1、高校校园网络安全管理与维护系统的研究摘 要:针对高校校园网络中存在的安全问题进行开发设计,对校园网进行跟踪监测,分析网络安全的现状,以网络管理理论为基础,采集校园网上在线设备的各种信息,并对其进行统计、分析,然后生成报表或发出警示,以实现对校园网络安全的管理与维护。 关键词:网络安全管理 跟踪监测 生成报表发出警示 中图分类号: TU714 文献标识码: A 高校校园网在教学、管理、科研、宣传等各个领域都担负着重要的作用。同时网络安全问题对校园网络的健康发展产生了影响和制约,对教学、管理、科研等活动也产生了很大影响。运行一套行之有效的校园网络安全管理与维护系统是校园网络安全管理与维护工作的切实
2、需要。 国内外已推出了许多独立的网络安全管理产品,但只适用于安全性要求极强的军队、公安、政府机关、证券、金融及保密部门等网络中,不适合高校校园网络安全管理。也有专门针对校园网络安全管理的,这类系统运行对硬件要求过高,而且设计者不是来自学校,在功能的设计上缺乏针对性,因而也不适用于高校校园网络安全管理。 总之,现有的网络安全管理产品不适合高校校园网络安全管理。第一,开放性不够,对不同公司设备的支持不足,大多系统只能处理某些公司开发的网络设备的报警信息;第二,产品价格太高,学校支付不起这么高的费用;第三,各公司产品的系统接口没有公开,用户无法进行二次开发,缺乏灵活性,也不利于以后的系统扩展。 高校
3、校园网络安全管理问题主要集中在对网络中设备的保护、防病毒和恶意攻击、隔离内外网和广播信息、重要数据备份与恢复等方面。 针对以上需求分析,要对整个校园网络进行跟踪监测,采集校园网上的所有联网设备的信息,然后对这些信息进行统计和分析,从结果中发现和定位故障点,或者发出报警信息。因此,系统的开发需要有数据库,用来存储采集到的信息,应用程序对信息进行分析和统计时,需要访问数据库。数据访问方式的选择,获取所需信息的方法等问题的解决,需要深入研究数据访问技术、开发 SNMP 应用的编程模式、硬件信息采集技术、网络流量监测技术和入侵检测技术等。 数据访问技术采用.NET Framework 中的 ADO.N
4、ET。ADO.NET 是最新最完整也是最快捷的访问数据库的方式。有许多的 DataProvider,允许与不同的数据源交流,这一点取决于它们所使用的协议或者数据库。无论使用什么样的 Data Provider,都将使用相似的对象与数据源进行交互。 开发 SNMP 应用的编程模式选择 WinSNMP。WinSNMP 为基于 SNMP 的网络管理系统的开发提供了开放式单一接口规范,定义了过程调用、数据类型、数据结构和相关的语法,还设置了消息重传、超时机制等。 硬件信息采集是网络监测的关键部分,技术的选择决定了整个数据采集模块的实现。硬件信息采集通过对硬件设备的访问实现,选择Windows 管理规范
5、。 入侵检测是防火墙的合理补充,可以帮助防火墙根据当前的网络安全状况动态的调整过滤策略,使整个网络安全系统具有动态性,帮助系统对付网络攻击,扩展系统管理员的安全管理能力,提高信息安全基础设施的完整性。 系统在开发设计时分服务器端,控制台和代理端三部分进行。系统关系结构如图下所示: 系统关系结构图 在系统架构上采用 Client/Server(C/S)和Browser/Server(B/S)混合模式,服务器和被管理设备代理进程之间通过 C/S 模式进行通信,管理应用基本上都是在被管理设备上运行,服务器对设备的监控管理功能是通过访问这些设备的 MIB 管理信息来实现的;控制端与服务器之间采用 B/
6、S 模式进行通信,控制端可以查询、统计和分析数据,也可以对服务器进行系统配置和管理,无需安装客户端程序。服务器应该具有足够的健壮特性,这就要求服务器端程序能够长时间稳定运行,无内存泄漏。服务器需要与多个被管设备同时进行通信,所以要支持多任务的运行,并且能够在尽可能短的时间内自动发现网络中的新节点新设备。 控制端为用户提供操作界面,用户界面要友好,容易操作;对用户操作的响应时间要短;对用户要进行权限设置以保证对系统操作的安全性。 代理端是被管理设备端,负责响应管理站的请求或控制,任务简单,程序小,不需安装过多额外的运行库,程序占用系统资源低;并且能够自动启动,自动隐藏。本系统的功能模块如下图所示
7、: 系统功能模块图 图中功能模块属于后台服务器的功能,包括设备管理模块,网络属性管理模块和网络流量管理模块;管理模块属于前台服务器的功能,包括用户管理模块,部门管理模块,数据管理模块和日志/审计管理模块。 开发工具选择.NET,编程语言选择 C#,它是 Microsoft 公司开发的一种面向对象、功能强大、使用简单、表达力丰富的语言。它不但结合了 C+强大灵活和 Java 语言简洁等特性,而且还吸取了 Delphi 和Visual Basic 所具有的易用性。 在系统的总体设计阶段,代理端的远程自动安装、数据采集模块的实现及网络流量监测功能的实现是重点也是难点。代理端程序是一个守护进程,侦听并
8、接收来自服务器上的命令,执行命令并把结果返回给服务器。代理端是服务器管理被管主机的一个入口,自动运行在被管主机上。实现远程自动安装,是本系统重点研究的内容,其重要的理论基础是 NetBIOS 和 IPC。在网络数据采集模块的设计过程中,深入研究 WMI 技术,在此基础上较好的实现数据采集功能;在网络流量监测方面,更深入分析开源软件 MRTG,并做适当的调整和处理,成功的实现网络流量监测功能。 高校校园网络安全管理与维护系统是针对吉林工程技术师范学院校园网络安全管理与维护存在的突出问题而提出的。在一定程度上实现了网络管理的自动化,改变了传统的管理模式,提高了网络安全管理的效率,并使网络安全管理更有针对性。 参考文献: 1 刘晓辉,.网络安全管理实践(第二版) , 北京:电子工业出版社,2009 2 李明江, SNMP 简单网络管理协议, 北京:电子工业出版社,2007 3 (美)韦尔德莫斯,怀特曼,ADO.NET 应用程序开发,北京:清华大学出版社,2010 4 王新谱,基于 WMI 网络管理系统的研究,2009 5 刘芳,网络流量监测与控制,北京:北京邮电大学出版社,2009 6 唐正军,李建华,入侵检测技术,北京:清华大学出版社,2008 7 白玲,赵大伟,使用 MRTG 监控网络流量,科技信息(科学教研),200
