XX大学行为管理解决方案

/广西医科大学互联网行为管理解决方案网康科技有限公司2009年6月一、前言 31.1校园互联网访问行为管理的背景 31.2 校园互联网访问行为管理的需求 31.3 互联网访问行为管理的国内外现状、及技术发展趋势 31.3.1 互联网访问行为管理的国内外现状 31.3.2 互联网访问行为管理存在的主要问题 31.3.3 互联网访问行为管理的技术状况与发展趋势 31.4 网康科技在互联网访问行为管理领域 3二、客户需求分析 32.1 应用环境及现状分析 32.2 项目需求归纳及可行性分析 32.2.1主要需求：带宽管理 32.2.2潜在需求：高校校园网普遍且必要的需求 3三、网康科技互联网访问行为管理具体解决方案 33.1 方案简介及其体系 33.2 网康互联网访问行为管理解决方案的技术可行性分析 33.3网康NSICG的功能实现 3四、项目方案建议 34.1方案指导思想 34.2部署方案网络结构 34.3部署方案说明 3五、广西医科大学校园网上网管理在部署网康后 3六、网康科技资质 3七、网康科技典型案例 3八、网康教育行业用户一览表 3一、前言1.1校园互联网访问行为管理的背景互联网的高速发展已经彻底改变了我们的生活，它已成为学校、企业、个人工作、学习和生活必不可少的工具平台。学校受益于开放的互联网，同时也将自身暴露于各种安全风险之下。传统的网络安全策略着眼于防护来自外界的互联网威胁，阻断试图进入内部网络的攻击。常规的网络安全设备，诸如路由器、防火墙、入侵检测系统、防病毒系统、认证系统等软硬件设备，构成了学校安全网络环境的防护屏障。但是单纯的外围防护已经不能满足学校对安全网络环境的要求。学生有意无意的互联网访问活动而导致的学习效率下降、带宽资源浪费、安全风险、法律风险，已经严重影响了学校网络使用的正常工作。 互联网的不合理使用，导致学生学习效率下降，据IDC数据统计，平均每天的互联网活动中有将近40%浏览新闻娱乐、色情网站，上网玩游戏，无节制的上网聊天，这种互联网的不合理使用必然导致学生学习效率的下降。 互联网上充斥着病毒、蠕虫、木马等恶意软件，给学校网络带来安全风险随着技术的发展，许多病毒、蠕虫、木马等恶意软件选择了互联网中的Web网页作为藏身之地，学生在浏览这些网页时，这些恶意软件会利用系统的漏洞神不知鬼不觉地侵入计算机系统，然后进一步在学校内部网中传播和蔓延，这将会给学校带来巨大的安全风险，给网络管理员带来了很大的麻烦。 互联网资源的非法使用，可能会给学校带来法律风险，在国内，法律规定了很多网站是非法的，比如有色情内容的、与赌博相关的、与反动政治相关的、与迷信和犯罪相关的等等。 互联网资源的不公平使用，会对学校现有的网络带宽造成严重影响在线音频和视频应用，BitTorrent、eDonkey等P2P类工具软件的流行使得学生经常利用学校提供的带宽资源大量下载MP3音乐、电影、大型软件等，严重占用带宽，造成网络拥塞，上网速度下降，影响其它人的正常上网行为。因此，互联网作为工作和学习的一个必不可少的组成部分，对互联网使用的管理和控制也必将纳入学校的管理范畴。1.2 校园互联网访问行为管理的需求 能够规范上网行为，杜绝了访问与学习和工作无关网站的可能，提高了老师的办公效率和学生的学习效率； 能够对有利于教学和学习的传统协议带宽得到保障，同时限制与教学无关占用带宽严重的应用，提高校园网的服务质量； 能够屏蔽QQ、MSN等即时通讯软件，使得学生和老师不能沉迷于网络聊天，避免了校外不良网络行为的引诱； 能够封锁网络游戏，使得学生无法再留念于虚拟世界，把精力集中在学习上； 能够阻止色情、暴力等不良信息流入学校内部，同时减少了因访问这些恶意网站而带来的病毒、木马的侵扰； 能够限制BT、eMule等P2P下载软件的使用，节省了带宽资源，网络访问速度明显提高； 能够提供灵活详细的访问统计报表，以便掌握学校的互联网使用情况，及时对访问策略做出正确的调整。1.3 互联网访问行为管理的国内外现状、及技术发展趋势1.3.1 互联网访问行为管理的国内外现状从整个网络安全产业的发展来看，在美国已经有越来越多的校园、政府单位、学校开始使用互联网控制管理产品，对互联网内容的使用进行控制和管理，以达到提升管理水平、提高劳动生产率、增强内部网络安全、避免法律风险和保护员工的身心健康的目的。这些安全需求可以归纳到内容安全和内网安全范畴。在中国，国家已经将信息安全的建设提到战略高度。对互联网的控制和管理也必然受到全社会的重视。2005年12月31日，公安部第82号令发布《互联网安全保护技术措施规定》，规定所有联网校园单位都应该建立校园互联网安全管理措施，对校园的用户使用网络、公共信息发布等都要做安全规范管理。1.3.2 互联网访问行为管理存在的主要问题 校园互联网使用管理跟特定的国家法规、价值观、文化背景相关，需要本地化技术实现 互联网应用和内容的不断变化需要访问控制技术的迅速更新 实现过滤内容的大覆盖量与高准确度需要长期、巨大的投入 许多访问控制类产品的复杂性及系统架构的混乱，限制了过滤和控制效果1.3.3 互联网访问行为管理的技术状况与发展趋势互联网访问管理根本上是对针对网络访问者，进行Web访问控制（网页浏览的控制管理），以及各种基于Internet的网络应用控制管理。首先，一个好的互联网访问行为管理产品，要能做到基于用户的、细化、量化的访问策略定制。第二、互联网访问管理是面向内容和应用层面的控制管理，产品本地化是一个非常关键的因素，直接影响到控制效果和准确度。产品本地化并不只是界面语言的简单体现，更是专业技术和本地文化、生活习惯等人文信息的充分理解和完美结合。第三、针对web访问控制，相应的控制手段主要有内容实时分析过滤和URL预分类列表匹配内容过滤两种主流技术。URL预分类列表匹配内容过滤是目前国际上流行的解决办法，实现基本原理是维护一个URL列表数据库。通过对互联网上各种各样的信息进行分类，精确地匹配URL和与之对应的页面内容。通过对各种分类列表数据的更新维护，保持分类的有效性。常见的评价URL分类数据库的原则有：数据库的生成、数据库规模、数据本地化、数据库更新、基于预分类列表等。第四、在网络应用管理方面，要能对日益更新的网络应用做适时有效、高效的追踪。基于网络应用协议的数据库维护，提供了一种高效、全面的解决办法。通过对各种网络应用的协议分析，特征值、端口等重要信息的跟踪更新，确保对各种网络应用的准确控制管理。和URL数据库一样，网络应用协议分析数据库同样对本地化有着很高的要求。不了解产品服务面向群体的特点的产品，其功能也只是形同虚设。第五、提供清晰直观的监控记录和灵活多样的数据统计报表。支持对访问事件(访问者、访问时间、访问内容、响应动作)的实时监控记录，自定义查找访问者、内容的记录、根据记录生成直观的统计数据等。帮助校园发现互联网访问趋势，了解校园内部互联网的使用情况。1.4 网康科技在互联网访问行为管理领域网康科技有限公司(NetentSec,Inc.)成立于2004年，是由美国风险投资、资深的金融管理专家以及在世界知名高科技公司工作多年的技术专家在美国共同创立的高科技企业，致力于网络内容安全的技术研究、产品开发及设备应用。公司致力于从事网络安全技术的研究开发及产品应用，以信息安全为基础，互联网资源访问控制技术为手段，结合其它智能信息技术提供多领域、跨行业的互联网信息安全管理与控制服务。2005年7月，网康科技正式发布其自主研制的内容安全产品“网康互联网控制网关”，并一举获得了国家科技部“科技型中小企业技术创新基金”和“中关村科技园区技术创新专项资金”两项基金，属于国家级创新科技项目。网康科技获得了安全行业多项荣誉，包括：中国互联网协会、网络营销工作委员会和天极网共同颁发的“2005年度企业信息化应用优秀解决方案奖”，《计算机世界》颁发的“最值得信赖的内容安全产品品牌奖”，《中国计算机报》颁发的“2006中国信息安全内容能够产品用户推荐奖”等。二、客户需求分析2.1 应用环境及现状分析原始网络图网络概况说明： 客户原始网络如图1所示，8802做为路由核心设备，三条出口分别为：互联网200M，教育网50M，城域网：1G。但是随着医科大网络互联网应用的复杂特别是P2P的应用对网络带宽产生巨大的压力导致正常应用无法使用，8802的无法做的细粒度流量管控；因此，改善网络运行状况势在必行，医科大需要专业的流控设备来保障核心业务的稳定运行；2.2 项目需求归纳及可行性分析针对项目背景中所描述的各项威胁，广西医科大学也面临同样的窘境，其互联网管理需求如下：2.2.1主要需求：带宽管理（1）对核心业务带宽做保障（2）限制占用带宽严重的非法应用带宽2.2.2潜在需求：高校校园网普遍且必要的需求1、 不健康站点管理（色情、病毒、违反法律等高风险网站的访问）2、 BBS上的负面信息管理，法律风险规避3、 邮件内容健康审计及管理4、 虚拟网游，非业务性应用管理5、 病毒管理，防止WEB方式的钓鱼式攻击6、 有效监控，审计教育网群体中的网络行为个案，发现问题。7、 对异常流量和突发流量能够及时发现且预防，防止出口带宽资源被占满，丢包断网的状况发生导致互联网服务质量严重下降。三、网康科技互联网访问行为管理具体解决方案3.1 方案简介及其体系网康科技通过建立一套完整的安全体系，为用户提供完善、快速、低维护成本的产品售后服务。作为软硬件一体的设备，用户单位可以结合自身的需要，度身定制互联网访问行为管理策略，一经部署到网络环境中，即可使用。产品通过互联网进行URL/PROTOCOL数据库的更新和NSOS系统软件的升级。系统构架图如下：工作流程是通过网康自主研发的内容分类搜索引擎，在互联网上进行区域性的URL抓取，着重针对中文网站，强调数据本地化。经URL智能分类分析系统，对抓取到的URL进行有效性校验和内容分类匹配，导入数据库。此外，网康公司成立有专门的URL数据分类审核小组，负责对URL分类结果做校验审核，进一步确保分类的准确性。同时，针对中国地区常见的网络应用进行协议专项分析，包括IM即时通讯、P2P下载、流媒体，在线游戏及股票软件等应用，及时将最新的协议应用变化更新到PROTOCOL数据库中。另外，通过对系统软件的升级，用户可以及时地体验到产品最新的功能和性能。确保产品始终处于最完备、稳定和优化的状态。目前，网康核心数据库从规模和准确度来说，已经达到国内领先的水平。3.2 网康互联网访问行为管理解决方案的技术可行性分析 采用软硬件一体设备可以简单地部署、方便地安装，即插即用，极少的管理维护成本 专用的NSOS系统，保证了整个系统的安全、健壮和高效 采用URL预分类方式保证在精确识别访问内容的同时提供了高性能的处理速度 基于应用协议特征码来精确识别各种应用，可以对P2P、流媒体、即时通讯、股票软件及网络游戏等各种网络应用实现灵活性的管控策略 基于用户策略的控制方式可以根据用户、时间、应用实施不同的动作，完全顺应校园的管理政策 采用透明网桥的部署方式可以不影响原有网络环境，无漏处理，有效阻断TCP、UDP连接，实现互联网访问的完全控制 给用户提供专业的流控功能，可以针对各种应用协议、或用户做带宽保障或限制；相对国外的流控产品，网康产品的流控更符合中国人的使用习惯，且具有相当高的灵活性，为校园网的流量管理需求提供了技术实现的保障。3.3网康NSICG的功能实现目前广西医科大学的上网行为管理需求，通过部署网康人自主研发的的NSICG产品将能够得到充分的满足。网康针对广西医科大学的教育网可以供如下解决方案：1、 根据管理层的方针制定带宽保障策略，确保核心应用，关键应用的网络畅通。同时管理，控制，阻塞不良的应用，释放出为此浪费的带宽。限制这些资源滥用的同时也避免了教育机构处碰法律红线的可能。2、 依托中国的国情，法律，人伦理念有效的管理，控制，监控网内对色情，暴力，反社会，以及诸多教育体系所不希望涉及的网络站点的访问。3、 有效的管理，控制，监控国内流行的各种被教育行业定性为非健康行为的应用，及时地使学生摆脱空无的虚拟世界。4、 采取基于对象的上网行为控制，可有效的根据教育机构的人员，部门等信息灵活的制定基于使用人/部门，时间，内容，带宽分配等要素组成的策略，5、 针对教育网内外的BBS进行监控，及时控制教育网体系内部的不良信息的外发，并可追根朔源找到信息的源头。6、 针对教育网内外的Email，webmail，IM等应用进行内容监控，管理，及时控制通过这些途径散布不良信息，并可追根朔源找到信息的源头。7、 可有效的避免教育网内的用户访问存在病毒，木马，钓鱼攻击的站点，从该层面减少教育网内部的病毒来源，减少病毒和木马的泛滥。8、 可迅速定位网络中异常流量或突发流量产生的故障，能够针对这种情况做好预防并产生报警信息给管理员，保障网络的高质量运行。9、 可根据需求随时回溯以往几个月内的上网信息，给相关的安全定位工作提供可靠的，有效的依据10、 定期生成教育网内部的统计信息，报表，规范化输出针对内容管理的报告，通过各个机构及时沟通取长补短，共同完善内容管理行为，形成自管理层到操作层面的精神统一，行为一致。四、项目方案建议4.1方案指导思想4.1.1管控策略建议 对核心应用，如HTTP、视频会议或对外提供服务的服务器做带宽保障； 对占用网络资源严重的非法应用限制其使用带宽； 启用网康ICG的防护功能，对异常流量进行防护和告警； 对高风险网站做屏蔽，防止钓鱼式攻击的终端及网络产生的危害； 启用发帖审计，并对敏感关键字做屏蔽并告警，规避法律风险；4.1.2定期汇报报表信息中心定期审计，网康提供递进式的查询统计功能，为用户快速地定位网络问题提供了很好的手段，同时网康ICG给用户提供了用户上网报告、流量分析报告、用户排名报告、应用排名报告、时间走势报告等多达几十种的报告，为医科大的信息部门分析校园网使用状况及制定针对性的IT决策提供了有力的现实依据，同时将使信息部门的工作成果得到真实的体现。4.2部署方案网络结构网康ICG上网行为管理方案拓扑4.3部署方案说明4.3.1、考虑在医科大原有网络不改变的情况下改善网络带宽的应用，目前医科大网络有三条出口，分别为教育网50M，INTERNET网200M，城域网1G。网康给客户提供一台高端的NS25000设备部署在核心交换和路由直接；4.3.2、在8802路由器的后端部署网康设备，网康采用桥接的部署方式，开启网康的流控功能以满足广西医科大学的流控需求，同时网康还可提供给用户更多的上网行为管理方法及实现策略；4.3.3、网康的流控功能有一些特色的地方在于网康对网络应用识别的丰富性和细致性，不同于一般流控产品仅仅是粗线条的管控，而是针对校园网用户的实际网络应用，提供性价比最优带宽管理功能，其严密性及灵活性更符合中国校园网尤其是高校的使用需求；4.3.4、其次，网康支持软硬件的BYPASS功能，能够很好地避免断网事故的发生，打消用户对单点故障的担心，对网络运行的稳定性几乎无任何影响；4.3.5、同时，网康提供的这种上网行为管理方案是从用户的角度及网康对高校校园网实际上网行为管理的实际需求出发的，力争给信息部的老师提供一个完善的解决方案；因为，我们认为8802单独做为路由处理路由转发和网康NSICG单独实现流控功能的组合要比任何形式的类UTM产品在单一产品上实现多功能的运行性能更优；4.3.6、同时，单一的流控产品也存在单点故障的问题；因此，流控功能实现的灵活性和网络运行的稳定性是客户更为关注的，且整个上网行为管理功能实现校园网的扩展性管理，则更好地完善了用户校园网的管理需求。五、广西医科大学校园网上网管理在部署网康后通过部署网康的上网行为管理，广西医科大学校园网必将学校的互联网管理需求落到实处并得以很好地实现：1、 合理优化教育网的各级出口带宽，保障核心教育业务的顺利开展，杜绝网络资源滥用。2、 解决异常流量和突发流量故障定位慢、定位难的问题，杜绝网络频繁断网的事故发生。3、 教职工，学生的健康上网，绿色上网。4、 协助医科大信息部门帮助学生摆脱网瘾。5、 使教职工专注于教育事业，减少非业务性的网络应用6、 减少教育网病毒的入口点，控制病毒在教育网的流行。7、 减少各种负面信息的发布，散播，消除这些信息的晕轮效应，8、 及时监督，审计网内的上网行为，给上网络监察部门及家长一个满意的汇报。预期展望：相信通过以上问题的解决，校园网的运行质量将得到很大的提高，同时也会增强校园网运行的稳定性，校园网必将成为向广大教职工和学生充分提供健康内容的媒介，学生们更能无忧无虑的在网上遨游。广西医科大学下属的各个机构可以顺利的开展各项基于网络的教学工作。信息部门的管理和决策工作将更加迅捷有效。管控、洞悉、驾驭自己的互联网，还校园网络一片纯净的天空，是网康人对中国教育的一份回报，也是对教育网管理的一个真诚承诺。对重要业务流量保障策略：P2P应用被限制在指定的带宽范围里：重要业务流量保障：网站统计：六、网康科技资质网康科技自成立以来，先后获得了一系列资质认证，包括高新技术企业证书、双软认证、软件著作权登记证书、公安部销售许可证和公安部检测报告等。 七、网康科技典型案例中国人民大学中国人民大学共有学生及教职员工数万人，拥有数千台计算机设备和多台网络连接设备，楼宇之间用千兆光纤连接，各楼宇内部百兆连接到桌面。教学楼、办公楼、学生机房、宿舍、阅览室全部连通，均可连通互联网。中国人民大学老师、学生使用该网络来交换工作文件，其中包括电子邮件、图形、文档及备课资源等。中国人民大学选择并部署了网康互联网控制网关NS15000设备，可支持到10000用户访问互联网。NS15000设备部署在防火墙和三层交换机之间，采用网桥部署模式，可以对访问互联网的所有用户进行管理和监测。中国民生银行客户简介中国民生银行于1996年1月12日在北京正式成立，是我国首家主要由非公有制企业入股的全国性股份制商业银行，同时又是严格按照《公司法》和《商业银行法》建立的规范的股份制金融企业。多种经济成分在中国金融业的涉足和实现规范的现代企业制度，使中国民生银行和其他商业银行，而为国内外经济界、金融界所关注。截至2007年12月31日，中国民生银行总资产规模达9198亿元，实现净利润63亿元，存款总额6530亿元，贷款总额（不含贴现）5203亿元，不良贷款率1.22%，保持国内领先水平。用户网络拓扑图在以下28个分支机构部署NS-ICG中国民生银行总行北京管理部上海分行广州分行深圳分行武汉分行大连分行南京分行杭州分行昆明分行苏州分行青岛分行温州分行厦门分行泉州分行汕头直属支行3个二级子单位石家庄分行重庆分行西安分行福州分行济南分行宁波分行成都分行天津分行中国船级社客户简介中国船级社(简称CSS)成立于1956年，是中国唯一从事传播入级检验业务的专业机构。中国船级社是国际船级社协会（IACS）10家正式会员之一，并先后与1996年至1997年、2006年至2007年担任IACS理事会主席。CCS最高船级符号被伦敦保险商协会纳入其船级条款，享受报废优惠待遇。截至2008年6月，CCS接受28个国家或地区的政府授权，为悬挂这些国家或的确的船舶代行法定检验。CSS还是国际独立油轮东协会（INTERTANKO）和国际干散货船东协会(INTERCARGO)的联系会员。CSS在国外设有逾60家检验网点，形成了覆盖全球的服务网络。截至2008年7月24日，CSS船队总搜数2029艘，2728万吨。用户网络拓扑图在以下43个分支机构部署NS-ICG大连分社上海分社天津分设青岛分社秦皇岛分社南京分社海南分社福州分社武汉分社重庆分社广州分社舟山办事处温州办事处连云港办事处宁波办事处烟台办事处镇江办事处江阴办事处南通办事处芜湖分社厦门分社泉州办事处宁德办事处九江办事处宜昌分社黄石办事处涪陵办事处万州办事处湛江分社深圳分社汕头办事处香港分社大阪分社欧洲区域中心纽约办事处新加坡办事处澳大利亚办事处釜山办事处雅典办事处汉堡分社巴塞罗那办事处米兰办事处伦敦办事处网康科技ICG上网行为管理解决方案网康为中国船级社每个分社分别部署一台网康ICG设备，进行分布管理，有效地帮助用户管理上网行为，具体管控策略如下：1、全天候禁止访问企业定义的非法网站2、部署了网康全景集中管控中心平台3、通过策略禁止IM即时通信的文件传输4、阻塞了网页型病毒及启用了防护设置5、建立多级贷款通道八、网康教育行业用户一览表大连沙河口教育局金山职业技术学院北京农学院吉林省农科院怀柔教委高教出版社国家测绘局中国人民大学北京大学附中北京工业大学北京101中学贵州省农科院北京机械工业学校山西省太原市第十二中学甘肃酒泉市金塔中学江苏省泰兴第一中学中国地质大学附中北京昌平一中北京市育英中学北京信息工程学院附中HYPERLINK"/case/case/news