中小学校园上网管理系统

——给孩子们一片绿色上网天空

目  录

3

4

：              4

5

6

6

6

7

13

13

13

14

15

21

一．应用背景

近年来，随着我国网络技术的不断发展以及网络基础设施的完善，互联网已经成为目前发展最快的主要社会媒体，并有逐步替代和超越传统媒体（如报纸、电视、广播等）的趋势，将成为社会主流的信息媒介和广告平台。据中国互联网络信息中心公布的数据，截止到2004年6月，我国的上网计算机总数已达3630万台，上网用户总人数为8700万人，青少年网民占到了全部网民的53.5％，约4650多万，占了很大比例。可见，互联网在中国正以前所未有的速度高速发展，互联网已经成为了人们工作、生活的一部分。

互联网对青少年有巨大的吸引力，人们可以通过互联网学习丰富的知识、查阅丰富的信息，提高生活的质量。但由于互联网的开放性及网上信息优劣参差不齐，使得网上各种不良信息也随之泛滥，特别是反动、色情、暴力等有害信息极大地危害着社会的稳定和青少年的身心健康，而法轮功邪教组织、民运分子、各种敌对势力也利用这一舞台，对我国进行各种宣传攻势和渗透演变。人们在享受网络技术的同时，也对网上不良信息对人们的负面影响产生了担忧。特别是在中小学校，由于上网学生年龄较小，好奇心强，容易受到不良信息的影响，这些有害信息通过电子邮件、论坛、留言板、网页等途径流传到校园内，给学校的信息网络安全带来极大冲击。所以加强网络管理，采取有效的技术手段防止学生访问有害网上信息是每一个上网学校的重要问题。

按照国家教育部颁发的《全国教育事业“十五”计划》中“校校通”工程的计划，用5到10年时间，加强信息基础设施和信息资源建设，使全国90%左右独立建制的中小学校能够与网络连通，使每一名中小学师生都能共享网上教育资源。目前许多学校都已建成或正在建设校园网，校园网都与教育城域网或与INTERNET连接，实现了校园内电脑对INTERNET网信息的访问。但许多学校对网络有害信息的危害认识不足，没有采取有效的防范措施，使学生很容易访问和接触到网上有害信息，影响身心的健康发展；而有的学校由于惧怕网上有害信息，禁止学生访问互联网，使学生失去了使用网络的机会；有的学校则采取只给学生访问指定的网站，其他的一概不许访问，这又失去互联网的最大优点（能在全球范围内查找和使用信息的优点）。针对日趋严峻的网络安全形势，国家公安部、教育部、文化部、信息产业部等几大部委联合颁布了一系列针对危害公共网络信息安全的法律法规文件，通过开展专项整治活动打击了各种有害信息传播蔓延。教育部从2002年起颁布了《教育部关于对校园网信息专项清理整治工作的实施意见》（教社政[2002]5号），其中明确指出“各级各类校在加强对学生教育管理的同时，要采取在校园网上安装‘过滤’软件等技术措施，确保网络信息安全”，对目前中小学校园网日益凸显的网络信息安全问题提供了政策层面的指导，为彻底根治顽疾开出了一副良方。

另外，由于前期校园网的建设主要关注硬件及应用软件系统，而对校园网络的安全关注和投入较少，系统连接互联网后容易受到外来黑客的攻击，所以必须采取网络安全防护措施，保护校园网络的安全。

网络安全以及网络信息安全管理正成为学校管理者和公共信息网络安全监察部门的重要任务，而目前教育网对互联网信息安全的审计和管理较为薄弱，校园网络信息安全管理的落实必须与教育主管部门配合，共同落实，共同营造校园健康上网新环境，为此，我们提倡建设教育网信息安全管理平台，平台建设的主旨是以法律为依据，在统一的中心控制和管理平台下，完成对下级互联网用户的安全、审计管理。

二．教育网络普遍存在问题

2.1现状：

²       教育局的网络中心：做为教育网的中心，为学校“校校通”提供互联和信息资源中心；一般有电信宽带和教育科研网两个出口，各级学校通过这两个出口访问互联网及教育科研网；

²       各级中小学的校园网：学校建有自己的校园网，可以通过教育网络中心出口访问教科网和互联网；同时，各学校也通过电信宽带接入互联网。

²       各级学校基本没有安装防火墙、信息过滤系统等安全设备，校园网络呈半开放状态。

²       网络概况如图：

2.2存在问题：

²       作为教育网总出口，没有安装信息过滤系统保护，学生上网完全自由，互联网信息畅通无阻，各类反动、色情、暴力等有害信息极大地危害校园网络健康，这些有害信息通过电子邮件、论坛、留言板、聊天软件、文件传输、网页浏览等载体蔓延，令学校管理者防不胜防；

²       有电信互联网出口的学校网络，没有防火墙和过滤系统，缺乏必要的网络信息安全保护，有害信息和黑客非法攻击可以长驱直入，校园网毫无安全可言；

²       学校上网缺乏管理，无法控制不同单位、不同身份的人使用网络资源，对上网情况无从了解，缺乏必要有效的控制手段，尤其是作为核心管理部门的教育局网络信息中心，对各种漏洞和问题更是无处下手，对网络出现的危害信息缺乏收集机制及处置措施，往往到出事时才亡羊补牢。

²       上网主体是未成年的中小学生，自制力差、分辩是非能力有限、容易受外界引导，在网络有害信息泛滥的形势下，迫切需要强有力的保护伞。

三．系统整体架构和方案

根据教育网的现状和存在问题，建议采用“过滤王”校园网络信息安全防护整体解决方案，以达到最佳的安全及性能效果。

3.1系统设计原则

整体系统的设计原则：分布控制、分级管理、集中审计。

²       分布控制：在教育网络中心总出口和各学校网络电信宽带出口安装过滤系统，实现两级安全保护和有害信息过滤，细化到对每台电脑终端的控制和管理。

²       分级管理：按教育网络中心网管和校园网网管两级权限进行分级管理。

²       集中审计：在教育局设置信息审计中心，以便对全市/区学校上网信息进行集中审计和告警管理，提高管理效率。

3.2建设目标

实现：有害信息过滤、网络安全防护、访问控制管理、信息内容审计和日志统计查询等综合校园信息安全建设的目标。

²       建立完整的内外网防护机制，在教育网总出口设置高端的信息过滤系统，对流入的互联网信息进行高效准确过滤，同时阻断向外网散布有害信息，最大限度净化网络资源；针对有电信宽带出口的学校，可选择在出口网关处架设网关型过滤服务器，实现基本防火墙和强大有害信息过滤功能；也可选择安装纯软件过滤系统，实现信息过滤功能；保护校园网络内网络和信息的安全；

²       采用分级分布控制方式，由教育局网络中心出口的防火墙和高端过滤服务器控制各学校上网访问控制策略，再由学校网络电信出口的过滤系统控制校园网内电脑的访问控制策略，保证信息的安全和网络资源的有效利用。

²       通过两级信息安全系统，自动采集所有终端的上网日志，通过导入数据库生成历史备份，利用报表管理工具可随时查询分析，为网络管理员了解网络状况、调整上网策略提供依据。

²       在教育网络中心设置审计中心，对进出教育网的信息内容进行审计，系统会智能分析处理违规的上网行为，自动阻断各类有害信息的传播，并及时发出告警，减少网管人员的工作负担，提高处理效率。

²       通过实施综合完善的信息安全系统，提高整个教育网络的整体安全性。

3.3系统方案

根据总体设计原则和目标，采用捷朗菱网络科技有限公司的“过滤王”校园网络信息安全整体解决方案,在教育网总出口安装FG3000高端过滤系统，在各学电信宽带互联网出口安装低端过滤系统（可选硬件或纯软件），同时在教育网络中心安装信息审计系统，实现对所有上网信息的审计，提高整体安全性能。整体部署拓扑图如下：

3.3.1        教育网总出口的安全设计

在教育网的总出口，承担着所有学校和教委师生的上网任务，数据流量非常大，安全性和稳定性要求非常高，所以对该节点的安全系统性能要求很高，不能因为安全性的要求提高而降低网络和应用的性能，所以教育网整体安全系统设计的关键点和难点也在这。我们建议采用一套FG3000高端旁路过滤系统，实现信息过滤和监控的作用，该点包括过滤服务器、控制台、日志报表管理器3部分组成。

²       在教育局信息中心核心交换机上设置一个镜像端口，连接一台高性能过滤服务器FG3000（硬件），对通过总出口的数据包进行监控和过滤，拦截用户对有害信息的访问和有害信息的传播； FG3000过滤服务器采用旁路侦听过滤工作方式，可满足千兆网络上万同时在线用户教育网总出口的要求，安装方便，对现有网络，无需改变系统网络结构，不影响网络用户配置；旁路方式不影响网络流量，支持无限大并发连接数，不会成为网络瓶颈，不会增加任何网络延时和掉包，即使系统出现故障，也不影响整个网络的正常运行，保持用户系统原有的带宽和效率不变。系统采用的旁路过滤技术和黑名单过滤技术代表了国际最先进的过滤技术，是一般过滤软件和网关过滤系统无法比拟的，支持千兆教育网和城域网，满足教育网未来发展的需要。主要功能：完成互联网访问数据的侦听，过滤有害信息，按访问控制策略对上网学校进行集中管理，记录访问日志，上网身份集中验证。

²       控制台软件安装在网络中心局域网内任意电脑上，采用C/S模式提高过滤系统的安全性，GUI界面方便管理员操作。实现对过滤服务器的规则设置和管理，制定各学校及每台电脑的访问控制策略，同时监控网络运行，显示各类系统状况信息和用户实时上网信息。

²       日志报表管理系统安装于网络中心局域网内任意电脑上，通过从数据库下载用户历史访问记录，同时对节点学校上网访问记录进行查阅、统计、分析、生成多种报告，管理员可以根据统计报告提供的信息，分析出各节点学校对互联网的访问情况，以便调整访控制策略，从而实现对上网学校访问互联网的有效管理。

3.3.2        中学校园网信息安全设计

中学教育已经与计算机信息教育紧密结合，网络知识教学已成为中学生必修课，互联网成为学生获取知识的重要途径；中学是基础教育最后一个阶段，作为未成年人的中学生自制力较差，判断是非能力有限，净化网络信息尤显迫切。中学校园网建设普遍处于发展阶段，网络规模不大，计算机数量在数百台左右，除接入上级教科网，另外开通了电信宽带直接接入INTERNET，通过路由上网。安装防火墙的仅占少数，同时各学校网络出口的数据流量都不大，网络结构也较为简单，学校经费较宽裕，有一定自主采购权。所以我们建议采用带基本防火墙功能的FG3000低端网关型过滤系统，安装在每个校园网的电信宽带出口网关处，同时实现网络安全防护和信息过滤功能，硬件过滤网关性能出众，有最佳的性价比。系统包括FG3000网关型过滤服务器、控制台、日志报表管理器3部分组成。

²       对各所中学，在电信宽带出口处嵌入一台FG3000低端过滤网关，实现安全防护、信息过滤、访问控制等功能。既能抵御外网对校园网内主机的非法攻击，同时对进出校园网的数据包进行监控和过滤，拦截用户对有害信息的访问和有害信息的传播。可选择网关和透明网桥方式进行安装。FG3000过滤网关具有基本的防火墙功能，能实现IP包过滤、NAT地址转换、防DoS攻击等功能，保护整个校园网主机和终端的安全；FG3000过滤网关采用高性能软硬件一体化结构设计，基于LINUX内核的WebRoad操作系统具有性能稳定可靠、执行效率高等特点，配合优化的“黑名单”过滤模块，在实现基本防火墙功能的同时达到了高效的过滤性能。系统能处理百/千兆吞吐量，支持20万以上的并发连接，延时小、掉包率低，对网络性能影响小。

²       控制台软件安装在校园局域网内任意电脑上，采用C/S模式提高过滤系统的安全性，GUI界面方便管理员操作。实现对过滤服务器的规则设置和管理，制定每台上网电脑的访问控制策略，同时监控网络运行，显示各类系统状况信息和用户实时上网信息。

²       日志报表管理系统安装于校园局域网内任意电脑上，通过从数据库下载用户历史访问记录，对学校各节点上网访问记录进行查阅、统计、分析、生成多种报告，管理员可以根据统计报告提供的信息，分析出学校信息点对互联网的访问情况，以便调整访控制策略，从而实现对信息点访问互联网的有效管理。

3.3.3        小学校园网信息安全设计

小学教育属于启蒙教育阶段，学生接触互联网较少，网络主要服务于办公和教学应用。总体上网络规模较小，计算机数量屈指可数（数十台），向上接入教科网，另外也申请了电信宽带，一般通过代理方式上网，流量非常小，网络结构简单。学校经费较紧张，一般无力购买昂贵的硬件设备。考虑到小学的实际情况，我们建议采用纯软件过滤系统，安装在校园网的电信宽带上网代理服务器上，实现有害信息过滤功能，软件过滤系统适用于小型的局域网，如电脑教室、电子阅览室、学校办公网等。纯软件系统投资少，性能优越，有良好的性价比。系统包括纯软件过滤系统SIM for Windows、控制台、日志报表管理器3部分组成。

²       对各所小学，在电信宽带上网代理服务器上安装一套过滤软件，实现信息过滤、访问控制等功能。软件自动对进出校园网的数据包进行监控和过滤，拦截用户对有害信息的访问和有害信息的传播。依托代理服务器强大的硬件处理能力，软件过滤系统能处理百兆吞吐量，支持5000以上的并发连接，过滤效率高、延时小、掉包率低，对网络性能影响小。

²       控制台软件安装在校园局域网内任意电脑上，采用C/S模式提高过滤系统的安全性，GUI界面方便管理员操作。实现对过滤系统的规则设置和管理，制定每台上网电脑的访问控制策略，同时监控网络运行，显示各类系统状况信息和用户实时上网信息。

²       日志报表管理系统安装于校园局域网内任意电脑上，通过从数据库下载用户历史访问记录，对学校各节点上网访问记录进行查阅、统计、分析、生成多种报告，管理员可以根据统计报告提供的信息，分析出学校信息点对互联网的访问情况，以便调整访控制策略，从而实现对信息点访问互联网的有效管理。

3.3.4        信息安全审计管理

要保证整个教育网络的安全，必须是全方位、多层次、立体化的安全设计，除了杀毒软件、防火墙、过滤系统外，还要对信息进行审计，及时了解用户的网络活动，掌握用户的上网规律，发现存在的有害网络活动，以便制定更有效的安全管理措施。信息安全审计系统做为一套独立运行的后台管理软件，可以安装于教育网内任意一台电脑上，通过教育城域网与各级学校安装的过滤系统通信，下达审计策略和接收上报信息，实现全教育网信息的集中审计和告警管理。信息审计功能能及时发现网内的违规网络活动和有害信息的传播。

²       审计策略设置：对教育网内所有上网用户设置信息安全审计策略，信息审计主要包括IP地址、URL地址、内容关键词、FTP文件、邮件地址、邮件内容、QQ/ICQ号、MSN号、游戏帐号等；同时对触发审计规则的上网事件设定访问控制方式：允许访问、禁止访问、告警。

²       告警管理：可实时接收任一信息点触发审计规则的告警事件，对该事件做出及时处理，允许或禁止访问目标资源；同时向审计中心会发出告警，以便及时进行监控，告警的形式可设为电脑发声、闪烁显示显示、发Email，也可将情况及时通过短信息传到值班人员的手机上。同时将所有告警记录存入后台数据库内（包括学校¥源终端¥审计策略¥日志¥告警记录¥管理员信息），便于统计分析，追查责任，调整安全管理策略。

3.3.5        校园上网电脑管理

通过网络身份认证和访问控制管理，可杜绝网内无权用户的网络活动，提高网络安全和网络资源的有效利用。各级过滤系统具有完善的网络身份认证和访问控制管理，无需安装任何客户端软件，可细化到对每一台网内电脑的信息安全控制，具有实施简单，安装维护管理方便等特点。

²       可通过捆绑IP、MAC、IP+MAC、用户账号等四种方式对用户身份进行认证，IP+MAC地址认证方式可防止盗用IP地址的欺骗行为，而采用用户帐号认证时，系统使用SSL加密技术通过IE窗口登陆认证，使用简单、安全性好。

²       完善全面的访问控制管理可细化到每一台电脑，包括：内容分类访问控制、分组访问控制、上网时段访问控制、协议访问控制、网段访问控制。实现不同单位、不同部门、不同年级学生的不同管理需要。

四．基本工作原理

4.1网络信息过滤技术的分类

目前主要的网络信息过滤技术分为四种：关键词识别过滤、模板识别过滤、图象识别过滤、名单分类（黑名单）过滤。关键词识别就是根据文字信息内容中是否包含有特定的关键词以及出现的频率，判断信息内容的性质，这是最早采用的技术，实现较易，但用于文字的多意性及复杂性，很容易造成误判，误过滤性较高；模板识别就是对信息内容按特定模式进行统计计算，然后与预先生成的模板进行匹配，以判断其内容的相似程度，这种方法的判断可靠性较高，但需要较长的计算时间，直接给用户使用时要求设备性能较高；图象识别技术可分辨不同暴露程度的人体图片，但只能判断部分色情图片信息；而名单分类过滤技术就是采用关键词识别、模板识别、图片识别等技术先将网站内容进行分类，生成特地的分类名单库，然后根据用户访问的URL，识别其内容等级，以决定是否过滤，其优点是过滤准确，难点是要求先收集特定的分类网站名单，其名单收集分类的准确于否决定了其过滤的准确性。

目前国际上普遍采用的过滤方式是名单分类（黑名单）过滤。

4.2“过滤王”名单分类生成原理

由于全球互联网的网站达数千万个，并且每天都在增加，所以必须采用网站自动智能收集分类的方式，以提高名单库的完整性。首先采用“网络机器人”尽可能多地进行分类名单的收集；然后对收集的名单信息进行模板自动识别，以决定其名单类别；对识别值介乎于中间段的信息名单进行人工判断，以保证对名单分类的准确。名单收集的主要方式有：搜索引擎目录名单收集，联接名单收集，关键词搜索名单收集，网段名单收集。

珠海捷朗菱网络科技有限公司经过多年的不断研究，开发出了具有自主知识产权达到国际先进水平的名单收集分类技术，形成了9大类32小类的300多万条的分类黑名单库，而且每天还在不断地更新和增加，保证了过滤系统的过滤有效性。

4.3旁路侦听过滤工作原理

目前许多交换机都有镜象功能（mirror），可通过一个端口对网络中某个端口或全部端口的数据进行复制，而对共享型的集线器则可在任何一个端口侦听到所有通过集线器的数据，采用侦听方式就可获得网络中的数据，并对侦听到的数据进行协议分析和处理，而不会对网络的性能造成任何影响。如下图就是将FG3000安装在交换机的镜像端口，并对网络到路由器的所有数据进行侦听：

当用户要访问一个网站时，用户在终端输入要访问网站的URL，然后向DNS服务器发送一个请求包，请求解析被访问网站的IP地址，得到IP地址后，再向网络上的路由器发送请求，路由器根据请求包中的目的地址，将请求数据包送到被访问的服务器，被访问的服务器根据用户的请求向用户返回相应的内容数据。当我们安装了FG3000过滤系统后，在用户向网络发送请求包达到交换机时，FG3000通过镜象端口就获得了该用户的访问请求，这时FG3000根据用户访问的URL地址判断是否是“黑名单”网站，如果是则向用户端电脑发出一个空的应答信息或终止数据包Reset，同时向被访问的服务器发出一个终止数据包Reset，要求服务器终止数据的传输，这样就实现了禁止用户对该网站的访问，达到信息过滤的目的。由于用户到被访问的服务器之间要通过许多的路由和网络设备，数据传输所花的时间较长，同时FG3000系统经过系统优化能在最短的时间内进行判断和发出终止包，就能保证在服务器的应答信息还没返回给用户时，就终止用户访问的连接。

由于旁路侦听工作模式时，FG3000系统服务器只是处于旁路的状态，不对用户的通信数据进行存储和转发，所以不会造成网络数据的延时和丢包，不改变原来的网络结构，不受用户网络操作系统的限制。旁路方式对用户网络的安全性也不产生任何影响，即使本系统出现故障，也不影响用户网络的正常运行。

五．产品主要功能及特点

5.1支持大流量的FG3000高端旁路型过滤服务器

FG3000过滤服务器采用自主研发的LINUX内核WebRoad专用安全操作系统，安全高效稳定，特别优化设计的过滤引擎能最大限度地发挥服务器平台的硬件性能，具备广泛的网络适应能力，从小型的HUB网络环境，到复杂的三层交换网络，支持百兆、千兆网络。由于采用了旁路过滤工作方式，具有强大的信息过滤效率，安装方便，无需改变已有的网络结构，对网络数据不造成任何的延时和丢包，不影响网络流量，支持无限大并发连接数，不会成为网络瓶颈，即使系统出现故障，也不影响整个网络的正常运行，保持用户系统原有的带宽和效率不变，消除了用户安装过滤系统后对网络安全性和稳定性造成影响的顾虑。实现网络安全防护、有害信息过滤、访问控制管理、信息审计等综合安全管理的目的，完全满足教育城域网大型网络主出口大数据流量安全管理的要求。

5.2带有基本防火墙功能的FG3000过滤网关

FG3000网关型过滤服务器除了实现高效的有害信息过滤信息以外，还集成了基本的防火墙功能和防黑客攻击能力，在网络出口处可采用网关或网桥方法工作，对所有进出数据进行监控、过滤、转发，能实现包过滤、访问控制、身份认证、网络地址转换、虚拟网桥、有害信息过滤、攻击防御、审计告警等全面的安全功能。采用WebRoad专用安全操作系统，加上优化的防火墙和“黑名单”过滤技术，结合软硬一体化的服务器，使FG3000过滤网关具有良好的网络性能和安全指标，系统安全稳定、功能全面、性价比高，特别适合于中小学校园网的安全防护。

²       系统满足百/千兆吞吐量，支持20万以上的并发连接，延时小、掉包率低，对网络性能影响小。

²       IP+MAC地址梆定：在用户身份认证时可通过设定的MAC地址绑定功能，防止非法用户盗用IP进行网络活动。

²       NAT双向地址转换：系统允许用户预设内外网的IP地址及端口转换规则，减少内网电脑使用外网IP的数量，同时避免与外部的直接连接，提高内网的安全性能。

²       防御DOS攻击：系统针对各种DOS攻击，对安全内核进行了改进，能识别和阻止常见的各种DOS攻击，包括：Syn Flood、Smurf attack、Ping Of Death、Teardrop  Attack、Land-Based Attack、Ping Sweep、Ping Flood。防御ICMP和IGMP攻击。

²       系统对进出所有数据包的监控、协议分析、有害信息拦截过滤、对上网用户进行严密的访问控制，对信息进行审计，各类触发事件产生告警信息，上报至审计中心，实现全面的安全功能。

5.3 经济实用的过滤软件SIM for windows

软件过滤系统基于windows平台，适用性强，投资少，效果明显，使用维护简单。只需要一台普通PC承载，即可实现有害信息过滤、访问控制管理、信息审计等综合安全管理，性能丝毫不亚于硬件产品。非常适用于网络结构简单、上网终端较少的小学校园网。

5.4强大的有害信息过滤

采用国际先进水平的具有自主知识产权的名单信息分类技术，经过多年的不断收集和积累，已形成URL地址名单库达400多万条，这些地址库按照国际的信息分类标准进行，分为9大类32小类，特别是针对中国的国情，加强了对中文有害信息、反动政治、邪教等信息的收集，使网络中色情、反动、暴力、赌博等有害信息过滤有效性高达96%以上，误屏蔽率小于1%，达到国际先进水平；完全满足校园信息安全管理的需求。同时珠海捷朗菱网络公司具有专业的工具和人员每天都在收集和更新分类名单，保证过滤系统的有效性。

针对中小学的学生年龄的差异，我们将影响学生的信息进行了细分，将有害信息按危害程度和性质不同进行分类，分为有害信息、指导信息、娱乐信息、特别信息，共四类信息。由管理员根据上网学生的年龄、年级等情况分别选择禁止或允许访问。

有害信息：包括色情、暴力、毒品、邪教、赌博等。该类信息对学生危害非常大，系统将禁止用户访问。

指导信息：包括性健康、性教育、写真集等。该类信息对高年级的学生教育有帮助，但不适宜低年级学生观看。因此，则应由管理员根据上网学生的年龄进行选择。

娱乐信息：主要是游戏。一般情况下，根据学校的规定可考虑在不同的时段进行开放。

特别信息：主要是交友信息。该类信息对没有自制能力的学生有不良影响。

5.5在线数据更新服务

由于互联网上的信息每天都有变化，各类URL地址层出不穷，为保证过滤系统的准确性，本系统会自动通过互联网从公司地址名单服务器下载最新名单数据，保证了对分类过滤系统的及时有效性，地址名单通常在一周内更新一次。

5.6灵活的自定义URL地址

由于互联网上站点包罗万象，用户对分类地址定义的标准又不相同，分类URL地址数据库不可能穷尽所有的网站。对于数据库中不包含的地址或与用户分类不同的地址，系统管理员可自行定义，增加允许或禁止访问的分类地址；系统对用户自定义的地址进行优先处理。

5.7强大的关键词过滤功能

通过审计中心可以定义各种关键词审计策略，形成关键词库，可实现对关键词的有效过滤；对目前网络上泛滥成灾的“六合彩”、“法轮功”、“赌波”等非法信息有很好的堵截效果，关键词过滤主要包括以下几种方式：

1）                    WEB页面内容关键词过滤，一旦用户请求访问页面存在匹配的关键词，系统会自动将该页面阻断，严密监控上网用户浏览不良网页信息；

2）                    可实现信息发布关键词过滤，只要用户在Web页面、BBS留言板、聊天室输入含关键词的语句或文章，系统都能立刻拦截，终止信息传送，避免各种不良信息散布。

3）                    简单的垃圾（敏感）邮件过滤，可以对邮件标题、邮件正文、简单附件（.txt，.doc）等进行分析过滤，本系统可自动识别邮件采用的不同文本编码方式（包括Base64 和Quoted Printable）,可识别常见的文件压缩方式，如ZIP、RAJ等。当有人使用POP、SMTP协议收发的邮件中含有该关键词时，系统能自动中止邮件收发，一定程度上缓解垃圾邮件对网络的冲击。

4）                    文件上传下载过滤，对通过FTP、P2P、MSN、QQ等传输的文件，只要文件名符合预设的关键词，都能被禁止。

所有关键词过滤动作都会产生事件告警，直接上报到审计中心。系统专门针对多种网络协议进行优化，能快速对比分析字符串，阻断数据传输，不受带宽流量和用户应用软件影响。

5.8 全面的安全审计功能

除了上面的关键词过滤外，系统还可下达IP地址、URL地址、FTP文件、SMTP邮箱地址、POP邮箱地址、ICQ/OICQ号、MSN号、部分游戏帐号等的审计策略，审计中心可以实时监控终端用户上网情况，接收违规事件告警。例如某用户用预设QQ号上网时，校园过滤系统采取相应的控制动作，如禁止该用户上网，同时向审计中心发出告警，并存入日志数据库。包括以下审计信息：

²       网站地址审计

预设特定的IP地址或URL，当有人访问该IP地址或URL时，可以允许或禁止访问，审计系统可及时发出告警，并将告警的详细信息上传管理中心。

²       ICQ、OICQ、MSN号审计

预设某个特定的ICQ、OICQ号、MSN号，当有人使用该号上网聊天时，审计系统可及时发出告警，并将告警的详细信息上传管理中心。

²       邮件地址审计

预设特定的邮件地址，当有人使用POP、SMTP协议访问该邮件地址时，可以允许或禁止访问，审计系统可及时发出告警，并将告警的详细信息上传管理中心；

²       部分游戏帐号（昵称）审计

对目前流行的联众游戏、中国互联游戏中心、边锋战士等网络游戏，可以预设用户监控帐号或昵称，当有人使用该号上网玩游戏时，系统可及时发出告警，并将告警的详细信息上传审计中心；

5.9灵活的访问控制

通过控制台定义访问策略，可以灵活的控制学校用户的上网活动，满足学校管理员的管理要求。

²       分组管理：对不同上网需求的用户按不同的组别进行管理，可管理多个不同的组，单个用户也可定义为一组，每一组可有不同的访问策略，满足不同的管理需要，例如可以将学生和教师分别设置为学生组和教师组，分别开放不同网站浏览权限；

²       上网时间段控制：对不同的用户或用户组可设定每周每天某时段是否允许访问互联网。可合理安排用户学习工作与上网时间的冲突，避免整日沉溺于互联网；

²       访问协议控制：可按用户访问互联网的协议设定控制策略，包括HTTP、FTP、POP、SMTP、NEWSGROUP等，例如防止学生在上课时间进行无关内容的浏览；

²       访问文件类型控制：可根据用户访问的文件类型进行控制，包括访问音乐、电影、执行文件等，可防止用户在繁忙时段下载大量文件，影响整个网速；

²       IP网段控制：可限制或允许用户访问指定的某个或某段IP地址，适用于设定用户只允许访问教育网、国内网等。

5.10严格的用户认证及权限管理机制

²       可通过捆绑IP、MAC、IP+MAC、用户账号等四种方式对上网用户进行认证，以实现对不同用户的上网管理，而采用用户帐号认证时，系统使用SSL加密技术通过IE窗口登陆认证，使用简单、安全性好；

²       为提高系统的安全性，对信息中心及校园网络管理员非常严格的权限管理划分，一般分为系统管理员、普通管理员、资料查询员，管理权限由大到小，责任明确，管理到位。

5.13完善的访问记录及统计分析

²       用户访问日志：系统会自动生成上网用户的访问日志，存储于本地服务器上，同时也可将触发报警事件存储并转发至审计中心；可查询系统中记录的用户访问日志，包括用户名、源IP地址、目的IP地址、URL、访问时间、协议等。日志要求定期进行备份。

²       日志统计分析：通过日志统计实现对用户访问互联网情况的分析，并生成以图表为主的直观的统计报告。网络管理员可以根据统计报告提供的信息，分析出学校用户对互联网的访问情况，以便调整访问控制策略，提高管理水平。

5.14安全数据加密存储及传输

DES的数据加密传输手段，保证了各种数据不被他人窃取，防止黑客对系统的攻击，并最大限度地保证了系统的安全；

5.15良好的扩充性能

系统严格按国家有关部门对公共网络信息安全产品的规范和技术指标要求进行设计，具有良好的系统扩展性。产品已通过公安部三所的检测，并获得公安部核发的销售许可证。

六．公司简介

珠海捷朗菱网络科技有限公司2000年4月12日在珠海注册成立的高科技软件企业，公司已获得国家信息产业部批准的双软企业认证。公司现有人员55名，本科以上学历人员占85%，开发技术人员30名，公司专注于互联网有害信息过滤系统和网络安全管理系统的研究和开发。公司自主开发出拥有独立知识产权的世界先进水平的黑名单信息过滤技术，并以此为核心开发出“过滤王”系列网络信息过滤及安全产品，既有纯软件产品，又有硬件产品。产品在吸取了现有同类过滤产品的技术优点基础上，采用先进独特的技术进行设计和开发，弥补了现有过滤系统的不足，能够针对不同规模和配置的网络实现有效的有害信息过滤和上网管理。“过滤王”系列产品获得国家公安部质量认证和销售许可证，是准确过滤网上不良信息，有效管理上网活动，提高网络资源利用率，真正具有实用价值的高效可靠的计算机信息系统安全专用产品。

公司通过三年不断的技术开发，积累了丰富的经验，在以下几方面取得了成绩：

v       在过滤软件的核心技术（黑名单数据库收集分类技术）方面取得了突破，建立了具有国际先进水平的网站名单分类数据库，分类名单达到9大类32小类400多万条名单，与国内其它同类公司相比，优势明显，保证了“过滤王”过滤软件产品的先进性。

v       掌握了WINDOWS平台和LINUX平台的软件产品开发技术，特别是LINUX内核技术的掌握，为开发其它更高效、更安全、更稳定的网络安全产品打下了坚实的基础。

v       公司全体开发人员都熟练掌握了C、C++等面向对象技术；能规划和设计TCP/IP网络通信协议系统；掌握了SQL SERVER、ORACLE数据库技术。

v       公司现已完成的主要产品包括：“过滤王”单机版、“过滤王”网吧安全管理系统、“过滤王”互联网访问控制管理系统、“过滤王”反邪教软件系统、“过滤王”公共网络安全管理系统、ISP过滤网关系统、“捷朗”宽带计费软件、“过滤王”过滤网关系统等。 

市场业绩：

v       公司现已通过全国20家软件专卖店进行“过滤王”单机版的销售，单机版用户15万余户；

v       “过滤王”网吧安全管理软件2001年起已在河南、云南、福建、云南、浙江、山东、黑龙江、宁夏、西藏等省区，以及大连、珠海、扬州等二十几个地市5万多家网吧安装使用，平均运行时间已达2年；

v       “过滤王”网吧实名登记系统已经在云南、河南、山东、福建、安徽、西藏、浙江七个全省和黑龙江、辽宁、江苏、新疆、宁夏等省的部分地区安装使用，总数量超过5万套。

v       “过滤王”企业上网管理软件EIM已在800多个单位使用；

v        “过滤王”校园网络有害信息过滤系统SIM目前已在全国的六个省教育系统选型中中标，统一推广使用，已安装使用500多台套硬件，1500多套软件。

典型用户：