（计算机应用技术专业论文）网络安全事件集中管理系统的设计与实现.pdf

摘要 有效的网络管理是网络正常运转的保障。目前网络的规模不断扩 大，结构日益复杂，网络管理中存在的安全和管理问题随之增加。特 别是在安全管理方面普遍存在发现网络攻击难、响应不及时、效率低 等问题。 论文针对目前网络安全和管理所存在的问题，研究并设计了一种 基于网络安全事件的网络集中管理系统。本系统通过收集海量的网络 数据信息，并对这些信息进行处理，发现对网络安全和网络性能有影 响的攻击事件和攻击主机，然后对这些攻击事件进行取证，并对攻击 主机或用户进行处理，从而消除该网络事件对网络的影响。从功能上 讲，系统侧重于网络安全管理功能，并融合了性能管理、配置管理和 故障管理等几种功能，另外还增加了用户管理功能。 本文明确提出了本系统的设计目标和设计思路，提出了系统的整 体框架和体系结构。文中将体系结构用层次化的方法表示出来，再对 体系结构中的每层进行详细的论述。本文结合现有的实验环境，根据 系统的体系结构实现了其中四个模块，分别是网络设备性能管理模 块、s y s l o g 管理模块、n e t f l o w 管理模块以及综合分析模块。文中还 结合系统设计与实现的具体实践，总结出系统设计与实现过程中的关 键技术和难点问题，包括数据处理，数据库，网络安全和网络管理等 多方面的技术。 目前本系统在我校校园网中运行良好，解决了网络管理中的很多 问题，提高了网络管理的效率，在很大程度上减轻了网络管理人员的 负担。 关键词网络管理，网络安全，数据处理，安全事件，网络行为 a bs t r a c t e 仃e c t i v en e t w o r km a n a g e m e n ti st h eg u a r a n t e eo fn o r m a ln e t w o r k o p e r a t i o n n o w a d a y s ，a l o n gw i t ht h es i z eo fn e t w o r ke x p a n d i n ga n dt h e c o m p l e x i t y o fn e t w o r kf r a m e w o r ki n c r e a s i n g ，t h es e c u r i t y a n d m a n a g e m e n tp r o b l e m s t h a te x s i t e di nn e t w o r ka d m i n i s t r a t i o na r e i n c r e a s i n g p a r t i c u l a r l y i nn e t w o r k s e c u r i t ym a n a g e m e n t n e t w o r k a t t a c k i n ga r eh a r dt ob ef o u n do u t ，i ta l s oc a n tr e s p o n di nt i m ea n di t s m a n a g e m e n ti si n e f f i c i e n c yn e i t h e r t h i st h e s i sv i e wo ft h ec u r r e n tn e t w o r ks e c u r i t ya n dm a n a g e m e n t p r o b l e m s ，r e s e a r c h e da n dd e s i g n e d as y s t e mt h a tb a s e do nn e t w o r k s e c u r i t y i n c i d e n t s t h e s y s t e m c o l l e c tm a s s i v en e t w o r kd a t aa n d i n f o r m a t i o n ，t h e na n a l y s i st h i si n f o r m a t i o n ，a n df i n do u tt h ea t t a c k sa n d c o m p u t e r sw h i c hi n f l u e n c et h en e t w o r ks e c u r i t yo rn e t w o r kp e r f o r m a n c e t h e nt h iss y s t e mc a nt a k et h ee v i d e n c ef r o mt h e s ea t t a c k s ，d is p o s et h o s e c o m p u t e r sa n de li m i n a t ea t t a c k i n gi n f l u e n c e f r o mt h ef u n c t i o n a ls e n s e ， t h e s y s t e m f o c u s e so n s e c u r i t ym a n a g e m e n t ，a n d i t i n t e g r a t e s w i t h p e r f o r m a n c em a n a g e m e n t ，c o n f i g u r a t i o nm a n a g e m e n t ，f a u l tm a n a g e m e n t a n ds oo n i na d d i t i o n ，i ta l s oi n c r e a s e su s e rm a n a g e m e n tf u n c t i o n t h i st h e s i sp u t sf o r w a r dt h eo b je c t i v ea n di d e a so ft h es y s t e mc l e a r l y , a n dt h e np u t sf o r w a r dt h ew h o l eo ff r a m e w o r ka n ds y s t e ma r c h i t e c t u r e i n t h et h e s i sd e s c r i b e sa r c h i t e c t u r eu s e db yh i b e r a r c h ym e t h o d ，a n dt h e n d i s c u s s e st h ea r c h i t e c t u r ei nd e t a i l a f t e rs y s t e md e s i g n ，w ei m p l e m e n t f o u rm o d u l e sb a s e do nt h ee x i s t i n ge n v i r o n m e n t ，t h e s ef o u rm o d u l e sa r e n e t w o r ke q u i p m e n tp e r f o r m a n c em a n a g e m e n tm o d u l e ，s y s l o gm a n a g e m 。 e n tm o d u l e ，n e t f l o wm a n a g e m e n tm o d u l ea n di n t e g r a t e dm a n a g e m e n t m o d u l e i nc o n j u n c t i o nw i t ht h es p e c i f i cp r a c t i c eo fs y s t e md e s i g na n d i m p l e m e n t a t i o n t h et h e s i ss u m e su pt h ek e yt e c h n i c a la n dd i 伍c u l ti s s u e s a tt h ep r o c e s so fs y s t e md e s i g na n di m p l e m e n t a t i o n ，i n c l u d i n gd a t a p r o c e s s i n g ，d a t a b a s e s ，n e t w o r ks e c u r i t ya n dm a n a g e m e n t ，a n dm a n y o t h e r t e c h n o l o g i e s t h es y s t e mi so p e r a t i n gw e l li nm ys c h o o lc a m p u sn e t w o r kn o w i t s o l v e s m a n yp r o b l e m s a n di m p r o v e st h e e f f i c i e n c y o ft h en e t w o r k l l m a n a g e m e n t e s p e c i a l l y , i tr e d u c e st h en e t w o r km a n a g e k e yw o r d sn e t w o r km a n a g e m e n t ，n e t w o r ks e c u r i t y , d a t ap r o c e s s i n g ， s e c u r i t ye v e n t ，n e t w o r kb e h a v i o r 原创性声明 本人声明，所呈交的学位论文是本人在导师指导下进行的研究 工作及取得的研究成果。尽我所知，除了论文中特另t i , d n 以标注和致谢 的地方外，论文中不包含其他人已经发表或撰写过的研究成果，也不 包含为获得中南大学或其他单位的学位或证书而使用过的材料。与我 共同工作的同志对本研究所作的贡献均已在论文中作了明确的说明。 作者签名： 盘鸳金 臼期：皇塑堑年月生目 学位论文版权使用授权书 本人了解中南大学有关保留、使用学位论文的规定，即：学校 有权保留学位论文并根据国家或湖南省有关部门规定送交学位论文， 允许学位论文被查阅和借阅；学校可以公布学位论文的全部或部分内 容，可以采用复印、缩印或其它手段保存学位论文。同时授权中国科 学技术信息研究所将本学位论文收录到中国学位论文全文数据库， 并通过网络向社会公众提供信息服务。 作者签名：塑礁铷签煮杰缸期：进年上月坠日 硕+ 学何论文 第一章绪论 1 1 引言 第一章绪论 网络技术，特别是i n t e m e t 技术的发展极大的促进了社会信息化的发展，人 们的生活、学习和工作都越来越离不开i n t e m e t ，计算机网络越来越成为人们关 注的全球性热点之一。当前计算机网络的发展趋势是：开放、集成、高性能和智 能化，它们渗透于网络自身、网络服务和网络应用各个层次【l 】。计算机网络的现 状暴露了其突出的问题是网络管理的困难。 计算机网络是信息社会的标志性的生产工具，它与人的和谐显得尤为重要， 失去对网络的管理控制意味着新的科技灾难。然而计算机网络规模的不断扩大、 复杂性的不断增加以及异构性的越来越普遍使得网络管理越来越困难，网络管理 技术的发展明显滞后于网络自身的发展。功能和性能的两难导致现有网络管理模 型或系统效率较低，在网络管理过程中对管理人员要求较高，通常必须是领域专 家，管理者的工作量仍然占很大比重，代价较高，因此在我国大力推广网络管理 系统研究与应用十分迫切。 本章以下内容这样安排，首先简要说明本课题的来源及研究背景，然后概述 国内外此类网络管理系统的研究现状，分析其当前存在问题，最后介绍本文的内 容安排。 1 2 课题来源及研究背景 现代网络正在对社会的各行各业产生巨大深远的影响。由于互联网具有开放 性、互连性、共享性的特点，使其遭受网络入侵的风险日益严重，计算机网络安 全问题同益突出，现今已成为一种全球性的严重的社会问题【2 1 。c s i ( c o m p u t e r s e c u r i t yi n s t i t u t e ) 和f b i ( s a nf r a n c i s c of e d e r a lb u r e a uo fi n v e s t i g a t i o n ) 每年都 联合进行美国计算机安全和犯罪调查，其2 0 0 3 年的调查显示，在过去的1 2 个 月里，9 9 的受访机构在使用各种安全技术，包括i d s 、防火墙、防病毒工具、 访问控制、文件加密等，却有9 0 的受访机构遭受过计算机攻击，有8 0 的金 融损失是由计算机安全问题引起的【3 】【4 1 。 目前针对网络上的各种攻击，已经出现了各种各样的安全防御产品，典型的 产品有：防火墙、v p n 、i d s 等；而网络服务器的操作系统一般也包含某些安全 硕+ 学位论文第一章绪论 工具，其中最重要的包括主机防火墙，防病毒软件等；网络设备，如路由器和三 层交换机等，也都带有一定的安全防护功能，典型的例子就是我们可利用这些设 备上的访问控制列表进行安全管理。尽管安全技术越来越复杂，但因特网还是很 容易受到攻击【5 】。因特网就是一个没有国界的战场，在这个“战场”上，我们要力 争在防御方面做得更好。 上述提到的各种各样网络安全设备一般都会提供大量的安全事件报警，并且 将这些报警信息存放在日志中，这些日志包含了丰富的安全事件信息。然而，每 个单一的安全产品有其特有的功能和作用范围，都存在漏报、误报和重复报警的 现象，并且这些来自不同层次、不同检测设备的信息也难以反映系统整体的安全 状态，相互之间无法协调工作。使得安全管理人员淹没在大量的告警信息之中无 法对安全事件做出及时、有效的响应，也难以应对有步骤、有组织的复杂攻击【6 j 1 7 j 。 为了解决上述的问题，我们应该将各种安全设备的报警信息进行综合分析并 且将分析的结果反馈给网络管理员。针对这方面的研究需要解决下列问题： ( 1 ) 不同安全设备的报警信息的数据格式差别比较大，这给研究带来了复 杂性，为此需要解决的一个问题是如何将报警信息用统一的数据格式表示出来； ( 2 ) 防火墙、i d s 以及各种其它网络安全设备的报警信息数量巨大，且其 中有很大一部分是安全设备对同一网络安全事件的重复报警，为此如何消除海量 的报警信息中的重复报警成为一个关键的问题，重复报警信息处理的好坏关系到 整个网络管理系统信息处理的复杂与否； ( 3 ) 误报率和漏报率是网络管理系统中一个普遍的问题，要将误报和漏报 完全消除是很困难甚至是不可能的，但误报率和漏报率是网络管理系统的一个重 要标准，如何降低误报率和漏报率是一个迫切需要解决的问题，我们应该力争将 误报率和漏报率降低到最小； ( 4 ) 由于9 0 以上的网络攻击是在网络用户不知情的情况下发生的，因此 如何通过取证，向用户说明其行为的危害性，提高广大用户的安全意识是当前网 路管理中的一个极其迫切重要的问题。 1 3 国内外研究现状 网络安全事件集中管理系统在国内外相关的产品并不是很多。目前国外有一 些公司从事相关产品开发，并有了相对成熟的产品；国内在网络安全事件集中管 理方面的产品并不多，很多厂商还处于研究和开发阶段。本文此处简要介绍几种 有代表性的此类系统。 ( 1 ) i n t r u s i o nv i s i o n 公司的可视化数据管理工具。该产品可以关联和管理 2 硕十学位论文第一章绪论 包括n f r 、r e a l s e c u r e 在内的多种i d s 上报的入侵事件，并经过分析以可视化 方法显示出来。 ( 2 ) i n t e l l i t a c t i c s 公司的i s m ( i m e l l i t a c t i c ss e c u r i t ym a n a g e r ) 1 8 1 。它是个整 合式的企业安全管理平台。主要用途在于提供给各大企业、政府单位或者信息安 全服务供货商 ( m s s p )，用最低的成本实现绝佳的信息安全管理。这个服务 平台协助我们在面对各式各样的安全威胁下，建立完善的监控体系，并提高重要 系统对网络攻击、病毒入侵、网络失窃的防范能力。该产品有以下几个特点：第 一，能够管理包括防火墙、入侵检测、日志系统等各种网络安全设备的日志，将 各种同志集中并分级可视化显示；第二，可以关联和分析安全设备、操作系统和 应用程序等多方面的数据；第三，自动产生报警，使用分优先级的报警来反映企 业的安全风险的策略；第四，用一个中心控制台来监视和管理实时事件和报警； 第五，提供一个用来管理和效验的报告库来与规则匹配。 ( 3 ) s e c u r i t y f o c u s 公司开发的攻击注册和信息服务( a r i s a t t a c kr e g i s t r y & i n t e l l i g e n c es e r v i c e ) 系统1 9 。a r i s 是s e c u f i t y f o c u s 公司利用其多年的安全经 验开发出的一项安全信息服务，允许用户以网络匿名方式连接到i n t e m e t 上向 a r i s 系统报送网络安全事件。系统对从网上传送给该公司的各种i d s 报警信息 进行关联分析，整理这些数据，并和其它信息综合，形成详细的网络安全统计分 析和趋势预测。 ( 4 ) c i s c o 公司的安全监控分析和响应系统( m a r s ) 系统。m a r s 系统是 一个高性能、可扩展的威胁管理、监控和防御设备系列，将传统安全事件监控与 网络智能、上下文关联、因素分析、异常流量检测、热点识别和自动防御功能相 结合，可帮助客户更为高效地使用网络和安全设备。通过结合这些功能，思科安 全m a r s 可准确识别和消除网络攻击，且保持网络的安全策略符合性。该系统 功能强大【l o 】1 0 。主要包括以下几点：第一，对网络基础设施信息，包括路由器、交 换机、防火墙、v p n 集中器和终端设备进行了集中监控；第二，m a r s 可作为 一个中央数据库，存储安全设备，如防火墙、验证服务器、网络入侵检测和防御 服务及代理服务器等所生成的所有事件。此外，它也收集网络设备事件和工作站 及服务器记录。所有收集的事件实时相互关联；第三，可大幅减少所收集到的数 百万安全事件，仅向用户报告实际发生的少量网络事故；第四，该系统具有出色 性能和内置丰富经验，可在攻击影响整个网络前发现它们并提出建议的防御措 施；第五，上下文关联使用网络级智能，将跨n a t 边界的安全事件和网络行为 分组，并通过向其运用系统和用户定义的关联规则，来识别有效的故障。上下文 关联大大减少了原始事件数据、支持响应的优先级划分，可使己部署的措施发挥 最大效果；第六，思科安全m a r s 可了解路由器、交换机、漏洞分析工具和防 3 硕十学位论文 第一章绪论 火墙的拓扑及设备配置，以及网络流量配置，从而获得网络智能。该系统的集成 网络搜索功能可构建一个拓扑图，其中包括设备配置和当前安全策略，使思科安 全m a r s 可对您网络中的分组流建模。因为此设备不在内部运行，且极少使用 现有软件代理，它不会影响网络或系统性能；第七，自动防御功能可识别攻击路 径上的阻塞点，使用户能自动运用难确的设备命令来防御攻击。此外，它还能自 动发现许多重要属性，如m a c 地址、w i n d o w s 工作站名称、v p n 用户名和攻击 的第一跳物理交换端口。这些可用于快速、准确地阻止攻击和降低受损程度；第 八，利用所有类型的网络设备和终端系统的全面配置，思科安全m a r s 集成了 网络地址转换端口地址转换( n a t 甩盯) 和m a c 地址信息，以图形方式识别攻 击者、攻击目标和网络热点，以便快速采取行动。它可显示n a t 前和n a t 后的 地址。 ( 5 ) j u n i p e r 公司的统一接入控制( u a c ) 解决方案。j u n i p e r 网络公司统一 接入控制( u a c ) 解决方案将用户身份、设备安全状态和位置信息结合在一起， 以便在整个网络上逐个用户地实施会话特定的接入策略。j u n i p e ru a c 以经过现 场测试的、最佳的安全性和接入控制产品为构建基础，是基于标准的开放解决方 案。u a c 允许通过分阶段的方法来部署网络和应用接入控制，从而利用现有的 网络投资和部署。u a c 能够使用基于8 0 2 i x 的任何供应商提供的交换机或无线 接入点在l 2 执行策略，也可使用上述产品及或j u n i p e r 防火墙在l 3 7 执行策略。 u a c 将接入控制扩展到网络流量，能够在网络核心以及网络边缘更深入地实施 安全策略，从而提供普遍深入的安全保护。u a c 提供接入控制、可视性和监控 能力，能够保护企业网络和应用，同时降低与部署和管理接入控制解决方案相关 的成本和复杂性。 ( 6 ) h 3 c 公司的s e c c e n t e r ( 安全管理中心) 。s e c c e n t e r 将全网事件统一的 收集起来并进行处理，这些事件包括安全事件、网络事件、系统事件和应用事件 等，其信息来源丰富，收集包括防火墙、i d s 、认证服务器、主机数据库、安全 审计系统等等网络设备的信息。另外，s e c c e n t e r 还提供上百种监控方式，实时 显示事件详情，信息统计实时图表输出等功能。 值得说明的是，网络安全事件集中管理系统距大规模的商业应用还有较大距 离，特别是在国内商业应用的并不多，但近两年有了较快的发展，开发此类系统 的厂商也如雨后春笋般发展起来。国外产品相对来说技术上比国内的成熟，但随 着目前的迅猛发展趋势，相信不久的将来能够赶超国外先进产品的性能i l 。 另外，我校网络中心最近几年也在进行网络安全事件集中管理的相关研究工 作。其中程喧关于日志分析的研究、张征帆关于数据链路层拓扑发现技术的研究、 姚景周关于网络安全准入和应急响应技术的研究等都取得了较多的成果，并为本 4 硕士学位论文 第一章绪论 文的网络安全事件集中管理系统的设计和实现打下了坚实的基础。 1 4 研究的目的和意义 以上提到的这些国内外网络安全事件集中管理系统产品功能强大，能解决网 络管理中很多的问题，也为我们系统的设计提供了参考，但这些系统大多存在以 下问题：第一，开放性不够，对不同公司设备的支持还不足，这些系统大多只能 够处理某些公司开发的网络设备的报警信息，如c i s e o 的m a r s 系统就只能支 持c i s e o 等公司的相关设备，各厂商网络设备不能相互协作，而在实际应用中， 我们不太可能只使用一个公司的产品；第二，产品价格太高，一些中小型企业支 付不起这么高的费用。例如，j u n i p e r 公司的安全准入系统报价是1 5 0 0 0 美元1 0 0 并行用户【1 2 】；第三，各公司产品的系统接口没有公开，用户无法进行二次开发， 不利于以后的系统扩展，缺乏灵活性。 本课题研究的目的就是针对现有系统的以上弱点，设计并实现一个系统来解 决这些问题，本课题设计和实现的系统尽量做到如下几点：第一，系统对各种安 全设备提供的报警信息进行综合分析，有效地消除重复报警，减少报警信息量； 第二，系统经过分析处理后的报警信息以共享的方式提供给网络管理员和用户， 并可供第三方软件使用，方便网络管理员根据当前状态作出响应，采取相应的防 范措施；第三，能够将报警信息进行综合归档，并保留相关原始记录及历史记录， 作为网络管理员进一步处理安全事件的依据；第四，系统能够支持不同厂商的设 备，使得各厂商网络没备能相互协调的在系统中工作：第五，提供系统接口，利 于系统的二次开发。 1 5 论文的内容和结构 本文基于现有网络管理系统的研究状况，针对现有网络管理系统的不足，运 用理论研究和实验相结合的方式，结合已有的网络管理经验以及理论知识设计并 实现了一个网络安全事件集中管理系统。论文主要包括如下几个部分： 第一部分，分析和介绍目前国内外网络管理系统的研究现状，针对这些现状 结合我校校园网的管理实践，提出了论文研究的目的和意义； 第二部分，对网络管理和网络安全中与本系统设计的相关关键技术及理论进 行了简要的概述，为本网络管理系统的设计提供参考和思路。 第三部分，系统设计是软件工程中很重要的一步，此部分提出系统设计的整 体框架、体系结构和功能模型，并对系统中的各个设计部分进行详细的阐述，指 5 硕士学位论文 第一章绪论 出系统设计中的难点。 第四部分，系统能否实现是判断系统设计是否正确的一个标准，此部分结合 具体的应用实践提出系统的具体实现方法，探讨实现中的环境选择问题，重点介 绍系统实现的关键技术以及部分模块的实现，最后讨论几个与系统实现相关且重 要的问题。 第五部分，对论文进行总结和展望。 6 硕士学位论文第二章网络管理和网络安全的研究 第二章网络管理和网络安全的研究 网络系统是实现信息化的重要基础设施，如今网络的规模越来越大，结构r 益复杂，其功能也愈来愈强。网络管理己成为网络安全、稳定运行的关键技术。 网络管理是本文的核心，也是本系统设计的目标。另外，网络安全管理是本 系统的主要管理功能。为设计一个高效、可靠、完善的网络管理系统，本章将对 网络管理和网络安全做简要的概述，为系统的设计与实现提供参考和思路。 2 1 网络管理的定义和系统构成 2 1 1 网络管理定义 网络管理主要是关于规划、监督、设计和控制网络资源的使用以及网络的各 种活动，它的基本目标是将所有的管理子系统集成在一起，向网络管理员提供统 一的控制方式，其复杂性取决于网络资源的数量和种类【1 3 】【14 1 。简言之，网络管 理即是通过某种方式对网络状态进行调整，使网络中的各种资源能得到正常、高 效地运行，并且在网络出现故障时及时做出报告和处理，协调、保持网络的运行 熊【1 5 1 寸0 网络管理模型包括功能模型、体系结构模型、信息模型和组织模型等四个方 面【1 3 】。按照o s i 的观点，功能模型包括故障管理、性能管理、安全管理、配置 管理和计费管理五个方面。一个具体的网络管理系统不一定要完全包含上述的五 大管理功能，不同的系统可以选取其中的几个功能加以组合，但几乎每个网络管 理系统都会包括故障管理功能【l 6 。 2 1 2 网络管理系统构成 在网络管理中，一般采用管理者代理模型，如图2 1 所示。现代计算机网 络管理系统基本上由五部分构成：网络管理器、网络管理代理、网络管理协议、 管理信息库m i b ( m a n a g e m e n ti n f o r m a t i o nb a s e ) 和被管资源【1 7 】【1 8 】。 网络管理器是管理指令的发出者，通过各网管代理对网络内的各种设备、设 施和资源实施监视和控制。网络管理代理负责管理指令的执行，并且以通知的形 式向网络管理器报告被管对象发生的一些重要事件，它的基本功能是从m i b 中读 取和修改各种变量值。网络管理协议描述了网络管理器与网络管理代理问的数据 通信机制，规定了管理信息库的存储结构，信息库中关键词的含义以及各种事件 的处理方法。m i b 是被管对象结构化组织的一种抽象。它是一个概念上的数据库， 7 硕十学位论文 第二章网络管理不| i 网络安全的研究 由管理对象组成，各个网管代理管理m i b 中属于本地的管理对象，各网管代理控 制的管理对象共同构成全网的管理信息库。被管资源包括网络中所有可被管理的 网络设备，如主机、工作站、文件服务器、路由器、交换机等等。 祓雷对象 图2 - 1网络管理的系统构成 网络管理系统结构通常可划分为两大类：集中式和分布式。集中式管理结构 的优点是简单、易于实现。但其不足是，这种结构缺乏层次性。相比之下，分布 式管理结构层次性更明显，但实现相对较难。另外，还有分层式网络管理结构以 及混合式网络管理结构。 2 2 网络管理的模型结构 o s i ( o p e ns y s t e mi n t e r c o n n e c t i o n 开放系统互联) 网络管理模型一般由4 个 子模型组成，它们分别是组织模型、信息模型、通信模型和功能模型1 9 1 ，如图 2 2 所示。其中组织模型侧重于管理实体和被管实体问的任务分工和协作形式； 信息模型侧重于管理信息的建模和规范的说明；通信模型确定管理信息在管理实 体与被管实体之间通信的可能性；而功能模型则定义了分解复杂管理任务的可能 性。 网络管理 组织模型信息模型 通信模型 功能模型 网络管理系统 管理信息的结 管理应用；层配置管理；性 的组l 件及其功 构和组织操作；层管理 能管理：安全 能、架构 管理：故障管 理：计费管理 图2 - 2o s i 网络管理模型结构 2 2 1 功能模型 在o s i 网络管理框架模型中，基本的网络管理功能被分为五个功能域，分 8 硕+ 学位论文第二章网络管理和网络安全的研究 别完成不同的网络管理功能，o s i 网络管理的功能域( f c a p s ) 包括： ( 1 ) 故障管理( f a u l tm a n a g e m e n t ) 故障管理的目标是自动检测网络硬件和软件中的故障并通知用户，以便网络 能有效地运行。当网络出现故障时，要进行故障的确认、记录、定位，并尽可能 排除这些故障。由于故障差错可以导致网络性能下降甚至整个系统的瘫痪，所以 故障管理是网络管理元素中被广泛实现的一种元素。 故障管理的步骤包含：判断故障症状；隔离该故障；修复该故障；记录故障 的检测过程及其结果。故障管理的功能包括：接收差错报告并做出反应；建立和 维护差错同志并进行分析；对差错进行诊断测试；对故障进行过滤；同时对故障 通知进行优先级判别；追踪故障，确定纠正故障的方法措施。 ( 2 ) 配置管理( c o n f i g u r a t i o nm a n a g e m e n t ) 配置管理主要是发现网络拓扑结构关系、监视和管理网络设备的配置情况。 目标是掌握和控制网络和系统的配置信息以及网络内各设备的状态和连接关系， 这些信息对于维护一个稳定运行的网络是十分重要的。配置管理最主要的作用是 可以增强网络管理者对网络配置的控制，它是通过对设备的配置数据提供快速的 访问来实现的。 管理对象的属性包括各种详细信息，如设备的软硬件厂家，分配的名字以及 运行和管理状态等。由于各种属性值都是可配置的，这样网络管理系统就可以控 制网络设备的运行状态。此外，随着网络的不断发展，网络设备的更新，网络设 备及其功能、工作参数等都会发生变化，因此，网络管理系统必须对这些网络资 源进行动态有效的管理。 ( 3 ) 计费管理( a c c o u n t i n gm a n a g e m e n t ) 计费管理的目标是跟踪个人和团体用户对网络资源的使用情况，对其收取合 理的费用。这一方面可以促使用户合理地使用网络资源，维持网络正常的运行和 发展，另一方面，管理者也可以根据情况更好地为用户提供所需的资源。 计费管理的主要作用是：网络管理者能测量和报告基于个人或团体用户的计 费信息，分配资源并计算用户通过网络传输数据的费用，然后给用户开出账单。 同时，计费管理增加了网络管理者对用户使用网络资源情况的认识，这有利于创 建一个更有效的网络。 网络计费的功能包括：建立和维护计费数据库，能对任意一台机器进行计费 建立和管理相应的计费策略；能够对指定地址进行限量控制，当超过使用限额时， 将其封锁；并允许使用单位或个人按时间、地址等信息查看网络的使用情况。 ( 4 ) 性能管理( p e r f o r m a n c em a n a g e m e n t ) 性能管理的目标是衡量和呈现网络特性的各个方面，使网络的性能维持在一 9 硕十学位论文第二章网络管理和网络安全的研究 个可以接受的水平上。性能管理使管理人员能够监视网络运行的关键参数，如吞 吐率、利用率、错误率、响应时间等。此外，性能管理能够指出网络中哪些性能 可以改善以及如何改善。 从概念上讲，性能管理包括监视和调整两大类功能。监视功能主要是指跟踪 网络活动，调整功能是指通过改变设置来改善网络的性能。性能管理的最大作用 在于帮助管理员减少网络中过分拥挤和不可通行的现象，从而为用户提供稳定的 服务。利用性能管理，管理员可以监控网络设备和网络连接的使用状况，并利用 收集到的数据推测网络的使用趋势，分析出性能问题，尽可能做到防患于未然。 性能管理包含以下几个步骤：收集网络管理者感兴趣的性能参数；分析这些 数据，判断网络是否处于正常水平并产生相应的报告；为每个重要的变量决定一 个合适的性能阈值，超过该值就意味着出现了值得注意的网络故障；根据性能统 计数据，调整相应的网络部件的工作参数，改善网络性能。 ( 5 ) 安全管理( s e c u r i t ym a n a g e m e n t ) 安全管理的目标是按照一定的策略来控制对网络资源的访问，以保证网络不 被侵害，并保证重要的信息不被未授权的用户访问。 安全管理是对网络资源以及重要信息的访问进行约束和控制。它包括验证网 络用户的访问权限和优先级、检测和记录末授权用户企图进行的非法操作。安全 管理的许多操作都与实现密切相关，依赖于设备的类型和所支持的安全等级。安 全管理中涉及的安全机制有：身份验证、加密、密钥管理及授权等。 安全管理的功能包括：标识重要的网络资源( 包括系统、文件和其它实体) ； 确定重要的网络资源和用户之间的映射关系；监视对重要网络资源的访问；记录 对重要网络资源的非法访问；信息加密管理。 2 2 2 信息模型 网络管理信息库和描述管理信息的信息模型是一个网络管理体系结构重要 和核心的组成部件。管理信息库实现了被管虚拟资源、软件及物理设备在逻辑概 念上的管理和存储。在管理信息库中，被管对象被定义为一种管理信息，是对资 源的一种抽象。被管对象的意义在整个网络系统中是统一的，即不依赖于任何一 个被管对象的具体实现，因此必须要有一种标准化的描述语言来描述基于这种模 型方法的管理信息。描述和管理相关的对象和信息的概念集合就构成了网络管理 体系结构的信息模型【1 8 】。 一般的，一个信息模型还需要定义一种逻辑上的描述方法，来描述被管对象 的一些特性。例如，被管对象的标识、组织形式以及行为特征，对被管对象执行 的操作和行动，被管对象之间的关系、命名编码等。 现有的网络管理信息模型多采用面向对象的方法定义网络管理信息库。网络 1 0 硕士学位论文第二章网络管理和网络安全的研究 资源被以对象的形式存放在管理信息库( m i b ) 中，对象在m i b 中的存放形式 被称作管理信息结构( s m i ，s t r u c t u r eo fm a n a g e m e n ti n f o r m a t i o n ) ，管理信息结 构指定了能够在m i b 中使用的数据类型以及如何表示和命名m i b 中的资源。目 前有两种标准数据模型分别是i n t e m e t 的s m i 和o s is m i 。这两种s m i 均采用了 o s i 的抽象语法表示语言( a s n i ) ，但是它们又有各自不同的特点。o s is m i 采 用完全的面向对象的方法，其被管对象由与对象有关的属性、操作、事件和行为 封装而成，对象之间有继承和包含的关系：对于i n t e m e t 的s m i ，网络管理信息是 面向属性的，其管理信息的定义更注重简单性和可扩展性l l 引。 2 2 3 组织模型 网络管理的灵活性取决于网络管理部件的分散程度，换句话说就是取决于数 据收集、处理、网络控制和监视功能的分布程度。所有这些方面就构成了网络管 理的组织模型，组织模型包括管理者、代理者以及管理实体之问的通信方法，它 描述了网络管理体系结构中各个主角以及他们的作用。 典型的网络管理一般采用管理站代理的工作模型，管理者可以是网络上的 主机、工作站等，负责发出管理操作指令和接受来自代理的信息。代理位于被管 设备内部，把来自管理站的信息转换成本设备特有的指令，完成管理者的指示， 或者主动把系统中发生的事件报告给管理者。 管理者通过管理操作指令将管理要求传送给位于被管系统中的代理，代理直 接管理被管设备。一个管理者可以和多个代理进行信息交换，一个代理也可以接 受来自多个管理者的管理操作【2 0 1 。 2 2 4 通信模型 对于地理上分散的资源的控制和管理，一定会涉及到管理信息的交换。通信 模型定义了在多个网络管理实体之间交换管理信息的方案和机制，依赖不同的实 现目标，通信模型可能涉及- n - 控制信息的交换，以影响或改变被管对象资源的 行为；被管对象设备的状态查询；异步事件消息通报等。 那么，通信模型必须覆盖以下内容：通信伙伴的描述；通信机制的描述，即 管理应用程序所需的通信服务和协议的描述；通信中用到的数据结构的语法和语 义定义( 数据交换的格式) ；管理协议嵌入服务结构的机制和协议层级嵌入底层 通信结构的机制。 一般来说，一个网络管理协议都应该满足网络管理通信模型的上述内容。通 信模型提供了管理和被管理系统间的协议接口。最广为人知的网络管理协议标准 当属i n t e m e t 的简单网络管理协议s n m p v l 和s n m p v 2 ，以及o s i 的公共管理信 息服务和公共管理信息协议( c m i s c m i p ) 。s n m p 是一种比较简单实用的网络 管理协议，只提供了一些监视和修改能力：而c m i s c m i p 是一种比较高级的网络 硕十学位论文第二章网络管理和网络安全的研究 管理协议，但是由于其自身的复杂性，限制了它的发展。 2 3 网络管理的发展趋势 目前常用的网络管理系统产品实现都是基于i n t e r n e t 的综合了s n m p 和 r m o n 管理技术或基于o s i 的c m i p 管理技术【1 3 】。但是，这种传统的网络管理 系统解决方案随着时间的推移，网络的飞速发展，逐渐地显示出其缺陷。主要表 现在：第一，不可扩展性；第二，非跨平台性；第三，管理范围及智能自动化的 限制；第四，缺乏取证功能；第五，无法与网络用户有效的沟通。为了弥补传统 网络管理的不足，今后的网络管理将朝着w e b 方式、综合化和智能化方向发展。 2 4 网络安全的基本目标 网络安全是一个系统概念，它包括设备安全、自动化管理系统安全、各种数 据安全、网络通信安全、人员管理安全、环境安全等方面【2 l 】。网络安全有下列 几个基本目标： ( 1 ) 完整性( i n t e g r i t y ) 信息在存储、传递和提取的过程中没有残缺、丢失等现象的出现，这就要求 信息的存储介质、存储方式、传播媒体、传播方法、读取方式等要完全可靠，因 为信息总是以一定的方式来记录、传递与提取的，它以多种多样的形式存储于多 样的物理介质中，并随时可能通过某种方式来传递。简单地说如果一段记录由于 某种原因而残缺不全了，那么其记录的信息也就不完整了。这时就认为这种存储 方式或传递方式是不安全的。 ( 2 ) 机密性( c o n f i d e n t i a l i t y ) 指信息不被泄露或窃取。这也是一般人们所理解的安全概念。人们总希望有 些信息不被自己不信任的人所知晓，因而采用一些方法来防止，比如把秘密的信 息进行加密，把秘密的文件放在别人无法拿到的地方等等，都是实现信息机密性 的方法。 ( 3 ) 有效性( a v a i l a b i l i t y ) 一种是对信息的存取有效性的保证，即以规定的方法能够准确无误地存取特 定的信息资源：一种是信息的时效性，指信息在特定的时问段内能被有权存取该 信息的主体所存取等等。 ( 4 ) 可控性( c o n t r o l l a b i l i t y ) 指授权机构对信息的内容及传播有控制能力。可以控制授权范围内的信息流 1 2 硕士学位论文第二章网络管理和网络安全的研究 向和方式。 ( 5 ) 不可抵赖性( n o n - r e p u d i a t i o n ) 指信息交流过程结束后，通信双方不可抵赖曾经做出的行为。也不能否认曾 经接受对方的信息。 2 5 常用网络安全技术的局限性 按照网络o s i 的七层模型，网络安全贯穿于网络的各个层次，目前从数据 链路层到应用层都有相应的网络安全协议。网络安全技术涉及防火墙、入侵检测、 虚拟专用网、加密技术、防病毒技术等多个方面。下面对这些安全技术进行简要 的介绍，并指出其不足。 1 防火墙技术的局限性 概括地说，防火墙是位于两个( 或多个) 网络间用于进行访问控制的一系列 组件的集合。防火墙能对网络安全威胁进行很好的防范，但是，它不能解决全部 的安全问题。某些威胁是防火墙力所不及的，下面是防火墙的一些不足之处【2 2 1 。 ( 1 ) 不能防御内部攻击者。由于防火墙只是隔离内部网与外部网上的主机， 监控内部网与因特网间的通信，而对内网之间的通信情况不做检查，因而对于来 自内部的功击无能为力。 ( 2 ) 不能防御绕过防火墙的攻击。从根本上讲，防火墙是一种被动的防御 手段，只能守株待兔式地对通过它的数据报进行检查，如果该数据报由于某种原 因没有通过防火墙，则防火墙就不会采取任何主动的措施。并不是所有通信都从 防火墙通过，这有可能是因为错误的配置或者是人为地在防火墙后设置了“后 门”，比如微软的源代码泄密事件据说就是因为某个员工私下使用了拨号上网而 绕过了防火墙所造成的。 ( 3 ) 不能防御完全新的威胁。防火墙被用来防备己知的威胁。一个好的设 置也许可以防备许多潜在的威胁( 例如，通过禁止除极少数被信任的服务以外的 所有服务，来防备这些服务中可能存在的潜在的安全隐患) ，但是现在人们发现 以前被认为是可信赖的服务中存在新的侵袭方法，可信赖的服务变成不可信赖的 了。 ( 4 ) 不能防御应用层的攻击。防火墙不能防御应用层的攻击。虽然防火墙 扫描分析所有通过的信息，但是这种扫描分析多半是针对i p 地址和端口号或者 协议内容的，而非数据细节。比如病毒可以附在电子邮件中，避开防火墙的检查， 进入到你的系统并发动攻击。 1 3 硕士学位论文第二章网络管理和网络安全的研究 2 入侵检测技术的局限性 入侵检测是能够检测到网络上不正常、不合法活动的网络安全技术，简单来 说就是对入侵行为的发觉。入侵检测通过对计算机网络或计算机系统中的若干关 键点收集信息并