校園網事件響應綜合管理系統的設計

摘要：該文就校園網管理手段相對滯后的情況，提出了設計一套事件響應綜合管理系統，著重從設計原則、結構與模型、功能特點等進行了闡述，指在實現事件管理的流程化。

關鍵詞：校園網；事件響應；綜合管理；響應功能；設計

中圖分類號：TP393文獻標識碼：A文章編號：1009-3044(2008)34-1944-04

Campus Network Incident Response to the Design of Integrated Management System

SHI Xiang-bing

(Xinghai Conservatory of Music， Guangzhou 510006， China)

Abstract: This article on the campus network management tools has lagged behind the case，the design of a comprehensive response to the incident management system，focusing on design principles， structures and models，features，etc.were also discussed，referring to the incident management in the realization of the process.

Key words: campus network; incident response; integrated management; response function; design

1 引言

隨著各院校信息化建設的發展，校園網管理手段相對滯后，手工和單點工具管理容易形成的“孤島”甚至“盲區”，導致網絡管理人員并沒有能夠掌握整個校園網絡，我們不知道誰在網絡中做什么，校園網的網絡安全監控分析方面缺乏有效手段。沒有預見問題的能力，沒有更有效的方式解決出現的網絡問題（80%的網絡問題通過手工解決）。同時故障排除經驗無法及時有效的分享。防火墻、VPN、反病毒軟件，以及入侵檢測系統(IDS)。都是屬于被動型或者說是反應型安全措施，雖然這四項基本的安全措施對校園網來說至關重要，但是實際上，即使花費了上百萬購買和建立的防火墻、VPN、反病毒軟件以及IDS系統，但是面對黑客所采用的“通用漏洞批露”(CVE)攻擊方法卻顯得無能為力[14]。CVE本質上說是應用程序內部的漏洞，它可以被黑客利用，用來攻擊網絡、竊取信息，并使網絡癱瘓。據2004 E-Crime Survey(2004 電子犯罪調查)顯示，90%的網絡安全問題都是由于CVE引起的。更為嚴重的是，由于在網絡建設初期沒有進行很好地規劃。隨著網絡建設的不斷深入，網絡設備不斷增加，整體缺乏統一管理，相互間沒有溝通交互，信息無法有效整合，發揮不出其應有的價值。有太多的管理工具分別提供太多信息，管理“管理工具”已成為負擔。

本文提出了，面對“確保99.99%甚至更高的網絡連續可用性”等等這些目標，毋庸置疑，需要建立和借助于一套必要的綜合的網絡分析、監控、管理、響應系統，以便對可能發生的各種網絡事件提前預警、及時定位、分析和處理，確保網絡安全、高效和穩定的運行。

2 綜合管理系統設計原則

1) 方案的構建和設計應有伸縮性， 擴展性和容易直接與其它系統相連接或通過某些已有的中間設備是很重要的，多種系統之間要交互式地工作，系統應有靜態和動態的伸縮性，也就是說，我們可以無須在應用系統中做過多的改變而只是簡單地添加或更新硬件或甚至于操作系統就能夠實現系統的擴展。

2) 系統應易于管理，如此大規模的系統需要一個良好的管理環境。系統的管理必須考慮系統和應用的安全性和整個系統資源和用戶的入口控制。這也包括在系統中所有或關鍵活動的監督的報告和審查功能。

3) 技術平臺的先進性，從技術發展的角度來看整個網絡平臺必須建設在一個先進的技術構架之上，才能保證整個系統的先進性。

4) 穩定的技術平臺，作為一個大規模的網絡應用系統，其技術平臺的穩定性成為系統運行和提高運營效率的重要保證，而系統的技術維護工作也成為降低人員費用的關鍵。

5) 平臺的開放性和可擴展性，因為系統的發展是一個長期的、動態變化的過程，所以整個系統的技術平臺構造必須是開放性的和可擴展的。對此我們也需要提供一系列的標準的開發接口，使得從信息的制作、核心業務管理到最終的應用服務都能夠保持良好的功能可擴充性，隨時滿足系統的變化需求。

6) 軟硬件的分布式結構，由于整個系統由不同的應用組成，又有大量的數據信息及個性化信息服務的工作存在，所以整個系統方案的設計必須滿足軟件和硬件系統都能夠支持分布式的體系結構，以便隨時對系統的性能和功能進行擴充。

在這些原則的指導下，利用整體規劃、分步實施的指導理念，重視基礎設施、核心系統的建設，在技術選型上，充分考慮到技術的先進性和實用性，安全性和穩定性、標準性和開放性，模塊化和擴展性等，使系統建設完成后能確保為學院的教學與科研活動的提供一個快捷、安全、穩定的網絡環境，同時還為以后系統的擴展提供很好的支持能力。

3 系統應具有的功能、特點

系統管理員所關心的傳統問題，包括安裝配置、備份恢復、資源共享、系統安全和性能優化等，都是當今網絡管理的重要方面。傳統的高度集中的網絡管理模式，已不能適應復雜網絡管理的各種需要，綜合管理網絡系統是今后網絡管理軟件的發展趨勢，可實現資源共享、信息互換、簡化管理等操作等。不僅如此，網絡的復雜性，使得被管理的對象在系統中不是集中的，而是分散的。因此也要求提供分布式管理。在網絡的協議層次結構上對網絡軟件也有了新的要求，即從物理層、鏈路層、網絡層、傳輸層和應用層的角度考慮。

根據國際標準化組織（ISO）的定義，網絡管理有五大功能，即故障管理、配置管理、計費管理、性能管理和安全管理。根據網絡軟件產品功能的不同，又可細分為五類，即網絡故障管理軟件、網絡配置管理軟件、網絡計費管理軟件、網絡性能管理軟件、網絡服務/安全管理軟件。

從網絡管理系統功能要求來說，目前網絡管理系統應具有如下幾個方面的特點：

開放性：隨著用戶對不同設備進行統一網絡管理的要求日益迫切，計算機系統管理和網絡管理之間的關系已經越來越密切了，把它們集成在一起是一個重要的發展趨勢。

綜合性：通過一個控制和操作平臺，就可提供對各個子網的透視，對所管業務的了解，以及提供對故障定位和故障排除的支持，也就是通過一個操作平臺，實現互連的多個網絡管理。

智能化：系統能夠分析運行參數和數據，用戶發現網絡故障之前預測和排除故障。將人工智能引入網絡管理技術，是網絡管理系統一個新的研究方向。

安全性：除系統本身的安全機制外，由于目前網絡管理系統多是采用SNMP協議，普遍使用的是SNMP V1/V2，對于安全性還是比較薄弱的。但最新的SNMP V3大大加強了安全性，對SNMP V3的支持，也是網絡管理系統的熱點技術之一。

基于WEB的管理：由于基于WEB的管理以其統一、友好的界面風格，地理和系統上的可移動性和系統平臺的獨立性，吸引著越來越多的用戶和開發商。

另外，對于網絡新技術，如無線產品、QoS、SLA等服務方面，也是網絡管理系統發展方向。

3.1 綜合管理系統模型

基于上述認識，本文提出了統一管理平臺的綜合管理系統模型，如圖1所示。

3.2 綜合管理系統模型介紹

如圖1所示，該模型勾畫出一個完整的校園網綜合管理的閉環流程。各部分主要功能如下：

數據收集器：所有從目標系統（路由器、 IDS 、防火墻等網絡設備）收集的信息，被數據收集器收集集中，并轉換成統一的數據格式，然后送到檢測、審計器。

檢測、審計器：對所有信息利用專家知識系統或網絡管理人員進行分析和判斷，第一時間發現網絡中的不良信息和流量并對攻擊進行回溯追蹤。具有事件關聯分析功能，從各設備處收集到的信息都將在這里進行事件的關聯分析。

控制系統：對不同廠商的網絡設備進行有效交互。

報表生成系統：所有信息整合后形成報告，供網絡管理人員分析，參考。若需變更配置，則通過自動分發工具發送到各個網絡設備，然后在不斷地循環往復，重復這一過程，形成一個閉環、動態的管理流程。

3.3 該模型具有的優點

避免了網絡管理人員只看單一設備信息的片面性，有利于及時發現那些偽裝巧妙、深藏不露的不速之客，將隱患消滅在萌芽狀態。

采用了分級結構，具有良好的擴展性，非常適用于網絡結構復雜，產品多樣的網絡環境。

可以無縫集成所有的現有 IP 網絡的語音、視頻、無線、存儲等應用，并且可以靈活、可定制地進行部署。兼容眾多 VPN 、防火墻、威脅防范、 AAA 認證、 URL 過濾、 802 .1X 等多種技術，可以和眾多廠商的網絡設備形成互動，這樣可使用戶充分利用現有設備和投資。

綜上所述，將校園網作為一個完整的系統進行管理，而并非對許多零散的元件或設備進行管理。使校園網管理從一系列與單個設備相關的任務演變成一種更為系統的方法，校園網綜合管理系統正好反映這一需求。

4 硬件平臺設計與實現

4.1 設備選型原則

校園網信息化建設的基石是網絡硬件平臺，網絡硬件平臺建設的好壞直接影響到整個學院信息化建設的成敗并結合上文陳述的系統設計原則，本文認為網絡硬件平臺的建設要遵循以下原則：

1) 可靠性，使用的設備要能夠穩定可靠的在系統中運行，滿足校園網關鍵部位高可靠性的需要。如校園網核心區域，由于每個系統的故障都影響到整個校園網的正常，因此，必須確保核心區域設備的高可靠性。

2) 冗余性，很難確保硬件設備的１００％可靠性，所以硬件部分應采用高可用性的硬件平臺，這些系統的電源，交換板，冷卻系統，管理系統都應采用冗余方案。

3) 技術先進性，所用設備的技術必須有足夠的先進性，如防火墻必須支持應用層的檢測及狀態檢測功能。

4) 技術成熟性，必須是已經經過實際應用的技術和設備，并且在大型網絡及關鍵應用部門經過實際驗證的產品。

5) 技術可用性，自動化程度高，可通過集中策略管理，提高管理人員的工作效率。

6) 可管理性，設備應該宜于管理，非專業技術人員也能在指導下使用。

7) 可擴展性，在系統升級或擴容時，能保持一定的擴充性能。

8) 規范性，滿足國家相關法律法規和國家標準，支持業界相關標準（包括OPSEC及SNMP等），可以方便地集成到以后的綜合管理系統中去。

9) 良好的性能價格比。

4.2 校園網拓撲示意圖

依照上述原則，在校園網的硬件平臺設計中，推薦以下方案：

在核心交換層，采用的是兩臺銳捷的S6810交換機，利用兩臺機器做到負載均衡和互為備份，對每臺交換機都采用了雙電源、雙cpu、交換模版冗余等措施保證主交換機的高穩定和高可用。匯聚交換機通過雙鏈路自動備份來保證當任何一臺主交換機發生故障時，能自動切換到另外交換機上。這樣在核心網絡上，不存在單點故障，保證了網絡系統的高可靠性、高可用性和高穩定性。

邊界出口設備選用了兩臺BIG-IP?誖 Link Controller，利用兩臺機器做負載冗余備份，實現了多ISP網絡的高可用性和鏈路控制。防火墻選用了兩臺Nokia/Checkpoint的組和設備，在不影響原有網絡性能下，提供內部網絡安全保護和遠程安全訪問控制。這樣在出口上也同樣不存在單點故障，保證了校園網的高可靠性、高可用性和高穩定性。

校園網拓撲示意圖如圖2所示。

4.3 網絡設備關鍵配置

網路設備的調試需要一個相對較長的時間，其中關鍵設備之間的配置是需要特別加以關注的。例如：端口之間速率不匹配的問題，就容易導致大量的丟包，導致整體網絡速度下降，需要對相關設備的端口進行速率、自動全雙工與否的嘗試，關鍵配置如表1所示。

5 硬件平臺的優勢

此硬件平臺在具備了傳統的校園網全冗余拓撲結構特點的同時，在資金投入額度基本相等的情況下，具有如下三點明顯的優勢：

1) 可以平滑的接入IPv6網，所有的校園網都要制定一套明晰的無縫演進戰略，以分階段進行網絡移植，支持不斷增長的IPv6需求BIG-IP?誖Link Controller產品具有16個百兆銅纜端口和2個千兆光纖端口，通過IPv6網關模塊，BIG-IP提供了完整的v4與v6網絡間IP轉換與負載均衡能力。這使得移植和混合IPv4與IPv6主機資源的共享更易于管理，同時也更為經濟高效。

2) 在提供鏈路負載均衡的同時，能夠采用多種靜態和動態負載均衡辦法（包括動態比率、最小連接和觀測負載均衡），可跟蹤一組對外服務器的動態性能級別，從而確保可始終選中最佳資源以改進性能。

3) 傳統的拓撲結構，只是簡單的避免了單點故障，提高了校園網的穩定性。在可用性方面，采用本文的拓撲結構，只需要再采購兩臺BIG-IP，就可以對防火墻進行負載均衡，在提高了出口設備的利用率的同時出口防火墻處理性能上也提高了一倍，保護了學院的投資。

5 軟件系統的結構設計

下面主要探討一下，在事件響應工作流程中運用由可以自動化實現的響應功能來實現動態的工作流程系統。通過工作流程引擎靈活地調度、控制、利用基于約束的動態綁定機制動態地將響應請求綁定到合適的響應功能和響應人員，從而柔性地、協同地完成事件響應目的。

軟件系統的結構如圖4所示。

響應功能的定義以及預先設定好的模板都向響應流程存儲進程注冊，響應流程存儲進程協助響應流程引擎為各種事件找到所需要的響應功能。響應流程控制器包括兩個子組件：響應流程引擎和響應流程定義工具。響應流程引擎通過已定義的過程模板來實現響應流程并且負責對響應流程的執行進行控制，響應流程定義工具負責對響應流程建模。如果一個事件響應中對響應功能的選擇是任意的，那么在一個基于約束的動態響應綁定過程中，響應流程引擎將與響應流程存儲進程一起為該事件選擇一個合適的響應功能。為了激活一個響應功能，響應流程引擎將產生一個包含事件響應信息的SOAP（Simple Object Access Protocol）消息，并發送這消息到選中的響應功能。當響應結束時，響應功能將返回的結果數據壓縮到一個SOAP信息，并返回給該事件響應的請求者。

5.1 響應功能的標準化

5.1.1 響應功能模板

為了標準化定義響應功能， 特引入響應功能模板。所有的模板都由響應流程存儲進程管理。一個響應功能模板可以包含一個或多個預先設定的響應功能. 每一個響應功能，有3種屬性，輸入屬性(input) 被用來說明那些輸入的被用來促發一個事件響應的數據，輸出屬性(output ) 被用來說明一個響應功能的返回值，其他屬性(other) 被用來說明一個響應功能的其他約束條件和操作性質，如本次操作的持續時間長度等等。這些屬性能夠說明一個響應功能的所有性質，因此這對于協調和選擇響應功能都是必要的。

在表2中顯示了一個根據IP地址獲取主機基本信息響應功能的簡單例子。

5.1.2 響應功能約束

響應功能進程向響應流程存儲進程注冊它所提供的響應功能。在注冊時，響應功能首先向響應流程存儲進程它的一般信息，比如它的名字、接口等，然后說明它所提供的響應功能。

響應功能同樣也可以說明關于響應功能屬性的約束（包括input、output、other屬性），通過對這些屬性的相關約束， 這些約束嚴格控制了對適當響應功能的選擇。因為約束說明，采用基于約束的響應描述語言，比如一個”GetHostByAddres”的響應功能，可以描述在下面顯示的獲取主機基本信息過程操作的約束說明中，這個約束說明表達了這個” GetHostByAddres”響應功能響應操作僅僅支持IPv4的主機地址，同時獲取主機信息的數量不超過5個，每個獲取主機信息的時間不能超過30秒。

Constraint:

IP.length = short 4 ，

IP.number = integer range[1-5]，

Operation.Time = time rang[1-30].

“GetHostByAddres”響應功能屬性的約束說明，對于每一個“GetHostByAddres”，它的模板和響應功能約束都來自于響應功能說明。在注冊后，響應功能的說明會存儲在響應流程存儲文件中。

5.1.3 響應功能動態綁定

響應流程存儲進程的一個很重要的功能就是作為基于約束的中間代理并對響應功能進行選擇。在軟件系統中，這項功能被響應流程引擎用來進行動態事件響應綁定，為了完成這一綁定，響應流程存儲進程將利用由響應功能所給出的響應功能說明來匹配事件對響應功能的請求。那些被請求的響應功能的輸入屬性和請求中被說明的約束將與響應功能定義的屬性約束一致。

在響應流程存儲進程中響應流程引擎將通過順序查找的方法來進行響應功能的匹配選擇操作。在一個匹配操作中有3 種可能：第一，響應流程存儲進程不能找到一個可以提供滿足事件響應要求的響應功能，這種情況下，匹配操作是失敗的；第二，有一個唯一的響應功能可以提供滿足事件響應請求的響應功能，這種情況下匹配操作是成功的；第三種情況，有多個響應功能可以滿足請求，一個開銷評價進程被用來對這些響應功能進行評估并選出最好的。響應流程引擎在響應流程存儲進程的幫助下完成動態事件響應的綁定，響應流程存儲對基于約束的響應功能進行選擇，在啟動響應流程引擎前先調用響應流程存儲進程，進行一些前期處理工作。除了在過程建模時定義的關于響應功能的屬性，一個響應功能限制同樣包含響應功能要求操作的輸入數據。這些值在響應功能激活前得到，并加入到最初的響應功能限制從而產生一個新的請求。如在前述的“GetHostByAddres”響應功能的請求約束中增加一個響應功能的輸入數據IP.range = Public Address來產生一個新的響應功能約束。

這些新的響應功能約束，與響應功能提供的響應功能信息一起提送給響應流程存儲進程來選擇合適的響應功能。響應流程存儲進程首先獲得可提供該事件請求響應的響應功能，然后依據上面討論的基于約束的響應功能選擇機制來選擇合適的一個響應功能。

5.1.4 過程模板中對活動的定義

對活動的定義是模板建造中最主要的部分。并且在一個活動中對事件請求的響應功能的說明也包含在活動定義中。

活動ID 在過程模型范圍中是一個活動的唯一標識符。描述語句(DESCRIPTION) 中包含了對活動的描述。在輸入參數/ 輸出參數(IN-PARAMETER/ OUT- PARAMETER) 語句中定義說明了活動的輸入/ 輸出數據，實現語句定義了活動的本身，包括活動的一組事件任務單。響應功能的名字是將要被請求響應的響應功能的名字，操作的名字是將被激起的操作的名字，在輸入( INPUT) 語句中的輸入屬性表示了響應功能的輸入屬性，同樣響應事件的輸出屬性在輸出(OUTPUT) 語句中表示，而約束語句定義說明了響應功能請求的約束。

6 結論

通過綜合管理系統實現事件管理流程，能夠使IT服務部門的工程師不用再去成天為了某些棘手的問題疲于奔命，因為系統能夠實現資源在整個處理環節的一流調度；同時，每個人的工作變得非常明確，每個人的職責也會變得清晰，任何一個環節出現問題，都會有唯一的責任人與之對應，這樣有助于學院制定徹底改善服務水平的策略，所有人的工作都毫無遮掩的暴露在管理制度面前，任何工作的不和諧都可以被一目了然的察覺，使IT服務部門的工作價值和實際意義更加容易被評定。

參考文獻：

[1] 段海新.網絡安全時間響應[M].北京:人民郵電出版社，2002:1-237.

[2] 段海新.編寫信息安全策略[M].北京:人民郵電出版社，2002:1-33.

[3] 汪青青.應急響應計算機司法鑒定[M].2版.北京:清華大學出版社，2004:1-73.

[4] 胡和平，鄔少飛.基于事件響應event-response 的動態工作流系統[J].華中科技大學學報，2004，32(4):57-59.

[5] 朗良.廣義網絡安全事件跟蹤[J].計算機工程，2004，30(17):1-3.

[6] 劉文濤.Linux網絡入侵檢測系統[M].北京:電子工業出版社，2004.

[7] 張世永.網絡安全原理與應用[M].北京:科學出版社，2003.

[8] 馮濤.網絡安全事件應急響應聯動系統研究[D].西安電子科技大學碩士學位論文，2004:9-10.

[9] 衛東華.Visuan C++應用實戰演練[M].北京:科學技術出版社，2003.

[10] I博士.駕馭網絡之道[N].中國計算機用戶報，2004.

[11] 趙學良.信息安全—企業抵御風險之道[M].北京:清華大學出版社，2003.

[12] IT服務管理白皮書[EB/OL].http://www-900.ibm.com/cn/support/guide/whitebooks/Service_Management/Service_Management1_1.shtml.

[13] UNIX應急響應策略[EB/OL].http://www.nsfocus.net/index.php?act=sec_docdo=viewdoc_id=912keyword=%CF%EC%D3%A6%B2%DF%C2%D4.

[14] 建立主動性網絡安全體系[EB/OL].http://techrepublic.com.com/5100-22_11-5472533.html.

[15] 網絡安全防范體系及設計原則[EB/OL].http://www.xfocus.net/articles/200501/772.html.

[16] CA安全總控中心[EB/OL].http://www.ca.com.cn/eConference/html/allclass.asp?classid=2.

[17] http://www.opsec.com[EB/OL].

[18] 賀宗春.完善制度保障運維[J].中國計算機用戶，2005(10):35-36.