校園網信息安全過濾技術研究

錢文彬

1. 引言

校園網絡作為學校重要的基礎設施,擔當著學校教學、科研、管理和對外交流等許多角色。教育信息化、校園網絡化已經成為教育發展的方向。校園網是一個要求高可靠性和安全性的網絡系統,校園里學生都是通過校園網來訪問Internet。由于Internet的開放性、動態性和異構性的特點,不可避免的使校園網。

面臨著主動信息服務帶來的諸多不安全的因素,如缺乏對信息發布的有效控制、不良信息的泛濫等。若不對校園網進行安全控制,學生通過校園網也可以訪問一些不良網站、非法信息等。如何在這樣的網絡環境下為校園網用戶提供更好的服務、并有效控制網絡信息的傳播,保障網絡信息的內容安全,就成為了現在亟待解決的問題。

2. 安全過濾技術研究

安全過濾(Security Filtering, SF) 也就是所謂的信息的選擇性傳播。它是通過監控動態的信息源以找到滿足用戶需求的信息或剔除用戶不需要的信息。它的任務就是從動態的信息源中過濾掉在一段時間內比較固定的非需求信息或非法信息,并阻斷有害信息的進一步傳播。

2.1 安全過濾的特點。

從安全過濾技術的概念以及它的應用環境,可以歸納出安全過濾的特點如下:

2.1.1 非法信息的特征描述與表達在一段時間內是相對固定的;

2.1.2 安全過濾直接阻斷或刪除過濾出的有關信息,并將其記入日志文件,當用戶下一次瀏覽相關信息時,過濾的準確性和自主性將會更高;

2.1.3 安全過濾的實現對用戶是透明的,實時的;

2.2 安全過濾的主要方法。

2.2.1 名單過濾(URL/IP過濾)。

建立不良網站的URL或者IP地址列表數據庫,并對該數據庫進行定期的數據更新。當用戶訪問這些站點時,將訪問站點的URL或者IP地址與數據庫列表中的進行匹配,如果能夠正確匹配,則給予阻斷或封鎖。核心問題是如何對列表數據庫進行更新,讓列表數據庫智能化,即具備自學習能力,使列表數據庫能自動加入不良網站的URL或者IP地址并去除已經整改的項目。

2.2.2 分級過濾。

根據網頁的內容屬性或其它特征,按照一定的分級標準,建立網站的分級標記,分級標記可以附在網頁上,也可以保存在文件或數據庫中,使用時以分級標記為過濾的依據,與過濾模板進行比較,或通過瀏覽器的安全設置選項實現分級過濾。

2.2.3 關鍵詞過濾。

該種方法是對文本內容、文檔的元數據等進行關鍵詞簡單匹配或者布爾邏輯運算,對滿足匹配條件的網頁或網站進行的過濾。在進行關鍵詞過濾時,時常還會出現關鍵詞變形的情況,如同音字詞、字詞順序顛倒、字詞中插入其它字符串等,這些變形后的關鍵詞是不能通過簡單的匹配或者邏輯運算來實現有效過濾的,因此,可以采用計算關鍵詞的匹配相關度、計算關鍵詞中字之間的位置差等方法來完成對變形后的關鍵詞的過濾。

2.3 基于內容的多層次安全過濾技術。

內容過濾技術主要采用了自然語言處理、人工智能、概率統計和機器學習等技術進行過濾。非法的信息需求可以表示成非法信息模型,即表示成向量空間中的非法向量,并通過對待過濾文本進行分詞、去除停用詞、文本特征提取以及特征項權重計算等預處理過程生成文本向量,然后計算文本向量和非法向量之間的相似度,將相似度低于過濾閾值的待過濾文本發送給該用戶。

內容過濾的關鍵在于對文本的理解,而文本理解的關鍵在于對文本的結構分析,只有充分了解文本的各個組成部分,才能夠切實地了解文本表達的主題,從而抽取出代表文本主題的特征詞集。文本過濾的另外一個關鍵是用戶興趣模型的構造,即用戶模板構建技術,只有準確地表達出用戶的信息需求,才能提供更好的過濾效果。基于內容的安全過濾技術包括文本的表示、文本預處理、文本特征提取、文本特征項權重計算以及過濾反饋等內容過濾關鍵技術。

當擁有多個分校區分布在不同城市希望在本部大方向的安全策略下,給予不同分校區某種程度的權限修改其適合的安全策略時,就需要采用分層管理功能。

多層次管理功能應包含全球管理員、群組管理員、最低過濾級別、群組、子群組、檢測范圍、特別帳戶、同步集中控制管理等方面。其中,全球管理員(Global Administrator)是一個擁有所有過濾設備絕對控制權的帳戶。全球管理員能夠根據公司安全策略,在Web內容安全過濾設備上建立不同的群組,并且再為每個群組建立一個小組。全球管理員能夠無限制地控制所有Web內容安全過濾設備的功能。

群組管理員由全球管理員建立。在全球管理員授權修改的安全策略范圍內,群組管理員帳戶可以針對群組的需求修改適合的安全策略。群組管理員所修改的安全策略僅能影響到這個帳戶所管理群組。每一個群組,可以只設立一個小組管理員賬戶。

最低過濾級別(Minimum Filtering Level, MFL)是由全球管理員制定的過濾級別,最低過濾級別是整個校園網無論哪一個群組必須一致執行的最低標準策略。

群組的定義是由全球管理員設定的一群使用者。特別帳戶是一個用戶名/密碼,由全球管理員或群組管理員創建。其目的是要允許某其帳戶可以不受安全使用策略的限制,造訪任何網站。全球管理員可以選擇允許特別帳戶繞過最低過濾級別,也可以選擇特別帳戶僅受最低過濾級別限制。

3. 結語

不良信息的識別與過濾是阻斷校園網上不良信息傳播的有效手段,本文將內容過濾與多層次管理技術相結合,提出基于內容的多層次安全過濾技術。利用這種技術可以阻斷學生對不良網站的訪問,提高校園網利用率。

收稿日期:2009-09-16