《《中小学校园上网管理系统项目建议书》》由会员分享,可在线阅读,更多相关《《中小学校园上网管理系统项目建议书》(24页珍藏版)》请在金锄头文库上搜索。
1、1 中小学校园上网管理系统 给孩子们一片绿色上网天空 目目 录录 项 目 建 议 书 2 一应用背景一应用背景3 二教育网络普遍存在问题二教育网络普遍存在问题4 2.1 现状:.4 2.2 存在问题:5 三系统整体架构和方案三系统整体架构和方案6 3.1 系统设计原则6 3.2 建设目标6 3.3 系统方案7 四基本工作原理四基本工作原理13 4.1 网络信息过滤技术的分类13 4.2“过滤王”名单分类生成原理.13 4.3 旁路侦听过滤工作原理14 五产品主要功能及特点五产品主要功能及特点15 六公司简介六公司简介21 一应用背景一应用背景 近年来,随着我国网络技术的不断发展以及网络基础设施
2、的完善,互联网 3 已经成为目前发展最快的主要社会媒体,并有逐步替代和超越传统媒体(如报 纸、电视、广播等)的趋势,将成为社会主流的信息媒介和广告平台。据中国 互联网络信息中心公布的数据,截止到 2004 年 6 月,我国的上网计算机总数已 达 3630 万台,上网用户总人数为 8700 万人,青少年网民占到了全部网民的 53.5,约 4650 多万,占了很大比例。可见,互联网在中国正以前所未有的速 度高速发展,互联网已经成为了人们工作、生活的一部分。 互联网对青少年有巨大的吸引力,人们可以通过互联网学习丰富的知识、 查阅丰富的信息,提高生活的质量。但由于互联网的开放性及网上信息优劣参 差不齐
3、,使得网上各种不良信息也随之泛滥,特别是反动、色情、暴力等有害 信息极大地危害着社会的稳定和青少年的身心健康,而邪教组织、民运 分子、各种敌对势力也利用这一舞台,对我国进行各种宣传攻势和渗透演变。 人们在享受网络技术的同时,也对网上不良信息对人们的负面影响产生了担忧。 特别是在中小学校,由于上网学生年龄较小,好奇心强,容易受到不良信息的 影响,这些有害信息通过电子邮件、论坛、留言板、网页等途径流传到校园内, 给学校的信息网络安全带来极大冲击。所以加强网络管理,采取有效的技术手 段防止学生访问有害网上信息是每一个上网学校的重要问题。 按照国家教育部颁发的全国教育事业“十五”计划中“校校通”工程
4、的计划,用 5 到 10 年时间,加强信息基础设施和信息资源建设,使全国 90%左 右独立建制的中小学校能够与网络连通,使每一名中小学师生都能共享网上教 育资源。目前许多学校都已建成或正在建设校园网,校园网都与教育城域网或 与 INTERNET 连接,实现了校园内电脑对 INTERNET 网信息的访问。但许多 学校对网络有害信息的危害认识不足,没有采取有效的防范措施,使学生很容 易访问和接触到网上有害信息,影响身心的健康发展;而有的学校由于惧怕网 上有害信息,禁止学生访问互联网,使学生失去了使用网络的机会;有的学校 则采取只给学生访问指定的网站,其他的一概不许访问,这又失去互联网的最 大优点(
5、能在全球范围内查找和使用信息的优点) 。针对日趋严峻的网络安全形 势,国家公安部、教育部、文化部、信息产业部等几大部委联合颁布了一系列 针对危害公共网络信息安全的法律法规文件,通过开展专项整治活动打击了各 种有害信息传播蔓延。教育部从 2002 年起颁布了教育部关于对校园网信息专 4 项清理整治工作的实施意见 (教社政20025 号) ,其中明确指出“各级各类校 在加强对学生教育管理的同时,要采取在校园网上安装过滤软件等技术措 施,确保网络信息安全” ,对目前中小学校园网日益凸显的网络信息安全问题提 供了政策层面的指导,为彻底根治顽疾开出了一副良方。 另外,由于前期校园网的建设主要关注硬件及应
6、用软件系统,而对校园网 络的安全关注和投入较少,系统连接互联网后容易受到外来黑客的攻击,所以 必须采取网络安全防护措施,保护校园网络的安全。 网络安全以及网络信息安全管理正成为学校管理者和公共信息网络安全监 察部门的重要任务,而目前教育网对互联网信息安全的审计和管理较为薄弱, 校园网络信息安全管理的落实必须与教育主管部门配合,共同落实,共同营造 校园健康上网新环境,为此,我们提倡建设教育网信息安全管理平台,平台建 设的主旨是以法律为依据,在统一的中心控制和管理平台下,完成对下级互联 网用户的安全、审计管理。 二教育网络普遍存在问题二教育网络普遍存在问题 2.12.1 现状现状: 教育局的网络中
7、心:做为教育网的中心,为学校“校校通”提供互联和 信息资源中心;一般有电信宽带和教育科研网两个出口,各级学校通过 这两个出口访问互联网及教育科研网; 各级中小学的校园网:学校建有自己的校园网,可以通过教育网络中心 出口访问教科网和互联网;同时,各学校也通过电信宽带接入互联网。 各级学校基本没有安装防火墙、信息过滤系统等安全设备,校园网络呈 半开放状态。 网络概况如图: 5 2.22.2 存在问题:存在问题: 作为教育网总出口,没有安装信息过滤系统保护,学生上网完全自由, 互联网信息畅通无阻,各类反动、色情、暴力等有害信息极大地危害校 园网络健康,这些有害信息通过电子邮件、论坛、留言板、聊天软件
8、、 6 文件传输、网页浏览等载体蔓延,令学校管理者防不胜防; 有电信互联网出口的学校网络,没有防火墙和过滤系统,缺乏必要的网 络信息安全保护,有害信息和黑客非法攻击可以长驱直入,校园网毫无 安全可言; 学校上网缺乏管理,无法控制不同单位、不同身份的人使用网络资源, 对上网情况无从了解,缺乏必要有效的控制手段,尤其是作为核心管理 部门的教育局网络信息中心,对各种漏洞和问题更是无处下手,对网络 出现的危害信息缺乏收集机制及处置措施,往往到出事时才亡羊补牢。 上网主体是未成年的中小学生,自制力差、分辩是非能力有限、容易受 外界引导,在网络有害信息泛滥的形势下,迫切需要强有力的保护伞。 三系统整体架构
9、和方案三系统整体架构和方案 根据教育网的现状和存在问题,建议采用“过滤王”校园网络信息安全防护 整体解决方案,以达到最佳的安全及性能效果。 3.13.1 系统设计原则系统设计原则 整体系统的设计原则:分布控制、分级管理、集中审计。 分布控制:在教育网络中心总出口和各学校网络电信宽带出口安装过滤 系统,实现两级安全保护和有害信息过滤,细化到对每台电脑终端的控 制和管理。 分级管理:按教育网络中心网管和校园网网管两级权限进行分级管理。 集中审计:在教育局设置信息审计中心,以便对全市/区学校上网信息 进行集中审计和告警管理,提高管理效率。 3.23.2 建设目标建设目标 实现:有害信息过滤、网络安全
10、防护、访问控制管理、信息内容审计和日志 统计查询等综合校园信息安全建设的目标。 建立完整的内外网防护机制,在教育网总出口设置高端的信息过滤系统, 7 对流入的互联网信息进行高效准确过滤,同时阻断向外网散布有害信息, 最大限度净化网络资源;针对有电信宽带出口的学校,可选择在出口网 关处架设网关型过滤服务器,实现基本防火墙和强大有害信息过滤功能; 也可选择安装纯软件过滤系统,实现信息过滤功能;保护校园网络内网 络和信息的安全; 采用分级分布控制方式,由教育局网络中心出口的防火墙和高端过滤服 务器控制各学校上网访问控制策略,再由学校网络电信出口的过滤系统 控制校园网内电脑的访问控制策略,保证信息的安
11、全和网络资源的有效 利用。 通过两级信息安全系统,自动采集所有终端的上网日志,通过导入数据 库生成历史备份,利用报表管理工具可随时查询分析,为网络管理员了 解网络状况、调整上网策略提供依据。 在教育网络中心设置审计中心,对进出教育网的信息内容进行审计,系 统会智能分析处理违规的上网行为,自动阻断各类有害信息的传播,并 及时发出告警,减少网管人员的工作负担,提高处理效率。 通过实施综合完善的信息安全系统,提高整个教育网络的整体安全性。 3.33.3 系统方案系统方案 根据总体设计原则和目标,采用捷朗菱网络科技有限公司的“过滤王”校 园网络信息安全整体解决方案,在教育网总出口安装 FG3000 高
12、端过滤系统,在 各学电信宽带互联网出口安装低端过滤系统(可选硬件或纯软件) ,同时在教育 网络中心安装信息审计系统,实现对所有上网信息的审计,提高整体安全性能。 整体部署拓扑图如下: 8 3.3.13.3.1教育网总出口的安全设计教育网总出口的安全设计 在教育网的总出口,承担着所有学校和教委师生的上网任务,数据流量非 常大,安全性和稳定性要求非常高,所以对该节点的安全系统性能要求很高, 不能因为安全性的要求提高而降低网络和应用的性能,所以教育网整体安全系 统设计的关键点和难点也在这。我们建议采用一套 FG3000 高端旁路过滤系统, 实现信息过滤和监控的作用,该点包括过滤服务器、控制台、日志报
13、表管理器 9 3 部分组成。 在教育局信息中心核心交换机上设置一个镜像端口,连接一台高性能过 滤服务器 FG3000(硬件) ,对通过总出口的数据包进行监控和过滤,拦 截用户对有害信息的访问和有害信息的传播; FG3000 过滤服务器采用 旁路侦听过滤工作方式,可满足千兆网络上万同时在线用户教育网总出 口的要求,安装方便,对现有网络,无需改变系统网络结构,不影响网 络用户配置;旁路方式不影响网络流量,支持无限大并发连接数,不会 成为网络瓶颈,不会增加任何网络延时和掉包,即使系统出现故障,也 不影响整个网络的正常运行,保持用户系统原有的带宽和效率不变。系 统采用的旁路过滤技术和黑名单过滤技术代表
14、了国际最先进的过滤技术, 是一般过滤软件和网关过滤系统无法比拟的,支持千兆教育网和城域网, 满足教育网未来发展的需要。主要功能:完成互联网访问数据的侦听, 过滤有害信息,按访问控制策略对上网学校进行集中管理,记录访问日 志,上网身份集中验证。 控制台软件安装在网络中心局域网内任意电脑上,采用 C/S 模式提高过 滤系统的安全性,GUI 界面方便管理员操作。实现对过滤服务器的规则 设置和管理,制定各学校及每台电脑的访问控制策略,同时监控网络运 行,显示各类系统状况信息和用户实时上网信息。 日志报表管理系统安装于网络中心局域网内任意电脑上,通过从数据库 下载用户历史访问记录,同时对节点学校上网访问
15、记录进行查阅、统计、 分析、生成多种报告,管理员可以根据统计报告提供的信息,分析出各 节点学校对互联网的访问情况,以便调整访控制策略,从而实现对上网 学校访问互联网的有效管理。 3.3.23.3.2中学校园网信息安全设计中学校园网信息安全设计 中学教育已经与计算机信息教育紧密结合,网络知识教学已成为中学生必 修课,互联网成为学生获取知识的重要途径;中学是基础教育最后一个阶段, 作为未成年人的中学生自制力较差,判断是非能力有限,净化网络信息尤显迫 切。中学校园网建设普遍处于发展阶段,网络规模不大,计算机数量在数百台 10 左右,除接入上级教科网,另外开通了电信宽带直接接入 INTERNET,通过
16、路由 上网。安装防火墙的仅占少数,同时各学校网络出口的数据流量都不大,网络 结构也较为简单,学校经费较宽裕,有一定自主采购权。所以我们建议采用带 基本防火墙功能的 FG3000 低端网关型过滤系统,安装在每个校园网的电信宽带 出口网关处,同时实现网络安全防护和信息过滤功能,硬件过滤网关性能出众, 有最佳的性价比。系统包括 FG3000 网关型过滤服务器、控制台、日志报表管理 器 3 部分组成。 对各所中学,在电信宽带出口处嵌入一台 FG3000 低端过滤网关,实现 安全防护、信息过滤、访问控制等功能。既能抵御外网对校园网内主机 的非法攻击,同时对进出校园网的数据包进行监控和过滤,拦截用户对 有害信息的访问和有害信息的传播。可选择网关和透明网桥方式进行安 装。FG3000 过滤网关具有基本的防火墙功能,能实现 IP 包过滤、NAT 地址转换、防 DoS 攻击等功能,保护整个校园网主机和终端的安全; FG3000 过滤网关采用高性能软硬件一体化结构设计,基于 LINUX 内 核的 Web
