基于多线程扫描的网络拓扑边界监测系统设计

随着国家电子政务网络规模和业务应用的不断深化，通过网络传输的数据和业务变得越来越敏感和重要。为了保障业务数据在网络传输交换过程中不被非法获取与篡改，相应的网络信息安全防护措施已在不同层面进行了部署。然而，大多数的业务专网对于网络的访问控制几乎都集中在网络的出入关口，而对网络内部结构和接入边界却没有施行必要的监测与管理。这种只注重网关出入防护的安全策略虽然配置了大量的防火墙、多重安全网关和网闸等网络安全设备，却无法对网络运行的状态和网络结构的变化有一个全面的了解，而且对来自于网络接入边界甚至是网络内部的非法访问常常束手无策。在过度强化"大门"的安全建设的同时，却往往忽略了"围墙"的筑造与管理，从而使得网络接入边界往往成为网络安全防护中最薄弱的防线。

信息网络是一个自治域，应该有其自身的收敛性，一个可管理的网络应该具有确定的边界，并且在网络边界发生变化时，能够及时地发现差异并定位。在传统意义上，网络边界是一个网络安全域与其外部域的分界线，是网络之间互联的"关口"，而本文所提到的网络边界则更加注重对"围墙"的管理，为了避免与传统的边界名词相混淆，称其为"网络接入边界"。首先定义直接面向终端，提供网络接入服务的设备称其为边界接入设备，又称为边界设备。所谓网络接入边界就是通信网络中接入设备的最边缘，也就是网络结构中边界设备的位置。该接入边界在网络初始设计和建设维护阶段确定，并预期不得无故更改与扩展。

1 当前网络监测存在的不足

　面对当前网络规模的不断增长，网络结构日趋复杂，加之网络设备的多样性，目前的网络监测手段已不能满足当前网络管理的需要，主要不足体现在以下几点：

　（1）网络运行状态不够全面。在日常网络管理中对网络运行状态的实时监控是非常必要的。通过对网络流量、拓扑结构、网络设备及终端运行等情况的全面监测，管理者可以对当前网络的运行状态有一个全面的了解和把握，并可对一些异常情况作出及时反应，保障网络安全正常地运行。然而，由于网络设备的复杂多样性，至今还没有一个第三方的网络管理软件可以对不同厂家的网络设备进行全面的远程管理与控制，使用当前网络监测手段往往无法获取全面的网络运行状态信息。

　（2）网络结构化变化无从知晓。在较大规模网络中，保持网络拓扑结构的稳定对于整个网络的安全尤为重要。网络建设时期设计的拓扑结构与正常运行时期的真实结构经常存在较大的差异。如果运行过程中有设备发生故障或者有用户私自在网络中违规接入网络设备，必将影响到网络真实结构的变化，并由此带来巨大的安全隐患。有一些网络拓扑发现方法可以根据简单网络管理协议SNMP（Simple Network Management Protocol）来完成对网络层和链路层连接的自动发现[1-2]，生成网络运行时的拓扑结构，然而在现实中的应用却相对滞后，没有一种由宏观到具体、兼顾整体与局部的视图展示方法，而且没有对网络结构进行全面的监测，几乎没有涉及网络结构的差异变化情况，更没有发现结构异常时的报警提示了。

　（3）网络接入边界无法掌握。网络接入边界作为网络用户的接入区域通常处于网络结构的最末端，随着网络接入终端多样化的出现，边界接入方法与过程变得非常容易。有些用户可能会随意更换工作终端、改变终端的接入接口，或者通过自行架设的小型网络设备进行多用户违规接入，甚至非法提供网络转发、代理和地址转换服务等，这些情况都将会影响网络接入边界的收敛性，使网络接入边界变得不可预测，并对网络的安全稳定运行造成严重威胁。而现阶段的网络监测管理手段无法及时获取网络接入边界状态变化的信息，更无法对接入边界变化区域进行准确的定位，这是现有网络管理体系中普遍存在的盲点和隐患。

2 系统功能结构

　当前网络规模和数量大量增长，组网设备的类型也多种多样，来自于不同厂家的各类设备常常同时存在，如何在统一的架构体系内对这些设备进行管理就变得十分重要。本系统主要采用目前普遍使用的SNMP标准协议，通过对网络结构的定时扫描和对网络接入边界的实时监测来实现所需的功能。

　（1）全面扫描网络拓扑结构，实现网络结构树的自动生成与存储打印，通过与历史结构的比对发现网络结构的差异变化，并及时报警通知网络管理员。

　（2）监测网络设备的运行状态，主要监测CPU、内存和接入端口的工作情况，对于工作状态或者网络流量异常的情况能及时发出报警信号。

（3）在专用和保密网络中实现所有入网终端与设备的登记认证，对终端与设备的上网档案和监测数据进行存