趙 亮，徐建偉，蔡海寧，韻文剛

（中國(guó)鐵路青藏集團(tuán)有限公司信息技術(shù)所，青海 西寧 810007）

1 研究方法

1.1 應(yīng)對(duì)策略

根據(jù)青藏集團(tuán)有限公司綜合信息網(wǎng)內(nèi)網(wǎng)的現(xiàn)有網(wǎng)絡(luò)環(huán)境、終端數(shù)量及分布情況，通過(guò)結(jié)合北信源終端一體化產(chǎn)品及北信源網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)的自動(dòng)掃描、客戶端采集等措施進(jìn)行深入研究并開(kāi)發(fā)，以統(tǒng)計(jì)網(wǎng)內(nèi)的網(wǎng)絡(luò)資源占用情況，保障網(wǎng)絡(luò)安全，并協(xié)助管理員有效地分配網(wǎng)絡(luò)資源、管理網(wǎng)絡(luò)資源[1]。

將青藏集團(tuán)有限公司綜合信息網(wǎng)內(nèi)網(wǎng)的網(wǎng)絡(luò)資源分為三種狀態(tài)：未使用、已注冊(cè)使用和未注冊(cè)使用。未使用，是指該網(wǎng)絡(luò)資源未被使用，可以分配使用；已注冊(cè)使用，是指該網(wǎng)絡(luò)資源被已安裝北信源終端一體化客戶端的終端占用；未注冊(cè)使用，是指該網(wǎng)絡(luò)資源被未安裝北信源終端一體化客戶端的終端占用。

查詢每個(gè)已注冊(cè)使用的網(wǎng)絡(luò)資源用戶特征信息，例如，用戶姓名、主機(jī)名稱、IP地址、MAC地址、子網(wǎng)掩碼、默認(rèn)網(wǎng)關(guān)地址、DNS地址、操作系統(tǒng)版本、操作系統(tǒng)位數(shù)、CPU信息、內(nèi)存信息、磁盤(pán)總?cè)萘俊⒋疟P(pán)剩余容量、設(shè)備類(lèi)型、接入交換機(jī)位置、首次接入時(shí)間、最后使用時(shí)間等。

查詢每個(gè)未注冊(cè)使用網(wǎng)絡(luò)資源的終端信息，例如，設(shè)備類(lèi)型、IP地址、MAC地址、子網(wǎng)掩碼、默認(rèn)網(wǎng)關(guān)地址、DNS地址、操作系統(tǒng)、接入交換機(jī)位置、首次接入時(shí)間、最后使用時(shí)間等。

設(shè)備類(lèi)型包括：Windows服務(wù)器、Linux服務(wù)器、臺(tái)式計(jì)算機(jī)、便攜式計(jì)算機(jī)、虛擬機(jī)、網(wǎng)關(guān)、無(wú)線路由器、交換機(jī)、網(wǎng)絡(luò)攝像頭、打印機(jī)、手機(jī)、等類(lèi)型。

利用分區(qū)域網(wǎng)絡(luò)資源統(tǒng)計(jì)功能，根據(jù)系統(tǒng)創(chuàng)建的組織結(jié)構(gòu)，查詢不同部門(mén)或網(wǎng)絡(luò)段的網(wǎng)絡(luò)資源占用情況。

系統(tǒng)具備網(wǎng)絡(luò)資源分配、注冊(cè)審核、回收、管控等功能，并具有審計(jì)功能。

網(wǎng)絡(luò)資源分配：可將某一IP地址或某IP地址段永久或時(shí)段性地提供給終端使用。

注冊(cè)審核：當(dāng)新終端入網(wǎng)時(shí)，需要安裝北信源終端一體化客戶端并進(jìn)行注冊(cè)審核，符合注冊(cè)規(guī)則，方可入網(wǎng)，否則拒絕入網(wǎng)。

網(wǎng)絡(luò)資源回收：對(duì)未注冊(cè)北信源終端一體化客戶端終端使用的IP地址，以及時(shí)段性使用的IP地址和長(zhǎng)期未使用的IP地址，可進(jìn)行回收，且在未設(shè)置可使用的情況下不允許被使用。

網(wǎng)絡(luò)資源管控：無(wú)論是否注冊(cè)北信源終端一體化客戶端，都可對(duì)使用的IP地址進(jìn)行允許/禁止訪問(wèn)網(wǎng)絡(luò)資源的管控。

1.2 架構(gòu)設(shè)計(jì)

1.2.1 系統(tǒng)架構(gòu)圖（如圖1）

圖1 鐵路網(wǎng)絡(luò)資源分配動(dòng)態(tài)研究系統(tǒng)架構(gòu)圖

1.2.2 功能模塊

（1）網(wǎng)絡(luò)資源管理：系統(tǒng)具備對(duì)各部門(mén)、各網(wǎng)絡(luò)管理范圍內(nèi)的基礎(chǔ)網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行收集、修改、刪除、查詢等功能。系統(tǒng)具備多個(gè)數(shù)據(jù)源收集途徑，如：北信源終端一體化平臺(tái)提供資源數(shù)據(jù)、從現(xiàn)有數(shù)據(jù)導(dǎo)入，以及人工錄入數(shù)據(jù)。此外系統(tǒng)還具備數(shù)據(jù)合法性校驗(yàn)和數(shù)據(jù)編輯功能，避免用戶錄入時(shí)可能造成的錯(cuò)誤。系統(tǒng)具備通過(guò)區(qū)域?qū)Ш綑凇⒃O(shè)備導(dǎo)航欄、單點(diǎn)信息等圖形化的管理方式，能夠?qū)W(wǎng)絡(luò)資源的使用情況進(jìn)行查詢、修改，并與相應(yīng)設(shè)備等進(jìn)行關(guān)聯(lián)管理。

（2）綜合查詢統(tǒng)計(jì)：具備基本查詢和關(guān)聯(lián)查詢功能；系統(tǒng)具備多種查詢、統(tǒng)計(jì)方式，結(jié)合條件篩選功能，用戶可隨意對(duì)網(wǎng)絡(luò)資源的使用、占用情況進(jìn)行靈活、方便的統(tǒng)計(jì)操作，并可生成統(tǒng)計(jì)報(bào)表。此外用戶還可根據(jù)條件定義所需報(bào)表的格式及生成報(bào)表內(nèi)容，導(dǎo)出相應(yīng)的格式為Excel、HTML、PDF等報(bào)表[2]。

（3）網(wǎng)絡(luò)拓?fù)涔芾恚合到y(tǒng)具備各種豐富的圖形化展示功能，能夠形象、直觀、全面的反映網(wǎng)絡(luò)資源使用情況，具備在拓?fù)鋱D上對(duì)網(wǎng)絡(luò)資源進(jìn)行修改、鎖定、查詢等功能。

（4）系統(tǒng)接口管理：為了與其他系統(tǒng)之間進(jìn)行數(shù)據(jù)交互，系統(tǒng)具備豐富的接口，如SysLog、Kafuka、Snmp、API接口等，可以使本系統(tǒng)與其他系統(tǒng)進(jìn)行對(duì)接，如生產(chǎn)辦公系統(tǒng)、上級(jí)資源管理系統(tǒng)、態(tài)勢(shì)感知系統(tǒng)、安全運(yùn)營(yíng)系統(tǒng)等，以便于進(jìn)行綜合統(tǒng)計(jì)分析。

（5）系統(tǒng)安全運(yùn)營(yíng)管理功能：系統(tǒng)具備對(duì)本系統(tǒng)的日志管理、安全管理、數(shù)據(jù)備份/恢復(fù)管理、故障恢復(fù)、系統(tǒng)參數(shù)設(shè)置等管理功能；其中，安全管理功能可以對(duì)不同用戶角色提供不同的權(quán)限功能，保證敏感、重要數(shù)據(jù)不會(huì)被任何非授權(quán)用戶訪問(wèn)。同時(shí)結(jié)合日志管理功能對(duì)登錄用戶的注冊(cè)、重要操作行為進(jìn)行審計(jì)，在需要時(shí)可對(duì)系統(tǒng)運(yùn)行的歷史狀態(tài)進(jìn)行行為分析。此外，由于系統(tǒng)儲(chǔ)存了網(wǎng)絡(luò)內(nèi)所有資源信息，存儲(chǔ)信息的安全性極為重要，因此，系統(tǒng)還具備了定期數(shù)據(jù)自動(dòng)備份、人工備份功能，能夠在數(shù)據(jù)毀壞、丟失等情況下將備份數(shù)據(jù)進(jìn)行自動(dòng)/人工恢復(fù)，保證系統(tǒng)的正常運(yùn)行。

1.2.3 系統(tǒng)設(shè)計(jì)原則

（1）系統(tǒng)功能的可定制性及擴(kuò)展性。系統(tǒng)采用的是模塊化組件技術(shù)，可以實(shí)現(xiàn)功能的積木式疊加；具備組件管理器，管理系統(tǒng)中各功能模塊，如增加、修改、刪除、停止、重啟等功能；系統(tǒng)功能可以根據(jù)用戶使用需求進(jìn)行定制化，并且在擴(kuò)展功能模塊時(shí)，對(duì)現(xiàn)有系統(tǒng)的其他功能不會(huì)造成影響。

（2）系統(tǒng)安全可靠性。系統(tǒng)具有登錄口令檢查功能，登錄口令在系統(tǒng)數(shù)據(jù)庫(kù)中以加密形式存放；具備雙因子認(rèn)證擴(kuò)展功能；具備用戶多重權(quán)限劃分管理，以保證系統(tǒng)的安全性。同時(shí)系統(tǒng)提供全面數(shù)據(jù)備份、恢復(fù)管理功能及完善的日志管理功能。

1.3 實(shí)現(xiàn)效果

1.3.1 整體展示效果（如圖2）

（1）針對(duì)已注冊(cè)北信源終端一體化在線設(shè)備所占用的網(wǎng)絡(luò)資源（已安裝使用），如圖2中方框處標(biāo)記。

（2）針對(duì)未注冊(cè)北信源終端一體化設(shè)備所占用的網(wǎng)絡(luò)資源（未安裝未保護(hù)），并發(fā)出告警，如圖2中箭頭處標(biāo)記。

（3）針對(duì)未使用的網(wǎng)絡(luò)資源（空閑），如圖2中圓圈處標(biāo)記。

（4）針對(duì)設(shè)置保護(hù)不能被使用的網(wǎng)絡(luò)資源（被阻斷），如圖2中橢圓處標(biāo)記。

（5）針對(duì)設(shè)置白名單的網(wǎng)絡(luò)資源（未安裝已保護(hù)），如圖2中長(zhǎng)方形處標(biāo)記。

圖2 鐵路網(wǎng)絡(luò)資源分配系統(tǒng)網(wǎng)絡(luò)資源整體使用情況

1.3.2 針對(duì)已注冊(cè)北信源終端一體化設(shè)備所占用的網(wǎng)絡(luò)資源

針對(duì)已注冊(cè)北信源終端一體化設(shè)備所占用的網(wǎng)絡(luò)資源，選中每個(gè)網(wǎng)絡(luò)資源，通過(guò)北信源終端一體化客戶端獲取設(shè)備信息，都可以精確顯示該設(shè)備的用戶特征信息，包括用戶姓名、主機(jī)名稱、IP地址、MAC地址、子網(wǎng)掩碼、默認(rèn)網(wǎng)關(guān)地址、DNS地址、操作系統(tǒng)版本、操作系統(tǒng)位數(shù)、CPU信息、內(nèi)存信息、磁盤(pán)總?cè)萘俊⒋疟P(pán)剩余容量、設(shè)備類(lèi)型、接入交換機(jī)位置、首次接入時(shí)間、最后使用時(shí)間等。

1.3.3 針對(duì)未注冊(cè)北信源終端一體化設(shè)備所占用的網(wǎng)絡(luò)資源

針對(duì)未注冊(cè)北信源終端一體化設(shè)備所占用的網(wǎng)絡(luò)資源，選中每個(gè)網(wǎng)絡(luò)資源，通過(guò)北信源網(wǎng)絡(luò)接入控制系統(tǒng)獲取的設(shè)備信息，顯示該設(shè)備的用戶特征信息，包括設(shè)備類(lèi)型、IP地址、MAC地址、子網(wǎng)掩碼、默認(rèn)網(wǎng)關(guān)地址、DNS地址、操作系統(tǒng)、接入交換機(jī)位置、首次接入時(shí)間、最后使用時(shí)間等。

1.3.4 針對(duì)設(shè)置白名單的網(wǎng)絡(luò)資源

通過(guò)頁(yè)面設(shè)置，將某個(gè)網(wǎng)絡(luò)資源設(shè)置在白名單中后，占用該網(wǎng)絡(luò)資源的設(shè)備將不受北信源終端一體化系統(tǒng)及北信源網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)策略影響，可以在不注冊(cè)北信源終端一體化客戶端的情況下訪問(wèn)網(wǎng)絡(luò)資源。白名單期限可以是某段時(shí)間或永久。

1.3.5 管控流程（如圖3）

圖3 鐵路網(wǎng)絡(luò)資源分配系統(tǒng)管控流程

（1）通過(guò)結(jié)合北信源終端一體化系統(tǒng)及北信源網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)，除白名單內(nèi)的終端（未注冊(cè)已保護(hù)）所有未注冊(cè)北信源一體化終端入網(wǎng)的終端（未注冊(cè)未保護(hù)）都會(huì)被阻斷，并有提示重定向至下載注冊(cè)頁(yè)面。若不完成注冊(cè)流程，將無(wú)法訪問(wèn)網(wǎng)絡(luò)資源。

（2）注冊(cè)北信源一體化終端入網(wǎng)的終端通過(guò)人工或自動(dòng)審核流程，方可正常訪問(wèn)網(wǎng)絡(luò)資源，未通過(guò)審核的終端仍無(wú)法訪問(wèn)網(wǎng)絡(luò)資源。

（3）無(wú)論是否為注冊(cè)北信源一體化終端入網(wǎng)的終端，若其使用的網(wǎng)絡(luò)資源已被系統(tǒng)設(shè)置為保護(hù)（被阻斷），都無(wú)法訪問(wèn)網(wǎng)絡(luò)資源。

1.3.6 詳細(xì)功能說(shuō)明

1.3.6.1 IP地址規(guī)劃與綁定

首先我們需要對(duì)青藏集團(tuán)組織架構(gòu)及網(wǎng)絡(luò)資源進(jìn)行梳理，先將組織架構(gòu)及對(duì)應(yīng)的網(wǎng)絡(luò)資源進(jìn)行維護(hù)。支持導(dǎo)入、導(dǎo)出組織架構(gòu)，同時(shí)支持級(jí)聯(lián)上報(bào)至上級(jí)服務(wù)器，以及與第三方同步組織機(jī)構(gòu)。此處的操作非常關(guān)鍵，涉及后期網(wǎng)絡(luò)資源管理、維護(hù)，以及二級(jí)管理員管理的范疇等（如圖4）。

圖4 鐵路網(wǎng)絡(luò)資源分配系統(tǒng)網(wǎng)絡(luò)資源規(guī)劃與綁定

1.3.6.2 IP地址發(fā)現(xiàn)

其次我們需要開(kāi)啟IP地址發(fā)現(xiàn)中的“注冊(cè)審核功能”，選擇審核的規(guī)則，如不允許重復(fù)IP地址注冊(cè)、終端IP地址與勾選的組織機(jī)構(gòu)匹配認(rèn)證，可同時(shí)選擇，然后選擇不符合規(guī)則處置方式，如禁止安裝、警告并重新選擇組織架構(gòu)、安裝后阻斷網(wǎng)絡(luò)通信、轉(zhuǎn)人工審核。設(shè)置后系統(tǒng)會(huì)根據(jù)終端注冊(cè)情況自動(dòng)審核。若勾選注冊(cè)審核后，無(wú)論是否匹配規(guī)則，都會(huì)安裝后阻斷網(wǎng)絡(luò)通信，而轉(zhuǎn)至人工審核。

1.3.6.3 IP地址發(fā)現(xiàn)

最后我們還需要在IP地址發(fā)現(xiàn)中開(kāi)啟未注冊(cè)設(shè)備掃描，進(jìn)行對(duì)網(wǎng)內(nèi)未注冊(cè)北信源終端一體化終端的網(wǎng)絡(luò)資源進(jìn)行掃描，以對(duì)其進(jìn)行管理（如圖5）。

圖5 鐵路網(wǎng)絡(luò)資源分配系統(tǒng)網(wǎng)絡(luò)資源掃描功能

1.3.6.4 IP地址查詢

當(dāng)完成上述3步后，系統(tǒng)就會(huì)根據(jù)網(wǎng)內(nèi)網(wǎng)絡(luò)資源注冊(cè)使用情況進(jìn)行匯總并整理，我們可以根據(jù)選擇組織架構(gòu)或IP地址管理范圍對(duì)對(duì)應(yīng)的IP地址段進(jìn)行查詢，可查詢對(duì)應(yīng)組織架構(gòu)或IP地址管理范圍中的任意C類(lèi)IP地址段使用情況。包含已安裝使用、未安裝未保護(hù)、未安裝已保護(hù)、空閑、被阻斷IP地址（如圖6）。

圖6 鐵路網(wǎng)絡(luò)資源分配系統(tǒng)網(wǎng)絡(luò)資源整體使用情況

可對(duì)二級(jí)管理員先行設(shè)置管理范圍，管理范圍權(quán)限為系統(tǒng)管理員＞二級(jí)管理員。系統(tǒng)管理員可查詢系統(tǒng)內(nèi)所有組織架構(gòu)及所有IP地址管理范圍內(nèi)的網(wǎng)絡(luò)資源使用情況，二級(jí)管理員僅能查詢系統(tǒng)管理員對(duì)其設(shè)定的組織架構(gòu)及IP地址管理范圍。

1.3.6.5 網(wǎng)絡(luò)資源使用者情況查詢

針對(duì)已注冊(cè)北信源終端一體化設(shè)備所占用的網(wǎng)絡(luò)資源，選中每個(gè)網(wǎng)絡(luò)資源，通過(guò)北信源終端一體化客戶端獲取設(shè)備信息，都可以精確顯示該設(shè)備的用戶特征信息，包括用戶姓名、主機(jī)名稱、IP地址、MAC地址、子網(wǎng)掩碼、默認(rèn)網(wǎng)關(guān)地址、DNS地址、操作系統(tǒng)版本、操作系統(tǒng)位數(shù)、CPU信息、內(nèi)存信息、磁盤(pán)總?cè)萘?、磁盤(pán)剩余容量、設(shè)備類(lèi)型、接入交換機(jī)位置、首次接入時(shí)間、最后使用時(shí)間等。

針對(duì)未注冊(cè)北信源終端一體化設(shè)備所占用的網(wǎng)絡(luò)資源，選中每個(gè)網(wǎng)絡(luò)資源，通過(guò)北信源網(wǎng)絡(luò)接入控制系統(tǒng)獲取的設(shè)備信息，顯示該設(shè)備的用戶特征信息，包括設(shè)備類(lèi)型、IP地址、MAC地址、子網(wǎng)掩碼、默認(rèn)網(wǎng)關(guān)地址、DNS地址、操作系統(tǒng)、接入交換機(jī)位置、首次接入時(shí)間、最后使用時(shí)間等。

通過(guò)頁(yè)面設(shè)置，將某個(gè)網(wǎng)絡(luò)資源設(shè)置在白名單中后，占用該網(wǎng)絡(luò)資源的設(shè)備將不受北信源終端一體化系統(tǒng)及北信源網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)策略影響，可以在不注冊(cè)北信源終端一體化客戶端的情況下訪問(wèn)網(wǎng)絡(luò)資源。白名單期限可以是某段時(shí)間或永久。

2 應(yīng)用效果

（1）通過(guò)結(jié)合北信源終端一體化系統(tǒng)及北信源網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)，對(duì)青藏集團(tuán)綜合信息網(wǎng)內(nèi)網(wǎng)內(nèi)終端進(jìn)行掃描，將已注冊(cè)北信源終端一體化客戶端占用的網(wǎng)絡(luò)資源分已安裝使用標(biāo)示；將未注冊(cè)北信源終端一體化客戶端占用的網(wǎng)絡(luò)資源用“未安裝未保護(hù)”標(biāo)示；將未使用的網(wǎng)絡(luò)資源用“空閑”標(biāo)示；將設(shè)置保護(hù)的網(wǎng)絡(luò)資源用“被阻斷”標(biāo)示；將設(shè)置成白名單的網(wǎng)絡(luò)資源用“未安裝已保護(hù)”標(biāo)示。

（2）通過(guò)對(duì)網(wǎng)絡(luò)實(shí)施監(jiān)控，能夠及時(shí)發(fā)現(xiàn)非法終端即未注冊(cè)北信源終端一體化終端入網(wǎng)情況（未安裝未保護(hù)），從而有效地管控網(wǎng)內(nèi)終端訪問(wèn)網(wǎng)絡(luò)資源情況，防止網(wǎng)絡(luò)入侵。

（3）通過(guò)對(duì)網(wǎng)內(nèi)網(wǎng)絡(luò)資源設(shè)置保護(hù)，有效地阻止網(wǎng)絡(luò)資源被終端隨意占用，保留網(wǎng)絡(luò)資源給更重要的設(shè)備使用。

（4）通過(guò)對(duì)網(wǎng)內(nèi)網(wǎng)絡(luò)資源設(shè)置白名單，有效地允許網(wǎng)內(nèi)臨時(shí)設(shè)備或重要終端或無(wú)法注冊(cè)北信源終端一體化客戶端的終端訪問(wèn)網(wǎng)絡(luò)資源，提高網(wǎng)內(nèi)容錯(cuò)。

（5）通過(guò)結(jié)合北信源終端一體化系統(tǒng)，開(kāi)啟預(yù)注冊(cè)審核，新入網(wǎng)終端在注冊(cè)北信源終端一體化客戶端時(shí)，被要求核實(shí)注冊(cè)信息，從而避免注冊(cè)信息混亂或他人冒充注冊(cè)。

（6）所有頁(yè)面生成的注冊(cè)信息及審計(jì)信息都可導(dǎo)出成報(bào)表。

3 結(jié)束語(yǔ)

結(jié)合實(shí)際，完成青藏集團(tuán)公司網(wǎng)絡(luò)資源監(jiān)控系統(tǒng)架的設(shè)計(jì)與開(kāi)發(fā)，彌補(bǔ)了青藏集團(tuán)公司網(wǎng)絡(luò)資源監(jiān)控的不足。能夠?qū)崿F(xiàn)與實(shí)際應(yīng)用系統(tǒng)的有機(jī)結(jié)合，符合實(shí)際需求，注重監(jiān)控項(xiàng)的可定制能力和監(jiān)控層次的可定制能力。下一步的工作是對(duì)監(jiān)控系統(tǒng)的專(zhuān)家知識(shí)庫(kù)功能擴(kuò)展，輔助完成網(wǎng)絡(luò)資源系統(tǒng)故障處理。■