邢雪梅 劉劍鋒

中國(guó)藥科大學(xué)現(xiàn)代教育技術(shù)中心 江蘇 210009

0 前言

隨著數(shù)字化校園建設(shè)的不斷深入，校園網(wǎng)已經(jīng)成為高校教學(xué)、科研、行政管理各方面工作的重要載體和必備工具。與此同時(shí)，如何確保網(wǎng)絡(luò)安全已經(jīng)成為校園信息化進(jìn)一步發(fā)展的頭號(hào)難題。目前，高校的校園網(wǎng)用戶群體數(shù)量越來(lái)越龐大，很多用戶具有較專業(yè)的技術(shù)水平和網(wǎng)絡(luò)知識(shí)，這給校園網(wǎng)的安全帶來(lái)了很大威脅。所以上級(jí)網(wǎng)絡(luò)管理部門曾多次下文說(shuō)明在內(nèi)網(wǎng)對(duì)用戶的審計(jì)和管理的重要性。

1 目前校園網(wǎng)安全存在的主要問(wèn)題

1.1 無(wú)法控制校園網(wǎng)用戶在外網(wǎng)發(fā)表反動(dòng)言論

學(xué)生是一個(gè)思想活躍但并未成熟的群體，很容易受到煽動(dòng)、誘導(dǎo)，從而產(chǎn)生偏激情緒，制造或傳播一些反動(dòng)言論。互聯(lián)網(wǎng)充斥著形形色色的論壇、博客、留言板等，并不需要實(shí)名認(rèn)證。如果有學(xué)生受一些思想的蠱惑，通過(guò)校園網(wǎng)發(fā)表一些宣傳封建迷信或者反動(dòng)的言論，勢(shì)必給學(xué)校和個(gè)人都帶來(lái)不利的影響。更為頭疼的是，有些學(xué)生具有一定的網(wǎng)絡(luò)技術(shù)，可以修改MAC地址和IP地址、通過(guò)代理服務(wù)器或盜用他人賬戶上網(wǎng)，所以很難查找到責(zé)任人，這樣作為校園網(wǎng)絡(luò)的管理部門，將會(huì)承受很大的壓力。事實(shí)上，這樣的事情在高校已經(jīng)屢見不鮮。

1.2 只重視防范外部的攻擊，而忽視來(lái)自校園網(wǎng)內(nèi)部的攻擊

學(xué)生網(wǎng)絡(luò)用戶是一個(gè)較為特殊的群體，他們?nèi)菀讻_動(dòng)，喜歡冒險(xiǎn)。在高校中，很多學(xué)生特別是計(jì)算機(jī)相關(guān)專業(yè)的學(xué)生，喜歡攻擊校園網(wǎng)內(nèi)的服務(wù)器和外網(wǎng)的服務(wù)器，來(lái)獲得成就感。而高校的安全防護(hù)如防火墻系統(tǒng)、iPS系統(tǒng)都部署到出口上，對(duì)內(nèi)網(wǎng)做的安全防護(hù)極為薄弱。例如筆者所在的學(xué)校安全防護(hù)系統(tǒng)和身份認(rèn)證系統(tǒng)全部放在出口位置上，結(jié)果導(dǎo)致服務(wù)器頻繁遭到黑客攻擊，網(wǎng)站頁(yè)面遭到篡改，數(shù)據(jù)被刪除，服務(wù)器的日志也全部被清空。后來(lái)網(wǎng)絡(luò)管理員利用技術(shù)手段，監(jiān)控兩周多，終于查到了實(shí)施攻擊的黑客，原來(lái)是一名在校學(xué)生。經(jīng)審查，該學(xué)生還對(duì)外網(wǎng)多個(gè)網(wǎng)站實(shí)施過(guò)攻擊，學(xué)校的網(wǎng)絡(luò)機(jī)房的計(jì)費(fèi)系統(tǒng)也早已被黑掉。類似的事情，相信每個(gè)高校都有很多。

1.3 對(duì)用戶訪問(wèn)的目標(biāo)網(wǎng)站缺乏過(guò)濾

(1) 互聯(lián)網(wǎng)上充斥著色情、暴力、反動(dòng)、迷信等不健康的網(wǎng)站，而這些網(wǎng)站，校園網(wǎng)的用戶訪問(wèn)時(shí)，一般在學(xué)校網(wǎng)絡(luò)的層面上并未作任何限制。

(2) 有些網(wǎng)站有釣魚、木馬等惡意代碼，這些網(wǎng)站有可能會(huì)給網(wǎng)絡(luò)用戶的經(jīng)濟(jì)利益帶來(lái)?yè)p害甚至泄露個(gè)人的隱私或?qū)W校的機(jī)密。而作為網(wǎng)絡(luò)用戶個(gè)人很難判斷那些網(wǎng)站是安全的。

(3) 上班時(shí)間，學(xué)校教職工應(yīng)該以工作為主，但多數(shù)高校都對(duì)用戶玩在線游戲、看視頻直播等娛樂(lè)行為束手無(wú)策。

1.4 無(wú)法做到對(duì)P2P協(xié)議的流量控制

迅雷、BT下載行為或某些在線視頻軟件可以輕松搶占有限的出口帶寬。而且高校網(wǎng)絡(luò)用戶數(shù)量龐大，如果不對(duì)這些行為進(jìn)行有效限制，必然會(huì)導(dǎo)致出口帶寬堵塞。筆者所在高校做過(guò)測(cè)試，不對(duì)P2P行為作限制，其占用帶寬可以達(dá)到60%至90%。

2 上網(wǎng)行為管理系統(tǒng)的主要功能

上網(wǎng)行為管理系統(tǒng)正是根據(jù)網(wǎng)絡(luò)安全目前存在的諸多問(wèn)題而產(chǎn)生的。對(duì)于高校來(lái)說(shuō)，目前具有上網(wǎng)行為管理功能的系統(tǒng)很多，每套系統(tǒng)都不一樣，但總的來(lái)說(shuō)都會(huì)有以下功能。

2.1 對(duì)外發(fā)布信息過(guò)濾

可以用設(shè)置關(guān)鍵字等手段，對(duì)校園網(wǎng)的用戶對(duì)外發(fā)布信息進(jìn)行過(guò)濾。這樣可以預(yù)防由網(wǎng)絡(luò)用戶利用校園網(wǎng)發(fā)表發(fā)動(dòng)言論、泄密等違法事件的發(fā)生，也可以立刻通過(guò)報(bào)警和日志追查責(zé)任人。

2.2 威懾黑客攻擊

為了加強(qiáng)對(duì)學(xué)校服務(wù)器、數(shù)據(jù)中心的保護(hù)，可以將上網(wǎng)行為管理設(shè)備部署在學(xué)校服務(wù)器DMZ區(qū)外面，這樣可以對(duì)網(wǎng)絡(luò)用戶訪問(wèn)學(xué)校網(wǎng)站或數(shù)據(jù)中心的異常行為進(jìn)行監(jiān)控并做好日志，一旦出現(xiàn)問(wèn)題，可以及時(shí)追蹤。

2.3 過(guò)濾不良網(wǎng)站

互聯(lián)網(wǎng)上的網(wǎng)站良莠不齊。上網(wǎng)行為管理設(shè)備能過(guò)濾違法、違規(guī)的網(wǎng)頁(yè)，如含有不良關(guān)鍵字的網(wǎng)絡(luò)信息，也可以過(guò)濾一些植入了釣魚等木馬軟件的網(wǎng)站，以預(yù)防用戶不慎訪問(wèn)該類網(wǎng)站。

2.4 合理分配網(wǎng)絡(luò)資源

對(duì)于高校來(lái)說(shuō)，出口帶寬資源有限，應(yīng)該多分配給教學(xué)、科研等工作使用，限制娛樂(lè)活動(dòng)等行為對(duì)資源的占用，分時(shí)間段、基于用戶、基于應(yīng)用、基于行為內(nèi)容的對(duì)網(wǎng)絡(luò)行為進(jìn)行控制保證網(wǎng)絡(luò)資源科學(xué)、合理的分配。

3 目前部署上網(wǎng)行為管理的主要阻力

在高校部署上網(wǎng)行為管理系統(tǒng)，雖然獲得很多益處，上級(jí)網(wǎng)絡(luò)管理部門也有相關(guān)要求，但是多數(shù)高校都沒有部署，筆者和很多高校網(wǎng)絡(luò)管理人員溝通過(guò)，這并不是因?yàn)榻?jīng)費(fèi)問(wèn)題，而是擔(dān)心遭到阻力。

(1) 有些學(xué)生倡導(dǎo)言論自由，他們對(duì)言論監(jiān)管十分抵觸。而高校管理者一般對(duì)待學(xué)生的管理工作都較為人性化。

(2) 因?yàn)橛行┥暇W(wǎng)行為管理、監(jiān)控功能十分強(qiáng)大，“可以實(shí)時(shí)查看內(nèi)網(wǎng)用戶所有的上網(wǎng)記錄，包括記錄和查看Web訪問(wèn)、FTP、TELNET、郵件(含Webmai)、QQ、MSN、ICQ、YAHOOMessage 等流行IM軟件的數(shù)據(jù)。豐富的報(bào)表功能可以生成完整的日志，記錄整個(gè)網(wǎng)絡(luò)的上網(wǎng)行為，方便事后的追蹤查詢到每一個(gè)用戶”。有些老師擔(dān)心像查看聊天記錄這樣細(xì)致的管理，會(huì)侵犯到個(gè)人隱私。

(3) 有些教職工喜歡在工作的空閑時(shí)間，利用校園網(wǎng)進(jìn)行炒股、娛樂(lè)，如果被限制，會(huì)很不方便。

筆者認(rèn)為具體問(wèn)題，可以通過(guò)部署上網(wǎng)行為管理系統(tǒng)時(shí)，制定的策略和制定相關(guān)管理規(guī)定加以解決。如通過(guò)宣傳教育，對(duì)學(xué)生上網(wǎng)行為進(jìn)行有效地引導(dǎo)；在帶寬允許的范圍內(nèi)，放寬教職工使用網(wǎng)絡(luò)娛樂(lè)的要求；制訂詳盡的管理制度，確保沒有接到預(yù)警，網(wǎng)絡(luò)管理員無(wú)權(quán)查看網(wǎng)絡(luò)用戶的聊天記錄等隱私。另外也要向網(wǎng)絡(luò)用戶在政策層面上做好充分解釋工作，以免造成工作的被動(dòng)。

4 總結(jié)

互聯(lián)網(wǎng)飛速發(fā)展的今天，部署上網(wǎng)行為管理系統(tǒng)可以建設(shè)一個(gè)更加安全、綠色的校園網(wǎng)，可以減輕網(wǎng)絡(luò)管理部門的工作壓力，可以合理分配網(wǎng)絡(luò)資源，促進(jìn)工作效率的提升?！吧暇W(wǎng)行為管理把網(wǎng)絡(luò)建設(shè)帶到了一個(gè)新的高度，人們不在一味關(guān)注網(wǎng)絡(luò)的帶寬、延時(shí)、吞吐率，而是將越來(lái)越多的關(guān)注投入到用戶行為的分析中去”。筆者認(rèn)為在高校中部署上網(wǎng)行為管理系統(tǒng)一定會(huì)成為大勢(shì)所趨。

[1]王雪飛.高校行業(yè)網(wǎng)絡(luò)安全及上網(wǎng)行為管理需求分析[J].科技風(fēng).2009.

[2]虞剛.淺談上網(wǎng)行為管理產(chǎn)品的運(yùn)用[J].科技創(chuàng)新導(dǎo)報(bào).2011.