【正文】 節(jié)點設備的 CPU利用率、網(wǎng)絡節(jié)點設備的故障率、中繼線路流量統(tǒng)計、網(wǎng)絡上各種業(yè)務量的統(tǒng)計、網(wǎng)絡時延統(tǒng)計等。 網(wǎng)絡管理的基本功能 由于網(wǎng)絡設備 ， 以及不同廠商開發(fā)的網(wǎng)絡管理產(chǎn)品 （ 軟件或硬件 ） 各不相同 ， 而大家又是互連在一起的 ， 所以網(wǎng)絡管理需要標準化 。 網(wǎng)絡管理的基本功能 網(wǎng)絡的 “ 運行 ” 包括網(wǎng)絡的記費和通信量管理；“ 處理 ” 包括收集和分析設備利用率 、 通信量等數(shù)據(jù) ，并作出相應控制優(yōu)化網(wǎng)絡資源的使用效率； “ 維護 ” 包括報警和性能監(jiān)控 、 測試及故障修復等； “ 服務提供 ”包括向用戶提供新業(yè)務和通過增加網(wǎng)絡設備和設施來提高網(wǎng)絡性能 。 即OAMamp。 通常我們所討論的網(wǎng)絡管理主要是指計算機網(wǎng)絡管理 ， 但廣義而言 ， 它還包括電信網(wǎng)絡管理 。 如果沒有一個高效的網(wǎng)絡管理系統(tǒng)對網(wǎng)絡系統(tǒng)進行管理 ，那么很難保證為廣大用戶提供令人滿意的服務 。 八、防火墻的配置 ?分組（包）過濾路由器 ?雙宿主網(wǎng)關 ?主機過濾防火墻 ?子網(wǎng)過濾防火墻 網(wǎng)絡管理基本知識 上一個 章首 當前計算機網(wǎng)絡的發(fā)展特點是：網(wǎng)絡規(guī)模不斷擴大 ， 復雜性不斷增加 ， 網(wǎng)絡的異構性越來越高 。 特別是隨著 Java、JavaScript、 ActiveX的應用 ， 這一問題更加突出 。 五、防火墻的局限性 5） 防火墻不能防范病毒 防火墻不能防止感染了病毒的軟件或文件的傳輸 。 對于來自知情者的威脅只能要求加強內(nèi)部管理 ， 如主機安全和用戶教育 、 管理 、 制度等 。 網(wǎng)絡使用率統(tǒng)計數(shù)字可作為網(wǎng)絡需求研究和風險分析的依據(jù)；收集有關網(wǎng)絡試探的證據(jù) ， 可確定防火墻上的控制措施是否得當 ， 能否抵御試探和攻擊 。 例如對于密碼口令系統(tǒng)或其他的身份認證軟件等 ， 放在防火墻系統(tǒng)中更是優(yōu)于放在每個 Inter能訪問的機器上 。 如允許從外部訪問某些主機 (Mail Server和 Web Server) ， 同時禁止訪問另外的主機 。 四、防火墻的優(yōu)點 通過過濾不安全的服務來降低子網(wǎng)上主系統(tǒng)的風險 。 建立防火墻必須全面考慮安全策略 ， 否則形同虛設 。防火墻能有效得控制內(nèi)部網(wǎng)絡與外部網(wǎng)絡之間的訪問及數(shù)據(jù)傳輸，從而達到保護內(nèi)部網(wǎng)絡的信息不受外部非授權用戶的訪問和對不良信息的過濾。 用于人工控制環(huán)境中 。 口令猜測與防止 例：打入一個用戶名后 ， 不論賬戶是否存在 ， 都在相同時間里要求輸入口令 。 即： 口令猜測與防止 共 7個方法： 讓硬件解密商品不能發(fā)揮作用 。 為降低猜中的概率： ? 減少口令使用壽命 ， 即提高口令更換的頻率 。 口令攻擊的種類 6） 社交工程： 攻擊者冒充合法用戶發(fā)送郵件或打電話給管理人員 ， 以騙取用戶口令 。 所以大多數(shù)系統(tǒng)都建議用戶在口令中加入特殊字符 ， 以增加口令的安全性 。 最常見的是電子郵件被非法截獲 。 C、 保持口令歷史記錄 ， 使用戶不能循環(huán)使用舊口令 。 一般用戶選擇的英文單詞幾乎都落在黑客的字典庫里 。 安全與不安全的口令 (3)使用自己或者親友的生日作為口令 。 4) 口令有字母 、 數(shù)字以外的符號 。 口令有多種 ， 如一次性口令；還有基于時間的口令 基于口令的身份認證 安全與不安全的口令 UNIX系統(tǒng)口令密碼都是用 8位 (新的是 13位 )DES算法進行加密的 ， 即有效密碼只有前 8位 ， 所以一味靠密碼的長度是不可以的 。 口令具有共享秘密的屬性 ， 是相互約定的代碼 ， 只有用戶和系統(tǒng)知道 。 ? 修改或偽造：非法用戶截獲信息 ， 替換或修改信息后再傳送給接收者 ， 或者非法用戶冒充合法用戶發(fā)送信息 。 如果通信的雙方只需要一方被另一方鑒別身份 ， 這樣的認證過程就是一種單向認證 。 4） 文件被簽名以后是無法被篡改的 ， 因為加密后的文件被改動后是無法被 A的公鑰解開的 。 數(shù)字簽名實現(xiàn)的基本原理很簡單 ， 假設 A要發(fā)送一個電子文件給 B， 則 A、 B雙方只需經(jīng)過下面三個步驟： 1） A用其私鑰加密文件 ， 這便是簽名過程 2） A將加密的文件送到 B 3） B用 A的公鑰解開 A送來的文件 數(shù)字簽名 以上方法符合 Schneier總結的五個簽名特征： 1） 簽名是可信的 ， 因為 B是用 A的公鑰解開加密文件的 ， 這說明原文件只能被 A的私鑰加密而只有 A才知道自己的私鑰 。 每個密鑰僅對一個消息使用一次 。 （ 6） I、 J看成是相同字母 。 密文是長方形的另兩個頂點 。 密文是其右邊字母 。 比如明文： data security 對應數(shù)據(jù)序列： 4， 1， 20， 1， 19， 5， 3， 21， 18，9， 20， 25 k=5時 ， 得密文序列 9， 6， 25， 6， 24， 10， 8， 0， 23， 14， 25， 4 密文： ifyxjhzwnyd 缺點：容易破解密碼 。 （ 4）多表代替密碼：由多個單字母密碼構成，每個密鑰加密對應位置的明文。例：愷撒（ Caesar)密碼。 明文： COMPUTERSYSTEMSECURITY COMPU TERSY STEMS ECURI TY 密文： CTSETOETCYMREUPSMRUYSI 4 傳統(tǒng)密碼學 代替法 ：代替密碼就是明文中每一個字符被替換成密文中的另外一個字符，代替后的各字母保持原來位置。 ? 端到端加密為網(wǎng)絡提供從源到目的的傳輸加密保護 。 2）公開密鑰算法（非對稱算法） 公開密鑰算法中用作加密的密鑰不同于用作解密的密鑰，而且解密密鑰不能根據(jù)加密密鑰計算出來（至少在合理假定的長時間內(nèi)），所以加密密鑰能夠公開，每個人都能用加密密鑰加密信息，但只有解密密鑰的擁有者才能解密信息。 對稱算法可分為兩類 。 1） 對稱算法 對稱算法就是加密密鑰能夠從解密密鑰中推算出來 ， 反過來也成立 。 K可以是很多數(shù)值里的任意值 。 加密函數(shù) E作用于 P得到密文 C， 可以表示為： E（ P） =C。 敏感性程度依次遞增這是按照泄漏后對公司和組織利益的損害程度來排序的 。 例如客戶數(shù)據(jù)和預算信息等 。 如出版的年度報告 、 新聞信件等 。而這些靜態(tài)信息和動態(tài)信息中有些是開放的 ， 如廣告 、公共信息等 ， 有些是保密的 ， 如 :私人間的通信 、 政府及軍事部門 、 商業(yè)機密等 。 應急措施和備份恢復： 要根據(jù)所用信息系統(tǒng)的功能特性和災難特點制定包括 應急反應 、 備份操作 、 恢復措施三個方面內(nèi)容的應急計劃 ， 一旦發(fā)生災害事件 ， 就可按計劃方案最大限度地恢復計算機系統(tǒng)的正常運行 。 風險分析： 了解影響信息系統(tǒng)安全運行的因素和存在的風險 ， 找出克服這些風險的方法 。 運行安全：風險分析 ， 審計跟蹤 ， 備份與恢復 ， 應急 。 真實性 訪問控制：這種服務保證信息資源不被非授權地使用 。 可審查性 ： 對出現(xiàn)的安全問題提供調(diào)查的依據(jù)和手段 。 使靜態(tài)信息可見 ， 動態(tài)信息可操作 。 完整性鑒別機制 ，保證只有得到允許的人才能修改數(shù)據(jù) 。 3. 網(wǎng)絡安全的基本要素 安全的內(nèi)涵 （ 要素 ） ： 機密性 confidentiality、 完整性integrity、 可用性 availability、 可控性與可審查性 。1998年美國 莫里斯 病毒發(fā)作 ， 一天之內(nèi)使 6000多臺計算機感染 ， 損失達 9000萬美元 。 安全隱患 e)計算機病毒威脅 計算機病毒是一種能夠進行自我復制的程序 ， 可以通過多種方式植入計算機中 ， 通過 Inter網(wǎng)植入病毒更容易 。 數(shù)據(jù)庫的攻擊分直接攻擊和間接攻擊兩大類 。 其 安全機制也存在先天不足 ， 協(xié)議還具有許多安全漏洞 ， 為攻擊者提供了方便 ， 如地址欺騙等 。 網(wǎng)絡上進行文件傳輸 、 加載將帶來安全隱患 。如 Windows95存在兩千多處缺陷 。 一些交換機和路由器具有遠程診斷和服務功能 ， 既然可以遠程進入系統(tǒng)服務 、 維修故障 ， 也就可以遠程進入系統(tǒng)了解情報 、 越權控制 。 美國警方：把所有涉及到 利用 、 借助 、 通過 或 阻撓 計算機的犯罪行為都定為 hacking。 黑客 (hacker)：對技術的局限性有充分認識，具有操作系統(tǒng)和編程語言方面的高級知識，熱衷編程，查找漏洞，表現(xiàn)自我。第六章 計算機網(wǎng)絡的安全和管理 計算機網(wǎng)絡安全 網(wǎng)絡信息系統(tǒng)按照一定的應用目標和規(guī)則對信息進行采集、加工、存儲、傳輸、檢索等處理， “ 安全 ” 一詞是指使其沒有危險、不受威脅、不出事故，即將服務與資源的脆弱性降到最低限度。 從技術角度看，計算機網(wǎng)絡安全是一個涉及計算機科學、網(wǎng)絡技術、通信技術、密碼學、數(shù)學、信息論等多種學科的邊緣性綜合學科 1. 黑客 “黑客 ” 一詞在信息安全范疇內(nèi)的普遍含意是特指對電腦系統(tǒng)的非法侵入者。 “ 紅客 ” honker：中國的一些黑客自稱 “ 紅客 ” honker。 安全隱患 網(wǎng)絡設備 ： 我國計算機網(wǎng)絡使用的絕大部分網(wǎng)絡設備 ， 如路由器 、 集線器 、 交換機 、 服務器 、 以及網(wǎng)絡軟件等都是進口的 ， 其安全隱患不容忽視 。 計算機黑客能輕而易舉地從 后門 進入系統(tǒng) ， 取得系統(tǒng)控制權 ， 并危及計算機處理或存儲的重要數(shù)據(jù) 。 為了實現(xiàn)通用性 、 可裁剪 性 ， 能夠安裝其他公司的軟件包 ， 這些軟件包往往是操作系統(tǒng)的一部分 ， 需要與操作系統(tǒng)同樣的訪問特權 ， 安裝這些軟件包的 “ 抓鉤 ” 程序就是非法攻擊者入侵操作系統(tǒng)的陷門 。 安全隱患 c)網(wǎng)絡協(xié)議的安全隱患 網(wǎng)絡協(xié)議也都由美國等國家開發(fā)或制定標準 。 應用層安全隱患： Finger、 FTP、 Tel、 Email、SNMP、 RPC、 NFS 安全隱患 d)數(shù)據(jù)庫系統(tǒng)安全隱患 由于數(shù)據(jù)庫平臺全系引進 ， 盡管廠商聲稱具有安全機制 ， 但對國內(nèi)用戶猶如一個 黑匣子 。 統(tǒng)計攻擊通過使用某些明顯隱匿的統(tǒng)計量來推導出數(shù)據(jù) ， 例如使用求和等統(tǒng)計數(shù)據(jù)來得到某些數(shù)據(jù) 。 新的病毒不僅刪除文件 、 使數(shù)據(jù)丟失 ， 甚至破壞系統(tǒng)硬件 ， 可以造成巨大損失 。 金融 、 證券 、郵電 、 科研院所 、 設計院 、 政府機關等單位幾乎是天生的受攻擊者 ， 內(nèi)部人員對本單位局域網(wǎng)的熟悉又加劇了其作案和被外部人勾結引誘的可能性 。 防泄密 完整性：只有得到允許的人才能修改實體或進程 ， 并且能夠判別出實體或進程是否已被修改 。 用 訪問控制機制 ， 阻止非授權用戶進入網(wǎng)絡 。 使用授權機制 ， 控制信息傳播范圍 、 內(nèi)容 ， 必要時能恢復密鑰 ， 實現(xiàn)對網(wǎng)絡資源及信息的可控性 。 認證：保證信息使用者和信息服務者都是真實可信的 ， 防止冒充和重演的攻擊 。 計算機系統(tǒng)安全：物理安全 、 運行安全和信息安全 物理安全：環(huán)境安全 ， 設備安全和媒體安全 。 運行安全 為保障系統(tǒng)功能安全實現(xiàn) ， 提供一套安全措施 （ 如風險分析 ， 審計跟蹤 ， 備份與恢復 ， 應急 ） 來保護信息處理過程的安全 。 要求系統(tǒng)管理員保存 、 維護和管理好審計日志 。 網(wǎng)絡信息既有存儲于網(wǎng)絡節(jié)點上信息資源 ， 即 靜態(tài)信息 ， 又有傳