【正文】 面開發(fā)新的網(wǎng)絡(luò)管理應(yīng)用。在近期， OpenView 看上去更像一個工業(yè)標(biāo)準的網(wǎng)絡(luò)管理系統(tǒng)。比如 IBM 就把 OpenView 增強功能并擴展成為自己的 NetView 產(chǎn)品系列，從而與OpenView 展開競爭。另一方面，HP 努力使 OpenView 由最初的提供給第三方應(yīng)用廠商的開發(fā)系統(tǒng)，轉(zhuǎn)變?yōu)橐粋€跨平臺的最終用戶產(chǎn)品 。 (1) HP 的 0penView HP的 OpenView 有爭議地成為了第一個真正兼容的、跨平臺的網(wǎng)絡(luò)管理系統(tǒng)，因此也得到了廣泛的市場應(yīng)用。我們下面將介紹四種網(wǎng)絡(luò)管理系統(tǒng)，并給出它們的優(yōu)缺點比較。但是由于涉及到眾多的網(wǎng)絡(luò)管理協(xié)議和五個方面所要求的功能以及不同網(wǎng)絡(luò)的實際情況，使得網(wǎng)絡(luò)管理系統(tǒng)在技術(shù)上具有很強的挑戰(zhàn)性。 12 網(wǎng)絡(luò)管理系統(tǒng) 由于網(wǎng)絡(luò)管理已經(jīng)有了一系列的標(biāo)準，以及 OSI 定義的網(wǎng)絡(luò)管理五大功能，使得具有配置管理、性能管理、故障管理、安全管理和計費管理五大功能的管理系統(tǒng) 成為可能。 e. 數(shù)據(jù)分析與費用計算：利用采集的網(wǎng)絡(luò)資源使用數(shù)據(jù)，聯(lián)網(wǎng)用戶的詳細信息以及計費政策計算網(wǎng)絡(luò)用戶資源的使用情況，并計算出應(yīng)交納的費用。這樣需要一個制定計費政策的友好人機界面和完善的實現(xiàn)計費政策的數(shù)據(jù)模型。 b. 數(shù)據(jù)管理與數(shù)據(jù)維護：計費管理人工交互性很強，雖然有很多數(shù)據(jù)維護系統(tǒng)自動完成，但仍然需要人為管理，包括交納費用的輸入、聯(lián)網(wǎng)單位信息維護，以及賬單樣式?jīng)Q定等。 總之，網(wǎng)絡(luò)管理通過網(wǎng)關(guān) (即邊界路由器 )控制外來用戶對網(wǎng)絡(luò)資源的訪問，以防止外來的攻擊；通過告警事件的分析處理，以發(fā)現(xiàn)正在進行的可能的攻擊；通過安全漏洞檢擒來發(fā)現(xiàn)存在的安全隱患，以防患于未然。 b. 告警事件分析，接收網(wǎng)絡(luò)對象所發(fā)出的告警事件，分析員安全相關(guān)的信息(如路由器登錄信息、 SNMP 認證失敗信息 )，實時地向管理員 告警，并提供歷史安全事件的檢索與分析機制，及時地發(fā)現(xiàn)正在進行的攻擊或可疑的攻擊跡象。 e. 系統(tǒng)日志分析，記錄用戶所有的操作，使系統(tǒng)的操作和對網(wǎng)絡(luò)對象的修改有據(jù)可查，同時也有助于故障的跟蹤與恢復(fù)。 b. 管理信息存儲和傳輸?shù)募用芘c完整性， Web 瀏覽器和網(wǎng)絡(luò)管理服務(wù)器之間采用安全套接字層 (SSL)傳輸協(xié)議，對管理信息加密傳輸并保證其完整性；內(nèi)部存儲的機密信息，如登錄口令等，也是經(jīng)過加密的。 網(wǎng)絡(luò)管理過程中，存儲和傳輸?shù)墓芾砗涂刂菩畔W(wǎng)絡(luò)的運行和管理至關(guān)重要，一旦泄密、被篡改和偽造，將給網(wǎng)絡(luò)造成災(zāi)難性的破壞。 e. 檢索／分析故障信息：瀏閱并且以關(guān)鍵字檢索查詢故障管理系統(tǒng)中所有的數(shù)據(jù)庫記錄，定期收集故障記錄數(shù)據(jù)，在此基礎(chǔ)上給出被管網(wǎng)絡(luò)系統(tǒng)、被管線路設(shè)備的可靠性參數(shù)。 c. 故障信息管理：依靠對事件記錄的分析，定義網(wǎng)絡(luò)故障并生成故障卡片，記錄排除故障的步驟和與故障相關(guān)的值班員日志，構(gòu)造排錯行動記錄，將事件 故障 日志構(gòu)成邏輯上相互關(guān)聯(lián)的整體，以反映故障產(chǎn)生、變化、消除的整個過程的各個方面。 (3) 故障管理 a. 故障監(jiān)測：主動探測或被動接收網(wǎng)絡(luò)上的各種事件信息，并識別出其中與網(wǎng)絡(luò)和系統(tǒng)故障相關(guān)的內(nèi)容，對其中的關(guān)鍵部分保持跟蹤，生成網(wǎng)絡(luò)故障事件記錄。 10 e. 實時性能監(jiān)控：提供了一系列實時數(shù)據(jù)采集；分析和可視化工具，用以對流量、負載、丟包、溫度、內(nèi)存、延遲等網(wǎng)絡(luò)設(shè)備和線路的性能指標(biāo)進行實時檢測，可任意設(shè)置數(shù)據(jù)采集間隔。 c. 性能分橋：對歷史數(shù)據(jù)進行分析，統(tǒng)計和整理，計算性能指標(biāo)，對性能狀況作出判斷，為網(wǎng)絡(luò)規(guī)劃提供參考。 b. 閾值控制：可對每一個被管對象的每一條屬性設(shè)置閾值，對于特定被管對象的特定屬性，可以針對不同的時間段和性能指標(biāo)進行閾值設(shè)置。被管對象類型包括線路和路由器；被管對象屬性 包括流量、延遲、丟包率、 CPU 利用率、溫度、內(nèi)存余量。管理人員可以隨時查看特定用戶在特定時問內(nèi)進行的特定配置操作。 d. 用戶操作記錄功能：配置系統(tǒng)的安全性是整個網(wǎng)絡(luò)管理系統(tǒng)安全的核心，因此，必須對用戶進行的每一配置操作進行記錄。因此，對整個 網(wǎng)絡(luò)的配置情況進行一致性檢查是必需的。 c. 配置一致性檢查：在一個大型網(wǎng)絡(luò)中，由于網(wǎng)絡(luò)設(shè)備眾多，而且由于管理的原因，這些設(shè)備很可能不是由同一個管理人員進行配置的。 b. 自動配置、自動備份及相關(guān)技術(shù)：配置信息自動獲取功能相 當(dāng)于從網(wǎng)絡(luò)設(shè)備中 “讀 ”信息，相應(yīng)的，在網(wǎng)絡(luò)管理應(yīng)用中還有大量 “寫 ”信息的需求。即使在管理人員不是很熟悉網(wǎng)絡(luò)結(jié)構(gòu)和配置狀況的情況下，也能通過有關(guān)的技術(shù)手段來完成對網(wǎng)絡(luò)的配置和管理。 (1) 配置管理 9 a. 配置信息的自動獲?。涸谝粋€大型網(wǎng)絡(luò)中，需要管理的設(shè)備是比較多的，如果每個設(shè)備的配置信息都完全依靠管理人員的手工輸入，工作量是相當(dāng)大的，而且還存在出錯的可能性。不過除了基本的網(wǎng)絡(luò)管理 5 大功能，其他的網(wǎng)絡(luò)管理功能實現(xiàn)都與具體的網(wǎng)絡(luò)實際條件有關(guān)，因此我們只需要關(guān)注 OSI 網(wǎng)絡(luò)管理標(biāo)準中的 5 大功能 。在 OSI 網(wǎng)絡(luò)管理標(biāo)準中定義了網(wǎng)絡(luò)管理的 5 大功能：配置管理、性能管理、故障管理、安全管理和計費管理，這 5 大 功能是網(wǎng)絡(luò)管理最基本的功能。最主要的標(biāo)準有： ? OSI 管理框架（ IS 74894） ? 公共管理信息服務(wù)（ IS 9595） ? 公共管理信息協(xié)議（ CMIP。國際上有一些組織機構(gòu)致力于研究、制定、開發(fā)網(wǎng)絡(luò)管理的服務(wù)標(biāo)準、協(xié)議和體系結(jié)構(gòu)，其中最重要的有： (1) 國際標(biāo)準化組織 (ISO) (2) 國際電信聯(lián)盟電信標(biāo)準化部 (ITUT) (3) Inter 工程任務(wù)組 (IETF) 這三個組織制定了一系列的網(wǎng)絡(luò)管理標(biāo)準，為網(wǎng)絡(luò)管理的標(biāo)準化進程做了大量工作。 8 ? 隨著用戶對網(wǎng)絡(luò)性能要求的提高，建立一個高效的管 理系統(tǒng)對網(wǎng)絡(luò)系統(tǒng)進行管理，是保證網(wǎng)絡(luò)正常運行的必要措施。 ? 一個網(wǎng)絡(luò)往往由若干個大大小小的子網(wǎng)組成，集成了多種網(wǎng)絡(luò)操作系統(tǒng)（ NOS）平臺，并且包括了不同廠家、公司的網(wǎng)絡(luò)設(shè)備和通信設(shè)備等。 普通級別分為 7 個保證級，通常稱為 EAL1— EAL7。此標(biāo)準由兩部分組成：加拿大可信任計算機產(chǎn)品評估標(biāo)準 (Canadian Trusted Computer Product Evaluation Criteria,簡稱CTCPEC)和普通標(biāo)準（ Common Criteria）。 美國計算機安全標(biāo)準是由美國國防部開發(fā)的計算機安全標(biāo)準，可信任計算機標(biāo)準評估規(guī)則（ Trusted Computer Standards Evaluation Criteria） 桔皮書(Orange book)。 網(wǎng)絡(luò)安全的級別 就網(wǎng)絡(luò)安全的工作而言，美國與加拿大做得比較早，效果也較好。所以有必要對接入網(wǎng)絡(luò)的權(quán)限加以控制，并規(guī)定每一個用戶的接入權(quán)限。 (3) 接入控制 7 接入控制網(wǎng)絡(luò)的一大優(yōu)點就是能夠資源共享，用戶可通過網(wǎng)絡(luò)來共享系統(tǒng)提供的各種資源。當(dāng)然，也可 以開發(fā)一些人工智能工具來輔助分析。目前對安全協(xié)議的設(shè)計，主要是針對具體的攻擊設(shè)計安全的通信協(xié)議。如果網(wǎng)絡(luò)通信協(xié)議存在通信安全上的缺陷，那么攻擊者就可能不必攻破密碼體制即可獲得所需要的信息或服務(wù)。 (2) 安全協(xié)議設(shè)計 網(wǎng)絡(luò)的安全協(xié)議是網(wǎng)絡(luò)安 全的一個重要方面。盡管網(wǎng)絡(luò)安全不僅局限于保密性，但是，不能提供保密性的網(wǎng)絡(luò)肯定是不安全的。 網(wǎng)絡(luò)安全的研究對象 網(wǎng)絡(luò)安全研究的對象主要內(nèi)容包括保密性、安全協(xié)議設(shè)計和接入控制。在一個大型 LAN 中，可能就需要用到加密技術(shù)等。一個小型的、在一間辦公室的 LAN 可能與一個大型的、遍布一所校園的 LAN 有著不同的安全性問題。網(wǎng)絡(luò)安全性由數(shù)據(jù)安全性和通信的安全性兩部分組成。 從社會教育和意識形態(tài)角度來說，網(wǎng)絡(luò)上不健康的內(nèi)容，對社會的穩(wěn)定和人類的發(fā)展造成阻礙，必須對其進行控制。 從網(wǎng)絡(luò)運行和管理者角 度來說，他們希望對本地網(wǎng)絡(luò)信息的訪問、讀寫等操 6 作受到保護和監(jiān)控，避免出現(xiàn)“陷門”、病毒、非法存取、拒絕服務(wù)、網(wǎng)絡(luò)資源非法占用和非法控制等威脅，制止和防御網(wǎng)絡(luò)黑客的攻擊。不同的壞境和應(yīng)用，網(wǎng)絡(luò)安全會有不同的解釋。 也就是說，安全計劃必須保護系統(tǒng)的數(shù)據(jù)、程序、設(shè)備和網(wǎng)絡(luò)部件的安全，使其免遭損壞、偷竊或誤用，同時也必須保 證需要時網(wǎng)絡(luò)能提供服務(wù)。但是，網(wǎng)絡(luò)安全性的實際含義遠遠超出這個簡單的定義范圍，除上面的含義外，它還包括若干復(fù)雜的、難以理解的系統(tǒng)管理方面的問題。教育與培訓(xùn)，應(yīng)該是網(wǎng)絡(luò)安全領(lǐng) 域的一個全員、全過程問題，網(wǎng)絡(luò)信息安全防護體系也應(yīng)該以人為本建立。交通管理及相關(guān)設(shè)施對保證道路交通安全誠然十分重要，但是，汽車駕駛?cè)藛T的安全意識和安全素質(zhì)是基礎(chǔ)。構(gòu)筑網(wǎng)絡(luò)安全防護體系固然離不開技術(shù)基礎(chǔ)，是一項技術(shù)難度高、管理復(fù)雜、責(zé)任重大的工作，需要所有人員（包括管理者、技術(shù)人員、使用者等）共同努力、相互配合、共同完成，因此，網(wǎng)絡(luò)安全有關(guān)人員的安全意識培訓(xùn)，是網(wǎng)絡(luò)安全的核心。 (5) 計費管理 計費管理的作用是正確地計算和收取用戶使用網(wǎng)絡(luò)服務(wù)的費用，進行網(wǎng)絡(luò)資源利用率的統(tǒng)計和網(wǎng)絡(luò)成本效益的核算。安全管理要調(diào)用配置管理中的系統(tǒng)服務(wù)，對網(wǎng)絡(luò)中的安全設(shè)施進行控制和維護。安全管理主要包括風(fēng)險分析，安全服務(wù)，告警、日志和報告功能以及網(wǎng)絡(luò)管理系統(tǒng)保護功能。當(dāng)維護狀態(tài)發(fā)生變化，或者故障設(shè)備被替換，以及通過網(wǎng)絡(luò)重組迂回故障時，要對配置 MIB 中的有關(guān)數(shù)據(jù)進行修改。故障管理的主要功能有告警監(jiān)測、故障定位、測試、業(yè)務(wù)恢復(fù)以及修復(fù)等，同時還要維護故障目標(biāo)。當(dāng)發(fā)現(xiàn)網(wǎng)絡(luò)性能嚴重惡化時，性能管理要與故障管理互通。從性能管理中獲得的性能監(jiān)測和分析結(jié)果是網(wǎng)絡(luò)規(guī)劃和資源提供的重要根據(jù)，因為這些結(jié)果能夠反映當(dāng)前（或即將發(fā)生）的資源不足。 （ 2） 性能管理 性能管理保證有效運營網(wǎng)絡(luò)和提供約定的服務(wù)質(zhì)量，在保證各種業(yè)務(wù)的服務(wù)質(zhì)量的同時，盡量提高網(wǎng)絡(luò)資源利用率。資源清單管理是所有資源配置管理的基本功 能，資源提供是為滿足新業(yè)務(wù)需求及時地配置資源，業(yè)務(wù)提供是為客戶分配業(yè)務(wù)或功能。具體地講，就是在網(wǎng)絡(luò)建立、擴充、改造以及工作的開展過程中，對網(wǎng)絡(luò)的拓撲結(jié)構(gòu)、資源配備、使用狀態(tài)等配置信息進行定義、監(jiān)測和修改。網(wǎng)絡(luò) 管理是控制一個復(fù)雜的數(shù)據(jù)網(wǎng)絡(luò)去獲得最大效益和生產(chǎn)率的過程，為更好地定義網(wǎng)絡(luò)管理的范圍，國際標(biāo)準化組織把網(wǎng)絡(luò)管理的任務(wù)分為 5 個部分，即網(wǎng)絡(luò)的配置管理、性能管理、故障管理、安全管理和計費管理。 網(wǎng)絡(luò)管理的任務(wù) 網(wǎng)絡(luò)管理系統(tǒng)是保障網(wǎng)絡(luò)安全、可靠、高效和穩(wěn)定運行的必要手段，它已成為整個網(wǎng)絡(luò)系統(tǒng)不可缺少的重要部分。利用上述信息和網(wǎng)絡(luò)的事件報告，一旦確認發(fā)生故障，網(wǎng)絡(luò)管理者將通過配置管理修改配置參數(shù)，修復(fù)、替換、隔離故障部件，并將網(wǎng)絡(luò)故障情況作為網(wǎng)絡(luò)狀態(tài)數(shù)據(jù)移交性能管理，以分析計算網(wǎng)絡(luò)的可用性參數(shù)。 網(wǎng)絡(luò)管理功能不是孤立的，完成某項管理功能往往需要其他管理功能的配合。 從網(wǎng)絡(luò)資源的角度考慮，網(wǎng)絡(luò)管理的范圍包括被管理節(jié)點、代理、網(wǎng)絡(luò)管理工作站和網(wǎng)絡(luò)管理協(xié)議。 4 網(wǎng)絡(luò)管理的范圍 網(wǎng)絡(luò)管理的范圍從不同的角度考慮可以作如下的描述。 在某些情況下，網(wǎng)絡(luò)管理意味著一個單獨的網(wǎng)絡(luò)管理員動態(tài)監(jiān)控網(wǎng)絡(luò)，而在另一些情況下，又意味著分配數(shù)據(jù)庫，自動輪詢網(wǎng)絡(luò)設(shè)備，生 成實時網(wǎng)絡(luò)狀態(tài)變化和信息流的圖形報告。但是，網(wǎng)絡(luò)運行過程中負載平衡等動態(tài)措施也是提高網(wǎng)絡(luò)性能的重要方面。 網(wǎng)絡(luò)系統(tǒng)規(guī)模的日益擴大和應(yīng)用水平的不斷提高，一方面使得網(wǎng)絡(luò)的維護成為網(wǎng)絡(luò)管理的重要問題之一，例如排除網(wǎng)絡(luò)故障 更加困難、維護成本上升等，另一方面使得如何提高網(wǎng)絡(luò)性能也成為網(wǎng)絡(luò)系統(tǒng)應(yīng)用的主要問題。但網(wǎng)絡(luò)管理一直沒有得到應(yīng)有的重視，原因很簡單，當(dāng)時的網(wǎng)絡(luò)規(guī)模較小，復(fù)雜度也是不高，一個簡單的網(wǎng)絡(luò)管理系統(tǒng)就可以滿足網(wǎng)絡(luò)正常管理的需要。 網(wǎng)絡(luò)管理的起源及其定義 網(wǎng)絡(luò)管理是伴隨著 1969 年世界上第一個計算機網(wǎng)絡(luò) —— ARPANET 產(chǎn)生的，因為當(dāng)時 ARPANET 就有一個相應(yīng)的管理系統(tǒng)。當(dāng)前計算機網(wǎng)絡(luò)的發(fā)展特點是規(guī)模不斷擴大，復(fù)雜性不斷增加，異構(gòu)性日益增強。從廣義上講，任何 一個系統(tǒng)都需要管理，依據(jù)系統(tǒng)的大小、復(fù)雜性的高低，管理的重要性也有所不同。為了保證網(wǎng)絡(luò)能夠正常運行，更好地滿足用戶需求，網(wǎng)絡(luò)管理作為一門重要的專項技術(shù)被提上日程。人們在享受網(wǎng)絡(luò)信息帶來的美好生活的同時，對網(wǎng)絡(luò)的需求也在逐步提高。 3 第一章 網(wǎng)絡(luò)管理、網(wǎng)絡(luò)安全概述 1. 網(wǎng)絡(luò)管理概述 如今，網(wǎng)絡(luò)信息以其無窮的魅力進入社會生 活。我國雖然計算機網(wǎng)絡(luò)應(yīng)用起步較晚，但在金融界已發(fā)生多起盜竊案，在科技界也發(fā)生了用戶帳戶被盜用、使被盜用戶一個月的網(wǎng)絡(luò)費用損失高達 2 萬余元的各例。當(dāng)資源共享廣泛用于政治、軍事、經(jīng)濟以及科學(xué)各個領(lǐng)域，網(wǎng)絡(luò)的用戶來自社會各個階層與部門時，大量在網(wǎng)絡(luò)中存儲和傳輸?shù)臄?shù)據(jù)都有可能被盜用、暴露 和篡改，因此需要加以保護。隨著信息技術(shù)的發(fā)展，社會對數(shù)據(jù)通信技術(shù)的依賴程度日益增大，越來越多的單位已把網(wǎng)絡(luò)作為開展業(yè)務(wù)的基礎(chǔ)，網(wǎng)絡(luò)安全成為生死攸關(guān)的大問題。網(wǎng)絡(luò)管理系統(tǒng)也因此越來越獨立，越來越復(fù)雜，功能也越來越完備，網(wǎng)絡(luò)管理也發(fā)展成為計算機網(wǎng)絡(luò)中的 一個重要分支，國際上各種網(wǎng)絡(luò)管理的標(biāo)準也相繼制定，網(wǎng)絡(luò)管理逐步