随着我国教育改革的不断深入,高等教育事业整体的发展带动了校园信息化的不断深入推进。这使得整个教育行业的网络信息化呈如下趋势:
校园网络的规模不断扩大,用户数量不断增加,在基础网络已经成熟的基础上,对最终用户的互联网出口管理成为学校关注的要点。
校内信息化应用迅速展开到校园内的各个角落:应用平台化,合理有效地利用资源已经成为学校信息化建设的考虑重点。
校园内的网络结构趋于复杂化,业务趋于综合化。这些都使网络运行、维护的压力不断增加,因此需要数据处理能力和性能强大的网络产品。
校园信息化的持续发展已经解决了网络的通讯与基本安全问题,但是互联网内容审计与管理又向管理者提出了新的挑战。
虽然大多数高校管理者意识到目前校园网络应用存在着诸多急切需要解决的问题,具有较强的网络管理的迫切心情,但是缺乏对问题产生原因的真正认识,缺乏对互联网管理相关设备上网行为管理系统产品的了解。因此,笔者将结合高校校园网的应用现状,谈一谈适合高校校园网应用目前面临的困境。结合上网行为管理产品功能及特性,以解决方案的形式,帮助有需求的高校用户,深入地了解自身的需求,选择适合自身的产品与应用解决方案。
一、高校互联网出口管理需求
随着互联网应用技术的不断提高,校园网络本身的业务特点也发生了巨大的改变,在网络的安全运营逐步解决深入的同时,校园互联网出口管理成为未来持续发展的核心。这要求校园网络需要具备高可靠性,安全、便于管理,可以方便的对用户的互联网行为与内容进行应用分析,并且采取相应的审计与管理策略。实际上,无论从规模上还是用户数量上,校园网都具备了某些中小型运营商的特点。而且从用户群体来说,校园网中的用户群体更加多样化,网络应用丰富多彩;用户的应用特点对网络设备的功能,性能与海量数据处理能力提出了更高的要求。
高效,方便灵活的接入的方式
高校师生对于网络接入有着强烈的需求。随着近年来国家对高等教育的大力发展和支持,高校在校生人数普遍呈现上升趋势,电脑的普及率也越来越高(据不完全统计,在很多的高校,台式/PC的拥有率可以达到80%)。此外,随着无线应用及需求的笔记本电脑的普及,无线设备带机数不够、安全性不足、无法很好的进行用户和设备管理的问题。
安全是基本保障,用户上网行为与内容管理是互联网出口管理的核心
高校面临着严峻的网络安全形势。目前校园网遭受的恶意攻击,90%来自高校网络内部,如何保障校园网络的安全成为高校校园网络建设时不得不考虑的问题。
网络安全一定是全方位的安全。首先,网络出口、数据中心、服务器等重点区域要做到安全过滤;其次,不管接入设备,还是骨干设备,设备本身需要具备强大的安全防护能力,并且安全策略部署不能影响到网络的性能,不造成网络单点故障;最后,要充分考虑全局统一的安全部署,对安全事件触发源的准确定位和根据身份进行的隔离、修复措施,从而能对网络形成一个由内至外的整体安全构架。
骨干网络需要高性能、海量数据处理能力
高校校园网中用户数在不断增加,并且随着网络应用技术的不断丰富,高校校园网应用也愈发复杂,例如FTP、VOD点播等大数据量的访问,尤其目前流行的P2P的应用产生了巨大的网络流量。如何在保证进行高速网络传输的同时,能够实现对互联网出口的有效管理对网络设备的性能提出了很高的要求。
上网行为管理与内容审计的功能需求
在保证通讯与基本安全的基础上,高校互联网管理的核心应该是应用层或更高层的管理,即行为与内容的审计与管理、国家在政策与法规上,提出的《互联网安全保护技术措施规定》在2005年11月23日公安部部长办公会议通过,并自2006年3月1日起已经施行。(该规定简称“82号令”)规定对用户信息、用户上网记录、地址转换记录、设备状态记录等都有要求。一旦不符合日志要求,极可能面临整顿或者关闭网络的危机。
网络资源的合理利用
校园网络作为一个小型的运营商, 带宽资源有限,而网络提供的应用越来越丰富,尤其是P2P类应用的广泛使用对有限的带宽资源提出了严重的要求。因此,合理的流量优化,能够有效地解决有限的带宽资源。
二、校园网上网行为管理系统的部署原则
计算机网络系统的建设既要立足于现在又要着眼于未来。在对网络系统进行设计时,采用先进的网络技术和指导思想,建设一个开放的网络系统。通过校园网的建设,各高校都希望能达到以下网络环境要求:
可靠性原则
上网行为管理系统必须具有很高的性能,海量数据处理与容错能力,保障在意外情况下不出现单点故障,保障用户的正常工作。可靠性也是通过设备可靠性和技术措施两个层次来解决。
可扩充性原则
上网行为管理系统要能够灵活地扩充,一是能够根据今后业务不断深入发展的需要,扩大设备容量和提高用户数量和质量的功能。再者是能够支持多种网络传输、多种物理接口的能力,提供技术升级、设备更新的灵活性。
开放性原则
上网行为管理系统应该具有开放性,标准化的产品。意味着要遵循一个大多数计算机系统所共同遵循的标准,这是实现互联网管理的最根本的保证。
可管理性原则
上网行为管理系统在日后的维护中,能够满足统一、集中管理的需求,使系统处于有效的监控之下,以最少的人力资源保证网络的日常维护。网络管理员能够在不中断系统运行的情况下对网络进行修改,不管网络的是什么应用,网络都是可以控制的。
先进性原则和实用性原则
把握先进性原则的中心思想就是设计思想先进,网络结构先进,开发工具先进,采用先进的和成熟的网络技术和产品。实用性原则就是采用的技术路线、产品应经过实践检验,被证明是成熟可靠的,设计结果能满足客户的需求并且行之有效。
安全性原则
如何实施全面有效的安全措施,保证网络的安全运行已成为网络应用首先需要解决的问题。
三、整体方案描述
“上网行为管理系统”管理目标
一般而言,在高校校园上网行为管理的难题大概有以下几点:
网速和带宽效率下降,网络资源浪费严重:使用P2P应用,如下载等行为日益增加,严重消耗网络带宽,正常业务的通讯得不到保障,只能通过增加办公成本来增加带宽,但是网速和带宽没有得到根本的改善;
病毒、木马、流氓软件带来的安全隐患:校园网许多的核心数据、研究文档都存储在计算机或网络服务器上,随着网络规模的扩展变得越来越复杂。一旦内部人员不慎将木马等恶意程序带入网内,后果将不堪设想;
从事网络违法行为,带来法律风险:互联网网上言论得不到规范,访问非法网站、恶意发帖、发表反动言论等都会带来法律风险;
互联网应用复杂,管理困难增加:管理者不能直观的看到内部发生的网络行为,不能实时有效的进行统一管理,统计、审计、分析都变得相当困难,没有清晰的上网行为管理数据提交领导部门,以便作出相应的管理决策。
通过对以上几点难题的分析,高校网络需要迫切解决的问题就是互联网出口管理:
1、如何杜绝通过Email、Webmail、MSN等途径潜在的泄密行为?
2、如何限制P2P等应用行为,提升网速和带宽效率?
3、如何防范用户浏览非法网站“主动”下载病毒、木马、恶意软件?
4、如何避免恶意发帖、发表反动言论等法律问题,并在发生问题时有据可查?
5、如何进行实时有效的统一管理,以方便高效的报表形式呈现出管理的效益?
莱克斯科技的高校互联网出口管理解决方案,采用了其高端Netoray NSG上网行为管理系统,在满足高校的性能,稳定性与海量数据处理的同时,能够真正帮助高校互联网管理真正解决以上难题,并且能够保持网络通畅无忧。
部署方式
在部署中,上网行为管理系统采用串联的部署方式。
在这种部署应用模式下上网行为管理系统按照高校网络结构,可以将整个校园网络划分为一个安全区域,上网行为管理系统管理区域内所有用户对互联网的访问。我们推荐如下方案解决用户需求,如下简图:
图一:Netoray NSG上网行为管理系统串联式部署示意图
应用平台建设
高校互联网管理的根本需求就是稳定性,可靠性,数据的实用性。影响骨干网稳定可靠的因素有很多,最主要的有三个方面:硬件设备、软件架构、安全保障。只有解决掉这三个方面问题,才能为校园网络提供可靠的保障。
总的来说,莱克斯科技打造的高校互联网管理解决方案会达到两方面的效果:
第一、对学校来说,提供最快的查询速度,网络中的任何访问信息都能够准确无误的记录。方便管理员实时的查看网络中的各项应用,对网络的带宽作出调整。
第二、对于网络管理者而言,提供最高的可用性。不但提供强大的性能,而且在稳定可靠性方面的提升让管理维护变得简单。
四、方案特性
在莱克斯科技的系列产品中,Netoray NSG上网行为管理系统,ClearNet NA网络行为分析系统、Netoray TOG流量管理系统,均基于其高速数据通讯平台(USAP)。
高速通讯平台(USAP)
基于自主知识产权LyxOS的模块化通用安全应用平台。采用数据并行处理的专家会诊系统(ECS),并且可以根据用户的实际需求制定相应系统策略来配置系统功能模块,达到对用户实际需求的无缝契合。
高效的零拷贝技术
1、改善数据分析过程,减少数据复制过程,降低CPU负载,提高系统效率。
2、减少数据拷贝过程中因资源占用而导致的数据丢包现象。
图二:零拷贝技术和传统技术比较
多接口独立工作:
设备可同时设置多个监控口,各监控口独立工作互不影响,同时监控多台核心交换机的数据。支持“多入多出”例图如下:
图三:Netoray NSG多接口独立工作网络架构图
五、方案总结
由于高校校园网,互联网管理需求明确,用户与数据量大,并且网络架构相对复杂,推荐使用数据处理能力与性能比较强大的莱克斯科技上网行为管理系统中的旗舰级产品:Netoray NSG-5000、NSG-10000、NSG-20000和NSG-50000,无论在产品性能,稳定性,还有海量数据处理上,均获得过业界及用户的好评。