XXX教委網絡行為管理項目建議方案

2014-11-20 15:03:00
dxt001
原創
2031
摘要:用戶管理、實時監控、日志記錄、內容審計、異常管理、訪問控制、統計分析、自動整理備份

1. 概述和現狀

在過去的十多年里,互聯網從最初的單純地為國防、科研、教育所用的計算機網絡演變成現在的為眾多的醫院、企業、政府、組織、學校和個人所離不開的全球網絡。人們在網絡上的應用從最初的發送文本電子郵件,瀏覽靜態的信息網頁,發展到現在的多媒體、即時通信、視頻音頻通訊,了解世界的動態,銷售、采購各種商品等。互聯網的持續發展縮短了人與人之間的距離,改變了人們的交流方式和工作習慣。互聯網的影響力及給社會帶來的好處不言而喻,但其帶來的負面影響也是有目共睹。正因為互聯網的方便性和隱蔽性,也給一些不法之徒提供了很多可乘之機,如:通過網絡從事色情、詐騙、賭博,傳播不良信息等事件時有所聞。網絡如果不進行有效的監管,其后果可想而知。

作為 XXX 教委所管理的教育城域網連接了全市所有的中小學,通過運營商的統一出口提供給廣大教職員工、學生機房使用。

經過前期調研, XXX 教育城域網結構如下圖所示:


全市各中小學都通過光纖連接運營商提供的 MPLS城域網,根據學校網絡情況的不同,使用路由器 /代理服務器 /防火墻等設備對學校提供路由和 NAT服務,學校內部 IP通過 NAT之后到達 MPLS環,最終通過統一的防火墻出口再次 NAT到互聯網。

目前無用戶和身份認證手段,計算機連接網絡后配置正確的地址即可訪問互聯網。


2. 存在的問題

2.1. 國家政策及法律風險

l   網頁瀏覽(色情,暴力);

l   BBS 發帖(政治敏感);

l   IM 即時通信(色情,政治敏感)

因為教委下面各學校人員較多,各人素質不一,可能有意無意的使用互聯網服務中瀏覽到一些非法的網站,以及在一些網站論壇或在一些聊天工具上說一些不應該說的敏感話題,會給教委帶來很大的法律風險。

學生是思維最活躍的群體之一,也無完全的民事能力,在面臨一些問題的時候無法做出正確的判斷。

2.2. 自身管理的難度

2.2.1. 工作效率下降

l 網頁瀏覽(非工作活動);

l IM 即時通訊(非工作聊天);

l P2P 共享(聽歌,看電影);

教職工在工作時間,利用單位提供的互聯網做一些與工作無關的事,造成工作效率的低下。

2.2.2. 帶寬資源濫用

l   網頁瀏覽

l   文件下載

l   P2P 共享

l   在線視頻

l   在線游戲

教職工在上班時間,使用一些占大量帶寬的應用,比如:流媒體( PPLIVE QQLIVE ,P2P 下載(迅雷, BT ),這些應用占用了大量的帶寬,影響到工作中正常業務的傳輸速度,從而使工作效率下降。

2.2.3. 管理成本增加

l   管理制度無法落實

l   處罰沒有依據

l   網絡使用狀況不明

即使出臺了一些相關互聯網的使用說明,也難免某些教職工存在僥幸心理,在工作時間內做與工作無關的事情,而我們知道卻也沒相關的依據來落實管理制度中的獎懲條件。

2.3. 安全風險

l   網頁瀏覽(病毒,木馬插件);

l   IM 即時通信(病毒文件傳輸);

l   P2P 共享(惡意代碼)

下屬各學校教職員工在上班使用互聯網時,瀏覽與工作無關的網站,或聊天,或下載時有意無意的中了木馬和病毒,造成工作電腦癱瘓,直接影響到工作,如果電腦中毒較嚴重還會影響到整個網絡,嚴重還會造成教育網絡癱瘓。

3. 需求分析

為了加強對互聯網應用的管理,切實落實國務院《關于加強未成年人思想道德建設若干意見》和公安部的《計算機信息系統國際互聯網保密管理規定》、《互聯網安全保護技術措施規定》等文件的要求,認真采取 網絡安全保障措施,實現話聯網上網行為審計。從而監管網內各用戶的上網行為和上網內容,凈化教育網絡環境,保障網絡服務的安全。

綜上所述,通過與教委相關管理人員交流和新網程類似項目的實施經驗,我們覺得學校網絡行為管理的需求主要集中在以下幾個方面:

1.       管理范圍:所有的訪問互聯網的用戶;

2.       實時監控:查看用戶訪問外部網絡的信息,包括訪問的協議、 IP 地址、訪問的內容、數據的流量和訪問時間;

3.       審計查詢:根據組合條件查詢用戶歷史上網記錄,包括訪問內容,發送信息內容等;

4.       統計分析:強大的統計分析功能,豐富的統計表現手段,對不同地點上網的人員的數據可以歸并

5.       流量管理:按照學校的人員分配情況合理分配帶寬,對有限的資源發揮到最大,不浪費帶寬資源;

6.       用戶管理:靈活的用戶權限管理和分組;

7.       內容監控:對在網上傳送的數據內容進行監控,包括郵件的收發、 BBS 發貼、通過 Web 上傳的文件、 MSN 發送的信息內容,并能針對敏感信息進行分類和通知;

8.       訪問控制:多級別或基于用戶角色的靈活控制上網權限的方式;

9.       異常管理:對用戶網絡上的異常行為進行報警和相關處置;

10.   日志存儲:所有日志可用存儲、查詢;

11.   權限管理:管理員有不同的系統管理和查詢權限。


4. 部署方案

4.1. 部署方式


如上圖所示,網絡督察作為監控終端部署在教委下屬的每個學校或單位的局域網內,進行網絡行為管理、安全審計和信息過濾。

網絡督察先進行分光分流,再以旁路方式并接在學校核心交換機的鏡像口上,鏡像源是核心交換機連接網關的端口。并在核心交換機上找一個空閑端口再連接一條線路到網絡督察的管理口上,做日常管理和訪問控制使用。網絡督察的數據采集口采集交換機鏡像過來的數據,對過往的數據進行分析和還原,局域網內的所有的用戶管理和上網行為審計都在這臺設備上完成。

對于某些學校或單位在上網行為管理上有更多的需求的話,網絡督察可以采用網橋模式部署,可以實施網絡督察提供的控制管理功能,比如帶寬管理,訪問控制也更加嚴格。也可以采用網關路由模式部署,可以附帶實現防火墻功能,節約學校的投資。

另外在教委網管中心再部署一套網絡督察管理中心系統,可以對下屬各學校和子單位的網絡督察進行統一管理,比如實時監控、日志遠程查詢、分發控制策略等等。管理中心是一臺 2U 的設備,連接在核心交換機上。這樣總部管理員只要通過管理中心就可以管理下屬學校的網絡行為。

4.2. 實現效果

用戶管理

系統支持 IP/MAC 綁定,域同步,實名刷卡等上網的用戶管理模式,并可對用戶分組多層管理。對不同人員可以設置免監控、不監控郵件內容等不同的監控級別。

實時監控

可以通過瀏覽器實時查看用戶當前的上網情況,包括其訪問的 IP 地址、網址、服務類型、流量等等,了解網絡目前應用狀況,及時進行控制和調整,保障網絡正常運行。

日志記錄

詳細記錄用戶的上網的各類日志,包括 HTTP SMTP POP3 Telnet FTP QQ MSN 、游戲等三百余種日志,同時記錄了訪問時間、 IP 地址、 MAC 地址、流量等重要信息,日志可以按照要求保留 90 天以上并可組合查詢。

訪問控制

提供完整的訪問控制管理策略,可靈活地按用戶角色或者分組對用戶上網行為進行控制,可以根據時間段、服務、網址、流量等手段進行控制,可以封堵常用的聊天軟件、炒股軟件等服務。并提供百萬級的有害信息過濾網址庫防堵不良網站。

異常管理

根據用戶上網狀態,如 IP 連接數、數據包特征、流量等情況,及時發現用戶上網電腦是否異常,自動告警或采取相應的控制措施,保障網絡通暢。

帶寬管理

可以按組和服務類型等來制定策略對帶寬進行管理。可將帶寬劃分成若干個虛擬通道,設定每個通道的帶寬,上、下載速度的限制,優先級和管理策略,保證等關鍵應用或重要人員的上網帶寬。

BYPASS

可以在系統斷電或故障的時候自動將一對網口置成直連狀態,保證網絡暢通,不影響正常業務。

統計 分析

提供數十種統計報表對上網流量、時間等進行統計,可生成各類排行榜,并可以圖表的方式從各個角度對用戶上網情況進行分析。統計結果可導出到 Excel 表格,方便進行二次處理。

自動整理和備份

對用戶數據和系統數據進行自動備份和整理。系統將根據設定的各種數據的保存時間定時自動整理,刪除不必要的數據,從而保證系統可以長期穩定地運行。系統還可以按要求對關鍵數據和存檔數據進行本地或異地備份,備份的信息可以離線查看。

日志內容審計

能夠對 HTTP SMTP POP3 WebMail Telnet FTP QQ MSN 等常見應用記錄其訪問日志并對其內容進行還原,可根據進行實時分析、匹配。







發表評論
評論通過審核后顯示。
文章分類
聯系我們
聯系人: 牟經理
電話: 028-85666248
傳真: 028-85666248-8008
Email: business@cd-dxt.com
QQ: 489323802
地址: 成都市二環路西一段80號金科雙楠天都2號樓
福彩3d相年富