關于電大教學管理平臺與安全審計系統的構想

金壽華

（湖北廣播電視大學，湖北 武漢 430073）

1.網絡安全

網絡安全就是網絡上的信息安全，是指網絡系統的硬件、軟件及其系統中的數據受到保護，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統連續可靠正常地運行，網絡服務不中斷。網絡安全涉及的內容既有技術方面的問題，也有管理方面的問題，兩方面相互補充，缺一不可。目前網絡存在的威脅主要表現在：

① 非授權訪問：事先未經允許，就使用網絡或計算機資源被看作是非授權訪問。

② 信息泄漏或丟失：指敏感數據在有意或無意中被泄漏出去或丟失。

③ 破壞數據完整性：以非法手段竊得對數據的使用權，刪除、修改、插入或重發某些重要信息，以取得有益于攻擊者的響應。

④ 利用網絡傳播病毒：通過網絡傳播計算機病毒，其破壞性大大高于單機系統，而且用戶很難防范。

2.網絡安全審計系統過濾技術（BPF）

網絡安全審計系統通過實時監控網絡活動，偵測網絡中存在的現有和潛在的威脅，對與安全有關的活動的相關信息進行識別、記錄、存儲和分析，對突發事件進行報警和響應，不僅能夠識別誰訪問了系統，還能指出系統正被怎樣地使用，使安全管理人員可以較有效地監控、評估自己的網絡系統。通過安全審計系統記錄的網絡上各計算機發生的行為，安全管理員可以定期對各種安全相關事件進行查尋、統計和分析，發現潛在的危險；在發生安全事故后，可以進行數字取證，查找安全漏洞，分析事故原因，調整安全策略。

2.1 利用以太網絡的廣播特性進行監聽

以太網數據傳輸通過廣播實現。但是在系統正常工作時，應用程序只能接收到以本主機為目標主機的數據包，其它數據包將被丟棄不作處理，其數據包過濾機制分為鏈路層、網絡層和傳輸層幾個層次，工作流程示意圖如圖1所示。

鏈路層主要指網卡驅動程序判斷所收到包的目標以太地址，如果不為自己網卡的MAC地址，又不為廣播地址和組播地址，將直接丟棄，不向上層提交。網絡層判斷目標IP地址是否為本機所綁定的IP地址，如果不是本機所綁定IP地址，將不向上層提交。

傳輸層如TCP層或者UDP層判斷目標端口是否在本機己經打開，如果沒有打開，將不作處理，不向應用層提交。

要監聽到流經網卡的不屬于自己主機的數據，必須繞過系統正常工作的處理機制，直接訪問網絡底層，首先將網卡工作模式置于混亂模式，使之可以接收目標MAC地址不是自己MAC地址的數據包，然后直接訪問數據鏈路層，截獲相關數據，由應用程序而非上層如IP層TCP層協議對數據過濾處理，這樣就可以監聽到流經網卡的所有數據。

在Unix系統中可以通過libpcap直接與內核驅動程序交互實現網絡信息的監聽，例如常用的以太網絡監聽程序tcpdump的程序流程如下，其中用戶對數據包的檢查或者處理程序可以通過callback調用如圖2所示。

WIN32平臺不提供直接的網絡底層訪問接口，必須通過虛擬設備驅動程序（VxD Virtual Device Driver）實現網絡監聽的功能，VxD驅動程序提供外部程序和網卡NIC之間的接口，其工作原理如圖3所示。

2.2 基于路由器的網絡底層信息監聽技術

在不設置監聽端口的情況下，網絡路由工作原理如圖4所示。

假設設置以太接口2為監聽端口，并連接到信息敏感器所在主機，則網絡路由工作將不同于正常情況，所有的網絡信息數據包除按照正常情況轉發外，將同時轉發到監聽端口，從而使得信息敏感器可以監聽到所有的網絡流量。工作原理如圖5所示。

2.3 基于BPF模型的網絡信息過濾機制

網絡信息監控將獲取所有的網絡流量，包括所有協議端口所有子網主機的所有交互數據，但在實際應用中，其中存在若干用戶不需要關心的數據，或者稱為垃圾數據，垃圾數據在所有流量中占有極大比重，嚴重影響了系統工作效率的提高，因此高效的信息過濾機制是信息監聽的重要組成部分，它使得用戶可以指定特定的子網主機以及特定的協議端口如HTTP、FTP、EMAIL等進行過濾，只將用戶關心的敏感數據向上層提交，從而提高系統工作效率。信息的簡單過濾具體有IP地址過濾、數據包類型過濾、TCP端口過濾等幾個類別，在系統中，我們采用BPF信息過濾機制，大大提高了工作效率。下面對BFF系統過濾機制進行說明和分析。

3.教學管理平臺與安全審記系統的實現

3.1 系統目標

實現一個基于高速網絡環境下的綜合教學平臺，利用該平臺完成網絡化教學和教學質量的監控。主要完成省電大學生學習數據采集、教師交流數據采集以及全程的質量控制、與中央電大的數據交換。

教學管理平臺從功能上主要分為七大模塊。如下圖 6所示：

① 新聞公告：可以瀏覽省電大、學院發布的相關教務公告和新聞。

② 精品課程名師計劃：實現包括國家、省級、學院三個級別的精品課程申報材料的匯總以及展示。

③ 網絡課堂：主要由課程介紹、課件管理、作業管理、課程論壇、教學評測、考試系統子模塊組成。

④ 教學質量管理：查看教學質量列表，聽課表上傳功能，聽課表下載等。

⑤ 成績管理：為省電大、學院教學管理提供成績管理功能。

⑥ 系統信息管理：主要是完成學生基本信息維護、教師基本信息維護、學生選課表、教師授課表的信息維護。

⑦ 個人信息管理：主要是學生教師注冊、維護個人信息。

3.2 教學管理平臺系統設計

為完成搭建了內部開發網絡環境和對外發布環境。在開發環境中，開發者使用同一服務器，完成代碼文檔版本控制、數據庫服務、發布服務。對外發布環境中，首先使用了路由器完成NAT轉換，然后添加硬件防火墻，增加系統的安全性。

開發工具：IBM WebSphere Application Developer 5.1

數據庫：IBM DB2 8.1

發布服務器：IBM WebSphere Application Server 5.0

版本控制工具：CVSNT

防火墻：Quidview R

服務器：HP臺式機，RAID 1，Windows 2003 Server操作系統

4.安全審計系統

4.1 數據包采集模塊

（1）Winpcap驅動開發包

要獲得網絡上的所有數據包，必須直接訪問數據鏈路層。目前大多數操作系統都為應用程序提供了訪問數據鏈路層的手段，它使得應用程序可以監視數據鏈路層上的所有分組。操作系統提供的分組捕獲機制主要有 3種，BPF（Berkeley Packet Filter），DLPI（Data Link Provider Interface），及SOCK_PACKET類型套接口。基于BSD的系統使用BPF，基于 SVR4的系統一般使用 DLPI，Linux使用 SOCK_PACKET。但是Windows系統并沒有提供內置的分組捕獲機制，這一功能必須由應用系統提供，WinPcap使用BPF虛擬機（在Windows中通常稱為NPF）補充了這一機制。

Winpcap（Windows Packet Capture ）是Windows平臺下一個免費、公共的網絡驅動開發包。它采用分組捕獲機制的分組捕獲函數庫，用于訪問數據鏈路層。它結構簡單，使用方便，提供了一套與硬件無關的獨立于系統的 API封裝函數，我們利用這些 API函數即可完成包監控器所需的網絡數據包監聽功能。因此，我們使用Winpcap庫完成包捕獲的工作。

使用Winpcap開發這個項目的目的在于為Win32 應用程序提供訪問網絡底層的能力。它提供了以下的各項功能：

① 捕獲原始數據包。

② 在數據包發往應用程序之前，按照自定義的規則將某些特殊的數據包過濾掉。

③ 在網絡上發送原始的數據包。

④ 收集網絡通信過程中的統計信息。

將包的各種協議頭拆封后，可以得到應用層的信息。系統首先建立常用的應用協議關鍵字庫，然后對包進行分析，從包中提取出應用協議的協議關鍵字，從而對應用協議有一個更深入的了解，同時系統根據協議定義的通信規范可將包中可顯示的字節轉化成文本，實現對包內容的瀏覽審計功能。

（2）郵件審計

該模塊的主要工作是解析郵件協議，存儲每個郵件會話過程的中間數據和狀態，跟蹤郵件會話進程，分析郵件會話過程的完整性，維護郵件會話數據隊列，判斷郵件會話的結束標志，并在郵件會話結束時，進行郵件內容的分析、解碼工作。

（3）MIME內容解碼

MIME（Multipurpose Internet Mail Extensions）協議是目前Internet郵件傳送過程中，郵件格式編碼的主要方式。MIME協議的出現，突破了傳統郵件服務器的很多限制，可以發送 8Bit編碼字符，可以進行自定義的內容編碼方法，發送郵件附件，以及多媒體數據。通過網絡偵聽，進行SMTP/POP3協議會話重組，并分析郵件的格式內容，編碼方式等關鍵信息，并對編碼數據進行解碼，最終為信息過濾的執行提供數據來源。

（4）網頁審計（WWW審計）

網頁審計（WWW審計）是利用協議分析的原理，基于命令解碼、網頁解碼和內容重組技術，從網絡上捕獲網絡報文并重組成完整的WWW會話，按照HTTP協議把會話雙方的信息分解為不同值域，并根據監控規則進行檢測，從而實現對WWW會話進行安全監控的目的。系統不僅能檢測出針對WWW的入侵，而且能夠審計用戶對敏感內容的訪問并進行完整記錄和重現。

4.2 處理模塊

通過對應用和協議的分析與識別，利用日志數據庫中的數據，可以對局域網進行的流量進行統計與分析，如各種應用所占的比例，及各種協議的使用比例等，當前的連接、當前參與連接的主機以及流量排序等，從而對該子網的運行及使用狀況有一個全面的掌握與了解。

安全審計系統能夠實時采集網絡信息，并根據服務類別（WWW，BBS，Email）對網絡信息內容進行審計。能夠及時捕獲和識別敏感信息，使省電大網絡中心系統管理員時刻了解網絡系統信息流量和信息內容。能夠對郵件存取事件進行審計和監督，對信息包的存取進行監視，盡可能的追查非法信息存取者的信息。配置簡單，操作方便，具有良好的可擴展性。信息審計的規模能夠根據信息傳播規模，系統構造和安全需求的改變而改變，具有友好的人機界面。從而保證在服務器上，省電大、學院學生學習，查找資料，教師課件上傳等；并與中央電大信息保持暢通，資源共享，為開放大學時代的來臨打下堅實基礎。

[1]石志國，薛為民，江俐.計算機網絡教程[M].北京：清華大學出版社，2004.

[2]田茁，戴文芳.網絡多媒體教學信息平臺的構建[J].吉林工程技術師范學院學報，2009，（5）.

[3]鄧麗萍.淺談網絡安全審計系統[J].福建電腦，2007，（10）.

[4]伍閩敏.建設企業計算機網絡安全審計系統的必要性及其技術要求[J].信息安全與技術，2011，Z1.