【正文】 般采取兩種加密形式：對稱密鑰和公開密鑰，采用何種加密算法則要結(jié)合具體應用環(huán)境和 系統(tǒng)，而不能簡單地根據(jù)其加密強度來作出判斷。 網(wǎng)絡安全的標準 有代表性的標準有： 信息技術安全評估標準 ITSEC（歐洲） 16 包含可信計算機安全評估標準 TCSEC 的美國新聯(lián)邦標準 加拿大可信計算機產(chǎn)品評估標準 CTCPEC TCSEC 的可信數(shù)據(jù)庫解釋 TNI TCSEC 的可信數(shù)據(jù)庫解釋 TDI ISOSC27WG3 安全評估標準 ISO74982N 安全體系結(jié)構(gòu)標準 Open Group 公司和 Open Software Foundation 公司組成的 Open Group 組織提出的 X/Open Security 安全標準 Check Point 公司提出的開放企業(yè)安全連接平臺 OPSEC (Open Platform for Secure Enterprise Connectivity) 以 OPSEC APIs (CVP、 UFP、 SAMP、 LEA) 、工業(yè)標準協(xié)議（ RADIUS、 IPSec、SKIP、 SNMP、 ISAKMP、 LDAP、 ODBC、 ） 和 INSPECT（一種高級的監(jiān)控描述語言）的方式，集成和管理所有的網(wǎng)絡安全技術形成一個統(tǒng)一的平臺，允許網(wǎng)絡用戶選擇不同的系統(tǒng)組成來達到企業(yè)安全連接的要求 ———— 訪問控制、認證、加密、開放的安全管理、網(wǎng)絡地址翻譯、內(nèi)容安全、連接控制、審計等，從而提高了網(wǎng)絡系統(tǒng)的安全性。由于該協(xié)議直接位于 IEEE802 邏輯鏈路層 (LLC)上，它可以不依賴于任何特定的網(wǎng)絡 層協(xié)議進行網(wǎng)絡傳輸。 (3) CMOT 公共管理信息服務與協(xié)議 (CMOT)是在 TCP／ IP 協(xié)議簇上實現(xiàn) CMIS 服務，這是一種過渡性的解決方案，直到 OSI 網(wǎng)絡管理協(xié)議被廣泛采用。 (2) CMIS／ CMIP 公共管理信息服務／公共管理信息協(xié)議 (CMIS／ CMIP)是哦 OSI 提供的網(wǎng)絡管理協(xié)議簇。同時，IAB 還分別成立了相應的工作組，對這些方案進行適當?shù)男薷?，使它們更適于Inter 的管理。同時與前面三種網(wǎng)絡管理系統(tǒng)相比， SPECTRUM 只得到少數(shù) 第三方開發(fā)廠商的支持。對于SNM，該系統(tǒng)跟其他大多數(shù)網(wǎng)絡管理系統(tǒng)一樣，它也不能提供 NetWare， SNA，DEC， ，無線通信交換機以及其他非 SNMP 設備的管理功能。在網(wǎng)絡管理產(chǎn)品市場上， NetView 在過去幾年得到廣泛的關注。它的最大特點是被第三方應用開發(fā)廠商所廣泛接受。同時，也正是得益于這樣的網(wǎng)絡管理系統(tǒng)，我們才能對網(wǎng)絡進行充分、完備和有序的管理。 (5) 計費管理 a. 計費數(shù) 據(jù)采集：計費數(shù)據(jù)采集是整個計費系統(tǒng)的基礎，但計費數(shù)據(jù)采集往往受到采集設備硬件與軟件的制約，而且也與進行計費的網(wǎng)絡資源有關。網(wǎng)絡管理本身的安全由以下機制來保證： a. 管理員身份認證，采用基于公開密鑰的證書認證機制；為提高系統(tǒng)效率，對于信任域內(nèi) (如局域網(wǎng) )的用戶，可以使用簡單口令認證。 f. 網(wǎng)絡對象性能查詢：可通過列表或按關鍵字檢索被管網(wǎng)絡對象及其屬性的性能記錄。 (2) 性能管理 a. 性能監(jiān)控：由用戶定義被管對象及其屬性。同樣根據(jù)設置手段對網(wǎng)絡配置信息進行分類：一類是可以通過網(wǎng)絡管理協(xié)議標準中定義的方法 (如 SNMP 中的 set 服務 )進行設置的配置信息；二類是可以通過自動登錄到設備進行配置的信息；三類就是需要修改的管理性配置信息。事實上，網(wǎng)絡管理還應該包括其他一些功能，比如網(wǎng)絡規(guī)劃、網(wǎng)絡操作人員的管理等。 ? 網(wǎng)絡中還有許多網(wǎng)絡軟件提供各種服務。他們的安全標準都制定了 4 個級別和 7 個級。這又引出一個問題，如何保證一個協(xié)議的安全性？協(xié)議安全性的保證通常有兩種方法：一種是用形式證明一個協(xié)議是安全的，另一個是用設計者的經(jīng)驗來判定的，所以對復雜的通信協(xié)議安全性，目前主要采取找漏洞的分析方法。 (1) 保密性 為用戶提供安全可靠的通信是網(wǎng)絡最為重要的內(nèi)容。 網(wǎng)絡安全的內(nèi)容 網(wǎng)絡安全的內(nèi)容遠不只是使用用戶識別碼和 口令，它包含著廣泛的規(guī)則和慣例，用來幫助保護我們建立網(wǎng)絡，使信息不受損害。網(wǎng)絡安全的目標不僅是保護網(wǎng)絡系統(tǒng)的部件、程序、數(shù)據(jù)免遭他人未經(jīng)授權而使用或訪問，安全計劃的目標是保護企業(yè)。 2. 網(wǎng)絡安全概述 網(wǎng)絡安全涉及法律、管理和技術等諸多因素，是一個人 — 機 — 網(wǎng)復雜的系統(tǒng)問題。在網(wǎng)絡的監(jiān)測和測試中，故障管理參考配置管理的資源清單來識別網(wǎng)絡元素。配置管理建立和維護配置 MIB（管理信息庫），配置 MIB 不僅供配置管理功能使用，也要供所有管理功能使用。因此，網(wǎng)絡管理可被看作是一組過程和任務的集成。總之，網(wǎng)絡管理是利用多種工具、應用程序和設備來幫助網(wǎng)絡管理員監(jiān)控和維護網(wǎng)絡的一種服務。隨后的一些網(wǎng)絡結(jié)構(gòu)，如IBM 的 SNA、 DEC 的 DNA、 SUN 的 AppleTalk 等，也都有相應的管理系統(tǒng)。于是網(wǎng)絡規(guī)模日益擴大，復雜性也日益提高，人們對網(wǎng)絡的安全和穩(wěn)定的要求越來越高，這使得網(wǎng)絡的構(gòu)建和日常維護成為很棘手的問題。 總之，隨著網(wǎng)絡經(jīng)濟時代的到來，網(wǎng)絡將會成為一個無處不用、無所不用的工具。這些網(wǎng)絡的發(fā)展使得大到國家經(jīng)濟命脈小到個人日常生活嚴重依賴于計算機網(wǎng)絡，因此網(wǎng)絡運行的穩(wěn)定性、可靠性就顯得至關重要，于是網(wǎng)絡管理就應運而生。 [關鍵字 ] ISO 網(wǎng)絡管理模式、簡單網(wǎng)絡管理協(xié)議（ SNMP）、密碼技術、防火墻技術 [Abstract] This paper makes a detail statement of Network Management, Network Safety and the technology theory of them. At the end, it makes the prospect of the future of Network Management and Network Safety. [Key Words] ISO Network Management Form、 Simple Network Management Protocol、 Code Technology、Firewall Technology 2 網(wǎng)絡管理與網(wǎng)絡安全 [引言 ] 隨著網(wǎng)絡技術與應用的不斷發(fā)展，計算機網(wǎng)絡在我們的日常生活中已經(jīng)變得越來越普遍。網(wǎng)絡管理系統(tǒng)也因此越來越獨立，越來越復雜，功能也越來越完備，網(wǎng)絡管理也發(fā)展成為計算機網(wǎng)絡中的 一個重要分支，國際上各種網(wǎng)絡管理的標準也相繼制定，網(wǎng)絡管理逐步變得規(guī)范化、制度化 。 3 第一章 網(wǎng)絡管理、網(wǎng)絡安全概述 1. 網(wǎng)絡管理概述 如今，網(wǎng)絡信息以其無窮的魅力進入社會生 活。當前計算機網(wǎng)絡的發(fā)展特點是規(guī)模不斷擴大，復雜性不斷增加，異構(gòu)性日益增強。但是，網(wǎng)絡運行過程中負載平衡等動態(tài)措施也是提高網(wǎng)絡性能的重要方面。 網(wǎng)絡管理功能不是孤立的，完成某項管理功能往往需要其他管理功能的配合。具體地講，就是在網(wǎng)絡建立、擴充、改造以及工作的開展過程中，對網(wǎng)絡的拓撲結(jié)構(gòu)、資源配備、使用狀態(tài)等配置信息進行定義、監(jiān)測和修改。當發(fā)現(xiàn)網(wǎng)絡性能嚴重惡化時，性能管理要與故障管理互通。安全管理要調(diào)用配置管理中的系統(tǒng)服務，對網(wǎng)絡中的安全設施進行控制和維護。教育與培訓，應該是網(wǎng)絡安全領 域的一個全員、全過程問題，網(wǎng)絡信息安全防護體系也應該以人為本建立。 從網(wǎng)絡運行和管理者角 度來說，他們希望對本地網(wǎng)絡信息的訪問、讀寫等操 6 作受到保護和監(jiān)控，避免出現(xiàn)“陷門”、病毒、非法存取、拒絕服務、網(wǎng)絡資源非法占用和非法控制等威脅，制止和防御網(wǎng)絡黑客的攻擊。在一個大型 LAN 中，可能就需要用到加密技術等。如果網(wǎng)絡通信協(xié)議存在通信安全上的缺陷，那么攻擊者就可能不必攻破密碼體制即可獲得所需要的信息或服務。所以有必要對接入網(wǎng)絡的權限加以控制，并規(guī)定每一個用戶的接入權限。 普通級別分為 7 個保證級，通常稱為 EAL1— EAL7。最主要的標準有： ? OSI 管理框架（ IS 74894） ? 公共管理信息服務（ IS 9595） ? 公共管理信息協(xié)議（ CMIP。即使在管理人員不是很熟悉網(wǎng)絡結(jié)構(gòu)和配置狀況的情況下，也能通過有關的技術手段來完成對網(wǎng)絡的配置和管理。 d. 用戶操作記錄功能：配置系統(tǒng)的安全性是整個網(wǎng)絡管理系統(tǒng)安全的核心，因此，必須對用戶進行的每一配置操作進行記錄。 c. 性能分橋：對歷史數(shù)據(jù)進行分析，統(tǒng)計和整理，計算性能指標，對性能狀況作出判斷，為網(wǎng)絡規(guī)劃提供參考。 e. 檢索／分析故障信息：瀏閱并且以關鍵字檢索查詢故障管理系統(tǒng)中所有的數(shù)據(jù)庫記錄，定期收集故障記錄數(shù)據(jù)，在此基礎上給出被管網(wǎng)絡系統(tǒng)、被管線路設備的可靠性參數(shù)。 b. 告警事件分析，接收網(wǎng)絡對象所發(fā)出的告警事件，分析員安全相關的信息(如路由器登錄信息、 SNMP 認證失敗信息 )，實時地向管理員 告警，并提供歷史安全事件的檢索與分析機制，及時地發(fā)現(xiàn)正在進行的攻擊或可疑的攻擊跡象。 e. 數(shù)據(jù)分析與費用計算：利用采集的網(wǎng)絡資源使用數(shù)據(jù)，聯(lián)網(wǎng)用戶的詳細信息以及計費政策計算網(wǎng)絡用戶資源的使用情況，并計算出應交納的費用。 (1) HP 的 0penView HP的 OpenView 有爭議地成為了第一個真正兼容的、跨平臺的網(wǎng)絡管理系統(tǒng)，因此也得到了廣泛的市場應用。NetView 既可以作為一個跨平臺 的、即插即用的系統(tǒng)提供給最終用戶，也可以作為一個開發(fā)平臺，在上面開發(fā)新的網(wǎng)絡管理應用。 SNM 一直主要作為開發(fā)平臺而存在，它僅僅提供很有限的應用功能。 SPECTRUM 構(gòu)筑在一個人工智能的引擎之上，該引擎叫 Inductive Modeling Technology(IMT)，同時 SPECTRUM借助于面向?qū)ο蟮脑O計，可以管理多種對象實體；該網(wǎng)絡管理系統(tǒng)還提供針對Novell 的 NetWare 和 Banyan 的 VINES 這些局域網(wǎng)操作系統(tǒng)的網(wǎng)關支持。研究開發(fā)者們迅速展開了對網(wǎng)絡管理 的研究，并提出了多種網(wǎng)絡管理方案，包括 HEMS、 SGMP、 CMIS／ CMIP 等。 b. SNMP 是建立在 SGMP 基礎上的，而對于 SGMP，人們積累了大量的操作經(jīng)驗。也在這層上，公共管理信息服務單用戶界面 網(wǎng)絡 管理 應用1 網(wǎng)絡 管理 應用3 網(wǎng)絡 管理 應用2 NMS MIB NMS 網(wǎng)絡協(xié)議 互聯(lián)網(wǎng) 網(wǎng)絡協(xié)議 代理 進程 MIB 代理 進程 SNMP 協(xié)議 15 元 (CMISE)提供了應用程序使用 CMIP 協(xié)議的接口。事實上，雖然存在 CMOT 的定義，但該協(xié)議已經(jīng)很長時間沒有得到任何發(fā)展了。大量事實表明，確保網(wǎng)絡安全已經(jīng)是一件刻不容緩的大事。按作用不同 ，數(shù)據(jù)加密技術主要分為數(shù)據(jù)傳輸、數(shù)據(jù)存儲、數(shù)據(jù)完整性的鑒別以及密鑰管理技術這四種。常用的公鑰加密算法是 RSA 算法，加密強度 17 很高。如 Inter,其安全性主要建立在TCP/IP 協(xié)議之上。服務器就將它仍與數(shù)據(jù)庫里的用戶名和口令進行比較，如果相符，就通過了認證，可以上網(wǎng)訪問。也就是說他們不是采用一種方法，而是采用有兩種形式的證 明方法，這些證明方法包括令牌、智能卡和仿生裝置，如視網(wǎng)膜或指紋掃描器。這是迄今為止最為完整最為權威的電子商務安全保障協(xié)議。它是一種隔離控制技術，在某個機構(gòu)的網(wǎng)絡和不安全的網(wǎng)絡（如 Inter）之間設置屏障，阻止對信息資源的非法訪問，也可以使用防火墻阻止重要信息從企業(yè)的網(wǎng)絡上被非法輸出。 FireWall 一般安裝在路由器上以保護一個子網(wǎng)，也可以安裝在一臺主機上，保護這臺主機不受侵犯。 b. 應用級網(wǎng)關： 19 應用級網(wǎng)關能夠檢查進出的數(shù)據(jù)包，通過網(wǎng)關復制傳遞數(shù)據(jù)，防止在受信任服務器和客戶機與不受信任的主機間直接建立聯(lián)系。 c. 電路級網(wǎng)關： 電路級網(wǎng)關用來監(jiān)控受信任的客戶或服務器與不受信任的主機間的 TCP 握手信息 ,這樣來決定該 會話（ Session）是否合法 ,電路級網(wǎng)關是在 OSI 模 型中會話層上來過濾數(shù)據(jù)包 ,這樣比包過濾防火墻要高二層。它同包過濾防火墻一樣，規(guī)則檢查防火墻能夠在 OSI 網(wǎng)絡層上通過 IP 地址和端口號，過濾進出的數(shù)據(jù)包。 網(wǎng)絡的安全對整個系統(tǒng)的正常運行和發(fā)展起著至關重要的影響。 ? 電子郵件病毒 ： 超過 85%的人使用互聯(lián)網(wǎng)是為了收發(fā)電子郵件，沒有人統(tǒng)計其中有多少正使用直接打開附件的郵件閱讀軟件。自由 軟件要求所有結(jié)果必須公開，據(jù)說讓全世界的程序員一起來查找漏洞，效率會很高。 網(wǎng)絡安全缺陷 如果網(wǎng)絡信息系統(tǒng)本身沒有任何安全缺陷，那么惡意攻擊者即使再有天大的本事也不能對網(wǎng)絡信息安全和保密構(gòu)成威脅。 (3) WWW 的欺騙技術 在網(wǎng)上。有些缺陷是可以通過人為努力加以避免或者改進，但有些安全缺陷則是各種折