浅谈校园网网络建设信息安全审计需求

    近年来，高等学校的信息化水平快速发展, 互联网也发挥着越来越重要的作用；与此同时，网络的安全问题日益突出，利用互联网进行违法犯罪的案件呈日益增长的趋势, 散布各种损害学校名誉的情况也时有发生。而高教行业动辄成千上万的内网用户规模，一方面为网络带宽带来很大压力，另一方面由于用户众多难于管理，很容易出现网络安全隐患问题。

    但是在校园网络建设的过程中，随着网络规模的急剧膨胀、网络用户的快速增长、关键性应用的普及和深入，校园网从早先教育、科研的试验网已经转变成教育、科研和服务并重的带有运营性质的网络，校园网在学校的信息化建设中已经在扮演了至关重要的角色。

    作为数字化信息的最重要传输载体，如何保证校园网络能正常的运行不受各种网络黑客的侵害，并对学生的上网行为进行有效的管理，已经成为了各个高校不可回避的紧迫问题。

    以下将从四个方面，分别阐述高校面临的问题以及相应的解决方案：

    一、网络行为的规范，内容安全上网行为审计过滤，违规警慑，事后追踪查询需求：

    这里主要体现在三个方面：

    首先，URL库过滤可以实现对se情、钓鱼网站、恶意代码网站、反动论坛等URL的屏蔽阻拦，防止因此带来病毒、木马甚至法律责任，带给学校大量的麻烦。

    其次，当前各种论坛、博客、BBS及FTP等使用非常广泛，为防止内网用户通过此类途径上传或下载一些非法内容，需对相关言论的发表做关键字过滤或对此类行为做详细记录，以便追查。这也是高校响应公安部于2006年3月1日开始实施的《互联网安全保护技术措施规定》即82号令文件要求，有效防范、打击网上违法犯罪活动和治理有害垃圾信息的重要措施。另外，对于出现此类违规行为能对终端用户做出相应的警告，以起到一定的威慑作用，也是减少违规行为发生的有效手段。

    最后，外发信息的管理是个重要的管理方面。互联网已成为高校大学生获取信息的主要途径，对于高校师生员工的认知渠道、思想观念和日常生活产生着深刻的影响。尤其是高校学生利用通讯软件、邮件、BBS论坛、个人博客宣扬不正确的意识形态，传播se情、暴力、迷信等颓废庸俗内容;在网络上发表反动言论、恶意攻击、谩骂他人;并通过网络实施网诈骗、偷窃他人网络财富，如何对这些外发的信息进行管理和监控，是高校网络安全建设的明确需求点。

    上网行为审计设备内置了可自动更新的分类URL库，其中包含了海量的成人、暴力、反动以及恶意网站信息，这有助于将不健康和包含潜在威胁的网站拦截在外。由于每天互联网都会涌现出大量的站点，上网行为审计的 URL库也提供了使用者分享功能，用户可以在上网行为审计的URL库自定义需要被拦截的URL，通过对URL的阻拦，可大大降低内网用户对不良Web页面的访问。

    针对文件的传输，上网行为审计提供了更细致的解决方案。通过对象设置，可以将关键字、文件类型、网络服务与IP地址组进行关联，再进一步实现细颗粒的控制策略。

    而对外发信息的管理，上网行为审计设备有完善的访问上网行为审计和监控功能能够有效防止敏感信息通过Internet发送。如定义敏感信息的类型以及关键字, 对通过HTTP、FTP、SMTP、IMAP等应用协议做敏感数据拦截和在线拦截监控等保证拦截到所有的敏感数据，使上网数据无一纰漏，避免学生不良的上网行为导致学校受到法律的追究。

    二、用户有效身份认证和上网权限管理难以控制：

    深圳市任子行网络技术有限公司方煜宗总监认为，一般来讲，采用IP/M上网行为审计地址绑定作为用户认证和上网权限的控制是当前最常见的方法，但随着IP、M上网行为审计篡改现象的增多，传统的IP/M上网行为审计绑定已无法做到有效的身份认证和权限控制。现在网络建设较完善的高校一般都采用了基于Radius、LDAP或Microsoft AD的服务器认证，用于学校用户在众多应用系统中的帐号管理。在这里，我们来探讨一下互联网访问的认证机制。

    3A(认证，授权和上网行为审计)是组织安全设施的基础，能对用户和内容进行有效的保护和控制。认证对于一个局域网来说主要分为两个层面，首先是借助应用系统自身的认证，例如OA系统的用户名/密码，这可以从一定程度上避免非授权用户对内网核心资源的访问;另一层面是借助于网络部门建立的Radius域认证、微软LDAP(Lightweight Directory 上网行为审计cess Protocol , LDAP)等来对内部用户进行身份认证管理。然而，基于内网安全的认证机制还需要进一

    步完善。试想，如果一个打算离职的员工还属于可信用户，但他却把内网中的财务报表打个包上传到公网的一台FTP服务器，或将组织辛苦搜集到的客户信息通过Email发送给竞争对手，这些行为对组织的经济效益将带来巨大的损失。

    所以，我们迫切需要管理局域网中所有用户的Internet访问。现在我们应该对用户组进行认证方式的设置。在上网行为审计中你将切实感受到多种认证方式带来的好处。身份认证主要有两种方式，免客户端认证和客户端认证，上网行为审计中的Web认证属于前者。Web认证通过浏览器即可完成全部认证，即使对计算机操作并不熟悉的用户也能够理解和使用，很好提高了操作的互动性和弹性。

    Web认证是这样运行的：内网的用户第一次开机时，只要在浏览器中输入网址，上网行为审计将自动把用户的访问页面重定向到预设的Web认证界面。只有在页面中正确输入管理员分配的帐号信息才能正常访问Internet并获取相应资源，否则上网行为审计设备将拒绝用户的所有Internet连接请求。另外，为了避免用户离开后主机被他人利用，当用户在一段时间内没有发生任何网络流量时，上网行为审计的Web认证将断开该用户的网络连接，直到用户再次通过Web认证。

    深圳市任子行网络技术有限公司自主开发的任天行网络安全管理系统即支持多种认证方式，除了通过用户名/密码、IP/MAC上网行为审计认证外， 其Web认证还可以透明结合Radius、LDAP、POP3等认证服务系统进行用户身份校验。IP/MAC上网行为审计认证可以通过上网行为审计自带的局域网扫描功能实现。对于后几种认证手段，只要在上网行为审计中正确填入域、活动目录和邮件服务器的地址和端口，上网行为审计将自动更新用户列表和策略，这对建立了完善的内网认证体系的用户来说非常方便。

    三、用户上网行为的日志、报表分析的重要性突出：

　　高校用户的内网PC数量庞大，每秒钟都会生成海量的互联网访问日志。为了加强对整个学校网络资源应用情况的了解，学校网络管理员需要一个内容详尽、分析透彻、功能强大的日志报表系统来提供清晰的管理和决策依据。

    方煜宗总监认为，上网行为审计要能提供强大的日志中心，可以对所有内网用户的上网行为进行实时监控。可以实时查看内网用户所有的上网记录，包括记录和查看Web访问、FTP、TELNET、邮件(含Webmail)、QQ、MSN、ICQ、YAHOO Message等流行IM软件及游戏、股票软件、网页论坛、P2P下载、音视频的数据。丰富的报表功能可以生成完整的日志，记录整个网络的上网行为，方便事后的追踪查询到每一个用户。

    方煜宗总监表示，深圳市任子行网络技术有限公司研制的任天行网络安全管理系统的日志中心在满足以上功能外，同时还具有良好的移植性，可以将上网行为审计的日志中心平滑的转移到中的任何一台外接存储设备上（适用于大日志量），并通过Web访问方式随时查询和导出数据。这种可移植的日志中心有两大优势：

    1.独立部署的日志中心将不受设备的硬盘容量限制，更方便用户的日志记录和扩展。对于一些需要记录大量互联网访问信息的用户，此功能特别实用。

    2.由于上网行为审计可将日志和设备分离，大大减轻了上网行为管理设备的工作量，避免大量的数据存取操作成为影响网关性能的瓶颈。

    在管理方面，上网行为审计可通过对组、用户、规则、协议等多种对象进行查询，桔饼图、柱状图、曲线图等方式进行比较，能够直

    观地查看到网络流量、邮件、网络监控而且还可以直接打印和导出多种格式的报表。

    上网行为审计强大的日志系统和丰富的报表功能，可准确的分析出高校Internet的详尽使用情况，为网络管理员提供了最有效的数据支持。

    四、高校网络安全审计产品的功能要求：

    1、 互联网审计产品应采用旁路部署方式，对网络产生的延迟应小于1ms。

    2、 目前中等高校（5000人以上）网络流量峰值约为600M，在今后网络带宽增加后（例如增加至1.2G），审计产品应能够在原有设备基础上进行叠加，多机并行处理。

    3、 审计日志应包含HTTP、FTP、TELNET、SMTP、POP3、常用IM、常用音视频协议、常用网络游戏、常用股票软件、WEBMAIL、BBS、搜索关键字等行为日志及相关内容信息，内容审计关键字、无条件要全部支持。

    4、 应具备源地址及目的地址的黑白名单功能（同时支持机器、日志黑白名单功能）。

    5、 为了日志安全，进入审计系统应使用用户名+口令+USBKEY或者登录地址绑定的认证方式。

    6、 所有日志信息应能够自动汇总进行统计报表:

 -应能够按照使用者进行网站浏览、收发邮件、FTP、即时通讯、TELNET、网络游戏、股票软件、音视频、WEBMAIL、BBS、股票软件的排名。

 -应能够按照学校各个部门进行网站浏览、收发邮件、FTP、即时通讯、TELNET、网络游戏、股票软件、音视频、WEBMAIL、BBS、股票软件的排名。（各个部门的区分应该找人员帐号区分，不能按照IP地址区分）

 -对于各项统计信息应能够按照年度、月度、指定日志范围分别统计。

 -用户应可以自定义报表，由用户选择统计对象、日期范围、显示字段、排序、统计总数量等信息，并能够导出到Excel、Word、PDF等多种格式。

 -推荐性要求：自定义报表应能和学校网站联动。在学校网站中显示相应统计信息。

    7、 上网人员实名制要求应能够与学校计费系统联动，将审计日志与计费系统中的人员信息自动对应，以便今后对日志信息的查询和统计支持浏览器管理

    8、 支持针对特定条件的上网审计和报警功能，并可以通过管理页面、邮件、短信等方式通知管理人员。

    方煜宗总监表示，深圳市任子行网络技术有限公司的任天行网络安全管理系统，作为高校上网行为管理和审计专家，通过领先、精湛的技术手段一直致力于帮助全国众多高校解决审计需求问题。但他同时也强调，技术只是一个手段，而同时高校校园网IT管理规范也是非常重要的。我们的目的，其实是通过有效的技术保障，让更多的师生都能够在健康、可信的网络信息瀚海中汲取更多有用的知识，体味网络时代的无限精彩和便利！

    作者：深圳市任子行网络技术有限公司 方煜宗