楊愷琪 卿錫科

無錫博雅凱勝科技有限公司 江蘇 214028

0 引言

隨著企業(yè)信息化的推進(jìn)，很多企業(yè)的終端數(shù)量越來越多，這些企業(yè)一般都已經(jīng)建立了防火墻和防病毒體系，有效地防止了來自外網(wǎng)的安全威脅。但是對(duì)于來自企業(yè)內(nèi)部的網(wǎng)絡(luò)安全問題，卻遠(yuǎn)遠(yuǎn)超出了防毒軟件或防火墻的功能范圍。內(nèi)網(wǎng)是網(wǎng)絡(luò)應(yīng)用中的一個(gè)主要組成部分，其安全問題和日常維護(hù)管理問題日益突出。

1 系統(tǒng)總體目標(biāo)

針對(duì)目前大部分企業(yè)網(wǎng)絡(luò)和終端設(shè)備包含的以上問題，結(jié)合網(wǎng)絡(luò)管理部門對(duì)將來網(wǎng)絡(luò)和終端管理的需求，可以概括出IT資源管理系統(tǒng)需要實(shí)現(xiàn)以下目標(biāo)：

(1) 實(shí)現(xiàn)網(wǎng)絡(luò)IP地址的安全管理；

(2) 實(shí)現(xiàn)IT資產(chǎn)的自動(dòng)管理；

(3) 可基于VLAN管理；

(4) 實(shí)現(xiàn)軟件的集中分發(fā)及遠(yuǎn)程桌面維護(hù)；

(5) 實(shí)現(xiàn)網(wǎng)絡(luò)的在線監(jiān)控等功能；

(6) 采用先進(jìn)技術(shù)，提高系統(tǒng)的可靠性、穩(wěn)定性、靈活性和可擴(kuò)展性；

(7) 采用數(shù)據(jù)庫(kù)技術(shù)進(jìn)行數(shù)據(jù)挖掘，實(shí)現(xiàn)統(tǒng)計(jì)分析和決策支持。

2 系統(tǒng)框架(圖1)

2.1 內(nèi)網(wǎng)安全

2.1.1 IP地址安全管理

防火墻與代理服務(wù)器相結(jié)合，更能較好地解決IP地址盜用問題，防火墻用來隔離內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)，用戶訪問外部網(wǎng)絡(luò)通過代理服務(wù)器進(jìn)行。使用這樣的辦法是將IP防盜放到應(yīng)用層來解決，變IP管理為用戶身份和口令的管理，因?yàn)橛脩魧?duì)于網(wǎng)絡(luò)的使用歸根結(jié)底是要使用網(wǎng)絡(luò)進(jìn)入因特網(wǎng)。這樣實(shí)現(xiàn)的好處是，盜用IP地址只能在子網(wǎng)內(nèi)使用，失去盜用的意義；合法用戶可以選擇任意一臺(tái)IP主機(jī)使用，通過代理服務(wù)器訪問外部網(wǎng)絡(luò)資源，而無權(quán)用戶即使盜用IP，也沒有身份和密碼，不能使用外部網(wǎng)絡(luò)。

圖1 系統(tǒng)框架圖

此外，還可以：

(1) 通過實(shí)時(shí)主動(dòng)掃描、監(jiān)測(cè)局域網(wǎng)內(nèi)計(jì)算機(jī)的IP地址、MAC地址信息；

(2) 根據(jù)設(shè)定的合法判斷條件(由管理員定制)判斷 IP地址、MAC地址是否非法；

(3) 阻止非法計(jì)算機(jī)接入局域網(wǎng)，內(nèi)網(wǎng)管理模塊能夠自動(dòng)掃描檢測(cè)非本單位機(jī)器接入內(nèi)網(wǎng)，一旦陌生主機(jī)接入的內(nèi)網(wǎng)就會(huì)實(shí)時(shí)報(bào)警、實(shí)時(shí)記錄；提供非法接入計(jì)算機(jī)的報(bào)告給服務(wù)器端，幫助管理員分析定位。

2.1.2 程序運(yùn)行管理

網(wǎng)絡(luò)應(yīng)用中，有些程序?qū)W(wǎng)絡(luò)性能或者計(jì)算機(jī)構(gòu)成危害或影響，比如BT軟件、網(wǎng)絡(luò)流氓軟件等，IT資源管理軟件可實(shí)時(shí)禁止指定的計(jì)算機(jī)運(yùn)行指定的程序，也可事先指定禁止運(yùn)行的程序，生成黑名單，下發(fā)到相應(yīng)的計(jì)算機(jī)，禁止這些計(jì)算機(jī)運(yùn)行該程序。

2.1.3 上網(wǎng)行為管理

實(shí)時(shí)在線監(jiān)控網(wǎng)頁(yè)瀏覽，記錄客戶端上網(wǎng)歷史行為，并可實(shí)時(shí)禁止登錄指定的網(wǎng)站?？墒孪戎付ń沟卿浀木W(wǎng)站，生成黑名單，下發(fā)到相應(yīng)的計(jì)算機(jī)，禁止這些計(jì)算機(jī)登錄該網(wǎng)站。

2.1.4 非法外聯(lián)管理

企業(yè)內(nèi)部員工有時(shí)可能會(huì)圖一時(shí)方便，繞過公司防火墻的限制，利用辦公電話私自撥號(hào)上網(wǎng)，或者通過雙網(wǎng)卡、代理服務(wù)器等多種方式接入外部網(wǎng)絡(luò)。這就對(duì)內(nèi)部網(wǎng)絡(luò)造成了安全隱患。

IT資源管理系統(tǒng)可以通過對(duì)內(nèi)網(wǎng)的掃描檢測(cè)，在任何時(shí)間、任意地點(diǎn)、不論是任何人一旦發(fā)生未經(jīng)允許的撥號(hào)和非法外聯(lián)事件，都可以在監(jiān)視端報(bào)警，并實(shí)時(shí)記錄違規(guī)PC機(jī)的部門名稱、撥號(hào)主機(jī)IP、MAC、主機(jī)名、用戶名、撥號(hào)起始時(shí)間、結(jié)束時(shí)間等信息，從而實(shí)現(xiàn)對(duì)撥號(hào)和非法外聯(lián)行為的日常防范和監(jiān)控，杜絕未經(jīng)允許的撥號(hào)和非法外聯(lián)行為的發(fā)生。

2.1.5 硬件禁用管理

通過IT資源管理系統(tǒng)的計(jì)算機(jī)設(shè)備管理功能，可設(shè)定指定的計(jì)算機(jī)禁止使用USB、光驅(qū)、軟驅(qū)、串口、并口等外設(shè)端口，保證單位機(jī)密資料不外泄。

2.1.6 客戶端系統(tǒng)進(jìn)程管理

在實(shí)際應(yīng)用中，經(jīng)常發(fā)生客戶端有可疑進(jìn)程運(yùn)行，導(dǎo)致PC終端資源耗盡、網(wǎng)絡(luò)堵塞等現(xiàn)象，通過對(duì)客戶端的系統(tǒng)進(jìn)程進(jìn)行遠(yuǎn)程管理，可以觀測(cè)客戶端當(dāng)前進(jìn)程信息、當(dāng)前性能數(shù)據(jù)信息等，并可以停止終端可疑進(jìn)程的運(yùn)行，以保證 PC機(jī)和網(wǎng)絡(luò)的運(yùn)行安全。

2.2 IT資產(chǎn)管理

2.2.1 資產(chǎn)發(fā)現(xiàn)和識(shí)別

資產(chǎn)發(fā)現(xiàn)和識(shí)別模塊能夠通過自動(dòng)發(fā)現(xiàn)技術(shù)，實(shí)時(shí)在線管理IT軟硬件資產(chǎn)，并細(xì)化到部門、個(gè)人，提供資產(chǎn)生命周期管理，提供接口與企業(yè)人力資源、采購(gòu)庫(kù)存系統(tǒng)相連。

在需要納入管理的終端安裝客戶端軟件，并且提交注冊(cè)幫助信息，服務(wù)器端接收到客戶端相關(guān)信息后，系統(tǒng)管理員對(duì)信息進(jìn)行確認(rèn)，并把計(jì)算機(jī)歸屬于部門和用戶人員，此時(shí)該計(jì)算機(jī)被認(rèn)為是被合法管理的計(jì)算機(jī)。

資產(chǎn)發(fā)現(xiàn)和識(shí)別歸類的流程圖如圖2所示。

圖2 資源發(fā)現(xiàn)和識(shí)別歸類的流程圖

資產(chǎn)管理模塊可以實(shí)現(xiàn)對(duì)客戶端的軟硬件配置信息(如cpu，主板，內(nèi)存，顯卡，聲卡，硬盤，操作系統(tǒng)，瀏覽器，office，郵件系統(tǒng)，防病毒系統(tǒng)，各種業(yè)務(wù)應(yīng)用系統(tǒng)等)、外設(shè)信息的自動(dòng)掃描、采集和識(shí)別，記錄在數(shù)據(jù)庫(kù)中，并按照部門或者組織機(jī)構(gòu)進(jìn)行管理，可以對(duì)資產(chǎn)進(jìn)行數(shù)據(jù)分析，生成各類圖表。

2.2.2 資產(chǎn)變更偵測(cè)

各類IT設(shè)備，包括網(wǎng)絡(luò)設(shè)備、PC機(jī)、外設(shè)等，都屬于單位的固定資產(chǎn)，由于公司網(wǎng)絡(luò)和終端數(shù)量眾多，因此，經(jīng)常會(huì)發(fā)生由于工作需要或者自行進(jìn)行的設(shè)備調(diào)整，例如：把某一終端的顯示器調(diào)換到了其它部門；把某一終端的打印機(jī)調(diào)換到了其它PC機(jī)上…，某機(jī)器的內(nèi)存進(jìn)行升級(jí)或者由于種種原因被減少了，等等，而這些變化有可能未被記錄在案或者未能及時(shí)通知到相關(guān)管理部門，給定期盤點(diǎn)和資產(chǎn)管理帶來了很大的麻煩，因此，IT資源管理系統(tǒng)提供資產(chǎn)調(diào)整和異動(dòng)的自動(dòng)偵測(cè)功能，實(shí)時(shí)分析資產(chǎn)信息，發(fā)現(xiàn)信息變化，避免資產(chǎn)的流失當(dāng)資產(chǎn)發(fā)生變更時(shí)，將自動(dòng)進(jìn)行記錄，給管理人員發(fā)出提示和警告信息。

資產(chǎn)變更模塊不僅僅能夠發(fā)現(xiàn)硬件的變更信息，還能實(shí)時(shí)發(fā)現(xiàn)客戶端的軟件變更信息，例如，病毒庫(kù)是否升級(jí)到位，操作系統(tǒng)補(bǔ)丁是否及時(shí)更新，應(yīng)用軟件是否進(jìn)行版本升級(jí)等，這些軟件偵測(cè)功能對(duì)于保證客戶端軟件平臺(tái)的有效運(yùn)行起到了很好的保障作用。

2.3 軟件分發(fā)

2.3.1 操作系統(tǒng)補(bǔ)丁分發(fā)

Windows操作系統(tǒng)經(jīng)常有易被攻擊的漏洞發(fā)現(xiàn)，這些漏洞造成系統(tǒng)的安全隱患，Microsoft不斷提供系統(tǒng)補(bǔ)丁，因此需要用戶不斷進(jìn)行補(bǔ)丁升級(jí)，以保證系統(tǒng)安全性。IT資源管理系統(tǒng)提供補(bǔ)丁自動(dòng)分發(fā)升級(jí)功能，可以通過服務(wù)器端將系統(tǒng)補(bǔ)丁加載到網(wǎng)絡(luò)上的所有用戶端機(jī)器。此外，IT資源管理系統(tǒng)還提供IE補(bǔ)丁升級(jí)、Office補(bǔ)丁升級(jí)、郵件系統(tǒng)補(bǔ)丁升級(jí)等各種相關(guān)的系統(tǒng)更新服務(wù)。

2.3.2 病毒庫(kù)升級(jí)

根據(jù)客戶端所安裝的操作系統(tǒng)，殺毒軟件自動(dòng)升級(jí)相應(yīng)的補(bǔ)丁、文件，并提供進(jìn)度反饋，實(shí)時(shí)跟蹤升級(jí)補(bǔ)丁包的分發(fā)進(jìn)程，是否分發(fā)到位。

2.3.3 應(yīng)用軟件分發(fā)

利用應(yīng)用軟件分發(fā)，IT管理維護(hù)人員可將企業(yè)自行開發(fā)的應(yīng)用軟件系統(tǒng)集中分發(fā)軟件到遠(yuǎn)程辦公地點(diǎn)的工作站。軟件分發(fā)模塊還能夠自動(dòng)跟蹤監(jiān)測(cè)軟件分發(fā)和安裝過程中的狀態(tài)信息，了解分發(fā)的進(jìn)度，以確保軟件分發(fā)作業(yè)的正常完成。該模塊可根據(jù)網(wǎng)絡(luò)帶寬控制分發(fā)時(shí)占用帶寬比例，不影響其他網(wǎng)絡(luò)應(yīng)用。

此外，IT管理維護(hù)人員可根據(jù)部門或辦公地點(diǎn)等對(duì)被分發(fā)的客戶機(jī)進(jìn)行分組，實(shí)現(xiàn)基于客戶機(jī)組的軟件定時(shí)分發(fā)。

2.4 遠(yuǎn)程桌面

用戶可以根據(jù)自己的需要，定義本地機(jī)器的接管權(quán)限，可以是遠(yuǎn)程完全接管，也可以是監(jiān)控模式，并且在遠(yuǎn)程控制中，增強(qiáng)了安全性能，使得監(jiān)控?cái)?shù)據(jù)在網(wǎng)絡(luò)上傳輸時(shí)不會(huì)被監(jiān)聽。

2.5 網(wǎng)絡(luò)監(jiān)控

2.5.1 網(wǎng)絡(luò)流量監(jiān)控

流量管理模塊能夠?qū)崟r(shí)掃描出入網(wǎng)絡(luò)的設(shè)備、終端主機(jī)、掃描出入網(wǎng)絡(luò)的字節(jié)數(shù)和網(wǎng)絡(luò)流量、描繪網(wǎng)絡(luò)聯(lián)接狀況和運(yùn)行狀況，為網(wǎng)絡(luò)管理提供直觀有效的數(shù)據(jù)和視圖。該模塊支持目前主流的各種類型交換機(jī)、路由器等網(wǎng)絡(luò)設(shè)備，并可以自動(dòng)識(shí)別。

端口流量監(jiān)測(cè)包括：

(1) 通過設(shè)置閾值對(duì)異常流量進(jìn)行報(bào)警；

(2) 支持彈出式報(bào)警和聲音報(bào)警；

(3) 能夠端口流量異常自動(dòng)阻斷；

(4) 允許基于交換機(jī)的流量異常阻斷策略設(shè)定；

(5) 支持基于交換機(jī)端口的流量異常阻斷策略；

(6) 實(shí)時(shí)反映網(wǎng)絡(luò)內(nèi)PC流量。

2.5.2 網(wǎng)絡(luò)端口監(jiān)控

通過該功能模塊可以對(duì)客戶端訪問內(nèi)網(wǎng)和外網(wǎng)端口進(jìn)行設(shè)置，控制客戶端各類服務(wù)端口，并可按不同協(xié)議限制使用，如 HTTP、FTP、POP3、SMTP等，做到客戶端在可控狀態(tài)下訪問Internet，確保網(wǎng)絡(luò)安全。功能包括：

(1) 源訪問地址可自由設(shè)定(內(nèi)網(wǎng)和外網(wǎng))；

(2) 客戶端可分組指定策略；

(3) 可以將策略進(jìn)行組合；

(4) 策略動(dòng)態(tài)部署。

2.5.3 網(wǎng)絡(luò)用戶監(jiān)控

網(wǎng)絡(luò)用戶監(jiān)控模塊能夠?qū)⒕W(wǎng)絡(luò)中的終端用戶、主機(jī)、主機(jī)接入端口和網(wǎng)絡(luò)設(shè)備進(jìn)行四位一體的對(duì)應(yīng)，記錄其中任何一項(xiàng)因素的變化，為網(wǎng)絡(luò)計(jì)算機(jī)戶籍式管理提供了較完善的技術(shù)實(shí)現(xiàn)。

該模塊可以根據(jù)管理策略實(shí)現(xiàn)對(duì)終端機(jī)器操作系統(tǒng)賬戶的監(jiān)控，并實(shí)時(shí)更新系統(tǒng)賬戶信息，便于管理員實(shí)時(shí)發(fā)現(xiàn)該機(jī)器上的系統(tǒng)賬戶的增加、刪除、修改等情況。

可以根據(jù)管理策略實(shí)現(xiàn)對(duì)終端機(jī)器操作系統(tǒng)系統(tǒng)日志的監(jiān)控，并實(shí)時(shí)更新這些信息，便于管理掌握終端機(jī)器的運(yùn)行狀態(tài)等情況。

2.5.4 網(wǎng)絡(luò)安全監(jiān)控

能夠?qū)Χ喾N安全應(yīng)用系統(tǒng)(例如：防火墻、入侵檢測(cè)等)出現(xiàn)的事件日志進(jìn)行協(xié)同查證，提供 MAC、IP的查詢和端口定位，找到出事的終端主機(jī)，從而發(fā)現(xiàn)內(nèi)部人員的違規(guī)痕跡。

能夠?qū)Χ喾N網(wǎng)絡(luò)違規(guī)事件提供報(bào)警：如私自修改IP、陌生筆記本接入、偽造 MAC、私自調(diào)換交換機(jī)端口、偷偷增加終端主機(jī)和違規(guī)接Hub等，從技術(shù)上管理和防范內(nèi)網(wǎng)的網(wǎng)絡(luò)違規(guī)行為。

可以遠(yuǎn)程集中設(shè)定網(wǎng)絡(luò)內(nèi)各終端代理服務(wù)器配置、代理地址和端口等。并可以對(duì)終端的代理服務(wù)器配置進(jìn)行鎖定。在鎖定策略下，終端不能隨便更改其代理服務(wù)器配置，一旦更改，系統(tǒng)會(huì)將其自動(dòng)恢復(fù)到管理端已鎖定的配置。

可以遠(yuǎn)程集中設(shè)定網(wǎng)絡(luò)內(nèi)各終端的網(wǎng)絡(luò)連接屬性，包括IP地址、子網(wǎng)掩碼、默認(rèn)網(wǎng)關(guān)、DNS、DHCP等，并可以對(duì)終端的網(wǎng)絡(luò)連接屬性進(jìn)行鎖定。在鎖定策略下，終端不能隨便更改其網(wǎng)絡(luò)連接屬性，一旦更改，系統(tǒng)會(huì)將其自動(dòng)恢復(fù)到管理端已鎖定的配置。

3 關(guān)鍵技術(shù)

由于采用了Socket復(fù)用的消息中間件(MOM)，可以減少使用的TCP連接數(shù)量，便于防火墻管理。利用動(dòng)態(tài)模塊管理的LIDP協(xié)議，桌面助手與服務(wù)器間的通訊占網(wǎng)絡(luò)帶寬在百分之一的量級(jí)。

客戶端與服務(wù)器的底層通訊協(xié)議是自主知識(shí)產(chǎn)權(quán)的消息中間件 MOM(SCK)，可透明使用多種安全協(xié)議通信，如SSL，既保證了跨局域網(wǎng)的數(shù)據(jù)通訊安全，又提供開放的接口支持企業(yè)應(yīng)用第三方加密軟件。SCK使用標(biāo)準(zhǔn) C語(yǔ)言開發(fā)，便于跨平臺(tái)移植，目前可以支持微軟的主流操作系統(tǒng)、Linux和開放式UNIX平臺(tái)。

其次，采用輕量級(jí)信息發(fā)現(xiàn)協(xié)議(LIDP)，使系統(tǒng)具有很好的擴(kuò)展能力，可以在以后的發(fā)展中兼容 MIB等標(biāo)準(zhǔn)的定義；使用XML格式語(yǔ)言定義，支持跨平臺(tái)以及設(shè)備無關(guān)性；實(shí)現(xiàn)了信息項(xiàng)定義與信息項(xiàng)實(shí)現(xiàn)方法的無關(guān)性，與平臺(tái)設(shè)備有關(guān)的部分；封裝到實(shí)現(xiàn)信息項(xiàng)的模塊內(nèi)部來定義(如圖3)。

4 結(jié)論

通過基于分布式計(jì)算的IT管理系統(tǒng)，可以有效解決企業(yè)的內(nèi)部網(wǎng)絡(luò)安全問題，降低日常維護(hù)量、并且實(shí)現(xiàn)對(duì)IT資產(chǎn)的有效管理。

圖3 LIDP與MOM

[1] 呂鋟.局域網(wǎng)實(shí)時(shí)監(jiān)控系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn).國(guó)防科技大學(xué)學(xué)報(bào).2007.

[2] 秦建.Linux下的 Tcp/Ip代碼解析.北京航空航天大學(xué)出版社.2004.

[3] 張立.輕量級(jí) tcp/ip協(xié)議中安全技術(shù)研究.國(guó)防科技大學(xué)學(xué)報(bào).2008.