广州某大学校园网络安全审计系统方案

铸就绿色校园网络环境――广州某大学校园网络安全审计工程（任天行网络安全管理系统）方案深圳市任子行网络技术有限公司ShenzhenSurfilterNetworkTechnologyCo.,Ltd二OO九年九月网络安全审计系统设计方案第1页第一章前言.....................................................................................................................................2第一节目前校园网络安全的现状.............................................................................................21.1不能对不良网站进行过滤.................................................................................................21.2不能对学生的上网行为进行管理.....................................................................................21.3不能对老师的上网行为进行管理.....................................................................................21.4没有对校园网进行网络安全保护.....................................................................................3第二章任天行网络安全管理系统部署方案.................................................................................4第一节安全建设总体目标.........................................................................................................4第二节学校网络安全建设的需求.............................................................................................4第三节任天行网络安全管理系统部署方案.............................................................................4第四节《任天行网络安全管理系统》性能阐述.....................................................................5第五节产品核心技术及设计优势.............................................................................................85.1产品核心技术....................................................................................................................85.2方案设计优势..................................................................................................................10第三章公司简介和产品荣誉.......................................................................................................11第一节关于任子行.............................................................................................................11第二节产品荣誉.................................................................................................................12网络安全审计系统设计方案第2页第一章前言第一节目前校园网络安全的现状1.1不能对不良网站进行过滤互联网是一个无穷的知识宝库，但由于其具有开放性，也使得互联网上充斥着一些不健康的信息。举不胜举的色情网站，暴力站点，邪教网站都会对正在成长中的学生造成巨大的负面影响。根据统计，现在互联网上有大概32万个色情网站，并且在以每天200～300个的速度迅速增加。而法轮功等一些邪教网站也正在毒害着学生们的心灵。根据我国1997年发布的《计算机信息网络国际联网安全保护管理办法》，任何单位和个人不得利用国际联网制作、复制、查阅和传播宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖、教唆犯罪的信息。但是由于很多色情网站都放置于国外的服务器上，而在那些国家色情网站并未触犯法律，因此要在源头上将色情网站清除干净是不可能。对于学校来说，要让受教育的学生们避开这些不良网站的侵蚀，就必须在校园网中进行一些相关的处理，让学生们尽量的远离这些不良的信息。1.2不能对学生的上网行为进行管理电脑课已经成为了学生的必修课，但是由于电脑课的特殊性，任课老师无法得知学生在电脑课上的真实行为。许多学生也因此在课堂上进行一些非教学范围内的行为，如上网玩游戏，冲浪，听音乐等等，使得老师不能完成预定的教学任务。怎么样采取一些办法来规范和约束学生在电脑课上的行为日益变得重要和紧迫。1.3不能对老师的上网行为进行管理许多老师利用校园网进行网络冲浪，玩游戏，聊天，甚至访问一些色情站点，造成非常不好的影响，同时，也大量消耗了网络资源，浪费了本应用于教学和备课的网络资源。同时访问不健康站点也将带来极大的网络入侵、病毒等风险。网络安全审计系统设计方案第3页1.4没有对校园网进行网络安全保护由于校园网没有采用一些必要的保护而直接接入互联网，使得整个校园网完全暴露在互联网中。许多黑客和有不良意图的人利用一些黑客工具和手段对校园网进行攻击，消耗网络资源，影响校园网的正常使用，甚至让整个校园网瘫痪。网络安全审计系统设计方案第4页第二章任天行网络安全管理系统部署方案第一节安全建设总体目标学校网络安全建设的总体目标用12个字概括：“优化网络环境，规范上网行为”。“优化网络环境”主要指优化信息网（教育网、广电网、电信网）主干网络环境和学校校园网网络环境，加大学校网络出口（边界）安全，有效防范病毒爆发，提高教育信息网的统一监管力度，优化网络安全的管理机制，实现高速上网、放心上网。“规范上网行为”主要指在有限人员编制的情况下，加强师生上网行为管理与监控，实现文明上网、安全上网。第二节学校网络安全建设的需求通过安装互联网安全审计系统可以实现对整个校园内用户上网行为的管理和监控，对上网行为进行审计，并把所有的上网行为以日志形式记录下来供网络管理员查询分析，而且通过安装互联网安全审计系统还可以过滤不良信息，净化校园网环境。第三节任天行网络安全管理系统部署方案深圳市任子行网络技术有限公司以具有自主知识产权的《任天行网络安全管理系统》，结合学校的需求：广州某大学是一条千兆接入电信网络，大概学生数为15000人左右，同时上网人数大概5000-6000左右，核心交换机的接口为华为的电口交换机，应此结合出口流量与同时上网终端数，推荐的网络安全审计设备是任天行网络安全管理系统T10000型号，采用旁路接入方式。任天行网络安全管理系统提供千兆的接口，可同时支持10000台机器的使用。它是一个基于嵌入式LINUX的网络硬件设备，它被安装在学校的网络出口上，实现对进出网络的数据监测控制。它实现了过滤不良站点、控制监控范围内所有机器对特定端口的访问、自定义用户分组和机器信息等，实现对url地中的关键字过滤、审计Smtp/pop3、ftp、telnet等内容、对即时通讯工具和在线网络游戏的控制。系统具有运行稳定、高网络安全审计系统设计方案第5页效、可靠，安装简捷、便利、快速的特点，安装设置后完全不影响原有的网络结构，提供高效的网络安全审计和控制功能以及方便智能化的管理模式。任天行T10000相关性能参数：系统特性T10000客户端授权限制10000网卡捕包速度(每秒数据包)10-40万最大网络带宽(M)800最大同时处理的连接数2000000最大过滤逻辑处理时间10ms数据保存时间3个月设计策略数量许可值不限多策略性能影响50000以太网口数(光/电)4/4产品规格2U第四节《任天行网络安全管理系统》性能阐述本系统是基于嵌入式硬件的高性能，高稳定性的网络信息安全审计和管理设备。在对LINUX的系统内核进行充分剖析的基础上，在操作系统级对底层分析引擎进行了修改和全面优化，并且对硬件的驱动程序进行了改造，大大提高了系统的数据捕获和处理能力，使系统在高数据带宽下的性能比采用WINDOWS和LINUX系统下流行开源代码完成数据捕获的网络内网络安全审计系统设计方案第6页容分析产品性能高出一倍以上。同时系统采用了专用高效的并行协议还原分析技术，大大提高了协议分析和还原效率，是真正的百兆和千兆内容审计系统，在国内外处于领先水平。●接入方式：系统采用旁路监听的方式，不影响网络主干结构和速度。●过滤网上不良网站具备专业的URL过滤库，并提供专业的、超过400万条网址记录的不良站点库，能够对不良站点设置开放和封堵，有效阻止对不良站点的访问，站点库由我们公司专人维护并可实时自动升级。●禁止对特定端口的访问可自定义特定的端口，监控范围内的机器就无法访问特定的端口。●自定义用户分组和机器信息用户可以自定义用户分组，自定义机器信息，以方便管理和各种控制策略的实施。●关键字过滤具有自定义关键字过滤功能，如对GOOGLE、百度等搜索关键字过滤。并可根据URL中的关键字进行网络封堵，支持关键字的各种编码，有效地防止通过GOOGLE、百度等搜索引擎搜索和访问一些不良信息站点。●禁止指定类型文件的下载能够禁止指定类型的文件下载，防止特定病毒的传播和用户无限制的占有网络带宽，对于BT下载，可按时间、文件大小对BT下载进行控制。●灵活的控制方式对于监控范围内的机器，可实现基于IP地址的控制方式，基于帐号的控制方式，以及两种控制方式共同使用的混合控制方式。●网络行为控制管理可根据人员帐号、机器、机器组对不同的时间段提供对http、ftp、pop3、smtp等各种协议、指定的端口、网络在线游戏、即时通讯工具、BT下载等的控制。●全面的内容审计系统提供对电子邮件（E－MAIL），文件传输（FTP），远程登陆（TELNET），即时通讯（MSN、YAHOOMESSENGER）进行基于内容关键字和帐户及机器匹配的内容记录审计功能。网络安全审计系统设计方案第7页●部署与管理方式支持分布式的部署方式，支持ADSL、教育城域网、VPN等网络环境策略的集中分发。●角色与权限管理具有用户角色与权限管理的功能，最少可以内置三种不同的权限角色。每个功能模块分为只读、可写、禁止三种权限级别，在此基础上可以根据实际工作中的职位、权责等因素为系统设置多种角色，管理员生成帐号时可根据实际情况为帐号指定角色，此时帐号将自动继承指定角色的全部权限。系统在首次安装后管理员可根据实际的权限需求为系统预置多种内置角色，内置角色的数量目前系统没有限制。