时间:2023-04-20 18:09:08
导言:作为写作爱好者,不可错过为您精心挑选的10篇计算机网络分析论文,它们将为您的写作提供全新的视角,我们衷心期待您的阅读,并希望这些内容能为您提供灵感和参考。
不同的用户对网络信息安全的定义有所不同,作为普通用户,我们希望自己的个人信息不被窃取;在国家层面上,信息安全就是杜绝一切需要保密的信息外泄。
1.2网络信息安全模型
根据TCP/IP协议,网络安全体系应保证物理层的比特流传输的安全;保证介质的访问和链路传输的安全的链路安全;保证被授权客户使用服务的网络层安全;保证客户资料和操作系统访问控制安全的会话层安全;利用多种技术增强计算机应用软件安全的应用平台安全和为用户服务的应用系统安全。如图所示:图1 体系层次模型1.3网络信息安全的脆弱性网络信息安全的脆弱性如下:1)由于程序员设计程序时考虑不全面或者故意设置的后门;2)厂家设置参数时由于疏忽大意而产生的错误设置;3)TCP/IP协议为了注重开放性而产生的不可避免的安全缺陷;4)用户在使用过程中,由于疏忽而导致数据输入错误而产生的安全缺陷;5)由于意外而出现的运行错误;6)Internet自身的安全缺陷。
2网络信息安全的主要技术
2.1防火墙技术
简单实用、不需要修改原有的网络应用系统下能达到一定安全要求的防火墙是网络安全的主要技术之一,它既能过滤流出的IP包,同时也能屏蔽外部危险的IP,从而保护内部的网络。防火墙最大的特点是可以过滤所有由外到内和由内到外的数据,只有符合要求的数据包才能被防火墙放行,不符合的数据包都被防火墙屏蔽,并且防火墙自身具有防侵入的功能。但需要说明的,防火墙的安装的前提是公司或者企业对于内外网络连接中需要数据保护功能,而对于公司或者企业内网则需要用其他方式来实现,因为防火墙由于需要过滤内外数据,而使网络信息传输速度变慢。对于用户来说,常使用非常方便和实用的防止电脑中的信息被侵袭的个人防火墙技术,个人防火墙能有效的监控及管理系统,防止病毒、流氓软件等通过Internet进入自己的电脑或者自己电脑中的信息在无意中向外扩散。
2.2数据加密技术
在信息时代,信息既能帮助大家,也能威胁大家,甚至造成破坏,比如存在竞争的公司和企业间,信息的泄露造成的损失会很大,所以就需要一种强有力的技术对数据进行保护,防止信息数据被盗或者被篡改,而且对数据进行加密或者解密的操作比较简单,便于掌握。数据加密技术通过加密和解密的操作限制除合法使用者以外的人获取信息数据,对信息进行保护。利用一个密匙进行加密和解密的对称加密技术和利用配对的“公匙”和“私匙”进行加密和解密的非对称加密技术是目前最常用的加密技术。
2.3访问控制技术
我们知道,在网络中,登录时通常是中身份验证的方法,但是,进入网络后用户能做什么?权限有哪些?这些是访问控制技术需要解决的问题。访问控制技术既能阻止无权限的用户访问资源,对资源进行保护;也能设置机制允许被授权者访问限定资源。作为信息安全保障机制核心内容的访问控制能有效的对资源进行保护,它是信息安全保护中最基础的机制也是最重要的安全机制。
2.4虚拟专用网技术
目前,既是最新也是最成功的解决信息安全的技术之一就是虚拟专用网技术,这种技术在数据传输中进行加密和认证,使用起来成本既低于传统的专线方式又安全性较高。虚拟专用网应用范围很广,我们通常在家里用的拨号上网以及在办公室办公时用的内网都属于虚拟专用网,由于VPN比较复杂,安全性增强,通过加密和认证使VPN有效保护了信息资源。
2.5安全隔离技术
我们知道,由于计算机技术的不断发展、创新,现在新型的网络攻击应运而生,这就需要开发高安全性的防新型网络攻击的技术,而安全隔离技术是把危险的信息资源隔离在外面同时保证内网的安全。
2.6身份认证技术
在我们登录QQ、微信、百度文库、淘宝及需要注册成会员的页面都需要用户名和密码,只有输入正确的用户名和密码,我们才能进入页面,有的地方或者页面需要语音、虹膜等生物特征认证才能进入等,这种需要认证才能进入的技术就是身份认证技术,它的本质是通过只有被认证方自己知道的信息来使认证方认证被认证方的身份。身份认证技术有两种:密码认证和生物特征认证。密码认证方式主要是通过用户名和密码来实现的,认证方发放给有权限的用户口令,用户输入用户名和密码后,认证方通过后台核对被认证方的口令是否正确,如果正确,用户就可以进入登录页面使用某些功能。认证方式方便可行,但是它的安全性主要取决于用户设置的密码的长度、复杂度和用户对密码的保密程度,这就容易遭到猜测软件的攻击,只要攻击方获取了用户的密码,用户的信息和资源就泄露了,最好的解决方法就是用户将自己的口令加密。生物特征认证相对于密码认证要安全的多,它是计算机利用人生理和行为特征上的唯一性进行身份认证,就像现在很多企业和公司进行考勤形式一般都是采用指纹、虹膜、视网膜等进行电子考勤。有一些单位在保密权限上录入声音、步态等特征进行身份识别,这种利用人生理和行为特征的唯一性进行考勤的优点是不会产生遗忘密码的情况并且防伪性很高,安全性很高。
3常见的网络攻击方法以及防范策略
3.1网络攻击概念简述
我们知道程序员在书写程序时由于疏忽或者处于某种原因自留后门,这些都会产生漏洞,网络攻击者就通过这些漏洞进行网络攻击。那么,哪些属于网络攻击呢?众所周知,Internet是个开放性的网络环境,网络攻击者通常通过漏洞进入用户的计算机中盗取用户的个人信息、银行密码、用户进入系统的权限或者破坏数据等造成系统不能正常发挥功能;互联网在传输信息数据时依据的是TCP/IP协议,而这些协议在数据信息传输过程中保护功能不足,容易遭到入侵者攻击;我们的电子邮件信息不如传统的信件那样有邮票、邮戳、信封等保护措施,我们有时无法判断我们邮件是否真实、是否存在被篡改、是否误投、是否伪造等,这就使我们在传输重要邮件时容易别攻击,产生泄密事件,并且,一些计算机病毒也通常通过邮件传播,使我们的电脑遭到攻击,丢失重要信息数据。攻击者常常通过隐藏自己的IP信息来寻找要攻击的主机并设法获取账号和密码,进入主机后获取控制权盗取用户的个人资料和网络资源以及特权,达到自己的攻击目的。
3.2网络攻击常用方法及预防策略
1)利用型攻击:主要是攻击者企图进入你的计算机并对你的计算机进行控制。这种攻击类型的防御侧策略如下:(a)设置多种符号组成的比较复杂的口令用来阻止攻击者进行口令猜测,同时,如果你的服务有锁定功能,要进行锁定。(b)一旦发现程序可疑,一定不要下载、不要执行并安装木马防火墙进行隔离木马。(c)要定时更新系统,防止缓冲区溢出。2)信息收集型攻击:主要是攻击者为了进一步攻击而进行收集信息的攻击行为,它主要包括扫描技术、利用信息资源服务以及系统体系架构进行刺探三种攻击方式。对于这三种行为的防御策略分别如下:(a)对于扫描技术的防御主要是通过防火墙技术阻隔扫描企图和过滤Icmp应答。(b)对于利用信息服务的防御主要是通过防火墙过滤请求或者过滤掉地址并阻断刺探内部信息的LDAP并做相应的记录。(c)对于体系结构探测的防御是去掉或修改计算机运行过程中出现的各种banner,对用于识别的端口进行阻断从而达到扰乱攻击者的攻击计划。3)假消息攻击:主要是攻击者利用不正确的信息实施的攻击方法,它通常有两种攻击方式,分别是通过DNS服务器进行攻击和利用伪造邮件进行攻击。针对这两种攻击方法采取的策略分别如下:(a)对于DNS服务器进行攻击的防御策略是利用防火墙过滤入站的DNS更新,阻断DNS污染。(b)对于伪造邮件进行攻击的防御策略是使用安全工具和电子邮件证书进行隔离带木马病毒的电子邮件,并且对于不认识的垃圾电子邮件一概不点开,从而防止木马病毒的入侵。4)网页攻击:在我们浏览网页时会被网页内嵌套的代码程序强行改变我们的默认网页并修改我们的注册表等信息,破坏计算机中的数据信息甚至格式化我们的电脑硬盘。它通常有两种攻击方式,分别是以破坏系统为目的的攻击windows系统和强行修改我们的IE浏览器。下面对我们使用计算机过程中常出现的网页攻击方式及应对策略进行分析:(a)强行修改我们的默认首页对应策略:由于修改默认网页需要修改注册表,我们只要把我们的注册表修改过来就可以了。(b)格式化硬盘对应策略:这是一种很恶意的网页攻击,一般操作在后台,我们很难发现,这就要求我们要及时升级微软的安全补丁来及时修补系统的漏洞,阻隔攻击者的攻击。(c)网页炸弹应对策略:网页炸弹其实就是一个死循环,我们平时在浏览网站时,一定不要轻易进入不了解的网站和不要轻易打开陌生人发来的邮件附件。(d)文件被非法读取 此攻击通过代码调用脚本来读取文件或者利用IE漏洞非法读取本地文件。应对策略:通过提高我们浏览器的安全级别和禁用JavascriP来阻隔攻击者的攻击。
3.3计算机病毒
为了便于大家自己的电脑是否中病毒,下面把电脑中病毒的主要症状描述如下:1)电脑的运行速度明显变慢。2)电脑的存储容量突然变小。3)开机明显变得特别慢。4)电脑中的文件大小突然变大。5)电脑经常无缘无故的死机。6)电脑的屏幕异常显示。7)键盘输入时出现异常。8)文件突然不能读取并复制不了、打开不了。9)文件的日期等属性突然发生改变了。10)电脑的时间显示时倒转运行。11)不断要求用户重复输入密码。12)运行过程中系统突然重启。当我们发现电脑中病毒了,我们应采取什么措施进行清理病毒呢?首先,我们要养成安装可靠杀毒软件并定时更新的习惯。其次,我们要定时清理我们的电脑,清除碎片。再次,我们要养成健康的用电脑方式和方法,尽量少双击鼠标,多用鼠标点击右键打开文件。
典型的办公室环境包含很多服务,主要有DNS、电子邮件、认证服务、联网以及打印等等。这些服务非常重要,一旦没有了这些服务会对你产生很大的影响。其它典型的服务还包括各种远程接入方法、网络证书服务、软件仓库、备份服务、连接因特网、DHCP、文件服务等等。如此多的服务确实令人厌倦,但这也证明了系统管理员团队所创造并维护的服务是如此之多。你给用户的每一个技术支持都包含了系统管理员团队提供的服务在里面。
提供一个服务绝不仅仅是简单的把硬件和软件累加在一起,它包括了服务的可靠性、服务的标准化、以及对服务的监控、维护、技术支持等。只有在这几个方面都符合要求的服务才是真正的服务。
系统管理员的主要职责之一就是为用户提供他们所需要的服务,这是一项持续性的工作。随着技术的进步和用户工作的开展,用户的要求也会越来越高,结果系统管理员就必须花费大量的时间来设计并创建新的服务,创建的新服务的质量决定了以后系统管理员们对它们提供技术支持时所花费时间和精力的多少,同时也决定了用户的满意程度。
一、服务的基本问题
创建一个稳定、可靠的服务是一个系统管理员的重要工作。在进行这项工作时系统管理员必须考虑许多基本要素,其中最重要的就是在设计和开发的各个阶段都要考虑到用户的需求。要和用户进行交流,去发现用户对服务的要求和预期,然后把其它的要求如管理要求等列一个清单,这样的清单只能让系统管理员团队的人看到。在这样一个过程中"是什么"比"怎么样"更重要,否则在具体执行时很容易就会陷入泥潭而失去目标。
服务应该建立在服务器级的机器上而且机器应该放在合适的环境中,作为服务器的机器应当具备适当的可靠性和性能。服务和服务所依赖的机器应该受到监控,一旦发生故障就发出警报或产生故障记录清单。
大多数服务都依赖其它服务,通过进一步理解服务是如何进行的,会使你洞悉这个服务所依赖的其它的服务。例如,几乎所有的服务都依靠域名服务(DNS)。要给一个服务配置机器名或域名,要靠DNS;要想在日志文件中包含所使用服务或服务访问过的主机名,要用到DNS;如果你进入一台主机通过它的服务联系别的机器,也要用到DNS。同样,几乎所有的服务都依靠网络,其实网络也是一种服
DNS是依靠网络的,所以所有依赖DNS的服务也依靠网络。有一些服务是依靠email的(而email是依赖DNS和网络的),还有别的服务依靠访问其它计算机上的共享文件,也有许多服务也依靠身份认证和授权服务来对人们进行区分,特别是在那些基于认证机制而又具有不同级别服务权限的环境中。某些服务如DNS的故障,会引起所有依赖DNS的其它服务的一连串的失败。所以在构建一个服务时,了解它所依赖的其它服务是非常重要的。
作为服务一部分的机器和软件应当依赖那些建立在相同或更高标准上的主机和软件,一个服务的可靠性和它所依赖的服务链中最薄弱环节的可靠性是相当的。一个服务不应该无故的去依赖那些不是服务一部分的主机。
为了可靠性和安全性,对服务器的访问权限应当进行限制,只有系统管理员才能具有访问权限。使用机器的人和机器上运行的程序越多,发生内存溢出或突然出现其它故障、服务中断的机会就越大。用户使用计算机时总喜欢多装点东西,这样他们就能方便的存取自己需要的数据和使用其它的服务。但是服务器应该是尽可能的简单,简单化可以让机器更加可靠,发生问题时更容易调试。服务器在满足服务运转正常的前提下应当安装最少的东西,只有系统管理员们具有安装权限,而且系统管理员们登录服务器时应该也只是为了维护。从安全的角度来看,服务器比普通的台式机更敏感。入侵者一旦获得了服务器的管理员权限,他所能做的破坏比获得台式机管理员权限所能做的破坏大的多!越少的人具有管理员权限,服务器运行的东西就越少,入侵者获得权限的机会就越小,入侵者被发现的机会就越大。
系统管理员在构建一个服务时必须要作几个决策,比如从哪个厂家买设备、对于一个复杂的服务用一台还是多台服务器、构建服务时要留多大的冗余度。一个服务应该尽可能的简单,尽可能小的依赖性,这样才能提高可靠性和易维护性。
另一个使服务易于维护的方法是使用标准硬件、标准软件、标准配置以及把文件放在标准位置,对服务进行集中管理。例如,在一个公司中,用一个或两个大的主要的打印服务器比零星分布的几百个小服务器使服务更容易得到支持。最后,也是非常重要的是在执行一些新服务时,服务所在的机器在用户端配置时最好使用基于服务的名字,而不是用真实的主机名,这样服务才会不依赖于机器。如果你的操作系统不支持这个功能,那就去告诉你的操作系统销售商这对你很重要,同时要考虑是否使用别的具有这个功能的操作系统。
一旦服务建好并完成了测试,就要逐渐转到用户的角度来进行进一步的测试和调试。
1.用户的要求
建立一个新服务应该从用户的要求开始,用户才是你建立服务的根本原因。如果建立的服务不合乎用户的需要,那简直就是在浪费精力。
很少有服务不是为了满足用户的需求而建立的,DNS就是其中之一。其它的如邮件服务和网络服务都是明显为了用户的需求建立的。用户需要他们的邮件用户端具备某些功能,而且不同的用户想要在网络上作不同是事情,这些都依靠提供服务的系统设置情况。其它的服务如电子购物系统则更是以用户为导向的了。系统管理员们需要理解服务怎样影响用户,以及用户的需求又如何反过来对服务的设计产生影响。
搜集用户的需求应该包括下面这些内容:他们想怎样使用这些新服务、需要哪些功能、喜欢哪些功能、这些服务对他们有多重要,以及对于这些服务他们需要什么级别的可用性和技术支持。如果可能的话,让用户试用一下服务的试用版本。不要让用户使用那些很麻烦或是不成功的系统和项目。尽量计算出使用这个服务的用户群有多大以及他们需要和希望获得什么样的性能,这样才能正确的计算。
2.操作上的要求
对于系统管理员来说,新服务的有些要求不是用户直接可见的。比如系统管理员要考虑到新服务的管理界面、是否可以与已有的服务协同操作,以及新服务是否能与核心服务如认证服务和目录服务等集成到一起。
系统管理员们还要考虑怎样规划一个服务,因为随着公司规模的增长,所需要的服务当然也会比当初预期的有所增长,所以系统管理员们还得想办法在增长服务规模的同时不中断现存的服务。
一个相对成熟的方法是升级服务的路径。一旦有了新版本,如何进行升级呢?是否得中断现在的服务呢?是否要触及桌面呢?能不能慢慢地逐渐升级,在整个公司发生冲突之前先在一些人中进行测试呢?所以要尽量把服务设计得容易升级,不用中断现有的服务就能升级,不要触及桌面而且能慢慢地逐渐升级。
从用户期望的可靠性水平以及系统管理员们对系统将来要求的可靠性的预期,系统管理员们就能建立一个用户期望的功能列表,其内容包括群集、从属设备、备份服务器或具有高可用性的硬件和操作系统。
系统管理员们需要考虑到由服务主机位置和用户位置而引起的网络性能问题。如果远程用户通过低带宽、高等待时间连接,那这样的服务该怎么完成呢?有没有一种方法可以让各个地方的用户都获得好的或比较好的服务呢?销售商很少测试用他们的产品连接时是否高等待时间的――即RTT值是否比较大――每个人从程序员到销售员都忽略了这个问题。人们只是确信内部测试的结果。
3.开放的体系结构
一个新服务,不管在什么情况下,只要可能,就应该建立在使用开发式协议和文件格式的体系结构上。特别是那些在公共论坛上记录成文的协议和文件格式,这样销售商才能依据这些标准生产出通用的产品。具有开放体系结构的服务更容易和其它遵循相同标准的服务集成到一起。
开放的反义词是私有,使用私有协议和文件格式的服务很难和其它产品共同使用,因为私有协议和文件格式的改变可以不通知,也不要求得到协议创造者的许可。当销售商扩展到一个新领域,或者试图保护自己的市场而阻止创造一个公平竞争的环境时,他们会使用私有协议。
有时销售商使用私有协议就是为了和别的销售商达成明确的许可协议,但是会在一个销售商使用的新版本和另一个销售商使用的兼容版本之间存在明显的延迟,两个销售商所用的版本之间也会有中断,而且没有提供两个产品之间的接口。这种情况对于那些依靠它们的接口同时使用两种产品的人来说,简直是一场恶梦。
商业上使用开放协议的例子很简单:它使你能够建立更好的服务,因为你可以选择最好的服务器和用户端软件,而不必被迫地选择,比如在选择了最好的用户端后,又被迫选择不是最理想的服务器。用户想要那些具有他们需要的功能,而又易于使用的应用程序,而系统管理员们却希望服务器上的应用程序易于管理,这两个要求常常是冲突的。一般来说,或者用户或者系统管理员们有更大权利私下做一个另对方惊奇的决定。如果系统管理员们做了这个决定,用户会认为他们简直是法西斯,如果用户做了这个决定,这会成为一个难以管理的包袱,最终使得用户自己不能得到很好的服务。一个好的解决方法就是选择基于开放标准的协议,让双方都能选择自己的软件。这就把用户端应用程序的选择同服务器平台的选择过程分离了,用户自由的选择最符合自己需要、偏好甚至是平台的软件,系统管理员们也可以独立地选择基于他们的可靠性、规模可设定性和可管理性需要的服务器解决方案。系统管理员们可以在一些相互竞争的服务器产品中进行选择,而不必被囿于那些适合某些用户端应用程序的服务器软件和平台。在许多情况下,如果软件销售商支持多硬件平台,系统管理员们甚至可以独立地选择服务器硬件和软件。
我们把这叫做用户选择和服务器选择分离的能力。开放协议提供了一个公平竞争的场所,并激起销售商之间的竞争,这最终会使我们受益。
开放协议和文件格式是相当稳定的,不会经常改动(即使改动也是向上兼容的),而且还有广泛的支持,能给你最大的产品自主选择性和最大的机会获得可靠的、兼容性好的产品。
使用开放系统的另一个好处是和其它系统连接时不再需要额外的网关。网关是不同系统能连接在一起的黏合剂。虽然网关能节省你的时间,但使用开放协议的系统彻底避免了使用网关。网关作为一项额外的服务也需要计划、设计、监测以及本章所讲的其它关于服务的每一样东西,减少服务可是一件好事。
当下次有销售人员向你推销一些忽略IETF(因特网工程任务组)标准和其它工业标准的产品,如日历管理系统、目录服务等的时候,想想这些教训吧!虽然销售商会承诺再卖给或者免费送给你性能优越的网关产品。使用标准协议就是使用IETF的标准,而不是销售商的私有标准,销售商的私有协议以后会给你带来大麻烦的。
4."简单"的价值
在建立一个新服务时,简单是首先要考虑的因素。在能满足所有要求的解决方案中,最简单的才是最可靠、最容易维护、最容易扩展以及最易于和其它系统集成到一起的。过度复杂将导致混乱、错误、使用困难以及明显的运行速度下降,而且使安装和维护的成本增加。
当系统规模增长的时候,还会变得更复杂,这是生活常识。所以,开始尽可能的简单可以避免系统过早出现"太复杂"的情况。想一想,如果有两个销售人员都打算推销他们的系统,其中一个系统有20个功能,另外一个有40个功能,我们就可以认为功能多的软件可能会有更多的错误,它的销售商就更难以有时间维护他的系统代码。
有时,用户或系统管理员们的一两个要求就会使系统的复杂度增加很多。如果在设计阶段遇到这样的要求,就值得去寻找为什么会有这种要求,并估价其重要性,然后向用户或系统管理员们解释,这样的要求能够满足,但要以降低可靠性、支持水平和可维护性为代价。根据这些,再让他们重新决定是坚持这样的要求,还是放弃。
三、其它需要考虑的问题
建立一个服务除了要求可靠、可监测、易维护支持,以及要符合所有的我们基本要求和用户的要求外,还要考虑到一些特别的事情。如果可能的话,应该让每个服务使用专门的机器,这么作可以让服务更容易得到支持和维护,也能减少忘记一些服务器机器上的小的服务的机会。在一些大公司,使用专门的机器是一条基本原则,而在小公司,由于成本问题,一般达不到这个要求。
还有一个观念就是在建立服务时要以让服务完全冗余为目标。有些重要的服务不管在多大的公司都要求完全冗余。由于公司的规模还会增长,所有你要以让所有的服务都完全冗余为目标。
1.使用专门的机器
理想的情况,服务应该建立在专门的机器上。大网站应该有能力根据服务的要求来调整到这个结构,而小网站却很难做到。每个服务都有专门的机器会使服务更可靠,当发生可靠性问题是也容易调试,发生故障的范围更小,以及容易升级和进行容量计划。
从小公司成长起来的大网站一般有一个集中管理的机器作为所有重要服务的核心,这台机器提供名字服务、认证服务、打印服务、邮件服务等等。最后,由于负荷的增长,机器不得不分开,把服务扩展到别的服务器上去。常常是在这之前,系统管理员们已经得到了资金,可以买更多的管理用的机器,但是觉得太麻烦,因为有这么多的服务依赖这机器,把它们都分开太难了。当把服务从一台机器上分开时,IP地址的依赖最难处理了,有些服务如名字服务的IP地址都在用户那里都已经记得很牢固了,还有一些IP地址被安全系统如路由器、防火墙等使用。
把一个中心主机分解到许多不同的主机上是非常困难的,建立起来的时间越长,上面的服务越多,就越难分解。使用基于服务的名字会有所帮助,但是必须整个公司都使用标准化的、统一的、始终如一的名字。
2.充分的冗余
充分的冗余是指有一个或一系列复制好的服务器,能在发生故障的时候接管主要的故障设备。冗余系统应该可以作为备份服务器连续的运行,当主服务器发生故障时能自动连上线,或者只要少量的人工干预,就能接管提供服务的故障系统。
你选择的这类冗余是依赖于服务的。有些服务如网页服务器和计算区域,可以让自己很好的在克隆好的机器上运行。别的服务比如大数据库就不行,它们要求连接更牢固的崩溃恢复系统。你正在使用的用来提供服务的软件或许会告诉你,冗余是以一种有效的、被动的、从服务器的形式存在的,只有在主服务器发生故障并发出请求时,冗余系统才会响应。不管什么情况,冗余机制必须要确保数据同步并保持数据的完整。
如果冗余服务器连续的和主服务器同步运行,那么冗余服务器就可以用来分担正在正常运行的负荷并能提高性能。如果你使用这种方法,一定要注意不要让负荷超出性能不能接受的临界点,以防止某个服务器出现故障。在到达临界点之前要为现存系统增加更多的并行服务器。
有些服务和网站每时每刻的功能都集成在一起,所以它们在网站建立的早期就做到充分冗余了。别的仍然被忽视,直到网站变得很大,出现了一些大的、明显的故障。
名字服务和认证服务是典型的、首先要充分冗余的服务。这么做的部分原因是软件就是设计得要有辅助服务器,部分原因是它确实很重要。其它重要的服务如邮件服务、打印服务和网络服务,在以后才能被考虑到,因为要为它们作完全冗余会更复杂而且很昂贵。
在你做每一件事的时候,都要考虑到在哪儿作完全冗余才能让用户最受益,然后就从那儿开始吧。
1引言
随着计算机应用范围的扩大和互联网技术的迅速发展,计算机信息技术已经渗透到人们生活的方方面面,网上购物、商业贸易、金融财务等经济行为都已经实现网络运行,“数字化经济”(DigitalEconomy)引领世界进入一个全新的发展阶段。
然而,越来越开放的信息系统也带来了众多安全隐患,黑客和反黑客、破坏和反破坏的斗争愈演愈烈。在网络安全越来越受到人们重视和关注的今天,网络安全技术作为一个独特的领域越来越受到人们关注。
2网络安全
2.1网络安全定义
所谓网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的因素或者恶意的攻击而遭到破坏、更改、泄漏,确保系统能连续、可靠、正常地运行,网络服务不中断。常见的影响网络安全的问题主要有病毒、黑客攻击、系统漏洞、资料篡改等,这就需要我们建立一套完整的网络安全体系来保障网络安全可靠地运行。
2.2影响网络安全的主要因素
(1)信息泄密。主要表现为网络上的信息被窃听,这种仅窃听而不破坏网络中传输信息的网络侵犯者被称为消极侵犯者。
(2)信息被篡改。这是纯粹的信息破坏,这样的网络侵犯被称为积极侵犯者。积极侵犯者截取网上的信息包,并对之进行更改使之失效,或者故意添加一些有利于自已的信息,起到信息误导的作用,其破坏作用最大。
(3)传输非法信息流。只允许用户同其他用户进行特定类型的通信,但禁止其它类型的通信,如允许电子邮件传输而禁止文件传送。
(4)网络资源的错误使用。如不合理的资源访问控制,一些资源有可能被偶然或故意地破坏。
(5)非法使用网络资源。非法用户登录进入系统使用网络资源,造成资源的消耗,损害了合法用户的利益。
(6)环境影响。自然环境和社会环境对计算机网络都会产生极大的不良影响。如恶劣的天气、灾害、事故会对网络造成损害和影响。
(7)软件漏洞。软件漏洞包括以下几个方面:操作系统、数据库及应用软件、TCP/IP协议、网络软件和服务、密码设置等的安全漏洞。这些漏洞一旦遭受电脑病毒攻击,就会带来灾难性的后果。
(8)人为安全因素。除了技术层面上的原因外,人为的因素也构成了目前较为突出的安全因素,无论系统的功能是多么强大或者配备了多少安全设施,如果管理人员不按规定正确地使用,甚至人为露系统的关键信息,则其造成的安全后果是难以量的。这主要表现在管理措施不完善,安全意识薄,管理人员的误操作等。
3有效防范网络安全的做法
网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的因素或者恶意的攻击而遭到破坏、更改、泄漏,确保系统能连续、可靠、正常地运行,网络服务不中断。其中最重要的是指网络上的信息安全。
现在有很多人认为在网络中只要使用了一层安全就够了,事实并不是这样,一层根本挡不住病毒和黑客的侵袭。接下来我将逐点介绍网络安全的多点做法。
第一、物理安全。
除了要保证要有电脑锁之外,更多的要注意防火,要将电线和网络放在比较隐蔽的地方。我们还要准备UPS,以确保网络能够以持续的电压运行,在电子学中,峰值电压是一个非常重要的概念,峰值电压高的时候可以烧坏电器,迫使网络瘫痪,峰值电压最小的时候,网络根本不能运行。使用UPS可以排除这些意外。另外要做好防老鼠咬坏网线。
第二、系统安全(口令安全)。
要尽量使用大小写字母和数字以及特殊符号混合的密码,但是自己要记住。另外最好不要使用空口令或者是带有空格的,这样很容易被一些黑客识破。也可以在屏保、重要的应用程序和文件上添加密码,以确保双重安全。
第三、打补丁。
要及时的对系统补丁进行更新,大多数病毒和黑客都是通过系统漏洞进来的,例如今年五一风靡全球臭名昭著的振荡波就是利用了微软的漏洞ms04-011进来的。还有一直杀不掉的SQLSERVER上的病毒slammer也是通过SQL的漏洞进来的。所以要及时对系统和应用程序打上最新的补丁,例如IE、OUTLOOK、SQL、OFFICE等应用程序。另外要把那些不需要的服务关闭,例如TELNET,还有关闭Guset帐号等。
第四、安装防病毒软件。
病毒扫描就是对机器中的所有文件和邮件内容以及带有.exe的可执行文件进行扫描,扫描的结果包括清除病毒,删除被感染文件,或将被感染文件和病毒放在一隔离文件夹里面。要对全网的机器从网站服务器到邮件服务器到文件服务器到客户机都要安装杀毒软件,并保持最新的病毒库。因为病毒一旦进入电脑,它会疯狂的自我复制,遍布全网,造成的危害巨大,甚至可以使得系统崩溃,丢失所有的重要资料。所以至少每周一次对全网的电脑进行集中杀毒,并定期的清除隔离病毒的文件夹。第五、应用程序。
病毒有超过一半都是通过电子邮件进来的,所以除了在邮件服务器上安装防病毒软件之外,还要对PC机上的outlook防护,用户要提高警惕性,当收到那些无标题的邮件,或是不认识的人发过来的,或是全是英语例如什么happy99,money,然后又带有一个附件的邮件,建议用户最好直接删除,不要去点击附件,因为百分之九十以上是病毒。除了不去查看这些邮件之外,用户还要利用一下outlook中带有的黑名单功能和邮件过虑的功能。
很多黑客都是通过用户访问网页的时候进来的。用户可能碰到过这种情况,当打开一个网页的时候,会不断的跳出非常多窗口,关都关不掉,这就是黑客已经进入了你的电脑,并试图控制你的电脑。所以用户要将IE的安全性调高一点,经常删除一些cookies和脱机文件,还有就是禁用那些ActiveX的控件。
第六、服务器。
服务器最先被利用的目的是可以加速访问用户经常看的网站,因为服务器都有缓冲的功能,在这里可以保留一些网站与IP地址的对应关系。
服务器的优点是可以隐藏内网的机器,
这样可以防止黑客的直接攻击,另外可以节省公网IP。缺点就是每次都要经由服务器,这样访问速度会变慢。另外当服务器被攻击或者是损坏的时候,其余电脑将不能访问网络。
第七、防火墙
防火墙是指设置在不同网络(如可信任的企业内部网和不可信任的公共网)或网络安全域之间的一系列部件的组合。它可通过监测、限制及更改跨越防火墙的数据流,尽可能地对外部屏蔽内部网络的信息、结构和运行状况,以此来实现网络的安全保护。
在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,它有效地监控了内部网和Internet之间的任何活动,保证了内部网络的安全。
防火墙基本上是一个独立的进程或一组紧密结合的进程,控制经过防火墙的网络应用程序的通信流量。一般来说,防火墙置于公共网络(如Internet)入口处。它的作用是确保一个单位内的网络与Internet之间所有的通信均符合该单位的安全策略。防火墙能有效地防止外来的入侵,它在网络系统中的作用是:
(1)控制进出网络的信息流向和信息包;
(2)提供使用和流量的日志和审计;
(3)隐藏内部IP地址及网络结构的细节;
(4)提供虚拟专用网(VPN)功能。
防火墙技术的发展方向:目前防火墙在安全性、效率和功能方面还存在一定矛盾。防火墙的技术结构,一般来说安全性高的效率较低,或者效率高的安全性较差。未来的防火墙应该既有高安全性又有高效率。重新设计技术结构架构,比如在包过滤中引用鉴别授权机制、复变包过滤、虚拟专用防火墙、多级防火墙等将是未来可能的发展方向。
第八、DMZ。
DMZ是英文“demilitarizedzone”的缩写,中文名称为“隔离区”,也称“非军事化区”。它是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题,而设立的一个非安全系统与安全系统之间的缓冲区,这个缓冲区位于企业内部网络和外部网络之间的小网络区域内,在这个小网络区域内可以放置一些必须公开的服务器设施,如企业Web服务器、FTP服务器和论坛等。另一方面,通过这样一个DMZ区域,更加有效地保护了内部网络,因为这种网络部署,比起一般的防火墙方案,对攻击者来说又多了一道关卡。
第九、IDS。
在使用了防火墙和防病毒软件之后,再使用IDS来预防黑客攻击。IDS,就是分析攻击事件以及攻击的目标与攻击源,然后利用这些来抵御攻击,将损坏降低到最低限度。目前IDS还没有象防火墙那样用的普遍,但是这个也将是未来几年的趋势,现在一些政府已经开始使用。
2模糊层次分析法特征及其在计算机网络安全评价中的实施步骤
2.1模糊层次分析法特征
模糊综合评价法是把传统层次分析与模糊数学各方面优势考虑其中的综合型评价方法。层次分析法重视人的思想判断在科学决策中的作用,把人的主观判断数字化,从而有助于人们对复杂的、难以精确定量的问题实施量化分析。首先我们采用模糊数构造判断矩阵替代单纯的1-9标度法解决相对应的量化问题,其次,采用模糊综合评价法的模糊数对不同因素的重要性实施准确的定位于判断。
2.2模糊层次分析法步骤
网络安全是一门设计计算机技术、网络技术、通信技术、信息安全技术等多种学科的综合技术。计算机网络是现代科技化的重要信息平台,网络安全评价是在保障网络系统安全性能的基础上,实施的相关网络技术、网络安全管理工作,并把操作环境、人员心理等各个方面考虑其中,满足安全上网的环境氛围。随着计算机技术、网络技术的快速发展,网络应用已经牵涉多个领域,人们对网络的依赖度也日益加深,网络安全成为重要的问题。采用模拟层次分析法对计算机网络安全进行评价,模拟层次分析法实际使用步骤如下:2.2.1创建层次结构模型模糊层次分析法首先要从问题的性质及达到的总目标进行分析,把问题划分为多个组成因素,并根据各个因素之间的相互关系把不同层次聚集组合,创建多层次结构模型。2.2.2构建模糊判断矩阵因计算机网络安全评价组各个专家根据1-9标度说明,采用两两比较法,逐层对各个因素进行分析,并对上个层次某因素的重要性展开判断,随之把判断时间采用三角模糊数表示出现,从而创建模糊判断矩阵。2.2.3层次单排序去模糊化是为把模糊判断矩阵转换为非模糊化判断矩阵,随之在非模糊状态下使用模糊层次分析法。去模糊化之后对矩阵对应的最大根λmax的特征向量进行判断,对同一层次相对应的因素对上层某因素的重要性进行排序权值。2.2.4一致性检验为确保评价思维判断的一致性,必须对(Aa)λ实施一致性检验。一致性指标CI及比率CR采用以下公式算出:CI=(λmax-n)(/n-1);CR=CI/RI,在上述公式中,n表示判断矩阵阶数,RI表示一致性指标。2.2.5层次总排序进行层次总排序是对最底层各个方案的目标层进行权重。经过权重计算,使用自上而下的办法,把层次单排序的结果逐层进行合成。
3模糊层次分析法在计算机网络安全评价中的具体应用
使用模糊层分析法对计算机网络安全展开评价,我们必须以全面科学、可比性等原则创建有价值的安全评价体系。实际进行抽象量化时,使用三分法把计算机网络安全评价内的模糊数定义成aij=(Dij,Eij,Fij),其中Dij<Eij<Fij,Dij,Eij,Fij[1/9,1],[1,9]这些符号分别代表aij的下界、中界、上界。把计算机网络安全中多个因素考虑其中,把它划分为目标层、准则层和决策层三个等级目,其中准则层可以划分为两个级别,一级模块采用物理安全(C1)、逻辑安全(C2)、安全管理(C3)等因素组成,二级模块则划分为一级因子细化后的子因子。依照传统的AHP1-9标度法,根据各个因素之间的相互对比标度因素的重要度,标度法中把因素分别设为A、B,标度1代表A与B相同的重要性,标度3代表A比B稍微重要一点,标度5代表A比B明显重要,标度7则表示A比B强烈重要,标度9代表A比B极端重要。如果是倒数,应该依照矩阵进行判断。以此为基础创建不同层次的模糊判断矩阵,根据目标层、准基层、决策层的模糊对矩阵进行判断,例如:当C1=(1,1,1)时,C11=C12=C13=(1,1,1)。采用这种二分法或许各个层次相对应的模糊矩阵,同时把次矩阵特征化方法进行模糊。获取如下结果:准则层相对于目标层权重(wi),物理、逻辑、安全管理数据为:0.22、0.47、0.31。随之对应用层次单排序方根法实施权重单排序,同时列出相对于的最大特征根λmax。为确保判断矩阵的准确性和一致性,必须对模糊化之后的矩阵实施一致性检验,计算出一致性指标CI、CR数值,其中CI=(λmax-n)(/n-1),CR=CI/RI,当CR<0.1的时候,判断矩阵一致性是否两否,不然实施修正。最后使用乘积法对最底层的排序权重进行计算,确保或许方案层相对于目标层的总排序权重。
关键词:
新形势;计算机网络安全;漏洞扫描技术
我国科学技术不断进步,计算机技术发展尤为迅速,并且在我国社会生活中起着极为重要的作用,给我们的现实生活带来了很多的变化,使得我们与社会的联系越来越密切。然而,在运用电子计算机网络技术的过程中,由于计算机网络的开放性,给计算机用户带来很大的安全问题,用户的个人信息可能会泄漏,甚至会给人们的财产安全造成一定的威胁,所以,一定要对计算机网络安全问题有所重视,而且要采取相关措施来提高网络运用的安全性。我国相关部门一定要对计算机网络安全采取一定的行动,让网民可以安心上网。本文就是分析了在我国互联网技术不断发展的前提下,如何保障人民计算机网络运用的安全,提出了相关的建议和意见,希望可以减少网络带来的风险,更好的促进人们幸福生活。并对漏洞扫描技术进行了一定的分析,充分发挥其对网络病毒的抵制作用而且还能够修复相关的漏洞,从而保障网络安全。
1 新形势下计算机网络安全发展现状
这几年,我国计算机网络技术不断发展,计算机的信息处理能力是越来越强,更好地促进人们生活、学习、工作。我国人们在日常生活中也喜欢通过计算机网络来完成相关的工作,搜集相关信息。计算机网络有较强的开放性和便利性,人们可以在网上进行购物、联系沟通、工作,足不出户可通晓天下事,人们与世界的联系越来越密切。计算机网络技术在给人们带来便利的同时,也给人们带来了一定的风险和威胁。比如人们在网上购物或信息搜集时,会填写一些个人信息,这些个人信息一旦没有得到很好的保密,泄漏出去就会对人们的隐私安全和财产安全造成一定影响。甚至,有时会有新闻爆出相关人员因为个人信息泄漏,导致存款被盗。
因此,当前我国计算机网络安全问题频出,这需要我国相关部门引起重视,采取一定措施维护计算机网络系统安全,使得人们可以安心、放心上网。除此之外,还有计算机网络病毒给人们上网带来极大地安全困扰,计算机网络病毒的入侵会使得电脑程序混乱,造成系统内部瘫痪,有时还会造成人们本身已经准备好的相关数据的丢失,给人们工作、生活带来麻烦。而且,现在还有一些恶意软件会给计算机网络带来一定的危害,破坏电脑系统内部正常运行,使得计算机内部混乱,无法正常工作,造成计算机系统死机等。总之,我国当前计算机网络安全问题非常多,这些问题已经严重影响了人们的正常生活,还给人们带来了非常多的负面影响。
2 计算机网络存在的主要安全问题
第一,计算机内部的每一种安全机制都有一定的适用范围,而且这种机制在运用的过程中还需要满足一定的条件,所以计算机内部机制的不完善给用户带来了很大的安全隐患。在计算机内部程序当中,防火墙是其中一种比较有效的安全工具,可以给电脑用户提供一些安全保障。防火墙在计算机网络系统运作的过程中,它能够隐蔽计算机内部网络结构,使电脑网络结构不会轻易被识别。防火墙在内部网络与外部网络的联系过程中制造了一些障碍,使得外部网络不能够轻易地访问内部网络。但是,防火墙这一工具的功能还是有限的,它不能够阻止内部网络之间的联系,这样电脑系统内部网络之间就可以随便往来。防火墙对于内部网络与内部网络之间的入侵行为是很难发觉的,这样也会给电脑系统造成破坏。还有就是系统的后门不是电脑内部传统的工具所能够考虑到的地方,这也是防火墙所不能够顾及的一个方面。系统后门容易被入侵,防火墙也很难发觉,并采取相关的措施。
第二,电脑内部安全工具的使用存在一定的缺陷,在电脑用户的使用过程中,电脑内部的安全工具能不能实现功能最大化,能不能使得安全工具使用效果的最优化,很大程度上受到了人为因素的制约。在这个使用的过程中受到了系统管理者和普通用户的影响,在使用安全工具的过程中要是没有使用正当设置,会产生不安全因素。
中图分类号:TP393
随着计算机网络在办公上发挥的作用越来越大,在我国事业单位的办公在早已起到了不可替代的作用。各级事业单位为了能够保证计算机网络的安全稳定的运行,都加强了对计算机网络的维护,但是网络安全问题依然影响着正常的办公,如果不能做好安全防护措施,会给事业单位的政策和经济上造成严重损失,为此如何有效的防止网络安全问题,做好计算机网络维护成为了很多单位应当重视的重要问题之一。
1 事业单位计算机网络维护的重要性
计算机网络已经在事业单位的日常工作过程中起到了不可替代的作用,在工作中应用网络进行办公数据、文件的整理以及传输,有利的推进了工作效率的提高。所以网络运行需要日常的维护和管理,维护水平的高低直接影响到办公效率。由于在事业单位中,分工比较明确,各级单位都有一定数量的计算机,为了实现资源共享,提高效率,大都组建自己局域网,同时还保留着外网的正常运行。保证好计算机网络的正常运行才能有利于事业单位更好的工作,为群众及时处理好各种问题,因此,事关重大。
2 事业单位计算机网络维护的主要内容
事业单位的计算机网络维护主要是维护网络的特性的正常运行和维护网络设备的正常工作。
2.1 网络的正常运行。计算机网络系统之所以能够广泛的应用在各领域,这与它的很多特性是分不开的。其主要的特性就是可靠性和保密性。
可靠性,能够在规定的条件下完成特定的功能,而且在受到一些外部干扰的情况下仍然可以稳定的工作,还能保证信息的完整性。
保密性,网络信息只有授权用户才可以有权限使用,这样能有效的防止信息的泄漏。
事业单位的日常工作中很多的工作都需要在网络条件下运行,所以在保证好网络的可靠性和保密性的前提下一定要保证网络的畅通。
2.2 网络设备的维护。网络设备是网络运行的载体,所有的信息传递都是在设备的正常运行条件下才能成功。因此网络设备的维护也是相当重要的。常见网络的设备有网桥、网关以及交换机和路由器等设备,保证好这些设备的正运行是日常维护工作的重点工作。
3 维护过程中存在的问题
计算机网络在维护过程中最大的问题就是网络安全问题,从威胁上来讲主要分为内部因素和外部因素,外部因素包括病毒侵袭和黑客攻击。内部因素主要就是人为的因素,包括用户的非法操作和网络维护管理不到位等。
3.1 计算机病毒。计算机病毒是在正常的计算机系统程序中植入指令、程序代码等,它能够隐藏在系统中不易被察觉,损害网络的某些功能和数据,对计算机网络的安全危害极大,影响整个系统正常工作。这也是日常中常见的问题,另外在使用中有些员工随便插拔不安全的U盘拷贝数据也会导致病毒的传播。
3.2 网络外的黑客攻击。对计算机网络来说,黑客攻击的危害是最大的。因为黑客如果入侵了网络可能会非法获取数据信息,有的可能会更改信息,尤其对政府事业单位来说,作为国家的行政辅助机构,涉及很多政府内部信息,一旦泄露后果无法想象。所以后果最为严重,应当严防。
3.3 用户非恶意或恶意的非法操作。由于沟通的需要,网络设计不可能不留任何接入点,这就给外界进入提供了可能。再加上有些用户的操作不当可能会破坏数据,还有些是有意的去破坏。所以很多情况下威胁都是来自内部用户。所以应当加强用户的网络安全意识。
3.4 计算机网络安全管理不到位。有些企业对计算机网络的管理较为松散,分工有交叉不明确,有些内容容易引起遗漏。一些部门对网络的使用权限的管理不够严格,信息保密性不好,这些薄弱的信息安全防卫意识对系统的安全性危害更大,很容易让黑客和病毒进入系统。因此要严加防范。
4 主要的解决对策
对于事业单位的计算机网络存在的问题有了更深的认识我们才能有的放矢的去预防或者处理这些问题,防患于未然才能做到真正的保证网络的安全。要做好网络维护需要从以下方面着手。
4.1 真正的熟悉网络。网络维护人员要想做好维护工作首先应该对这项工作非常熟悉才行,只有这样才能知道怎么去发现问题和解决问题,这是基础。相关人员要做到对网络知识、计算机的知识以及相关的操作熟记于心,在处理问题中不断总结经验。所有的知识点都要求做到融会贯通,提高自己的业务水平,真正的保证好单位的网络安全。
4.2 加强对安全的管理。作为网络使用的主体,人是主要因素,因此做好管理成为保证网络安全的核心问题。所以相关事业单位要做好网络管理的制度和办法,要做到切实可行。另外,加强对使用人员的培训,最好建立应急预案,以免出现问题后手忙脚乱影响工作的进一步展开。
4.3 计算机实体的预防对策。作为计算机网络机构的基础,硬件以及基本的通信线路也很容易受到人为或者自然因素的破坏。网络维护者应当从可能出现问题点去分析,做好电磁屏蔽措施,单位还要做好防雷击、防止水火的外界不安全因素的干扰,选择合适的场地,保证计算机网络设备的正常运行。
4.4 做好网络病毒预防措施。病毒和黑客是影响网络安全的主要威胁,尤其是随着技术的发展,病毒的传播路径也变的多样化,给防护工作带来很大的困难。因此,预防是主要措施,每个人都应该加强防毒杀毒的意识,不要随便打开不安全的网站或者邮件,经常性的进行杀毒处理,从自身做起才能有效的去切断病毒和黑客的入侵。最好对数据进行备份,以防止计算机网络系统的突发灾难。
4.5 网络层面上的对策。网络安全最大的威胁还是来自网络,这最主要的就是控制IP的来源。防火墙的应用很好的保证了网络的安全。它把局域网和外网分隔开来。实时监控外界和内部信息之间的交流,有效避免了不安全因素的入侵。增加了网络系统保密性。所以,相关事业单位要合理的去利用防火墙保证网络的安全。
4.6 加强对数据的保密措施。数据加密能够有效的防止信息的泄露和外界的破坏,保证信息的安全,因此在实际应用中很受欢迎。常用的数字加密有链路、节点以及点对点的加密。数据加密能够保护数据的安全,即使丢失外界也不会轻易的获取到内部信息,虽然是比较被动的手段,但是很实用。
另外,很多的有效措施可以更好的保护网络的安全,比如对使用网络的用户有身份验证,将数据和用户分成不同等级,只有一定级别的人才能调用重要的数据,这样就提高了网络的安全系数。当然,计算机网络技术的发展很快,还会有更新的技术入侵或者防止入侵。这就需要我们的网络维护人员要及时的去学习新的知识和技术,只有这样在发生问题的时候才能有有效的方法去弥补,尽量的减少带来的损失,保证事业单位的正常工作。
5 总结
计算机网络的维护十分重要,技术的发展也要求我们保持警惕,坚持预防为主,采用合理措施应对,切实做好事业单位的网络安全,保证它们的正常工作。
参考文献:
[1]康会敏.浅谈计算机网络安全与维护[J].科技致富向导,2011,8.
[2]王金光,周子琨.浅谈局域网计算机及网络维护[J].甘肃科技,2008,9.
[3]高希新.浅析计算机网络安全与日常维护措施[J].中国科技信息,2009,18.
1 概述
目前,在我国很多高校开设了网络信息安课程,该课程是信息安全专业的一门基础课,也是网络工程专业的一门必修课。网络信息安全课程理论性强,实践性强,并且教学内容随着信息技术的发展也在不断地变化,这给教学工作带来很大挑战。由于专业性质不同,为了使网络信息安全课程的教学符合网络工程专业的特点,并且跟上信息技术瞬息万变的步伐,达到培养人才的目标,我们在多年教学实践的基础上,不断地进行总结和探索。
2 网络工程专业特点
网络工程是将计算机技术和通信技术紧密结合而形成的新兴的技术领域,尤其在当今互联网技术以及互联网经济迅速发展的环境下,网络工程技术已经成为计算机乃至信息技术界关注的重要领域之一,也是在现代信息社会中迅速发展并且应用广泛的一门综合性学科。网络工程专业自从上世纪90年代起,陆续在我国很多本科高校中都有开设。
网络工程专业的培养目标是:掌握常用操作系统的使用、网络设备的配置,深入了解网络的安全问题,具有综合性的网络管理能力,可以胜任中小企业的网络管理工作,并具备发展成为网络工程设计专家的能力[1]。以商丘学院(以下简称“我校”)为例,该专业是我校重点建设的专业之一,计算机网络课程现已成为校级精品课程,所属计算机网络实验室被评为河南省级重点实验室。在校学生一二年级主要学好程序设计、网络原理、操作系统等专业基础课,三四年级主要学习网络设备管理、综合布线、网络组建、网络信息安全等专业核心课程。在学生学习的时间安排上留有余地,引导学生扩大知识面,关注学科前沿,鼓励学生利用好实验室来培养自己的实践能力和创新能力。因此,网络信息安全成为我校高年级学生的一门必修课。结合网络工程专业特色,网络信息安全课程多年来在我校网络工程专业一直开设并收到很好的效果。
3 网络信息安全课程开设现状
网络信息安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。信息安全是国家重点发展的新兴交叉学科,具有广阔的发展前景。由于我国在信息安全技术方面的起点还较低,国内只有少数高等院校开设“信息安全”专业,信息安全技术人才奇缺。网络信息安全课程在信息安全专业是必不可少的核心课程。
目前,我校网络工程专业网络信息安全课程的开设还是以理论教学为主,实践教学为辅的教学模式。在学时分配上我们采用“34学时理论+18学时上机”的模式。在考核方式上采用“20%平时表现+80%理论考试”来计算总成绩。结合信息安全技术发展迅速的特点,在教材的选用上我们不断更新教材,以求跟上时代和技术的潮流。我校先后选用吴煜煜[2]、周明全[3]、石志国[4]、袁津生[5]等人主编的教材,这样教师也在不断地学习最新知识和专业技能。由于该课程是一门交叉性综合性学科,学好这门课程要求学生必须具备良好的程序设计能力,过硬的数学、操作系统和网络知识。该课程的先修课程为:高级程序设计(C、C++、Java)、计算机网络(TCP/IP)、操作系统(Unix和Windows)、数据库系统。该课程教学内容主要包括:网络安全的基本概念、加密与解密、公钥体系、TCP/IP协议安全、应用层安全、攻击与防御、网络站点的安全、操作系统系统与数据库的安全。
网络信息安全这门课程是一门理论和实践相结合,应用性很强的交叉性综合性课程。理论知识涉及面广且抽象,实践问题规模难度大。这样的特点不仅要求教师具备过硬的专业技能和授课水平,而且要求学生具备扎实的理论功底和和较强的实践能力。该课程在我校是网络工程专业开设的一门必修课程,它既不能像信息安全专业开设的专业课那么详尽和深入,也不能像普及网络安全知识一样成为公共选修课那样浅尝辄止。这就要求教师必须在有限的学时内将网络信息安全课程最基本的原理、最常用的技能传授给学生,使学生能够解决最常见的网络安全问题,成为能够学以致用,能够解决实际问题的人才。因此,必须结合网络工程专业特色和我校学生水平进行教学,才能使教和学的效果都达到最优化,达到培养人才的目标。
目前,现有的教学模式仍然停留在重理论、轻实践的层次上。学生在课堂上与老师的互动性不强,特别是学生的学习积极性不高,对信息安全课程学习的兴趣不持久,实践能力不强,而且现有的考核方式已不适应课程的发展。通过近几年的教学实践,结合目前网络工程专业开设的网络信息安全课程在教学中存在的问题,从培养应用型、创新型信息技术人才的角度来出发,我们尝试对网络信息安全课程进行改革和探索。
4 教学改革与探索
4.1 翻转式教学模式
互联网的普及和计算机技术在教育领域的应用,使“翻转课堂式”教学模式[6]变得可行和现实。学生可以通过互联网去使用优质的教育资源,不再单纯地依赖授课老师去教授知识。在课堂上,学生和老师的角色则发生了变化。老师更多的责任是去理解学生的问题和引导学生去运用知识。我们在课堂教学的组织中参考林地公园高中的经验:一、创建教学视频。我们根据上课的内容和教学目标,使用录屏软件将课件和讲课声音录制下来,然后将课件或视频通过网络分发给学生。让学生在上课前进行先行学习并收集好学生反馈的问题。二、组织课堂教学。教学内容在课外传递给学生后,课堂内更需要高质量的学习活动,让学生有机会在具体环境中应用所学内容。这样学生先自我学习或通过讨论来掌握知识点,结合学生反馈的问题,在课堂上再由教师主导开展关键问题的研讨,安排相应的课程实践。该方法在国防科学技术大学徐明的论文[7]中提到,可以作为改革教学模式的一种方法来学习使用。
4.2 理论与实践相结合的教学模式
理论授课均在多媒体教室进行,理论授课要与上机实践相结合,网络安全实验均在我校计算机网络实验室完成,学生上机操作并提交实验报告。计算机网络实验室是我校网络工程专业的专业实验室,实验室采用圆桌模式分为8组,每组8位同学,能同时满足64位学生做实验。我们结合近几年的教学经验,参考袁津生[5]等教材,安排了如下实验:①VMware虚拟机与网络分析器的使用;②RSA加密算法的分析与实现;③加解密算法的分析与实现(DES、AES等);④Hash算法MD5;⑤剖析特洛伊木马;⑥使用PGP实现电子邮件安全;⑦X-SCANNER扫描工具;⑧用SSL协议实现安全的FTP数据传输。除了正常安排的16个上机学时之外,增加实验室开放时间,为对网络安全有兴趣的学生提供更多的实践机会。通过在计算机网络实验室的学习和实践,使学生加深对网络信息安全原理和技术的认识,提高网络技能和实践能力,增加他们在将来的就业竞争中的优势。另外,工学结合,引进第二课堂,创建实训基地,争取在网络安全相关的企业和公司建立实训基地,加强合作,让学生有实践的机会,提高实践能力和就业能力,这是我们以后也要逐步探索的教学方式之一。
4.3 教学方法的一些改进
兴趣是最好的老师。多讲一些实例,可以采用任务驱动的方式培养学生的兴趣。比如上课前提出一个问题再开始讲课。例如:假如你是一个公司新任的网络管理员,需要对某台路由器进行相应的配置,但是你不知道该路由器的enable密码,该怎么办?这样就能驱动学生主动思考完成任务的方法,主动学习。一定要结合学生实际,避免“填鸭式”教学方法,做好师生互动。另外授课要尽可能地生动、幽默。
课堂知识、搜索引擎、论坛和专业站点、期刊论文(CNKI),这些都是学好网络信息安全的重要资源。在教学过程中,一定要利用好搜索引擎、论坛、期刊论文等,关注前沿的信息安全领域发展动向。
增加先驱课程知识的讲解。网络信息安全涉及到的数学知识我们参考裴定一教材[8]。例如,数据加密与认证技术的内容涉及到模运算、矩阵置换等数学知识,在讲解相应的数据加密知识时一定要将涉及到的先驱课程知识讲解清楚。
以就业为导向,鼓励学生积极参加网络信息安全工程师认证考试。鼓励对网络安全有兴趣的同学进行更加深入、更加专业的学习。
4.4 加大投入、完善网络信息安全专业实验设施
完善的网络信息安全实验平台[9]应该以网络为基础,将网络原理、网络程序设计、信息安全技术和网络实践类等课程集成在同一平台上,采用群组动态交互式实验方法,利用共享网络墙形成公共实验载体,实现网络实验从单设备组网到不断叠加和扩展,使学生从规模化的网络中理解路由协议和网络效率。在这样的实验平台下,利用共用服务器,各个群组组成网络攻防、信息战等实际场景,根据现场不断变化的信息实时设计技术方案,灵活应对网络的动态变化,做出快速的反应与调整,以培养学生高度的应变设计能力。
4.5 改革课时分配和考核权重
网络信息安全是一门理论与实践并重的课程,在今后的教学中,要逐渐增加实践课程的教学。为了增加学生对实践能力的重视,要合理分配理论考试和实践考试的权重,在现有考核模式的基础上逐步增加实践成绩的权重。在考核的形式上,综合卷面成绩和平时表现成绩,平时表现的成绩注重关注实验小组讨论的表现,个人实践的表现等。
5 结论
前 言
随着计算机技术和Internet的发展,企业和政府部门开始大规模的建立网络来推动电子商务和政务的发展,伴随着网络的业务和应用的丰富,对计算机网络的管理与维护也就变得至关重要。人们普遍认为,网络管理是计算机网络的关键技术之一,尤其在大型计算机网络中更是如此。网络管理就是指监督、组织和控制网络通信服务以及信息处理所必需的各种活动的总称。其目标是确保计算机网络的持续正常运行,并在计算机网络运行出现异常时能及时响应和排除故障。
网络故障极为普遍,网络故障的种类也多种多样,要在网络出现故障时及时对出现故障的网络进行维护,以最快的速度恢复网络的正常运行,掌握一套行之有效的网络维护理论、方法和技术是关键。就网络中常见故障进行分类,并对各种常见网络故障提出相应的解决方法。
随着计算机的广泛应用和网络的日趋流行,功能独立的多个计算机系统互联起来,互联形成日渐庞大的网络系统。计算机网络系统的稳定运转已与功能完善的网络软件密不可分。计算机网络系统,就是利用通讯设备和线路将地理位置不同的、信息交换方式及网络操作系统等共享,包括硬件资源和软件资源的共享:因此,如何有效地做好本单位计算机网络的日常维护工作,确保其安全稳定地运行,这是网络运行维护人员的一项非常重要的工作。
在排除比较复杂网络的故障时,我们常常要从多种角度来测试和分析故障的现象,准确确定故障点。
第一章 网络安全技术
1.1概述
网络安全技术是指致力于解决诸如如何有效进行介入控制,以及如何保证数据传输的安全性的技术手段,主要包括物理的安全分析技术,网络结构安全分析技术,系统安全分析技术,管理安全分析技术,以及其他的安全服务和安全机制策略。
21世纪全世界的计算机都将通过Internet联到一起,信息安全的内涵也就发生了根本的变化.它不仅从一般性的防卫变成了一种非常普通的防范,而且还从一种专门的领域变成了无处不在.当人类步入21世纪这一信息社会,网络社会的时候,我国将建立起一套完整的网络安全体系,特别是从政策上和法律上建立起有中国自己特色的网络安全体系.
一个国家的信息安全体系实际上包括国家的法规和政策,以及技术与市场的发展平台.我国在构建信息防卫系统时,应着力发展自己独特的安全产品,我国要想真正解决网络安全问题,最终的办法就是通过发展民族的安全产业,带动我国网络安全技术的整体提高.
网络安全产品有以下几大特点:第一,网络安全来源于安全策略与技术的多样化,如果采用一种统一的技术和策略也就不安全了;第二,网络的安全机制与技术要不断地变化;第三,随着网络在社会各方面的延伸,进入网络的手段也越来越多,因此,网络安全技术是一个十分复杂的系统工程.为此建立有中国特色的网络安全体系,需要国家政策和法规的支持及集团联合研究开发.安全与反安全就像矛盾的两个方面,总是不断地向上攀升,所以安全产业将来也是一个随着新技术发展而不断发展的产业.
信息安全是国家发展所面临的一个重要问题.对于这个问题,我们还没有从系统的规划上去考虑它,从技术上,产业上,政策上来发展它.政府不仅应该看见信息安全的发展是我国高科技产业的一部分,而且应该看到,发展安全产业的政策是信息安全保障系统的一个重要组成部分,甚至应该看到它对我国未来电子化,信息化的发展将起到非常重要的作用
1.2防火墙
网络防火墙技术是一种用来加强网络之间访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络,访问内部网络资源,保护内部网络操作环境的特殊网络互联设备.它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查,以决定网络之间的通信是否被允许,并监视网络运行状态.
目前的防火墙产品主要有堡垒主机,包过滤路由器,应用层网关(服务器)以及电路层网关,屏蔽主机防火墙,双宿主机等类型.
虽然防火墙是目前保护网络免遭黑客袭击的有效手段,但也有明显不足:无法防范通过防火墙以外的其它途径的攻击,不能防止来自内部变节者和不经心的用户们带来的威胁,也不能完全防止传送已感染病毒的软件或文件,以及无法防范数据驱动型的攻击.
自从1986年美国Digital公司在Internet上安装了全球第一个商用防火墙系统,提出了防火墙概念后,防火墙技术得到了飞速的发展.国内外已有数十家公司推出了功能各不相同的防火墙产品系列.
防火墙处于5层网络安全体系中的最底层,属于网络层安全技术范畴.在这一层上,企业对安全系统提出的问题是:所有的IP是否都能访问到企业的内部网络系统如果答案是"是",则说明企业内部网还没有在网络层采取相应的防范措施.
作为内部网络与外部公共网络之间的第一道屏障,防火墙是最先受到人们重视的网络安全产品之一.虽然从理论上看,防火墙处于网络安全的最底层,负责网络间的安全认证与传输,但随着网络安全技术的整体发展和网络应用的不断变化,现代防火墙技术已经逐步走向网络层之外的其他安全层次,不仅要完成传统防火墙的过滤任务,同时还能为各种网络应用提供相应的安全服务.另外还有多种防火墙产品正朝着数据安全与用户认证,防止病毒与黑客侵入等方向发展.
根据防火墙所采用的技术不同,我们可以将它分为四种基本类型:包过滤型,网络地址转换—NAT,型和监测型.
1.3 防火墙主要技术
包过滤型
包过滤型产品是防火墙的初级产品,其技术依据是网络中的分包传输技术.网络上的数据都是以"包"为单位进行传输的,数据被分割成为一定大小的数据包,每一个数据包中都会包含一些特定信息,如数据的源地址,目标地址,TCP/UDP源端口和目标端口等.防火墙通过读取数据包中的地址信息来判断这些"包"是否来自可信任的安全站点 ,一旦发现来自危险站点的数据包,防火墙便会将这些数据拒之门外.系统管理员也可以根据实际情况灵活制订判断规则.
包过滤技术的优点是简单实用,实现成本较低,在应用环境比较简单的情况下,能够以较小的代价在一定程度上保证系统的安全.
但包过滤技术的缺陷也是明显的.包过滤技术是一种完全基于网络层的安全技术,只能根据数据包的来源,目标和端口等网络信息进行判断,无法识别基于应用层的恶意侵入,如恶意的Java小程序以及电子邮件中附带的病毒.有经验的黑客很容易伪造IP地址,骗过包过滤型防火墙.
网络地址转化—NAT
网络地址转换是一种用于把IP地址转换成临时的,外部的,注册的IP地址标准.它允许具有私有IP地址的内部网络访问因特网.它还意味着用户不许要为其网络中每一台机器取得注册的IP地址.
在内部网络通过安全网卡访问外部网络时,将产生一个映射记录.系统将外出的源地址和源端口映射为一个伪装的地址和端口,让这个伪装的地址和端口通过非安全网卡与外部网络连接,这样对外就隐藏了真实的内部网络地址.在外部网络通过非安全网卡访问内部网络时,它并不知道内部网络的连接情况,而只是通过一个开放的IP地址和端口来请求访问.OLM防火墙根据预先定义好的映射规则来判断这个访问是否安全.当符合规则时,防火墙认为访问是安全的,可以接受访问请求,也可以将连接请求映射到不同的内部计算机中.当不符合规则时,防火墙认为该访问是不安全的,不能被接受,防火墙将屏蔽外部的连接请求.网络地址转换的过程对于用户来说是透明的,不需要用户进行设置,用户只要进行常规操作即可.
型
型防火墙也可以被称为服务器,它的安全性要高于包过滤型产品,并已经开始向应用层发展.服务器位于客户机与服务器之间,完全阻挡了二者间的数据交流.从客户机来看,服务器相当于一台真正的服务器;而从服务器来看,服务器又是一台真正的客户机.当客户机需要使用服务器上的数据时,首先将数据请求发给服务器,服务器再根据这一请求向服务器索取数据,然后再由服务器将数据传输给客户机.由于外部系统与内部服务器之间没有直接的数据通道,外部的恶意侵害也就很难伤害到企业内部网络系统.
型防火墙的优点是安全性较高,可以针对应用层进行侦测和扫描,对付基于应用层的侵入和病毒都十分有效.其缺点是对系统的整体性能有较大的影响,而且服务器必须针对客户机可能产生的所有应用类型逐一进行设置,大大增加了系统管理的复杂性.
监测型
监测型防火墙是新一代的产品,这一技术实际已经超越了最初的防火墙定义.监测型防火墙能够对各层的数据进行主动的,实时的监测,在对这些数据加以分析的基础上,监测型防火墙能够有效地判断出各层中的非法侵入.同时,这种检测型防火墙产品一般还带有分布式探测器,这些探测器安置在各种应用服务器和其他网络的节点之中,不仅能够检测来自网络外部的攻击,同时对来自内部的恶意破坏也有极强的防范作用.据权威机构统计,在针对网络系统的攻击中,有相当比例的攻击来自网络内部.因此,监测型防火墙不仅超越了传统防火墙的定义,而且在安全性上也超越了前两代产品
虽然监测型防火墙安全性上已超越了包过滤型和服务器型防火墙,但由于监测型防火墙技术的实现成本较高,也不易管理,所以目前在实用中的防火墙产品仍然以第二代型产品为主,但在某些方面也已经开始使用监测型防火墙.基于对系统成本与安全技术成本的综合考虑,用户可以选择性地使用某些监测型技术.这样既能够保证网络系统的安全性需求,同时也能有效地控制安全系统的总拥有成本.
实际上,作为当前防火墙产品的主流趋势,大多数服务器(也称应用网关)也集成了包过滤技术,这两种技术的混合应用显然比单独使用具有更大的优势.由于这种产品是基于应用的,应用网关能提供对协议的过滤.例如,它可以过滤掉FTP连接中的PUT命令,而且通过应用,应用网关能够有效地避免内部网络的信息外泄.正是由于应用网关的这些特点,使得应用过程中的矛盾主要集中在对多种网络应用协议的有效支持和对网络整体性能的影响上
1.4防火墙体系结构
筛选路由式体系结构
SHAPE \* MERGEFORMAT
屏蔽子网式结构
双网主机式体系结构
SHAPE \* MERGEFORMAT
屏蔽主机式体系结构
1.5入侵检测系统
1概念
当前,平均每20秒就发生一次入侵计算机网络的事件,超过1/3的互联网防火墙被攻破!面对接2连3的安全问题,人们不禁要问:到底是安全问题本身太复杂,以至于不可能被彻底解决,还的仍然可以有更大的改善,只不过我们所采取的安全措施中缺少了某些重要的环节。有关数据表明,后一种解释更说明问题。有权威机构做过入侵行为统计,发现他、有80%来自于网络内部,也就是说,“堡垒”是从内部被攻破的。另外,在相当一部分黑客攻击当中,黑客都能轻易地绕过防火墙而攻击网站服务器。这就使人们认识到:仅靠防火墙仍然远远不能将“不速之客”拒之门外,还必须借助于一个“补救”环节------入侵检测系统。
入侵检测系统(Intrusion detection system,简称IDS)是指监视(或者在可能的情况下阻止)入侵或者试图控制你的系统或者网络资源的行为的系统。作为分层安全中日益被越普遍采用的成份,入侵检测系统能有效地提升黑客进入网络系统的门槛。入侵检测系统能够通过向管理员发出入侵或者入侵企图来加强当前存取控制系统,例如防火墙;识别防火墙通常用不能识别的攻击,如来自企业内部的攻击;在发现入侵企图之后提供必要的信息。
入侵检测是防火墙的合理补充,帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高了信息安全基础结构的完整性。它从计算机网络系统中的若干个关键点收集信息,并分析这些信息,检测网络中是否有违反安全策略的行为和遭到袭击的迹象。它的作用是监控网络和计算机系统是否出现被入侵或滥用的征兆。
作为监控和识别攻击的标准解决方案,IDS系统已经成为安防体系的重要组成部分。
IDS系统以后台进程的形式运行。发现可疑情况,立即通知有关人员。
防火墙为网络提供了第一道防线,入侵检测被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下对网络进行检测,从而提供对内部攻击、外部攻击和误解操作的实时保护。由于入侵检测系统是防火墙后的又一道防线,从二可以极大地减少网络免受各种攻击的损害。
假如说防火墙是一幢大楼的门锁,那入侵检测系统就是这幢大楼里的监视系统。门锁可以防止小偷进入大楼,但不能保证小偷100%地被拒之门外,更不能防止大楼内部个别人员的不良企图。而一旦小偷爬入大楼,或内部人员有越界行为,门锁就没有任何作用了,这时,只有实时监视系统才能发现情况并发出警告。入侵检测系统不仅仅针对外来的入侵者,同时也针对内部的入侵行为。
2侵检测的主要技术————入侵分析技术
入侵分析技术主要有三大类:签名、统计和数据完整性。
签名分析法
名分析法主要用来检测有无对系统的已知弱点进行的攻击行为。这类攻击可以通过监视有无针对特定对象的某种行为而被检测到。
主要方法:从攻击模式中归纳出其签名,编写到IDS系统的代码里,再由IDS系统对检测过程中收集到的信息进行签名分析。
签名分析实际上是一个模板匹配操作,匹配的一方是系统设置情况和用户操作动作,一方是已知攻击模式的签名数据库。
统计分析法
统计分析法是以系统正常使用情况下观察到的动作为基础,如果某个操作偏离了正常的轨道,此操作就值得怀疑。
主要方法:首先根据被检测系统的正常行为定义一个规律性的东西,在此称为“写照”,然后检测有没有明显偏离“写照”的行为。
统计分析法的理论经常是统计学,此方法中,“写照”的确定至关重要。
数据完整分析法
数据完整分析法主要用来查证文件或对象是否被修改过,它的理论经常是密码学。
3侵检测系统的分类:
现有的IDS的分类,大都基于信息源和分析方法。为了体现对IDS从布局、采集、分析、响应等各个层次及系统性研究方面的问题,在这里采用五类标准:控制策略、同步技术、信息源、分析方法、响应方式。
按照控制策略分类
控制策略描述了IDS的各元素是如何控制的,以及IDS的输入和输出是如何管理的。按照控制策略IDS可以划分为,集中式IDS、部分分布式IDS和全部分布式IDS。在集中式IDS中,一个中央节点控制系统中所有的监视、检测和报告。在部分分布式IDS中,监控和探测是由本地的一个控制点控制,层次似的将报告发向一个或多个中心站。在全分布式IDS中,监控和探测是使用一种叫“”的方法,进行分析并做出响应决策。
按照同步技术分类
同步技术是指被监控的事件以及对这些事件的分析在同一时间进行。按照同步技中,信息源是以文件的形式传给分析器,一次只处理特定时间段内产生的信息,并在入侵发生时将结果反馈给用户。很多早期的基于主机的IDS都采用这种方案。在实时连续型IDS中,事件一发生,信息源就传给分析引擎,并且立刻得到处理和反映。实时IDS是基于网络IDS首选的方案。
按照信息源分类
按照信息源分类是目前最通用的划分方法,它分为基于主机的IDS、基于网络的IDS和分布式IDS。基于主机的IDS通过分析来自单个的计算机系统的系统审计踪迹和系统日志来检测攻击。基于主机的IDS是在关键的网段或交换部位通过捕获并分析网络数据包来检测攻击。分布式IDS,能够同时分析来自主机系统日志和网络数据流,系统由多个部件组成,采用分布式结构。
按照分析方法分类
按照分析方法IDS划分为滥用检测型IDS和异常检测型IDS。滥用检测型的IDS中,首先建立一个对过去各种入侵方法和系统缺陷知识的数据库,当收集到的信息与库中的原型相符合时则报警。任何不符合特定条件的活动将会被认为合法,因此这样的系统虚警率很低。异常检测型IDS是建立在如下假设的基础之上的,即任何一种入侵行为都能由于其偏离正常或者所期望的系统和用户活动规律而被检测出来。所以它需要一个记录合法活动的数据库,由于库的有限性使得虚警率比较高。
按照响应方式分类
按照响应方式IDS划分为主动响应IDS和被动响应IDS。当特定的入侵被检测到时,主动IDS会采用以下三种响应:收集辅助信息;改变环境以堵住导致入侵发生的漏洞;对攻击者采取行动(这是一种不被推荐的做法,因为行为有点过激)。被动响应IDS则是将信息提供给系统用户,依靠管理员在这一信息的基础上采取进一步的行动。
4 IDS的评价标准
目前的入侵检测技术发展迅速,应用的技术也很广泛,如何来评价IDS的优缺点
就显得非常重要。评价IDS的优劣主要有这样几个方面[5]:(1)准确性。准确性是指IDS不会标记环境中的一个合法行为为异常或入侵。(2)性能。IDS的性能是指处理审计事件的速度。对一个实时IDS来说,必须要求性能良好。(3)完整性。完整性是指IDS能检测出所有的攻击。(4)故障容错(fault tolerance)。当被保护系统遭到攻击和毁坏时,能迅速恢复系统原有的数据和功能。(5)自身抵抗攻击能力。这一点很重要,尤其是“拒绝服务”攻击。因为多数对目标系统的攻击都是采用首先用“拒绝服务”攻击摧毁IDS,再实施对系统的攻击。(6)及时性(Timeliness)。一个IDS必须尽快地执行和传送它的分析结果,以便在系统造成严重危害之前能及时做出反应,阻止攻击者破坏审计数据或IDS本身。
除了上述几个主要方面,还应该考虑以下几个方面:(1)IDS运行时,额外的计算机资源的开销;(2)误警报率/漏警报率的程度;(3)适应性和扩展性;(4)灵活性;(5)管理的开销;(6)是否便于使用和配置。
5 IDS的发展趋
随着入侵检测技术的发展,成型的产品已陆续应用到实践中。入侵检测系统的典型代表是ISS(国际互联网安全系统公司)公司的RealSecure。目前较为著名的商用入侵检测产品还有:NAI公司的CyberCop Monitor、Axent公司的NetProwler、CISCO公司的Netranger、CA公司的Sessionwall-3等。国内的该类产品较少,但发展很快,已有总参北方所、中科网威、启明星辰等公司推出产品。
人们在完善原有技术的基础上,又在研究新的检测方法,如数据融合技术,主动的自主方法,智能技术以及免疫学原理的应用等。其主要的发展方向可概括为:
(1)大规模分布式入侵检测。传统的入侵检测技术一般只局限于单一的主机或网络框架,显然不能适应大规模网络的 监测,不同的入侵检测系统之间也不能协同工作。因此,必须发展大规模的分布式入侵检测技术。
(2)宽带高速网络的实时入侵检测技术。大量高速网络的不断涌现,各种宽带接入手段层出不穷,如何实现高速网络下的实时入侵检测成为一个现实的问题。
(3)入侵检测的数据融合技术。目前的IDS还存在着很多缺陷。首先,目前的技术还不能对付训练有素的黑客的复杂的攻击。其次,系统的虚警率太高。最后,系统对大量的数据处理,非但无助于解决问题,还降低了处理能力。数据融合技术是解决这一系列问题的好方法。
(4)与网络安全技术相结合。结合防火墙,病毒防护以及电子商务技术,提供完整的网络安全保障。
第二章 网络管理
2.1概述
随着计算机技术和Internet的发展,企业和政府部门开始大规模的建立网络来推动电子商务和政务的发展,伴随着网络的业务和应用的丰富,对计算机网络的管理与维护也就变得至关重要。人们普遍认为,网络管理是计算机网络的关键技术之一,尤其在大型计算机网络中更是如此。网络管理就是指监督、组织和控制网络通信服务以及信息处理所必需的各种活动的总称。其目标是确保计算机网络的持续正常运行,并在计算机网络运行出现异常时能及时响应和排除故障。
关于网络管理的定义目前很多,但都不够权威。一般来说,网络管理就是通过某种方式对网络进行管理,使网络能正常高效地运行。其目的很明确,就是使网络中的资源得到更加有效的利用。它应维护网络的正常运行,当网络出现故障时能及时报告和处理,并协调、保持网络系统的高效运行等。国际标准化组织(ISO)在ISO/IEC7498-4中定义并描述了开放系统互连(OSI)管理的术语和概念,提出了一个OSI管理的结构并描述了OSI管理应有的行为。它认为,开放系统互连管理是指这样一些功能,它们控制、协调、监视OSI环境下的一些资源,这些资源保证OSI环境下的通信。通常对一个网络管理系统需要定义以下内容:
系统的功能。即一个网络管理系统应具有哪些功能。
网络资源的表示。网络管理很大一部分是对网络中资源的管理。网络中的资源就是指网络中的硬件、软件以及所提供的服务等。而一个网络管理系统必须在系统中将它们表示出来,才能对其进行管理。
网络管理信息的表示。网络管理系统对网络的管理主要靠系统中网络管理信息的传递来实现。网络管理信息应如何表示、怎样传递、传送的协议是什么?这都是一个网络管理系统必须考虑的问题。
系统的结构。即网络管理系统的结构是怎样的。
网络管理这一学科领域自20世纪80年代起逐渐受到重视,许多国际标准化组织、论坛和科研机构都先后开发了各类标准、协议来指导网络管理与设计,但各种网络系统在结构上存在着或大或小的差异,至今还没有一个大家都能接受的标准。当前,网络管理技术主要有以下三种:诞生于Internte家族的SNMP是专门用于对Internet进行管理的,虽然它有简单适用等特点,已成为当前网络界的实际标准,但由于Internet本身发展的不规范性,使SNMP有先天性的不足,难以用于复杂的网络管理,只适用于TCP/IP网络,在安全方面也有欠缺。已有SNMPv1和SNMPv2两种版本,其中SNMPv2主要在安全方面有所补充。随着新的网络技术及系统的研究与出现,电信网、有线网、宽带网等的融合,使原来的SNMP已不能满足新的网络技术的要求;CMIP可对一个完整的网络管理方案提供全面支持,在技术和标准上比较成熟.最大的优势在于,协议中的变量并不仅仅是与终端相关的一些信息,而且可以被用于完成某些任务,但正由于它是针对SNMP的不足而设计的,因此过于复杂,实施费用过高,还不能被广泛接受;分布对象网络管理技术是将CORBA技术应用于网络管理而产生的,主要采用了分布对象技术将所有的管理应用和被管元素都看作分布对象,这些分布对象之间的交互就构成了网络管理.此方法最大的特点是屏蔽了编程语言、网络协议和操作系统的差异,提供了多种透明性,因此适应面广,开发容易,应用前景广阔.SNMP和CMIP这两种协议由于各自有其拥护者,因而在很长一段时期内不会出现相互替代的情况,而如果由完全基于CORBA的系统来取代,所需要的时间、资金以及人力资源等都过于庞大,也是不能接受的.所以,CORBA,SNMP,CMIP相结合成为基于CORBA的网络管理系统是当前研究的主要方向。
网络管理协议
网络管理协议一般为应用层级协议,它定义了网络管理信息的类别及其相应的确切格式,并且提供了网络管理站和网络管理节点间进行通讯的标准或规则。
网络管理系统通常由管理者(Manager)和( Agent)组成,管理者从各那儿采集管理信息,进行加工处理,从而提供相应的网络管理功能,达到对管理之目的。即管理者与之间孺要利用网络实现管理信息交换,以完成各种管理功能,交换管理信息必须遵循统一的通信规约,我们称这个通信规约为网络管理协议。
目前有两大网管协议,一个是由IETF提出来的简单网络管理协议SNMP,它是基于TCP / IP和Internet的。因为TCP/IP协议是当今网络互连的工业标准,得到了众多厂商的支持,因此SNMP是一个既成事实的网络管理标准协议。SNMP的特点主要是采用轮询监控,管理者按一定时间间隔向者请求管理信息,根据管理信息判断是否有异常事件发生。轮询监控的主要优点是对的要求不高;缺点是在广域网的情形下,轮询不仅带来较大的通信开销,而且轮询所获得的结果无法反映最新的状态。
另一个是ISO定义的公共管理信息协议CMIP。CMIP是以OSI的七层协议栈作为基础,它可以对开放系统互连环境下的所有网络资源进行监测和控制,被认为是未来网络管理的标准协议。CMIP的特点是采用委托监控,当对网络进行监控时,管理者只需向发出一个监控请求,会自动监视指定的管理对象,并且只是在异常事件(如设备、线路故障)发生时才向管理者发出告警,而且给出一段较完整的故障报告,包括故障现象、故障原因。委托监控的主要优点是网络管理通信的开销小、反应及时,缺点是对的软硬件资源要求高,要求被管站上开发许多相应的程序,因此短期内尚不能得到广泛的支持。
网络管理系统的组成
网络管理的需求决定网管系统的组成和规模,任何网管系统无论其规模大小如何,基本上都是由支持网管协议的网管软件平台、网管支撑软件、网管工作平台和支撑网管协议的网络设备组成。
网管软件平台提供网络系统的配置、故障、性能以及网络用户分布方面的基本管理。目前决大多数网管软件平台都是在UNIX 和DOS/WINDOWS平台上实现的。目前公认的三大网管软件平台是:HP View、IBM Netview和SUN Netmanager。虽然它们的产品形态有不同的操作系统的版本,但都遵循SNMP协议和提供类似的网管功能。
不过,尽管上述网管软件平台具有类似的网管功能,但是它们在网管支撑软件的支持、系统的可靠性、用户界面、操作功能、管理方式和应用程序接口,以及数据库的支持等方面都存在差别。可能在其它操作系统之上实现的Netview、 Openview、Netmanager网 管 软 件 平 台 版 本 仅 是 标 准Netview、 Openview、Netmanager的子集。例如,在MS Windows操作系统上实现的Netview 网管软件平台版本Netview for Windows 便仅仅只是Netview的子集。
网管支撑软件是运行于网管软件平台之上,支持面向特定网络功能、网络设备和操作系统管理的支撑软件系统。
网络设备生产厂商往往为其生产的网络设备开发专门的网络管理软件。这类软件建立在网络管理平台之上,针对特定的网络管理设备,通过应用程序接口与平台交互,并利用平台提供的数据库和资源,实现对网络设备的管理,比如Cisco Works就是这种类型的网络管理软件,它可建立在HP Open View和IBM Netview等管理平台之上,管理广域互联网络中的Cisco路由器及其它设备。通过它,可以实现对Cisco的各种网络互联设备(如路由器、交换机等)进行复杂网络管理。
网络管理的体系结构
网络管理系统的体系结构(简称网络拓扑)是决定网络管理性能的重要因素之一。通常可以分为集中式和非集中式两类体系结构。
目前,集中式网管体系结构通常采用以平台为中心的工作模式,该工作模式把单一的管理者分成两部分:管理平台和管理应用。管理平台主要关心收集的信息并进行简单的计算,而管理应用则利用管理平台提供的信息进行决策和执行更高级的功能。
非集中方式的网络管理体系结构包括层次方式和分布式。层次方式采用管理者的管理者MOM(Manager of manager)的概念,以域为单位,每个域有一个管理者,它们之间的通讯通过上层的MOM,而不直接通讯。层次方式相对来说具有一定的伸缩性:通过增加一级MOM,层次可进一步加深。分布式是端对端(peer to peer)的体系结构,整个系统有多个管理方,几个对等的管理者同时运行于网络中,每个管理者负责管理系统中一个特定部分 “域”,管理者之间可以相互通讯或通过高级管理者进行协调。
对于选择集中式还是非集中式,这要根据实际场合的需要来决定。而介于两者之间的部分分布式网管体系结构,则是近期发展起来的兼顾两者优点的一种新型网管体系结构
2.2常见的几种网络管理技术
基于WEB的网络管理模式
随着 Internet技术的广泛应用,Intranet也正在悄然取代原有的企业内部局域网,由于异种平台的存在及网络管理方法和模型的多样性, 使得网络管理软件开发和维护的费用很高, 培训管理人员的时间很长,因此人们迫切需要寻求高效、方便的网络管理模式来适应网络高速发展的新形势。随着Intranet和WEB 及其开发工具的迅速发展,基于WEB的网络管理技术也因此应运而生。基于WEB的网管解决方案主要有以下几方面的优点:(1)地理上和系统间的可移动性:系统管理员可以在Intranet 上的任何站点或Internet的远程站点上利用 WEB 浏览器透明存取网络管理信息;(2)统一的WEB浏览器界面方便了用户的使用和学习,从而可节省培训费用和管理开销;(3)管理应用程序间的平滑链接:由于管理应用程序独立于平台,可以通过标准的HTTP协议将多个基于WEB的管理应用程序集成在一起,实现管理应用程序间的透明移动和访问;(4)利用 JAVA技术能够迅速对软件进行升级。 为了规范和促进基于WEB的网管系统开发,目前已相继公布了两个主要推荐标准:WEBM和JMAPI。两个推荐标准各有其特色,并基于不同的原理提出。
WEBM方案仍然支持现存的管理标准和协议,它通过WEB技术对不同管理平台所提供的分布式管理服务进行集成,并且不会影响现有的网络基础结构。 JMAPI 是一种轻型的管理基础结构,采用JMAPI来开发集成管理工具存在以下优点:平台无关、高度集成化、消除程序版本分发问题、安全性和协议无关性。
2.分布对象网络管理技术
目前广泛采用的网络管理系统模式是一种基于Client/Server技术的集中式平台模式。由于组织结构简单,自应用以来,已经得到广泛推广,但同时也存在着许多缺陷:一个或几个站点负责收集分析所有网络节点信息,并进行相应管理,造成中心网络管理站点负载过重;所有信息送往中心站点处理,造成此处通信瓶颈;每个站点上的程序是预先定义的,具有固定功能,不利于扩展。随着网络技术和网络规模尤其是因特网的发展,集中式在可扩展性、可靠性、有效性、灵活性等方面有很大的局限,已不能适应发展的需要.
CORBA技术
CORBA技术是对象管理组织OMG推出的工业标准,主要思想是将分布计算模式和面向对象思想结合在一起,构建分布式应用。CORBA的主要目标是解决面向对象的异构应用之间的互操作问题,并提供分布式计算所需要的一些其它服务。OMG是CORBA平台的核心,
它用于屏蔽与底层平台有关的细节,使开发者可以集中精力去解决与应用相关的问题,而不必自己去创建分布式计算基础平台。CORBA将建立在ORB之上的所有分布式应用看作分布计算对象,每个计算对象向外提供接口,任何别的对象都可以通过这个接口调用该对象提供的服务。CORBA同时提供一些公共服务设施,例如名字服务、事务服务等,借助于这些服务,CORBA可以提供位置透明性、移动透明性等分布透明性。
CORBA的一般结构
基于CORBA的网络管理系统通常按照Client/Server的结构进行构造。其中,服务方是指针对网络元素和数据库组成的被管对象进行的一些基本网络服务,例如配置管理、性能管理等.客户方则是面向用户的一些界面,或者提供给用户进一步开发的管理接口等。其中,从网络元素中获取的网络管理信息通常需要经过CORBA/SNMP网关或CORBA/CMIP网关进行转换,这一部分在有的网络管理系统中被抽象成CORBA的概念.从以上分析可以看出,运用CORBA技术完全能够实现标准的网络管理系统。不仅如此,由于CORBA是一种分布对象技术,基于CORBA的网络管理系统能够克服传统网络管理技术的不足,在网络管理的分布性、可靠性和易开发性方面达到一个新的高度。
2.3统一不同的网络管理系统面临的问题
统一的不同层面
网络管理的统一存在三个层次。
站点级的统计,这是最低级的统一,不同的网络管理系统在同一服务器上运行,相互独立,是不同的NMS。
GUI级的统一,指不同的网络管理系统操作界面风格统一,运用的术语相同,管理员面对的是一种操作语言,这是一种表面上的统一,具有友好的一次性学习的界面。
管理应用级的统一,这是最高级别的统一。在这个级别上,不但实现了GUI的统一,各种网络管理系统的管理应用程序按照统一标准设计,应用程序间可进行信息共享和关联操作。在这一层面上的统一实现了对异构网的综合分析与管理,进行关联操作,网管系统可具有推理判断能力。
统一的内容
网络管理系统统一可从三个方面依次去实现,即操作界面的统一、网管协议的统网管功能的统一。
界面的统一
网络管理系统是管理的工具,但归根到底是要人去操作管理,操作界面的优劣会对管理员产生很大影响。不同网管系统具有不同的操作界面,要求管理员分别学习,或增加管理员人数,形成人力浪费。现在没有统一的网管用户界面的统一标准。现有的网管系统几乎都实现了图形界面,但既有基于UNIX操作系统的又有基于WINDOWS操作系统,且界面的格式千差万别,给管理员的工作增加困难。
网管协议的统一
管理协议是NMS核心和管理之间进行信息交换遵循的标准,是网管系统统一的关键所在。目前流行的两种网管协议为SNMP(Simple Network Management Protocal)和CMIS/CMIP(Common Mangement Information Protocal).SNMP是由互联网活动委员会IAB提出的基于TCP/IP网管协议,CMIP是由国际标准化组织ISO开发的基于网络互联的网管协议。网管协议的统一就是指这两种协议的统一
网管功能的统一
在ISO标准中定义了配置管理、故障管理、性能管理、安全管理、计费管理等领域。现有的网管系统在网管规范尚未成熟就进行了开发,大都是实现了部分模块的部分功能。这些网管系统功能单一,相互独立,不能实现信息的共享。不能从宏观上实现管理,不利于网络的综合管理。
统一的策略
将多个网络管理系统统一在一起的方法有三种,一种是格式转换法,即各个子网管理系统通过程序进行格式的转换,以便相互识别和共享资源,是一种分散式管理方式。另一种使用分层网管平台,即建立更高级的管理系统,高级网管系统和低级网管系统间进行通信,分层管理,是一种分布式管理方式。第三种是标准化方法,是遵循标准的规范和协议,建立的综合网络管理系统。
使用分层的网管平台是当前较为流行的方法,如现在广泛研究和讨论的基于CORBA的TMN(Telecomunication Management Network)就是将TMN中的管理者通过ORB(Object Request Broker)连接起来,实现不同管理系统的统一。
格式转换法是目前使用较多的方法,如运营商要求网管系统对外提供统一的数据收集、告警信息。
协议标准化方法是统一网络管理系统的趋势和方向,电信管理网TMN就是在电信领域内的一种标准协议,使得不同的厂商、不同的软硬件网管产品的统一管理成为可能。标准化实现统一的网管功能,包括网管协议的标准化、管理信息集模型的标准化和高层管理应用程序功能的统一规划。
格式转换和应用网管平台的策略是基于现有网管系统的基础上统一网管系统,而标准法策略则不考虑现有网管系统而重新设计一套新的标准,或是对现有网络管理系统进行较大改进,考虑到我们当前的网络管理发展的现状,还是以格式转换和应用网管平台方式统一网络系统。
网络管理系统实现统一的方法
当前网络管理的统一主要涉及两个方面,一是网管协议的统一。另一种是分布系统的统一,即在CORBA环境下的统一。它是基于面向对象的网管平台和格式转换的策略。
2.4网络管理协议SNMP和CMIP的统一
SNMP和CMIP在它们的范围、复杂性、以及解决网络管理问题的方法方面有很大的不同。SNMP被设计的很简单,使它非常易于在TCP/IP系统中普及。目前这已经成为事实。可是这一特点也不太适合大型的、复杂的、多企业的网络。相对应的,CMIP被设计的比较通用和灵活。但这也同时提高了复杂性。SNMP和CMIP的统一是指分别支持这两种协议的网络管理系统信息互通,互相兼容。
SNMP和CMIP统一有两种思想,一种是两种协议共存,一种是两种协议的互作用。
协议共存可有三种方法实现,一是建立双协议栈,二是建立混合协议栈,三是通用应用程序接口(APIs)。双协议栈的方法要求被管设备同时支持两种体系结构,但这要求被管设备要有很高的处理能力和存储能力,开销大,不实用。混合协议栈就是建立一种底层协议栈同时支持这两种协议,这样运行在该协议栈上的管理系统可同时管理支持SNMP的设备和支持CMIP的设备,为了使CMIP能在内存有限的设备上运行,IBM和3COM联合为IEEE802.1b开发了一个特殊的逻辑链路控制上的CMIP(CMOL),因为它取消了很多高层协议开销,减少了对设备处理能力和内存的需求,并且不需要考虑底层的协议,但同时由于缺少网络层,失去了跨越互联网络的能力。多厂商管理平台定义了一套开放的应用程序接口(APIs),允许开发商开发管理软件而不用关心管理协议的一些细节描述、数据定义、和特殊的用户接口。如图2所示为HP OpenView利用XMP(X/Open Management Protocol) API来实现多协议管理平台的结构。其中Postmaster 用来管理在网络对象间的通信,如管理者和之间的请求和相应,而ORS(Object Registration Services)为每个产生一个目录,纪录它们的位置和采用的协议。
协议共存虽然能实现SNMP和CMIP的综合,但协议之间没有互作用能力不能很好的实现协作对网络的分布式管理。 对于SNMP内部不支持SNMP的设备可采用委托PROXY的方式解决。对于TMN/CMIP内部非Q3或Qx接口的设备可通过增加适配器进行转换。因此可通过增加中间的方式来解决SNMP和CMIP之间统一问题。由于CMIP的强大的对等能力和对复杂系统的模型能力即事件驱动机制,使得它更适于跨管理域实现对等实体间的互作用,以分层分布的方式管理网络,由于它对设备的性能要求较高,因此在这种层次结构中,可充当中央管理站和中间管理站,而SNMP可用于下层管理简单设备。如图3给出了协议互作用的管理模型
基于CORBA的网管系统的统一
利用面向对象的的技术对网络资源进行描述是一种有效的方式。在分层的网络管理平台上,利用面向对象的思想,将网络资源和网络管理资源进行抽象。管理平台为不同应用系统和高层管理者提供的是一组管理对象,对象由属性和方法组成。利用对象的封装性可以使管理应用和高层管理者面对在较高层次上进行抽象的管理对象,屏蔽了实现各种管理功能的细节。为应用提供了对网络资源进行描述和管理的高级抽象,易于实现各种管理功能。而对象类的继承性便于扩充和增加管理对象类,继承性支持系统开发过程中的可重用性。
在应用环境中,管理应用和高层管理节点与管理平台是基于C/S(顾客/服务器)模式的分布式结构,即管理应用节点和高层管理者节点与他们所以来的平台节点可能处于不同的地理位置。因此考虑基于何种结构,采用什么样的协议实现分布对象的访问。
多厂商设备的环境的网络管理一直是网络管理研究和实现的难点。鉴于CORBA的分布式面向对象的特点,在网管系统的开发中加以引用。
本文采用OMG的CORBA(Common Object Request Broker Architecture)做为实现分布管理对象访问的设施。CORBA是很有应用前景的系统集成标准,它提供了面向对象应用的互操作标准。CORBA位分布对象环境描述了面向对象的设施-----对象请求,他提供了分布对象进行请求和应答的机制。这样CORBA提供了在异构分布环境下不同机器的不同应用的互操作能力和将多个对象系统无缝互连接的能力。CORBA机制是独立于任何程序设计语言的,对象的接口描述在IDL(Interface Description Language)中。CORBA支持两种标准协议-----GIOP和IIOP。GIOP是信息表示协议,描述了所传输信息的格式,而IIOP则描述了CORBA所支持的传输协议,即GIOP信息如何进行交换
管理不同厂商应用和高层管理者如何使用CORBA机制访问相应的管理平台所提供的管理对象。使得处于不同节点的不同厂商的管理应用和高层管理者能无缝使用分布对象提供的功能。在这两种情况下原理是相同的,只是功能不同,在第一种情况下,不同厂商的管理应用脚本程序通过CORBA机制访问管理平台上的应用管理对象,以实现同一层次上的管理功能。在第二种情况下,高层管理平台上的脚本进程通过CORBA机制访问底层管理者为高层提供的管理对象以实现高层对底层的网络管理功能。
CORBA机制除支持客户端对服务器端所提供的分布对象的访问外,还提供分布对象服务功能------COSS,它包括分布对象访问的安全机制、事件机制等。在网络管理应用中,除主动询问网络管理信息以管理、监视网络的运行状态外,还有一种应用是被管理对象在发生故障和事件时,向管理者提出事件处理请求。CORBA中的事件服务机制恰好可以满足这一需求。
2.5网络管理分类及功能
事实上,网络管理技术是伴随着计算机、网络和通信技术的发展而发展的,二者相辅相成。从网络管理范畴来分类,可分为对网“路”的管理。即针对交换机、路由器等主干网络进行管理;对接入设备的管理,即对内部PC、服务器、交换机等进行管理;对行为的管理。即针对用户的使用进行管理;对资产的管理,即统计IT软硬件的信息等。根据网管软件的发展历史,可以将网管软件划分为三代:
第一代网管软件就是最常用的命令行方式,并结合一些简单的网络监测工具,它不仅要求使用者精通网络的原理及概念,还要求使用者了解不同厂商的不同网络设备的配置方法。
第二代网管软件有着良好的图形化界面。用户无须过多了解设备的配置方法,就能图形化地对多台设备同时进行配置和监控。大大提高了工作效率,但仍然存在由于人为因素造成的设备功能使用不全面或不正确的问题数增大,容易引发误操作。
第三代网管软件相对来说比较智能,是真正将网络和管理进行有机结合的软件系统,具有“自动配置”和“自动调整”功能。对网管人员来说,只要把用户情况、设备情况以及用户与网络资源之间的分配关系输入网管系统,系统就能自动地建立图形化的人员与网络的配置关系,并自动鉴别用户身份,分配用户所需的资源(如电子邮件、Web、文档服务等)。
根据国际标准化组织定义网络管理有五大功能:故障管理、配置管理、性能管理、安全管理、计费管理。对网络管理软件产品功能的不同,又可细分为五类,即网络故障管理软件,网络配置管理软件,网络性能管理软件,网络服务/安全管理软件,网络计费管理软件。
下面我们来简单介绍一下大家熟悉的网络故障管理、网络配置管理、网络性能管理、网络计费管理和网络安全管理五个方面网络管理功能:
ISO在ISO/IEC 7498-4文档中定义了网络管理的五大功能,并被广泛接受。这五大功能是:
(1)故障管理(fault management)
故障管理是网络管理中最基本的功能之一。用户都希望有一个可靠的计算机网络。当网络中某个组成失效时,网络管理器必须迅速查找到故障并及时排除。通常不大可能迅速隔离某个故障,因为网络故障的产生原因往往相当复杂,特别是当故障是由多个网络组成共同引起的。在此情况下,一般先将网络修复,然后再分析网络故障的原因。分析故障原因对于防止类似故障的再发生相当重要。网络故障管理包括故障检测、隔离和纠正三方面,应包括以下典型功能:
.维护并检查错误日志
.接受错误检测报告并做出响应
.跟踪、辨认错误
.执行诊断测试
.纠正错误
对网络故障的检测依据对网络组成部件状态的监测。不严重的简单故障通常被记录在错误日志中,并不作特别处理;而严重一些的故障则需要通知网络管理器,即所谓的"警报"。 一般网络管理器应根据有关信息对警报进行处理,排除故障。当故障比较复杂时,网络管理 器应能执行一些诊断测试来辨别故障原因。
(2)计费管理(accounting management)
计费管理记录网络资源的使用,目的是控制和监测网络操作的费用和代价。它对一些公共商业网络尤为重要。它可以估算出用户使用网络资源可能需要的费用和代价,以及已经使用的资源。网络管理员还可规定用户可使用的最大费用,从而控制用户过多占用和使用网络 资源。这也从另一方面提高了网络的效率。另外,当用户为了一个通信目的需要使用多个网络中的资源时,计费管理应可计算总计费用。
(3)配置管理(configuration management)
配置管理同样相当重要。它初始化网络、并配置网络,以使其提供网络服务。配置管理 是一组对辨别、定义、控制和监视组成一个通信网络的对象所必要的相关功能,目的是为了 实现某个特定功能或使网络性能达到最优。
这包括:
.设置开放系统中有关路由操作的参数
.被管对象和被管对象组名字的管理
.初始化或关闭被管对象
.根据要求收集系统当前状态的有关信息
.获取系统重要变化的信息
.更改系统的配置
(4)性能管理(performance management)
性能管理估价系统资源的运行状况及通信效率等系统性能。其能力包括监视和分析被管网络及其所提供服务的性能机制。性能分析的结果可能会触发某个诊断测试过程或重新配置网络以维持网络的性能。性能管理收集分析有关被管网络当前状况的数据信息,并维持和分析性能日志。一些典型的功能包括:
.收集统计信息
.维护并检查系统状态日志
.确定自然和人工状况下系统的性能
.改变系统操作模式以进行系统性能管理的操作
(5)安全管理(security management)
安全性一直是网络的薄弱环节之一,而用户对网络安全的要求又相当高,因此网络安全管理非常重要。网络中主要有以下几大安全问题:
网络数据的私有性(保护网络数据不被侵 入者非法获取),
授权(authentication)(防止侵入者在网络上发送错误信息),
访问控制(控制访问控制(控制对网络资源的访问)。
相应的,网络安全管理应包括对授权机制、访问控制 、加密和加密关键字的管理,另外还要维护和检查安全日志。包括:
.创建、删除、控制安全服务和机制
.与安全相关信息的分布
.与安全相关事件的报告
网络管理中的关键
网络迅速发展,导致网络结构更为复杂;网络应用的日新月异,让网络管理员每天都要面对新的问题。很多企事业单位,在遇到网络问题不知道应该如何去解决,看流量,拔网线等手段,排查周期长,也很难真正找出问题。
网络发展到一定阶段,必然要考虑到网络性能、网络故障与网络安全性问题。只有通过运用网络分析技术对网络流通数据的清晰认识,才能为故障的排查,性能的提升,以及网络安全的解决提供可靠的数据依据。
信息应用与治理
网络最大的价值,是在于信息化的应用。当出现故障不能及时解决,既使有再好的电子商务、电子政务,也只是一个摆设。无论是安全、性能还是故障性问题,不能快速解决,给企业带来的是难以衡量的损失。
治理并不是简单的网络管理,它需要管理者对网络中所有设备完全掌握,包括每个网卡地址,以及所处的位置。通过对网络传输中的数据进行全面监控分析,才能从网络底层数据获取各种网络应用行为造成的网络问题,并快速的定位到网卡的位置。从而在安全策略上更好的防范,对故障和性能更合理的管理。
一劳永逸的误区
从管理角度的考虑,往往期望络故障和安全性问题可以自动解决。但历经多年,没有任何产品能做到。虽然许多企业部署了非常好的安全防护产品,但仍然会受到网络攻击和病毒危害。根本原因在于,网络应用本身就在不断的发展,新的病毒以及病毒变种,都很难被基于特征库或病毒库的产品所识别。要解决这些问题,则要求网络管理员随时都能查看到网络中真实的数据,最快的发现引起问题的原因。
网络拓扑图VS矩阵图
网络拓扑图要求这些交换设备都必须支持SNMP(简单网络管理协议),它能直观能看到网络结构,但看不到终端主机;它能看到设备断网情况和粗略流量,但对网络问题的解决能力并不实用。
从技术趋势来看,矩阵图(Matrix)将更适合网络管理的需要。矩阵图也被称为主机连接图,可以监控每台主机(包括交换设备)之间的通讯连接,极大的提高了监控范围,监控范围深入到每台主机之间的各种应用,包括通讯、资源占用、活跃程度、服务应用等,管理者可以监控到每台主机的一举一动,各种网络问题都会在矩阵中表现出异常。如:BT下载、DDOS攻击、ARP攻击、木马扫描等。
"诊断专家"快速提高解决能力
网络分析不仅提供网络依据,更重要的是帮助管理者提高问题的解决能力。"诊断专家"则是一个从问题原因到问题结果的完整解释。好的网络分析产品,可以自动提取问题的相关数据,并告诉管理者网络中存在有哪些问题,可能产生的原因,有什么办法可以解决,ARP攻击的快速定位则是一个很好的证明。
网络数据的回放能力
好的网络分析产品,都具有网络数据的回放能力,将网络数据进行7x24小时记录,可以按每天或每小时来记录。如果要分析昨天某个时段出现的网络故障,只需要将当时保存的数据包进行播放,同时通过网络分析来追溯故障是如何发生的,使网络管理对历史问题追查能力得到明显提高。
2.6网络管理体系结构及技术
1 WBM 技术介绍
随着应用Intranet的企业的增多,同时Internet技术逐渐向Intranet的迁移,一些主要的网络厂商正试图以一种新的形式去应用M I S 。因此就促使了W e b ( W e b - B a s e dManagement)网管技术的产生[2]。它作为一种全新的网络管理模式—基于Web的网络管理模式,从出现伊始就表现出强大的生命力,以其特有的灵活性、易操作性等特点赢得了许多技术专家和用户的青睐,被誉为是“将改变用户网络管理方式的革命性网络管理解决方案”。
WBM融合了Web功能与网管技术,从而为网管人员提供了比传统工具更强有力的能力。WBM可以允许网络管理人员使用任何一种Web浏览器,在网络任何节点上方便迅速地配置、控制以及存取网络和它的各个部分。因此,他们不再只拘泥于网管工作站上了,并且由此能够解决很多由于多平台结构产生的互操作性问题。WBM提供比传统的命令驱动的远程登录屏幕更直接、更易用的图形界面,浏览器操作和W e b页面对W W W用户来讲是非常熟悉的,所以WBM的结果必然是既降低了MIS全体培训的费用又促进了更多的用户去利用网络运行状态信息。所以说,WBM是网络管理方案的一次革命。
2 基于WBM 技术的网管系统设计
系统的设计目标
在本系统设计阶段,就定下以开发基于园区网、Web模式的具有自主版权的中文网络管理系统软件为目标,采用先进的WBM技术和高效的算法,力求在性能上可以达到国外同类产品的水平。
本网管系统提供基于WEB的整套网管解决方案。它针对分布式IP网络进行有效资源管理,使用户可以从任何地方通过WEB浏览器对网络和设备,以及相关系统和服务实施应变式管理和控制,从而保证网络上的资源处于最佳运行状态,并保持网络的可用性和可靠性。
系统的体系结构
在系统设计的时候,以国外同类的先进产品作为参照物,同时考虑到技术发展的趋势,在当前的技术条件下进行设计。我们采用三层结构的设计,融合了先进的WBM技术,使系统能够提供给管理员灵活简便的管理途径。
三层结构的特点[2]:1)完成管理任务的软件作为中间层以后台进程方式实现,实施网络设备的轮询和故障信息的收集;2)管理中间件驻留在网络设备和浏览器之间,用户仅需通过管理中间层的主页存取被管设备;3)管理中间件中继转发管理信息并进行S N M P 和H T T P之间的协议转换三层结构无需对设备作任何改变。
网络拓扑发现算法的设计
为了实施对网络的管理,网管系统必须有一个直观的、友好的用户界面来帮助管理员。其中最基本的一个帮助就是把网络设备的拓扑关系以图形的方式展现在用户面前,即拓扑发现。目前广泛采用的拓扑发现算法是基于SNMP的拓扑发现算法。基于SNMP的拓扑算法在一定程度上是非常有效的,拓扑的速度也非常快。但它存在一个缺陷[3]。那就是,在一个特定的域中,所有的子网的信息都依赖于设备具有SNMP的特性,如果系统不支持SNMP,则这种方法就无能为力了。还有对网络管理的不重视,或者考虑到安全方面的原因,人们往往把网络设备的SNMP功能关闭,这样就难于取得设备的M I B值,就出现了拓扑的不完整性,严重影响了网络管理系统的功能。针对这一的问题,下面讨论本系统对上述算法的改进—基于ICMP协议的拓扑发现。
PING和路由建立
PING的主要操作是发送报文,并简单地等待回答。PING之所以如此命名,是因为它是一个简单的回显协议,使用ICMP响应请求与响应应答报文。PING主要由系统程序员用于诊断和调试实现PING的过程主要是:首先向目的机器发送一个响应请求的ICMP报文,然后等待目的机器的应答,直到超时。如收到应答报文,则报告目的机器运行正常,程序退出。
路由建立的功能就是利用I P 头中的TTL域。开始时信源设置IP头的TTL值为0,发送报文给信宿,第一个网关收到此报文后,发现TTL值为0,它丢弃此报文,并发送一个类型为超时的ICMP报文给信源。信源接收到此报文后对它进行解析,这样就得到了路由中的第一个网关地址。然后信源发送TTL值为1的报文给信宿,第一个网关把它的TTL值减为0后转发给第二个网关,第二个网关发现报文TTL值为0,丢弃此报文并向信源发送超时ICMP报文。这样就得到了路由中和第二个网关地址。如此循环下去,直到报文正确到达信宿,这样就得到了通往信宿的路由。
网络拓扑的发现算法具体实现的步骤:
(1)于给定的IP区间,利用PING依次检测每个IP地址,将检测到的IP地址记录到IP地址表中。
(2)对第一步中查到的每个IP地址进行traceroute操作,记录到这些IP地址的路由。并把每条路由中的网关地址也加到IP表中。
(3)对IP地址表中的每个IP地址,通过发送掩码请求报文与接收掩码应答报文,找到这些IP地址的子网掩码。
(4)根据子网掩码,确定对应每个IP地址的子网地址,并确定各个子网的网络类型。把查到的各个子网加入地址表中。
(5)试图得到与IP地址表中每个IP地址对应的域名(Domain Name),如具有相同域名,则说明同一个网络设备具有多个IP地址,即具有多个网络接口。
(6)根据第二步中的路由与第四步中得到的子网,产生连接情况表。
第三章 网络维护
3.1概述
网络故障极为普遍,网络故障的种类也多种多样,要在网络出现故障时及时对出现故障的网络进行维护,以最快的速度恢复网络的正常运行,掌握一套行之有效的网络维护理论、方法和技术是关键。就网络中常见故障进行分类,并对各种常见网络故障提出相应的解决方法。
随着计算机的广泛应用和网络的日趋流行,功能独立的多个计算机系统互联起来,互联形成日渐庞大的网络系统。计算机网络系统的稳定运转已与功能完善的网络软件密不可分。计算机网络系统,就是利用通讯设备和线路将地理位置不同的、信息交换方式及网络操作系统等共享,包括硬件资源和软件资源的共享:因此,如何有效地做好本单位计算机网络的日常维护工作,确保其安全稳定地运行,这是网络运行维护人员的一项非常重要的工作。
在排除比较复杂网络的故障时,我们常常要从多种角度来测试和分析故障的现象,准确确定故障点。
3.2分析模型和方法
七层的网络结构分析模型方法
从网络的七层结构的定义和功能上逐一进行分析和排查,这是传统的而且最基础的分析和测试方法。这里有自下而上和自上而下两种思路。自下而上是:从物理层的链路开始检测直到应用。自上而下是:从应用协议中捕捉数据包,分析数据包统计和流量统计信息,以获得有价值的资料。
网络连接结构的分析方法
从网络的连接构成来看,大致可以分成客户端、网络链路、服务器端三个模块。
1、客户端具备网络的七层结构,也会出现从硬件到软件、从驱动到应用程序、从设置错误到病毒等的故障问题。所以在分析和测试客户端的过程中要有大量的背景知识,有时PC的发烧经验也会有所帮助。也可以在实际测试过程中询问客户端的用户,分析他们反映的问题是个性的还是共性的,这将有助于自己对客户端的进一步检测作出决定。
2、来自网络链路的问题通常需要网管、现场测试仪,甚至需要用协议分析仪来帮助确定问题的性质和原因。对于这方面的问题分析需要有坚实的网络知识和实践经验,有时实践经验会决定排除故障的时间。
3、在分析服务器端的情况时更需要有网络应用方面的丰富知识,要了解服务器的硬件性能及配置情况、系统性能及配置情况、网络应用及对服务器的影响情况。
工具型分析方法
工具型分析方法有强大的各种测试工具和软件,它们的自动分析能快速地给出网络的各种参数甚至是故障的分析结果,这对解决常见网络故障非常有效。
综合及经验型分析方法靠时间、错误和成功经验的积累 在大多数的阿络维护工作人员的工作中是采用这个方法的,再依靠网管和测试工具迅速定位网络的故障。
3.3计算机无法上网故障的排除
1、对于某网计算机上不了网的故障,首先要分别确定此计算机的网卡安装是否正确,是否存在硬件故障,网络配置是否正确在实际工作中我们一般采用Ping本机的回送地址(127.0.0.1)来判断网卡硬件安装和TCP/IP协议的正确性。
如果能Ping通,即说明这部分没有问题。如果出现超时情况,则要检查计算机的网卡是否与机器上的其它设备存在中断冲突的问题。通过查看系统属性中的设备管理器,查看是否在网络适配器的设备前面有黄色惊叹号或红色叉号,如有则说明硬件的驱动程序没有安装成功,可删除后重新安装。另外,要确保TCP/IP协议安装的正确性,并且要绑定在你所安装的网卡上。如果重新安装后还是Ping不通回送地址,最好换上一块正常的网卡试一试。由于在局域网中划分了VLAN,所以连在不同VLAN中的计算机都有各自不同的IP地址、子网掩码和网关。要在机器的网络属性中设定的IP地址等数据与连接的VLAN相匹配,否则将出现网络不通的情况。
当确保了计算机的硬件设备和网络配置正确后,接着就要查看计算机与交换机之间的双绞线,交换机的RJ45端口或交换机的配置是否有问题。此时我们要Ping上网计算机所在VLAN的网关,不通的话就要分段检查上面所说的各项。
最简单的方法是检查双绞线,用线缆测试仪检测双绞线是否断开。双绞线没有问题,就要查看交换机的端口是否坏了。交换机每一个端口都有状态指示灯以询问一下其它网管人员就可以排除了,如果不放心可以对照查看。交换机的参数配置表也是网络管理员必备的资料之一,并且随着网络用户的变化要不断地修改,检测到此,如果端口指示灯不亮,就只能是端口损坏了,可以把跳线接到正常使用的端口上排除其它原因,确定是端口的问题。
2、一批联网计算机上不了网对于同时有一批计算机上不了网的故障,首先要找到这些计算机的共性,如是不是属于同一VLAN或接在同一交换机上的,若这些计算机属于同一VLAN,且属于计算机分别连接于不同的楼层交换机,那么检查一下路由器上是否有acl限制,在路由器上对该VLAN的配置是否正确,路由协议(如我局的OSPF协议)是否配置正确。若这些计算机属于同一交换机,则应到机房检查该交换机是否有电源松落情况,或该交换机CPU负载率是否很高,与上一级网络设备的链路是否正常。
通常某交换机连接的所有电脑都不能正常与网内其它电脑通讯,这是典型的交换机死机现象,可以通过重新启动交换机的方法解决。如果重新启动后故障依旧,则检查一下那台交换机连接的所有电脑,看逐个断开连接的每台电脑的情况,慢慢定位到某个故障电脑,会发现多半是某台电脑上的网卡故障导致的。
故障通常是交换机的某个端口变得非常缓慢,最后导致整台交换机或整个堆叠慢下来。通过控制台检查交换机的状态,发现交换机的缓冲池增长得非常快,达到了90%或更多。原因及解决方法为:首先应该使用其它电脑更换这个端口上原来的连接,看是否由这个端口连接的那台电脑的网络故障导致的,也可以重新设置出错的端口并重新启动交换机,个别时候,可能是这个端口损坏了。
3.4计算机网络故障分析
计算机网络故障主要分为硬件故障和软件故障,对计算机网络故障进行分析也主要可以从硬件与软件两个方面着手:
(一)计算机网络故障分析与诊断的基本方法
计算机网络故障分析与诊断的原则可归纳为:由服务器到工作站(就是出现工作站不能入网的情况时,先确定服务器是否有问题);由外部到内部(即当有工作站出现网络故障时,先检查其外部直接可看到的设备情况,如与之相连的交换机或集线器有没有故障,电缆有无缠绕导致内部线缆断裂或接触不良);由软件到硬件(就是网络出故障后先从操作系统、网络协议、网卡驱动程序及配置上找原因。重新安装网卡驱动或网络协议、操作系统,看看故障是否消失。在确定排除软件问题后再检查硬件是否损坏。
(二)网络硬件故障的分析与诊断方法
网络中的硬件故障比较复杂,现就日常工作中常见的网络连线问题和网卡问题来进行探讨。如,网线至交换机或集线器之间的故障分析与诊断方法,故障诊断:通过看网卡指示灯集线器指示灯。首先,检查网线是否插好;其次,若有数台工作站同时出现网络故障,则有可能是连接这些计算机的交换机或集线器出故障。如,网卡故障,故障分析:这是最常发生的问题。如网卡设置错误,网卡在安装过程中是否正确地设置中断号,I/0端口地址,驱动程序是否出错,网卡是否出故障等。
(三)网络配置故障的分析与诊断
故障分析:网络配置故障就是由网络中的各项配置不当而产生的故障。它是一种较复杂的现象,不但要检查服务器的各项配置、工作站的各项配置,还要根据出现的错误信息和现象查出原因。如,域名、计算机名和地址故障的分析与诊断。故障分析:在实际工作中经常会出现在“网上邻居”中看不到其它计算机或只能看到部分计算机,无法找到指定的计算机等现象。故障诊断:检查网络中每个域、每台计算机的名称是否唯一;检查网络中的计算机名是否和域名或工作组名重复,使用TCP/IP时,检查分配给网络适配器的IP地址有无重复。在如协议故障的分析与诊断,故障分析:确认您所使用的协议与网络上其它计算机使用的协议相同。否则,将看不到网络上其它计算机。在配置和使用TCP/IP协议时的主要问题是IP地址、子网掩码和路由问题。IP地址的分配复杂,分配不好,容易造成网络混乱。因而,非网管人员不要随意修改IP地址。
3.5故障定位及排除的常用方法
1.告警性能分析法
通过网管获取告警和性能信息进行故障定位。我们单位使用了Siteview网络网管,可以对全单位的网络设备进行管理,平时多观察各设备CPU负载率和各线路的流量。当有人反映不能连接至网络或网速很慢时,可通过网管观察计算机与交换机的连接情况,是否有时断时通的现象,交换机CPU负载率是否很高,线路流量是否很大。通过观察设备端口状态,分析和观察交换机哪个端口所接的计算机发包量不太正常。
2.查看网络设备日志法
经常看一下网络设备的日志,分析设备状况。我曾经通过showlonging命令观察到4006交换机下连的2950交换机经常每隔7小时down掉,然后又up,因时间间隔较长,单位人员未感觉网络中断,在此期间我们检查并确定了光缆、光收发器、网线、交换机配置、交换机端口均正常,后来的间隔时间由原来的7小时减为7分钟。由此我们立即判定2950交换机本身有故障,马上将已准备好的备用交换机换上,从而减少了处理故障的时间,并在最短时间内恢复网络。
3.替换法
替换法就是使用一个工作正常的物体去替换一个工作不正常的物体,从而达到定位故障、排除故障的目的。这里的物件可以是一段线缆、一个设备和一块模块。
4.配置数据分析法
查询、分析当前设备的配置数据,通过分析以上的配置数据是否正常来定位故障。若配置的数据有错误,需进行重新配置。
3.6计算机网络维护
计算机网络故障是与网络畅通相对应的一概念,计算机网络故障主要是指计算机无法实现联网或者无法实现全部联网。引起计算机网络故障的因素多种多样但总的来说可以分为物理故障与逻辑故障,或硬件故障与软件故障。物理故障或硬件故障可以包括电源线插头没有进行正常的连接,联网电脑网卡、网线、集线器、交换机、路由器等故障、计算机硬盘、内存、显示器等故障也会不同程度影响到网络用户正常使用网络。软件故障是当前最常见的计算机网络故障之一,常见的软件故障有网络协议问题、网络设备的配置和设置等问题造成的。
网络故障目前已经成为影响计算机网络使用稳定性的重要因素之一,加强对计算机网络故障的分析和网络维护已经成为网络用户经常性的工作之一。及时进行网络故障分析和网络维护也已经成为保障网络稳定性的重要方式方法。
计算机网络维护是减少计算机网络故障,维护计算机网络稳定性的重要的方式方法。计算机网络维护一般来说包括以下方面:
1.对硬件的维护。首先检测联网电脑网卡、网线、集线器、交换机、路由器等故障、计算机硬盘、内存、显示器等是否能够正常运行,对临近损坏的计算机硬件要及时进行更换。同时要查看网卡是否进行了正确的安装与配置。具体来说要确定联网计算机硬件能够达到联网的基本要求,计算机配置的硬件不会与上网软件发生冲突而导致不能正常联网。
2.对软件的维护。软件维护是计算机网络维护的主要方面,具体来说主要包括,
(1)计算机网络设置的检查。具体来说检查服务器是否正常,访问是否正常,以及检查网络服务、协议是否正常。
(2)对集线器、交换器和路由器等网络设备的检查。具体来说,包括检测网络设备的运行状态,检测网络设备的系统配置。
(3)对网络安全性的检测。对网络安全性的检测主要包括,对服务器上安装的防病毒软件进行定期升级和维护,并对系统进行定期的查杀毒处理;对服务器上安装的防火墙做不定期的的系统版本升级,检测是否有非法用户入网入侵行为;对联网计算机上的数据库做安全加密处理并对加密方式和手段进行定期更新,以保障数据的安全性。
(4)网络通畅性检测。在进行网络维护的过程,经常会遇到网络通讯不畅的问题,其具体表现为网络中的某一结点pingq其他主机,显示一个很小的数据包,需要几百甚至几千毫秒,传输文件非常慢,遇到这种情况应首先看集线器或交换机的状态指示灯,并根据情况进行判断。
计算机网络是计算机技术的一重要应用领域,计算机网络的便捷、高效、低廉为计算机网络应用的增加提供了保障,但计算机网络故障一旦发生就会给网络用户带来使用上巨大不便,甚至造成巨大的损失。因而必须进一步加强计算机网络故障分析与维护研究,提高网络的稳定性和安全性。
结束语 本文提出了现代网络中的一些安全策略,重点提出了管理技术和维护技术。本文介绍了几种常用的防范技术。随着现在的发展,网络的不安全因素很多,网络管理和维护尤其重要,本文介绍了网络管理几个方面的技术和网络维护的几种常用技术。
参考文献
晏蒲柳.大规模智能网络管理模型方法[J].计算机应用研究
周杨,家海,任宪坤,王沛瑜.网络管理原理与实现技术[M].北京:清华大学出版社
李佳石, 冰心著. 网络管理系统中的自动拓扑算法[J].华中科技大学学报胡谷雨. 现代通信网和计算机管理.
岑贤道,安长青. 网络管理协议及应用开发.
1计旅机网络心理举概述
网络心理学有广义和狭义之分。广义的网络心理学是指一切与网络有关的心理学研究;狭义的网络心理学则指的是,以网络为代表的自组织性、非线性的观点对于心理学的深刻影响。如社会网络分析观点对社会心理学的影响。目前来看,网络心理学的研究领域主要有,互联网使用对人的认知、情感、意志、行为、人格、一般能力、记忆能力、学习能力、社会适应性等心理特征的一般影响;互联网人格的形成机制与影响因素等问题。
2计茸机网络心理攀的发展现状
在当今世界,随着计算机技术的不断成熟和迅速普及,互联网蓬勃发展,它极大地改变着人类传统的生产方式、生活方式和生存状态。我们正经历着以互联网为核心的信息革命所带来的社会变革。与此同时,互联网给人类提出了许多新的问题和挑战,诸多学科都将研究的目光投向了这一崭新的领域。其中丰富多彩的网络应用扩大了人们的交往空间,缩短了人与人之间的距离,提供了快捷的沟通方式以及网络环境下的多种行为方式,使人们的心理状态、心理过程同现实社会产生了巨大的差异。互联网引发的一系列心理问题日益凸显,并且越来越受到人们的关注。作为社会科学领域的基础学科,心理学也开始介入网络研究,互联网成为心理学研究的新领域。
2. 1计算机网络心理研究的局限和不足
互联网对人的心理行为有着重要的影响,众多的心理学家运用多种研究方法对网络心理进行深入而广泛的研究,并取得了一定的研究成果。但网络心理的相关研究仍然处于初步发展阶段,存在着一定的局限性和不足。
1.网络心理的研究方法尚未成熟
我国传统的心理学研究基本上是比较成熟的,包括观察法、实验法、问题调查法、心理测验法等在内的多种研究方法已经广泛运用于传统心理学研究的各个领域。互联网为心理学研究提供了新的研究工具,并己在心理学研究中得到初步的应用。网络心理研究主要对网络空间内人的心理行为和过程进行分析。传统的网下纸、笔测验使网络使用者根据自己平时上网时的心理行为来对测验中的问题进行判断,增加了更多的干扰因素。
(1)网络心理研究的方法仍然比较古老。对于网络心理的研究大多采用问卷调查、心理测验等方法,只是将这些方法从实践中的应用转换到了网络空间里。但是,对于网络心理的一些实验性研究没能有效地运用到互联网中。此外,网络心理研究相对于现实社会中人的心理行为的研究来说又有其自身的特点,它在研究环境、研究内容和研究的角度上都有了新的变化。
(2)网络心理研究的方法尚未形成严谨的程序和体系。主要有三方面的原因:①从事网络心理研究的专家学者还处于一个探索阶段;②当前网络技术的发展不能适应网络心理研究的需要;③网络心理行为受到比现实中更多更复杂的影响。因此,在具体的研究实践中不能急于求成,应当遵循科学的研究方法,否则将会是事倍功半。
2. 2计算机网络心理研究的内容比较分散和片面
当前,网络心理研究的内容极不规范,缺乏系统化的操作方法。具体表现在如下几方面:
1.对于网络使用者的研究,大多集中于青少年,忽视了对不同年龄层次的人的研究,导致研究比较片面。例如,青少年网络行为、网络心理状态、网络影响及对策等都是心理学家针对以青少年群体为主的研究项目。
2.缺乏对网络心理行为演变过程的研究。网络心理研究更多关注的是网络空间内人的心理行为及其表现,容易造成网络心理研究只关注到各个点,但却看不见各个点之间的联系以及所发生的变化。
3.网络心理研究比较粗浅。目前的网络心理研究经验描述过多,大部分停留在表面的现象描述层面,局限于简单的经验数据解说,缺乏实际的操作,给人总体的感觉就是在空洞说教,甚至很多时候难以自圆其说。这主要是网络心理研究者的知识技能积累匾乏,同时也和现代社会追求实际利益和短期效应有一定的关系。
3计耳机网络心理研究的目的及义
3. 1网络心理研究的目的
在纷繁复杂的网络背景下,人们有着形形的网络心态,从网络应用的角度出发,探求人们的网络心理,具体目标有以下几点:
1研究人们在虚拟世界的心理状态、心理需求和心理变化
网络的实现,使得人们的生活发生了翻天覆地的巨变,很多人还没有完全适应网络社会就己经被网络的潮水淹没了。尤其让人们感受颇深的莫过于信息的收集与传播速度之快以及网络资源的浩瀚。同时,网络也给人们带来了空前广泛的交流空间,人们的交往模式、交往行为发生了质的变化。网络的隐秘性、虚拟性都使得人们之间的交往多了几分复杂与神秘。
2.研究不同的网络应用所对应的多种心理需求
探寻人们对不同网络应用的各种人性化需求,为改革现有网络应用的弊端以及为各种网络应用的设计与开发提供依据。现有的网络应用中还有很多不尽人意的地方,例如,网络安全、网络隐私保护等问题。这就需要从研究用户不同的网络应用心理出发,从分析网络用户的心理需求、心理特征等着手,找出网络应用的弊端,为设计与开发更符合人的心理、行为等的网络应用提供依据。
3.研究由于网络应用给人们带来的心理困境
现实生活中,很多人沉溺于网络不能自拔,这方面的问题特别是青少年尤为突出。如何正确运用网络,并且引领陷入网络困境的人们走出困境是网络心理研究的一项重要的任务。如何让网络发挥其正面的作用,促使人们合理利用网络,也是当前堕需解决的问题。
3. 2计算机网络心理研究的意义
1从网络应用的角度出发,可以很好地探知网络环境下人们的内心状态,为更好的研究人们的网络心理提供依据。
0 引言
随着国家信息化建设的快速发展,信息网络安全问题日益突出,信息网络安全面临严峻考验。当前互联网络结构无序、网络行为不规范、通信路径不确定、IP地址结构无序、难以实现服务质量保证、网络安全难以保证。长庆油田网络同样存在以上问题,可靠性与安全性是长庆油田网络建设目标。文章以长庆油田网络为例进行分析说明论文下载。
1 长庆油田网络管理存在的问题
长庆油田公司计算机主干网是以西安为网络核心,包括西安、泾渭、庆阳、银川、乌审旗、延安、靖边等7个二级汇聚节点以及咸阳等多个三级节点为架构的高速广域网络。网络庞大,存在的问题也很多,这对日常网络管理是一份挑战,由于管理的不完善,管理存在以下几个方面问题:
1.1 出现问题才去解决问 我们习惯人工战术,习惯凭经验办事。网络维护人员更像是消防员,哪里出现险情才去扑救。设备故障的出现主要依靠使用者报告的方式,网管人员非常被动,无法做到主动预防,无法在影响用户使用之前就预见故障并将其消除在萌芽状态。因此,这种维护模式已经很难保障网络的平稳运行,能否平稳影响网络安全与否。
1.2 突发故障难以快速定位 仅仅依靠人工经验,难以对故障根源做出快速定位,影响故障处理。而且随着网络的复杂程度的提高,在故障发生时,难以快速全面的了解设备运行状况,导致解决故障的时间较长,网络黑客侵犯可以趁机而来,带来网络管理的风险。
1.3 无法对全网运行状况作出分析和评估 在传统模式下,这些都需要去设备近端检查,或远程登录到设备上查看,不仅费时费力,而且对于历史数据无法进行连续不间断的监测和保存,不能向决策人员提供完整准确的事实依据,影响了对网络性能及质量的调优处理,庞大的网络系统,不能通盘管理,不能保证网络运行稳定,安全性时刻面临问题。
2 网络安全防范措施
计算机网络的安全性可以定义为保障网络服务的可用性和网络信息的完整性,为了有效保护网络安全,应做好防范措施,保证网络的稳定性,提高网络管理的效率。
2.1 完善告警机制,防患于未然 告警监控是一种手段,设备维护人员、网络分析人员需要通过告警信息去分析、判断设备出现的问题并尽可能的找出设备存在隐患,通过对一般告警的处理将严重告警发生的概率降下来。告警机制的完善一般从告警信息、告警通知方式两方面着手:
2.1.1 在告警信息的配置方面 目前,长庆油田计算机主干网包括的97台网络设备、71台服务器,每台设备又包含cpu、接口状态、流量等等性能参数,每一种参数在不同的时间段正常值范围也不尽相同。
例如同样为出口防火墙,西安与银川的各项性能阀值的设置也不尽相同,西安的会话数达到25万,而银川的超过20万就发出同样的告警。再比如,西安电信出口流量在凌晨00:00-6:00只有二、三十兆的流量是正常的,因为这个时候在线用户很少,但是如果在晚上8:00-10:00,流量只有二、三十兆的流量,就要发出告警信息。
因此必须根据监控的对象(设备或链路)、内容(各项性能指标)以及时间段,设置不同的触发值及重置值。
2.1.2 告警通知方式的多样化 任何时间我们都无法保证能全天候死盯着屏幕,所以一方面需要制定相应的运维管理制度和轮班值守职责,另一方面则需要选择更加人性化的运维管理方式。维护人员不但需要页面显示的告警触发通知,也迫切需要在移动办公状态或休假状态第一时间得到预警,从而做出应有的反应,所以我们需要开发出例如声音、邮件、短信等多种告警方式。
通过以上两个方面,我们可以建成一个完善的故障告警系统,便于隐患的及时消除,提高了网络的稳定性。
2.2 网络拓扑的动态化 如果一个个设备检查起来显然费时费力,如果我们能将所有设备的状态及其连接状况用一张图形实时动态的直观显示出来,那么无疑会大大缩短故障定位时间(见图1,2)。
说明:2009-10-11日17:05,庆阳、延安、靖边、银川四个区域的T1200-02的连接西安的2.5GPOS口,泾渭T1200-01连西安的2.5GPOS口,以及西峰、吴起连接庆阳汇聚交换机Z8905-02的千兆光口,以上接口同时发出中断告警。
因此,综合告警信息与全网拓扑图,当出现大规模告警的情况下能够非常高效地找出故障源,避免了一步步繁琐的人工排查,从而达到有效提高故障的解决效率,提高了网络的稳定性。
2.3 全网资源管理的动态化
2.3.1 通过对网管系统的二次开发,实现全网动态资源分析,他的最重要特点就是动态,系统通过Polling Engine从设备上自动提取资料数据,如设备硬件信息、网络运行数据、告警信息、发生事件等。定时动态更新,最大限度的保持与现网的一致性。
2.3.2 通过一个集中的浏览器界面上就可以快速、充分地了解现有网络内各种动态和静态资源的状况,彻底转变了传统的网络依赖于文字表格甚至是依赖于维护人员的传统维护模式,变个人资料为共享资料。
2.4 提高安全防范意识 只要我们提高安全意识和责任观念,很多网络安全问题也是可以防范的。我们要注意养成良好的上网习惯,不随意打开来历不明的电子邮件及文件,不随便运行陌生人发送的程序;尽量避免下载和安装不知名的软件、游戏程序;不轻易执行附件中的EXE和COM等可执行程序;密码设置尽可能使用字母数字混排;及时下载安装系统补丁程序等。
总之,影响网络稳定的因素有很多,本文基于日常网络安全管理经验,从日常网络管理的角度,提出一些安全防范措施,以期提高网络稳定性。
参考文献
[1]石志国,计算机网络安全教程,北京:清华大学出版社,2008.