論文摘要：運(yùn)用目前廣泛使用的遠(yuǎn)程登錄方式，不需要直接跑到機(jī)房，通過 PC 機(jī)就可以進(jìn)行應(yīng)用系統(tǒng)、數(shù)據(jù)庫(kù)、網(wǎng)絡(luò)設(shè)備、服務(wù)器的配置、修改、上線等，過程簡(jiǎn)單便利，但也帶來了很多安全隱患問題。

　　1 服務(wù)器安全審計(jì)系統(tǒng)的研究意義

　　在高校信息化建設(shè)的過程中，逐步的配置了大量的服務(wù)器、網(wǎng)絡(luò)設(shè)備，而針對(duì)這些設(shè)備運(yùn)用、維護(hù)、管理和數(shù)據(jù)保護(hù)等等這些問題，都是非常重要的。

　　1)密碼管理：所有管理人員通過口口相傳的方式得知設(shè)備帳號(hào)和密碼，非常容易讓人非法獲得設(shè)備帳號(hào)和密碼，從而對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行非法訪問和攻擊，導(dǎo)致敏感數(shù)據(jù)被竊取或破壞。

　　2)對(duì)設(shè)備的操作：管理人員對(duì)網(wǎng)絡(luò)設(shè)備的操作過程使用手寫筆記記錄，無法知道運(yùn)維人員的筆記可信性和完整性，從而無法知道運(yùn)維人員對(duì)網(wǎng)絡(luò)設(shè)備的運(yùn)維操作情況，出現(xiàn)故障也無法跟蹤責(zé)任人。

　　3)管理人員權(quán)限：缺乏網(wǎng)絡(luò)設(shè)備授權(quán)平臺(tái)，容易導(dǎo)致管理人員越權(quán)訪問，非法操作等，增大了信息泄密風(fēng)險(xiǎn)。對(duì)用戶的操作行為難以評(píng)估。

　　4)安全審計(jì)：網(wǎng)絡(luò)設(shè)備缺乏審計(jì)系統(tǒng)，會(huì)造成設(shè)備被非法操作、誤操作無法阻斷，對(duì)于安全事件，因?yàn)槿狈徲?jì)記錄，事后也無法檢查、監(jiān)督。

　　所以，對(duì)校園網(wǎng)絡(luò)運(yùn)維具有以下迫切需求：

　　·有效保護(hù)校園網(wǎng)內(nèi)部服務(wù)器重要保密數(shù)據(jù)不被竊取和修改;

　　·解決共享帳號(hào)密碼的問題，使操作者與操作行為一一對(duì)應(yīng);

　　·簡(jiǎn)化密碼管理，提高密碼管理的安全性;

　　·集中管理各種操作行為，提高操作管理效率;

　　·有效監(jiān)管管理員或者設(shè)備廠商/代維廠商對(duì)設(shè)備的操作;

　　·有效審計(jì)操作行為(實(shí)時(shí)監(jiān)控、真實(shí)記錄、查詢回放、非法操作阻斷);

　　針對(duì)這些運(yùn)維安全問題應(yīng)運(yùn)而生的運(yùn)維安全審計(jì)系統(tǒng)，它是一款通過對(duì)密碼集中管理，對(duì)每一個(gè)操作人員建立賬號(hào)，設(shè)定操作人員訪問設(shè)備權(quán)限，記錄每一位運(yùn)維人員對(duì)設(shè)備的操作，并提供實(shí)時(shí)監(jiān)控和回放進(jìn)行審計(jì)，集認(rèn)證、授權(quán)、審計(jì)為一體的信息安全系統(tǒng)。

　　2 服務(wù)器審計(jì)系統(tǒng)的設(shè)計(jì)和實(shí)現(xiàn)

　　2.1服務(wù)器的管理模式

　　目前各大高校由于工作需要購(gòu)買了各種類型、數(shù)量繁多的服務(wù)器，為了安全性的考慮多數(shù)采用集中式管理，通常集中放在校園網(wǎng)絡(luò)中心機(jī)房，這樣可以帶來如下好處：

　　1) 集中管理可保證無塵環(huán)境，統(tǒng)一的溫度濕度控制，減少服務(wù)器故障率;

　　2) 集中管理可以實(shí)時(shí)查看服務(wù)器的運(yùn)行狀況，及時(shí)發(fā)現(xiàn)故障;

　　3) 中心機(jī)房的不間斷電力系統(tǒng)，可以保證系統(tǒng)穩(wěn)定工作;

　　4) 發(fā)揮中心機(jī)房網(wǎng)絡(luò)速度優(yōu)勢(shì)，服務(wù)器上的應(yīng)用能夠快速訪問;

　　2.2服務(wù)器審計(jì)系統(tǒng)設(shè)計(jì)

　　在服務(wù)器集中管理的狀況下，各個(gè)服務(wù)器的使用人員或者管理員，不需要來到中心機(jī)房，直接通過遠(yuǎn)程來訪問相應(yīng)的服務(wù)器，由于中心機(jī)房管理著少則幾十臺(tái)多則幾百臺(tái)服務(wù)器，有時(shí)很難判斷某臺(tái)服務(wù)器出故障時(shí)的原因，因此采取統(tǒng)一密碼管理制度，使用者并不知道服務(wù)器的登錄密碼，他只需要通過瀏覽器登錄到WEB頁(yè)面，輸入相應(yīng)的用戶和密碼就可以實(shí)現(xiàn)對(duì)自己要維護(hù)的服務(wù)器進(jìn)行操作管理。審計(jì)系統(tǒng)能夠?qū)τ脩舻男袨檫M(jìn)行跟蹤記錄。

　　網(wǎng)站的設(shè)計(jì)是基于B/S架構(gòu)，采用J2EE+MYSQL編程。

　　系統(tǒng)的結(jié)構(gòu)，如下圖所示：

　　管理員登錄：可以設(shè)置各種角色，可以添加刪除用戶，對(duì)用戶進(jìn)行授權(quán)或者分配服務(wù)器管理權(quán)限，添加設(shè)備、設(shè)置訪問協(xié)議，可以為設(shè)備批量添加管理人員。

　　一般用戶登錄：登錄后只能看到自己管理的服務(wù)器列表和已登錄的服務(wù)器日志，點(diǎn)擊直接進(jìn)入服務(wù)器操作界面，服務(wù)器用戶名和密碼對(duì)一般用戶來說不可見，有管理員統(tǒng)一管理。一般用戶的操作將被服務(wù)器全程記錄，寫入日志，生成日志報(bào)表。

　　服務(wù)器審計(jì)：一般用戶和管理員都可以進(jìn)行服務(wù)器審計(jì)，管理員可以看到所有的服務(wù)器和所有用戶的使用情況，可以訪問日志報(bào)表，查看服務(wù)器訪問記錄。服務(wù)器訪問記錄以視頻的形式錄像，管理員可以回放，然后進(jìn)行異常處理。對(duì)敏感數(shù)據(jù)的操作一旦出錯(cuò)，可以查找原因，對(duì)相關(guān)責(zé)任人追責(zé)。

　　2.3多遠(yuǎn)程管理協(xié)議

　　本系統(tǒng)提供了 RDP、Telnet、SSH、VNC、HTTP、FTP 等協(xié)議的支持。對(duì)于Windows 系列服務(wù)器提供RDP和FTP 協(xié)議的支持;對(duì)于 Unix 或 Linux系列服務(wù)器，提供Telnet、SSH 和 VNC 協(xié)議的支持;路由器、交換機(jī)等支持其使用 Telnet、SSH 作為訪問方式。

　　2.3.1 RDP協(xié)議

　　遠(yuǎn)程桌面協(xié)議(remote desktop protocol， RDP)是一種構(gòu)建于Windows系列操作系統(tǒng)的終端服務(wù)網(wǎng)絡(luò)通信協(xié)議。它采用了典型的C/S架構(gòu)，共分為兩個(gè)部分：運(yùn)行在遠(yuǎn)程設(shè)備上的客戶端和運(yùn)行在服務(wù)器上的終端服務(wù)器。作為微軟公司的一個(gè)工業(yè)標(biāo)準(zhǔn)，該協(xié)議應(yīng)用于Windows系列服務(wù)器。

　　2.3.2 Telnet協(xié)議/ SSH協(xié)議

　　Telnet 協(xié)議是 TCP/IP 協(xié)議族中的一員，是Internet遠(yuǎn)程登陸服務(wù)的標(biāo)準(zhǔn)協(xié)議和主要方式，它為用戶提供了在本地計(jì)算機(jī)上完成遠(yuǎn)程主機(jī)工作的能力。SSH為 Secure Shell 的縮寫，由IETF 的網(wǎng)絡(luò)工作小組(Network Working Group)所制定;SSH為建立在應(yīng)用層和傳輸層基礎(chǔ)上的安全協(xié)議。SSH 是目前較可靠，專為遠(yuǎn)程登錄會(huì)話和其他網(wǎng)絡(luò)服務(wù)提供安全性的協(xié)議。利用 SSH 協(xié)議可以有效防止遠(yuǎn)程管理過程中的信息泄露問題。

　　所以，本系統(tǒng)除了支持Telnet協(xié)議外，也支持較為安全的SSH協(xié)議，使其能非常好的對(duì) Unix或Linux系統(tǒng)的服務(wù)器、路由器、交換機(jī)等網(wǎng)絡(luò)設(shè)備提供訪問和審計(jì)。

　　2.3.3 VNC協(xié)議

　　VNC 是一款優(yōu)秀的遠(yuǎn)程控制工具，VNC是在基于UNIX和Linux操作系統(tǒng)的軟件，遠(yuǎn)程控制能力強(qiáng)大，高效實(shí)用，其性能可以和Windows中的任何遠(yuǎn)程控制軟件媲美。為了方便對(duì)UNIX、Linux系統(tǒng)的圖形化XWINDOWS的訪問本系統(tǒng) 提供了VNC對(duì)UNIX、Linux系統(tǒng)服務(wù)器的訪問的支持。

　　2.4服務(wù)器運(yùn)維安全審計(jì)

　　對(duì)運(yùn)維人員對(duì)設(shè)備的操作過程進(jìn)行全過程監(jiān)控，操作人員在操作設(shè)備的過程中，任何操作都會(huì)被記錄，并提供實(shí)時(shí)監(jiān)控功能，及時(shí)進(jìn)行操作指導(dǎo)或糾正操作錯(cuò)誤。在事后進(jìn)行查詢，通過審計(jì)回放，讓操作過程都有跡可查。使運(yùn)維人員的運(yùn)維工作更輕松、機(jī)密數(shù)據(jù)更安全、安全事故責(zé)任更明確。

　　2.4.1審計(jì)數(shù)據(jù)的采集

　　把目標(biāo)設(shè)備的啟動(dòng)和關(guān)閉、目標(biāo)設(shè)備操作系統(tǒng)的操作、目標(biāo)設(shè)備的文件使用、一切鍵盤輸入操作等等操作過程都記錄下來，并生成完整的審計(jì)數(shù)據(jù)。審計(jì)記錄會(huì)被存在到數(shù)據(jù)庫(kù)中，方便用戶查閱、檢索，讓所有操作過程都有跡可查。

　　2.4.2審計(jì)數(shù)據(jù)的回放

　　提供完善的審計(jì)回放功能，讓系統(tǒng)管理員輕松完成運(yùn)維監(jiān)督、安全事故預(yù)防等工作。審計(jì)回放包括：圖形回放、命令回放、鍵盤輸入顯示。

　　2.4.3日志查閱

　　為系統(tǒng)管理員提供的可查詢?nèi)罩景ǎ旱卿浫罩尽⒉僮魅罩?、審?jì)回放日志等等。提供靈活的日志查詢?cè)O(shè)置，使系統(tǒng)管理員可以根據(jù)日志日期范圍、運(yùn)維人員姓名、設(shè)備名稱、設(shè)備IP等條件查詢?nèi)罩尽?/p>

　　2.4.4審計(jì)日志報(bào)表

　　提供各種報(bào)表，包括系統(tǒng)使用情況、設(shè)備使用情況等生成報(bào)表，統(tǒng)計(jì)設(shè)備被訪問次數(shù)和訪問的時(shí)間，大大簡(jiǎn)化了日志分析工作。系統(tǒng)還支持報(bào)表導(dǎo)出功能，導(dǎo)出報(bào)表的格式為Excel。

　　3 小結(jié)

　　有了服務(wù)器審計(jì)系統(tǒng)，就不會(huì)出現(xiàn)服務(wù)器長(zhǎng)期沒有人管理的問題，不僅可以看到用戶什么時(shí)候登錄，做了些什么操作，還可以定期督促用戶做好數(shù)據(jù)備份、服務(wù)器整理、安全防護(hù)等工作。在服務(wù)器數(shù)據(jù)出問題時(shí)，可以采用視頻回放，查找非法操作或者錯(cuò)誤操作的原因。還可以生成日志報(bào)表，對(duì)服務(wù)器的使用有一個(gè)全面的了解，對(duì)使用率很低的服務(wù)器可以在上面添加新的應(yīng)用，負(fù)載高的服務(wù)器減少應(yīng)用，達(dá)到一個(gè)負(fù)載平衡。