基于计算机网络管理技术的研究.doc

基于计算机网络管理技术的研究论文摘要：当前计算机网络的发展特点规模不断夸大，复杂性不断增加，异构性越来越高。如果不能高效的对网络系统进行管理，就很难保证提供一个令人满意的服务。网络管理是网络发展中一个很重要的内容，其重要性已在各个方面得到体现。首先是对网络管理就发展现状、网络协议等方面进行简单介绍，后又浅述了目前常见的两种网络管理模式、存在问题及前景发展趋势。论文关键字：计算机网络 ；管理 ；问题；前景和趋势。1网络管理技术概述1.1网络管理技术的发展追溯网络管理的历史，已经相当久远，自从有了电话交换网，就有了对通信网络的管理，只不过与现在相比，当时网络设备的种类不多，而且网络管理技术自动化程度不高。计算机网络管理技术的发展是与Internet发展同步的，从20世纪80年代开始，随着一系列网络管理标准的出台，出现了大量的商用网络管理系统，但各种网络系统在结构上存在着或大或小的差异，至今还没有一个大家都能接受的标准。当前，网络管理技术主要有以下三种：诞生于Internte家族的SNMP是专门用于对Internet进行管理的，虽然它有简单适用等特点，已成为当前网络界的实际标准，但由于Internet本身发展的不规范性，使SNMP有先天性的不足，难以用于复杂的网络管理，只适用于TCP/IP网络，在安全方面也有欠缺。已有SNMPv1和SNMPv2两种版本，其中SNMPv2主要在安全方面有所补充。随着新的网络技术及系统的研究与出现，电信网、有线网、宽带网等的融合，使原来的SNMP已不能满足新的网络技术的要求；CMIP可对一个完整的网络管理方案提供全面支持，在技术和标准上比较成熟.最大的优势在于，协议中的变量并不仅仅是与终端相关的一些信息，而且可以被用于完成某些任务，但正由于它是针对SNMP的不足而设计的，因此过于复杂，实施费用过高，还不能被广泛接受；分布对象网络管理技术是将CORBA技术应用于网络管理而产生的，主要采用了分布对象技术将所有的管理应用和被管元素都看作分布对象，这些分布对象之间的交互就构成了网络管理.此方法最大的特点是屏蔽了编程语言、网络协议和操作系统的差异，提供了多种透明性，因此适应面广，开发容易，应用前景广阔.SNMP和CMIP这两种协议由于各自有其拥护者，因而在很长一段时期内不会出现相互替代的情况，而如果由完全基于CORBA的系统来取代，所需要的时间、资金以及人力资源等都过于庞大，也是不能接受的.所以，CORBA，SNMP，CMIP相结合成为基于CORBA的网络管理系统是当前研究的主要方向。1.2网络管理协议 网络管理协议一般为应用层级协议，它定义了网络管理信息的类别及其相应的确切格式，并且提供了网络管理站和网络管理节点间进行通讯的标准或规则。 网络管理系统通常由管理者(Manager)和代理( Agent)组成，管理者从各代理那儿采集管理信息，进行加工处理，从而提供相应的网络管理功能，达到对代理管理之目的。即管理者与代理之间孺要利用网络实现管理信息交换，以完成各种管理功能，交换管理信息必须遵循统一的通信规约，我们称这个通信规约为网络管理协议。 目前有两大网管协议，一个是由IETF提出来的简单网络管理协议SNMP，它是基于TCP / IP和Internet的。因为TCP/IP协议是当今网络互连的工业标准，得到了众多厂商的支持，因此SNMP是一个既成事实的网络管理标准协议。SNMP的特点主要是采用轮询监控，管理者按一定时间间隔向代理者请求管理信息，根据管理信息判断是否有异常事件发生。轮询监控的主要优点是对代理的要求不高；缺点是在广域网的情形下，轮询不仅带来较大的通信开销，而且轮询所获得的结果无法反映最新的状态。 另一个是ISO定义的公共管理信息协议CMIP。CMIP是以OSI的七层协议栈作为基础的，它可以对开放系统互连环境下的所有网络资源进行监测和控制，被认为是未来网络管理的标准协议。CMIP的特点是采用委托监控，当对网络进行监控时，管理者只需向代理发出一个监控请求，代理会自动监视指定的管理对象，并且只是在异常事件(如设备、线路故障)发生时才向管理者发出告警，而且给出一段较完整的故障报告，包括故障现象、故障原因。委托监控的主要优点是网络管理通信的开销小、反应及时，缺点是对代理的软硬件资源要求高，要求被管站上开发许多相应的代理程序，因此短期内尚不能得到广泛的支持。1.3网络管理系统的组成 网络管理的需求决定了网管系统的组成和规模，任何网管系统无论其规模大小如何，基本上都是由支持网管协议的网管软件平台、网管支撑软件、网管工作平台和支撑网管协议的网络设备组成。 网管软件平台提供网络系统的配置、故障、性能以及网络用户分布方面的基本管理。目前大多数网管软件平台都是在UNIX和DOS/WINDOWS平台上实现的。目前公认的三大网管软件平台是：HP View、IBM Netview和SUN Netmanager。虽然它们的产品形态有不同的操作系统的版本，但都遵循SNMP协议和提供类似的网管功能。 不过，尽管上述网管软件平台具有类似的网管功能，但是它们在网管支撑软件的支持、系统的可靠性、用户界面、操作功能、管理方式和应用程序接口，以及数据库的支持等方面都存在差别。可能在其它操作系统之上实现的Netview、Openview、Netmanager网管软件平台版本仅是标准Netview、Openview、Netmanager的子集。例如，在MS Windows操作系统上实现的Netview 网管软件平台版本Netview for Windows 便仅仅只是Netview的子集。 网管支撑软件是运行于网管软件平台之上的，支持面向特定网络功能、网络设备和操作系统管理的支撑软件系统。 网络设备生产厂商往往为其生产的网络设备开发专门的网络管理软件。这类软件建立在网络管理平台之上，针对特定的网络管理设备，通过应用程序接口与平台交互，并利用平台提供的数据库和资源，实现对网络设备的管理，比如Cisco Works就是这种类型的网络管理软件，它可建立在HP Open View和IBM Netview等管理平台之上，管理广域互联网络中的Cisco路由器及其它设备。通过它，可以实现对Cisco的各种网络互联设备（如路由器、交换机、集线器等）进行复杂网络管理。1.4网络管理的体系结构网络管理系统的体系结构（通常简称网络拓扑结构）是决定网络管理性能的重要因素之一。通常可以把其分为集中式和非集中式两类体系结构。 目前，集中式网管体系结构通常采用以平台为中心的工作模式，该工作模式把单一的管理者分成两部分：管理平台和管理应用。管理平台主要关心收集的信息并进行简单的计算，而管理应用则利用管理平台提供的信息进行决策和执行更高级的功能。 非集中方式的网络管理体系结构包括层次方式和分布式。层次方式采用管理者的管理者MOM（Manager of manager）的概念，以域为单位，每个域有一个管理者，它们之间的通讯通过上层的MOM，而不直接通讯。层次方式相对来说具有一定的伸缩性：通过增加一级MOM，层次可进一步加深。分布式是端对端（peer to peer）的体系结构，整个系统有多个管理方，几个对等的管理者同时运行于网络中，每个管理者负责管理系统中一个特定部分“域”，管理者之间可以相互通讯或通过高级管理者进行协调。 对于选择集中式还是非集中式，这要根据实际场合的需要来决定。而介于两者之间的部分分布式网管体系结构，则是近期发展起来的兼顾两者优点的一种新型网管体系结构。2网络管理技术的种类2.1分布对象网络管理技术 目前广泛采用的网络管理系统模式是一种基于Client/Server技术的集中式平台模式。由于组织结构简单，自应用以来，已经得到广泛推广，但同时也存在着许多缺陷：一个或几个站点负责收集分析所有网络节点信息，并进行相应管理，造成中心网络管理站点负载过重；所有信息送往中心站点处理，造成此处通信瓶颈；每个站点上的程序是预先定义的，具有固定功能，不利于扩展。随着网络技术和网络规模尤其是因特网的发展，集中式在可扩展性、可靠性、有效性、灵活性等方面有很大的局限，已不能适应发展的需要.2.2基于WEB的网络管理模式 随着 Internet技术的广泛应用，Intranet也正在悄然取代原有的企业内部局域网，由于异种平台的存在及网络管理方法和模型的多样性，使得网络管理软件开发和维护的费用很高， 培训管理人员的时间很长， 因此人们迫切需要寻求高效、方便的网络管理模式来适应网络高速发展的新形势。随着Intranet和WEB 及其开发工具的迅速发展，基于WEB的网络管理技术也因此应运而生。基于WEB的网管解决方案主要有以下几方面的优点：（1）地理上和系统间的可移动性：系统管理员可以在Intranet 上的任何站点或Internet的远程站点上利用 WEB 浏览器透明存取网络管理信息；（2）统一的WEB浏览器界面方便了用户的使用和学习，从而可节省培训费用和管理开销；（3）管理应用程序间的平滑链接：由于管理应用程序独立于平台，可以通过标准的HTTP协议将多个基于WEB的管理应用程序集成在一起，实现管理应用程序间的透明移动和访问；（4）利用 JAVA技术能够迅速对软件进行升级。 为了规范和促进基于WEB的网管系统开发，目前已相继公布了两个主要推荐标准：WEBM和JMAPI。两个推荐标准各有其特色，并基于不同的原理提出。 WEBM方案仍然支持现存的管理标准和协议，它通过WEB技术对不同管理平台所提供的分布式管理服务进行集成，并且不会影响现有的网络基础结构。JMAPI 是一种轻型的管理基础结构，采用JMAPI来开发集成管理工具存在以下优点：平台无关、高度集成化、消除代理程序版本分发问题、安全性和协议无关性。 2.3 CORBA技术 CORBA技术是对象管理组织OMG推出的工业标准，主要思想是将分布计算模式和面向对象思想结合在一起，构建分布式应用。CORBA的主要目标是解决面向对象的异构应用之间的互操作问题，并提供分布式计算所需要的一些其它服务。OMG是CORBA平台的核心，它用于屏蔽与底层平台有关的细节，使开发者可以集中精力去解决与应用相关的问题，而不必自己去创建分布式计算基础平台。CORBA将建立在ORB之上的所有分布式应用看作分布计算对象，每个计算对象向外提供接口，任何别的对象都可以通过这个接口调用该对象提供的服务。CORBA同时提供一些公共服务设施，例如名字服务、事务服务等，借助于这些服务，CORBA可以提供位置透明性、移动透明性等分布透明性。 基于CORBA的网络管理系统通常按照Client/Server的结构进行构造。其中，服务方是指针对网络元素和数据库组成的被管对象进行的一些基本网络服务，例如配置管理、性能管理等.客户方则是面向用户的一些界面，或者提供给用户进一步开发的管理接口等。其中，从网络元素中获取的网络管理信息通常需要经过CORBA/SNMP网关或CORBA/CMIP网关进行转换，这一部分在有的网络管理系统中被抽象成CORBA代理的概念.从以上分析可以看出，运用CORBA技术完全能够实现标准的网络管理系统。不仅如此，由于CORBA是一种分布对象技术，基于CORBA的网络管理系统能够克服传统网络管理技术的不足，在网络管理的分布性、可靠性和易开发性方面达到一个新的高度。3网络管理技术发展中存在的问题目前，在网络应用的深入和技术频繁升级的同时，非法访问、恶意攻击等安全威胁也在不断推陈出新，愈演愈烈。防火墙、VPN、IDS、防病毒、身份认证、数据加密、安全审计等安全防护和管理系统在网络中得到了广泛应用。虽然这些安全产品能够在特定方面发挥一定的作用，但是这些产品大部分功能分散，各自为战，形成了相互没有关联的、隔离的“安全孤岛”；各种安全产品彼此之间没有有效的统一管理调度机制，不能互相支撑、协同工作，从而使安全产品的应用效能无法得到充分的发挥-。从网络安全管理员的角度来说，最直接的需求就是在一个统一的界面中监视网络中各种安全设备的运行状态，对产生的大量日志信息和报警信息进行统一汇总、分析和审计;同时在一个界面完成安全产品的升级、攻击事件报警、响应等功能。但是，一方面，由于现今网络中的设备、操作系统、应用系统数量众多、构成复杂，异构性、差异性非常大，而且各自都具有自己的控制管理平台、网络管理员需要学习、了解不同平台的使用及管理方法，并应用这些管理控制平台去管理网络中的对象(设备、系统、用户等)，工作复杂度非常之大。另一方面，应用系统是为业务服务的;企业内的员工在整个业务处理过程中处于不同的工作岗位，其对应用系统的使用权限也不尽相同，网络管理员很难在各个不同的系统中保持用户权限和控制策略的全局一致性。另外，对大型网络而言，管理与安全相关的事件变得越来越复杂；网络管理员必须将各个设备、系统产生的事件、信息关联起来进行分析，才能发现新的或更深层次的安全问题。4网络管理技术发展的前景展望随着现代企业和网络、通讯技术的不断发展，企业网管软件也不断推陈出新，网络管理技术的发展前景无疑是广阔的。计算机网络规模的扩大和复杂性的增加，网络管理在计算机网络系统中的地位越来越重要。未来的网络管理呈现如下发展趋向。第一，多厂家、多技术的融合。随着计算机技术、网络技术和通讯技术的融合，统一的、综合的网管正日益显示出重要性。因为没有哪个单独的产品能满足网管方方面面的需要，所以在购买回来的网管软件的基础上，往往需要进行二次开发或和别的网管产品进行集成。以前进行网管产品的集成是一件很痛苦的事情。比如，厂商A 的产品要求运行在Unix 平台上，而厂商B 的产品必须运行在WindowsNT 环境中；再有, 必须是厂商A 的某一指定版本和厂商B 的其一指定版本才能进行集成，任意一方单独升级都会破坏这种集成。例如在电信环境中，以前在传输网、本地网、IP 数据网、电话网等分别由不同的部门维护，信息也不能共享。而用户和运营商都要求通过一个控制台能对多个互联的网络进行管理, 只有建立起多厂商的、多技术领域的综合网管体系，才能符合需要。第二，基于Web 的网管。随着基于Web 的网络管理的出现，集成新问题在一定程度上得到解决。用户只需点击URL 链接，就可以从一个系统转到另一个系统，而无需考虑他们运行在何种平台上。基于Web 的网络管理的实现有两种方式。第一种方式是代理方式，即在一个内部工作站上运行Web 服务器(代理) 。在这种方式下，网络管理软件作为操作系统上的一个应用，它介于浏览器和网络设备之间。在管理过程中，网络管理软件负责将收集到的网络信息传送到浏览器(Web 服务器代理)，并将传统管理协议(如SNMP) 转换成Web 协议(如HTTP)。第二种实现方式是嵌入式，它将Web 功能嵌入到网络设备中，管理员可通过浏览器直接访问并管理该设备。在这种方式下，网络管理软件和网络设备集成在一起。网络管理软件无须完成协议转换，所有的管理信息都可以通过HTTP 协议传送。第三，面向业务的网管。新一代的网络管理系统，已开始从面向网络设备的管理向面向网络业务的管理过渡。这种网管思想把网络服务、业务作为网管对象，通过实时监测和网络业务相关的设备、应用, 通过模拟客户实时测量网络业务的服务质量，通过收集网络业务的业务数据，实现全方位、多视角监测网络业务运行情况的目的，从而实现网络业务的故障管理、性能管理和配置管理。第四，基于CORBA 技术的网管。CORBA 最初的提出是为了满足异构平台上分布式计算的需要。它有以下优点摘要：可在一个分布式应用中混用多种语言、支持分布对象、提供高度的互通性等。OMG已经提出了基于CORBA 的网管系统的体系结构，使用CORBA 的方法来实现基于OSI 开放接口和OSI 系统管理概念。TMF 和X/ OPen 联合开展的J IDM 任务组己经开发出SNMP/CMIP/ CORBA 的互通静态规范描述和动态交互式转化方法。可以预见，CORBA 将在网络管理和系统管理中占有越来越重要的地位。现代化的网络管理技术集通信技术、Internet服务技术和信息处理技术于一身。随着网络规模迅速扩大，网络的复杂程度也日益加剧。为适应网络大发展的这一时代需要，在构建计算机网络时必须高度重视网络管理的重要性，重点从网管技术和网管策略设计两个大的方面全面规划和设计好网络管理的方方面面，以保障网络系统高效、安全地运行。结束语：本篇论文是在指导老师的指导下完成的。在研究分析的过程中，给予了指导，并提供了很多与该课题相关的重要信息，培养了我对事情研究分析的严谨态度和创新精神，很大程度上提高了我分析问题，解决问题的能力，这非常有利于我现在和今后的学习和工作。在此表示衷心的感谢！本篇论文还得到了计算机系的各位老师的大力协助，在此一并表示我的感谢。在老师的悉心指导和严格要求下业已完成，从课题选择、方案论证到具体设计和调试，无不凝聚着老师的心血和汗水，在学习和生活期间，也始终感受着导师的精心指导和无私的关怀，我受益匪浅。在此向老师表示深深的感谢和崇高的敬意。不积跬步何以至千里，本设计能够顺利的完成，也归功于各位任课老师的认真负责，使我能够很好的掌握和运用专业知识，并在设计中得以体现。正是有了他们的悉心帮助和支持，才使我的毕业论文工作顺利完成，在此向，计算机系的全体老师表示由衷的谢意。感谢他们四年来的辛勤栽培。参考文献：1胡铮，网络与信息管理，电子工业出版社，20082尚小航，郭正昊，网络管理基础，清华大学出版社，2008.13赵慧、蔡希尧,“网络管理体系结构综述”,计算机科学，19994姚卫东、宋国光，“网络技术的发展动向与前景”，计算机世界报，1996年第3期5孟洛明，“网络管理技术的现状和发展趋势”，现代通信，1997 基于计算机网络安全的研究摘要：目前，全世界的军事、经济、社会、文化各个方面都越来越依赖于计算机网络，人类社会对计算机的依赖程度达到了空前的记录。由于计算机网络的脆弱性，这种高度的依赖性是国家的经济和国防安全变得十分脆弱，一旦计算机网络受到攻击而不能正常工作，甚至瘫痪，整个社会就会陷入危机。故此，网络的安全措施应是能全方位地针对各种不同的威胁和脆弱性，这样才能确保网络信息的保密性、完整性和可用性。计算机网络的发展，特别是Internet的发展和普及，为人类带来了新的工作.学习和生活方式，人们与计算机网络的联系也越来越密切。计算机网络系统提供了丰富的资源以方便用户共享，提高了系统的灵活性和便捷性，但也正是这些特点，增加了网络系统的脆弱性.网络受威胁和攻击的可能性以及网络安全的复杂性。因此，随着资源共享程度的加强，计算机网络系统的安全问题也变得日益突出与复杂。使计算机网络系统免受破坏，提高系统的安全可靠性，已成为人们关注和必须解决的问题。同时在全球范围内，针对重要信息资源和网络基础设施的入侵行为和企图入侵行为的数量仍在持续不断增加，网络攻击与入侵行为对国家安全、经济和社会生活造成了极大的威胁。计算机病毒不断地通过网络产生和传播，计算机网络被不断地非法入侵，重要情报、资料被窃取，甚至造成网络系统的瘫痪等等，诸如此类的事件已给政府及企业造成了巨大的损失，甚至危害到国家的安全。网络安全已成为世界各国当今共同关注的焦点，网络安全的重要性是不言而喻的，因此，对漏洞的了解及防范也相对重要起来。网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不因偶然的或者恶意的原因而遭受到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。 网络安全从其本质上来讲就是网络上的信息安全。从广义来说，凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。网络安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。 网络安全的具体含义会随着“角度”的变化而变化。比如：从用户（个人、企业等）的角度来说，他们希望涉及个人隐私或商业利益的信息在网络上传输时受到机密性、完整性和真实性的保护，避免其他人或对手利用窃听、冒充、篡改、抵赖等手段侵犯用户的利益和隐私。 本文对目前计算机网络存在的安全隐患进行了分析，并探讨了针对计算机安全隐患的防范策略。 关键字：网络安全,网络安全机制, 网络威胁 Research on computer network securityAbstract : At present, the worlds military, economic, social, culture, and are increasingly dependent on computer networks, Ren Lei societys reliance on the computer to achieve the unprecedented record. Because of the vulnerability of computer networks,this high dependence yes the countrys economic and national security become very fragile,if the computer network attack and not working properly, or even paralyzed, the entire society would collapse.Therefore,the networks security should be able to target the full range of different threats and vulnerabilities, so as to ensure that the network of information confidentiality, integrity and availability. Computer network development, in particular the development and popularization of Internet, has brought new human work. Learning and way of life, people and computer networks more and more closely linked. Computer network system provides a wealth of resources to facilitate the users to share and improve the systems flexibility and convenience, but it is precisely these characteristics, increasing the network vulnerability. Network threats and attacks by the possibilities and network security complexity. Thus, with the resource sharing degree of strengthening the security of computer network systems are becoming increasingly prominent and complex. The computer network system from damage, improve system safety and reliability, has become a concern and must be addressed. At the same time in the global context, for important information resources and network infrastructure of the invasion of conduct and attempted intrusion of Buduan continues to increase, network attacks and intrusions on national security, economic and social life Zaocheng a great of Wei Xie. Computer viruses continue to produce and disseminate through the network, computer networks are constantly hacking, important information, data theft, network system or even cause paralysis, etc., and so the incident to the government and enterprises have caused great damage, even damage to national security. Network security has become a common concern of countries in the world today the focus of the importance of network security is self-evident, therefore, the understanding and prevention of vulnerability is relatively important. Network security is the means the network hardware, software and its system of data protection, not because of accidental, or malicious Yuan Yin and hardly shaken, change, disclosure, system Lianxukekao normal running of the network Fuwu not Zhongduan. Network security from its essence, is the network information security. Broadly speaking, all information relating to the network the confidentiality, integrity, availability, authenticity and control technologies and theories are related to network security research. Network security is one related to computer science, network technology, communication technology, cryptography, information security technology, applied mathematics, number theory, information theory and other disciplines in the comprehensive discipline. Network security will be with the specific meaning of angle varies. For example: from the user (individual, corporate, etc.) point of view, they want personal privacy or commercial interests of the network transmission by the confidentiality, integrity and authenticity protection,to avoid other people or competitors use eavesdropping, posing, tampering, repudiation and other means of violating the interests of users and privacy.In this paper, the current existence of computer network security risks are analyzed and discussed the security risks for computer preventive strategies. Keywords : network security, network security, network threats1网络安全简介 网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不因偶然的或者恶意的原因而遭受到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。 网络安全从其本质上来讲就是网络上的信息安全。从广义来说，凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。网络安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。如何更有效的地保护重要的信息数据.提高计算机网络系统的安全性已经成为所有计算机网络应用必须考虑的和必须解决的一个重要问题，网络信息的保密性.完整性.可用性.真实性和可控性等相关技术问题成为网络安全研究的重要课题。 保密性：信息不泄露给非授权用户、实体或过程，或供其利用的特性。完整性：数据未经授权不能进行改变的特性。即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性。可用性：可被授权实体访问并按需求使用的特性。即当需要时能否存取所需的信息。例如网络环境下拒绝服务、破坏网络和有关系统的正常运行等都属于对可用性的攻击； 可控性：对信息的传播及内容具有控制能力。网络安全包括物理安全、逻辑安全、操作系统安全和联网安全。1.1物理安全网络的物理安全是整个网络系统安全的前提。在校园网工程建设中，由于网络系统属于弱电工程，耐压值很低。因此，在网络工程的设计和施工中，必须优先考虑保护人和网络设备不受电、火灾和雷击的侵害；考虑布线系统与照明电线、动力电线、通信线路、暖气管道及冷热空气管道之间的距离；考虑布线系统和绝缘线、裸体线以及接地与焊接的安全；必须建设防雷系统，防雷系统不仅考虑建筑物防雷，还必须考虑计算机及其他弱电耐压设备的防雷。总体来说物理安全的风险主要有，地震、水灾、火灾等环境事故；电源故障；人为操作失误或错误；设备被盗、被毁；电磁干扰；线路截获；高可用性的硬件；双机多冗余的设计；机房环境及报警系统、安全意识等，因此要尽量避免网络的物理安全风险。1.1.1防盗网络的硬件和软件设备与其他的物体一样，具有自身非常重要的价值，因此成为偷窃者窃取信息的首要目标，软硬盘.主板等都是计算机相关部件，是窃贼窃取实物的首选。计算机偷窃行为所造成的损失可能远远超过计算机本身的价值，因此必须采取严格的防范措施.以确保计算机设备不会丢失。1.1.2防火防火是计算机网络中心安全的头等大事，由于计算机机房和中心设有许多线路和电器设备，因此发生火灾原因一般是由于电器原因、人为事故或外部火灾蔓延引起的。1.1.3.防静电静电是由于物体间相互摩擦产生的，计算机显示器也会产生很强的静电。静电产生后，由于未能释放和保留在物体内会有很高的电位，从而产生静电放电火花，造成火灾。1.1.4.防雷击雷击防范的主要措施是，根据电器微电子设备的功能及不同受保护程序和所属保护层缺点防护要点做分类保护；根据雷电操作瞬间过电压危害的可能通道从电源线到数据通信线路应多级层的保护。1.2逻辑安全计算机的逻辑安全是计算机安全的基本要求，可以通过设置口令字、文件授权、帐号存取的方法来实现。防止计算机黑客入侵主要依赖计算机逻辑安全。可以限制登录的次数或对其试探操作加上时间限制；可以用软件保护主存在计算机文件上的信息，该软件限制了其他能存取非自己所有的文件，知道该文件所有者明确准许其他人可以存取该文件为止；限制存取的另一种方式是通过硬件完成，在接受到存取要求后，先询问并校对可口令，然后访问列于目录中的授权用户标识号。此外有一些安全软件包也可追踪可疑的、未授权存取企图，例如，多地登录或请求别人的文件。1.3操作系统安全操作系统是计算机应用的核心，因此操作系统的安全关系到计算用户的程序、数据的安全。由于同一个计算机可以安装几种不同的系统，如果计算机系统提供给许多人使用，操作系统必须区分用户，以便防止他们互相干扰。1.4访问控制安全访问控制识别并验证用户，将用户限制在已授权的活动和资源范围之内。网络的访问控制安全可以从以下几个方面考虑。1.4.1口令网络安全系统的最外层防线就是网络用户的登录，在注册过程中，系统会检查用户的登录名和口令的合法性，只有合法的用 户才可以进入系统。1.4.2网络资源属主、属性和访问权限网络资源主要包括共享文件、共享打印机、网络通信设备等网络用户都有可以使用的资源。资源属主体现了不同用户对资源 的从属关系，如建立者、修改者和同组成员等。资源属性表示了资源本身的存取特性，如可被谁读、写或执行等。访问权限主要体现在用户对网络资源的可用程度 上。利用指定网络资源的属主、属性和访问权限可以有效地在应用级控制网络系统的安全性。1.4.3网络安全监视网络监视通称为“网管”，它的作用主要是对整个网络的运行进行动态地监视并及时处理各种事件。通过网络监视可以简单 明了地找出并解决网络上的安全问题，如定位网络故障点、捉住IP盗用者、控制网络访问范围等。1.4.4审计和跟踪网络的审计和跟踪包括对网络资源的使用、网络故障、系统记帐等方面的记录和分析。一般由两部分组成：一是记录事件， 即将各类事件统统记录到文件中；二是对记录进行分析和统计，从而找出问题所在。2.网络安全面临的威胁网络安全所面临的威胁，几乎所有人的第一反映就是黑客，其实，黑客固然是网络安全所面临的威胁中不可缺少的中坚力量，但是，网络安全面临的威胁却远远不限于黑客，它来自很多方面，并且随着时间的变化而变化。这些威胁可以宏观地分为人为威胁和自然威胁。2.1人为威胁人为的恶意攻击是有目的破坏，可以分为主动攻击和被动攻击。主动攻击是指以各种方式有选择地破坏信息（如：修改、删除、伪造、添加、重放、乱序、冒充、病毒等）。被动攻击是指在不干扰网络信息系统正常工作的情况下，进行侦收、截获、窃取、破译和业务流量分析及电磁泄露等。人为恶意攻击具有以下特性：智能性：从事恶意攻击的人员大都具有相当高的专业技术和熟练的操作技能。他们的文化程度高，许多人都是具有一定社会地位的部门业务主管。他们在攻击前都经过了周密的预谋和精心策划。严重性：涉及到金融资产的网络信息系统恶意攻击，往往会由于资金损失巨大，而使金融机构、企业蒙受重大损失，甚至破产。同时，也给社会稳定带来震荡。如美国资产融资公司计算机欺诈案，涉及金额20亿美元之巨，犯罪影响震荡全美。（典型事例就是N年前的一部美国大片偷天陷阱，如果是真的的话 不过做这么各小偷也够难的），在我国也发生数起计算机盗窃案，金额在数万到数百万人民币，给相关单位带来了严重的损失。隐蔽性：人为恶意攻击的隐蔽性很强，不易引起怀疑，作案的技术难度大。一般情况下，其犯罪的证据，存在于软件的数据和信息资料之中，若无专业知识很难获取侦破证据。相反，犯罪行为人却可以很容易地毁灭证据。计算机犯罪的现场也不象是传统犯罪现场那样明显。多样性：随着计算机互联网的迅速发展，网络信息系统中的恶意攻击也随之发展变化。出于经济利益的巨大诱惑，近年来，各种恶意攻击主要集中于电子商务和电子金融领域。攻击手段日新月异，新的攻击目标包括偷税漏税、利用自动结算系统洗钱以及在网络上进行盈利性的商业间谍活动，等等。2.2自然威胁保证计算机信息系统各种设备的物理安全是保障整个网络系统安全的前提。物理安全是保护计算机网络设备、设施免遭地震、水灾、火灾等环境事故，机网络安全是脆弱的。就如通信领域所面临的问题一样，网络涉及的设备分布极为广泛，任何个人或组织都不可能时刻对这些设备进行全面的监控。任何安置在不能上锁的地方的设施,包括局域网、远程网、电话线、有线通讯线等都有可能遭到破坏，从而引起网络的中断。自然威胁是多样化的，如链路老化，被动物咬断等；网络设备自身故障；停电导致网络设备无法工作；机房电磁辐射；等等各方面的问题。3.网络出现安全威胁的原因引起网络出现安全问题的原因主要有以下几种。3.1薄弱的认证环节网上的认证通常是采用口令来实现的。但口令比较薄弱，有多种方法可以破译，其中最常用的两种方法是把加密的口令破解和通过信道窃取口令。例 如，UNIX操作系统通常把加密的口令保存在某一个文件中，而该文件普通用户也可读取。一旦口令文件被入侵者通过简单拷贝的方式得到，他们就可以对口令进 行解密，然后用它来获取对系统的访问权。3.2易被监视的系统 用户使用Telnet或FTP连接他在远程主机上的账户，在网上传输的口令是没有加密的。入侵者可以通过监视携带用户名和密码的IP包获取他们，然后 使用这些用户名和密码登录到系统。假如被截获的是管理员的用户名和密码，那么，获取该系统的超级用户访问就轻而易举了。3.3有欺骗性的主机地址TCP或UDP服务相信主机的地址。如果使用“IP Source Routing”，那么攻击者的主机就可以冒充一个被信任的主机或客户。以下具体步骤展示了怎样冒充被信任的客户： 第一，攻击者要使用那个被信任的客户的IP地址取代自己的地址；第二，攻击者构造一条要攻击的服务器和其主机间的直接路径，把被信任的客户作为通向服务器的路径的最后节点；第三，攻击者用这条路径向服务器发出客户申请；第四，服务器接受客户申请，就好像是从可信任客户直接发出的一样，然后给可信任客户返回响应；第五，可信任客户使用这条路径将包向前传送给攻击者的主机。3.4 有缺陷的局域网服务和相互信任的主机主机的安全管理既困难又费时。为了降低管理要求并增强局域网，一些站点使用了诸如NIS（Network Information Services 网络信息服务）和NFS（Network Files System 网络文件系统）之类的服务。这些服务通过允许一些数据库（如口令文件）以分布式方式管理以及允许系统共享文件和数据，在很大程度上减轻了过多的管理工作 量。但这些服务带来了不安全因素，可以被有经验闯入者利用以获得访问权。一些系统处于方便用户并加强系统和设备共享的目的，允许主机们相互“信任”。如果一个系统被侵入或欺骗，那么对于入侵者来说，获取那些信任该系统的其 他系统的访问权就很简单了。图3-2 局域网示意图3.5复杂的设置和控制主机系统的访问控制配置复杂且难于验证。因此偶然的配置错误会使闯入者获取访问权。一些主要的Unix经销商仍然把Unix配置成具有最大访问权的系 统，这将导致未经许可的访问。许多网上的安全事故是由于入侵者发现了设置中的弱点而造成。 3.6无法估计主机的安全性主机系统的安全性无法很好地估计：随着一个站点的主机数量的增加，确保每台主机的安全性都处在高水平的能力却在下降。只用管理一台系统的能力来管理如 此多的系统就容易犯错误。另一因素是某些系统管理的作用经常变换并行动迟缓。这导致这些系统的安全性比另一些要低。这些系统将成为网络中的薄弱环节，最终 将破坏这个安全链。4网络安全保护机制4.1防火墙技术 防火墙技术是指网络之间通过预定义的安全策略，对内外网通信强制实施访问控制的安全应用措施。它对两个或多个网络之间传输的数据包按照一定的安全策略来实 施检查，以决定网络之间的通信是否被允许，并监视网络运行状态。由于它简单实用且透明度高，可以在不修改原有网络应用系统的情况下，达到一定的安全要求， 所以被广泛使用。据预测近5年世界防火墙需求的年增长率将达到174%。目前，市场上防火墙产品很多，厂商还把防火墙技术并入其硬件产品中， 即在其硬件产品中采取功能更加先进的安全防范机制。可以预见防火墙技术作为一种简单实用的网络信息安全技术将得到进一步发展。然而，防火墙也并非人们想象 的那样不可渗透。在过去的统计中曾遭受过黑客入侵的网络用户有三分之一是有防火墙保护的，也就是说要保证网络信息的安全还必须有其他一系列措施，例如对数 据进行加密处理。需要说明的是防火墙只能抵御来自外部网络的侵扰，而对企业内部网络的安全却无能为力。要保证企业内部网的安全，还需通过对内部网络的有效 控制和管理来实现。4.2数据加密技术数据加密技术就是对信息进行重新编码，从而隐藏信息内容，使非法用户无法获取信息、的真实内容的一种技术手段。数据加密技术是为提高信息系统及数据的安全 性和保密性，防止秘密数据被外部破析所采用的主要手段之一。数据加密技术按作用不同可分为数据存储、数据传输、数据完整性的鉴别以及密匙管理技术4种。数据存储加密技术是以防止在存储环节上的数据失密为目的，可分 为密文存储和存取控制两种;数据传输加密技术的目的是对传输中的数据流加密，常用的有线路加密和端口加密两种方法;数据完整性鉴别技术的目的是对介入信息 的传送、存取、处理人的身份和相关数据内容进行验证，达到保密的要求，系统通过对比验证对象输入的特征值是否符合预先设定的参数，实