近年来，高等学校的信息化水平快速发展,互联网也发挥着越来越重要的作用;与此同时，网络的安全问题日益突出，利用互联网进行违法犯罪的案件呈日益增长的趋势,散布各种损害学校名誉的情况也时有发生。而高教行业动辄成千上万的内网用户规模，一方面为网络带宽带来很大压力，另一方面由于用户众多难于管理，很容易出现网络安全隐患问题。

    但是在校园网络建设的过程中，随着网络规模的急剧膨胀、网络用户的快速增长、关键性应用的普及和深入，校园网从早先教育、科研的试验网已经转变成教育、科研和服务并重的带有运营性质的网络，校园网在学校的信息化建设中已经在扮演了至关重要的角色。

    作为数字化信息的最重要传输载体，如何保证校园网络能正常的运行不受各种网络黑客的侵害，并对学生的上网行为进行有效的管理，已经成为了各个高校不可回避的紧迫问题。

    以下将从四个方面，分别阐述高校面临的问题以及相应的解决方案：

    一、网络行为的规范，内容安全上网行为审计过滤，违规警慑，事后追踪查询需求：

    这里主要体现在三个方面：

    首先，URL库过滤可以实现对色情、钓鱼网站、恶意代码网站、反动论坛等URL的屏蔽阻拦，防止因此带来病毒、木马甚至法律责任，带给学校大量的麻烦。

    其次，当前各种论坛、博客、BBS及FTP等使用非常广泛，为防止内网用户通过此类途径上传或下载一些非法内容，需对相关言论的发表做关键字过滤或对此类行为做详细记录，以便追查。这也是高校响应公安部于2006年3月1日开始实施的《互联网安全保护技术措施规定》即82号令文件要求，有效防范、打击网上违法犯罪活动和治理有害垃圾信息的重要措施。另外，对于出现此类违规行为能对终端用户做出相应的警告，以起到一定的威慑作用，也是减少违规行为发生的有效手段。

    最后，外发信息的管理是个重要的管理方面。互联网已成为高校大学生获取信息的主要途径，对于高校师生员工的认知渠道、思想观念和日常生活产生着深刻的影响。尤其是高校学生利用通讯软件、邮件、BBS论坛、个人博客宣扬不正确的意识形态，传播色情、暴力、迷信等颓废庸俗内容;在网络上发表反动言论、恶意攻击、谩骂他人;并通过网络实施网诈骗、偷窃他人网络财富，如何对这些外发的信息进行管理和监控，是高校网络安全建设的明确需求点。

    上网行为审计设备内置了可自动更新的分类URL库，其中包含了海量的成人、暴力、反动以及恶意网站信息，这有助于将不健康和包含潜在威胁的网站拦截在外。由于每天互联网都会涌现出大量的站点，上网行为审计的URL库也提供了使用者分享功能，用户可以在上网行为审计的URL库自定义需要被拦截的URL，通过对URL的阻拦，可大大降低内网用户对不良Web页面的访问。

    针对文件的传输，上网行为审计提供了更细致的解决方案。通过对象设置，可以将关键字、文件类型、网络服务与IP地址组进行关联，再进一步实现细颗粒的控制策略。

    而对外发信息的管理，上网行为审计设备有完善的访问上网行为审计和监控功能能够有效防止敏感信息通过Internet发送。

　　如定义敏感信息的类型以及关键字,对通过HTTP、FTP、SMTP、IMAP等应用协议做敏感数据拦截和在线拦截监控等保证拦截到所有的敏感数据，使上网数据无一纰漏，避免学生不良的上网行为导致学校受到法律的追究。

 
    二、用户有效身份认证和上网权限管理难以控制：

    深圳市任子行网络技术有限公司方煜宗总监认为，一般来讲，采用IP/M上网行为审计地址绑定作为用户认证和上网权限的控制是当前最常见的方法，但随着IP、M上网行为审计篡改现象的增多，传统的IP/M上网行为审计绑定已无法做到有效的身份认证和权限控制。现在网络建设较完善的高校一般都采用了基于Radius、LDAP或MicrosoftAD的服务器认证，用于学校用户在众多应用系统中的帐号管理。在这里，我们来探讨一下互联网访问的认证机制。

    3A(认证，授权和上网行为审计)是组织安全设施的基础，能对用户和内容进行有效的保护和控制。认证对于一个局域网来说主要分为两个层面，首先是借助应用系统自身的认证，例如OA系统的用户名/密码，这可以从一定程度上避免非授权用户对内网核心资源的访问;另一层面是借助于网络部门建立的Radius域认证、微软LDAP(LightweightDirectory上网行为审计cessProtocol,LDAP)等来对内部用户进行身份认证管理。然而，基于内网安全的认证机制还需要进一

    步完善。试想，如果一个打算离职的员工还属于可信用户，但他却把内网中的财务报表打个包上传到公网的一台FTP服务器，或将组织辛苦搜集到的客户信息通过Email发送给竞争对手，这些行为对组织的经济效益将带来巨大的损失。

    所以，我们迫切需要管理局域网中所有用户的Internet访问。现在我们应该对用户组进行认证方式的设置。在上网行为审计中你将切实感受到多种认证方式带来的好处。身份认证主要有两种方式，免客户端认证和客户端认证，上网行为审计中的Web认证属于前者。Web认证通过浏览器即可完成全部认证，即使对计算机操作并不熟悉的用户也能够理解和使用，很好提高了操作的互动性和弹性。

    Web认证是这样运行的：内网的用户第一次开机时，只要在浏览器中输入网址，上网行为审计将自动把用户的访问页面重定向到预设的Web认证界面。只有在页面中正确输入管理员分配的帐号信息才能正常访问Internet并获取相应资源，否则上网行为审计设备将拒绝用户的所有Internet连接请求。另外，为了避免用户离开后主机被他人利用，当用户在一段时间内没有发生任何网络流量时，上网行为审计的Web认证将断开该用户的网络连接，直到用户再次通过Web认证。

    深圳市任子行网络技术有限公司自主开发的任天行网络安全管理系统即支持多种认证方式，除了通过用户名/密码、IP/MAC上网行为审计认证外，其Web认证还可以透明结合Radius、LDAP、POP3等认证服务系统进行用户身份校验。IP/MAC上网行为审计认证可以通过上网行为审计自带的局域网扫描功能实现。对于后几种认证手段，只要在上网行为审计中正确填入域、活动目录和邮件服务器的地址和端口，上网行为审计将自动更新用户列表和策略，这对建立了完善的内网认证体系的用户来说非常方便。

　　三、用户上网行为的日志、报表分析的重要性突出：