精選優質文檔-----傾情為你奉上精選優質文檔-----傾情為你奉上專心---專注---專業專心---專注---專業精選優質文檔-----傾情為你奉上專心---專注---專業校園上網管理系統設計方案校園上網管理系統設計方案目錄TOC\o"1-3"\h\z一．應用背景近年來，隨著我國網絡技術的不斷發展以及網絡基礎設施的完善，互聯網已經成為目前發展最快的主要社會媒體，并有逐步替代和超越傳統媒體（如報紙、電視、廣播等）的趨勢，將成為社會主流的信息媒介和廣告平臺。據中國互聯網絡信息中心公布的數據，截止到2004年6月，我國的上網計算機總數已達3630萬臺，上網用戶總人數為8700萬人，青少年網民占到了全部網民的53.5％，約4650多萬，占了很大比例。可見，互聯網在中國正以前所未有的速度高速發展，互聯網已經成為了人們工作、生活的一部分。互聯網對青少年有巨大的吸引力，人們可以通過互聯網學習豐富的知識、查閱豐富的信息，提高生活的質量。但由于互聯網的開放性及網上信息優劣參差不齊，使得網上各種不良信息也隨之泛濫，特別是反動、色情、暴力等有害信息極大地危害著社會的穩定和青少年的身心健康，而法輪功邪教組織、民運分子、各種敵對勢力也利用這一舞臺，對我國進行各種宣傳攻勢和滲透演變。人們在享受網絡技術的同時，也對網上不良信息對人們的負面影響產生了擔憂。特別是在中小學校，由于上網學生年齡較小，好奇心強，容易受到不良信息的影響，這些有害信息通過電子郵件、論壇、留言板、網頁等途徑流傳到校園內，給學校的信息網絡安全帶來極大沖擊。所以加強網絡管理，采取有效的技術手段防止學生訪問有害網上信息是每一個上網學校的重要問題。按照國家教育部頒發的《全國教育事業“十五”計劃》中“校校通”工程的計劃，用5到10年時間，加強信息基礎設施和信息資源建設，使全國90%左右獨立建制的中小學校能夠與網絡連通，使每一名中小學師生都能共享網上教育資源。目前許多學校都已建成或正在建設校園網，校園網都與教育城域網或與INTERNET連接，實現了校園內電腦對INTERNET網信息的訪問。但許多學校對網絡有害信息的危害認識不足，沒有采取有效的防范措施，使學生很容易訪問和接觸到網上有害信息，影響身心的健康發展；而有的學校由于懼怕網上有害信息，禁止學生訪問互聯網，使學生失去了使用網絡的機會；有的學校則采取只給學生訪問指定的網站，其他的一概不許訪問，這又失去互聯網的最大優點（能在全球范圍內查找和使用信息的優點）。針對日趨嚴峻的網絡安全形勢，國家公安部、教育部、文化部、信息產業部等幾大部委聯合頒布了一系列針對危害公共網絡信息安全的法律法規文件，通過開展專項整治活動打擊了各種有害信息傳播蔓延。教育部從2002年起頒布了《教育部關于對校園網信息專項清理整治工作的實施意見》（教社政[2002]5號），其中明確指出“各級各類校在加強對學生教育管理的同時，要采取在校園網上安裝‘過濾’軟件等技術措施，確保網絡信息安全”，對目前中小學校園網日益凸顯的網絡信息安全問題提供了政策層面的指導，為徹底根治頑疾開出了一副良方。另外，由于前期校園網的建設主要關注硬件及應用軟件系統，而對校園網絡的安全關注和投入較少，系統連接互聯網后容易受到外來黑客的攻擊，所以必須采取網絡安全防護措施，保護校園網絡的安全。網絡安全以及網絡信息安全管理正成為學校管理者和公共信息網絡安全監察部門的重要任務，而目前教育網對互聯網信息安全的審計和管理較為薄弱，校園網絡信息安全管理的落實必須與教育主管部門配合，共同落實，共同營造校園健康上網新環境，為此，我們提倡建設教育網信息安全管理平臺，平臺建設的主旨是以法律為依據，在統一的中心控制和管理平臺下，完成對下級互聯網用戶的安全、審計管理。二．教育網絡普遍存在問題2.1現狀教育局的網絡中心：做為教育網的中心，為學校“校校通”提供互聯和信息資源中心；一般有電信寬帶和教育科研網兩個出口，各級學校通過這兩個出口訪問互聯網及教育科研網；各級中小學的校園網：學校建有自己的校園網，可以通過教育網絡中心出口訪問教科網和互聯網；同時，各學校也通過電信寬帶接入互聯網。各級學校基本沒有安裝防火墻、信息過濾系統等安全設備，校園網絡呈半開放狀態。網絡概況如圖：2.2存在問題作為教育網總出口，沒有安裝信息過濾系統保護，學生上網完全自由，互聯網信息暢通無阻，各類反動、色情、暴力等有害信息極大地危害校園網絡健康，這些有害信息通過電子郵件、論壇、留言板、聊天軟件、文件傳輸、網頁瀏覽等載體蔓延，令學校管理者防不勝防；有電信互聯網出口的學校網絡，沒有防火墻和過濾系統，缺乏必要的網絡信息安全保護，有害信息和黑客非法攻擊可以長驅直入，校園網毫無安全可言；學校上網缺乏管理，無法控制不同單位、不同身份的人使用網絡資源，對上網情況無從了解，缺乏必要有效的控制手段，尤其是作為核心管理部門的教育局網絡信息中心，對各種漏洞和問題更是無處下手，對網絡出現的危害信息缺乏收集機制及處置措施，往往到出事時才亡羊補牢。上網主體是未成年的中小學生，自制力差、分辯是非能力有限、容易受外界引導，在網絡有害信息泛濫的形勢下，迫切需要強有力的保護傘。三．系統整體架構和方案根據教育網的現狀和存在問題，建議采用“過濾王”校園網絡信息安全防護整體解決方案，以達到最佳的安全及性能效果。3.1系統設計原則整體系統的設計原則：分布控制、分級管理、集中審計。分布控制：在教育網絡中心總出口和各學校網絡電信寬帶出口安裝過濾系統，實現兩級安全保護和有害信息過濾，細化到對每臺電腦終端的控制和管理。分級管理：按教育網絡中心網管和校園網網管兩級權限進行分級管理。集中審計：在教育局設置信息審計中心，以便對全市/區學校上網信息進行集中審計和告警管理，提高管理效率。3.2建設目標實現：有害信息過濾、網絡安全防護、訪問控制管理、信息內容審計和日志統計查詢等綜合校園信息安全建設的目標。建立完整的內外網防護機制，在教育網總出口設置高端的信息過濾系統，對流入的互聯網信息進行高效準確過濾，同時阻斷向外網散布有害信息，最大限度凈化網絡資源；針對有電信寬帶出口的學校，可選擇在出口網關處架設網關型過濾服務器，實現基本防火墻和強大有害信息過濾功能；也可選擇安裝純軟件過濾系統，實現信息過濾功能；保護校園網絡內網絡和信息的安全；采用分級分布控制方式，由教育局網絡中心出口的防火墻和高端過濾服務器控制各學校上網訪問控制策略，再由學校網絡電信出口的過濾系統控制校園網內電腦的訪問控制策略，保證信息的安全和網絡資源的有效利用。通過兩級信息安全系統，自動采集所有終端的上網日志，通過導入數據庫生成歷史備份，利用報表管理工具可隨時查詢分析，為網絡管理員了解網絡狀況、調整上網策略提供依據。在教育網絡中心設置審計中心，對進出教育網的信息內容進行審計，系統會智能分析處理違規的上網行為，自動阻斷各類有害信息的傳播，并及時發出告警，減少網管人員的工作負擔，提高處理效率。通過實施綜合完善的信息安全系統，提高整個教育網絡的整體安全性。3.3系統方案根據總體設計原則和目標，采用捷朗菱網絡科技有限公司的“過濾王”校園網絡信息安全整體解決方案,在教育網總出口安裝FG3000高端過濾系統，在各學電信寬帶互聯網出口安裝低端過濾系統（可選硬件或純軟件），同時在教育網絡中心安裝信息審計系統，實現對所有上網信息的審計，提高整體安全性能。整體部署拓撲圖如下：教育網總出口的安全設計在教育網的總出口，承擔著所有學校和教委師生的上網任務，數據流量非常大，安全性和穩定性要求非常高，所以對該節點的安全系統性能要求很高，不能因為安全性的要求提高而降低網絡和應用的性能，所以教育網整體安全系統設計的關鍵點和難點也在這。我們建議采用一套FG3000高端旁路過濾系統，實現信息過濾和監控的作用，該點包括過濾服務器、控制臺、日志報表管理器3部分組成。在教育局信息中心核心交換機上設置一個鏡像端口，連接一臺高性能過濾服務器FG3000（硬件），對通過總出口的數據包進行監控和過濾，攔截用戶對有害信息的訪問和有害信息的傳播；FG3000過濾服務器采用旁路偵聽過濾工作方式，可滿足千兆網絡上萬同時在線用戶教育網總出口的要求，安裝方便，對現有網絡，無需改變系統網絡結構，不影響網絡用戶配置；旁路方式不影響網絡流量，支持無限大并發連接數，不會成為網絡瓶頸，不會增加任何網絡延時和掉包，即使系統出現故障，也不影響整個網絡的正常運行，保持用戶系統原有的帶寬和效率不變。系統采用的旁路過濾技術和黑名單過濾技術代表了國際最先進的過濾技術，是一般過濾軟件和網關過濾系統無法比擬的，支持千兆教育網和城域網，滿足教育網未來發展的需要。主要功能：完成互聯網訪問數據的偵聽，過濾有害信息，按訪問控制策略對上網學校進行集中管理，記錄訪問日志，上網身份集中驗證。控制臺軟件安裝在網絡中心局域網內任意電腦上，采用C/S模式提高過濾系統的安全性，GUI界面方便管理員操作。實現對過濾服務器的規則設置和管理，制定各學校及每臺電腦的訪問控制策略，同時監控網絡運行，顯示各類系統狀況信息和用戶實時上網信息。日志報表管理系統安裝于網絡中心局域網內任意電腦上，通過從數據庫下載用戶歷史訪問記錄，同時對節點學校上網訪問記錄進行查閱、統計、分析、生成多種報告，管理員可以根據統計報告提供的信息，分析出各節點學校對互聯網的訪問情況，以便調整訪控制策略，從而實現對上網學校訪問互聯網的有效管理。中學校園網信息安全設計中學教育已經與計算機信息教育緊密結合，網絡知識教學已成為中學生必修課，互聯網成為學生獲取知識的重要途徑；中學是基礎教育最后一個階段，作為未成年人的中學生自制力較差，判斷是非能力有限，凈化網絡信息尤顯迫切。中學校園網建設普遍處于發展階段，網絡規模不大，計算機數量在數百臺左右，除接入上級教科網，另外開通了電信寬帶直接接入INTERNET，通過路由上網。安裝防火墻的僅占少數，同時各學校網絡出口的數據流量都不大，網絡結構也較為簡單，學校經費較寬裕，有一定自主采購權。所以我們建議采用帶基本防火墻功能的FG3000低端網關型過濾系統，安裝在每個校園網的電信寬帶出口網關處，同時實現網絡安全防護和信息過濾功能，硬件過濾網關性能出眾，有最佳的性價比。系統包括FG3000網關型過濾服務器、控制臺、日志報表管理器3部分組成。對各所中學，在電信寬帶出口處嵌入一臺FG3000低端過濾網關，實現安全防護、信息過濾、訪問控制等功能。既能抵御外網對校園網內主機的非法攻擊，同時對進出校園網的數據包進行監控和過濾，攔截用戶對有害信息的訪問和有害信息的傳播。可選擇網關和透明網橋方式進行安裝。FG3000過濾網關具有基本的防火墻功能，能實現IP包過濾、NAT地址轉換、防DoS攻擊等功能，保護整個校園網主機和終端的安全；FG3000過濾網關采用高性能軟硬件一體化結構設計，基于LINUX內核的WebRoad操作系統具有性能穩定可靠、執行效率高等特點，配合優化的“黑名單”過濾模塊，在實現基本防火墻功能的同時達到了高效的過濾性能。系統能處理百/千兆吞吐量，支持20萬以上的并發連接，延時小、掉包率低，對網絡性能影響小。控制臺軟件安裝在校園局域網內任意電腦上，采用C/S模式提高過濾系統的安全性，GUI界面方便管理員操作。實現對過濾服務器的規則設置和管理，制定每臺上網電腦的訪問控制策略，同時監控網絡運行，顯示各類系統狀況信息和用戶實時上網信息。日志報表管理系統安裝于校園局域網內任意電腦上，通過從數據庫下載用戶歷史訪問記錄，對學校各節點上網訪問記錄進行查閱、統計、分析、生成多種報告，管理員可以根據統計報告提供的信息，分析出學校信息點對互聯網的訪問情況，以便調整訪控制策略，從而實現對信息點訪問互聯網的有效管理。小學校園網信息安全設計小學教育屬于啟蒙教育階段，學生接觸互聯網較少，網絡主要服務于辦公和教學應用。總體上網絡規模較小，計算機數量屈指可數（數十臺），向上接入教科網，另外也申請了電信寬帶，一般通過代理方式上網，流量非常小，網絡結構簡單。學校經費較緊張，一般無力購買昂貴的硬件設備。考慮到小學的實際情況，我們建議采用純軟件過濾系統，安裝在校園網的電信寬帶上網代理服務器上，實現有害信息過濾功能，軟件過濾系統適用于小型的局域網，如電腦教室、電子閱覽室、學校辦公網等。純軟件系統投資少，性能優越，有良好的性價比。系統包括純軟件過濾系統SIMforWindows、控制臺、日志報表管理器3部分組成。對各所小學，在電信寬帶上網代理服務器上安裝一套過濾軟件，實現信息過濾、訪問控制等功能。軟件自動對進出校園網的數據包進行監控和過濾，攔截用戶對有害信息的訪問和有害信息的傳播。依托代理服務器強大的硬件處理能力，軟件過濾系統能處理百兆吞吐量，支持5000以上的并發連接，過濾效率高、延時小、掉包率低，對網絡性能影響小。控制臺軟件安裝在校園局域網內任意電腦上，采用C/S模式提高過濾系統的安全性，GUI界面方便管理員操作。實現對過濾系統的規則設置和管理，制定每臺上網電腦的訪問控制策略，同時監控網絡運行，顯示各類系統狀況信息和用戶實時上網信息。日志報表管理系統安裝于校園局域網內任意電腦上，通過從數據庫下載用戶歷史訪問記錄，對學校各節點上網訪問記錄進行查閱、統計、分析、生成多種報告，管理員可以根據統計報告提供的信息，分析出學校信息點對互聯網的訪問情況，以便調整訪控制策略，從而實現對信息點訪問互聯網的有效管理。信息安全審計管理要保證整個教育網絡的安全，必須是全方位、多層次、立體化的安全設計，除了殺毒軟件、防火墻、過濾系統外，還要對信息進行審計，及時了解用戶的網絡活動，掌握用戶的上網規律，發現存在的有害網絡活動，以便制定更有效的安全管理措施。信息安全審計系統做為一套獨立運行的后臺管理軟件，可以安裝于教育網內任意一臺電腦上，通過教育城域網與各級學校安裝的過濾系統通信，下達審計策略和接收上報信息，實現全教育網信息的集中審計和告警管理。信息審計功能能及時發現網內的違規網絡活動和有害信息的傳播。審計策略設置：對教育網內所有上網用戶設置信息安全審計策略，信息審計主要包括IP地址、URL地址、內容關鍵詞、FTP文件、郵件地址、郵件內容、QQ/ICQ號、MSN號、游戲帳號等；同時對觸發審計規則的上網事件設定訪問控制方式：允許訪問、禁止訪問、告警。告警管理：可實時接收任一信息點觸發審計規則的告警事件，對該事件做出及時處理，允許或禁止訪問目標資源；同時向審計中心會發出告警，以便及時進行監控，告警的形式可設為電腦發聲、閃爍顯示顯示、發Email，也可將情況及時通過短信息傳到值班人員的手機上。同時將所有告警記錄存入后臺數據庫內（包括學校\源終端\審計策略\日志\告警記錄\管理員信息），便于統計分析，追查責任，調整安全管理策略。校園上網電腦管理通過網絡身份認證和訪問控制管理，可杜絕網內無權用戶的網絡活動，提高網絡安全和網絡資源的有效利用。各級過濾系統具有完善的網絡身份認證和訪問控制管理，無需安裝任何客戶端軟件，可細化到對每一臺網內電腦的信息安全控制，具有實施簡單，安裝維護管理方便等特點。可通過捆綁IP、MAC、IP+MAC、用戶賬號等四種方式對用戶身份進行認證，IP+MAC地址認證方式可防止盜用IP地址的欺騙行為，而采用用戶帳號認證時，系統使用SSL加密技術通過IE窗口登陸認證，使用簡單、安全性好。完善全面的訪問控制管理可細化到每一臺電腦，包括：內容分類訪問控制、分組訪問控制、上網時段訪問控制、協議訪問控制、網段訪問控制。實現不同單位、不同部門、不同年級學生的不同管理需要。四．基本工作原理4.1網絡信息過濾技術的分類目前主要的網絡信息過濾技術分為四種：關鍵詞識別過濾、模板識別過濾、圖象識別過濾、名單分類（黑名單）過濾。關鍵詞識別就是根據文字信息內容中是否包含有特定的關鍵詞以及出現的頻率，判斷信息內容的性質，這是最早采用的技術，實現較易，但用于文字的多意性及復雜性，很容易造成誤判，誤過濾性較高；模板識別就是對信息內容按特定模式進行統計計算，然后與預先生成的模板進行匹配，以判斷其內容的相似程度，這種方法的判斷可靠性較高，但需要較長的計算時間，直接給用戶使用時要求設備性能較高；圖象識別技術可分辨不同暴露程度的人體圖片，但只能判斷部分色情圖片信息；而名單分類過濾技術就是采用關鍵詞識別、模板識別、圖片識別等技術先將網站內容進行分類，生成特地的分類名單庫，然后根據用戶訪問的URL，識別其內容等級，以決定是否過濾，其優點是過濾準確，難點是要求先收集特定的分類網站名單，其名單收集分類的準確于否決定了其過濾的準確性。目前國際上普遍采用的過濾方式是名單分類（黑名單）過濾。4.2“過濾王”名單分類生成原理由于全球互聯網的網站達數千萬個，并且每天都在增加，所以必須采用網站自動智能收集分類的方式，以提高名單庫的完整性。首先采用“網絡機器人”盡可能多地進行分類名單的收集；然后對收集的名單信息進行模板自動識別，以決定其名單類別；對識別值介乎于中間段的信息名單進行人工判斷，以保證對名單分類的準確。名單收集的主要方式有：搜索引擎目錄名單收集，聯接名單收