導(dǎo)語：工控網(wǎng)絡(luò)拓?fù)涔芾硐到y(tǒng)設(shè)計(jì)研究一文來源于網(wǎng)友上傳，不代表本站觀點(diǎn)，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

摘要：在工業(yè)互聯(lián)網(wǎng)中安全廠家研制了各種網(wǎng)絡(luò)安全管理的產(chǎn)品和軟件，它們和路由器、交換機(jī)以及各類終端一起構(gòu)建了網(wǎng)絡(luò)拓?fù)鋱D中的拓?fù)涔?jié)點(diǎn)，但是人們很難對網(wǎng)絡(luò)中的拓?fù)涔?jié)點(diǎn)和各個資產(chǎn)節(jié)點(diǎn)進(jìn)行統(tǒng)一有效的管理。本文針對這一技術(shù)難點(diǎn)，設(shè)計(jì)了一種可以對工控網(wǎng)絡(luò)進(jìn)行拓?fù)涔芾淼腤eb系統(tǒng)，前端主要通過Antv-X6進(jìn)行拓?fù)鋱D形的編輯和顯示，后端主要通過SNMP和ICMP協(xié)議進(jìn)行拓?fù)涞淖詣影l(fā)現(xiàn)，同時支持拓?fù)鋱D的分層管理，解決了不同安全廠家軟件資產(chǎn)的有效性管理問題。

關(guān)鍵詞：工控網(wǎng)絡(luò)；自動發(fā)現(xiàn)；拓?fù)渚庉?；拓?fù)浞謱?

1引言

工控網(wǎng)絡(luò)安全是現(xiàn)代社會工業(yè)和企業(yè)安全生產(chǎn)的基礎(chǔ)，每一次發(fā)生的網(wǎng)絡(luò)攻擊和威脅都會導(dǎo)致嚴(yán)重的后果。各個廠家為了應(yīng)對工業(yè)互聯(lián)網(wǎng)中發(fā)生的網(wǎng)絡(luò)威脅，研制了各種網(wǎng)絡(luò)安全管理的產(chǎn)品和軟件。它們和路由器、交換機(jī)以及各類終端一起構(gòu)建了網(wǎng)絡(luò)拓?fù)?/a>圖中的一個個節(jié)點(diǎn)。但是人們很難對網(wǎng)絡(luò)中的拓?fù)鋱D和各個資產(chǎn)節(jié)點(diǎn)進(jìn)行統(tǒng)一的管理。本文針對這一技術(shù)難點(diǎn)，設(shè)計(jì)了一種可以對工控網(wǎng)絡(luò)進(jìn)行拓?fù)涔芾淼腤eb系統(tǒng)。

2平臺設(shè)計(jì)原理

2.1前后端分離模式

本系統(tǒng)采用基于前后端分離的開發(fā)模式。線上采用docker容器化的部署方式，部署時restful接口請求通過nginx進(jìn)行代理和轉(zhuǎn)發(fā)。

2.2前端框架和組件

前端的實(shí)現(xiàn)采用基于Vue2.0的開發(fā)框架，工程初始化時采用Vue-Cli進(jìn)行項(xiàng)目框架的搭建。系統(tǒng)選用ElementUI和Ecarts組件庫，實(shí)現(xiàn)表格、表單和圖表的編輯和顯示功能。為了能夠有效地處理前端圖形化的數(shù)據(jù)，使用了螞蟻金服的Antv-X6組件進(jìn)行拓?fù)鋱D形的編輯和顯示。Antv-X6組件支持最多1萬個節(jié)點(diǎn)的編輯，因此本系統(tǒng)主要針對的是中小型企業(yè)網(wǎng)絡(luò)。前端拓?fù)鋱D自動發(fā)現(xiàn)時的漸進(jìn)顯示采用了websocket進(jìn)行前后端通信。

2.3服務(wù)端框架和組件

服務(wù)端實(shí)現(xiàn)選用SpringBoot框架。SpringBoot是在Spring基礎(chǔ)上發(fā)布的全新開源框架，去除了大量的配置文件，簡化了復(fù)雜的依賴管理。數(shù)據(jù)庫選用Mysql關(guān)系型數(shù)據(jù)庫和Redis內(nèi)存數(shù)據(jù)庫。圖數(shù)據(jù)庫選擇國產(chǎn)的NebulaGraph圖數(shù)據(jù)庫，其中NebulaGraph是一種可靠、分布式、線性擴(kuò)容、性能高效的圖數(shù)據(jù)庫。此處如果選用Neo4j圖數(shù)據(jù)庫也是可行的。消息訂閱和通知選用kafka組件。

2.4數(shù)據(jù)結(jié)構(gòu)

該系統(tǒng)底層的數(shù)據(jù)結(jié)構(gòu)分為兩種。一種是圖形化數(shù)據(jù)結(jié)構(gòu)，存儲在NebulaGraph圖數(shù)據(jù)庫中。圖由點(diǎn)和邊構(gòu)成，點(diǎn)的數(shù)據(jù)結(jié)構(gòu)包括點(diǎn)的id、坐標(biāo)、屬性等。邊的數(shù)據(jù)結(jié)構(gòu)包括邊的id、起點(diǎn)和終點(diǎn)的id以及邊路徑上各個節(jié)點(diǎn)的坐標(biāo)、邊的屬性等。一種是關(guān)系型數(shù)據(jù)結(jié)構(gòu)，主要用于存儲工控網(wǎng)絡(luò)中資產(chǎn)數(shù)據(jù)的信息，例如資產(chǎn)的名稱、ip、位置、標(biāo)簽、mac地址、分組、分類和描述信息等。此處通過資產(chǎn)id和圖數(shù)據(jù)庫中點(diǎn)的id進(jìn)行關(guān)聯(lián)，NebulaGraph更偏向于圖形化數(shù)據(jù)的存儲，Mysql更偏向于資產(chǎn)關(guān)系型數(shù)據(jù)的存儲。

3拓?fù)渥詣影l(fā)現(xiàn)

在工業(yè)互聯(lián)網(wǎng)環(huán)境中，網(wǎng)絡(luò)拓?fù)鋱D一般具有層次性，一般分為主拓?fù)浒l(fā)現(xiàn)和子拓?fù)浒l(fā)現(xiàn)。主拓?fù)滹@示了網(wǎng)絡(luò)中子網(wǎng)及網(wǎng)關(guān)間的互連結(jié)構(gòu)，而子拓?fù)鋭t顯示子網(wǎng)內(nèi)部網(wǎng)絡(luò)設(shè)備間的互連關(guān)系。本系統(tǒng)在網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的自動發(fā)現(xiàn)過程中，使用SNMP協(xié)議搜索路由表信息構(gòu)造網(wǎng)絡(luò)主拓?fù)鋄1]，之后使用ICMP協(xié)議來發(fā)現(xiàn)子網(wǎng)中的終端設(shè)備實(shí)現(xiàn)網(wǎng)絡(luò)子拓?fù)鋄3]，主拓?fù)浜妥油負(fù)湟黄饦?gòu)建了網(wǎng)絡(luò)拓?fù)鋱D。

3.1主拓?fù)?

計(jì)算機(jī)網(wǎng)絡(luò)由各種不同規(guī)模的子網(wǎng)構(gòu)成。各個子網(wǎng)之間通過各自的路由器同其他的子網(wǎng)進(jìn)行網(wǎng)絡(luò)通信。這些發(fā)現(xiàn)的子網(wǎng)可能是局域網(wǎng)，也可能是局域網(wǎng)中的子網(wǎng)。路由器的端口可以和路由器相互連接，也可以和子網(wǎng)相互連接。主拓?fù)浞从沉斯I(yè)互聯(lián)網(wǎng)中的路由設(shè)備和子網(wǎng)之間的連接關(guān)系，包括路由器到路由器、路由器到子網(wǎng)以及接口之間的相互關(guān)系。主拓?fù)涞淖詣犹綔y采用基于SNMP(SimpleNetworkManagementProtocol)協(xié)議訪問路由表的策略來實(shí)現(xiàn)。在網(wǎng)絡(luò)的拓?fù)浒l(fā)生變化時，MIB(ManagementInformationBase)的信息也會發(fā)生變化。SNMP協(xié)議的優(yōu)點(diǎn)是整個拓?fù)鋱D更新的速度非常快，可以在較小的網(wǎng)絡(luò)開銷下快速得到比較可靠的結(jié)果。

3.2子拓?fù)?

SNMP協(xié)議只能發(fā)現(xiàn)在網(wǎng)絡(luò)系統(tǒng)中的路由器和子網(wǎng)信息，對于子網(wǎng)內(nèi)部的結(jié)構(gòu)無法感知。為了實(shí)現(xiàn)子拓?fù)涞淖詣犹綔y，本系統(tǒng)采用ICMP(InternetControlMessageProtocol)協(xié)議實(shí)現(xiàn)了子拓?fù)涞淖詣犹綔y。ICMP協(xié)議是一種面向無連接的協(xié)議，用于傳輸錯誤報告。作為一種網(wǎng)絡(luò)層的協(xié)議，使用ICMPechoreNy消息檢測主機(jī)是否可達(dá)，主要用于在主機(jī)與路由器之間發(fā)送消息，包括報告錯誤、交換受限控制和狀態(tài)信息等功能。當(dāng)遇到IP數(shù)據(jù)無法訪問目標(biāo)或者IP路由器無法按當(dāng)前的傳輸速率轉(zhuǎn)發(fā)數(shù)據(jù)包時，會自動發(fā)送ICMP消息。

3.3自動發(fā)現(xiàn)

圖1為根據(jù)SNMP協(xié)議和ICMP協(xié)議自動繪制的網(wǎng)絡(luò)拓?fù)鋱D。將拓?fù)鋽?shù)據(jù)封裝為樹形結(jié)構(gòu)，在前端使用Antv-X6組件進(jìn)行拓?fù)滹@示，后端將探測到的數(shù)據(jù)通過websocket發(fā)送到前端。前端漸進(jìn)式地調(diào)用樹形布局算法，并在前端重繪全網(wǎng)拓?fù)鋱D。

4拓?fù)涔芾?/strong>