中小學校園上網(wǎng)管理系統(tǒng)項目建議書

-PAGE24-中小學校園上網(wǎng)管理系統(tǒng)方案目錄TOC\o"1-3"\h\z一．應用背景 3二．教育網(wǎng)絡普遍存在問題 42.1現(xiàn)狀： 42.2存在問題： 5三．系統(tǒng)整體架構(gòu)和方案 63.1系統(tǒng)設計原則 63.2建設目標 63.3系統(tǒng)方案 7四．基本工作原理 134.1網(wǎng)絡信息過濾技術的分類 134.2“過濾王”名單分類生成原理 134.3旁路偵聽過濾工作原理 14五．產(chǎn)品主要功能及特點 15一．應用背景近年來，隨著我國網(wǎng)絡技術的不斷發(fā)展以及網(wǎng)絡基礎設施的完善，互聯(lián)網(wǎng)已經(jīng)成為目前發(fā)展最快的主要社會媒體，并有逐步替代和超越傳統(tǒng)媒體（如報紙、電視、廣播等）的趨勢，將成為社會主流的信息媒介和廣告平臺。據(jù)中國互聯(lián)網(wǎng)絡信息中心公布的數(shù)據(jù)，截止到2004年6月，我國的上網(wǎng)計算機總數(shù)已達3630萬臺，上網(wǎng)用戶總?cè)藬?shù)為8700萬人，青少年網(wǎng)民占到了全部網(wǎng)民的53.5％，約4650多萬，占了很大比例?？梢?，互聯(lián)網(wǎng)在中國正以前所未有的速度高速發(fā)展，互聯(lián)網(wǎng)已經(jīng)成為了人們工作、生活的一部分?；ヂ?lián)網(wǎng)對青少年有巨大的吸引力，人們可以通過互聯(lián)網(wǎng)學習豐富的知識、查閱豐富的信息，提高生活的質(zhì)量。但由于互聯(lián)網(wǎng)的開放性及網(wǎng)上信息優(yōu)劣參差不齊，使得網(wǎng)上各種不良信息也隨之泛濫，特別是反動、色情、暴力等有害信息極大地危害著社會的穩(wěn)定和青少年的身心健康，而法輪功邪教組織、民運分子、各種敵對勢力也利用這一舞臺，對我國進行各種宣傳攻勢和滲透演變。人們在享受網(wǎng)絡技術的同時，也對網(wǎng)上不良信息對人們的負面影響產(chǎn)生了擔憂。特別是在中小學校，由于上網(wǎng)學生年齡較小，好奇心強，容易受到不良信息的影響，這些有害信息通過電子郵件、論壇、留言板、網(wǎng)頁等途徑流傳到校園內(nèi)，給學校的信息網(wǎng)絡安全帶來極大沖擊。所以加強網(wǎng)絡管理，采取有效的技術手段防止學生訪問有害網(wǎng)上信息是每一個上網(wǎng)學校的重要問題。按照國家教育部頒發(fā)的《全國教育事業(yè)“十五”計劃》中“校校通”工程的計劃，用5到10年時間，加強信息基礎設施和信息資源建設，使全國90%左右獨立建制的中小學校能夠與網(wǎng)絡連通，使每一名中小學師生都能共享網(wǎng)上教育資源。目前許多學校都已建成或正在建設校園網(wǎng)，校園網(wǎng)都與教育城域網(wǎng)或與INTERNET連接，實現(xiàn)了校園內(nèi)電腦對INTERNET網(wǎng)信息的訪問。但許多學校對網(wǎng)絡有害信息的危害認識不足，沒有采取有效的防范措施，使學生很容易訪問和接觸到網(wǎng)上有害信息，影響身心的健康發(fā)展；而有的學校由于懼怕網(wǎng)上有害信息，禁止學生訪問互聯(lián)網(wǎng)，使學生失去了使用網(wǎng)絡的機會；有的學校則采取只給學生訪問指定的網(wǎng)站，其他的一概不許訪問，這又失去互聯(lián)網(wǎng)的最大優(yōu)點（能在全球范圍內(nèi)查找和使用信息的優(yōu)點）。針對日趨嚴峻的網(wǎng)絡安全形勢，國家公安部、教育部、文化部、信息產(chǎn)業(yè)部等幾大部委聯(lián)合頒布了一系列針對危害公共網(wǎng)絡信息安全的法律法規(guī)文件，通過開展專項整治活動打擊了各種有害信息傳播蔓延。教育部從2002年起頒布了《教育部關于對校園網(wǎng)信息專項清理整治工作的實施意見》（教社政[2002]5號），其中明確指出“各級各類校在加強對學生教育管理的同時，要采取在校園網(wǎng)上安裝‘過濾’軟件等技術措施，確保網(wǎng)絡信息安全”，對目前中小學校園網(wǎng)日益凸顯的網(wǎng)絡信息安全問題提供了政策層面的指導，為徹底根治頑疾開出了一副良方。另外，由于前期校園網(wǎng)的建設主要關注硬件及應用軟件系統(tǒng)，而對校園網(wǎng)絡的安全關注和投入較少，系統(tǒng)連接互聯(lián)網(wǎng)后容易受到外來黑客的攻擊，所以必須采取網(wǎng)絡安全防護措施，保護校園網(wǎng)絡的安全。網(wǎng)絡安全以及網(wǎng)絡信息安全管理正成為學校管理者和公共信息網(wǎng)絡安全監(jiān)察部門的重要任務，而目前教育網(wǎng)對互聯(lián)網(wǎng)信息安全的審計和管理較為薄弱，校園網(wǎng)絡信息安全管理的落實必須與教育主管部門配合，共同落實，共同營造校園健康上網(wǎng)新環(huán)境，為此，我們提倡建設教育網(wǎng)信息安全管理平臺，平臺建設的主旨是以法律為依據(jù)，在統(tǒng)一的中心控制和管理平臺下，完成對下級互聯(lián)網(wǎng)用戶的安全、審計管理。二．教育網(wǎng)絡普遍存在問題2.1現(xiàn)狀：教育局的網(wǎng)絡中心：做為教育網(wǎng)的中心，為學校“校校通”提供互聯(lián)和信息資源中心；一般有電信寬帶和教育科研網(wǎng)兩個出口，各級學校通過這兩個出口訪問互聯(lián)網(wǎng)及教育科研網(wǎng)；各級中小學的校園網(wǎng)：學校建有自己的校園網(wǎng)，可以通過教育網(wǎng)絡中心出口訪問教科網(wǎng)和互聯(lián)網(wǎng)；同時，各學校也通過電信寬帶接入互聯(lián)網(wǎng)。各級學校基本沒有安裝防火墻、信息過濾系統(tǒng)等安全設備，校園網(wǎng)絡呈半開放狀態(tài)。網(wǎng)絡概況如圖：2.2存在問題：作為教育網(wǎng)總出口，沒有安裝信息過濾系統(tǒng)保護，學生上網(wǎng)完全自由，互聯(lián)網(wǎng)信息暢通無阻，各類反動、色情、暴力等有害信息極大地危害校園網(wǎng)絡健康，這些有害信息通過電子郵件、論壇、留言板、聊天軟件、文件傳輸、網(wǎng)頁瀏覽等載體蔓延，令學校管理者防不勝防；有電信互聯(lián)網(wǎng)出口的學校網(wǎng)絡，沒有防火墻和過濾系統(tǒng)，缺乏必要的網(wǎng)絡信息安全保護，有害信息和黑客非法攻擊可以長驅(qū)直入，校園網(wǎng)毫無安全可言；學校上網(wǎng)缺乏管理，無法控制不同單位、不同身份的人使用網(wǎng)絡資源，對上網(wǎng)情況無從了解，缺乏必要有效的控制手段，尤其是作為核心管理部門的教育局網(wǎng)絡信息中心，對各種漏洞和問題更是無處下手，對網(wǎng)絡出現(xiàn)的危害信息缺乏收集機制及處置措施，往往到出事時才亡羊補牢。上網(wǎng)主體是未成年的中小學生，自制力差、分辯是非能力有限、容易受外界引導，在網(wǎng)絡有害信息泛濫的形勢下，迫切需要強有力的保護傘。三．系統(tǒng)整體架構(gòu)和方案根據(jù)教育網(wǎng)的現(xiàn)狀和存在問題，建議采用“過濾王”校園網(wǎng)絡信息安全防護整體解決方案，以達到最佳的安全及性能效果。3.1系統(tǒng)設計原則整體系統(tǒng)的設計原則：分布控制、分級管理、集中審計。分布控制：在教育網(wǎng)絡中心總出口和各學校網(wǎng)絡電信寬帶出口安裝過濾系統(tǒng)，實現(xiàn)兩級安全保護和有害信息過濾，細化到對每臺電腦終端的控制和管理。分級管理：按教育網(wǎng)絡中心網(wǎng)管和校園網(wǎng)網(wǎng)管兩級權(quán)限進行分級管理。集中審計：在教育局設置信息審計中心，以便對全市/區(qū)學校上網(wǎng)信息進行集中審計和告警管理，提高管理效率。3.2建設目標實現(xiàn)：有害信息過濾、網(wǎng)絡安全防護、訪問控制管理、信息內(nèi)容審計和日志統(tǒng)計查詢等綜合校園信息安全建設的目標。建立完整的內(nèi)外網(wǎng)防護機制，在教育網(wǎng)總出口設置高端的信息過濾系統(tǒng)，對流入的互聯(lián)網(wǎng)信息進行高效準確過濾，同時阻斷向外網(wǎng)散布有害信息，最大限度凈化網(wǎng)絡資源；針對有電信寬帶出口的學校，可選擇在出口網(wǎng)關處架設網(wǎng)關型過濾服務器，實現(xiàn)基本防火墻和強大有害信息過濾功能；也可選擇安裝純軟件過濾系統(tǒng)，實現(xiàn)信息過濾功能；保護校園網(wǎng)絡內(nèi)網(wǎng)絡和信息的安全；采用分級分布控制方式，由教育局網(wǎng)絡中心出口的防火墻和高端過濾服務器控制各學校上網(wǎng)訪問控制策略，再由學校網(wǎng)絡電信出口的過濾系統(tǒng)控制校園網(wǎng)內(nèi)電腦的訪問控制策略，保證信息的安全和網(wǎng)絡資源的有效利用。通過兩級信息安全系統(tǒng)，自動采集所有終端的上網(wǎng)日志，通過導入數(shù)據(jù)庫生成歷史備份，利用報表管理工具可隨時查詢分析，為網(wǎng)絡管理員了解網(wǎng)絡狀況、調(diào)整上網(wǎng)策略提供依據(jù)。在教育網(wǎng)絡中心設置審計中心，對進出教育網(wǎng)的信息內(nèi)容進行審計，系統(tǒng)會智能分析處理違規(guī)的上網(wǎng)行為，自動阻斷各類有害信息的傳播，并及時發(fā)出告警，減少網(wǎng)管人員的工作負擔，提高處理效率。通過實施綜合完善的信息安全系統(tǒng)，提高整個教育網(wǎng)絡的整體安全性。3.3系統(tǒng)方案根據(jù)總體設計原則和目標，采用捷朗菱網(wǎng)絡科技有限公司的“過濾王”校園網(wǎng)絡信息安全整體解決方案,在教育網(wǎng)總出口安裝FG3000高端過濾系統(tǒng)，在各學電信寬帶互聯(lián)網(wǎng)出口安裝低端過濾系統(tǒng)（可選硬件或純軟件），同時在教育網(wǎng)絡中心安裝信息審計系統(tǒng)，實現(xiàn)對所有上網(wǎng)信息的審計，提高整體安全性能。整體部署拓撲圖如下：教育網(wǎng)總出口的安全設計在教育網(wǎng)的總出口，承擔著所有學校和教委師生的上網(wǎng)任務，數(shù)據(jù)流量非常大，安全性和穩(wěn)定性要求非常高，所以對該節(jié)點的安全系統(tǒng)性能要求很高，不能因為安全性的要求提高而降低網(wǎng)絡和應用的性能，所以教育網(wǎng)整體安全系統(tǒng)設計的關鍵點和難點也在這。我們建議采用一套FG3000高端旁路過濾系統(tǒng)，實現(xiàn)信息過濾和監(jiān)控的作用，該點包括過濾服務器、控制臺、日志報表管理器3部分組成。在教育局信息中心核心交換機上設置一個鏡像端口，連接一臺高性能過濾服務器FG3000（硬件），對通過總出口的數(shù)據(jù)包進行監(jiān)控和過濾，攔截用戶對有害信息的訪問和有害信息的傳播；FG3000過濾服務器采用旁路偵聽過濾工作方式，可滿足千兆網(wǎng)絡上萬同時在線用戶教育網(wǎng)總出口的要求，安裝方便，對現(xiàn)有網(wǎng)絡，無需改變系統(tǒng)網(wǎng)絡結(jié)構(gòu)，不影響網(wǎng)絡用戶配置；旁路方式不影響網(wǎng)絡流量，支持無限大并發(fā)連接數(shù)，不會成為網(wǎng)絡瓶頸，不會增加任何網(wǎng)絡延時和掉包，即使系統(tǒng)出現(xiàn)故障，也不影響整個網(wǎng)絡的正常運行，保持用戶系統(tǒng)原有的帶寬和效率不變。系統(tǒng)采用的旁路過濾技術和黑名單過濾技術代表了國際最先進的過濾技術，是一般過濾軟件和網(wǎng)關過濾系統(tǒng)無法比擬的，支持千兆教育網(wǎng)和城域網(wǎng)，滿足教育網(wǎng)未來發(fā)展的需要。主要功能：完成互聯(lián)網(wǎng)訪問數(shù)據(jù)的偵聽，過濾有害信息，按訪問控制策略對上網(wǎng)學校進行集中管理，記錄訪問日志，上網(wǎng)身份集中驗證?？刂婆_軟件安裝在網(wǎng)絡中心局域網(wǎng)內(nèi)任意電腦上，采用C/S模式提高過濾系統(tǒng)的安全性，GUI界面方便管理員操作。實現(xiàn)對過濾服務器的規(guī)則設置和管理，制定各學校及每臺電腦的訪問控制策略，同時監(jiān)控網(wǎng)絡運行，顯示各類系統(tǒng)狀況信息和用戶實時上網(wǎng)信息。日志報表管理系統(tǒng)安裝于網(wǎng)絡中心局域網(wǎng)內(nèi)任意電腦上，通過從數(shù)據(jù)庫下載用戶歷史訪問記錄，同時對節(jié)點學校上網(wǎng)訪問記錄進行查閱、統(tǒng)計、分析、生成多種報告，管理員可以根據(jù)統(tǒng)計報告提供的信息，分析出各節(jié)點學校對互聯(lián)網(wǎng)的訪問情況，以便調(diào)整訪控制策略，從而實現(xiàn)對上網(wǎng)學校訪問互聯(lián)網(wǎng)的有效管理。中學校園網(wǎng)信息安全設計中學教育已經(jīng)與計算機信息教育緊密結(jié)合，網(wǎng)絡知識教學已成為中學生必修課，互聯(lián)網(wǎng)成為學生獲取知識的重要途徑；中學是基礎教育最后一個階段，作為未成年人的中學生自制力較差，判斷是非能力有限，凈化網(wǎng)絡信息尤顯迫切。中學校園網(wǎng)建設普遍處于發(fā)展階段，網(wǎng)絡規(guī)模不大，計算機數(shù)量在數(shù)百臺左右，除接入上級教科網(wǎng)，另外開通了電信寬帶直接接入INTERNET，通過路由上網(wǎng)。安裝防火墻的僅占少數(shù)，同時各學校網(wǎng)絡出口的數(shù)據(jù)流量都不大，網(wǎng)絡結(jié)構(gòu)也較為簡單，學校經(jīng)費較寬裕，有一定自主采購權(quán)。所以我們建議采用帶基本防火墻功能的FG3000低端網(wǎng)關型過濾系統(tǒng)，安裝在每個校園網(wǎng)的電信寬帶出口網(wǎng)關處，同時實現(xiàn)網(wǎng)絡安全防護和信息過濾功能，硬件過濾網(wǎng)關性能出眾，有最佳的性價比。系統(tǒng)包括FG3000網(wǎng)關型過濾服務器、控制臺、日志報表管理器3部分組成。對各所中學，在電信寬帶出口處嵌入一臺FG3000低端過濾網(wǎng)關，實現(xiàn)安全防護、信息過濾、訪問控制等功能。既能抵御外網(wǎng)對校園網(wǎng)內(nèi)主機的非法攻擊，同時對進出校園網(wǎng)的數(shù)據(jù)包進行監(jiān)控和過濾，攔截用戶對有害信息的訪問和有害信息的傳播?？蛇x擇網(wǎng)關和透明網(wǎng)橋方式進行安裝。FG3000過濾網(wǎng)關具有基本的防火墻功能，能實現(xiàn)IP包過濾、NAT地址轉(zhuǎn)換、防DoS攻擊等功能，保護整個校園網(wǎng)主機和終端的安全；FG3000過濾網(wǎng)關采用高性能軟硬件一體化結(jié)構(gòu)設計，基于LINUX內(nèi)核的WebRoad操作系統(tǒng)具有性能穩(wěn)定可靠、執(zhí)行效率高等特點，配合優(yōu)化的“黑名單”過濾模塊，在實現(xiàn)基本防火墻功能的同時達到了高效的過濾性能。系統(tǒng)能處理百/千兆吞吐量，支持20萬以上的并發(fā)連接，延時小、掉包率低，對網(wǎng)絡性能影響小。控制臺軟件安裝在校園局域網(wǎng)內(nèi)任意電腦上，采用C/S模式提高過濾系統(tǒng)的安全性，GUI界面方便管理員操作。實現(xiàn)對過濾服務器的規(guī)則設置和管理，制定每臺上網(wǎng)電腦的訪問控制策略，同時監(jiān)控網(wǎng)絡運行，顯示各類系統(tǒng)狀況信息和用戶實時上網(wǎng)信息。日志報表管理系統(tǒng)安裝于校園局域網(wǎng)內(nèi)任意電腦上，通過從數(shù)據(jù)庫下載用戶歷史訪問記錄，對學校各節(jié)點上網(wǎng)訪問記錄進行查閱、統(tǒng)計、分析、生成多種報告，管理員可以根據(jù)統(tǒng)計報告提供的信息，分析出學校信息點對互聯(lián)網(wǎng)的訪問情況，以便調(diào)整訪控制策略，從而實現(xiàn)對信息點訪問互聯(lián)網(wǎng)的有效管理。小學校園網(wǎng)信息安全設計小學教育屬于啟蒙教育階段，學生接觸互聯(lián)網(wǎng)較少，網(wǎng)絡主要服務于辦公和教學應用?？傮w上網(wǎng)絡規(guī)模較小，計算機數(shù)量屈指可數(shù)（數(shù)十臺），向上接入教科網(wǎng)，另外也申請了電信寬帶，一般通過代理方式上網(wǎng)，流量非常小，網(wǎng)絡結(jié)構(gòu)簡單。學校經(jīng)費較緊張，一般無力購買昂貴的硬件設備。考慮到小學的實際情況，我們建議采用純軟件過濾系統(tǒng)，安裝在校園網(wǎng)的電信寬帶上網(wǎng)代理服務器上，實現(xiàn)有害信息過濾功能，軟件過濾系統(tǒng)適用于小型的局域網(wǎng)，如電腦教室、電子閱覽室、學校辦公網(wǎng)等。純軟件系統(tǒng)投資少，性能優(yōu)越，有良好的性價比。系統(tǒng)包括純軟件過濾系統(tǒng)SIMforWindows、控制臺、日志報表管理器3部分組成。對各所小學，在電信寬帶上網(wǎng)代理服務器上安裝一套過濾軟件，實現(xiàn)信息過濾、訪問控制等功能。軟件自動對進出校園網(wǎng)的數(shù)據(jù)包進行監(jiān)控和過濾，攔截用戶對有害信息的訪問和有害信息的傳播。依托代理服務器強大的硬件處理能力，軟件過濾系統(tǒng)能處理百兆吞吐量，支持5000以上的并發(fā)連接，過濾效率高、延時小、掉包率低，對網(wǎng)絡性能影響小。控制臺軟件安裝在校園局域網(wǎng)內(nèi)任意電腦上，采用C/S模式提高過濾系統(tǒng)的安全性，GUI界面方便管理員操作。實現(xiàn)對過濾系統(tǒng)的規(guī)則設置和管理，制定每臺上網(wǎng)電腦的訪問控制策略，同時監(jiān)控網(wǎng)絡運行，顯示各類系統(tǒng)狀況信息和用戶實時上網(wǎng)信息。日志報表管理系統(tǒng)安裝于校園局域網(wǎng)內(nèi)任意電腦上，通過從數(shù)據(jù)庫下載用戶歷史訪問記錄，對學校各節(jié)點上網(wǎng)訪問記錄進行查閱、統(tǒng)計、分析、生成多種報告，管理員可以根據(jù)統(tǒng)計報告提供的信息，分析出學校信息點對互聯(lián)網(wǎng)的訪問情況，以便調(diào)整訪控制策略，從而實現(xiàn)對信息點訪問互聯(lián)網(wǎng)的有效管理。信息安全審計管理要保證整個教育網(wǎng)絡的安全，必須是全方位、多層次、立體化的安全設計，除了殺毒軟件、防火墻、過濾系統(tǒng)外，還要對信息進行審計，及時了解用戶的網(wǎng)絡活動，掌握用戶的上網(wǎng)規(guī)律，發(fā)現(xiàn)存在的有害網(wǎng)絡活動，以便制定更有效的安全管理措施。信息安全審計系統(tǒng)做為一套獨立運行的后臺管理軟件，可以安裝于教育網(wǎng)內(nèi)任意一臺電腦上，通過教育城域網(wǎng)與各級學校安裝的過濾系統(tǒng)通信，下達審計策略和接收上報信息，實現(xiàn)全教育網(wǎng)信息的集中審計和告警管理。信息審計功能能及時發(fā)現(xiàn)網(wǎng)內(nèi)的違規(guī)網(wǎng)絡活動和有害信息的傳播。審計策略設置：對教育網(wǎng)內(nèi)所有上網(wǎng)用戶設置信息安全審計策略，信息審計主要包括IP地址、URL地址、內(nèi)容關鍵詞、FTP文件、郵件地址、郵件內(nèi)容、QQ/ICQ號、MSN號、游戲帳號等；同時對觸發(fā)審計規(guī)則的上網(wǎng)事件設定訪問控制方式：允許訪問、禁止訪問、告警。告警管理：可實時接收任一信息點觸發(fā)審計規(guī)則的告警事件，對該事件做出及時處理，允許或禁止訪問目標資源；同時向?qū)徲嬛行臅l(fā)出告警，以便及時進行監(jiān)控，告警的形式可設為電腦發(fā)聲、閃爍顯示顯示、發(fā)Email，也可將情況及時通過短信息傳到值班人員的手機上。同時將所有告警記錄存入后臺數(shù)據(jù)庫內(nèi)（包括學校\源終端\審計策略\日志\告警記錄\管理員信息），便于統(tǒng)計分析，追查責任，調(diào)整安全管理策略。校園上網(wǎng)電腦管理通過網(wǎng)絡身份認證和訪問控制管理，可杜絕網(wǎng)內(nèi)無權(quán)用戶的網(wǎng)絡活動，提高網(wǎng)絡安全和網(wǎng)絡資源的有效利用。各級過濾系統(tǒng)具有完善的網(wǎng)絡身份認證和訪問控制管理，無需安裝任何客戶端軟件，可細化到對每一臺網(wǎng)內(nèi)電腦的信息安全控制，具有實施簡單，安裝維護管理方便等特點?？赏ㄟ^捆綁IP、MAC、IP+MAC、用戶賬號等四種方式對用戶身份進行認證，IP+MAC地址認證方式可防止盜用IP地址的欺騙行為，而采用用戶帳號認證時，系統(tǒng)使用SSL加密技術通過IE窗口登陸認證，使用簡單、安全性好。完善全面的訪問控制管理可細化到每一臺電腦，包括：內(nèi)容分類訪問控制、分組訪問控制、上網(wǎng)時段訪問控制、協(xié)議訪問控制、網(wǎng)段訪問控制。實現(xiàn)不同單位、不同部門、不同年級學生的不同管理需要。四．基本工作原理4.1網(wǎng)絡信息過濾技術的分類目前主要的網(wǎng)絡信息過濾技術分為四種：關鍵詞識別過濾、模板識別過濾、圖象識別過濾、名單分類（黑名單）過濾。關鍵詞識別就是根據(jù)文字信息內(nèi)容中是否包含有特定的關鍵詞以及出現(xiàn)的頻率，判斷信息內(nèi)容的性質(zhì)，這是最早采用的技術，實現(xiàn)較易，但用于文字的多意性及復雜性，很容易造成誤判，誤過濾性較高；模板識別就是對信息內(nèi)容按特定模式進行統(tǒng)計計算，然后與預先生成的模板進行匹配，以判斷其內(nèi)容的相似程度，這種方法的判斷可靠性較高，但需要較長的計算時間，直接給用戶使用時要求設備性能較高；圖象識別技術可分辨不同暴露程度的人體圖片，但只能判斷部分色情圖片信息；而名單分類過濾技術就是采用關鍵詞識別、模板識別、圖片識別等技術先將網(wǎng)站內(nèi)容進行分類，生成特地的分類名單庫，然后根據(jù)用戶訪問的URL，識別其內(nèi)容等級，以決定是否過濾，其優(yōu)點是過濾準確，難點是要求先收集特定的分類網(wǎng)站名單，其名單收集分類的準確于否決定了其過濾的準確性。目前國際上普遍采用的過濾方式是名單分類（黑名單）過濾。4.2“過濾王”名單分類生成原理由于全球互聯(lián)網(wǎng)的網(wǎng)站達數(shù)千萬個，并且每天都在增加，所以必須采用網(wǎng)站自動智能收集分類的方式，以提高名單庫的完整性。首先采用“網(wǎng)絡機器人”盡可能多地進行分類名單的收集；然后對收集的名單信息進行模板自動識別，以決定其名單類別；對識別值介乎于中間段的信息名單進行人工判斷，以保證對名單分類的準確。名單收集的主要方式有：搜索引擎目錄名單收集，聯(lián)接名單收集，關鍵詞搜索名單收集，網(wǎng)段名單收集。珠海捷朗菱網(wǎng)絡科技有限公司經(jīng)過多年的不斷研究，開發(fā)出了具有自主知識產(chǎn)權(quán)達到國際先進水平的名單收集分類技術，形成了9大類32小類的300多萬條的分類黑名單庫，而且每天還在不斷地更新和增加，保證了過濾系統(tǒng)的過濾有效性。4.3旁路偵聽過濾工作原理目前許多交換機都有鏡象功能（mirror），可通過一個端口對網(wǎng)絡中某個端口或全部端口的數(shù)據(jù)進行復制，而對共享型的集線器則可在任何一個端口偵聽到所有通過集線器的數(shù)據(jù)，采用偵聽方式就可獲得網(wǎng)絡中的數(shù)據(jù)，并對偵聽到的數(shù)據(jù)進行協(xié)議分析和處理，而不會對網(wǎng)絡的性能造成任何影響。如下圖就是將FG3000安裝在交換機的鏡像端口，并對網(wǎng)絡到路由器的所有數(shù)據(jù)進行偵聽：當用戶要訪問一個網(wǎng)站時，用戶在終端輸入要訪問網(wǎng)站的URL，然后向DNS服務器發(fā)送一個請求包，請求解析被訪問網(wǎng)站的IP地址，得到IP地址后，再向網(wǎng)絡上的路由器發(fā)送請求，路由器根據(jù)請求包中的目的地址，將請求數(shù)據(jù)包送到被訪問的服務器，被訪問的服務器根據(jù)用戶的請求向用戶返回相應的內(nèi)容數(shù)據(jù)。當我們安裝了FG3000過濾系統(tǒng)后，在用戶向網(wǎng)絡發(fā)送請求包達到交換機時，F(xiàn)G3000通過鏡象端口就獲得了該用戶的訪問請求，這時FG3000根據(jù)用戶訪問的URL地址判斷是否是“黑名單”網(wǎng)站，如果是則向用戶端電腦發(fā)出一個空的應答信息或終止數(shù)據(jù)包Reset，同時向被訪問的服務器發(fā)出一個終止數(shù)據(jù)包Reset，要求服務器終止數(shù)據(jù)的傳輸，這樣就實現(xiàn)了禁止用戶對該網(wǎng)站的訪問，達到信息過濾的目的。由于用戶到被訪問的服務器之間要通過許多的路由和網(wǎng)絡設備，數(shù)據(jù)傳輸所花的時間較長，同時FG3000系統(tǒng)經(jīng)過系統(tǒng)優(yōu)化能在最短的時間內(nèi)進行判斷和發(fā)出終止包，就能保證在服務器的應答信息還沒返回給用戶時，就終止用戶訪問的連接。由于旁路偵聽工作模式時，F(xiàn)G3000系統(tǒng)服務器只是處于旁路的狀態(tài)，不對用戶的通信數(shù)據(jù)進行存儲和轉(zhuǎn)發(fā)，所以不會造成網(wǎng)絡數(shù)據(jù)的延時和丟包，不改變原來的網(wǎng)絡結(jié)構(gòu)，不受用戶網(wǎng)絡操作系統(tǒng)的限制。旁路方式對用戶網(wǎng)絡的安全性也不產(chǎn)生任何影響，即使本系統(tǒng)出現(xiàn)故障，也不影響用戶網(wǎng)絡的正常運行。五．產(chǎn)品主要功能及特點5.1支持大流量的FG3000高端旁路型過濾服務器FG3000過濾服務器采用自主研發(fā)的LINUX內(nèi)核WebRoad專用安全操作系統(tǒng)，安全高效穩(wěn)定，特別優(yōu)化設計的過濾引擎能最大限度地發(fā)揮服務器平臺的硬件性能，具備廣泛的網(wǎng)絡適應能力，從小型的HUB網(wǎng)絡環(huán)境，到復雜的三層交換網(wǎng)絡，支持百兆、千兆網(wǎng)絡。由于采用了旁路過濾工作方式，具有強大的信息過濾效率，安裝方便，無需改變已有的網(wǎng)絡結(jié)構(gòu)，對網(wǎng)絡數(shù)據(jù)不造成任何的延時和丟包，不影響網(wǎng)絡流量，支持無限大并發(fā)連接數(shù)，不會成為網(wǎng)絡瓶頸，即使系統(tǒng)出現(xiàn)故障，也不影響整個網(wǎng)絡的正常運行，保持用戶系統(tǒng)原有的帶寬和效率不變，消除了用戶安裝過濾系統(tǒng)后對網(wǎng)絡安全性和穩(wěn)定性造成影響的顧慮。實現(xiàn)網(wǎng)絡安全防護、有害信息過濾、訪問控制管理、信息審計等綜合安全管理的目的，完全滿足教育城域網(wǎng)大型網(wǎng)絡主出口大數(shù)據(jù)流量安全管理的要求。5.2帶有基本防火墻功能的FG3000過濾網(wǎng)關FG3000網(wǎng)關型過濾服務器除了實現(xiàn)高效的有害信息過濾信息以外，還集成了基本的防火墻功能和防黑客攻擊能力，在網(wǎng)絡出口處可采用網(wǎng)關或網(wǎng)橋方法工作，對所有進出數(shù)據(jù)進行監(jiān)控、過濾、轉(zhuǎn)發(fā)，能實現(xiàn)包過濾、訪問控制、身份認證、網(wǎng)絡地址轉(zhuǎn)換、虛擬網(wǎng)橋、有害信息過濾、攻擊防御、審計告警等全面的安全功能。采用WebRoad專用安全操作系統(tǒng)，加上優(yōu)化的防火墻和“黑名單”過濾技術，結(jié)合軟硬一體化的服務器，使FG3000過濾網(wǎng)關具有良好的網(wǎng)絡性能和安全指標，系統(tǒng)安全穩(wěn)定、功能全面、性價比高，特別適合于中小學校園網(wǎng)的安全防護。系統(tǒng)滿足百/千兆吞吐量，支持20萬以上的并發(fā)連接，延時小、掉包率低，對網(wǎng)絡性能影響小。IP+MAC地址梆定：在用戶身份認證時可通過設定的MAC地址綁定功能，防止非法用戶盜用IP進行網(wǎng)絡活動。NAT雙向地址轉(zhuǎn)換：系統(tǒng)允許用戶預設內(nèi)外網(wǎng)的IP地址及端口轉(zhuǎn)換規(guī)則，減少內(nèi)網(wǎng)電腦使用外網(wǎng)IP的數(shù)量，同時避免與外部的直接連接，提高內(nèi)網(wǎng)的安全性能。防御DOS攻擊：系統(tǒng)針對各種DOS攻擊，對安全內(nèi)核進行了改進，能識別和阻止常見的各種DOS攻擊，包括：SynFlood、Smurfattack、PingOfDeath、TeardropAttack、Land-BasedAttack、PingSweep、PingFlood。防御ICMP和IGMP攻擊。系統(tǒng)對進出所有數(shù)據(jù)包的監(jiān)控、協(xié)議分析、有害信息攔截過濾、對上網(wǎng)用戶進行嚴密的訪問控制，對信息進行審計，各類觸發(fā)事件產(chǎn)生告警信息，上報至審計中心，實現(xiàn)全面的安全功能。5.3經(jīng)濟實用的過濾軟件SIMforwindows軟件過濾系統(tǒng)基于windows平臺，適用性強，投資少，效果明顯，使用維護簡單。只需要一臺普通PC承載，即可實現(xiàn)有害信息過濾、訪問控制管理、信息審計等綜合安全管理，性能絲毫不亞于硬件產(chǎn)品。非常適用于網(wǎng)絡結(jié)構(gòu)簡單、上網(wǎng)終端較少的小學校園網(wǎng)。5.4強大的有害信息過濾采用國際先進水平的具有自主知識產(chǎn)權(quán)的名單信息分類技術，經(jīng)過多年的不斷收集和積累，已形成URL地址名單庫達400多萬條，這些地址庫按照國際的信息分類標準進行，分為9大類32小類，特別是針對中國的國情，加強了對中文有害信息、反動政治、邪教等信息的收集，使網(wǎng)絡中色情、反動、暴力、賭博等有害信息過濾有效性高達96%以上，誤屏蔽率小于1%，達到國際先進水平；完全滿足校園信息安全管理的需求。同時珠海捷朗菱網(wǎng)絡公司具有專業(yè)的工具和人員每天都在收集和更新分類名單，保證過濾系統(tǒng)的有效性。針對中小學的學生年齡的差異，我們將影響學生的信息進行了細分，將有害信息按危害程度和性質(zhì)不同進行分類，分為有害信息、指導信息、娛樂信息、特別信息，共四類信息。由管理員根據(jù)上網(wǎng)學生的年齡、年級等情況分別選擇禁止或允許訪問。有害信息：包括色情、暴力、毒品、邪教、賭博等。該類信息對學生危害非常大，系統(tǒng)將禁止用戶訪問。指導信息：包括性健康、性教育、寫真集等。該類信息對高年級的學生教育有幫助，但不適宜低年級學生觀看。因此，則應由管理員根據(jù)上網(wǎng)學生的年齡進行選擇。娛樂信息：主要是游戲。一般情況下，根據(jù)學校的規(guī)定可考慮在不同的時段進行開放。特別信息：主要是交友信息。該類信息對沒有自制能力的學生有不良影響。5.5在線數(shù)據(jù)更新服務由于互聯(lián)網(wǎng)上的信息每天都有變化，各類URL地址層出不窮，為保證過濾系統(tǒng)的準確性，本系統(tǒng)會自動通過互聯(lián)網(wǎng)從公司地址名單服務器下載最新名單數(shù)據(jù)，保證了對分類過濾系統(tǒng)的及時有效性，地址名單通常在一周內(nèi)更新一次。5.6靈活的自定義URL地址由于互聯(lián)網(wǎng)上站點包羅萬象，用戶對分類地址定義的標準又不相同，分類URL地址數(shù)據(jù)庫不可能窮盡所有的網(wǎng)站。對于數(shù)據(jù)庫中不包含的地址或與用戶分類不同的地址，系統(tǒng)管理員可自行定義，增加允許或禁止訪問的分類地址；系統(tǒng)對用戶自定義的地址進行優(yōu)先處理。5.7強大的關鍵詞過濾功能通過審計中心可以定義各種關鍵詞審計策略，形成關鍵詞庫，可實現(xiàn)對關鍵詞的有效過濾；對目前網(wǎng)絡上泛濫成災的“六合彩”、“法輪功”、“賭波”等非法信息有很好的堵截效果，關鍵詞過濾主要包括以下幾種方式：WEB頁面內(nèi)容關鍵詞過濾，一旦用戶請求訪問頁面存在匹配的關鍵詞，系統(tǒng)會自動將該頁面阻斷，嚴密監(jiān)控上網(wǎng)用戶瀏覽不良網(wǎng)頁信息；可實現(xiàn)信息發(fā)布關鍵詞過濾，只要用戶在Web頁面、BBS留言板、聊天室輸入含關鍵詞的語句或文章，系統(tǒng)都能立刻攔截，終止信息傳送，避免各種不良信息散布。簡單的垃圾（敏感）郵件過濾，可以對郵件標題、郵件正文、簡單附件（.txt，.doc）等進行分析過濾，本系統(tǒng)可自動識別郵件采用的不同文本編碼方式（包括Base64和QuotedPrintable）,可識別常見的文件壓縮方式，如ZIP、RAJ等。當有人使用POP、SMTP協(xié)議收發(fā)的郵件中含有該關鍵詞時，系統(tǒng)能自動中止郵件收發(fā)，一定程度上緩解垃圾郵件對網(wǎng)絡的沖擊。文件上傳下載過濾，對通過FTP、P2P、MSN、QQ等傳輸?shù)奈募?，只要文件名符合預設的關鍵詞，都能被禁止。所有關鍵詞過濾動作都會產(chǎn)生事件告警，直接上報到審計中心。系統(tǒng)專門針對多種網(wǎng)絡協(xié)議進行優(yōu)化，能快速對比分析字符串，阻斷數(shù)據(jù)傳輸，不受帶寬流量和用戶應用軟件影響。5.8

全面的安全審計功能除了上面的關鍵詞過濾外，系統(tǒng)還可下達IP地址、URL地址、FTP文件、SMTP郵箱地址、POP郵箱地址、ICQ/OICQ號、MSN號、部分游戲帳號等的審計策略，審計中心可以實時監(jiān)控終端用戶上網(wǎng)情況，接收違規(guī)事件告警。例如某用戶用預設QQ號上網(wǎng)時，校園過濾系統(tǒng)采取相應的控制動作，如禁止該用戶上網(wǎng)，同時向?qū)徲嬛行陌l(fā)出告警，并存入日志數(shù)據(jù)庫。包括以下審計信息：網(wǎng)站地址審計預設特定的IP地址或URL，當有人訪問該IP地址或URL時，可以允許或禁止訪問，審計系統(tǒng)可及時發(fā)出告警，并將告警的詳細信息上傳管理中心。ICQ、OICQ、MSN號審計預設某個特定的ICQ、OICQ號、MSN號，當有人使用該號上網(wǎng)聊天時，