【正文】 服務(wù)器模式來分析應(yīng)用層的數(shù)據(jù)，它允許受信任的客戶機和不受信任的主機建立直接連接。但如果商店的售貨員問： “把錢包給我，請相信我會取出合適數(shù)量的錢替您付款，您說好嗎？ ”你一定會斬釘截鐵地回答： “No！ ”這兩種情況本質(zhì)上沒有不同。 ? 普遍存在的安全缺陷： 網(wǎng)絡(luò)的規(guī)模、電磁輻射和電磁泄漏、搭線、串音 ? 中國特色的安全缺陷： 由技術(shù)被動性引起的安全缺陷、人員素 質(zhì)問題引起的安全缺陷、缺乏系統(tǒng)的安全標準所引起的安全缺陷 網(wǎng)絡(luò)黑客與防范措施 網(wǎng)絡(luò)黑客攻擊方法 （ 1） 獲取口令 這又有三種方法：一是通過網(wǎng)絡(luò)監(jiān)聽非法得到用戶口令，這類方法有一定的局限性，但危害性極大，監(jiān)聽者往往能夠獲得其所在網(wǎng)段的所有用戶賬號和口令，對局域網(wǎng)安全威脅巨大；二是在知道用戶的賬號后（如電子郵件 前面的部分）利用一些專門軟件強行破解用戶口令，這種方法不受網(wǎng)段限制，但黑客要有足夠的耐心和時間；三是在獲得一個服務(wù)器上的用戶口令文件（此文件成為 Shadow文件）后，用暴力破解程序破解用戶口令，該方法的使用前提是黑客獲得口令的Shadow 文件。我們只能期望他們技術(shù)高超、道德高尚?？赡軙茈y看，可能使用會不太方便，但我們留在服務(wù)器上的隱私會得到更大的保障。 d. 規(guī)則檢查防火墻： 該防火墻結(jié)合了包過濾防火墻、電路級網(wǎng)關(guān)和應(yīng)用級網(wǎng)關(guān)的特點。其次，通過定義基于 TCP 或 UDP 數(shù)據(jù)包的端口號，防火墻能夠判斷是否允許建立特定的連接，如 Tel、 FTP 連 接。 (1) 防火墻原理 防火墻（ FireWall）成為近年來新興的保護計算機網(wǎng)絡(luò)安全技術(shù)性措施。如波斯頓的 Beth Isreal Hospital 公司和意大利一家居領(lǐng)導(dǎo)地位的電信公司正采用 “雙重認證 ”辦法來保證用戶的身份證明。從某種意義上講，數(shù)據(jù)加密系統(tǒng)得強度 主要取決于所用的安全協(xié)議的安全性。 密碼技術(shù)是網(wǎng)絡(luò)安全的核心 數(shù)據(jù)加密技術(shù)從技術(shù)上的實現(xiàn)分為軟件和硬件兩方面。相反，許多重要廠商都加入了 SNMP 潮流并在其中投入了大量資源。最初， SNMP 是作為一種可提供最小網(wǎng)絡(luò)管理功能的臨時方法開發(fā)的，它具有以下兩個優(yōu)點： a. 與 SNMP 相關(guān)的管理信息結(jié)構(gòu) (SMI)以及管理信息庫 (MIB)非常簡單，從而能夠迅速、簡便地實現(xiàn) 。 (4) Cabletron 的 SPECTRUM Cabletron 的 SPECTRUM 是一個可擴展的、智能的網(wǎng)絡(luò)管理系統(tǒng)，它使用了面向?qū)ο蟮姆椒ê?C1ient／ Server 體系結(jié)構(gòu)。 (2) IBM 的 NetView IBM 的 NetView 是一個相對比較新，同時又具有兼容性的網(wǎng)絡(luò)管理系統(tǒng)。 d. 政策比較與決策支持：計費 管理應(yīng)該提供多套計費政策的數(shù)據(jù)比較，為政策制訂提供決策依據(jù)。 d. 排錯支持工具：向管理人員提供一系列的實時檢測工具，對被管設(shè)備的狀況進行測試并記錄下測試結(jié)果以供技術(shù)人員分析和排錯； 根據(jù)已有的徘錯經(jīng)驗和管理員對故障狀態(tài)的描述給出對徘錯行動的提示。在網(wǎng)絡(luò)的配置中，對網(wǎng)絡(luò)正常運行影響最大的主要是路由器端口配置和路由信息配置，因此，要進行、致性檢查的也主要是這兩類信息。 現(xiàn)以 ISO 網(wǎng)絡(luò)管理模式 為例進行詳細介 紹： 目前國際化標準化組織 ISO 制定了大量的有關(guān)網(wǎng)絡(luò)管理的標準，其內(nèi)容統(tǒng)稱為 OSI 系統(tǒng)管理。但如果這種接入是沒有什么限制的，這將帶來許多安全問題。在一個小型的 LAN 中，數(shù)據(jù)完整性的損壞更多的可能是由于疏忽，而不是惡意，因而采取一些相對簡單的安全性技術(shù)措施就可以了。信息高速公路也如此，確保網(wǎng)絡(luò)安全，應(yīng)該從提高每一個網(wǎng)絡(luò)操作者的安全意識開始。性能管理在進行性能指標監(jiān)測、分析和控 制時要訪問配置 MIB。 從網(wǎng)絡(luò)維護的角度考慮，網(wǎng)絡(luò)管理主要包括網(wǎng)絡(luò)建設(shè)、網(wǎng)絡(luò)維護和網(wǎng)絡(luò)服務(wù)。網(wǎng)絡(luò)也是一個系統(tǒng)，網(wǎng)絡(luò)管理作為一項重要技術(shù)，已成為現(xiàn)代信息網(wǎng)絡(luò)發(fā)展中不可缺少的一環(huán)。而 Inter 的出現(xiàn)打破了網(wǎng)絡(luò)的地域限制，跨地域的廣域網(wǎng)絡(luò)得到飛速發(fā)展，這時的網(wǎng)絡(luò)管理不再局限于保證文件的傳輸，而是保障連接網(wǎng)絡(luò)的網(wǎng)絡(luò)對象 (路由器、交換機、線路等 )的正常運轉(zhuǎn)，同時監(jiān)測網(wǎng)絡(luò)的運行性能，優(yōu)化網(wǎng)絡(luò)的拓撲結(jié)構(gòu)。 網(wǎng)絡(luò)管理是計算機網(wǎng)絡(luò)發(fā)展的必然產(chǎn)物，它隨著計算機網(wǎng)絡(luò)的發(fā)展而發(fā)展。為了保證網(wǎng)絡(luò)能夠正常運行，更好地滿足用戶需求，網(wǎng)絡(luò)管理作為一門重要的專項技術(shù)被提上日程。 4 網(wǎng)絡(luò)管理的范圍 網(wǎng)絡(luò)管理的范圍從不同的角度考慮可以作如下的描述。 （ 2） 性能管理 性能管理保證有效運營網(wǎng)絡(luò)和提供約定的服務(wù)質(zhì)量，在保證各種業(yè)務(wù)的服務(wù)質(zhì)量的同時，盡量提高網(wǎng)絡(luò)資源利用率。構(gòu)筑網(wǎng)絡(luò)安全防護體系固然離不開技術(shù)基礎(chǔ)，是一項技術(shù)難度高、管理復(fù)雜、責任重大的工作，需要所有人員（包括管理者、技術(shù)人員、使用者等）共同努力、相互配合、共同完成，因此，網(wǎng)絡(luò)安全有關(guān)人員的安全意識培訓(xùn)，是網(wǎng)絡(luò)安全的核心。網(wǎng)絡(luò)安全性由數(shù)據(jù)安全性和通信的安全性兩部分組成。當然，也可 以開發(fā)一些人工智能工具來輔助分析。 8 ? 隨著用戶對網(wǎng)絡(luò)性能要求的提高，建立一個高效的管 理系統(tǒng)對網(wǎng)絡(luò)系統(tǒng)進行管理，是保證網(wǎng)絡(luò)正常運行的必要措施。 c. 配置一致性檢查：在一個大型網(wǎng)絡(luò)中，由于網(wǎng)絡(luò)設(shè)備眾多，而且由于管理的原因，這些設(shè)備很可能不是由同一個管理人員進行配置的。 (3) 故障管理 a. 故障監(jiān)測：主動探測或被動接收網(wǎng)絡(luò)上的各種事件信息，并識別出其中與網(wǎng)絡(luò)和系統(tǒng)故障相關(guān)的內(nèi)容，對其中的關(guān)鍵部分保持跟蹤，生成網(wǎng)絡(luò)故障事件記錄。 b. 數(shù)據(jù)管理與數(shù)據(jù)維護：計費管理人工交互性很強，雖然有很多數(shù)據(jù)維護系統(tǒng)自動完成，但仍然需要人為管理，包括交納費用的輸入、聯(lián)網(wǎng)單位信息維護，以及賬單樣式?jīng)Q定等。比如 IBM 就把 OpenView 增強功能并擴展成為自己的 NetView 產(chǎn)品系列，從而與OpenView 展開競爭。 SNM 只能運行在 SUN 平臺上，它 需要 32MB 內(nèi)存和 400MB 硬盤。這些工作組隨后相應(yīng)推出了 SNMP(Simple NetWork Management Protoc011988)和 CMOT(CMIP／ CMIS Over TCP／ IPl989)等網(wǎng)絡(luò)管理協(xié)議，下面進行簡單介紹。 CMIS使用的應(yīng)用協(xié)議并沒有根據(jù) CMOT而修改， CMOT仍然依賴于 CMISE、ACSE 和 ROSE 協(xié)議，這和 CMIS／ CMIP 是一樣的。 網(wǎng)絡(luò)安全技術(shù) 網(wǎng)絡(luò)安全的技術(shù)現(xiàn)狀 隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，如何保證網(wǎng)絡(luò)上存儲和傳輸信息的安全性成了新的安全研究熱點。數(shù)字簽名每次還與被傳送的數(shù)據(jù)和時間等因素有關(guān)。在安全方面最薄弱的一環(huán)是規(guī)程分析儀的竊聽，如果口令以明碼（未加密）傳輸，接入到網(wǎng)上的規(guī)程分析儀就會在用戶輸入帳戶和口令時將它記錄下來，任何人只要獲得這些信息就可以上網(wǎng)工作。從 1991 年 6 月 ANS 公司的第一個防火墻產(chǎn)品 ANS Interlock Service 防火墻上市以來，到目前為止，世界上至 少有幾十家以上的公司和研究所在從事防火墻技術(shù)的研究和產(chǎn)品開發(fā)。一個路由器便是一個 “傳統(tǒng) ”的網(wǎng)絡(luò)級防火墻，大多數(shù)的路由器都能通過檢查這些信息來決定是否將所收到的包轉(zhuǎn)發(fā)，但它不能判斷出一個 IP 包來自何方，去向何處。包過濾技術(shù)和應(yīng)用網(wǎng)關(guān)是通過特定的邏輯判斷來決定是否允許特定的數(shù)據(jù)包通過，一旦判斷條件滿足，防火墻內(nèi)部網(wǎng)絡(luò)的結(jié)構(gòu)和運行狀態(tài)便 “暴露 ”在外來用戶面前，這就引入了代理服務(wù)的概念，即防火墻內(nèi) 外計算機系統(tǒng)應(yīng)用層的 “鏈接 ”由兩個終止于代理服務(wù)的 “鏈接 ”來實現(xiàn)，這就成功地實現(xiàn)了防火墻內(nèi)外計算機系統(tǒng)的隔離。 ? Java： 作為一種技術(shù)，到底是否成功， 一直備受爭議。這是標準的注意力經(jīng)濟模式。當您連接到因特網(wǎng)上時，這個程序就會通知黑客，來報告您的 IP 地址以及預(yù)先設(shè)定的端口。但蓋茨沒有受到太大影響，遭罪的是普通人。 b. 防火墻技術(shù)的另外一個弱點在于數(shù)據(jù)在防火墻之間的更新是一個難題，如果延遲太大將無法支持實時服務(wù)請求。 應(yīng)用級網(wǎng)關(guān)有較好的訪問控制，是目前最安全的防火墻技術(shù)，但實現(xiàn)困難，而且有的應(yīng)用級網(wǎng)關(guān)缺乏 “透明度 ”。如果一個企業(yè)只是使用 Inter 的電子郵件和 WWW 服務(wù)器向外部提供信息，那么就可以在 FireWall 上設(shè)置使得只有這兩類應(yīng)用的數(shù)據(jù)包可以通過。這種解決辦法可以持續(xù)較長的時間，并且更加靈活，存儲信息更多，并具有可供選擇的管理方式。至于說到 “他知道什么 ”，最普通的就是口令，口令具有共享秘密的屬性。即公開密鑰加密，它的加密密鑰和解密密鑰是不同的。 2. 網(wǎng)絡(luò)安全 網(wǎng)絡(luò)安全的重要性 隨著網(wǎng)絡(luò)的快速普及及網(wǎng)絡(luò)的開放性、共享性、互聯(lián)程度的擴大，特別是Inter 網(wǎng)的出現(xiàn)，網(wǎng)絡(luò)的重要性和對社會的影響也越來越大。 出于通用性的考慮， CMlS/CMIP 的功能與結(jié)構(gòu)跟別 MP 很不相同， SNMP 是按照簡單和易于實現(xiàn)的原則設(shè)計的 ，而 CMIS／ CMIP 則能夠提供支持一個完整網(wǎng)絡(luò)管理方案所需的功能。以往的網(wǎng)絡(luò)管理系統(tǒng)往往是廠商在自己的網(wǎng)絡(luò)系統(tǒng)中開發(fā)的專用系統(tǒng)，很難對其他廠商的網(wǎng)絡(luò)系統(tǒng)、通信設(shè)備軟件等進行管理，這種狀況很不適應(yīng)網(wǎng)絡(luò)異構(gòu)互聯(lián)的發(fā)展趨勢。雖然目前 NewView 在吸引第三方應(yīng)用開發(fā)廠商方面還不如 openView，但這種差距正在縮小。我們下面將介紹四種網(wǎng)絡(luò)管理系統(tǒng)，并給出它們的優(yōu)缺點比較。 e. 系統(tǒng)日志分析，記錄用戶所有的操作，使系統(tǒng)的操作和對網(wǎng)絡(luò)對象的修改有據(jù)可查，同時也有助于故障的跟蹤與恢復(fù)。 b. 閾值控制：可對每一個被管對象的每一條屬性設(shè)置閾值，對于特定被管對象的特定屬性，可以針對不同的時間段和性能指標進行閾值設(shè)置。 (1) 配置管理 9 a. 配置信息的自動獲?。涸谝粋€大型網(wǎng)絡(luò)中，需要管理的設(shè)備是比較多的，如果每個設(shè)備的配置信息都完全依靠管理人員的手工輸入，工作量是相當大的，而且還存在出錯的可能性。此標準由兩部分組成：加拿大可信任計算機產(chǎn)品評估標準 (Canadian Trusted Computer Product Evaluation Criteria,簡稱CTCPEC)和普通標準（ Common Criteria）。 (2) 安全協(xié)議設(shè)計 網(wǎng)絡(luò)的安全協(xié)議是網(wǎng)絡(luò)安 全的一個重要方面。不同的壞境和應(yīng)用，網(wǎng)絡(luò)安全會有不同的解釋。安全管理主要包括風(fēng)險分析，安全服務(wù)，告警、日志和報告功能以及網(wǎng)絡(luò)管理系統(tǒng)保護功能。網(wǎng)絡(luò) 管理是控制一個復(fù)雜的數(shù)據(jù)網(wǎng)絡(luò)去獲得最大效益和生產(chǎn)率的過程，為更好地定義網(wǎng)絡(luò)管理的范圍，國際標準化組織把網(wǎng)絡(luò)管理的任務(wù)分為 5 個部分，即網(wǎng)絡(luò)的配置管理、性能管理、故障管理、安全管理和計費管理。 網(wǎng)絡(luò)系統(tǒng)規(guī)模的日益擴大和應(yīng)用水平的不斷提高，一方面使得網(wǎng)絡(luò)的維護成為網(wǎng)絡(luò)管理的重要問題之一，例如排除網(wǎng)絡(luò)故障 更加困難、維護成本上升等，另一方面使得如何提高網(wǎng)絡(luò)性能也成為網(wǎng)絡(luò)系統(tǒng)應(yīng)用的主要問題。我國雖然計算機網(wǎng)絡(luò)應(yīng)用起步較晚，但在金融界已發(fā)生多起盜竊案，在科技界也發(fā)生了用戶帳戶被盜用、使被盜用戶一個月的網(wǎng)絡(luò)費用損失高達 2 萬余元的各例。目 錄 [摘要 ] .............................................................................................................................. 1 [Abstract] ......................................................................................................................... 1 [引言 ] .............................................................................................................................. 2 第一章 網(wǎng)絡(luò)管理、網(wǎng)絡(luò)安全概述 ................................................................................ 3 1. 網(wǎng)絡(luò)管理概述 ......................................................................................................... 3 網(wǎng)絡(luò)管理的范圍與任務(wù) ....................................................................................... 3 網(wǎng)絡(luò)管理的起源及其定義 .......................................................................... 3 網(wǎng)絡(luò)管理的范圍 ......................................................................