基于上網行為管理的數字化校園網絡安全部署——以寧波市職教中心學校為例

☆ 蘇東偉

（寧波市職教中心學校，浙江寧波 315041）

一、數字化校園的框架設計

1990年，凱尼斯·格林（Kenneth Green）教授在其主持的“信息化校園”項目中，首次提出“數字化校園”的概念。根據這一概念，筆者認為數字化校園的結構如圖1所示。

圖1 數字化校園的結構

從圖1中可以看出，數字化校園以“數字化設施”和“網絡”作為硬件基礎，通過開發應用軟件，對與學校教學管理各項工作相關的“數據”和“信息”進行數字化的處理，使處理后的數字資源得到充分的優化和利用。筆者認為一個完善的數字化校園應用體系一般由基礎數據庫體系、基礎應用體系和教育應用體系三部分構成（如圖2所示）。

圖2 數字化校園網絡應用體系

在上述體系中，“教育應用體系”是整個數字化校園應用的核心，它包含“教學、管理、資源、交流”四大部分，以寧波市職教中心學校為例，建設數字化校園的整體框架如圖3所示。

圖3 寧波市職教中心學校數字化校園框架

學校以“寧波市信息技術學校”特色為基礎，以國家級重點示范專業為依托，結合新課改全局考慮研究形成智慧型管理理念，初步架構學校組織智慧管理框架，規劃數字化校園建設方案，確立“智慧型”學校發展目標，即實現信息基礎設施和實體基礎設施的高效結合，利用網絡技術和IT技術滿足Internet、移動計算機、移動電話以及師生員工家長在任意時間、任意地點、任意方式的訪問及應用，充分整合家庭、社區、學校的教育資源，建設具備開放性、互動性，規模較小、布局緊湊、效益較高的智能化管理的“智慧學校”。

學校從2010年開始對學校網絡進行整改，根據學校的網絡環境和實際應用，先后采用防火墻技術、上網行為管理來加強校園網的安全，以解決來自內外網的各種威脅，保障學校的各項數字化教學管理工作安全、高效的運行。

二、防火墻的部署設計

防火墻技術是目前最主要的一種網絡保護技術，而采用該技術的網絡安全系統叫做防火墻系統。從廣泛、宏觀的意義上說，防火墻是內聯網絡與外聯網絡之間的一個防御系統。它通過限制內聯網絡與外聯網絡之間的訪問來防止外部用戶非法使用內部資源，保護內聯網絡的設備不被破壞，防止內聯網絡的敏感數據被竊取，從而達到保護內聯網絡的目的。

（一）設計原則

學校按照以下原則進行防火墻的部署，以增強校園網的安全性。[1]

（1）規劃正確的安全過濾規則，嚴格禁止來自公網對校園內部網不必要的、非法的訪問。

（2）防范源地址假冒和源路由類型的攻擊，防止內部網絡發起的對外攻擊。

（3）在防火墻上建立內網計算機的IP地址和MAC地址的對應表，防止IP地址被盜用。

（4）定期查看防火墻訪問日志，及時發現攻擊行為和不良上網記錄。

（5）允許通過配置網卡對防火墻設置，提高防火墻管理安全性。

（二）實施方案

學校原校園網絡拓撲結構如圖4所示。

圖4 寧波市職教中心學校網絡拓撲圖

圖5 部署防火墻后該校的網絡拓撲

寧波市職教中心學校校園網分為“服務器群”、“各樓層辦公區”、“5號樓機房”（計算機實訓大樓）三個功能區，機房大樓通過一臺三層交換機和路由器與其他功能區隔離，整個校園網通過S6506核心交換機匯聚，并由R2600路由器接入互聯網。

根據防火墻的功能特點，將防火墻部署在R2600路由器外部（如圖5所示）。這樣，可以過濾進出整個校園網的數據包，并通過配置相關的安全策略對防火墻系統進行監測和維護。

1.主要從以下幾個方面進行策略配置

（1）禁止非法IP地址由本校路由訪問Internet。

（2）針對服務器群和其所在的子網，禁止除本身服務和基本服務外的其他所有協議和端口，以特別保護服務器群的重要數據和資源，獲得最大的安全性。

（3）如有最新的IP訪問信息，利用字符匹配等方法確定其合法性，如為非法訪問，則列入禁止列表。

2.防火墻系統的監測和維護

在合理配置了防火墻的安全策略后，開啟監測網絡流量的功能，并對流量進行分析，對于異常流量應特別關注并及時分析處理。另外，還需要及時做好對防火墻的日志備份，以備以后進行日志審計和查詢。[2]

我校在實際工作中根據網絡結構的變化，密切關注校園網和學校工作所出現的新情況，及時調整并優化已有的防火墻策略，以確保其在校園網中發揮更好的安全作用。

三、上網行為管理的部署與應用

隨著網絡環境的改善，信息化建設及網絡應用也不斷發展并逐步完善。在享受Internet所帶來的巨大便利的同時，也產生了一些負面影響，學校面臨著來自內部教職工、學生不規范的上網行為所帶來的種種問題。[3]

（1）帶寬管理問題。在工作期間，學校有相當部分的教職工登陸與訪問工作需要外的網站，從而占用了整體的帶寬資源，也暴露出學校網絡在規劃上帶寬分配不合理的問題。

（2）工作效率問題。盡管學校有相關制度約束教職工的勞動紀律，但是，網絡聊天、上網炒股、淘寶購物等目前非常普及的網絡應用還是很難通過人工手段進行管理，嚴重影響工作效率。

（3）法律追究問題。個別人員通過網絡由學校內部發送數據，對社會事件或相關人員進行毫無根據地指責乃至人身攻擊，有些甚至違反國家相關的法律規定，盡管為數不多，但對學校形象所造成的影響是極為惡劣的。

上述的這些問題，通過架構防火墻系統是不能解決的。因此，我校在出口架設了上網行為管理設備（深信服M5900－AC），并根據校園網運行容量和設備特性替換了原先的防火墻和R2600路由器，以此來合理利用帶寬，提高工作效率并達到監管與審計的目的，構建信息安全和穩定的教育教學環境。

（一）原則和理念

在選擇上網行為管理系統時，我校遵循了以下原則。

1.可靠性原則

應該具備海量數據的處理與容錯能力，具有較強的性能，以確保在意外情況下不出現單點故障，保障網絡的正常運轉。

2.可擴充性原則

具有一定的可擴充性和前瞻性，能夠根據學校未來幾年的發展需要提升功能，設備的廠商和供應商能提供相應的技術升級。

3.可管理性原則

考慮到日后的維護管理工作，應能夠提供有效的監控管理方式，使網絡管理員能夠在不中斷系統運行的情況下對網絡進行修改，從而達到網絡管理的最優化和集中統一化。

4.實用性原則

采用的設備和部署的方式，應有教育行業成功案例的經驗，以證明其產品和技術的成熟可靠，設計結果能滿足教育行業客戶的需求并且行之有效。

（二）上網行為管理系統在校園網中的部署

根據不同的網絡環境，上網行為管理系統具有多種不同的部署方式，以深信服M5900－AC為例，主要有三種部署方式：網橋模式、網關模式、旁路模式。

結合學校目前網絡用戶的數量，寧波市職教中心學校采用網關模式并替換了原先的防火墻和路由器，其拓撲結構如圖6所示。

圖6 寧波市職教中心學校目前網絡拓撲圖

M5900－AC設備兼具有路由功能，并且同時能對進出校園網的數據進行監測，根據校園網的實際安全需求采用了上述的拓撲結構。通過近三年的實際運行，校園網運轉正常，教職工的上網行為也得到了一定的規范和改善。

（三）上網行為管理系統在校園網中實施

根據有關政策和學校實際工作，我校利用上網行為管理系統大致實現了如下功能：

1.設計Web訪問過濾

通過上網行為管理設備進行互聯網網關控制，根據業務需要制定Web訪問策略，將非業務信息擋在門外（如圖7所示）。

圖7 策略對象列表

2.進行互聯網審計[3]

制定互聯網活動審計策略，實時掌握互聯網使用狀況，根據用戶、時間、應用、帶寬、外發信息等的監控記錄生成各種統計報表和圖表（如圖8所示）。

圖8 上網行為查詢結果

3.加強帶寬流量管理

通過帶寬分配策略，對上網用戶的時間段、協議規則、對應的優先級等設定監控報警，合理利用寶貴的帶寬資源（如圖9所示）。

4.進行應用控制

根據學校管理的需要，不僅通過相關制度進行約束，更可以對一些工具軟件的上網行為和記錄進行監控和管理，以施行時間、部門、人員的差異管理方式（如圖10所示）。

圖10 上網行為管理應用程序監測與控制

四、上網行為管理與防火墻系統的比較

表1列舉了上網行為管理和防火墻的主要區別，通過在實際工作中的應用和比較，對于中學來說，內網用戶因為上網行為不規范而帶來的問題，比來自外網的攻擊更加影響網絡安全。因此，采用具有路由功能的上網行為管理系統能較好地解決校園網的實際安全需要。

表1

五、小結

本文主要分析了數字化校園建設中校園網的重要性，從而說明構建校園網絡安全的必要性，并且結合寧波市職教中心學校在搭建網絡安全系統的實際工作，較為詳細地比較了防火墻和上網行為管理系統在校園網安全方面的應用和所發揮的作用。

[1]黃春雨.校園網網絡安全及防范技術[D].碩士學位論文.長春理工大學,2009.

[2]伍星.防火墻技術在校園網絡安全管理中的應用研究[J].科技信息,2011,(10).

[3]趙磊,戰瑩.上網行為管理系統在蘭州石化公司的應用[J].網絡通訊及安全,2011,(3):534－535.