校园网用户上网行为的安全管理

·227·
数据难以拦截， 并且拦截往往有一定延时 ， 拦截敏感数据的 效果不佳， 容易遗漏监控数据。当然如果采用网桥模式的设 备出现端口故障或设备处理能力不足时 ， 很容易形成网络瓶 甚至造成整个网络故障 。 为了防范此类情况的出现 ， 现 颈， 在上网行为管理设备一般都具备了 ByPass 功能。 四、 上网行为管理设备的部署情况 000 余台， 以笔者所在院校为例， 现有上网电脑 3 ， 通常 000 台左右， 在线人数在 2 ， 租用中国电信线路， 带宽已提升 到 600M， 但学生时常还是反映打开网页很慢的情况 。 经过 分析， 主要就是在线视频， 迅雷下载等应用占用了近 90% 的 2010 年， 带宽。为了解决这个问题， 购买了上网行为管理设 备网康 NI5610 ， 采用桥接方式接入到校园网中 ， 与原有城市 完成身份认证， 流量控制， 内容审计 热点计费系统共同配合 ， 等功能。校园网络拓扑结构图 1 ：
校园网用户上网行为的安全管理
□赵小冬
【摘
要百度文库 近年来， 越来越多的校园网用户使用 P2P 软件下载大容量文件， 占用了正常的带宽， 经常造成校园网网速低下 ， 甚至 导致网络堵塞， 如何规范校园网用户的上网行为是我们所关注的问题 ； 另一方面， 互联网上资源丰富， 但内容良莠不 齐， 如何防范用户的访问不良网站也是丞待解决的问题 。通过部署上网行为管理设备 ， 合理分配网络带宽， 杜绝带宽 管控上网用户的上网行为 ， 降低安全威胁， 增强信息安全， 帮助用户提升工作效率 ， 规避法律风险， 进而创建一 滥用，
个平稳高效洁净的校园网络环境 。 【关键词】 校园网； 上网行为； 流量控制； 网络安全 【作者简介】 赵小冬（ 1975 ～ ） ， 男， 重庆万州人， 重庆三峡职业学院讲师
一、 引言 随着计算机的普及和互联网的发展 ， 各高校校园网也得 到了迅速的发展。在校园网用户规模不断增加同时 ， 校园网 也暴露出一些问题和隐患 。主要表现在： 一是内网用户数量 管理比较困难。 二是校园网 P2P 软件使用泛滥， 带宽 巨大， 资源紧张。三是个别内网用户对外发布过激言论或虚假信 息， 无法防范或无据可查。 四是互联网上资源丰富 ， 但内容 充斥许多反动、 暴力、 色情以及其它不健康的信 良莠不齐， 息， 如何防止校园网用户访问此类网站 ， 从而给学生提供一 也是一个急待解决的问题 。 个健康的上网环境， 二、 解决方案 （ 一） 严格执行入网身份认证 。 即要做好入网账户的管 校园网开户严格实行实名上网 ， 并做好用户上网日志的 理， 留存。存储空间的大小要满足存储全网日志 60 天以上。 实 一旦出现问题后， 我们可以迅速的根据注 行严格的实名制， 册信息进行追查。 当然实行实名制后也会使内网用户有所 顾忌， 也会注意自己的上网行为 。 （ 二） 要对迅雷下载、 在线视频等 P2P 软件应用进行严格 的控制。对此类应用可以划分出部分固定的带宽 ， 从而保证 HTTP 等主要应用和视频会议等重要应用的带宽需要 。 实行 eMule、 PPLive 可基于应用类型 （ 如 BT、 细致的流量控制功能， 等） 的流量控制， 基于网站类型 （ 如新闻类、 娱乐类、 体育类 ） 的流量控制； 基于用户组 / 用户的流量控制， 带宽资源分配可 以采用动态保证、 预见流保证、 最高限制、 平均分配、 自由竞 争等。 （ 三） 对外发信息要实行监控审计 。 通过制定精细化的 信息收发监控策略， 能对电子邮件的收件 / 发件邮箱、 邮件标 题、 邮件正文、 邮件附件内容进行审计 ， 能对即时聊天软件聊 天内容、 聊天账号进行监控， 能对论坛发贴的正文、 附件进行 监控， 能对发帖关键字进行阻断 。 （ 四） 能基于 URL 地址、 网页关键字、 网站类 别 进 行 过 滤。将宣扬暴力、 色情、 赌博、 犯罪等违反国家法律、 危害校 园网安全的内容过滤掉 ， 避免学生有意无意访问包含非法内
容的网页， 净化了校园网络， 也减少病毒进入局域网的几率 ， 降低学校的法律风险， 从而创造文明健康的上网环境 。 基于以上的解决方案， 我们可以在校园网主干上部署上 网行为管理设备。 三、 上网行为管理产品 （ 一） 什么是上网行为管理。上网行为管理是对网络用 户基于内容的网络访问行为进行管理 ， 主要解决以下几个方 面的内 容： 一 是 谁 在 上 网 （ Who ） ； 二 是 什 么 时 间 上 的 网 （ When） ； 三是上网访问了哪些网络资源 （ Where ） ； 四是上网 访问的具体内容是什么 （ What ） ； 五是上网占用的带宽和流 量是多大（ How much ） 。上网行为管理产品基于用户 、 时间、 应用、 带宽等元素对用户的上网行为进行全面而灵活的策略 “被动式响应管理 ” “主动式 把网络风险管理从 提升为 设置， ， “防范管理” “控制管理 ” ， “通 预警管理” 从 提升为 把网络的 “应用安全” 。 提升为 信安全” （ 二） 上网行为管理产品的选择 。上网行为管理产品主 要分硬件产品和软件产品两类 。 由于硬件产品采用了专门 的硬件架构与算法优化 ， 在性能和稳定性上都明显高于软件 产品， 所以校园网一般都采用硬件产品 。 （ 三） 上网行为管理设备的部署方式 。 1. 网桥模式。以透明网桥方式接入网络 ， 可以部署到校 园网络的网关位置或校园网的出口位置 。 无需改动用户网 络结构和配置， 配置一个管理 IP， 进行策略的配置和管理控 制， 即插即用。 2. 网关模式。也称为路由模式， 将设备串接到校园网的 和防火墙或交换机相连接 。 需要为设备配置内网和外 边界， 网 IP 地址。 3. 旁路模式。采用这种模式， 上网行为管理设备是连接 在核心交换机或其它网络设备的镜像端口上 。 在实际使用中， 我们一般都采用桥接模式将上网行为管 理设备串接在网络中。 这种方式最为简单， 直接接入， 即插 即用。同时由于设备是串接在网络中 ， 所以可以真正做到对 经过的数据进行安全过滤 。 而旁路监听方式对 UDP 发送的