第七章 网络管理与网络安全

第七章网络管理与网络安全

7.1.1 网络管理概述

(1) 网络管理的目标。

网络管理的目标是最大限度地增加网络的可用时间，提高网络设备的利用率，改善网络性能、服务质量和安全性，简化多厂商混合网络环境下的管理和控制网络运行的成本，并提供网络的长期规划。

(2) 网络管理员的职责。

在网络的建立和运行过程中，网络管理员的职责包括：对网络进行规划、建设、维护、扩展、优化和故障检修。

(3) 网络管理模型。

在网络管理中，一般采用管理者-代理的管理模型。

代理位于被管理的设备内部，它把来自管理者的命令或信息请求转换为设备特有指令，完成管理者的指示，或返回它所在设备的信息。管理者从各代理处收集信息，并进行处理，获得有价值的管理信息，以达到管理目的。

管理者和代理之间的信息交换可分为两种：从管理者到代理的管理操作；从代理到管理的事件通知。

在一般的网络管理模型中，一个网络管理者可以和多个代理进行信息交换，实现对网络的管理。

7.1.2.1 配置管理

（1）配置管理的目标。掌握和控制网络配置信息及跟踪、管理网络内各设备的状态和连接关系。

（2）配置管理的主要作用。增强网络管理者对网络配置的控制，它可以通过对设备的配置数据提供快速的访问来实现。

对设备的管理包括：识别网络中各种设备，确定设备的地理位置、名称和有关细节，记录并维护设备参数表；用适当的软件设备参数值和配置设备功能;初始化、启动和关闭网络或者网络设备。

7.1.2.2 故障管理

（1）故障管理的目标。自动监测网络硬件和软件中的故障并告知用户，当网络出现故障时，要进行故障的确认、记录、定位，并尽可能地排除这些故障。

（2）故障管理的一般步骤。发现故障→判断故障症状→隔离故障→修复故障→记录故障的检修过程及其结果。

常用的故障报告形式有文字、图形和声音信号。

7.1.2.3 性能管理

（1）性能管理的目标。衡量和呈现网络特性的各个方面，使网络的性能维持在一个可接受的水平上。性能管理使网络管理人员能够监视网络运行的关键参数，如吞吐率、利用率、错误率、响应时间、网络的一般可用度等。

（2）性能管理的功能类别。从概念上讲，性能管理包括监视和调整两大功能，监视功能主要指跟踪网络活动，调整功能指通过改变设置来改善网络的性能。

7.1.2.4 安全管理

安全管理的目标是按照一定的策略对网络资源的访问进行控制，保证重要的信息不被未授权的用户访问，并防止网络遭到恶意或无意的攻击。

7.1.3.1 SNMP的概述

SNMP，即简单网络管理协议，位于ISO OSI参考模型的应用层，它遵循ISO的管理者-代理网络管理模型，主要由网络管理站、代理节点、管理信息库和SNMP这4个部分组成。SNMP 使用的传输层协议是用户数据报协议(UDP)。

SNMP是应用层协议，SNMP v2规范定义了5种传输层服务，这5种传输层映射分别为UDP、CLNS、CONS、DDP、IPX。目前SNMP主要包括了3 个版本：SNMP v1、SNMP v2和SNMP v3，SNMP v3在SNMP v2的基础上，增加、完善了安全和管理机制。其主要特点是适应性强，适用于多种操作环境。

7.1.3.2 CMIS/CMIP的概述

CMIS/CMIP是ISO定义的网络管理协议，它是一个复杂的协议关系，管理信息采用了面向对象的模型。

CMIP的优点是安全性强，功能强大，不仅可以传输管理数据，而且可以执行一定的任务。不足之处在于对系统处理能力要求高，操作复杂，覆盖范围广，难以实现。

CMIS/CMIP采用管理者-代理模型，它以委托监控的方式对网络实体进行管理监控，开销小，反应及时，但是对代理的资源要求高。

7.2.1.1 信息安全的基本概念

信息技术是计算机、微电子和通信技术的结合。信息安全主要包括3个方面，即物理安全、安全控制和安全服务。

信息安全5个基本要素：机密性、完整性、可用性、可控性和可审查性。

7.2.1.3 信息安全等级

美国国防部安全准则(TCSEC) 定义了4类7个级别，安全性从低到高分别为D1、C1、C2、B1、B2、B3、A1级别。协议TCSEC级别及其安全性详见表7-1。

表7-1 TCSEC级别及其安全性

级别安全性

D1级它是计算机安全性最低的一级，该级保护措施很少，没有安全功能

C1级C1级称为选择的安全保护；它可有选择的存取控制，实现用户与数据分离，数据的保护以组为单位C2级C2级称为受控的访问控制。包含所有的C1级特征，C2级具有限制用户执行某些命令或访问某些文件的权限，还加入了身份认证级别；达到C2级的操作系统有UNIX、XENIX、NetWare 3.x或更高版本及Windows NT等

B1级B1级称为标记安全保护，B1级支持多级安全

B2级B2级称为结构化保护，要求计算机系统中的所有对象都要加上标签，而且给设备分配安全级别

B3级B3级称为安全域，要求用户工作站或终端通过可信任途径连接到网络，而且采用硬件来保护安全系统的存储区

A1级最高的安全等级，又称为可验证安全设计

C2级为历年考试的常考点，应当对此级重点关注。

在我国，以《计算机信息系统安全保护等级划分准则》为指导，将信息和信息系统的安全保护分为5个等级（见表7-2）。

表7-2 我国计算机信息系统安全保护等级划分级别名称适用于危害

第一级自主保护级一般的信息和信息系统会对公民、法人和其他组织的权益产生

一定影响，但不危害国定安全、社会秩

序、经济建设和公共利益

第二级指导保护级一定程度上涉及国家安全、社会秩序、

经济建设和公共利益的一般信息和信

息系统

会对国家安全、社会秩序、经济建设和

公共利益造成一定损害

第三级监督保护级涉及国家安全、社会秩序、经济建设和

公共利益的信息与信息系统

会对国家安全、社会秩序、经济建设和

公共利益造成较大损害

第四级强制保护级涉及国家安全、社会秩序、经济建设和

公共利益的重要信息与信息系统

会对国家安全、社会秩序、经济建设和

公共利益造成严重损害

第五级专控保护级涉及国家安全、社会秩序、经济建设和

公共利益的重要信息与信息系统的核

心子系统

会对国家安全、社会秩序、经济建设和

公共利益造成特别严重的损害

7.3.1.1 网络安全的目的

确保网络系统的信息安全是网络安全的目标，对网络系统而言，主要包括两个方面：信息的存储安全和信息的传输安全。

信息的存储安全就是指信息在静态存放状态下的安全，一般通过设置访问权限、身份识别、局部隔离等措施来保证。

信息的传输安全主要是指信息在动态传输过程中的安全。为确保网络信息的传输安全，尤其需要防止出现如下状况。

（1）对网络上的信息的监听。

（2）对用户身份的假冒。

（3）对网络上信息的篡改。

（4）对发出的信息予以否认。

（5）对信息进行重放

7.3.1.2 安全措施

网络信息安全系统并非局限于通信保密，而是涉及方方面面的一项极其复杂的系统工程。一个完整的网络信息安全系统至少包括以下3类措施。

（1）社会的法律政策、企业的规章制定及网络安全教育。

（2）技术方面的措施，如防火墙技术、信息加密、防病毒、身份认证及授权等。

（3）审计与管理措施，包括技术与社会措施。主要有实时监控、提供安全策略改变的能力及对安全系统实施漏洞检查等。

7.3.2.1 安全攻击的具体内容及分类

安全攻击就是安全威胁的具体实现，其具体包括如下内容。

①中断：指系统资源遭到破坏或变得不能使用，是对可用性的攻击。

②截取：未经授权实体得到了资源的访问权，对机密性的攻击。

③修改：未授权的实体不仅得到了访问权，而且还篡改了资源，对完整性的攻击。