“綠色校園”的前行障礙

教育信息化是在教育過(guò)程中比較全面地運(yùn)用以計(jì)算機(jī)多媒體和網(wǎng)絡(luò)通訊為基礎(chǔ)的現(xiàn)代化信息技術(shù)，促進(jìn)教育的全面改革，使之適應(yīng)于正在到來(lái)的信息化社會(huì)對(duì)于教育發(fā)展的新要求。2000年10月國(guó)家教育部正式開始推行的“校校通”工程，更進(jìn)一步推動(dòng)了校園網(wǎng)的建設(shè)和發(fā)展，明確了信息化教育事業(yè)的大方向：就是充分利用校園網(wǎng)，為學(xué)校的教師、學(xué)生和教學(xué)管理人員，提供面向?qū)W校應(yīng)用服務(wù)的多媒體教學(xué)、信息化管理、信息交流平臺(tái)，以實(shí)現(xiàn)學(xué)校教學(xué)手段現(xiàn)代化、教學(xué)管理科學(xué)化、教學(xué)資源信息化，為學(xué)校培養(yǎng)面向21世紀(jì)信息化社會(huì)高素質(zhì)人才的服務(wù)。

雖然每年國(guó)家在教育信息化方面投入大量的人力和資金，但是校園網(wǎng)絡(luò)部分依然出現(xiàn)眾多的隱患，比如：校園網(wǎng)絡(luò)安全防御系統(tǒng)的不健全，導(dǎo)致招到外網(wǎng)大量的病毒和黑客攻擊;校園網(wǎng)絡(luò)資源的濫用導(dǎo)致正常業(yè)務(wù)無(wú)法開展;沒有合適的手段來(lái)保障學(xué)生有一個(gè)健康的上網(wǎng)環(huán)境等。而對(duì)校園網(wǎng)絡(luò)管理人員來(lái)說(shuō)，有沒有一種更好的解決方案來(lái)降低自己的維護(hù)量，保護(hù)內(nèi)部重要信息不外漏呢?江西省委黨校網(wǎng)絡(luò)中心李老師唉聲連連：“100M的光纖出口，為什么網(wǎng)速這么慢呢，BT、電驢好難搞啊!”

網(wǎng)絡(luò)邊界安全性的思考?

對(duì)于外網(wǎng)的防范，規(guī)模稍微大一點(diǎn)的校園網(wǎng)絡(luò)，都部署了多層安全網(wǎng)關(guān)，江西省委黨校目前的外部網(wǎng)絡(luò)安全層次上部署的產(chǎn)品也不少，比如：防火墻、IDS、防毒墻、垃圾郵件過(guò)濾設(shè)備等。

其實(shí)江西省委黨校現(xiàn)在的網(wǎng)絡(luò)抵御外網(wǎng)的攻擊的能力上已經(jīng)比較完善，但是內(nèi)網(wǎng)網(wǎng)絡(luò)的管理是否也同樣完善呢?是否有必要通過(guò)原有的完全防范設(shè)備就能合理分配網(wǎng)絡(luò)資源，規(guī)范內(nèi)網(wǎng)用戶的上網(wǎng)習(xí)慣呢?

校園內(nèi)網(wǎng)中的“丑惡面容”

江西省委黨校在未部署深信服上網(wǎng)行為管理網(wǎng)關(guān)之前無(wú)法了解內(nèi)網(wǎng)的諸多情況，一個(gè)原因在于精力有限，需要維護(hù)很多而且不同廠商的不同網(wǎng)絡(luò)設(shè)備，以及處理其他事務(wù)。另一個(gè)更重要的原因是在于很難找到有效的手段進(jìn)行內(nèi)網(wǎng)狀況分析。這些也導(dǎo)致內(nèi)網(wǎng)資源被很多不規(guī)范的上網(wǎng)行為給占用。那內(nèi)網(wǎng)用戶不規(guī)范的上網(wǎng)行為有哪些呢?

通過(guò)上面的圖表，江西省委黨校內(nèi)網(wǎng)情況很直觀的反映出來(lái)，我們可以看到內(nèi)網(wǎng)中的由于各種不規(guī)范的上網(wǎng)行為使得網(wǎng)絡(luò)資源被濫用，而導(dǎo)致學(xué)校日常的業(yè)務(wù)工作無(wú)法正常開展，學(xué)生也無(wú)心思把學(xué)習(xí)的重心放對(duì)自己有正面影響的事務(wù)上，每天都在BT、電驢下載，訪問(wèn)黃色網(wǎng)站、在網(wǎng)站上發(fā)布比較激進(jìn)的言論等等，這樣的局面如果沒有能夠被學(xué)校合理控制，直接影響著整個(gè)校園信息化建設(shè)的步伐，更重要是江西省委黨校是一個(gè)黨政性質(zhì)的學(xué)校，是不容出現(xiàn)反政的言論的。那對(duì)于這些行為，作為學(xué)校來(lái)說(shuō)只能坐以待斃嗎?我們接下來(lái)先分析一下產(chǎn)生這種狀況的原因。

BT下載、電驢下載、機(jī)密泄漏、病毒有機(jī)可趁?

隨著互聯(lián)技術(shù)的不斷發(fā)展，很多例如BT、電驢等主流互聯(lián)網(wǎng)共享技術(shù)豐富了人們的網(wǎng)絡(luò)生活，也使得我們能夠找到以往很難找到的信息。但是這些信息來(lái)源的前提條件是，需要我們付出更大的帶寬資源。假如一個(gè)2M帶寬的家庭用戶通過(guò)P2P軟件下載某個(gè)資源需要占據(jù)1M左右的帶寬，而校園網(wǎng)絡(luò)的出口為100M光纖，某校師生共有6000人，其中就有4000名學(xué)生，而經(jīng)常使用BT、電驢的人在1000人左右或者更多，一個(gè)100M必然難以分配，學(xué)校正常業(yè)務(wù)能夠在這樣惡劣的網(wǎng)絡(luò)帶寬情況下開展嗎?

一些高端網(wǎng)絡(luò)交換設(shè)備通過(guò)一定的配置可以通過(guò)端口進(jìn)行封賭P2P，但是不能徹底封賭，原因在于P2P一類的軟件都在不斷更新的，版本不同使用的端口也不同。

深信服AC上網(wǎng)行為管理系列網(wǎng)關(guān)已經(jīng)能夠根通過(guò)根據(jù)P2P軟件特征信息進(jìn)行深度檢測(cè)，對(duì)最新P2P軟件進(jìn)行限制。P2P也有自己的特定的身份，以“不變以萬(wàn)變”，無(wú)論端口怎么改變，都能對(duì)這些惱火的東西徹底封殺。深信服SANGFOR AC上網(wǎng)行為管理網(wǎng)關(guān)還可以把這些占用帶寬比較高的網(wǎng)絡(luò)服務(wù)限定于某個(gè)時(shí)間段才能享用，并且通過(guò)限制P2P的流量，保證其不影響其他正常業(yè)務(wù)的開展，也能做到更細(xì)致的權(quán)限管理。事物總有利弊兩個(gè)方面，關(guān)鍵是合理的控制。

網(wǎng)頁(yè)過(guò)濾，限制敏感數(shù)據(jù)

江西省委黨校校園信息發(fā)布平臺(tái)，讓校園網(wǎng)成為教師工作的一部分，如校內(nèi)新聞、行政辦公通知信息、教學(xué)信息、課外活動(dòng)信息等有關(guān)事項(xiàng)盡可能采用校園網(wǎng)站來(lái)發(fā)布，一方面可以讓師生養(yǎng)成使用校園網(wǎng)站的習(xí)慣，另一方面可以留存較長(zhǎng)時(shí)間。互聯(lián)是網(wǎng)提供給了學(xué)生更多知識(shí)和信息，但是互聯(lián)也存在很多不堪的信息，比如黃色網(wǎng)站、反政言論(法倫功)等，這些因素都在阻礙校園信息化進(jìn)程。曾經(jīng)某學(xué)校因?yàn)樵撔Ｄ硨W(xué)生在學(xué)校門戶網(wǎng)站上大量發(fā)表一些自己的激進(jìn)言論，導(dǎo)致該校的領(lǐng)導(dǎo)受到法律部門的處分，至今也未能找出到底是誰(shuí)所為。

深信服AC上網(wǎng)行為管理網(wǎng)關(guān)使用哪些手段防止類似現(xiàn)象的產(chǎn)生，并可做到事后有證可查呢?

1、自定義URL資源、限制URL訪問(wèn)

結(jié)合時(shí)間策略可為不同的訪問(wèn)控制組分配不同的URL訪問(wèn)權(quán)限。

2、關(guān)鍵字過(guò)濾

禁止用戶通過(guò)Internet搜索、瀏覽反動(dòng)、政治敏感、色情等相關(guān)信息;禁止用戶通過(guò)BBS、WEB-Mail、BLOG等發(fā)表反動(dòng)、政治敏感及色情等信息;

3、敏感數(shù)據(jù)攔截

對(duì)HTTP、FTP、SMTP、IMAP等應(yīng)用協(xié)議做敏感數(shù)據(jù)攔截，以防泄密或引起法律糾紛。

4、完備的數(shù)據(jù)中心

對(duì)內(nèi)網(wǎng)的所有行為進(jìn)行紀(jì)錄和查詢，包括QQ、MSN等IM即時(shí)聊天信息，發(fā)送的郵件等等。

深信服AC保證學(xué)校機(jī)密信息不外漏

國(guó)家信息安全部門對(duì)學(xué)校機(jī)密信息的保護(hù)有相關(guān)的要求，同時(shí)中國(guó)公安部也頒布了《中華人民共和國(guó)公安部第82號(hào)令》。因此學(xué)校高等級(jí)研究部門需要將國(guó)家機(jī)密信息通過(guò)有有效且安全的手段加以保護(hù)。我們來(lái)分析一下，機(jī)密信息會(huì)通過(guò)何種途徑泄漏?

機(jī)密信息泄漏的途徑分析：

1、電子郵件是用戶通過(guò)Internet 交流的主要途徑，但隨之而來(lái)的泄密行為給用戶造成了巨大的損失。傳統(tǒng)的監(jiān)控軟件只能在泄密行為發(fā)生以后再做審計(jì)，這時(shí)機(jī)密信息已經(jīng)外泄，損失已經(jīng)很難挽回。(例如：通過(guò)Outlook,Foxmail等軟件發(fā)送的郵件和附件)

2、通過(guò)BBS、BLOG、WEBMAIL發(fā)表的所有言論泄漏;

3、所有MSN,QQ,ICQ,YahooMsg等聊天軟件的聊天行為泄漏;

應(yīng)對(duì)措施：

1、深信服SNFOR AC 上網(wǎng)行為管理網(wǎng)關(guān)通過(guò)專利技術(shù)之一的郵件延遲審計(jì)技術(shù)，針對(duì)郵件接收發(fā)送的審計(jì)監(jiān)控技術(shù)，避免與國(guó)家相關(guān)的機(jī)密泄漏。該技術(shù)可以把疑是攜帶機(jī)密信息的郵件進(jìn)行攔截，經(jīng)審計(jì)后才能發(fā)出。

2、BBS、BLOG、WEBMAI，QQ、MSN等IM，深信服SANGFOR AC上網(wǎng)行為管理網(wǎng)關(guān)都可以通過(guò)設(shè)備中豐富的數(shù)據(jù)記錄手段進(jìn)行監(jiān)控審計(jì)，也可備事后有證可查，直接追究當(dāng)事人責(zé)任。

上網(wǎng)通行證

對(duì)江西省委黨校內(nèi)網(wǎng)的合理劃分和管理，是必不可少的手段。江西省委黨校網(wǎng)絡(luò)中心通過(guò)深信服SANGFOR AC細(xì)致的網(wǎng)權(quán)限劃分功能合理的規(guī)劃自己的內(nèi)網(wǎng)環(huán)境，這樣可以減輕網(wǎng)絡(luò)管理員的維護(hù)量，而對(duì)所劃分的每個(gè)組制定相應(yīng)上網(wǎng)權(quán)限也能規(guī)范內(nèi)網(wǎng)用戶上網(wǎng)的行為，增加內(nèi)網(wǎng)抵御外網(wǎng)眾多混合型病毒的威脅。

“沒有規(guī)矩不成方圓”。特別是校園網(wǎng)內(nèi)網(wǎng)眾多用戶，包括教師和學(xué)生，以學(xué)生居多，他們對(duì)新鮮事物的敏銳性非常高，互聯(lián)網(wǎng)成為其第一時(shí)間獲取信息的主要手段，但是個(gè)人的PC對(duì)于互聯(lián)網(wǎng)的防范性參差不齊的，這就需要他們必需“強(qiáng)壯”自己的PC，才能獲取上網(wǎng)的“許可證”。深信服SANGFOR AC對(duì)江西省委黨校的內(nèi)網(wǎng)啟用戶了專利技術(shù)之一的網(wǎng)絡(luò)準(zhǔn)入規(guī)則來(lái)對(duì)內(nèi)網(wǎng)的上網(wǎng)用戶進(jìn)行管理，指網(wǎng)管員可以統(tǒng)一限制上網(wǎng)的條件，比如，必需打上最新的系統(tǒng)補(bǔ)丁程序或者安裝指定的防病毒軟件，而這些程序都可以通過(guò)開放某些地址進(jìn)行下載后更新，按指定要求做好準(zhǔn)備后才可以正常上網(wǎng)。

多種認(rèn)證形式。對(duì)所劃分的某個(gè)組(研究中心、國(guó)家重點(diǎn)實(shí)驗(yàn)室)啟用認(rèn)證，方可上網(wǎng)，并可指定所能訪問(wèn)的網(wǎng)站范圍。現(xiàn)在深信服SANGFOR AC能夠支持認(rèn)證技術(shù)包括網(wǎng)頁(yè)的認(rèn)證、LDAP認(rèn)證等?？梢酝ㄟ^(guò)認(rèn)證功能使得所規(guī)劃的某個(gè)組只能訪問(wèn)安全性較高的網(wǎng)站，例如學(xué)校內(nèi)部在線教育平臺(tái)和在線模擬實(shí)驗(yàn)室等。

隨著校園網(wǎng)絡(luò)的不斷建設(shè)和改造，上網(wǎng)行為管理在教育行業(yè)中的應(yīng)用也越來(lái)廣，用戶也在逐漸的關(guān)注自身內(nèi)網(wǎng)的管理，特別是對(duì)規(guī)范學(xué)生上網(wǎng)行為上(比如禁止訪問(wèn)不良網(wǎng)站等);增加內(nèi)網(wǎng)機(jī)密信息的保護(hù)機(jī)制，保護(hù)內(nèi)部數(shù)據(jù)，防止機(jī)密信息泄漏;流量控制、帶寬管理，提升帶寬利用率;通過(guò)關(guān)鍵子過(guò)濾、網(wǎng)頁(yè)過(guò)濾等手段凈化校園網(wǎng)內(nèi)網(wǎng)不堪的言論等。

高性能平臺(tái)服務(wù)下一代校園網(wǎng)

建設(shè)“綠色校園”是深信服校園解決方案的實(shí)踐方向，為了滿足校園網(wǎng)高流量的需求、深信服上網(wǎng)行為管理還提供萬(wàn)兆硬件平臺(tái)，完美支持IPV6，為下一代校園網(wǎng)建設(shè)提供強(qiáng)勁支撐。