关于电大教学管理平台与安全审计系统的构想

金寿华

（湖北广播电视大学，湖北 武汉 430073）

1.网络安全

网络安全就是网络上的信息安全，是指网络系统的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。网络安全涉及的内容既有技术方面的问题，也有管理方面的问题，两方面相互补充，缺一不可。目前网络存在的威胁主要表现在：

① 非授权访问：事先未经允许，就使用网络或计算机资源被看作是非授权访问。

② 信息泄漏或丢失：指敏感数据在有意或无意中被泄漏出去或丢失。

③ 破坏数据完整性：以非法手段窃得对数据的使用权，删除、修改、插入或重发某些重要信息，以取得有益于攻击者的响应。

④ 利用网络传播病毒：通过网络传播计算机病毒，其破坏性大大高于单机系统，而且用户很难防范。

2.网络安全审计系统过滤技术（BPF）

网络安全审计系统通过实时监控网络活动，侦测网络中存在的现有和潜在的威胁，对与安全有关的活动的相关信息进行识别、记录、存储和分析，对突发事件进行报警和响应，不仅能够识别谁访问了系统，还能指出系统正被怎样地使用，使安全管理人员可以较有效地监控、评估自己的网络系统。通过安全审计系统记录的网络上各计算机发生的行为，安全管理员可以定期对各种安全相关事件进行查寻、统计和分析，发现潜在的危险；在发生安全事故后，可以进行数字取证，查找安全漏洞，分析事故原因，调整安全策略。

2.1 利用以太网络的广播特性进行监听

以太网数据传输通过广播实现。但是在系统正常工作时，应用程序只能接收到以本主机为目标主机的数据包，其它数据包将被丢弃不作处理，其数据包过滤机制分为链路层、网络层和传输层几个层次，工作流程示意图如图1所示。

链路层主要指网卡驱动程序判断所收到包的目标以太地址，如果不为自己网卡的MAC地址，又不为广播地址和组播地址，将直接丢弃，不向上层提交。网络层判断目标IP地址是否为本机所绑定的IP地址，如果不是本机所绑定IP地址，将不向上层提交。

传输层如TCP层或者UDP层判断目标端口是否在本机己经打开，如果没有打开，将不作处理，不向应用层提交。

要监听到流经网卡的不属于自己主机的数据，必须绕过系统正常工作的处理机制，直接访问网络底层，首先将网卡工作模式置于混乱模式，使之可以接收目标MAC地址不是自己MAC地址的数据包，然后直接访问数据链路层，截获相关数据，由应用程序而非上层如IP层TCP层协议对数据过滤处理，这样就可以监听到流经网卡的所有数据。

在Unix系统中可以通过libpcap直接与内核驱动程序交互实现网络信息的监听，例如常用的以太网络监听程序tcpdump的程序流程如下，其中用户对数据包的检查或者处理程序可以通过callback调用如图2所示。

WIN32平台不提供直接的网络底层访问接口，必须通过虚拟设备驱动程序（VxD Virtual Device Driver）实现网络监听的功能，VxD驱动程序提供外部程序和网卡NIC之间的接口，其工作原理如图3所示。

2.2 基于路由器的网络底层信息监听技术

在不设置监听端口的情况下，网络路由工作原理如图4所示。

假设设置以太接口2为监听端口，并连接到信息敏感器所在主机，则网络路由工作将不同于正常情况，所有的网络信息数据包除按照正常情况转发外，将同时转发到监听端口，从而使得信息敏感器可以监听到所有的网络流量。工作原理如图5所示。

2.3 基于BPF模型的网络信息过滤机制

网络信息监控将获取所有的网络流量，包括所有协议端口所有子网主机的所有交互数据，但在实际应用中，其中存在若干用户不需要关心的数据，或者称为垃圾数据，垃圾数据在所有流量中占有极大比重，严重影响了系统工作效率的提高，因此高效的信息过滤机制是信息监听的重要组成部分，它使得用户可以指定特定的子网主机以及特定的协议端口如HTTP、FTP、EMAIL等进行过滤，只将用户关心的敏感数据向上层提交，从而提高系统工作效率。信息的简单过滤具体有IP地址过滤、数据包类型过滤、TCP端口过滤等几个类别，在系统中，我们采用BPF信息过滤机制，大大提高了工作效率。下面对BFF系统过滤机制进行说明和分析。

3.教学管理平台与安全审记系统的实现

3.1 系统目标

实现一个基于高速网络环境下的综合教学平台，利用该平台完成网络化教学和教学质量的监控。主要完成省电大学生学习数据采集、教师交流数据采集以及全程的质量控制、与中央电大的数据交换。

教学管理平台从功能上主要分为七大模块。如下图 6所示：

① 新闻公告：可以浏览省电大、学院发布的相关教务公告和新闻。

② 精品课程名师计划：实现包括国家、省级、学院三个级别的精品课程申报材料的汇总以及展示。

③ 网络课堂：主要由课程介绍、课件管理、作业管理、课程论坛、教学评测、考试系统子模块组成。

④ 教学质量管理：查看教学质量列表，听课表上传功能，听课表下载等。

⑤ 成绩管理：为省电大、学院教学管理提供成绩管理功能。

⑥ 系统信息管理：主要是完成学生基本信息维护、教师基本信息维护、学生选课表、教师授课表的信息维护。

⑦ 个人信息管理：主要是学生教师注册、维护个人信息。

3.2 教学管理平台系统设计

为完成搭建了内部开发网络环境和对外发布环境。在开发环境中，开发者使用同一服务器，完成代码文档版本控制、数据库服务、发布服务。对外发布环境中，首先使用了路由器完成NAT转换，然后添加硬件防火墙，增加系统的安全性。

开发工具：IBM WebSphere Application Developer 5.1

数据库：IBM DB2 8.1

发布服务器：IBM WebSphere Application Server 5.0

版本控制工具：CVSNT

防火墙：Quidview R

服务器：HP台式机，RAID 1，Windows 2003 Server操作系统

4.安全审计系统

4.1 数据包采集模块

（1）Winpcap驱动开发包

要获得网络上的所有数据包，必须直接访问数据链路层。目前大多数操作系统都为应用程序提供了访问数据链路层的手段，它使得应用程序可以监视数据链路层上的所有分组。操作系统提供的分组捕获机制主要有 3种，BPF（Berkeley Packet Filter），DLPI（Data Link Provider Interface），及SOCK_PACKET类型套接口。基于BSD的系统使用BPF，基于 SVR4的系统一般使用 DLPI，Linux使用 SOCK_PACKET。但是Windows系统并没有提供内置的分组捕获机制，这一功能必须由应用系统提供，WinPcap使用BPF虚拟机（在Windows中通常称为NPF）补充了这一机制。

Winpcap（Windows Packet Capture ）是Windows平台下一个免费、公共的网络驱动开发包。它采用分组捕获机制的分组捕获函数库，用于访问数据链路层。它结构简单，使用方便，提供了一套与硬件无关的独立于系统的 API封装函数，我们利用这些 API函数即可完成包监控器所需的网络数据包监听功能。因此，我们使用Winpcap库完成包捕获的工作。

使用Winpcap开发这个项目的目的在于为Win32 应用程序提供访问网络底层的能力。它提供了以下的各项功能：

① 捕获原始数据包。

② 在数据包发往应用程序之前，按照自定义的规则将某些特殊的数据包过滤掉。

③ 在网络上发送原始的数据包。

④ 收集网络通信过程中的统计信息。

将包的各种协议头拆封后，可以得到应用层的信息。系统首先建立常用的应用协议关键字库，然后对包进行分析，从包中提取出应用协议的协议关键字，从而对应用协议有一个更深入的了解，同时系统根据协议定义的通信规范可将包中可显示的字节转化成文本，实现对包内容的浏览审计功能。

（2）邮件审计

该模块的主要工作是解析邮件协议，存储每个邮件会话过程的中间数据和状态，跟踪邮件会话进程，分析邮件会话过程的完整性，维护邮件会话数据队列，判断邮件会话的结束标志，并在邮件会话结束时，进行邮件内容的分析、解码工作。

（3）MIME内容解码

MIME（Multipurpose Internet Mail Extensions）协议是目前Internet邮件传送过程中，邮件格式编码的主要方式。MIME协议的出现，突破了传统邮件服务器的很多限制，可以发送 8Bit编码字符，可以进行自定义的内容编码方法，发送邮件附件，以及多媒体数据。通过网络侦听，进行SMTP/POP3协议会话重组，并分析邮件的格式内容，编码方式等关键信息，并对编码数据进行解码，最终为信息过滤的执行提供数据来源。

（4）网页审计（WWW审计）

网页审计（WWW审计）是利用协议分析的原理，基于命令解码、网页解码和内容重组技术，从网络上捕获网络报文并重组成完整的WWW会话，按照HTTP协议把会话双方的信息分解为不同值域，并根据监控规则进行检测，从而实现对WWW会话进行安全监控的目的。系统不仅能检测出针对WWW的入侵，而且能够审计用户对敏感内容的访问并进行完整记录和重现。

4.2 处理模块

通过对应用和协议的分析与识别，利用日志数据库中的数据，可以对局域网进行的流量进行统计与分析，如各种应用所占的比例，及各种协议的使用比例等，当前的连接、当前参与连接的主机以及流量排序等，从而对该子网的运行及使用状况有一个全面的掌握与了解。

安全审计系统能够实时采集网络信息，并根据服务类别（WWW，BBS，Email）对网络信息内容进行审计。能够及时捕获和识别敏感信息，使省电大网络中心系统管理员时刻了解网络系统信息流量和信息内容。能够对邮件存取事件进行审计和监督，对信息包的存取进行监视，尽可能的追查非法信息存取者的信息。配置简单，操作方便，具有良好的可扩展性。信息审计的规模能够根据信息传播规模，系统构造和安全需求的改变而改变，具有友好的人机界面。从而保证在服务器上，省电大、学院学生学习，查找资料，教师课件上传等；并与中央电大信息保持畅通，资源共享，为开放大学时代的来临打下坚实基础。

[1]石志国，薛为民，江俐.计算机网络教程[M].北京：清华大学出版社，2004.

[2]田茁，戴文芳.网络多媒体教学信息平台的构建[J].吉林工程技术师范学院学报，2009，（5）.

[3]邓丽萍.浅谈网络安全审计系统[J].福建电脑，2007，（10）.

[4]伍闽敏.建设企业计算机网络安全审计系统的必要性及其技术要求[J].信息安全与技术，2011，Z1.