基于分布式計算的IT資源管理系統的應用研究

楊愷琪 卿錫科

無錫博雅凱勝科技有限公司 江蘇 214028

0 引言

隨著企業信息化的推進，很多企業的終端數量越來越多，這些企業一般都已經建立了防火墻和防病毒體系，有效地防止了來自外網的安全威脅。但是對于來自企業內部的網絡安全問題，卻遠遠超出了防毒軟件或防火墻的功能范圍。內網是網絡應用中的一個主要組成部分，其安全問題和日常維護管理問題日益突出。

1 系統總體目標

針對目前大部分企業網絡和終端設備包含的以上問題，結合網絡管理部門對將來網絡和終端管理的需求，可以概括出IT資源管理系統需要實現以下目標：

(1) 實現網絡IP地址的安全管理；

(2) 實現IT資產的自動管理；

(3) 可基于VLAN管理；

(4) 實現軟件的集中分發及遠程桌面維護；

(5) 實現網絡的在線監控等功能；

(6) 采用先進技術，提高系統的可靠性、穩定性、靈活性和可擴展性；

(7) 采用數據庫技術進行數據挖掘，實現統計分析和決策支持。

2 系統框架(圖1)

2.1 內網安全

2.1.1 IP地址安全管理

防火墻與代理服務器相結合，更能較好地解決IP地址盜用問題，防火墻用來隔離內部網絡和外部網絡，用戶訪問外部網絡通過代理服務器進行。使用這樣的辦法是將IP防盜放到應用層來解決，變IP管理為用戶身份和口令的管理，因為用戶對于網絡的使用歸根結底是要使用網絡進入因特網。這樣實現的好處是，盜用IP地址只能在子網內使用，失去盜用的意義；合法用戶可以選擇任意一臺IP主機使用，通過代理服務器訪問外部網絡資源，而無權用戶即使盜用IP，也沒有身份和密碼，不能使用外部網絡。

圖1 系統框架圖

此外，還可以：

(1) 通過實時主動掃描、監測局域網內計算機的IP地址、MAC地址信息；

(2) 根據設定的合法判斷條件(由管理員定制)判斷 IP地址、MAC地址是否非法；

(3) 阻止非法計算機接入局域網，內網管理模塊能夠自動掃描檢測非本單位機器接入內網，一旦陌生主機接入的內網就會實時報警、實時記錄；提供非法接入計算機的報告給服務器端，幫助管理員分析定位。

2.1.2 程序運行管理

網絡應用中，有些程序對網絡性能或者計算機構成危害或影響，比如BT軟件、網絡流氓軟件等，IT資源管理軟件可實時禁止指定的計算機運行指定的程序，也可事先指定禁止運行的程序，生成黑名單，下發到相應的計算機，禁止這些計算機運行該程序。

2.1.3 上網行為管理

實時在線監控網頁瀏覽，記錄客戶端上網歷史行為，并可實時禁止登錄指定的網站。可事先指定禁止登錄的網站，生成黑名單，下發到相應的計算機，禁止這些計算機登錄該網站。

2.1.4 非法外聯管理

企業內部員工有時可能會圖一時方便，繞過公司防火墻的限制，利用辦公電話私自撥號上網，或者通過雙網卡、代理服務器等多種方式接入外部網絡。這就對內部網絡造成了安全隱患。

IT資源管理系統可以通過對內網的掃描檢測，在任何時間、任意地點、不論是任何人一旦發生未經允許的撥號和非法外聯事件，都可以在監視端報警，并實時記錄違規PC機的部門名稱、撥號主機IP、MAC、主機名、用戶名、撥號起始時間、結束時間等信息，從而實現對撥號和非法外聯行為的日常防范和監控，杜絕未經允許的撥號和非法外聯行為的發生。

2.1.5 硬件禁用管理

通過IT資源管理系統的計算機設備管理功能，可設定指定的計算機禁止使用USB、光驅、軟驅、串口、并口等外設端口，保證單位機密資料不外泄。

2.1.6 客戶端系統進程管理

在實際應用中，經常發生客戶端有可疑進程運行，導致PC終端資源耗盡、網絡堵塞等現象，通過對客戶端的系統進程進行遠程管理，可以觀測客戶端當前進程信息、當前性能數據信息等，并可以停止終端可疑進程的運行，以保證 PC機和網絡的運行安全。

2.2 IT資產管理

2.2.1 資產發現和識別

資產發現和識別模塊能夠通過自動發現技術，實時在線管理IT軟硬件資產，并細化到部門、個人，提供資產生命周期管理，提供接口與企業人力資源、采購庫存系統相連。

在需要納入管理的終端安裝客戶端軟件，并且提交注冊幫助信息，服務器端接收到客戶端相關信息后，系統管理員對信息進行確認，并把計算機歸屬于部門和用戶人員，此時該計算機被認為是被合法管理的計算機。

資產發現和識別歸類的流程圖如圖2所示。

圖2 資源發現和識別歸類的流程圖

資產管理模塊可以實現對客戶端的軟硬件配置信息(如cpu，主板，內存，顯卡，聲卡，硬盤，操作系統，瀏覽器，office，郵件系統，防病毒系統，各種業務應用系統等)、外設信息的自動掃描、采集和識別，記錄在數據庫中，并按照部門或者組織機構進行管理，可以對資產進行數據分析，生成各類圖表。

2.2.2 資產變更偵測

各類IT設備，包括網絡設備、PC機、外設等，都屬于單位的固定資產，由于公司網絡和終端數量眾多，因此，經常會發生由于工作需要或者自行進行的設備調整，例如：把某一終端的顯示器調換到了其它部門；把某一終端的打印機調換到了其它PC機上…，某機器的內存進行升級或者由于種種原因被減少了，等等，而這些變化有可能未被記錄在案或者未能及時通知到相關管理部門，給定期盤點和資產管理帶來了很大的麻煩，因此，IT資源管理系統提供資產調整和異動的自動偵測功能，實時分析資產信息，發現信息變化，避免資產的流失當資產發生變更時，將自動進行記錄，給管理人員發出提示和警告信息。

資產變更模塊不僅僅能夠發現硬件的變更信息，還能實時發現客戶端的軟件變更信息，例如，病毒庫是否升級到位，操作系統補丁是否及時更新，應用軟件是否進行版本升級等，這些軟件偵測功能對于保證客戶端軟件平臺的有效運行起到了很好的保障作用。

2.3 軟件分發

2.3.1 操作系統補丁分發

Windows操作系統經常有易被攻擊的漏洞發現，這些漏洞造成系統的安全隱患，Microsoft不斷提供系統補丁，因此需要用戶不斷進行補丁升級，以保證系統安全性。IT資源管理系統提供補丁自動分發升級功能，可以通過服務器端將系統補丁加載到網絡上的所有用戶端機器。此外，IT資源管理系統還提供IE補丁升級、Office補丁升級、郵件系統補丁升級等各種相關的系統更新服務。

2.3.2 病毒庫升級

根據客戶端所安裝的操作系統，殺毒軟件自動升級相應的補丁、文件，并提供進度反饋，實時跟蹤升級補丁包的分發進程，是否分發到位。

2.3.3 應用軟件分發

利用應用軟件分發，IT管理維護人員可將企業自行開發的應用軟件系統集中分發軟件到遠程辦公地點的工作站。軟件分發模塊還能夠自動跟蹤監測軟件分發和安裝過程中的狀態信息，了解分發的進度，以確保軟件分發作業的正常完成。該模塊可根據網絡帶寬控制分發時占用帶寬比例，不影響其他網絡應用。

此外，IT管理維護人員可根據部門或辦公地點等對被分發的客戶機進行分組，實現基于客戶機組的軟件定時分發。

2.4 遠程桌面

用戶可以根據自己的需要，定義本地機器的接管權限，可以是遠程完全接管，也可以是監控模式，并且在遠程控制中，增強了安全性能，使得監控數據在網絡上傳輸時不會被監聽。

2.5 網絡監控

2.5.1 網絡流量監控

流量管理模塊能夠實時掃描出入網絡的設備、終端主機、掃描出入網絡的字節數和網絡流量、描繪網絡聯接狀況和運行狀況，為網絡管理提供直觀有效的數據和視圖。該模塊支持目前主流的各種類型交換機、路由器等網絡設備，并可以自動識別。

端口流量監測包括：

(1) 通過設置閾值對異常流量進行報警；

(2) 支持彈出式報警和聲音報警；

(3) 能夠端口流量異常自動阻斷；

(4) 允許基于交換機的流量異常阻斷策略設定；

(5) 支持基于交換機端口的流量異常阻斷策略；

(6) 實時反映網絡內PC流量。

2.5.2 網絡端口監控

通過該功能模塊可以對客戶端訪問內網和外網端口進行設置，控制客戶端各類服務端口，并可按不同協議限制使用，如 HTTP、FTP、POP3、SMTP等，做到客戶端在可控狀態下訪問Internet，確保網絡安全。功能包括：

(1) 源訪問地址可自由設定(內網和外網)；

(2) 客戶端可分組指定策略；

(3) 可以將策略進行組合；

(4) 策略動態部署。

2.5.3 網絡用戶監控

網絡用戶監控模塊能夠將網絡中的終端用戶、主機、主機接入端口和網絡設備進行四位一體的對應，記錄其中任何一項因素的變化，為網絡計算機戶籍式管理提供了較完善的技術實現。

該模塊可以根據管理策略實現對終端機器操作系統賬戶的監控，并實時更新系統賬戶信息，便于管理員實時發現該機器上的系統賬戶的增加、刪除、修改等情況。

可以根據管理策略實現對終端機器操作系統系統日志的監控，并實時更新這些信息，便于管理掌握終端機器的運行狀態等情況。

2.5.4 網絡安全監控

能夠對多種安全應用系統(例如：防火墻、入侵檢測等)出現的事件日志進行協同查證，提供 MAC、IP的查詢和端口定位，找到出事的終端主機，從而發現內部人員的違規痕跡。

能夠對多種網絡違規事件提供報警：如私自修改IP、陌生筆記本接入、偽造 MAC、私自調換交換機端口、偷偷增加終端主機和違規接Hub等，從技術上管理和防范內網的網絡違規行為。

可以遠程集中設定網絡內各終端代理服務器配置、代理地址和端口等。并可以對終端的代理服務器配置進行鎖定。在鎖定策略下，終端不能隨便更改其代理服務器配置，一旦更改，系統會將其自動恢復到管理端已鎖定的配置。

可以遠程集中設定網絡內各終端的網絡連接屬性，包括IP地址、子網掩碼、默認網關、DNS、DHCP等，并可以對終端的網絡連接屬性進行鎖定。在鎖定策略下，終端不能隨便更改其網絡連接屬性，一旦更改，系統會將其自動恢復到管理端已鎖定的配置。

3 關鍵技術

由于采用了Socket復用的消息中間件(MOM)，可以減少使用的TCP連接數量，便于防火墻管理。利用動態模塊管理的LIDP協議，桌面助手與服務器間的通訊占網絡帶寬在百分之一的量級。

客戶端與服務器的底層通訊協議是自主知識產權的消息中間件 MOM(SCK)，可透明使用多種安全協議通信，如SSL，既保證了跨局域網的數據通訊安全，又提供開放的接口支持企業應用第三方加密軟件。SCK使用標準 C語言開發，便于跨平臺移植，目前可以支持微軟的主流操作系統、Linux和開放式UNIX平臺。

其次，采用輕量級信息發現協議(LIDP)，使系統具有很好的擴展能力，可以在以后的發展中兼容 MIB等標準的定義；使用XML格式語言定義，支持跨平臺以及設備無關性；實現了信息項定義與信息項實現方法的無關性，與平臺設備有關的部分；封裝到實現信息項的模塊內部來定義(如圖3)。

4 結論

通過基于分布式計算的IT管理系統，可以有效解決企業的內部網絡安全問題，降低日常維護量、并且實現對IT資產的有效管理。

圖3 LIDP與MOM

[1] 呂鋟.局域網實時監控系統的設計與實現.國防科技大學學報.2007.

[2] 秦建.Linux下的 Tcp/Ip代碼解析.北京航空航天大學出版社.2004.

[3] 張立.輕量級 tcp/ip協議中安全技術研究.國防科技大學學報.2008.