青藏集团公司铁路网络资源分配动态研究

赵 亮，徐建伟，蔡海宁，韵文刚

（中国铁路青藏集团有限公司信息技术所，青海 西宁 810007）

1 研究方法

1.1 应对策略

根据青藏集团有限公司综合信息网内网的现有网络环境、终端数量及分布情况，通过结合北信源终端一体化产品及北信源网络准入控制系统的自动扫描、客户端采集等措施进行深入研究并开发，以统计网内的网络资源占用情况，保障网络安全，并协助管理员有效地分配网络资源、管理网络资源[1]。

将青藏集团有限公司综合信息网内网的网络资源分为三种状态：未使用、已注册使用和未注册使用。未使用，是指该网络资源未被使用，可以分配使用；已注册使用，是指该网络资源被已安装北信源终端一体化客户端的终端占用；未注册使用，是指该网络资源被未安装北信源终端一体化客户端的终端占用。

查询每个已注册使用的网络资源用户特征信息，例如，用户姓名、主机名称、IP地址、MAC地址、子网掩码、默认网关地址、DNS地址、操作系统版本、操作系统位数、CPU信息、内存信息、磁盘总容量、磁盘剩余容量、设备类型、接入交换机位置、首次接入时间、最后使用时间等。

查询每个未注册使用网络资源的终端信息，例如，设备类型、IP地址、MAC地址、子网掩码、默认网关地址、DNS地址、操作系统、接入交换机位置、首次接入时间、最后使用时间等。

设备类型包括：Windows服务器、Linux服务器、台式计算机、便携式计算机、虚拟机、网关、无线路由器、交换机、网络摄像头、打印机、手机、等类型。

利用分区域网络资源统计功能，根据系统创建的组织结构，查询不同部门或网络段的网络资源占用情况。

系统具备网络资源分配、注册审核、回收、管控等功能，并具有审计功能。

网络资源分配：可将某一IP地址或某IP地址段永久或时段性地提供给终端使用。

注册审核：当新终端入网时，需要安装北信源终端一体化客户端并进行注册审核，符合注册规则，方可入网，否则拒绝入网。

网络资源回收：对未注册北信源终端一体化客户端终端使用的IP地址，以及时段性使用的IP地址和长期未使用的IP地址，可进行回收，且在未设置可使用的情况下不允许被使用。

网络资源管控：无论是否注册北信源终端一体化客户端，都可对使用的IP地址进行允许/禁止访问网络资源的管控。

1.2 架构设计

1.2.1 系统架构图（如图1）

图1 铁路网络资源分配动态研究系统架构图

1.2.2 功能模块

（1）网络资源管理：系统具备对各部门、各网络管理范围内的基础网络数据进行收集、修改、删除、查询等功能。系统具备多个数据源收集途径，如：北信源终端一体化平台提供资源数据、从现有数据导入，以及人工录入数据。此外系统还具备数据合法性校验和数据编辑功能，避免用户录入时可能造成的错误。系统具备通过区域导航栏、设备导航栏、单点信息等图形化的管理方式，能够对网络资源的使用情况进行查询、修改，并与相应设备等进行关联管理。

（2）综合查询统计：具备基本查询和关联查询功能；系统具备多种查询、统计方式，结合条件筛选功能，用户可随意对网络资源的使用、占用情况进行灵活、方便的统计操作，并可生成统计报表。此外用户还可根据条件定义所需报表的格式及生成报表内容，导出相应的格式为Excel、HTML、PDF等报表[2]。

（3）网络拓扑管理：系统具备各种丰富的图形化展示功能，能够形象、直观、全面的反映网络资源使用情况，具备在拓扑图上对网络资源进行修改、锁定、查询等功能。

（4）系统接口管理：为了与其他系统之间进行数据交互，系统具备丰富的接口，如SysLog、Kafuka、Snmp、API接口等，可以使本系统与其他系统进行对接，如生产办公系统、上级资源管理系统、态势感知系统、安全运营系统等，以便于进行综合统计分析。

（5）系统安全运营管理功能：系统具备对本系统的日志管理、安全管理、数据备份/恢复管理、故障恢复、系统参数设置等管理功能；其中，安全管理功能可以对不同用户角色提供不同的权限功能，保证敏感、重要数据不会被任何非授权用户访问。同时结合日志管理功能对登录用户的注册、重要操作行为进行审计，在需要时可对系统运行的历史状态进行行为分析。此外，由于系统储存了网络内所有资源信息，存储信息的安全性极为重要，因此，系统还具备了定期数据自动备份、人工备份功能，能够在数据毁坏、丢失等情况下将备份数据进行自动/人工恢复，保证系统的正常运行。

1.2.3 系统设计原则

（1）系统功能的可定制性及扩展性。系统采用的是模块化组件技术，可以实现功能的积木式叠加；具备组件管理器，管理系统中各功能模块，如增加、修改、删除、停止、重启等功能；系统功能可以根据用户使用需求进行定制化，并且在扩展功能模块时，对现有系统的其他功能不会造成影响。

（2）系统安全可靠性。系统具有登录口令检查功能，登录口令在系统数据库中以加密形式存放；具备双因子认证扩展功能；具备用户多重权限划分管理，以保证系统的安全性。同时系统提供全面数据备份、恢复管理功能及完善的日志管理功能。

1.3 实现效果

1.3.1 整体展示效果（如图2）

（1）针对已注册北信源终端一体化在线设备所占用的网络资源（已安装使用），如图2中方框处标记。

（2）针对未注册北信源终端一体化设备所占用的网络资源（未安装未保护），并发出告警，如图2中箭头处标记。

（3）针对未使用的网络资源（空闲），如图2中圆圈处标记。

（4）针对设置保护不能被使用的网络资源（被阻断），如图2中椭圆处标记。

（5）针对设置白名单的网络资源（未安装已保护），如图2中长方形处标记。

图2 铁路网络资源分配系统网络资源整体使用情况

1.3.2 针对已注册北信源终端一体化设备所占用的网络资源

针对已注册北信源终端一体化设备所占用的网络资源，选中每个网络资源，通过北信源终端一体化客户端获取设备信息，都可以精确显示该设备的用户特征信息，包括用户姓名、主机名称、IP地址、MAC地址、子网掩码、默认网关地址、DNS地址、操作系统版本、操作系统位数、CPU信息、内存信息、磁盘总容量、磁盘剩余容量、设备类型、接入交换机位置、首次接入时间、最后使用时间等。

1.3.3 针对未注册北信源终端一体化设备所占用的网络资源

针对未注册北信源终端一体化设备所占用的网络资源，选中每个网络资源，通过北信源网络接入控制系统获取的设备信息，显示该设备的用户特征信息，包括设备类型、IP地址、MAC地址、子网掩码、默认网关地址、DNS地址、操作系统、接入交换机位置、首次接入时间、最后使用时间等。

1.3.4 针对设置白名单的网络资源

通过页面设置，将某个网络资源设置在白名单中后，占用该网络资源的设备将不受北信源终端一体化系统及北信源网络准入控制系统策略影响，可以在不注册北信源终端一体化客户端的情况下访问网络资源。白名单期限可以是某段时间或永久。

1.3.5 管控流程（如图3）

图3 铁路网络资源分配系统管控流程

（1）通过结合北信源终端一体化系统及北信源网络准入控制系统，除白名单内的终端（未注册已保护）所有未注册北信源一体化终端入网的终端（未注册未保护）都会被阻断，并有提示重定向至下载注册页面。若不完成注册流程，将无法访问网络资源。

（2）注册北信源一体化终端入网的终端通过人工或自动审核流程，方可正常访问网络资源，未通过审核的终端仍无法访问网络资源。

（3）无论是否为注册北信源一体化终端入网的终端，若其使用的网络资源已被系统设置为保护（被阻断），都无法访问网络资源。

1.3.6 详细功能说明

1.3.6.1 IP地址规划与绑定

首先我们需要对青藏集团组织架构及网络资源进行梳理，先将组织架构及对应的网络资源进行维护。支持导入、导出组织架构，同时支持级联上报至上级服务器，以及与第三方同步组织机构。此处的操作非常关键，涉及后期网络资源管理、维护，以及二级管理员管理的范畴等（如图4）。

图4 铁路网络资源分配系统网络资源规划与绑定

1.3.6.2 IP地址发现

其次我们需要开启IP地址发现中的“注册审核功能”，选择审核的规则，如不允许重复IP地址注册、终端IP地址与勾选的组织机构匹配认证，可同时选择，然后选择不符合规则处置方式，如禁止安装、警告并重新选择组织架构、安装后阻断网络通信、转人工审核。设置后系统会根据终端注册情况自动审核。若勾选注册审核后，无论是否匹配规则，都会安装后阻断网络通信，而转至人工审核。

1.3.6.3 IP地址发现

最后我们还需要在IP地址发现中开启未注册设备扫描，进行对网内未注册北信源终端一体化终端的网络资源进行扫描，以对其进行管理（如图5）。

图5 铁路网络资源分配系统网络资源扫描功能

1.3.6.4 IP地址查询

当完成上述3步后，系统就会根据网内网络资源注册使用情况进行汇总并整理，我们可以根据选择组织架构或IP地址管理范围对对应的IP地址段进行查询，可查询对应组织架构或IP地址管理范围中的任意C类IP地址段使用情况。包含已安装使用、未安装未保护、未安装已保护、空闲、被阻断IP地址（如图6）。

图6 铁路网络资源分配系统网络资源整体使用情况

可对二级管理员先行设置管理范围，管理范围权限为系统管理员＞二级管理员。系统管理员可查询系统内所有组织架构及所有IP地址管理范围内的网络资源使用情况，二级管理员仅能查询系统管理员对其设定的组织架构及IP地址管理范围。

1.3.6.5 网络资源使用者情况查询

针对已注册北信源终端一体化设备所占用的网络资源，选中每个网络资源，通过北信源终端一体化客户端获取设备信息，都可以精确显示该设备的用户特征信息，包括用户姓名、主机名称、IP地址、MAC地址、子网掩码、默认网关地址、DNS地址、操作系统版本、操作系统位数、CPU信息、内存信息、磁盘总容量、磁盘剩余容量、设备类型、接入交换机位置、首次接入时间、最后使用时间等。

针对未注册北信源终端一体化设备所占用的网络资源，选中每个网络资源，通过北信源网络接入控制系统获取的设备信息，显示该设备的用户特征信息，包括设备类型、IP地址、MAC地址、子网掩码、默认网关地址、DNS地址、操作系统、接入交换机位置、首次接入时间、最后使用时间等。

通过页面设置，将某个网络资源设置在白名单中后，占用该网络资源的设备将不受北信源终端一体化系统及北信源网络准入控制系统策略影响，可以在不注册北信源终端一体化客户端的情况下访问网络资源。白名单期限可以是某段时间或永久。

2 应用效果

（1）通过结合北信源终端一体化系统及北信源网络准入控制系统，对青藏集团综合信息网内网内终端进行扫描，将已注册北信源终端一体化客户端占用的网络资源分已安装使用标示；将未注册北信源终端一体化客户端占用的网络资源用“未安装未保护”标示；将未使用的网络资源用“空闲”标示；将设置保护的网络资源用“被阻断”标示；将设置成白名单的网络资源用“未安装已保护”标示。

（2）通过对网络实施监控，能够及时发现非法终端即未注册北信源终端一体化终端入网情况（未安装未保护），从而有效地管控网内终端访问网络资源情况，防止网络入侵。

（3）通过对网内网络资源设置保护，有效地阻止网络资源被终端随意占用，保留网络资源给更重要的设备使用。

（4）通过对网内网络资源设置白名单，有效地允许网内临时设备或重要终端或无法注册北信源终端一体化客户端的终端访问网络资源，提高网内容错。

（5）通过结合北信源终端一体化系统，开启预注册审核，新入网终端在注册北信源终端一体化客户端时，被要求核实注册信息，从而避免注册信息混乱或他人冒充注册。

（6）所有页面生成的注册信息及审计信息都可导出成报表。

3 结束语

结合实际，完成青藏集团公司网络资源监控系统架的设计与开发，弥补了青藏集团公司网络资源监控的不足。能够实现与实际应用系统的有机结合，符合实际需求，注重监控项的可定制能力和监控层次的可定制能力。下一步的工作是对监控系统的专家知识库功能扩展，辅助完成网络资源系统故障处理。■