（计算机应用技术专业论文）高校校园网络安全管理与维护系统的设计与实现.pdf

长春理工大学硕士( 或博士) 学位论文原创性声明 本人郑重声明：所呈交的硕士( 或博士) 学位论文，填写论文题目是本 人在指导教师的指导下，独立进行研究工作所取得的成果。除文中已经汴明引用 的内容外，本论文不包含任何其他个人或集体已经发表或撰写过的作品成果。对 本义的研究做出莺要贡献的个人和集体，均已在义l 卜以明确方式标明。本人完全 意识到本声明的法律结果由本人承担。 作者签名：沙幻黾。 a 毯b 长春理工大学学位论文版权使用授权书 本学位论文作者及指导教师完全了解“长春理工大学硕士、博士学位论文版 权使用规定 ，同意长春理工大学保留并向中国科学信息研究所、中国优秀博硕 士学位论文全文数据库和o i 系列数据库及其它国家有关部门或机构送交学 位论文的复印件和电子版，允许论文被查阅和借阅。本人授权长春理工大学可以 将本学位论文的全部或部分内容编入有关数据库进行检索，也可采用影印、缩印 或扫描等复制于段保存和汇编学位论文。 作者签名： 导师签名： 玲次 业厶里日 丝年厶量日 摘要 随着计算机网络在学校的教学科研等活动方面应用的深入，其网络安全问题也逐 渐突出，这对校园网络的应用产生直接的影响。因此，运行一套行之有效的校园网络 安全管理与维护系统是校园网络管理与维护人员的切实需要。 本文阐述了项目的背景和意义，对网络安全、网络管理及入侵检测等技术进行分 析，以简单网络管理协议的体系结构，通信协议，功能模型等理论为基础，深入研究 系统开发的关键技术，详细论述系统的设计方案和关键模块的实现过程。 奉系统针对目前高校校园网络中存在的安全问题进行开发设计，通过对高校校园 网进行跟踪监测，分析校园网络安全的现状，以网络管理理论为基础，采集校园网上 在线设备的各种信息，作为校园网安全运行、故障检测和设备管理的依据，对采集的 数据进行统计、分析，然后生成报表或发出警示，以实现对校园网络安全的管理与维 护。为高校校园网络安全管理与维护搭建了一个平台，也为高校校园网的科学管理开 辟了道路。 关键词：校园网络安全网络管理跟踪监测生成报表发出警示入侵检测 a b s t r a c t f o l l o w i n gt h em o 坞t h ec o m p u t e rn e t w o r k i s a p p l i e d t os c h o o lt e a c h i n ga n d r e s e a r c h i n g ，t h em o r ee v i d e n tt h ep r o b l e mo fc a m p u sn e t w o r ks a f e t yh a sb e c o m e ，w h i c h d i r e c t l yi m p a c t sa p p l i a n c eo fc a m p u sn e t w o r k t h e r e f o r er u n n i n g as e to fe f f e c t i v es y s t e mo f c a m p u sn e t w o r ks e c u r i t ym a n a g e m e n ta n dm a i n t e n a n c ei sr e a l l yn e e d e df o rt h en e t w o r k a d m i n i s t r a t o r t h i st h e s i se x p o u n d st h eb a c k g r o u n da n ds i g n i f i c a n c eo f 也ea b o v e m e n t i o n e dp r o j e c t , a n a l y z e st e c h n o l o g ya b o u tn e t w o r ks a f e t y , n e t w o r km a n a g e m e n ta n d i n t r u s i o nd e t e c t i o n ，a n d o nt h eb a s i so ft h e o r i e so fs y s t e ma r c h i t e c t u r eo ft h es i m p l en e t w o r km a n a g e m e n tp r o t o c o l ， t h ec o m m u n i c a t i o n sp r o t o c o la n d f u n c t i o n a lm o d e l s a n da l s oq u e s t i o n so f k e yt e c h n o l o g yo f s y s t e md e v e l o p m e n t , s y s t e md e s i g np l a na n dr e a l i z a t i o n p r o c e s so fk e ym o d u l e s a r e r e s e a r c h e dd e e p g o i n g i nt h ep a p e r t h i ss y s t e mw a sr e s e a r c h e da n di m p l e m e n t e db yv i e w i n go ft h ep r o b l e m se x i s t i n gi n c u r r e n tu n i v e r s i t yc a m p u sn e t w o r ks e c u r i t y , b a s e do nt r a c k i n ga n dm o n i t o r i n gu n i v e r s i t y c a m p u sn e t w o r k , a n a l y z i n gc u r r e n t s t a t u so f c a m p u sn e t w o r ks e c u r i t ya n d o nt h eb a s i so ft h e t h e o r yo fn e t w o r km a n a g e m e n t ，v a r i o u si n f o r m a t i o nf r o mo n - l i n ee q u i p m e n t so fc a m p u s n e t w o r kc a nb ec o l l e c t e d ，w h i c hp r o v i d e st h eb a s i sf o rc a m p u sn e t w o r k ss a f er u n n i n g ，f a u l t d e t e c t i o na n de q u i p m e n tm a n a g e m e n t a n dt h e nt h r o u g hs u m m a r i z i n ga n da n a l ) z i n gt h e c o l l e c t e di n f o r m a t i o ns y s t e mc a ng e n e r a t er e p o r t so rs e n d i n go u tw a r n i n gs i g n a l s ，a n dt h e r e b y m a n a g e m e n ta n dm a i n t e n a n c eo nc a m p u sn e t w o r ks e c u r i t yc a nb er e a l i z e d t h i ss y s t e m s e t s u pap l a t f o r mf o rm a n a g e m e n ta n dm a i n t e n a n c eo fu n i v e r s i t yc a m p u sn e t w o r ks e c u r i t ya n d a l s oo p e n su par o a df o rs c i e n t i f i cm a n a g e m e n to fu n i v e r s i t yc a m p u sn e t w o r k k e y w o r d s ：c a m p u sn e t w o r ks e c u r i t y n e t w o r km a n a g e m e n tt r a c k i n ga n dm o n i t o r i n g , g e n e r a t i n gr e p o r t ss e n d i n go u tw a r n i n gs i g n a l s i n t r u s i o n d e t e c t i o n 摘要 目录 。i i i i i i a b s t r a c t 目录 第一章绪论 l 1 1 引言1 1 2 国内外研究现状2 1 3 本课题研究的目的和意义3 1 4 论文的内容5 第二章系统开发的理论基础。 6 2 1 网络安全管理概述6 2 2 影响校园网络安全的因素。6 2 3 高校校园网络安全管理需求分析。7 2 4 简单网络管理协议s n m p 9 2 4 1s n m p 的管理模型9 2 4 2s n m p 协议数据单元1 0 2 4 3s n m p 协议的工作过程1 2 2 4 4 管理信息结构s m i 1 2 2 4 5 管理信息库m i b 1 3 2 4 6 管理对象的标识1 4 2 5 本章小结1 5 第三章系统设计与实现的相关技术研究。 1 6 3 1 数据访问技术1 6 3 2 开发s n m p 廊用的编程模式2 0 3 2 1 w i n s n m p 发送请求消息2 0 3 2 2w i n s n m p 接受响应消息2 l 3 3 硬件信息采集技术2 2 3 3 1 计算机硬件访问方法的分析2 2 3 3 2w m i 技术研究2 3 3 4 网络流量监测技术2 7 3 5 入侵检测技术2 8 3 6 木章小结2 9 第四章系统总体设计。 4 1 系统的需求分析3 1 4 1 1 功能需求3 l 4 1 2 性能需求3l 4 2 系统的设计目标和思路3 2 4 3 系统的总体设计3 3 4 3 1 开发t 具及编程语言3 3 m 4 3 2 服务器端设计。3 5 4 - 3 3 代理端设计。3 9 4 3 4 控制端设计4 0 4 4 本章小结4 l 第五章系统关键功能实现4 2 5 1 代理端程序的远程安装4 2 5 1 1 n e t b i o s 与i p c 4 2 5 1 2 远程自动安装的实现4 5 5 2 数据采集模块的实现4 7 5 2 1w m i 编程接口4 8 5 2 2 数据采集过程实现4 9 5 3 利用m r t g 实现网络流量监测一5 4 5 4 本章小结5 5 结束语 致谢。 参考文献 5 6 5 7 5 8 第一章绪论 教育信息化、教育现代化的重要内容之一是校园网的建没和管理，网络在学校教 育教学工作中发挥着极其重要的作用。校园网是一种宽带多媒体网络，它为师生提供 教学、科研和综合信息服务。校园网是以局域网的形式将计算机进行连接的，提供资 源共享、网络信息管理和信息交流等服务，在校园内外和国内外的教育资源共享与交 流等方面是通过广域网实现的。高等院校具有一定的技术优势和资源优势，因此在校 园网建设和发展中处于较高的层次，无论是技术水平、发展规模还是应用能力，高校 校园网在教学、管理、科研、宣传等各个领域都担负着重要作用。 1 1 引言 随着网络应用的深入、网络规模的扩大和数据存储量的增加，网络对安全的要求 也越= ) l 越高，冈此，网络安全随之被提卜网络管理的重要日程。学校的教学科研等活 动都在应用计算机网络，校园网络越来越得到学校师生的接受和喜爱。相关的网络安 全问题也逐渐突出，数据丢欠、系统瘫痪、病毒入侵、网络阻塞、信息传输中断等问 题都对校园网络的健康发展产生了影响和制约，对学校的教学、管理、科研等活动也 产生了很大影响。运行一套行之有效的校园网络安全管理与维护系统是校园网络安全 管理与维护人员的切实需要。 网络安全包括硬件安全、软件安全和数据安全。硬件包括网络中的各种发备及其 元配件、接插件及电缆；软件包括网络操作系统、各种驱动程序、通信软件及其他配 件；数据包括系统的配置文件、日志文件、用户资料、各种重要的敏感数据库及网络 上主机之间通信内容等机密信息i l j 。 威胁网络安全的主要因素有人为因素和非人为因素。其中人为因素包括无意失误 和恶意攻击，这是网络安全的主要威胁，是网络安全管理与维护系统要解决的主要问 题。 一个网络安全管理与维护平台，应该可以实现对网络中的各种设备进行集中监控、 智能审计、统一策略管理，同时可以实现多种安全功能模块之间的互动。在对网络中 的设备进行集中监控和管理时，能及早发现故障点，并能有效定位故障点，然后做出 相应的处理，尽量避免或减少对其它设备的影响，特别是对服务器和网络核心设备的 影响；定期对网络进行维护提醒，备份网络中的设备管理和配置参数等重要数据，在 需要时能实现系统快速恢复，从而保障网络稳定运行。这样的平台能有效简化网络安 全管理工作，提升网络的可管理性、可控制性和安全管理水平。这是当前网络安全管 理方面最有效的模式。 1 2 国内外研究现状 随着计算机网络的发展以及社会信息化程度的提高，网络中应用的安全措施越来 越多，独立的网络安全管理产品也开始在市场上出现。如一些网元管理系统平台：c i s c o w o r k s 2 0 0 0 、h po p e nv i e w 、1 1 3 mt i v o l i 、c a u n i c e n t e r 等，这些都是硬件生产厂商为自 己的产品开发的。还有一些网络安全事件集中管理系统：i n t r u s i o n v i s i o n 公司的可视化 数据管理工具、i n t e u i t a c t i c s 公司的i s m 整合式的企业安全管理平、h 3 c 公司的 s e c c e n t e r ( 安全管理q j 心) 及c i s c o 公司的安全监控分析和响应系统( m a r s ) 等。 其中s e c c e n t e r 收集仝网事件，统一进行处理，这些事件包括网络事件、应用事件、 系统事件和安全事件等，这些事件信息来自于网络中的防火墙、认证服务器、土机数 据库、i d s 、安全审计系统等。另外，s e c c e n t e r 还提供上百种监控方式，信息统计实 时图表输出，实时展示事件详情等功能。 c i s c o 公司的安全监控分析和响应系统m a r s 具有高性能和管理的可扩展性，能 实现监控和防御的功能。该系统结合了传统安全事件监控与网络智能、异常流量检测、 热点识别、因素分析、上下文关联和自动防御等功能，可以准确识别和消除网络攻击， 为客户高效地使用网络和安全设备提供保障。该系统在对网络基础设施信息进行集中 监控时，可作为一个中央数据库，存储安全设备生成的所有事件，包括防火墙、验证 服务器、网络入侵检测和其他提供网络安全的服务器所生成的事件，也存储网络设备 事件和工作站及服务器记录，这些事件实时相互关联。m a r s 还具有事件筛选功能， 仅把少量实际发生的网络事故报告给用户；该系统内置丰富经验并具有出色性能，可 以提前发现影响整个网络的攻击，并提出建议的防御措施：上下文关联能有效识别故 障，使用网络级智能，将网络行为和跨n a t 边界的安全事件分组，根据其运用系统和 用户定义的关联规则进行识别：m a r s 根据路由器、交换机、漏洞分析工具和防火墙 等的配置，来获得网络智能；自动防御功能可识别攻击路径上的阻寒点，用户通过设 备命令自动完成防御攻击；m a r s 还能自动发现m a c 地址、w i n d o w s 工作站名称、 v p n 用户名和攻击的第一跳物理交换端口等重要信息，这些信息都是实现快速、准确 地阻止攻击和降低受损程度的依据1 2 j 。 由于国外计算机网络安伞管理的需求多样，开发的相关产品比较成熟。近年来， 国内厂商也开始推出网络安全管理产品，国内厂商如神码d i g i t a l c h i n a 、锐捷、中兴z t e 等，纷纷开发了针对自己的安全设备进行网络安全管理的软件。同时，也出现了一些 能在企业i t 信息资源管理中发挥重要作用的第三方管理软件，如游龙科技的s i t e v i e w 网络管理软件，上海北塔b t n m 网络运维管理系统，北信源v r v 内网安全管理系统 等。北信源v r v 内网安全管理系统，对被管理网络内的绝大多数网络设备可以实施严 格的监管和控制，在安全性要求极强的军队、公安、政府机关、证券、会融及保密部 门等网络中非常适用。 2 目前在网络信息过滤方面，市面上有很多针对网吧或者企业内部网络管理的不同 类型的成熟软件。如“网络爸爸 ，是一款专门针对单用户的反黄软件，使用非常成熟 的防堵算法，能对网络、程序、内容等进行基本过滤和控制，但不能远程控制和管理， 也不能集中管理，因而不适合高校校园网络管理方面的使用。 “过滤王 是针对局域网的过滤系统，专门针对校园网络管理，根据网页内容识 别和分级技术对网站进行分类，通过名单过滤技术，有害信息被禁止在网上传播。校 园网络管理人员利用该系统能及时仝面地掌握整个校园的上网情况，管理学生上网活 动，并能合理分配网络资源：教育网管理人员通过信息安全审计子系统，可以对各级 中小学上网状况及时进行审计，作为调整上网策略，封堵信息漏洞的依据。本系统适 用于中、小型校园网络，如电子教窜、电子阅览审等小型局域网管理，分为纯软件和 硬件。但该系统的软件运行对硬件要求过高，而且设计者不是来自学校，在功能的设 计上缺乏针对性，因而也不适用于高校校园网络安全管理。 由于上述的网络安全管理产品作用于网络中的不同方面，统一的网络安全管理平 台的最高目标是对网络中部署的安全设备进行协同管理。这样的系统涉及许多复杂的 技术问题，也涉及到行业标准和联盟。 在网络管理和安全管理这两方面，国际标准化组织i s o 做了大量的工作。1 9 9 9 年， i s o 在“信息安全评价通用准则”的基础上正式发布了用户信息系统安全评测的国际 标准。i s o 为网络管理定义了五大功能域：配置管理，故障管理，性能管理，计费管 理和安全管理。网络管理的实践证明：s n m p ( 简单网络管理协议) 和m i b ( 管理信息库) 相结合可以对分散部署的各种产品进行分布式管理，并易于兼容第三方厂商的产品， 有较大的灵活性和可伸缩性。基于s n m p 和m i b 的安全管理产品，己经成为众目所瞩， 并逐步走向成熟l 引。 1 3 本课题研究的目的和意义 我国校园网在环境建设、实际应用和安全管理等方面都存在着一些问题。对校园 网建设缺乏全面的认识和理解，重视硬件设备的投入，轻视软件建设和网络管理员的 培训，片面追求网络技术的先进性，导致校园网投入过大但使用率不高；校园网的应 用软件多而杂，不同软件之间的互连，基础数据之间的共享都存在着问题，数字化校 园的提出并没有解决信息孤岛问题的存在；高校校园网络中，在网络遭受攻击行为或 网络受到其他一些安全威胁时，无法进行实时的监控、检测、预警和报告，因此网络 安全的管理与维护仍然是大家关注的热点和焦点。一方面，网络环境越来越复杂，计 算机病毒及黑客攻击的手段越来越智能，影响范围越来越广，而且破坏力越来越大； 另一方面，校园网抵制病毒和木马入侵的能力不强，突出的安仝隐患在网络内部存在j 时常有人有意无意地破坏校园网系统，干扰校园网安全运行：另外人们通过网络在线 听音乐、看电影、玩游戏时，很容易造成网络堵塞和病毒传播。从某种意义上讲，与 3 来自校园网外部的各种不安全因素相比，来自校园网内部的安全隐患影响更广、破坏 力更强、威胁更大1 4 j 。 影响网络安全的因素主要有网络系统自身的脆弱性和来自外部的威胁，前者包括 硬件系统、软件系统及网络和通信协议，后者包括信息泄露、完整件破坏、服务拒绝 和未授权访问等。大多数的校园网都是基于t c p i p 技术的，采用开放的网络架构，缺 乏必要的安全策略。安全策略是指在一个特定的环境中，为保证一定级别的安全保护 所必须遵守的规则。计算机网络的开放性及计算机本身安全的脆弱性导致了网络安全 方面的诸多漏洞。网络安全问题将始终伴随着因特网的发展而存在。因此网络安全问 题越来越受到重视，人们开始研究物理安全策略、访问控制策略、防火墙控制策略、 入侵检测技术、网络安全漏洞防范、防病毒技术、信息加密等各种网络安全策略，并 开发网络安全管理系统。网络的安全性同网络的性能、可用性和可靠性一起，成为组 建和运行网络时不可忽视的问题。 由于网络安全管理技术要解决的问题的突出性和特殊性，使得网络安全管理系统 开始从通常的网络管理系统中分离出来。网络安全管理作为网络管理技术中的一个重 要分支，正受到广泛地关注。 不同类犁的网络用户，安全需求也有所不同。部署计算机网络安全之前，必须了 解网络用户的需求，根据其实际情况确定安全系统的主体目标，才可以制定出一套可 靠实用的网络安全管理系统。前面提到的那些网络安全管理产品，功能强大，能解决 网络安全管理中的许多问题，为本课题的研究提供了很有价值的参考，但这些网络安 全管理产品不适合高校校园网络安全管理：第一，开放性不够，对不同公司设备的支 持不足，大多系统只能处理某些公司开发的网络设备的报警信息，如c i s c o 的m a r s 系统就只能支持c i s c o 等公司的相关设备，各厂商网络设备不能相互协作，而在实际应 用中，校园网的建设不只使用一个公司的产品；第二，产品价格太高，学校支付不起 这么高的费用；第三，各公司产品的系统接口没有公开，用户无法进行二次开发，缺 乏灵活性，也不利于以后的系统扩展。 本文针对这些弱点，并参考现有的网络安全管理产品，研究并设计一个系统来满 足高校校园网络安全管理与维护的实际需要。对高校校园网来说，不适合进行严格的 监管和控制，应充分考虑高校从业人员的特点，尤其是个人隐私信息。对于高校的校 园网络应做到既能保证必要的网络安全，又不被被控者反对和抵制。在一个统一的界 面中监视网络中各种安全设备的运行状态，对产生的大量报警信息和日志信息进行统 一汇总、审计和分析；同时完成安全产品的升级、攻击事件报警、响应等功能。在监 视网络中安全设备的运行状态时，严格、绝对的监控防火墙、路由器、交换机、服务 器等设备，对个人办公计算机的管理要适当放宽要求，只对必要的硬件信息、主机名 称、口地址、网络流量等信息进行掌控，不需获取个人信息、软件使用、磁盘数据等 信息。针对上述需求，有必要开发一套适合高校校园网络安全管理与维护的系统。 开发的系统要对高校校园网的防火墙、路由器、交换机、服务器等核心层设备做 4 严格、绝对的监控和重要信息的备份，通过相应硬件生产商提供的网关管理软件实现； 还要对个人办公计算机的硬件信息、土机名称、m 地址、网络流量等信息进行采集， 当计算机的网络流量出现故障或异常时，能够发出报警信息，起到硬件设备管理的作 用；通过动态监测计算机网络属性参数，规范其网络行为，从而保障网络和应用系统 通畅、稳定地运行。 1 4 论文的内容 本文对现有的网络安全管理产品进行深入分析和研究，针对现有网络安全管理系 统与高校校园网络安全管理与维护需求不相适应的方面，运用理论研究和实验相结合 的方式，结合网络安全管理理论知识和已有的经验，研究并设计了一个适用于高校校 园网络安全管理与维护的系统。论文主要包括如下内容： 1 、分析目前国内外网络安全管理系统的研究现状，针对这些研究现状，结合吉林 工程技术师范学院校园网络安全管理实践，提出了论义研究的目的和意义。 2 、对高校校园网面临的威胁及可能承担的风险进行实际需求的分析和研究，确定 本系统的安全策略，对与本系统设计相关的网络安全和网络管理理论进行分析，并深 入研究系统功能实现的关键技术，为本网络安全管理与维护系统的设计打下坚实的基 础。 3 、对系统进行总体设计，在此提出系统设计的整体框架、体系结构和功能模型， 并对系统中的各个设计部分进行详细的阐述，指出系统设计中的难点。 4 、对论文进行总结，提出系统需要进一步深入研究和改进的地方。 s 第二章系统开发的理论基础 网络管理己经成为网络安全、稳定运行的关键技术。网络安全管理是本文的核心， 也是本系统设计的目标。网络安全管理即是通过某种方式对网络状态进行调整，使网 络中的各种资源能够正常、高效地运行，在网络出现故障时能够及时做出报告和处理， 协调、维护网络的运行能力。网络安全管理的主要功能是对安全设备的管理。安全管 理包括监视网络危险情况，对危险进行隔离，并把危险控制在最小范围内；身份认证， 权限设置；对资源的存取权限的管理；对资源或用户动态的或静态的审计；对违规事 件，自动生成报警或生成事件消息；口令管理，对无权操作人员进行控制；密钥管理； 冗余备份【5 】。为设计一个高效、可靠、完善的网络安全管理系统，本章将对网络安全管 理和简单网络管理协议进行分析研究，为系统设计与实现提供理论基础。 2 1 网络安全管理概述 网络安全是指通过采用各种安全技术和管理上的安全措施，确保网络服务的町用 性和网络信息的完整性。网络中可能受到威胁和需要保护的资源有硬件设备、软件系 统和数据信息。网络安全管理是指对网络资源以及重要信息的访问进行约束和控制。 网络安全管理提供6 类服务：对等实体鉴别服务、访问控制服务、数据保密服务、数 据完整性服务、数据源鉴别服务和禁止否认服务。网络安全管理的许多操作与实现密 切相关，都依赖于设备的类型和所支持的安全等级。通过标识重要的网络资源( 包括系 统、文件和其它实体) ，对其访问情况进行监视，对非法访问加以记录并发出报告的方 法实现网络的安全管理【6 j 。 面对校园网络安全管理所存在的挑战，校园网络日常管理工作显得尤为重要。从 网络平台上监视和诊断病毒、后门等安全漏洞所产生的异常状态信息，分离出各类可 疑网络行为，有效地预防和发现网络攻击与病毒的扩散，是校同网络安全管理的主要 方法。 2 2 影响校园网络安全的因素 1 、物理因素 网络的物理安全主要是指地震、水灾、火灾等环境事故，电源故障，认为操作失 误或错误，设备被盗、被毁，电磁干扰，线路截获，以及高可用性的硬件、双机多冗 余的设计、机房环境及报警系统、安全意识等。 网络的物理安全是整个网络安全的前提。在校园网内，由于网络的物理跨度不大， 只要制定健仝的安全管理制度，做好备份，并加强网络设备和机房的管理，这些风险 都是可以避免的。 6 2 、技术因素 目前的校园网络基本都是利用i n t e m e t 技术构造的，这样的网络在安全方面存在重 大隐患，其赖以生存的t c p i p 协议缺乏相应的安全机制，操作系统中不可避免地存在 着“后门 或安仝漏洞。同时众多的服务器、浏览器和一些桌面软件等都被发现过存 在安全隐患。 通过对现有的操作平台进行安全配置、对操作和访问权限进行严格控制，可以提 高系统安全性。选用尽可能可靠的操作系统和硬件平台，加强登录过程的认证，确保 用户的合法性；严格限制登录者的操作权限，将其完成的操作限制在最小的范围内。 3 、病毒因素 计算机病毒一直是计算机安全的主要威胁。据有关部门统计数据显示，有6 0 以 上的校园网络故障是由计算机病毒造成的。随着计算机技术的不断进步，计算机病毒 的发展速度也是非常惊人，每天网络上都会出现成千上万种新的病毒，国际空间每天 要处理和查杀的病毒数量更是大得惊人。各种木马等恶意程序，已经成为影响校园网 络安全的一个重大问题，根本无法避免，只能通过使用各种防病毒软件抵御病毒入侵， 一旦遇到入侵应立即查杀或隔离，避免其继续感染其他用户 7 1 。 4 、使用者因素 校园网络用户多而且不固定。使用者安全意识淡薄，计算机操作水平低，而且操 作不规范是威胁校园网安全的土要因素。 5 、管理因素 校园网络安仝管理思想麻痹，不重视网络安仝保护，没有采取正确的安仝机制和 安全策略，并且缺乏先进的网络安全技术、产品和工具手段，也缺乏先进的系统备份、 恢复技术和工具等，这些都是威胁网络安全的重要因素。 2 3 高校校园网络安全管理需求分析 高校校园网络在给全校师生提供方便的同时，也给病毒传播和木马攻击提供了最 快捷的途径。特洛伊木马的疯狂入侵和以蠕虫为代表的病毒的肆虐，直接导致网络的 瘫痪或用户隐私和重要数据的外泄。这就极大地消耗了网络和主机的软硬件资源，造 成网络和主机性能的急剧下降，甚至无法实现网络设备和主机的正常运行。而目前高 校校园网使用的网络安全管理及防护措施就有单一性、独立性和落后性，这就使得网 络病毒和木马入侵屡屡得逞。 本人立足于高校，面对着蓬勃发展并且存在重大安全隐患的高校校园网，深感网 络监测、网络安全管理的蕈要性。高校是网络技术最为活跃的地区，也是网络人群比 较集中的地区，其网络中隐藏着各种潜在的威胁，在这样的网络环境中，迫切需要网 络监测和安全管理。目前网络的脆弱性会使网络因为一个小小的蠕虫病毒而趋于瘫痪， 正在运行的网络服务会因为一个并不高明的攻击行为而终止，这给网络管理人员提出 7 了比较高的要求。如何对网络安全进行管理，维护网络的安全运行，成为摆在网络管 理人员面前的一项课题。 通过亲身经历和广泛调查，发现高校校园网在以下几个方面存在许多严霞的安全 问题： l 、网络管理员责任心不强、专业知识和技能不够 在高校，大多数网络管理员在工作之前慕奉都没有受过系统的专业培训。尤其是 各分院或系部的网络管理员基本没有太多的网络安全管理经验。所以，不能很好地胜 任本职工作。如把在计算机中装上还原卡当作是万能管理方法：不设置系统管理员密 码，或密码设置过于简单；在系统中不安装防火墙和杀毒软件等等。另外，有些网络 管理员敷衍塞责，对出现的系统故障置之不理。 2 、防病毒、木马和黑客攻击意识不强 大多数高校校园网用户的安全意识非常淡薄。具体表现在：密码设置过于简单； 不习惯用杀毒软件扫描和处理病毒；不及时更新杀毒软件和防火墙软件；不愿扫描系 统漏洞并打补丁；使用移动存储介质时嫌麻烦，也不愿事先用杀毒软件进行扫描；对 历不明的文件或邮件不加任何防范就运行或打开；经常有意或无意浏览带有色情的网 站或恶意网站等等。 3 、对外来攻击防御能力不强 操作系统的功能及安全性虽然在日趋完善，但很多漏洞仍存在，有些漏洞甚至允 许入侵的黑客提升用户权限，并可以远程执行代码。与此同时，桌面应用软件也存在 着安全隐患。由于校园网是基于t c p i p 协议的网络，因而存在着两人不安全因素： ( 1 ) t c p i p 协议采用明文传输数据，无法保证信息的保密性和完整性。( 2 ) t c p i p 协议 以口地址作为网络节点的惟一标识，并不能对节点上的用户进行有效的身份认证，无 法保证信息的真实件【8 】。 通过对高校校园网络存在的安全风险的分析，可以看m 高校校园网络安全管理问 题主要集中在对网络中设备的保护、防病毒和恶意攻击、隔离内外网和广播信息、重 要数据备份与恢复等方面。 通过采集网络中的资源信息，监测网络流量来分析网络状态，可以实现对高校校 园网络安全的管理。 对校园网络中的设备使用情况进行全面地掌握，如发现异常，迅速给出警示并记 录时间，为根源的查找提供依据。对校园网中的重要数据进行备份，在网络系统硬件 故障或认为失误时起到保护作用，在入侵者非授权访问或对网络攻击及破坏数据完整 性时也能起到保护作用，还是系统灾难恢复的重要前提。 本系统的理论基础是简单网络管理协议s n m p ，采用s n m p 与被管设备进行通信， 实现网络安全管理。因此本课题不仅适用于高校校园网，也适合于现令几乎所有的网 络，因而又具有一定的普遍意义。 8 2 4 简单网络管理协议s n m p s n m p 网络管理协议是应用层协议，通过该协议网络管理站能够对被管设备进行 管理。s n m p 作为计算机网络管理的事实标准，网络管理站通过s n m p 协议对代理进 程中的m i b 管理对象进行读写操作，可以实现统计、配置和测试网络的功能，也可实 现各种差错检测和恢复功能。 2 4 1s n m p 的管理模型 s n m p 管理模型由四个部分组成：管理者、代理、管理者和代理之间的通信协议 以及管理信息库( m i b ) 。如图2 1 所示： 莜臂设备1t t 臂设鲁2靛臂设备n 图2 1s n m p 的管理模型 l 、管理者 管理者是整个网络管理系统的核心，通常是有着良好图形界面的高性能的工作站， 并由网络管理员直接操作和控制。被作为网络管理员与网络管理系统的接口，是实旌 网络管理的实体，驻留在管理工作站上，能够完成网络管理的各项功能，一般位于网 络运行中心的一个主机上。 2 、代理 代理是网络管理系统中另一个重要元素，驻留在被管设备中，被管设备可以是主 机、路由器、打印机、集线器、网桥或调制解调器等。在每一个被管设备中可能有许 多被管对象( m a n a g e do b j e c t ) 。被管对象可以是被管设备中的某个硬件，也可以是某 些硬件或软件的配置参数的集合。在每一个被管设备中都要运行一个程序以便和管理 站中的管理程序进行通信。这些运行着的程序叫做网络管理代理程序，简称代理 ( a g e n t ) 。代理不停地监听来自管理站的请求( 或命令) ，一旦发现了，就立即返回管 珲站所需的信息，或执行某个动作；还能随机地为管理者报告一些重要的意外事件。 9 干控制 m i b 。 管理信息库m i b 存储在被管理对象中，给每个被管对象命名，并定义其类型。m i b 包 括的信息有：设备的配置信息，数据通信的统计信息，端口的性能数据，安全信息和 设备私有信息。这些信息形成网络管理系统的数据来源t 9 1 。 4 、简单网络管理协议s n m p s n m p 描述了管理者与被管代理之间的数据通信机制，s n 御的网络管理由三个 部分组成：s n m p 本身、管理信息结构s m i 和管理信息库。下面分析一下这三部分的 作用。 s n m p 定义了管理站和代理之间所交换的分组格式。所交换的分组包含这个代理 中的对象名及其状态。s n m p 负责读取和改变这些数值。 s m i 定义了命名对象和定义对象类型的通用规则，以及把对象和对象的值进行编 码的规则。但s m i 不定义一个实体应管理的对象数目，也不定义被管对象名以及对象 名及其值之间的关联。 m i b 在被管理的实体中创建了命名对象，并规定了其类型。 s n m p 按照s m i 定义的规则，存储、改变和解释这些已由m i b 说明的对象的值。 2 4 2s n m p 协议数据单元 s n m p 可以进行3 种操作： ( 1 ) “读”操作，用g e t 报文实现，管理站从代理获取管理对象的值，检测各被管 对象的状况： ( 2 ) “写力操作，用s e t 报文实现，管理站更新代理中管理对象的值，来改变各被 管对象的状况； ( 3 ) 陷阱，用t r a p 报文实现，在非请求状态下，代理发送给管理站报告特殊事件： 通过s n m p 的协议数据单元( p d u ) 完成管理信息的交换，在对协议数据单元进行 简单格式确认后，执行操作命令。 s n m p 数据报没有固定的字段，使用标准a s n 1 编码。s n m p v l 的报文格式由四 个部分组成，如图2 2 所示： 1 0 c l k n j l l 9 螺奇 一 o l 、l v j 区) 一 版本 首部 安全 s n m p 报文的数据部分 参数 - f 3 t 弓i 擎i 。 上下文名 请求i d差错状态差错索引 名 值名 一 l 诵j 一娑立盯 有关加密_ 债廖胸籁 一 口口p 一譬珊比 7 c ，l 1 f dd t 、量t 一 一一 p d u 类型 e n t e r p r i s ea g e n t 。a d dg e n e ric 。t r a p s p e ci f i c 。t r a pt i m e s t a m p a 7 - f 、t ? j - j 栅 一 下面介绍一下s n m p 报文中各个字段域的描述信息： 版本：现在s n m p 版本是3 。 首部：包括报义标识、最大报义长度、报义标志。 安全参数：用来产生报文摘要。 在s n m pp d u 前面有两个有关加密信息的字段，当数据部分需要加密时才使用。 与网络管理直接相关的是后面的部分。在s n m p 定义的八种类型的协议数据单元中， g c t r c q u e s t ，g e t n e x t r c q u e s t ，r e s p o n s e ，s e t r c q u e s t 的格式都是相同的，由p d u 类型、 请求i d 、差错状态、差错索引以及变量绑定这几个字段组成。 p d u 类型：指明s n m p 报文的类型。s n m p v l 定义了5 种类型的协议数据单元： g e t r e q u e s t ，g e t n e x t r e q u e s t ，o e t r e s p o n s e ，s e t r e q u e s t 和t r a p 。 请求i d - 为每一请求提供唯一的i d ，因为管理进程可同时向许多代理发出请求读 取变量值的报文，该字段可以使管理进程能够识别返回的响应对应哪个请求报文。 荠错状态：在请求报文中，这个字段是零。当代理进程响应时，就填入o 1 8 中 的一个数字，说明在处理请求时发生了意外情况，如0 表示n o e r r o r ( - - 切正常) ，l 表示 t o o b i g ( 代理无法把回答装入到一个s n m p 报文之中) ，2 表示n o s u c h n a m e ( 操作指明了 一个不存在的变量) ，3 表示b a d v a l u e ( 无效值或无效语法) ，等等。 差错索引：在请求报文中，这个字段也是零。当代理进程响应时，若出现 n o s u c h n a l e ，b a d v a l u e 或r c a d o n l y 的差错，代理进程就设置一个整数，指明有差错的 变量在变最列表中的偏移。 变量绑定：一系列变量名和相应的值，网络管理的被管理对象的详细信息就在这 个字段中。 2 4 3s n m p 协议的工作过程 简单网络管理协议允许网络管理工作站软件与被管理设备中的代理进行通信。这 种通信可以包括来自管理工作站的询问消息、来自代理的应答消息或者来自代理给管 理工作站的陷阱消息。 s n m p 通过用户数据报协议( u d p ) 来操作。在分立的管理站中，管理者进程对 位于管理站中心的m i b 的访问进行控制，并提供网络管理接口。管理者进程通过s n m p 完成网络管理。s n m p 在u d p 、i p 及有关的特殊网络协议( 如e t h e m e t 、f d d i 、x 2 5 ) 之上实现。每个代理者也必须实现s n m p 、u d p 和m 。代理者还要有一个解释s n m p 消息和控制代理者m 【b 的代理进程。网络管理工作站发出3 类( s e t r e q u e s t 、 g e t r e q u e s t 、g e t n e x t r e q u e s t ) s n m p 数据报给代理进程，代理进程接到这些数据报后 用g e t r e s