“綠色校園”的前行障礙

教育信息化是在教育過程中比較全面地運用以計算機多媒體和網絡通訊為基礎的現代化信息技術，促進教育的全面改革，使之適應于正在到來的信息化社會對于教育發展的新要求。2000年10月國家教育部正式開始推行的“校校通”工程，更進一步推動了校園網的建設和發展，明確了信息化教育事業的大方向：就是充分利用校園網，為學校的教師、學生和教學管理人員，提供面向學校應用服務的多媒體教學、信息化管理、信息交流平臺，以實現學校教學手段現代化、教學管理科學化、教學資源信息化，為學校培養面向21世紀信息化社會高素質人才的服務。

雖然每年國家在教育信息化方面投入大量的人力和資金，但是校園網絡部分依然出現眾多的隱患，比如：校園網絡安全防御系統的不健全，導致招到外網大量的病毒和黑客攻擊;校園網絡資源的濫用導致正常業務無法開展;沒有合適的手段來保障學生有一個健康的上網環境等。而對校園網絡管理人員來說，有沒有一種更好的解決方案來降低自己的維護量，保護內部重要信息不外漏呢?江西省委黨校網絡中心李老師唉聲連連：“100M的光纖出口，為什么網速這么慢呢，BT、電驢好難搞啊!”

網絡邊界安全性的思考?

對于外網的防范，規模稍微大一點的校園網絡，都部署了多層安全網關，江西省委黨校目前的外部網絡安全層次上部署的產品也不少，比如：防火墻、IDS、防毒墻、垃圾郵件過濾設備等。

其實江西省委黨校現在的網絡抵御外網的攻擊的能力上已經比較完善，但是內網網絡的管理是否也同樣完善呢?是否有必要通過原有的完全防范設備就能合理分配網絡資源，規范內網用戶的上網習慣呢?

校園內網中的“丑惡面容”

江西省委黨校在未部署深信服上網行為管理網關之前無法了解內網的諸多情況，一個原因在于精力有限，需要維護很多而且不同廠商的不同網絡設備，以及處理其他事務。另一個更重要的原因是在于很難找到有效的手段進行內網狀況分析。這些也導致內網資源被很多不規范的上網行為給占用。那內網用戶不規范的上網行為有哪些呢?

通過上面的圖表，江西省委黨校內網情況很直觀的反映出來，我們可以看到內網中的由于各種不規范的上網行為使得網絡資源被濫用，而導致學校日常的業務工作無法正常開展，學生也無心思把學習的重心放對自己有正面影響的事務上，每天都在BT、電驢下載，訪問黃色網站、在網站上發布比較激進的言論等等，這樣的局面如果沒有能夠被學校合理控制，直接影響著整個校園信息化建設的步伐，更重要是江西省委黨校是一個黨政性質的學校，是不容出現反政的言論的。那對于這些行為，作為學校來說只能坐以待斃嗎?我們接下來先分析一下產生這種狀況的原因。

BT下載、電驢下載、機密泄漏、病毒有機可趁?

隨著互聯技術的不斷發展，很多例如BT、電驢等主流互聯網共享技術豐富了人們的網絡生活，也使得我們能夠找到以往很難找到的信息。但是這些信息來源的前提條件是，需要我們付出更大的帶寬資源。假如一個2M帶寬的家庭用戶通過P2P軟件下載某個資源需要占據1M左右的帶寬，而校園網絡的出口為100M光纖，某校師生共有6000人，其中就有4000名學生，而經常使用BT、電驢的人在1000人左右或者更多，一個100M必然難以分配，學校正常業務能夠在這樣惡劣的網絡帶寬情況下開展嗎?

一些高端網絡交換設備通過一定的配置可以通過端口進行封賭P2P，但是不能徹底封賭，原因在于P2P一類的軟件都在不斷更新的，版本不同使用的端口也不同。

深信服AC上網行為管理系列網關已經能夠根通過根據P2P軟件特征信息進行深度檢測，對最新P2P軟件進行限制。P2P也有自己的特定的身份，以“不變以萬變”，無論端口怎么改變，都能對這些惱火的東西徹底封殺。深信服SANGFOR AC上網行為管理網關還可以把這些占用帶寬比較高的網絡服務限定于某個時間段才能享用，并且通過限制P2P的流量，保證其不影響其他正常業務的開展，也能做到更細致的權限管理。事物總有利弊兩個方面，關鍵是合理的控制。

網頁過濾，限制敏感數據

江西省委黨校校園信息發布平臺，讓校園網成為教師工作的一部分，如校內新聞、行政辦公通知信息、教學信息、課外活動信息等有關事項盡可能采用校園網站來發布，一方面可以讓師生養成使用校園網站的習慣，另一方面可以留存較長時間。互聯是網提供給了學生更多知識和信息，但是互聯也存在很多不堪的信息，比如黃色網站、反政言論(法倫功)等，這些因素都在阻礙校園信息化進程。曾經某學校因為該校某學生在學校門戶網站上大量發表一些自己的激進言論，導致該校的領導受到法律部門的處分，至今也未能找出到底是誰所為。

深信服AC上網行為管理網關使用哪些手段防止類似現象的產生，并可做到事后有證可查呢?

1、自定義URL資源、限制URL訪問

結合時間策略可為不同的訪問控制組分配不同的URL訪問權限。

2、關鍵字過濾

禁止用戶通過Internet搜索、瀏覽反動、政治敏感、色情等相關信息;禁止用戶通過BBS、WEB-Mail、BLOG等發表反動、政治敏感及色情等信息;

3、敏感數據攔截

對HTTP、FTP、SMTP、IMAP等應用協議做敏感數據攔截，以防泄密或引起法律糾紛。

4、完備的數據中心

對內網的所有行為進行紀錄和查詢，包括QQ、MSN等IM即時聊天信息，發送的郵件等等。

深信服AC保證學校機密信息不外漏

國家信息安全部門對學校機密信息的保護有相關的要求，同時中國公安部也頒布了《中華人民共和國公安部第82號令》。因此學校高等級研究部門需要將國家機密信息通過有有效且安全的手段加以保護。我們來分析一下，機密信息會通過何種途徑泄漏?

機密信息泄漏的途徑分析：

1、電子郵件是用戶通過Internet 交流的主要途徑，但隨之而來的泄密行為給用戶造成了巨大的損失。傳統的監控軟件只能在泄密行為發生以后再做審計，這時機密信息已經外泄，損失已經很難挽回。(例如：通過Outlook,Foxmail等軟件發送的郵件和附件)

2、通過BBS、BLOG、WEBMAIL發表的所有言論泄漏;

3、所有MSN,QQ,ICQ,YahooMsg等聊天軟件的聊天行為泄漏;

應對措施：

1、深信服SNFOR AC 上網行為管理網關通過專利技術之一的郵件延遲審計技術，針對郵件接收發送的審計監控技術，避免與國家相關的機密泄漏。該技術可以把疑是攜帶機密信息的郵件進行攔截，經審計后才能發出。

2、BBS、BLOG、WEBMAI，QQ、MSN等IM，深信服SANGFOR AC上網行為管理網關都可以通過設備中豐富的數據記錄手段進行監控審計，也可備事后有證可查，直接追究當事人責任。

上網通行證

對江西省委黨校內網的合理劃分和管理，是必不可少的手段。江西省委黨校網絡中心通過深信服SANGFOR AC細致的網權限劃分功能合理的規劃自己的內網環境，這樣可以減輕網絡管理員的維護量，而對所劃分的每個組制定相應上網權限也能規范內網用戶上網的行為，增加內網抵御外網眾多混合型病毒的威脅。

“沒有規矩不成方圓”。特別是校園網內網眾多用戶，包括教師和學生，以學生居多，他們對新鮮事物的敏銳性非常高，互聯網成為其第一時間獲取信息的主要手段，但是個人的PC對于互聯網的防范性參差不齊的，這就需要他們必需“強壯”自己的PC，才能獲取上網的“許可證”。深信服SANGFOR AC對江西省委黨校的內網啟用戶了專利技術之一的網絡準入規則來對內網的上網用戶進行管理，指網管員可以統一限制上網的條件，比如，必需打上最新的系統補丁程序或者安裝指定的防病毒軟件，而這些程序都可以通過開放某些地址進行下載后更新，按指定要求做好準備后才可以正常上網。

多種認證形式。對所劃分的某個組(研究中心、國家重點實驗室)啟用認證，方可上網，并可指定所能訪問的網站范圍。現在深信服SANGFOR AC能夠支持認證技術包括網頁的認證、LDAP認證等。可以通過認證功能使得所規劃的某個組只能訪問安全性較高的網站，例如學校內部在線教育平臺和在線模擬實驗室等。

隨著校園網絡的不斷建設和改造，上網行為管理在教育行業中的應用也越來廣，用戶也在逐漸的關注自身內網的管理，特別是對規范學生上網行為上(比如禁止訪問不良網站等);增加內網機密信息的保護機制，保護內部數據，防止機密信息泄漏;流量控制、帶寬管理，提升帶寬利用率;通過關鍵子過濾、網頁過濾等手段凈化校園網內網不堪的言論等。

高性能平臺服務下一代校園網

建設“綠色校園”是深信服校園解決方案的實踐方向，為了滿足校園網高流量的需求、深信服上網行為管理還提供萬兆硬件平臺，完美支持IPV6，為下一代校園網建設提供強勁支撐。