導語：網絡應用服務審計系統透析一文來源于網友上傳，不代表本站觀點，若需要原創文章可咨詢客服老師，歡迎參考。

關鍵詞：計算機網絡；應用服務；審計系統

摘要：如何有效的收集網絡應用服務的基本信息，是服務審計系統的一個難點．采用接人控制的方式，在每臺服務器上強制安裝信息采集控件，用于對各種網絡應用服務信息進行采集并上報給審計服務器進行審計，用戶接入網絡前必須經過應用服務的審計，從而對眾多的應用服務進行有效的管理。

隨著Internet的發展，各種各樣的網絡應用服務也層出不窮，傳統的如DNS、Email、Web和FTP等，時髦的如P2P、網絡證書、網絡電話和軟件倉庫等。面對如此眾多的網絡服務，怎樣進行有效、規范的管理?怎么確保網絡應用服務的健康、有序的發展?這就是擺在各個網絡信息管理員面前迫切的問題。網絡信息服務審計系統可以解決這個難題，同時也是網絡安全研究的一個熱點。

本文結合高校的特色和網絡應用的實際情況，對網絡應用服務管理進行了研究，提出了采用接人控制的網絡應用服務審計系統的解決方案，通過實踐證明，該系統對高校的應用服務系統是一種切實有效的管理方式。

1網絡服務審計

1.1什么是網絡服務審計

“審計”的英文單詞為“Audit"，可解釋為“查賬”，兼有“旁聽”的涵義。由此可見，早期的審計就是審查會計賬目，與會計賬目密切相關。審計發展至今，早已超越了查賬的范疇，涉及到對各項工作的經濟性、效率性、合法性和效果性的查核，其基本目是確定被審查對象與所建立的標準之間的一致或不一致的地方。

網絡服務審計是指對網絡服務提供者所提供的服務是否遵守有關的法律和規章制度、是否登記備案、其服務內容是否超越所登記備案的范圍、其是否已有效地達到了預期的結果等進行的檢查與核查行為。

1.2網絡服務審計的必要性

傳統的網絡服務審計可能非常耗費時間，通過對計算機逐個進行端口掃描、漏洞掃描或者鏡像監聽，獲得所需要的信息后進行審計和核查。但如果計算機更改服務提供的端口號、用戶防火墻屏蔽了端口掃描或者采用動態端口提供服務，那么就無法及時獲得這些必要的信息了。

對網絡信息管理員而言，如何有效的控制網絡中的信息服務、如何掌握信息服務提供者所提供的服務類型是否超越所登記備案的范圍、如何及時掌握統計和分析網絡中信息流的動態情況等都是一個很繁瑣和復雜的事情。

通過對網絡應用服務的審計，能夠及時獲取服務提供者所提供的網絡應用服務，能夠及時掌握用戶對信息服務的訪問行為，能夠及時發現有無違規的信息與訪問，能夠及時發現涉密信息的泄露和敏感信息的訪問等。

2網絡應用服務審計系統架構

結合高校的特色和網絡應用的實際情況，采用接人控制的網絡應用服務審計系統由三部分組成：

2.1IEEE802.1x網絡訪問控制

IEEE802。Ix協議是基于端口的訪問控制協議(portbasednetworkaccesscontrolprotocol)，主要解決以太網認證和訪問控制方面的問題。目前很多高校校園網都采用802.ix用于對用戶接入校園網的行為進行控制。

在802.1x初始狀態下，以太網交換機上的所有端口處于關閉狀態，只有802.1x數據包才能通過，或者只能訪問GuestVLAN內的特定網絡資源(如網絡應用服務審計服務器)，而另外的網絡數據流都被禁止。當用戶進行802。lx認證時，以太網交換機將用戶名和密碼傳送到后臺的認證服務器上進行驗證。如果用戶名和密碼通過了驗證，則相應的以太網端口打開，允許用戶對網絡的訪問，并部署AAA服務器下發的訪問控制策略。

802.1x主要是解決網絡接人的問題，未通過認證的用戶將無法使用網絡，這樣可以確保接入用戶的合法性。同時，當用戶認證通過后，由服務審計服務器判定該用戶是否安裝Java數據采集控件，配合AAA服務器決定用戶是否能夠訪問網絡。

2.2Java數據采集控件

數據采集控件的實現有兩種方式:一是集成到802.lx客戶端中，二是單獨的控件。Java由于其跨平臺、跨操作系統的特性而成為首選。這樣不管用戶使用的是什么操作系統、使用什么軟件提供服務，都能很方便的進行數據采集。

Java數據采集控件主要完成數據采集的工作，當用戶第一次連接網絡時，強制安裝該控件。如果用戶重新安裝操作系統，當用戶再次連接網絡時，也將被強制安裝該控件。

未安裝數據采集控件的計算機，即使通過802.1x認證，也將只能訪問服務審計服務器，而不能訪問其他的網絡資源。

數據采集控件負責采集計算機操作系統類型及版本、開放的端口、提供的服務和流量等信息，并上報給服務審計系統。

2.3服務審計服務器

服務審計服務器是整個系統的核心，主要有三個功能:一是和AAA服務器配合，確保所有接人網絡的計算機合法性，并已安裝數據采集控件。二是和Java數據采集控件通信，將數據采集控件報送的信息存儲到數據庫中。三是實現信息服務備案、查詢管理、審計分析、實時審計和統計報表等功能。其中審計分析采用MPMF(multi-prioritymemoryfeedback)流水線處理算法，其處理能力可以承載高速網絡的審計處理。

2.4后臺數據庫服務器

數據庫服務器可以采用市面上主流的大型數據庫管理系統，如()racle,SQLServer,Sybase等，服務審計服務器通過ODBC/JDBC等數據訪問接口來無縫地連接這些數據庫系統。

同時，通過數據庫復制來實現數據庫的分布和同步，以使網絡應用服務審計系統具備可擴展的數據處理能力，保證在網絡流量日益增大的情況下系統可以可靠地運行。

3工作流程

3.1計算機接入網絡

3.1.1802.lx認證

當計算機發起802.1x認證時，交換機將用戶名和密碼傳送到后臺的AAA服務器，由AAA服務器進行合法性判定。當用戶未通過802.1x認證時，對網絡的訪問受限;當用戶通過802.1x認證時，還需要由審計服務器進一步確認計算機上是否安裝Java數據采集控件。

3.1.2Java數據采集控件確認

計算機通過802.1x認證后，AAA服務器通知交換機打開端口并部署相應的訪問控制策略，將所有網絡訪問重定向到服務審計服務器。

如果計算機上已經安裝Java數據采集控件，當檢測到計算機網絡狀態已連接時，自動向服務審計服務器發出通知，告知該計算機已接入網絡。服務審計服務器接到通知后，將信息記錄到后臺數據庫服務器中，并通知AAA服務器下發新的訪問控制策略，允許計算機訪問其他的網絡服務。

如果計算機沒有安裝Java數據采集控件，服務審計服務器不會收到通知，這時用戶所有的訪問都被重定向到服務審計服務器，而不能訪問其他的網絡服務川。

3.2網絡應用服務審計數據采集

數據采集控件定時和服務審計服務器進行通信，將采集的信息上報服務審計服務器。服務審計服務器將這些信息記錄到后臺數據庫服務器中，用于后續的查詢、統計和審計等。

如果服務審計服務器在一定時間內未收到數據采集控件的通信信息(單次通信超時為60秒，如果連續5次通信未成功，則視為通信中斷)，服務審計服務器通知AAA服務器斷開該用戶的網絡連接。

采集的審計數據一般包括下邊的三個部分：

1)主機識別:連接到網絡上的活動計算機的IP地址、MAC地址、802.1x用戶名、交換機管理IP地址和交換機端口等數據，這些數據可以由802.1x服務提供。

2)主機描述:連接到網絡上的活動計算機的操作系統、運行的網絡服務及其版本信息、計算機開放的端口等數據，這些數據由Java數據采集控件提供。

3)服務描述:連接到網絡上的活動計算機的哪些網絡服務處于激活狀態、流量是多少等數據，這些數據由Java數據采集控件和AAA服務器聯合提供。

3.3網絡應用服務審計

網絡應用服務審計系統負責對采集到的信息進行審計，并根據預定設置，采取相應的措施。

審計可分為三個級別:高優先級、中優先級和低優先級。

高優先級審計主要用于網絡中重要服務的審計，包括兩個方面:一是所允許的服務運行是否正常，二是是否有未允許的服務在運行。高敏感度審計發現網絡中的重要服務出現問題時，會立即以短信方式通知管理員進行處理，從而確保重要服務的正常運行。

中優先級審計主要用于網絡中非重要服務的審計，也包括上述兩個方面，但發現問題時，只是以告警信息或者郵件的方式提示管理員進行處理。

低優先級審計則用于網絡中的大部分用戶，著重于信息的收集和保存，以備非實時審計、統計分析用。

為滿足高速網絡中服務審計的需要，采用了MPMF流水線處理算法。MPMF算法根據審計系統的過程模型以及各個部分的特點，合理劃分各個部分的層次以及優先級順序。

3.4計算機從網絡中退出

當計算機正常從網絡中退出時，數據采集插件停止工作，交換機端口恢復到關閉狀態。

當計算機非正常退出時(如突然斷電、計算機死機等)，服務審計服務器在一定時間內未收到數據采集控件的通信信息(單次通信超時為60秒，如果連續5次通信未成功，則視為通信中斷)，服務審計服務器通知AAA服務器斷開該用戶的網絡連接，交換機端口恢復到關閉狀態。

4結束語

本研究解決了服務審計系統中數據采集的難題，在利用802.1x接人控制的基礎上，對用戶使用計算機網絡基本沒有影響，同時完成了數據采集的工作，為以后的服務審計系統的進一步深人研究提供了充足的數據基礎。