Red Hat 7.2采用2.4.7-10內核,具有更加出色的網絡配置、用戶管理、防火牆機制和網絡服務機制。mysql是一個小巧玲珑的數據庫服務器軟件,對於中、小型應用系統是非常理想的。 除了支持標准的ANSI SQL語句外,最重要的是它還支持多種平台。在Unix/Linux系統上,MySQL支持多線程運行方式,從而能獲得相當好的性能。 PHP則秉承Linux的GNU風格,能與Linux、Apache和MySQL緊密配合。同時,PHP第四代Zend(PHP4)的核心引擎正式版已經發布,整個程序的核心得到了大幅度改進,PHP程序的執行速度變得更快。因此,PHP在最佳化之後的效率已比傳統CGI或ASP等程序有更好的表現。 采用這樣一種軟件設計體系的另一重要原因是PHP、MySQL、Apache三者都包含在Red Hat Linux中,與Windows NT和其上的SQL Server相比,能節省大筆軟件購置費用。
系統采集引擎的設計 執行采集任務的下載引擎是整個互聯網信息安全采集系統的核心,扮演著極其重要的角色,它的效率直接影響整個系統的性能。 目前,Linux平台下比較流行的下載引擎是wget,這是一個從WWW上用HTTP和FTP兩種協議方式下載文件的自由軟件。wget可以在後台根據Html的文檔結構或FTP的目錄樹,遞歸地下載文件。wget在網速比較慢或網絡連接不穩定的時候表現良好,它將不斷地重試直到完全下載或達到最大的重試次數。 它的缺點主要是沒有HASH機制,在處理大數量文件時速度大大降低;簡單的遞歸導致內存消耗較多;深度優先遞歸搜索則下載結果樹不平衡、不理想;沒有使用多Socket,使得下載效率大打折扣;當網絡速度較慢時不會及時跳出,而出現長時間等待。 針對實際應用,我們對wget算法進行修改,重寫了程序,取得了較好的效果。改進後的新wget算法由於采用多套接字、多任務並發、非阻塞式I/O、I/O多路復用方式和輪詢機制,在下載效率及內存占用等方面取得較為理想的效果。 雖然在系統初啟,建立多任務的過程中會比其它程序稍慢一些,但隨著程序的運行,在下載文件數達到十個以上時,程序的下載效率顯著提高,尤其是網絡帶寬一般或對方網絡響應速度較慢,特別是程序長時間運行時,其下載效率、內存占用、穩定性、可靠性、健壯性等方面的優勢更為明顯。
系統的工作流程 系統的工作流程簡述如下: (1)操作人員在采集管理服務器上定義若干下載任務模板; (2)采集管理服務器根據任務模板的定義,生成需要執行的采集任務隊列; (3)采集管理服務器根據指定算法,將采集任務動態均衡地分配到各個采集服務器上; (4)采集服務器接受、執行任務,並定時向中間服務器報告任務完成情況; (5)在物理隔離器的控制下,中間服務器與內部服務器斷開,與采集服務器連通,並取回采集任務結果; (6)在物理隔離器的控制下,中間服務器與采集服務器斷開,與內部服務器連通,並將采集任務結果送到內部服務器; (7)內部服務器對接收到的采集任務結果進行特定的分析再處理後,向局域網用戶提供虛擬上網的操作。 系統可以通過Web界面來定義任務模板、管理任務隊列,任務隊列的生成和分配將由系統內部調度程序自動完成,中間服務器與采集服務器、內部服務器的連通斷開時間間隔由物理隔離器來設置。
系統的安全策略 系統為用戶提供了一整套從底層操作系統到高端應用,從軟件到硬件隔離的安全防護策略。系統從硬件到軟件共以五個安全隱患為切入點,從不同層次上對內、外網信息進行了有效控制,對黑客、病毒起到了防護作用。 1.物理鏈路層安全采集(物理隔離設備) 系統對內網、外網信息的安全采集關鍵之處,就是采用了物理設備從物理鏈路層杜絕了內、外網相連的可能性,保證了資源的單向流通,從而絕對避免內網信息的洩漏。 2.操作系統級防護 系統所有功能模塊都運行於Linux操作系統之上,采用最新Linux發行版本。眾所周知,Linux作為開源系統,決無“後門”或“黑洞”隱患。同時,操作系統的進程、服務都是可控的,從而最大限度地對操作系統進行嚴格的訪問控制,防止黑客有可乘之機。 3.應用級服務控制 對於安全采集系統,其本身是一個比較專用的功能平台,所以本系統對於Linux操作系統進行了有效的定制,對於系統提供的服務做了最大程度的裁減。該定制版本對每個功能服務器都略有不同。同時,在系統通信上對每個操作系統進行了嚴格控制,屏蔽所有控制系統基本所需之外的端口和服務。 4.控制系統本身安全采集 系統一共分為三個模塊,對每個模塊的運行系統都建立了一套完整的安全監控機制。除了對系統運行數據進行有效記錄和分析之外,還對系統本身運行平台建立了一套嚴格監控技術,24小時不間斷地觀察和監控系統運行狀況,發現異常立即發出警報。 5.用戶管理 系統不僅給用戶提供了一套完整有效的底層安全策略,同時還給用戶提供了一套用戶管理機制,對用戶日常操作提供了一套有效的管理機制,建立普通用戶和超級用戶的操作行為劃分,從而對內部破壞性行為進行了有效地控制。
實際應用 本系統自2001年研制成功並投入運行以來,經過不斷地完善修改,運行穩定可靠,極大地豐富了內部局域網上的公用信息。該互聯網信息安全采集系統適用於對網絡安全要求很高的黨、政機關、部隊、團體、企事業單位等,實現在與互聯網物理隔離的情況下,局域網用戶訪問部分互聯網網站的目的。