網(wǎng)絡應用服務審計系統(tǒng)的探析

1、網(wǎng)絡應用效勞審計系統(tǒng)的探析論文關鍵詞：計算機網(wǎng)絡；應用效勞；審計系統(tǒng)論文摘要：如何有效的搜集網(wǎng)絡應用效勞的根本信息，是效勞審計系統(tǒng)的一個難點采用接人控制的方式，在每臺效勞器上強迫安裝信息采集控件，用于對各種網(wǎng)絡應用效勞信息進展采集并上報給審計效勞器進展審計，用戶接入網(wǎng)絡前必須經(jīng)過應用效勞的審計，從而對眾多的應用效勞進展有效的管理隨著internet的開展，各種各樣的網(wǎng)絡應用效勞也層出不窮，傳統(tǒng)的如dns、eail、eb和ftp等，時髦的如p2p、網(wǎng)絡證書、網(wǎng)絡 和軟件倉庫等.面對如此眾多的網(wǎng)絡效勞，怎樣進展有效、標準的管理?怎么確保網(wǎng)絡應用效勞的安康、有序的開展?這就是擺在各個網(wǎng)絡信息管理員面

2、前迫切的問題.網(wǎng)絡信息效勞審計系統(tǒng)可以解決這個難題，同時也是網(wǎng)絡平安研究的一個熱點.本文結(jié)合高校的特色和網(wǎng)絡應用的實際情況，對網(wǎng)絡應用效勞管理進展了研究，提出了采用接人控制的網(wǎng)絡應用效勞審計系統(tǒng)的解決方案，通過理論證明，該系統(tǒng)對高校的應用效勞系統(tǒng)是一種實在有效的管理方式.1網(wǎng)絡效勞審計1.1什么是網(wǎng)絡效勞審計“審計的英文單詞為“audit，可解釋為“查賬，兼有“旁聽的涵義.由此可見，早期的審計就是審查會計賬目，與會計賬目親密相關.審計開展至今，早已超越了查賬的范疇，涉及到對各項工作的經(jīng)濟性、效率性、合法性和效果性的查核，其根本目是確定被審查對象與所建立的標準之間的一致或不一致的地方.網(wǎng)絡效勞審

3、計是指對網(wǎng)絡效勞提供者所提供的效勞是否遵守有關的法律和規(guī)章制度、是否登記備案、其效勞內(nèi)容是否超越所登記備案的范圍、其是否已有效地到達了預期的結(jié)果等進展的檢查與核查行為.1.2網(wǎng)絡效勞審計的必要性傳統(tǒng)的網(wǎng)絡效勞審計可能非常消耗時間，通過對計算機逐個進展端口掃描、破綻掃描或者鏡像監(jiān)聽，獲得所需要的信息后進展審計和核查.但假如計算機更改效勞提供的端口號、用戶防火墻屏蔽了端口掃描或者采用動態(tài)端口提供效勞，那么就無法及時獲得這些必要的信息了.對網(wǎng)絡信息管理員而言，如何有效的控制網(wǎng)絡中的信息效勞、如何掌握信息效勞提供者所提供的效勞類型是否超越所登記備案的范圍、如何及時掌握統(tǒng)計和分析網(wǎng)絡中信息流的動態(tài)情況等

4、都是一個很繁瑣和復雜的事情.通過對網(wǎng)絡應用效勞的審計，可以及時獲取效勞提供者所提供的網(wǎng)絡應用效勞，可以及時掌握用戶對信息效勞的訪問行為，可以及時發(fā)現(xiàn)有無違規(guī)的信息發(fā)布與訪問，可以及時發(fā)現(xiàn)涉密信息的泄露和敏感信息的訪問等.2網(wǎng)絡應用效勞審計系統(tǒng)架構結(jié)合高校的特色和網(wǎng)絡應用的實際情況，采用接人控制的網(wǎng)絡應用效勞審計系統(tǒng)由三局部組成:2.1ieee802.1x網(wǎng)絡訪問控制ieee802.ix協(xié)議是基于端口的訪問控制協(xié)議(prtbasednetrkaessntrlprtl)，主要解決以太網(wǎng)認證和訪問控制方面的問題.目前很多高校校園網(wǎng)都采用802.ix用于對用戶接入校園網(wǎng)的行為進展控制.在802.1x初

5、始狀態(tài)下，以太網(wǎng)交換機上的所有端口處于關閉狀態(tài)，只有802.1x數(shù)據(jù)包才能通過，或者只能訪問guestvlan內(nèi)的特定網(wǎng)絡資源(如網(wǎng)絡應用效勞審計效勞器)，而另外的網(wǎng)絡數(shù)據(jù)流都被制止.當用戶進展802.lx認證時，以太網(wǎng)交換機將用戶名和密碼傳送到后臺的認證效勞器上進展驗證.假如用戶名和密碼通過了驗證，那么相應的以太網(wǎng)端口翻開，允許用戶對網(wǎng)絡的訪問，并部署aaa效勞器下發(fā)的訪問控制策略.802.1x主要是解決網(wǎng)絡接人的問題，未通過認證的用戶將無法使用網(wǎng)絡，這樣可以確保接入用戶的合法性.同時，當用戶認證通過后，由效勞審計效勞器斷定該用戶是否安裝java數(shù)據(jù)采集控件，配合aaa效勞器決定用戶是否可以

6、訪問網(wǎng)絡.2.2java數(shù)據(jù)采集控件數(shù)據(jù)采集控件的實現(xiàn)有兩種方式:一是集成到802.lx客戶端中，二是單獨的控件.java由于其跨平臺、跨操作系統(tǒng)的特性而成為首選.這樣不管用戶使用的是什么操作系統(tǒng)、使用什么軟件提供效勞，都能很方便的進展數(shù)據(jù)采集.java數(shù)據(jù)采集控件主要完成數(shù)據(jù)采集的工作，當用戶第一次連接網(wǎng)絡時，強迫安裝該控件.假如用戶重新安裝操作系統(tǒng)，當用戶再次連接網(wǎng)絡時，也將被強迫安裝該控件.未安裝數(shù)據(jù)采集控件的計算機，即使通過802.1x認證，也將只能訪問效勞審計效勞器，而不能訪問其他的網(wǎng)絡資源.數(shù)據(jù)采集控件負責采集計算機操作系統(tǒng)類型及版本、開放的端口、提供的效勞和流量等信息，并上報給效

7、勞審計系統(tǒng).2.3效勞審計效勞器效勞審計效勞器是整個系統(tǒng)的核心，主要有三個功能:一是和aaa效勞器配合，確保所有接人網(wǎng)絡的計算機合法性，并已安裝數(shù)據(jù)采集控件.二是和java數(shù)據(jù)采集控件通信，將數(shù)據(jù)采集控件報送的信息存儲到數(shù)據(jù)庫中.三是實現(xiàn)信息效勞備案、查詢管理、審計分析、實時審計和統(tǒng)計報表等功能.其中審計分析采用pf(ulti-prirityeryfeedbak)流水線處理算法3j，其處理才能可以承載高速網(wǎng)絡的審計處理.2.4后臺數(shù)據(jù)庫效勞器數(shù)據(jù)庫效勞器可以采用市面上主流的大型數(shù)據(jù)庫管理系統(tǒng)，如()rale,sqlserver,sybase等，效勞審計效勞器通過db/jdb等數(shù)據(jù)訪問接口來無縫

8、地連接這些數(shù)據(jù)庫系統(tǒng).同時，通過數(shù)據(jù)庫復制來實現(xiàn)數(shù)據(jù)庫的分布和同步，以使網(wǎng)絡應用效勞審計系統(tǒng)具備可擴展的數(shù)據(jù)處理才能，保證在網(wǎng)絡流量日益增大的情況下系統(tǒng)可以可靠地運行.3工作流程3.1計算機接入網(wǎng)絡3.1.1802.lx認證當計算機發(fā)起802.1x認證時，交換機將用戶名和密碼傳送到后臺的aaa效勞器，由aaa效勞器進展合法性斷定.當用戶未通過802.1x認證時，對網(wǎng)絡的訪問受限;當用戶通過802.1x認證時，還需要由審計效勞器進一步確認計算機上是否安裝java數(shù)據(jù)采集控件.3.1.2java數(shù)據(jù)采集控件確認計算機通過802.1x認證后，aaa效勞器通知交換機翻開端口并部署相應的訪問控制策略，將

9、所有網(wǎng)絡訪問重定向到效勞審計效勞器.假如計算機上已經(jīng)安裝java數(shù)據(jù)采集控件，當檢測到計算機網(wǎng)絡狀態(tài)已連接時，自動向效勞審計效勞器發(fā)出通知，告知該計算機已接入網(wǎng)絡.效勞審計效勞器接到通知后，將信息記錄到后臺數(shù)據(jù)庫效勞器中，并通知aaa效勞器下發(fā)新的訪問控制策略，允許計算機訪問其他的網(wǎng)絡效勞.假如計算機沒有安裝java數(shù)據(jù)采集控件，效勞審計效勞器不會收到通知，這時用戶所有的訪問都被重定向到效勞審計效勞器，而不能訪問其他的網(wǎng)絡效勞川.3.2網(wǎng)絡應用效勞審計數(shù)據(jù)采集數(shù)據(jù)采集控件定時和效勞審計效勞器進展通信，將采集的信息上報效勞審計效勞器.效勞審計效勞器將這些信息記錄到后臺數(shù)據(jù)庫效勞器中，用于后續(xù)的查

10、詢、統(tǒng)計和審計等.假如效勞審計效勞器在一定時間內(nèi)未收到數(shù)據(jù)采集控件的通信信息(單次通信超時為60秒，假如連續(xù)5次通信未成功，那么視為通信中斷)，效勞審計效勞器通知aaa效勞器斷開該用戶的網(wǎng)絡連接.采集的審計數(shù)據(jù)一般包括下邊的三個局部:1)主機識別:連接到網(wǎng)絡上的活動計算機的ip地址、a地址、802.1x用戶名、交換機管理ip地址和交換機端口等數(shù)據(jù)，這些數(shù)據(jù)可以由802.1x效勞提供.2)主機描繪:連接到網(wǎng)絡上的活動計算機的操作系統(tǒng)、運行的網(wǎng)絡效勞及其版本信息、計算機開放的端口等數(shù)據(jù)，這些數(shù)據(jù)由java數(shù)據(jù)采集控件提供.3)效勞描繪:連接到網(wǎng)絡上的活動計算機的哪些網(wǎng)絡效勞處于激活狀態(tài)、流量是多少

11、等數(shù)據(jù)，這些數(shù)據(jù)由java數(shù)據(jù)采集控件和aaa效勞器結(jié)合提供.3.3網(wǎng)絡應用效勞審計網(wǎng)絡應用效勞審計系統(tǒng)負責對采集到的信息進展審計，并根據(jù)預定設置，采取相應的措施.審計可分為三個級別:高優(yōu)先級、中優(yōu)先級和低優(yōu)先級。高優(yōu)先級審計主要用于網(wǎng)絡中重要效勞的審計，包括兩個方面:一是所允許的效勞運行是否正常，二是是否有未允許的效勞在運行.高敏感度審計發(fā)現(xiàn)網(wǎng)絡中的重要效勞出現(xiàn)問題時，會立即以短信方式通知管理員進展處理，從而確保重要效勞的正常運行.中優(yōu)先級審計主要用于網(wǎng)絡中非重要效勞的審計，也包括上述兩個方面，但發(fā)現(xiàn)問題時，只是以告警信息或者郵件的方式提示管理員進展處理.低優(yōu)先級審計那么用于網(wǎng)絡中的大局部用戶，著重于信息的搜集和保存，以備非實時審計、統(tǒng)計分析用.為滿足高速網(wǎng)絡中效勞審計的需要，采用了pf流水線處理算法.pf算法根據(jù)審計系統(tǒng)的過程模型以及各個局部的特點，合理劃分各個局部的層次以及優(yōu)先級順序。3.4計算機從網(wǎng)絡中退出當計算機正常從網(wǎng)絡中退出時，數(shù)據(jù)采集插件停頓工作，交換機端口恢復到關閉狀態(tài).當計算機非正常退出時(如突然斷電、計算機死機等)，效勞審計效勞器在一定時間內(nèi)未收到數(shù)據(jù)采