1、- 1 - 中小学校园上网管理系统 给孩子们一片绿色上网天空 项 目 建 议 书 - 2 - 目 录 一应用背景 . 3 二教育网络普遍存在问题 . 4 2.1 现状 : . 4 2.2 存在问题: . 5 三系统整体架构和方案 . 6 3.1 系统设计原则 . 6 3.2 建设目标 . 6 3.3 系统方案 . 7 四基本工作原理 . 13 4.1 网络信息过滤技术的分类 . 13 4.2“过滤王”名单分类生成原理 . 13 4.3
2、旁路侦听过滤工作原理 . 14 五产品主要功能及特点 . 15 六公司简介 . 21 - 3 - 一应用背景 近年来,随着我国网络技术的不断发展以及网络基础设施的完善, 互联网已经成为目前发展最快的主要社会媒体,并有逐步替代和超越传统媒体(如报纸、电视、广播等)的趋势,将成为社会主流的信息媒介和广告平台。 据中国互联网络信息中心公布的数据, 截止到 2004 年 6 月,我国的上网计算机总数已达 3630万台,上网用户总人数为 8700 万人,青少年网民占到了全部网民的 53.5,约4650 多万,占了很大比例。可见 ,互联网在中国正以前所未有的速度高速发展
3、,互联网已经成为了人们工作、生活的一部分。 互联网对青少年有巨大的吸引力,人们可以通过互联网学习丰富的知识、查阅丰富的信息,提高生活的质量。但由于互联网的开放性及网上信息优劣参差不齐,使得网上各种不良信息也随之泛滥,特别是反动、色情、暴力等有害信息极大地危害着社会的稳定和青少年的身心健康,而法轮功邪教组织、民运分子、各种敌对势 力也利用这一舞台,对我国进行各种宣传攻势和渗透演变。人们在享受网络技术的同时,也对网上不良信息对人们的负面影响产生了担忧。特别是在中小学校, 由于上网学生年龄较小,好奇心强,容易受到不良信息的影响, 这些有害信息通过电子邮件、论坛、留言板、网页等途径流传到校
4、园内,给学校的信息网络安全带来极大冲击。 所以加强网络管理,采取有效的技术手段防止学生访问有害网上信息是每一个上网学校的重要问题。 按照国家教育部颁发的全国教育事业“十五”计划中“校校通”工程的计划, 用 5 到 10 年时间,加强信息基础设施和信息资源建设,使全国 90%左右独立建制的中小学校能够与网络连通,使每一名中小学师生都能共享网上教育资源。 目前许多学校都已建成或正在建设校园网,校园网都与教育城域网或与INTERNET 连接,实现了校园内电脑对 INTERNET 网信息的访问。但许多学校对网络有害信息的危害认识不足,没有采取有效的防范措施,使学生很容易访问和接触到网上有害
5、信息,影响身心的健康发展;而有的学校由于惧怕网上有害信息,禁止学生访问互联网,使学生失去了使用网络的机会;有的学校则采取只给学生访问指定的网站,其他的一概不许访问,这又失去互联网的最大优点(能在全球范 围内查找和使用信息的优点)。针对日趋严峻的网络安全形势,国家公安- 4 - 部、教育部、文化部、信息产业部等几大部委联合颁布了一系列针对危害公共网络信息安全的法律法规文件,通过开展专项整治活动打击了各种有害信息传播蔓延。教育部从 2002 年起颁布了教育部关于对校园网信息专项清理整治工作的实施意见(教社政 20025 号),其中明确指出“各级各类校在加强对学生教育管理的同时,要采取在校园网上安装
6、过滤软件等技术措施,确保网络信息安全”,对目前中小学校园网日益凸显的网络信息安全问题提供了政策层面的指导,为彻底根治顽疾开 出了一副良方。 另外,由于前期校园网的建设主要关注硬件及应用软件系统,而对校园网络的安全关注和投入较少,系统连接互联网后容易受到外来黑客的攻击,所以必须采取网络安全防护措施,保护校园网络的安全。 网络安全以及网络信息安全管理正成为学校管理者和公共信息网络安全监察部门的重要任务,而目前教育网对互联网信息安全的审计和管理较为薄弱,校园网络信息安全管理的落实必须与教育主管部门配合,共同落实,共同营造校园健康上网新环境,为此,我们提倡建设教育网信息安全管理
7、平台,平台建设的主旨是以法律为依据,在统一的中心控制和管理平 台下,完成对下级互联网用户的安全、审计管理。 二教育网络普遍存在问题 2.1 现状 : 教育局的网络中心:做为教育网的中心,为学校“校校通”提供互联和信息资源中心;一般有电信宽带和教育科研网两个出口,各级学校通过这两个出口访问互联网及教育科研网; 各级中小学的校园网:学校建有自己的校园网,可以通过教育网络中心出口访问教科网和互联网;同时,各学校也通过电信宽带接入互联网。 各级学校基本没有安装防火墙、信息过滤系统等安全设备,校园网络呈半开放状态。 网络概况
8、如图: - 5 - 2.2 存在问题: 作为教育网总出口,没有安 装信息过滤系统保护,学生上网完全自由,互联网信息畅通无阻,各类反动、色情、暴力等有害信息极大地危害校园网络健康,这些有害信息通过电子邮件、论坛、留言板、聊天软件、- 6 - 文件传输、网页浏览等载体蔓延,令学校管理者防不胜防; 有电信互联网出口的学校网络,没有防火墙和过滤系统,缺乏必要的网络信息安全保护,有害信息和黑客非法攻击可以长驱直入,校园网毫无安全可言; 学校上网缺乏管理,无法控制不同单位、不同身份的人使用网络资源,对上网情况无从了解,缺乏必要有效的控制手段,尤其是作为
9、核心管理部门的教育局网络信息中心,对各种漏洞 和问题更是无处下手,对网络出现的危害信息缺乏收集机制及处置措施,往往到出事时才亡羊补牢。 上网主体是未成年的中小学生,自制力差、分辩是非能力有限、容易受外界引导,在网络有害信息泛滥的形势下,迫切需要强有力的保护伞。 三系统整体架构和方案 根据教育网的现状和存在问题,建议采用“过滤王”校园网络信息安全防护整体解决方案,以达到最佳的安全及性能效果。 3.1 系统设计原则 整体系统的设计原则:分布控制、分级管理、集中审计。 分布控制:在教育网络中心总出口和各学校网络电信宽带出口安
10、装过滤系统,实现两级安全保护和有害 信息过滤,细化到对每台电脑终端的控制和管理。 分级管理:按教育网络中心网管和校园网网管两级权限进行分级管理。 集中审计:在教育局设置信息审计中心,以便对全市 /区学校上网信息进行集中审计和告警管理,提高管理效率。 3.2 建设目标 实现:有害信息过滤、网络安全防护、访问控制管理、信息内容审计和日志统计查询等综合校园信息安全建设的目标。 建立完整的内外网防护机制,在教育网总出口设置高端的信息过滤系统,- 7 - 对流入的互联网信息进行高效准确过滤,同时阻断向外网散布有害信息,最大限度净化网络资源
11、;针对有电信宽带出口的学校,可 选择在出口网关处架设网关型过滤服务器,实现基本防火墙和强大有害信息过滤功能;也可选择安装纯软件过滤系统,实现信息过滤功能;保护校园网络内网络和信息的安全; 采用分级分布控制方式,由教育局网络中心出口的防火墙和高端过滤服务器控制各学校上网访问控制策略,再由学校网络电信出口的过滤系统控制校园网内电脑的访问控制策略,保证信息的安全和网络资源的有效利用。 通过两级信息安全系统,自动采集所有终端的上网日志,通过导入数据库生成历史备份,利用报表管理工具可随时查询分析,为网络管理员了解网络状况、调整上网策略提供依据。 在 教育网络中心
12、设置审计中心,对进出教育网的信息内容进行审计,系统会智能分析处理违规的上网行为,自动阻断各类有害信息的传播,并及时发出告警,减少网管人员的工作负担,提高处理效率。 通过实施综合完善的信息安全系统,提高整个教育网络的整体安全性。 3.3 系统方案 根据总体设计原则和目标,采用捷朗菱网络科技有限公司的“过滤王 ” 校园网络信息安全整体解决方案 ,在教育网总出口安装 FG3000 高端过滤系统,在各学电信宽带互联网出口安装低端过滤系统(可选硬件或纯软件),同时在教育网络中心安装信息审计系统,实现对所有上网信息的审 计,提高整体安全性能。整体部署拓扑图如下: &n
13、bsp;- 8 - 3.3.1 教育网总出口的安全设计 在教育网的总出口,承担着所有学校和教委师生的上网任务,数据流量非常大,安全性和稳定性要求非常高,所以对该节点的安全系统性能要求很高,不能因为安全性的要求提高而降低网络和应用的性能,所以教育网整体安全系统设计的关键点和难点也在这。我们建议采用一套 FG3000 高端旁路过滤系统,实现信息过滤和监控的作用,该点包括过滤服务器、控制台、日志报表管理器 3 部分- 9 - 组成。 在教育局信息中心核心交换机上设置一个镜像端口,连接一台高性能过滤服务器 FG3000(硬件),对通过总出口的数据包进行监控和过滤,拦截用户对有
14、害信息的访问和有害信息的传播; FG3000 过滤服务器采用旁路侦听过滤工作方式,可 满足千兆网络上万同时在线用户 教育网总出口 的要求, 安装方便,对现有网络,无需改变系统网络结构,不影响网络用户配置; 旁路方式不影响网络流量,支持无限大并发连接数,不会成为网络瓶颈,不会增加任何网络延时和掉包, 即使系统出现故障,也不影响整个网络的正常运行,保持用户系统原有的带宽和效率不变。系统采用的旁路过滤技术和黑名单过滤技术代表了国际最先进的过滤技术,是一般过滤软件和网关过 滤系统无法比拟的,支持千兆教育网和城域网,满足教育网未来发展的需要。主要功能:完成互联网访问数据的侦听,过滤有害信息,
15、按访问控制策略对上网学校进行集中管理,记录访问日志,上网身份集中验证。 控制台软件安装在网络中心局域网内任意电脑上,采用 C/S 模式提高过滤系统的安全性, GUI 界面方便管理员操作。实现对过滤服务器的规则设置和管理,制定各学校及每台电脑的访问控制策略,同时监控网络运行,显示各类系统状况信息和用户实时上网信息。 日志报表管理系统安装于网络中心局域网内任意电脑上,通过从数据库下载用户历史访问记录,同 时对节点学校上网访问记录进行查阅、统计、分析、生成多种报告,管理员可以根据统计报告提供的信息,分析出各节点学校对互联网的访问情况,以便调整访控制策略,从而实现对上网学校
16、访问互联网的有效管理。 3.3.2 中学校园网信息安全设计 中学教育已经与计算机信息教育紧密结合,网络知识教学已成为中学生必修课,互联网成为学生获取知识的重要途径;中学是基础教育最后一个阶段,作为未成年人的中学生自制力较差,判断是非能力有限,净化网络信息尤显迫切。中学校园网建设普遍处于发展阶段,网络规模不大,计算机数量在数百台左右,除- 10 - 接入上级教科网,另 外开通了电信宽带直接接入 INTERNET, 通过路由上网。安装防火墙的仅占少数,同时各学校网络出口的数据流量都不大,网络结构也较为简单,学校经费较宽裕,有一定自主采购权。所以我们建议采用带基本防火墙功能的
17、 FG3000 低端网关型过滤系统,安装在每个 校园网的电信宽带出口网关处,同时实现网络安全防护和信息过滤功能,硬件过滤网关性能出众,有最佳的性价比。系统 包括 FG3000 网关型过滤服务器、控制台、日志报表管理器 3 部分组成。 对各所中学,在电信宽带出口处嵌入一台 FG3000 低端过滤网关,实现安全防护、信息过滤、访问 控制等功能。既能抵御外网对校园网内主机的非法攻击,同时对进出校园网的数据包进行监控和过滤,拦截用户对有害信息的访问和有害信息的传播。可选择网关和透明网桥方式进行安装。 FG3000 过滤网关具有基本的防火墙功能,能实现 IP 包过滤、 NAT地址转换、防
18、DoS 攻击等功能,保 护整个校园网主机和终端的安全;FG3000 过滤网关采用高性能软硬件一体化结构设计,基于 LINUX 内核的 WebRoad 操作系统具有性能稳定可靠、执行效率高等特点,配合优化的“黑名单”过滤模块, 在实现基本防火墙功能的同时达到了高效的过滤性能。系统能处理 百 /千兆吞吐量,支持 20 万以上的并发连接,延时小、掉包率低,对网络性能影响小。 控制台软件安装在校园局域网内任意电脑上,采用 C/S 模式提高过滤系统的安全性, GUI 界面方便管理员操作。实现对过滤服务器的规则设置和管理,制定每台上网电脑的访问控制策略,同时监控网络运行,显示各类系统状况信息和用户实时上网信息。 日志报表管理系统安装于校园局域网内任意电脑上,通过从数据库下载用户历史访问记录,对学校各节点上网访问记录进行查阅、统计、分析、生成多种报告,管理员可以根据统计报告提供的信息,分析出学校信息点对互联网的访问 情况,以便调整访控制策略,从而实现对信息点访问互联网的有效管理。 3.3.3 小学校园网信息安全设计 小学教育属于启蒙教育阶段,学生接触互联网较少,网络主要服务于办公和