教育行业上网行为管理方案详细.docx
《教育行业上网行为管理方案详细.docx》由会员分享,可在线阅读,更多相关《教育行业上网行为管理方案详细.docx(20页珍藏版)》请在冰豆网上搜索。
教育行业上网行为管理方案详细
教育行业上网行为管理方案
——XX学校网络管理
深圳市惠尔顿信息技术有限公司
二零一一年三月
第一章背景
中国教育和科研计算机网CERNET目前连接了分布在200多个城市的大学、教育机构、科研单位2000多个,用户超过2000万人,后来居上已成为世界上最大的国家学术互联网。
各校园网用户,可通过教育网专线互联共享教育网络内的学术资源,加快信息传递速度,促进广大教师学生以及科研人员之间的信息交流、资源共享、科学计算和科研合作,提高教育和科研事业的发展效率。
在国家高校“数字校园”、中小学“校校通”工程、现代远程教育等工程的带动下,我国教育信息化水平得到了长足的发展。
随着各地校园网建设的日趋完善,互联网在各学校中得到普及,在教学、科学研究中扮演相当重要的角色。
学生们在使用互联网获取大量的信息及丰富学习内容的同时也因不当上网行为受到了网络威胁。
如:
网络游戏,网络电台,串流媒体及P2P等大量占用频宽;网络游戏、诈骗、暴力、凶杀、恐怖、教唆犯罪、贩毒、赌博、作弊等,随意浏览网络上“有害信息”的行为也极大地影响了学生的正常生活和身心健康,甚至造成严重的网络犯罪及社会问题。
为此,国家有关法律法规出计算机信息网络安全保护管理等办法,针对校园网安全技术也做了明确规定,教育部《教基一[2010]2号》文件中关于加强绿色网络建设也进行了明确要求;各学校针对上述问题非常重视,也在积极采取加强上网行为管理、有害信息过滤、网络内容审计等技术及相应手段,保护校园网的安全。
如何建立一个绿色健康、简单高效的教育网络管理体系、如何提高教育网络管理水平、如何提升网络带宽价值、如何应对更复杂业务和更大规模网络应用已经成为教育主管部门和各地教育网络的建设者和管理者日益关心的重要课题。
在教育网络发展的同时,存在教育网与国内其它运营商及国际运营商联通的状况尚不理想的现状,导致想要通过教育网络作其它应用或连接国外网站查询数据时,网速会相当慢或是甚至无法连通。
所以,一般校园网络除了学术用途连接教育网专线外,还会另外申装其它运营商的光纤线路做其它应用。
如何让教育网与公众网得到良好的运行管理,也是校园网络管理员的第一道课题。
随着各式网络应用激增,BT、P2P、视频下载等应用风行,尽管已经多次升级线路带宽,却发现上网还是卡,带宽还是不够用,各式病毒攻击也伴随而来,更是恼人的问题。
面对众多的用户及复杂多元的网络应用,给校园网络带来很大的威胁,对校园网络管理员更是如临大敌,相关的管理措施不能不重视,否则一旦发生运作不顺畅或甚至断网,影响层面将非常大。
总之,网络行为的管理是内容繁杂的,不同于传统行业的管理,无法制定简单明确的规则进行监控和管理,需要全方位深入的分析用户上网行为与习惯。
一般而言,网络行为管理的难题在于:
●网络管理涉及到相当专业的技术,管理者往往缺乏网络方面的专业知识。
●网络访问复杂,难以区分合理与非理的、合法的和非法的网络访问。
●缺乏有效的网络访问跟踪分析工具,事后无法汇总、举证。
●缺乏有效的管理控制工具。
为了及时地掌握用户在网络使用中的信息,规范用户的网络行为,提高用户对互联网络资源的使用效率,就应该对用户的网络应用信息进行记录和分析,以供管理者及时发现网络应用中存在的问题,并针对这些问题提出解决的策略。
惠尔顿的上网行为管理系统就是专门针对上网行为而设计开发的网络行为分析和管理工具,帮助管理者全面了解员工上网情况和网络使用情况,提高网络使用效率和工作效率,最大限度地避免不当的上网行为带来的潜在风险和损失。
第二章上网行为管理的国内外现状及技术发展趋势
(一)上网行为管理的国内外现状
从整个网络安全产业的发展来看,在美国已经有越来越多的校园、政府单位、学校开始使用互联网控制管理产品,对互联网内容的使用进行控制和管理,以达到提升管理水平、提高劳动生产率、增强内部网络安全、避免法律风险和保护员工的身心健康的目的。
这些安全需求可以归纳到内容安全和内网安全范畴。
在中国,国家已经将信息安全的建设提到战略高度。
对互联网的控制和管理也必然受到全社会的重视。
2005年12月31日,公安部第82号令发布《互联网安全保护技术措施规定》,规定所有联网校园单位都应该建立校园互联网安全管理措施,对校园的用户使用网络、公共信息发布等都要做安全规范管理。
(二)上网行为管理存在的主要问题
1、降低学习效率增加带宽投资
根据调查统计的结果显示,学校使用最多的带宽资源是P2Px下载(60%),而真正用于学习和工作的比例还不到15%。
应用类型
占用资源
主要应用组成
带宽消耗必要性
P2P下载
60%
迅雷
360下载
学生通常挂机,速度高固然好,但是速度慢也可以接受
在线视频
15%
PPstream
优酷网
土豆网
通常视频缓冲过于超前,因此虽然有50%的视频被中途停止,但是却已经下载了全部数据
在线音乐
8%
XX音乐盒
千千静听
通常缓冲过于超前,歌曲没有听完,但是却已经下载了全部数据
2、滥用带宽资源影响正常教育使用
校园的互联网存在种类众多的应用,基于前面的分析我们会发现,学生在使用互联网时更多的是进行娱乐活动,如网络电视、P2P下载等;诸如此类的使用会严重消耗组织的网络带宽,而应用与教育和科研的正常业务办公得不到带宽保障,并且通过增加办公成本来增加带宽,但是网速和带宽没有得到根本的改善。
3、病毒木马肆行安全问题凸显
高风险网站导致病毒、木马、流氓软件在内网散播,造成无法正常的使用网络。
研究发现:
45%Kazaa含恶意代码,众多的互联网访问都存在被恶意软件入侵的可能,BT、MSN等已成为病毒、蠕虫、间谍软件的重要传播渠道。
病毒、木马及流氓软件轻者会给使用目标计算机及网络时带来一些麻烦;严重者会在组织网络中传播木马病毒,导致组织信息外泄;更严重者不仅会导致信息外泄,更能导致组织网络瘫痪,无法正常使用互联网。
4、存在不当应用潜藏法律风险
调查发现,在日常互联网的使用中,学校存在以下较为普遍的现象:
不当行为
学生占比
主要途径
危害性
过激言论
14%
论坛、博客
一旦信息发布将无可挽回,影响学校声誉
色情网站
80%
中文站点
外文站点
色情网站访问成为一种普遍现象,国家已经开始高度重视校园的合法性访问
沉迷游戏
17.2%
QQ游戏、盛大游戏
完美时空游戏
不少学生沉迷于虚拟现实、导致学业荒废
●黄赌毒是非法互联网使用的主要方面:
P2P搜索、非法网站访问、非法传播不健康的信息等,最为典型的当属前一段时间的“艳照门”事件,非法的信息传播极大的恶化了互联网环境;
●不当言论的发表,会给组织带来不必要的法律风险。
很多互联网使用者在自觉与不自觉中会在互联网上发表诸如反动言论、色情、反政府、邪教等,给所在的互联网部门带来潜在的法律风险;
●沉迷游戏使不少学生沉迷于虚拟现实、导致学业荒废;
我国公安部门严格查禁利用互联网发表反动言论、色情、反政府、邪教等非法活动,详情请参考我国公安部门的相关发文。
以上所述的非法互联网活动如果不加管理,将会给所在的组织带来极大的潜在法律及道德风险。
(三)上网行为管理的技术状况与发展趋势
互联网访问管理根本上是对针对网络访问者,进行Web访问控制(网页浏览的控制管理),以及各种基于Internet的网络应用控制管理。
●首先,一个好的互联网访问行为管理产品,要能做到基于用户的、细化、量化的访问策略定制。
●第二、互联网访问管理是面向内容和应用层面的控制管理,产品本地化是一个非常关键的因素,直接影响到控制效果和准确度。
产品本地化并不只是界面语言的简单体现,更是专业技术和本地文化、生活习惯等人文信息的充分理解和完美结合。
●第三、针对web访问控制,相应的控制手段主要有内容实时分析过滤和URL预分类列表匹配内容过滤两种主流技术。
URL预分类列表匹配内容过滤是目前国际上流行的解决办法,实现基本原理是维护一个URL列表数据库。
通过对互联网上各种各样的信息进行分类,精确地匹配URL和与之对应的页面内容。
通过对各种分类列表数据的更新维护,保持分类的有效性。
常见的评价URL分类数据库的原则有:
数据库的生成、数据库规模、数据本地化、数据库更新、基于预分类列表等。
●第四、在网络应用管理方面,要能对日益更新的网络应用做适时有效、高效的追踪。
基于网络应用协议的数据库维护,提供了一种高效、全面的解决办法。
通过对各种网络应用的协议分析,特征值、端口等重要信息的跟踪更新,确保对各种网络应用的准确控制管理。
和URL数据库一样,网络应用协议分析数据库同样对本地化有着很高的要求。
不了解产品服务面向群体的特点的产品,其功能也只是形同虚设。
●第五、提供清晰直观的监控记录和灵活多样的数据统计报表。
支持对访问事件(访问者、访问时间、访问内容、响应动作)的实时监控记录,自定义查找访问者、内容的记录、根据记录生成直观的统计数据等。
帮助校园发现互联网访问趋势,了解校园内部互联网的使用情况。
第三章解决方案分析
(一)网络流量解决方案
如何有效利用现有的网络带宽,是很多网络管理人员一直需要面对的问题。
惠尔顿e地通流量管理系统对此给出了一个优异的带宽管理解决方案:
以应用为基础,以带宽保证、带宽优先级为手段,辅以连接数、连接速率以及传输方向来进行带宽管理策略设置。
合理的策略设置能够使当前的网络为更多的网络用户和应用服务,并可以通过优先级设置、带宽禁止等多种带宽管理方式来管理或限制网络娱乐或其它非业务应用对网络的占用,保证关键业务和正常业务的畅通。
网络应用能够通过系统的多种管理形式来设定和控制用户的网络使用带宽。
1、基于应用的带宽管理
e地通流量管理系统支持基于应用的带宽管理策略设置。
基于应用的带宽管理需要准确分析到数据的协议类型以及应用类型,所设置的带宽策略才能准确限制各业务、各用户的网络带宽使用情况。
基于应用的带宽管理策略的好处在于:
能够根据需要区分主要业务与次要业务、非业务等网络应用,有效保证关键业务对网络带宽的占用情况。
2、根据用户或用户组设置带宽策略
在确定应用管理的基础上,网关还可以根据用户或用户组设置不同优先级和不同数量级的带宽策略,例如可以设置不同组的每组带宽策略,亦可根据不同用户进行带宽设置,使带宽管理能够准确管理到用户;还可以设置不同的优先级,优先保障关键业务的带宽占用,使得每组用户中的非关键应用在保障核心关键业务顺畅运转的基础上可以使用部分网络带宽,从而最大程度的提升网络利用率。
通过对用户组带宽策略的设置,还能有效提升网内服务器群组的出口带宽,保障网内服务器群组的对外服务能力,缩短响应时间。
带宽管理的设置经过了充分的考虑以及合理的规划,可以实现针对网络中的任一用户或用户组的能够基于应用的带宽管理;用户及用户组不需另外添加,由系统自动从已有的用户列表中读取,然后由用户进行选择。
3、基于不同优先级的带宽管理策略
在不同的用户或用户组策略内,还可以设置不同的带宽策略优先级,例如组1加应用1中可以将同一个组而不同的应用进行分类,并设定优先级,从而确保关键应用/关键使用人的带宽使用保障。
通过用户及应用的带宽管理优先级设定,还可以将非关键业务纳入到管理范畴之内,使得网络内部各种流量都可管可控。
网关带宽管理中可通过添加,修改,删除操作来设置指定应用的带宽控制策略,设置多种应用,例如HTTP/FTP、eMule、迅雷等,同时还能自定义网络应用,通过对地址端口以及协议特征等数据的登记可以完全实现对客户自有业务的保障。
网关能够设置指定端口的带宽控制策略。
4、每个IP的连接速率的控制
带宽管理策略还可以通过控制每个IP的连接速率的来限制带宽使用,即控制每个用户每秒发送的数据量来限制用户所能传输的数据流量,从而实现对用户的带宽管理。
IP限制速率设置
5、并发连接数的控制
网关还能够通过控制用户/用户组/用户段的并发连接数来对用户的带宽进行控制。
众所周知,连接数越多,其占用的带宽可能越大,尤其是在目前常用的P2P下载中,限制连接数是限制P2P下载带宽效果比较明显的措施之一。
并发连接数控制
6、教育网与公众网多线策略路由
e地通流量管理设备支持多WAN的策略路由,内建多WAN端口,可提供多条广域网线路接入,教育网专线与公众网线路可集中管理。
具备多线策略路由功能,可分流教育网专线及公众网线路。
通过目的网段IP或针对特定端口做绑定,让学术网络系统等相关信息只走教育专线,而其它联网则走另外接的运营商线路。
从而实现只用一台多WAN端口路由器,即可整合多运营商线路,并清清楚楚的达到彼此分流的目的,得到物理隔离的安全性,保证联机反应快速,网络运行稳定。
e地通流量管理设备多WAN端口支持带宽汇聚,可以使用多条ADSL取代光纤,汇聚线路增加带宽,降低线路成本。
支持多线负载均衡功能,优化对外带宽使用。
并可以根据需要设置是否支持自动线路备份,当一条线路掉线,会自动改用另一个WAN端口的线路连接,确保联机不掉线。
7、防内外网攻击机制解除网络安全威胁
校园网用户众多,不可避免的会发生黑客、蠕虫病毒、ARP、DDOS等各式攻击,防火墙、防病毒攻击的安全防护功能是绝对必要的,可避免校园网络带宽不被恶意病毒攻击所占据,影响其它用户使用网络。
E地通流量管理设备内置高级防火墙,可进行数据包双向过滤,有效防止冲击波、木马等病毒。
防内外网攻击功能,针对目前常见的DOS攻击,具备短包、碎片包、ICMP、SynFlood、TCP/UDP端口过滤等功能。
(二)上网审计解决方案
1、WEB访问控制和审计
●记录用户访问的URL地址。
系统采用URL智能过滤算法,滤掉浏览器自动访问的URL地址,仅记录用户实际点击的URL地址,保证记录的有效性。
●强大的URL分类库。
●支持自定义的URL分类。
●基于网站分类的URL控制策略。
●基于URL关键字的控制策略。
●基于网页内容的过滤。
●实时查看用户访问的URL地址。
2、BBS论坛/播客外发信息控制和审计
●记录用户的网站访问痕迹。
●记录用户在网页上提交的HTTP表单地址以及内容。
●表单的自动分类(如登录、邮件、BBS等分类)和统计。
3、邮件审计控制
●支持SMTP、POP3协议。
●记录邮件发件人、收件人、标题、正文、附件、大小等信息。
●灵活多样的监控规则。
●发件人、收件人监控。
●标题内容监控。
●正文内容审计。
●附件名称审计。
●邮件大小审计。
●邮件内容和附件的下载。
4、即时聊天监控
●支持目前主流的聊天工具,包括MSN、QQ、YAHOO、ICQ、Fetion共10多种。
●记录聊天帐号、上下线时间、聊天持续时间、聊天内容等信息。
●记录MSN/ICQ/飞信等的有关文件上传、下载的动作,提供本地下载审核。
5、传输审计
●记录FTP/TFTP登陆帐号、密码、服务器IP地址、传输命令。
●记录传输文件的时间、文件名称、传输方向、大小等信息。
●记录HTTP下载的文件名、时间、大小等信息。
●记录Telnet操作的命令信息
6、网络游戏审计
●记录网络游戏的在线开始时间、结束时间、游戏时间段等。
●可自定义网络游戏规则、种类以及相应的策略。
7、网络电视监控
●记录用户使用网络电视的开始时间、结束时间以及所使用客户端等信息;
●可针对网络电视自主的设置管理规则:
或限制在某一时段开启、或彻底阻断。
8、异常网络流量监控
●实时监控网络流量状态,例如针对内网ARP流量的监控;
●统计警告网络中的异常流量,例如网络内部的异常ARP状态,并给出异常流量告警。
(三)网络质量报告方案
1、全面丰富的统计报表
●基于IP地址和网段、部门、用户生成报表。
●基于日期生成报表。
●多样类型和分组报表,提供全方面的信息。
●报表采用线性图、柱状图、饼图、表格清晰地显示统计的内容。
●定制并自动生成发送报表。
●支持网络使用统计排名,并指定TOP-N显示的数量。
●报表可以方便的打印。
2、翔实的网络全局报表
全局报表提供网络总的使用情况,包括
●网络流量-时间分布图。
●24小时上网高峰曲线图。
●应用层协议分布饼图。
●流量、上网时间TOP-N用户信息。
●实时在线用户信息。
3、流量-时间分布报表
流量-时间分布图显示过去一段时期内网络流量随时间的分布曲线,便于管理员掌握网络资源使用的情况。
●流量-时间曲线。
●流入、流出统计数据。
4、IP层协议和应用报表
●IP层协议如TCP、UDP、ICMP的百分比饼图。
●应用层协议如HTTP、FTP等百分比饼图。
图14.应用协议百分比饼图
●数据明细表。
5、流量使用TOP-N报表
●根据源IP、目的IP地址分别产生报表。
图15.流量TOP-N报表
●TOP10用户流量的应用分布信息。
●TOP10应用连接数排名。
6、网络的使用高峰报表
●显示上网高峰时段
报表可以清晰的显示上网高峰时间3段,例如:
刚开始上班以及快下班的时间往往是网络应用的高峰。
管理员可以根据实际的上网高峰时间段信息,制定相应的策略,提高员工的工作效率。
●曲线图统计信息。
●数据明细。
图16.24小时网络使用高峰报表
7、实用的上网时间报表
●统计部门、IP网段、用户总的上网时间、平均上网时间、高峰时间。
●明细每天的上网时间。
●上网时间走势图。
8、上网时间TOP-N报表
●统计上网时间最长的TOP-N个用户。
●上网时间占有效工作时间的百分比。
图17.上网时间TOP-N用户
9、完整的应用协议报表
●支持邮件、即时聊天、BT、FTP、网站访问、游戏、网络电视、网络电话、股票软件等各种应用协议。
●提供多样性的分组,满足用户所需。
如:
IM信息可以查看发送邮件最多的用户、接收邮件最多的用户、负载最大的服务器等。
●表格、柱状图显示实际数据信息以及相关比例。
第四章产品部署说明
(一)旁路部署模式
上网行为管理系统可以采用多种方式灵活地部署,通过分析处理流入和流出的数据包,有效地实现对网络数据的监控。
在旁路模式中,通过对网络出口的交换机进行端口映射,通过监听和分析来记录各项数据,适合客户不能断网情况。
在此模式设备的流量控制功能不能生效,上网行为管理、应用层VPN、远程集中接入等功能有效。
下图为旁路接入方式的部署结构:
(二)路由或网关部署模式
网关模式置于出口网关,所有数据流直接经由设备端口通过,适合可更改网络架构的客户。
在此模式设备的所有功能都有效,包括流量控制、上网行为管理、应用层VPN、远程集中接入等。
下图为网关接入方式的部署结构:
(三)透明桥部署模式
透明桥模式如同集线器的作用,设备置于网关出口之后,设置简单、透明,适合客户不希望更改网络架构情况。
在此模式设备的所有功能也都有效,包括流量控制、上网行为管理、应用层VPN、远程集中接入等。
下图为透明桥旁路接入方式的部署结构:
典型案例参考
随时随地办公,惠尔顿服务于北京大唐电信
大唐电信科技股份有限公司(简称大唐电信)是电信科学技术研究院控股的高科技企业。
电信科学技术研究院(大唐电信科技产业集团)是直属于国务院国有资产监督管理委员会的中央企业,并作为创新的典范入选了国家科技部、国务院国资委和中华全国总工会"国家首批创新型企业"。
电信科学技术研究院代表中国提出了第三代移动通信标准TD-SCDMA,为中国民族通信产业的发展赢得了历史性的机遇,得到了党和国家领导人的充分肯定。
近年来,信息产业领域正在发生深刻的变化。
为适应新的形势,大唐电信在"以市场需求和业务发展为先导,以关键核心技术为支撑,以提供整体解决方案为主营业务的通信产品和服务提供商"的企业定位下,明确了新时期的企业愿景:
"立足通信产品和通信服务,发展成为领先的专业信息产品和服务提供商",并确立了"提升微电子产业、软件产业和终端产业的持续发展能力,完成增值业务产业布局,形成微电子、软件、终端和增值业务产业的一体化互动,完善公司产业结构"的发展战略。
面对未来新的电信业格局,大唐电信必须加快自身网络信息化的建设,提高工作效率,达到总部与各分部之间数据同步协同办公。
【需求分析】
各分支机构的用户可以实时、快速的访问公司总部相应的应用发布的数据;细粒度的对下面的用户进行管理,具体到某一个人、IP;客户端只有通过密钥(key)认证才能与应用服务器进行连接;对各用户进行上网行为的规范(例如不要访问某某网站、关键字的过滤、QOS流量控制);支持多网段的划分、策略路由/南北通、双线路接入、状态检测防火墙。
惠尔顿公司为其提供的解决方案实现了我们一直以来的需求:
网络隔离
利用e地通设备将应用服务器和外网隔离开来,客户端机器使用代理协议机制访问e地通设备,在由e地通设备根据客户端机器所具有的权限向服务器调取所需资源,从而保障了应用服务器的安全。
策略路由
e地通设备支持双线路接入、智能策略路由可以彻底解决北网通、南电信的尴尬局面,从而更好的方便用户对公司总部数据实时、快速的访问。
内容过滤
e地通设备可对下面的用户访问外网的数据进行URL地址的过滤、文件类型的过滤、关键字的过滤,并可分带宽、分级别、的进行QOS带宽控制。
传输的安全
e地通带用业界领先的Socks5VPN技术,辅以高强度的AES128加密算法和SHA1-96数据完整性算法,确保数据在通道中传输的安全。
而国内首创的Socks5VPN技术,屏蔽网络底层,常见的蠕虫,病毒,木马无法通过网络层传输。
认证的安全
如果无法区分真假用户,所有的安全保障措施都是空中楼阁;而通过用户名密码、USB-Key等双身份认证技术,则能够强化认证的安全,尤其是通过将用户帐号和接入终端设备的硬件(如CPU、主板、硬盘等硬件信息)特征绑定的技术,将进一步提升认证的安全性。
权限的安全
领导和普通员工的接入,第三方合作伙伴的接入,都需要严格的权限控制,而e地通可以精细到应用级别的权限划分,有效控制了资源的访问行为。
高效的传输速率
使用e地通远程接入客户端,员工能够使用任何便携设备安全地访问公司所有的应用,其访问速度和应用的功能如同在局域网中一样。
员工可以在移动的环境下接收和更新客户资源系统、供应链系统以及其他的业务资料,加强与供应商和合作伙伴之间的密切联系。
先进的策略路由技术,可以解决企业间普遍存在的不同运营商线路的传输瓶颈问题。
【效果分析】
采用惠尔顿提供e地通设备,将设备部署在公司总部,通过设备发布公司应用业务平台,将公司各个分支机构通过此设备访问到应用服务器的数据,实时的进行数据的访问、上传、查询等功能。
以保证下面分支的用户同步访问、上传数据到公司总部应用服务器,以达到协同办公。
该产品集成防火墙,QOS,VLAN、内容过滤等功能,支持多线路策略路由功能,实现内部网的大网管理。
支持划分VLAN功能,将办公和财务系统划分不同的网段,管理内部的访问控制,客户端采用纯绿色、免安装程序,方便客户端操作人员使用,降低维护量。
典型客户:
海南全省工资统发系统信息中心内网安全与提速
海南省民政系统网络安全管理平台
大族激光安全提速接入管理平台
广西春茂集团网络安全接入管理平台
广西有色金属集团安全接入平台
福建省福州五区八县乡财县管县乡联网安全和提速
百丽集团网络系统提速平台
中海地产网络系统安全提速平台
河北省农村合作医疗信息化安全平台联网
……………………………