基于终端准入机制的网络资源管理平台技术研究

基于终端准入机制的网络资源管理平台技术研究

白云

白云BAIYun

（河北出入境检验检疫局，石家庄050051）

（HebeiEntry-exitInspectionandQuarantineBureau，Shijiazhuang050051，China）

摘要：本文主要介绍了基于终端准入机制的网络资源管理平台的研究目标、平台架构、设计原则、主要功能以及技术特点。

Abstract:Thispapermainlyintroducestheresearchgoal,theplatformarchitecture,designprinciple,mainfunctionsandtechnicalfeaturesofnetworkresourcemanagementplatformbasedontheterminalaccessmechanism.

关键词：网络资源管理平台；准入控制；资产管理

Keywords:networkresourcemanagementplatform；accesscontrol；assetmanagement

中图分类号院TP393文献标识码院A文章编号院1006-4311（2014）07-0190-02

引言：

随着信息化应用程度在日常工作中的普及，网络终端设备（计算机、笔记本等）的数量也在逐年增多，这些设备的管理，无论从资产管理还是网络安全方面都面临着巨大的风险。现有的一些简单的管理措施和技术手段只能简单地对IP地址和物理地址进行识别、绑定，但存在无法对这些终端的具体技术参数及运行状态进行监控，外来设备的接入情况也无法完全控制和杜绝，计算机外设使用情况无法进行监测，计算机使用者的个体行为无法进行控制等问题。由此带来的问题是内网安全得不到根本保障、网络带宽用于业务的使用率得不到有效保障，计算机终端管理措施无法真正落实。

1研究目标

通过建立基于终端准入机制的网络资源管理平台，将单位内部的网络终端全部纳入信息化系统管理，从而提高全省系统信息化资产的信息化管理水平和工作效率，规范信息化资产管理流程，为相关部门和领导提供及时准确的查询统计服务和决策支持。同时对终端准入控制（简称EAD）系统和资产管理系统底层数据的整合，实现终端设备的接入控制，避免数据重复录入，减少工作环节，优化流程配置。

2总体设计

2.1设计原则淤创新性。平台创新性地将资产管理系统与终端准入控制系统相结合并实现后台数据同步。于先进性。平台采用了先进的轻量级的多层Java开发框架，得开发过程更加高效；同时，完成的系统更加稳定，且具有很好的可扩展性和可维护性。盂安全性。平台在设计过程中充分考虑了网络安全、数据安全、系统安全、应用安全和接口安全。EAD系统与网络资源管理平台之间采用了WebService接口方式进行数据交换和业务处理，这样比直接操作对方数据库表的方式具有更高的安全保障。榆可靠性。平台具有良好的容错性，保证7*24小时不间断运行，同时，完善的备份机制保证了系统出现故障时可以快速进行数据恢复。

2.2系统结构网络资源管理平台由应用服务器、数据库管理软件及EAD系统以及IMC平台接口组成。如1图所示，系统所用主要协议如下：通过http协议向管理终端提供Web服务，负责完成业务逻辑的处理。通过jdbc协议访问数据库管理软件，进行数据处理。通过soap协议调用EAD系统的IMC平台WebService服务，实现两个系统数据同步。

2.3软件架构设计系统软件架构采用最新的轻量级的最新Java框架。展示层采用JSP+StrutsTaglib技术，能够按需求展示数据；控制层采用Action技术，能够接收用户的请求，并委派给不同的业务逻辑处理；业务逻辑层采用JavaBean技术，由Spring框架管理并注入上层Action,利用Spring的IoC容器实现组件之间的松耦合，其作用主要是完成相应的业务逻辑处理；数据持久化层采用开源的对象关系映射框架Hibernate，实现数据持久化、关联查询、事务处理等服务器端的操作。

2.4网络架构如图2所示。资产管理服务器通过IE等标准浏览器软件进行访问，在处理EAD用户绑定、进行EAD信息同步操作时，资源管理平台将自动访问EAD系统的IMCRS服务，两个系统协作完成相应的业务处理过程。网络终端在接入业务内网时，均会由EAD服务器会判断其身份是否合法，终端设置是否符合策略要求。控制策略在核心网络设备上实现，确保了所有接入网络的终端均能被控制。

2.5接口设计资产管理系统和EAD系统采用WebService接口方式。其中EAD系统作为服务器端提供服务，资产管理系统作为客户端调用服务，共设计如下三个接口：

淤查询接入用户列表。服务url：/uam/acmUser/acmUserList；功能：根据输入条件查询符合条件的接入用户列表。于查询接入用户详细信息。服务url：/uam/acmUser/{userName}；功能：提供接入用户帐号名，查询接入用户详细信息。盂修改接入用户。服务url：/uam/acmUser/modifyAcmUser/{userName}；功能：根据提供的信息，修改一个接入用户。

2.6系统功能设计基于终端准入机制的网络资源管理平台包括终端准入控制和资产管理两个子系统，主要实现终端身份认证、终端安全验证、终端软件控制、信息化资产全生命周期管理、信息化资产台帐查询统计以及资产信息审核同步等功能。淤准入控制。每个终端用户需要安装客户端软件并申请一个独立的EAD账号，该账号与终端IP地址、物理地址进行绑定，在发起网络连接时，需要判断三者是否一致，其中任何一项与服务器数据不匹配，将被拒绝接入网络。身份认证成功后，需要验证杀毒软件是否按要求安装、运行，是否为最新版本，终端安装软件及系统补丁是否符合要求，违反任一策略即不允许接入网络。于资产管理。实现资产入帐、资产维护、资产调拨、资产报废、资产出帐等功能，对信息化设备进行全生命周期的管理。对IP地址、物理地址、EAD账号进行维护。盂台帐查询。对在帐和出帐设备，自定义检索条件，可按字段进行任意的组合查询“在用”、“库存”、“拟报废”状态的设备；检索结果按自定义排列规则显示，并可以导出为EXCEL文件。榆统计报表。根据年度、是否财务记帐对单位内设备按设备类别、部门进行分组统计，系统默认显示最近6年的单位资产数量。统计结果可导出为EXCEL文件。虞审核任务。根据系统参数设置，分支局资产管理员对设备的操作会产生待审任务，并将任务提交给省局资产管理员进行审核。省局资产管理员同步部分或所有审核通过并且绑定了EAD帐号的设备信息到EAD平台中。

3技术创新

该平台实现了资产管理系统与EAD系统的无缝集成，实现了两个系统之间用户和资产信息的共享和同步，实现了资源管理过程和准入控制过程的衔接和关联。

4技术特点

4.1先进的轻量级的多层Java平台开发框架平台应用了目前业界最流行的轻量级的多层Java开发框架集，其中，表现层采用当前比较成熟的MVC框架Struts2.0；控制层采用Action技术，接收、委派用户的请求；业务逻辑层采用Spring框架，完成相应的业务逻辑处理；数据持久化层采用开源的对象关系映射框架Hibernate，实现数据持久化、关联查询、事务处理等服务器端的操作。这些框架的应用，一方面使得开发过程更加高效；同时，完成的系统更加稳定，且具有很好的可扩展性和可维护性。

4.2基于WebService的接口技术平台采用WebService接口技术实现网络资源管理平台与EAD系统之间的数据查询及数据同步，具备跨编程语言、跨操作系统平台的特点。WebService采用HTTP协议传输数据，采用XML格式封装数据。WebService通过HTTP协议发送请求和接收结果时，发送的请求内容和结果内容都采用XML格式封装，并增加了一些特定的HTTP消息头，以说明HTTP消息的内容格式，这些特定的HTTP消息头和XML内容格式就是SOAP协议（simpleobjectaccessprotocol，简单对象访问协议）。HTTP协议和XML是被广泛使用的通用技术，各种编程语言对HTTP协议和XML这两种技术都提供了很好的支持，WebService客户端与服务器端使用什么编程语言都可以完成SOAP的功能，因此，WebService具备跨编程语言、跨操作系统平台的特点。

4.3合理、高效地无缝集成方案通过EAD用户和网络资源的绑定，EAD系统、资产管理系统通过接口进行了整合和集成，实现了资产管理和准入控制的最佳结合，真正做到了无缝集成。在网络资源管理平台上，当与EAD接入用户相关联的设备的IP地址或MAC地址信息发生变更时，经过管理员审核，就可以在网络资源管理平台上选择同步操作，系统将自动调用{修改接入用户}接口，在EAD系统中完成该接入用户和最新IP或MAC地址的绑定操作，而不需要进入EAD系统。同样，管理员在进行资产登记的过程中同时对使用该设备的EAD帐户进行登记。当管理员进行EAD接入用户选择操作时，系统通过在后台自动调用{查询接入用户列表}接口获得EAD接入用户列表，管理员从列表中选择与设备匹配的EAD接入用户完成绑定操作。上述过程都是在网络资源管理平台中完成的，对EAD接口服务的调用都是在后台自动完成的，用户丝毫感觉不到在跨系统操作，真正实现了两个系统的无缝集成。

5小结

在网络安全长期着眼于外网出口防护的情况下，本文研究建立的基于终端准入机制的网络资源管理平台能够通过对信息化资产的管理实现对外来设备接入内网的控制，进而从内部防范网络安全。目前，该平台已经开始应用，并在实际应用中产生了良好的效果。

参考文献：

[1]陈晓丽.谈资产管理信息系统的开发[J].信息与电脑（理论版），2012（09）：45-46.

[2]蔡燕华，侯开虎，王伟华.企业IT资产管理系统研究及实现[J].工业技术经济，2007（11）：111-113.

[3]吕维新.网络准入系统在供电局终端安全管理中的应用[J].电力信息化，2011（06）：94-97.