關(guān)于電大教學(xué)管理平臺(tái)與安全審計(jì)系統(tǒng)的構(gòu)想

金壽華

（湖北廣播電視大學(xué)，湖北 武漢 430073）

1.網(wǎng)絡(luò)安全

網(wǎng)絡(luò)安全就是網(wǎng)絡(luò)上的信息安全，是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運(yùn)行，網(wǎng)絡(luò)服務(wù)不中斷。網(wǎng)絡(luò)安全涉及的內(nèi)容既有技術(shù)方面的問(wèn)題，也有管理方面的問(wèn)題，兩方面相互補(bǔ)充，缺一不可。目前網(wǎng)絡(luò)存在的威脅主要表現(xiàn)在：

① 非授權(quán)訪問(wèn)：事先未經(jīng)允許，就使用網(wǎng)絡(luò)或計(jì)算機(jī)資源被看作是非授權(quán)訪問(wèn)。

② 信息泄漏或丟失：指敏感數(shù)據(jù)在有意或無(wú)意中被泄漏出去或丟失。

③ 破壞數(shù)據(jù)完整性：以非法手段竊得對(duì)數(shù)據(jù)的使用權(quán)，刪除、修改、插入或重發(fā)某些重要信息，以取得有益于攻擊者的響應(yīng)。

④ 利用網(wǎng)絡(luò)傳播病毒：通過(guò)網(wǎng)絡(luò)傳播計(jì)算機(jī)病毒，其破壞性大大高于單機(jī)系統(tǒng)，而且用戶很難防范。

2.網(wǎng)絡(luò)安全審計(jì)系統(tǒng)過(guò)濾技術(shù)（BPF）

網(wǎng)絡(luò)安全審計(jì)系統(tǒng)通過(guò)實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)活動(dòng)，偵測(cè)網(wǎng)絡(luò)中存在的現(xiàn)有和潛在的威脅，對(duì)與安全有關(guān)的活動(dòng)的相關(guān)信息進(jìn)行識(shí)別、記錄、存儲(chǔ)和分析，對(duì)突發(fā)事件進(jìn)行報(bào)警和響應(yīng)，不僅能夠識(shí)別誰(shuí)訪問(wèn)了系統(tǒng)，還能指出系統(tǒng)正被怎樣地使用，使安全管理人員可以較有效地監(jiān)控、評(píng)估自己的網(wǎng)絡(luò)系統(tǒng)。通過(guò)安全審計(jì)系統(tǒng)記錄的網(wǎng)絡(luò)上各計(jì)算機(jī)發(fā)生的行為，安全管理員可以定期對(duì)各種安全相關(guān)事件進(jìn)行查尋、統(tǒng)計(jì)和分析，發(fā)現(xiàn)潛在的危險(xiǎn)；在發(fā)生安全事故后，可以進(jìn)行數(shù)字取證，查找安全漏洞，分析事故原因，調(diào)整安全策略。

2.1 利用以太網(wǎng)絡(luò)的廣播特性進(jìn)行監(jiān)聽

以太網(wǎng)數(shù)據(jù)傳輸通過(guò)廣播實(shí)現(xiàn)。但是在系統(tǒng)正常工作時(shí)，應(yīng)用程序只能接收到以本主機(jī)為目標(biāo)主機(jī)的數(shù)據(jù)包，其它數(shù)據(jù)包將被丟棄不作處理，其數(shù)據(jù)包過(guò)濾機(jī)制分為鏈路層、網(wǎng)絡(luò)層和傳輸層幾個(gè)層次，工作流程示意圖如圖1所示。

鏈路層主要指網(wǎng)卡驅(qū)動(dòng)程序判斷所收到包的目標(biāo)以太地址，如果不為自己網(wǎng)卡的MAC地址，又不為廣播地址和組播地址，將直接丟棄，不向上層提交。網(wǎng)絡(luò)層判斷目標(biāo)IP地址是否為本機(jī)所綁定的IP地址，如果不是本機(jī)所綁定IP地址，將不向上層提交。

傳輸層如TCP層或者UDP層判斷目標(biāo)端口是否在本機(jī)己經(jīng)打開，如果沒(méi)有打開，將不作處理，不向應(yīng)用層提交。

要監(jiān)聽到流經(jīng)網(wǎng)卡的不屬于自己主機(jī)的數(shù)據(jù)，必須繞過(guò)系統(tǒng)正常工作的處理機(jī)制，直接訪問(wèn)網(wǎng)絡(luò)底層，首先將網(wǎng)卡工作模式置于混亂模式，使之可以接收目標(biāo)MAC地址不是自己MAC地址的數(shù)據(jù)包，然后直接訪問(wèn)數(shù)據(jù)鏈路層，截獲相關(guān)數(shù)據(jù)，由應(yīng)用程序而非上層如IP層TCP層協(xié)議對(duì)數(shù)據(jù)過(guò)濾處理，這樣就可以監(jiān)聽到流經(jīng)網(wǎng)卡的所有數(shù)據(jù)。

在Unix系統(tǒng)中可以通過(guò)libpcap直接與內(nèi)核驅(qū)動(dòng)程序交互實(shí)現(xiàn)網(wǎng)絡(luò)信息的監(jiān)聽，例如常用的以太網(wǎng)絡(luò)監(jiān)聽程序tcpdump的程序流程如下，其中用戶對(duì)數(shù)據(jù)包的檢查或者處理程序可以通過(guò)callback調(diào)用如圖2所示。

WIN32平臺(tái)不提供直接的網(wǎng)絡(luò)底層訪問(wèn)接口，必須通過(guò)虛擬設(shè)備驅(qū)動(dòng)程序（VxD Virtual Device Driver）實(shí)現(xiàn)網(wǎng)絡(luò)監(jiān)聽的功能，VxD驅(qū)動(dòng)程序提供外部程序和網(wǎng)卡NIC之間的接口，其工作原理如圖3所示。

2.2 基于路由器的網(wǎng)絡(luò)底層信息監(jiān)聽技術(shù)

在不設(shè)置監(jiān)聽端口的情況下，網(wǎng)絡(luò)路由工作原理如圖4所示。

假設(shè)設(shè)置以太接口2為監(jiān)聽端口，并連接到信息敏感器所在主機(jī)，則網(wǎng)絡(luò)路由工作將不同于正常情況，所有的網(wǎng)絡(luò)信息數(shù)據(jù)包除按照正常情況轉(zhuǎn)發(fā)外，將同時(shí)轉(zhuǎn)發(fā)到監(jiān)聽端口，從而使得信息敏感器可以監(jiān)聽到所有的網(wǎng)絡(luò)流量。工作原理如圖5所示。

2.3 基于BPF模型的網(wǎng)絡(luò)信息過(guò)濾機(jī)制

網(wǎng)絡(luò)信息監(jiān)控將獲取所有的網(wǎng)絡(luò)流量，包括所有協(xié)議端口所有子網(wǎng)主機(jī)的所有交互數(shù)據(jù)，但在實(shí)際應(yīng)用中，其中存在若干用戶不需要關(guān)心的數(shù)據(jù)，或者稱為垃圾數(shù)據(jù)，垃圾數(shù)據(jù)在所有流量中占有極大比重，嚴(yán)重影響了系統(tǒng)工作效率的提高，因此高效的信息過(guò)濾機(jī)制是信息監(jiān)聽的重要組成部分，它使得用戶可以指定特定的子網(wǎng)主機(jī)以及特定的協(xié)議端口如HTTP、FTP、EMAIL等進(jìn)行過(guò)濾，只將用戶關(guān)心的敏感數(shù)據(jù)向上層提交，從而提高系統(tǒng)工作效率。信息的簡(jiǎn)單過(guò)濾具體有IP地址過(guò)濾、數(shù)據(jù)包類型過(guò)濾、TCP端口過(guò)濾等幾個(gè)類別，在系統(tǒng)中，我們采用BPF信息過(guò)濾機(jī)制，大大提高了工作效率。下面對(duì)BFF系統(tǒng)過(guò)濾機(jī)制進(jìn)行說(shuō)明和分析。

3.教學(xué)管理平臺(tái)與安全審記系統(tǒng)的實(shí)現(xiàn)

3.1 系統(tǒng)目標(biāo)

實(shí)現(xiàn)一個(gè)基于高速網(wǎng)絡(luò)環(huán)境下的綜合教學(xué)平臺(tái)，利用該平臺(tái)完成網(wǎng)絡(luò)化教學(xué)和教學(xué)質(zhì)量的監(jiān)控。主要完成省電大學(xué)生學(xué)習(xí)數(shù)據(jù)采集、教師交流數(shù)據(jù)采集以及全程的質(zhì)量控制、與中央電大的數(shù)據(jù)交換。

教學(xué)管理平臺(tái)從功能上主要分為七大模塊。如下圖 6所示：

① 新聞公告：可以瀏覽省電大、學(xué)院發(fā)布的相關(guān)教務(wù)公告和新聞。

② 精品課程名師計(jì)劃：實(shí)現(xiàn)包括國(guó)家、省級(jí)、學(xué)院三個(gè)級(jí)別的精品課程申報(bào)材料的匯總以及展示。

③ 網(wǎng)絡(luò)課堂：主要由課程介紹、課件管理、作業(yè)管理、課程論壇、教學(xué)評(píng)測(cè)、考試系統(tǒng)子模塊組成。

④ 教學(xué)質(zhì)量管理：查看教學(xué)質(zhì)量列表，聽課表上傳功能，聽課表下載等。

⑤ 成績(jī)管理：為省電大、學(xué)院教學(xué)管理提供成績(jī)管理功能。

⑥ 系統(tǒng)信息管理：主要是完成學(xué)生基本信息維護(hù)、教師基本信息維護(hù)、學(xué)生選課表、教師授課表的信息維護(hù)。

⑦ 個(gè)人信息管理：主要是學(xué)生教師注冊(cè)、維護(hù)個(gè)人信息。

3.2 教學(xué)管理平臺(tái)系統(tǒng)設(shè)計(jì)

為完成搭建了內(nèi)部開發(fā)網(wǎng)絡(luò)環(huán)境和對(duì)外發(fā)布環(huán)境。在開發(fā)環(huán)境中，開發(fā)者使用同一服務(wù)器，完成代碼文檔版本控制、數(shù)據(jù)庫(kù)服務(wù)、發(fā)布服務(wù)。對(duì)外發(fā)布環(huán)境中，首先使用了路由器完成NAT轉(zhuǎn)換，然后添加硬件防火墻，增加系統(tǒng)的安全性。

開發(fā)工具：IBM WebSphere Application Developer 5.1

數(shù)據(jù)庫(kù)：IBM DB2 8.1

發(fā)布服務(wù)器：IBM WebSphere Application Server 5.0

版本控制工具：CVSNT

防火墻：Quidview R

服務(wù)器：HP臺(tái)式機(jī)，RAID 1，Windows 2003 Server操作系統(tǒng)

4.安全審計(jì)系統(tǒng)

4.1 數(shù)據(jù)包采集模塊

（1）Winpcap驅(qū)動(dòng)開發(fā)包

要獲得網(wǎng)絡(luò)上的所有數(shù)據(jù)包，必須直接訪問(wèn)數(shù)據(jù)鏈路層。目前大多數(shù)操作系統(tǒng)都為應(yīng)用程序提供了訪問(wèn)數(shù)據(jù)鏈路層的手段，它使得應(yīng)用程序可以監(jiān)視數(shù)據(jù)鏈路層上的所有分組。操作系統(tǒng)提供的分組捕獲機(jī)制主要有 3種，BPF（Berkeley Packet Filter），DLPI（Data Link Provider Interface），及SOCK_PACKET類型套接口。基于BSD的系統(tǒng)使用BPF，基于 SVR4的系統(tǒng)一般使用 DLPI，Linux使用 SOCK_PACKET。但是Windows系統(tǒng)并沒(méi)有提供內(nèi)置的分組捕獲機(jī)制，這一功能必須由應(yīng)用系統(tǒng)提供，WinPcap使用BPF虛擬機(jī)（在Windows中通常稱為NPF）補(bǔ)充了這一機(jī)制。

Winpcap（Windows Packet Capture ）是Windows平臺(tái)下一個(gè)免費(fèi)、公共的網(wǎng)絡(luò)驅(qū)動(dòng)開發(fā)包。它采用分組捕獲機(jī)制的分組捕獲函數(shù)庫(kù)，用于訪問(wèn)數(shù)據(jù)鏈路層。它結(jié)構(gòu)簡(jiǎn)單，使用方便，提供了一套與硬件無(wú)關(guān)的獨(dú)立于系統(tǒng)的 API封裝函數(shù)，我們利用這些 API函數(shù)即可完成包監(jiān)控器所需的網(wǎng)絡(luò)數(shù)據(jù)包監(jiān)聽功能。因此，我們使用Winpcap庫(kù)完成包捕獲的工作。

使用Winpcap開發(fā)這個(gè)項(xiàng)目的目的在于為Win32 應(yīng)用程序提供訪問(wèn)網(wǎng)絡(luò)底層的能力。它提供了以下的各項(xiàng)功能：

① 捕獲原始數(shù)據(jù)包。

② 在數(shù)據(jù)包發(fā)往應(yīng)用程序之前，按照自定義的規(guī)則將某些特殊的數(shù)據(jù)包過(guò)濾掉。

③ 在網(wǎng)絡(luò)上發(fā)送原始的數(shù)據(jù)包。

④ 收集網(wǎng)絡(luò)通信過(guò)程中的統(tǒng)計(jì)信息。

將包的各種協(xié)議頭拆封后，可以得到應(yīng)用層的信息。系統(tǒng)首先建立常用的應(yīng)用協(xié)議關(guān)鍵字庫(kù)，然后對(duì)包進(jìn)行分析，從包中提取出應(yīng)用協(xié)議的協(xié)議關(guān)鍵字，從而對(duì)應(yīng)用協(xié)議有一個(gè)更深入的了解，同時(shí)系統(tǒng)根據(jù)協(xié)議定義的通信規(guī)范可將包中可顯示的字節(jié)轉(zhuǎn)化成文本，實(shí)現(xiàn)對(duì)包內(nèi)容的瀏覽審計(jì)功能。

（2）郵件審計(jì)

該模塊的主要工作是解析郵件協(xié)議，存儲(chǔ)每個(gè)郵件會(huì)話過(guò)程的中間數(shù)據(jù)和狀態(tài)，跟蹤?quán)]件會(huì)話進(jìn)程，分析郵件會(huì)話過(guò)程的完整性，維護(hù)郵件會(huì)話數(shù)據(jù)隊(duì)列，判斷郵件會(huì)話的結(jié)束標(biāo)志，并在郵件會(huì)話結(jié)束時(shí)，進(jìn)行郵件內(nèi)容的分析、解碼工作。

（3）MIME內(nèi)容解碼

MIME（Multipurpose Internet Mail Extensions）協(xié)議是目前Internet郵件傳送過(guò)程中，郵件格式編碼的主要方式。MIME協(xié)議的出現(xiàn)，突破了傳統(tǒng)郵件服務(wù)器的很多限制，可以發(fā)送 8Bit編碼字符，可以進(jìn)行自定義的內(nèi)容編碼方法，發(fā)送郵件附件，以及多媒體數(shù)據(jù)。通過(guò)網(wǎng)絡(luò)偵聽，進(jìn)行SMTP/POP3協(xié)議會(huì)話重組，并分析郵件的格式內(nèi)容，編碼方式等關(guān)鍵信息，并對(duì)編碼數(shù)據(jù)進(jìn)行解碼，最終為信息過(guò)濾的執(zhí)行提供數(shù)據(jù)來(lái)源。

（4）網(wǎng)頁(yè)審計(jì)（WWW審計(jì)）

網(wǎng)頁(yè)審計(jì)（WWW審計(jì)）是利用協(xié)議分析的原理，基于命令解碼、網(wǎng)頁(yè)解碼和內(nèi)容重組技術(shù)，從網(wǎng)絡(luò)上捕獲網(wǎng)絡(luò)報(bào)文并重組成完整的WWW會(huì)話，按照HTTP協(xié)議把會(huì)話雙方的信息分解為不同值域，并根據(jù)監(jiān)控規(guī)則進(jìn)行檢測(cè)，從而實(shí)現(xiàn)對(duì)WWW會(huì)話進(jìn)行安全監(jiān)控的目的。系統(tǒng)不僅能檢測(cè)出針對(duì)WWW的入侵，而且能夠?qū)徲?jì)用戶對(duì)敏感內(nèi)容的訪問(wèn)并進(jìn)行完整記錄和重現(xiàn)。

4.2 處理模塊

通過(guò)對(duì)應(yīng)用和協(xié)議的分析與識(shí)別，利用日志數(shù)據(jù)庫(kù)中的數(shù)據(jù)，可以對(duì)局域網(wǎng)進(jìn)行的流量進(jìn)行統(tǒng)計(jì)與分析，如各種應(yīng)用所占的比例，及各種協(xié)議的使用比例等，當(dāng)前的連接、當(dāng)前參與連接的主機(jī)以及流量排序等，從而對(duì)該子網(wǎng)的運(yùn)行及使用狀況有一個(gè)全面的掌握與了解。

安全審計(jì)系統(tǒng)能夠?qū)崟r(shí)采集網(wǎng)絡(luò)信息，并根據(jù)服務(wù)類別（WWW，BBS，Email）對(duì)網(wǎng)絡(luò)信息內(nèi)容進(jìn)行審計(jì)。能夠及時(shí)捕獲和識(shí)別敏感信息，使省電大網(wǎng)絡(luò)中心系統(tǒng)管理員時(shí)刻了解網(wǎng)絡(luò)系統(tǒng)信息流量和信息內(nèi)容。能夠?qū)︵]件存取事件進(jìn)行審計(jì)和監(jiān)督，對(duì)信息包的存取進(jìn)行監(jiān)視，盡可能的追查非法信息存取者的信息。配置簡(jiǎn)單，操作方便，具有良好的可擴(kuò)展性。信息審計(jì)的規(guī)模能夠根據(jù)信息傳播規(guī)模，系統(tǒng)構(gòu)造和安全需求的改變而改變，具有友好的人機(jī)界面。從而保證在服務(wù)器上，省電大、學(xué)院學(xué)生學(xué)習(xí)，查找資料，教師課件上傳等；并與中央電大信息保持暢通，資源共享，為開放大學(xué)時(shí)代的來(lái)臨打下堅(jiān)實(shí)基礎(chǔ)。

[1]石志國(guó)，薛為民，江俐.計(jì)算機(jī)網(wǎng)絡(luò)教程[M].北京：清華大學(xué)出版社，2004.

[2]田茁，戴文芳.網(wǎng)絡(luò)多媒體教學(xué)信息平臺(tái)的構(gòu)建[J].吉林工程技術(shù)師范學(xué)院學(xué)報(bào)，2009，（5）.

[3]鄧麗萍.淺談網(wǎng)絡(luò)安全審計(jì)系統(tǒng)[J].福建電腦，2007，（10）.

[4]伍閩敏.建設(shè)企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)安全審計(jì)系統(tǒng)的必要性及其技術(shù)要求[J].信息安全與技術(shù)，2011，Z1.