一、用户背景分析
中国人民解放军第二炮兵工程学院位于千年古都西安,创建于一九五九年,是我国唯一的培养战略导弹部队技术指挥军官及各类专门技术人才的高等军事工程技术院校,是全国全军重点高等院校和军队“2110 工程”重点建设院校。学院东依骊山,西临灞水,交通方便,环境优美,院内景色秀丽,教学设施配套,办学条件优越,是学习和科研的理想场所。
学院十分重视重点学科建设并大力加强实验室建设,现有实验室90多个,拥有现代化的计算机中心、网络管理中心、教育技术中心和武器模拟中心,设有全国液压检测中心、二炮环保科研中心,建有宽敞明亮的图书馆、教学大楼、试验大楼、办公大楼、大礼堂;并且学院还配有设备较好的体育场、游泳池、文化娱乐活动中心和文化专修室等一整套文化活动设施。在网络建设方面,学院设立了中国人民解放军军事训练信息网西北中心,开通了校园网,实现了访问国际因特互联网、中国教育科研网和军事训练信息网,提供了对外学术交流的先进手段,实现了计算机检索与查询,建立了军内外较先进的电子阅览室,与地方大学联合实现了资源共享。
二、用户需求分析
随着学校扩建以及互联网外部环境的日益复杂,再加上学院特殊的背景,对于网络安全及管理方面的需求就更加迫切。为了解决学院网络中存在的安全隐患,以及满足国家对互联网管理的要求,并对校园网络作出应有的管理,学院领导对针对学院网络的改造提出以下目标:
1、保障网络运行稳定
目前互联网已成为学院师生们学习和生活中不可缺少的一部分,因此校园网络稳定性至关重要;但由于用户众多,相应的网络出口带宽也极其巨大,这种巨大的网络流量对网络设备的稳定性提出了极高的要求,而设备的稳定性又会直接影响到网络的稳定,从而影响到学院师生们的网络使用状况。因此保障高校网络稳定运行是高校网络改造必须要考虑的因素。
2、制定和实施一套被老师和学生所接受的互联网使用政策
虽然学院有相关使用互联网的规定,但是却由于没有一套完善的实施机制确保制度得到执行,因为需要制定和实施一套被老师和学生所接受的互联网使用政策,来对校园网络进行管理和规范。
3、针对用户及应用对网络进行合理管控
学院现有的防火墙等网络设备只能对2~4层信息进行分析,没有实现对4层以上信息进行分析。从而网络管理员将无法实现针对用户以及网络应用来实现对互联网应用的合理管控。
4、保障带宽资源的合理应用
由于P2P类的应用软件的大量使用,非常容易消耗掉大量的宝贵带宽资源。严重影响正常的网络使用。学院需要通过合理的解决方案,用以提高网络资源的合理利用,最大化网络基础建设的投资回报。
5、为学生营造良好的成长环境
作为校园网的主体用户的学生,其正处于成长阶段,良好的成长环境能够造就一批思想道德高尚、符合社会发展潮流的高端人才。而互联网在目前学生们的日常生活中占有极重要的地位,是学生们获取信息、与外界沟通的一种重要方式,互联网上面的信息对成长中的学生的人生观、价值观以及世界观的形成有着不可小视的影响。但是,在面对学生通过互联网获取信息以及与外界沟通又不能采取禁止访问、一刀切的方式来保证不良信息涌入校园,否则每一个校园网将会是一个与外界隔绝的信息孤岛,校园信息化也就失去了其本身的意义。
6、降低学校的法律风险
学院的师生们可以利用学校提供的互联网连接,不仅可访问色情、反政府等不良网站,还有可能发表非法言论或从事其他一些非法活动。这些与互联网有关的活动可能会给学校带来法律上的麻烦。
综上所述,由于学院校园网络的特性,其巨大的数据流量如果需要记录,所需的设备稳定性将受到极大的考验;同时,在学院现有的设备中,能够完整记录用户上网行为数据的设备造价也相当昂贵。对于正在使用中的校园网络,稳定和安全是第一位的。由于网络用户极多,并且流量巨大,普通网络设备就算是正常转发数据也将会承受极大压力,更不用说分析数据内容并且记录数据了,因此设备的稳定性至关重要。
三、莱克斯Netoray NSG上网行为管理解决方案
在经过与多家网络安全解决方案供应商的沟通后,最终决定选择莱克斯科技(北京)有限公司自主研发的Netoray NSG-20000上网行为管理系统产品及其配套解决方案。
在产品选型后,学院对产品进行了试用。此项目所送测的产品是Netoray NSG-20000,该产品是经专业化设计研发的上网行为管理平台,在测试过程中,表现出了令人折服的稳定性、可靠性和安全性,并且具备翔实易用的管理报告功能。因此,Netoray NSG-20000给二炮工程学院网络中心的管理人员留下了深刻的印象。
学院网络管理中心的老师表示,Netoray NSG-20000采用的是透明桥接部署,起初,最担心在网络流量过大时,会产生丢包以及宕机现象,但是,在测试过程中,该设备都表现出了良好的稳定性和可靠性,没有产生丢包和宕机现象。此外,Netoray NSG-20000的报告系统,能够实时地提供学院所有人员上网的状况和详实易懂的图表,上网行为信息统计更是一目了然。
最终,二炮工程学院选择了莱克斯的Netoray NSG-20000上网行为管理系统,作为二炮工程学院的上网行为解决方案。所选择的解决方案包括:
1、Netoray NSG-20000上网行为管理系统两台(支持 20000用户同时在线)
学院使用莱克斯的Netoray NSG-20000 上网行为管理系统执行过滤工作,采用透明桥接部署的方式对所有经过出口的流量进行分析,再根据所设定的管理规则对数据进行管理,或监控或封堵。NSG设备启用软硬件bypass功能,这样既避免网络单点故障造成网络瘫痪的风险,同时也不会影响原有的网络结构,又达到了管理校园网行为管理的目的。Netoray NSG-20000的这种部署模式提供了强大而且稳定的集成方案,并且可以在采用单一系统时支持超过 20,000个用户同时使用。再通过莱克斯的上网行为管理系统所提供的各种详细报表,网络中心可以清楚了解网络的应用与潜在网络威胁风险。同时,还可保留上网行为记录以便作为日后审计追查使用。
2、网络拓扑
图:二炮工程学院上网行为管理部署解决方案
四、方案效果评价
目前,二炮工程学院采用透明桥接模式部署莱克斯的Netoray NSG-20000上网行为管理系统,对所有的用户行为进行记录,对涵盖黄赌毒等网站进行过滤,对p2p流量进行限速,并通过简单直观的方式,产生翔实易懂的报告。通过报告,信息中心就可以清楚地看到网络流量的状况,用户浏览网址的情况,及时发现和解决问题。
同时,Netoray NSG-20000拥有一个庞大的URL数据库,这个数据库都是经过认真的整理而创建的,因此,对于一些敏感和不良网站,都可以完全进行封堵。同时,莱克斯的URL数据库是可以自定义,可以根据网络中的实际情况,对URL的网站定义进行修改和更新,既方便了用户管理,也在一定程度上起到了过滤不良网站,创造校园绿色互联网环境的预期效果。
作为一所全国全军重点高等院校,二炮工程学院广大师生的绿色上网是绝对主体,对网络上的各种信息兼收并蓄。对于一些不良网站的访问也时有发生。有些人是有意的,也有一些人是出于好奇的无意行为。自从安装了莱克斯Netoray NSG上网行为管理解决方案之后,校园内师生的上网行为得到了很好的规范,避免了不健康信息在校园网的肆意传播。同时,整个运营网络的上网记录基本都存储在设备上,方便随时进行查询。
莱克斯Netoray NSG上网行为管理解决方案的使用,有效解决了学院互联网使用政策的可实施性问题,帮助学院制定和实施一套适合自己的互联网使用政策,并使得学院免于网络管理及安全方面潜在问题的困扰。