校园网络上网行为管理系统解决方案模板.docx
《校园网络上网行为管理系统解决方案模板.docx》由会员分享,可在线阅读,更多相关《校园网络上网行为管理系统解决方案模板.docx(13页珍藏版)》请在冰点文库上搜索。
校园网络上网行为管理系统解决方案模板
校园网络上网行为管理系统
解决方案
北京瑞星信息技术有限公司
2011年12月4日
一.概述3
1.前言3
2.校园网现状3
二.网络现状5
1.网络拓扑5
2.网络描述6
三.问题分析及预期效果6
1.当前校园网问题分析6
2.方案实施预期的效果6
四、上网行为管理系统解决方案7
1.设备选型7
2.方案拓扑图8
3.方案描述8
3.1教师生上网的管理8
3.2带宽管理-防止资源滥用9
3.3记录教师生的上网行为10
3.4非法访问的报警功能10
3.5识别并屏蔽非法站点10
3.6提供数据流量统计管理10
3.7减少网络安全威胁11
3.8达到绿色上网的目的11
3.9适应未来网络的发展11
五.服务支持体系11
1.售前技术支持服务11
2.售前客户度身订制服务11
3.售后培训服务11
3.1免费培训11
3.2培训人数11
3.3培训内容11
一.概述
1.前言
在信息时代互联网企业的社会责任的访谈中,中国青少年网络协会就中国青少年网络协会对青少年绿色上网展开的工作进行了总结。
对于青少年上网的问题党和政府各部门非常重视,共青团一些部门也做了一些工作,今年的5月2日,总书记有一个讲话,其中对共青团和青年学生提出了三项要求:
第一、加强教育引导。
第二、主动提供服务。
第三、维护合法的权益。
中国青少年网络协会从共青团这个角度来讲,对青少年的服务,对绿色上网也应该从这几方面努力:
第一、加强教育和引导,我们重点推动中国青少年绿色网络行动,重点推动健康上网拒绝黄赌毒和访问非法网站,帮助未成年人戒除网患的大行动,这是一个教育和引导的问题。
同时,我们感到目前由于网络信息海量的出现,青少年上网迫切需要一个安全和利于成长的环境。
第二、维护权益。
青少年是处于受保护的群体,在某些方面是比较弱势的,在网络上青少年受到侵害的现象也是比较多的,《未成年人保护法》第33条专门规定,国家开发有利于防止未成年人沉迷网络,防止未成年人沉迷网络,这是从宪法性的法律对保护青少年的网络权益进行的一个最高的规定,也是一个最大的规定,这方面我们想各个部门都会做具体的宣传和贯彻。
第三、就是一些部门对网络的监管要从有利于青少年成长的角度来进行,文化部的处长也讲了他们工作的情况。
下一步我们就将继续在这些方面按照共青团的职能,学校应该配合国家的有关部门在网络方面让青少年尽享其利,把伤害减到最低,同时把主动服务提到前置的位置,主动的引导来引导青少年绿色上网。
2.校园网现状
2.1、绿色上网的问题
一方面,随着生活质量的不断提高,年龄段下降的趋势,中小学生网民在逐年增加。
中小学生正处在身心发展尚未成熟的特殊时期,尤其在校的中小学生是上网主要的生力军,同时他们对上网抱有很大的兴趣,并且身边的朋友、学生均为“迷网一族”,世界观、人生观、价值观还未确立,缺乏正确的判断力和自控能力,非常容易迷失在网络这个虚拟世界里。
他们通过网络获取新信息的同时,部分青少年网络成瘾,无法自拔,同时也避免不了接触到网络上的色情,诈骗、暴力、凶杀、恐怖、教唆犯罪、贩毒、赌博、作弊、法轮功、分裂国家活动等,避免误入歧途甚至走上犯罪的道路。
给青少年的身心发展、给家庭、给社会带来了极大的危害,已经成为一个不容忽视的社会问题。
另一方面,BBS是BulletinBoardSystem的缩写,即电子公告板。
它是以文字为主的界面,为广大师生提供了一个彼此交流的空间。
同时可以执行下载数据或程序、上传数据、阅读新闻、与其它教师生交换消息等功能,由于目前BBS已经成为多数在校师生信息发布和交流的平台,一旦有不良信息的发布,造成的危害将是巨大的。
据有关机构调查显示,有34.6%的青少年网民承认自己曾经浏览过色情网站,有4.9%的人承认“经常”去看。
青少年网民因为缺少外界的约束力,加上自我控制能力比较弱、好奇等因素,曾经(或频繁)访问色情站点……
2.2、网络中的各种应用对带宽需求的问题
对于出口,最主要有两个方面的需求:
一方面,对于出口设备的流量分配问题应该引起注意。
比如,网络中的p2p软件占用了出口的大量的带宽,导致学校中正常的教学应用、视频会议、远程教育访问速度慢,严重的影响了学校的正常办公。
如何的控制非法的应用,保证学校正常的应用,已经成为一个重要的难题。
另一方面,对于出口设备的功能也还是需要引起注意。
比如,《互联网安全保护技术措施规定》在2005年11月23日公安部部长办公会议通过,并自2006年3月1日起已经施行。
(该规定简称“82号令”)规定对教师生信息、教师生上网记录、地址转换记录、设备状态记录等都有要求。
一旦不符合日志要求,极可能面临整顿或者关闭网络的危机。
2.3、来自网络安全的问题
校园面临着严峻的网络安全形势。
这一方面是由于网络病毒、老师和学生访问网站安全意识的淡薄,而另一方面,学生——这群精力充沛的年轻一族对新鲜事物有着强烈的好奇心,他们有着探索的高智商和冲劲,却缺乏全面思考的责任感。
有关数字显示,目前校园网遭受的恶意攻击,90%来自校园网络内部,如何保障校园网络的安全成为高校校园网络建设时不得不考虑的问题。
2.4、校园网管理的问题
校园网需要进行合理的管理。
对于管理员来说,最重要的是能够实现事前的身份认证和准确定位、事中的实时处理、事后的完整日志审计。
事前的认证和定位是指可严格实现教师生身份识别,根据教师生账号、密码、MAC地址、IP地址、交换机IP、交换机端口号、教师生所在VLAN的灵活组合,来识别教师生身份。
将网络中的虚拟教师生和生活中的真实教师生相对应;事中的实时处理是指对于正在是用网络的教师生,如果出现私自拨号上网、使用代理、更改IP地址等,认证计费系统会强制教师生下线。
事后的日志审计是指记录教师生上网的详细信息(包括教师生名、IP、MAC等)及完整的教师生访问外网的记录(包括源IP、目的IP、源端口、目的端口、访问时间),一旦出现安全事件,可以进行快速完整的审计,迅速定位到个人。
对于设备管理,需要的是统一有效的网络管理系统。
能够直观全面地监控整个网络和各种设备的运行状态,记录和深入分析网络流量,及时报告各种故障和性能问题,协助管理员找到故障的起源,并且对网络的性能变化和故障发生提前进行预测。
校园网难以一体化管理众多的设备和教师生,出现网络故障无法快速定位、IP地址盗用、IP地址冲突等问题日益严重,如何利用有限的人力物力对网络进行高效管理也成为学校考虑的着重点。
2.5下一代互联网IPV6
中国下一代互联网示范工程CNGI是实施我国下一代互联网发展战略的启步工程,由国家发改委、科技部、信产部、教育部、中科院等八部委联合领导。
2001年,CERNET(中国教育与科研网)提出建设CERNET2计划。
2003年12月,国家发改委批准了中国下一代互联网示范工程CNGI建设项目。
经过两年多的建设,2006年10月,CERNET2通过了10个院士领衔的项目鉴定委员的鉴定验收,整体建设水平达到了世界领先水平。
可以预见的是IPv6是必然的趋势。
而学校积极主动地应对IPv6,有利于提升学校的应用水平和科研水平,并为IPv6的真正大规模部署做好必要的技术储备。
事实上,各个高校在网络改造,设备采购时候都在考虑对IPv6的支持了。
并且大家都关心的问题是:
在向IPv6过渡的阶段,如何充分利用现有设备,保护投资?
该采用何种部署策略,保证应用的平滑过渡呢?
二.网络现状
1.网络拓扑
2.网络描述
当前,校园网的接入一般为教育网、电信或者网通等接入方式。
三.问题分析及预期效果
1.当前校园网问题分析
通过分析校园网络发现,目前网络中存在着如下问题:
1.1、教师生众多,无法统一管理
网络中教师生上网数量众多,难免出现盗用他人IP地址和教师生账号的行为,IP地址冲突不断、教师生无法正常上网,这就大大增加了网络管理的难度。
1.2、网络威胁不断导致网络瘫痪
网络中的教师生,由于缺乏上网安全意识,给学校的网络信息安全带来极大的隐患。
1.3、网速和带宽效率下降,教学办公成本增加
使用P2P下载的行为日益增加,严重消耗网络带宽,学校的正常业务的通讯得不到保障,只能通过增加办公成本来增加带宽,但是网速和带宽没有得到根本的改善。
1.4、校园网络违法行为,带来法律风险
网上言论得不到规范,工作时间访问色情网站、恶意发帖、发表反动言论等给学校带来不必要的法律风险;
1.5、管理者管理困难,增加了管理难度,使管理变的复杂化
管理者不能直观的看到内部发生的网络行为,不能实时有效的进行统一管理,统计、审计、分析都变得相当困难,没有清晰的网络行为管理数据提交领导部门。
2.方案实施预期的效果
本方案是根据校园网络现有网络设备资源的实际情况,本着稳定、合理、便于管理、高安全性的宗旨出发,采用瑞星自主研发的RAC上网行为管理系统,路由或桥接接入到现有的网络中,有效的解决网络中现有的问题。
使用此方案改造后预期可以达到以下效果:
1)上网同意管理,保障网络稳定性
瑞星RAC采用上网认证、IP/MAC绑定等对全网络的IP进行合理规划,保障教师生上网的唯一性。
2)优化带宽,提升工作效率
通过对网络带宽的合理规划,限制P2P等下载行为,保障关键业务的正常运行。
如:
ERP,Voip,电子邮件等。
3)有效的识别教师生的上网行为,杜绝网络违法行为,减少网络安全威胁
通过将RAC接入到教师生网络,依托RAC强大的专家会诊系统(ECS),有效的识别教师生的上网行为:
可监控教师生的网站访问、BBS发贴、邮件发送以及即时聊天软件如QQ、MSN等。
并对其上网行为进行规范,降低法律责任。
ARP检测,实时发现网络中的ARP攻击行为
4)应用灵活,可对非法行为进行报警
瑞星RAC提供了丰富的网络行为管理策略设置:
既提供了针对网络行为的分析,也提供了针对非法网络行为的报警;另外还提供了针对部分网络应用的阻断功能,如:
网站访问等,可以使用此功能来屏蔽黄赌毒等非法站点。
5)审计重要外发信息
通过对WEB,Email,BBS发帖,IM聊天工具等的外发信息的审计,保障教师生中信息的安全。
6)记录完整,保存必要的司法证据,增强校园网应对法律风险的能力
瑞星RAC所提供的强大的分析记录功能,能够在教师生进行上网操作时记录下其所有的网络使用痕迹,保证了网络使用的有据可查,满足了公安部门对网络提供方需要能够记录教师生上网痕迹的要求,同时也是为出现非法网络应用引起法律风险后给校园网提供强有力的法律证据。
7)达到净化互联网环境的目的
借助RAC上网行为管理系统我们可以很便捷的实现对互联网的管理,对于非法信息、非法站点的出现我们可以在第一时间设置规则,限制或禁止访问;对于非法应用,我们可以快速反应,禁止使用。
由此我们可以在很大程度上达到净化网络环境的目的,满足国家法律法规要求,同时也是积极有效的响应七部委联合整治互联网的行动。
为广大教学师生提供绿色上网的环境。
四、上网行为管理系统解决方案
1.设备选型
根据校园网网络的教师生的节点数量以及对网络数据流大小以及应用类型和要求,我们建议使用采用瑞星科技RAC系列产品来实现对网络的有效监控。
2.方案拓扑图
3.方案描述
该产品采用优良的硬件组件和先进合理的软件架构,从而保证了产品具有可靠性、易用性、兼容性、灵活性等优势。
同传统的网关设备相比较,RAC具有如下的优点:
3.1教师生上网的管理
广大教师生网卡的MAC地址与教师生名和密码进行绑定,使用网络时,RAC可通过教师生名和密码的认证方式,确定教师生的唯一性,从而对教师生进行行为管理监测。
可以对针对网络教师生身份对其网络访问进行限制,普通教师生,可以根据不同网络需求,在特定时间内采取基于策略的上网权限行为管理,进而促进教师生合理使用网络资源。
上网行为管理系统能够针对教师生访问的URL进行过滤,每次的访问请求都会和URL访问控制列表中的内容进行匹配,必须不是设置中禁止访问的内容才允许访问,从而禁止对一些非法的网站进行浏览和访问。
3.1.1认证
网关把教师生的账号、IP、VLANID、MAC地址进行三层绑定,以此确保了教师生的唯一性,避免了资源的盗用。
上网行为管理系统提供了简单的认证方式便于校园网师生的接入:
Ø教师生上网前的登陆认证采用Web页面方式,教师生上网只需要三步:
连接网线、启动计算机、打开浏览器,RAC将教师生强制连接到网络管理员设定的访问页面,输入教师生名和密码进行教师生身份认证,无需下载客户端软件和更改教师生端设置,即插即用,非常方便教师生使用。
Ø当教师生通过系统认证后,在一段时间内无需再次认证,插上网线就可以继续使用网络,同时网关也对该教师生进行计费,不需要硬件的支持。
Ø教师生还可以通过网页来查看上网的时间和流量等信息。
Ø方便的退出机制,教师生可以直接在Web页面上Logout、关闭驻留页面、关机、拔掉网线方式来退出和停止使用网络资源。
3.1.2授权
输入教师生名和密码后,教师生的认证信息将通过加密的方式发送到多功能网关,在与数据库的数据进行匹配之后,网关将根据系统已经设置完成的教师生权限返回给对应的教师生或教师生组,教师生将根据得到的授权使用网络资源。
3.1.3统计
对网络的使用是基于账号和密码的认证方式,教师生只需在web页面中输入网络管理员提供的账号和密码登录网关,便可使用网络资源。
为确保记录教师生使用网络资源的情况更加准确,客户端还提供一些附加功能,如即时查询使用时间、流量等费用信息。
常用的统计信息如下:
Ø时间统计:
统计教师生登录到教师生退出登录的时间段;
Ø流量计费:
统计教师生上网端口流入、流出数据量(字节数、数据包数);
Ø节假日监测管理:
包括节假日、星期、特定日;
Ø非工作时间管理:
在工作时间以外的网络访问检测;
以及其他多种策略供网络管理员选择,来管理不同的教师生。
3.2带宽管理-防止资源滥用
如何有效利用网络中现有的带宽,是很多网络管理人员一直需要面对的问题。
瑞星RAC上网行为管理系统对此给出了一个优异的带宽管理解决方案:
以应用为基础,以优先级为条件,辅以连接数、连接速率以及传输方向来进行带宽管理策略设置。
合理的策略设置能够使当前的网络为更多的网络教师生和应用服务,并可以通过优先级设置、权限设置等多种带宽管理方式来管理或限制网络娱乐或其它非业务应用对网络的占用,保证关键业务和正常业务的畅通。
网络应用能够通过系统的多种管理形式来设定和控制教师生的网络使用带宽。
RAC可以实时限制每个教师生的流量,它采取以下流量控制方式:
1)可以实时控制每个教师生的流量;
2)可限定每个教师生上行和下行的流量;
3)可根据教师生群组分类功能来控制流量;
4可根据网络应用协议控制流量;
5)可根据事件控制流量
同时,还可以实时监测教师生的浏览访问状况,对非正常使用网络的教师生,可以实时进行干预和调节。
以次来实现合理的网络资源规划,保证宽带网络的稳定运行。
3.3记录教师生的上网行为
瑞星RAC对目标网络的浏览和访问进行详细地记录,监控的网络行为包括http,IM,ftp,smtp,pop3(如网站、论坛、邮件、QQ、FTP等)等协议的网络访问,供网络的管理者和决策者对于网络应用中的问题进行分析和研究。
同时教师生所有的网络访问行为也将会被系统一一记录,保存在本地磁盘,网络访问行为的事件可以以IP或ADSL帐户的方式记录访问者是谁,以供校园网在需要时提供必要的司法依据。
3.4非法访问的报警功能
瑞星RAC提供了强大的协议库对非法访问的报警功能。
根据教师生设置的非法应用定义,瑞星RAC能够第一时间针对教师生的非法应用产生报警信息,并可根据设置将报警信息通过邮件发送给网络管理员。
3.5识别并屏蔽非法站点
教师生在使用网络时有意或无意访问某些非法站点,会给学校带来一些潜在的法律或道德风险。
基于此,瑞星提供了针对网络站点的分类,根据中国的实际情况,结合专业机构的分类,并经过瑞星专门的团队对URL地址进行人工分类修正,力求能够准确将目前大多数的地址进行较为准确的分类。
目前URL分类库提供了近1000万URL地址条目,有效的囊括了当前国内教师生经常访问的站点。
在这些分类中准确列出了所有违法犯罪、分裂祖国、黄赌毒、反政府等非法站点,并对带有恶意链接的站点也进行了分类。
在经过严格、准确的站点分类的基础上,瑞星ClearNet(易网析)能够准确的识别非法站点,并能够根据教师生的策略来屏蔽这些非法站点。
3.6提供数据流量统计管理
瑞星RAC提供了对上网教师生使用信息的分时段、分应用等查询,教师生信息及时完整,并可以自动生成教师生网络使用情况数据统计报表(图)。
网络管理员能够根据网络上网教师生信息获取网络的第一手资料,更好的管理网络。
通过对教师生使用信息的查询和记录,网络管理人员可以更加灵活和方便的指定和修改网络教师生的各项策略,并且能够有针对性地制定网络的应用策略,使网络正常健康的发展。
3.7减少网络安全威胁
瑞星RAC上网行为管理系统,可以实时的统计内网中IP的ARP流量,对于ARP流量过大的MAC地址,被列在存在攻击的ARP列表中,这样就方便管理员及时地预防网络病毒。
3.8达到绿色上网的目的
通过RAC的部署,我们可以借助RAC所具有的丰富的内容分析、审计、记录以及管理功能来实现屏蔽非法或不良信息、同时屏蔽非法信息的流出,规范了广大教师生的上网行为,达到绿色上网的目的。
3.9适应未来网络的发展
我们瑞星网行为系统支持下一代IPV6协议的审计和控制,保护了客户现有的投资,满足了未来网络发展的需求。
五.服务支持体系
1.售前技术支持服务
瑞星公司拥有多名资深系统分析员和高级技术顾问,以客户为中心,提供优质、及时、标准的支持服务。
我们将集中公司的技术资源,采取一套完整的系统和网络管理工具,全力解决教师生遇到的问题和故障。
同时以预防为主,负责制定相应的预防保养计划和措施,积极协助教师生预防信息系统运行中的隐患,提升系统性能,减少系统停机时间,保障系统正常运行,提高设备运营效率。
2.售前客户度身订制服务
我们可以根据客户的实际情况,进行功能的定制,使得我们的产品和我们的服务更适合客户的需求。
3.售后培训服务
我们将负责我们产品的安装,调试和使用的所有培训。
3.1免费培训
免费为网络中心培训网络的维护人员,目的是为了使客户在工程完工后,能简单、轻松的对本网络作必要的维护和管理。
同时根据客户需求,我们可以提供驻地服务直到客户管理员熟悉系统为止。
3.2培训人数3~4人
3.3培训内容
※本工程网络的结构
※本工程所使用的主要器件的功能及用途
※综合网络逻辑图介绍
※ClearNet网络行为分析系统使用说明
4、售后技术支持和到场服务
教师生的技术服务请求分为三种级别,服务级别的划分取决于对应用系统运行的关键程度和备用资源的合理调用,并依服务等级的不同,决定相应的服务响应时间。
此外,对于教师生的特殊要求,亦可双方商讨并制定单独的解决方法:
4.1. 全面加急服务:
指软硬件故障对全部系统的运行产生关键性影响,导致应用系统无法正常运行或系统瘫痪的情况。
4.2. 加急服务:
指软硬件故障对系统运行产生部分影响,导致个别网点业务停顿或应用系统中非关键部分失效、性能部分下降但对全部系统运行不构成关键影响的情况。
4.3. 常规服务:
指对系统不构成影响的技术服务请求/咨询等。
服务级别
服务时间
现场支持响应时间
全面加急服务
24小时/天,7天/周
北京地区教师生4小时到达现场
加急服务
上午9:
00-下午6:
00(周一至周五)
在教师生同意下第2个工作日到达
常规远程支持服务
上午9:
00-下午6:
00(周一至周五,公共假期除外)
通过Internet给教师生进行远程调试,或者通过电话技术支持
升级会员 