网络应用服务审计系统的探析_计算机网络论文.docVIP

网络应用服务审计系统的探析_计算机网络论文 网络应用服务审计系统的探析_计算机网络论文 论文关键词：计算机网络；应用服务；审计系统 　　论文摘要：如何有效的收集网络应用服务的基本信息，是服务审计系统的一个难点．采用接人控制的方式，在每台服务器上强制安装信息采集控件，用于对各种网络应用服务信息进行采集并上报给审计服务器进行审计，用户接入网络前必须经过应用服务的审计，从而对众多的应用服务进行有效的管理． 随着Internet的发展，各种各样的网络应用服务也层出不穷，传统的如DNS、Email、Web和FTP等，时髦的如P2P、网络证书、网络电话和软件仓库等.面对如此众多的网络服务，怎样进行有效、规范的管理?怎么确保网络应用服务的健康、有序的发展?这就是摆在各个网络信息管理员面前迫切的问题.网络信息服务审计系统可以解决这个难题，同时也是网络安全研究的一个热点. 本文结合高校的特色和网络应用的实际情况，对网络应用服务管理进行了研究，提出了采用接人控制的网络应用服务审计系统的解决方案，通过实践证明，该系统对高校的应用服务系统是一种切实有效的管理方式. 　　1网络服务审计 　　1.1什么是网络服务审计 “审计”的英文单词为“Audit，可解释为“查账”，兼有“旁听”的涵义.由此可见，早期的审计就是审查会计账目，与会计账目密切相关.审计发展至今，早已超越了查账的范畴，涉及到对各项工作的经济性、效率性、合法性和效果性的查核，其基本目是确定被审查对象与所建立的标准之间的一致或不一致的地方. 网络服务审计是指对网络服务提供者所提供的服务是否遵守有关的法律和规章制度、是否登记备案、其服务内容是否超越所登记备案的范围、其是否已有效地达到了预期的结果等进行的检查与核查行为. 　　1.2网络服务审计的必要性 传统的网络服务审计可能非常耗费时间，通过对计算机逐个进行端口扫描、漏洞扫描或者镜像监听，获得所需要的信息后进行审计和核查.但如果计算机更改服务提供的端口号、用户防火墙屏蔽了端口扫描或者采用动态端口提供服务，那么就无法及时获得这些必要的信息了. 对网络信息管理员而言，如何有效的控制网络中的信息服务、如何掌握信息服务提供者所提供的服务类型是否超越所登记备案的范围、如何及时掌握统计和分析网络中信息流的动态情况等都是一个很繁琐和复杂的事情. 通过对网络应用服务的审计，能够及时获取服务提供者所提供的网络应用服务，能够及时掌握用户对信息服务的访问行为，能够及时发现有无违规的信息发布与访问，能够及时发现涉密信息的泄露和敏感信息的访问等. 　　2网络应用服务审计系统架构 结合高校的特色和网络应用的实际情况，采用接人控制的网络应用服务审计系统由三部分组成: 　　2.1IEEE802.1x网络访问控制 IEEE802.Ix协议是基于端口的访问控制协议(portbasednetworkaccesscontrolprotocol)，主要解决以太网认证和访问控制方面的问题.目前很多高校校园网都采用802.ix用于对用户接入校园网的行为进行控制. 在802.1x初始状态下，以太网交换机上的所有端口处于关闭状态，只有802.1x数据包才能通过，或者只能访问GuestVLAN内的特定网络资源(如网络应用服务审计服务器)，而另外的网络数据流都被禁止.当用户进行802.lx认证时，以太网交换机将用户名和密码传送到后台的认证服务器上进行验证.如果用户名和密码通过了验证，则相应的以太网端口打开，允许用户对网络的访问，并部署AAA服务器下发的访问控制策略. 802.1x主要是解决网络接人的问题，未通过认证的用户将无法使用网络，这样可以确保接入用户的合法性.同时，当用户认证通过后，由服务审计服务器判定该用户是否安装Java数据采集控件，配合AAA服务器决定用户是否能够访问网络. 　　2.2Java数据采集控件 数据采集控件的实现有两种方式:一是集成到802.lx客户端中，二是单独的控件.Java由于其跨平台、跨操作系统的特性而成为首选.这样不管用户使用的是什么操作系统、使用什么软件提供服务，都能很方便的进行数据采集. Java数据采集控件主要完成数据采集的工作，当用户第一次连接网络时，强制安装该控件.如果用户重新安装操作系统，当用户再次连接网络时，也将被强制安装该控件. 未安装数据采集控件的计算机，即使通过802.1x认证，也将只能访问服务审计服务器，而不能访问其他的网络资源. 数据采集控件负责采集计算机操作系统类型及版本、开放的端口、提供的服务和流量等信息，并上报给服务审计系统. 　　2.3服务审计服务器 服务审计服务器是整个系统的核心，主要有三个功能:一是和AAA服务器配合，确保所有接人网络的计算机合法性，并已安装数据采集控件.二是和Java数据