为网络披上软猬甲之防、堵、疏，净化校园网络有害信息

　　互联网技术和应用的快速发展，使得各种网络应用日趋普及，上网的环境和方式也更加多样。目前，有Internet的地方，青少年就能够掌握上网技巧，网络已经成为他们交流思想、获取信息的主要方式之一。现在，学生将校园网络当作简单的上网工具，在访问互联网期间，不可避免的接触不良信息，或产生一些不负责任的言论。作为校方有责任约束学生的上网行为，并对有问题的学生进行思想教育。

　　明确职责范围

　　对学生上网行为进行约束前，要明确校园网络管理的区域与职责范围，职责范围内一定要管好，无权管理的要借助社会力量。通过对学校网络的分析，学校管理校园网络的范围应当是：校园内部，应用TCP/IP传输协议，学校自建的符合以太网标准的有线网络和符合IEEE802.11标准的无线网络，包含网络中的终端设备、服务器及服务应用软件。简单的讲就是学校自有设备连成的各种网络及网络终端和软件，不包括手机等移动通讯网络系统和终端。学校对校园网络内部的设备有控制权，就可以实现对于校园网络内部信息进行防范、控制、监管。

　　校园网络管理是一把双刃剑，约束太紧，将影响大家使用网络的积极性；约束太松，会产生大量有害信息影响学生的学习。校园网络管理过程中需要“堵”，但不能为主，不能总是担心、害怕学生“犯错误”，“堵”的太多会将学生更加厌恶学校的教育，应当“疏通”网络，给学生自由的空间，学生在校园网络中“犯错误”我们可以掌握和控制。我们不能以陈旧的思想“限制”学生的网络需求，应当要积极“引导”学生用正确、合理的方式上网，满足学生正当的要求。校园网络管理应采取“防”、“堵”、“疏”相结合的办法，“防”是防范有害信息的产生于校园网络内，“堵”是防止有害信息侵入校园网络及传播，“疏”是疏通学生思想，让学生能够有渠道正确表达自己的观点和态度。

　　封堵有害信息侵入校园网络及传播

　　在防范网络有害信息工作中，IP地址和MAC地址是具体的、重要的两个因素。网络有害的访问与传播都离不开计算机终端，计算机终端与网络连接必须有IP地址和MAC地址，防范工作就是针对计算机终端的行为进行管理、控制、限制、隔离、追踪、监视，找到计算机终端设备就可以找出相应的操作人员。

　　1. 管理好IP地址

　　任何一台计算机上网都要申请一个IP地址。在校园网络中，应该尽量少用自动获取IP地址方式，或者将自动获取IP地址行为限定在某个特殊场所。在分配IP地址过程中，IP地址要与计算机终端MAC地址绑定，这样无论这台计算机移动到哪里都可以进行追踪，基于IP地址管理的各种策略与访问控制始终有效。

　　2. 管理好MAC地址

　　MAC地址管理可以以用户端的MAC地址为过滤依据，便能从硬件上对用户端进行控制。方法是登录交换机利用ARP命令将IP地址、交换机端口绑定。端口安全功能能让你配置一个端口只允许一台或者几台确定的设备访问那个交换机；能根据MAC地址确定允许访问的设备；允许访问的设备的MAC地址既可以手工配置，也可以从交换机“学到”；当一个未批准的MAC地址试图访问端口的时候，交换机会挂起或者禁用该端口等等。

　　MAC地址是网络设备在全球的惟一编号，学校要尽可能多的掌握校内电脑MAC地址，并登记造册。获取MAC地址的方法与工具很多。管理好MAC地址将在追踪发布有害信息的源头中起到重要作用。

　　目前，可网管的网络设备具备多种访问控制管理，如地址绑定、IP地址绑定、端口访问控制、IP地址访问控制等，这些技术都是行之有效的管理方法，应用也较为普遍，但这些设备的配置较为复杂，配置得当可起到良好效果，如果配置不当会造成网络性能下降，甚至网络瘫痪。

　　3. 数据包过滤控制跨越网络的数据流

　　通过实现控制跨越网络的数据流，可以限制网络通信量，限制网络访问到特定的用户和设备。在路由器或交换机上，可通过使用访问列表来执行数据包过滤。访问列表可用来控制网络上数据包的传递，限制虚拟终端线路的通信量或者控制路由选择更新。

　　4. VLAN技术
　　VLAN隔离法 VLAN(虚拟局域网)技术是为了避免当一个网络系统中网络设备数量增加到一定程度后，众多的网络广播报文消耗大量的网络带宽，使得真正的数据传递受到很大的影响，确保部分安全性比较敏感的部门数据不被随意访问浏览而采用一种划分相互隔离子网的方法。
　　在校园网络安全方面可以起到隔离作用，根据教学需要将校园网络划分为多个VLAN，将网络有害信息传播限制一很小的区域内，也加快了网络跟踪与地址追踪范围。

舆情分析引擎系统防范有害信息

　　学生的思想变化一直是社会关注的焦点，他们之间的信息与意见通过网络快速交互，网络舆论的表达诉求也日益多元。在有效预防有害信息的产生，必须及早发现“访问”和“发布”有害信息的倾向。从发现学生访问或传播有害信息的倾向挖掘学生思想根源问题和教育工作漏洞，使问题更容易控制和解决。但这种“倾向”是不易发现和认定的，需要教育工作者细心观察。学校可以借助网络舆情监测系统来分析出这种“倾向”。

　　在网络中配备一台网络舆情监控分析系统，分析校园网络中学生对现实生活中某些热点、焦点事件所持的有较强影响力、倾向性的言论和观点。对学校来说，好的网络舆情分析产品能够让学校及时、准确获得学生思想变化情况，将学生的思想问题解决在萌芽状态，不让问题走出校园，对维护校园稳定、促进学生健康成长具有重要的现实意义，也是创建和谐校园网络内涵的有力工具。

　　合理使用网络行为控制系统

　　对校园而言，“网络行为控制系统”是管理者的好管家，它使用了最先进的网络底层监控技术和内容智能判别技术，对原有系统不会造成任何影响。它有效平衡了学校上网所带来的影响。它对校园的上网行为进行了规范和调整，避免师生访问不良网站、发布不良信息，保障了学习、工作的网上通路，节约了校园的管理开销。

　　“网络行为控制系统”的设计目的是将目前管理者普遍关注的“学生上网行为”从后台推向幕前。对于校园网内的访问各种网页行为，“网络行为控制系统”通过内置URL库，关键字过滤等方式进行管控。对于采用SSL方式加密的网页，如钓鱼网站等，使用证书验证链接黑白名单技术同样可以管控。“网络行为控制系统”不仅可以Web、FTP、E-mail等常用服务进行控制，通过深度内容检测技术，根据应用数据包四层到七层的特征码，实现对QQ、MSN、SKYPE等IM聊天工具，BT、电骡等P2P下载工具，PPLive、QQLive等在线影音工具，网络游戏，在线炒股等网络应用行为进行管理和控制。

　　在现有硬件基础上，校园网络可以采用网桥模式连接网络行为控制系统。网桥模式部署的网络行为控制系统串接在用户网络链路中，如同连接在出口网关和内网交换机之间的“智能网线”，对流经网络行为控制系统的所有数据流进行审计、控制、拦截、流量管理等操作。网桥模式主要适用于不希望更改网络结构、路由配置、IP配置的用户。

　　（1）部署方式

　　1） 采用旁路监听的部署方式，如图1。
                                                                                    

图1 旁路监听的部署方式

　　在这种部署应用模式下，上网行为管理系统可以将整个校园网络络划分为一个安全区域，上网行为管理系统管理区域内所有用户对互联网的访问。
　　2） 采用串联的部署方式，如图2。

图2 串联的部署方式

部分上网行为管理系统作为部署于机构网络出口处的核心网络设备部署，有些设备还支持双机热备功能，高端设备还有Bypass功能等，为用户提供了高可用、高可靠的内网行为管理解决方案。这种部署方式通过多种管控、审计及安全增值功能，管控机构内网员工上网行为，改善内网安全环境，提升带宽价值。

　　网络行为控制系统部署方式：网络行为控制系统的WAN口同局域网的网关相连，LAN口（DMZ口）同局域网交换机连接。局域网内的任何网络设备和PC都不需要更改IP地址。目前比较流行的网络行为控制系统采用硬件解决方案，因此具有运行速度快，不影响用户访问等优点。

　　对于网络的滥用，封堵还是放任？这是摆在校园网络管理者面前的一道难题。武断封堵，无疑是因噎废食。网络行为管理产品提供灵活地策略管理，根据企业的个性需求量身定制，帮助学校师生“上好网，用好网”，实现校园网安全、文明、健康、高效的网络环境。

　　融入过滤技术控制源头

　　上网过滤软件通常是指使用语义分析、网址过滤和图像过滤等技术，当用户访问（包含色情图片、色情内容、暴力内容）等信息时，过滤软件会立刻开始过滤，屏蔽这些访问请求，并且给访问者以警示信息的一套计算机监控系统。此外过滤软件通常不停的升级系统的语义、网址等相关数据库，以增强过滤功能和性能。一般过滤软件主要功能：

　　1.不良网站过滤

　　通过对常用浏览器的监控，对比数据库中的需过滤URL数据，判断当前网站是否已加入黑名单并执行相应操作。通常会终止用户当前正运行的用于查看“不良信息”的软件。

　　2.色情图像拦截

　　图像检测进程从待检图像队列中获取图像数据，先归一化图像尺寸，然后分离肤色区域和非肤色区域，在对肤色区域关系进行分析后去除干扰，提取区域的特征送入已训练SVM分类器。当图像被检为色情图像后送入人脸检测器，若人脸不是主要部分便确定为色情图像。

　　3.文字过滤

　　通过加载过滤关键词数据库并对当前用户查看内容进行语义分析，屏蔽不良信息包括时政类的不良信息，有时会终止用户当前正运行的用于查看“不良信息”的软件。

　　4.应用程序屏蔽

　　通过黑白名单对软件进行过滤，可以禁止各种软件（包括但不限于游戏类、聊天类、邮件类、办公软件类），并阻断以代理服务器或代理类软件而躲避网址屏蔽的匿名浏览。

　　5.应用程序监控

　　通过对应用程序（包括输入区域）监控，对比数据库中语义库，如分析到“不良信息”都会强制关闭应用程序。

　　6.网络监控

　　通过计算机相关接口获取发送和接收的数据，对这些数据进行分析，获取HTTP数据，将HTTP协议数据解析后，经过URL检测器，不良URL检测器和关键字检测器后，根据检测结果决定是否需要使用图像检测器，通过图像检测将新发现的不良网址提供给系统管理员。

　　疏通学生思想

　　学校是最合适让学生说话的地方，因为学校是教育机构，可以及时给有思想困惑的学生帮助。如果学校不让学生说话，就不知道学生的思想问题出在哪里，表面看学生很平静，但实际可能隐藏更大、更多的隐患，使得学校教育工作很被动，看起来总是在“堵窟窿”。

　　学校应当摆脱这种被动的教育方式，让学生说出他们的真实想法，学校的教育才会有针对性，才能行之有效。学校可以利用学生对网络的“迷恋”，通过校园网络提供更多的人性化服务，把学生思想留在校园网络中，给他们发表看法的空间，学校的教育工作者就可以及时调整工作方式和策略。

随着互联网技术的发展和设备的更新换代，互联网用户关心的重点已从硬件基础建设，转移到了网络服务与管理。创建和谐校园网络，不仅要加快网络基础建设，更要以育人为主线，管理为保障，实现人性化管理与技术监管相结合，充分利用政府、行会、企业、媒体、家长等各方面的作用，综合治理，群防群控，共同净化网络环境。