学文网网络管理篇1
【关键词】3G 网络 管理
本文根据对3G网管和2G网管的需求比较及3G网络的技术特点,提出了3G网管的一系列管理体系的解决方案,并对3G网管的技术趋势和参考模型进行了分析。然后,进行了基于3G网管的应用研究,提出了一般组网方式和典型组网方式的系统组网模型。当前,3G网络即将大规模全面商用,因此,本文提出的3G网管系统解决方案具有较高的参考价值。
一、概述
按照TMN管理框架,WCDMA系统网络管理分为网元管理层、网络管理层、业务管理层和商务管理层。不管是综合考虑网管解决方案,还是分管理层考虑网管解决方案,首先,要研究清楚各管理层的管理功能、信息模型和上下互通接口的标准化,并逐渐将研究中心向上层移动。研究中心的上移,会影响研究方式的改变。TMN管理框架一般采用从下向上的设计思想,所以TMN在网元管理层和网络管理层有一套非常稳定的规范。TMF组织提供从上向下的设计思想,对高层管理层提出了一套比较有效的规范建议。
在高层管理层中,网管系统为运营商和最终用户提供客户化的管理,网络管理不再是简单的网络设备操作维护,广义上还要包括在新的商业模式下的网络优化规划决策管理、业务服务支撑管理、客户服务中心以及客户关系管理。
二、3G网管与2G网管的思路的不同点
1.对于2G和3G系统的网络管理和需求是没有显著不同的,在以下问题对2G和3G网管系统都同样面临:
(1)具有管理同一系统中不同厂家设备的能力;
(2)能够减小UMTS(Universal Mobile Telecommunications System)管理的复杂性;
(3)能够在UMTS网元与网管之间,以及网管系统自身之间通过标准接口进行通讯;
(4)能够降低UMTS网络管理的费用,以减少其在网络运营成本中的比重;
(5)提供灵活配置能力,允许新业务迅速开展;
(6)提供综合故障管理功能;
(7)通过远程维护减轻维护负担;
(8)能够在费用较低的情况下平滑扩容;
(9)能够最大限度利用现有资源;
(10)提供良好的安全管理功能;
(11)提供灵活的计费管理功能;
(12)能够提供好的性能管理功能使运营者能够很好地规划网络。
2.在以下方面2G和3G网管不尽相同:
(1)3G网管与2G网管基于的参考模型不同;
(2)3G网管增加了对ATM宽带交换的管理功能,以及对3G网络的性能分析;
(3)由于3G设备比2G设备能够提供更大的带宽,所以3G网管更加丰富的业务管理能力;
(4)3G网管增加了对数据业务的计费功能;
(5)3G网管与2G网管对外接口不同,2G主要是Q3接口,3G比较认可CORBA接口。
三、3G电信网络管理特点
网管部分作为与用户接口,完成网络管理和设备维护功能,整个系统包括了配置管理、故障管理、性能管理、计费管理、安全性管理和用户管理等几大部分。
根据32101-311协议UMTS网络管理的核心框架包括:
为用户提供服务;必要的基础设施确保以上服务;保证设施正常运转,包括提供:操作、服务质量评估、故障处理与报告等;计费。
四、目前网管解决方案
就目前网管解决方案来看,以下趋势值得我们关注:
1.集成管理
多数厂商提供的网管系统提供了很强的集成能力,表现在域内不同层次网管的集成,如网元管理、网络管理、业务管理和事务管理在解决方案上的集成,方便用户使用;跨域集成,通过界面或平台的统一达到集成的目的。总的来说,网管将从“多座位”转到“单座位”。
2.以业务管理为中心
以前的网管系统有从设备管理到业务管理的方向性,主要是TMN 的思想,现在一个明确的趋势是以业务管理为核心的构造,突出网管在业务管理的核心作用。
3.策略管理
传统的网管是“配置型”的,这种机制的缺点有时不够直观,在伸缩性上不够,在粒度控制上非常死板。现在的方向是策略(规则)管理,与目录机制相配合有望解决这些问题。
4.Web网管
使用Web 浏览器作为客户端的管理模式越来越受到重视,各厂商多推出基于Web 的网管系统。
5.客户化网络管理(CNM)
随着业务批发和业务外包运营模式的兴起,客户需要能管理他们自己的设备、网络和业务。
6.OSS 集成
为提高运营效率,运营商普遍采用自动的运营支持系统,以提高定单响应速度,减少开销。
7.多厂商集成方案
各个厂商对多厂商集成管理都有自己的方案,虽然具体能否互通还是有疑问的,但是方案一定要有。
8.总体网管界面风格基本成型
(1)左树右***、列表;
(2)切分窗口,集成的概念;
(3)整个视***使用选项卡;
(4)大量采用IE风格的Toolbar,Outlook风格的主界面,基本采用以Windows 9x代表的界面方案(UNIX平台)。
五、网管技术趋势
就目前网管技术来看,有以下趋势:
(1)基于WEB/JAVA的客户端应用已经较为普遍;
(2)基于CORBA实现的系统被认同;
(3)基于UNIX操作系统的网管系统仍然是主流。在业务管理维护领域,则更多的是在PC机/Windows平台上完成,基于LINUX的系统没有看到。
网管应用多极化,产品形态多元化。在网络管理高层展示出的广阔的市场空间,已经有若干厂商涉足并推出实际系统。在宽带领域,厂商的设备基本采用通信协议多为SNMP V1、V2,这充分体现在SNMP协议在IP、数据通信网络管理中的确“一枝独秀”。同时结合各厂家在城域网所宣传和展示的产品,也可以说在城域网领域,SNMP是城域网网管的占绝对优势的协议。
六、3G网管的参考模型和接口
WCDMA 3G网络又称为通用移动通信系统(UMTS),一个UMTS由下列组件构成:
(1)一个或多个接入网络,可能使用不同的接入技术(G***、UTRA、DECT、PSTN、ISDN……)
(2)一个或多个核心网络,服务类型不定(G***、UMTS、ISDN、IP、ATM……)
(3)一个或多个智能节点网络,用于逻辑和移动性管理(IN、G***……)
(4)一个或多个传输网络(PDH、SDH等),使用不同的拓扑结构(点对点、环、点到多点……)及不同的物理介质(电磁波、光纤、铜线……)
(5)在这些UMTS组件之间存在着信令连接机制(V5、A、DSSI、INAP、MAP、#7、RSVP……)从业务的角度来看,UMTS被定义为:在具体环境中,提供在承载(bearer)能力范围之内的与位置、接入技术和核心网络无关的服务支撑;
(1)提供和支撑所需服务实体无关的用户与终端、用户与网络之间的接口;(2)提供支持多媒体的能力。
七、UMTS管理参考模型及接口
如***1所示为UMTS管理参考模型,同时显示了UMTS操作系统与其它系统之间的接口。***1中标识出了一系列UMTS网络管理接口,分别是:
1.单个UMTS运营商内部的NE与操作系统间的接口,包括网元与网元管理层之间的接口、网元管理与网络管理层之间的接口;
2.在单个UMTS运营商内部的操作系统与企业系统之间的接口;
3.在不同UMTS运营商操作系统之间的接口;
4.单个UMTS运营商内部的操作系统的内部接口。
八、3G电信网络管理的应用
1.一般组网方式,如***2所示;
2.典型组网方式如***3所示。
网络管理篇2
论文摘要:网络攻击行为已经蔓延的越来越广,网络的安全问题日趋严重。网络的安全问题来自多方面的各种原因。本文就是有效的防止网络故障的发生以及发现故障并且维护网络,采取一些防范的网络安全策略和解决办法。就网络中常见故障进行分类,并对各种常见网络故障提出相应的解决方法。宗上所述,网络管理就尤为重要,随看计算机网络规模的扩大和复杂性的增加,网络管理在计算机网络系统中的地位越来越重要。本文在算机网络管理和维护的基础上,介绍了以下的解决方法
前 言
随着计算机技术和Internet的发展,企业和***府部门开始大规模的建立网络来推动电子商务和***务的发展,伴随着网络的业务和应用的丰富,对计算机网络的管理与维护也就变得至关重要。人们普遍认为,网络管理是计算机网络的关键技术之一,尤其在大型计算机网络中更是如此。网络管理就是指监督、组织和控制网络通信服务以及信息处理所必需的各种活动的总称。其目标是确保计算机网络的持续正常运行,并在计算机网络运行出现异常时能及时响应和排除故障。
网络故障极为普遍,网络故障的种类也多种多样,要在网络出现故障时及时对出现故障的网络进行维护,以最快的速度恢复网络的正常运行,掌握一套行之有效的网络维护理论、方法和技术是关键。就网络中常见故障进行分类,并对各种常见网络故障提出相应的解决方法。
随着计算机的广泛应用和网络的日趋流行,功能***的多个计算机系统互联起来,互联形成日渐庞大的网络系统。计算机网络系统的稳定运转已与功能完善的网络软件密不可分。计算机网络系统,就是利用通讯设备和线路将地理位置不同的、信息交换方式及网络操作系统等共享,包括硬件资源和软件资源的共享:因此,如何有效地做好本单位计算机网络的日常维护工作,确保其安全稳定地运行,这是网络运行维护人员的一项非常重要的工作。
在排除比较复杂网络的故障时,我们常常要从多种角度来测试和分析故障的现象,准确确定故障点。
第一章 网络安全技术
1.1概述
网络安全技术是指致力于解决诸如如何有效进行介入控制,以及如何保证数据传输的安全性的技术手段,主要包括物理的安全分析技术,网络结构安全分析技术,系统安全分析技术,管理安全分析技术,以及其他的安全服务和安全机制策略。
21世纪全世界的计算机都将通过Internet联到一起,信息安全的内涵也就发生了根本的变化.它不仅从一般性的防卫变成了一种非常普通的防范,而且还从一种专门的领域变成了无处不在.当人类步入21世纪这一信息社会,网络社会的时候,我国将建立起一套完整的网络安全体系,特别是从***策上和法律上建立起有中国自己特色的网络安全体系.
一个国家的信息安全体系实际上包括国家的法规和***策,以及技术与市场的发展平台.我国在构建信息防卫系统时,应着力发展自己独特的安全产品,我国要想真正解决网络安全问题,最终的办法就是通过发展民族的安全产业,带动我国网络安全技术的整体提高.
网络安全产品有以下几大特点:第一,网络安全来源于安全策略与技术的多样化,如果采用一种统一的技术和策略也就不安全了;第二,网络的安全机制与技术要不断地变化;第三,随着网络在社会各方面的延伸,进入网络的手段也越来越多,因此,网络安全技术是一个十分复杂的系统工程.为此建立有中国特色的网络安全体系,需要国家***策和法规的支持及集团联合研究开发.安全与反安全就像矛盾的两个方面,总是不断地向上攀升,所以安全产业将来也是一个随着新技术发展而不断发展的产业.
信息安全是国家发展所面临的一个重要问题.对于这个问题,我们还没有从系统的规划上去考虑它,从技术上,产业上,***策上来发展它.***府不仅应该看见信息安全的发展是我国高科技产业的一部分,而且应该看到,发展安全产业的***策是信息安全保障系统的一个重要组成部分,甚至应该看到它对我国未来电子化,信息化的发展将起到非常重要的作用
1.2防火墙
网络防火墙技术是一种用来加强网络之间访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络,访问内部网络资源,保护内部网络操作环境的特殊网络互联设备.它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查,以决定网络之间的通信是否被允许,并监视网络运行状态.
目前的防火墙产品主要有堡垒主机,包过滤路由器,应用层网关(服务器)以及电路层网关,屏蔽主机防火墙,双宿主机等类型.
虽然防火墙是目前保护网络免遭黑客袭击的有效手段,但也有明显不足:无法防范通过防火墙以外的其它途径的攻击,不能防止来自内部变节者和不经心的用户们带来的威胁,也不能完全防止传送已感染病毒的软件或文件,以及无法防范数据驱动型的攻击.
自从1986年美国Digital公司在Internet上安装了全球第一个商用防火墙系统,提出了防火墙概念后,防火墙技术得到了飞速的发展.国内外已有数十家公司推出了功能各不相同的防火墙产品系列.
防火墙处于5层网络安全体系中的最底层,属于网络层安全技术范畴.在这一层上,企业对安全系统提出的问题是:所有的IP是否都能访问到企业的内部网络系统如果答案是"是",则说明企业内部网还没有在网络层采取相应的防范措施.
作为内部网络与外部公共网络之间的第一道屏障,防火墙是最先受到人们重视的网络安全产品之一.虽然从理论上看,防火墙处于网络安全的最底层,负责网络间的安全认证与传输,但随着网络安全技术的整体发展和网络应用的不断变化,现代防火墙技术已经逐步走向网络层之外的其他安全层次,不仅要完成传统防火墙的过滤任务,同时还能为各种网络应用提供相应的安全服务.另外还有多种防火墙产品正朝着数据安全与用户认证,防止病毒与黑客侵入等方向发展.
根据防火墙所采用的技术不同,我们可以将它分为四种基本类型:包过滤型,网络地址转换—NAT,型和监测型.
1.3 防火墙主要技术
包过滤型
包过滤型产品是防火墙的初级产品,其技术依据是网络中的分包传输技术.网络上的数据都是以"包"为单位进行传输的,数据被分割成为一定大小的数据包,每一个数据包中都会包含一些特定信息,如数据的源地址,目标地址,TCP/UDP源端口和目标端口等.防火墙通过读取数据包中的地址信息来判断这些"包"是否来自可信任的安全站点 ,一旦发现来自危险站点的数据包,防火墙便会将这些数据拒之门外.系统管理员也可以根据实际情况灵活制订判断规则.
包过滤技术的优点是简单实用,实现成本较低,在应用环境比较简单的情况下,能够以较小的代价在一定程度上保证系统的安全.
但包过滤技术的缺陷也是明显的.包过滤技术是一种完全基于网络层的安全技术,只能根据数据包的来源,目标和端口等网络信息进行判断,无法识别基于应用层的恶意侵入,如恶意的Java小程序以及电子邮件中附带的病毒.有经验的黑客很容易伪造IP地址,骗过包过滤型防火墙.
网络地址转化—NAT
网络地址转换是一种用于把IP地址转换成临时的,外部的,注册的IP地址标准.它允许具有私有IP地址的内部网络访问因特网.它还意味着用户不许要为其网络中每一台机器取得注册的IP地址.
在内部网络通过安全网卡访问外部网络时,将产生一个映射记录.系统将外出的源地址和源端口映射为一个伪装的地址和端口,让这个伪装的地址和端口通过非安全网卡与外部网络连接,这样对外就隐藏了真实的内部网络地址.在外部网络通过非安全网卡访问内部网络时,它并不知道内部网络的连接情况,而只是通过一个开放的IP地址和端口来请求访问.OLM防火墙根据预先定义好的映射规则来判断这个访问是否安全.当符合规则时,防火墙认为访问是安全的,可以接受访问请求,也可以将连接请求映射到不同的内部计算机中.当不符合规则时,防火墙认为该访问是不安全的,不能被接受,防火墙将屏蔽外部的连接请求.网络地址转换的过程对于用户来说是透明的,不需要用户进行设置,用户只要进行常规操作即可.
型
型防火墙也可以被称为服务器,它的安全性要高于包过滤型产品,并已经开始向应用层发展.服务器位于客户机与服务器之间,完全阻挡了二者间的数据交流.从客户机来看,服务器相当于一台真正的服务器;而从服务器来看,服务器又是一台真正的客户机.当客户机需要使用服务器上的数据时,首先将数据请求发给服务器,服务器再根据这一请求向服务器索取数据,然后再由服务器将数据传输给客户机.由于外部系统与内部服务器之间没有直接的数据通道,外部的恶意侵害也就很难伤害到企业内部网络系统.
型防火墙的优点是安全性较高,可以针对应用层进行侦测和扫描,对付基于应用层的侵入和病毒都十分有效.其缺点是对系统的整体性能有较大的影响,而且服务器必须针对客户机可能产生的所有应用类型逐一进行设置,大大增加了系统管理的复杂性.
监测型
监测型防火墙是新一代的产品,这一技术实际已经超越了最初的防火墙定义.监测型防火墙能够对各层的数据进行主动的,实时的监测,在对这些数据加以分析的基础上,监测型防火墙能够有效地判断出各层中的非法侵入.同时,这种检测型防火墙产品一般还带有分布式探测器,这些探测器安置在各种应用服务器和其他网络的节点之中,不仅能够检测来自网络外部的攻击,同时对来自内部的恶意破坏也有极强的防范作用.据权威机构统计,在针对网络系统的攻击中,有相当比例的攻击来自网络内部.因此,监测型防火墙不仅超越了传统防火墙的定义,而且在安全性上也超越了前两代产品
虽然监测型防火墙安全性上已超越了包过滤型和服务器型防火墙,但由于监测型防火墙技术的实现成本较高,也不易管理,所以目前在实用中的防火墙产品仍然以第二代型产品为主,但在某些方面也已经开始使用监测型防火墙.基于对系统成本与安全技术成本的综合考虑,用户可以选择性地使用某些监测型技术.这样既能够保证网络系统的安全性需求,同时也能有效地控制安全系统的总拥有成本.
实际上,作为当前防火墙产品的主流趋势,大多数服务器(也称应用网关)也集成了包过滤技术,这两种技术的混合应用显然比单独使用具有更大的优势.由于这种产品是基于应用的,应用网关能提供对协议的过滤.例如,它可以过滤掉FTP连接中的PUT命令,而且通过应用,应用网关能够有效地避免内部网络的信息外泄.正是由于应用网关的这些特点,使得应用过程中的矛盾主要集中在对多种网络应用协议的有效支持和对网络整体性能的影响上
1.4防火墙体系结构
筛选路由式体系结构
SHAPE \* MERGEFORMAT
屏蔽子网式结构
双网主机式体系结构
SHAPE \* MERGEFORMAT
屏蔽主机式体系结构
1.5入侵检测系统
1概念
当前,平均每20秒就发生一次入侵计算机网络的事件,超过1/3的互联网防火墙被攻破!面对接2连3的安全问题,人们不禁要问:到底是安全问题本身太复杂,以至于不可能被彻底解决,还的仍然可以有更大的改善,只不过我们所采取的安全措施中缺少了某些重要的环节。有关数据表明,后一种解释更说明问题。有权威机构做过入侵行为统计,发现他、有80%来自于网络内部,也就是说,“堡垒”是从内部被攻破的。另外,在相当一部分黑客攻击当中,黑客都能轻易地绕过防火墙而攻击网站服务器。这就使人们认识到:仅靠防火墙仍然远远不能将“不速之客”拒之门外,还必须借助于一个“补救”环节------入侵检测系统。
入侵检测系统(Intrusion detection system,简称IDS)是指监视(或者在可能的情况下阻止)入侵或者试***控制你的系统或者网络资源的行为的系统。作为分层安全中日益被越普遍采用的成份,入侵检测系统能有效地提升黑客进入网络系统的门槛。入侵检测系统能够通过向管理员发出入侵或者入侵企***来加强当前存取控制系统,例如防火墙;识别防火墙通常用不能识别的攻击,如来自企业内部的攻击;在发现入侵企***之后提供必要的信息。
入侵检测是防火墙的合理补充,帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高了信息安全基础结构的完整性。它从计算机网络系统中的若干个关键点收集信息,并分析这些信息,检测网络中是否有违反安全策略的行为和遭到袭击的迹象。它的作用是监控网络和计算机系统是否出现被入侵或滥用的征兆。
作为监控和识别攻击的标准解决方案,IDS系统已经成为安防体系的重要组成部分。
IDS系统以后台进程的形式运行。发现可疑情况,立即通知有关人员。
防火墙为网络提供了第一道防线,入侵检测被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下对网络进行检测,从而提供对内部攻击、外部攻击和误解操作的实时保护。由于入侵检测系统是防火墙后的又一道防线,从二可以极大地减少网络免受各种攻击的损害。
假如说防火墙是一幢大楼的门锁,那入侵检测系统就是这幢大楼里的监视系统。门锁可以防止小偷进入大楼,但不能保证小偷100%地被拒之门外,更不能防止大楼内部个别人员的不良企***。而一旦小偷爬入大楼,或内部人员有越界行为,门锁就没有任何作用了,这时,只有实时监视系统才能发现情况并发出警告。入侵检测系统不仅仅针对外来的入侵者,同时也针对内部的入侵行为。
2侵检测的主要技术————入侵分析技术
入侵分析技术主要有三大类:签名、统计和数据完整性。
签名分析法
名分析法主要用来检测有无对系统的已知弱点进行的攻击行为。这类攻击可以通过监视有无针对特定对象的某种行为而被检测到。
主要方法:从攻击模式中归纳出其签名,编写到IDS系统的代码里,再由IDS系统对检测过程中收集到的信息进行签名分析。
签名分析实际上是一个模板匹配操作,匹配的一方是系统设置情况和用户操作动作,一方是已知攻击模式的签名数据库。
统计分析法
统计分析法是以系统正常使用情况下观察到的动作为基础,如果某个操作偏离了正常的轨道,此操作就值得怀疑。
主要方法:首先根据被检测系统的正常行为定义一个规律性的东西,在此称为“写照”,然后检测有没有明显偏离“写照”的行为。
统计分析法的理论经常是统计学,此方法中,“写照”的确定至关重要。
数据完整分析法
数据完整分析法主要用来查证文件或对象是否被修改过,它的理论经常是密码学。
3侵检测系统的分类:
现有的IDS的分类,大都基于信息源和分析方法。为了体现对IDS从布局、采集、分析、响应等各个层次及系统性研究方面的问题,在这里采用五类标准:控制策略、同步技术、信息源、分析方法、响应方式。
按照控制策略分类
控制策略描述了IDS的各元素是如何控制的,以及IDS的输入和输出是如何管理的。按照控制策略IDS可以划分为,集中式IDS、部分分布式IDS和全部分布式IDS。在集中式IDS中,一个中央节点控制系统中所有的监视、检测和报告。在部分分布式IDS中,监控和探测是由本地的一个控制点控制,层次似的将报告发向一个或多个中心站。在全分布式IDS中,监控和探测是使用一种叫“”的方法,进行分析并做出响应决策。
按照同步技术分类
同步技术是指被监控的事件以及对这些事件的分析在同一时间进行。按照同步技中,信息源是以文件的形式传给分析器,一次只处理特定时间段内产生的信息,并在入侵发生时将结果反馈给用户。很多早期的基于主机的IDS都采用这种方案。在实时连续型IDS中,事件一发生,信息源就传给分析引擎,并且立刻得到处理和反映。实时IDS是基于网络IDS首选的方案。
按照信息源分类
按照信息源分类是目前最通用的划分方法,它分为基于主机的IDS、基于网络的IDS和分布式IDS。基于主机的IDS通过分析来自单个的计算机系统的系统审计踪迹和系统日志来检测攻击。基于主机的IDS是在关键的网段或交换部位通过捕获并分析网络数据包来检测攻击。分布式IDS,能够同时分析来自主机系统日志和网络数据流,系统由多个部件组成,采用分布式结构。
按照分析方法分类
按照分析方法IDS划分为滥用检测型IDS和异常检测型IDS。滥用检测型的IDS中,首先建立一个对过去各种入侵方法和系统缺陷知识的数据库,当收集到的信息与库中的原型相符合时则报警。任何不符合特定条件的活动将会被认为合法,因此这样的系统虚警率很低。异常检测型IDS是建立在如下假设的基础之上的,即任何一种入侵行为都能由于其偏离正常或者所期望的系统和用户活动规律而被检测出来。所以它需要一个记录合法活动的数据库,由于库的有限性使得虚警率比较高。
按照响应方式分类
按照响应方式IDS划分为主动响应IDS和被动响应IDS。当特定的入侵被检测到时,主动IDS会采用以下三种响应:收集辅助信息;改变环境以堵住导致入侵发生的漏洞;对攻击者采取行动(这是一种不被推荐的做法,因为行为有点过激)。被动响应IDS则是将信息提供给系统用户,依靠管理员在这一信息的基础上采取进一步的行动。
4 IDS的评价标准
目前的入侵检测技术发展迅速,应用的技术也很广泛,如何来评价IDS的优缺点
就显得非常重要。评价IDS的优劣主要有这样几个方面[5]:(1)准确性。准确性是指IDS不会标记环境中的一个合法行为为异常或入侵。(2)性能。IDS的性能是指处理审计事件的速度。对一个实时IDS来说,必须要求性能良好。(3)完整性。完整性是指IDS能检测出所有的攻击。(4)故障容错(fault tolerance)。当被保护系统遭到攻击和毁坏时,能迅速恢复系统原有的数据和功能。(5)自身抵抗攻击能力。这一点很重要,尤其是“拒绝服务”攻击。因为多数对目标系统的攻击都是采用首先用“拒绝服务”攻击摧毁IDS,再实施对系统的攻击。(6)及时性(Timeliness)。一个IDS必须尽快地执行和传送它的分析结果,以便在系统造成严重危害之前能及时做出反应,阻止攻击者破坏审计数据或IDS本身。
除了上述几个主要方面,还应该考虑以下几个方面:(1)IDS运行时,额外的计算机资源的开销;(2)误警报率/漏警报率的程度;(3)适应性和扩展性;(4)灵活性;(5)管理的开销;(6)是否便于使用和配置。
5 IDS的发展趋
随着入侵检测技术的发展,成型的产品已陆续应用到实践中。入侵检测系统的典型代表是ISS(国际互联网安全系统公司)公司的RealSecure。目前较为著名的商用入侵检测产品还有:NAI公司的CyberCop Monitor、Axent公司的NetProwler、CISCO公司的Netranger、CA公司的Sessionwall-3等。国内的该类产品较少,但发展很快,已有总参北方所、中科网威、启明星辰等公司推出产品。
人们在完善原有技术的基础上,又在研究新的检测方法,如数据融合技术,主动的自主方法,智能技术以及免***学原理的应用等。其主要的发展方向可概括为:
(1)大规模分布式入侵检测。传统的入侵检测技术一般只局限于单一的主机或网络框架,显然不能适应大规模网络的 监测,不同的入侵检测系统之间也不能协同工作。因此,必须发展大规模的分布式入侵检测技术。
(2)宽带高速网络的实时入侵检测技术。大量高速网络的不断涌现,各种宽带接入手段层出不穷,如何实现高速网络下的实时入侵检测成为一个现实的问题。
(3)入侵检测的数据融合技术。目前的IDS还存在着很多缺陷。首先,目前的技术还不能对付训练有素的黑客的复杂的攻击。其次,系统的虚警率太高。最后,系统对大量的数据处理,非但无助于解决问题,还降低了处理能力。数据融合技术是解决这一系列问题的好方法。
(4)与网络安全技术相结合。结合防火墙,病毒防护以及电子商务技术,提供完整的网络安全保障。
第二章 网络管理
2.1概述
随着计算机技术和Internet的发展,企业和***府部门开始大规模的建立网络来推动电子商务和***务的发展,伴随着网络的业务和应用的丰富,对计算机网络的管理与维护也就变得至关重要。人们普遍认为,网络管理是计算机网络的关键技术之一,尤其在大型计算机网络中更是如此。网络管理就是指监督、组织和控制网络通信服务以及信息处理所必需的各种活动的总称。其目标是确保计算机网络的持续正常运行,并在计算机网络运行出现异常时能及时响应和排除故障。
关于网络管理的定义目前很多,但都不够权威。一般来说,网络管理就是通过某种方式对网络进行管理,使网络能正常高效地运行。其目的很明确,就是使网络中的资源得到更加有效的利用。它应维护网络的正常运行,当网络出现故障时能及时报告和处理,并协调、保持网络系统的高效运行等。国际标准化组织(ISO)在ISO/IEC7498-4中定义并描述了开放系统互连(OSI)管理的术语和概念,提出了一个OSI管理的结构并描述了OSI管理应有的行为。它认为,开放系统互连管理是指这样一些功能,它们控制、协调、监视OSI环境下的一些资源,这些资源保证OSI环境下的通信。通常对一个网络管理系统需要定义以下内容:
系统的功能。即一个网络管理系统应具有哪些功能。
网络资源的表示。网络管理很大一部分是对网络中资源的管理。网络中的资源就是指网络中的硬件、软件以及所提供的服务等。而一个网络管理系统必须在系统中将它们表示出来,才能对其进行管理。
网络管理信息的表示。网络管理系统对网络的管理主要靠系统中网络管理信息的传递来实现。网络管理信息应如何表示、怎样传递、传送的协议是什么?这都是一个网络管理系统必须考虑的问题。
系统的结构。即网络管理系统的结构是怎样的。
网络管理这一学科领域自20世纪80年代起逐渐受到重视,许多国际标准化组织、论坛和科研机构都先后开发了各类标准、协议来指导网络管理与设计,但各种网络系统在结构上存在着或大或小的差异,至今还没有一个大家都能接受的标准。当前,网络管理技术主要有以下三种:诞生于Internte家族的SNMP是专门用于对Internet进行管理的,虽然它有简单适用等特点,已成为当前网络界的实际标准,但由于Internet本身发展的不规范性,使SNMP有先天性的不足,难以用于复杂的网络管理,只适用于TCP/IP网络,在安全方面也有欠缺。已有SNMPv1和SNMPv2两种版本,其中SNMPv2主要在安全方面有所补充。随着新的网络技术及系统的研究与出现,电信网、有线网、宽带网等的融合,使原来的SNMP已不能满足新的网络技术的要求;CMIP可对一个完整的网络管理方案提供全面支持,在技术和标准上比较成熟.最大的优势在于,协议中的变量并不仅仅是与终端相关的一些信息,而且可以被用于完成某些任务,但正由于它是针对SNMP的不足而设计的,因此过于复杂,实施费用过高,还不能被广泛接受;分布对象网络管理技术是将CORBA技术应用于网络管理而产生的,主要采用了分布对象技术将所有的管理应用和被管元素都看作分布对象,这些分布对象之间的交互就构成了网络管理.此方法最大的特点是屏蔽了编程语言、网络协议和操作系统的差异,提供了多种透明性,因此适应面广,开发容易,应用前景广阔.SNMP和CMIP这两种协议由于各自有其拥护者,因而在很长一段时期内不会出现相互替代的情况,而如果由完全基于CORBA的系统来取代,所需要的时间、资金以及人力资源等都过于庞大,也是不能接受的.所以,CORBA,SNMP,CMIP相结合成为基于CORBA的网络管理系统是当前研究的主要方向。
网络管理协议
网络管理协议一般为应用层级协议,它定义了网络管理信息的类别及其相应的确切格式,并且提供了网络管理站和网络管理节点间进行通讯的标准或规则。
网络管理系统通常由管理者(Manager)和( Agent)组成,管理者从各那儿采集管理信息,进行加工处理,从而提供相应的网络管理功能,达到对管理之目的。即管理者与之间孺要利用网络实现管理信息交换,以完成各种管理功能,交换管理信息必须遵循统一的通信规约,我们称这个通信规约为网络管理协议。
目前有两大网管协议,一个是由IETF提出来的简单网络管理协议SNMP,它是基于TCP / IP和Internet的。因为TCP/IP协议是当今网络互连的工业标准,得到了众多厂商的支持,因此SNMP是一个既成事实的网络管理标准协议。SNMP的特点主要是采用轮询监控,管理者按一定时间间隔向者请求管理信息,根据管理信息判断是否有异常事件发生。轮询监控的主要优点是对的要求不高;缺点是在广域网的情形下,轮询不仅带来较大的通信开销,而且轮询所获得的结果无法反映最新的状态。
另一个是ISO定义的公共管理信息协议CMIP。CMIP是以OSI的七层协议栈作为基础,它可以对开放系统互连环境下的所有网络资源进行监测和控制,被认为是未来网络管理的标准协议。CMIP的特点是采用委托监控,当对网络进行监控时,管理者只需向发出一个监控请求,会自动监视指定的管理对象,并且只是在异常事件(如设备、线路故障)发生时才向管理者发出告警,而且给出一段较完整的故障报告,包括故障现象、故障原因。委托监控的主要优点是网络管理通信的开销小、反应及时,缺点是对的软硬件资源要求高,要求被管站上开发许多相应的程序,因此短期内尚不能得到广泛的支持。
网络管理系统的组成
网络管理的需求决定网管系统的组成和规模,任何网管系统无论其规模大小如何,基本上都是由支持网管协议的网管软件平台、网管支撑软件、网管工作平台和支撑网管协议的网络设备组成。
网管软件平台提供网络系统的配置、故障、性能以及网络用户分布方面的基本管理。目前决大多数网管软件平台都是在UNIX 和DOS/WINDOWS平台上实现的。目前公认的三大网管软件平台是:HP View、IBM Netview和SUN Netmanager。虽然它们的产品形态有不同的操作系统的版本,但都遵循SNMP协议和提供类似的网管功能。
不过,尽管上述网管软件平台具有类似的网管功能,但是它们在网管支撑软件的支持、系统的可靠性、用户界面、操作功能、管理方式和应用程序接口,以及数据库的支持等方面都存在差别。可能在其它操作系统之上实现的Netview、 Openview、Netmanager网 管 软 件 平 台 版 本 仅 是 标 准Netview、 Openview、Netmanager的子集。例如,在MS Windows操作系统上实现的Netview 网管软件平台版本Netview for Windows 便仅仅只是Netview的子集。
网管支撑软件是运行于网管软件平台之上,支持面向特定网络功能、网络设备和操作系统管理的支撑软件系统。
网络设备生产厂商往往为其生产的网络设备开发专门的网络管理软件。这类软件建立在网络管理平台之上,针对特定的网络管理设备,通过应用程序接口与平台交互,并利用平台提供的数据库和资源,实现对网络设备的管理,比如Cisco Works就是这种类型的网络管理软件,它可建立在HP Open View和IBM Netview等管理平台之上,管理广域互联网络中的Cisco路由器及其它设备。通过它,可以实现对Cisco的各种网络互联设备(如路由器、交换机等)进行复杂网络管理。
网络管理的体系结构
网络管理系统的体系结构(简称网络拓扑)是决定网络管理性能的重要因素之一。通常可以分为集中式和非集中式两类体系结构。
目前,集中式网管体系结构通常采用以平台为中心的工作模式,该工作模式把单一的管理者分成两部分:管理平台和管理应用。管理平台主要关心收集的信息并进行简单的计算,而管理应用则利用管理平台提供的信息进行决策和执行更高级的功能。
非集中方式的网络管理体系结构包括层次方式和分布式。层次方式采用管理者的管理者MOM(Manager of manager)的概念,以域为单位,每个域有一个管理者,它们之间的通讯通过上层的MOM,而不直接通讯。层次方式相对来说具有一定的伸缩性:通过增加一级MOM,层次可进一步加深。分布式是端对端(peer to peer)的体系结构,整个系统有多个管理方,几个对等的管理者同时运行于网络中,每个管理者负责管理系统中一个特定部分 “域”,管理者之间可以相互通讯或通过高级管理者进行协调。
对于选择集中式还是非集中式,这要根据实际场合的需要来决定。而介于两者之间的部分分布式网管体系结构,则是近期发展起来的兼顾两者优点的一种新型网管体系结构
2.2常见的几种网络管理技术
基于WEB的网络管理模式
随着 Internet技术的广泛应用,Intranet也正在悄然取代原有的企业内部局域网,由于异种平台的存在及网络管理方法和模型的多样性, 使得网络管理软件开发和维护的费用很高, 培训管理人员的时间很长,因此人们迫切需要寻求高效、方便的网络管理模式来适应网络高速发展的新形势。随着Intranet和WEB 及其开发工具的迅速发展,基于WEB的网络管理技术也因此应运而生。基于WEB的网管解决方案主要有以下几方面的优点:(1)地理上和系统间的可移动性:系统管理员可以在Intranet 上的任何站点或Internet的远程站点上利用 WEB 浏览器透明存取网络管理信息;(2)统一的WEB浏览器界面方便了用户的使用和学习,从而可节省培训费用和管理开销;(3)管理应用程序间的平滑链接:由于管理应用程序***于平台,可以通过标准的HTTP协议将多个基于WEB的管理应用程序集成在一起,实现管理应用程序间的透明移动和访问;(4)利用 JAVA技术能够迅速对软件进行升级。 为了规范和促进基于WEB的网管系统开发,目前已相继公布了两个主要推荐标准:WEBM和JMAPI。两个推荐标准各有其特色,并基于不同的原理提出。
WEBM方案仍然支持现存的管理标准和协议,它通过WEB技术对不同管理平台所提供的分布式管理服务进行集成,并且不会影响现有的网络基础结构。 JMAPI 是一种轻型的管理基础结构,采用JMAPI来开发集成管理工具存在以下优点:平台无关、高度集成化、消除程序版本分发问题、安全性和协议无关性。
2.分布对象网络管理技术
目前广泛采用的网络管理系统模式是一种基于Client/Server技术的集中式平台模式。由于组织结构简单,自应用以来,已经得到广泛推广,但同时也存在着许多缺陷:一个或几个站点负责收集分析所有网络节点信息,并进行相应管理,造成中心网络管理站点负载过重;所有信息送往中心站点处理,造成此处通信瓶颈;每个站点上的程序是预先定义的,具有固定功能,不利于扩展。随着网络技术和网络规模尤其是因特网的发展,集中式在可扩展性、可靠性、有效性、灵活性等方面有很大的局限,已不能适应发展的需要.
CORBA技术
CORBA技术是对象管理组织OMG推出的工业标准,主要思想是将分布计算模式和面向对象思想结合在一起,构建分布式应用。CORBA的主要目标是解决面向对象的异构应用之间的互操作问题,并提供分布式计算所需要的一些其它服务。OMG是CORBA平台的核心,
它用于屏蔽与底层平台有关的细节,使开发者可以集中精力去解决与应用相关的问题,而不必自己去创建分布式计算基础平台。CORBA将建立在ORB之上的所有分布式应用看作分布计算对象,每个计算对象向外提供接口,任何别的对象都可以通过这个接口调用该对象提供的服务。CORBA同时提供一些公共服务设施,例如名字服务、事务服务等,借助于这些服务,CORBA可以提供位置透明性、移动透明性等分布透明性。
CORBA的一般结构
基于CORBA的网络管理系统通常按照Client/Server的结构进行构造。其中,服务方是指针对网络元素和数据库组成的被管对象进行的一些基本网络服务,例如配置管理、性能管理等.客户方则是面向用户的一些界面,或者提供给用户进一步开发的管理接口等。其中,从网络元素中获取的网络管理信息通常需要经过CORBA/SNMP网关或CORBA/CMIP网关进行转换,这一部分在有的网络管理系统中被抽象成CORBA的概念.从以上分析可以看出,运用CORBA技术完全能够实现标准的网络管理系统。不仅如此,由于CORBA是一种分布对象技术,基于CORBA的网络管理系统能够克服传统网络管理技术的不足,在网络管理的分布性、可靠性和易开发性方面达到一个新的高度。
2.3统一不同的网络管理系统面临的问题
统一的不同层面
网络管理的统一存在三个层次。
站点级的统计,这是最低级的统一,不同的网络管理系统在同一服务器上运行,相互***,是不同的NMS。
GUI级的统一,指不同的网络管理系统操作界面风格统一,运用的术语相同,管理员面对的是一种操作语言,这是一种表面上的统一,具有友好的一次性学习的界面。
管理应用级的统一,这是最高级别的统一。在这个级别上,不但实现了GUI的统一,各种网络管理系统的管理应用程序按照统一标准设计,应用程序间可进行信息共享和关联操作。在这一层面上的统一实现了对异构网的综合分析与管理,进行关联操作,网管系统可具有推理判断能力。
统一的内容
网络管理系统统一可从三个方面依次去实现,即操作界面的统一、网管协议的统网管功能的统一。
界面的统一
网络管理系统是管理的工具,但归根到底是要人去操作管理,操作界面的优劣会对管理员产生很大影响。不同网管系统具有不同的操作界面,要求管理员分别学习,或增加管理员人数,形成人力浪费。现在没有统一的网管用户界面的统一标准。现有的网管系统几乎都实现了***形界面,但既有基于UNIX操作系统的又有基于WINDOWS操作系统,且界面的格式千差万别,给管理员的工作增加困难。
网管协议的统一
管理协议是NMS核心和管理之间进行信息交换遵循的标准,是网管系统统一的关键所在。目前流行的两种网管协议为SNMP(Simple Network Management Protocal)和CMIS/CMIP(Common Mangement Information Protocal).SNMP是由互联网活动委员会IAB提出的基于TCP/IP网管协议,CMIP是由国际标准化组织ISO开发的基于网络互联的网管协议。网管协议的统一就是指这两种协议的统一
网管功能的统一
在ISO标准中定义了配置管理、故障管理、性能管理、安全管理、计费管理等领域。现有的网管系统在网管规范尚未成熟就进行了开发,大都是实现了部分模块的部分功能。这些网管系统功能单一,相互***,不能实现信息的共享。不能从宏观上实现管理,不利于网络的综合管理。
统一的策略
将多个网络管理系统统一在一起的方法有三种,一种是格式转换法,即各个子网管理系统通过程序进行格式的转换,以便相互识别和共享资源,是一种分散式管理方式。另一种使用分层网管平台,即建立更高级的管理系统,高级网管系统和低级网管系统间进行通信,分层管理,是一种分布式管理方式。第三种是标准化方法,是遵循标准的规范和协议,建立的综合网络管理系统。
使用分层的网管平台是当前较为流行的方法,如现在广泛研究和讨论的基于CORBA的TMN(Telecomunication Management Network)就是将TMN中的管理者通过ORB(Object Request Broker)连接起来,实现不同管理系统的统一。
格式转换法是目前使用较多的方法,如运营商要求网管系统对外提供统一的数据收集、告警信息。
协议标准化方法是统一网络管理系统的趋势和方向,电信管理网TMN就是在电信领域内的一种标准协议,使得不同的厂商、不同的软硬件网管产品的统一管理成为可能。标准化实现统一的网管功能,包括网管协议的标准化、管理信息集模型的标准化和高层管理应用程序功能的统一规划。
格式转换和应用网管平台的策略是基于现有网管系统的基础上统一网管系统,而标准法策略则不考虑现有网管系统而重新设计一套新的标准,或是对现有网络管理系统进行较大改进,考虑到我们当前的网络管理发展的现状,还是以格式转换和应用网管平台方式统一网络系统。
网络管理系统实现统一的方法
当前网络管理的统一主要涉及两个方面,一是网管协议的统一。另一种是分布系统的统一,即在CORBA环境下的统一。它是基于面向对象的网管平台和格式转换的策略。
2.4网络管理协议SNMP和CMIP的统一
SNMP和CMIP在它们的范围、复杂性、以及解决网络管理问题的方法方面有很大的不同。SNMP被设计的很简单,使它非常易于在TCP/IP系统中普及。目前这已经成为事实。可是这一特点也不太适合大型的、复杂的、多企业的网络。相对应的,CMIP被设计的比较通用和灵活。但这也同时提高了复杂性。SNMP和CMIP的统一是指分别支持这两种协议的网络管理系统信息互通,互相兼容。
SNMP和CMIP统一有两种思想,一种是两种协议共存,一种是两种协议的互作用。
协议共存可有三种方法实现,一是建立双协议栈,二是建立混合协议栈,三是通用应用程序接口(APIs)。双协议栈的方法要求被管设备同时支持两种体系结构,但这要求被管设备要有很高的处理能力和存储能力,开销大,不实用。混合协议栈就是建立一种底层协议栈同时支持这两种协议,这样运行在该协议栈上的管理系统可同时管理支持SNMP的设备和支持CMIP的设备,为了使CMIP能在内存有限的设备上运行,IBM和3COM联合为IEEE802.1b开发了一个特殊的逻辑链路控制上的CMIP(CMOL),因为它取消了很多高层协议开销,减少了对设备处理能力和内存的需求,并且不需要考虑底层的协议,但同时由于缺少网络层,失去了跨越互联网络的能力。多厂商管理平台定义了一套开放的应用程序接口(APIs),允许开发商开发管理软件而不用关心管理协议的一些细节描述、数据定义、和特殊的用户接口。如***2所示为HP OpenView利用XMP(X/Open Management Protocol) API来实现多协议管理平台的结构。其中Postmaster 用来管理在网络对象间的通信,如管理者和之间的请求和相应,而ORS(Object Registration Services)为每个产生一个目录,纪录它们的位置和采用的协议。
协议共存虽然能实现SNMP和CMIP的综合,但协议之间没有互作用能力不能很好的实现协作对网络的分布式管理。 对于SNMP内部不支持SNMP的设备可采用委托PROXY的方式解决。对于TMN/CMIP内部非Q3或Qx接口的设备可通过增加适配器进行转换。因此可通过增加中间的方式来解决SNMP和CMIP之间统一问题。由于CMIP的强大的对等能力和对复杂系统的模型能力即事件驱动机制,使得它更适于跨管理域实现对等实体间的互作用,以分层分布的方式管理网络,由于它对设备的性能要求较高,因此在这种层次结构中,可充当中央管理站和中间管理站,而SNMP可用于下层管理简单设备。如***3给出了协议互作用的管理模型
基于CORBA的网管系统的统一
利用面向对象的的技术对网络资源进行描述是一种有效的方式。在分层的网络管理平台上,利用面向对象的思想,将网络资源和网络管理资源进行抽象。管理平台为不同应用系统和高层管理者提供的是一组管理对象,对象由属性和方法组成。利用对象的封装性可以使管理应用和高层管理者面对在较高层次上进行抽象的管理对象,屏蔽了实现各种管理功能的细节。为应用提供了对网络资源进行描述和管理的高级抽象,易于实现各种管理功能。而对象类的继承性便于扩充和增加管理对象类,继承性支持系统开发过程中的可重用性。
在应用环境中,管理应用和高层管理节点与管理平台是基于C/S(顾客/服务器)模式的分布式结构,即管理应用节点和高层管理者节点与他们所以来的平台节点可能处于不同的地理位置。因此考虑基于何种结构,采用什么样的协议实现分布对象的访问。
多厂商设备的环境的网络管理一直是网络管理研究和实现的难点。鉴于CORBA的分布式面向对象的特点,在网管系统的开发中加以引用。
本文采用OMG的CORBA(Common Object Request Broker Architecture)做为实现分布管理对象访问的设施。CORBA是很有应用前景的系统集成标准,它提供了面向对象应用的互操作标准。CORBA位分布对象环境描述了面向对象的设施-----对象请求,他提供了分布对象进行请求和应答的机制。这样CORBA提供了在异构分布环境下不同机器的不同应用的互操作能力和将多个对象系统无缝互连接的能力。CORBA机制是***于任何程序设计语言的,对象的接口描述在IDL(Interface Description Language)中。CORBA支持两种标准协议-----GIOP和IIOP。GIOP是信息表示协议,描述了所传输信息的格式,而IIOP则描述了CORBA所支持的传输协议,即GIOP信息如何进行交换
管理不同厂商应用和高层管理者如何使用CORBA机制访问相应的管理平台所提供的管理对象。使得处于不同节点的不同厂商的管理应用和高层管理者能无缝使用分布对象提供的功能。在这两种情况下原理是相同的,只是功能不同,在第一种情况下,不同厂商的管理应用脚本程序通过CORBA机制访问管理平台上的应用管理对象,以实现同一层次上的管理功能。在第二种情况下,高层管理平台上的脚本进程通过CORBA机制访问底层管理者为高层提供的管理对象以实现高层对底层的网络管理功能。
CORBA机制除支持客户端对服务器端所提供的分布对象的访问外,还提供分布对象服务功能------COSS,它包括分布对象访问的安全机制、事件机制等。在网络管理应用中,除主动询问网络管理信息以管理、监视网络的运行状态外,还有一种应用是被管理对象在发生故障和事件时,向管理者提出事件处理请求。CORBA中的事件服务机制恰好可以满足这一需求。
2.5网络管理分类及功能
事实上,网络管理技术是伴随着计算机、网络和通信技术的发展而发展的,二者相辅相成。从网络管理范畴来分类,可分为对网“路”的管理。即针对交换机、路由器等主干网络进行管理;对接入设备的管理,即对内部PC、服务器、交换机等进行管理;对行为的管理。即针对用户的使用进行管理;对资产的管理,即统计IT软硬件的信息等。根据网管软件的发展历史,可以将网管软件划分为三代:
第一代网管软件就是最常用的命令行方式,并结合一些简单的网络监测工具,它不仅要求使用者精通网络的原理及概念,还要求使用者了解不同厂商的不同网络设备的配置方法。
第二代网管软件有着良好的***形化界面。用户无须过多了解设备的配置方法,就能***形化地对多台设备同时进行配置和监控。大大提高了工作效率,但仍然存在由于人为因素造成的设备功能使用不全面或不正确的问题数增大,容易引发误操作。
第三代网管软件相对来说比较智能,是真正将网络和管理进行有机结合的软件系统,具有“自动配置”和“自动调整”功能。对网管人员来说,只要把用户情况、设备情况以及用户与网络资源之间的分配关系输入网管系统,系统就能自动地建立***形化的人员与网络的配置关系,并自动鉴别用户身份,分配用户所需的资源(如电子邮件、Web、文档服务等)。
根据国际标准化组织定义网络管理有五大功能:故障管理、配置管理、性能管理、安全管理、计费管理。对网络管理软件产品功能的不同,又可细分为五类,即网络故障管理软件,网络配置管理软件,网络性能管理软件,网络服务/安全管理软件,网络计费管理软件。
下面我们来简单介绍一下大家熟悉的网络故障管理、网络配置管理、网络性能管理、网络计费管理和网络安全管理五个方面网络管理功能:
ISO在ISO/IEC 7498-4文档中定义了网络管理的五大功能,并被广泛接受。这五大功能是:
(1)故障管理(fault management)
故障管理是网络管理中最基本的功能之一。用户都希望有一个可靠的计算机网络。当网络中某个组成失效时,网络管理器必须迅速查找到故障并及时排除。通常不大可能迅速隔离某个故障,因为网络故障的产生原因往往相当复杂,特别是当故障是由多个网络组成共同引起的。在此情况下,一般先将网络修复,然后再分析网络故障的原因。分析故障原因对于防止类似故障的再发生相当重要。网络故障管理包括故障检测、隔离和纠正三方面,应包括以下典型功能:
.维护并检查错误日志
.接受错误检测报告并做出响应
.跟踪、辨认错误
.执行诊断测试
.纠正错误
对网络故障的检测依据对网络组成部件状态的监测。不严重的简单故障通常被记录在错误日志中,并不作特别处理;而严重一些的故障则需要通知网络管理器,即所谓的"警报"。 一般网络管理器应根据有关信息对警报进行处理,排除故障。当故障比较复杂时,网络管理 器应能执行一些诊断测试来辨别故障原因。
(2)计费管理(accounting management)
计费管理记录网络资源的使用,目的是控制和监测网络操作的费用和代价。它对一些公共商业网络尤为重要。它可以估算出用户使用网络资源可能需要的费用和代价,以及已经使用的资源。网络管理员还可规定用户可使用的最大费用,从而控制用户过多占用和使用网络 资源。这也从另一方面提高了网络的效率。另外,当用户为了一个通信目的需要使用多个网络中的资源时,计费管理应可计算总计费用。
(3)配置管理(configuration management)
配置管理同样相当重要。它初始化网络、并配置网络,以使其提供网络服务。配置管理 是一组对辨别、定义、控制和监视组成一个通信网络的对象所必要的相关功能,目的是为了 实现某个特定功能或使网络性能达到最优。
这包括:
.设置开放系统中有关路由操作的参数
.被管对象和被管对象组名字的管理
.初始化或关闭被管对象
.根据要求收集系统当前状态的有关信息
.获取系统重要变化的信息
.更改系统的配置
(4)性能管理(performance management)
性能管理估价系统资源的运行状况及通信效率等系统性能。其能力包括监视和分析被管网络及其所提供服务的性能机制。性能分析的结果可能会触发某个诊断测试过程或重新配置网络以维持网络的性能。性能管理收集分析有关被管网络当前状况的数据信息,并维持和分析性能日志。一些典型的功能包括:
.收集统计信息
.维护并检查系统状态日志
.确定自然和人工状况下系统的性能
.改变系统操作模式以进行系统性能管理的操作
(5)安全管理(security management)
安全性一直是网络的薄弱环节之一,而用户对网络安全的要求又相当高,因此网络安全管理非常重要。网络中主要有以下几大安全问题:
网络数据的私有性(保护网络数据不被侵 入者非法获取),
授权(authentication)(防止侵入者在网络上发送错误信息),
访问控制(控制访问控制(控制对网络资源的访问)。
相应的,网络安全管理应包括对授权机制、访问控制 、加密和加密关键字的管理,另外还要维护和检查安全日志。包括:
.创建、删除、控制安全服务和机制
.与安全相关信息的分布
.与安全相关事件的报告
网络管理中的关键
网络迅速发展,导致网络结构更为复杂;网络应用的日新月异,让网络管理员每天都要面对新的问题。很多企事业单位,在遇到网络问题不知道应该如何去解决,看流量,拔网线等手段,排查周期长,也很难真正找出问题。
网络发展到一定阶段,必然要考虑到网络性能、网络故障与网络安全性问题。只有通过运用网络分析技术对网络流通数据的清晰认识,才能为故障的排查,性能的提升,以及网络安全的解决提供可靠的数据依据。
信息应用与治理
网络最大的价值,是在于信息化的应用。当出现故障不能及时解决,既使有再好的电子商务、电子***务,也只是一个摆设。无论是安全、性能还是故障性问题,不能快速解决,给企业带来的是难以衡量的损失。
治理并不是简单的网络管理,它需要管理者对网络中所有设备完全掌握,包括每个网卡地址,以及所处的位置。通过对网络传输中的数据进行全面监控分析,才能从网络底层数据获取各种网络应用行为造成的网络问题,并快速的定位到网卡的位置。从而在安全策略上更好的防范,对故障和性能更合理的管理。
一劳永逸的误区
从管理角度的考虑,往往期望络故障和安全性问题可以自动解决。但历经多年,没有任何产品能做到。虽然许多企业部署了非常好的安全防护产品,但仍然会受到网络攻击和病毒危害。根本原因在于,网络应用本身就在不断的发展,新的病毒以及病毒变种,都很难被基于特征库或病毒库的产品所识别。要解决这些问题,则要求网络管理员随时都能查看到网络中真实的数据,最快的发现引起问题的原因。
网络拓扑***VS矩阵***
网络拓扑***要求这些交换设备都必须支持SNMP(简单网络管理协议),它能直观能看到网络结构,但看不到终端主机;它能看到设备断网情况和粗略流量,但对网络问题的解决能力并不实用。
从技术趋势来看,矩阵***(Matrix)将更适合网络管理的需要。矩阵***也被称为主机连接***,可以监控每台主机(包括交换设备)之间的通讯连接,极大的提高了监控范围,监控范围深入到每台主机之间的各种应用,包括通讯、资源占用、活跃程度、服务应用等,管理者可以监控到每台主机的一举一动,各种网络问题都会在矩阵中表现出异常。如:BT***、DDOS攻击、ARP攻击、木马扫描等。
"诊断专家"快速提高解决能力
网络分析不仅提供网络依据,更重要的是帮助管理者提高问题的解决能力。"诊断专家"则是一个从问题原因到问题结果的完整解释。好的网络分析产品,可以自动提取问题的相关数据,并告诉管理者网络中存在有哪些问题,可能产生的原因,有什么办法可以解决,ARP攻击的快速定位则是一个很好的证明。
网络数据的回放能力
好的网络分析产品,都具有网络数据的回放能力,将网络数据进行7x24小时记录,可以按每天或每小时来记录。如果要分析昨天某个时段出现的网络故障,只需要将当时保存的数据包进行播放,同时通过网络分析来追溯故障是如何发生的,使网络管理对历史问题追查能力得到明显提高。
2.6网络管理体系结构及技术
1 WBM 技术介绍
随着应用Intranet的企业的增多,同时Internet技术逐渐向Intranet的迁移,一些主要的网络厂商正试***以一种新的形式去应用M I S 。因此就促使了W e b ( W e b - B a s e dManagement)网管技术的产生[2]。它作为一种全新的网络管理模式—基于Web的网络管理模式,从出现伊始就表现出强大的生命力,以其特有的灵活性、易操作性等特点赢得了许多技术专家和用户的青睐,被誉为是“将改变用户网络管理方式的***性网络管理解决方案”。
WBM融合了Web功能与网管技术,从而为网管人员提供了比传统工具更强有力的能力。WBM可以允许网络管理人员使用任何一种Web浏览器,在网络任何节点上方便迅速地配置、控制以及存取网络和它的各个部分。因此,他们不再只拘泥于网管工作站上了,并且由此能够解决很多由于多平台结构产生的互操作性问题。WBM提供比传统的命令驱动的远程登录屏幕更直接、更易用的***形界面,浏览器操作和W e b页面对W W W用户来讲是非常熟悉的,所以WBM的结果必然是既降低了MIS全体培训的费用又促进了更多的用户去利用网络运行状态信息。所以说,WBM是网络管理方案的一次***。
2 基于WBM 技术的网管系统设计
系统的设计目标
在本系统设计阶段,就定下以开发基于园区网、Web模式的具有自主版权的中文网络管理系统软件为目标,采用先进的WBM技术和高效的算法,力求在性能上可以达到国外同类产品的水平。
本网管系统提供基于WEB的整套网管解决方案。它针对分布式IP网络进行有效资源管理,使用户可以从任何地方通过WEB浏览器对网络和设备,以及相关系统和服务实施应变式管理和控制,从而保证网络上的资源处于最佳运行状态,并保持网络的可用性和可靠性。
系统的体系结构
在系统设计的时候,以国外同类的先进产品作为参照物,同时考虑到技术发展的趋势,在当前的技术条件下进行设计。我们采用三层结构的设计,融合了先进的WBM技术,使系统能够提供给管理员灵活简便的管理途径。
三层结构的特点[2]:1)完成管理任务的软件作为中间层以后台进程方式实现,实施网络设备的轮询和故障信息的收集;2)管理中间件驻留在网络设备和浏览器之间,用户仅需通过管理中间层的主页存取被管设备;3)管理中间件中继转发管理信息并进行S N M P 和H T T P之间的协议转换三层结构无需对设备作任何改变。
网络拓扑发现算法的设计
为了实施对网络的管理,网管系统必须有一个直观的、友好的用户界面来帮助管理员。其中最基本的一个帮助就是把网络设备的拓扑关系以***形的方式展现在用户面前,即拓扑发现。目前广泛采用的拓扑发现算法是基于SNMP的拓扑发现算法。基于SNMP的拓扑算法在一定程度上是非常有效的,拓扑的速度也非常快。但它存在一个缺陷[3]。那就是,在一个特定的域中,所有的子网的信息都依赖于设备具有SNMP的特性,如果系统不支持SNMP,则这种方法就无能为力了。还有对网络管理的不重视,或者考虑到安全方面的原因,人们往往把网络设备的SNMP功能关闭,这样就难于取得设备的M I B值,就出现了拓扑的不完整性,严重影响了网络管理系统的功能。针对这一的问题,下面讨论本系统对上述算法的改进—基于ICMP协议的拓扑发现。
PING和路由建立
PING的主要操作是发送报文,并简单地等待回答。PING之所以如此命名,是因为它是一个简单的回显协议,使用ICMP响应请求与响应应答报文。PING主要由系统程序员用于诊断和调试实现PING的过程主要是:首先向目的机器发送一个响应请求的ICMP报文,然后等待目的机器的应答,直到超时。如收到应答报文,则报告目的机器运行正常,程序退出。
路由建立的功能就是利用I P 头中的TTL域。开始时信源设置IP头的TTL值为0,发送报文给信宿,第一个网关收到此报文后,发现TTL值为0,它丢弃此报文,并发送一个类型为超时的ICMP报文给信源。信源接收到此报文后对它进行解析,这样就得到了路由中的第一个网关地址。然后信源发送TTL值为1的报文给信宿,第一个网关把它的TTL值减为0后转发给第二个网关,第二个网关发现报文TTL值为0,丢弃此报文并向信源发送超时ICMP报文。这样就得到了路由中和第二个网关地址。如此循环下去,直到报文正确到达信宿,这样就得到了通往信宿的路由。
网络拓扑的发现算法具体实现的步骤:
(1)于给定的IP区间,利用PING依次检测每个IP地址,将检测到的IP地址记录到IP地址表中。
(2)对第一步中查到的每个IP地址进行traceroute操作,记录到这些IP地址的路由。并把每条路由中的网关地址也加到IP表中。
(3)对IP地址表中的每个IP地址,通过发送掩码请求报文与接收掩码应答报文,找到这些IP地址的子网掩码。
(4)根据子网掩码,确定对应每个IP地址的子网地址,并确定各个子网的网络类型。把查到的各个子网加入地址表中。
(5)试***得到与IP地址表中每个IP地址对应的域名(Domain Name),如具有相同域名,则说明同一个网络设备具有多个IP地址,即具有多个网络接口。
(6)根据第二步中的路由与第四步中得到的子网,产生连接情况表。
第三章 网络维护
3.1概述
网络故障极为普遍,网络故障的种类也多种多样,要在网络出现故障时及时对出现故障的网络进行维护,以最快的速度恢复网络的正常运行,掌握一套行之有效的网络维护理论、方法和技术是关键。就网络中常见故障进行分类,并对各种常见网络故障提出相应的解决方法。
随着计算机的广泛应用和网络的日趋流行,功能***的多个计算机系统互联起来,互联形成日渐庞大的网络系统。计算机网络系统的稳定运转已与功能完善的网络软件密不可分。计算机网络系统,就是利用通讯设备和线路将地理位置不同的、信息交换方式及网络操作系统等共享,包括硬件资源和软件资源的共享:因此,如何有效地做好本单位计算机网络的日常维护工作,确保其安全稳定地运行,这是网络运行维护人员的一项非常重要的工作。
在排除比较复杂网络的故障时,我们常常要从多种角度来测试和分析故障的现象,准确确定故障点。
3.2分析模型和方法
七层的网络结构分析模型方法
从网络的七层结构的定义和功能上逐一进行分析和排查,这是传统的而且最基础的分析和测试方法。这里有自下而上和自上而下两种思路。自下而上是:从物理层的链路开始检测直到应用。自上而下是:从应用协议中捕捉数据包,分析数据包统计和流量统计信息,以获得有价值的资料。
网络连接结构的分析方法
从网络的连接构成来看,大致可以分成客户端、网络链路、服务器端三个模块。
1、客户端具备网络的七层结构,也会出现从硬件到软件、从驱动到应用程序、从设置错误到病毒等的故障问题。所以在分析和测试客户端的过程中要有大量的背景知识,有时PC的发烧经验也会有所帮助。也可以在实际测试过程中询问客户端的用户,分析他们反映的问题是个性的还是共性的,这将有助于自己对客户端的进一步检测作出决定。
2、来自网络链路的问题通常需要网管、现场测试仪,甚至需要用协议分析仪来帮助确定问题的性质和原因。对于这方面的问题分析需要有坚实的网络知识和实践经验,有时实践经验会决定排除故障的时间。
3、在分析服务器端的情况时更需要有网络应用方面的丰富知识,要了解服务器的硬件性能及配置情况、系统性能及配置情况、网络应用及对服务器的影响情况。
工具型分析方法
工具型分析方法有强大的各种测试工具和软件,它们的自动分析能快速地给出网络的各种参数甚至是故障的分析结果,这对解决常见网络故障非常有效。
综合及经验型分析方法靠时间、错误和成功经验的积累 在大多数的阿络维护工作人员的工作中是采用这个方法的,再依靠网管和测试工具迅速定位网络的故障。
3.3计算机无法上网故障的排除
1、对于某网计算机上不了网的故障,首先要分别确定此计算机的网卡安装是否正确,是否存在硬件故障,网络配置是否正确在实际工作中我们一般采用Ping本机的回送地址(127.0.0.1)来判断网卡硬件安装和TCP/IP协议的正确性。
如果能Ping通,即说明这部分没有问题。如果出现超时情况,则要检查计算机的网卡是否与机器上的其它设备存在中断冲突的问题。通过查看系统属性中的设备管理器,查看是否在网络适配器的设备前面有黄色惊叹号或红色叉号,如有则说明硬件的驱动程序没有安装成功,可删除后重新安装。另外,要确保TCP/IP协议安装的正确性,并且要绑定在你所安装的网卡上。如果重新安装后还是Ping不通回送地址,最好换上一块正常的网卡试一试。由于在局域网中划分了VLAN,所以连在不同VLAN中的计算机都有各自不同的IP地址、子网掩码和网关。要在机器的网络属性中设定的IP地址等数据与连接的VLAN相匹配,否则将出现网络不通的情况。
当确保了计算机的硬件设备和网络配置正确后,接着就要查看计算机与交换机之间的双绞线,交换机的RJ45端口或交换机的配置是否有问题。此时我们要Ping上网计算机所在VLAN的网关,不通的话就要分段检查上面所说的各项。
最简单的方法是检查双绞线,用线缆测试仪检测双绞线是否断开。双绞线没有问题,就要查看交换机的端口是否坏了。交换机每一个端口都有状态指示灯以询问一下其它网管人员就可以排除了,如果不放心可以对照查看。交换机的参数配置表也是网络管理员必备的资料之一,并且随着网络用户的变化要不断地修改,检测到此,如果端口指示灯不亮,就只能是端口损坏了,可以把跳线接到正常使用的端口上排除其它原因,确定是端口的问题。
2、一批联网计算机上不了网对于同时有一批计算机上不了网的故障,首先要找到这些计算机的共性,如是不是属于同一VLAN或接在同一交换机上的,若这些计算机属于同一VLAN,且属于计算机分别连接于不同的楼层交换机,那么检查一下路由器上是否有acl限制,在路由器上对该VLAN的配置是否正确,路由协议(如我局的OSPF协议)是否配置正确。若这些计算机属于同一交换机,则应到机房检查该交换机是否有电源松落情况,或该交换机CPU负载率是否很高,与上一级网络设备的链路是否正常。
通常某交换机连接的所有电脑都不能正常与网内其它电脑通讯,这是典型的交换机死机现象,可以通过重新启动交换机的方法解决。如果重新启动后故障依旧,则检查一下那台交换机连接的所有电脑,看逐个断开连接的每台电脑的情况,慢慢定位到某个故障电脑,会发现多半是某台电脑上的网卡故障导致的。
故障通常是交换机的某个端口变得非常缓慢,最后导致整台交换机或整个堆叠慢下来。通过控制台检查交换机的状态,发现交换机的缓冲池增长得非常快,达到了90%或更多。原因及解决方法为:首先应该使用其它电脑更换这个端口上原来的连接,看是否由这个端口连接的那台电脑的网络故障导致的,也可以重新设置出错的端口并重新启动交换机,个别时候,可能是这个端口损坏了。
3.4计算机网络故障分析
计算机网络故障主要分为硬件故障和软件故障,对计算机网络故障进行分析也主要可以从硬件与软件两个方面着手:
(一)计算机网络故障分析与诊断的基本方法
计算机网络故障分析与诊断的原则可归纳为:由服务器到工作站(就是出现工作站不能入网的情况时,先确定服务器是否有问题);由外部到内部(即当有工作站出现网络故障时,先检查其外部直接可看到的设备情况,如与之相连的交换机或集线器有没有故障,电缆有无缠绕导致内部线缆断裂或接触不良);由软件到硬件(就是网络出故障后先从操作系统、网络协议、网卡驱动程序及配置上找原因。重新安装网卡驱动或网络协议、操作系统,看看故障是否消失。在确定排除软件问题后再检查硬件是否损坏。
(二)网络硬件故障的分析与诊断方法
网络中的硬件故障比较复杂,现就日常工作中常见的网络连线问题和网卡问题来进行探讨。如,网线至交换机或集线器之间的故障分析与诊断方法,故障诊断:通过看网卡指示灯集线器指示灯。首先,检查网线是否插好;其次,若有数台工作站同时出现网络故障,则有可能是连接这些计算机的交换机或集线器出故障。如,网卡故障,故障分析:这是最常发生的问题。如网卡设置错误,网卡在安装过程中是否正确地设置中断号,I/0端口地址,驱动程序是否出错,网卡是否出故障等。
(三)网络配置故障的分析与诊断
故障分析:网络配置故障就是由网络中的各项配置不当而产生的故障。它是一种较复杂的现象,不但要检查服务器的各项配置、工作站的各项配置,还要根据出现的错误信息和现象查出原因。如,域名、计算机名和地址故障的分析与诊断。故障分析:在实际工作中经常会出现在“网上邻居”中看不到其它计算机或只能看到部分计算机,无法找到指定的计算机等现象。故障诊断:检查网络中每个域、每台计算机的名称是否唯一;检查网络中的计算机名是否和域名或工作组名重复,使用TCP/IP时,检查分配给网络适配器的IP地址有无重复。在如协议故障的分析与诊断,故障分析:确认您所使用的协议与网络上其它计算机使用的协议相同。否则,将看不到网络上其它计算机。在配置和使用TCP/IP协议时的主要问题是IP地址、子网掩码和路由问题。IP地址的分配复杂,分配不好,容易造成网络混乱。因而,非网管人员不要随意修改IP地址。
3.5故障定位及排除的常用方法
1.告警性能分析法
通过网管获取告警和性能信息进行故障定位。我们单位使用了Siteview网络网管,可以对全单位的网络设备进行管理,平时多观察各设备CPU负载率和各线路的流量。当有人反映不能连接至网络或网速很慢时,可通过网管观察计算机与交换机的连接情况,是否有时断时通的现象,交换机CPU负载率是否很高,线路流量是否很大。通过观察设备端口状态,分析和观察交换机哪个端口所接的计算机发包量不太正常。
2.查看网络设备日志法
经常看一下网络设备的日志,分析设备状况。我曾经通过showlonging命令观察到4006交换机下连的2950交换机经常每隔7小时down掉,然后又up,因时间间隔较长,单位人员未感觉网络中断,在此期间我们检查并确定了光缆、光收发器、网线、交换机配置、交换机端口均正常,后来的间隔时间由原来的7小时减为7分钟。由此我们立即判定2950交换机本身有故障,马上将已准备好的备用交换机换上,从而减少了处理故障的时间,并在最短时间内恢复网络。
3.替换法
替换法就是使用一个工作正常的物体去替换一个工作不正常的物体,从而达到定位故障、排除故障的目的。这里的物件可以是一段线缆、一个设备和一块模块。
4.配置数据分析法
查询、分析当前设备的配置数据,通过分析以上的配置数据是否正常来定位故障。若配置的数据有错误,需进行重新配置。
3.6计算机网络维护
计算机网络故障是与网络畅通相对应的一概念,计算机网络故障主要是指计算机无法实现联网或者无法实现全部联网。引起计算机网络故障的因素多种多样但总的来说可以分为物理故障与逻辑故障,或硬件故障与软件故障。物理故障或硬件故障可以包括电源线插头没有进行正常的连接,联网电脑网卡、网线、集线器、交换机、路由器等故障、计算机硬盘、内存、显示器等故障也会不同程度影响到网络用户正常使用网络。软件故障是当前最常见的计算机网络故障之一,常见的软件故障有网络协议问题、网络设备的配置和设置等问题造成的。
网络故障目前已经成为影响计算机网络使用稳定性的重要因素之一,加强对计算机网络故障的分析和网络维护已经成为网络用户经常性的工作之一。及时进行网络故障分析和网络维护也已经成为保障网络稳定性的重要方式方法。
计算机网络维护是减少计算机网络故障,维护计算机网络稳定性的重要的方式方法。计算机网络维护一般来说包括以下方面:
1.对硬件的维护。首先检测联网电脑网卡、网线、集线器、交换机、路由器等故障、计算机硬盘、内存、显示器等是否能够正常运行,对临近损坏的计算机硬件要及时进行更换。同时要查看网卡是否进行了正确的安装与配置。具体来说要确定联网计算机硬件能够达到联网的基本要求,计算机配置的硬件不会与上网软件发生冲突而导致不能正常联网。
2.对软件的维护。软件维护是计算机网络维护的主要方面,具体来说主要包括,
(1)计算机网络设置的检查。具体来说检查服务器是否正常,访问是否正常,以及检查网络服务、协议是否正常。
(2)对集线器、交换器和路由器等网络设备的检查。具体来说,包括检测网络设备的运行状态,检测网络设备的系统配置。
(3)对网络安全性的检测。对网络安全性的检测主要包括,对服务器上安装的防病毒软件进行定期升级和维护,并对系统进行定期的查杀毒处理;对服务器上安装的防火墙做不定期的的系统版本升级,检测是否有非法用户入网入侵行为;对联网计算机上的数据库做安全加密处理并对加密方式和手段进行定期更新,以保障数据的安全性。
(4)网络通畅性检测。在进行网络维护的过程,经常会遇到网络通讯不畅的问题,其具体表现为网络中的某一结点pingq其他主机,显示一个很小的数据包,需要几百甚至几千毫秒,传输文件非常慢,遇到这种情况应首先看集线器或交换机的状态指示灯,并根据情况进行判断。
计算机网络是计算机技术的一重要应用领域,计算机网络的便捷、高效、低廉为计算机网络应用的增加提供了保障,但计算机网络故障一旦发生就会给网络用户带来使用上巨大不便,甚至造成巨大的损失。因而必须进一步加强计算机网络故障分析与维护研究,提高网络的稳定性和安全性。
结束语 本文提出了现代网络中的一些安全策略,重点提出了管理技术和维护技术。本文介绍了几种常用的防范技术。随着现在的发展,网络的不安全因素很多,网络管理和维护尤其重要,本文介绍了网络管理几个方面的技术和网络维护的几种常用技术。
参考文献
晏蒲柳.大规模智能网络管理模型方法[J].计算机应用研究
周杨,家海,任宪坤,王沛瑜.网络管理原理与实现技术[M].北京:清华大学出版社
李佳石, 冰心著. 网络管理系统中的自动拓扑算法[J].华中科技大学学报胡谷雨. 现代通信网和计算机管理.
岑贤道,安长青. 网络管理协议及应用开发.
附录 A
网络管理篇3
【关键词】网络设备;网络管理;网络;监管;集群管理;发展趋势
在网络安全上,网络监管一直被认为是一个比较敏感的话题,作为一个已经发展相对成熟的技术,网络监管在协助管理员进行网络数据检测、网络故障排除等方面都具有不可替代的作用,从而深受广大网络管理员的青睐。但是,从另外一个方面来讲,网络监管也给网络安全带来了巨大的隐患,在网络监管行为的同时往往会伴随着大量的网络若亲,从而导致了一系列的敏感数据被盗等安全事件的发生。
一、网络管理中网络监管的意义
网络监管,即对互联网网络的监督、监管和检查,以达到维护网络安全、保护网络上的公共利益的目的。任何事物的发展都要经历从萌芽到繁盛,互联网也不例外。我国的互联网发展经历了从1987年第一封“越过长城,走向世界”电子邮件到2009年12月底,网民规模达到3.84亿人,中国手机网民则达到了2.33亿人。网络的发展必然带来诸多问题的显现。
从个人行为上看,主要有通过网络诋毁他人、散布非法言论等。从单位行为上看,主要有通过网络进行虚假宣传、进行诋毁其他单位的行为等。针对这样的问题,国外已经有了值得我们借鉴的方案。例如,韩国设立有信息安全署(KISA),负责打击垃圾邮件、钓鱼网站、网络攻击,甚至是网络犯罪。新加坡的网络管理在法律上则更为严格,单从法律条文上看,在新加坡设立任何网站,原则上需要部长签名同意。即使在你建立了网站之后,如果了涉及黄、赌、毒的内容,则会被***府强制关闭。严重情况时,开办网站的当事人也会受到严厉的刑事处罚。
相对于技术的迅猛发展,法律总是相对滞后的。网络监管,就是要基于国家的强制力对网络中新问题加以解决。这种解决方式不仅是针对个人的网络危害行为,也是针对单位之间由于不正当竞争导致的对用户权益和整个互联网经济发展的危害行为。由360软件与QQ软件之间进行的不兼容事件正是这样的问题。单位在市场占有量上充斥着竞争。因此,必须充分考虑网络经济条件下垄断的具体特征及其影响,并采取相应措施,既能维护市场的有效竞争,又能促进经济效率和技术创新水平的提高,又有利于提高消费者的福利水平,实现尽可能好的市场绩效。因此,要实现上述的经济增长并不能单纯依靠相对滞后的法律,而必须辅之以***府出台的网络监管***策以及互联网民间协会的协助。也就是说,网络监管本身蕴含着来自网络法律的出台、国家***策的导向以及网络单位间互相监督的综合,而它的根本目的则是共同维护网络中安全、秩序、权利和自由这些价值。
其实,网络经营商之间的竞争直接关系到网络的普及与发展。在此期间,如果没有对网络经营商的监管,网络经营商对网络使用者的免责条款也会在一定程度上限制网络使用中的安全体验。比如,QQ2011 beta版软件中条款“4.2腾讯特别提请用户注意:腾讯为了保障公司业务发展和调整的自,腾讯拥有随时自行修改或中断软件授权而不需通知用户的权利,如有必要,修改或中断会以通告形式公布于腾讯网站重要页面上。”从中可以发现,网络经营商作为提供网络服务的一方,虽然它提供了对于用户免费的服务,但是它对建立在自己发展基础上而限制用户体验的免责条款的确很不公平。所以,无论是从互联网协会角度,还是***府角度,针对网络经营商的格式条款的监管必将成为一种趋势。
二、网络管理中网络监听的作用
(一)网络监听的定义
网络监听是通过利用计算机的网络接口将网络上的传输数据进行截获的一种工具。我们一般认为网络监听是指在运行以太网协议、TCP/IP协议、IPX协议或者其他协议的网络上,可以攫取网络信息流的软件或硬件。网络监听早期主要是分析网络的流量,以便找出所关心的网络中潜在的问题。网络监听的存在对网络系统管理员是至关重要的,网络系统管理员通过网络监听可以诊断出大量的不可见模糊问题(如网络瓶颈、错误配置等),监视网络活动,完善网络安全策略,进行行之有效的网络管理。
(二)网络监听的工作原理
Internet是由众多的局域网所组成,这些局域网一般是以太网、令牌网的结构。数据在这些网络上是以很小的称为帧(Frame)的单位传输的,帧通过特定的网络驱动程序进行成型,然后通过网卡发送到网线上。由于以太网等很多网络(常见共享HUB连接的内部网)是基于总线方式,物理上是广播的,同一物理网段的所有主机的网卡都能接收到这些以太网帧。当网络接口处于正常状态时,网卡收到传输来的数据帧,网卡内的芯片程序先接收数据头的目的MAC地址,根据计算机上的网卡驱动程序设置的接收模式判断该不该接收,如果认为是目的地址为本机地址的数据帧或是广播帧,则接收并在接收后产生中断信号通知CUP,否则就丢弃不管,CUP得到中断信号产生中断,操作系统就根据网卡驱动程序中设置的网卡中断程序地址调用驱动程序接收数据,驱动程序接收数据后放入信号堆栈让操作系统处理。通过修改网卡存在一种特殊的工作模式,在这种工作模式下,网卡不对目的地址进行判断,而直接将它收到的所有报文都传递给操作系统进行处理。这种特殊的工作模式,称之为混杂模式。网络监听就是通过将网卡设置为混杂模式,它对遇到的每一个帧都产生一个硬件中断以便提醒操作系统处理流经该物理媒体上的每一个报文包。网络监听工作在网络环境中的底层,它会拦截所有的正在网络上传送的数据,并且通过相应的软件处理,可以实时分析这些数据的内容,进而分析所处的网络状态和整体布局。
(三)网络监听的用途
在网络安全领域中,网络监听占有极其重要的作用。网络监听程序通常有两种形式:一是商业网络监听,二是黑客所使用的。商业网络监听用于维护网络,对于网络管理者,监听也是监控本地网络状况的直接手段,监听还是基于网络的入侵检测系统的必要基础。具体来说就是:把网络中的数据流转化成可读格式。进行性能分析以发现网络瓶颈。入侵检测以发现外界入侵者。生成网络活动日志和安全审计。进行故障分析以发现网络中潜在的问题。例如,假设网络的某一段运行得不是很好,报文的发送比较慢,而我们又不知道问题出在什么地方,此时就可以用嗅探器做出精确的问题判断。借助于网络监听,系统管理员可以方便的确定出多少的通讯量属于哪个网络协议、占主要通讯协议的主机是哪一台、大多数通讯目的地是哪一台主机、报文发送占用多少时间、或者相互主机的报文传送间隔时间等等,这些信息为管理员判断网络问题、管理网络区域提供了非常宝贵的信息。对于黑客攻击而言,网络监听是一种有效信息收集手段,并且可以辅助进行IP欺骗,如收集科技情报、个人资料、技术成果、系统信息、用户的帐号和密码,一些商用机密数据等,目的是为进一步入侵系统做准备,或者是为了其他不可告人的目的。
三、浅析基于网络设备集群的网络管理的实现
随互联网络技术的迅速发展,单位网络的发展规模越来越大,网络设备的数量越来越多,单位网络的扩展使网络的管理变的越来越困难。其设备的数量变得越来越庞大,那么对网络地址的需求将也会变的越来越多。集群的网络管理方式可以很好地解决网络地址问题。集群是可以把一组网络设备看成一个单一实体进行管理,通常情况下,集群中的交换机中有一台被指定为命令交换机,其余称为成员交换机,对集群中各台成员交换机的配置和管理均在角色为命令交换机上进行。
(一)集群中网络设备的角色
命令交换机:单位网络中每个集群设备中必须指定唯一的一台命令交换机,集群的配置和管理均通过此命令交换机来完成,命令交换机要求具备的条件包括需要配置至少一个IP地址、在交换机上运行支持集群的相应软件和运行LLDP协议软件、必须只属于一个集群而不能是其它集群的命令交换机或者成员交换机。
成员交换机:集群中的所有交换机,包括命令交换机,都是该集群的成员交换机。不过若非特别指明,我们所说的成员交换机并不包括命令交换机。只有该集群的候选交换机才能加入集群,从而成为成员交换机,成员交换机要求具备如下条件:运行了集群支持软件,运行了LLDP协议软件,不能是其他集群的命令交换机或者成员交换机。
候选交换机:可以被命令交换机发现并且还没有加入集群的交换机。候选交换机要求具备如下条件:运行了集群支持软件,运行了LLDP协议软件,不能是任何集群的命令交换机或者成员交换机。使用接口配置模式下的命令来手动配置网络设备端口的所有安全地址。让该端口进行地址的互相学习,这些学习到的地址将自动成为该端口上的安全地址,直到安全地址数达到最大个数。但是,自动互相学习到的安全地址不会自动和IP地址进行绑定,如果在某一个设备端口上,已经设置了绑定IP地址的安全地址,则将不能通过自动学习地址来增加安全地址的个数。可以手工配置一部分安全地址,另外的安全地址可以让交换机自动学习到。
(二)集群管理的范围
集群的管理范围与跳数有关,跳数限定了命令交换机可以发现的候选交换机的范围。直接与命令交换机相连的交换机距前者的跳数为1,其余以此类推。默认情况下,命令交换机可以发现距其3跳范围以内的交换机。VLAN对集群的范围也有影响,为了保证与集群管理相关的帧的正确接收和转发,要求VLAN的划分应能保证在命令交换机、成员交换机和候选交换机之间存在可达的二层通道。如果这些端口中包括Trunk,则要求其本地虚拟局域网须为该虚拟局域网。但若该成员候选交换机已经处于路径的最末端,则对其上联端口的属性无要求。
交换机对LLDP的支持也将影响集群的范围,命令交换机借助LLDP协议来发现其他交换机。因此,不支持LLDP的交换机无法被发现,并且与之相连的其它换机也无法被发现,除非它们还连接到其他的支持LLDP的交换机上。如果在交换机上关闭LLDP或者在相关端口上禁用也会导致类似情况的发生。
(三)配置集群
默认情况下集群功能是打开的,在交换机上可以创建集群从而使之成为命令交换机,也可以将其加入一个集群中而成为成员交换机。如果想要关闭集群功能,在特权模式下则:进入全局配置模式,关闭集群功能,回到特权模式,验证配置,最后保存配置。如果交换机是命令交换机,关闭集群功能将删除集群,并且不能成为任何集群的候选交换机;如果是成员交换机,关闭集群功能将使之退出集群,并且不能成为任何集群的候选交换机;如果是候选交换机,关闭集群功能将使之不再能成为任何集群的候选交换机。
配置集群先要建立集群。在特权模式下,可以通过以下步骤来建立集群,同时使该交换机成为集群的命令交换机,还可以为其指定一个序号。进入全局配置模式后设置命令交换机的序号。如果集群已经建立,则使用命令更改集群的名称,但不能更改命令交换机的序号。若要删除集群,可以在命令交换机的全局配置模式下执行命令no cluster enable。
配置集群发现跳数时,其决定了命令交换机所能发现的候选交换机的范围,在交换机的特权模式下,可以通过以下步骤来配置发现跳数。首先进入全局配置模式设置发现跳数,若要恢复为缺省值,可以在全局配置模式下执行命令no cluster discovery。
配置集群timer。为及时地发现网络中的候选交换机,以及准确掌握成员交换机/候选交换机和命令交换机间的物理连接状况,命令交换机将每隔一段时间进行一次拓扑收集。该时间间隔由集群timer决定,缺省情况下为12秒。在特权模式下,可以通过以下步骤来配置集群time,先进入全局配置模式,再设置时间间隔,时间间隔的范围是1-300,缺省值为12秒。如果要恢复为缺省值,可以在全局配置模式下执行命令no cluster timer。
配置集群holdtime。holdtime值即时间值,是命令交换机所收集到的拓扑***以及所发现的候选交换机信息将会被保存一段时间,默认情况下为120秒。交换机的特权配置模式下,可以通过配置集群的holdtime:从特权模式进入全局配置模式后通过cluster holdtime命令进行holdtime时间的设置,时间范围是1-300,默认情况下的值为120秒。配置好后再回到特权模式,通过show cluster验证配置,如果要恢复其为缺省值,可以在交换机的全局配置模式下执行命令no cluster。
网络设备集群的网络管理方式可以大大提高单位网络运行维护的效率,不管单位网络设备处于任何具体的位置,集群的创建可以使多台网络设备不需要IP地址,从而成倍地节省了单位网络有限的地址空间。
参考文献:
[1]于玥.网络信息管理及其安全[J].计算机光盘软件与应用,2010.
[2]褚英国.关于Web应用层深度防御系统的研究与实践[J].计算机时代,2009.
[3]朱星伟.突破单一防御思路的Web安全[J].信息安全与通信保密,2008.
网络管理篇4
关键词:网络环境信息传播危机公关
伴随着信息技术的迅猛发展和互联网的普及,人类社会步入了信息时代。高科技所筑就的先进的信息网络,使得信息传递异常迅速,公众对突发事件的反应与互动也十分及时。换言之,在网络经济环境下,危机公关的表现形态及企业组织对危机公关的管理工作亦与传统经济环境下有异,企业危机管理工作的成败很大程度上取决于对信息传递沟通工作的处理是否得当。面对变化了的环境,针对信息时代的特点,企业唯有改变危机公关的处理方式与原则才能应对变化。
危机公关是一项系统工程,它包含对危机事前、事中、事后所有方面的管理,目的在于预防、摆脱、转化危机,避免或减少企业损失,维护企业的正常运营和良好的企业形象。企业危机公关的核心是沟通,其中,信息的传递在沟通中尤为重要,对化解危机起着极为关键的作用。
网络环境下信息传播的特点
互联网自出现至今发展迅速,从1995年开始推广,在最初短短四年内就扩展到240个国家,用户人数超过1.2亿,并且继续以每天60万以上的速度攀升;具体到我国,截至2004年6月30日,我国WWW站点数为626600个,网民已达8700万人。互联网的普及以及现代通信技术的不断进步,构筑了一个全新的大众信息传播网络,与传统大众传媒广播电视报纸杂志相比,网络传播具有以下特点:
传播的信息量巨大且速度快。在互联网上,各类信息齐全且层出不穷,结合网页页面链接,信息供给可以向纵深递进,这是传统大众传媒无法做到的。据CNNIC的统计数据,到2003年12月,全国共有网页数近3.12亿,***数据库169867个,网络传播方式的出现打破了过去的信息封闭与信息匮乏。在互联网上信息成本低且方便,与报纸杂志相比,它无需排版印刷运送等中间环节,这节省了不少时间;与电台电视节目相比,它不必预先做节目安排,只要信息文稿准备完毕,通过简单的复制粘贴就可以将分类信息瞬间传递到每一个终端用户。
沟通空前自由。互联网是一个自由、平等、开放的大众传媒,登陆互联网上的每个人只要自己乐意,其身份都可以隐匿,人们可以无所顾忌地发表意见、交流思想,但良莠不齐的信息“轰炸”,不见得给公众行为带来的都是理性。因此,互联网这个虚拟空间为真实信息传播提供了便利,但同时也使得流言传播更为方便。
信息的传递由一次性转为重复多次性。传统传媒往往随着电台电视节目的播出与报纸杂志的发送将信息一次性地传递给受众,而互联网将这一线性传播模式改变为折返式传播模式,即前期受众在接收信息后,通过对信息的不断加工复制粘贴,使受众面不断扩大,反馈逐渐增强。
传者与受者的界线模糊。传统的信息传媒遵循的是线性传播模式,其受众的反馈慢且较为困难。然而,在互联网上,公众沟通的地位发生了极大的变化,由单纯的被动接受信息改为主动的选择信息,甚至信息,例如,公众可以通过网站的论坛、电子公告板发表自己的见解,也可以通过发送email、投票或是直接对帖子进行回复来表达自己的看法,这一切使信息传播中的传者与受者的界线变得模糊起来,有助于实现公关理论与实践强调的双向沟通原则。由于网民之间的沟通互动增强,常常使公众由潜在公众向知晓公众,进而向行动公众转化,籍此形成极为强大的舆论力量,因而,它对催生危机起着重要的作用。在沈阳“刘涌案”、西安“假体彩案”中,我们可以看到网络舆论的巨大能量。
网络上形成最大的聚散公众群。所谓聚散公众是指因某一事由(如奥运会、罢工等)聚集在一起又因事由的消失而散去的人群。在聚散型、流散型、周期型、固定型等各类公众类型中,公关研究表明信息在聚散型公众中传播的效果最好、效率最高,而因各种原因在网上聚集的网民则构成了数量最大的聚散型公众群体,网络聚散公众的出现突破了传统聚散型公众形成所必需的物理空间条件,使公众的聚集更加容易,从而一些对企业有利与不利的信息传播也更加方便,危机公关必须重视网络聚散型公众。
网络信息传播方式变革对危机公关的影响
网络环境下信息传播方式的变革对企业危机公关工作的影响是极大的,主要表现在以下几个方面:
第一,信息传播方式的变化加大了危机发生的可能性。一方面,相对于网络媒体,传统传媒由于具有信息审查制度,因此其的信息权威性较强、可信度较高,流言或谣言传播受到了很大的限制,而流言或谣言往往是企业产生危机的原因之一,然而,在开放的网络空间里,尤其是在众多的电子公告板和网站论坛上,各种真实的或虚假的、正面或负面的信息自由传播,从而增加了企业危机发生的概率。另一方面,媒体之间竞争的日益加剧,使媒体记者对挖掘具有爆炸性新闻的热情倍增,一些原本深藏于企业的危机隐患被触发的概率大大增加,同时,网络为企业的竞争对手提供了更好的情报收集手段,企业的任何疏忽与失误都可能招致竞争对手的攻击,这也增大了企业危机发生的概率。
第二,信息传播速度的加快减少了企业对危机的反应时间。在传统传媒占垄断地位的时代,危机的局部特征性强,到如今,由于信息在网络上迅速、大面积传播,大大减少了留给企业的危机反应时间,使得危机管理工作变得更加困难,地区性的危机常常演变成全国性甚至国际性的危机。
第三,公众的广泛参与扩大了危机的规模。互联网的出现,唤醒或强化了公众的表达意识,极大地调动了公众参与社会事务的积极性。这样,一方面,通过网络公众的主动参与讨论,一些小事件可以演变为难以控制的危机;另一方面,网络公众通过在网络上直接地自由地表达各种意见、情感,对已处在危机情景中的企业进行质询、谴责甚至攻击,不满的情绪还可以迅速传染其他网民,使已发生的危机迅速放大、恶化和蔓延。1998年,北京一位消费者购买了恒升公司的笔记本电脑,后来因笔记本电脑出现故障,该消费者就维修一事同恒升公司发生纠纷,随后在网上开设了个人主页,题目为“声讨恒升,维护消费者权益”。自网站开通后,众多的网民留言予以支持,并在留言中对恒升公司表达了不同程度的不满和谴责,一些报刊也就此事进行了报道。尽管后来恒升公司该名消费者并赢得了诉讼,但是,其公司形象在公众心中一落千丈。
第四,信息的重复性传播使得危机延续的时间加长,危机爆发具有反复性。网络信息的多次重复传播特性,使企业必须在危机结束后的较长一段时间内,仍需继续关注网络上关于危机事件的报道。因为,尽管危机可能早已结束,但是一些对企业造成负面影响的消息仍有可能不断地被复制张贴去误导后继的公众,从而给企业造成新的危机。
第五,大量的非公众向公众的转化使得危机给企业造成的损害加重。由于在网络空间中信息传播的互动性非常强,网民的参与意识大大提高,一些原本与企业没有任何利害关系的群体,即公共关系学中的非公众,由于网络提供了便捷的沟通方式,其参与危机事件讨论的热情很高,使危机给企业造成的损害加重,轻的会引发公众对企业的不信任,使企业多年苦心经营的公众形象毁于一旦,重的会使企业从此一蹶不振。这一点从恒升公司的案例中不难看出,本来是一件非常简单的笔记本电脑维修纠纷,由于网络传播媒介的介入,迅速演变成一场公司形象危机,最终给恒升公司带来了极大的损失。
网络环境下危机公关应对
面对信息传播方式的变革,企业的危机公关工作遇到了巨大的挑战,调整、改进危机公关工作,加强危机的事前、事中、事后管理是企业求得生存和发展的必由之路。
加强危机事前管理可以及早发现危机因素,并且采用相应的方式消除这些因素,把危机化解在萌芽阶段。这种事先预防,对于企业而言是最经济、最有效的手段。
利用网络技术为企业建立起高效的危机预警监测系统监测组织环境。相比传统的信息传播媒介,企业可以通过互联网,随时监控各类行业、专业网站上的信息,通过对信息的分类评估,及时将有利或者不利的信息反馈到相关部门,并做出积极的回应;尤其是当发现不利于企业的舆论,要马上采取相应的手段进行沟通,消除误解,维护企业的形象。以天津中美史克公司“PPA危机”事件为例,由于关于PPA危害的研究报告在危机发生八个月前就已问世,而史克公司没有通过危机预警系统捕捉到这一信息,或者捕捉到了而没有做出正确地分析,造成了危机事件的发生,尽管后来采取了积极有效的措施应对危机,但是,事前防范不利造成的巨大损失仍然无法避免。
制定危机处理预案。由于网络环境下危机公关的特点,企业必须事先对可能发生的危机进行预测,不能坐等危机来临时匆忙应对,而制定危机处理预案,明晰危机处理的原则、步骤、人员构成与责任关系,将处理危机所需的各种资源进行计划配置,是妥善处理危机,转危为安的重要思路与措施。
企业建立自己的网站宣传自己。首先,企业可以将企业的经营理念、价值观、企业的产品(服务)信息、部门设置及联系方式等全方位的信息,在自己开办的网站上,用以增进公众对企业的认识和了解,并且通过人性化的网络界面,给公众留下良好的印象。其次,企业通过建立自己的网站,可以帮助企业进行各种调查和资料的收集工作,通过定期的网络问卷调查,收集各类利益相关者的信息,从而制定出更符合公众利益的目标与***策,减少危机发生的可能性。最后,企业还可以通过建立相关的电子公告板,便于公众与企业进行积极的双向沟通,同时也有利于企业发现潜在的危机因素,比如顾客对产品的抱怨,及时化解疏导,防止事态的扩大,这对于企业的经营发展大有裨益。
建立与各方利益相关者良好的沟通关系。事前对顾客公众、媒介公众、股东公众、员工公众、***府公众、社区公众、供应商公众、经销商公众等利益相关者以立足长远互惠互利为原则,通过网络沟通双方需要,强化双边联系。以顾客公众管理为例,企业可以通过建立顾客数据库系统,将不同的顾客资料分类整理,针对其不同的偏好、需求,通过e-Mail等方式将相关的信息寄送给顾客,提供个性化的服务,维持良好的顾客关系,加深顾客对企业的积极印象。
加强危机事中管理,针对网络环境下信息传播的特点,采取相应的措施,快速拦截或对冲不利信息,防止事态扩大。
建立或起动危机应急组织,配置应急资源。危机发生后,在主动、快速、缜密等危机处理基本原则的指导下,由企业高层管理者领导危机应急小组工作,根据危机处理预案,处理与危机利益直接相关者、媒体、***府机构等的关系,以求得谅解和支持。
严密监测各大网站对危机事件的报道,分析其对危机事态的影响。在危机持续的过程中,企业应密切关注各大网站对危机事件的报道,对相关消息进行分类排序,分析各类信息对危机处理效果的影响,抓住主要矛盾,使后期的行动有的放矢。
危机事件相关信息,利用网络媒体澄清事实真相,积极引导舆论。危机发生后,企业应该在网站的显著位置开辟窗口,滚动报道危机事件,主动将事件进展情况告知公众,让更多的人了解真相,了解企业在化解危机中所进行的各种努力。此举不但能有效的化解未来的可能的危机,而且使公众的知情权得以满足,有效地阻断谣言的传播。同时,也要利用电子公告板建立与公众的对话机制,采用聊天室等方式,由企业高层直接面对网民的质询,通过积极的沟通对话化解危机,勇于承担责任,维护企业良好形象。
危机的事后管理是整个危机管理工作的重要一环,一旦被忽视,企业之前的种种努力可能都会落空。尤其网络环境下信息传播具有多次重复性,因此,事后的监控不能掉以轻心。
首先,要充分利用知名网络搜索引擎,比如百度、Google、Yahoo等,寻找仍在网络上重复传播的不利信息,采用相关的手段将其更正;其次,举行网络公关活动,拉近企业与公众的距离;另外,还可以在网站上一些有利于避免同类危机事件再次发生的信息,比如详细的产品正确使用方法等。
参考资料:
1.熊源伟,公共关系学[M],合肥:安徽人民出版社,2000
2.清华大学公共管理学院、中国行***管理学会.社会变革中突发事件应急管理专家研讨会论文集打印稿[C],2001年11月
3.罗伯特·希斯,危机管理[M],北京:中信出版社,2003
4.罗江,品牌的危机管理[J],企业改革与管理,2003年第7期
5.黄亮,中美史克的危机管理[J],企业改革与管理,2003年第7期
6.史仕新、夏菁,企业网络公关策略[J],企业改革与管理,2003年第9期
7.刘芙蓉、竹邻,企业危机管理[J],企业管理,2003年第8期
网络管理篇5
互联网带来的互动便利,满足了所有网民成为新闻源的爱好者。但数量庞大的网民并非个个都是新闻爱好者:由于互联网信息传播自由化的特点,一些人也可能通过它散播谣言或进行其他不法活动。有人在网络游戏中留连忘返,有人利用网络工具成为黑客等等。
这些问题的暴露说明,互联网的好处并不是绝对的,它在给人们生活带来便捷的同时,也给一些人提供了散播谣言或进行其他不法活动的空间,比如宣扬一些“裸的仇恨”。因此,对互联网的合理引导与监管,是必要而且迫切的。
作为互联网经济的一个重要方面,网络游戏发展这些年可谓是水涨船高。中国青少年网络协会游戏专业委员会秘书长邵德海表示:“网络游戏,在这个能让大多数的青少年在虚拟世界中寻求满足,把不可能变成可能的网络世界里,如何有效引导多数的游戏爱好者,无论是实名制还是防沉迷,都对各国***府的监管和治理提出了严峻的考验。”但对于网络游戏运营商来说,企业形态促使它必须利用这些粘性来为自己赢得更多的用户与金钱。因此,邵德海表示,网络游戏必须从管理上找到一个平衡点。
与沉迷于网络游戏不同的是,由于网络匿名带来的匿名犯罪、网络欺诈、洗钱、垃圾信息都是近年来在互联网这张温床上逐渐滋生出来。越来越多的网络欺诈、网络犯罪,造成了极恶劣的社会影响。
据了解,监管部门已开始利用搜索引擎和其它技术手段,通过设置违法关键词来筛选网上违法经营行为线索,该系统重点监控的内容包括虚假广告、传销、不正当竞争、合同欺诈和无证经营等违法行为。而不少门户社区以及网上交易平台现在也都要求进行实名制,甚至还出现了这样的公告:“管理员和斑竹们必须实名上岗,将资料送交上级安全部门报备,拒绝交代个人信息者将失去社区管理权限。”
网络管理篇6
论文摘要:随着计算机网络和通信技术的迅猛发展,以及网络技术在部队的广泛应用,随着业务拓展以及与社会宣传需要,***府单位在网络方面的应用越来越重要,网络管理也凸显其重要地位。本文从网管技术网管发展趋势等方面进行了一些探讨。
随着计算机网络和通信技术的迅猛发展,以及网络技术在部队的广泛应用。随着业务拓展以及与社会宣
传需要,消防部队在网络方面的应用越来越重要,网络管理也凸显其重要地位。下面,我就网络管理技术进行一些表述和探讨。
网络的作用在于实现信息的传播与共享。为了确保正确、高效和安全的通信,我们必须对网络的运行状态进行监测和控制,这里就提出了网络管理的概念。
网络管理是指对网络的运行状态进行监测和控制,使其能够有效、可靠、安全、经济地提供服务。网络管理包含两个任务,一是对网络的运行状态进行监测,二是对网络的运行状态进行控制。通过监测可以了解当前状态是否正常,是否存在瓶颈和潜在的危机;通过控制可以对网络状态进行合理调节或配置,提高性能,保证服务。
随着计算机技术和internet的发展,企业和***府部门开始大规模的建立网络来推动电子商务和***务的发展,伴随着网络的业务和应用的丰富,对计算机网络的管理与维护也就变得至关重要。人们普遍认为,网络管理是计算机网络的关键技术之一,尤其在大型计算机网络中更是如此。网络管理就是指监督、组织和控制网络通信服务以及信息处理所必需的各种活动的总称。其目标是确保计算机网络的持续正常运行,并在计算机网络运行出现异常时能及时响应和排除故障。
在网络管理中,一般采用管理者-的管理模型,在网管工作站上的管理者(也称为管理系统)向位于被管理设备内部的发送管理操作的指令,收到后,将发来的命令或信息请求转换为该设备的内部指令,完成管理操作,并返回结果信息。同时,也可以主动向管理系统发送通知信息,将被管理设备上的事件信息或故障信息告诉管理者。一个管理者可以域多个相连进行通信;而一个也可以接受多个管理者发来的管理操作,但必须协调好多个操作。
一、网络管理的发展趋势
网络管理的根本目标是满足运营商及用户对网络的有效性、可靠性、开放性、综合性、安全性和经济性的要求。随着网络互连技术的飞速发展,网络管理技术自身也在不断发展。目前计算机网络管理技术的发展主要表现在以下几个方面:
(一)网络管理集成化:允许用户从单一平台管理各种协议的多种网络,通过一个操作平台实现对多个互连的异构网络的管理。
(二)网络管理的智能化:采用人工智能技术进行自动维护、诊断、排除故障以及维持网络运行在最佳状态,如处理不确定问题、协同工作、适应系统变化并能通过解释和推理对网络实施管理和控制。
(三)网络管理的实时性:提供实时的动态资源管理和控制。
(四)分布式网络管理是网络管理的一个重要发展方向。
二、网管系统的发展趋势
(一)网络管理web化。基于web的网络管理模式融合了web功能和网络管理技术,允许网络管理人员通过与www同样形式去监视网络系统,通过使用web浏览器,管理人员在网络的任何节点上都可以方便配置、控制及访问网络,这种新的网络管理模式同时还可以解决异构平台产生的互操作问题。基于web的网络管理提供比传统网管界面更直接,更易于使用的界面,降低了对网络管理操作和维护人员的要求。
(二)网络管理层次化。随着网络规模的扩大,snmp管理机制的弱点被充分暴露出来。snmp是一种平面型网管架构,管理者容易成为瓶颈。传输大量的原始数据既浪费带宽,又消耗管理者大量的cpu时间,使网管效率降低。解决这个问题,可以在管理者与之间增加中间管理者,实现分层管理,将集中式的网管架构改变为层次化的网管架构。
(三)网络管理智能化。随着网络结构和规模的日趋复杂,网络管理员不仅要有坚实的网络技术知识,还要有丰富的网管经验和应变能力。现代网络管理正朝着网管智能化方向发展。智能化网络有能力综合解释底层信息,对网络进行管理和控制。同时,智能化网管能够根据已有的不很完全、不很精确的信息对网络的状态做出判断。
(四)集成系统管理。随着计算机网络的发展,网络管理和系统管理之间的关系越来越密切,把它们集成在一起是一个重要的发展趋势,这也是很多网络管理系统厂商正努力实现的。事实上,sun已经将其网络管理产品solstice定义为“基于企业管理的策略”,包含了系统管理和网络管理的产品。这样的方案将受到越来越多的用户的欢迎,把网络管理和系统管理结合在一起,最终将建立一个完善的系统。
参考文献:
网络管理篇7
关键词:信息化;网络安全;管理对策
0 引言
在信息化社会建设的进程中,网络的应用和开发已成为衡量一个国家***治、经济和***事综合能力水平的重要标志,网络的作用和地位越来越重要。网络为信息交换、存储和处理提供了极大的便利。计算机网络因其开放性、互联性的体系结构使网络扩展更加便利,信息利用更加快捷高效,网络的服务性和需求日益提高,社会、经济、***事等领域对网络信息作用的依赖日益增强。然而,也正是网络开放、互联等特点增加了网络的复杂性和脆弱性,网络信息遭受来自网络内部和外部的各种安全威胁。因此,网络安全问题已成为信息时代人类共同面临的挑战,越来越被重视。就其本质而言,网络安全就是信息安全。网络安全是指通过各种技术和管理措施,使网络系统正常运行,保护网络数据(信息)的可用性、完整性、私密性和可控性。网络安全是一个完整的体系,其防护主要包含技术方面和管理方面,二者相互补充,缺一不可。加强网络安全不仅要从技术防护着手,更要注重网络安全管理工作。本文试对网络安全管理存在的问题简要分析,并就加强网络安全管理提出几点措施。
1 网络安全现状及存在的原因
1.1 现状
经过长期的努力,我国在信息安全管理上取得了一些成就,制定了一系列信息安全的制度法规,建立了专门的加强法制信息安全管理机构,出台了一系列信息安全技术标准。从国家互联网应急中心(CNCERT)的2011年互联网网络安全态势报告,显示我国基础网络防护水平明显提升,***府网站安全事件显著减少。其中,2011年我国大陆被篡改的***府网站数量较2010年下降39.4%。但由于缺乏自己的计算机网络及信息安全核心技术,互联网新技术和新应用快速发展而网络安全法规建设相对滞后,加之人们对网络信息安全的认识存有误区,网络信息安全事件频繁发生。数据泄露事件层出不穷,钓鱼网站数量持续增加,虚假信息和垃圾信息泛滥,用户信息安全保障难度加大;病毒、木马、蠕虫变化多、更专业,其破坏性和危害性更强。有数据表明,我国2011年遭受境外网络攻击持续增多,网上银行面临的钓鱼威胁、手机恶意程序、应用软件漏洞、工业控制系统安全事件等也呈增长态势。其中,2011年CNCERT捕获移动互联网恶意程序6249个,较2010年增加超过两倍。为此这些将成为网络安全管理工作的主要难点。
1.2 主要原因
1.2.1 网络安全意识淡薄。
网络安全实质就是要保障网络信息安全。影响网络安全的因素有许多,既有网络硬件、软件或系统等问题造成;也有人为因素造成。但是一些企事业单位机关对网络安全的认识存在误区,过度依赖网络设备和技术方面的防御,把防范的重点放在外部,忽视从内外结合上,技术和管理上构建网络信息系统的安全防范体系;对网络管理制度、管理队伍建设重视不够;网络工作人员和用户安全意识淡薄,导致疏于安全管理的网络安全问题时有发生。大量的调查表明,因人为因素或自然灾害所造成的计算机信息系统的损失事件中,至少有70%是因为管理措施不得力或管理不善所致,而其中95%是可以通过正确的信息安全配置管理来消除的。增强网络安全管理意识,强化管理措施是做好网络信息系统安全保护工作不可缺少的保障。
1.2.2 网络信息安全管理体系建设滞后于网络技术的发展。
网络安全是以安全技术为支撑,以安全管理为手段。虽然随着网络信息技术运用的不断深入,网络信息安全管理工作有所改进,但是由于没有及早认识到网络信息安全管理的重要性,网络信息安全管理工作还存在诸多不足。一是我国安全管理法规制度建设不健全。相对网络信息发展,我们在网络立法方面明显落后于信息技术的发展,难于满足网络信息发展的需要,不能有效地适应各类网络非法行为。二是网络建设处于分散管理状态。信息安全管理条块分割,各管理部门之间缺乏有效的沟通和联系,网络信息安全的多头领导,极易引起信息安全管理的混乱。三是网络信息管理队伍建设发展不平衡。从整体而言,网络信息管理队伍重视程度远低于网络硬件建设,网络安全管理的人才无论是数量还是质量都达不到信息发展及信息安全管理的需要。
2 加强网络安全管理几点建议
2.1 重视管理在网络安全的作用
加强网络信息安全必须从管理上着手,有人提出“网络信息安全的工作是三分技术、七分管理”。诸多事实证明,仅从防火墙、密码机单一设备加强信息安全已不能适应当今网络安全的需要,尽管目前已经有成百上千种的安全产品,但人们仍然越来越感觉不安全。网络的规模、复杂性、日趋增多的应用等,是造成这种状况的主要原因之一。要保证真正的意义安全,必须从管理上着手,加强对网络安全的防范意识、法规制度建设,加强网络技术、市场和人员等管理。
2.2 完善网络管理的法规制度
法规制度建设是管理运行的基本依据和最有效手段。经过长期的努力,我国在信息安全管理取得了一些成就,制定了一系列信息安全的制度法规,建立了专门的加强法制信息安全管理机构,出台了一系列信息安全技术标准。但是,与信息技术发展比较,我们的信息安全管理工作相对落后,加之网络发展速度迅速导致了法制的滞后性,使有关部门在打击网络犯罪的过程中面临无法可依的尴尬局面。所以法制建设应该不断健全,做到规范网络运行商、企事业单位和用户的行为,规范网络信息与资源的管理制度,切实做到有法可依、有法必依、违法必究。
2.3 加大舆论宣传
加强思想上网络安全意识建设,文化和法制等部门在社会主要加大基本网络安全知识的普及。同时加强网络用户的安全意识的宣传,要求网络用户在思想上要引起高度重视,既要他们认识到网络犯罪的概念与危害,增强法律意识;也要增进他们的自我安全意识,主动规避风险,最大限度地预防与减少网络犯罪的发生。
2.4 制定切实可行的网络安全管理策略
网络的安全是保证网络使用安全为前提,安全策略的制定应是建立在信息使用足够方便的基础上,寻求最有效的安全措施。第一,明确本网络的开放性要求和安全性要求,寻求二者的均衡点,对两者间有矛盾的根据实际情况决定取舍。第二,对本网络拓扑结构和能够承受的安全风险进行评估,从网络安全技术方面为保证信息基础的安全性提供了一个支撑。第三,要建立全网统一、有效的身份识别系统。遵循最小特权、最小泄露和多级管理的授权原则,未经授权相关信息和资源不允许访问、引用和使用。第四,建立网络信息监控机制。对信息、传输和使用等,需要有较全面的审计、记录的机制,以便于事后的调查和处理。第五,制定各种网络安全事件的应急预案,一旦网络安全事故发生,能在第一时间予以控制,防止事态的扩大,减少损失。
参考文献:
[1] 龙冬阳.网络安全技术及应用[M].广州:华南理工大学出版社,2006.
网络管理篇8
论文摘要:随着计算机网络和通信技术的迅猛发展,以及网络技术的广泛应用,Web在为人们带来快捷的同时也增加了一定的不安全因素,文章从web网络的管理、Web服务器的安全特性以及web网络的防御措施等方面进行了探讨与分析。
1、引言
Web起源于1991年,伯纳斯-李制作了一个网络工作所必须的所有工具:第一个万维网浏览器和第一个网页服务器,标志着因特网上万维网公共服务的首次亮相。
Web是***形化的和易于导航的,它非常流行的一个很重要的原因就在于它可以在一页上同时显示色彩丰富的***形和文本的性能。Web可以提供将***形、音频、视频信息集合于一体的特性。同时,Web是非常易于导航的,只需要从一个连接跳到另一个连接,就可以在各页各站点之间进行浏览了。基于Web的优势,以及计算机网络和通信技术的迅猛发展,Web网络技术倍受青睐,广泛应用于各个行业,Web网络的管理与安全防御也凸显其重要地位。下面,将对Web网络的管理及其安全防御技术进行一些表述和探讨。
2、网络管理的作用及发展趋势
2.1、网络管理的作用
网络的作用在于实现信息的传播与共享。为了确保正确、高效和安全的通信,我们必须对网络的运行状态进行监测和控制,进而提出了网络管理的概念。
网络管理是指对网络的运行状态进行监测和控制,使其能够有效、可靠、安全、经济地提供服务。网络管理包含两个任务,一是对网络的运行状态进行监测,二是对网络的运行状态进行控制。通过监测可以了解当前状态是否正常,是否存在瓶颈和潜在的危机;通过控制可以对网络状态进行合理调节或配置,提高性能,保证服务。
2.2、网络管理的发展趋势
网络管理的根本目标是满足运营商及用户对网络的有效性、可靠性、开放性、综合性、安全性和经济性的要求。随着网络互连技术的飞速发展,网络管理技术自身也在不断发展。目前计算机网络管理技术的发展主要表现在以下三方面:
(一)网络管理集成化:允许用户从单一平台管理各种协议的多种网络,通过一个操作平台实现对多个互连的异构网络的管理。基于WEB的网络管理模式融合了WEB功能和网络管理技术,允许网络管理人员通过与WWW同样形式去监视网络系统,通过使用WEB浏览器,管理人员在网络的任何节点上都可以方便配置、控制及访问网络,这种新的网络管理模式同时还可以解决异构平台产生的互操作问题。基于WEB的网络管理提供比传统网管界面更直接,更易于使用的界面,降低了对网络管理操作和维护人员的要求。
(二)网络管理的智能化:采用人工智能技术进行自动维护、诊断、排除故障以及维持网络运行在最佳状态,如处理不确定问题、协同工作、适应系统变化并能通过解释和推理对网络实施管理和控制。现代网络管理正朝着网管智能化方向发展。智能化网络有能力综合解释底层信息,对网络进行管理和控制。同时,智能化网管能够根据已有的不很完全、不很精确的信息对网络的状态做出判断。
(三)网络管理层次化。随着网络规模的扩大,SNMP管理机制的弱点被充分暴露出来。SNMP是一种平面型网管架构,管理者容易成为瓶颈。传输大量的原始数据既浪费带宽,又消耗管理者大量的CPU时间,使网管效率降低。解决这个问题,可以在管理者与之间增加中间管理者,实现分层管理,将集中式的网管架构改变为层次化的网管架构。
3、Web网络的安全防御
每个Web站点都有一个安全策略,这些策略因需而异,必须根据实际需要和目标来设置安全系统,估计和分析风险。在制定安全策略之前,首先要做威胁分析,其中包括:有多少外部入口点存在;威胁是否来自网络内部;威胁是否来自工业间谍;入侵者将访问哪些数据库、表、目录或信息;威胁是网络内部的非授权使用还是移动数据;数据被破坏还是遭受攻击,或是网络内外非授权的访问、地址欺骗、IP欺骗、协议欺骗等。根据威胁程度的大小做相应的评价分析,以作为设计网络安全系统的基本依据。
3.1、Web服务器的安全特性
Web服务器是整个网络的关键,它的安全性则成为重中之重。首先,分析用户与站点联接时会发生哪些事件和动作。每次用户与站点建立联接,其客户机会向服务器传送机器的IP地址、有时,Web站点接到的IP地址可能不是客户的地址,而是它们请求所经过的服务器地址。服务器看到的是代表客户索要文档的服务器的地址。由于使用HTTP协议,客户也可以向Web服务器表明发出请求的用户名。
如果不要求服务器获得消息,服务首先会将IP地址转换为客户的域名。为了将IP地址转化为域名,服务器与一个域名服务器联系,向其提供这个IP地址,并获得相应的域名。通常,如果IP地址设置不正确,就不能转换。一旦Web服务器获得IP地址和客户可能的域名,它就开始一系列的验证手段以决定客户是否有所要求的访问文档。这就存在一定的安全漏洞:客户可能永远得不到要求的信息,因为服务器伪造了域名,客户可能无法获得授权访问信息,服务器可能向另一用户发送信息;误认闯入者为合法用户,服务器允许其进入访问,Web服务器的安全也将会受到威胁。
3.2、监视控制Web站点出入情况
为了防止和追踪黑客闯入和内部滥用,需要对Web站点上的出入情况进行监视控制。可以借助一些工具提供帮助,如,假定Web服务器置于防火墙之后,可将一种Web统计软件“Wusage”装在服务器上,监控通过服务器的信息情况,这一工具可以列出被访问次数最多的站点及站点上来往最频繁的用户。为了加强安全性,必须监控出入站点的情况、访问请求及命中次数,这样可以更好的显示站点的状态。
3.3、Web网络的防御措施
为了确保Web服务的安全,通常采用以下几种技术措施:
在现有的网络上安装防火墙,对需要保护的资源建立隔离区;
对机密敏感的信息进行加密存储和传输;
在现有网络协议的基础上,为C/S通信双方提供身份认证并通过加密手段建立秘密通道;
对没有安全保证的软件实施数字签名,提供审计、追踪手段,确保一旦出现问题可立即根据审计日志进行追查等。
其中,防火墙是位于内部网络与因特网之间的计算机或网络设备中的一个功能模块,是按照一定的安全策略建立起来的硬件和软件的有机结合体,其目的是为内部网络或主机提供安全保护,控制可以从外表访问内部受保护的对象。按运行机制可以分为包过滤和两种。
包过滤主要是针对特定地址主机提供的服务,其基本原理是在网络传输的TCP层截获IP包,查找出IP包的源和目的地址及端口号,还有包头中的其他信息,并根据一定的过滤原则,确定是否对此包进行转发。
在应用层实现,其基本原理是对Web服务单独构造一个程序,它不允许客户程序与服务器程序直接交互,必须通过双方程序才能进行信息的交互;还可以在程序中实现其他的安全控制措施,如用户认证和报文加密等,从而达到更高的安全性能。
参考文献:
[1]褚英国.《关于Web应用层深度防御系统的研究与实践》.计算机时代,2009
网络管理篇9
CMTS资源管理系统是网络管理员通过网络管理程序对网络上的资源进行集中化管理的操作,包括资源域管理、资源配置管理、资源告警管理、资源告警统计、定时器管理、资源性能管理、拓扑管理、CMTS回传通道监控、资源报表、安全管理(用户和角色、权限设置、前端权限设置)、日志管理等功能,为网络维护、故障排查提供所需各种服务。
2、资源域管理
系统可实现资源域的管理,根据资源特性和管理策略将资源分成不同的域。系统在资源域的基础上提供一系列封装的接口,通过使用MTOSI等模板机制和标准的数据模型屏蔽不同厂商设备的差异。CMTS资源管理系统应支持按照各种数据的类型和变化频度的不同,提供完善的数据同步功能,通过SNMP协议获取数据的变化信息以保证数据的准确性。系统应支持采用自动触发和手工触发两种方式进行数据采集。CMTS资源管理系统数据来源为网元,与其对接的网元包括CMTS头端、CableModem。对于不同厂家的CMTS设备,在定制数据采集策略时有相应的选项供用户选择,系统支持对大IP段的设备集合进行采集。(1)直接配置针对某一种资源,系统可以添加单条资源数据记录,同时在资源录入的过程中要对资源对象的属性、资源对象的状态进行相应的修改。(2)模板批量配置资源输入模板制定固定格式的导入模版,将文本文件数据、Excel文件数据等转换为固定格式的Excel文件并通过程序快速地导入系统中。系统对Excel表格中的内容进行分析处理,转换为系统内部格式的数据进行存储。针对不符合系统格式的数据,系统自动检查配置数据的缺失或错误,并提示用户修改或重新填写。通过规范数据录入流程和录入模板,实现数据录入的标准化。通过录入模板的标准化,可减少数据关联错误和定义错误。
3、资源配置管理
资源配置管理是对具有相似结构、行为、关系的一系列资源对象的抽象和描述,资源配置管理引用域的概念进行资源建模。资源配置管理包括资源的添加、删除、修改和查询功能。
3.1配置信息
系统应支持基本配置信息展现。包括CMTS设备的设备面板展示、概要信息及CableModem概要信息等。(1)设备面板展示面板中各端口位置,上行端口、下行端口、上联端口均可点击查看详细信息。可进行设备的刷新,还可查看CPU/内存的实时信息以曲线***形式加以展示。(2)基本信息基本信息展示了CMTS的概要信息(管理IP、模块数量、版本、下行端口数量、上行端口数量、告警统计、上联端口数量)和基本信息内容。如***1所示。
3.2资源查询
系统应支持根据端口类型、端口名称、状态以及CableModemMAC地址等单一条件或组合条件对CableModem进行精确或模糊查询。查询结果以列表方式展现。(1)CM查询可根据端口、业务类型、状态、MAC地址等条件进行查询。可查看MAC、状态、IP、上行发射电平、CM上行信噪比、上行通道信噪比、信噪比差值、下行接收电平、CM下行信噪比、累计***时长、上行端口、下行端口、CPEIP、业务类型等字段的信息。还可对所选择记录进行刷新和Ping操作。如***2所示。(2)CMFlap查询可根据MAC进行查询并且可刷新列表使列表中数据信息为最新信息。可查看下行通道、上行通道、CMMAC、最近Flap时间、创建时间、插入失败条目、hit、miss、miss/hit、CRC错误数、电平调解数、Flap总数、最近重置时间等字段的信息。还可对所选择记录进行刷新操作。如***3所示。
3.3资源统计
系统应支持对某个或所有上行端口下调制解调器统计功能。统计结果应包含上行端口下的调制解调器的***、离线等状态的个数。统计结果应以列表方式展现。系统应提供对资源数据的分类统计功能。系统提供的数据统计功能是对大量原始数据的汇总和计算,通过统计可以从整体上反映网络中各种资源的分布情况,从而为网络维护管理人员进行进一步分析提供数据支持。系统可将统计结果使用报表形式输出。系统支持按照多维度(时间粒度、资源类别、业务类别、资源范围等)定义资源统计报表。(1)上行端口可查看上行通道名称、下行通道名称、CM数、注册CM数、可纠错率、不可纠错率、平均SNR、通道利用率、通道容量、户均流量、丢弃(in)、错误(in)等字段的信息。如***4所示。(2)下行端口可查看下行通道名称、CM数、注册CM、通道利用率、通道容量、户均流量、频率、带宽、调制、端口电平、平均CM接收电平等字段的信息。如***5所示。(3)上联端口可查看上联端口名称、利用率(in)、利用率(out)、流量(in)、流量(out)、标称速率、错误(in)、错误(out)、丢弃(in)、丢弃(out)、状态等字段的信息。如***6所示。(4)CM统计可查看根据上行端口、状态(***、离线、初始化、测距中止、测距完成、IP完成)统计出的CM数。点击统计数字,可查看详细的CM信息。如***7所示。
3.4资源关系管理
系统对资源关系的管理应主要体现在以下三个方面:(1)CMTS和CableModem的关联关系。(2)HFC中的反向光接收机和光站的关联关系。(3)HFC反向光接收机和CMTS上行口的关联关系。通过资源关系管理,用户能够根据前端名称、光站地址或光站编号迅速定位相应光站所对应的CMTS上行口并进行上行口的噪声监控操作。
3.5资源测试
(1)资源测试-Ping系统应提供基于ICMP协议Ping命令,利用ICMP回射请求报文和回射应答报文来测试目标系统是否可达,为用户提供最为基础的判断网络物理连接是否通畅提供依据。(2)资源测试-SNMP系统应提供SNMP访问方式用于对支持SNMP协议的设备进行工作站和之间的通信状况的判断。
4、资源告警管理
告警管理是实现对网管系统所管理设备的有无发生异常的最直接的有效检测手段。告警管理中用户可以自定义告警过滤器,对用户自身责任范围内的设备告警进行实时监控,以达到快速了解设备异常情况的目的。系统提供对告警的确认、取消确认、删除、操作记录等功能。为用户提供便捷、快速的告警处理入口。系统应能够对CMTS的各个部分进行持续或间断的测试、观察和监测,以发现故障或性能的降低。例如当CMTS上行口信噪比严重下降时,系统应能产生告警。当CMTS突然断电时,系统应能产生告警。(1)告警显示系统应能通过多种方式显示告警,并根据告警的类别、等级,以不同的声音和颜色进行显示。(2)告警归类系统应能够为指定的告警原因分配告警的严重级别。(3)告警处理系统应支持告警日志功能。故障发生后,日志中应能记录该操作。告警日志统计列表应能对故障类型基于严重程度、故障原因、时间段进行分级统计展现。收到告警后,系统管理员可根据需求对告警进行确认、清除、加备注等操作。(4)告警信息告警信息展示指定设备的告警的基本信息以及对此设备告警在网管级别所做的操作进行记录,便于记录和查证告警原因。(5)告警查询与统计系统应支持对当前告警或历史告警提供查询与统计功能。
5、资源告警统计
系统应提供告警统计功能,包括历史告警统计、活动告警统计、活动告警分布。统计结果可根据查询条件进行过滤,以***形化界面显示(饼***或柱状***展示)。便于告警数据的分析和具体问题的定位。告警统计***包括以下几部分。(1)历史告警统计可根据统计方式(资源域、资源类型、告警级别、前端)、开始时间、结束时间统计历史告警记录。右侧以饼***展示统计结果(显示具体告警条数和所占百分比)。(2)活动告警统计可根据统计方式(资源域、资源类型、告警级别、前端、告警状态)、开始时间、结束时间统计活动告警记录。右侧以饼***展示统计结果(显示具体告警条数和所占百分比)。(3)活动告警分布可根据资源域、资源类型、开始时间、结束时间进行活动告警分布的统计。右侧以柱状***展示统计结果(告警级别以不同颜色进行区分)。
6、资源性能管理
网络管理篇10
关键词: 网络管理;大型网络;AAA;***;金融;航空
0 引言
路由器、交换机等网络设备在整个网络中扮演着不可替代的角色。如果这些网络设备出了状况,那么整个网络就可能出问题,甚至崩溃,对于金融、航空及***府等重要领域来说,这种损失是不能忍受的。因此,如何安全快捷地管理网络设备就显得非常重要。
1 传统网络管理状况
金融、航空等领域的省级以上机构网络通常都属于大型网络,需要维护的网络设备至少在几十台、上百台。出于安全考虑,网络管理员需要定期对登录用户口令进行变更,传统的逐个对网络设备进行口令变更工作量巨大,实施过程并不轻松,容易产生懈怠情绪,经常会有口令长期不变的情况发生,存在安全隐患。
信息安全审计要求网络设备的管理进行权限划分,即口令管理、操作、审计需要由不同的人来负责。口令管理只负责用户名称和密码的分配,操作是使用分配的名称和密码对网络设备进行维护管理,即通常讲的网络管理员的操作,审计是对口令管理情况以及网络设备维护情况的安全审计。在网络设备上设置密码验证的传统方法并不能验证网络管理员的身份,换句话讲,如果一个人虽然不是管理员,但是他只要知道了密码,同样可以访问网络设备。
通常,网络管理员希望在任意网络节点访问任意一台网络设备,所以通常习惯使用Telnet方式利用Telnet协议实现远程访问和配置网络设备。但是Telnet存在着安全隐患,因为使用这种方式在网络上传输的数据没有加密,意味着网络中传输的密码能轻易的被网络工具截获。后来许多网络设备已经实现了SSH(Secure Shell)方式的访问,与Telnet协议不同的是SSH方式的数据传输是经过加密的,增强了密码的安全性。因此,所有网络设备就必须允许对端22端口(SSH)或23端口(Telnet)到自身的访问。但这样又带来了安全漏洞,作为网络主管或审计员,他需要知道最近谁访问了网络设备,以及执行了什么命令。
2 一种新的架构
要解决上述问题,需要设计一种新的架构,我们采用IETF研究小组提出的通用的AAA(Authentication,Authorization,Accounting)[1],即认证(Authentication)、授权(Authorization)和审计(Accounting)。其中,认证是指对用户身份的验证;授权是指在用户通过认证之后确定其可以具有的权限;审计是记录用户对网络设备/网络资源使用情况的详细记录,作为审计的依据。传统的由网络设备进行的密码验证将被证书认证代替,还采用单点登录(Single Sign-On)简化对网络设备的访问。管理员只需要一次认证就可以自由访问所有经过授权的网络设备,而不再需要知道所有网络设备上设置的密码。同时,我们引入***[2],实现认证和加密传输两个功能。也就是说,新的架构要能实现管理员方便的访问网络设备,同时实现数据安全传输。
3 一个实例
接下来我们用一个实例描述这种新的架构,来说明如何实现在大型网络中对网络设备的访问更加高效和安全。如***1所示,一个大型网络的所有网络设备同一台AAA服务器相连,以其中一台路由器Router A为例描述其过程。可以限定只有源IP为10.0.1.100的客户端才能使用SSH协议访问路由器,这个规则通过ACL很容易实现。AAA服务器同时运行***服务器程序,管理员客户端运行***客户端程序。策略库记录管理员信息,认证及路由器信息。
现在我们假定管理员Client M想要访问Router A,将会发生下面的过程。
1)起初AAA服务器不知道Client M的身份,它要求Client M使用证书和密码同AAA服务器建立一个***连接。为了提高安全性,我们同时使用证书和密码认证,但这里的密码并不是路由器上设置的密码。如果Client M是有效用户,就会建立***连接。Client M获得一个虚拟IP地址:100.0.0.10。AAA服务器用它的虚拟IP地址100.0.0.1同Client M进行通信,所有的数据传输采用***加密。
2)Client M访问Router A以前,AAA服务器根据相应的策略检查Client M是否有相关认证及授权并反馈给Client M。如果Client M认证成功,AAA服务器就从策略库中提取路由器密码并同Router A建立一个SSH会话,并自动备份Router A配置。
3)从Client M发出的所有命令都将首先通过AAA服务器,然后到Router A,反之亦然。在发送一条命令时,AAA将进行授权检查,如果Client M没有执行该命令的特权,就会将该命令丢弃并给Client M返回一条错误消息。同时,所有发给Router A的命令都有日志记录。
4)如果Client M退出Router A的登录并且想访问另一台路由器,AAA服务器会再次备份Router A配置后终止同该路由器的会话。后续步骤重复2)和3)。
从上面我们可以知道,Client M在整个的操作过程中不再需要知道所有网络设备的密码,只需要一次认证就能访问经过授权的所有网络设备,不重复认证。并且Client M执行的所有命令都有详细记录。
4 AAA服务器模型分析
实例中AAA服务器的基本模型如***2所示,分为6个部分。分别是:
1)***服务器:***是整个架构的核心,它提供传输加密,身份验证和SSO。在管理员接入路由器以前***服务器首先发起请求并验证身份。
2)授权模块:根据策略库中的策略判断管理员的权限。
3)转发模块:通过转发模块将数据发给路由器,或者说,它起一个的作用。此外,它还是SSH客户端。当一个管理员通过认证将要访问一台路由器时,它会开启一个同路由器的SSH会话,会话就绪以后,它将命令转发给路由器。与此同时,它会要求授权模块核实管理员的授权命令并记录该命令。
4)配置备份模块:该模块在登录路由器以前及登出路由器以后自动备份路由器配置并用MD5对比两个配置是否有改变。
5)策略库:其中存储着管理员信息,授权和路由器信息。它可以设置在AAA服务器中或不在服务器中,用来提供其他模块请求的信息。
6)事件日志:详细记录管理员的行为,包括管理员用户名,访问的设备,登录时间,登录IP地址以及执行的命令等。
通过以上分析我们会发现,管理员和路由器之间被分成了两部分。其中一部分是从管理员到AAA服务器,另一部分是从AAA服务器到路由器。这两部分都是安全的,前者有***做保障,后者有SSH协议做保障。
5 结论
我们在这里给出了一种将***和AAA相结合的架构,实现了访问路由器的便捷性和安全性。管理员可以通过安全通道在任意地方访问路由器。只要管理员通过***认证,将不再需要进一步认证便可以访问所有授权路由器,执行所有授权命令,所有命令都经过过滤并录入AAA服务器日志,以方便主管或审计员随时审计。这种架构可以用在金融、航空及***府部门等大型网络领域。
参考文献:
[1]C.de Laat,G.Gross,L.Gommans,J.Vollbrecht and D.Spence,“Generic AAA Architecture”,RFC 2903,August,2000.
[2]J.Yonan,“Understanding the User-Space ***:History,Conceptual Foundations,and Practical Usage”,2004.
[3]D.Carrel,“The TACACS+Protocol”,October,1996.
[4]马旭涛、朱晓民等,下一代网络中AAA服务器关键技术研究,计算机工程与应用,2004.32:P11-13.