第10、11章 网 络 管 理

A、代替密码：这种密码是将明文的每个字符都用字
母表中向左移动一个固定数字位的字符来代替。 B.置换密码：这种密码是按某一规则重新排列数据中 字符或比特的顺序。
例如，在发送方以CHINA在字母表中的顺序进行编 号作为密钥，将明文按五个字符为一组写在密钥下，如：
密钥
顺序 明文
CHINA
2 3 45 1 a b c a c k i g n s a f t u o
客体的安全属性都由类别和等级两部分组成。
其存取规则是：主体的等级高于或等于客体的等级，并且当主 体的类别包括了客体所含有全部类别时允许读。主体的等级低于或
等于客体的等级，并且主体所属类别全部被客体所属类别包括时可
以写。
例子：
A（绝密，人事/财务/计划） B（秘密，人事/销售） W（机密，财务/计划） X（机密，人事/销售） Y（机密，人事/财务/销管） Z（机密，人事） A 如果作为主体，等级—绝密，类别为：人事/财务/ 计划 W 如果作为客体，等级—机密，类别为“财务/计划
A、计算机病毒问题 计算机病毒是一种能将自己复制到别的程序中程序。
它会影响计算机的能力，并使计算机不能正常工作。
B、计算机黑客问题 C、传输线路和设备电磁辐射的防护问题 由于短波、超短波、微波和卫星等无线通信有相当大 的辐射面，市话线路、长途架空明线等受到电磁辐射也 相当严重，因此，信息在传输过程中较易被截获。
则传送的密文按密钥的位
数高低，按列进行传送，得 密文为csoq akab bifz cgtm anuw，在接收端就可以用密 钥CHINA将密文还原。
bzmwq
2、数据加密标准DES（date encryption standard）
DES使用64位密钥（除去8位密码奇偶校验位，实际
密钥长度为56位）对64位二进制数进行加密，产生64位 密文数据。 如果试图用试求法求出这个密钥，将有256=7.2×106种 可能，若在一个通用计算机上以每秒试探一个密钥的速 度，需花1000年的时间，也就是说，密钥被破译的可能 性几乎没有。
产品和过程。
主要目标是快速定位并隔离网络中的故障源或发现 潜在故障，并尽快予以排除。 网络管理人员从事故障管理时常用的工具包括：网 络管理系统、协议分析仪、电缆测试仪、冗余系统、数 据归档与备份设备等。
二、计费管理
计费管理又称为记账审计管理，包括收集并处理网络计费信息。 这类信息用于摊派运行维护费用或为制定改善网络服务计划提供依据。 功能包括： 1、以一致的格式和手段来收集、总结、分析、和表示计费信息；
美国政府1983年颁发了桔皮书，1985年又做了修改。
桔皮书将可信计算机分为4类:A B C D。按照可信的程
度由低到高又分为7级：D、C1、C2、B1、B2、B3、A1。 由于计算机的安全保护问题可归为存取控制问题，因此
所谓的不同可信计算机安全等级，主要表现为存取机制
和权限的不同。
D级为可信计算机安全等级的最低级。
技术和管理措施，使网络系统正常运行，从而确保网络
数据的可用性、可控性、完整性、保密性和不可抵赖性。
网络安全涉及到网络资源的维护、实体安全、信息安
全和运行安全等多个方面的问题。
1、实体安全 实体安全主要是指计算机网络硬件设备的通讯线路的
安全性。
2、信息安全 信息安全主要包括软件安全和数据安全。对信息安全 的主要威胁有两种：信息泄露和信息破坏。
4、记录、维护和查阅安全日志，以便对安全进行追查等 事后分析；
10.1.2 简单网络管理协议SNMP
simple network management protocol ——SNMP ，建立在 TCP/IP传输层的UDP协议之上，提供不可靠的无连接服务。 SNMP是指被管理对象自身的管理和管理中心的管理两部 分。 被管理对象自身管理就是网络中各被管理设备（如主机、 交换机、路由器、网桥、hub和终端服务器等）的自身管理。 管理中心（或网络管理站）位于某个网管计算机上，对被
2、在计算费用时应该有能力选取计算所需的数据；
3、有能力根据资源使用情况调整价目表；根据选定的价目、算法 计算用户费用；
4、有能力提供用户帐单、用户明细帐和分摊帐单；
5、所有帐单应该有能力根据需要改变格式而不需要重新编程； 6、便于检索、处理费用可以再分配。
三、配置管理
配置管理就是用来定义、识别、初始化、控制和检测通
第10章 网 络 管 理与安全
随着计算机网络规模的扩大和复杂性的日益增加，网 络管理就变得愈来愈重要。随着计算机网络迅速发展和 广泛流行，网络的安全性问题也日趋严重。本章我们学 习有关网络管理和安全方面的主要内容。
本章介绍的主要内容有：
•网络管理概述
•网络安全概述 •防火墙技术概述
10.1 网络管理概述
管理对象进行统一管理。
管理信息库MIB（management information base）
SNMP模型主要是指这样4个部分：被管理节点、管理 站（管理中心）、管理信息、管理协议。 代理：能运行SNMP管理进程的节点。
10.2计算机网络的安全
10.2.1网络安全问题概述 计算机网络系统的安全定义：为数据处理系统建立和 采取技术和管理上的安全保护，保护计算机硬件、软件 和数据不因偶然和意外的原因遭到破坏、更改和泄露。 由此可以将计算机网络的安全理解为：通过采用各种
存取机制有两种：自主存取控制和强制存取控制。 自主存取控制：即由各种创建者自主地决定让哪些其他主体共 享存取。 强制存取控制：即由组织统一主体的存取权限，而不管客体创
建者是否授予权限。
强制存取控制给每一主体和每一客体划分安全等级和类别，其 中安全等级有高低之分，类别没有高低之分，因此每个主体和每个
10.1.1 网络管理概述 简单地说就是为了保证网络系统能够持续、稳定、高 效和可靠地运行，对组成网络的各种软硬件设施和人员 进行的综合管理。 网络管理应该包括以下3个方面的内容：
1、提供服务：包括向用户提供新任务和通过增加网
络设备和设施来提供网络服务。 2、维护：包括报警、性能监控、测试、故障修复等。 3、处理：包括收集设备利用率和通信量等数据，经 过分析做出相应的控制，以优化网络资源的使用效率等。
B、公开密钥密码体制在网络传输中对数据进行加密 传输的过程 现有A与B之间要进行通信，假设A与B之间从未有过 联系，现在想进行秘密通信，双方均使用公开密钥算法 对数据进行加密。则A的加密密钥为PKA，B的加密密钥
为PKB，加密算法EA,EB，解密算法DA，DB均是公开的。
现在A欲发报文P给B，首先可以用PKB计算出EB(P),并把 它发送给B，然后B根据解密算法DB进行解密，计算出
信网中的被管理对象功能的集合，它具备这样一些主要内容： 1、鉴别所有被管理对象，给每个被管理对象分配名字； 2、定义新的被管理对象，删除不需要的被管理对象； 3、设置被管理对象的初始值；
4、处理被管理对象之间的关系；
5、改变被管理对象的操作特性，报告被管理对象状态的 变化。
四、性能管理
性能管理是指收集网络性能数据、分析、调整管理对象。其 目的是在使用最少网络资源和具有最小时延的条件下让网络能够
钥的分配与管理。
10.2.4 数字签名 数字签名要保证真实性必须做到： 1、发送者对报文的签名，接收者必须能够核实，而 发送者事后不能抵赖
2、接收者不能伪造对报文的签名。
公开秘钥体制就是为了解决数字签名的需要。在公开 秘钥体制之中，加秘密钥PK，加密算法E，解密算法D， 都是公开信息，而解密秘钥SK是保密的，另外，在公开 秘钥中，DSK（EPK（x））=x ，EPK（DSK（X））=X 但DSK（EPK（x））≠x
10.2.2 可信计算机安全等级 美国国防部1983年公布了著名的桔皮书，对多用户计算机系 统的安全等级划分进行了规定，即“可信计算机系统评级标准”。 它的基本思想是，计算机安全是计算机系统有能力控制给定 的主体对给定的客体的存取。根据不同的安全应用需求确定相应
强度的控制水平，即不同的安全等级。
可信计算机理论把安全保护归结为存取控制。被调用的程序 或欲存取的数据称为客体。主动发生存取要求的人或进程称为主 体。一切主体欲对某一客体进行存取都毫无例外地接受存取权限 的控制。
五、安全管理 安全管理是为了防止网络资源被非法使用，以及防范来 自内外部的恶意破坏行为等。安全管理的主要内容有： 1、分发与安全措施有关的信息，如密匙的分发，访问优 先权的设置等； 2、发出与安全有关文件的通知，如网络有非法侵入，无 权用户企图访问网络特定信息等；
3、创建、控制和删除与安全有关的服务和设施；
利用公开秘钥体制进行数字签名的过程： 签名：发送者A用其秘密解密秘钥SkA和解密算法对报文x 进行运算，将结果DSKA（X）传给接收者B，B用已知的A的公 开加密密钥PKA和加密算法E得出源报文X，因为有公式Epk （Dsk（X））=X。由于A的解密密钥SKA只有A知道，所以， 除了A之外无人能解密DSKA（X）。这样报文X就被A签名了。 鉴别：假如A要抵赖曾经发过报文X给B,B可以将DSKA（X） 出示给第三方，很容易用PKA证实A确实发X给B，因为没有 人能解密DSKA（X）,SKA只掌握在A手中，反之，若B将X伪 造成X’，则B没有办法证明给第三者看，并且不可能将伪造出 的报文DSKA（X）说成是A发送给它的，因为它不知道SKA， 这样就证明了B伪造了报文。
A、公开密钥算法的特点：
用加密密钥PK对明文X加密后，再用解密密钥SK解密
可以得到原明文，即Dsk(Epk(x))=x。而且，加密和解密的 运算可以对调，即Epk（Dsk（x））=x； 加密密钥不能用来解密，即Dpk（Epk（x））≠x； 在计算机上可以容易地产生成对的PK和SK，但从已
知的PK不能推导出SK。SK只有自己知道。
C1级为自主保护安全级。C2级为受控存取保护级。
B1级为安全保护级 。B2级为结构保护级。 B3级为安全域级。A1级为验证设计级。 综上所述，就可信计算机系统而言，D级不具备最低 限度安全的等级，任何人都可使用该计算机上的信息。
C1级和C2级是最低限度的安全等级。B1 和B2具有中等
安全保护能力的等级，与C2相比是高安全级，对一般的 重要应用可以满足安全需要。B3 和A1 属最高安全等级，
提供可靠、连续的通信能力。具备内容包括：
1、从被管理对象中收集网络管理数据、记录和维护历史数据； 2、对当前数据进行统计分析，检测性能故障、产生性能告警 和报告性能事件 ； 3、将当前数据统计分析结果与历史模型进行比较，做趋势预 测； 4、形成和改进网络性能评价准则和门限，以性能管理为目标， 改进网络管理操作模式。
3、公开密钥密码体制 公开密钥密码体制是指加密密钥是公开信息，加密算 法和解密算法都是公开的，而解密密钥则是保密的。虽 然解密密钥（SK）是由加密密钥（PK）决定的，但是却 不能由加密密钥（PK）计算出解密密钥（SK）。
公开Baidu Nhomakorabea钥算法的提出主要有两个方面的原因，一是由
于对称密钥体制在密钥分配与处理上存在一定的问题， 二是由于数字签名的要求。
其成本增加了很多，只有及其重要的应用才考虑使用。
10.2.3 代码加密
加密与解密的模型如下图：
干扰者
∙
明文P 加 密 方 法 加密密钥 密文 解 密 方 法 明文P
解密密钥
C=EK(P)
密文或密码文件 :把要传送的数据称为加密报文，按 照密钥（Key）为参数的函数进行变换，通过加密过程送 到传输介质上 。 常用的一些数据加密方法 ： 1、常规密钥密码体制
SKB（EB(P)）=P。而这个SKB只有B自己知道。
4、公开密钥体制与传统密钥加密方法的比较 传统的专用密钥法是通信双方在使用密钥时，双方要 私下进行约定，并且加、解密的密钥是一样的，属于对 称密钥。网络上若有n个用户，两两间的保密通信需要 Cn2=n(n-1)/2的密钥。
公开密钥体制就不存在这样的问题，它大大简化了密
网络管理定义：对网络中的大多数（或全部）参数的 测量与控制，其目的是使网络性能得到优化。
在很多情况下，网络管理的范围还应该扩展到网络资 源的规划和组织。
OSI提出的网络管理标准中，将系统功能划分成五个功
能域，即故障管理、计费管理、配置管理、性能管理和 安全管理。
一、故障管理 故障管理又称为网络监控，包括主动监控和被动监 控（用于故障检测和诊断）以及故障隔离与处理。它涉 及所有的网络管理员用来诊断、检查和维护网络故障的