企業(yè)網(wǎng)絡(luò)IP資源管理系統(tǒng)的構(gòu)建

【摘要】企業(yè)網(wǎng)絡(luò)資源管理系統(tǒng)是依據(jù)企業(yè)實(shí)際的網(wǎng)絡(luò)結(jié)構(gòu)特點(diǎn)和靜態(tài)IP資源數(shù)據(jù)庫，用于IP資源管理和實(shí)時(shí)監(jiān)控的網(wǎng)絡(luò)管理系統(tǒng)。該系統(tǒng)主要是通過網(wǎng)絡(luò)管理員加強(qiáng)對(duì)計(jì)算機(jī)IP資源的管理與控制最終實(shí)現(xiàn)對(duì)企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)終端用戶進(jìn)行監(jiān)控與管理，促進(jìn)企業(yè)網(wǎng)絡(luò)管理規(guī)范化、專業(yè)化、科學(xué)化。

【關(guān)鍵詞】網(wǎng)絡(luò)安全管理系統(tǒng)?IP資源管理?實(shí)時(shí)監(jiān)控

隨著企業(yè)網(wǎng)絡(luò)規(guī)模的擴(kuò)大和網(wǎng)絡(luò)應(yīng)用范圍的擴(kuò)展，尤其是網(wǎng)絡(luò)安全事件的發(fā)生，使管理者越來越意識(shí)到網(wǎng)絡(luò)管理的重要性。根據(jù)企業(yè)自身的網(wǎng)絡(luò)結(jié)構(gòu)特點(diǎn)，構(gòu)建一套IP資源信息管理系統(tǒng)，將企業(yè)企業(yè)網(wǎng)作為一個(gè)統(tǒng)一的整體資源來進(jìn)行操作和管理，使網(wǎng)絡(luò)管理員能夠?qū)K端用戶和IP資源進(jìn)行有效監(jiān)控和管理，擴(kuò)充并豐富企業(yè)網(wǎng)絡(luò)管理體系，以確保企業(yè)網(wǎng)絡(luò)能夠安全、穩(wěn)定、高效的運(yùn)行。

1系統(tǒng)設(shè)計(jì)

模塊結(jié)構(gòu)設(shè)計(jì)：它可以有效降低系統(tǒng)的復(fù)雜性，而且具有可擴(kuò)充性，維護(hù)方便。同時(shí)，也能保證模塊間的獨(dú)立性，提高系統(tǒng)開發(fā)效率。本系統(tǒng)遵循軟件工程的開發(fā)原則，自頂向下地將整個(gè)系統(tǒng)劃分為若干子系統(tǒng)，然后自下而上地分階段逐步設(shè)計(jì)。系統(tǒng)的功能模塊主要按照IP網(wǎng)絡(luò)資源安全和主機(jī)網(wǎng)絡(luò)安全兩個(gè)方面綜合考慮來進(jìn)行劃分，具體包括4個(gè)子模塊，結(jié)構(gòu)圖如下所示：

數(shù)據(jù)存儲(chǔ)結(jié)構(gòu)設(shè)計(jì)：本系統(tǒng)所涉及的存儲(chǔ)文件主要包括系統(tǒng)配置文件和數(shù)據(jù)庫文件。其中系統(tǒng)配置文件采用微軟的INI文件結(jié)構(gòu)形式。數(shù)據(jù)庫文件包括IP資源靜態(tài)數(shù)據(jù)庫，IP地址報(bào)警數(shù)據(jù)庫，MAC地址報(bào)警數(shù)據(jù)庫。由于以上的數(shù)據(jù)庫所包含的信息量并不是太大，并且要求處理速度要快，占用存儲(chǔ)空間要少，操作處理過程相對(duì)簡(jiǎn)單，根據(jù)以上因素的考慮，系統(tǒng)數(shù)據(jù)庫決定全部采用DBF文件格式。字段內(nèi)容和屬性的確定參照了《油企業(yè)靜態(tài)IP資源填定說明》以及《企業(yè)單位名稱及代碼說明》等文件。

詳細(xì)功能設(shè)計(jì)包括：一是代碼設(shè)計(jì)。代碼設(shè)計(jì)是軟件設(shè)計(jì)的必要環(huán)節(jié)，好的代碼設(shè)計(jì)不僅可以提高程序的可讀性，方便軟件的調(diào)試和維護(hù)，而且可以縮短程序長(zhǎng)度，盡量占用少的內(nèi)存及其它計(jì)算機(jī)資源，避免造成系統(tǒng)資源浪費(fèi)。在設(shè)計(jì)過程中要按照代碼的合理性、代碼的系統(tǒng)性、代碼的規(guī)范性原則。如代碼的規(guī)范性，要采用標(biāo)準(zhǔn)化的編碼設(shè)計(jì)，并且盡可能簡(jiǎn)單明了，以降低誤碼率，提高開發(fā)效率。二是功能設(shè)計(jì)。在功能設(shè)計(jì)中采用自下向上的設(shè)計(jì)思路，在設(shè)計(jì)過程中注重了各模塊的獨(dú)立性和擴(kuò)展性。包括遠(yuǎn)程監(jiān)控主模塊、端口掃描子模塊、路由器MIB查詢模塊。對(duì)于本地IP資源監(jiān)控主要按照主機(jī)網(wǎng)絡(luò)安全的原則進(jìn)行設(shè)計(jì)，通過各種常用TCP/IP協(xié)議的應(yīng)用來實(shí)現(xiàn)主機(jī)的網(wǎng)絡(luò)安全。在WIN98和WIN2000操作系統(tǒng)中都有針對(duì)IP協(xié)議的API函數(shù)庫，通過其中的函數(shù)調(diào)用可實(shí)現(xiàn)IP協(xié)議的統(tǒng)計(jì)、查詢等一系列管理功能。包括IP資源顯示子模塊、TCP/UDP監(jiān)控子模塊、IP協(xié)議統(tǒng)計(jì)子模塊、ARP解析子模塊、路由表處理子模塊。再就是靜態(tài)維護(hù)主模塊，它有利地提高網(wǎng)絡(luò)安全性和穩(wěn)定性，并且是實(shí)現(xiàn)網(wǎng)絡(luò)資源動(dòng)態(tài)化、精細(xì)化管理的一項(xiàng)目標(biāo)。系統(tǒng)靜態(tài)IP資源數(shù)據(jù)庫的作用表現(xiàn)在以下兩個(gè)方面：其一數(shù)據(jù)庫是遠(yuǎn)程監(jiān)控的依據(jù)，它的準(zhǔn)確性、及時(shí)性、完整性直接影響到系統(tǒng)遠(yuǎn)程監(jiān)控的反饋結(jié)果。其二數(shù)據(jù)庫需要不定期的上報(bào)企業(yè)信息中心，并作為企業(yè)綜合信息網(wǎng)網(wǎng)絡(luò)管理系統(tǒng)及網(wǎng)上身份論證系統(tǒng)的基礎(chǔ)資源信息庫的一部分。所以IP資源的動(dòng)態(tài)收集與動(dòng)靜同步，對(duì)于網(wǎng)絡(luò)報(bào)警、故障信息的定位以及報(bào)警、故障信息的消息表達(dá)至關(guān)重要。關(guān)于工具集主要包括路由跟蹤工具、PING命令工具、遠(yuǎn)程測(cè)試工具。

2系統(tǒng)實(shí)施

系統(tǒng)實(shí)施主要由編碼、系統(tǒng)測(cè)試、系統(tǒng)安裝等活動(dòng)構(gòu)成。關(guān)于程序編碼，系統(tǒng)可采用Inprise公司的面向?qū)ο蟮目梢暬浖_發(fā)工具DELPHI6編寫，以WIN98、WIN2000為運(yùn)行平臺(tái)，在編碼過程中遵循軟件工程原理，同時(shí)采用OOP（面向?qū)ο螅┚幊碳夹g(shù)，使各個(gè)模塊的代碼在最大程度上滿足代碼的重用性、易讀性、易擴(kuò)充性、低出錯(cuò)率。關(guān)于系統(tǒng)測(cè)試。系統(tǒng)測(cè)試是系統(tǒng)開發(fā)過程中重要的階段，它是系統(tǒng)質(zhì)量和可靠性的重要保證。系統(tǒng)測(cè)試代表需求分析、設(shè)計(jì)和編碼的最終復(fù)審。系統(tǒng)測(cè)試步驟：一是單元測(cè)試。單元測(cè)試主要集中對(duì)系統(tǒng)的各個(gè)子模塊或子程序進(jìn)行測(cè)試。根據(jù)詳細(xì)設(shè)計(jì)的描述，從模塊的內(nèi)部結(jié)構(gòu)出發(fā)，從模塊接口、邏輯路徑、出錯(cuò)處理、邊界條件四個(gè)方面對(duì)模塊進(jìn)行檢驗(yàn)。二是組裝測(cè)試。組裝測(cè)試是按系統(tǒng)結(jié)構(gòu)圖，將所有模塊聯(lián)接起來，把聯(lián)結(jié)后的程序作為一個(gè)整體來進(jìn)行測(cè)試。三是確認(rèn)測(cè)試。它將系統(tǒng)的所有組成部分包括軟件、硬件、用戶以及環(huán)境等綜合在一起進(jìn)行測(cè)試，以保證系統(tǒng)的各組成部分協(xié)調(diào)運(yùn)行。確認(rèn)測(cè)試面向集成的整體系統(tǒng)，在測(cè)試過程中注重了系統(tǒng)的功能、可靠性、適應(yīng)性、安全性和強(qiáng)度。

3系統(tǒng)安全

網(wǎng)絡(luò)應(yīng)用服務(wù)種類繁多，也十分復(fù)雜，因此十分容易遭到攻擊。一是采用網(wǎng)絡(luò)加密技術(shù)。網(wǎng)絡(luò)信息加密的目的是為了保護(hù)網(wǎng)內(nèi)數(shù)據(jù)、文件、口令和控制信息在傳輸過程中的機(jī)密性，防止泄漏敏感信息。網(wǎng)絡(luò)加密一般采用鏈路加密、端點(diǎn)加密和節(jié)點(diǎn)加密。二是防火墻技術(shù)。包括網(wǎng)絡(luò)級(jí)數(shù)據(jù)包過濾（Network-Level Packet Filter）和應(yīng)用代理服務(wù)器（Application-Level Proxy

Server）。雖然防火墻技術(shù)是在內(nèi)部網(wǎng)與外部網(wǎng)之間實(shí)施安全防范的最佳選擇，但也存在一定的局限性。三是網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)（NAT），主要是解決IP地址不足的問題。四是操作系統(tǒng)安全內(nèi)核技術(shù)。還包括身份驗(yàn)證技術(shù)、網(wǎng)絡(luò)防病毒技術(shù)等。

企業(yè)網(wǎng)絡(luò)資源管理系統(tǒng)的構(gòu)建可以企業(yè)提供一個(gè)網(wǎng)絡(luò)管理和應(yīng)用平臺(tái)，為促進(jìn)企業(yè)信息化發(fā)展和各項(xiàng)活動(dòng)有序運(yùn)行發(fā)揮積極作用。系統(tǒng)在實(shí)時(shí)監(jiān)控方面可以實(shí)現(xiàn)所確定的目標(biāo)，但在非法用戶的阻隔方面還存在著許多不足之處，還要力求在處理技術(shù)上實(shí)現(xiàn)新的突破，使網(wǎng)絡(luò)安全系統(tǒng)成為網(wǎng)絡(luò)管理人員的有利工具。隨著系統(tǒng)的構(gòu)建與完善，企業(yè)網(wǎng)絡(luò)IP資源管理系統(tǒng)系統(tǒng)可成為網(wǎng)絡(luò)管理建設(shè)過程中的重要手段和有效工具，可將企業(yè)的網(wǎng)絡(luò)管理水平邁上一個(gè)新的臺(tái)階。

作者簡(jiǎn)介：陳正（1979-），山東平度人，大學(xué)本科，工程師。