学校大量的麻烦。

　　其次，当前各种论坛、博客、BBS及FTP等使用非常广泛，为防止内网用户通过此类途径上传或下载一些非法内容，需对相关言论的发表做关键字过滤或对此类行为做详细记录，以便追查。这也是高校响应公安部于2006年3月1日开始实施的《互联网安全保护技术措施规定》即82号文件要求，有效防范、打击网上违法犯罪活动和治理有害垃圾信息的重要措施。 另外，对于出现此类违规行为能对终端用户做出相应的警告，以起到一定的威慑作用，也是减少违规行为发生的有效手段。

　　最后，外发信息的管理是个重要的管理方面。互联网已成为高校大学生获取信息的主要途径，对于高校师生员工的认知渠道、思想观念和日常生活产生着深刻的影响。尤其是高校学生利用通讯软件、邮件、BBS论坛、个人博客宣扬不正确的意识形态，传播色情、暴力、迷信等颓废庸俗内容;在网络上发表反动言论、恶意攻击、谩骂他人;并通过网络实施网诈骗、偷窃他人网络财富，如何对这些外发的信息进行管理和监控，是高校网络安全建设的明确需求点

　　深信服服AC设备内置了可自动更新的分类URL库，其中包含了海量的成人、暴力、反动以及恶意网站信息，这有助于将不健康和包含潜在威胁的网站拦截在外。由于每天互联网都会涌现出大量的站点，深信服AC的 URL库也提供了使用者分享功能，用户可以在AC的URL库自定义需要被拦截的URL。通过对URL的阻拦，可大大降低内网用户对不良Web页面的访问。对于很多URL过滤设备无法控制的SSL加密页面，深信服AC同样能够施展拳脚。很多钓鱼网页伪造成网上银行企图骗取出用户的银行卡密码和资金，通过在AC中导入并设定SSL证书及链接的黑白名单和证书时效性确认，将有效网络行骗者使用的伎俩。这对使用SSL方式进行加密的反动、色情、邪教等网站同样有效。

　　针对文件的传输，深信服AC提供了更细致的解决方案。通过对象设置，可以将关键字、文件类型、网络服务与IP地址组进行关联，再进一步实现细颗粒的控制策略。如果你想拒绝从IP地址为202.96.137.75的站点通过Web方式下载一个包含"hijacking"关键字的cpp文件，那么就应该选择像深信服AC这样的内容安全设备。

　　而对外发信息的管理，深信服AC设备有完善的访问审计和监控功能能够有效防止敏感信息通过Internet发送。如定义敏感信息的类型以及关键字, 对通过HTTP、FTP、SMTP、IMAP等应用协议做敏感数据拦截和在线拦截监控等保证拦截到所有的敏感数据，使上网数据无一纰漏，避免学生不良的上网行为导致学校受到法律的追究。

  三、用户有效身份认证和上网权限管理难以控制：

　　一般来讲，采用IP/Mac地址绑定作为用户认证和上网权限的控制是当前最常见的方法，但随着IP、Mac篡改现象的增多，传统的IP/Mac绑定已无法做到有效的身份认证和权限控制。 现在网络建设较完善的高校一般都采用了基于Radius、LDAP或Microsoft AD的服务器认证，用于学校用户在众多应用系统中的帐号管理。在这里，我们来探讨一下互联网访问的认证机制。

　　3A(认证，授权和审计)是组织安全设施的基础，能对用户和内容进行有效的保护和控制。认证对于一个局域网来说主要分为两个层面，首先是借助应用系统自身的认证，例如OA系统的用户名/密码，这可以从一定程度上避免非授权用户对内网核心资源的访问;另一层面是借助于网络部门建立的Radius域认证、微软LDAP(Lightweight Directory Access Protocol , LDAP)等来对内部用户进行身份认证管理。然而，基于内网安全的认证机制还需要进一步完善。试想，如果一个打算离职的员工还属于可信用户，但他却把内网中的财务报表打个包上传到公网的一台FTP服务器，或将组织辛苦搜集到的客户信息通过Email发送给竞争对手，这些行为对组织的经济效益将带来巨大的损失。

　　所以，我们迫切需要管理局域网中所有用户的Internet访问。现在我们应该对用户组进行认证方式的设置。在深信服AC中你将切实感受到多种认证方式带来的好处。身份认证主要有两种方式，免客户端认证和客户端认证，深信服AC中的Web认证属于前者。Web认证通过浏览器即可完成全部认证，即使对计算机操作并不熟悉的用户也能够理解和使用，很好提高了操作的互动性和弹性。

　　Web认证是这样运行的：内网的用户第一次开机时，只要在浏览器中输入网址，AC将自动把用户的访问页面重定向到预设的Web认证界面。只有在页面中正确输入管理员分配的帐号信息才能正常访问Internet并获取相应资源，否则网关将拒绝用户的所有Internet连接请求。另外，为了避免用户离开后主机被他人利用，当用户在一段时间内没有发生任何网络流量时，AC的Web认证将断开该用户的网络连接，直到用户再次通过Web认证。

　　深信服AC支持多种认证方式，除了通过用户名/密码、IP/Mac认证外， 其W eb认证还可以透明结合Radius、LDAP、POP3等认证服务系统进行用户身份校验。IP/Mac认证可以通过AC自带的局域网扫描功能实现。对于后几种认证手段，只要在AC中正确填入域、活动目录和邮件服务器的地址和端口，AC将自动更新用户列表和策略，这对建立了完善的内网认证体系的用户来说非常方便。

　　四、如何确保客户端的安全，以解决潜在的网络安全问题

　　由于高校拥有众多的内网用户，因而客户端的安全级别往往难以保证，学校师生使用版本陈旧的操作系统、长时间不更新个人防火墙和杀毒软件、应用具有潜在安全漏洞的软件，这些都成为了局域网安全中的"短板"。

　　基于此，深信服AC通过对端点安全评估和访问策略列表来实现全方位的安全防护。当启用了深信服AC的客户端安全准入功能后，内网用户第一次发起互联网连接请求时，AC将动态分发准入代理(Sinfor Ingress Agent, SIA)至客户端主机。SIA是轻量级软件代理，用于确定端点是否遵从管理员设定的安全策略。SIA中可配置用于检查预定义的以及可定制的标准，包括操作系统、运行程序、系统进程、注册表的存在/版本/补丁等。当SIA将搜集到的客户端信息传回AC网关后，入发现内网用户的端点安全状态不符合SIA的规则设置时，AC将对相应用户执行预定义的策略，放行或强制关闭某项程序或进程。

　　如果一位内网用户矢志不渝地使用某些具有安全隐患的程序，而这一程序又有可能将病毒、蠕虫和恶意程序从主机的桌面传播至整个网络，这时我们就可以通过客户端安全准入功能将此程序禁用，当用户一旦启用此程序后，用户的PC将同互联网"隔离"，只有关闭掉恶意程序，用户才能正常访问互联网，这会使内网用户的网络行为更规范、内网更安全。

　　客户端安全准入功能提供的可定制的网络行为标准可以赋予学校网络管理者更多的权限和扩展性，通过对程序、注册表、进程的自定义，客户端安全准入机制可以管理几乎所有的终端在线状态，使安全策略更有效地同整体安全防御体系合为一体，从而彻底解决潜在的内部网络安全问题。

　　五、用户上网行为的日志、报表分析的重要性突出：

　　高校用户的内网PC数量庞大，每秒钟都会生成海量的互联网访问日志。为了加强对整个学校网络资源应用情况的了解，学校网络管理员需要一个内容详尽、分析透彻、功能强大的日志报表系统来提供清晰的管理和决策依据。

　　深信服AC提供目前业界最强大的日志中心，可以对所有内网用户的上网行为进行实时监控。可以实时查看内网用户所有的上网记录，包括记录和查看Web访问、FTP、TELNET、邮件(含Webmail)、QQ、MSN、ICQ、YAHOO Message等流行IM软件的数据。丰富的报表功能可以生成完整的日志，记录整个网络的上网行为，方便事后的追踪查询到每一个用户。

　　不同于其它上网行为管理产品，深信服AC的日志中心具有良好的移植性，对于那些日志量较大的用户，可以将深信服AC的日志中心平滑的转移到内网中的任何一台服务器上，并通过Web访问方式随时查询和导出数据。这种可移植的日志中心有两大优势：1.独立部署的日志中心将不受设备的硬盘容量限制，更方便用户的日志记录和扩展。对于一些需要记录大量互联网访问信息的用户，此功能特别实用;2.由于深信服AC可将日志和设备分离，大大减轻了上网行为管理设备的工作量，避免大量的数据存取操作成为影响网关性能的瓶颈。

　　在管理方面，深信服AC可通过对组、用户、规则、协议等多种对象进行查询，按饼图、柱状图、曲线图等方式进行比较，能够直观地查看到网络流量、邮件、网络监控、IPS系统、准入规则、防火墙等详细信息，而且还可以直接打印和导出报表。SINFOR AC强大的日志系统和丰富的报表功能，可准确的分析出高校Internet的详尽使用情况，为网络管理员提供了最有效的数据支持。