計算機網絡分析論文模板(10篇)
時間:2023-04-20 18:09:08
導言:作為寫作愛好者,不可錯過為您精心挑選的10篇計算機網絡分析論文,它們將為您的寫作提供全新的視角,我們衷心期待您的閱讀,并希望這些內容能為您提供靈感和參考。
篇1
計算機網絡的信息安全體系結構的主要作用就是為信息保障、數據傳遞奠定堅實的基礎。隨著計算機網絡所面臨的風險與壓力的不斷增大,為了能夠更好地確保信息安全,必須注重計算機網信息安全體系結構完整性、實用性的提高。在科技的不斷發展與進步的基礎之上,提出了計算機網絡信息安全體系結構——WPDRRC結構,不同的字母代表不同的環節,主要包括warnin(g預警)、protect(保護)、detectio(n檢測)、respons(e響應)、restor(e恢復)、counterattac(k反擊)六個方面,各個環節之間由于時間關系而具有動態反饋的關系。在計算機網絡的信息安全體系結構中,預警模塊、保護模塊與檢測模塊都是以預防性為主的,通過保護與檢測行為對黑客入侵計算機進行較為有效的制止。當前,雖然計算機網絡信息安全技術已經比較先進,但是由于計算機網絡所具有的開放性,其安全性依舊是面臨一定威脅的。因此,在計算機網絡的信息安全體系結構中,響應模塊、恢復模塊與反擊模塊主要的作用是解決實質性的工作,對已經出現的各種安全問題進行有效地解決,確保計算機網絡信息安全。
1.1warnin(g預警)整個計算機網絡的信息安全體系結構中,預警模塊是最為根本的所在,主要的作用是對計算機網絡的信息安全進行診斷,該診斷具有預防性。同時,預警結構通過研究計算機網絡的性能,提出具有科學性與合理性的評估報告。
1.2protect(保護)保護結構主要的作用是對計算機的信息安全系統提供保護,確保計算機網絡在使用過程中的安全性,有效地封鎖、控制外界對計算機網絡的入侵及攻擊行為。保護結構能夠對計算機網絡進行安全設置,實現對計算機網絡的檢查與保護,其檢查與保護工作的重點內容就是網絡總存在的各種可能被攻擊的點或者是存在的漏洞,通過這些方式為信息數據在計算機網絡中的安全、通暢應用提供條件。
1.3detectio(n檢測)計算機網絡的信息安全體系結構中的檢查結構主要的作用是對計算機受到的各種攻擊行為進行及時、準確的發覺。在整個信息安全體系結構中,檢測結構具有隱蔽性,主要的目的是防止黑客發現并惡意修改信息安全體系結構中的檢測模塊,確保檢測模塊能夠持續為計算機網絡提供保護,同時還能夠促進檢測模塊自身保護能力的提高。檢測模塊一般情況下需要與保護模塊進行配合應用,從而促進計算機網絡保護能力與檢測能力的提高。
1.4respons(e響應)當計算機網絡信息安全體系結構中出現入侵行為之后,需要及時通過凍結措施對計算機網絡進行凍結,從而防止黑客的入侵行為進一個侵入到計算機網絡中。同時,要通過相應的響應模塊對入侵進行響應。例如,計算機網絡信息安全體系結構中可以通過阻斷響應系統技術實現對入侵及時、準確的響應,杜絕黑客對計算機網絡更加深入的入侵行為。
1.5restor(e恢復)計算機網絡信息安全體系結構中的恢復模塊主要的作用是在計算機網絡遭受到黑客的攻擊與入侵之后,對已經損壞的信息數據等進行及時的恢復。在對其進行恢復的過程中,主要的原理為事先對計算機網絡中的信息文件與數據資源進行備份工作,當其受到攻擊與入侵之后通過自動恢復功能對其進行修復。
1.6counterattac(k反擊)計算機網絡信息安全體系結構中的反擊模塊具有較高的性能,主要的作用為通過標記跟蹤功能對黑客的入侵與攻擊進行跟蹤與標記,之后對其進行反擊。反擊模塊首先針對黑客的入侵行為進行跟蹤與標記,在此基礎上利用偵查系統對黑客入侵的方式、途徑及黑客的地址等進行解析,保留黑客對計算機網絡進行入侵的證據。與此同時,反擊模塊會采用一定的反擊措施,對黑客的再次攻擊進行有效的防范。
2計算機網絡信息安全體系結構的防護分析
當前,在對計算機網絡信息安全體系結構進行防護的過程中,較為常用的就是WPDRRC結構,其主要的流程包括攻擊前防護、攻擊中防護與攻擊后防護三個方面。
2.1信息安全體系結構被攻擊前防護工作在整個的計算機網絡中,不同的文件有著不同的使用頻率,而那些使用頻率越高的文件就越容易受到黑客的攻擊。因此,信息安全體系結構的被攻擊前防護工作的主要內容就是對這些比較容易受到黑客攻擊的文件進行保護,主要的保護方式包括防火墻、網絡訪問控制等。通過WPDRRC結構對其中存在的威脅因素進行明確,有針對性地進行解決措施的完善。
2.2信息安全體系結構被攻擊中防護工作當計算機網絡受到攻擊之后,信息安全體系結構的主要防護工作為阻止正在進行中的攻擊行為。WPDRRC結構能夠通過對計算機網絡系統文件的綜合分析對正在進行中的攻擊行為進行風險,同時能夠對計算機網絡中各個細節存在的變動進行感知,最終對黑客的攻擊行為進行有效的制止。
2.3信息安全體系結構被攻擊后防護工作當計算機網絡受到攻擊之后,信息安全體系結構主要的防護工作內容為對計算機網絡中出現的破壞進行修復,為計算機網絡的政策運行提供基礎。同時,恢復到對計算機網絡信息安全的保護中。
3計算機網絡信息安全體系結構中加入人為因素
IT領域中都是以技術人員為主體來對產業雛形進行構建的,因此在IT領域中往往存在著及其重視技術的現象,主要的表現為以功能單純而追求縱向性能的產品為代表,產品的覆蓋范圍限制在技術體系部分,缺乏對組織體系、管理體系等其他重要組成部分的重視。因此,只有在計算機網絡信息安全體系結構中加入人為因素才具有現實意義。在計算機網絡信息安全體系結構的構建過程中,應該注重以組織體系為本,以技術體系為支撐,以管理系統為保證,實現三者之間的均衡,從而真正發揮計算機網絡信息安全體系結構的重要作用。
篇2
典型的辦公室環境包含很多服務,主要有DNS、電子郵件、認證服務、聯網以及打印等等。這些服務非常重要,一旦沒有了這些服務會對你產生很大的影響。其它典型的服務還包括各種遠程接入方法、網絡證書服務、軟件倉庫、備份服務、連接因特網、DHCP、文件服務等等。如此多的服務確實令人厭倦,但這也證明了系統管理員團隊所創造并維護的服務是如此之多。你給用戶的每一個技術支持都包含了系統管理員團隊提供的服務在里面。
提供一個服務絕不僅僅是簡單的把硬件和軟件累加在一起,它包括了服務的可靠性、服務的標準化、以及對服務的監控、維護、技術支持等。只有在這幾個方面都符合要求的服務才是真正的服務。
系統管理員的主要職責之一就是為用戶提供他們所需要的服務,這是一項持續性的工作。隨著技術的進步和用戶工作的開展,用戶的要求也會越來越高,結果系統管理員就必須花費大量的時間來設計并創建新的服務,創建的新服務的質量決定了以后系統管理員們對它們提供技術支持時所花費時間和精力的多少,同時也決定了用戶的滿意程度。
一、服務的基本問題
創建一個穩定、可靠的服務是一個系統管理員的重要工作。在進行這項工作時系統管理員必須考慮許多基本要素,其中最重要的就是在設計和開發的各個階段都要考慮到用戶的需求。要和用戶進行交流,去發現用戶對服務的要求和預期,然后把其它的要求如管理要求等列一個清單,這樣的清單只能讓系統管理員團隊的人看到。在這樣一個過程中"是什么"比"怎么樣"更重要,否則在具體執行時很容易就會陷入泥潭而失去目標。
服務應該建立在服務器級的機器上而且機器應該放在合適的環境中,作為服務器的機器應當具備適當的可靠性和性能。服務和服務所依賴的機器應該受到監控,一旦發生故障就發出警報或產生故障記錄清單。
大多數服務都依賴其它服務,通過進一步理解服務是如何進行的,會使你洞悉這個服務所依賴的其它的服務。例如,幾乎所有的服務都依靠域名服務(DNS)。要給一個服務配置機器名或域名,要靠DNS;要想在日志文件中包含所使用服務或服務訪問過的主機名,要用到DNS;如果你進入一臺主機通過它的服務聯系別的機器,也要用到DNS。同樣,幾乎所有的服務都依靠網絡,其實網絡也是一種服
DNS是依靠網絡的,所以所有依賴DNS的服務也依靠網絡。有一些服務是依靠email的(而email是依賴DNS和網絡的),還有別的服務依靠訪問其它計算機上的共享文件,也有許多服務也依靠身份認證和授權服務來對人們進行區分,特別是在那些基于認證機制而又具有不同級別服務權限的環境中。某些服務如DNS的故障,會引起所有依賴DNS的其它服務的一連串的失敗。所以在構建一個服務時,了解它所依賴的其它服務是非常重要的。
作為服務一部分的機器和軟件應當依賴那些建立在相同或更高標準上的主機和軟件,一個服務的可靠性和它所依賴的服務鏈中最薄弱環節的可靠性是相當的。一個服務不應該無故的去依賴那些不是服務一部分的主機。
為了可靠性和安全性,對服務器的訪問權限應當進行限制,只有系統管理員才能具有訪問權限。使用機器的人和機器上運行的程序越多,發生內存溢出或突然出現其它故障、服務中斷的機會就越大。用戶使用計算機時總喜歡多裝點東西,這樣他們就能方便的存取自己需要的數據和使用其它的服務。但是服務器應該是盡可能的簡單,簡單化可以讓機器更加可靠,發生問題時更容易調試。服務器在滿足服務運轉正常的前提下應當安裝最少的東西,只有系統管理員們具有安裝權限,而且系統管理員們登錄服務器時應該也只是為了維護。從安全的角度來看,服務器比普通的臺式機更敏感。入侵者一旦獲得了服務器的管理員權限,他所能做的破壞比獲得臺式機管理員權限所能做的破壞大的多!越少的人具有管理員權限,服務器運行的東西就越少,入侵者獲得權限的機會就越小,入侵者被發現的機會就越大。
系統管理員在構建一個服務時必須要作幾個決策,比如從哪個廠家買設備、對于一個復雜的服務用一臺還是多臺服務器、構建服務時要留多大的冗余度。一個服務應該盡可能的簡單,盡可能小的依賴性,這樣才能提高可靠性和易維護性。
另一個使服務易于維護的方法是使用標準硬件、標準軟件、標準配置以及把文件放在標準位置,對服務進行集中管理。例如,在一個公司中,用一個或兩個大的主要的打印服務器比零星分布的幾百個小服務器使服務更容易得到支持。最后,也是非常重要的是在執行一些新服務時,服務所在的機器在用戶端配置時最好使用基于服務的名字,而不是用真實的主機名,這樣服務才會不依賴于機器。如果你的操作系統不支持這個功能,那就去告訴你的操作系統銷售商這對你很重要,同時要考慮是否使用別的具有這個功能的操作系統。
一旦服務建好并完成了測試,就要逐漸轉到用戶的角度來進行進一步的測試和調試。
1.用戶的要求
建立一個新服務應該從用戶的要求開始,用戶才是你建立服務的根本原因。如果建立的服務不合乎用戶的需要,那簡直就是在浪費精力。
很少有服務不是為了滿足用戶的需求而建立的,DNS就是其中之一。其它的如郵件服務和網絡服務都是明顯為了用戶的需求建立的。用戶需要他們的郵件用戶端具備某些功能,而且不同的用戶想要在網絡上作不同是事情,這些都依靠提供服務的系統設置情況。其它的服務如電子購物系統則更是以用戶為導向的了。系統管理員們需要理解服務怎樣影響用戶,以及用戶的需求又如何反過來對服務的設計產生影響。
搜集用戶的需求應該包括下面這些內容:他們想怎樣使用這些新服務、需要哪些功能、喜歡哪些功能、這些服務對他們有多重要,以及對于這些服務他們需要什么級別的可用性和技術支持。如果可能的話,讓用戶試用一下服務的試用版本。不要讓用戶使用那些很麻煩或是不成功的系統和項目。盡量計算出使用這個服務的用戶群有多大以及他們需要和希望獲得什么樣的性能,這樣才能正確的計算。
2.操作上的要求
對于系統管理員來說,新服務的有些要求不是用戶直接可見的。比如系統管理員要考慮到新服務的管理界面、是否可以與已有的服務協同操作,以及新服務是否能與核心服務如認證服務和目錄服務等集成到一起。
系統管理員們還要考慮怎樣規劃一個服務,因為隨著公司規模的增長,所需要的服務當然也會比當初預期的有所增長,所以系統管理員們還得想辦法在增長服務規模的同時不中斷現存的服務。
一個相對成熟的方法是升級服務的路徑。一旦有了新版本,如何進行升級呢?是否得中斷現在的服務呢?是否要觸及桌面呢?能不能慢慢地逐漸升級,在整個公司發生沖突之前先在一些人中進行測試呢?所以要盡量把服務設計得容易升級,不用中斷現有的服務就能升級,不要觸及桌面而且能慢慢地逐漸升級。
從用戶期望的可靠性水平以及系統管理員們對系統將來要求的可靠性的預期,系統管理員們就能建立一個用戶期望的功能列表,其內容包括群集、從屬設備、備份服務器或具有高可用性的硬件和操作系統。
系統管理員們需要考慮到由服務主機位置和用戶位置而引起的網絡性能問題。如果遠程用戶通過低帶寬、高等待時間連接,那這樣的服務該怎么完成呢?有沒有一種方法可以讓各個地方的用戶都獲得好的或比較好的服務呢?銷售商很少測試用他們的產品連接時是否高等待時間的――即RTT值是否比較大――每個人從程序員到銷售員都忽略了這個問題。人們只是確信內部測試的結果。
3.開放的體系結構
一個新服務,不管在什么情況下,只要可能,就應該建立在使用開發式協議和文件格式的體系結構上。特別是那些在公共論壇上記錄成文的協議和文件格式,這樣銷售商才能依據這些標準生產出通用的產品。具有開放體系結構的服務更容易和其它遵循相同標準的服務集成到一起。
開放的反義詞是私有,使用私有協議和文件格式的服務很難和其它產品共同使用,因為私有協議和文件格式的改變可以不通知,也不要求得到協議創造者的許可。當銷售商擴展到一個新領域,或者試圖保護自己的市場而阻止創造一個公平競爭的環境時,他們會使用私有協議。
有時銷售商使用私有協議就是為了和別的銷售商達成明確的許可協議,但是會在一個銷售商使用的新版本和另一個銷售商使用的兼容版本之間存在明顯的延遲,兩個銷售商所用的版本之間也會有中斷,而且沒有提供兩個產品之間的接口。這種情況對于那些依靠它們的接口同時使用兩種產品的人來說,簡直是一場惡夢。
商業上使用開放協議的例子很簡單:它使你能夠建立更好的服務,因為你可以選擇最好的服務器和用戶端軟件,而不必被迫地選擇,比如在選擇了最好的用戶端后,又被迫選擇不是最理想的服務器。用戶想要那些具有他們需要的功能,而又易于使用的應用程序,而系統管理員們卻希望服務器上的應用程序易于管理,這兩個要求常常是沖突的。一般來說,或者用戶或者系統管理員們有更大權利私下做一個另對方驚奇的決定。如果系統管理員們做了這個決定,用戶會認為他們簡直是法西斯,如果用戶做了這個決定,這會成為一個難以管理的包袱,最終使得用戶自己不能得到很好的服務。一個好的解決方法就是選擇基于開放標準的協議,讓雙方都能選擇自己的軟件。這就把用戶端應用程序的選擇同服務器平臺的選擇過程分離了,用戶自由的選擇最符合自己需要、偏好甚至是平臺的軟件,系統管理員們也可以獨立地選擇基于他們的可靠性、規模可設定性和可管理性需要的服務器解決方案。系統管理員們可以在一些相互競爭的服務器產品中進行選擇,而不必被囿于那些適合某些用戶端應用程序的服務器軟件和平臺。在許多情況下,如果軟件銷售商支持多硬件平臺,系統管理員們甚至可以獨立地選擇服務器硬件和軟件。
我們把這叫做用戶選擇和服務器選擇分離的能力。開放協議提供了一個公平競爭的場所,并激起銷售商之間的競爭,這最終會使我們受益。
開放協議和文件格式是相當穩定的,不會經常改動(即使改動也是向上兼容的),而且還有廣泛的支持,能給你最大的產品自主選擇性和最大的機會獲得可靠的、兼容性好的產品。
使用開放系統的另一個好處是和其它系統連接時不再需要額外的網關。網關是不同系統能連接在一起的黏合劑。雖然網關能節省你的時間,但使用開放協議的系統徹底避免了使用網關。網關作為一項額外的服務也需要計劃、設計、監測以及本章所講的其它關于服務的每一樣東西,減少服務可是一件好事。
當下次有銷售人員向你推銷一些忽略IETF(因特網工程任務組)標準和其它工業標準的產品,如日歷管理系統、目錄服務等的時候,想想這些教訓吧!雖然銷售商會承諾再賣給或者免費送給你性能優越的網關產品。使用標準協議就是使用IETF的標準,而不是銷售商的私有標準,銷售商的私有協議以后會給你帶來大麻煩的。
4."簡單"的價值
在建立一個新服務時,簡單是首先要考慮的因素。在能滿足所有要求的解決方案中,最簡單的才是最可靠、最容易維護、最容易擴展以及最易于和其它系統集成到一起的。過度復雜將導致混亂、錯誤、使用困難以及明顯的運行速度下降,而且使安裝和維護的成本增加。
當系統規模增長的時候,還會變得更復雜,這是生活常識。所以,開始盡可能的簡單可以避免系統過早出現"太復雜"的情況。想一想,如果有兩個銷售人員都打算推銷他們的系統,其中一個系統有20個功能,另外一個有40個功能,我們就可以認為功能多的軟件可能會有更多的錯誤,它的銷售商就更難以有時間維護他的系統代碼。
有時,用戶或系統管理員們的一兩個要求就會使系統的復雜度增加很多。如果在設計階段遇到這樣的要求,就值得去尋找為什么會有這種要求,并估價其重要性,然后向用戶或系統管理員們解釋,這樣的要求能夠滿足,但要以降低可靠性、支持水平和可維護性為代價。根據這些,再讓他們重新決定是堅持這樣的要求,還是放棄。
三、其它需要考慮的問題
建立一個服務除了要求可靠、可監測、易維護支持,以及要符合所有的我們基本要求和用戶的要求外,還要考慮到一些特別的事情。如果可能的話,應該讓每個服務使用專門的機器,這么作可以讓服務更容易得到支持和維護,也能減少忘記一些服務器機器上的小的服務的機會。在一些大公司,使用專門的機器是一條基本原則,而在小公司,由于成本問題,一般達不到這個要求。
還有一個觀念就是在建立服務時要以讓服務完全冗余為目標。有些重要的服務不管在多大的公司都要求完全冗余。由于公司的規模還會增長,所有你要以讓所有的服務都完全冗余為目標。
1.使用專門的機器
理想的情況,服務應該建立在專門的機器上。大網站應該有能力根據服務的要求來調整到這個結構,而小網站卻很難做到。每個服務都有專門的機器會使服務更可靠,當發生可靠性問題是也容易調試,發生故障的范圍更小,以及容易升級和進行容量計劃。
從小公司成長起來的大網站一般有一個集中管理的機器作為所有重要服務的核心,這臺機器提供名字服務、認證服務、打印服務、郵件服務等等。最后,由于負荷的增長,機器不得不分開,把服務擴展到別的服務器上去。常常是在這之前,系統管理員們已經得到了資金,可以買更多的管理用的機器,但是覺得太麻煩,因為有這么多的服務依賴這機器,把它們都分開太難了。當把服務從一臺機器上分開時,IP地址的依賴最難處理了,有些服務如名字服務的IP地址都在用戶那里都已經記得很牢固了,還有一些IP地址被安全系統如路由器、防火墻等使用。
把一個中心主機分解到許多不同的主機上是非常困難的,建立起來的時間越長,上面的服務越多,就越難分解。使用基于服務的名字會有所幫助,但是必須整個公司都使用標準化的、統一的、始終如一的名字。
2.充分的冗余
充分的冗余是指有一個或一系列復制好的服務器,能在發生故障的時候接管主要的故障設備。冗余系統應該可以作為備份服務器連續的運行,當主服務器發生故障時能自動連上線,或者只要少量的人工干預,就能接管提供服務的故障系統。
你選擇的這類冗余是依賴于服務的。有些服務如網頁服務器和計算區域,可以讓自己很好的在克隆好的機器上運行。別的服務比如大數據庫就不行,它們要求連接更牢固的崩潰恢復系統。你正在使用的用來提供服務的軟件或許會告訴你,冗余是以一種有效的、被動的、從服務器的形式存在的,只有在主服務器發生故障并發出請求時,冗余系統才會響應。不管什么情況,冗余機制必須要確保數據同步并保持數據的完整。
如果冗余服務器連續的和主服務器同步運行,那么冗余服務器就可以用來分擔正在正常運行的負荷并能提高性能。如果你使用這種方法,一定要注意不要讓負荷超出性能不能接受的臨界點,以防止某個服務器出現故障。在到達臨界點之前要為現存系統增加更多的并行服務器。
有些服務和網站每時每刻的功能都集成在一起,所以它們在網站建立的早期就做到充分冗余了。別的仍然被忽視,直到網站變得很大,出現了一些大的、明顯的故障。
名字服務和認證服務是典型的、首先要充分冗余的服務。這么做的部分原因是軟件就是設計得要有輔助服務器,部分原因是它確實很重要。其它重要的服務如郵件服務、打印服務和網絡服務,在以后才能被考慮到,因為要為它們作完全冗余會更復雜而且很昂貴。
在你做每一件事的時候,都要考慮到在哪兒作完全冗余才能讓用戶最受益,然后就從那兒開始吧。
篇3
1引言
隨著計算機應用范圍的擴大和互聯網技術的迅速發展,計算機信息技術已經滲透到人們生活的方方面面,網上購物、商業貿易、金融財務等經濟行為都已經實現網絡運行,“數字化經濟”(DigitalEconomy)引領世界進入一個全新的發展階段。
然而,越來越開放的信息系統也帶來了眾多安全隱患,黑客和反黑客、破壞和反破壞的斗爭愈演愈烈。在網絡安全越來越受到人們重視和關注的今天,網絡安全技術作為一個獨特的領域越來越受到人們關注。
2網絡安全
2.1網絡安全定義
所謂網絡安全是指網絡系統的硬件、軟件及其系統中的數據受到保護,不受偶然的因素或者惡意的攻擊而遭到破壞、更改、泄漏,確保系統能連續、可靠、正常地運行,網絡服務不中斷。常見的影響網絡安全的問題主要有病毒、黑客攻擊、系統漏洞、資料篡改等,這就需要我們建立一套完整的網絡安全體系來保障網絡安全可靠地運行。
2.2影響網絡安全的主要因素
(1)信息泄密。主要表現為網絡上的信息被竊聽,這種僅竊聽而不破壞網絡中傳輸信息的網絡侵犯者被稱為消極侵犯者。
(2)信息被篡改。這是純粹的信息破壞,這樣的網絡侵犯被稱為積極侵犯者。積極侵犯者截取網上的信息包,并對之進行更改使之失效,或者故意添加一些有利于自已的信息,起到信息誤導的作用,其破壞作用最大。
(3)傳輸非法信息流。只允許用戶同其他用戶進行特定類型的通信,但禁止其它類型的通信,如允許電子郵件傳輸而禁止文件傳送。
(4)網絡資源的錯誤使用。如不合理的資源訪問控制,一些資源有可能被偶然或故意地破壞。
(5)非法使用網絡資源。非法用戶登錄進入系統使用網絡資源,造成資源的消耗,損害了合法用戶的利益。
(6)環境影響。自然環境和社會環境對計算機網絡都會產生極大的不良影響。如惡劣的天氣、災害、事故會對網絡造成損害和影響。
(7)軟件漏洞。軟件漏洞包括以下幾個方面:操作系統、數據庫及應用軟件、TCP/IP協議、網絡軟件和服務、密碼設置等的安全漏洞。這些漏洞一旦遭受電腦病毒攻擊,就會帶來災難性的后果。
(8)人為安全因素。除了技術層面上的原因外,人為的因素也構成了目前較為突出的安全因素,無論系統的功能是多么強大或者配備了多少安全設施,如果管理人員不按規定正確地使用,甚至人為露系統的關鍵信息,則其造成的安全后果是難以量的。這主要表現在管理措施不完善,安全意識薄,管理人員的誤操作等。
3有效防范網絡安全的做法
網絡安全是指網絡系統的硬件、軟件及其系統中的數據受到保護,不受偶然的因素或者惡意的攻擊而遭到破壞、更改、泄漏,確保系統能連續、可靠、正常地運行,網絡服務不中斷。其中最重要的是指網絡上的信息安全。
現在有很多人認為在網絡中只要使用了一層安全就夠了,事實并不是這樣,一層根本擋不住病毒和黑客的侵襲。接下來我將逐點介紹網絡安全的多點做法。
第一、物理安全。
除了要保證要有電腦鎖之外,更多的要注意防火,要將電線和網絡放在比較隱蔽的地方。我們還要準備UPS,以確保網絡能夠以持續的電壓運行,在電子學中,峰值電壓是一個非常重要的概念,峰值電壓高的時候可以燒壞電器,迫使網絡癱瘓,峰值電壓最小的時候,網絡根本不能運行。使用UPS可以排除這些意外。另外要做好防老鼠咬壞網線。
第二、系統安全(口令安全)。
要盡量使用大小寫字母和數字以及特殊符號混合的密碼,但是自己要記住。另外最好不要使用空口令或者是帶有空格的,這樣很容易被一些黑客識破。也可以在屏保、重要的應用程序和文件上添加密碼,以確保雙重安全。
第三、打補丁。
要及時的對系統補丁進行更新,大多數病毒和黑客都是通過系統漏洞進來的,例如今年五一風靡全球臭名昭著的振蕩波就是利用了微軟的漏洞ms04-011進來的。還有一直殺不掉的SQLSERVER上的病毒slammer也是通過SQL的漏洞進來的。所以要及時對系統和應用程序打上最新的補丁,例如IE、OUTLOOK、SQL、OFFICE等應用程序。另外要把那些不需要的服務關閉,例如TELNET,還有關閉Guset帳號等。
第四、安裝防病毒軟件。
病毒掃描就是對機器中的所有文件和郵件內容以及帶有.exe的可執行文件進行掃描,掃描的結果包括清除病毒,刪除被感染文件,或將被感染文件和病毒放在一隔離文件夾里面。要對全網的機器從網站服務器到郵件服務器到文件服務器到客戶機都要安裝殺毒軟件,并保持最新的病毒庫。因為病毒一旦進入電腦,它會瘋狂的自我復制,遍布全網,造成的危害巨大,甚至可以使得系統崩潰,丟失所有的重要資料。所以至少每周一次對全網的電腦進行集中殺毒,并定期的清除隔離病毒的文件夾。第五、應用程序。
病毒有超過一半都是通過電子郵件進來的,所以除了在郵件服務器上安裝防病毒軟件之外,還要對PC機上的outlook防護,用戶要提高警惕性,當收到那些無標題的郵件,或是不認識的人發過來的,或是全是英語例如什么happy99,money,然后又帶有一個附件的郵件,建議用戶最好直接刪除,不要去點擊附件,因為百分之九十以上是病毒。除了不去查看這些郵件之外,用戶還要利用一下outlook中帶有的黑名單功能和郵件過慮的功能。
很多黑客都是通過用戶訪問網頁的時候進來的。用戶可能碰到過這種情況,當打開一個網頁的時候,會不斷的跳出非常多窗口,關都關不掉,這就是黑客已經進入了你的電腦,并試圖控制你的電腦。所以用戶要將IE的安全性調高一點,經常刪除一些cookies和脫機文件,還有就是禁用那些ActiveX的控件。
第六、服務器。
服務器最先被利用的目的是可以加速訪問用戶經常看的網站,因為服務器都有緩沖的功能,在這里可以保留一些網站與IP地址的對應關系。
服務器的優點是可以隱藏內網的機器,
這樣可以防止黑客的直接攻擊,另外可以節省公網IP。缺點就是每次都要經由服務器,這樣訪問速度會變慢。另外當服務器被攻擊或者是損壞的時候,其余電腦將不能訪問網絡。
第七、防火墻
防火墻是指設置在不同網絡(如可信任的企業內部網和不可信任的公共網)或網絡安全域之間的一系列部件的組合。它可通過監測、限制及更改跨越防火墻的數據流,盡可能地對外部屏蔽內部網絡的信息、結構和運行狀況,以此來實現網絡的安全保護。
在邏輯上,防火墻是一個分離器,一個限制器,也是一個分析器,它有效地監控了內部網和Internet之間的任何活動,保證了內部網絡的安全。
防火墻基本上是一個獨立的進程或一組緊密結合的進程,控制經過防火墻的網絡應用程序的通信流量。一般來說,防火墻置于公共網絡(如Internet)入口處。它的作用是確保一個單位內的網絡與Internet之間所有的通信均符合該單位的安全策略。防火墻能有效地防止外來的入侵,它在網絡系統中的作用是:
(1)控制進出網絡的信息流向和信息包;
(2)提供使用和流量的日志和審計;
(3)隱藏內部IP地址及網絡結構的細節;
(4)提供虛擬專用網(VPN)功能。
防火墻技術的發展方向:目前防火墻在安全性、效率和功能方面還存在一定矛盾。防火墻的技術結構,一般來說安全性高的效率較低,或者效率高的安全性較差。未來的防火墻應該既有高安全性又有高效率。重新設計技術結構架構,比如在包過濾中引用鑒別授權機制、復變包過濾、虛擬專用防火墻、多級防火墻等將是未來可能的發展方向。
第八、DMZ。
DMZ是英文“demilitarizedzone”的縮寫,中文名稱為“隔離區”,也稱“非軍事化區”。它是為了解決安裝防火墻后外部網絡不能訪問內部網絡服務器的問題,而設立的一個非安全系統與安全系統之間的緩沖區,這個緩沖區位于企業內部網絡和外部網絡之間的小網絡區域內,在這個小網絡區域內可以放置一些必須公開的服務器設施,如企業Web服務器、FTP服務器和論壇等。另一方面,通過這樣一個DMZ區域,更加有效地保護了內部網絡,因為這種網絡部署,比起一般的防火墻方案,對攻擊者來說又多了一道關卡。
第九、IDS。
在使用了防火墻和防病毒軟件之后,再使用IDS來預防黑客攻擊。IDS,就是分析攻擊事件以及攻擊的目標與攻擊源,然后利用這些來抵御攻擊,將損壞降低到最低限度。目前IDS還沒有象防火墻那樣用的普遍,但是這個也將是未來幾年的趨勢,現在一些政府已經開始使用。
篇4
2模糊層次分析法特征及其在計算機網絡安全評價中的實施步驟
2.1模糊層次分析法特征
模糊綜合評價法是把傳統層次分析與模糊數學各方面優勢考慮其中的綜合型評價方法。層次分析法重視人的思想判斷在科學決策中的作用,把人的主觀判斷數字化,從而有助于人們對復雜的、難以精確定量的問題實施量化分析。首先我們采用模糊數構造判斷矩陣替代單純的1-9標度法解決相對應的量化問題,其次,采用模糊綜合評價法的模糊數對不同因素的重要性實施準確的定位于判斷。
2.2模糊層次分析法步驟
網絡安全是一門設計計算機技術、網絡技術、通信技術、信息安全技術等多種學科的綜合技術。計算機網絡是現代科技化的重要信息平臺,網絡安全評價是在保障網絡系統安全性能的基礎上,實施的相關網絡技術、網絡安全管理工作,并把操作環境、人員心理等各個方面考慮其中,滿足安全上網的環境氛圍。隨著計算機技術、網絡技術的快速發展,網絡應用已經牽涉多個領域,人們對網絡的依賴度也日益加深,網絡安全成為重要的問題。采用模擬層次分析法對計算機網絡安全進行評價,模擬層次分析法實際使用步驟如下:2.2.1創建層次結構模型模糊層次分析法首先要從問題的性質及達到的總目標進行分析,把問題劃分為多個組成因素,并根據各個因素之間的相互關系把不同層次聚集組合,創建多層次結構模型。2.2.2構建模糊判斷矩陣因計算機網絡安全評價組各個專家根據1-9標度說明,采用兩兩比較法,逐層對各個因素進行分析,并對上個層次某因素的重要性展開判斷,隨之把判斷時間采用三角模糊數表示出現,從而創建模糊判斷矩陣。2.2.3層次單排序去模糊化是為把模糊判斷矩陣轉換為非模糊化判斷矩陣,隨之在非模糊狀態下使用模糊層次分析法。去模糊化之后對矩陣對應的最大根λmax的特征向量進行判斷,對同一層次相對應的因素對上層某因素的重要性進行排序權值。2.2.4一致性檢驗為確保評價思維判斷的一致性,必須對(Aa)λ實施一致性檢驗。一致性指標CI及比率CR采用以下公式算出:CI=(λmax-n)(/n-1);CR=CI/RI,在上述公式中,n表示判斷矩陣階數,RI表示一致性指標。2.2.5層次總排序進行層次總排序是對最底層各個方案的目標層進行權重。經過權重計算,使用自上而下的辦法,把層次單排序的結果逐層進行合成。
3模糊層次分析法在計算機網絡安全評價中的具體應用
使用模糊層分析法對計算機網絡安全展開評價,我們必須以全面科學、可比性等原則創建有價值的安全評價體系。實際進行抽象量化時,使用三分法把計算機網絡安全評價內的模糊數定義成aij=(Dij,Eij,Fij),其中Dij<Eij<Fij,Dij,Eij,Fij[1/9,1],[1,9]這些符號分別代表aij的下界、中界、上界。把計算機網絡安全中多個因素考慮其中,把它劃分為目標層、準則層和決策層三個等級目,其中準則層可以劃分為兩個級別,一級模塊采用物理安全(C1)、邏輯安全(C2)、安全管理(C3)等因素組成,二級模塊則劃分為一級因子細化后的子因子。依照傳統的AHP1-9標度法,根據各個因素之間的相互對比標度因素的重要度,標度法中把因素分別設為A、B,標度1代表A與B相同的重要性,標度3代表A比B稍微重要一點,標度5代表A比B明顯重要,標度7則表示A比B強烈重要,標度9代表A比B極端重要。如果是倒數,應該依照矩陣進行判斷。以此為基礎創建不同層次的模糊判斷矩陣,根據目標層、準基層、決策層的模糊對矩陣進行判斷,例如:當C1=(1,1,1)時,C11=C12=C13=(1,1,1)。采用這種二分法或許各個層次相對應的模糊矩陣,同時把次矩陣特征化方法進行模糊。獲取如下結果:準則層相對于目標層權重(wi),物理、邏輯、安全管理數據為:0.22、0.47、0.31。隨之對應用層次單排序方根法實施權重單排序,同時列出相對于的最大特征根λmax。為確保判斷矩陣的準確性和一致性,必須對模糊化之后的矩陣實施一致性檢驗,計算出一致性指標CI、CR數值,其中CI=(λmax-n)(/n-1),CR=CI/RI,當CR<0.1的時候,判斷矩陣一致性是否兩否,不然實施修正。最后使用乘積法對最底層的排序權重進行計算,確保或許方案層相對于目標層的總排序權重。
篇5
關鍵詞:
新形勢;計算機網絡安全;漏洞掃描技術
我國科學技術不斷進步,計算機技術發展尤為迅速,并且在我國社會生活中起著極為重要的作用,給我們的現實生活帶來了很多的變化,使得我們與社會的聯系越來越密切。然而,在運用電子計算機網絡技術的過程中,由于計算機網絡的開放性,給計算機用戶帶來很大的安全問題,用戶的個人信息可能會泄漏,甚至會給人們的財產安全造成一定的威脅,所以,一定要對計算機網絡安全問題有所重視,而且要采取相關措施來提高網絡運用的安全性。我國相關部門一定要對計算機網絡安全采取一定的行動,讓網民可以安心上網。本文就是分析了在我國互聯網技術不斷發展的前提下,如何保障人民計算機網絡運用的安全,提出了相關的建議和意見,希望可以減少網絡帶來的風險,更好的促進人們幸福生活。并對漏洞掃描技術進行了一定的分析,充分發揮其對網絡病毒的抵制作用而且還能夠修復相關的漏洞,從而保障網絡安全。
1 新形勢下計算機網絡安全發展現狀
這幾年,我國計算機網絡技術不斷發展,計算機的信息處理能力是越來越強,更好地促進人們生活、學習、工作。我國人們在日常生活中也喜歡通過計算機網絡來完成相關的工作,搜集相關信息。計算機網絡有較強的開放性和便利性,人們可以在網上進行購物、聯系溝通、工作,足不出戶可通曉天下事,人們與世界的聯系越來越密切。計算機網絡技術在給人們帶來便利的同時,也給人們帶來了一定的風險和威脅。比如人們在網上購物或信息搜集時,會填寫一些個人信息,這些個人信息一旦沒有得到很好的保密,泄漏出去就會對人們的隱私安全和財產安全造成一定影響。甚至,有時會有新聞爆出相關人員因為個人信息泄漏,導致存款被盜。
因此,當前我國計算機網絡安全問題頻出,這需要我國相關部門引起重視,采取一定措施維護計算機網絡系統安全,使得人們可以安心、放心上網。除此之外,還有計算機網絡病毒給人們上網帶來極大地安全困擾,計算機網絡病毒的入侵會使得電腦程序混亂,造成系統內部癱瘓,有時還會造成人們本身已經準備好的相關數據的丟失,給人們工作、生活帶來麻煩。而且,現在還有一些惡意軟件會給計算機網絡帶來一定的危害,破壞電腦系統內部正常運行,使得計算機內部混亂,無法正常工作,造成計算機系統死機等。總之,我國當前計算機網絡安全問題非常多,這些問題已經嚴重影響了人們的正常生活,還給人們帶來了非常多的負面影響。
2 計算機網絡存在的主要安全問題
第一,計算機內部的每一種安全機制都有一定的適用范圍,而且這種機制在運用的過程中還需要滿足一定的條件,所以計算機內部機制的不完善給用戶帶來了很大的安全隱患。在計算機內部程序當中,防火墻是其中一種比較有效的安全工具,可以給電腦用戶提供一些安全保障。防火墻在計算機網絡系統運作的過程中,它能夠隱蔽計算機內部網絡結構,使電腦網絡結構不會輕易被識別。防火墻在內部網絡與外部網絡的聯系過程中制造了一些障礙,使得外部網絡不能夠輕易地訪問內部網絡。但是,防火墻這一工具的功能還是有限的,它不能夠阻止內部網絡之間的聯系,這樣電腦系統內部網絡之間就可以隨便往來。防火墻對于內部網絡與內部網絡之間的入侵行為是很難發覺的,這樣也會給電腦系統造成破壞。還有就是系統的后門不是電腦內部傳統的工具所能夠考慮到的地方,這也是防火墻所不能夠顧及的一個方面。系統后門容易被入侵,防火墻也很難發覺,并采取相關的措施。
第二,電腦內部安全工具的使用存在一定的缺陷,在電腦用戶的使用過程中,電腦內部的安全工具能不能實現功能最大化,能不能使得安全工具使用效果的最優化,很大程度上受到了人為因素的制約。在這個使用的過程中受到了系統管理者和普通用戶的影響,在使用安全工具的過程中要是沒有使用正當設置,會產生不安全因素。
篇6
中圖分類號:TP393
隨著計算機網絡在辦公上發揮的作用越來越大,在我國事業單位的辦公在早已起到了不可替代的作用。各級事業單位為了能夠保證計算機網絡的安全穩定的運行,都加強了對計算機網絡的維護,但是網絡安全問題依然影響著正常的辦公,如果不能做好安全防護措施,會給事業單位的政策和經濟上造成嚴重損失,為此如何有效的防止網絡安全問題,做好計算機網絡維護成為了很多單位應當重視的重要問題之一。
1 事業單位計算機網絡維護的重要性
計算機網絡已經在事業單位的日常工作過程中起到了不可替代的作用,在工作中應用網絡進行辦公數據、文件的整理以及傳輸,有利的推進了工作效率的提高。所以網絡運行需要日常的維護和管理,維護水平的高低直接影響到辦公效率。由于在事業單位中,分工比較明確,各級單位都有一定數量的計算機,為了實現資源共享,提高效率,大都組建自己局域網,同時還保留著外網的正常運行。保證好計算機網絡的正常運行才能有利于事業單位更好的工作,為群眾及時處理好各種問題,因此,事關重大。
2 事業單位計算機網絡維護的主要內容
事業單位的計算機網絡維護主要是維護網絡的特性的正常運行和維護網絡設備的正常工作。
2.1 網絡的正常運行。計算機網絡系統之所以能夠廣泛的應用在各領域,這與它的很多特性是分不開的。其主要的特性就是可靠性和保密性。
可靠性,能夠在規定的條件下完成特定的功能,而且在受到一些外部干擾的情況下仍然可以穩定的工作,還能保證信息的完整性。
保密性,網絡信息只有授權用戶才可以有權限使用,這樣能有效的防止信息的泄漏。
事業單位的日常工作中很多的工作都需要在網絡條件下運行,所以在保證好網絡的可靠性和保密性的前提下一定要保證網絡的暢通。
2.2 網絡設備的維護。網絡設備是網絡運行的載體,所有的信息傳遞都是在設備的正常運行條件下才能成功。因此網絡設備的維護也是相當重要的。常見網絡的設備有網橋、網關以及交換機和路由器等設備,保證好這些設備的正運行是日常維護工作的重點工作。
3 維護過程中存在的問題
計算機網絡在維護過程中最大的問題就是網絡安全問題,從威脅上來講主要分為內部因素和外部因素,外部因素包括病毒侵襲和黑客攻擊。內部因素主要就是人為的因素,包括用戶的非法操作和網絡維護管理不到位等。
3.1 計算機病毒。計算機病毒是在正常的計算機系統程序中植入指令、程序代碼等,它能夠隱藏在系統中不易被察覺,損害網絡的某些功能和數據,對計算機網絡的安全危害極大,影響整個系統正常工作。這也是日常中常見的問題,另外在使用中有些員工隨便插拔不安全的U盤拷貝數據也會導致病毒的傳播。
3.2 網絡外的黑客攻擊。對計算機網絡來說,黑客攻擊的危害是最大的。因為黑客如果入侵了網絡可能會非法獲取數據信息,有的可能會更改信息,尤其對政府事業單位來說,作為國家的行政輔助機構,涉及很多政府內部信息,一旦泄露后果無法想象。所以后果最為嚴重,應當嚴防。
3.3 用戶非惡意或惡意的非法操作。由于溝通的需要,網絡設計不可能不留任何接入點,這就給外界進入提供了可能。再加上有些用戶的操作不當可能會破壞數據,還有些是有意的去破壞。所以很多情況下威脅都是來自內部用戶。所以應當加強用戶的網絡安全意識。
3.4 計算機網絡安全管理不到位。有些企業對計算機網絡的管理較為松散,分工有交叉不明確,有些內容容易引起遺漏。一些部門對網絡的使用權限的管理不夠嚴格,信息保密性不好,這些薄弱的信息安全防衛意識對系統的安全性危害更大,很容易讓黑客和病毒進入系統。因此要嚴加防范。
4 主要的解決對策
對于事業單位的計算機網絡存在的問題有了更深的認識我們才能有的放矢的去預防或者處理這些問題,防患于未然才能做到真正的保證網絡的安全。要做好網絡維護需要從以下方面著手。
4.1 真正的熟悉網絡。網絡維護人員要想做好維護工作首先應該對這項工作非常熟悉才行,只有這樣才能知道怎么去發現問題和解決問題,這是基礎。相關人員要做到對網絡知識、計算機的知識以及相關的操作熟記于心,在處理問題中不斷總結經驗。所有的知識點都要求做到融會貫通,提高自己的業務水平,真正的保證好單位的網絡安全。
4.2 加強對安全的管理。作為網絡使用的主體,人是主要因素,因此做好管理成為保證網絡安全的核心問題。所以相關事業單位要做好網絡管理的制度和辦法,要做到切實可行。另外,加強對使用人員的培訓,最好建立應急預案,以免出現問題后手忙腳亂影響工作的進一步展開。
4.3 計算機實體的預防對策。作為計算機網絡機構的基礎,硬件以及基本的通信線路也很容易受到人為或者自然因素的破壞。網絡維護者應當從可能出現問題點去分析,做好電磁屏蔽措施,單位還要做好防雷擊、防止水火的外界不安全因素的干擾,選擇合適的場地,保證計算機網絡設備的正常運行。
4.4 做好網絡病毒預防措施。病毒和黑客是影響網絡安全的主要威脅,尤其是隨著技術的發展,病毒的傳播路徑也變的多樣化,給防護工作帶來很大的困難。因此,預防是主要措施,每個人都應該加強防毒殺毒的意識,不要隨便打開不安全的網站或者郵件,經常性的進行殺毒處理,從自身做起才能有效的去切斷病毒和黑客的入侵。最好對數據進行備份,以防止計算機網絡系統的突發災難。
4.5 網絡層面上的對策。網絡安全最大的威脅還是來自網絡,這最主要的就是控制IP的來源。防火墻的應用很好的保證了網絡的安全。它把局域網和外網分隔開來。實時監控外界和內部信息之間的交流,有效避免了不安全因素的入侵。增加了網絡系統保密性。所以,相關事業單位要合理的去利用防火墻保證網絡的安全。
4.6 加強對數據的保密措施。數據加密能夠有效的防止信息的泄露和外界的破壞,保證信息的安全,因此在實際應用中很受歡迎。常用的數字加密有鏈路、節點以及點對點的加密。數據加密能夠保護數據的安全,即使丟失外界也不會輕易的獲取到內部信息,雖然是比較被動的手段,但是很實用。
另外,很多的有效措施可以更好的保護網絡的安全,比如對使用網絡的用戶有身份驗證,將數據和用戶分成不同等級,只有一定級別的人才能調用重要的數據,這樣就提高了網絡的安全系數。當然,計算機網絡技術的發展很快,還會有更新的技術入侵或者防止入侵。這就需要我們的網絡維護人員要及時的去學習新的知識和技術,只有這樣在發生問題的時候才能有有效的方法去彌補,盡量的減少帶來的損失,保證事業單位的正常工作。
5 總結
計算機網絡的維護十分重要,技術的發展也要求我們保持警惕,堅持預防為主,采用合理措施應對,切實做好事業單位的網絡安全,保證它們的正常工作。
參考文獻:
[1]康會敏.淺談計算機網絡安全與維護[J].科技致富向導,2011,8.
[2]王金光,周子琨.淺談局域網計算機及網絡維護[J].甘肅科技,2008,9.
[3]高希新.淺析計算機網絡安全與日常維護措施[J].中國科技信息,2009,18.
篇7
1 概述
目前,在我國很多高校開設了網絡信息安課程,該課程是信息安全專業的一門基礎課,也是網絡工程專業的一門必修課。網絡信息安全課程理論性強,實踐性強,并且教學內容隨著信息技術的發展也在不斷地變化,這給教學工作帶來很大挑戰。由于專業性質不同,為了使網絡信息安全課程的教學符合網絡工程專業的特點,并且跟上信息技術瞬息萬變的步伐,達到培養人才的目標,我們在多年教學實踐的基礎上,不斷地進行總結和探索。
2 網絡工程專業特點
網絡工程是將計算機技術和通信技術緊密結合而形成的新興的技術領域,尤其在當今互聯網技術以及互聯網經濟迅速發展的環境下,網絡工程技術已經成為計算機乃至信息技術界關注的重要領域之一,也是在現代信息社會中迅速發展并且應用廣泛的一門綜合性學科。網絡工程專業自從上世紀90年代起,陸續在我國很多本科高校中都有開設。
網絡工程專業的培養目標是:掌握常用操作系統的使用、網絡設備的配置,深入了解網絡的安全問題,具有綜合性的網絡管理能力,可以勝任中小企業的網絡管理工作,并具備發展成為網絡工程設計專家的能力[1]。以商丘學院(以下簡稱“我校”)為例,該專業是我校重點建設的專業之一,計算機網絡課程現已成為校級精品課程,所屬計算機網絡實驗室被評為河南省級重點實驗室。在校學生一二年級主要學好程序設計、網絡原理、操作系統等專業基礎課,三四年級主要學習網絡設備管理、綜合布線、網絡組建、網絡信息安全等專業核心課程。在學生學習的時間安排上留有余地,引導學生擴大知識面,關注學科前沿,鼓勵學生利用好實驗室來培養自己的實踐能力和創新能力。因此,網絡信息安全成為我校高年級學生的一門必修課。結合網絡工程專業特色,網絡信息安全課程多年來在我校網絡工程專業一直開設并收到很好的效果。
3 網絡信息安全課程開設現狀
網絡信息安全是一門涉及計算機科學、網絡技術、通信技術、密碼技術、信息安全技術、應用數學、數論、信息論等多種學科的綜合性學科。信息安全是國家重點發展的新興交叉學科,具有廣闊的發展前景。由于我國在信息安全技術方面的起點還較低,國內只有少數高等院校開設“信息安全”專業,信息安全技術人才奇缺。網絡信息安全課程在信息安全專業是必不可少的核心課程。
目前,我校網絡工程專業網絡信息安全課程的開設還是以理論教學為主,實踐教學為輔的教學模式。在學時分配上我們采用“34學時理論+18學時上機”的模式。在考核方式上采用“20%平時表現+80%理論考試”來計算總成績。結合信息安全技術發展迅速的特點,在教材的選用上我們不斷更新教材,以求跟上時代和技術的潮流。我校先后選用吳煜煜[2]、周明全[3]、石志國[4]、袁津生[5]等人主編的教材,這樣教師也在不斷地學習最新知識和專業技能。由于該課程是一門交叉性綜合性學科,學好這門課程要求學生必須具備良好的程序設計能力,過硬的數學、操作系統和網絡知識。該課程的先修課程為:高級程序設計(C、C++、Java)、計算機網絡(TCP/IP)、操作系統(Unix和Windows)、數據庫系統。該課程教學內容主要包括:網絡安全的基本概念、加密與解密、公鑰體系、TCP/IP協議安全、應用層安全、攻擊與防御、網絡站點的安全、操作系統系統與數據庫的安全。
網絡信息安全這門課程是一門理論和實踐相結合,應用性很強的交叉性綜合性課程。理論知識涉及面廣且抽象,實踐問題規模難度大。這樣的特點不僅要求教師具備過硬的專業技能和授課水平,而且要求學生具備扎實的理論功底和和較強的實踐能力。該課程在我校是網絡工程專業開設的一門必修課程,它既不能像信息安全專業開設的專業課那么詳盡和深入,也不能像普及網絡安全知識一樣成為公共選修課那樣淺嘗輒止。這就要求教師必須在有限的學時內將網絡信息安全課程最基本的原理、最常用的技能傳授給學生,使學生能夠解決最常見的網絡安全問題,成為能夠學以致用,能夠解決實際問題的人才。因此,必須結合網絡工程專業特色和我校學生水平進行教學,才能使教和學的效果都達到最優化,達到培養人才的目標。
目前,現有的教學模式仍然停留在重理論、輕實踐的層次上。學生在課堂上與老師的互動性不強,特別是學生的學習積極性不高,對信息安全課程學習的興趣不持久,實踐能力不強,而且現有的考核方式已不適應課程的發展。通過近幾年的教學實踐,結合目前網絡工程專業開設的網絡信息安全課程在教學中存在的問題,從培養應用型、創新型信息技術人才的角度來出發,我們嘗試對網絡信息安全課程進行改革和探索。
4 教學改革與探索
4.1 翻轉式教學模式
互聯網的普及和計算機技術在教育領域的應用,使“翻轉課堂式”教學模式[6]變得可行和現實。學生可以通過互聯網去使用優質的教育資源,不再單純地依賴授課老師去教授知識。在課堂上,學生和老師的角色則發生了變化。老師更多的責任是去理解學生的問題和引導學生去運用知識。我們在課堂教學的組織中參考林地公園高中的經驗:一、創建教學視頻。我們根據上課的內容和教學目標,使用錄屏軟件將課件和講課聲音錄制下來,然后將課件或視頻通過網絡分發給學生。讓學生在上課前進行先行學習并收集好學生反饋的問題。二、組織課堂教學。教學內容在課外傳遞給學生后,課堂內更需要高質量的學習活動,讓學生有機會在具體環境中應用所學內容。這樣學生先自我學習或通過討論來掌握知識點,結合學生反饋的問題,在課堂上再由教師主導開展關鍵問題的研討,安排相應的課程實踐。該方法在國防科學技術大學徐明的論文[7]中提到,可以作為改革教學模式的一種方法來學習使用。
4.2 理論與實踐相結合的教學模式
理論授課均在多媒體教室進行,理論授課要與上機實踐相結合,網絡安全實驗均在我校計算機網絡實驗室完成,學生上機操作并提交實驗報告。計算機網絡實驗室是我校網絡工程專業的專業實驗室,實驗室采用圓桌模式分為8組,每組8位同學,能同時滿足64位學生做實驗。我們結合近幾年的教學經驗,參考袁津生[5]等教材,安排了如下實驗:①VMware虛擬機與網絡分析器的使用;②RSA加密算法的分析與實現;③加解密算法的分析與實現(DES、AES等);④Hash算法MD5;⑤剖析特洛伊木馬;⑥使用PGP實現電子郵件安全;⑦X-SCANNER掃描工具;⑧用SSL協議實現安全的FTP數據傳輸。除了正常安排的16個上機學時之外,增加實驗室開放時間,為對網絡安全有興趣的學生提供更多的實踐機會。通過在計算機網絡實驗室的學習和實踐,使學生加深對網絡信息安全原理和技術的認識,提高網絡技能和實踐能力,增加他們在將來的就業競爭中的優勢。另外,工學結合,引進第二課堂,創建實訓基地,爭取在網絡安全相關的企業和公司建立實訓基地,加強合作,讓學生有實踐的機會,提高實踐能力和就業能力,這是我們以后也要逐步探索的教學方式之一。
4.3 教學方法的一些改進
興趣是最好的老師。多講一些實例,可以采用任務驅動的方式培養學生的興趣。比如上課前提出一個問題再開始講課。例如:假如你是一個公司新任的網絡管理員,需要對某臺路由器進行相應的配置,但是你不知道該路由器的enable密碼,該怎么辦?這樣就能驅動學生主動思考完成任務的方法,主動學習。一定要結合學生實際,避免“填鴨式”教學方法,做好師生互動。另外授課要盡可能地生動、幽默。
課堂知識、搜索引擎、論壇和專業站點、期刊論文(CNKI),這些都是學好網絡信息安全的重要資源。在教學過程中,一定要利用好搜索引擎、論壇、期刊論文等,關注前沿的信息安全領域發展動向。
增加先驅課程知識的講解。網絡信息安全涉及到的數學知識我們參考裴定一教材[8]。例如,數據加密與認證技術的內容涉及到模運算、矩陣置換等數學知識,在講解相應的數據加密知識時一定要將涉及到的先驅課程知識講解清楚。
以就業為導向,鼓勵學生積極參加網絡信息安全工程師認證考試。鼓勵對網絡安全有興趣的同學進行更加深入、更加專業的學習。
4.4 加大投入、完善網絡信息安全專業實驗設施
完善的網絡信息安全實驗平臺[9]應該以網絡為基礎,將網絡原理、網絡程序設計、信息安全技術和網絡實踐類等課程集成在同一平臺上,采用群組動態交互式實驗方法,利用共享網絡墻形成公共實驗載體,實現網絡實驗從單設備組網到不斷疊加和擴展,使學生從規模化的網絡中理解路由協議和網絡效率。在這樣的實驗平臺下,利用共用服務器,各個群組組成網絡攻防、信息戰等實際場景,根據現場不斷變化的信息實時設計技術方案,靈活應對網絡的動態變化,做出快速的反應與調整,以培養學生高度的應變設計能力。
4.5 改革課時分配和考核權重
網絡信息安全是一門理論與實踐并重的課程,在今后的教學中,要逐漸增加實踐課程的教學。為了增加學生對實踐能力的重視,要合理分配理論考試和實踐考試的權重,在現有考核模式的基礎上逐步增加實踐成績的權重。在考核的形式上,綜合卷面成績和平時表現成績,平時表現的成績注重關注實驗小組討論的表現,個人實踐的表現等。
5 結論
篇8
前 言
隨著計算機技術和Internet的發展,企業和政府部門開始大規模的建立網絡來推動電子商務和政務的發展,伴隨著網絡的業務和應用的豐富,對計算機網絡的管理與維護也就變得至關重要。人們普遍認為,網絡管理是計算機網絡的關鍵技術之一,尤其在大型計算機網絡中更是如此。網絡管理就是指監督、組織和控制網絡通信服務以及信息處理所必需的各種活動的總稱。其目標是確保計算機網絡的持續正常運行,并在計算機網絡運行出現異常時能及時響應和排除故障。
網絡故障極為普遍,網絡故障的種類也多種多樣,要在網絡出現故障時及時對出現故障的網絡進行維護,以最快的速度恢復網絡的正常運行,掌握一套行之有效的網絡維護理論、方法和技術是關鍵。就網絡中常見故障進行分類,并對各種常見網絡故障提出相應的解決方法。
隨著計算機的廣泛應用和網絡的日趨流行,功能獨立的多個計算機系統互聯起來,互聯形成日漸龐大的網絡系統。計算機網絡系統的穩定運轉已與功能完善的網絡軟件密不可分。計算機網絡系統,就是利用通訊設備和線路將地理位置不同的、信息交換方式及網絡操作系統等共享,包括硬件資源和軟件資源的共享:因此,如何有效地做好本單位計算機網絡的日常維護工作,確保其安全穩定地運行,這是網絡運行維護人員的一項非常重要的工作。
在排除比較復雜網絡的故障時,我們常常要從多種角度來測試和分析故障的現象,準確確定故障點。
第一章 網絡安全技術
1.1概述
網絡安全技術是指致力于解決諸如如何有效進行介入控制,以及如何保證數據傳輸的安全性的技術手段,主要包括物理的安全分析技術,網絡結構安全分析技術,系統安全分析技術,管理安全分析技術,以及其他的安全服務和安全機制策略。
21世紀全世界的計算機都將通過Internet聯到一起,信息安全的內涵也就發生了根本的變化.它不僅從一般性的防衛變成了一種非常普通的防范,而且還從一種專門的領域變成了無處不在.當人類步入21世紀這一信息社會,網絡社會的時候,我國將建立起一套完整的網絡安全體系,特別是從政策上和法律上建立起有中國自己特色的網絡安全體系.
一個國家的信息安全體系實際上包括國家的法規和政策,以及技術與市場的發展平臺.我國在構建信息防衛系統時,應著力發展自己獨特的安全產品,我國要想真正解決網絡安全問題,最終的辦法就是通過發展民族的安全產業,帶動我國網絡安全技術的整體提高.
網絡安全產品有以下幾大特點:第一,網絡安全來源于安全策略與技術的多樣化,如果采用一種統一的技術和策略也就不安全了;第二,網絡的安全機制與技術要不斷地變化;第三,隨著網絡在社會各方面的延伸,進入網絡的手段也越來越多,因此,網絡安全技術是一個十分復雜的系統工程.為此建立有中國特色的網絡安全體系,需要國家政策和法規的支持及集團聯合研究開發.安全與反安全就像矛盾的兩個方面,總是不斷地向上攀升,所以安全產業將來也是一個隨著新技術發展而不斷發展的產業.
信息安全是國家發展所面臨的一個重要問題.對于這個問題,我們還沒有從系統的規劃上去考慮它,從技術上,產業上,政策上來發展它.政府不僅應該看見信息安全的發展是我國高科技產業的一部分,而且應該看到,發展安全產業的政策是信息安全保障系統的一個重要組成部分,甚至應該看到它對我國未來電子化,信息化的發展將起到非常重要的作用
1.2防火墻
網絡防火墻技術是一種用來加強網絡之間訪問控制,防止外部網絡用戶以非法手段通過外部網絡進入內部網絡,訪問內部網絡資源,保護內部網絡操作環境的特殊網絡互聯設備.它對兩個或多個網絡之間傳輸的數據包如鏈接方式按照一定的安全策略來實施檢查,以決定網絡之間的通信是否被允許,并監視網絡運行狀態.
目前的防火墻產品主要有堡壘主機,包過濾路由器,應用層網關(服務器)以及電路層網關,屏蔽主機防火墻,雙宿主機等類型.
雖然防火墻是目前保護網絡免遭黑客襲擊的有效手段,但也有明顯不足:無法防范通過防火墻以外的其它途徑的攻擊,不能防止來自內部變節者和不經心的用戶們帶來的威脅,也不能完全防止傳送已感染病毒的軟件或文件,以及無法防范數據驅動型的攻擊.
自從1986年美國Digital公司在Internet上安裝了全球第一個商用防火墻系統,提出了防火墻概念后,防火墻技術得到了飛速的發展.國內外已有數十家公司推出了功能各不相同的防火墻產品系列.
防火墻處于5層網絡安全體系中的最底層,屬于網絡層安全技術范疇.在這一層上,企業對安全系統提出的問題是:所有的IP是否都能訪問到企業的內部網絡系統如果答案是"是",則說明企業內部網還沒有在網絡層采取相應的防范措施.
作為內部網絡與外部公共網絡之間的第一道屏障,防火墻是最先受到人們重視的網絡安全產品之一.雖然從理論上看,防火墻處于網絡安全的最底層,負責網絡間的安全認證與傳輸,但隨著網絡安全技術的整體發展和網絡應用的不斷變化,現代防火墻技術已經逐步走向網絡層之外的其他安全層次,不僅要完成傳統防火墻的過濾任務,同時還能為各種網絡應用提供相應的安全服務.另外還有多種防火墻產品正朝著數據安全與用戶認證,防止病毒與黑客侵入等方向發展.
根據防火墻所采用的技術不同,我們可以將它分為四種基本類型:包過濾型,網絡地址轉換—NAT,型和監測型.
1.3 防火墻主要技術
包過濾型
包過濾型產品是防火墻的初級產品,其技術依據是網絡中的分包傳輸技術.網絡上的數據都是以"包"為單位進行傳輸的,數據被分割成為一定大小的數據包,每一個數據包中都會包含一些特定信息,如數據的源地址,目標地址,TCP/UDP源端口和目標端口等.防火墻通過讀取數據包中的地址信息來判斷這些"包"是否來自可信任的安全站點 ,一旦發現來自危險站點的數據包,防火墻便會將這些數據拒之門外.系統管理員也可以根據實際情況靈活制訂判斷規則.
包過濾技術的優點是簡單實用,實現成本較低,在應用環境比較簡單的情況下,能夠以較小的代價在一定程度上保證系統的安全.
但包過濾技術的缺陷也是明顯的.包過濾技術是一種完全基于網絡層的安全技術,只能根據數據包的來源,目標和端口等網絡信息進行判斷,無法識別基于應用層的惡意侵入,如惡意的Java小程序以及電子郵件中附帶的病毒.有經驗的黑客很容易偽造IP地址,騙過包過濾型防火墻.
網絡地址轉化—NAT
網絡地址轉換是一種用于把IP地址轉換成臨時的,外部的,注冊的IP地址標準.它允許具有私有IP地址的內部網絡訪問因特網.它還意味著用戶不許要為其網絡中每一臺機器取得注冊的IP地址.
在內部網絡通過安全網卡訪問外部網絡時,將產生一個映射記錄.系統將外出的源地址和源端口映射為一個偽裝的地址和端口,讓這個偽裝的地址和端口通過非安全網卡與外部網絡連接,這樣對外就隱藏了真實的內部網絡地址.在外部網絡通過非安全網卡訪問內部網絡時,它并不知道內部網絡的連接情況,而只是通過一個開放的IP地址和端口來請求訪問.OLM防火墻根據預先定義好的映射規則來判斷這個訪問是否安全.當符合規則時,防火墻認為訪問是安全的,可以接受訪問請求,也可以將連接請求映射到不同的內部計算機中.當不符合規則時,防火墻認為該訪問是不安全的,不能被接受,防火墻將屏蔽外部的連接請求.網絡地址轉換的過程對于用戶來說是透明的,不需要用戶進行設置,用戶只要進行常規操作即可.
型
型防火墻也可以被稱為服務器,它的安全性要高于包過濾型產品,并已經開始向應用層發展.服務器位于客戶機與服務器之間,完全阻擋了二者間的數據交流.從客戶機來看,服務器相當于一臺真正的服務器;而從服務器來看,服務器又是一臺真正的客戶機.當客戶機需要使用服務器上的數據時,首先將數據請求發給服務器,服務器再根據這一請求向服務器索取數據,然后再由服務器將數據傳輸給客戶機.由于外部系統與內部服務器之間沒有直接的數據通道,外部的惡意侵害也就很難傷害到企業內部網絡系統.
型防火墻的優點是安全性較高,可以針對應用層進行偵測和掃描,對付基于應用層的侵入和病毒都十分有效.其缺點是對系統的整體性能有較大的影響,而且服務器必須針對客戶機可能產生的所有應用類型逐一進行設置,大大增加了系統管理的復雜性.
監測型
監測型防火墻是新一代的產品,這一技術實際已經超越了最初的防火墻定義.監測型防火墻能夠對各層的數據進行主動的,實時的監測,在對這些數據加以分析的基礎上,監測型防火墻能夠有效地判斷出各層中的非法侵入.同時,這種檢測型防火墻產品一般還帶有分布式探測器,這些探測器安置在各種應用服務器和其他網絡的節點之中,不僅能夠檢測來自網絡外部的攻擊,同時對來自內部的惡意破壞也有極強的防范作用.據權威機構統計,在針對網絡系統的攻擊中,有相當比例的攻擊來自網絡內部.因此,監測型防火墻不僅超越了傳統防火墻的定義,而且在安全性上也超越了前兩代產品
雖然監測型防火墻安全性上已超越了包過濾型和服務器型防火墻,但由于監測型防火墻技術的實現成本較高,也不易管理,所以目前在實用中的防火墻產品仍然以第二代型產品為主,但在某些方面也已經開始使用監測型防火墻.基于對系統成本與安全技術成本的綜合考慮,用戶可以選擇性地使用某些監測型技術.這樣既能夠保證網絡系統的安全性需求,同時也能有效地控制安全系統的總擁有成本.
實際上,作為當前防火墻產品的主流趨勢,大多數服務器(也稱應用網關)也集成了包過濾技術,這兩種技術的混合應用顯然比單獨使用具有更大的優勢.由于這種產品是基于應用的,應用網關能提供對協議的過濾.例如,它可以過濾掉FTP連接中的PUT命令,而且通過應用,應用網關能夠有效地避免內部網絡的信息外泄.正是由于應用網關的這些特點,使得應用過程中的矛盾主要集中在對多種網絡應用協議的有效支持和對網絡整體性能的影響上
1.4防火墻體系結構
篩選路由式體系結構
SHAPE \* MERGEFORMAT
屏蔽子網式結構
雙網主機式體系結構
SHAPE \* MERGEFORMAT
屏蔽主機式體系結構
1.5入侵檢測系統
1概念
當前,平均每20秒就發生一次入侵計算機網絡的事件,超過1/3的互聯網防火墻被攻破!面對接2連3的安全問題,人們不禁要問:到底是安全問題本身太復雜,以至于不可能被徹底解決,還的仍然可以有更大的改善,只不過我們所采取的安全措施中缺少了某些重要的環節。有關數據表明,后一種解釋更說明問題。有權威機構做過入侵行為統計,發現他、有80%來自于網絡內部,也就是說,“堡壘”是從內部被攻破的。另外,在相當一部分黑客攻擊當中,黑客都能輕易地繞過防火墻而攻擊網站服務器。這就使人們認識到:僅靠防火墻仍然遠遠不能將“不速之客”拒之門外,還必須借助于一個“補救”環節------入侵檢測系統。
入侵檢測系統(Intrusion detection system,簡稱IDS)是指監視(或者在可能的情況下阻止)入侵或者試圖控制你的系統或者網絡資源的行為的系統。作為分層安全中日益被越普遍采用的成份,入侵檢測系統能有效地提升黑客進入網絡系統的門檻。入侵檢測系統能夠通過向管理員發出入侵或者入侵企圖來加強當前存取控制系統,例如防火墻;識別防火墻通常用不能識別的攻擊,如來自企業內部的攻擊;在發現入侵企圖之后提供必要的信息。
入侵檢測是防火墻的合理補充,幫助系統對付網絡攻擊,擴展了系統管理員的安全管理能力(包括安全審計、監視、進攻識別和響應),提高了信息安全基礎結構的完整性。它從計算機網絡系統中的若干個關鍵點收集信息,并分析這些信息,檢測網絡中是否有違反安全策略的行為和遭到襲擊的跡象。它的作用是監控網絡和計算機系統是否出現被入侵或濫用的征兆。
作為監控和識別攻擊的標準解決方案,IDS系統已經成為安防體系的重要組成部分。
IDS系統以后臺進程的形式運行。發現可疑情況,立即通知有關人員。
防火墻為網絡提供了第一道防線,入侵檢測被認為是防火墻之后的第二道安全閘門,在不影響網絡性能的情況下對網絡進行檢測,從而提供對內部攻擊、外部攻擊和誤解操作的實時保護。由于入侵檢測系統是防火墻后的又一道防線,從二可以極大地減少網絡免受各種攻擊的損害。
假如說防火墻是一幢大樓的門鎖,那入侵檢測系統就是這幢大樓里的監視系統。門鎖可以防止小偷進入大樓,但不能保證小偷100%地被拒之門外,更不能防止大樓內部個別人員的不良企圖。而一旦小偷爬入大樓,或內部人員有越界行為,門鎖就沒有任何作用了,這時,只有實時監視系統才能發現情況并發出警告。入侵檢測系統不僅僅針對外來的入侵者,同時也針對內部的入侵行為。
2侵檢測的主要技術————入侵分析技術
入侵分析技術主要有三大類:簽名、統計和數據完整性。
簽名分析法
名分析法主要用來檢測有無對系統的已知弱點進行的攻擊行為。這類攻擊可以通過監視有無針對特定對象的某種行為而被檢測到。
主要方法:從攻擊模式中歸納出其簽名,編寫到IDS系統的代碼里,再由IDS系統對檢測過程中收集到的信息進行簽名分析。
簽名分析實際上是一個模板匹配操作,匹配的一方是系統設置情況和用戶操作動作,一方是已知攻擊模式的簽名數據庫。
統計分析法
統計分析法是以系統正常使用情況下觀察到的動作為基礎,如果某個操作偏離了正常的軌道,此操作就值得懷疑。
主要方法:首先根據被檢測系統的正常行為定義一個規律性的東西,在此稱為“寫照”,然后檢測有沒有明顯偏離“寫照”的行為。
統計分析法的理論經常是統計學,此方法中,“寫照”的確定至關重要。
數據完整分析法
數據完整分析法主要用來查證文件或對象是否被修改過,它的理論經常是密碼學。
3侵檢測系統的分類:
現有的IDS的分類,大都基于信息源和分析方法。為了體現對IDS從布局、采集、分析、響應等各個層次及系統性研究方面的問題,在這里采用五類標準:控制策略、同步技術、信息源、分析方法、響應方式。
按照控制策略分類
控制策略描述了IDS的各元素是如何控制的,以及IDS的輸入和輸出是如何管理的。按照控制策略IDS可以劃分為,集中式IDS、部分分布式IDS和全部分布式IDS。在集中式IDS中,一個中央節點控制系統中所有的監視、檢測和報告。在部分分布式IDS中,監控和探測是由本地的一個控制點控制,層次似的將報告發向一個或多個中心站。在全分布式IDS中,監控和探測是使用一種叫“”的方法,進行分析并做出響應決策。
按照同步技術分類
同步技術是指被監控的事件以及對這些事件的分析在同一時間進行。按照同步技中,信息源是以文件的形式傳給分析器,一次只處理特定時間段內產生的信息,并在入侵發生時將結果反饋給用戶。很多早期的基于主機的IDS都采用這種方案。在實時連續型IDS中,事件一發生,信息源就傳給分析引擎,并且立刻得到處理和反映。實時IDS是基于網絡IDS首選的方案。
按照信息源分類
按照信息源分類是目前最通用的劃分方法,它分為基于主機的IDS、基于網絡的IDS和分布式IDS。基于主機的IDS通過分析來自單個的計算機系統的系統審計蹤跡和系統日志來檢測攻擊。基于主機的IDS是在關鍵的網段或交換部位通過捕獲并分析網絡數據包來檢測攻擊。分布式IDS,能夠同時分析來自主機系統日志和網絡數據流,系統由多個部件組成,采用分布式結構。
按照分析方法分類
按照分析方法IDS劃分為濫用檢測型IDS和異常檢測型IDS。濫用檢測型的IDS中,首先建立一個對過去各種入侵方法和系統缺陷知識的數據庫,當收集到的信息與庫中的原型相符合時則報警。任何不符合特定條件的活動將會被認為合法,因此這樣的系統虛警率很低。異常檢測型IDS是建立在如下假設的基礎之上的,即任何一種入侵行為都能由于其偏離正常或者所期望的系統和用戶活動規律而被檢測出來。所以它需要一個記錄合法活動的數據庫,由于庫的有限性使得虛警率比較高。
按照響應方式分類
按照響應方式IDS劃分為主動響應IDS和被動響應IDS。當特定的入侵被檢測到時,主動IDS會采用以下三種響應:收集輔助信息;改變環境以堵住導致入侵發生的漏洞;對攻擊者采取行動(這是一種不被推薦的做法,因為行為有點過激)。被動響應IDS則是將信息提供給系統用戶,依靠管理員在這一信息的基礎上采取進一步的行動。
4 IDS的評價標準
目前的入侵檢測技術發展迅速,應用的技術也很廣泛,如何來評價IDS的優缺點
就顯得非常重要。評價IDS的優劣主要有這樣幾個方面[5]:(1)準確性。準確性是指IDS不會標記環境中的一個合法行為為異常或入侵。(2)性能。IDS的性能是指處理審計事件的速度。對一個實時IDS來說,必須要求性能良好。(3)完整性。完整性是指IDS能檢測出所有的攻擊。(4)故障容錯(fault tolerance)。當被保護系統遭到攻擊和毀壞時,能迅速恢復系統原有的數據和功能。(5)自身抵抗攻擊能力。這一點很重要,尤其是“拒絕服務”攻擊。因為多數對目標系統的攻擊都是采用首先用“拒絕服務”攻擊摧毀IDS,再實施對系統的攻擊。(6)及時性(Timeliness)。一個IDS必須盡快地執行和傳送它的分析結果,以便在系統造成嚴重危害之前能及時做出反應,阻止攻擊者破壞審計數據或IDS本身。
除了上述幾個主要方面,還應該考慮以下幾個方面:(1)IDS運行時,額外的計算機資源的開銷;(2)誤警報率/漏警報率的程度;(3)適應性和擴展性;(4)靈活性;(5)管理的開銷;(6)是否便于使用和配置。
5 IDS的發展趨
隨著入侵檢測技術的發展,成型的產品已陸續應用到實踐中。入侵檢測系統的典型代表是ISS(國際互聯網安全系統公司)公司的RealSecure。目前較為著名的商用入侵檢測產品還有:NAI公司的CyberCop Monitor、Axent公司的NetProwler、CISCO公司的Netranger、CA公司的Sessionwall-3等。國內的該類產品較少,但發展很快,已有總參北方所、中科網威、啟明星辰等公司推出產品。
人們在完善原有技術的基礎上,又在研究新的檢測方法,如數據融合技術,主動的自主方法,智能技術以及免疫學原理的應用等。其主要的發展方向可概括為:
(1)大規模分布式入侵檢測。傳統的入侵檢測技術一般只局限于單一的主機或網絡框架,顯然不能適應大規模網絡的 監測,不同的入侵檢測系統之間也不能協同工作。因此,必須發展大規模的分布式入侵檢測技術。
(2)寬帶高速網絡的實時入侵檢測技術。大量高速網絡的不斷涌現,各種寬帶接入手段層出不窮,如何實現高速網絡下的實時入侵檢測成為一個現實的問題。
(3)入侵檢測的數據融合技術。目前的IDS還存在著很多缺陷。首先,目前的技術還不能對付訓練有素的黑客的復雜的攻擊。其次,系統的虛警率太高。最后,系統對大量的數據處理,非但無助于解決問題,還降低了處理能力。數據融合技術是解決這一系列問題的好方法。
(4)與網絡安全技術相結合。結合防火墻,病毒防護以及電子商務技術,提供完整的網絡安全保障。
第二章 網絡管理
2.1概述
隨著計算機技術和Internet的發展,企業和政府部門開始大規模的建立網絡來推動電子商務和政務的發展,伴隨著網絡的業務和應用的豐富,對計算機網絡的管理與維護也就變得至關重要。人們普遍認為,網絡管理是計算機網絡的關鍵技術之一,尤其在大型計算機網絡中更是如此。網絡管理就是指監督、組織和控制網絡通信服務以及信息處理所必需的各種活動的總稱。其目標是確保計算機網絡的持續正常運行,并在計算機網絡運行出現異常時能及時響應和排除故障。
關于網絡管理的定義目前很多,但都不夠權威。一般來說,網絡管理就是通過某種方式對網絡進行管理,使網絡能正常高效地運行。其目的很明確,就是使網絡中的資源得到更加有效的利用。它應維護網絡的正常運行,當網絡出現故障時能及時報告和處理,并協調、保持網絡系統的高效運行等。國際標準化組織(ISO)在ISO/IEC7498-4中定義并描述了開放系統互連(OSI)管理的術語和概念,提出了一個OSI管理的結構并描述了OSI管理應有的行為。它認為,開放系統互連管理是指這樣一些功能,它們控制、協調、監視OSI環境下的一些資源,這些資源保證OSI環境下的通信。通常對一個網絡管理系統需要定義以下內容:
系統的功能。即一個網絡管理系統應具有哪些功能。
網絡資源的表示。網絡管理很大一部分是對網絡中資源的管理。網絡中的資源就是指網絡中的硬件、軟件以及所提供的服務等。而一個網絡管理系統必須在系統中將它們表示出來,才能對其進行管理。
網絡管理信息的表示。網絡管理系統對網絡的管理主要靠系統中網絡管理信息的傳遞來實現。網絡管理信息應如何表示、怎樣傳遞、傳送的協議是什么?這都是一個網絡管理系統必須考慮的問題。
系統的結構。即網絡管理系統的結構是怎樣的。
網絡管理這一學科領域自20世紀80年代起逐漸受到重視,許多國際標準化組織、論壇和科研機構都先后開發了各類標準、協議來指導網絡管理與設計,但各種網絡系統在結構上存在著或大或小的差異,至今還沒有一個大家都能接受的標準。當前,網絡管理技術主要有以下三種:誕生于Internte家族的SNMP是專門用于對Internet進行管理的,雖然它有簡單適用等特點,已成為當前網絡界的實際標準,但由于Internet本身發展的不規范性,使SNMP有先天性的不足,難以用于復雜的網絡管理,只適用于TCP/IP網絡,在安全方面也有欠缺。已有SNMPv1和SNMPv2兩種版本,其中SNMPv2主要在安全方面有所補充。隨著新的網絡技術及系統的研究與出現,電信網、有線網、寬帶網等的融合,使原來的SNMP已不能滿足新的網絡技術的要求;CMIP可對一個完整的網絡管理方案提供全面支持,在技術和標準上比較成熟.最大的優勢在于,協議中的變量并不僅僅是與終端相關的一些信息,而且可以被用于完成某些任務,但正由于它是針對SNMP的不足而設計的,因此過于復雜,實施費用過高,還不能被廣泛接受;分布對象網絡管理技術是將CORBA技術應用于網絡管理而產生的,主要采用了分布對象技術將所有的管理應用和被管元素都看作分布對象,這些分布對象之間的交互就構成了網絡管理.此方法最大的特點是屏蔽了編程語言、網絡協議和操作系統的差異,提供了多種透明性,因此適應面廣,開發容易,應用前景廣闊.SNMP和CMIP這兩種協議由于各自有其擁護者,因而在很長一段時期內不會出現相互替代的情況,而如果由完全基于CORBA的系統來取代,所需要的時間、資金以及人力資源等都過于龐大,也是不能接受的.所以,CORBA,SNMP,CMIP相結合成為基于CORBA的網絡管理系統是當前研究的主要方向。
網絡管理協議
網絡管理協議一般為應用層級協議,它定義了網絡管理信息的類別及其相應的確切格式,并且提供了網絡管理站和網絡管理節點間進行通訊的標準或規則。
網絡管理系統通常由管理者(Manager)和( Agent)組成,管理者從各那兒采集管理信息,進行加工處理,從而提供相應的網絡管理功能,達到對管理之目的。即管理者與之間孺要利用網絡實現管理信息交換,以完成各種管理功能,交換管理信息必須遵循統一的通信規約,我們稱這個通信規約為網絡管理協議。
目前有兩大網管協議,一個是由IETF提出來的簡單網絡管理協議SNMP,它是基于TCP / IP和Internet的。因為TCP/IP協議是當今網絡互連的工業標準,得到了眾多廠商的支持,因此SNMP是一個既成事實的網絡管理標準協議。SNMP的特點主要是采用輪詢監控,管理者按一定時間間隔向者請求管理信息,根據管理信息判斷是否有異常事件發生。輪詢監控的主要優點是對的要求不高;缺點是在廣域網的情形下,輪詢不僅帶來較大的通信開銷,而且輪詢所獲得的結果無法反映最新的狀態。
另一個是ISO定義的公共管理信息協議CMIP。CMIP是以OSI的七層協議棧作為基礎,它可以對開放系統互連環境下的所有網絡資源進行監測和控制,被認為是未來網絡管理的標準協議。CMIP的特點是采用委托監控,當對網絡進行監控時,管理者只需向發出一個監控請求,會自動監視指定的管理對象,并且只是在異常事件(如設備、線路故障)發生時才向管理者發出告警,而且給出一段較完整的故障報告,包括故障現象、故障原因。委托監控的主要優點是網絡管理通信的開銷小、反應及時,缺點是對的軟硬件資源要求高,要求被管站上開發許多相應的程序,因此短期內尚不能得到廣泛的支持。
網絡管理系統的組成
網絡管理的需求決定網管系統的組成和規模,任何網管系統無論其規模大小如何,基本上都是由支持網管協議的網管軟件平臺、網管支撐軟件、網管工作平臺和支撐網管協議的網絡設備組成。
網管軟件平臺提供網絡系統的配置、故障、性能以及網絡用戶分布方面的基本管理。目前決大多數網管軟件平臺都是在UNIX 和DOS/WINDOWS平臺上實現的。目前公認的三大網管軟件平臺是:HP View、IBM Netview和SUN Netmanager。雖然它們的產品形態有不同的操作系統的版本,但都遵循SNMP協議和提供類似的網管功能。
不過,盡管上述網管軟件平臺具有類似的網管功能,但是它們在網管支撐軟件的支持、系統的可靠性、用戶界面、操作功能、管理方式和應用程序接口,以及數據庫的支持等方面都存在差別。可能在其它操作系統之上實現的Netview、 Openview、Netmanager網 管 軟 件 平 臺 版 本 僅 是 標 準Netview、 Openview、Netmanager的子集。例如,在MS Windows操作系統上實現的Netview 網管軟件平臺版本Netview for Windows 便僅僅只是Netview的子集。
網管支撐軟件是運行于網管軟件平臺之上,支持面向特定網絡功能、網絡設備和操作系統管理的支撐軟件系統。
網絡設備生產廠商往往為其生產的網絡設備開發專門的網絡管理軟件。這類軟件建立在網絡管理平臺之上,針對特定的網絡管理設備,通過應用程序接口與平臺交互,并利用平臺提供的數據庫和資源,實現對網絡設備的管理,比如Cisco Works就是這種類型的網絡管理軟件,它可建立在HP Open View和IBM Netview等管理平臺之上,管理廣域互聯網絡中的Cisco路由器及其它設備。通過它,可以實現對Cisco的各種網絡互聯設備(如路由器、交換機等)進行復雜網絡管理。
網絡管理的體系結構
網絡管理系統的體系結構(簡稱網絡拓撲)是決定網絡管理性能的重要因素之一。通常可以分為集中式和非集中式兩類體系結構。
目前,集中式網管體系結構通常采用以平臺為中心的工作模式,該工作模式把單一的管理者分成兩部分:管理平臺和管理應用。管理平臺主要關心收集的信息并進行簡單的計算,而管理應用則利用管理平臺提供的信息進行決策和執行更高級的功能。
非集中方式的網絡管理體系結構包括層次方式和分布式。層次方式采用管理者的管理者MOM(Manager of manager)的概念,以域為單位,每個域有一個管理者,它們之間的通訊通過上層的MOM,而不直接通訊。層次方式相對來說具有一定的伸縮性:通過增加一級MOM,層次可進一步加深。分布式是端對端(peer to peer)的體系結構,整個系統有多個管理方,幾個對等的管理者同時運行于網絡中,每個管理者負責管理系統中一個特定部分 “域”,管理者之間可以相互通訊或通過高級管理者進行協調。
對于選擇集中式還是非集中式,這要根據實際場合的需要來決定。而介于兩者之間的部分分布式網管體系結構,則是近期發展起來的兼顧兩者優點的一種新型網管體系結構
2.2常見的幾種網絡管理技術
基于WEB的網絡管理模式
隨著 Internet技術的廣泛應用,Intranet也正在悄然取代原有的企業內部局域網,由于異種平臺的存在及網絡管理方法和模型的多樣性, 使得網絡管理軟件開發和維護的費用很高, 培訓管理人員的時間很長,因此人們迫切需要尋求高效、方便的網絡管理模式來適應網絡高速發展的新形勢。隨著Intranet和WEB 及其開發工具的迅速發展,基于WEB的網絡管理技術也因此應運而生。基于WEB的網管解決方案主要有以下幾方面的優點:(1)地理上和系統間的可移動性:系統管理員可以在Intranet 上的任何站點或Internet的遠程站點上利用 WEB 瀏覽器透明存取網絡管理信息;(2)統一的WEB瀏覽器界面方便了用戶的使用和學習,從而可節省培訓費用和管理開銷;(3)管理應用程序間的平滑鏈接:由于管理應用程序獨立于平臺,可以通過標準的HTTP協議將多個基于WEB的管理應用程序集成在一起,實現管理應用程序間的透明移動和訪問;(4)利用 JAVA技術能夠迅速對軟件進行升級。 為了規范和促進基于WEB的網管系統開發,目前已相繼公布了兩個主要推薦標準:WEBM和JMAPI。兩個推薦標準各有其特色,并基于不同的原理提出。
WEBM方案仍然支持現存的管理標準和協議,它通過WEB技術對不同管理平臺所提供的分布式管理服務進行集成,并且不會影響現有的網絡基礎結構。 JMAPI 是一種輕型的管理基礎結構,采用JMAPI來開發集成管理工具存在以下優點:平臺無關、高度集成化、消除程序版本分發問題、安全性和協議無關性。
2.分布對象網絡管理技術
目前廣泛采用的網絡管理系統模式是一種基于Client/Server技術的集中式平臺模式。由于組織結構簡單,自應用以來,已經得到廣泛推廣,但同時也存在著許多缺陷:一個或幾個站點負責收集分析所有網絡節點信息,并進行相應管理,造成中心網絡管理站點負載過重;所有信息送往中心站點處理,造成此處通信瓶頸;每個站點上的程序是預先定義的,具有固定功能,不利于擴展。隨著網絡技術和網絡規模尤其是因特網的發展,集中式在可擴展性、可靠性、有效性、靈活性等方面有很大的局限,已不能適應發展的需要.
CORBA技術
CORBA技術是對象管理組織OMG推出的工業標準,主要思想是將分布計算模式和面向對象思想結合在一起,構建分布式應用。CORBA的主要目標是解決面向對象的異構應用之間的互操作問題,并提供分布式計算所需要的一些其它服務。OMG是CORBA平臺的核心,
它用于屏蔽與底層平臺有關的細節,使開發者可以集中精力去解決與應用相關的問題,而不必自己去創建分布式計算基礎平臺。CORBA將建立在ORB之上的所有分布式應用看作分布計算對象,每個計算對象向外提供接口,任何別的對象都可以通過這個接口調用該對象提供的服務。CORBA同時提供一些公共服務設施,例如名字服務、事務服務等,借助于這些服務,CORBA可以提供位置透明性、移動透明性等分布透明性。
CORBA的一般結構
基于CORBA的網絡管理系統通常按照Client/Server的結構進行構造。其中,服務方是指針對網絡元素和數據庫組成的被管對象進行的一些基本網絡服務,例如配置管理、性能管理等.客戶方則是面向用戶的一些界面,或者提供給用戶進一步開發的管理接口等。其中,從網絡元素中獲取的網絡管理信息通常需要經過CORBA/SNMP網關或CORBA/CMIP網關進行轉換,這一部分在有的網絡管理系統中被抽象成CORBA的概念.從以上分析可以看出,運用CORBA技術完全能夠實現標準的網絡管理系統。不僅如此,由于CORBA是一種分布對象技術,基于CORBA的網絡管理系統能夠克服傳統網絡管理技術的不足,在網絡管理的分布性、可靠性和易開發性方面達到一個新的高度。
2.3統一不同的網絡管理系統面臨的問題
統一的不同層面
網絡管理的統一存在三個層次。
站點級的統計,這是最低級的統一,不同的網絡管理系統在同一服務器上運行,相互獨立,是不同的NMS。
GUI級的統一,指不同的網絡管理系統操作界面風格統一,運用的術語相同,管理員面對的是一種操作語言,這是一種表面上的統一,具有友好的一次性學習的界面。
管理應用級的統一,這是最高級別的統一。在這個級別上,不但實現了GUI的統一,各種網絡管理系統的管理應用程序按照統一標準設計,應用程序間可進行信息共享和關聯操作。在這一層面上的統一實現了對異構網的綜合分析與管理,進行關聯操作,網管系統可具有推理判斷能力。
統一的內容
網絡管理系統統一可從三個方面依次去實現,即操作界面的統一、網管協議的統網管功能的統一。
界面的統一
網絡管理系統是管理的工具,但歸根到底是要人去操作管理,操作界面的優劣會對管理員產生很大影響。不同網管系統具有不同的操作界面,要求管理員分別學習,或增加管理員人數,形成人力浪費。現在沒有統一的網管用戶界面的統一標準。現有的網管系統幾乎都實現了圖形界面,但既有基于UNIX操作系統的又有基于WINDOWS操作系統,且界面的格式千差萬別,給管理員的工作增加困難。
網管協議的統一
管理協議是NMS核心和管理之間進行信息交換遵循的標準,是網管系統統一的關鍵所在。目前流行的兩種網管協議為SNMP(Simple Network Management Protocal)和CMIS/CMIP(Common Mangement Information Protocal).SNMP是由互聯網活動委員會IAB提出的基于TCP/IP網管協議,CMIP是由國際標準化組織ISO開發的基于網絡互聯的網管協議。網管協議的統一就是指這兩種協議的統一
網管功能的統一
在ISO標準中定義了配置管理、故障管理、性能管理、安全管理、計費管理等領域。現有的網管系統在網管規范尚未成熟就進行了開發,大都是實現了部分模塊的部分功能。這些網管系統功能單一,相互獨立,不能實現信息的共享。不能從宏觀上實現管理,不利于網絡的綜合管理。
統一的策略
將多個網絡管理系統統一在一起的方法有三種,一種是格式轉換法,即各個子網管理系統通過程序進行格式的轉換,以便相互識別和共享資源,是一種分散式管理方式。另一種使用分層網管平臺,即建立更高級的管理系統,高級網管系統和低級網管系統間進行通信,分層管理,是一種分布式管理方式。第三種是標準化方法,是遵循標準的規范和協議,建立的綜合網絡管理系統。
使用分層的網管平臺是當前較為流行的方法,如現在廣泛研究和討論的基于CORBA的TMN(Telecomunication Management Network)就是將TMN中的管理者通過ORB(Object Request Broker)連接起來,實現不同管理系統的統一。
格式轉換法是目前使用較多的方法,如運營商要求網管系統對外提供統一的數據收集、告警信息。
協議標準化方法是統一網絡管理系統的趨勢和方向,電信管理網TMN就是在電信領域內的一種標準協議,使得不同的廠商、不同的軟硬件網管產品的統一管理成為可能。標準化實現統一的網管功能,包括網管協議的標準化、管理信息集模型的標準化和高層管理應用程序功能的統一規劃。
格式轉換和應用網管平臺的策略是基于現有網管系統的基礎上統一網管系統,而標準法策略則不考慮現有網管系統而重新設計一套新的標準,或是對現有網絡管理系統進行較大改進,考慮到我們當前的網絡管理發展的現狀,還是以格式轉換和應用網管平臺方式統一網絡系統。
網絡管理系統實現統一的方法
當前網絡管理的統一主要涉及兩個方面,一是網管協議的統一。另一種是分布系統的統一,即在CORBA環境下的統一。它是基于面向對象的網管平臺和格式轉換的策略。
2.4網絡管理協議SNMP和CMIP的統一
SNMP和CMIP在它們的范圍、復雜性、以及解決網絡管理問題的方法方面有很大的不同。SNMP被設計的很簡單,使它非常易于在TCP/IP系統中普及。目前這已經成為事實。可是這一特點也不太適合大型的、復雜的、多企業的網絡。相對應的,CMIP被設計的比較通用和靈活。但這也同時提高了復雜性。SNMP和CMIP的統一是指分別支持這兩種協議的網絡管理系統信息互通,互相兼容。
SNMP和CMIP統一有兩種思想,一種是兩種協議共存,一種是兩種協議的互作用。
協議共存可有三種方法實現,一是建立雙協議棧,二是建立混合協議棧,三是通用應用程序接口(APIs)。雙協議棧的方法要求被管設備同時支持兩種體系結構,但這要求被管設備要有很高的處理能力和存儲能力,開銷大,不實用。混合協議棧就是建立一種底層協議棧同時支持這兩種協議,這樣運行在該協議棧上的管理系統可同時管理支持SNMP的設備和支持CMIP的設備,為了使CMIP能在內存有限的設備上運行,IBM和3COM聯合為IEEE802.1b開發了一個特殊的邏輯鏈路控制上的CMIP(CMOL),因為它取消了很多高層協議開銷,減少了對設備處理能力和內存的需求,并且不需要考慮底層的協議,但同時由于缺少網絡層,失去了跨越互聯網絡的能力。多廠商管理平臺定義了一套開放的應用程序接口(APIs),允許開發商開發管理軟件而不用關心管理協議的一些細節描述、數據定義、和特殊的用戶接口。如圖2所示為HP OpenView利用XMP(X/Open Management Protocol) API來實現多協議管理平臺的結構。其中Postmaster 用來管理在網絡對象間的通信,如管理者和之間的請求和相應,而ORS(Object Registration Services)為每個產生一個目錄,紀錄它們的位置和采用的協議。
協議共存雖然能實現SNMP和CMIP的綜合,但協議之間沒有互作用能力不能很好的實現協作對網絡的分布式管理。 對于SNMP內部不支持SNMP的設備可采用委托PROXY的方式解決。對于TMN/CMIP內部非Q3或Qx接口的設備可通過增加適配器進行轉換。因此可通過增加中間的方式來解決SNMP和CMIP之間統一問題。由于CMIP的強大的對等能力和對復雜系統的模型能力即事件驅動機制,使得它更適于跨管理域實現對等實體間的互作用,以分層分布的方式管理網絡,由于它對設備的性能要求較高,因此在這種層次結構中,可充當中央管理站和中間管理站,而SNMP可用于下層管理簡單設備。如圖3給出了協議互作用的管理模型
基于CORBA的網管系統的統一
利用面向對象的的技術對網絡資源進行描述是一種有效的方式。在分層的網絡管理平臺上,利用面向對象的思想,將網絡資源和網絡管理資源進行抽象。管理平臺為不同應用系統和高層管理者提供的是一組管理對象,對象由屬性和方法組成。利用對象的封裝性可以使管理應用和高層管理者面對在較高層次上進行抽象的管理對象,屏蔽了實現各種管理功能的細節。為應用提供了對網絡資源進行描述和管理的高級抽象,易于實現各種管理功能。而對象類的繼承性便于擴充和增加管理對象類,繼承性支持系統開發過程中的可重用性。
在應用環境中,管理應用和高層管理節點與管理平臺是基于C/S(顧客/服務器)模式的分布式結構,即管理應用節點和高層管理者節點與他們所以來的平臺節點可能處于不同的地理位置。因此考慮基于何種結構,采用什么樣的協議實現分布對象的訪問。
多廠商設備的環境的網絡管理一直是網絡管理研究和實現的難點。鑒于CORBA的分布式面向對象的特點,在網管系統的開發中加以引用。
本文采用OMG的CORBA(Common Object Request Broker Architecture)做為實現分布管理對象訪問的設施。CORBA是很有應用前景的系統集成標準,它提供了面向對象應用的互操作標準。CORBA位分布對象環境描述了面向對象的設施-----對象請求,他提供了分布對象進行請求和應答的機制。這樣CORBA提供了在異構分布環境下不同機器的不同應用的互操作能力和將多個對象系統無縫互連接的能力。CORBA機制是獨立于任何程序設計語言的,對象的接口描述在IDL(Interface Description Language)中。CORBA支持兩種標準協議-----GIOP和IIOP。GIOP是信息表示協議,描述了所傳輸信息的格式,而IIOP則描述了CORBA所支持的傳輸協議,即GIOP信息如何進行交換
管理不同廠商應用和高層管理者如何使用CORBA機制訪問相應的管理平臺所提供的管理對象。使得處于不同節點的不同廠商的管理應用和高層管理者能無縫使用分布對象提供的功能。在這兩種情況下原理是相同的,只是功能不同,在第一種情況下,不同廠商的管理應用腳本程序通過CORBA機制訪問管理平臺上的應用管理對象,以實現同一層次上的管理功能。在第二種情況下,高層管理平臺上的腳本進程通過CORBA機制訪問底層管理者為高層提供的管理對象以實現高層對底層的網絡管理功能。
CORBA機制除支持客戶端對服務器端所提供的分布對象的訪問外,還提供分布對象服務功能------COSS,它包括分布對象訪問的安全機制、事件機制等。在網絡管理應用中,除主動詢問網絡管理信息以管理、監視網絡的運行狀態外,還有一種應用是被管理對象在發生故障和事件時,向管理者提出事件處理請求。CORBA中的事件服務機制恰好可以滿足這一需求。
2.5網絡管理分類及功能
事實上,網絡管理技術是伴隨著計算機、網絡和通信技術的發展而發展的,二者相輔相成。從網絡管理范疇來分類,可分為對網“路”的管理。即針對交換機、路由器等主干網絡進行管理;對接入設備的管理,即對內部PC、服務器、交換機等進行管理;對行為的管理。即針對用戶的使用進行管理;對資產的管理,即統計IT軟硬件的信息等。根據網管軟件的發展歷史,可以將網管軟件劃分為三代:
第一代網管軟件就是最常用的命令行方式,并結合一些簡單的網絡監測工具,它不僅要求使用者精通網絡的原理及概念,還要求使用者了解不同廠商的不同網絡設備的配置方法。
第二代網管軟件有著良好的圖形化界面。用戶無須過多了解設備的配置方法,就能圖形化地對多臺設備同時進行配置和監控。大大提高了工作效率,但仍然存在由于人為因素造成的設備功能使用不全面或不正確的問題數增大,容易引發誤操作。
第三代網管軟件相對來說比較智能,是真正將網絡和管理進行有機結合的軟件系統,具有“自動配置”和“自動調整”功能。對網管人員來說,只要把用戶情況、設備情況以及用戶與網絡資源之間的分配關系輸入網管系統,系統就能自動地建立圖形化的人員與網絡的配置關系,并自動鑒別用戶身份,分配用戶所需的資源(如電子郵件、Web、文檔服務等)。
根據國際標準化組織定義網絡管理有五大功能:故障管理、配置管理、性能管理、安全管理、計費管理。對網絡管理軟件產品功能的不同,又可細分為五類,即網絡故障管理軟件,網絡配置管理軟件,網絡性能管理軟件,網絡服務/安全管理軟件,網絡計費管理軟件。
下面我們來簡單介紹一下大家熟悉的網絡故障管理、網絡配置管理、網絡性能管理、網絡計費管理和網絡安全管理五個方面網絡管理功能:
ISO在ISO/IEC 7498-4文檔中定義了網絡管理的五大功能,并被廣泛接受。這五大功能是:
(1)故障管理(fault management)
故障管理是網絡管理中最基本的功能之一。用戶都希望有一個可靠的計算機網絡。當網絡中某個組成失效時,網絡管理器必須迅速查找到故障并及時排除。通常不大可能迅速隔離某個故障,因為網絡故障的產生原因往往相當復雜,特別是當故障是由多個網絡組成共同引起的。在此情況下,一般先將網絡修復,然后再分析網絡故障的原因。分析故障原因對于防止類似故障的再發生相當重要。網絡故障管理包括故障檢測、隔離和糾正三方面,應包括以下典型功能:
.維護并檢查錯誤日志
.接受錯誤檢測報告并做出響應
.跟蹤、辨認錯誤
.執行診斷測試
.糾正錯誤
對網絡故障的檢測依據對網絡組成部件狀態的監測。不嚴重的簡單故障通常被記錄在錯誤日志中,并不作特別處理;而嚴重一些的故障則需要通知網絡管理器,即所謂的"警報"。 一般網絡管理器應根據有關信息對警報進行處理,排除故障。當故障比較復雜時,網絡管理 器應能執行一些診斷測試來辨別故障原因。
(2)計費管理(accounting management)
計費管理記錄網絡資源的使用,目的是控制和監測網絡操作的費用和代價。它對一些公共商業網絡尤為重要。它可以估算出用戶使用網絡資源可能需要的費用和代價,以及已經使用的資源。網絡管理員還可規定用戶可使用的最大費用,從而控制用戶過多占用和使用網絡 資源。這也從另一方面提高了網絡的效率。另外,當用戶為了一個通信目的需要使用多個網絡中的資源時,計費管理應可計算總計費用。
(3)配置管理(configuration management)
配置管理同樣相當重要。它初始化網絡、并配置網絡,以使其提供網絡服務。配置管理 是一組對辨別、定義、控制和監視組成一個通信網絡的對象所必要的相關功能,目的是為了 實現某個特定功能或使網絡性能達到最優。
這包括:
.設置開放系統中有關路由操作的參數
.被管對象和被管對象組名字的管理
.初始化或關閉被管對象
.根據要求收集系統當前狀態的有關信息
.獲取系統重要變化的信息
.更改系統的配置
(4)性能管理(performance management)
性能管理估價系統資源的運行狀況及通信效率等系統性能。其能力包括監視和分析被管網絡及其所提供服務的性能機制。性能分析的結果可能會觸發某個診斷測試過程或重新配置網絡以維持網絡的性能。性能管理收集分析有關被管網絡當前狀況的數據信息,并維持和分析性能日志。一些典型的功能包括:
.收集統計信息
.維護并檢查系統狀態日志
.確定自然和人工狀況下系統的性能
.改變系統操作模式以進行系統性能管理的操作
(5)安全管理(security management)
安全性一直是網絡的薄弱環節之一,而用戶對網絡安全的要求又相當高,因此網絡安全管理非常重要。網絡中主要有以下幾大安全問題:
網絡數據的私有性(保護網絡數據不被侵 入者非法獲取),
授權(authentication)(防止侵入者在網絡上發送錯誤信息),
訪問控制(控制訪問控制(控制對網絡資源的訪問)。
相應的,網絡安全管理應包括對授權機制、訪問控制 、加密和加密關鍵字的管理,另外還要維護和檢查安全日志。包括:
.創建、刪除、控制安全服務和機制
.與安全相關信息的分布
.與安全相關事件的報告
網絡管理中的關鍵
網絡迅速發展,導致網絡結構更為復雜;網絡應用的日新月異,讓網絡管理員每天都要面對新的問題。很多企事業單位,在遇到網絡問題不知道應該如何去解決,看流量,拔網線等手段,排查周期長,也很難真正找出問題。
網絡發展到一定階段,必然要考慮到網絡性能、網絡故障與網絡安全性問題。只有通過運用網絡分析技術對網絡流通數據的清晰認識,才能為故障的排查,性能的提升,以及網絡安全的解決提供可靠的數據依據。
信息應用與治理
網絡最大的價值,是在于信息化的應用。當出現故障不能及時解決,既使有再好的電子商務、電子政務,也只是一個擺設。無論是安全、性能還是故障性問題,不能快速解決,給企業帶來的是難以衡量的損失。
治理并不是簡單的網絡管理,它需要管理者對網絡中所有設備完全掌握,包括每個網卡地址,以及所處的位置。通過對網絡傳輸中的數據進行全面監控分析,才能從網絡底層數據獲取各種網絡應用行為造成的網絡問題,并快速的定位到網卡的位置。從而在安全策略上更好的防范,對故障和性能更合理的管理。
一勞永逸的誤區
從管理角度的考慮,往往期望絡故障和安全性問題可以自動解決。但歷經多年,沒有任何產品能做到。雖然許多企業部署了非常好的安全防護產品,但仍然會受到網絡攻擊和病毒危害。根本原因在于,網絡應用本身就在不斷的發展,新的病毒以及病毒變種,都很難被基于特征庫或病毒庫的產品所識別。要解決這些問題,則要求網絡管理員隨時都能查看到網絡中真實的數據,最快的發現引起問題的原因。
網絡拓撲圖VS矩陣圖
網絡拓撲圖要求這些交換設備都必須支持SNMP(簡單網絡管理協議),它能直觀能看到網絡結構,但看不到終端主機;它能看到設備斷網情況和粗略流量,但對網絡問題的解決能力并不實用。
從技術趨勢來看,矩陣圖(Matrix)將更適合網絡管理的需要。矩陣圖也被稱為主機連接圖,可以監控每臺主機(包括交換設備)之間的通訊連接,極大的提高了監控范圍,監控范圍深入到每臺主機之間的各種應用,包括通訊、資源占用、活躍程度、服務應用等,管理者可以監控到每臺主機的一舉一動,各種網絡問題都會在矩陣中表現出異常。如:BT下載、DDOS攻擊、ARP攻擊、木馬掃描等。
"診斷專家"快速提高解決能力
網絡分析不僅提供網絡依據,更重要的是幫助管理者提高問題的解決能力。"診斷專家"則是一個從問題原因到問題結果的完整解釋。好的網絡分析產品,可以自動提取問題的相關數據,并告訴管理者網絡中存在有哪些問題,可能產生的原因,有什么辦法可以解決,ARP攻擊的快速定位則是一個很好的證明。
網絡數據的回放能力
好的網絡分析產品,都具有網絡數據的回放能力,將網絡數據進行7x24小時記錄,可以按每天或每小時來記錄。如果要分析昨天某個時段出現的網絡故障,只需要將當時保存的數據包進行播放,同時通過網絡分析來追溯故障是如何發生的,使網絡管理對歷史問題追查能力得到明顯提高。
2.6網絡管理體系結構及技術
1 WBM 技術介紹
隨著應用Intranet的企業的增多,同時Internet技術逐漸向Intranet的遷移,一些主要的網絡廠商正試圖以一種新的形式去應用M I S 。因此就促使了W e b ( W e b - B a s e dManagement)網管技術的產生[2]。它作為一種全新的網絡管理模式—基于Web的網絡管理模式,從出現伊始就表現出強大的生命力,以其特有的靈活性、易操作性等特點贏得了許多技術專家和用戶的青睞,被譽為是“將改變用戶網絡管理方式的革命性網絡管理解決方案”。
WBM融合了Web功能與網管技術,從而為網管人員提供了比傳統工具更強有力的能力。WBM可以允許網絡管理人員使用任何一種Web瀏覽器,在網絡任何節點上方便迅速地配置、控制以及存取網絡和它的各個部分。因此,他們不再只拘泥于網管工作站上了,并且由此能夠解決很多由于多平臺結構產生的互操作性問題。WBM提供比傳統的命令驅動的遠程登錄屏幕更直接、更易用的圖形界面,瀏覽器操作和W e b頁面對W W W用戶來講是非常熟悉的,所以WBM的結果必然是既降低了MIS全體培訓的費用又促進了更多的用戶去利用網絡運行狀態信息。所以說,WBM是網絡管理方案的一次革命。
2 基于WBM 技術的網管系統設計
系統的設計目標
在本系統設計階段,就定下以開發基于園區網、Web模式的具有自主版權的中文網絡管理系統軟件為目標,采用先進的WBM技術和高效的算法,力求在性能上可以達到國外同類產品的水平。
本網管系統提供基于WEB的整套網管解決方案。它針對分布式IP網絡進行有效資源管理,使用戶可以從任何地方通過WEB瀏覽器對網絡和設備,以及相關系統和服務實施應變式管理和控制,從而保證網絡上的資源處于最佳運行狀態,并保持網絡的可用性和可靠性。
系統的體系結構
在系統設計的時候,以國外同類的先進產品作為參照物,同時考慮到技術發展的趨勢,在當前的技術條件下進行設計。我們采用三層結構的設計,融合了先進的WBM技術,使系統能夠提供給管理員靈活簡便的管理途徑。
三層結構的特點[2]:1)完成管理任務的軟件作為中間層以后臺進程方式實現,實施網絡設備的輪詢和故障信息的收集;2)管理中間件駐留在網絡設備和瀏覽器之間,用戶僅需通過管理中間層的主頁存取被管設備;3)管理中間件中繼轉發管理信息并進行S N M P 和H T T P之間的協議轉換三層結構無需對設備作任何改變。
網絡拓撲發現算法的設計
為了實施對網絡的管理,網管系統必須有一個直觀的、友好的用戶界面來幫助管理員。其中最基本的一個幫助就是把網絡設備的拓撲關系以圖形的方式展現在用戶面前,即拓撲發現。目前廣泛采用的拓撲發現算法是基于SNMP的拓撲發現算法。基于SNMP的拓撲算法在一定程度上是非常有效的,拓撲的速度也非常快。但它存在一個缺陷[3]。那就是,在一個特定的域中,所有的子網的信息都依賴于設備具有SNMP的特性,如果系統不支持SNMP,則這種方法就無能為力了。還有對網絡管理的不重視,或者考慮到安全方面的原因,人們往往把網絡設備的SNMP功能關閉,這樣就難于取得設備的M I B值,就出現了拓撲的不完整性,嚴重影響了網絡管理系統的功能。針對這一的問題,下面討論本系統對上述算法的改進—基于ICMP協議的拓撲發現。
PING和路由建立
PING的主要操作是發送報文,并簡單地等待回答。PING之所以如此命名,是因為它是一個簡單的回顯協議,使用ICMP響應請求與響應應答報文。PING主要由系統程序員用于診斷和調試實現PING的過程主要是:首先向目的機器發送一個響應請求的ICMP報文,然后等待目的機器的應答,直到超時。如收到應答報文,則報告目的機器運行正常,程序退出。
路由建立的功能就是利用I P 頭中的TTL域。開始時信源設置IP頭的TTL值為0,發送報文給信宿,第一個網關收到此報文后,發現TTL值為0,它丟棄此報文,并發送一個類型為超時的ICMP報文給信源。信源接收到此報文后對它進行解析,這樣就得到了路由中的第一個網關地址。然后信源發送TTL值為1的報文給信宿,第一個網關把它的TTL值減為0后轉發給第二個網關,第二個網關發現報文TTL值為0,丟棄此報文并向信源發送超時ICMP報文。這樣就得到了路由中和第二個網關地址。如此循環下去,直到報文正確到達信宿,這樣就得到了通往信宿的路由。
網絡拓撲的發現算法具體實現的步驟:
(1)于給定的IP區間,利用PING依次檢測每個IP地址,將檢測到的IP地址記錄到IP地址表中。
(2)對第一步中查到的每個IP地址進行traceroute操作,記錄到這些IP地址的路由。并把每條路由中的網關地址也加到IP表中。
(3)對IP地址表中的每個IP地址,通過發送掩碼請求報文與接收掩碼應答報文,找到這些IP地址的子網掩碼。
(4)根據子網掩碼,確定對應每個IP地址的子網地址,并確定各個子網的網絡類型。把查到的各個子網加入地址表中。
(5)試圖得到與IP地址表中每個IP地址對應的域名(Domain Name),如具有相同域名,則說明同一個網絡設備具有多個IP地址,即具有多個網絡接口。
(6)根據第二步中的路由與第四步中得到的子網,產生連接情況表。
第三章 網絡維護
3.1概述
網絡故障極為普遍,網絡故障的種類也多種多樣,要在網絡出現故障時及時對出現故障的網絡進行維護,以最快的速度恢復網絡的正常運行,掌握一套行之有效的網絡維護理論、方法和技術是關鍵。就網絡中常見故障進行分類,并對各種常見網絡故障提出相應的解決方法。
隨著計算機的廣泛應用和網絡的日趨流行,功能獨立的多個計算機系統互聯起來,互聯形成日漸龐大的網絡系統。計算機網絡系統的穩定運轉已與功能完善的網絡軟件密不可分。計算機網絡系統,就是利用通訊設備和線路將地理位置不同的、信息交換方式及網絡操作系統等共享,包括硬件資源和軟件資源的共享:因此,如何有效地做好本單位計算機網絡的日常維護工作,確保其安全穩定地運行,這是網絡運行維護人員的一項非常重要的工作。
在排除比較復雜網絡的故障時,我們常常要從多種角度來測試和分析故障的現象,準確確定故障點。
3.2分析模型和方法
七層的網絡結構分析模型方法
從網絡的七層結構的定義和功能上逐一進行分析和排查,這是傳統的而且最基礎的分析和測試方法。這里有自下而上和自上而下兩種思路。自下而上是:從物理層的鏈路開始檢測直到應用。自上而下是:從應用協議中捕捉數據包,分析數據包統計和流量統計信息,以獲得有價值的資料。
網絡連接結構的分析方法
從網絡的連接構成來看,大致可以分成客戶端、網絡鏈路、服務器端三個模塊。
1、客戶端具備網絡的七層結構,也會出現從硬件到軟件、從驅動到應用程序、從設置錯誤到病毒等的故障問題。所以在分析和測試客戶端的過程中要有大量的背景知識,有時PC的發燒經驗也會有所幫助。也可以在實際測試過程中詢問客戶端的用戶,分析他們反映的問題是個性的還是共性的,這將有助于自己對客戶端的進一步檢測作出決定。
2、來自網絡鏈路的問題通常需要網管、現場測試儀,甚至需要用協議分析儀來幫助確定問題的性質和原因。對于這方面的問題分析需要有堅實的網絡知識和實踐經驗,有時實踐經驗會決定排除故障的時間。
3、在分析服務器端的情況時更需要有網絡應用方面的豐富知識,要了解服務器的硬件性能及配置情況、系統性能及配置情況、網絡應用及對服務器的影響情況。
工具型分析方法
工具型分析方法有強大的各種測試工具和軟件,它們的自動分析能快速地給出網絡的各種參數甚至是故障的分析結果,這對解決常見網絡故障非常有效。
綜合及經驗型分析方法靠時間、錯誤和成功經驗的積累 在大多數的阿絡維護工作人員的工作中是采用這個方法的,再依靠網管和測試工具迅速定位網絡的故障。
3.3計算機無法上網故障的排除
1、對于某網計算機上不了網的故障,首先要分別確定此計算機的網卡安裝是否正確,是否存在硬件故障,網絡配置是否正確在實際工作中我們一般采用Ping本機的回送地址(127.0.0.1)來判斷網卡硬件安裝和TCP/IP協議的正確性。
如果能Ping通,即說明這部分沒有問題。如果出現超時情況,則要檢查計算機的網卡是否與機器上的其它設備存在中斷沖突的問題。通過查看系統屬性中的設備管理器,查看是否在網絡適配器的設備前面有黃色驚嘆號或紅色叉號,如有則說明硬件的驅動程序沒有安裝成功,可刪除后重新安裝。另外,要確保TCP/IP協議安裝的正確性,并且要綁定在你所安裝的網卡上。如果重新安裝后還是Ping不通回送地址,最好換上一塊正常的網卡試一試。由于在局域網中劃分了VLAN,所以連在不同VLAN中的計算機都有各自不同的IP地址、子網掩碼和網關。要在機器的網絡屬性中設定的IP地址等數據與連接的VLAN相匹配,否則將出現網絡不通的情況。
當確保了計算機的硬件設備和網絡配置正確后,接著就要查看計算機與交換機之間的雙絞線,交換機的RJ45端口或交換機的配置是否有問題。此時我們要Ping上網計算機所在VLAN的網關,不通的話就要分段檢查上面所說的各項。
最簡單的方法是檢查雙絞線,用線纜測試儀檢測雙絞線是否斷開。雙絞線沒有問題,就要查看交換機的端口是否壞了。交換機每一個端口都有狀態指示燈以詢問一下其它網管人員就可以排除了,如果不放心可以對照查看。交換機的參數配置表也是網絡管理員必備的資料之一,并且隨著網絡用戶的變化要不斷地修改,檢測到此,如果端口指示燈不亮,就只能是端口損壞了,可以把跳線接到正常使用的端口上排除其它原因,確定是端口的問題。
2、一批聯網計算機上不了網對于同時有一批計算機上不了網的故障,首先要找到這些計算機的共性,如是不是屬于同一VLAN或接在同一交換機上的,若這些計算機屬于同一VLAN,且屬于計算機分別連接于不同的樓層交換機,那么檢查一下路由器上是否有acl限制,在路由器上對該VLAN的配置是否正確,路由協議(如我局的OSPF協議)是否配置正確。若這些計算機屬于同一交換機,則應到機房檢查該交換機是否有電源松落情況,或該交換機CPU負載率是否很高,與上一級網絡設備的鏈路是否正常。
通常某交換機連接的所有電腦都不能正常與網內其它電腦通訊,這是典型的交換機死機現象,可以通過重新啟動交換機的方法解決。如果重新啟動后故障依舊,則檢查一下那臺交換機連接的所有電腦,看逐個斷開連接的每臺電腦的情況,慢慢定位到某個故障電腦,會發現多半是某臺電腦上的網卡故障導致的。
故障通常是交換機的某個端口變得非常緩慢,最后導致整臺交換機或整個堆疊慢下來。通過控制臺檢查交換機的狀態,發現交換機的緩沖池增長得非常快,達到了90%或更多。原因及解決方法為:首先應該使用其它電腦更換這個端口上原來的連接,看是否由這個端口連接的那臺電腦的網絡故障導致的,也可以重新設置出錯的端口并重新啟動交換機,個別時候,可能是這個端口損壞了。
3.4計算機網絡故障分析
計算機網絡故障主要分為硬件故障和軟件故障,對計算機網絡故障進行分析也主要可以從硬件與軟件兩個方面著手:
(一)計算機網絡故障分析與診斷的基本方法
計算機網絡故障分析與診斷的原則可歸納為:由服務器到工作站(就是出現工作站不能入網的情況時,先確定服務器是否有問題);由外部到內部(即當有工作站出現網絡故障時,先檢查其外部直接可看到的設備情況,如與之相連的交換機或集線器有沒有故障,電纜有無纏繞導致內部線纜斷裂或接觸不良);由軟件到硬件(就是網絡出故障后先從操作系統、網絡協議、網卡驅動程序及配置上找原因。重新安裝網卡驅動或網絡協議、操作系統,看看故障是否消失。在確定排除軟件問題后再檢查硬件是否損壞。
(二)網絡硬件故障的分析與診斷方法
網絡中的硬件故障比較復雜,現就日常工作中常見的網絡連線問題和網卡問題來進行探討。如,網線至交換機或集線器之間的故障分析與診斷方法,故障診斷:通過看網卡指示燈集線器指示燈。首先,檢查網線是否插好;其次,若有數臺工作站同時出現網絡故障,則有可能是連接這些計算機的交換機或集線器出故障。如,網卡故障,故障分析:這是最常發生的問題。如網卡設置錯誤,網卡在安裝過程中是否正確地設置中斷號,I/0端口地址,驅動程序是否出錯,網卡是否出故障等。
(三)網絡配置故障的分析與診斷
故障分析:網絡配置故障就是由網絡中的各項配置不當而產生的故障。它是一種較復雜的現象,不但要檢查服務器的各項配置、工作站的各項配置,還要根據出現的錯誤信息和現象查出原因。如,域名、計算機名和地址故障的分析與診斷。故障分析:在實際工作中經常會出現在“網上鄰居”中看不到其它計算機或只能看到部分計算機,無法找到指定的計算機等現象。故障診斷:檢查網絡中每個域、每臺計算機的名稱是否唯一;檢查網絡中的計算機名是否和域名或工作組名重復,使用TCP/IP時,檢查分配給網絡適配器的IP地址有無重復。在如協議故障的分析與診斷,故障分析:確認您所使用的協議與網絡上其它計算機使用的協議相同。否則,將看不到網絡上其它計算機。在配置和使用TCP/IP協議時的主要問題是IP地址、子網掩碼和路由問題。IP地址的分配復雜,分配不好,容易造成網絡混亂。因而,非網管人員不要隨意修改IP地址。
3.5故障定位及排除的常用方法
1.告警性能分析法
通過網管獲取告警和性能信息進行故障定位。我們單位使用了Siteview網絡網管,可以對全單位的網絡設備進行管理,平時多觀察各設備CPU負載率和各線路的流量。當有人反映不能連接至網絡或網速很慢時,可通過網管觀察計算機與交換機的連接情況,是否有時斷時通的現象,交換機CPU負載率是否很高,線路流量是否很大。通過觀察設備端口狀態,分析和觀察交換機哪個端口所接的計算機發包量不太正常。
2.查看網絡設備日志法
經常看一下網絡設備的日志,分析設備狀況。我曾經通過showlonging命令觀察到4006交換機下連的2950交換機經常每隔7小時down掉,然后又up,因時間間隔較長,單位人員未感覺網絡中斷,在此期間我們檢查并確定了光纜、光收發器、網線、交換機配置、交換機端口均正常,后來的間隔時間由原來的7小時減為7分鐘。由此我們立即判定2950交換機本身有故障,馬上將已準備好的備用交換機換上,從而減少了處理故障的時間,并在最短時間內恢復網絡。
3.替換法
替換法就是使用一個工作正常的物體去替換一個工作不正常的物體,從而達到定位故障、排除故障的目的。這里的物件可以是一段線纜、一個設備和一塊模塊。
4.配置數據分析法
查詢、分析當前設備的配置數據,通過分析以上的配置數據是否正常來定位故障。若配置的數據有錯誤,需進行重新配置。
3.6計算機網絡維護
計算機網絡故障是與網絡暢通相對應的一概念,計算機網絡故障主要是指計算機無法實現聯網或者無法實現全部聯網。引起計算機網絡故障的因素多種多樣但總的來說可以分為物理故障與邏輯故障,或硬件故障與軟件故障。物理故障或硬件故障可以包括電源線插頭沒有進行正常的連接,聯網電腦網卡、網線、集線器、交換機、路由器等故障、計算機硬盤、內存、顯示器等故障也會不同程度影響到網絡用戶正常使用網絡。軟件故障是當前最常見的計算機網絡故障之一,常見的軟件故障有網絡協議問題、網絡設備的配置和設置等問題造成的。
網絡故障目前已經成為影響計算機網絡使用穩定性的重要因素之一,加強對計算機網絡故障的分析和網絡維護已經成為網絡用戶經常性的工作之一。及時進行網絡故障分析和網絡維護也已經成為保障網絡穩定性的重要方式方法。
計算機網絡維護是減少計算機網絡故障,維護計算機網絡穩定性的重要的方式方法。計算機網絡維護一般來說包括以下方面:
1.對硬件的維護。首先檢測聯網電腦網卡、網線、集線器、交換機、路由器等故障、計算機硬盤、內存、顯示器等是否能夠正常運行,對臨近損壞的計算機硬件要及時進行更換。同時要查看網卡是否進行了正確的安裝與配置。具體來說要確定聯網計算機硬件能夠達到聯網的基本要求,計算機配置的硬件不會與上網軟件發生沖突而導致不能正常聯網。
2.對軟件的維護。軟件維護是計算機網絡維護的主要方面,具體來說主要包括,
(1)計算機網絡設置的檢查。具體來說檢查服務器是否正常,訪問是否正常,以及檢查網絡服務、協議是否正常。
(2)對集線器、交換器和路由器等網絡設備的檢查。具體來說,包括檢測網絡設備的運行狀態,檢測網絡設備的系統配置。
(3)對網絡安全性的檢測。對網絡安全性的檢測主要包括,對服務器上安裝的防病毒軟件進行定期升級和維護,并對系統進行定期的查殺毒處理;對服務器上安裝的防火墻做不定期的的系統版本升級,檢測是否有非法用戶入網入侵行為;對聯網計算機上的數據庫做安全加密處理并對加密方式和手段進行定期更新,以保障數據的安全性。
(4)網絡通暢性檢測。在進行網絡維護的過程,經常會遇到網絡通訊不暢的問題,其具體表現為網絡中的某一結點pingq其他主機,顯示一個很小的數據包,需要幾百甚至幾千毫秒,傳輸文件非常慢,遇到這種情況應首先看集線器或交換機的狀態指示燈,并根據情況進行判斷。
計算機網絡是計算機技術的一重要應用領域,計算機網絡的便捷、高效、低廉為計算機網絡應用的增加提供了保障,但計算機網絡故障一旦發生就會給網絡用戶帶來使用上巨大不便,甚至造成巨大的損失。因而必須進一步加強計算機網絡故障分析與維護研究,提高網絡的穩定性和安全性。
結束語 本文提出了現代網絡中的一些安全策略,重點提出了管理技術和維護技術。本文介紹了幾種常用的防范技術。隨著現在的發展,網絡的不安全因素很多,網絡管理和維護尤其重要,本文介紹了網絡管理幾個方面的技術和網絡維護的幾種常用技術。
參考文獻
晏蒲柳.大規模智能網絡管理模型方法[J].計算機應用研究
周楊,家海,任憲坤,王沛瑜.網絡管理原理與實現技術[M].北京:清華大學出版社
李佳石, 冰心著. 網絡管理系統中的自動拓撲算法[J].華中科技大學學報胡谷雨. 現代通信網和計算機管理.
岑賢道,安長青. 網絡管理協議及應用開發.
篇9
1計旅機網絡心理舉概述
網絡心理學有廣義和狹義之分。廣義的網絡心理學是指一切與網絡有關的心理學研究;狹義的網絡心理學則指的是,以網絡為代表的自組織性、非線性的觀點對于心理學的深刻影響。如社會網絡分析觀點對社會心理學的影響。目前來看,網絡心理學的研究領域主要有,互聯網使用對人的認知、情感、意志、行為、人格、一般能力、記憶能力、學習能力、社會適應性等心理特征的一般影響;互聯網人格的形成機制與影響因素等問題。
2計茸機網絡心理攀的發展現狀
在當今世界,隨著計算機技術的不斷成熟和迅速普及,互聯網蓬勃發展,它極大地改變著人類傳統的生產方式、生活方式和生存狀態。我們正經歷著以互聯網為核心的信息革命所帶來的社會變革。與此同時,互聯網給人類提出了許多新的問題和挑戰,諸多學科都將研究的目光投向了這一嶄新的領域。其中豐富多彩的網絡應用擴大了人們的交往空間,縮短了人與人之間的距離,提供了快捷的溝通方式以及網絡環境下的多種行為方式,使人們的心理狀態、心理過程同現實社會產生了巨大的差異。互聯網引發的一系列心理問題日益凸顯,并且越來越受到人們的關注。作為社會科學領域的基礎學科,心理學也開始介入網絡研究,互聯網成為心理學研究的新領域。
2. 1計算機網絡心理研究的局限和不足
互聯網對人的心理行為有著重要的影響,眾多的心理學家運用多種研究方法對網絡心理進行深入而廣泛的研究,并取得了一定的研究成果。但網絡心理的相關研究仍然處于初步發展階段,存在著一定的局限性和不足。
1.網絡心理的研究方法尚未成熟
我國傳統的心理學研究基本上是比較成熟的,包括觀察法、實驗法、問題調查法、心理測驗法等在內的多種研究方法已經廣泛運用于傳統心理學研究的各個領域。互聯網為心理學研究提供了新的研究工具,并己在心理學研究中得到初步的應用。網絡心理研究主要對網絡空間內人的心理行為和過程進行分析。傳統的網下紙、筆測驗使網絡使用者根據自己平時上網時的心理行為來對測驗中的問題進行判斷,增加了更多的干擾因素。
(1)網絡心理研究的方法仍然比較古老。對于網絡心理的研究大多采用問卷調查、心理測驗等方法,只是將這些方法從實踐中的應用轉換到了網絡空間里。但是,對于網絡心理的一些實驗性研究沒能有效地運用到互聯網中。此外,網絡心理研究相對于現實社會中人的心理行為的研究來說又有其自身的特點,它在研究環境、研究內容和研究的角度上都有了新的變化。
(2)網絡心理研究的方法尚未形成嚴謹的程序和體系。主要有三方面的原因:①從事網絡心理研究的專家學者還處于一個探索階段;②當前網絡技術的發展不能適應網絡心理研究的需要;③網絡心理行為受到比現實中更多更復雜的影響。因此,在具體的研究實踐中不能急于求成,應當遵循科學的研究方法,否則將會是事倍功半。
2. 2計算機網絡心理研究的內容比較分散和片面
當前,網絡心理研究的內容極不規范,缺乏系統化的操作方法。具體表現在如下幾方面:
1.對于網絡使用者的研究,大多集中于青少年,忽視了對不同年齡層次的人的研究,導致研究比較片面。例如,青少年網絡行為、網絡心理狀態、網絡影響及對策等都是心理學家針對以青少年群體為主的研究項目。
2.缺乏對網絡心理行為演變過程的研究。網絡心理研究更多關注的是網絡空間內人的心理行為及其表現,容易造成網絡心理研究只關注到各個點,但卻看不見各個點之間的聯系以及所發生的變化。
3.網絡心理研究比較粗淺。目前的網絡心理研究經驗描述過多,大部分停留在表面的現象描述層面,局限于簡單的經驗數據解說,缺乏實際的操作,給人總體的感覺就是在空洞說教,甚至很多時候難以自圓其說。這主要是網絡心理研究者的知識技能積累匾乏,同時也和現代社會追求實際利益和短期效應有一定的關系。
3計耳機網絡心理研究的目的及義
3. 1網絡心理研究的目的
在紛繁復雜的網絡背景下,人們有著形形的網絡心態,從網絡應用的角度出發,探求人們的網絡心理,具體目標有以下幾點:
1研究人們在虛擬世界的心理狀態、心理需求和心理變化
網絡的實現,使得人們的生活發生了翻天覆地的巨變,很多人還沒有完全適應網絡社會就己經被網絡的潮水淹沒了。尤其讓人們感受頗深的莫過于信息的收集與傳播速度之快以及網絡資源的浩瀚。同時,網絡也給人們帶來了空前廣泛的交流空間,人們的交往模式、交往行為發生了質的變化。網絡的隱秘性、虛擬性都使得人們之間的交往多了幾分復雜與神秘。
2.研究不同的網絡應用所對應的多種心理需求
探尋人們對不同網絡應用的各種人性化需求,為改革現有網絡應用的弊端以及為各種網絡應用的設計與開發提供依據。現有的網絡應用中還有很多不盡人意的地方,例如,網絡安全、網絡隱私保護等問題。這就需要從研究用戶不同的網絡應用心理出發,從分析網絡用戶的心理需求、心理特征等著手,找出網絡應用的弊端,為設計與開發更符合人的心理、行為等的網絡應用提供依據。
3.研究由于網絡應用給人們帶來的心理困境
現實生活中,很多人沉溺于網絡不能自拔,這方面的問題特別是青少年尤為突出。如何正確運用網絡,并且引領陷入網絡困境的人們走出困境是網絡心理研究的一項重要的任務。如何讓網絡發揮其正面的作用,促使人們合理利用網絡,也是當前墮需解決的問題。
3. 2計算機網絡心理研究的意義
1從網絡應用的角度出發,可以很好地探知網絡環境下人們的內心狀態,為更好的研究人們的網絡心理提供依據。
篇10
0 引言
隨著國家信息化建設的快速發展,信息網絡安全問題日益突出,信息網絡安全面臨嚴峻考驗。當前互聯網絡結構無序、網絡行為不規范、通信路徑不確定、IP地址結構無序、難以實現服務質量保證、網絡安全難以保證。長慶油田網絡同樣存在以上問題,可靠性與安全性是長慶油田網絡建設目標。文章以長慶油田網絡為例進行分析說明論文下載。
1 長慶油田網絡管理存在的問題
長慶油田公司計算機主干網是以西安為網絡核心,包括西安、涇渭、慶陽、銀川、烏審旗、延安、靖邊等7個二級匯聚節點以及咸陽等多個三級節點為架構的高速廣域網絡。網絡龐大,存在的問題也很多,這對日常網絡管理是一份挑戰,由于管理的不完善,管理存在以下幾個方面問題:
1.1 出現問題才去解決問 我們習慣人工戰術,習慣憑經驗辦事。網絡維護人員更像是消防員,哪里出現險情才去撲救。設備故障的出現主要依靠使用者報告的方式,網管人員非常被動,無法做到主動預防,無法在影響用戶使用之前就預見故障并將其消除在萌芽狀態。因此,這種維護模式已經很難保障網絡的平穩運行,能否平穩影響網絡安全與否。
1.2 突發故障難以快速定位 僅僅依靠人工經驗,難以對故障根源做出快速定位,影響故障處理。而且隨著網絡的復雜程度的提高,在故障發生時,難以快速全面的了解設備運行狀況,導致解決故障的時間較長,網絡黑客侵犯可以趁機而來,帶來網絡管理的風險。
1.3 無法對全網運行狀況作出分析和評估 在傳統模式下,這些都需要去設備近端檢查,或遠程登錄到設備上查看,不僅費時費力,而且對于歷史數據無法進行連續不間斷的監測和保存,不能向決策人員提供完整準確的事實依據,影響了對網絡性能及質量的調優處理,龐大的網絡系統,不能通盤管理,不能保證網絡運行穩定,安全性時刻面臨問題。
2 網絡安全防范措施
計算機網絡的安全性可以定義為保障網絡服務的可用性和網絡信息的完整性,為了有效保護網絡安全,應做好防范措施,保證網絡的穩定性,提高網絡管理的效率。
2.1 完善告警機制,防患于未然 告警監控是一種手段,設備維護人員、網絡分析人員需要通過告警信息去分析、判斷設備出現的問題并盡可能的找出設備存在隱患,通過對一般告警的處理將嚴重告警發生的概率降下來。告警機制的完善一般從告警信息、告警通知方式兩方面著手:
2.1.1 在告警信息的配置方面 目前,長慶油田計算機主干網包括的97臺網絡設備、71臺服務器,每臺設備又包含cpu、接口狀態、流量等等性能參數,每一種參數在不同的時間段正常值范圍也不盡相同。
例如同樣為出口防火墻,西安與銀川的各項性能閥值的設置也不盡相同,西安的會話數達到25萬,而銀川的超過20萬就發出同樣的告警。再比如,西安電信出口流量在凌晨00:00-6:00只有二、三十兆的流量是正常的,因為這個時候在線用戶很少,但是如果在晚上8:00-10:00,流量只有二、三十兆的流量,就要發出告警信息。
因此必須根據監控的對象(設備或鏈路)、內容(各項性能指標)以及時間段,設置不同的觸發值及重置值。
2.1.2 告警通知方式的多樣化 任何時間我們都無法保證能全天候死盯著屏幕,所以一方面需要制定相應的運維管理制度和輪班值守職責,另一方面則需要選擇更加人性化的運維管理方式。維護人員不但需要頁面顯示的告警觸發通知,也迫切需要在移動辦公狀態或休假狀態第一時間得到預警,從而做出應有的反應,所以我們需要開發出例如聲音、郵件、短信等多種告警方式。
通過以上兩個方面,我們可以建成一個完善的故障告警系統,便于隱患的及時消除,提高了網絡的穩定性。
2.2 網絡拓撲的動態化 如果一個個設備檢查起來顯然費時費力,如果我們能將所有設備的狀態及其連接狀況用一張圖形實時動態的直觀顯示出來,那么無疑會大大縮短故障定位時間(見圖1,2)。
說明:2009-10-11日17:05,慶陽、延安、靖邊、銀川四個區域的T1200-02的連接西安的2.5GPOS口,涇渭T1200-01連西安的2.5GPOS口,以及西峰、吳起連接慶陽匯聚交換機Z8905-02的千兆光口,以上接口同時發出中斷告警。
因此,綜合告警信息與全網拓撲圖,當出現大規模告警的情況下能夠非常高效地找出故障源,避免了一步步繁瑣的人工排查,從而達到有效提高故障的解決效率,提高了網絡的穩定性。
2.3 全網資源管理的動態化
2.3.1 通過對網管系統的二次開發,實現全網動態資源分析,他的最重要特點就是動態,系統通過Polling Engine從設備上自動提取資料數據,如設備硬件信息、網絡運行數據、告警信息、發生事件等。定時動態更新,最大限度的保持與現網的一致性。
2.3.2 通過一個集中的瀏覽器界面上就可以快速、充分地了解現有網絡內各種動態和靜態資源的狀況,徹底轉變了傳統的網絡依賴于文字表格甚至是依賴于維護人員的傳統維護模式,變個人資料為共享資料。
2.4 提高安全防范意識 只要我們提高安全意識和責任觀念,很多網絡安全問題也是可以防范的。我們要注意養成良好的上網習慣,不隨意打開來歷不明的電子郵件及文件,不隨便運行陌生人發送的程序;盡量避免下載和安裝不知名的軟件、游戲程序;不輕易執行附件中的EXE和COM等可執行程序;密碼設置盡可能使用字母數字混排;及時下載安裝系統補丁程序等。
總之,影響網絡穩定的因素有很多,本文基于日常網絡安全管理經驗,從日常網絡管理的角度,提出一些安全防范措施,以期提高網絡穩定性。
參考文獻
[1]石志國,計算機網絡安全教程,北京:清華大學出版社,2008.
