【正文】 活動(dòng)；調(diào)整：改變?cè)O(shè)置來(lái)改善網(wǎng)絡(luò)的性能。步驟： 收集網(wǎng)絡(luò)管理者感興趣的變量的性能參數(shù) 分析這些數(shù)據(jù)，判斷網(wǎng)絡(luò)是否牌正常水平并產(chǎn)生相應(yīng)的報(bào)告性能管理的作用：幫助管理員減少網(wǎng)絡(luò)中過(guò)分擁擠和不可通行的現(xiàn)象，從而為用戶提供穩(wěn)定的服務(wù)。計(jì)費(fèi)管理的目標(biāo)是跟蹤個(gè)人和團(tuán)體用戶對(duì)網(wǎng)絡(luò)資源的使用情況，對(duì)其收取合理的費(fèi)用。計(jì)費(fèi)管理的主要作用是網(wǎng)絡(luò)管理都測(cè)量和報(bào)告基于個(gè)人或團(tuán)體用戶的計(jì)費(fèi)信息，分配資源并計(jì)算用戶通過(guò)網(wǎng)絡(luò)傳輸數(shù)據(jù)的費(fèi)用。然后給用戶開(kāi)出帳單。網(wǎng)絡(luò)計(jì)費(fèi)的功能：建立和維護(hù)計(jì)費(fèi)數(shù)據(jù)庫(kù)，能對(duì)任意一臺(tái)機(jī)器進(jìn)行計(jì)費(fèi)，建立和管理相應(yīng)的計(jì)費(fèi)策略，能夠?qū)χ付ǖ刂愤M(jìn)行限量控制，當(dāng)超過(guò)使用限額時(shí)，將其封鎖；允許使用單位或個(gè)人按時(shí)間、地址等信息查詢網(wǎng)絡(luò)的使用情況。安全管理的目標(biāo)是按照一定的策略控制對(duì)網(wǎng)絡(luò)資源的訪問(wèn)，保證重要的信息不被未授權(quán)用戶訪問(wèn)，并防止網(wǎng)絡(luò)遭到惡意或是無(wú)意的攻擊。安全管理是對(duì)網(wǎng)絡(luò)資源以及重要信息訪問(wèn)進(jìn)行約束和控制。包括驗(yàn)證用戶的訪問(wèn)權(quán)限和優(yōu)先級(jí)，監(jiān)測(cè)和記錄未授權(quán)用戶企圖進(jìn)行非法操作。在網(wǎng)絡(luò)管理模型中，網(wǎng)絡(luò)管理者和代理之間需要交換大量管理信息，這一過(guò)程必須遵循統(tǒng)一的通信規(guī)范，我們把這個(gè)通信規(guī)范稱為網(wǎng)絡(luò)管理協(xié)議。安全管理中涉及的安全機(jī)制有身份驗(yàn)證、加密、密鑰管理、授權(quán)等。安全管理功能： 標(biāo)識(shí)重要的網(wǎng)絡(luò)資源 確定重要的網(wǎng)絡(luò)資源和用戶集之間的映射關(guān)系 監(jiān)視對(duì)重要網(wǎng)絡(luò)資源的訪問(wèn) 記錄對(duì)重要網(wǎng)絡(luò)資源的非法訪問(wèn) 信息加密管理網(wǎng)絡(luò)管理協(xié)議是高層網(wǎng)絡(luò)應(yīng)用協(xié)議，它建立在具體物理網(wǎng)絡(luò)及其通信協(xié)議基礎(chǔ)上，為網(wǎng)絡(luò)管理平臺(tái)服務(wù)。目前使用的標(biāo)準(zhǔn)網(wǎng)絡(luò)管理協(xié)議包括：簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議SNMP、公共管理信息服務(wù)協(xié)議CMIS/CMIP和局域網(wǎng)個(gè)人管理協(xié)議LMMP等。SNMP可用于管理組網(wǎng)設(shè)備，如橋、路由器、交換機(jī)等內(nèi)在和處理能力有限的網(wǎng)絡(luò)互聯(lián)設(shè)備。網(wǎng)絡(luò)管理站一般是面向工程應(yīng)用的工作站級(jí)計(jì)算機(jī)，擁有很強(qiáng)的處理能力，代理節(jié)點(diǎn)可以是網(wǎng)絡(luò)上任何類型的節(jié)點(diǎn)，如主機(jī)、服務(wù)器、路由器、交換機(jī)等。在SNMP協(xié)議中，每個(gè)代理節(jié)點(diǎn)都保存一個(gè)管理信息庫(kù)（SNMP網(wǎng)絡(luò)管理系統(tǒng)的核心）。SNMP位于ISO OSI參考模型的應(yīng)用層，它遵循ISO的管理者——代理網(wǎng)絡(luò)管理模型。SNMP模型由網(wǎng)絡(luò)管理站、代理節(jié)點(diǎn)、管理信息庫(kù)和SNMP協(xié)議四部分構(gòu)成。SNMP采用輪詢監(jiān)控方式,主要優(yōu)點(diǎn)：對(duì)代理的資源要求不高；缺點(diǎn)：管理通信的開(kāi)銷大。一般采用圖形用戶界面顯示網(wǎng)絡(luò)的狀況。SNMPV2規(guī)范定義五種傳輸層服務(wù)，五種傳輸層映射： UDP：TCP/IP協(xié)議中的用戶數(shù)據(jù)報(bào)協(xié)議 CLNS：OSI無(wú)連接的傳輸服務(wù) CONS：OSI面向連接的傳輸服務(wù) DDP：Apple Talk數(shù)據(jù)報(bào)傳遞協(xié)議 IPX：Novell公司的網(wǎng)間分組交換協(xié)議委托監(jiān)控優(yōu)點(diǎn)：開(kāi)銷小、反應(yīng)及時(shí)；缺點(diǎn)：對(duì)代理的資源要求高。CMIP的優(yōu)點(diǎn)是安全性高，功能強(qiáng)大，不僅可用于傳輸管理數(shù)據(jù)，還可以執(zhí)行一定的任務(wù)。信息安全包括三個(gè)方面：物理安全、安全控制、安全服務(wù)物理安全是指在物理媒介層次上對(duì)存儲(chǔ)和傳輸?shù)男畔⒌陌踩Ｗo(hù)，是保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備、設(shè)施免遭地震、水災(zāi)、火災(zāi)等環(huán)境事故以及人為操作錯(cuò)誤或各種計(jì)算機(jī)犯罪行為而導(dǎo)致破壞的過(guò)程。安全控制是指在操作系統(tǒng)和網(wǎng)絡(luò)通道設(shè)備上對(duì)存儲(chǔ)和傳輸信息的操作和進(jìn)程進(jìn)行控制和管理，主要是在信息處理層次上對(duì)信息進(jìn)行初步的安全保護(hù)。安全服務(wù)是指在應(yīng)用層對(duì)信息的保密性、完整性、來(lái)源真實(shí)性進(jìn)行保護(hù)和鑒別，滿足用戶的安全需求，防止和抵御各種安全威脅和攻擊。信息安全系統(tǒng)的設(shè)計(jì)原則（技術(shù)、行政和法律共同保障）技術(shù)角度：木桶原則整體原則有效性與實(shí)用性原則安全性評(píng)價(jià)原則等級(jí)性原則動(dòng)態(tài)化原則美國(guó)國(guó)防部和國(guó)家標(biāo)準(zhǔn)局的可信計(jì)算機(jī)系統(tǒng)評(píng)估準(zhǔn)則（TCSEC）定義了四類七個(gè)級(jí)別。安全性從低至高：DCCBBBA1。類別名稱主要特征D1最小的保護(hù)保護(hù)措施很小，沒(méi)有安全功能C1選擇的安全保護(hù)有選擇的存取控制，用戶與數(shù)據(jù)分離，數(shù)據(jù)的保護(hù)以用戶組為單位C2受控的訪問(wèn)控制存取控制以用戶為單位，廣泛的審計(jì)B1標(biāo)記安全保護(hù)除了C2級(jí)的安全求外，增加安全策略模型，數(shù)據(jù)標(biāo)號(hào)（安全和屬性），托管訪問(wèn)控制B2結(jié)構(gòu)化安全保護(hù)設(shè)計(jì)系統(tǒng)時(shí)必須有一個(gè)合理的總體設(shè)計(jì)方案，面向安全的體系結(jié)構(gòu)，遵循最小授權(quán)原則，較好的抗?jié)B透能力，訪問(wèn)控制應(yīng)對(duì)所有的主體和客體進(jìn)行保護(hù)，對(duì)系統(tǒng)進(jìn)行隱蔽通道分析。B3安全域機(jī)制安全內(nèi)核，高抗?jié)B透能力A1可驗(yàn)證安全設(shè)計(jì)形式化的最高級(jí)描述和驗(yàn)證，形式化的隱秘通道分析，非形式化的代碼一致性證明 D1級(jí)。D1級(jí)計(jì)算機(jī)系統(tǒng)標(biāo)準(zhǔn)規(guī)定對(duì)用戶沒(méi)有驗(yàn)證。例如DOS, 95（不在工作組方式中）。計(jì)算機(jī)的最低一級(jí)，不要求用戶名或口令。 C1級(jí)提供自主式安全保護(hù)，它通過(guò)將用戶和數(shù)據(jù)分離，滿足自主需求。 C2級(jí)為處理第三信息所需要的最低安全級(jí)別，C2級(jí)別進(jìn)一步限制用戶執(zhí)行一些命令或訪問(wèn)某些文件的權(quán)限，而且還加入了身份驗(yàn)證。 B1級(jí)是第一種需要大量訪問(wèn)控制支持的級(jí)別。安全級(jí)別存在保密，絕密級(jí)別。政府機(jī)構(gòu)和某些承包商是B1級(jí)計(jì)算機(jī)系統(tǒng)的主要擁有者。 B2級(jí)要求計(jì)算機(jī)系統(tǒng)中的所有對(duì)象都要加上標(biāo)簽，而且給設(shè)備分配安全級(jí)別。 B3級(jí)要求用戶工作站或終端通過(guò)可信任途徑連接到網(wǎng)絡(luò)系統(tǒng)，而且這一級(jí)采用硬件來(lái)保護(hù)安全系統(tǒng)的存儲(chǔ)區(qū)。B3級(jí)系統(tǒng)的關(guān)鍵安全件必須理解所有客體到主體的訪問(wèn)。 A1最高安全級(jí)別，表明系統(tǒng)提供了最全面的安全。附加一個(gè)安全系統(tǒng)受監(jiān)視的設(shè)計(jì)要求。歐洲準(zhǔn)則歐洲的信息技術(shù)安全評(píng)測(cè)準(zhǔn)則（ITSEC）在安全特征和安全保證之間提供了明顯的區(qū)別。它定義了七個(gè)評(píng)估級(jí)別，其特點(diǎn)如下：E0級(jí)：該級(jí)別表示不充分的保證E1級(jí)：該級(jí)別必須有一個(gè)安全目標(biāo)和一個(gè)對(duì)產(chǎn)品或系統(tǒng)的體系結(jié)構(gòu)設(shè)計(jì)的非形式化描述。功能測(cè)試用于表示安全目標(biāo)是否達(dá)到。E2級(jí)：除了E1級(jí)的要求外，還必須對(duì)詳細(xì)的設(shè)計(jì)有非形式化的描述。功能測(cè)試的證據(jù)必須被評(píng)估。必須有配置控制系統(tǒng)和認(rèn)可的分配過(guò)程。E3級(jí)：除了E2級(jí)的要求外，要評(píng)估與安全機(jī)制相對(duì)應(yīng)的源代碼和/或硬件設(shè)計(jì)圖。還要評(píng)估測(cè)試這些機(jī)制的證據(jù)。E4級(jí)：除了E3級(jí)的要求外，必須有支持安全目標(biāo)的安全策略的基本形式模型。用半形式化的格式說(shuō)明安全加強(qiáng)功能、體系結(jié)構(gòu)和詳細(xì)的設(shè)計(jì)。E5級(jí)：除了E4級(jí)的要求外，在詳細(xì)的設(shè)計(jì)和源代碼或硬件設(shè)計(jì)圖之間有緊密的對(duì)應(yīng)關(guān)系。E6級(jí)：除了E1級(jí)的要求外，必須正式說(shuō)明安全加強(qiáng)功能和體系結(jié)構(gòu)設(shè)計(jì)，使其與安全策略的基本形式模型一致。國(guó)際通用準(zhǔn)則P154網(wǎng)絡(luò)安全從本質(zhì)上講就是網(wǎng)絡(luò)上的信息安全。凡是涉及到網(wǎng)絡(luò)信息的保密性，完整性，可用性，真實(shí)性和可控性的相關(guān)技術(shù)和理論都是網(wǎng)絡(luò)安全的研究領(lǐng)域。網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不會(huì)由于偶然或惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)、可靠、正常執(zhí)行，網(wǎng)絡(luò)服務(wù)不中斷。網(wǎng)絡(luò)安全的基本要素是實(shí)現(xiàn)信息的機(jī)密性、完整性、可用性和合法性。 機(jī)密性：確保信息不暴露給未授權(quán)的實(shí)體或進(jìn)程 完整性：只有得到允許的人才能修改數(shù)據(jù)，并且能夠判別出數(shù)據(jù)是否已被篡改 可用性：得到授權(quán)的實(shí)體在需要時(shí)可訪問(wèn)數(shù)據(jù)，即因?yàn)榉乐构粽卟荒苷加盟械馁Y源而阻礙授權(quán)者的工作。 合法性：每個(gè)想獲得訪問(wèn)的實(shí)體都必須經(jīng)過(guò)鑒別或身份驗(yàn)證網(wǎng)絡(luò)安全應(yīng)包括以下幾個(gè)方面：物理安全、人員安全、符合瞬時(shí)電磁脈沖輻射標(biāo)準(zhǔn)（TEM－PEST）、信息安全、操作安全、通信安全、計(jì)算機(jī)安全、工業(yè)安全。保證安全性的所有機(jī)制包括以下兩部分： 對(duì)被傳送的信息進(jìn)行與安全相關(guān)的轉(zhuǎn)換。 兩個(gè)主體共享不希望對(duì)手得知的保密信息。網(wǎng)絡(luò)安全的基本任務(wù)：設(shè)計(jì)加密算法，執(zhí)行與安全性相關(guān)的轉(zhuǎn)換算法，該算法必須使對(duì)手不能破壞算法以實(shí)現(xiàn)其目的，生成算法使用的保密信息，開(kāi)發(fā)分民和共享保密信息的方法，指定主體要使用的協(xié)議，并利用安全算法和保密信息來(lái)實(shí)現(xiàn)特定的安全服務(wù)。安全威脅是某個(gè)人、物、事或概念對(duì)某個(gè)資源的機(jī)密性、完整性、可用性或合法性所造成的危害。典型的網(wǎng)絡(luò)安全威脅及其特征威脅描述授權(quán)侵犯為某一特定的授權(quán)使用一個(gè)系統(tǒng)的人卻將該系統(tǒng)用作其他未授權(quán)的目的旁路控制攻擊者發(fā)掘系統(tǒng)的缺陷或安全脆弱性拒絕服務(wù)對(duì)信息或其他資源的合法訪問(wèn)被無(wú)條件地拒絕，或推遲與時(shí)間密切相關(guān)的操作竊聽(tīng)信息從被監(jiān)視的通信過(guò)程中泄露出去電磁/射頻截獲信息從電子或機(jī)電設(shè)備所發(fā)出的無(wú)線射頻或其他電磁場(chǎng)輻射中被提取出來(lái)非法使用資源被某個(gè)未授權(quán)的人或以未授權(quán)的方式使用人員疏忽一個(gè)授權(quán)的人為了金錢或利益或由于粗心將信息泄露給一個(gè)未授權(quán)的人信息泄露信息被泄露或暴露給某個(gè)未授權(quán)的實(shí)體完整性破壞通過(guò)對(duì)數(shù)據(jù)進(jìn)行未授權(quán)的創(chuàng)建、修改或破壞，使數(shù)據(jù)的一致性受到損害截獲/修改某一通信數(shù)據(jù)項(xiàng)在傳輸過(guò)程中被改變、刪除或替代假冒一個(gè)實(shí)體（人或系統(tǒng)）假裝成另一個(gè)不同的實(shí)體媒體清理信息被從廢棄的或打印過(guò)的媒體中獲得物理侵入一個(gè)入侵者通過(guò)繞過(guò)物理控制而獲得對(duì)系統(tǒng)的訪問(wèn)重放出于非法的目的而重新發(fā)送所截獲的合法通信數(shù)據(jù)項(xiàng)的拷貝否認(rèn)參與某次通信交換的一方，事后錯(cuò)誤地否認(rèn)曾經(jīng)發(fā)生過(guò)此次交換資源耗盡某一資源（如訪問(wèn)端口）被故意超負(fù)荷地使用，導(dǎo)致其他用戶的服務(wù)被中斷服務(wù)欺騙某一偽系統(tǒng)或系統(tǒng)部件欺騙合法的用戶，或系統(tǒng)自愿地放棄敏感信息竊取某一安全攸關(guān)的物品，如令牌或身份卡被盜通信量分析通過(guò)對(duì)通信量的觀察（有、無(wú)、數(shù)量、方向、頻率）而造成信息被泄露給未授權(quán)的實(shí)體陷門將某一“特征”設(shè)立于某個(gè)系統(tǒng)或系統(tǒng)部件之中，使得在提供特定的輸入數(shù)據(jù)時(shí)，允許違反安全策略特洛伊木馬軟件含有一段察覺(jué)不出的程序段，當(dāng)軟件運(yùn)行時(shí)，會(huì)損害用戶的安全安全威脅分類故意的和偶然的兩類。故意威脅又可以分為被動(dòng)和主動(dòng)兩類： 基本威脅1） 信息泄漏或丟失：這是針對(duì)信息機(jī)密性的威脅，它指敏感數(shù)據(jù)在有意或無(wú)意中被泄漏出去或丟失，它通常包括：信息在傳輸中丟失或泄漏（如“黑客”們利用電磁泄漏或搭線竊聽(tīng)等方式可截獲機(jī)密信息，或通過(guò)對(duì)信息流向、流量、通信頻度和長(zhǎng)度等參數(shù)的分析，推出有用信息，如用戶口令、賬號(hào)等重要信息）；信息在存儲(chǔ)介質(zhì)中丟失或泄漏；通過(guò)建立隱蔽通道等竊取敏感信息等。2） 破壞數(shù)據(jù)完整性：以非法手段竊得對(duì)數(shù)據(jù)的使用權(quán)，刪除、修改、插入或重發(fā)某些重要信息，以取得有益于攻擊者的響應(yīng)；惡意添加、修改數(shù)據(jù)，以干擾用戶的正常使用。3） 拒絕服務(wù)；它不斷地網(wǎng)絡(luò)服務(wù)系統(tǒng)進(jìn)行干擾，改變其正常的作業(yè)流程，執(zhí)行無(wú)關(guān)程序使系統(tǒng)響應(yīng)減慢甚至癱瘓，影響正常用戶的使用，甚至使合法用戶被排斥而不能進(jìn)入計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)或不能得到相應(yīng)的服務(wù)。4） 非授權(quán)訪問(wèn)：沒(méi)有預(yù)先經(jīng)過(guò)同意就使用網(wǎng)絡(luò)或計(jì)算機(jī)資源被看作非授權(quán)訪問(wèn)，如有意避開(kāi)系統(tǒng)訪問(wèn)控制機(jī)制，對(duì)網(wǎng)絡(luò)設(shè)備及資源進(jìn)行非正常使用，或擅自擴(kuò)大權(quán)限，越權(quán)訪問(wèn)信息。它主要有以下幾種形式：假冒、身份攻擊、非法用戶進(jìn)入網(wǎng)絡(luò)系統(tǒng)進(jìn)行違法操作、合法用戶以未授權(quán)方式進(jìn)行操作等。 滲入威脅和植入威脅1） 滲入威脅假冒：這是大多數(shù)黑客采用的攻擊方法。某個(gè)未授權(quán)實(shí)體使守衛(wèi)者相信它是一個(gè)合法的實(shí)體，從而攫取該合法用戶的特權(quán)。旁路控制：攻擊者通過(guò)各種手段發(fā)現(xiàn)本應(yīng)保密卻又暴露出來(lái)的一些系統(tǒng)“特征”。利用這些“特征”，攻擊者繞過(guò)防線守衛(wèi)者滲入系統(tǒng)內(nèi)部。授權(quán)侵犯：也稱為“內(nèi)部威脅”，授權(quán)用戶將其權(quán)限用于其他未授權(quán)的目的。2） 植入威脅特洛伊木馬：攻擊者在正常的軟件中隱藏一段用于其他目的的程序，這段隱藏的程序段常常以安全攻擊作為其最終目標(biāo)。例如，一個(gè)外表上具有合法目的的軟件應(yīng)用程序，如文本編輯器，它還具有一個(gè)暗藏的目的，就是將用戶的文件復(fù)制到另一個(gè)秘密文件中，這種應(yīng)用程序稱為特洛伊木馬，此后，植入特洛伊木馬的那個(gè)人就可以閱讀該用戶的文件了。陷門：這是在某個(gè)系統(tǒng)或某個(gè)文件中設(shè)置的“機(jī)關(guān)”，使得在提供特定的輸入數(shù)據(jù)時(shí)，雞違反安全策略。例如，一個(gè)登錄處理子系統(tǒng)允許處理一個(gè)特定的用戶識(shí)別碼，以繞過(guò)通常的口令檢查。 潛在威脅：竊聽(tīng)、通信量分析、人員疏忽、媒體清理。信息泄露 完整性破壞 拒絕服務(wù) 非法使用 滲入 植入 假冒 特洛伊木馬 竊取竊聽(tīng) 旁路控制 陷門通信量分析 授權(quán)侵犯 業(yè)務(wù)欺騙電磁/射頻截獲 物理侵入人員疏忽媒體清理 信息泄露 完整性破壞 截獲/修改 竊取 資源耗盡 否認(rèn) 重放 完整性破壞 典型的潛在威脅及其相互關(guān)系 病毒1） 預(yù)防病毒技術(shù)：它通過(guò)自身常駐系統(tǒng)內(nèi)存，優(yōu)先獲得系統(tǒng)的控制權(quán)，監(jiān)視和判斷系統(tǒng)中是否有病毒存在，進(jìn)而阻止計(jì)算機(jī)病毒進(jìn)入計(jì)算機(jī)系統(tǒng)和對(duì)系統(tǒng)進(jìn)行破壞。這類技術(shù)有：加密可執(zhí)行程序、引導(dǎo)區(qū)保護(hù)、系統(tǒng)監(jiān)控與讀