方案概述

     随着近几年国家对高等院校的持续投入和建设，高校的规模日渐扩大，内部用户规模动辄上万。对高校校园网来说，其网络访问行为异常丰富，这给校园网的整体可用性、可控性和高效性都提出了挑战。在这万人的网络环境中如何能够有效的进行网络安全管理，同时又不增加管理人员的工作压力，是需要解决的重要问题。

1. 高校学生处于“活跃期”，难免会在公网论坛、BBS等发布过激/非法言论，甚至参与非法网络活动（如反动、邪教等），涉及学校名誉损失及法律风险；
2. 互联网上各种不健康内容的网页和链接越来越多，学生容易受到互联网上不良信息的影响；
3. 网络游戏、聊天交友成为互联网普及以后学生最容易沉迷的活动，尤其是对自制力差的学生更为严重，熬夜上网的情况成为普遍，影响学业和身心健康；
4. BT、电驴、在线电影等P2P应用的使用，导致正常应用带宽被占满。同时也影响了课件传输、多媒体应用教学等正常应用。
5. 即使部署众多安全措施，安全威胁还是无孔不入，最典型的就是内网ARP欺骗，导致网络异常甚至瘫痪。

典型组网

     方案设计为分布式部署+集中统一式管理模式。从逻辑功能上划分，整个方案分为两大块，一是监控模块，一个是管理平台。监控模块工作在系统的底层部分，即OfficeTen网络行为管理终端设备，部署于高校各网络分支，如教学楼、学生宿舍楼、办公楼、图书馆等。负责数据的采集和分析，同时也接收来自管理平台下发的各种策略，并将这些策略加以实施；管理平台主要是用于管理员的管理工作，即安全管理中心SOC，任何一位合法的管理员都能通过安装有浏览器的电脑来访问和控制SOC安全管理中心。OfficeTen SOC可部署于校园中心机房，也可部署在Internet的任意节点处，比如公安网监处或者运营商IDC机房。

方案特点

• 监控终端管理，保证实时在线

     管理员通过登陆SOC，能够实时查看各级单位监管终端的连接和工作状态，防止因设备故障、网络连接中断等客观因素或者人为断连监控终端等行为造成监管失效，时刻保证网络处于安全的受控状态。

• 统一策略下发，简化管理模式

     SOC可以对所有的监管终端设备进行远程集中控制，下发统一控制策略，而不需要单台设备登录配置。同时单台终端设置的策略也会上报至安全管理中心，保证中心管理员对整个网络的全面监管。策略下发具有重传机制，一旦发现终端设备在线，安全管理中心即会进行连接，防止策略漏发。

• 管控违法信息传播，用户精确定位

     对论坛、博客、邮件、网络聊天等外发信息进行关键字过滤和记录，当有违法、过激言论等不良信息传播时，管理人员可收到及时的告警，定位相关的班级、PC或人员，并在安全管理中心中找到相关记录作为法律举证的重要依据。

• 过滤有害内容，引导网络文化观念

     依靠海量URL分类库，实现对用户访问网页的控制，全面封堵色情、暴力、反动等不良网站，净化上网环境。

• 封堵无益网络行为，阻止网络沉迷

     全面限制上网聊天、在线电影、网络游戏等与教育不相关的上网活动，并制定网络作息时间，校正学生上网行为，防止网络沉迷，让学生们更多的投入到学习当中。

• 合理分配带宽，保障关键业务

为不同的个人/班级/应用分配合理的带宽，例如：允许学生们使用P2P软件，但控制和管理P2P占用的带宽，合理利用带宽资源。此外，对课件传输、多媒体教学等重要业务实行带宽保证，并设置优先级，保障其不管在何种情况下都具有充足的带宽。

• 精细化报表统计，提供网络管理支持

     提供数多种统计报表对上网流量、网络活动频率、上网应用情况等进行统计，可生成各类排行榜，从各个角度对校园网络使用情况进行分析，提供网络管理员决策支持。

• 风险网站过滤及攻击防范，校园网络更安全

     对高风险网站、下载文件类型等进行过滤，避免老师或学生上网操作不当而引起的病毒、木马感染。同时还提供防ARP欺骗、防DDOS攻击等业务，全面提升网络安全系数。