网络管理与网络安全

第九章 网络管理与网络安全

网络管理

现代网络管理集中了通信技术和信息处置技术发展的各方面功效，不仅包括信息的传输、存储和处置，而且还包括了各类信息服务、仿真模拟、专家系统和容错技术等。网络管理是使网络安全、靠得住、高效运行的保障。

9.1.1 网络管理的概念与发展

所谓网络管理就是指采用某种技术和策略以能够保证整个网络正常运行，疏通业务量和提高网络接通率。

随着计算机网络的发展，计算机网络已呈现出以下三大特点：

1. 计算机网络的规模在不断扩大； 2. 网络系统愈来愈复杂；

3. 同一个网络内集成了众多品牌的计算机和网络组件，致使一个网络内会出现多于一个网管的现象，这就需要解决各个网管之间的协调互通，使得网络管理的难度加大。

人们需要有一个网络管理系统，不但能够保证网络正常运行，而且希望该系统具有智能特性，可以自动统管所有网络设备，还可以充分保证网络的信息安全。

互联网工程任务组IETF在80年代制定了第一个网络管理协议，即简单网络管理协议（SNMP: Simple Network Management Protocol）。在随后的十几年中，SNMP 经历了几回改版升级，现已比较成熟。

国际标准化组织ISO也在OSI/IEC中制定了网络管理标准，即ISO7498-4,

-1

- 好好学习，天天向上

它包括了两个协议：

1. 公共管理信息服务（CMIS: Common Management Information Service）。

2. 公共管理信息协议（CMIP: Common Management Information Protocol）。

9.1.2 网络管理的功能

目前已应用的网络管理系统有许多，各厂家对自己的产品都有配套的网管系统，大体上都实现了可以对网络系统内的设备进行集中管理。网络管理的功能有以下几点：

1. 故障管理 2. 性能管理

负责监视整个网络的性能，完成网络设备和网络通道运行的质量数据收集，为网管人员提供分析、诊断网络的依据。

3. 配置管理

网络配置指选择网络中某个设备的功能、彼其间的连接关系和工作参数。配置管理就是用来识别、概念、初始化、控制与监测通信网中的管理对象。它负责成立、修改、删出和优化网络配置参数。

4. 安全管理

主要负责对来访人员的资格审查，避免未被授权的操作人员对网络资源和网管系统进行访问。它提供的主要模块有：操作者级别、访问权限、数据安全、操作日记、审计和跟踪、灾难恢复等管理。

-2

- 好好学习，天天向上

5. 计费管理

记账管理就是对用户利用网络资源的情况进行记录并核算费用，也可以用来统计网络的利用率和资源利用情况等。

9.1.3 网络管理的体系结构

在网络管理中，一般采用管理者和代理者的管理体系结构，它是由网络管理系统、被管设备、管理信息库和网络管理协议等四部份组成，如图所示。

网络管理系

管 理 者

统

网络管理

协议 代理者 代理者 管理信息

代理者 被管设

图 网络管理体系结构

网络管理系统就是管理者，还有网络管理协议都运行在专门的服务器或工作站上，代理者散布在与网络互连的各类被管设备上，管理者轮询各被管设备，以检查各系统的变量是不是正常，一旦代理软件监测到系统故障就会发出报警信息，管理者接到报警后会执行一系列动作，包括通知网络管理员、生成事件

-3

- 好好学习，天天向上

日记、自动修复或关闭系统等。同时，代理软件也会将被管设备的信息存储到管理信息库中。一个管理者可以和多个代理进行信息交互，一样，一个代理也可以接受多个管理者的操作。

网络管理协议负责网络管理系统和被管网络设备的网管代理之间交互和信息格式的转换

所有与网络互连的路由器、互换机、主机、服务器、乃至打印机等都可以作为被管设备。所有这些设备都运行着一个网管代理软件，若是该设备不能与网络管理进程直接互换信息，就需要利用外部代理。

9.1.4 简单网络管理协议

目前比较流行的网络管理需要有简单网络管理协议（SNMP）和公共管理信息协议（CMIP）。

简单网络管理协议是Internet组织用来管理国际互联网的网管协议，它通过轮询、设置关键字和监视网络事件来管理整个网络。

1. SNMP的发展

SNMP原是用于解决Internet上的路由器管理问题而提出来的。它简单，容易实现，通过不断改良，已从1993年的V1版发展到现今的v2和v3版。

2. SNMP的特点

⑴ 体系结构具有可扩充性；

⑵ 有较强的独立性，不依赖任何厂商、任何型号的计算机、网络拓扑和网络传输协议；

⑶ 有较强的远程管理功能，能实现对互联网的网络资源的管理；

-4

- 好好学习，天天向上

⑷ 尽可能地降低管理代理的软件本钱和资源要求； 3. SNMP模型

SNMP是一系列协议和规范，它提供了一种搜集网络管理信息的方式，同时也为设备向网络管理工作站报告问题和错误提供了一种方式。

从被管设备中搜集数据有两种方式： ⑴ 轮询法

该种方式是按必然的时间距离，轮流搜集各个设备的数据。它的长处是管理方便，缺点在于信息的实时性较差，又会产生太多的通信量。若是轮询时间距离太大，则疏忽一些灾难性的事件。

⑵ 基于中断的方式

它的长处在于发生异样事件时，可以当即通知网络管理工作站，缺点是中断服务需要占用大量的系统资源，有可能会影响整个网络的性能。

⑶ 面向自陷的轮询方式

网络管理工作站轮询被管理设备中的代理来搜集数据，而且在网管控制台上用数据和图形不断显示网管数据。网络代理可以在任何时候向网络管理工作站报告运行状况，网管员可以很容易地分析和控制网络的信息流向和流量。因此，在这种方式下，网络管理工作站就可以够随时取得错误发生信息，而没必要等到轮询该设备时。

9.1.5 网络管理产品

在网络管理的体系结构中，包括了管理者和管理代理两个部份，相应的网络管理产品也有两大类：管理者网管平台和网管代理的网管工具。

-5

- 好好学习，天天向上

⑴ 管理者网管平台

HP公司的Open View ,CA公司的Unicenter TNG , IBM公司的Tivoli TME10 ，SUN公司的 Net Manager 等。

⑵ 管理代理的网管工具

CISCO公司的Works 2000，3COM公司的Tran Scend ,BAY公司的Network Optivity等。

网络安全

9.2.1 网络安全概述

计算机网络由计算机和通信网络两部份组成，其中计算机是通信网络的终端和信号源，通信网络是提供数据传输的基础设施，计算机网络的大体功能是实现资源共享。网络越先进，共享的程度就越高，可是，其所受到的安全要挟也同时加大。

1. 网络安全的概念

网络安全涉及到多方面的技术，包括通信、密码学、操作系统、数据库等，还包括应用安全和管理安全等。总的说来，网络安全可以分为三大方面：

⑴ 网络设备、网络软件的系统安全； ⑵ 网络的信息安全； ⑶ 网络管理的安全；

网络安全的概念就是：通过采取各类技术和管理的安全办法，使网络系统维持正常运行，从而确保网络数据的可用性、完整性和保密性。

-6

- 好好学习，天天向上

网络安全的目的是确保通过网络所传送的数据不会发生修改和丢失。

2. 网络安全需求 ⑴ 安全性

安全性包括内部安全和外部安全。内部安全要从系统软、硬件两方面来考虑，包括对用户进行识别和认证，避免非授权用户访问系统，数据的加密，对系统解决性的检测和对入侵用户的跟踪等。外部安尽是从系统的物理安全角度考虑的，包括对网外用户的直接访问控制等。

⑵ 可用性

要求系统在任何情况下，随时都可以向用户提供系统的信息服务。 ⑶ 保密性

网络上的信息只能给授权用户利用，不能泄漏给授权外的任何人。 ⑷ 完整性

保证信息在传输进程中不被窃取或蓄意修改等。

3. 网络安全服务

⑴ 身份认证

采用密码口令、指纹、声音等来辨别身份。 ⑵ 授权控制

授权是针对越权利用资源而采用的一种防御办法。实现上可采用权限分派表或多极访问控制等技术。

⑶ 数据保密

数据保密就是采用某种算法把原来的数据加以变换，成为不易识别的数据

-7

- 好好学习，天天向上

技术。

⑷ 数据完整性

主要针对非法窜改信息而设立的防护办法，保障合法用户利用数据的真实性。

⑸不可否定

它是为了保护通信用户免遭来自于合法用户的解决，同时要记录下曾经发生过的操作以防对方抵赖的防御办法。如电子商务中的电子签名就是典型的不可否定。

4.计算机网络面临的要挟 ⑴ 人为的无心失误

这些都是用户安全意识不强，粗心随意所致。 ⑵ 人为的歹意解决

这是计算机网络面临的最大要挟。 ⑶ 网络软件的漏洞和后门

网络软件不可能是百分之百的无缺点，无漏洞，这些恰恰就是黑客解决的目标。软件的“后门”是软件设计编程人员为了自己的方便而设置的，一般不为外人所知，但一旦后门洞开，其后果不堪假想。

9.2.2 网络安全技术

1. 数据加密技术

所谓加密（E：Encryption）是将数据信息（明文）转换为不可识别的形式。反过来，将密文还原为明文的进程就称为解密（D：Decryption）。

-8

- 好好学习，天天向上

加密技术不仅提供保密通信，也是许多其它安全机制的基础，是保障网络安全的基石。

数据加密、解密图解见P196图。

2.网络加密技术

在计算机网络中，数据加密分为两种： ⑴ 传输进程中的加密 ⑵ 存储数据加密

实现加密的方式，一般也有硬件加密和软件加密两种方式。 ⑴ 硬件加密

加密机安装在计算机和moden之间。长处：不影响软件平台和网络协议，不影响系统速度，保密性好，运算速度高，接口通用性好。缺点：硬件的费用较高。

⑵ 软件加密

长处：投资少，生效快，利用保护方便。缺点：加密软件会影响系统速度，而且，一旦被盗，不易发现。

3. 防火墙技术 ⑴ 防火墙的概念

防火墙是一种概念，它表现了以下三个层次的内容： 其一，它是一种安全策略和防范办法的总称。

其二，它是一种访问控制技术。防火墙在需要保护的内部网络与有解决性的外部网络之间设置一道隔离墙，检测并过滤所有从外部网络传来的信息和通

-9

- 好好学习，天天向上

向外部网络的信息，以保护网络内部敏感数据不被偷窃和破坏。一个好的防火墙应该是屏蔽的信息都是应该屏蔽的信息，准入的信息都是应该准入的信息。

其三，它是由一组能够提供网络安全保障的硬件、软件组成的系统。一个防火墙系统，可用是一个路由器、一台主机或主机群，或软、硬并用，也可能只是一套软件产品。

⑵ 防火墙的局限性

1 不能防范歹意的知情者。防火墙可用禁止系统用户通过网络连接发送○

专有信息，但用户可将数据复制到其它设备带出去。

2 不能防范不通过它的连接。 ○

3 不能防范全数的要挟。任何一个设计方案都不可能防范所有新的要挟。○ 4 防火墙不能防范病毒。 ○

4. 认证技术、入侵检测技术和VPN技术 ⑴ 认证技术

加密保证了网络信息的机密性，认证则保护了信息的真实性和完整性。认证技术目的有两个：

1 识别信源的真实性，即验证发言人是不是确实不是冒充。 ○

2 查验发送信息的完整性，即验证发送的信息是不是被窜改。 ○

⑵ 入侵检测技术

入侵检测技术是一种主动保护网络安全免受解决的技术。它从网络中的若干关键点搜集信息，并分析这些信息，看看网中是不是有违背安全策略的行为和受到解决的迹象，从而使系统管理可以有效地监视和评估自己。入侵检测系统在发现入侵后，会及时作出响应，包括切断网络连接并记录事件和报警。

-10

- 好好学习，天天向上

一个好的入侵检测系统应该是配置简单，便于管理，不但可使网管员能及时了解网络系统的任何变更，还能给网络安全的策略制定指南。

常常利用的入侵检测技术有5种：基于应用、主机、目标、网络及综合的入侵检测。

⑶ 虚拟专用网技术

虚拟专用网（VPN）是利用公共网络资源为用户成立的专用网，它穿过公共网为用户成立起一条安全稳定的连接。VPN有两个特点：

1 虚拟的网，即没有固定的连接，需要时才成立。 ○

2 利用公共网资源成立的网。 ○

VPN提供了三个方面的功能：加密、认证和访问控制。按照不同的需要可以构建不同的VPN:

1 内部网VPN，即在企业内部网络之间成立的虚拟专用网络。 ○

2 远程访问虚拟网，即在企业总部和远地员工之间成立VPN。 ○

3 外联网VPN，即在企业、合作伙伴、顾客、供给商之间成立的VPN。 ○

对于一个地域散布广，分支机构相距遥远的企业内部网来讲，为保证不同地域的部门之间的信息传输的靠得住性和完整性，采用VPN技术是最佳方案。

5. 防病毒和反病毒技术 ⑴ 预防病毒技术

它通过自身常驻系统内存，优先取得系统的控制权，监视和判断系统中是不是有病毒存在，进而阻止病毒进入计算机系统。技术手腕有：加密可执行程序，引导区保护，系统监控与读写控制等。

⑵检测病毒技术

-11

- 好好学习，天天向上

它是通过对病毒的特征来进行检测，侦测关键字和侦测文件长度的转变等。病毒检测一直是病毒防护的支柱。

⑶消除病毒技术

通过对计算机病毒的分析，开发出杀病毒程序以恢恢复文件。由于病毒愈来愈复杂，最新的防病毒技术，应将病毒检测、多层数据保护和集中管理等多种功能集成起来，形成覆盖全网的多层次防御系统。

6． 其它网络安全防范办法 P 200

-12