導言：作為寫作愛好者，不可錯過為您精心挑選的10篇計算機網(wǎng)絡(luò)分析論文，它們將為您的寫作提供全新的視角，我們衷心期待您的閱讀，并希望這些內(nèi)容能為您提供靈感和參考。

篇1

計算機網(wǎng)絡(luò)的信息安全體系結(jié)構(gòu)的主要作用就是為信息保障、數(shù)據(jù)傳遞奠定堅實的基礎(chǔ)。隨著計算機網(wǎng)絡(luò)所面臨的風險與壓力的不斷增大，為了能夠更好地確保信息安全，必須注重計算機網(wǎng)信息安全體系結(jié)構(gòu)完整性、實用性的提高。在科技的不斷發(fā)展與進步的基礎(chǔ)之上，提出了計算機網(wǎng)絡(luò)信息安全體系結(jié)構(gòu)——WPDRRC結(jié)構(gòu)，不同的字母代表不同的環(huán)節(jié)，主要包括warnin（g預(yù)警）、protect（保護）、detectio（n檢測）、respons（e響應(yīng)）、restor（e恢復）、counterattac（k反擊）六個方面，各個環(huán)節(jié)之間由于時間關(guān)系而具有動態(tài)反饋的關(guān)系。在計算機網(wǎng)絡(luò)的信息安全體系結(jié)構(gòu)中，預(yù)警模塊、保護模塊與檢測模塊都是以預(yù)防性為主的，通過保護與檢測行為對黑客入侵計算機進行較為有效的制止。當前，雖然計算機網(wǎng)絡(luò)信息安全技術(shù)已經(jīng)比較先進，但是由于計算機網(wǎng)絡(luò)所具有的開放性，其安全性依舊是面臨一定威脅的。因此，在計算機網(wǎng)絡(luò)的信息安全體系結(jié)構(gòu)中，響應(yīng)模塊、恢復模塊與反擊模塊主要的作用是解決實質(zhì)性的工作，對已經(jīng)出現(xiàn)的各種安全問題進行有效地解決，確保計算機網(wǎng)絡(luò)信息安全。

1.1warnin（g預(yù)警）整個計算機網(wǎng)絡(luò)的信息安全體系結(jié)構(gòu)中，預(yù)警模塊是最為根本的所在，主要的作用是對計算機網(wǎng)絡(luò)的信息安全進行診斷，該診斷具有預(yù)防性。同時，預(yù)警結(jié)構(gòu)通過研究計算機網(wǎng)絡(luò)的性能，提出具有科學性與合理性的評估報告。

1.2protect（保護）保護結(jié)構(gòu)主要的作用是對計算機的信息安全系統(tǒng)提供保護，確保計算機網(wǎng)絡(luò)在使用過程中的安全性，有效地封鎖、控制外界對計算機網(wǎng)絡(luò)的入侵及攻擊行為。保護結(jié)構(gòu)能夠?qū)τ嬎銠C網(wǎng)絡(luò)進行安全設(shè)置，實現(xiàn)對計算機網(wǎng)絡(luò)的檢查與保護，其檢查與保護工作的重點內(nèi)容就是網(wǎng)絡(luò)總存在的各種可能被攻擊的點或者是存在的漏洞，通過這些方式為信息數(shù)據(jù)在計算機網(wǎng)絡(luò)中的安全、通暢應(yīng)用提供條件。

1.3detectio（n檢測）計算機網(wǎng)絡(luò)的信息安全體系結(jié)構(gòu)中的檢查結(jié)構(gòu)主要的作用是對計算機受到的各種攻擊行為進行及時、準確的發(fā)覺。在整個信息安全體系結(jié)構(gòu)中，檢測結(jié)構(gòu)具有隱蔽性，主要的目的是防止黑客發(fā)現(xiàn)并惡意修改信息安全體系結(jié)構(gòu)中的檢測模塊，確保檢測模塊能夠持續(xù)為計算機網(wǎng)絡(luò)提供保護，同時還能夠促進檢測模塊自身保護能力的提高。檢測模塊一般情況下需要與保護模塊進行配合應(yīng)用，從而促進計算機網(wǎng)絡(luò)保護能力與檢測能力的提高。

1.4respons（e響應(yīng)）當計算機網(wǎng)絡(luò)信息安全體系結(jié)構(gòu)中出現(xiàn)入侵行為之后，需要及時通過凍結(jié)措施對計算機網(wǎng)絡(luò)進行凍結(jié)，從而防止黑客的入侵行為進一個侵入到計算機網(wǎng)絡(luò)中。同時，要通過相應(yīng)的響應(yīng)模塊對入侵進行響應(yīng)。例如，計算機網(wǎng)絡(luò)信息安全體系結(jié)構(gòu)中可以通過阻斷響應(yīng)系統(tǒng)技術(shù)實現(xiàn)對入侵及時、準確的響應(yīng)，杜絕黑客對計算機網(wǎng)絡(luò)更加深入的入侵行為。

1.5restor（e恢復）計算機網(wǎng)絡(luò)信息安全體系結(jié)構(gòu)中的恢復模塊主要的作用是在計算機網(wǎng)絡(luò)遭受到黑客的攻擊與入侵之后，對已經(jīng)損壞的信息數(shù)據(jù)等進行及時的恢復。在對其進行恢復的過程中，主要的原理為事先對計算機網(wǎng)絡(luò)中的信息文件與數(shù)據(jù)資源進行備份工作，當其受到攻擊與入侵之后通過自動恢復功能對其進行修復。

1.6counterattac（k反擊）計算機網(wǎng)絡(luò)信息安全體系結(jié)構(gòu)中的反擊模塊具有較高的性能，主要的作用為通過標記跟蹤功能對黑客的入侵與攻擊進行跟蹤與標記，之后對其進行反擊。反擊模塊首先針對黑客的入侵行為進行跟蹤與標記，在此基礎(chǔ)上利用偵查系統(tǒng)對黑客入侵的方式、途徑及黑客的地址等進行解析，保留黑客對計算機網(wǎng)絡(luò)進行入侵的證據(jù)。與此同時，反擊模塊會采用一定的反擊措施，對黑客的再次攻擊進行有效的防范。

2計算機網(wǎng)絡(luò)信息安全體系結(jié)構(gòu)的防護分析

當前，在對計算機網(wǎng)絡(luò)信息安全體系結(jié)構(gòu)進行防護的過程中，較為常用的就是WPDRRC結(jié)構(gòu)，其主要的流程包括攻擊前防護、攻擊中防護與攻擊后防護三個方面。

2.1信息安全體系結(jié)構(gòu)被攻擊前防護工作在整個的計算機網(wǎng)絡(luò)中，不同的文件有著不同的使用頻率，而那些使用頻率越高的文件就越容易受到黑客的攻擊。因此，信息安全體系結(jié)構(gòu)的被攻擊前防護工作的主要內(nèi)容就是對這些比較容易受到黑客攻擊的文件進行保護，主要的保護方式包括防火墻、網(wǎng)絡(luò)訪問控制等。通過WPDRRC結(jié)構(gòu)對其中存在的威脅因素進行明確，有針對性地進行解決措施的完善。

2.2信息安全體系結(jié)構(gòu)被攻擊中防護工作當計算機網(wǎng)絡(luò)受到攻擊之后，信息安全體系結(jié)構(gòu)的主要防護工作為阻止正在進行中的攻擊行為。WPDRRC結(jié)構(gòu)能夠通過對計算機網(wǎng)絡(luò)系統(tǒng)文件的綜合分析對正在進行中的攻擊行為進行風險，同時能夠?qū)τ嬎銠C網(wǎng)絡(luò)中各個細節(jié)存在的變動進行感知，最終對黑客的攻擊行為進行有效的制止。

2.3信息安全體系結(jié)構(gòu)被攻擊后防護工作當計算機網(wǎng)絡(luò)受到攻擊之后，信息安全體系結(jié)構(gòu)主要的防護工作內(nèi)容為對計算機網(wǎng)絡(luò)中出現(xiàn)的破壞進行修復，為計算機網(wǎng)絡(luò)的政策運行提供基礎(chǔ)。同時，恢復到對計算機網(wǎng)絡(luò)信息安全的保護中。

3計算機網(wǎng)絡(luò)信息安全體系結(jié)構(gòu)中加入人為因素

IT領(lǐng)域中都是以技術(shù)人員為主體來對產(chǎn)業(yè)雛形進行構(gòu)建的，因此在IT領(lǐng)域中往往存在著及其重視技術(shù)的現(xiàn)象，主要的表現(xiàn)為以功能單純而追求縱向性能的產(chǎn)品為代表，產(chǎn)品的覆蓋范圍限制在技術(shù)體系部分，缺乏對組織體系、管理體系等其他重要組成部分的重視。因此，只有在計算機網(wǎng)絡(luò)信息安全體系結(jié)構(gòu)中加入人為因素才具有現(xiàn)實意義。在計算機網(wǎng)絡(luò)信息安全體系結(jié)構(gòu)的構(gòu)建過程中，應(yīng)該注重以組織體系為本，以技術(shù)體系為支撐，以管理系統(tǒng)為保證，實現(xiàn)三者之間的均衡，從而真正發(fā)揮計算機網(wǎng)絡(luò)信息安全體系結(jié)構(gòu)的重要作用。

篇2

典型的辦公室環(huán)境包含很多服務(wù)，主要有DNS、電子郵件、認證服務(wù)、聯(lián)網(wǎng)以及打印等等。這些服務(wù)非常重要，一旦沒有了這些服務(wù)會對你產(chǎn)生很大的影響。其它典型的服務(wù)還包括各種遠程接入方法、網(wǎng)絡(luò)證書服務(wù)、軟件倉庫、備份服務(wù)、連接因特網(wǎng)、DHCP、文件服務(wù)等等。如此多的服務(wù)確實令人厭倦，但這也證明了系統(tǒng)管理員團隊所創(chuàng)造并維護的服務(wù)是如此之多。你給用戶的每一個技術(shù)支持都包含了系統(tǒng)管理員團隊提供的服務(wù)在里面。

提供一個服務(wù)絕不僅僅是簡單的把硬件和軟件累加在一起，它包括了服務(wù)的可靠性、服務(wù)的標準化、以及對服務(wù)的監(jiān)控、維護、技術(shù)支持等。只有在這幾個方面都符合要求的服務(wù)才是真正的服務(wù)。

系統(tǒng)管理員的主要職責之一就是為用戶提供他們所需要的服務(wù)，這是一項持續(xù)性的工作。隨著技術(shù)的進步和用戶工作的開展，用戶的要求也會越來越高，結(jié)果系統(tǒng)管理員就必須花費大量的時間來設(shè)計并創(chuàng)建新的服務(wù)，創(chuàng)建的新服務(wù)的質(zhì)量決定了以后系統(tǒng)管理員們對它們提供技術(shù)支持時所花費時間和精力的多少，同時也決定了用戶的滿意程度。

一、服務(wù)的基本問題

創(chuàng)建一個穩(wěn)定、可靠的服務(wù)是一個系統(tǒng)管理員的重要工作。在進行這項工作時系統(tǒng)管理員必須考慮許多基本要素，其中最重要的就是在設(shè)計和開發(fā)的各個階段都要考慮到用戶的需求。要和用戶進行交流，去發(fā)現(xiàn)用戶對服務(wù)的要求和預(yù)期，然后把其它的要求如管理要求等列一個清單，這樣的清單只能讓系統(tǒng)管理員團隊的人看到。在這樣一個過程中"是什么"比"怎么樣"更重要，否則在具體執(zhí)行時很容易就會陷入泥潭而失去目標。

服務(wù)應(yīng)該建立在服務(wù)器級的機器上而且機器應(yīng)該放在合適的環(huán)境中，作為服務(wù)器的機器應(yīng)當具備適當?shù)目煽啃院托阅?。服?wù)和服務(wù)所依賴的機器應(yīng)該受到監(jiān)控，一旦發(fā)生故障就發(fā)出警報或產(chǎn)生故障記錄清單。

大多數(shù)服務(wù)都依賴其它服務(wù)，通過進一步理解服務(wù)是如何進行的，會使你洞悉這個服務(wù)所依賴的其它的服務(wù)。例如，幾乎所有的服務(wù)都依靠域名服務(wù)（DNS）。要給一個服務(wù)配置機器名或域名，要靠DNS；要想在日志文件中包含所使用服務(wù)或服務(wù)訪問過的主機名，要用到DNS；如果你進入一臺主機通過它的服務(wù)聯(lián)系別的機器，也要用到DNS。同樣，幾乎所有的服務(wù)都依靠網(wǎng)絡(luò)，其實網(wǎng)絡(luò)也是一種服

DNS是依靠網(wǎng)絡(luò)的，所以所有依賴DNS的服務(wù)也依靠網(wǎng)絡(luò)。有一些服務(wù)是依靠email的（而email是依賴DNS和網(wǎng)絡(luò)的），還有別的服務(wù)依靠訪問其它計算機上的共享文件，也有許多服務(wù)也依靠身份認證和授權(quán)服務(wù)來對人們進行區(qū)分，特別是在那些基于認證機制而又具有不同級別服務(wù)權(quán)限的環(huán)境中。某些服務(wù)如DNS的故障，會引起所有依賴DNS的其它服務(wù)的一連串的失敗。所以在構(gòu)建一個服務(wù)時，了解它所依賴的其它服務(wù)是非常重要的。

作為服務(wù)一部分的機器和軟件應(yīng)當依賴那些建立在相同或更高標準上的主機和軟件，一個服務(wù)的可靠性和它所依賴的服務(wù)鏈中最薄弱環(huán)節(jié)的可靠性是相當?shù)?。一個服務(wù)不應(yīng)該無故的去依賴那些不是服務(wù)一部分的主機。

為了可靠性和安全性，對服務(wù)器的訪問權(quán)限應(yīng)當進行限制，只有系統(tǒng)管理員才能具有訪問權(quán)限。使用機器的人和機器上運行的程序越多，發(fā)生內(nèi)存溢出或突然出現(xiàn)其它故障、服務(wù)中斷的機會就越大。用戶使用計算機時總喜歡多裝點東西，這樣他們就能方便的存取自己需要的數(shù)據(jù)和使用其它的服務(wù)。但是服務(wù)器應(yīng)該是盡可能的簡單，簡單化可以讓機器更加可靠，發(fā)生問題時更容易調(diào)試。服務(wù)器在滿足服務(wù)運轉(zhuǎn)正常的前提下應(yīng)當安裝最少的東西，只有系統(tǒng)管理員們具有安裝權(quán)限，而且系統(tǒng)管理員們登錄服務(wù)器時應(yīng)該也只是為了維護。從安全的角度來看，服務(wù)器比普通的臺式機更敏感。入侵者一旦獲得了服務(wù)器的管理員權(quán)限，他所能做的破壞比獲得臺式機管理員權(quán)限所能做的破壞大的多！越少的人具有管理員權(quán)限，服務(wù)器運行的東西就越少，入侵者獲得權(quán)限的機會就越小，入侵者被發(fā)現(xiàn)的機會就越大。

系統(tǒng)管理員在構(gòu)建一個服務(wù)時必須要作幾個決策，比如從哪個廠家買設(shè)備、對于一個復雜的服務(wù)用一臺還是多臺服務(wù)器、構(gòu)建服務(wù)時要留多大的冗余度。一個服務(wù)應(yīng)該盡可能的簡單，盡可能小的依賴性，這樣才能提高可靠性和易維護性。

另一個使服務(wù)易于維護的方法是使用標準硬件、標準軟件、標準配置以及把文件放在標準位置，對服務(wù)進行集中管理。例如，在一個公司中，用一個或兩個大的主要的打印服務(wù)器比零星分布的幾百個小服務(wù)器使服務(wù)更容易得到支持。最后，也是非常重要的是在執(zhí)行一些新服務(wù)時，服務(wù)所在的機器在用戶端配置時最好使用基于服務(wù)的名字，而不是用真實的主機名，這樣服務(wù)才會不依賴于機器。如果你的操作系統(tǒng)不支持這個功能，那就去告訴你的操作系統(tǒng)銷售商這對你很重要，同時要考慮是否使用別的具有這個功能的操作系統(tǒng)。

一旦服務(wù)建好并完成了測試，就要逐漸轉(zhuǎn)到用戶的角度來進行進一步的測試和調(diào)試。

1.用戶的要求

建立一個新服務(wù)應(yīng)該從用戶的要求開始，用戶才是你建立服務(wù)的根本原因。如果建立的服務(wù)不合乎用戶的需要，那簡直就是在浪費精力。

很少有服務(wù)不是為了滿足用戶的需求而建立的，DNS就是其中之一。其它的如郵件服務(wù)和網(wǎng)絡(luò)服務(wù)都是明顯為了用戶的需求建立的。用戶需要他們的郵件用戶端具備某些功能，而且不同的用戶想要在網(wǎng)絡(luò)上作不同是事情，這些都依靠提供服務(wù)的系統(tǒng)設(shè)置情況。其它的服務(wù)如電子購物系統(tǒng)則更是以用戶為導向的了。系統(tǒng)管理員們需要理解服務(wù)怎樣影響用戶，以及用戶的需求又如何反過來對服務(wù)的設(shè)計產(chǎn)生影響。

搜集用戶的需求應(yīng)該包括下面這些內(nèi)容：他們想怎樣使用這些新服務(wù)、需要哪些功能、喜歡哪些功能、這些服務(wù)對他們有多重要，以及對于這些服務(wù)他們需要什么級別的可用性和技術(shù)支持。如果可能的話，讓用戶試用一下服務(wù)的試用版本。不要讓用戶使用那些很麻煩或是不成功的系統(tǒng)和項目。盡量計算出使用這個服務(wù)的用戶群有多大以及他們需要和希望獲得什么樣的性能，這樣才能正確的計算。

2.操作上的要求

對于系統(tǒng)管理員來說，新服務(wù)的有些要求不是用戶直接可見的。比如系統(tǒng)管理員要考慮到新服務(wù)的管理界面、是否可以與已有的服務(wù)協(xié)同操作，以及新服務(wù)是否能與核心服務(wù)如認證服務(wù)和目錄服務(wù)等集成到一起。

系統(tǒng)管理員們還要考慮怎樣規(guī)劃一個服務(wù)，因為隨著公司規(guī)模的增長，所需要的服務(wù)當然也會比當初預(yù)期的有所增長，所以系統(tǒng)管理員們還得想辦法在增長服務(wù)規(guī)模的同時不中斷現(xiàn)存的服務(wù)。

一個相對成熟的方法是升級服務(wù)的路徑。一旦有了新版本，如何進行升級呢？是否得中斷現(xiàn)在的服務(wù)呢？是否要觸及桌面呢？能不能慢慢地逐漸升級，在整個公司發(fā)生沖突之前先在一些人中進行測試呢？所以要盡量把服務(wù)設(shè)計得容易升級，不用中斷現(xiàn)有的服務(wù)就能升級，不要觸及桌面而且能慢慢地逐漸升級。

從用戶期望的可靠性水平以及系統(tǒng)管理員們對系統(tǒng)將來要求的可靠性的預(yù)期，系統(tǒng)管理員們就能建立一個用戶期望的功能列表，其內(nèi)容包括群集、從屬設(shè)備、備份服務(wù)器或具有高可用性的硬件和操作系統(tǒng)。

系統(tǒng)管理員們需要考慮到由服務(wù)主機位置和用戶位置而引起的網(wǎng)絡(luò)性能問題。如果遠程用戶通過低帶寬、高等待時間連接，那這樣的服務(wù)該怎么完成呢？有沒有一種方法可以讓各個地方的用戶都獲得好的或比較好的服務(wù)呢？銷售商很少測試用他們的產(chǎn)品連接時是否高等待時間的――即RTT值是否比較大――每個人從程序員到銷售員都忽略了這個問題。人們只是確信內(nèi)部測試的結(jié)果。

3.開放的體系結(jié)構(gòu)

一個新服務(wù)，不管在什么情況下，只要可能，就應(yīng)該建立在使用開發(fā)式協(xié)議和文件格式的體系結(jié)構(gòu)上。特別是那些在公共論壇上記錄成文的協(xié)議和文件格式，這樣銷售商才能依據(jù)這些標準生產(chǎn)出通用的產(chǎn)品。具有開放體系結(jié)構(gòu)的服務(wù)更容易和其它遵循相同標準的服務(wù)集成到一起。

開放的反義詞是私有，使用私有協(xié)議和文件格式的服務(wù)很難和其它產(chǎn)品共同使用，因為私有協(xié)議和文件格式的改變可以不通知，也不要求得到協(xié)議創(chuàng)造者的許可。當銷售商擴展到一個新領(lǐng)域，或者試圖保護自己的市場而阻止創(chuàng)造一個公平競爭的環(huán)境時，他們會使用私有協(xié)議。

有時銷售商使用私有協(xié)議就是為了和別的銷售商達成明確的許可協(xié)議，但是會在一個銷售商使用的新版本和另一個銷售商使用的兼容版本之間存在明顯的延遲，兩個銷售商所用的版本之間也會有中斷，而且沒有提供兩個產(chǎn)品之間的接口。這種情況對于那些依靠它們的接口同時使用兩種產(chǎn)品的人來說，簡直是一場惡夢。

商業(yè)上使用開放協(xié)議的例子很簡單：它使你能夠建立更好的服務(wù)，因為你可以選擇最好的服務(wù)器和用戶端軟件，而不必被迫地選擇，比如在選擇了最好的用戶端后，又被迫選擇不是最理想的服務(wù)器。用戶想要那些具有他們需要的功能，而又易于使用的應(yīng)用程序，而系統(tǒng)管理員們卻希望服務(wù)器上的應(yīng)用程序易于管理，這兩個要求常常是沖突的。一般來說，或者用戶或者系統(tǒng)管理員們有更大權(quán)利私下做一個另對方驚奇的決定。如果系統(tǒng)管理員們做了這個決定，用戶會認為他們簡直是法西斯，如果用戶做了這個決定，這會成為一個難以管理的包袱，最終使得用戶自己不能得到很好的服務(wù)。一個好的解決方法就是選擇基于開放標準的協(xié)議，讓雙方都能選擇自己的軟件。這就把用戶端應(yīng)用程序的選擇同服務(wù)器平臺的選擇過程分離了，用戶自由的選擇最符合自己需要、偏好甚至是平臺的軟件，系統(tǒng)管理員們也可以獨立地選擇基于他們的可靠性、規(guī)?？稍O(shè)定性和可管理性需要的服務(wù)器解決方案。系統(tǒng)管理員們可以在一些相互競爭的服務(wù)器產(chǎn)品中進行選擇，而不必被囿于那些適合某些用戶端應(yīng)用程序的服務(wù)器軟件和平臺。在許多情況下，如果軟件銷售商支持多硬件平臺，系統(tǒng)管理員們甚至可以獨立地選擇服務(wù)器硬件和軟件。

我們把這叫做用戶選擇和服務(wù)器選擇分離的能力。開放協(xié)議提供了一個公平競爭的場所，并激起銷售商之間的競爭，這最終會使我們受益。

開放協(xié)議和文件格式是相當穩(wěn)定的，不會經(jīng)常改動（即使改動也是向上兼容的），而且還有廣泛的支持，能給你最大的產(chǎn)品自主選擇性和最大的機會獲得可靠的、兼容性好的產(chǎn)品。

使用開放系統(tǒng)的另一個好處是和其它系統(tǒng)連接時不再需要額外的網(wǎng)關(guān)。網(wǎng)關(guān)是不同系統(tǒng)能連接在一起的黏合劑。雖然網(wǎng)關(guān)能節(jié)省你的時間，但使用開放協(xié)議的系統(tǒng)徹底避免了使用網(wǎng)關(guān)。網(wǎng)關(guān)作為一項額外的服務(wù)也需要計劃、設(shè)計、監(jiān)測以及本章所講的其它關(guān)于服務(wù)的每一樣東西，減少服務(wù)可是一件好事。

當下次有銷售人員向你推銷一些忽略IETF（因特網(wǎng)工程任務(wù)組）標準和其它工業(yè)標準的產(chǎn)品，如日歷管理系統(tǒng)、目錄服務(wù)等的時候，想想這些教訓吧！雖然銷售商會承諾再賣給或者免費送給你性能優(yōu)越的網(wǎng)關(guān)產(chǎn)品。使用標準協(xié)議就是使用IETF的標準，而不是銷售商的私有標準，銷售商的私有協(xié)議以后會給你帶來大麻煩的。

4."簡單"的價值

在建立一個新服務(wù)時，簡單是首先要考慮的因素。在能滿足所有要求的解決方案中，最簡單的才是最可靠、最容易維護、最容易擴展以及最易于和其它系統(tǒng)集成到一起的。過度復雜將導致混亂、錯誤、使用困難以及明顯的運行速度下降，而且使安裝和維護的成本增加。

當系統(tǒng)規(guī)模增長的時候，還會變得更復雜，這是生活常識。所以，開始盡可能的簡單可以避免系統(tǒng)過早出現(xiàn)"太復雜"的情況。想一想，如果有兩個銷售人員都打算推銷他們的系統(tǒng)，其中一個系統(tǒng)有20個功能，另外一個有40個功能，我們就可以認為功能多的軟件可能會有更多的錯誤，它的銷售商就更難以有時間維護他的系統(tǒng)代碼。

有時，用戶或系統(tǒng)管理員們的一兩個要求就會使系統(tǒng)的復雜度增加很多。如果在設(shè)計階段遇到這樣的要求，就值得去尋找為什么會有這種要求，并估價其重要性，然后向用戶或系統(tǒng)管理員們解釋，這樣的要求能夠滿足，但要以降低可靠性、支持水平和可維護性為代價。根據(jù)這些，再讓他們重新決定是堅持這樣的要求，還是放棄。

三、其它需要考慮的問題

建立一個服務(wù)除了要求可靠、可監(jiān)測、易維護支持，以及要符合所有的我們基本要求和用戶的要求外，還要考慮到一些特別的事情。如果可能的話，應(yīng)該讓每個服務(wù)使用專門的機器，這么作可以讓服務(wù)更容易得到支持和維護，也能減少忘記一些服務(wù)器機器上的小的服務(wù)的機會。在一些大公司，使用專門的機器是一條基本原則，而在小公司，由于成本問題，一般達不到這個要求。

還有一個觀念就是在建立服務(wù)時要以讓服務(wù)完全冗余為目標。有些重要的服務(wù)不管在多大的公司都要求完全冗余。由于公司的規(guī)模還會增長，所有你要以讓所有的服務(wù)都完全冗余為目標。

1.使用專門的機器

理想的情況，服務(wù)應(yīng)該建立在專門的機器上。大網(wǎng)站應(yīng)該有能力根據(jù)服務(wù)的要求來調(diào)整到這個結(jié)構(gòu)，而小網(wǎng)站卻很難做到。每個服務(wù)都有專門的機器會使服務(wù)更可靠，當發(fā)生可靠性問題是也容易調(diào)試，發(fā)生故障的范圍更小，以及容易升級和進行容量計劃。

從小公司成長起來的大網(wǎng)站一般有一個集中管理的機器作為所有重要服務(wù)的核心，這臺機器提供名字服務(wù)、認證服務(wù)、打印服務(wù)、郵件服務(wù)等等。最后，由于負荷的增長，機器不得不分開，把服務(wù)擴展到別的服務(wù)器上去。常常是在這之前，系統(tǒng)管理員們已經(jīng)得到了資金，可以買更多的管理用的機器，但是覺得太麻煩，因為有這么多的服務(wù)依賴這機器，把它們都分開太難了。當把服務(wù)從一臺機器上分開時，IP地址的依賴最難處理了，有些服務(wù)如名字服務(wù)的IP地址都在用戶那里都已經(jīng)記得很牢固了，還有一些IP地址被安全系統(tǒng)如路由器、防火墻等使用。

把一個中心主機分解到許多不同的主機上是非常困難的，建立起來的時間越長，上面的服務(wù)越多，就越難分解。使用基于服務(wù)的名字會有所幫助，但是必須整個公司都使用標準化的、統(tǒng)一的、始終如一的名字。

2.充分的冗余

充分的冗余是指有一個或一系列復制好的服務(wù)器，能在發(fā)生故障的時候接管主要的故障設(shè)備。冗余系統(tǒng)應(yīng)該可以作為備份服務(wù)器連續(xù)的運行，當主服務(wù)器發(fā)生故障時能自動連上線，或者只要少量的人工干預(yù)，就能接管提供服務(wù)的故障系統(tǒng)。

你選擇的這類冗余是依賴于服務(wù)的。有些服務(wù)如網(wǎng)頁服務(wù)器和計算區(qū)域，可以讓自己很好的在克隆好的機器上運行。別的服務(wù)比如大數(shù)據(jù)庫就不行，它們要求連接更牢固的崩潰恢復系統(tǒng)。你正在使用的用來提供服務(wù)的軟件或許會告訴你，冗余是以一種有效的、被動的、從服務(wù)器的形式存在的，只有在主服務(wù)器發(fā)生故障并發(fā)出請求時，冗余系統(tǒng)才會響應(yīng)。不管什么情況，冗余機制必須要確保數(shù)據(jù)同步并保持數(shù)據(jù)的完整。

如果冗余服務(wù)器連續(xù)的和主服務(wù)器同步運行，那么冗余服務(wù)器就可以用來分擔正在正常運行的負荷并能提高性能。如果你使用這種方法，一定要注意不要讓負荷超出性能不能接受的臨界點，以防止某個服務(wù)器出現(xiàn)故障。在到達臨界點之前要為現(xiàn)存系統(tǒng)增加更多的并行服務(wù)器。

有些服務(wù)和網(wǎng)站每時每刻的功能都集成在一起，所以它們在網(wǎng)站建立的早期就做到充分冗余了。別的仍然被忽視，直到網(wǎng)站變得很大，出現(xiàn)了一些大的、明顯的故障。

名字服務(wù)和認證服務(wù)是典型的、首先要充分冗余的服務(wù)。這么做的部分原因是軟件就是設(shè)計得要有輔助服務(wù)器，部分原因是它確實很重要。其它重要的服務(wù)如郵件服務(wù)、打印服務(wù)和網(wǎng)絡(luò)服務(wù)，在以后才能被考慮到，因為要為它們作完全冗余會更復雜而且很昂貴。

在你做每一件事的時候，都要考慮到在哪兒作完全冗余才能讓用戶最受益，然后就從那兒開始吧。

篇3

1引言

隨著計算機應(yīng)用范圍的擴大和互聯(lián)網(wǎng)技術(shù)的迅速發(fā)展，計算機信息技術(shù)已經(jīng)滲透到人們生活的方方面面，網(wǎng)上購物、商業(yè)貿(mào)易、金融財務(wù)等經(jīng)濟行為都已經(jīng)實現(xiàn)網(wǎng)絡(luò)運行，“數(shù)字化經(jīng)濟”(DigitalEconomy)引領(lǐng)世界進入一個全新的發(fā)展階段。

然而，越來越開放的信息系統(tǒng)也帶來了眾多安全隱患，黑客和反黑客、破壞和反破壞的斗爭愈演愈烈。在網(wǎng)絡(luò)安全越來越受到人們重視和關(guān)注的今天，網(wǎng)絡(luò)安全技術(shù)作為一個獨特的領(lǐng)域越來越受到人們關(guān)注。

2網(wǎng)絡(luò)安全

2.1網(wǎng)絡(luò)安全定義

所謂網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護,不受偶然的因素或者惡意的攻擊而遭到破壞、更改、泄漏,確保系統(tǒng)能連續(xù)、可靠、正常地運行,網(wǎng)絡(luò)服務(wù)不中斷。常見的影響網(wǎng)絡(luò)安全的問題主要有病毒、黑客攻擊、系統(tǒng)漏洞、資料篡改等,這就需要我們建立一套完整的網(wǎng)絡(luò)安全體系來保障網(wǎng)絡(luò)安全可靠地運行。

2.2影響網(wǎng)絡(luò)安全的主要因素

（1）信息泄密。主要表現(xiàn)為網(wǎng)絡(luò)上的信息被竊聽,這種僅竊聽而不破壞網(wǎng)絡(luò)中傳輸信息的網(wǎng)絡(luò)侵犯者被稱為消極侵犯者。

（2）信息被篡改。這是純粹的信息破壞,這樣的網(wǎng)絡(luò)侵犯被稱為積極侵犯者。積極侵犯者截取網(wǎng)上的信息包,并對之進行更改使之失效,或者故意添加一些有利于自已的信息,起到信息誤導的作用,其破壞作用最大。

（3）傳輸非法信息流。只允許用戶同其他用戶進行特定類型的通信,但禁止其它類型的通信,如允許電子郵件傳輸而禁止文件傳送。

（4）網(wǎng)絡(luò)資源的錯誤使用。如不合理的資源訪問控制,一些資源有可能被偶然或故意地破壞。

（5）非法使用網(wǎng)絡(luò)資源。非法用戶登錄進入系統(tǒng)使用網(wǎng)絡(luò)資源,造成資源的消耗,損害了合法用戶的利益。

（6）環(huán)境影響。自然環(huán)境和社會環(huán)境對計算機網(wǎng)絡(luò)都會產(chǎn)生極大的不良影響。如惡劣的天氣、災(zāi)害、事故會對網(wǎng)絡(luò)造成損害和影響。

（7）軟件漏洞。軟件漏洞包括以下幾個方面:操作系統(tǒng)、數(shù)據(jù)庫及應(yīng)用軟件、TCP/IP協(xié)議、網(wǎng)絡(luò)軟件和服務(wù)、密碼設(shè)置等的安全漏洞。這些漏洞一旦遭受電腦病毒攻擊,就會帶來災(zāi)難性的后果。

（8）人為安全因素。除了技術(shù)層面上的原因外,人為的因素也構(gòu)成了目前較為突出的安全因素,無論系統(tǒng)的功能是多么強大或者配備了多少安全設(shè)施,如果管理人員不按規(guī)定正確地使用,甚至人為露系統(tǒng)的關(guān)鍵信息,則其造成的安全后果是難以量的。這主要表現(xiàn)在管理措施不完善,安全意識薄,管理人員的誤操作等。

3有效防范網(wǎng)絡(luò)安全的做法

網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護,不受偶然的因素或者惡意的攻擊而遭到破壞、更改、泄漏,確保系統(tǒng)能連續(xù)、可靠、正常地運行,網(wǎng)絡(luò)服務(wù)不中斷。其中最重要的是指網(wǎng)絡(luò)上的信息安全。

現(xiàn)在有很多人認為在網(wǎng)絡(luò)中只要使用了一層安全就夠了,事實并不是這樣,一層根本擋不住病毒和黑客的侵襲。接下來我將逐點介紹網(wǎng)絡(luò)安全的多點做法。

第一、物理安全。

除了要保證要有電腦鎖之外,更多的要注意防火,要將電線和網(wǎng)絡(luò)放在比較隱蔽的地方。我們還要準備UPS,以確保網(wǎng)絡(luò)能夠以持續(xù)的電壓運行,在電子學中,峰值電壓是一個非常重要的概念,峰值電壓高的時候可以燒壞電器,迫使網(wǎng)絡(luò)癱瘓,峰值電壓最小的時候,網(wǎng)絡(luò)根本不能運行。使用UPS可以排除這些意外。另外要做好防老鼠咬壞網(wǎng)線。

第二、系統(tǒng)安全(口令安全)。

要盡量使用大小寫字母和數(shù)字以及特殊符號混合的密碼,但是自己要記住。另外最好不要使用空口令或者是帶有空格的,這樣很容易被一些黑客識破。也可以在屏保、重要的應(yīng)用程序和文件上添加密碼,以確保雙重安全。

第三、打補丁。

要及時的對系統(tǒng)補丁進行更新,大多數(shù)病毒和黑客都是通過系統(tǒng)漏洞進來的,例如今年五一風靡全球臭名昭著的振蕩波就是利用了微軟的漏洞ms04-011進來的。還有一直殺不掉的SQLSERVER上的病毒slammer也是通過SQL的漏洞進來的。所以要及時對系統(tǒng)和應(yīng)用程序打上最新的補丁,例如IE、OUTLOOK、SQL、OFFICE等應(yīng)用程序。另外要把那些不需要的服務(wù)關(guān)閉,例如TELNET,還有關(guān)閉Guset帳號等。

第四、安裝防病毒軟件。

病毒掃描就是對機器中的所有文件和郵件內(nèi)容以及帶有.exe的可執(zhí)行文件進行掃描,掃描的結(jié)果包括清除病毒,刪除被感染文件,或?qū)⒈桓腥疚募筒《痉旁谝桓綦x文件夾里面。要對全網(wǎng)的機器從網(wǎng)站服務(wù)器到郵件服務(wù)器到文件服務(wù)器到客戶機都要安裝殺毒軟件,并保持最新的病毒庫。因為病毒一旦進入電腦,它會瘋狂的自我復制,遍布全網(wǎng),造成的危害巨大,甚至可以使得系統(tǒng)崩潰,丟失所有的重要資料。所以至少每周一次對全網(wǎng)的電腦進行集中殺毒,并定期的清除隔離病毒的文件夾。第五、應(yīng)用程序。

病毒有超過一半都是通過電子郵件進來的,所以除了在郵件服務(wù)器上安裝防病毒軟件之外,還要對PC機上的outlook防護,用戶要提高警惕性,當收到那些無標題的郵件,或是不認識的人發(fā)過來的,或是全是英語例如什么happy99,money,然后又帶有一個附件的郵件,建議用戶最好直接刪除,不要去點擊附件,因為百分之九十以上是病毒。除了不去查看這些郵件之外,用戶還要利用一下outlook中帶有的黑名單功能和郵件過慮的功能。

很多黑客都是通過用戶訪問網(wǎng)頁的時候進來的。用戶可能碰到過這種情況,當打開一個網(wǎng)頁的時候,會不斷的跳出非常多窗口,關(guān)都關(guān)不掉,這就是黑客已經(jīng)進入了你的電腦,并試圖控制你的電腦。所以用戶要將IE的安全性調(diào)高一點,經(jīng)常刪除一些cookies和脫機文件,還有就是禁用那些ActiveX的控件。

第六、服務(wù)器。

服務(wù)器最先被利用的目的是可以加速訪問用戶經(jīng)?？吹木W(wǎng)站,因為服務(wù)器都有緩沖的功能,在這里可以保留一些網(wǎng)站與IP地址的對應(yīng)關(guān)系。

服務(wù)器的優(yōu)點是可以隱藏內(nèi)網(wǎng)的機器,

這樣可以防止黑客的直接攻擊,另外可以節(jié)省公網(wǎng)IP。缺點就是每次都要經(jīng)由服務(wù)器,這樣訪問速度會變慢。另外當服務(wù)器被攻擊或者是損壞的時候,其余電腦將不能訪問網(wǎng)絡(luò)。

第七、防火墻

防火墻是指設(shè)置在不同網(wǎng)絡(luò)(如可信任的企業(yè)內(nèi)部網(wǎng)和不可信任的公共網(wǎng))或網(wǎng)絡(luò)安全域之間的一系列部件的組合。它可通過監(jiān)測、限制及更改跨越防火墻的數(shù)據(jù)流,盡可能地對外部屏蔽內(nèi)部網(wǎng)絡(luò)的信息、結(jié)構(gòu)和運行狀況,以此來實現(xiàn)網(wǎng)絡(luò)的安全保護。

在邏輯上,防火墻是一個分離器,一個限制器,也是一個分析器,它有效地監(jiān)控了內(nèi)部網(wǎng)和Internet之間的任何活動,保證了內(nèi)部網(wǎng)絡(luò)的安全。

防火墻基本上是一個獨立的進程或一組緊密結(jié)合的進程,控制經(jīng)過防火墻的網(wǎng)絡(luò)應(yīng)用程序的通信流量。一般來說,防火墻置于公共網(wǎng)絡(luò)(如Internet)入口處。它的作用是確保一個單位內(nèi)的網(wǎng)絡(luò)與Internet之間所有的通信均符合該單位的安全策略。防火墻能有效地防止外來的入侵,它在網(wǎng)絡(luò)系統(tǒng)中的作用是:

（1）控制進出網(wǎng)絡(luò)的信息流向和信息包;

（2）提供使用和流量的日志和審計;

（3）隱藏內(nèi)部IP地址及網(wǎng)絡(luò)結(jié)構(gòu)的細節(jié);

（4）提供虛擬專用網(wǎng)(VPN)功能。

防火墻技術(shù)的發(fā)展方向:目前防火墻在安全性、效率和功能方面還存在一定矛盾。防火墻的技術(shù)結(jié)構(gòu),一般來說安全性高的效率較低,或者效率高的安全性較差。未來的防火墻應(yīng)該既有高安全性又有高效率。重新設(shè)計技術(shù)結(jié)構(gòu)架構(gòu),比如在包過濾中引用鑒別授權(quán)機制、復變包過濾、虛擬專用防火墻、多級防火墻等將是未來可能的發(fā)展方向。

第八、DMZ。

DMZ是英文“demilitarizedzone”的縮寫,中文名稱為“隔離區(qū)”,也稱“非軍事化區(qū)”。它是為了解決安裝防火墻后外部網(wǎng)絡(luò)不能訪問內(nèi)部網(wǎng)絡(luò)服務(wù)器的問題,而設(shè)立的一個非安全系統(tǒng)與安全系統(tǒng)之間的緩沖區(qū),這個緩沖區(qū)位于企業(yè)內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的小網(wǎng)絡(luò)區(qū)域內(nèi),在這個小網(wǎng)絡(luò)區(qū)域內(nèi)可以放置一些必須公開的服務(wù)器設(shè)施,如企業(yè)Web服務(wù)器、FTP服務(wù)器和論壇等。另一方面,通過這樣一個DMZ區(qū)域,更加有效地保護了內(nèi)部網(wǎng)絡(luò),因為這種網(wǎng)絡(luò)部署,比起一般的防火墻方案,對攻擊者來說又多了一道關(guān)卡。

第九、IDS。

在使用了防火墻和防病毒軟件之后,再使用IDS來預(yù)防黑客攻擊。IDS,就是分析攻擊事件以及攻擊的目標與攻擊源,然后利用這些來抵御攻擊,將損壞降低到最低限度。目前IDS還沒有象防火墻那樣用的普遍,但是這個也將是未來幾年的趨勢,現(xiàn)在一些政府已經(jīng)開始使用。

篇4

2模糊層次分析法特征及其在計算機網(wǎng)絡(luò)安全評價中的實施步驟

2.1模糊層次分析法特征

模糊綜合評價法是把傳統(tǒng)層次分析與模糊數(shù)學各方面優(yōu)勢考慮其中的綜合型評價方法。層次分析法重視人的思想判斷在科學決策中的作用，把人的主觀判斷數(shù)字化，從而有助于人們對復雜的、難以精確定量的問題實施量化分析。首先我們采用模糊數(shù)構(gòu)造判斷矩陣替代單純的1-9標度法解決相對應(yīng)的量化問題，其次，采用模糊綜合評價法的模糊數(shù)對不同因素的重要性實施準確的定位于判斷。

2.2模糊層次分析法步驟

網(wǎng)絡(luò)安全是一門設(shè)計計算機技術(shù)、網(wǎng)絡(luò)技術(shù)、通信技術(shù)、信息安全技術(shù)等多種學科的綜合技術(shù)。計算機網(wǎng)絡(luò)是現(xiàn)代科技化的重要信息平臺，網(wǎng)絡(luò)安全評價是在保障網(wǎng)絡(luò)系統(tǒng)安全性能的基礎(chǔ)上，實施的相關(guān)網(wǎng)絡(luò)技術(shù)、網(wǎng)絡(luò)安全管理工作，并把操作環(huán)境、人員心理等各個方面考慮其中，滿足安全上網(wǎng)的環(huán)境氛圍。隨著計算機技術(shù)、網(wǎng)絡(luò)技術(shù)的快速發(fā)展，網(wǎng)絡(luò)應(yīng)用已經(jīng)牽涉多個領(lǐng)域，人們對網(wǎng)絡(luò)的依賴度也日益加深，網(wǎng)絡(luò)安全成為重要的問題。采用模擬層次分析法對計算機網(wǎng)絡(luò)安全進行評價，模擬層次分析法實際使用步驟如下：2.2.1創(chuàng)建層次結(jié)構(gòu)模型模糊層次分析法首先要從問題的性質(zhì)及達到的總目標進行分析，把問題劃分為多個組成因素，并根據(jù)各個因素之間的相互關(guān)系把不同層次聚集組合，創(chuàng)建多層次結(jié)構(gòu)模型。2.2.2構(gòu)建模糊判斷矩陣因計算機網(wǎng)絡(luò)安全評價組各個專家根據(jù)1-9標度說明，采用兩兩比較法，逐層對各個因素進行分析，并對上個層次某因素的重要性展開判斷，隨之把判斷時間采用三角模糊數(shù)表示出現(xiàn)，從而創(chuàng)建模糊判斷矩陣。2.2.3層次單排序去模糊化是為把模糊判斷矩陣轉(zhuǎn)換為非模糊化判斷矩陣，隨之在非模糊狀態(tài)下使用模糊層次分析法。去模糊化之后對矩陣對應(yīng)的最大根λmax的特征向量進行判斷，對同一層次相對應(yīng)的因素對上層某因素的重要性進行排序權(quán)值。2.2.4一致性檢驗為確保評價思維判斷的一致性，必須對（Aa）λ實施一致性檢驗。一致性指標CI及比率CR采用以下公式算出：CI=（λmax-n）（/n-1）；CR=CI/RI，在上述公式中，n表示判斷矩陣階數(shù)，RI表示一致性指標。2.2.5層次總排序進行層次總排序是對最底層各個方案的目標層進行權(quán)重。經(jīng)過權(quán)重計算，使用自上而下的辦法，把層次單排序的結(jié)果逐層進行合成。

3模糊層次分析法在計算機網(wǎng)絡(luò)安全評價中的具體應(yīng)用

使用模糊層分析法對計算機網(wǎng)絡(luò)安全展開評價，我們必須以全面科學、可比性等原則創(chuàng)建有價值的安全評價體系。實際進行抽象量化時，使用三分法把計算機網(wǎng)絡(luò)安全評價內(nèi)的模糊數(shù)定義成aij=（Dij，Eij，F(xiàn)ij），其中Dij<Eij<Fij，Dij，Eij，F(xiàn)ij[1/9，1]，[1，9]這些符號分別代表aij的下界、中界、上界。把計算機網(wǎng)絡(luò)安全中多個因素考慮其中，把它劃分為目標層、準則層和決策層三個等級目，其中準則層可以劃分為兩個級別，一級模塊采用物理安全（C1）、邏輯安全（C2）、安全管理（C3）等因素組成，二級模塊則劃分為一級因子細化后的子因子。依照傳統(tǒng)的AHP1-9標度法，根據(jù)各個因素之間的相互對比標度因素的重要度，標度法中把因素分別設(shè)為A、B，標度1代表A與B相同的重要性，標度3代表A比B稍微重要一點，標度5代表A比B明顯重要，標度7則表示A比B強烈重要，標度9代表A比B極端重要。如果是倒數(shù)，應(yīng)該依照矩陣進行判斷。以此為基礎(chǔ)創(chuàng)建不同層次的模糊判斷矩陣，根據(jù)目標層、準基層、決策層的模糊對矩陣進行判斷，例如：當C1=（1，1,1）時，C11=C12=C13=（1，1，1）。采用這種二分法或許各個層次相對應(yīng)的模糊矩陣，同時把次矩陣特征化方法進行模糊。獲取如下結(jié)果：準則層相對于目標層權(quán)重（wi），物理、邏輯、安全管理數(shù)據(jù)為：0.22、0.47、0.31。隨之對應(yīng)用層次單排序方根法實施權(quán)重單排序，同時列出相對于的最大特征根λmax。為確保判斷矩陣的準確性和一致性，必須對模糊化之后的矩陣實施一致性檢驗，計算出一致性指標CI、CR數(shù)值，其中CI=（λmax-n）（/n-1），CR=CI/RI，當CR<0.1的時候，判斷矩陣一致性是否兩否，不然實施修正。最后使用乘積法對最底層的排序權(quán)重進行計算，確?；蛟S方案層相對于目標層的總排序權(quán)重。

篇5

關(guān)鍵詞:

新形勢;計算機網(wǎng)絡(luò)安全;漏洞掃描技術(shù)

我國科學技術(shù)不斷進步,計算機技術(shù)發(fā)展尤為迅速,并且在我國社會生活中起著極為重要的作用,給我們的現(xiàn)實生活帶來了很多的變化,使得我們與社會的聯(lián)系越來越密切。然而,在運用電子計算機網(wǎng)絡(luò)技術(shù)的過程中,由于計算機網(wǎng)絡(luò)的開放性,給計算機用戶帶來很大的安全問題,用戶的個人信息可能會泄漏,甚至會給人們的財產(chǎn)安全造成一定的威脅,所以,一定要對計算機網(wǎng)絡(luò)安全問題有所重視,而且要采取相關(guān)措施來提高網(wǎng)絡(luò)運用的安全性。我國相關(guān)部門一定要對計算機網(wǎng)絡(luò)安全采取一定的行動,讓網(wǎng)民可以安心上網(wǎng)。本文就是分析了在我國互聯(lián)網(wǎng)技術(shù)不斷發(fā)展的前提下,如何保障人民計算機網(wǎng)絡(luò)運用的安全,提出了相關(guān)的建議和意見,希望可以減少網(wǎng)絡(luò)帶來的風險,更好的促進人們幸福生活。并對漏洞掃描技術(shù)進行了一定的分析,充分發(fā)揮其對網(wǎng)絡(luò)病毒的抵制作用而且還能夠修復相關(guān)的漏洞,從而保障網(wǎng)絡(luò)安全。

1 新形勢下計算機網(wǎng)絡(luò)安全發(fā)展現(xiàn)狀

這幾年,我國計算機網(wǎng)絡(luò)技術(shù)不斷發(fā)展,計算機的信息處理能力是越來越強,更好地促進人們生活、學習、工作。我國人們在日常生活中也喜歡通過計算機網(wǎng)絡(luò)來完成相關(guān)的工作,搜集相關(guān)信息。計算機網(wǎng)絡(luò)有較強的開放性和便利性,人們可以在網(wǎng)上進行購物、聯(lián)系溝通、工作,足不出戶可通曉天下事,人們與世界的聯(lián)系越來越密切。計算機網(wǎng)絡(luò)技術(shù)在給人們帶來便利的同時,也給人們帶來了一定的風險和威脅。比如人們在網(wǎng)上購物或信息搜集時,會填寫一些個人信息,這些個人信息一旦沒有得到很好的保密,泄漏出去就會對人們的隱私安全和財產(chǎn)安全造成一定影響。甚至,有時會有新聞爆出相關(guān)人員因為個人信息泄漏,導致存款被盜。

因此,當前我國計算機網(wǎng)絡(luò)安全問題頻出,這需要我國相關(guān)部門引起重視,采取一定措施維護計算機網(wǎng)絡(luò)系統(tǒng)安全,使得人們可以安心、放心上網(wǎng)。除此之外,還有計算機網(wǎng)絡(luò)病毒給人們上網(wǎng)帶來極大地安全困擾,計算機網(wǎng)絡(luò)病毒的入侵會使得電腦程序混亂,造成系統(tǒng)內(nèi)部癱瘓,有時還會造成人們本身已經(jīng)準備好的相關(guān)數(shù)據(jù)的丟失,給人們工作、生活帶來麻煩。而且,現(xiàn)在還有一些惡意軟件會給計算機網(wǎng)絡(luò)帶來一定的危害,破壞電腦系統(tǒng)內(nèi)部正常運行,使得計算機內(nèi)部混亂,無法正常工作,造成計算機系統(tǒng)死機等?？傊?我國當前計算機網(wǎng)絡(luò)安全問題非常多,這些問題已經(jīng)嚴重影響了人們的正常生活,還給人們帶來了非常多的負面影響。

2 計算機網(wǎng)絡(luò)存在的主要安全問題

第一,計算機內(nèi)部的每一種安全機制都有一定的適用范圍,而且這種機制在運用的過程中還需要滿足一定的條件,所以計算機內(nèi)部機制的不完善給用戶帶來了很大的安全隱患。在計算機內(nèi)部程序當中,防火墻是其中一種比較有效的安全工具,可以給電腦用戶提供一些安全保障。防火墻在計算機網(wǎng)絡(luò)系統(tǒng)運作的過程中,它能夠隱蔽計算機內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu),使電腦網(wǎng)絡(luò)結(jié)構(gòu)不會輕易被識別。防火墻在內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的聯(lián)系過程中制造了一些障礙,使得外部網(wǎng)絡(luò)不能夠輕易地訪問內(nèi)部網(wǎng)絡(luò)。但是,防火墻這一工具的功能還是有限的,它不能夠阻止內(nèi)部網(wǎng)絡(luò)之間的聯(lián)系,這樣電腦系統(tǒng)內(nèi)部網(wǎng)絡(luò)之間就可以隨便往來。防火墻對于內(nèi)部網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)之間的入侵行為是很難發(fā)覺的,這樣也會給電腦系統(tǒng)造成破壞。還有就是系統(tǒng)的后門不是電腦內(nèi)部傳統(tǒng)的工具所能夠考慮到的地方,這也是防火墻所不能夠顧及的一個方面。系統(tǒng)后門容易被入侵,防火墻也很難發(fā)覺,并采取相關(guān)的措施。

第二,電腦內(nèi)部安全工具的使用存在一定的缺陷,在電腦用戶的使用過程中,電腦內(nèi)部的安全工具能不能實現(xiàn)功能最大化,能不能使得安全工具使用效果的最優(yōu)化,很大程度上受到了人為因素的制約。在這個使用的過程中受到了系統(tǒng)管理者和普通用戶的影響,在使用安全工具的過程中要是沒有使用正當設(shè)置,會產(chǎn)生不安全因素。

篇6

中圖分類號：TP393

隨著計算機網(wǎng)絡(luò)在辦公上發(fā)揮的作用越來越大，在我國事業(yè)單位的辦公在早已起到了不可替代的作用。各級事業(yè)單位為了能夠保證計算機網(wǎng)絡(luò)的安全穩(wěn)定的運行，都加強了對計算機網(wǎng)絡(luò)的維護，但是網(wǎng)絡(luò)安全問題依然影響著正常的辦公，如果不能做好安全防護措施，會給事業(yè)單位的政策和經(jīng)濟上造成嚴重損失，為此如何有效的防止網(wǎng)絡(luò)安全問題，做好計算機網(wǎng)絡(luò)維護成為了很多單位應(yīng)當重視的重要問題之一。

1 事業(yè)單位計算機網(wǎng)絡(luò)維護的重要性

計算機網(wǎng)絡(luò)已經(jīng)在事業(yè)單位的日常工作過程中起到了不可替代的作用，在工作中應(yīng)用網(wǎng)絡(luò)進行辦公數(shù)據(jù)、文件的整理以及傳輸，有利的推進了工作效率的提高。所以網(wǎng)絡(luò)運行需要日常的維護和管理，維護水平的高低直接影響到辦公效率。由于在事業(yè)單位中，分工比較明確，各級單位都有一定數(shù)量的計算機，為了實現(xiàn)資源共享，提高效率，大都組建自己局域網(wǎng)，同時還保留著外網(wǎng)的正常運行。保證好計算機網(wǎng)絡(luò)的正常運行才能有利于事業(yè)單位更好的工作，為群眾及時處理好各種問題，因此，事關(guān)重大。

2 事業(yè)單位計算機網(wǎng)絡(luò)維護的主要內(nèi)容

事業(yè)單位的計算機網(wǎng)絡(luò)維護主要是維護網(wǎng)絡(luò)的特性的正常運行和維護網(wǎng)絡(luò)設(shè)備的正常工作。

2.1 網(wǎng)絡(luò)的正常運行。計算機網(wǎng)絡(luò)系統(tǒng)之所以能夠廣泛的應(yīng)用在各領(lǐng)域，這與它的很多特性是分不開的。其主要的特性就是可靠性和保密性。

可靠性，能夠在規(guī)定的條件下完成特定的功能，而且在受到一些外部干擾的情況下仍然可以穩(wěn)定的工作，還能保證信息的完整性。

保密性，網(wǎng)絡(luò)信息只有授權(quán)用戶才可以有權(quán)限使用，這樣能有效的防止信息的泄漏。

事業(yè)單位的日常工作中很多的工作都需要在網(wǎng)絡(luò)條件下運行，所以在保證好網(wǎng)絡(luò)的可靠性和保密性的前提下一定要保證網(wǎng)絡(luò)的暢通。

2.2 網(wǎng)絡(luò)設(shè)備的維護。網(wǎng)絡(luò)設(shè)備是網(wǎng)絡(luò)運行的載體，所有的信息傳遞都是在設(shè)備的正常運行條件下才能成功。因此網(wǎng)絡(luò)設(shè)備的維護也是相當重要的。常見網(wǎng)絡(luò)的設(shè)備有網(wǎng)橋、網(wǎng)關(guān)以及交換機和路由器等設(shè)備，保證好這些設(shè)備的正運行是日常維護工作的重點工作。

3 維護過程中存在的問題

計算機網(wǎng)絡(luò)在維護過程中最大的問題就是網(wǎng)絡(luò)安全問題，從威脅上來講主要分為內(nèi)部因素和外部因素，外部因素包括病毒侵襲和黑客攻擊。內(nèi)部因素主要就是人為的因素，包括用戶的非法操作和網(wǎng)絡(luò)維護管理不到位等。

3.1 計算機病毒。計算機病毒是在正常的計算機系統(tǒng)程序中植入指令、程序代碼等，它能夠隱藏在系統(tǒng)中不易被察覺，損害網(wǎng)絡(luò)的某些功能和數(shù)據(jù)，對計算機網(wǎng)絡(luò)的安全危害極大，影響整個系統(tǒng)正常工作。這也是日常中常見的問題，另外在使用中有些員工隨便插拔不安全的U盤拷貝數(shù)據(jù)也會導致病毒的傳播。

3.2 網(wǎng)絡(luò)外的黑客攻擊。對計算機網(wǎng)絡(luò)來說，黑客攻擊的危害是最大的。因為黑客如果入侵了網(wǎng)絡(luò)可能會非法獲取數(shù)據(jù)信息，有的可能會更改信息，尤其對政府事業(yè)單位來說，作為國家的行政輔助機構(gòu)，涉及很多政府內(nèi)部信息，一旦泄露后果無法想象。所以后果最為嚴重，應(yīng)當嚴防。

3.3 用戶非惡意或惡意的非法操作。由于溝通的需要，網(wǎng)絡(luò)設(shè)計不可能不留任何接入點，這就給外界進入提供了可能。再加上有些用戶的操作不當可能會破壞數(shù)據(jù)，還有些是有意的去破壞。所以很多情況下威脅都是來自內(nèi)部用戶。所以應(yīng)當加強用戶的網(wǎng)絡(luò)安全意識。

3.4 計算機網(wǎng)絡(luò)安全管理不到位。有些企業(yè)對計算機網(wǎng)絡(luò)的管理較為松散，分工有交叉不明確，有些內(nèi)容容易引起遺漏。一些部門對網(wǎng)絡(luò)的使用權(quán)限的管理不夠嚴格，信息保密性不好，這些薄弱的信息安全防衛(wèi)意識對系統(tǒng)的安全性危害更大，很容易讓黑客和病毒進入系統(tǒng)。因此要嚴加防范。

4 主要的解決對策

對于事業(yè)單位的計算機網(wǎng)絡(luò)存在的問題有了更深的認識我們才能有的放矢的去預(yù)防或者處理這些問題，防患于未然才能做到真正的保證網(wǎng)絡(luò)的安全。要做好網(wǎng)絡(luò)維護需要從以下方面著手。

4.1 真正的熟悉網(wǎng)絡(luò)。網(wǎng)絡(luò)維護人員要想做好維護工作首先應(yīng)該對這項工作非常熟悉才行，只有這樣才能知道怎么去發(fā)現(xiàn)問題和解決問題，這是基礎(chǔ)。相關(guān)人員要做到對網(wǎng)絡(luò)知識、計算機的知識以及相關(guān)的操作熟記于心，在處理問題中不斷總結(jié)經(jīng)驗。所有的知識點都要求做到融會貫通，提高自己的業(yè)務(wù)水平，真正的保證好單位的網(wǎng)絡(luò)安全。

4.2 加強對安全的管理。作為網(wǎng)絡(luò)使用的主體，人是主要因素，因此做好管理成為保證網(wǎng)絡(luò)安全的核心問題。所以相關(guān)事業(yè)單位要做好網(wǎng)絡(luò)管理的制度和辦法，要做到切實可行。另外，加強對使用人員的培訓，最好建立應(yīng)急預(yù)案，以免出現(xiàn)問題后手忙腳亂影響工作的進一步展開。

4.3 計算機實體的預(yù)防對策。作為計算機網(wǎng)絡(luò)機構(gòu)的基礎(chǔ)，硬件以及基本的通信線路也很容易受到人為或者自然因素的破壞。網(wǎng)絡(luò)維護者應(yīng)當從可能出現(xiàn)問題點去分析，做好電磁屏蔽措施，單位還要做好防雷擊、防止水火的外界不安全因素的干擾，選擇合適的場地，保證計算機網(wǎng)絡(luò)設(shè)備的正常運行。

4.4 做好網(wǎng)絡(luò)病毒預(yù)防措施。病毒和黑客是影響網(wǎng)絡(luò)安全的主要威脅，尤其是隨著技術(shù)的發(fā)展，病毒的傳播路徑也變的多樣化，給防護工作帶來很大的困難。因此，預(yù)防是主要措施，每個人都應(yīng)該加強防毒殺毒的意識，不要隨便打開不安全的網(wǎng)站或者郵件，經(jīng)常性的進行殺毒處理，從自身做起才能有效的去切斷病毒和黑客的入侵。最好對數(shù)據(jù)進行備份，以防止計算機網(wǎng)絡(luò)系統(tǒng)的突發(fā)災(zāi)難。

4.5 網(wǎng)絡(luò)層面上的對策。網(wǎng)絡(luò)安全最大的威脅還是來自網(wǎng)絡(luò)，這最主要的就是控制IP的來源。防火墻的應(yīng)用很好的保證了網(wǎng)絡(luò)的安全。它把局域網(wǎng)和外網(wǎng)分隔開來。實時監(jiān)控外界和內(nèi)部信息之間的交流，有效避免了不安全因素的入侵。增加了網(wǎng)絡(luò)系統(tǒng)保密性。所以，相關(guān)事業(yè)單位要合理的去利用防火墻保證網(wǎng)絡(luò)的安全。

4.6 加強對數(shù)據(jù)的保密措施。數(shù)據(jù)加密能夠有效的防止信息的泄露和外界的破壞，保證信息的安全，因此在實際應(yīng)用中很受歡迎。常用的數(shù)字加密有鏈路、節(jié)點以及點對點的加密。數(shù)據(jù)加密能夠保護數(shù)據(jù)的安全，即使丟失外界也不會輕易的獲取到內(nèi)部信息，雖然是比較被動的手段，但是很實用。

另外，很多的有效措施可以更好的保護網(wǎng)絡(luò)的安全，比如對使用網(wǎng)絡(luò)的用戶有身份驗證，將數(shù)據(jù)和用戶分成不同等級，只有一定級別的人才能調(diào)用重要的數(shù)據(jù)，這樣就提高了網(wǎng)絡(luò)的安全系數(shù)。當然，計算機網(wǎng)絡(luò)技術(shù)的發(fā)展很快，還會有更新的技術(shù)入侵或者防止入侵。這就需要我們的網(wǎng)絡(luò)維護人員要及時的去學習新的知識和技術(shù)，只有這樣在發(fā)生問題的時候才能有有效的方法去彌補，盡量的減少帶來的損失，保證事業(yè)單位的正常工作。

5 總結(jié)

計算機網(wǎng)絡(luò)的維護十分重要，技術(shù)的發(fā)展也要求我們保持警惕，堅持預(yù)防為主，采用合理措施應(yīng)對，切實做好事業(yè)單位的網(wǎng)絡(luò)安全，保證它們的正常工作。

參考文獻：

[1]康會敏.淺談計算機網(wǎng)絡(luò)安全與維護[J].科技致富向?qū)В?011，8.

[2]王金光，周子琨.淺談局域網(wǎng)計算機及網(wǎng)絡(luò)維護[J].甘肅科技，2008，9.

[3]高希新.淺析計算機網(wǎng)絡(luò)安全與日常維護措施[J].中國科技信息，2009，18.

篇7

1 概述

 

目前，在我國很多高校開設(shè)了網(wǎng)絡(luò)信息安課程，該課程是信息安全專業(yè)的一門基礎(chǔ)課，也是網(wǎng)絡(luò)工程專業(yè)的一門必修課。網(wǎng)絡(luò)信息安全課程理論性強，實踐性強，并且教學內(nèi)容隨著信息技術(shù)的發(fā)展也在不斷地變化，這給教學工作帶來很大挑戰(zhàn)。由于專業(yè)性質(zhì)不同，為了使網(wǎng)絡(luò)信息安全課程的教學符合網(wǎng)絡(luò)工程專業(yè)的特點，并且跟上信息技術(shù)瞬息萬變的步伐，達到培養(yǎng)人才的目標，我們在多年教學實踐的基礎(chǔ)上，不斷地進行總結(jié)和探索。

 

2 網(wǎng)絡(luò)工程專業(yè)特點

 

網(wǎng)絡(luò)工程是將計算機技術(shù)和通信技術(shù)緊密結(jié)合而形成的新興的技術(shù)領(lǐng)域，尤其在當今互聯(lián)網(wǎng)技術(shù)以及互聯(lián)網(wǎng)經(jīng)濟迅速發(fā)展的環(huán)境下，網(wǎng)絡(luò)工程技術(shù)已經(jīng)成為計算機乃至信息技術(shù)界關(guān)注的重要領(lǐng)域之一，也是在現(xiàn)代信息社會中迅速發(fā)展并且應(yīng)用廣泛的一門綜合性學科。網(wǎng)絡(luò)工程專業(yè)自從上世紀90年代起，陸續(xù)在我國很多本科高校中都有開設(shè)。

 

網(wǎng)絡(luò)工程專業(yè)的培養(yǎng)目標是：掌握常用操作系統(tǒng)的使用、網(wǎng)絡(luò)設(shè)備的配置，深入了解網(wǎng)絡(luò)的安全問題，具有綜合性的網(wǎng)絡(luò)管理能力，可以勝任中小企業(yè)的網(wǎng)絡(luò)管理工作，并具備發(fā)展成為網(wǎng)絡(luò)工程設(shè)計專家的能力[1]。以商丘學院(以下簡稱“我?！?為例，該專業(yè)是我校重點建設(shè)的專業(yè)之一，計算機網(wǎng)絡(luò)課程現(xiàn)已成為校級精品課程，所屬計算機網(wǎng)絡(luò)實驗室被評為河南省級重點實驗室。在校學生一二年級主要學好程序設(shè)計、網(wǎng)絡(luò)原理、操作系統(tǒng)等專業(yè)基礎(chǔ)課，三四年級主要學習網(wǎng)絡(luò)設(shè)備管理、綜合布線、網(wǎng)絡(luò)組建、網(wǎng)絡(luò)信息安全等專業(yè)核心課程。在學生學習的時間安排上留有余地，引導學生擴大知識面，關(guān)注學科前沿，鼓勵學生利用好實驗室來培養(yǎng)自己的實踐能力和創(chuàng)新能力。因此，網(wǎng)絡(luò)信息安全成為我校高年級學生的一門必修課。結(jié)合網(wǎng)絡(luò)工程專業(yè)特色，網(wǎng)絡(luò)信息安全課程多年來在我校網(wǎng)絡(luò)工程專業(yè)一直開設(shè)并收到很好的效果。

 

3 網(wǎng)絡(luò)信息安全課程開設(shè)現(xiàn)狀

 

網(wǎng)絡(luò)信息安全是一門涉及計算機科學、網(wǎng)絡(luò)技術(shù)、通信技術(shù)、密碼技術(shù)、信息安全技術(shù)、應(yīng)用數(shù)學、數(shù)論、信息論等多種學科的綜合性學科。信息安全是國家重點發(fā)展的新興交叉學科，具有廣闊的發(fā)展前景。由于我國在信息安全技術(shù)方面的起點還較低，國內(nèi)只有少數(shù)高等院校開設(shè)“信息安全”專業(yè)，信息安全技術(shù)人才奇缺。網(wǎng)絡(luò)信息安全課程在信息安全專業(yè)是必不可少的核心課程。

 

目前，我校網(wǎng)絡(luò)工程專業(yè)網(wǎng)絡(luò)信息安全課程的開設(shè)還是以理論教學為主，實踐教學為輔的教學模式。在學時分配上我們采用“34學時理論+18學時上機”的模式。在考核方式上采用“20%平時表現(xiàn)+80%理論考試”來計算總成績。結(jié)合信息安全技術(shù)發(fā)展迅速的特點，在教材的選用上我們不斷更新教材，以求跟上時代和技術(shù)的潮流。我校先后選用吳煜煜[2]、周明全[3]、石志國[4]、袁津生[5]等人主編的教材，這樣教師也在不斷地學習最新知識和專業(yè)技能。由于該課程是一門交叉性綜合性學科，學好這門課程要求學生必須具備良好的程序設(shè)計能力，過硬的數(shù)學、操作系統(tǒng)和網(wǎng)絡(luò)知識。該課程的先修課程為：高級程序設(shè)計(C、C++、Java)、計算機網(wǎng)絡(luò)(TCP/IP)、操作系統(tǒng)(Unix和Windows)、數(shù)據(jù)庫系統(tǒng)。該課程教學內(nèi)容主要包括：網(wǎng)絡(luò)安全的基本概念、加密與解密、公鑰體系、TCP/IP協(xié)議安全、應(yīng)用層安全、攻擊與防御、網(wǎng)絡(luò)站點的安全、操作系統(tǒng)系統(tǒng)與數(shù)據(jù)庫的安全。

 

網(wǎng)絡(luò)信息安全這門課程是一門理論和實踐相結(jié)合，應(yīng)用性很強的交叉性綜合性課程。理論知識涉及面廣且抽象，實踐問題規(guī)模難度大。這樣的特點不僅要求教師具備過硬的專業(yè)技能和授課水平，而且要求學生具備扎實的理論功底和和較強的實踐能力。該課程在我校是網(wǎng)絡(luò)工程專業(yè)開設(shè)的一門必修課程，它既不能像信息安全專業(yè)開設(shè)的專業(yè)課那么詳盡和深入，也不能像普及網(wǎng)絡(luò)安全知識一樣成為公共選修課那樣淺嘗輒止。這就要求教師必須在有限的學時內(nèi)將網(wǎng)絡(luò)信息安全課程最基本的原理、最常用的技能傳授給學生，使學生能夠解決最常見的網(wǎng)絡(luò)安全問題，成為能夠?qū)W以致用，能夠解決實際問題的人才。因此，必須結(jié)合網(wǎng)絡(luò)工程專業(yè)特色和我校學生水平進行教學，才能使教和學的效果都達到最優(yōu)化，達到培養(yǎng)人才的目標。

 

目前，現(xiàn)有的教學模式仍然停留在重理論、輕實踐的層次上。學生在課堂上與老師的互動性不強，特別是學生的學習積極性不高，對信息安全課程學習的興趣不持久，實踐能力不強，而且現(xiàn)有的考核方式已不適應(yīng)課程的發(fā)展。通過近幾年的教學實踐，結(jié)合目前網(wǎng)絡(luò)工程專業(yè)開設(shè)的網(wǎng)絡(luò)信息安全課程在教學中存在的問題，從培養(yǎng)應(yīng)用型、創(chuàng)新型信息技術(shù)人才的角度來出發(fā)，我們嘗試對網(wǎng)絡(luò)信息安全課程進行改革和探索。

 

4 教學改革與探索

 

4.1 翻轉(zhuǎn)式教學模式

 

互聯(lián)網(wǎng)的普及和計算機技術(shù)在教育領(lǐng)域的應(yīng)用，使“翻轉(zhuǎn)課堂式”教學模式[6]變得可行和現(xiàn)實。學生可以通過互聯(lián)網(wǎng)去使用優(yōu)質(zhì)的教育資源，不再單純地依賴授課老師去教授知識。在課堂上，學生和老師的角色則發(fā)生了變化。老師更多的責任是去理解學生的問題和引導學生去運用知識。我們在課堂教學的組織中參考林地公園高中的經(jīng)驗：一、創(chuàng)建教學視頻。我們根據(jù)上課的內(nèi)容和教學目標，使用錄屏軟件將課件和講課聲音錄制下來，然后將課件或視頻通過網(wǎng)絡(luò)分發(fā)給學生。讓學生在上課前進行先行學習并收集好學生反饋的問題。二、組織課堂教學。教學內(nèi)容在課外傳遞給學生后，課堂內(nèi)更需要高質(zhì)量的學習活動，讓學生有機會在具體環(huán)境中應(yīng)用所學內(nèi)容。這樣學生先自我學習或通過討論來掌握知識點，結(jié)合學生反饋的問題，在課堂上再由教師主導開展關(guān)鍵問題的研討，安排相應(yīng)的課程實踐。該方法在國防科學技術(shù)大學徐明的論文[7]中提到，可以作為改革教學模式的一種方法來學習使用。

 

4.2 理論與實踐相結(jié)合的教學模式

 

理論授課均在多媒體教室進行，理論授課要與上機實踐相結(jié)合，網(wǎng)絡(luò)安全實驗均在我校計算機網(wǎng)絡(luò)實驗室完成，學生上機操作并提交實驗報告。計算機網(wǎng)絡(luò)實驗室是我校網(wǎng)絡(luò)工程專業(yè)的專業(yè)實驗室，實驗室采用圓桌模式分為8組，每組8位同學，能同時滿足64位學生做實驗。我們結(jié)合近幾年的教學經(jīng)驗，參考袁津生[5]等教材，安排了如下實驗：①VMware虛擬機與網(wǎng)絡(luò)分析器的使用;②RSA加密算法的分析與實現(xiàn);③加解密算法的分析與實現(xiàn)(DES、AES等);④Hash算法MD5;⑤剖析特洛伊木馬;⑥使用PGP實現(xiàn)電子郵件安全;⑦X-SCANNER掃描工具;⑧用SSL協(xié)議實現(xiàn)安全的FTP數(shù)據(jù)傳輸。除了正常安排的16個上機學時之外，增加實驗室開放時間，為對網(wǎng)絡(luò)安全有興趣的學生提供更多的實踐機會。通過在計算機網(wǎng)絡(luò)實驗室的學習和實踐，使學生加深對網(wǎng)絡(luò)信息安全原理和技術(shù)的認識，提高網(wǎng)絡(luò)技能和實踐能力，增加他們在將來的就業(yè)競爭中的優(yōu)勢。另外，工學結(jié)合，引進第二課堂，創(chuàng)建實訓基地，爭取在網(wǎng)絡(luò)安全相關(guān)的企業(yè)和公司建立實訓基地，加強合作，讓學生有實踐的機會，提高實踐能力和就業(yè)能力，這是我們以后也要逐步探索的教學方式之一。

 

4.3 教學方法的一些改進

 

興趣是最好的老師。多講一些實例，可以采用任務(wù)驅(qū)動的方式培養(yǎng)學生的興趣。比如上課前提出一個問題再開始講課。例如：假如你是一個公司新任的網(wǎng)絡(luò)管理員，需要對某臺路由器進行相應(yīng)的配置，但是你不知道該路由器的enable密碼，該怎么辦?這樣就能驅(qū)動學生主動思考完成任務(wù)的方法，主動學習。一定要結(jié)合學生實際，避免“填鴨式”教學方法，做好師生互動。另外授課要盡可能地生動、幽默。

 

課堂知識、搜索引擎、論壇和專業(yè)站點、期刊論文(CNKI)，這些都是學好網(wǎng)絡(luò)信息安全的重要資源。在教學過程中，一定要利用好搜索引擎、論壇、期刊論文等，關(guān)注前沿的信息安全領(lǐng)域發(fā)展動向。

 

增加先驅(qū)課程知識的講解。網(wǎng)絡(luò)信息安全涉及到的數(shù)學知識我們參考裴定一教材[8]。例如，數(shù)據(jù)加密與認證技術(shù)的內(nèi)容涉及到模運算、矩陣置換等數(shù)學知識，在講解相應(yīng)的數(shù)據(jù)加密知識時一定要將涉及到的先驅(qū)課程知識講解清楚。

 

以就業(yè)為導向，鼓勵學生積極參加網(wǎng)絡(luò)信息安全工程師認證考試。鼓勵對網(wǎng)絡(luò)安全有興趣的同學進行更加深入、更加專業(yè)的學習。

 

4.4 加大投入、完善網(wǎng)絡(luò)信息安全專業(yè)實驗設(shè)施

 

完善的網(wǎng)絡(luò)信息安全實驗平臺[9]應(yīng)該以網(wǎng)絡(luò)為基礎(chǔ)，將網(wǎng)絡(luò)原理、網(wǎng)絡(luò)程序設(shè)計、信息安全技術(shù)和網(wǎng)絡(luò)實踐類等課程集成在同一平臺上，采用群組動態(tài)交互式實驗方法，利用共享網(wǎng)絡(luò)墻形成公共實驗載體，實現(xiàn)網(wǎng)絡(luò)實驗從單設(shè)備組網(wǎng)到不斷疊加和擴展，使學生從規(guī)?；木W(wǎng)絡(luò)中理解路由協(xié)議和網(wǎng)絡(luò)效率。在這樣的實驗平臺下，利用共用服務(wù)器，各個群組組成網(wǎng)絡(luò)攻防、信息戰(zhàn)等實際場景，根據(jù)現(xiàn)場不斷變化的信息實時設(shè)計技術(shù)方案，靈活應(yīng)對網(wǎng)絡(luò)的動態(tài)變化，做出快速的反應(yīng)與調(diào)整，以培養(yǎng)學生高度的應(yīng)變設(shè)計能力。

 

4.5 改革課時分配和考核權(quán)重

 

網(wǎng)絡(luò)信息安全是一門理論與實踐并重的課程，在今后的教學中，要逐漸增加實踐課程的教學。為了增加學生對實踐能力的重視，要合理分配理論考試和實踐考試的權(quán)重，在現(xiàn)有考核模式的基礎(chǔ)上逐步增加實踐成績的權(quán)重。在考核的形式上，綜合卷面成績和平時表現(xiàn)成績，平時表現(xiàn)的成績注重關(guān)注實驗小組討論的表現(xiàn)，個人實踐的表現(xiàn)等。

 

5 結(jié)論

 

篇8

前 言

隨著計算機技術(shù)和Internet的發(fā)展，企業(yè)和政府部門開始大規(guī)模的建立網(wǎng)絡(luò)來推動電子商務(wù)和政務(wù)的發(fā)展，伴隨著網(wǎng)絡(luò)的業(yè)務(wù)和應(yīng)用的豐富，對計算機網(wǎng)絡(luò)的管理與維護也就變得至關(guān)重要。人們普遍認為，網(wǎng)絡(luò)管理是計算機網(wǎng)絡(luò)的關(guān)鍵技術(shù)之一，尤其在大型計算機網(wǎng)絡(luò)中更是如此。網(wǎng)絡(luò)管理就是指監(jiān)督、組織和控制網(wǎng)絡(luò)通信服務(wù)以及信息處理所必需的各種活動的總稱。其目標是確保計算機網(wǎng)絡(luò)的持續(xù)正常運行，并在計算機網(wǎng)絡(luò)運行出現(xiàn)異常時能及時響應(yīng)和排除故障。

網(wǎng)絡(luò)故障極為普遍，網(wǎng)絡(luò)故障的種類也多種多樣，要在網(wǎng)絡(luò)出現(xiàn)故障時及時對出現(xiàn)故障的網(wǎng)絡(luò)進行維護，以最快的速度恢復網(wǎng)絡(luò)的正常運行，掌握一套行之有效的網(wǎng)絡(luò)維護理論、方法和技術(shù)是關(guān)鍵。就網(wǎng)絡(luò)中常見故障進行分類，并對各種常見網(wǎng)絡(luò)故障提出相應(yīng)的解決方法。

隨著計算機的廣泛應(yīng)用和網(wǎng)絡(luò)的日趨流行，功能獨立的多個計算機系統(tǒng)互聯(lián)起來，互聯(lián)形成日漸龐大的網(wǎng)絡(luò)系統(tǒng)。計算機網(wǎng)絡(luò)系統(tǒng)的穩(wěn)定運轉(zhuǎn)已與功能完善的網(wǎng)絡(luò)軟件密不可分。計算機網(wǎng)絡(luò)系統(tǒng)，就是利用通訊設(shè)備和線路將地理位置不同的、信息交換方式及網(wǎng)絡(luò)操作系統(tǒng)等共享，包括硬件資源和軟件資源的共享：因此，如何有效地做好本單位計算機網(wǎng)絡(luò)的日常維護工作，確保其安全穩(wěn)定地運行，這是網(wǎng)絡(luò)運行維護人員的一項非常重要的工作。

在排除比較復雜網(wǎng)絡(luò)的故障時，我們常常要從多種角度來測試和分析故障的現(xiàn)象，準確確定故障點。

第一章　網(wǎng)絡(luò)安全技術(shù)

1.1概述

網(wǎng)絡(luò)安全技術(shù)是指致力于解決諸如如何有效進行介入控制，以及如何保證數(shù)據(jù)傳輸?shù)陌踩缘募夹g(shù)手段，主要包括物理的安全分析技術(shù)，網(wǎng)絡(luò)結(jié)構(gòu)安全分析技術(shù)，系統(tǒng)安全分析技術(shù)，管理安全分析技術(shù)，以及其他的安全服務(wù)和安全機制策略。

21世紀全世界的計算機都將通過Internet聯(lián)到一起,信息安全的內(nèi)涵也就發(fā)生了根本的變化.它不僅從一般性的防衛(wèi)變成了一種非常普通的防范,而且還從一種專門的領(lǐng)域變成了無處不在.當人類步入21世紀這一信息社會,網(wǎng)絡(luò)社會的時候,我國將建立起一套完整的網(wǎng)絡(luò)安全體系,特別是從政策上和法律上建立起有中國自己特色的網(wǎng)絡(luò)安全體系.

一個國家的信息安全體系實際上包括國家的法規(guī)和政策,以及技術(shù)與市場的發(fā)展平臺.我國在構(gòu)建信息防衛(wèi)系統(tǒng)時,應(yīng)著力發(fā)展自己獨特的安全產(chǎn)品,我國要想真正解決網(wǎng)絡(luò)安全問題,最終的辦法就是通過發(fā)展民族的安全產(chǎn)業(yè),帶動我國網(wǎng)絡(luò)安全技術(shù)的整體提高.

網(wǎng)絡(luò)安全產(chǎn)品有以下幾大特點:第一,網(wǎng)絡(luò)安全來源于安全策略與技術(shù)的多樣化,如果采用一種統(tǒng)一的技術(shù)和策略也就不安全了;第二,網(wǎng)絡(luò)的安全機制與技術(shù)要不斷地變化;第三,隨著網(wǎng)絡(luò)在社會各方面的延伸,進入網(wǎng)絡(luò)的手段也越來越多,因此,網(wǎng)絡(luò)安全技術(shù)是一個十分復雜的系統(tǒng)工程.為此建立有中國特色的網(wǎng)絡(luò)安全體系,需要國家政策和法規(guī)的支持及集團聯(lián)合研究開發(fā).安全與反安全就像矛盾的兩個方面,總是不斷地向上攀升,所以安全產(chǎn)業(yè)將來也是一個隨著新技術(shù)發(fā)展而不斷發(fā)展的產(chǎn)業(yè).

信息安全是國家發(fā)展所面臨的一個重要問題.對于這個問題,我們還沒有從系統(tǒng)的規(guī)劃上去考慮它,從技術(shù)上,產(chǎn)業(yè)上,政策上來發(fā)展它.政府不僅應(yīng)該看見信息安全的發(fā)展是我國高科技產(chǎn)業(yè)的一部分,而且應(yīng)該看到,發(fā)展安全產(chǎn)業(yè)的政策是信息安全保障系統(tǒng)的一個重要組成部分,甚至應(yīng)該看到它對我國未來電子化,信息化的發(fā)展將起到非常重要的作用

1.2防火墻

網(wǎng)絡(luò)防火墻技術(shù)是一種用來加強網(wǎng)絡(luò)之間訪問控制,防止外部網(wǎng)絡(luò)用戶以非法手段通過外部網(wǎng)絡(luò)進入內(nèi)部網(wǎng)絡(luò),訪問內(nèi)部網(wǎng)絡(luò)資源,保護內(nèi)部網(wǎng)絡(luò)操作環(huán)境的特殊網(wǎng)絡(luò)互聯(lián)設(shè)備.它對兩個或多個網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)包如鏈接方式按照一定的安全策略來實施檢查,以決定網(wǎng)絡(luò)之間的通信是否被允許,并監(jiān)視網(wǎng)絡(luò)運行狀態(tài).

目前的防火墻產(chǎn)品主要有堡壘主機,包過濾路由器,應(yīng)用層網(wǎng)關(guān)(服務(wù)器)以及電路層網(wǎng)關(guān),屏蔽主機防火墻,雙宿主機等類型.

雖然防火墻是目前保護網(wǎng)絡(luò)免遭黑客襲擊的有效手段,但也有明顯不足:無法防范通過防火墻以外的其它途徑的攻擊,不能防止來自內(nèi)部變節(jié)者和不經(jīng)心的用戶們帶來的威脅,也不能完全防止傳送已感染病毒的軟件或文件,以及無法防范數(shù)據(jù)驅(qū)動型的攻擊.

自從1986年美國Digital公司在Internet上安裝了全球第一個商用防火墻系統(tǒng),提出了防火墻概念后,防火墻技術(shù)得到了飛速的發(fā)展.國內(nèi)外已有數(shù)十家公司推出了功能各不相同的防火墻產(chǎn)品系列.

防火墻處于5層網(wǎng)絡(luò)安全體系中的最底層,屬于網(wǎng)絡(luò)層安全技術(shù)范疇.在這一層上,企業(yè)對安全系統(tǒng)提出的問題是:所有的IP是否都能訪問到企業(yè)的內(nèi)部網(wǎng)絡(luò)系統(tǒng)如果答案是"是",則說明企業(yè)內(nèi)部網(wǎng)還沒有在網(wǎng)絡(luò)層采取相應(yīng)的防范措施.

作為內(nèi)部網(wǎng)絡(luò)與外部公共網(wǎng)絡(luò)之間的第一道屏障,防火墻是最先受到人們重視的網(wǎng)絡(luò)安全產(chǎn)品之一.雖然從理論上看,防火墻處于網(wǎng)絡(luò)安全的最底層,負責網(wǎng)絡(luò)間的安全認證與傳輸,但隨著網(wǎng)絡(luò)安全技術(shù)的整體發(fā)展和網(wǎng)絡(luò)應(yīng)用的不斷變化,現(xiàn)代防火墻技術(shù)已經(jīng)逐步走向網(wǎng)絡(luò)層之外的其他安全層次,不僅要完成傳統(tǒng)防火墻的過濾任務(wù),同時還能為各種網(wǎng)絡(luò)應(yīng)用提供相應(yīng)的安全服務(wù).另外還有多種防火墻產(chǎn)品正朝著數(shù)據(jù)安全與用戶認證,防止病毒與黑客侵入等方向發(fā)展.

根據(jù)防火墻所采用的技術(shù)不同,我們可以將它分為四種基本類型:包過濾型,網(wǎng)絡(luò)地址轉(zhuǎn)換—NAT,型和監(jiān)測型.

1.3 防火墻主要技術(shù)

包過濾型

包過濾型產(chǎn)品是防火墻的初級產(chǎn)品,其技術(shù)依據(jù)是網(wǎng)絡(luò)中的分包傳輸技術(shù).網(wǎng)絡(luò)上的數(shù)據(jù)都是以"包"為單位進行傳輸?shù)?數(shù)據(jù)被分割成為一定大小的數(shù)據(jù)包,每一個數(shù)據(jù)包中都會包含一些特定信息,如數(shù)據(jù)的源地址,目標地址,TCP/UDP源端口和目標端口等.防火墻通過讀取數(shù)據(jù)包中的地址信息來判斷這些"包"是否來自可信任的安全站點 ,一旦發(fā)現(xiàn)來自危險站點的數(shù)據(jù)包,防火墻便會將這些數(shù)據(jù)拒之門外.系統(tǒng)管理員也可以根據(jù)實際情況靈活制訂判斷規(guī)則.

包過濾技術(shù)的優(yōu)點是簡單實用,實現(xiàn)成本較低,在應(yīng)用環(huán)境比較簡單的情況下,能夠以較小的代價在一定程度上保證系統(tǒng)的安全.

但包過濾技術(shù)的缺陷也是明顯的.包過濾技術(shù)是一種完全基于網(wǎng)絡(luò)層的安全技術(shù),只能根據(jù)數(shù)據(jù)包的來源,目標和端口等網(wǎng)絡(luò)信息進行判斷,無法識別基于應(yīng)用層的惡意侵入,如惡意的Java小程序以及電子郵件中附帶的病毒.有經(jīng)驗的黑客很容易偽造IP地址,騙過包過濾型防火墻.

網(wǎng)絡(luò)地址轉(zhuǎn)化—NAT

網(wǎng)絡(luò)地址轉(zhuǎn)換是一種用于把IP地址轉(zhuǎn)換成臨時的,外部的,注冊的IP地址標準.它允許具有私有IP地址的內(nèi)部網(wǎng)絡(luò)訪問因特網(wǎng).它還意味著用戶不許要為其網(wǎng)絡(luò)中每一臺機器取得注冊的IP地址.

在內(nèi)部網(wǎng)絡(luò)通過安全網(wǎng)卡訪問外部網(wǎng)絡(luò)時,將產(chǎn)生一個映射記錄.系統(tǒng)將外出的源地址和源端口映射為一個偽裝的地址和端口,讓這個偽裝的地址和端口通過非安全網(wǎng)卡與外部網(wǎng)絡(luò)連接,這樣對外就隱藏了真實的內(nèi)部網(wǎng)絡(luò)地址.在外部網(wǎng)絡(luò)通過非安全網(wǎng)卡訪問內(nèi)部網(wǎng)絡(luò)時,它并不知道內(nèi)部網(wǎng)絡(luò)的連接情況,而只是通過一個開放的IP地址和端口來請求訪問.OLM防火墻根據(jù)預(yù)先定義好的映射規(guī)則來判斷這個訪問是否安全.當符合規(guī)則時,防火墻認為訪問是安全的,可以接受訪問請求,也可以將連接請求映射到不同的內(nèi)部計算機中.當不符合規(guī)則時,防火墻認為該訪問是不安全的,不能被接受,防火墻將屏蔽外部的連接請求.網(wǎng)絡(luò)地址轉(zhuǎn)換的過程對于用戶來說是透明的,不需要用戶進行設(shè)置,用戶只要進行常規(guī)操作即可.

型

型防火墻也可以被稱為服務(wù)器,它的安全性要高于包過濾型產(chǎn)品,并已經(jīng)開始向應(yīng)用層發(fā)展.服務(wù)器位于客戶機與服務(wù)器之間,完全阻擋了二者間的數(shù)據(jù)交流.從客戶機來看,服務(wù)器相當于一臺真正的服務(wù)器;而從服務(wù)器來看,服務(wù)器又是一臺真正的客戶機.當客戶機需要使用服務(wù)器上的數(shù)據(jù)時,首先將數(shù)據(jù)請求發(fā)給服務(wù)器,服務(wù)器再根據(jù)這一請求向服務(wù)器索取數(shù)據(jù),然后再由服務(wù)器將數(shù)據(jù)傳輸給客戶機.由于外部系統(tǒng)與內(nèi)部服務(wù)器之間沒有直接的數(shù)據(jù)通道,外部的惡意侵害也就很難傷害到企業(yè)內(nèi)部網(wǎng)絡(luò)系統(tǒng).

型防火墻的優(yōu)點是安全性較高,可以針對應(yīng)用層進行偵測和掃描,對付基于應(yīng)用層的侵入和病毒都十分有效.其缺點是對系統(tǒng)的整體性能有較大的影響,而且服務(wù)器必須針對客戶機可能產(chǎn)生的所有應(yīng)用類型逐一進行設(shè)置,大大增加了系統(tǒng)管理的復雜性.

監(jiān)測型

監(jiān)測型防火墻是新一代的產(chǎn)品,這一技術(shù)實際已經(jīng)超越了最初的防火墻定義.監(jiān)測型防火墻能夠?qū)Ω鲗拥臄?shù)據(jù)進行主動的,實時的監(jiān)測,在對這些數(shù)據(jù)加以分析的基礎(chǔ)上,監(jiān)測型防火墻能夠有效地判斷出各層中的非法侵入.同時,這種檢測型防火墻產(chǎn)品一般還帶有分布式探測器,這些探測器安置在各種應(yīng)用服務(wù)器和其他網(wǎng)絡(luò)的節(jié)點之中,不僅能夠檢測來自網(wǎng)絡(luò)外部的攻擊,同時對來自內(nèi)部的惡意破壞也有極強的防范作用.據(jù)權(quán)威機構(gòu)統(tǒng)計,在針對網(wǎng)絡(luò)系統(tǒng)的攻擊中,有相當比例的攻擊來自網(wǎng)絡(luò)內(nèi)部.因此,監(jiān)測型防火墻不僅超越了傳統(tǒng)防火墻的定義,而且在安全性上也超越了前兩代產(chǎn)品

雖然監(jiān)測型防火墻安全性上已超越了包過濾型和服務(wù)器型防火墻,但由于監(jiān)測型防火墻技術(shù)的實現(xiàn)成本較高,也不易管理,所以目前在實用中的防火墻產(chǎn)品仍然以第二代型產(chǎn)品為主,但在某些方面也已經(jīng)開始使用監(jiān)測型防火墻.基于對系統(tǒng)成本與安全技術(shù)成本的綜合考慮,用戶可以選擇性地使用某些監(jiān)測型技術(shù).這樣既能夠保證網(wǎng)絡(luò)系統(tǒng)的安全性需求,同時也能有效地控制安全系統(tǒng)的總擁有成本.

實際上,作為當前防火墻產(chǎn)品的主流趨勢,大多數(shù)服務(wù)器(也稱應(yīng)用網(wǎng)關(guān))也集成了包過濾技術(shù),這兩種技術(shù)的混合應(yīng)用顯然比單獨使用具有更大的優(yōu)勢.由于這種產(chǎn)品是基于應(yīng)用的,應(yīng)用網(wǎng)關(guān)能提供對協(xié)議的過濾.例如,它可以過濾掉FTP連接中的PUT命令,而且通過應(yīng)用,應(yīng)用網(wǎng)關(guān)能夠有效地避免內(nèi)部網(wǎng)絡(luò)的信息外泄.正是由于應(yīng)用網(wǎng)關(guān)的這些特點,使得應(yīng)用過程中的矛盾主要集中在對多種網(wǎng)絡(luò)應(yīng)用協(xié)議的有效支持和對網(wǎng)絡(luò)整體性能的影響上

1.4防火墻體系結(jié)構(gòu)

篩選路由式體系結(jié)構(gòu)

SHAPE \* MERGEFORMAT

屏蔽子網(wǎng)式結(jié)構(gòu)

雙網(wǎng)主機式體系結(jié)構(gòu)

SHAPE \* MERGEFORMAT

屏蔽主機式體系結(jié)構(gòu)

1.5入侵檢測系統(tǒng)

1概念

當前，平均每20秒就發(fā)生一次入侵計算機網(wǎng)絡(luò)的事件，超過1/3的互聯(lián)網(wǎng)防火墻被攻破！面對接2連3的安全問題，人們不禁要問：到底是安全問題本身太復雜，以至于不可能被徹底解決，還的仍然可以有更大的改善，只不過我們所采取的安全措施中缺少了某些重要的環(huán)節(jié)。有關(guān)數(shù)據(jù)表明，后一種解釋更說明問題。有權(quán)威機構(gòu)做過入侵行為統(tǒng)計，發(fā)現(xiàn)他、有80%來自于網(wǎng)絡(luò)內(nèi)部，也就是說，“堡壘”是從內(nèi)部被攻破的。另外，在相當一部分黑客攻擊當中，黑客都能輕易地繞過防火墻而攻擊網(wǎng)站服務(wù)器。這就使人們認識到：僅靠防火墻仍然遠遠不能將“不速之客”拒之門外，還必須借助于一個“補救”環(huán)節(jié)------入侵檢測系統(tǒng)。

入侵檢測系統(tǒng)（Intrusion detection system,簡稱IDS）是指監(jiān)視（或者在可能的情況下阻止）入侵或者試圖控制你的系統(tǒng)或者網(wǎng)絡(luò)資源的行為的系統(tǒng)。作為分層安全中日益被越普遍采用的成份，入侵檢測系統(tǒng)能有效地提升黑客進入網(wǎng)絡(luò)系統(tǒng)的門檻。入侵檢測系統(tǒng)能夠通過向管理員發(fā)出入侵或者入侵企圖來加強當前存取控制系統(tǒng)，例如防火墻；識別防火墻通常用不能識別的攻擊，如來自企業(yè)內(nèi)部的攻擊；在發(fā)現(xiàn)入侵企圖之后提供必要的信息。

入侵檢測是防火墻的合理補充，幫助系統(tǒng)對付網(wǎng)絡(luò)攻擊，擴展了系統(tǒng)管理員的安全管理能力（包括安全審計、監(jiān)視、進攻識別和響應(yīng)），提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。它從計算機網(wǎng)絡(luò)系統(tǒng)中的若干個關(guān)鍵點收集信息，并分析這些信息，檢測網(wǎng)絡(luò)中是否有違反安全策略的行為和遭到襲擊的跡象。它的作用是監(jiān)控網(wǎng)絡(luò)和計算機系統(tǒng)是否出現(xiàn)被入侵或濫用的征兆。

作為監(jiān)控和識別攻擊的標準解決方案，IDS系統(tǒng)已經(jīng)成為安防體系的重要組成部分。

IDS系統(tǒng)以后臺進程的形式運行。發(fā)現(xiàn)可疑情況，立即通知有關(guān)人員。

防火墻為網(wǎng)絡(luò)提供了第一道防線，入侵檢測被認為是防火墻之后的第二道安全閘門，在不影響網(wǎng)絡(luò)性能的情況下對網(wǎng)絡(luò)進行檢測，從而提供對內(nèi)部攻擊、外部攻擊和誤解操作的實時保護。由于入侵檢測系統(tǒng)是防火墻后的又一道防線，從二可以極大地減少網(wǎng)絡(luò)免受各種攻擊的損害。

假如說防火墻是一幢大樓的門鎖，那入侵檢測系統(tǒng)就是這幢大樓里的監(jiān)視系統(tǒng)。門鎖可以防止小偷進入大樓，但不能保證小偷100%地被拒之門外，更不能防止大樓內(nèi)部個別人員的不良企圖。而一旦小偷爬入大樓，或內(nèi)部人員有越界行為，門鎖就沒有任何作用了，這時，只有實時監(jiān)視系統(tǒng)才能發(fā)現(xiàn)情況并發(fā)出警告。入侵檢測系統(tǒng)不僅僅針對外來的入侵者，同時也針對內(nèi)部的入侵行為。

2侵檢測的主要技術(shù)————入侵分析技術(shù)

入侵分析技術(shù)主要有三大類：簽名、統(tǒng)計和數(shù)據(jù)完整性。

簽名分析法

名分析法主要用來檢測有無對系統(tǒng)的已知弱點進行的攻擊行為。這類攻擊可以通過監(jiān)視有無針對特定對象的某種行為而被檢測到。

主要方法：從攻擊模式中歸納出其簽名，編寫到IDS系統(tǒng)的代碼里，再由IDS系統(tǒng)對檢測過程中收集到的信息進行簽名分析。

簽名分析實際上是一個模板匹配操作，匹配的一方是系統(tǒng)設(shè)置情況和用戶操作動作，一方是已知攻擊模式的簽名數(shù)據(jù)庫。

統(tǒng)計分析法

統(tǒng)計分析法是以系統(tǒng)正常使用情況下觀察到的動作為基礎(chǔ)，如果某個操作偏離了正常的軌道，此操作就值得懷疑。

主要方法：首先根據(jù)被檢測系統(tǒng)的正常行為定義一個規(guī)律性的東西，在此稱為“寫照”，然后檢測有沒有明顯偏離“寫照”的行為。

統(tǒng)計分析法的理論經(jīng)常是統(tǒng)計學，此方法中，“寫照”的確定至關(guān)重要。

數(shù)據(jù)完整分析法

數(shù)據(jù)完整分析法主要用來查證文件或?qū)ο笫欠癖恍薷倪^，它的理論經(jīng)常是密碼學。

3侵檢測系統(tǒng)的分類：

現(xiàn)有的IDS的分類，大都基于信息源和分析方法。為了體現(xiàn)對IDS從布局、采集、分析、響應(yīng)等各個層次及系統(tǒng)性研究方面的問題，在這里采用五類標準：控制策略、同步技術(shù)、信息源、分析方法、響應(yīng)方式。

按照控制策略分類

控制策略描述了IDS的各元素是如何控制的，以及IDS的輸入和輸出是如何管理的。按照控制策略IDS可以劃分為，集中式IDS、部分分布式IDS和全部分布式IDS。在集中式IDS中，一個中央節(jié)點控制系統(tǒng)中所有的監(jiān)視、檢測和報告。在部分分布式IDS中，監(jiān)控和探測是由本地的一個控制點控制，層次似的將報告發(fā)向一個或多個中心站。在全分布式IDS中，監(jiān)控和探測是使用一種叫“”的方法，進行分析并做出響應(yīng)決策。

按照同步技術(shù)分類

同步技術(shù)是指被監(jiān)控的事件以及對這些事件的分析在同一時間進行。按照同步技中，信息源是以文件的形式傳給分析器，一次只處理特定時間段內(nèi)產(chǎn)生的信息，并在入侵發(fā)生時將結(jié)果反饋給用戶。很多早期的基于主機的IDS都采用這種方案。在實時連續(xù)型IDS中，事件一發(fā)生，信息源就傳給分析引擎，并且立刻得到處理和反映。實時IDS是基于網(wǎng)絡(luò)IDS首選的方案。

按照信息源分類

按照信息源分類是目前最通用的劃分方法，它分為基于主機的IDS、基于網(wǎng)絡(luò)的IDS和分布式IDS?；谥鳈C的IDS通過分析來自單個的計算機系統(tǒng)的系統(tǒng)審計蹤跡和系統(tǒng)日志來檢測攻擊?；谥鳈C的IDS是在關(guān)鍵的網(wǎng)段或交換部位通過捕獲并分析網(wǎng)絡(luò)數(shù)據(jù)包來檢測攻擊。分布式IDS，能夠同時分析來自主機系統(tǒng)日志和網(wǎng)絡(luò)數(shù)據(jù)流，系統(tǒng)由多個部件組成，采用分布式結(jié)構(gòu)。

按照分析方法分類

按照分析方法IDS劃分為濫用檢測型IDS和異常檢測型IDS。濫用檢測型的IDS中，首先建立一個對過去各種入侵方法和系統(tǒng)缺陷知識的數(shù)據(jù)庫，當收集到的信息與庫中的原型相符合時則報警。任何不符合特定條件的活動將會被認為合法，因此這樣的系統(tǒng)虛警率很低。異常檢測型IDS是建立在如下假設(shè)的基礎(chǔ)之上的，即任何一種入侵行為都能由于其偏離正?；蛘咚谕南到y(tǒng)和用戶活動規(guī)律而被檢測出來。所以它需要一個記錄合法活動的數(shù)據(jù)庫，由于庫的有限性使得虛警率比較高。

按照響應(yīng)方式分類

按照響應(yīng)方式IDS劃分為主動響應(yīng)IDS和被動響應(yīng)IDS。當特定的入侵被檢測到時，主動IDS會采用以下三種響應(yīng)：收集輔助信息；改變環(huán)境以堵住導致入侵發(fā)生的漏洞；對攻擊者采取行動（這是一種不被推薦的做法，因為行為有點過激）。被動響應(yīng)IDS則是將信息提供給系統(tǒng)用戶，依靠管理員在這一信息的基礎(chǔ)上采取進一步的行動。

4 IDS的評價標準

目前的入侵檢測技術(shù)發(fā)展迅速，應(yīng)用的技術(shù)也很廣泛，如何來評價IDS的優(yōu)缺點

就顯得非常重要。評價IDS的優(yōu)劣主要有這樣幾個方面[5]：（1）準確性。準確性是指IDS不會標記環(huán)境中的一個合法行為為異常或入侵。（2）性能。IDS的性能是指處理審計事件的速度。對一個實時IDS來說，必須要求性能良好。（3）完整性。完整性是指IDS能檢測出所有的攻擊。（4）故障容錯（fault tolerance）。當被保護系統(tǒng)遭到攻擊和毀壞時，能迅速恢復系統(tǒng)原有的數(shù)據(jù)和功能。（5）自身抵抗攻擊能力。這一點很重要，尤其是“拒絕服務(wù)”攻擊。因為多數(shù)對目標系統(tǒng)的攻擊都是采用首先用“拒絕服務(wù)”攻擊摧毀IDS，再實施對系統(tǒng)的攻擊。（6）及時性（Timeliness）。一個IDS必須盡快地執(zhí)行和傳送它的分析結(jié)果，以便在系統(tǒng)造成嚴重危害之前能及時做出反應(yīng)，阻止攻擊者破壞審計數(shù)據(jù)或IDS本身。

除了上述幾個主要方面，還應(yīng)該考慮以下幾個方面：（1）IDS運行時，額外的計算機資源的開銷；（2）誤警報率／漏警報率的程度；（3）適應(yīng)性和擴展性；（4）靈活性；（5）管理的開銷；（6）是否便于使用和配置。

5 IDS的發(fā)展趨

隨著入侵檢測技術(shù)的發(fā)展，成型的產(chǎn)品已陸續(xù)應(yīng)用到實踐中。入侵檢測系統(tǒng)的典型代表是ISS（國際互聯(lián)網(wǎng)安全系統(tǒng)公司）公司的RealSecure。目前較為著名的商用入侵檢測產(chǎn)品還有：NAI公司的CyberCop Monitor、Axent公司的NetProwler、CISCO公司的Netranger、CA公司的Sessionwall－3等。國內(nèi)的該類產(chǎn)品較少，但發(fā)展很快，已有總參北方所、中科網(wǎng)威、啟明星辰等公司推出產(chǎn)品。

人們在完善原有技術(shù)的基礎(chǔ)上，又在研究新的檢測方法，如數(shù)據(jù)融合技術(shù)，主動的自主方法，智能技術(shù)以及免疫學原理的應(yīng)用等。其主要的發(fā)展方向可概括為：

（1）大規(guī)模分布式入侵檢測。傳統(tǒng)的入侵檢測技術(shù)一般只局限于單一的主機或網(wǎng)絡(luò)框架，顯然不能適應(yīng)大規(guī)模網(wǎng)絡(luò)的　監(jiān)測，不同的入侵檢測系統(tǒng)之間也不能協(xié)同工作。因此，必須發(fā)展大規(guī)模的分布式入侵檢測技術(shù)。

（2）寬帶高速網(wǎng)絡(luò)的實時入侵檢測技術(shù)。大量高速網(wǎng)絡(luò)的不斷涌現(xiàn)，各種寬帶接入手段層出不窮，如何實現(xiàn)高速網(wǎng)絡(luò)下的實時入侵檢測成為一個現(xiàn)實的問題。

（3）入侵檢測的數(shù)據(jù)融合技術(shù)。目前的IDS還存在著很多缺陷。首先，目前的技術(shù)還不能對付訓練有素的黑客的復雜的攻擊。其次，系統(tǒng)的虛警率太高。最后，系統(tǒng)對大量的數(shù)據(jù)處理，非但無助于解決問題，還降低了處理能力。數(shù)據(jù)融合技術(shù)是解決這一系列問題的好方法。

（4）與網(wǎng)絡(luò)安全技術(shù)相結(jié)合。結(jié)合防火墻，病毒防護以及電子商務(wù)技術(shù)，提供完整的網(wǎng)絡(luò)安全保障。

第二章　網(wǎng)絡(luò)管理

2.1概述

隨著計算機技術(shù)和Internet的發(fā)展，企業(yè)和政府部門開始大規(guī)模的建立網(wǎng)絡(luò)來推動電子商務(wù)和政務(wù)的發(fā)展，伴隨著網(wǎng)絡(luò)的業(yè)務(wù)和應(yīng)用的豐富，對計算機網(wǎng)絡(luò)的管理與維護也就變得至關(guān)重要。人們普遍認為，網(wǎng)絡(luò)管理是計算機網(wǎng)絡(luò)的關(guān)鍵技術(shù)之一，尤其在大型計算機網(wǎng)絡(luò)中更是如此。網(wǎng)絡(luò)管理就是指監(jiān)督、組織和控制網(wǎng)絡(luò)通信服務(wù)以及信息處理所必需的各種活動的總稱。其目標是確保計算機網(wǎng)絡(luò)的持續(xù)正常運行，并在計算機網(wǎng)絡(luò)運行出現(xiàn)異常時能及時響應(yīng)和排除故障。

關(guān)于網(wǎng)絡(luò)管理的定義目前很多，但都不夠權(quán)威。一般來說，網(wǎng)絡(luò)管理就是通過某種方式對網(wǎng)絡(luò)進行管理，使網(wǎng)絡(luò)能正常高效地運行。其目的很明確，就是使網(wǎng)絡(luò)中的資源得到更加有效的利用。它應(yīng)維護網(wǎng)絡(luò)的正常運行，當網(wǎng)絡(luò)出現(xiàn)故障時能及時報告和處理，并協(xié)調(diào)、保持網(wǎng)絡(luò)系統(tǒng)的高效運行等。國際標準化組織（ISO）在ISO/IEC7498-4中定義并描述了開放系統(tǒng)互連（OSI）管理的術(shù)語和概念，提出了一個OSI管理的結(jié)構(gòu)并描述了OSI管理應(yīng)有的行為。它認為，開放系統(tǒng)互連管理是指這樣一些功能，它們控制、協(xié)調(diào)、監(jiān)視OSI環(huán)境下的一些資源，這些資源保證OSI環(huán)境下的通信。通常對一個網(wǎng)絡(luò)管理系統(tǒng)需要定義以下內(nèi)容：

系統(tǒng)的功能。即一個網(wǎng)絡(luò)管理系統(tǒng)應(yīng)具有哪些功能。

網(wǎng)絡(luò)資源的表示。網(wǎng)絡(luò)管理很大一部分是對網(wǎng)絡(luò)中資源的管理。網(wǎng)絡(luò)中的資源就是指網(wǎng)絡(luò)中的硬件、軟件以及所提供的服務(wù)等。而一個網(wǎng)絡(luò)管理系統(tǒng)必須在系統(tǒng)中將它們表示出來，才能對其進行管理。

網(wǎng)絡(luò)管理信息的表示。網(wǎng)絡(luò)管理系統(tǒng)對網(wǎng)絡(luò)的管理主要靠系統(tǒng)中網(wǎng)絡(luò)管理信息的傳遞來實現(xiàn)。網(wǎng)絡(luò)管理信息應(yīng)如何表示、怎樣傳遞、傳送的協(xié)議是什么?這都是一個網(wǎng)絡(luò)管理系統(tǒng)必須考慮的問題。

系統(tǒng)的結(jié)構(gòu)。即網(wǎng)絡(luò)管理系統(tǒng)的結(jié)構(gòu)是怎樣的。

網(wǎng)絡(luò)管理這一學科領(lǐng)域自20世紀80年代起逐漸受到重視，許多國際標準化組織、論壇和科研機構(gòu)都先后開發(fā)了各類標準、協(xié)議來指導網(wǎng)絡(luò)管理與設(shè)計，但各種網(wǎng)絡(luò)系統(tǒng)在結(jié)構(gòu)上存在著或大或小的差異，至今還沒有一個大家都能接受的標準。當前，網(wǎng)絡(luò)管理技術(shù)主要有以下三種：誕生于Internte家族的SNMP是專門用于對Internet進行管理的，雖然它有簡單適用等特點，已成為當前網(wǎng)絡(luò)界的實際標準，但由于Internet本身發(fā)展的不規(guī)范性，使SNMP有先天性的不足，難以用于復雜的網(wǎng)絡(luò)管理，只適用于TCP/IP網(wǎng)絡(luò)，在安全方面也有欠缺。已有SNMPv1和SNMPv2兩種版本，其中SNMPv2主要在安全方面有所補充。隨著新的網(wǎng)絡(luò)技術(shù)及系統(tǒng)的研究與出現(xiàn)，電信網(wǎng)、有線網(wǎng)、寬帶網(wǎng)等的融合，使原來的SNMP已不能滿足新的網(wǎng)絡(luò)技術(shù)的要求；CMIP可對一個完整的網(wǎng)絡(luò)管理方案提供全面支持，在技術(shù)和標準上比較成熟.最大的優(yōu)勢在于，協(xié)議中的變量并不僅僅是與終端相關(guān)的一些信息，而且可以被用于完成某些任務(wù)，但正由于它是針對SNMP的不足而設(shè)計的，因此過于復雜，實施費用過高，還不能被廣泛接受；分布對象網(wǎng)絡(luò)管理技術(shù)是將CORBA技術(shù)應(yīng)用于網(wǎng)絡(luò)管理而產(chǎn)生的，主要采用了分布對象技術(shù)將所有的管理應(yīng)用和被管元素都看作分布對象，這些分布對象之間的交互就構(gòu)成了網(wǎng)絡(luò)管理.此方法最大的特點是屏蔽了編程語言、網(wǎng)絡(luò)協(xié)議和操作系統(tǒng)的差異，提供了多種透明性，因此適應(yīng)面廣，開發(fā)容易，應(yīng)用前景廣闊.SNMP和CMIP這兩種協(xié)議由于各自有其擁護者，因而在很長一段時期內(nèi)不會出現(xiàn)相互替代的情況，而如果由完全基于CORBA的系統(tǒng)來取代，所需要的時間、資金以及人力資源等都過于龐大，也是不能接受的.所以，CORBA，SNMP，CMIP相結(jié)合成為基于CORBA的網(wǎng)絡(luò)管理系統(tǒng)是當前研究的主要方向。

網(wǎng)絡(luò)管理協(xié)議

網(wǎng)絡(luò)管理協(xié)議一般為應(yīng)用層級協(xié)議，它定義了網(wǎng)絡(luò)管理信息的類別及其相應(yīng)的確切格式，并且提供了網(wǎng)絡(luò)管理站和網(wǎng)絡(luò)管理節(jié)點間進行通訊的標準或規(guī)則。

網(wǎng)絡(luò)管理系統(tǒng)通常由管理者(Manager)和( Agent)組成，管理者從各那兒采集管理信息，進行加工處理，從而提供相應(yīng)的網(wǎng)絡(luò)管理功能，達到對管理之目的。即管理者與之間孺要利用網(wǎng)絡(luò)實現(xiàn)管理信息交換，以完成各種管理功能，交換管理信息必須遵循統(tǒng)一的通信規(guī)約，我們稱這個通信規(guī)約為網(wǎng)絡(luò)管理協(xié)議。

目前有兩大網(wǎng)管協(xié)議，一個是由IETF提出來的簡單網(wǎng)絡(luò)管理協(xié)議SNMP，它是基于TCP / IP和Internet的。因為TCP/IP協(xié)議是當今網(wǎng)絡(luò)互連的工業(yè)標準，得到了眾多廠商的支持，因此SNMP是一個既成事實的網(wǎng)絡(luò)管理標準協(xié)議。SNMP的特點主要是采用輪詢監(jiān)控，管理者按一定時間間隔向者請求管理信息，根據(jù)管理信息判斷是否有異常事件發(fā)生。輪詢監(jiān)控的主要優(yōu)點是對的要求不高；缺點是在廣域網(wǎng)的情形下，輪詢不僅帶來較大的通信開銷，而且輪詢所獲得的結(jié)果無法反映最新的狀態(tài)。

另一個是ISO定義的公共管理信息協(xié)議CMIP。CMIP是以O(shè)SI的七層協(xié)議棧作為基礎(chǔ)，它可以對開放系統(tǒng)互連環(huán)境下的所有網(wǎng)絡(luò)資源進行監(jiān)測和控制，被認為是未來網(wǎng)絡(luò)管理的標準協(xié)議。CMIP的特點是采用委托監(jiān)控，當對網(wǎng)絡(luò)進行監(jiān)控時，管理者只需向發(fā)出一個監(jiān)控請求，會自動監(jiān)視指定的管理對象，并且只是在異常事件(如設(shè)備、線路故障)發(fā)生時才向管理者發(fā)出告警，而且給出一段較完整的故障報告，包括故障現(xiàn)象、故障原因。委托監(jiān)控的主要優(yōu)點是網(wǎng)絡(luò)管理通信的開銷小、反應(yīng)及時，缺點是對的軟硬件資源要求高，要求被管站上開發(fā)許多相應(yīng)的程序，因此短期內(nèi)尚不能得到廣泛的支持。

網(wǎng)絡(luò)管理系統(tǒng)的組成

網(wǎng)絡(luò)管理的需求決定網(wǎng)管系統(tǒng)的組成和規(guī)模，任何網(wǎng)管系統(tǒng)無論其規(guī)模大小如何，基本上都是由支持網(wǎng)管協(xié)議的網(wǎng)管軟件平臺、網(wǎng)管支撐軟件、網(wǎng)管工作平臺和支撐網(wǎng)管協(xié)議的網(wǎng)絡(luò)設(shè)備組成。

網(wǎng)管軟件平臺提供網(wǎng)絡(luò)系統(tǒng)的配置、故障、性能以及網(wǎng)絡(luò)用戶分布方面的基本管理。目前決大多數(shù)網(wǎng)管軟件平臺都是在UNIX 和DOS/WINDOWS平臺上實現(xiàn)的。目前公認的三大網(wǎng)管軟件平臺是：HP View、IBM Netview和SUN Netmanager。雖然它們的產(chǎn)品形態(tài)有不同的操作系統(tǒng)的版本，但都遵循SNMP協(xié)議和提供類似的網(wǎng)管功能。

不過，盡管上述網(wǎng)管軟件平臺具有類似的網(wǎng)管功能，但是它們在網(wǎng)管支撐軟件的支持、系統(tǒng)的可靠性、用戶界面、操作功能、管理方式和應(yīng)用程序接口，以及數(shù)據(jù)庫的支持等方面都存在差別?？赡茉谄渌僮飨到y(tǒng)之上實現(xiàn)的Netview、 Openview、Netmanager網(wǎng) 管 軟 件 平 臺 版 本 僅 是 標 準Netview、 Openview、Netmanager的子集。例如，在MS Windows操作系統(tǒng)上實現(xiàn)的Netview 網(wǎng)管軟件平臺版本Netview for Windows 便僅僅只是Netview的子集。

網(wǎng)管支撐軟件是運行于網(wǎng)管軟件平臺之上，支持面向特定網(wǎng)絡(luò)功能、網(wǎng)絡(luò)設(shè)備和操作系統(tǒng)管理的支撐軟件系統(tǒng)。

網(wǎng)絡(luò)設(shè)備生產(chǎn)廠商往往為其生產(chǎn)的網(wǎng)絡(luò)設(shè)備開發(fā)專門的網(wǎng)絡(luò)管理軟件。這類軟件建立在網(wǎng)絡(luò)管理平臺之上，針對特定的網(wǎng)絡(luò)管理設(shè)備，通過應(yīng)用程序接口與平臺交互，并利用平臺提供的數(shù)據(jù)庫和資源，實現(xiàn)對網(wǎng)絡(luò)設(shè)備的管理，比如Cisco Works就是這種類型的網(wǎng)絡(luò)管理軟件，它可建立在HP Open View和IBM Netview等管理平臺之上，管理廣域互聯(lián)網(wǎng)絡(luò)中的Cisco路由器及其它設(shè)備。通過它，可以實現(xiàn)對Cisco的各種網(wǎng)絡(luò)互聯(lián)設(shè)備（如路由器、交換機等）進行復雜網(wǎng)絡(luò)管理。

網(wǎng)絡(luò)管理的體系結(jié)構(gòu)

網(wǎng)絡(luò)管理系統(tǒng)的體系結(jié)構(gòu)（簡稱網(wǎng)絡(luò)拓撲）是決定網(wǎng)絡(luò)管理性能的重要因素之一。通常可以分為集中式和非集中式兩類體系結(jié)構(gòu)。

目前，集中式網(wǎng)管體系結(jié)構(gòu)通常采用以平臺為中心的工作模式，該工作模式把單一的管理者分成兩部分：管理平臺和管理應(yīng)用。管理平臺主要關(guān)心收集的信息并進行簡單的計算，而管理應(yīng)用則利用管理平臺提供的信息進行決策和執(zhí)行更高級的功能。

非集中方式的網(wǎng)絡(luò)管理體系結(jié)構(gòu)包括層次方式和分布式。層次方式采用管理者的管理者MOM（Manager of manager）的概念，以域為單位，每個域有一個管理者，它們之間的通訊通過上層的MOM，而不直接通訊。層次方式相對來說具有一定的伸縮性：通過增加一級MOM，層次可進一步加深。分布式是端對端（peer to peer）的體系結(jié)構(gòu)，整個系統(tǒng)有多個管理方，幾個對等的管理者同時運行于網(wǎng)絡(luò)中，每個管理者負責管理系統(tǒng)中一個特定部分 “域”，管理者之間可以相互通訊或通過高級管理者進行協(xié)調(diào)。

對于選擇集中式還是非集中式，這要根據(jù)實際場合的需要來決定。而介于兩者之間的部分分布式網(wǎng)管體系結(jié)構(gòu)，則是近期發(fā)展起來的兼顧兩者優(yōu)點的一種新型網(wǎng)管體系結(jié)構(gòu)

2.2常見的幾種網(wǎng)絡(luò)管理技術(shù)

基于WEB的網(wǎng)絡(luò)管理模式

隨著 Internet技術(shù)的廣泛應(yīng)用，Intranet也正在悄然取代原有的企業(yè)內(nèi)部局域網(wǎng)，由于異種平臺的存在及網(wǎng)絡(luò)管理方法和模型的多樣性， 使得網(wǎng)絡(luò)管理軟件開發(fā)和維護的費用很高， 培訓管理人員的時間很長，因此人們迫切需要尋求高效、方便的網(wǎng)絡(luò)管理模式來適應(yīng)網(wǎng)絡(luò)高速發(fā)展的新形勢。隨著Intranet和WEB 及其開發(fā)工具的迅速發(fā)展，基于WEB的網(wǎng)絡(luò)管理技術(shù)也因此應(yīng)運而生?；赪EB的網(wǎng)管解決方案主要有以下幾方面的優(yōu)點：（1）地理上和系統(tǒng)間的可移動性：系統(tǒng)管理員可以在Intranet 上的任何站點或Internet的遠程站點上利用 WEB 瀏覽器透明存取網(wǎng)絡(luò)管理信息；（2）統(tǒng)一的WEB瀏覽器界面方便了用戶的使用和學習，從而可節(jié)省培訓費用和管理開銷；（3）管理應(yīng)用程序間的平滑鏈接：由于管理應(yīng)用程序獨立于平臺，可以通過標準的HTTP協(xié)議將多個基于WEB的管理應(yīng)用程序集成在一起，實現(xiàn)管理應(yīng)用程序間的透明移動和訪問；（4）利用 JAVA技術(shù)能夠迅速對軟件進行升級。 為了規(guī)范和促進基于WEB的網(wǎng)管系統(tǒng)開發(fā)，目前已相繼公布了兩個主要推薦標準：WEBM和JMAPI。兩個推薦標準各有其特色，并基于不同的原理提出。

WEBM方案仍然支持現(xiàn)存的管理標準和協(xié)議，它通過WEB技術(shù)對不同管理平臺所提供的分布式管理服務(wù)進行集成，并且不會影響現(xiàn)有的網(wǎng)絡(luò)基礎(chǔ)結(jié)構(gòu)。 JMAPI 是一種輕型的管理基礎(chǔ)結(jié)構(gòu)，采用JMAPI來開發(fā)集成管理工具存在以下優(yōu)點：平臺無關(guān)、高度集成化、消除程序版本分發(fā)問題、安全性和協(xié)議無關(guān)性。

2.分布對象網(wǎng)絡(luò)管理技術(shù)

目前廣泛采用的網(wǎng)絡(luò)管理系統(tǒng)模式是一種基于Client/Server技術(shù)的集中式平臺模式。由于組織結(jié)構(gòu)簡單，自應(yīng)用以來，已經(jīng)得到廣泛推廣，但同時也存在著許多缺陷：一個或幾個站點負責收集分析所有網(wǎng)絡(luò)節(jié)點信息，并進行相應(yīng)管理，造成中心網(wǎng)絡(luò)管理站點負載過重；所有信息送往中心站點處理，造成此處通信瓶頸；每個站點上的程序是預(yù)先定義的，具有固定功能，不利于擴展。隨著網(wǎng)絡(luò)技術(shù)和網(wǎng)絡(luò)規(guī)模尤其是因特網(wǎng)的發(fā)展，集中式在可擴展性、可靠性、有效性、靈活性等方面有很大的局限，已不能適應(yīng)發(fā)展的需要.

CORBA技術(shù)

CORBA技術(shù)是對象管理組織OMG推出的工業(yè)標準，主要思想是將分布計算模式和面向?qū)ο笏枷虢Y(jié)合在一起，構(gòu)建分布式應(yīng)用。CORBA的主要目標是解決面向?qū)ο蟮漠悩?gòu)應(yīng)用之間的互操作問題，并提供分布式計算所需要的一些其它服務(wù)。OMG是CORBA平臺的核心，

它用于屏蔽與底層平臺有關(guān)的細節(jié)，使開發(fā)者可以集中精力去解決與應(yīng)用相關(guān)的問題，而不必自己去創(chuàng)建分布式計算基礎(chǔ)平臺。CORBA將建立在ORB之上的所有分布式應(yīng)用看作分布計算對象，每個計算對象向外提供接口，任何別的對象都可以通過這個接口調(diào)用該對象提供的服務(wù)。CORBA同時提供一些公共服務(wù)設(shè)施，例如名字服務(wù)、事務(wù)服務(wù)等，借助于這些服務(wù)，CORBA可以提供位置透明性、移動透明性等分布透明性。

CORBA的一般結(jié)構(gòu)

基于CORBA的網(wǎng)絡(luò)管理系統(tǒng)通常按照Client/Server的結(jié)構(gòu)進行構(gòu)造。其中，服務(wù)方是指針對網(wǎng)絡(luò)元素和數(shù)據(jù)庫組成的被管對象進行的一些基本網(wǎng)絡(luò)服務(wù)，例如配置管理、性能管理等.客戶方則是面向用戶的一些界面，或者提供給用戶進一步開發(fā)的管理接口等。其中，從網(wǎng)絡(luò)元素中獲取的網(wǎng)絡(luò)管理信息通常需要經(jīng)過CORBA/SNMP網(wǎng)關(guān)或CORBA/CMIP網(wǎng)關(guān)進行轉(zhuǎn)換，這一部分在有的網(wǎng)絡(luò)管理系統(tǒng)中被抽象成CORBA的概念.從以上分析可以看出，運用CORBA技術(shù)完全能夠?qū)崿F(xiàn)標準的網(wǎng)絡(luò)管理系統(tǒng)。不僅如此，由于CORBA是一種分布對象技術(shù)，基于CORBA的網(wǎng)絡(luò)管理系統(tǒng)能夠克服傳統(tǒng)網(wǎng)絡(luò)管理技術(shù)的不足，在網(wǎng)絡(luò)管理的分布性、可靠性和易開發(fā)性方面達到一個新的高度。

2.3統(tǒng)一不同的網(wǎng)絡(luò)管理系統(tǒng)面臨的問題

統(tǒng)一的不同層面

網(wǎng)絡(luò)管理的統(tǒng)一存在三個層次。

站點級的統(tǒng)計，這是最低級的統(tǒng)一，不同的網(wǎng)絡(luò)管理系統(tǒng)在同一服務(wù)器上運行，相互獨立，是不同的NMS。

GUI級的統(tǒng)一，指不同的網(wǎng)絡(luò)管理系統(tǒng)操作界面風格統(tǒng)一，運用的術(shù)語相同，管理員面對的是一種操作語言，這是一種表面上的統(tǒng)一，具有友好的一次性學習的界面。

管理應(yīng)用級的統(tǒng)一，這是最高級別的統(tǒng)一。在這個級別上，不但實現(xiàn)了GUI的統(tǒng)一，各種網(wǎng)絡(luò)管理系統(tǒng)的管理應(yīng)用程序按照統(tǒng)一標準設(shè)計，應(yīng)用程序間可進行信息共享和關(guān)聯(lián)操作。在這一層面上的統(tǒng)一實現(xiàn)了對異構(gòu)網(wǎng)的綜合分析與管理，進行關(guān)聯(lián)操作，網(wǎng)管系統(tǒng)可具有推理判斷能力。

統(tǒng)一的內(nèi)容

網(wǎng)絡(luò)管理系統(tǒng)統(tǒng)一可從三個方面依次去實現(xiàn)，即操作界面的統(tǒng)一、網(wǎng)管協(xié)議的統(tǒng)網(wǎng)管功能的統(tǒng)一。

界面的統(tǒng)一

網(wǎng)絡(luò)管理系統(tǒng)是管理的工具，但歸根到底是要人去操作管理，操作界面的優(yōu)劣會對管理員產(chǎn)生很大影響。不同網(wǎng)管系統(tǒng)具有不同的操作界面，要求管理員分別學習，或增加管理員人數(shù)，形成人力浪費?，F(xiàn)在沒有統(tǒng)一的網(wǎng)管用戶界面的統(tǒng)一標準?，F(xiàn)有的網(wǎng)管系統(tǒng)幾乎都實現(xiàn)了圖形界面，但既有基于UNIX操作系統(tǒng)的又有基于WINDOWS操作系統(tǒng)，且界面的格式千差萬別，給管理員的工作增加困難。

網(wǎng)管協(xié)議的統(tǒng)一

管理協(xié)議是NMS核心和管理之間進行信息交換遵循的標準，是網(wǎng)管系統(tǒng)統(tǒng)一的關(guān)鍵所在。目前流行的兩種網(wǎng)管協(xié)議為SNMP(Simple Network Management Protocal)和CMIS/CMIP(Common Mangement Information Protocal).SNMP是由互聯(lián)網(wǎng)活動委員會IAB提出的基于TCP/IP網(wǎng)管協(xié)議，CMIP是由國際標準化組織ISO開發(fā)的基于網(wǎng)絡(luò)互聯(lián)的網(wǎng)管協(xié)議。網(wǎng)管協(xié)議的統(tǒng)一就是指這兩種協(xié)議的統(tǒng)一

網(wǎng)管功能的統(tǒng)一

在ISO標準中定義了配置管理、故障管理、性能管理、安全管理、計費管理等領(lǐng)域?，F(xiàn)有的網(wǎng)管系統(tǒng)在網(wǎng)管規(guī)范尚未成熟就進行了開發(fā)，大都是實現(xiàn)了部分模塊的部分功能。這些網(wǎng)管系統(tǒng)功能單一，相互獨立，不能實現(xiàn)信息的共享。不能從宏觀上實現(xiàn)管理，不利于網(wǎng)絡(luò)的綜合管理。

統(tǒng)一的策略

將多個網(wǎng)絡(luò)管理系統(tǒng)統(tǒng)一在一起的方法有三種，一種是格式轉(zhuǎn)換法，即各個子網(wǎng)管理系統(tǒng)通過程序進行格式的轉(zhuǎn)換，以便相互識別和共享資源，是一種分散式管理方式。另一種使用分層網(wǎng)管平臺，即建立更高級的管理系統(tǒng)，高級網(wǎng)管系統(tǒng)和低級網(wǎng)管系統(tǒng)間進行通信，分層管理，是一種分布式管理方式。第三種是標準化方法，是遵循標準的規(guī)范和協(xié)議，建立的綜合網(wǎng)絡(luò)管理系統(tǒng)。

使用分層的網(wǎng)管平臺是當前較為流行的方法，如現(xiàn)在廣泛研究和討論的基于CORBA的TMN(Telecomunication Management Network)就是將TMN中的管理者通過ORB(Object Request Broker)連接起來，實現(xiàn)不同管理系統(tǒng)的統(tǒng)一。

格式轉(zhuǎn)換法是目前使用較多的方法，如運營商要求網(wǎng)管系統(tǒng)對外提供統(tǒng)一的數(shù)據(jù)收集、告警信息。

協(xié)議標準化方法是統(tǒng)一網(wǎng)絡(luò)管理系統(tǒng)的趨勢和方向,電信管理網(wǎng)TMN就是在電信領(lǐng)域內(nèi)的一種標準協(xié)議，使得不同的廠商、不同的軟硬件網(wǎng)管產(chǎn)品的統(tǒng)一管理成為可能。標準化實現(xiàn)統(tǒng)一的網(wǎng)管功能，包括網(wǎng)管協(xié)議的標準化、管理信息集模型的標準化和高層管理應(yīng)用程序功能的統(tǒng)一規(guī)劃。

格式轉(zhuǎn)換和應(yīng)用網(wǎng)管平臺的策略是基于現(xiàn)有網(wǎng)管系統(tǒng)的基礎(chǔ)上統(tǒng)一網(wǎng)管系統(tǒng)，而標準法策略則不考慮現(xiàn)有網(wǎng)管系統(tǒng)而重新設(shè)計一套新的標準，或是對現(xiàn)有網(wǎng)絡(luò)管理系統(tǒng)進行較大改進，考慮到我們當前的網(wǎng)絡(luò)管理發(fā)展的現(xiàn)狀，還是以格式轉(zhuǎn)換和應(yīng)用網(wǎng)管平臺方式統(tǒng)一網(wǎng)絡(luò)系統(tǒng)。

網(wǎng)絡(luò)管理系統(tǒng)實現(xiàn)統(tǒng)一的方法

當前網(wǎng)絡(luò)管理的統(tǒng)一主要涉及兩個方面，一是網(wǎng)管協(xié)議的統(tǒng)一。另一種是分布系統(tǒng)的統(tǒng)一，即在CORBA環(huán)境下的統(tǒng)一。它是基于面向?qū)ο蟮木W(wǎng)管平臺和格式轉(zhuǎn)換的策略。

2.4網(wǎng)絡(luò)管理協(xié)議SNMP和CMIP的統(tǒng)一

SNMP和CMIP在它們的范圍、復雜性、以及解決網(wǎng)絡(luò)管理問題的方法方面有很大的不同。SNMP被設(shè)計的很簡單，使它非常易于在TCP/IP系統(tǒng)中普及。目前這已經(jīng)成為事實?？墒沁@一特點也不太適合大型的、復雜的、多企業(yè)的網(wǎng)絡(luò)。相對應(yīng)的，CMIP被設(shè)計的比較通用和靈活。但這也同時提高了復雜性。SNMP和CMIP的統(tǒng)一是指分別支持這兩種協(xié)議的網(wǎng)絡(luò)管理系統(tǒng)信息互通，互相兼容。

SNMP和CMIP統(tǒng)一有兩種思想，一種是兩種協(xié)議共存，一種是兩種協(xié)議的互作用。

協(xié)議共存可有三種方法實現(xiàn)，一是建立雙協(xié)議棧，二是建立混合協(xié)議棧，三是通用應(yīng)用程序接口(APIs)。雙協(xié)議棧的方法要求被管設(shè)備同時支持兩種體系結(jié)構(gòu)，但這要求被管設(shè)備要有很高的處理能力和存儲能力，開銷大，不實用。混合協(xié)議棧就是建立一種底層協(xié)議棧同時支持這兩種協(xié)議，這樣運行在該協(xié)議棧上的管理系統(tǒng)可同時管理支持SNMP的設(shè)備和支持CMIP的設(shè)備，為了使CMIP能在內(nèi)存有限的設(shè)備上運行，IBM和3COM聯(lián)合為IEEE802.1b開發(fā)了一個特殊的邏輯鏈路控制上的CMIP(CMOL)，因為它取消了很多高層協(xié)議開銷，減少了對設(shè)備處理能力和內(nèi)存的需求，并且不需要考慮底層的協(xié)議，但同時由于缺少網(wǎng)絡(luò)層，失去了跨越互聯(lián)網(wǎng)絡(luò)的能力。多廠商管理平臺定義了一套開放的應(yīng)用程序接口(APIs)，允許開發(fā)商開發(fā)管理軟件而不用關(guān)心管理協(xié)議的一些細節(jié)描述、數(shù)據(jù)定義、和特殊的用戶接口。如圖2所示為HP OpenView利用XMP(X/Open Management Protocol) API來實現(xiàn)多協(xié)議管理平臺的結(jié)構(gòu)。其中Postmaster 用來管理在網(wǎng)絡(luò)對象間的通信，如管理者和之間的請求和相應(yīng)，而ORS(Object Registration Services)為每個產(chǎn)生一個目錄，紀錄它們的位置和采用的協(xié)議。

協(xié)議共存雖然能實現(xiàn)SNMP和CMIP的綜合，但協(xié)議之間沒有互作用能力不能很好的實現(xiàn)協(xié)作對網(wǎng)絡(luò)的分布式管理。 對于SNMP內(nèi)部不支持SNMP的設(shè)備可采用委托PROXY的方式解決。對于TMN/CMIP內(nèi)部非Q3或Qx接口的設(shè)備可通過增加適配器進行轉(zhuǎn)換。因此可通過增加中間的方式來解決SNMP和CMIP之間統(tǒng)一問題。由于CMIP的強大的對等能力和對復雜系統(tǒng)的模型能力即事件驅(qū)動機制，使得它更適于跨管理域?qū)崿F(xiàn)對等實體間的互作用，以分層分布的方式管理網(wǎng)絡(luò)，由于它對設(shè)備的性能要求較高，因此在這種層次結(jié)構(gòu)中，可充當中央管理站和中間管理站，而SNMP可用于下層管理簡單設(shè)備。如圖3給出了協(xié)議互作用的管理模型

基于CORBA的網(wǎng)管系統(tǒng)的統(tǒng)一

利用面向?qū)ο蟮牡募夹g(shù)對網(wǎng)絡(luò)資源進行描述是一種有效的方式。在分層的網(wǎng)絡(luò)管理平臺上，利用面向?qū)ο蟮乃枷耄瑢⒕W(wǎng)絡(luò)資源和網(wǎng)絡(luò)管理資源進行抽象。管理平臺為不同應(yīng)用系統(tǒng)和高層管理者提供的是一組管理對象，對象由屬性和方法組成。利用對象的封裝性可以使管理應(yīng)用和高層管理者面對在較高層次上進行抽象的管理對象，屏蔽了實現(xiàn)各種管理功能的細節(jié)。為應(yīng)用提供了對網(wǎng)絡(luò)資源進行描述和管理的高級抽象，易于實現(xiàn)各種管理功能。而對象類的繼承性便于擴充和增加管理對象類，繼承性支持系統(tǒng)開發(fā)過程中的可重用性。

在應(yīng)用環(huán)境中，管理應(yīng)用和高層管理節(jié)點與管理平臺是基于C/S（顧客/服務(wù)器）模式的分布式結(jié)構(gòu)，即管理應(yīng)用節(jié)點和高層管理者節(jié)點與他們所以來的平臺節(jié)點可能處于不同的地理位置。因此考慮基于何種結(jié)構(gòu)，采用什么樣的協(xié)議實現(xiàn)分布對象的訪問。

多廠商設(shè)備的環(huán)境的網(wǎng)絡(luò)管理一直是網(wǎng)絡(luò)管理研究和實現(xiàn)的難點。鑒于CORBA的分布式面向?qū)ο蟮奶攸c，在網(wǎng)管系統(tǒng)的開發(fā)中加以引用。

本文采用OMG的CORBA(Common Object Request Broker Architecture)做為實現(xiàn)分布管理對象訪問的設(shè)施。CORBA是很有應(yīng)用前景的系統(tǒng)集成標準，它提供了面向?qū)ο髴?yīng)用的互操作標準。CORBA位分布對象環(huán)境描述了面向?qū)ο蟮脑O(shè)施-----對象請求，他提供了分布對象進行請求和應(yīng)答的機制。這樣CORBA提供了在異構(gòu)分布環(huán)境下不同機器的不同應(yīng)用的互操作能力和將多個對象系統(tǒng)無縫互連接的能力。CORBA機制是獨立于任何程序設(shè)計語言的，對象的接口描述在IDL(Interface Description Language)中。CORBA支持兩種標準協(xié)議-----GIOP和IIOP。GIOP是信息表示協(xié)議，描述了所傳輸信息的格式，而IIOP則描述了CORBA所支持的傳輸協(xié)議，即GIOP信息如何進行交換

管理不同廠商應(yīng)用和高層管理者如何使用CORBA機制訪問相應(yīng)的管理平臺所提供的管理對象。使得處于不同節(jié)點的不同廠商的管理應(yīng)用和高層管理者能無縫使用分布對象提供的功能。在這兩種情況下原理是相同的，只是功能不同，在第一種情況下，不同廠商的管理應(yīng)用腳本程序通過CORBA機制訪問管理平臺上的應(yīng)用管理對象，以實現(xiàn)同一層次上的管理功能。在第二種情況下，高層管理平臺上的腳本進程通過CORBA機制訪問底層管理者為高層提供的管理對象以實現(xiàn)高層對底層的網(wǎng)絡(luò)管理功能。

CORBA機制除支持客戶端對服務(wù)器端所提供的分布對象的訪問外，還提供分布對象服務(wù)功能------COSS,它包括分布對象訪問的安全機制、事件機制等。在網(wǎng)絡(luò)管理應(yīng)用中，除主動詢問網(wǎng)絡(luò)管理信息以管理、監(jiān)視網(wǎng)絡(luò)的運行狀態(tài)外，還有一種應(yīng)用是被管理對象在發(fā)生故障和事件時，向管理者提出事件處理請求。CORBA中的事件服務(wù)機制恰好可以滿足這一需求。

2.5網(wǎng)絡(luò)管理分類及功能

事實上，網(wǎng)絡(luò)管理技術(shù)是伴隨著計算機、網(wǎng)絡(luò)和通信技術(shù)的發(fā)展而發(fā)展的，二者相輔相成。從網(wǎng)絡(luò)管理范疇來分類，可分為對網(wǎng)“路”的管理。即針對交換機、路由器等主干網(wǎng)絡(luò)進行管理；對接入設(shè)備的管理，即對內(nèi)部PC、服務(wù)器、交換機等進行管理；對行為的管理。即針對用戶的使用進行管理；對資產(chǎn)的管理，即統(tǒng)計IT軟硬件的信息等。根據(jù)網(wǎng)管軟件的發(fā)展歷史，可以將網(wǎng)管軟件劃分為三代：

第一代網(wǎng)管軟件就是最常用的命令行方式，并結(jié)合一些簡單的網(wǎng)絡(luò)監(jiān)測工具，它不僅要求使用者精通網(wǎng)絡(luò)的原理及概念，還要求使用者了解不同廠商的不同網(wǎng)絡(luò)設(shè)備的配置方法。

第二代網(wǎng)管軟件有著良好的圖形化界面。用戶無須過多了解設(shè)備的配置方法，就能圖形化地對多臺設(shè)備同時進行配置和監(jiān)控。大大提高了工作效率，但仍然存在由于人為因素造成的設(shè)備功能使用不全面或不正確的問題數(shù)增大，容易引發(fā)誤操作。

第三代網(wǎng)管軟件相對來說比較智能，是真正將網(wǎng)絡(luò)和管理進行有機結(jié)合的軟件系統(tǒng)，具有“自動配置”和“自動調(diào)整”功能。對網(wǎng)管人員來說，只要把用戶情況、設(shè)備情況以及用戶與網(wǎng)絡(luò)資源之間的分配關(guān)系輸入網(wǎng)管系統(tǒng)，系統(tǒng)就能自動地建立圖形化的人員與網(wǎng)絡(luò)的配置關(guān)系，并自動鑒別用戶身份，分配用戶所需的資源(如電子郵件、Web、文檔服務(wù)等)。

根據(jù)國際標準化組織定義網(wǎng)絡(luò)管理有五大功能：故障管理、配置管理、性能管理、安全管理、計費管理。對網(wǎng)絡(luò)管理軟件產(chǎn)品功能的不同，又可細分為五類，即網(wǎng)絡(luò)故障管理軟件，網(wǎng)絡(luò)配置管理軟件，網(wǎng)絡(luò)性能管理軟件，網(wǎng)絡(luò)服務(wù)/安全管理軟件，網(wǎng)絡(luò)計費管理軟件。

下面我們來簡單介紹一下大家熟悉的網(wǎng)絡(luò)故障管理、網(wǎng)絡(luò)配置管理、網(wǎng)絡(luò)性能管理、網(wǎng)絡(luò)計費管理和網(wǎng)絡(luò)安全管理五個方面網(wǎng)絡(luò)管理功能：

ISO在ISO/IEC 7498-4文檔中定義了網(wǎng)絡(luò)管理的五大功能,并被廣泛接受。這五大功能是:

(1)故障管理(fault management)

故障管理是網(wǎng)絡(luò)管理中最基本的功能之一。用戶都希望有一個可靠的計算機網(wǎng)絡(luò)。當網(wǎng)絡(luò)中某個組成失效時,網(wǎng)絡(luò)管理器必須迅速查找到故障并及時排除。通常不大可能迅速隔離某個故障,因為網(wǎng)絡(luò)故障的產(chǎn)生原因往往相當復雜,特別是當故障是由多個網(wǎng)絡(luò)組成共同引起的。在此情況下,一般先將網(wǎng)絡(luò)修復,然后再分析網(wǎng)絡(luò)故障的原因。分析故障原因?qū)τ诜乐诡愃乒收系脑侔l(fā)生相當重要。網(wǎng)絡(luò)故障管理包括故障檢測、隔離和糾正三方面,應(yīng)包括以下典型功能:

．維護并檢查錯誤日志

．接受錯誤檢測報告并做出響應(yīng)

．跟蹤、辨認錯誤

．執(zhí)行診斷測試

．糾正錯誤

對網(wǎng)絡(luò)故障的檢測依據(jù)對網(wǎng)絡(luò)組成部件狀態(tài)的監(jiān)測。不嚴重的簡單故障通常被記錄在錯誤日志中,并不作特別處理;而嚴重一些的故障則需要通知網(wǎng)絡(luò)管理器,即所謂的"警報"。 一般網(wǎng)絡(luò)管理器應(yīng)根據(jù)有關(guān)信息對警報進行處理,排除故障。當故障比較復雜時,網(wǎng)絡(luò)管理 器應(yīng)能執(zhí)行一些診斷測試來辨別故障原因。

(2)計費管理(accounting management)

計費管理記錄網(wǎng)絡(luò)資源的使用,目的是控制和監(jiān)測網(wǎng)絡(luò)操作的費用和代價。它對一些公共商業(yè)網(wǎng)絡(luò)尤為重要。它可以估算出用戶使用網(wǎng)絡(luò)資源可能需要的費用和代價,以及已經(jīng)使用的資源。網(wǎng)絡(luò)管理員還可規(guī)定用戶可使用的最大費用,從而控制用戶過多占用和使用網(wǎng)絡(luò) 資源。這也從另一方面提高了網(wǎng)絡(luò)的效率。另外,當用戶為了一個通信目的需要使用多個網(wǎng)絡(luò)中的資源時,計費管理應(yīng)可計算總計費用。

(3)配置管理(configuration management)

配置管理同樣相當重要。它初始化網(wǎng)絡(luò)、并配置網(wǎng)絡(luò),以使其提供網(wǎng)絡(luò)服務(wù)。配置管理 是一組對辨別、定義、控制和監(jiān)視組成一個通信網(wǎng)絡(luò)的對象所必要的相關(guān)功能,目的是為了 實現(xiàn)某個特定功能或使網(wǎng)絡(luò)性能達到最優(yōu)。

這包括:

．設(shè)置開放系統(tǒng)中有關(guān)路由操作的參數(shù)

．被管對象和被管對象組名字的管理

．初始化或關(guān)閉被管對象

．根據(jù)要求收集系統(tǒng)當前狀態(tài)的有關(guān)信息

．獲取系統(tǒng)重要變化的信息

．更改系統(tǒng)的配置

(4)性能管理(performance management)

性能管理估價系統(tǒng)資源的運行狀況及通信效率等系統(tǒng)性能。其能力包括監(jiān)視和分析被管網(wǎng)絡(luò)及其所提供服務(wù)的性能機制。性能分析的結(jié)果可能會觸發(fā)某個診斷測試過程或重新配置網(wǎng)絡(luò)以維持網(wǎng)絡(luò)的性能。性能管理收集分析有關(guān)被管網(wǎng)絡(luò)當前狀況的數(shù)據(jù)信息,并維持和分析性能日志。一些典型的功能包括:

．收集統(tǒng)計信息

．維護并檢查系統(tǒng)狀態(tài)日志

．確定自然和人工狀況下系統(tǒng)的性能

．改變系統(tǒng)操作模式以進行系統(tǒng)性能管理的操作

(5)安全管理(security management)

安全性一直是網(wǎng)絡(luò)的薄弱環(huán)節(jié)之一,而用戶對網(wǎng)絡(luò)安全的要求又相當高,因此網(wǎng)絡(luò)安全管理非常重要。網(wǎng)絡(luò)中主要有以下幾大安全問題:

網(wǎng)絡(luò)數(shù)據(jù)的私有性(保護網(wǎng)絡(luò)數(shù)據(jù)不被侵 入者非法獲取),

授權(quán)(authentication)(防止侵入者在網(wǎng)絡(luò)上發(fā)送錯誤信息),

訪問控制(控制訪問控制(控制對網(wǎng)絡(luò)資源的訪問)。

相應(yīng)的,網(wǎng)絡(luò)安全管理應(yīng)包括對授權(quán)機制、訪問控制 、加密和加密關(guān)鍵字的管理,另外還要維護和檢查安全日志。包括:

．創(chuàng)建、刪除、控制安全服務(wù)和機制

．與安全相關(guān)信息的分布

．與安全相關(guān)事件的報告

網(wǎng)絡(luò)管理中的關(guān)鍵

網(wǎng)絡(luò)迅速發(fā)展，導致網(wǎng)絡(luò)結(jié)構(gòu)更為復雜；網(wǎng)絡(luò)應(yīng)用的日新月異，讓網(wǎng)絡(luò)管理員每天都要面對新的問題。很多企事業(yè)單位，在遇到網(wǎng)絡(luò)問題不知道應(yīng)該如何去解決，看流量，拔網(wǎng)線等手段，排查周期長，也很難真正找出問題。

網(wǎng)絡(luò)發(fā)展到一定階段，必然要考慮到網(wǎng)絡(luò)性能、網(wǎng)絡(luò)故障與網(wǎng)絡(luò)安全性問題。只有通過運用網(wǎng)絡(luò)分析技術(shù)對網(wǎng)絡(luò)流通數(shù)據(jù)的清晰認識，才能為故障的排查，性能的提升，以及網(wǎng)絡(luò)安全的解決提供可靠的數(shù)據(jù)依據(jù)。

信息應(yīng)用與治理

網(wǎng)絡(luò)最大的價值，是在于信息化的應(yīng)用。當出現(xiàn)故障不能及時解決，既使有再好的電子商務(wù)、電子政務(wù)，也只是一個擺設(shè)。無論是安全、性能還是故障性問題，不能快速解決，給企業(yè)帶來的是難以衡量的損失。

治理并不是簡單的網(wǎng)絡(luò)管理，它需要管理者對網(wǎng)絡(luò)中所有設(shè)備完全掌握，包括每個網(wǎng)卡地址，以及所處的位置。通過對網(wǎng)絡(luò)傳輸中的數(shù)據(jù)進行全面監(jiān)控分析，才能從網(wǎng)絡(luò)底層數(shù)據(jù)獲取各種網(wǎng)絡(luò)應(yīng)用行為造成的網(wǎng)絡(luò)問題，并快速的定位到網(wǎng)卡的位置。從而在安全策略上更好的防范，對故障和性能更合理的管理。

一勞永逸的誤區(qū)

從管理角度的考慮，往往期望絡(luò)故障和安全性問題可以自動解決。但歷經(jīng)多年，沒有任何產(chǎn)品能做到。雖然許多企業(yè)部署了非常好的安全防護產(chǎn)品，但仍然會受到網(wǎng)絡(luò)攻擊和病毒危害。根本原因在于，網(wǎng)絡(luò)應(yīng)用本身就在不斷的發(fā)展，新的病毒以及病毒變種，都很難被基于特征庫或病毒庫的產(chǎn)品所識別。要解決這些問題，則要求網(wǎng)絡(luò)管理員隨時都能查看到網(wǎng)絡(luò)中真實的數(shù)據(jù)，最快的發(fā)現(xiàn)引起問題的原因。

網(wǎng)絡(luò)拓撲圖VS矩陣圖

網(wǎng)絡(luò)拓撲圖要求這些交換設(shè)備都必須支持SNMP（簡單網(wǎng)絡(luò)管理協(xié)議），它能直觀能看到網(wǎng)絡(luò)結(jié)構(gòu)，但看不到終端主機；它能看到設(shè)備斷網(wǎng)情況和粗略流量，但對網(wǎng)絡(luò)問題的解決能力并不實用。

從技術(shù)趨勢來看，矩陣圖（Matrix）將更適合網(wǎng)絡(luò)管理的需要。矩陣圖也被稱為主機連接圖，可以監(jiān)控每臺主機（包括交換設(shè)備）之間的通訊連接，極大的提高了監(jiān)控范圍，監(jiān)控范圍深入到每臺主機之間的各種應(yīng)用，包括通訊、資源占用、活躍程度、服務(wù)應(yīng)用等，管理者可以監(jiān)控到每臺主機的一舉一動，各種網(wǎng)絡(luò)問題都會在矩陣中表現(xiàn)出異常。如：BT下載、DDOS攻擊、ARP攻擊、木馬掃描等。

"診斷專家"快速提高解決能力

網(wǎng)絡(luò)分析不僅提供網(wǎng)絡(luò)依據(jù)，更重要的是幫助管理者提高問題的解決能力。"診斷專家"則是一個從問題原因到問題結(jié)果的完整解釋。好的網(wǎng)絡(luò)分析產(chǎn)品，可以自動提取問題的相關(guān)數(shù)據(jù)，并告訴管理者網(wǎng)絡(luò)中存在有哪些問題，可能產(chǎn)生的原因，有什么辦法可以解決，ARP攻擊的快速定位則是一個很好的證明。

網(wǎng)絡(luò)數(shù)據(jù)的回放能力

好的網(wǎng)絡(luò)分析產(chǎn)品，都具有網(wǎng)絡(luò)數(shù)據(jù)的回放能力，將網(wǎng)絡(luò)數(shù)據(jù)進行7x24小時記錄，可以按每天或每小時來記錄。如果要分析昨天某個時段出現(xiàn)的網(wǎng)絡(luò)故障，只需要將當時保存的數(shù)據(jù)包進行播放，同時通過網(wǎng)絡(luò)分析來追溯故障是如何發(fā)生的，使網(wǎng)絡(luò)管理對歷史問題追查能力得到明顯提高。

2.6網(wǎng)絡(luò)管理體系結(jié)構(gòu)及技術(shù)

1 WBM 技術(shù)介紹

隨著應(yīng)用Intranet的企業(yè)的增多，同時Internet技術(shù)逐漸向Intranet的遷移，一些主要的網(wǎng)絡(luò)廠商正試圖以一種新的形式去應(yīng)用M I S 。因此就促使了W e b ( W e b - B a s e dManagement)網(wǎng)管技術(shù)的產(chǎn)生[2]。它作為一種全新的網(wǎng)絡(luò)管理模式—基于Web的網(wǎng)絡(luò)管理模式，從出現(xiàn)伊始就表現(xiàn)出強大的生命力，以其特有的靈活性、易操作性等特點贏得了許多技術(shù)專家和用戶的青睞，被譽為是“將改變用戶網(wǎng)絡(luò)管理方式的革命性網(wǎng)絡(luò)管理解決方案”。

WBM融合了Web功能與網(wǎng)管技術(shù)，從而為網(wǎng)管人員提供了比傳統(tǒng)工具更強有力的能力。WBM可以允許網(wǎng)絡(luò)管理人員使用任何一種Web瀏覽器，在網(wǎng)絡(luò)任何節(jié)點上方便迅速地配置、控制以及存取網(wǎng)絡(luò)和它的各個部分。因此，他們不再只拘泥于網(wǎng)管工作站上了，并且由此能夠解決很多由于多平臺結(jié)構(gòu)產(chǎn)生的互操作性問題。WBM提供比傳統(tǒng)的命令驅(qū)動的遠程登錄屏幕更直接、更易用的圖形界面，瀏覽器操作和W e b頁面對W W W用戶來講是非常熟悉的，所以WBM的結(jié)果必然是既降低了MIS全體培訓的費用又促進了更多的用戶去利用網(wǎng)絡(luò)運行狀態(tài)信息。所以說，WBM是網(wǎng)絡(luò)管理方案的一次革命。

2 基于WBM 技術(shù)的網(wǎng)管系統(tǒng)設(shè)計

系統(tǒng)的設(shè)計目標

在本系統(tǒng)設(shè)計階段，就定下以開發(fā)基于園區(qū)網(wǎng)、Web模式的具有自主版權(quán)的中文網(wǎng)絡(luò)管理系統(tǒng)軟件為目標，采用先進的WBM技術(shù)和高效的算法，力求在性能上可以達到國外同類產(chǎn)品的水平。

本網(wǎng)管系統(tǒng)提供基于WEB的整套網(wǎng)管解決方案。它針對分布式IP網(wǎng)絡(luò)進行有效資源管理，使用戶可以從任何地方通過WEB瀏覽器對網(wǎng)絡(luò)和設(shè)備，以及相關(guān)系統(tǒng)和服務(wù)實施應(yīng)變式管理和控制，從而保證網(wǎng)絡(luò)上的資源處于最佳運行狀態(tài)，并保持網(wǎng)絡(luò)的可用性和可靠性。

系統(tǒng)的體系結(jié)構(gòu)

在系統(tǒng)設(shè)計的時候，以國外同類的先進產(chǎn)品作為參照物，同時考慮到技術(shù)發(fā)展的趨勢，在當前的技術(shù)條件下進行設(shè)計。我們采用三層結(jié)構(gòu)的設(shè)計，融合了先進的WBM技術(shù)，使系統(tǒng)能夠提供給管理員靈活簡便的管理途徑。

三層結(jié)構(gòu)的特點[2]：1)完成管理任務(wù)的軟件作為中間層以后臺進程方式實現(xiàn)，實施網(wǎng)絡(luò)設(shè)備的輪詢和故障信息的收集；2)管理中間件駐留在網(wǎng)絡(luò)設(shè)備和瀏覽器之間，用戶僅需通過管理中間層的主頁存取被管設(shè)備；3)管理中間件中繼轉(zhuǎn)發(fā)管理信息并進行S N M P 和H T T P之間的協(xié)議轉(zhuǎn)換三層結(jié)構(gòu)無需對設(shè)備作任何改變。

網(wǎng)絡(luò)拓撲發(fā)現(xiàn)算法的設(shè)計

為了實施對網(wǎng)絡(luò)的管理，網(wǎng)管系統(tǒng)必須有一個直觀的、友好的用戶界面來幫助管理員。其中最基本的一個幫助就是把網(wǎng)絡(luò)設(shè)備的拓撲關(guān)系以圖形的方式展現(xiàn)在用戶面前，即拓撲發(fā)現(xiàn)。目前廣泛采用的拓撲發(fā)現(xiàn)算法是基于SNMP的拓撲發(fā)現(xiàn)算法?；赟NMP的拓撲算法在一定程度上是非常有效的，拓撲的速度也非常快。但它存在一個缺陷[3]。那就是，在一個特定的域中，所有的子網(wǎng)的信息都依賴于設(shè)備具有SNMP的特性，如果系統(tǒng)不支持SNMP，則這種方法就無能為力了。還有對網(wǎng)絡(luò)管理的不重視，或者考慮到安全方面的原因，人們往往把網(wǎng)絡(luò)設(shè)備的SNMP功能關(guān)閉，這樣就難于取得設(shè)備的M I B值，就出現(xiàn)了拓撲的不完整性，嚴重影響了網(wǎng)絡(luò)管理系統(tǒng)的功能。針對這一的問題，下面討論本系統(tǒng)對上述算法的改進—基于ICMP協(xié)議的拓撲發(fā)現(xiàn)。

PING和路由建立

PING的主要操作是發(fā)送報文，并簡單地等待回答。PING之所以如此命名，是因為它是一個簡單的回顯協(xié)議，使用ICMP響應(yīng)請求與響應(yīng)應(yīng)答報文。PING主要由系統(tǒng)程序員用于診斷和調(diào)試實現(xiàn)PING的過程主要是：首先向目的機器發(fā)送一個響應(yīng)請求的ICMP報文，然后等待目的機器的應(yīng)答，直到超時。如收到應(yīng)答報文，則報告目的機器運行正常，程序退出。

路由建立的功能就是利用I P 頭中的TTL域。開始時信源設(shè)置IP頭的TTL值為0，發(fā)送報文給信宿，第一個網(wǎng)關(guān)收到此報文后，發(fā)現(xiàn)TTL值為0，它丟棄此報文，并發(fā)送一個類型為超時的ICMP報文給信源。信源接收到此報文后對它進行解析，這樣就得到了路由中的第一個網(wǎng)關(guān)地址。然后信源發(fā)送TTL值為1的報文給信宿，第一個網(wǎng)關(guān)把它的TTL值減為0后轉(zhuǎn)發(fā)給第二個網(wǎng)關(guān)，第二個網(wǎng)關(guān)發(fā)現(xiàn)報文TTL值為0，丟棄此報文并向信源發(fā)送超時ICMP報文。這樣就得到了路由中和第二個網(wǎng)關(guān)地址。如此循環(huán)下去，直到報文正確到達信宿，這樣就得到了通往信宿的路由。

網(wǎng)絡(luò)拓撲的發(fā)現(xiàn)算法具體實現(xiàn)的步驟：

(1)于給定的IP區(qū)間，利用PING依次檢測每個IP地址，將檢測到的IP地址記錄到IP地址表中。

(2)對第一步中查到的每個IP地址進行traceroute操作，記錄到這些IP地址的路由。并把每條路由中的網(wǎng)關(guān)地址也加到IP表中。

(3)對IP地址表中的每個IP地址，通過發(fā)送掩碼請求報文與接收掩碼應(yīng)答報文，找到這些IP地址的子網(wǎng)掩碼。

(4)根據(jù)子網(wǎng)掩碼，確定對應(yīng)每個IP地址的子網(wǎng)地址，并確定各個子網(wǎng)的網(wǎng)絡(luò)類型。把查到的各個子網(wǎng)加入地址表中。

(5)試圖得到與IP地址表中每個IP地址對應(yīng)的域名(Domain Name)，如具有相同域名，則說明同一個網(wǎng)絡(luò)設(shè)備具有多個IP地址，即具有多個網(wǎng)絡(luò)接口。

(6)根據(jù)第二步中的路由與第四步中得到的子網(wǎng)，產(chǎn)生連接情況表。

第三章　網(wǎng)絡(luò)維護

3.1概述

網(wǎng)絡(luò)故障極為普遍，網(wǎng)絡(luò)故障的種類也多種多樣，要在網(wǎng)絡(luò)出現(xiàn)故障時及時對出現(xiàn)故障的網(wǎng)絡(luò)進行維護，以最快的速度恢復網(wǎng)絡(luò)的正常運行，掌握一套行之有效的網(wǎng)絡(luò)維護理論、方法和技術(shù)是關(guān)鍵。就網(wǎng)絡(luò)中常見故障進行分類，并對各種常見網(wǎng)絡(luò)故障提出相應(yīng)的解決方法。

隨著計算機的廣泛應(yīng)用和網(wǎng)絡(luò)的日趨流行，功能獨立的多個計算機系統(tǒng)互聯(lián)起來，互聯(lián)形成日漸龐大的網(wǎng)絡(luò)系統(tǒng)。計算機網(wǎng)絡(luò)系統(tǒng)的穩(wěn)定運轉(zhuǎn)已與功能完善的網(wǎng)絡(luò)軟件密不可分。計算機網(wǎng)絡(luò)系統(tǒng)，就是利用通訊設(shè)備和線路將地理位置不同的、信息交換方式及網(wǎng)絡(luò)操作系統(tǒng)等共享，包括硬件資源和軟件資源的共享：因此，如何有效地做好本單位計算機網(wǎng)絡(luò)的日常維護工作，確保其安全穩(wěn)定地運行，這是網(wǎng)絡(luò)運行維護人員的一項非常重要的工作。

在排除比較復雜網(wǎng)絡(luò)的故障時，我們常常要從多種角度來測試和分析故障的現(xiàn)象，準確確定故障點。

3.2分析模型和方法

七層的網(wǎng)絡(luò)結(jié)構(gòu)分析模型方法

從網(wǎng)絡(luò)的七層結(jié)構(gòu)的定義和功能上逐一進行分析和排查，這是傳統(tǒng)的而且最基礎(chǔ)的分析和測試方法。這里有自下而上和自上而下兩種思路。自下而上是：從物理層的鏈路開始檢測直到應(yīng)用。自上而下是：從應(yīng)用協(xié)議中捕捉數(shù)據(jù)包，分析數(shù)據(jù)包統(tǒng)計和流量統(tǒng)計信息，以獲得有價值的資料。

網(wǎng)絡(luò)連接結(jié)構(gòu)的分析方法

從網(wǎng)絡(luò)的連接構(gòu)成來看，大致可以分成客戶端、網(wǎng)絡(luò)鏈路、服務(wù)器端三個模塊。

1、客戶端具備網(wǎng)絡(luò)的七層結(jié)構(gòu)，也會出現(xiàn)從硬件到軟件、從驅(qū)動到應(yīng)用程序、從設(shè)置錯誤到病毒等的故障問題。所以在分析和測試客戶端的過程中要有大量的背景知識，有時PC的發(fā)燒經(jīng)驗也會有所幫助。也可以在實際測試過程中詢問客戶端的用戶，分析他們反映的問題是個性的還是共性的，這將有助于自己對客戶端的進一步檢測作出決定。

2、來自網(wǎng)絡(luò)鏈路的問題通常需要網(wǎng)管、現(xiàn)場測試儀，甚至需要用協(xié)議分析儀來幫助確定問題的性質(zhì)和原因。對于這方面的問題分析需要有堅實的網(wǎng)絡(luò)知識和實踐經(jīng)驗，有時實踐經(jīng)驗會決定排除故障的時間。

3、在分析服務(wù)器端的情況時更需要有網(wǎng)絡(luò)應(yīng)用方面的豐富知識，要了解服務(wù)器的硬件性能及配置情況、系統(tǒng)性能及配置情況、網(wǎng)絡(luò)應(yīng)用及對服務(wù)器的影響情況。

工具型分析方法

工具型分析方法有強大的各種測試工具和軟件，它們的自動分析能快速地給出網(wǎng)絡(luò)的各種參數(shù)甚至是故障的分析結(jié)果，這對解決常見網(wǎng)絡(luò)故障非常有效。

綜合及經(jīng)驗型分析方法靠時間、錯誤和成功經(jīng)驗的積累 在大多數(shù)的阿絡(luò)維護工作人員的工作中是采用這個方法的，再依靠網(wǎng)管和測試工具迅速定位網(wǎng)絡(luò)的故障。

3.3計算機無法上網(wǎng)故障的排除

1、對于某網(wǎng)計算機上不了網(wǎng)的故障，首先要分別確定此計算機的網(wǎng)卡安裝是否正確，是否存在硬件故障，網(wǎng)絡(luò)配置是否正確在實際工作中我們一般采用Ping本機的回送地址(127.0.0.1)來判斷網(wǎng)卡硬件安裝和TCP/IP協(xié)議的正確性。

如果能Ping通，即說明這部分沒有問題。如果出現(xiàn)超時情況，則要檢查計算機的網(wǎng)卡是否與機器上的其它設(shè)備存在中斷沖突的問題。通過查看系統(tǒng)屬性中的設(shè)備管理器，查看是否在網(wǎng)絡(luò)適配器的設(shè)備前面有黃色驚嘆號或紅色叉號，如有則說明硬件的驅(qū)動程序沒有安裝成功，可刪除后重新安裝。另外，要確保TCP/IP協(xié)議安裝的正確性，并且要綁定在你所安裝的網(wǎng)卡上。如果重新安裝后還是Ping不通回送地址，最好換上一塊正常的網(wǎng)卡試一試。由于在局域網(wǎng)中劃分了VLAN，所以連在不同VLAN中的計算機都有各自不同的IP地址、子網(wǎng)掩碼和網(wǎng)關(guān)。要在機器的網(wǎng)絡(luò)屬性中設(shè)定的IP地址等數(shù)據(jù)與連接的VLAN相匹配，否則將出現(xiàn)網(wǎng)絡(luò)不通的情況。

當確保了計算機的硬件設(shè)備和網(wǎng)絡(luò)配置正確后，接著就要查看計算機與交換機之間的雙絞線，交換機的RJ45端口或交換機的配置是否有問題。此時我們要Ping上網(wǎng)計算機所在VLAN的網(wǎng)關(guān)，不通的話就要分段檢查上面所說的各項。

最簡單的方法是檢查雙絞線，用線纜測試儀檢測雙絞線是否斷開。雙絞線沒有問題，就要查看交換機的端口是否壞了。交換機每一個端口都有狀態(tài)指示燈以詢問一下其它網(wǎng)管人員就可以排除了，如果不放心可以對照查看。交換機的參數(shù)配置表也是網(wǎng)絡(luò)管理員必備的資料之一，并且隨著網(wǎng)絡(luò)用戶的變化要不斷地修改，檢測到此，如果端口指示燈不亮，就只能是端口損壞了，可以把跳線接到正常使用的端口上排除其它原因，確定是端口的問題。

2、一批聯(lián)網(wǎng)計算機上不了網(wǎng)對于同時有一批計算機上不了網(wǎng)的故障，首先要找到這些計算機的共性，如是不是屬于同一VLAN或接在同一交換機上的，若這些計算機屬于同一VLAN，且屬于計算機分別連接于不同的樓層交換機，那么檢查一下路由器上是否有acl限制，在路由器上對該VLAN的配置是否正確，路由協(xié)議(如我局的OSPF協(xié)議)是否配置正確。若這些計算機屬于同一交換機，則應(yīng)到機房檢查該交換機是否有電源松落情況，或該交換機CPU負載率是否很高，與上一級網(wǎng)絡(luò)設(shè)備的鏈路是否正常。

通常某交換機連接的所有電腦都不能正常與網(wǎng)內(nèi)其它電腦通訊，這是典型的交換機死機現(xiàn)象，可以通過重新啟動交換機的方法解決。如果重新啟動后故障依舊，則檢查一下那臺交換機連接的所有電腦，看逐個斷開連接的每臺電腦的情況，慢慢定位到某個故障電腦，會發(fā)現(xiàn)多半是某臺電腦上的網(wǎng)卡故障導致的。

故障通常是交換機的某個端口變得非常緩慢，最后導致整臺交換機或整個堆疊慢下來。通過控制臺檢查交換機的狀態(tài)，發(fā)現(xiàn)交換機的緩沖池增長得非?？?，達到了90％或更多。原因及解決方法為：首先應(yīng)該使用其它電腦更換這個端口上原來的連接，看是否由這個端口連接的那臺電腦的網(wǎng)絡(luò)故障導致的，也可以重新設(shè)置出錯的端口并重新啟動交換機，個別時候，可能是這個端口損壞了。

3.4計算機網(wǎng)絡(luò)故障分析

計算機網(wǎng)絡(luò)故障主要分為硬件故障和軟件故障，對計算機網(wǎng)絡(luò)故障進行分析也主要可以從硬件與軟件兩個方面著手：

（一）計算機網(wǎng)絡(luò)故障分析與診斷的基本方法

計算機網(wǎng)絡(luò)故障分析與診斷的原則可歸納為：由服務(wù)器到工作站（就是出現(xiàn)工作站不能入網(wǎng)的情況時，先確定服務(wù)器是否有問題）；由外部到內(nèi)部（即當有工作站出現(xiàn)網(wǎng)絡(luò)故障時，先檢查其外部直接可看到的設(shè)備情況，如與之相連的交換機或集線器有沒有故障，電纜有無纏繞導致內(nèi)部線纜斷裂或接觸不良）；由軟件到硬件（就是網(wǎng)絡(luò)出故障后先從操作系統(tǒng)、網(wǎng)絡(luò)協(xié)議、網(wǎng)卡驅(qū)動程序及配置上找原因。重新安裝網(wǎng)卡驅(qū)動或網(wǎng)絡(luò)協(xié)議、操作系統(tǒng)，看看故障是否消失。在確定排除軟件問題后再檢查硬件是否損壞。

（二）網(wǎng)絡(luò)硬件故障的分析與診斷方法

網(wǎng)絡(luò)中的硬件故障比較復雜，現(xiàn)就日常工作中常見的網(wǎng)絡(luò)連線問題和網(wǎng)卡問題來進行探討。如，網(wǎng)線至交換機或集線器之間的故障分析與診斷方法，故障診斷：通過看網(wǎng)卡指示燈集線器指示燈。首先，檢查網(wǎng)線是否插好；其次，若有數(shù)臺工作站同時出現(xiàn)網(wǎng)絡(luò)故障，則有可能是連接這些計算機的交換機或集線器出故障。如，網(wǎng)卡故障，故障分析：這是最常發(fā)生的問題。如網(wǎng)卡設(shè)置錯誤，網(wǎng)卡在安裝過程中是否正確地設(shè)置中斷號，I/0端口地址，驅(qū)動程序是否出錯，網(wǎng)卡是否出故障等。

（三）網(wǎng)絡(luò)配置故障的分析與診斷

故障分析：網(wǎng)絡(luò)配置故障就是由網(wǎng)絡(luò)中的各項配置不當而產(chǎn)生的故障。它是一種較復雜的現(xiàn)象，不但要檢查服務(wù)器的各項配置、工作站的各項配置，還要根據(jù)出現(xiàn)的錯誤信息和現(xiàn)象查出原因。如，域名、計算機名和地址故障的分析與診斷。故障分析：在實際工作中經(jīng)常會出現(xiàn)在“網(wǎng)上鄰居”中看不到其它計算機或只能看到部分計算機，無法找到指定的計算機等現(xiàn)象。故障診斷：檢查網(wǎng)絡(luò)中每個域、每臺計算機的名稱是否唯一；檢查網(wǎng)絡(luò)中的計算機名是否和域名或工作組名重復，使用TCP/IP時，檢查分配給網(wǎng)絡(luò)適配器的IP地址有無重復。在如協(xié)議故障的分析與診斷，故障分析：確認您所使用的協(xié)議與網(wǎng)絡(luò)上其它計算機使用的協(xié)議相同。否則，將看不到網(wǎng)絡(luò)上其它計算機。在配置和使用TCP/IP協(xié)議時的主要問題是IP地址、子網(wǎng)掩碼和路由問題。IP地址的分配復雜，分配不好，容易造成網(wǎng)絡(luò)混亂。因而，非網(wǎng)管人員不要隨意修改IP地址。

3.5故障定位及排除的常用方法

1.告警性能分析法

通過網(wǎng)管獲取告警和性能信息進行故障定位。我們單位使用了Siteview網(wǎng)絡(luò)網(wǎng)管，可以對全單位的網(wǎng)絡(luò)設(shè)備進行管理，平時多觀察各設(shè)備CPU負載率和各線路的流量。當有人反映不能連接至網(wǎng)絡(luò)或網(wǎng)速很慢時，可通過網(wǎng)管觀察計算機與交換機的連接情況，是否有時斷時通的現(xiàn)象，交換機CPU負載率是否很高，線路流量是否很大。通過觀察設(shè)備端口狀態(tài)，分析和觀察交換機哪個端口所接的計算機發(fā)包量不太正常。

2.查看網(wǎng)絡(luò)設(shè)備日志法

經(jīng)?？匆幌戮W(wǎng)絡(luò)設(shè)備的日志，分析設(shè)備狀況。我曾經(jīng)通過showlonging命令觀察到4006交換機下連的2950交換機經(jīng)常每隔7小時down掉，然后又up，因時間間隔較長，單位人員未感覺網(wǎng)絡(luò)中斷，在此期間我們檢查并確定了光纜、光收發(fā)器、網(wǎng)線、交換機配置、交換機端口均正常，后來的間隔時間由原來的7小時減為7分鐘。由此我們立即判定2950交換機本身有故障，馬上將已準備好的備用交換機換上，從而減少了處理故障的時間，并在最短時間內(nèi)恢復網(wǎng)絡(luò)。

3.替換法

替換法就是使用一個工作正常的物體去替換一個工作不正常的物體，從而達到定位故障、排除故障的目的。這里的物件可以是一段線纜、一個設(shè)備和一塊模塊。

4.配置數(shù)據(jù)分析法

查詢、分析當前設(shè)備的配置數(shù)據(jù)，通過分析以上的配置數(shù)據(jù)是否正常來定位故障。若配置的數(shù)據(jù)有錯誤，需進行重新配置。

3.6計算機網(wǎng)絡(luò)維護

計算機網(wǎng)絡(luò)故障是與網(wǎng)絡(luò)暢通相對應(yīng)的一概念，計算機網(wǎng)絡(luò)故障主要是指計算機無法實現(xiàn)聯(lián)網(wǎng)或者無法實現(xiàn)全部聯(lián)網(wǎng)。引起計算機網(wǎng)絡(luò)故障的因素多種多樣但總的來說可以分為物理故障與邏輯故障，或硬件故障與軟件故障。物理故障或硬件故障可以包括電源線插頭沒有進行正常的連接，聯(lián)網(wǎng)電腦網(wǎng)卡、網(wǎng)線、集線器、交換機、路由器等故障、計算機硬盤、內(nèi)存、顯示器等故障也會不同程度影響到網(wǎng)絡(luò)用戶正常使用網(wǎng)絡(luò)。軟件故障是當前最常見的計算機網(wǎng)絡(luò)故障之一，常見的軟件故障有網(wǎng)絡(luò)協(xié)議問題、網(wǎng)絡(luò)設(shè)備的配置和設(shè)置等問題造成的。

網(wǎng)絡(luò)故障目前已經(jīng)成為影響計算機網(wǎng)絡(luò)使用穩(wěn)定性的重要因素之一，加強對計算機網(wǎng)絡(luò)故障的分析和網(wǎng)絡(luò)維護已經(jīng)成為網(wǎng)絡(luò)用戶經(jīng)常性的工作之一。及時進行網(wǎng)絡(luò)故障分析和網(wǎng)絡(luò)維護也已經(jīng)成為保障網(wǎng)絡(luò)穩(wěn)定性的重要方式方法。

計算機網(wǎng)絡(luò)維護是減少計算機網(wǎng)絡(luò)故障，維護計算機網(wǎng)絡(luò)穩(wěn)定性的重要的方式方法。計算機網(wǎng)絡(luò)維護一般來說包括以下方面：

1．對硬件的維護。首先檢測聯(lián)網(wǎng)電腦網(wǎng)卡、網(wǎng)線、集線器、交換機、路由器等故障、計算機硬盤、內(nèi)存、顯示器等是否能夠正常運行，對臨近損壞的計算機硬件要及時進行更換。同時要查看網(wǎng)卡是否進行了正確的安裝與配置。具體來說要確定聯(lián)網(wǎng)計算機硬件能夠達到聯(lián)網(wǎng)的基本要求，計算機配置的硬件不會與上網(wǎng)軟件發(fā)生沖突而導致不能正常聯(lián)網(wǎng)。

2．對軟件的維護。軟件維護是計算機網(wǎng)絡(luò)維護的主要方面，具體來說主要包括，

（1）計算機網(wǎng)絡(luò)設(shè)置的檢查。具體來說檢查服務(wù)器是否正常，訪問是否正常，以及檢查網(wǎng)絡(luò)服務(wù)、協(xié)議是否正常。

（2）對集線器、交換器和路由器等網(wǎng)絡(luò)設(shè)備的檢查。具體來說，包括檢測網(wǎng)絡(luò)設(shè)備的運行狀態(tài)，檢測網(wǎng)絡(luò)設(shè)備的系統(tǒng)配置。

（3）對網(wǎng)絡(luò)安全性的檢測。對網(wǎng)絡(luò)安全性的檢測主要包括，對服務(wù)器上安裝的防病毒軟件進行定期升級和維護，并對系統(tǒng)進行定期的查殺毒處理；對服務(wù)器上安裝的防火墻做不定期的的系統(tǒng)版本升級，檢測是否有非法用戶入網(wǎng)入侵行為；對聯(lián)網(wǎng)計算機上的數(shù)據(jù)庫做安全加密處理并對加密方式和手段進行定期更新，以保障數(shù)據(jù)的安全性。

（4）網(wǎng)絡(luò)通暢性檢測。在進行網(wǎng)絡(luò)維護的過程，經(jīng)常會遇到網(wǎng)絡(luò)通訊不暢的問題，其具體表現(xiàn)為網(wǎng)絡(luò)中的某一結(jié)點pingq其他主機，顯示一個很小的數(shù)據(jù)包，需要幾百甚至幾千毫秒，傳輸文件非常慢，遇到這種情況應(yīng)首先看集線器或交換機的狀態(tài)指示燈，并根據(jù)情況進行判斷。

計算機網(wǎng)絡(luò)是計算機技術(shù)的一重要應(yīng)用領(lǐng)域，計算機網(wǎng)絡(luò)的便捷、高效、低廉為計算機網(wǎng)絡(luò)應(yīng)用的增加提供了保障，但計算機網(wǎng)絡(luò)故障一旦發(fā)生就會給網(wǎng)絡(luò)用戶帶來使用上巨大不便，甚至造成巨大的損失。因而必須進一步加強計算機網(wǎng)絡(luò)故障分析與維護研究，提高網(wǎng)絡(luò)的穩(wěn)定性和安全性。

結(jié)束語 本文提出了現(xiàn)代網(wǎng)絡(luò)中的一些安全策略，重點提出了管理技術(shù)和維護技術(shù)。本文介紹了幾種常用的防范技術(shù)。隨著現(xiàn)在的發(fā)展，網(wǎng)絡(luò)的不安全因素很多，網(wǎng)絡(luò)管理和維護尤其重要，本文介紹了網(wǎng)絡(luò)管理幾個方面的技術(shù)和網(wǎng)絡(luò)維護的幾種常用技術(shù)。

參考文獻

晏蒲柳.大規(guī)模智能網(wǎng)絡(luò)管理模型方法[J].計算機應(yīng)用研究

周楊,家海,任憲坤,王沛瑜.網(wǎng)絡(luò)管理原理與實現(xiàn)技術(shù)[M].北京:清華大學出版社

李佳石, 冰心著. 網(wǎng)絡(luò)管理系統(tǒng)中的自動拓撲算法[J].華中科技大學學報胡谷雨. 現(xiàn)代通信網(wǎng)和計算機管理.

岑賢道，安長青. 網(wǎng)絡(luò)管理協(xié)議及應(yīng)用開發(fā).

篇9

1計旅機網(wǎng)絡(luò)心理舉概述

    網(wǎng)絡(luò)心理學有廣義和狹義之分。廣義的網(wǎng)絡(luò)心理學是指一切與網(wǎng)絡(luò)有關(guān)的心理學研究;狹義的網(wǎng)絡(luò)心理學則指的是，以網(wǎng)絡(luò)為代表的自組織性、非線性的觀點對于心理學的深刻影響。如社會網(wǎng)絡(luò)分析觀點對社會心理學的影響。目前來看，網(wǎng)絡(luò)心理學的研究領(lǐng)域主要有，互聯(lián)網(wǎng)使用對人的認知、情感、意志、行為、人格、一般能力、記憶能力、學習能力、社會適應(yīng)性等心理特征的一般影響;互聯(lián)網(wǎng)人格的形成機制與影響因素等問題。

    2計茸機網(wǎng)絡(luò)心理攀的發(fā)展現(xiàn)狀

    在當今世界，隨著計算機技術(shù)的不斷成熟和迅速普及，互聯(lián)網(wǎng)蓬勃發(fā)展，它極大地改變著人類傳統(tǒng)的生產(chǎn)方式、生活方式和生存狀態(tài)。我們正經(jīng)歷著以互聯(lián)網(wǎng)為核心的信息革命所帶來的社會變革。與此同時，互聯(lián)網(wǎng)給人類提出了許多新的問題和挑戰(zhàn)，諸多學科都將研究的目光投向了這一嶄新的領(lǐng)域。其中豐富多彩的網(wǎng)絡(luò)應(yīng)用擴大了人們的交往空間，縮短了人與人之間的距離，提供了快捷的溝通方式以及網(wǎng)絡(luò)環(huán)境下的多種行為方式，使人們的心理狀態(tài)、心理過程同現(xiàn)實社會產(chǎn)生了巨大的差異?；ヂ?lián)網(wǎng)引發(fā)的一系列心理問題日益凸顯，并且越來越受到人們的關(guān)注。作為社會科學領(lǐng)域的基礎(chǔ)學科，心理學也開始介入網(wǎng)絡(luò)研究，互聯(lián)網(wǎng)成為心理學研究的新領(lǐng)域。

    2. 1計算機網(wǎng)絡(luò)心理研究的局限和不足

    互聯(lián)網(wǎng)對人的心理行為有著重要的影響，眾多的心理學家運用多種研究方法對網(wǎng)絡(luò)心理進行深入而廣泛的研究，并取得了一定的研究成果。但網(wǎng)絡(luò)心理的相關(guān)研究仍然處于初步發(fā)展階段，存在著一定的局限性和不足。

    1.網(wǎng)絡(luò)心理的研究方法尚未成熟

    我國傳統(tǒng)的心理學研究基本上是比較成熟的，包括觀察法、實驗法、問題調(diào)查法、心理測驗法等在內(nèi)的多種研究方法已經(jīng)廣泛運用于傳統(tǒng)心理學研究的各個領(lǐng)域?；ヂ?lián)網(wǎng)為心理學研究提供了新的研究工具，并己在心理學研究中得到初步的應(yīng)用。網(wǎng)絡(luò)心理研究主要對網(wǎng)絡(luò)空間內(nèi)人的心理行為和過程進行分析。傳統(tǒng)的網(wǎng)下紙、筆測驗使網(wǎng)絡(luò)使用者根據(jù)自己平時上網(wǎng)時的心理行為來對測驗中的問題進行判斷，增加了更多的干擾因素。

    (1)網(wǎng)絡(luò)心理研究的方法仍然比較古老。對于網(wǎng)絡(luò)心理的研究大多采用問卷調(diào)查、心理測驗等方法，只是將這些方法從實踐中的應(yīng)用轉(zhuǎn)換到了網(wǎng)絡(luò)空間里。但是，對于網(wǎng)絡(luò)心理的一些實驗性研究沒能有效地運用到互聯(lián)網(wǎng)中。此外，網(wǎng)絡(luò)心理研究相對于現(xiàn)實社會中人的心理行為的研究來說又有其自身的特點，它在研究環(huán)境、研究內(nèi)容和研究的角度上都有了新的變化。

    (2)網(wǎng)絡(luò)心理研究的方法尚未形成嚴謹?shù)某绦蚝腕w系。主要有三方面的原因:①從事網(wǎng)絡(luò)心理研究的專家學者還處于一個探索階段;②當前網(wǎng)絡(luò)技術(shù)的發(fā)展不能適應(yīng)網(wǎng)絡(luò)心理研究的需要;③網(wǎng)絡(luò)心理行為受到比現(xiàn)實中更多更復雜的影響。因此，在具體的研究實踐中不能急于求成，應(yīng)當遵循科學的研究方法，否則將會是事倍功半。

    2. 2計算機網(wǎng)絡(luò)心理研究的內(nèi)容比較分散和片面

    當前，網(wǎng)絡(luò)心理研究的內(nèi)容極不規(guī)范，缺乏系統(tǒng)化的操作方法。具體表現(xiàn)在如下幾方面:

    1.對于網(wǎng)絡(luò)使用者的研究，大多集中于青少年，忽視了對不同年齡層次的人的研究，導致研究比較片面。例如，青少年網(wǎng)絡(luò)行為、網(wǎng)絡(luò)心理狀態(tài)、網(wǎng)絡(luò)影響及對策等都是心理學家針對以青少年群體為主的研究項目。

   2.缺乏對網(wǎng)絡(luò)心理行為演變過程的研究。網(wǎng)絡(luò)心理研究更多關(guān)注的是網(wǎng)絡(luò)空間內(nèi)人的心理行為及其表現(xiàn)，容易造成網(wǎng)絡(luò)心理研究只關(guān)注到各個點，但卻看不見各個點之間的聯(lián)系以及所發(fā)生的變化。

    3.網(wǎng)絡(luò)心理研究比較粗淺。目前的網(wǎng)絡(luò)心理研究經(jīng)驗描述過多，大部分停留在表面的現(xiàn)象描述層面，局限于簡單的經(jīng)驗數(shù)據(jù)解說，缺乏實際的操作，給人總體的感覺就是在空洞說教，甚至很多時候難以自圓其說。這主要是網(wǎng)絡(luò)心理研究者的知識技能積累匾乏，同時也和現(xiàn)代社會追求實際利益和短期效應(yīng)有一定的關(guān)系。

    3計耳機網(wǎng)絡(luò)心理研究的目的及義

    3. 1網(wǎng)絡(luò)心理研究的目的

    在紛繁復雜的網(wǎng)絡(luò)背景下，人們有著形形的網(wǎng)絡(luò)心態(tài)，從網(wǎng)絡(luò)應(yīng)用的角度出發(fā)，探求人們的網(wǎng)絡(luò)心理，具體目標有以下幾點:

    1研究人們在虛擬世界的心理狀態(tài)、心理需求和心理變化

    網(wǎng)絡(luò)的實現(xiàn)，使得人們的生活發(fā)生了翻天覆地的巨變，很多人還沒有完全適應(yīng)網(wǎng)絡(luò)社會就己經(jīng)被網(wǎng)絡(luò)的潮水淹沒了。尤其讓人們感受頗深的莫過于信息的收集與傳播速度之快以及網(wǎng)絡(luò)資源的浩瀚。同時，網(wǎng)絡(luò)也給人們帶來了空前廣泛的交流空間，人們的交往模式、交往行為發(fā)生了質(zhì)的變化。網(wǎng)絡(luò)的隱秘性、虛擬性都使得人們之間的交往多了幾分復雜與神秘。

    2.研究不同的網(wǎng)絡(luò)應(yīng)用所對應(yīng)的多種心理需求

    探尋人們對不同網(wǎng)絡(luò)應(yīng)用的各種人性化需求，為改革現(xiàn)有網(wǎng)絡(luò)應(yīng)用的弊端以及為各種網(wǎng)絡(luò)應(yīng)用的設(shè)計與開發(fā)提供依據(jù)?，F(xiàn)有的網(wǎng)絡(luò)應(yīng)用中還有很多不盡人意的地方，例如，網(wǎng)絡(luò)安全、網(wǎng)絡(luò)隱私保護等問題。這就需要從研究用戶不同的網(wǎng)絡(luò)應(yīng)用心理出發(fā)，從分析網(wǎng)絡(luò)用戶的心理需求、心理特征等著手，找出網(wǎng)絡(luò)應(yīng)用的弊端，為設(shè)計與開發(fā)更符合人的心理、行為等的網(wǎng)絡(luò)應(yīng)用提供依據(jù)。

    3.研究由于網(wǎng)絡(luò)應(yīng)用給人們帶來的心理困境

    現(xiàn)實生活中，很多人沉溺于網(wǎng)絡(luò)不能自拔，這方面的問題特別是青少年尤為突出。如何正確運用網(wǎng)絡(luò)，并且引領(lǐng)陷入網(wǎng)絡(luò)困境的人們走出困境是網(wǎng)絡(luò)心理研究的一項重要的任務(wù)。如何讓網(wǎng)絡(luò)發(fā)揮其正面的作用，促使人們合理利用網(wǎng)絡(luò)，也是當前墮需解決的問題。

    3. 2計算機網(wǎng)絡(luò)心理研究的意義

    1從網(wǎng)絡(luò)應(yīng)用的角度出發(fā)，可以很好地探知網(wǎng)絡(luò)環(huán)境下人們的內(nèi)心狀態(tài)，為更好的研究人們的網(wǎng)絡(luò)心理提供依據(jù)。

篇10

0 引言

隨著國家信息化建設(shè)的快速發(fā)展，信息網(wǎng)絡(luò)安全問題日益突出，信息網(wǎng)絡(luò)安全面臨嚴峻考驗。當前互聯(lián)網(wǎng)絡(luò)結(jié)構(gòu)無序、網(wǎng)絡(luò)行為不規(guī)范、通信路徑不確定、IP地址結(jié)構(gòu)無序、難以實現(xiàn)服務(wù)質(zhì)量保證、網(wǎng)絡(luò)安全難以保證。長慶油田網(wǎng)絡(luò)同樣存在以上問題，可靠性與安全性是長慶油田網(wǎng)絡(luò)建設(shè)目標。文章以長慶油田網(wǎng)絡(luò)為例進行分析說明論文下載。

1 長慶油田網(wǎng)絡(luò)管理存在的問題

長慶油田公司計算機主干網(wǎng)是以西安為網(wǎng)絡(luò)核心，包括西安、涇渭、慶陽、銀川、烏審旗、延安、靖邊等7個二級匯聚節(jié)點以及咸陽等多個三級節(jié)點為架構(gòu)的高速廣域網(wǎng)絡(luò)。網(wǎng)絡(luò)龐大，存在的問題也很多，這對日常網(wǎng)絡(luò)管理是一份挑戰(zhàn)，由于管理的不完善，管理存在以下幾個方面問題:

1.1 出現(xiàn)問題才去解決問 我們習慣人工戰(zhàn)術(shù)，習慣憑經(jīng)驗辦事。網(wǎng)絡(luò)維護人員更像是消防員，哪里出現(xiàn)險情才去撲救。設(shè)備故障的出現(xiàn)主要依靠使用者報告的方式，網(wǎng)管人員非常被動，無法做到主動預(yù)防，無法在影響用戶使用之前就預(yù)見故障并將其消除在萌芽狀態(tài)。因此，這種維護模式已經(jīng)很難保障網(wǎng)絡(luò)的平穩(wěn)運行，能否平穩(wěn)影響網(wǎng)絡(luò)安全與否。

1.2 突發(fā)故障難以快速定位 僅僅依靠人工經(jīng)驗，難以對故障根源做出快速定位，影響故障處理。而且隨著網(wǎng)絡(luò)的復雜程度的提高，在故障發(fā)生時，難以快速全面的了解設(shè)備運行狀況，導致解決故障的時間較長，網(wǎng)絡(luò)黑客侵犯可以趁機而來，帶來網(wǎng)絡(luò)管理的風險。

1.3 無法對全網(wǎng)運行狀況作出分析和評估 在傳統(tǒng)模式下，這些都需要去設(shè)備近端檢查，或遠程登錄到設(shè)備上查看，不僅費時費力，而且對于歷史數(shù)據(jù)無法進行連續(xù)不間斷的監(jiān)測和保存，不能向決策人員提供完整準確的事實依據(jù)，影響了對網(wǎng)絡(luò)性能及質(zhì)量的調(diào)優(yōu)處理，龐大的網(wǎng)絡(luò)系統(tǒng)，不能通盤管理，不能保證網(wǎng)絡(luò)運行穩(wěn)定，安全性時刻面臨問題。

2 網(wǎng)絡(luò)安全防范措施

計算機網(wǎng)絡(luò)的安全性可以定義為保障網(wǎng)絡(luò)服務(wù)的可用性和網(wǎng)絡(luò)信息的完整性，為了有效保護網(wǎng)絡(luò)安全，應(yīng)做好防范措施，保證網(wǎng)絡(luò)的穩(wěn)定性，提高網(wǎng)絡(luò)管理的效率。

2.1 完善告警機制，防患于未然 告警監(jiān)控是一種手段，設(shè)備維護人員、網(wǎng)絡(luò)分析人員需要通過告警信息去分析、判斷設(shè)備出現(xiàn)的問題并盡可能的找出設(shè)備存在隱患，通過對一般告警的處理將嚴重告警發(fā)生的概率降下來。告警機制的完善一般從告警信息、告警通知方式兩方面著手:

2.1.1 在告警信息的配置方面 目前，長慶油田計算機主干網(wǎng)包括的97臺網(wǎng)絡(luò)設(shè)備、71臺服務(wù)器，每臺設(shè)備又包含cpu、接口狀態(tài)、流量等等性能參數(shù)，每一種參數(shù)在不同的時間段正常值范圍也不盡相同。

例如同樣為出口防火墻，西安與銀川的各項性能閥值的設(shè)置也不盡相同，西安的會話數(shù)達到25萬，而銀川的超過20萬就發(fā)出同樣的告警。再比如，西安電信出口流量在凌晨00:00-6:00只有二、三十兆的流量是正常的，因為這個時候在線用戶很少，但是如果在晚上8:00-10:00，流量只有二、三十兆的流量，就要發(fā)出告警信息。

因此必須根據(jù)監(jiān)控的對象(設(shè)備或鏈路)、內(nèi)容(各項性能指標)以及時間段，設(shè)置不同的觸發(fā)值及重置值。

2.1.2 告警通知方式的多樣化 任何時間我們都無法保證能全天候死盯著屏幕，所以一方面需要制定相應(yīng)的運維管理制度和輪班值守職責，另一方面則需要選擇更加人性化的運維管理方式。維護人員不但需要頁面顯示的告警觸發(fā)通知，也迫切需要在移動辦公狀態(tài)或休假狀態(tài)第一時間得到預(yù)警，從而做出應(yīng)有的反應(yīng)，所以我們需要開發(fā)出例如聲音、郵件、短信等多種告警方式。

通過以上兩個方面，我們可以建成一個完善的故障告警系統(tǒng)，便于隱患的及時消除，提高了網(wǎng)絡(luò)的穩(wěn)定性。

2.2 網(wǎng)絡(luò)拓撲的動態(tài)化 如果一個個設(shè)備檢查起來顯然費時費力，如果我們能將所有設(shè)備的狀態(tài)及其連接狀況用一張圖形實時動態(tài)的直觀顯示出來，那么無疑會大大縮短故障定位時間(見圖1，2)。

說明:2009-10-11日17:05，慶陽、延安、靖邊、銀川四個區(qū)域的T1200-02的連接西安的2.5GPOS口，涇渭T1200-01連西安的2.5GPOS口，以及西峰、吳起連接慶陽匯聚交換機Z8905-02的千兆光口，以上接口同時發(fā)出中斷告警。

因此，綜合告警信息與全網(wǎng)拓撲圖，當出現(xiàn)大規(guī)模告警的情況下能夠非常高效地找出故障源，避免了一步步繁瑣的人工排查，從而達到有效提高故障的解決效率，提高了網(wǎng)絡(luò)的穩(wěn)定性。

2.3 全網(wǎng)資源管理的動態(tài)化

2.3.1 通過對網(wǎng)管系統(tǒng)的二次開發(fā)，實現(xiàn)全網(wǎng)動態(tài)資源分析，他的最重要特點就是動態(tài)，系統(tǒng)通過Polling Engine從設(shè)備上自動提取資料數(shù)據(jù)，如設(shè)備硬件信息、網(wǎng)絡(luò)運行數(shù)據(jù)、告警信息、發(fā)生事件等。定時動態(tài)更新，最大限度的保持與現(xiàn)網(wǎng)的一致性。

2.3.2 通過一個集中的瀏覽器界面上就可以快速、充分地了解現(xiàn)有網(wǎng)絡(luò)內(nèi)各種動態(tài)和靜態(tài)資源的狀況，徹底轉(zhuǎn)變了傳統(tǒng)的網(wǎng)絡(luò)依賴于文字表格甚至是依賴于維護人員的傳統(tǒng)維護模式，變個人資料為共享資料。

2.4 提高安全防范意識 只要我們提高安全意識和責任觀念，很多網(wǎng)絡(luò)安全問題也是可以防范的。我們要注意養(yǎng)成良好的上網(wǎng)習慣，不隨意打開來歷不明的電子郵件及文件，不隨便運行陌生人發(fā)送的程序;盡量避免下載和安裝不知名的軟件、游戲程序;不輕易執(zhí)行附件中的EXE和COM等可執(zhí)行程序;密碼設(shè)置盡可能使用字母數(shù)字混排;及時下載安裝系統(tǒng)補丁程序等。

總之，影響網(wǎng)絡(luò)穩(wěn)定的因素有很多，本文基于日常網(wǎng)絡(luò)安全管理經(jīng)驗，從日常網(wǎng)絡(luò)管理的角度，提出一些安全防范措施，以期提高網(wǎng)絡(luò)穩(wěn)定性。

參考文獻

[1]石志國，計算機網(wǎng)絡(luò)安全教程，北京:清華大學出版社，2008.