導語：網(wǎng)絡應用服務審計系統(tǒng)透析一文來源于網(wǎng)友上傳，不代表本站觀點，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

關鍵詞：計算機網(wǎng)絡；應用服務；審計系統(tǒng)

摘要：如何有效的收集網(wǎng)絡應用服務的基本信息，是服務審計系統(tǒng)的一個難點．采用接人控制的方式，在每臺服務器上強制安裝信息采集控件，用于對各種網(wǎng)絡應用服務信息進行采集并上報給審計服務器進行審計，用戶接入網(wǎng)絡前必須經(jīng)過應用服務的審計，從而對眾多的應用服務進行有效的管理。

隨著Internet的發(fā)展，各種各樣的網(wǎng)絡應用服務也層出不窮，傳統(tǒng)的如DNS、Email、Web和FTP等，時髦的如P2P、網(wǎng)絡證書、網(wǎng)絡電話和軟件倉庫等。面對如此眾多的網(wǎng)絡服務，怎樣進行有效、規(guī)范的管理?怎么確保網(wǎng)絡應用服務的健康、有序的發(fā)展?這就是擺在各個網(wǎng)絡信息管理員面前迫切的問題。網(wǎng)絡信息服務審計系統(tǒng)可以解決這個難題，同時也是網(wǎng)絡安全研究的一個熱點。

本文結合高校的特色和網(wǎng)絡應用的實際情況，對網(wǎng)絡應用服務管理進行了研究，提出了采用接人控制的網(wǎng)絡應用服務審計系統(tǒng)的解決方案，通過實踐證明，該系統(tǒng)對高校的應用服務系統(tǒng)是一種切實有效的管理方式。

1網(wǎng)絡服務審計

1.1什么是網(wǎng)絡服務審計

“審計”的英文單詞為“Audit"，可解釋為“查賬”，兼有“旁聽”的涵義。由此可見，早期的審計就是審查會計賬目，與會計賬目密切相關。審計發(fā)展至今，早已超越了查賬的范疇，涉及到對各項工作的經(jīng)濟性、效率性、合法性和效果性的查核，其基本目是確定被審查對象與所建立的標準之間的一致或不一致的地方。

網(wǎng)絡服務審計是指對網(wǎng)絡服務提供者所提供的服務是否遵守有關的法律和規(guī)章制度、是否登記備案、其服務內(nèi)容是否超越所登記備案的范圍、其是否已有效地達到了預期的結果等進行的檢查與核查行為。

1.2網(wǎng)絡服務審計的必要性

傳統(tǒng)的網(wǎng)絡服務審計可能非常耗費時間，通過對計算機逐個進行端口掃描、漏洞掃描或者鏡像監(jiān)聽，獲得所需要的信息后進行審計和核查。但如果計算機更改服務提供的端口號、用戶防火墻屏蔽了端口掃描或者采用動態(tài)端口提供服務，那么就無法及時獲得這些必要的信息了。

對網(wǎng)絡信息管理員而言，如何有效的控制網(wǎng)絡中的信息服務、如何掌握信息服務提供者所提供的服務類型是否超越所登記備案的范圍、如何及時掌握統(tǒng)計和分析網(wǎng)絡中信息流的動態(tài)情況等都是一個很繁瑣和復雜的事情。

通過對網(wǎng)絡應用服務的審計，能夠及時獲取服務提供者所提供的網(wǎng)絡應用服務，能夠及時掌握用戶對信息服務的訪問行為，能夠及時發(fā)現(xiàn)有無違規(guī)的信息與訪問，能夠及時發(fā)現(xiàn)涉密信息的泄露和敏感信息的訪問等。

2網(wǎng)絡應用服務審計系統(tǒng)架構

結合高校的特色和網(wǎng)絡應用的實際情況，采用接人控制的網(wǎng)絡應用服務審計系統(tǒng)由三部分組成：

2.1IEEE802.1x網(wǎng)絡訪問控制

IEEE802。Ix協(xié)議是基于端口的訪問控制協(xié)議(portbasednetworkaccesscontrolprotocol)，主要解決以太網(wǎng)認證和訪問控制方面的問題。目前很多高校校園網(wǎng)都采用802.ix用于對用戶接入校園網(wǎng)的行為進行控制。

在802.1x初始狀態(tài)下，以太網(wǎng)交換機上的所有端口處于關閉狀態(tài)，只有802.1x數(shù)據(jù)包才能通過，或者只能訪問GuestVLAN內(nèi)的特定網(wǎng)絡資源(如網(wǎng)絡應用服務審計服務器)，而另外的網(wǎng)絡數(shù)據(jù)流都被禁止。當用戶進行802。lx認證時，以太網(wǎng)交換機將用戶名和密碼傳送到后臺的認證服務器上進行驗證。如果用戶名和密碼通過了驗證，則相應的以太網(wǎng)端口打開，允許用戶對網(wǎng)絡的訪問，并部署AAA服務器下發(fā)的訪問控制策略。

802.1x主要是解決網(wǎng)絡接人的問題，未通過認證的用戶將無法使用網(wǎng)絡，這樣可以確保接入用戶的合法性。同時，當用戶認證通過后，由服務審計服務器判定該用戶是否安裝Java數(shù)據(jù)采集控件，配合AAA服務器決定用戶是否能夠訪問網(wǎng)絡。

2.2Java數(shù)據(jù)采集控件

數(shù)據(jù)采集控件的實現(xiàn)有兩種方式:一是集成到802.lx客戶端中，二是單獨的控件。Java由于其跨平臺、跨操作系統(tǒng)的特性而成為首選。這樣不管用戶使用的是什么操作系統(tǒng)、使用什么軟件提供服務，都能很方便的進行數(shù)據(jù)采集。

Java數(shù)據(jù)采集控件主要完成數(shù)據(jù)采集的工作，當用戶第一次連接網(wǎng)絡時，強制安裝該控件。如果用戶重新安裝操作系統(tǒng)，當用戶再次連接網(wǎng)絡時，也將被強制安裝該控件。

未安裝數(shù)據(jù)采集控件的計算機，即使通過802.1x認證，也將只能訪問服務審計服務器，而不能訪問其他的網(wǎng)絡資源。

數(shù)據(jù)采集控件負責采集計算機操作系統(tǒng)類型及版本、開放的端口、提供的服務和流量等信息，并上報給服務審計系統(tǒng)。

2.3服務審計服務器

服務審計服務器是整個系統(tǒng)的核心，主要有三個功能:一是和AAA服務器配合，確保所有接人網(wǎng)絡的計算機合法性，并已安裝數(shù)據(jù)采集控件。二是和Java數(shù)據(jù)采集控件通信，將數(shù)據(jù)采集控件報送的信息存儲到數(shù)據(jù)庫中。三是實現(xiàn)信息服務備案、查詢管理、審計分析、實時審計和統(tǒng)計報表等功能。其中審計分析采用MPMF(multi-prioritymemoryfeedback)流水線處理算法，其處理能力可以承載高速網(wǎng)絡的審計處理。

2.4后臺數(shù)據(jù)庫服務器

數(shù)據(jù)庫服務器可以采用市面上主流的大型數(shù)據(jù)庫管理系統(tǒng)，如()racle,SQLServer,Sybase等，服務審計服務器通過ODBC/JDBC等數(shù)據(jù)訪問接口來無縫地連接這些數(shù)據(jù)庫系統(tǒng)。

同時，通過數(shù)據(jù)庫復制來實現(xiàn)數(shù)據(jù)庫的分布和同步，以使網(wǎng)絡應用服務審計系統(tǒng)具備可擴展的數(shù)據(jù)處理能力，保證在網(wǎng)絡流量日益增大的情況下系統(tǒng)可以可靠地運行。

3工作流程

3.1計算機接入網(wǎng)絡

3.1.1802.lx認證

當計算機發(fā)起802.1x認證時，交換機將用戶名和密碼傳送到后臺的AAA服務器，由AAA服務器進行合法性判定。當用戶未通過802.1x認證時，對網(wǎng)絡的訪問受限;當用戶通過802.1x認證時，還需要由審計服務器進一步確認計算機上是否安裝Java數(shù)據(jù)采集控件。

3.1.2Java數(shù)據(jù)采集控件確認

計算機通過802.1x認證后，AAA服務器通知交換機打開端口并部署相應的訪問控制策略，將所有網(wǎng)絡訪問重定向到服務審計服務器。

如果計算機上已經(jīng)安裝Java數(shù)據(jù)采集控件，當檢測到計算機網(wǎng)絡狀態(tài)已連接時，自動向服務審計服務器發(fā)出通知，告知該計算機已接入網(wǎng)絡。服務審計服務器接到通知后，將信息記錄到后臺數(shù)據(jù)庫服務器中，并通知AAA服務器下發(fā)新的訪問控制策略，允許計算機訪問其他的網(wǎng)絡服務。

如果計算機沒有安裝Java數(shù)據(jù)采集控件，服務審計服務器不會收到通知，這時用戶所有的訪問都被重定向到服務審計服務器，而不能訪問其他的網(wǎng)絡服務川。

3.2網(wǎng)絡應用服務審計數(shù)據(jù)采集

數(shù)據(jù)采集控件定時和服務審計服務器進行通信，將采集的信息上報服務審計服務器。服務審計服務器將這些信息記錄到后臺數(shù)據(jù)庫服務器中，用于后續(xù)的查詢、統(tǒng)計和審計等。

如果服務審計服務器在一定時間內(nèi)未收到數(shù)據(jù)采集控件的通信信息(單次通信超時為60秒，如果連續(xù)5次通信未成功，則視為通信中斷)，服務審計服務器通知AAA服務器斷開該用戶的網(wǎng)絡連接。

采集的審計數(shù)據(jù)一般包括下邊的三個部分：

1)主機識別:連接到網(wǎng)絡上的活動計算機的IP地址、MAC地址、802.1x用戶名、交換機管理IP地址和交換機端口等數(shù)據(jù)，這些數(shù)據(jù)可以由802.1x服務提供。

2)主機描述:連接到網(wǎng)絡上的活動計算機的操作系統(tǒng)、運行的網(wǎng)絡服務及其版本信息、計算機開放的端口等數(shù)據(jù)，這些數(shù)據(jù)由Java數(shù)據(jù)采集控件提供。

3)服務描述:連接到網(wǎng)絡上的活動計算機的哪些網(wǎng)絡服務處于激活狀態(tài)、流量是多少等數(shù)據(jù)，這些數(shù)據(jù)由Java數(shù)據(jù)采集控件和AAA服務器聯(lián)合提供。

3.3網(wǎng)絡應用服務審計

網(wǎng)絡應用服務審計系統(tǒng)負責對采集到的信息進行審計，并根據(jù)預定設置，采取相應的措施。

審計可分為三個級別:高優(yōu)先級、中優(yōu)先級和低優(yōu)先級。

高優(yōu)先級審計主要用于網(wǎng)絡中重要服務的審計，包括兩個方面:一是所允許的服務運行是否正常，二是是否有未允許的服務在運行。高敏感度審計發(fā)現(xiàn)網(wǎng)絡中的重要服務出現(xiàn)問題時，會立即以短信方式通知管理員進行處理，從而確保重要服務的正常運行。

中優(yōu)先級審計主要用于網(wǎng)絡中非重要服務的審計，也包括上述兩個方面，但發(fā)現(xiàn)問題時，只是以告警信息或者郵件的方式提示管理員進行處理。

低優(yōu)先級審計則用于網(wǎng)絡中的大部分用戶，著重于信息的收集和保存，以備非實時審計、統(tǒng)計分析用。

為滿足高速網(wǎng)絡中服務審計的需要，采用了MPMF流水線處理算法。MPMF算法根據(jù)審計系統(tǒng)的過程模型以及各個部分的特點，合理劃分各個部分的層次以及優(yōu)先級順序。

3.4計算機從網(wǎng)絡中退出

當計算機正常從網(wǎng)絡中退出時，數(shù)據(jù)采集插件停止工作，交換機端口恢復到關閉狀態(tài)。

當計算機非正常退出時(如突然斷電、計算機死機等)，服務審計服務器在一定時間內(nèi)未收到數(shù)據(jù)采集控件的通信信息(單次通信超時為60秒，如果連續(xù)5次通信未成功，則視為通信中斷)，服務審計服務器通知AAA服務器斷開該用戶的網(wǎng)絡連接，交換機端口恢復到關閉狀態(tài)。

4結束語

本研究解決了服務審計系統(tǒng)中數(shù)據(jù)采集的難題，在利用802.1x接人控制的基礎上，對用戶使用計算機網(wǎng)絡基本沒有影響，同時完成了數(shù)據(jù)采集的工作，為以后的服務審計系統(tǒng)的進一步深人研究提供了充足的數(shù)據(jù)基礎。