浅谈校园网络行为安全与管理

浅谈校园网络行为安全与管理

作者：教富智

来源：《职业·中旬》2010年第05期

一、网络安全和管理方面存在的问题 1.带宽流量需控制、P2P应用需限制

(1)高校网络内部部署了大量的网络服务资源,比如OA办公系统、邮件系统、WEB网站系统、BBS、电子校报、VOD点播、远程教学资源、数字图书资源以及提供远程安全访问的VPN系统等等。某些部门、岗位也要求网络应用的流畅性必须得到保障,比如财务系统、招生系统、校办、党办等。要确保这些办公系统能够正常运作,就需要对整个网络进行有效的带宽分配和流量控制,否则就算有100M、1000M的Internet总出口带宽也不够用。

(2)网费包月方便了师生获取知识的同时,也产生了一些问题,例如普遍存在的过度下载。目前网络规模较完善的高校一般对学生实行网络包月收费,这就造成学生大量使用BT、电驴、迅雷等软件来下载电影、音乐或文字材料,或在线看电影、使用视频等,造成了带宽大量被抢占,学校网络速度受到极大影响,丢包现象频繁,正常的办公系统受到影响。与此同时,在常用的P2P资源里面,尤其是BT资源里存在大量的色情暴力影视和文字文件,对于学生树立正确的价值观、道德观、审美观以及精神文明建设带来巨大的负面影响。如何有效封堵P2P应用或限制此类应用的流量,成为高校网络建设的一个迫切需要解决的问题。

2.网络行为要规范,内容安全要审计,违规动作要警惕,非法行为要严查

一是大量反动、钓鱼、木马网站使用HTTPS方式,模拟成SSL安全可信网站进行欺骗,逃避有关管理机构的封堵,盗取用户机密信息(比如网上银行账号密码、股票账户密码等),发布非法信息,传播危害社会的思想言论等。二是外发信息的管理问题。互联网已成为高校大学生获取信息的主要途径,对于高校师生员工的认知渠道、思想观念和同常生活产生着深刻的影响。利用通讯软件、邮件、BBS论坛、个人博客宣扬不正确的意识观念,传播色情、暴力、迷信等颓废庸俗内容;在网络上发表反动言论、恶意攻击、谩骂他人;通过网络实施诈骗、偷窃他人网络财富等现象,屡有发生。

3.用户身份难认证、上网权限难控制

防火墙一般通过端口来限制各种应用,而随着网络技术的发展,越来越多的应用为了逃避针对固定端口的封堵而频繁更新版本更换端口,使网络的管理权限控制力不从心。对于一些通过走http协议代理的应用软件,更是无法限制,否则连基本的网页都无法使用,亟需找到更有效的识别方法,对各种应用行为进行判别和控制。

4.安全措施难规范,单机漏洞成短板,内网常有ARP欺骗

龙源期刊网 http://www.qikan.com.cn

由于高校拥有众多的内网用户,因而客户端的安全级别往往难以保证,学校师生使用版本陈旧的操作系统、长时间不更新个人防火墙和杀毒软件、应用具有潜在安全漏洞的软件,都成为了局域网安全中的“短板”。另外,自去年以来,ARP欺骗现象频繁发生,尤其在大型的学校网络中造成的影响更大。

5.网络日志报表简单、实时分析手段匮乏

高校用户的内网PC数量庞大,每秒钟都会生成海量的互联网访问日志。为了排查故障或追查用户具体上网行为,需要一条条翻看,使得日志统计分析失去了意义。且防火墙简单的IP地址转换,使网络中心管理人员对用户当前的网络应用行为无法做出判断,整理不出网络管理控制的决策依据。

二、网络行为安全与管理应采取的措施

网络行为管理,作为新兴并逐渐成熟的IT业领域,在高校网络安全管理当中成功应用并发挥出奇效,成为各高校网络安全建设的一个重要内容和趋势。上网行为管理设备完全能够解决上述网络安全与管理存在的问题,满足用户需求的功能,成为国内领先的上网行为管理解决方案。 三、上网行为管理设备主要特点

第一,SSL网站识别和过滤,反钓鱼网站、非法SSL网站等。

第二,深度内容检测,业界最全的应用协议识别库。各种应用协议在数据交互时,收发的数据包中均含有其特有的特征字段。

第三,P2P智能识别,全面彻底的P2P行为管控技术。通过基于统计学的行为智能分析等四层识别技术,超越静态协议库的概念,实现对不常见、未来可能出现的P2P应用的识别和管控,为用户提供了一劳永逸的解决方案。

第四,网络准入规则,修复内网安全短板。网络准入规则技术,将按照管理者指定的条件检测接入终端的安全级别,可禁止违反安全规则的终端接入Internet,从而修复内网安全短板,提升内网安全级别。

第五,邮件延迟审计,将泄密阻挡于内网。不仅能限制哪些用户、哪些Email地址可以发送邮件,限制Email大小等,还可根据预设的过滤条件,先拦截潜在的泄密邮件,人为审计后才能继续发送,从而将泄密邮件阻隔于内网,保障组织的信息资产安全。

第六,免审计Key,消除高层领导的疑虑。通过图形化界面的简单勾选配置,“免审计Key”将从设备底层免除记录CEO的任何网络行为,解除高层领导的后顾夕忧。

第七,封堵BT、迅雷,提升企业带宽利用效率;封堵炒股QQ聊天,提升工作效率方案。

龙源期刊网 http://www.qikan.com.cn

(作者单位:辽宁省本溪市化学工业学校)