學校網絡安全審計系統探索

前言：尋找寫作靈感？中文期刊網用心挑選的學校網絡安全審計系統探索，希望能為您的閱讀和創作帶來靈感，歡迎大家閱讀并分享。

［摘要］

隨著校園網絡在各高校的迅速普及，網絡已成為大學生學習和日常生活不可缺少的工具。因此,保障學校所有人員安全使用網絡，成為當前各校網絡建設中不可忽視的首要問題。網絡安全中最重要的一部分就是對學校網絡進行安全的審計和監控，本文著重介紹網絡安全審計系統是如何部署的，以及它的各項系統的功能是如何發揮的。

［關鍵詞］

學校；網絡安全；審計

隨著我國互聯網技術的快速發展，基礎的網絡設施得到進一步完善，互聯網在各企事業單位中得到充分利用。近幾年，學校投入大量人力、物力、財力進行信息化建設，利用網絡來管理校園工作、信息，提高了學校的工作效率。在信息系統快速發展的同時，網絡管理的安全問題日益突出。因為學校的工作人員除了利用網絡辦公外，還有利用網絡購物等一些與辦公無關的行為，這之間可能有意無意地泄露了學校的機密，學校很難追查是誰泄密的。因此，如果對網絡不進行監管，網絡安全問題將成為學校的效率的殺手，并給學校帶來很多麻煩。

1網絡審計功能特性概述

1.1機器分組管理

網絡審計可以實現對局域網內IP地址和機器名的搜索，并對搜索到的機器信息進行分組管理。自動分組功能可實現對指定IP段機器的自動分組，可生成多級樹形結構的組織架構,針對不同級別來進行分組管理。

1.2上網人員控制

網絡審計支持12種認證和識別方式，包括郵箱認證、AD域認證、本地Web認證等，可以設定部分或全部機器須用賬號上網，通過對賬號的分組管理，可實現在同一機器上不同用戶具有不同的上網活動權限。

1.3豐富的策略分配機制

網絡審計支持針對組織全局和部分的控制，支持對組織內用戶賬號、IP、MAC、分組的策略分配根據上網人員的賬號或機器及上機范圍來對其網絡活動權限進行控制。

1.4全系列娛樂應用封堵

網絡審計系統支持對魔獸世界、QQ游戲等近百個市場上主流的網絡游戲，大智慧、指南針等二十幾個財經股票軟件，以及MSN、QQ等常用的即時通訊工具進行實時的封堵，保障組織人員的工作學習效率。

1.5針對關鍵字的封堵控制

網絡審計支持針對內容關鍵字的各種應用封堵，包括文件傳輸、遠程登陸、郵件收發、即時通訊等，支持針對用戶名的關鍵字模糊匹配，支持對文件傳輸的文件類型以及文件內容關鍵字進行封堵控制，支持郵件內容、標題、附件名、附件內容以及發送、抄送、暗送的地址進行關鍵字封堵，保障組織內部的敏感信息不外泄。

1.6URL地址關鍵字過濾

根據上網請求，對URL中的關鍵字進行智能模糊匹配過濾，與關鍵字匹配的網址將被限制訪問。

1.7流量封堵控制

網絡審計支持對用戶的日、周、月流量進行上網控制，支持對上行、下行流量進行分別統計控制，用戶在每日、周、月流量限額用完后將無法正常上網，控制組織內用戶的外網訪問流量。

1.8用戶自定義協議控制

對于系統未知的協議類型和網絡應用，用戶可根據自己的需要，添加相應的協議特征實現對自定義協議的審計和控制。

1.9審計網絡行為

系統的網絡數據包通過捕獲來分析，不僅可以還原完整原始信息協議，還可以準確地記錄關鍵信息的網絡訪問。網絡審計系統支持幾乎所有的網絡行為的審計，能識別所有常用網絡協議的應用，支持對幾乎所有網絡搜索引擎關鍵字的審計，支持對網頁登錄、聊天工具登錄、網絡游戲登錄等應用登錄的賬號審計。

1.10深度內容審計

網絡審計系統可獲取郵件、論壇發帖、聊天記錄等所有內容，支持所有Web郵件、SMTP/POP3郵件的內容和附件審計，支持對熱點論壇、博客、微博的發帖、留言等的內容及附件審計，支持對網頁聊天室、MSN、飛信等聊天工具的聊天內容審計。

1.11敏感信息告警

網絡審計系統可設置行為報警策略和內容關鍵字審計策略，對觸發敏感信息的網絡行為進行行為告警處理，對觸發敏感內容關鍵字的論壇發帖、網絡聊天、郵件收發等行為進行相應報警處理，支持郵箱和短信的報警方式。

1.12報表統計與數據分析

網絡審計系統支持對用戶、行為、關鍵字、流量及趨勢等的數據了地展現出組織內用戶的網絡行為情況，IT決策人員通過圖形情況了解用戶上網行為趨勢、了解組織帶寬利用分布，可以提出整改網絡帶寬方案作為參考之用。

2網絡審計部署概述

網絡審計系統部署通過分布式部署和串接部署這兩種方式進行靈活的結合，如果在不同的網絡的環境，可以實現不同的管理模式以及不同的目的控制。下面簡單地介紹3種典型的部署方案及其示意圖。

2.1單臺旁路銅纖鏡像

第一種部署方案是單臺旁路銅纖鏡像，用戶的交換機必須對端口鏡像進行支持，它們之間的連接必須以銅纜為介質，這是它的適用環境。該方案主要用于簡單的學校和企業的二層和三層網絡，審計設備主要是從交換機的鏡像端口獲取數據，并且該方案旁路部署接入的是最有代表的方案。該方案對原有網絡的性能沒有影響，而且部署簡單、容易維護。

2.2單臺旁路光纖鏡像

第二種部署方案是單臺旁路光纖鏡像，它適用的環境是用戶的交換機必須支持端口的鏡像，它們之間必須以光纖作為介質來連接。該方案是審計設備使用光纖作為介質來用于端口鏡像最典型的方案，它主要用在學校及企業的二層或三層網絡上，和第一種方案一樣都是通過鏡像端口來獲取數據，獲取的數據要使用相應的協議對它進行還原分析。該方案部署方便且簡單，維護也非常容易，對原來的網絡沒有影響。

2.3光纖網絡雙鏈路分光

第三種部署方案是光纖網絡雙鏈路分光，用戶使用的交換機不能用來做端口鏡像，必須具備2個或以上，并且獨立的物理網絡，還有就是在一個邏輯的網絡中，使用具有核心功能的兩臺交換機建立一個均衡或熱備的網絡，通過上面描述的條件才能使用該方案。該方案是在對千兆線路解決的情況下，交換機不能做端口鏡像的時候采用的分光的方案，該分光器采用雙向的鏈路對兩組分別進行分光，然后使用4個光口捕獲審計數據，并對獲得的數據進行還原及更深層次地分析。該方案使用一臺審計設備可以同時捕獲一個很冗余或兩個不通的網絡數據，此方案是光纖部署最典型的方案。

3結語

本文介紹了網絡審計系統的功能特性及其部署方式，網絡審計系統主要包括上網人的控制、全面的網絡行為審計、深度內容審計、敏感信息告警等功能；部署方式主要介紹了單臺旁路銅纖鏡像、單臺旁路光纖鏡像及光纖網絡雙鏈路分光等三種部署方式。學校安裝審計系統和使用設計系統，能幫助管理人員對學校上網的人員進行審計、記錄及分析，使管理員有針對性地對網絡進行管理。

作者：李斌 單位：川北醫學院現代教育技術中心

主要參考文獻

［1］郝占軍.網絡流量分析與預測模型研究［D］.蘭州:西北師范大學,2011.

［2］凌波,柳景超,張志祥.基于Windows終端信息過濾的網絡訪問控制研究［J］.計算機工程與設計,2011(1).

［3］鄧小榕,陳龍,王國胤.安全審計數據的綜合審計分析方法［J］.重慶郵電學院學報:自然科學版,2005(5).

［4］趙新輝,李祥.捕獲網絡數據包的方法［J］.計算機應用研究,2004(8).

［5］李薇.試論網絡環境下的網絡審計［J］.吉林省教育學院學報,2013(3).