電子技術(shù)應(yīng)用投稿淺析網(wǎng)絡(luò)應(yīng)用服務(wù)審計的解析

　　本篇文章是由《電力電子技術(shù)》發(fā)表的優(yōu)秀電子論文，(月刊)創(chuàng)刊于1967年，由西安電力電子技術(shù)研究所主辦。以電力電子技術(shù)為主體，探討和報道電力電子行業(yè)中新器件、新技術(shù)、新應(yīng)用的學(xué)術(shù)論文及成果;提供國內(nèi)外最新的電力電子技術(shù)和發(fā)展動態(tài)及產(chǎn)品市場信息;為企業(yè)的新產(chǎn)品、新技術(shù)、新成果在行業(yè)內(nèi)的推廣架起一座金橋。

　　摘要：如何有效的收集網(wǎng)絡(luò)應(yīng)用服務(wù)的基本信息，是服務(wù)審計系統(tǒng)的一個難點.采用接人控制的方式，在每臺服務(wù)器上強制安裝信息采集控件，用于對各種網(wǎng)絡(luò)應(yīng)用服務(wù)信息進(jìn)行采集并上報給審計服務(wù)器進(jìn)行審計，用戶接入網(wǎng)絡(luò)前必須經(jīng)過應(yīng)用服務(wù)的審計，從而對眾多的應(yīng)用服務(wù)進(jìn)行有效的管理.

　　關(guān)鍵詞：計算機網(wǎng)絡(luò);應(yīng)用服務(wù);審計系統(tǒng)

　　隨著Internet的發(fā)展，各種各樣的網(wǎng)絡(luò)應(yīng)用服務(wù)也層出不窮，傳統(tǒng)的如DNS、 Email、 Web和FTP等，時髦的如P2P、網(wǎng)絡(luò)證書、網(wǎng)絡(luò)電話和軟件倉庫等.面對如此眾多的網(wǎng)絡(luò)服務(wù)，怎樣進(jìn)行有效、規(guī)范的管理?怎么確保網(wǎng)絡(luò)應(yīng)用服務(wù)的健康、有序的發(fā)展?這就是擺在各個網(wǎng)絡(luò)信息管理員面前迫切的問題.網(wǎng)絡(luò)信息服務(wù)審計系統(tǒng)可以解決這個難題，同時也是網(wǎng)絡(luò)安全研究的一個熱點.

　　本文結(jié)合高校的特色和網(wǎng)絡(luò)應(yīng)用的實際情況，對網(wǎng)絡(luò)應(yīng)用服務(wù)管理進(jìn)行了研究，提出了采用接人控制的網(wǎng)絡(luò)應(yīng)用服務(wù)審計系統(tǒng)的解決方案，通過實踐證明，該系統(tǒng)對高校的應(yīng)用服務(wù)系統(tǒng)是一種切實有效的管理方式.

　　1網(wǎng)絡(luò)服務(wù)審計

　　1. 1什么是網(wǎng)絡(luò)服務(wù)審計

　　“審計”的英文單詞為“Audit"，可解釋為“查賬”，兼有“旁聽”的涵義.由此可見，早期的審計就是審查會計賬目，與會計賬目密切相關(guān).審計發(fā)展至今，早已超越了查賬的范疇，涉及到對各項工作的經(jīng)濟性、效率性、合法性和效果性的查核，其基本目是確定被審查對象與所建立的標(biāo)準(zhǔn)之間的一致或不一致的地方.

　　網(wǎng)絡(luò)服務(wù)審計是指對網(wǎng)絡(luò)服務(wù)提供者所提供的服務(wù)是否遵守有關(guān)的法律和規(guī)章制度、是否登記備案、其服務(wù)內(nèi)容是否超越所登記備案的范圍、其是否已有效地達(dá)到了預(yù)期的結(jié)果等進(jìn)行的檢查與核查行為.

　　1. 2網(wǎng)絡(luò)服務(wù)審計的必要性

　　傳統(tǒng)的網(wǎng)絡(luò)服務(wù)審計可能非常耗費時間，通過對計算機逐個進(jìn)行端口掃描、漏洞掃描或者鏡像監(jiān)聽，獲得所需要的信息后進(jìn)行審計和核查.但如果計算機更改服務(wù)提供的端口號、用戶防火墻屏蔽了端口掃描或者采用動態(tài)端口提供服務(wù)，那么就無法及時獲得這些必要的信息了.

　　對網(wǎng)絡(luò)信息管理員而言，如何有效的控制網(wǎng)絡(luò)中的信息服務(wù)、如何掌握信息服務(wù)提供者所提供的服務(wù)類型是否超越所登記備案的范圍、如何及時掌握統(tǒng)計和分析網(wǎng)絡(luò)中信息流的動態(tài)情況等都是一個很繁瑣和復(fù)雜的事情.

　　通過對網(wǎng)絡(luò)應(yīng)用服務(wù)的審計，能夠及時獲取服務(wù)提供者所提供的網(wǎng)絡(luò)應(yīng)用服務(wù)，能夠及時掌握用戶對信息服務(wù)的訪問行為，能夠及時發(fā)現(xiàn)有無違規(guī)的信息發(fā)布與訪問，能夠及時發(fā)現(xiàn)涉密信息的泄露和敏感信息的訪問等.

　　2網(wǎng)絡(luò)應(yīng)用服務(wù)審計系統(tǒng)架構(gòu)

　　結(jié)合高校的特色和網(wǎng)絡(luò)應(yīng)用的實際情況，采用接人控制的網(wǎng)絡(luò)應(yīng)用服務(wù)審計系統(tǒng)由三部分組成:

　　2. 1 IEEE 802. 1 x網(wǎng)絡(luò)訪問控制

　　IEEE 802. I x 協(xié)議是基于端口的訪問控制協(xié)議(port based network access control protocol)，主要解決以太網(wǎng)認(rèn)證和訪問控制方面的問題.目前很多高校校園網(wǎng)都采用802. ix用于對用戶接入校園網(wǎng)的行為進(jìn)行控制.

　　在802. 1 x初始狀態(tài)下，以太網(wǎng)交換機上的所有端口處于關(guān)閉狀態(tài)，只有802. 1 x數(shù)據(jù)包才能通過，或者只能訪問Guest VLAN內(nèi)的特定網(wǎng)絡(luò)資源(如網(wǎng)絡(luò)應(yīng)用服務(wù)審計服務(wù)器)，而另外的網(wǎng)絡(luò)數(shù)據(jù)流都被禁止.當(dāng)用戶進(jìn)行802. lx認(rèn)證時，以太網(wǎng)交換機將用戶名和密碼傳送到后臺的認(rèn)證服務(wù)器上進(jìn)行驗證.如果用戶名和密碼通過了驗證，則相應(yīng)的以太網(wǎng)端口打開，允許用戶對網(wǎng)絡(luò)的訪問，并部署AAA服務(wù)器下發(fā)的訪問控制策略.

　　802. 1 x主要是解決網(wǎng)絡(luò)接人的問題，未通過認(rèn)證的用戶將無法使用網(wǎng)絡(luò)，這樣可以確保接入用戶的合法性.同時，當(dāng)用戶認(rèn)證通過后，由服務(wù)審計服務(wù)器判定該用戶是否安裝Java數(shù)據(jù)采集控件，配合AAA服務(wù)器決定用戶是否能夠訪問網(wǎng)絡(luò).

　　2. 2 Java數(shù)據(jù)采集控件

　　數(shù)據(jù)采集控件的實現(xiàn)有兩種方式:一是集成到802. lx客戶端中，二是單獨的控件.Java由于其跨平臺、跨操作系統(tǒng)的特性而成為首選.這樣不管用戶使用的是什么操作系統(tǒng)、使用什么軟件提供服務(wù)，都能很方便的進(jìn)行數(shù)據(jù)采集.

　　Java數(shù)據(jù)采集控件主要完成數(shù)據(jù)采集的工作，當(dāng)用戶第一次連接網(wǎng)絡(luò)時，強制安裝該控件.如果用戶重新安裝操作系統(tǒng)，當(dāng)用戶再次連接網(wǎng)絡(luò)時，也將被強制安裝該控件.

　　未安裝數(shù)據(jù)采集控件的計算機，即使通過802. 1 x認(rèn)證，也將只能訪問服務(wù)審計服務(wù)器，而不能訪問其他的網(wǎng)絡(luò)資源.

　　數(shù)據(jù)采集控件負(fù)責(zé)采集計算機操作系統(tǒng)類型及版本、開放的端口、提供的服務(wù)和流量等信息，并上報給服務(wù)審計系統(tǒng).

　　2. 3服務(wù)審計服務(wù)器

　　服務(wù)審計服務(wù)器是整個系統(tǒng)的核心，主要有三個功能:一是和AAA服務(wù)器配合，確保所有接人網(wǎng)絡(luò)的計算機合法性，并已安裝數(shù)據(jù)采集控件.二是和Java數(shù)據(jù)采集控件通信，將數(shù)據(jù)采集控件報送的信息存儲到數(shù)據(jù)庫中.三是實現(xiàn)信息服務(wù)備案、查詢管理、審計分析、實時審計和統(tǒng)計報表等功能.其中審計分析采用 MPMF(multi-priority memory feedback)流水線處理算法}3J，其處理能力可以承載高速網(wǎng)絡(luò)的審計處理.

　　2. 4后臺數(shù)據(jù)庫服務(wù)器

　　數(shù)據(jù)庫服務(wù)器可以采用市面上主流的大型數(shù)據(jù)庫管理系統(tǒng)，如()racle, SQL Server, Sybase等，服務(wù)審計服務(wù)器通過ODBC/JDBC等數(shù)據(jù)訪問接口來無縫地連接這些數(shù)據(jù)庫系統(tǒng).

　　同時，通過數(shù)據(jù)庫復(fù)制來實現(xiàn)數(shù)據(jù)庫的分布和同步，以使網(wǎng)絡(luò)應(yīng)用服務(wù)審計系統(tǒng)具備可擴展的數(shù)據(jù)處理能力，保證在網(wǎng)絡(luò)流量日益增大的情況下系統(tǒng)可以可靠地運行.

　　3工作流程

　　3. 1計算機接入網(wǎng)絡(luò)

　　3. 1. 1 802. lx認(rèn)證

　　當(dāng)計算機發(fā)起802. 1 x認(rèn)證時，交換機將用戶名和密碼傳送到后臺的AAA服務(wù)器，由AAA服務(wù)器進(jìn)行合法性判定.當(dāng)用戶未通過802. 1 x認(rèn)證時，對網(wǎng)絡(luò)的訪問受限;當(dāng)用戶通過802. 1 x認(rèn)證時，還需要由審計服務(wù)器進(jìn)一步確認(rèn)計算機上是否安裝Java數(shù)據(jù)采集控件.

　　3. 1. 2 Java數(shù)據(jù)采集控件確認(rèn)

　　計算機通過802. 1 x認(rèn)證后，AAA服務(wù)器通知交換機打開端口并部署相應(yīng)的訪問控制策略，將所有網(wǎng)絡(luò)訪問重定向到服務(wù)審計服務(wù)器.

　　如果計算機上已經(jīng)安裝Java數(shù)據(jù)采集控件，當(dāng)檢測到計算機網(wǎng)絡(luò)狀態(tài)已連接時，自動向服務(wù)審計服務(wù)器發(fā)出通知，告知該計算機已接入網(wǎng)絡(luò).服務(wù)審計服務(wù)器接到通知后，將信息記錄到后臺數(shù)據(jù)庫服務(wù)器中，并通知AAA服務(wù)器下發(fā)新的訪問控制策略，允許計算機訪問其他的網(wǎng)絡(luò)服務(wù).

　　如果計算機沒有安裝Java數(shù)據(jù)采集控件，服務(wù)審計服務(wù)器不會收到通知，這時用戶所有的訪問都被重定向到服務(wù)審計服務(wù)器，而不能訪問其他的網(wǎng)絡(luò)服務(wù)川.

　　3. 2網(wǎng)絡(luò)應(yīng)用服務(wù)審計數(shù)據(jù)采集

　　數(shù)據(jù)采集控件定時和服務(wù)審計服務(wù)器進(jìn)行通信，將采集的信息上報服務(wù)審計服務(wù)器.服務(wù)審計服務(wù)器將這些信息記錄到后臺數(shù)據(jù)庫服務(wù)器中，用于后續(xù)的查詢、統(tǒng)計和審計等.

　　如果服務(wù)審計服務(wù)器在一定時間內(nèi)未收到數(shù)據(jù)采集控件的通信信息(單次通信超時為60秒，如果連續(xù)5次通信未成功，則視為通信中斷)，服務(wù)審計服務(wù)器通知AAA服務(wù)器斷開該用戶的網(wǎng)絡(luò)連接.

　　采集的審計數(shù)據(jù)一般包括下邊的三個部分:

　　1)主機識別:連接到網(wǎng)絡(luò)上的活動計算機的IP地址、MAC地址、802. 1 x用戶名、交換機管理IP地址和交換機端口等數(shù)據(jù)，這些數(shù)據(jù)可以由802. 1 x服務(wù)提供.

　　2)主機描述:連接到網(wǎng)絡(luò)上的活動計算機的操作系統(tǒng)、運行的網(wǎng)絡(luò)服務(wù)及其版本信息、計算機開放的端口等數(shù)據(jù)，這些數(shù)據(jù)由Java數(shù)據(jù)采集控件提供.

　　3)服務(wù)描述:連接到網(wǎng)絡(luò)上的活動計算機的哪些網(wǎng)絡(luò)服務(wù)處于激活狀態(tài)、流量是多少等數(shù)據(jù)，這些數(shù)據(jù)由Java數(shù)據(jù)采集控件和AAA服務(wù)器聯(lián)合提供.

　　3. 3網(wǎng)絡(luò)應(yīng)用服務(wù)審計

　　網(wǎng)絡(luò)應(yīng)用服務(wù)審計系統(tǒng)負(fù)責(zé)對采集到的信息進(jìn)行審計，并根據(jù)預(yù)定設(shè)置，采取相應(yīng)的措施.

　　審計可分為三個級別:高優(yōu)先級、中優(yōu)先級和低優(yōu)先級。

　　高優(yōu)先級審計主要用于網(wǎng)絡(luò)中重要服務(wù)的審計，包括兩個方面:一是所允許的服務(wù)運行是否正常，二是是否有未允許的服務(wù)在運行.高敏感度審計發(fā)現(xiàn)網(wǎng)絡(luò)中的重要服務(wù)出現(xiàn)問題時，會立即以短信方式通知管理員進(jìn)行處理，從而確保重要服務(wù)的正常運行.

　　中優(yōu)先級審計主要用于網(wǎng)絡(luò)中非重要服務(wù)的審計，也包括上述兩個方面，但發(fā)現(xiàn)問題時，只是以告警信息或者郵件的方式提示管理員進(jìn)行處理.

　　低優(yōu)先級審計則用于網(wǎng)絡(luò)中的大部分用戶，著重于信息的收集和保存，以備非實時審計、統(tǒng)計分析用.

　　為滿足高速網(wǎng)絡(luò)中服務(wù)審計的需要，采用了MPMF流水線處理算法.MPMF算法根據(jù)審計系統(tǒng)的過程模型以及各個部分的特點，合理劃分各個部分的層次以及優(yōu)先級順序。

　　3. 4計算機從網(wǎng)絡(luò)中退出

　　當(dāng)計算機正常從網(wǎng)絡(luò)中退出時，數(shù)據(jù)采集插件停止工作，交換機端口恢復(fù)到關(guān)閉狀態(tài).

　　當(dāng)計算機非正常退出時(如突然斷電、計算機死機等)，服務(wù)審計服務(wù)器在一定時間內(nèi)未收到數(shù)據(jù)采集控件的通信信息(單次通信超時為60秒，如果連續(xù)5次通信未成功，則視為通信中斷)，服務(wù)審計服務(wù)器通知AAA服務(wù)器斷開該用戶的網(wǎng)絡(luò)連接，交換機端口恢復(fù)到關(guān)閉狀態(tài).

　　4結(jié)束語

　　本研究解決了服務(wù)審計系統(tǒng)中數(shù)據(jù)采集的難題，在利用802. 1 x接人控制的基礎(chǔ)上，對用戶使用計算機網(wǎng)絡(luò)基本沒有影響，同時完成了數(shù)據(jù)采集的工作，為以后的服務(wù)審計系統(tǒng)的進(jìn)一步深人研究提供了充足的數(shù)據(jù)基礎(chǔ).