學校網(wǎng)絡安全審計系統(tǒng)的研究與探索

李斌

[摘 要]隨著校園網(wǎng)絡在各高校的迅速普及，網(wǎng)絡已成為大學生學習和日常生活不可缺少的工具。因此，保障學校所有人員安全使用網(wǎng)絡，成為當前各校網(wǎng)絡建設中不可忽視的首要問題。網(wǎng)絡安全中最重要的一部分就是對學校網(wǎng)絡進行安全的審計和監(jiān)控，本文著重介紹網(wǎng)絡安全審計系統(tǒng)是如何部署的，以及它的各項系統(tǒng)的功能是如何發(fā)揮的。

[關鍵詞]學校；網(wǎng)絡安全；審計

doi：10.3969/j.issn.1673 - 0194.2016.04.041

[中圖分類號]F239.1；TP393.18 [文獻標識碼]A [文章編號]1673-0194（2016）04-00-02

隨著我國互聯(lián)網(wǎng)技術的快速發(fā)展，基礎的網(wǎng)絡設施得到進一步完善，互聯(lián)網(wǎng)在各企事業(yè)單位中得到充分利用。近幾年，學校投入大量人力、物力、財力進行信息化建設，利用網(wǎng)絡來管理校園工作、發(fā)布信息，提高了學校的工作效率。在信息系統(tǒng)快速發(fā)展的同時，網(wǎng)絡管理的安全問題日益突出。因為學校的工作人員除了利用網(wǎng)絡辦公外，還有利用網(wǎng)絡購物等一些與辦公無關的行為，這之間可能有意無意地泄露了學校的機密，學校很難追查是誰泄密的。因此，如果對網(wǎng)絡不進行監(jiān)管，網(wǎng)絡安全問題將成為學校的效率的殺手，并給學校帶來很多麻煩。

1 網(wǎng)絡審計功能特性概述

1.1 機器分組管理

網(wǎng)絡審計可以實現(xiàn)對局域網(wǎng)內(nèi)IP地址和機器名的搜索，并對搜索到的機器信息進行分組管理。自動分組功能可實現(xiàn)對指定IP段機器的自動分組，可生成多級樹形結構的組織架構，針對不同級別來進行分組管理。

1.2 上網(wǎng)人員控制

網(wǎng)絡審計支持12種認證和識別方式，包括郵箱認證、AD域認證、本地Web認證等，可以設定部分或全部機器須用賬號上網(wǎng)，通過對賬號的分組管理，可實現(xiàn)在同一機器上不同用戶具有不同的上網(wǎng)活動權限。

1.3 豐富的策略分配機制

網(wǎng)絡審計支持針對組織全局和部分的控制，支持對組織內(nèi)用戶賬號、IP、MAC、分組的策略分配根據(jù)上網(wǎng)人員的賬號或機器及上機范圍來對其網(wǎng)絡活動權限進行控制。

1.4 全系列娛樂應用封堵

網(wǎng)絡審計系統(tǒng)支持對魔獸世界、QQ游戲等近百個市場上主流的網(wǎng)絡游戲，大智慧、指南針等二十幾個財經(jīng)股票軟件，以及MSN、QQ等常用的即時通訊工具進行實時的封堵，保障組織人員的工作學習效率。

1.5 針對關鍵字的封堵控制

網(wǎng)絡審計支持針對內(nèi)容關鍵字的各種應用封堵，包括文件傳輸、遠程登陸、郵件收發(fā)、即時通訊等，支持針對用戶名的關鍵字模糊匹配，支持對文件傳輸?shù)奈募愋鸵约拔募?nèi)容關鍵字進行封堵控制，支持郵件內(nèi)容、標題、附件名、附件內(nèi)容以及發(fā)送、抄送、暗送的地址進行關鍵字封堵，保障組織內(nèi)部的敏感信息不外泄。

1.6 URL地址關鍵字過濾

根據(jù)上網(wǎng)請求，對URL中的關鍵字進行智能模糊匹配過濾，與關鍵字匹配的網(wǎng)址將被限制訪問。

1.7 流量封堵控制

網(wǎng)絡審計支持對用戶的日、周、月流量進行上網(wǎng)控制，支持對上行、下行流量進行分別統(tǒng)計控制，用戶在每日、周、月流量限額用完后將無法正常上網(wǎng)，控制組織內(nèi)用戶的外網(wǎng)訪問流量。

1.8 用戶自定義協(xié)議控制

對于系統(tǒng)未知的協(xié)議類型和網(wǎng)絡應用，用戶可根據(jù)自己的需要，添加相應的協(xié)議特征實現(xiàn)對自定義協(xié)議的審計和控制。

1.9 審計網(wǎng)絡行為

系統(tǒng)的網(wǎng)絡數(shù)據(jù)包通過捕獲來分析，不僅可以還原完整原始信息協(xié)議，還可以準確地記錄關鍵信息的網(wǎng)絡訪問。網(wǎng)絡審計系統(tǒng)支持幾乎所有的網(wǎng)絡行為的審計，能識別所有常用網(wǎng)絡協(xié)議的應用，支持對幾乎所有網(wǎng)絡搜索引擎關鍵字的審計，支持對網(wǎng)頁登錄、聊天工具登錄、網(wǎng)絡游戲登錄等應用登錄的賬號審計。

1.10 深度內(nèi)容審計

網(wǎng)絡審計系統(tǒng)可獲取郵件、論壇發(fā)帖、聊天記錄等所有內(nèi)容，支持所有Web郵件、SMTP/POP3郵件的內(nèi)容和附件審計，支持對熱點論壇、博客、微博的發(fā)帖、留言等的內(nèi)容及附件審計，支持對網(wǎng)頁聊天室、MSN、飛信等聊天工具的聊天內(nèi)容審計。

1.11 敏感信息告警

網(wǎng)絡審計系統(tǒng)可設置行為報警策略和內(nèi)容關鍵字審計策略，對觸發(fā)敏感信息的網(wǎng)絡行為進行行為告警處理，對觸發(fā)敏感內(nèi)容關鍵字的論壇發(fā)帖、網(wǎng)絡聊天、郵件收發(fā)等行為進行相應報警處理，支持郵箱和短信的報警方式。

1.12 報表統(tǒng)計與數(shù)據(jù)分析

網(wǎng)絡審計系統(tǒng)支持對用戶、行為、關鍵字、流量及趨勢等的數(shù)據(jù)統(tǒng)計，生成報表及數(shù)據(jù)分析和展示。通過數(shù)據(jù)的柱形統(tǒng)計圖清晰明了地展現(xiàn)出組織內(nèi)用戶的網(wǎng)絡行為情況，IT決策人員通過圖形情況了解用戶上網(wǎng)行為趨勢、了解組織帶寬利用分布，可以提出整改網(wǎng)絡帶寬方案作為參考之用。

2 網(wǎng)絡審計部署概述

網(wǎng)絡審計系統(tǒng)部署通過分布式部署和串接部署這兩種方式進行靈活的結合，如果在不同的網(wǎng)絡的環(huán)境，可以實現(xiàn)不同的管理模式以及不同的目的控制。下面簡單地介紹3種典型的部署方案及其示意圖。

2.1 單臺旁路銅纖鏡像

第一種部署方案是單臺旁路銅纖鏡像，用戶的交換機必須對端口鏡像進行支持，它們之間的連接必須以銅纜為介質(zhì)，這是它的適用環(huán)境。該方案主要用于簡單的學校和企業(yè)的二層和三層網(wǎng)絡，審計設備主要是從交換機的鏡像端口獲取數(shù)據(jù)，并且該方案旁路部署接入的是最有代表的方案。該方案對原有網(wǎng)絡的性能沒有影響，而且部署簡單、容易維護，如圖1所示。

圖1 單臺旁路銅纖鏡像

2.2 單臺旁路光纖鏡像

第二種部署方案是單臺旁路光纖鏡像，它適用的環(huán)境是用戶的交換機必須支持端口的鏡像，它們之間必須以光纖作為介質(zhì)來連接。該方案是審計設備使用光纖作為介質(zhì)來用于端口鏡像最典型的方案，它主要用在學校及企業(yè)的二層或三層網(wǎng)絡上，和第一種方案一樣都是通過鏡像端口來獲取數(shù)據(jù)，獲取的數(shù)據(jù)要使用相應的協(xié)議對它進行還原分析。該方案部署方便且簡單，維護也非常容易，對原來的網(wǎng)絡沒有影響，如圖2所示。

2.3 光纖網(wǎng)絡雙鏈路分光

第三種部署方案是光纖網(wǎng)絡雙鏈路分光，用戶使用的交換機不能用來做端口鏡像，必須具備2個或以上，并且獨立的物理網(wǎng)絡，還有就是在一個邏輯的網(wǎng)絡中，使用具有核心功能的兩臺交換機建立一個均衡或熱備的網(wǎng)絡，通過上面描述的條件才能使用該方案。該方案是在對千兆線路解決的情況下，交換機不能做端口鏡像的時候采用的分光的方案，該分光器采用雙向的鏈路對兩組分別進行分光，然后使用4個光口捕獲審計數(shù)據(jù)，并對獲得的數(shù)據(jù)進行還原及更深層次地分析。該方案使用一臺審計設備可以同時捕獲一個很冗余或兩個不通的網(wǎng)絡數(shù)據(jù)，此方案是光纖部署最典型的方案，如圖3所示。

圖2 單臺旁路光纖鏡像

圖3 光纖網(wǎng)絡雙鏈路分光

3 結 語

本文介紹了網(wǎng)絡審計系統(tǒng)的功能特性及其部署方式，網(wǎng)絡審計系統(tǒng)主要包括上網(wǎng)人的控制、全面的網(wǎng)絡行為審計、深度內(nèi)容審計、敏感信息告警等功能；部署方式主要介紹了單臺旁路銅纖鏡像、單臺旁路光纖鏡像及光纖網(wǎng)絡雙鏈路分光等三種部署方式。學校安裝審計系統(tǒng)和使用設計系統(tǒng)，能幫助管理人員對學校上網(wǎng)的人員進行審計、記錄及分析，使管理員有針對性地對網(wǎng)絡進行管理。

主要參考文獻

[1]郝占軍.網(wǎng)絡流量分析與預測模型研究[D].蘭州：西北師范大學，2011.

[2]凌波，柳景超，張志祥.基于Windows終端信息過濾的網(wǎng)絡訪問控制研究[J].計算機工程與設計，2011（1）.

[3]鄧小榕，陳龍，王國胤.安全審計數(shù)據(jù)的綜合審計分析方法[J].重慶郵電學院學報：自然科學版，2005（5）.

[4]趙新輝，李祥.捕獲網(wǎng)絡數(shù)據(jù)包的方法[J].計算機應用研究，2004（8）.

[5]李薇.試論網(wǎng)絡環(huán)境下的網(wǎng)絡審計[J].吉林省教育學院學報，2013（3）.