网络管理与网络安全.doc

目 录引言第一章 网络管理1.1 网络管理的概述 1.1.1 网络管理的起源及其定义1.1.2 网络管理的范围1.1.3 网络管理的标准1.1.4 网络管理的基本功能1.2 网络管理的协议 1.2.1 SNMP协议 1.2.2 CMIS/CMIP 协议 1.2.3 RMON 协议 1.2.4 AgentX（扩展代理）协议 1.3 网络管理系统 1.4 网络管理的发展 第二章 网络安全2.1网络安全的概述2.1.1 网络安全的含义2.1.2 网络安全的内容 2.1.3 网络安全的研究对象2.2网络安全性能的衡量 2.3网络安全分析2.3.1 网络安全管理问题2.3.2 保护网络安全的主要措施2.4 网络安全的发展结束语参考文献网络管理与网络安全摘要：本文由计算机网络的基本概念和发展趋势引入网络管理与网络安全，对网络管理与网络安全进行了全面的概述，分析了网络管理与网络安全的发展。关键字：网络 ARPANET ISO网络管理模式 CIA 发展 Summary: This text is introduced the network management and online security by the basic conception of the computer network and development trend, have carry on the overall summary to network management and online security, has analysed network management and development of the online security.Key word: Network ARPANET ISO network management mode CIA Development 引言计算机网络的出现是20世纪最伟大的科学技术成就之一，而计算机网络的发展速度又超过了世界上任何一种其他科学技术的发展速度。简而言之，计算机网络是由不同通信媒体连接的、物理上互相分开的多台计算机组成的、将所要传输的数据划分成不同长度的分组进行传输和处理的系统。通信媒体可以是电话线路、有线电缆（包括数据传输电缆、有线电视信号传输电缆等）、光纤、无线、微波、卫星等。这些通信媒体把相应的交换和互连设备连接起来组成相应的通信网络（或称通信系统）。因此，计算机网络也可看作是由地理上分散的多台计算机通过相应的数据发送和接收设备以及通信软件与通信网络连接起来，通过发送、接收和处理不同长度的数据分组来共享信息与计算机软硬件资源的系统。计算机网络是一个系统，而且很多情况下是一个复杂的大系统。它的应用日益广泛、规模日益扩展而结构日益复杂。如同一个国家需要强有力的管理一样，计算机网络这样的大系统，如果没有有效的管理方法、管理体制和管理系统的支撑和配合，就很难使它维持正常的运行，因而也就很难保证它的功能和性能的实现。计算机网络管理的基本任务包括网络系统配置管理、性能管理、故障管理和安全管理等几个主要方面。显然，这些网络管理任务，都涉及计算机网络系统的整体性、协同性、可靠性、可控性、可用性及可维性等重要系统特征。所以，网络管理问题是计算机网络系统的一个重要的全局性问题。任何一个网络系统的设计、规划和工程实施，都必需对网络管理问题作一体化的统盘考虑。系统设计者经常需要在系统安全、可靠性指标和其他质量指标的矛盾中权衡、折衷。采用什么样的网管方法和系统方案，不仅影响网络系统的功能和性能，而且也直接影响网络系统的结构。虽然，计算机网络的基本应用服务功能与网络管理功能有所区别，有所分工，但又是紧密联系的。在网络内部结构中，实现这两部分功能的软、硬件实体也是紧密结合甚至融合在一起的。所以，网络管理系统已成为现代计算机网络系统中不可分割的一部分。网络管理应着眼于网络系统整体功能和性能的管理，趋于采用适应大系统特点的集中与分布相结合的管理体制。在当前网络全球化的大发展的形势下，各种危害网络安全的因素，如病毒、黑客、垃圾邮件，计算机犯罪等也很猖獗，并且也具有全球传播的特点，它们不仅影响网络系统的正常工作和网络应用系统的安全使用，甚至可能威胁网络系统的生存。因此，进一步研究和发展各种先进的访问控制、防火墙、反病毒、数据加密和信息认证等网络系统信息安全技术已成为计算机网络系统发展不可缺少的重要保障。21世纪的现代计算机网络应该是更加高效管理和更加安全可靠的网络。正文第一章 网络管理随着计算机技术和Internet的发展，企业和政府部门开始大规模的建立网络来推动电子商务和政务的发展，伴随着网络的业务和应用的丰富，对计算机网络的管理与维护也就变得至关重要。人们普遍认为，网络管理是计算机网络的关键技术之一，尤其在大型计算机网络中更是如此。网络管理就是指监督、组织和控制网络通信服务以及信息处理所必需的各种活动的总称。其目标是确保计算机网络的持续正常运行，并在计算机网络运行出现异常时能及时响应和排除故障。因此，网络管理是计算机网络发展过程中的关键技术,对网络的正常运行起着极其重要的作用。1.1网络管理的概述 1.1.1 网络管理的起源及其定义网络管理是伴随着1969年世界上第一个计算机网络-ARPANET产生的，因为当时ARPANET就有一个相应的管理系统。随后的一些网络结构，如IBM的SNA、DEC的DNA、SUN的AppleTalk等，也都有相应的管理系统。但网络管理一直没有得到应有的重视，原因很简单，当时的网络规模较小，复杂度也是不高，一个简单的网络管理系统就可以满足网络正常管理的需要。但随着网络的发展，以前的网络管理技术已不能适应网络的迅速发展。网络系统规模的日益扩大和应用水平的不断提高，一方面使得网络的维护成为网络管理的重要问题之一，例如排除网络故障更加困难、维护成本上升等，另一方面使得如何提高网络性能也成为网络系统应用的主要问题。虽然可以通过增强或改善网络的静态措施来提高网络的性能，比如增强网络服务器的处理能力、采用网络交换等新技术来拓宽网络的带宽等。但是，网络运行过程中负载平衡等动态措施也是提高网络性能的重要方面。通过静态或动态措施提高的网络性能分别称为网络的静态性能和动态性能，而网络的动态性能的提高是通过网络管理系统来解决的。在某些情况下，网络管理意味着一个单独的网络管理员动态监控网络，而在另一些情况下，又意味着分配数据库，自动轮询网络设备，生成实时网络状态变化和信息流的图形报告。总之，网络管理是利用多种工具、应用程序和设备来帮助网络管理员监控和维护网络的一种服务。 1.1.2网络管理的范围网络管理的范围从不同的角度考虑可以作如下的描述：从网络系统的角度考虑，网络管理包括硬件管理和软件管理两部分。从网络资源的角度考虑，网络管理的范围包括被管理节点、代理、网络管理工作站和网络管理协议。从网络维护的角度考虑，网络管理主要包括网络建设、网络维护和网络服务。网络管理功能不是孤立的，完成某项管理功能往往需要其他管理功能的配合。如故障管理需要从性能管理中得到当前的运行分析结果，从配置数据库中得到设备的配置信息。利用上述信息和网络的事件报告，一旦确认发生故障，网络管理者将通过配置管理修改配置参数，修复、替换、隔离故障部件，并将网络故障情况作为网络状态数据移交性能管理，以分析计算网络的可用性参数。因此，网络管理可被看作是一组过程和任务的集成。1.1.3 网络管理的标准 为了能支持各种网络的互连及其管理，网络管理必须要遵从国际性的标准与协议。国际上有一些组织机构致力于研究、制定、开发网络管理的服务标准、协议和体系结构，其中最重要的有：(1) 国际标准化组织(ISO)(2) 国际电信联盟电信标准化部(ITU-T)(3) Internet工程任务组(IETF)这三个组织制定了一系列的网络管理标准，为网络管理的标准化进程做了大量工作。现以ISO网络管理模式为例进行详细介绍：目前国际化标准化组织ISO制定了大量的有关网络管理的标准，其内容统称为OSI系统管理。最主要的标准有：OSI管理框架（IS 7489-4）公共管理信息服务（IS 9595）公共管理信息协议（CMIP;IS 9596）管理信息结构（DIS 10165）系统管理概述（DIS 10040）系统管理功能域（DIS 10164）在实际网络管理过程中，网络管理应具有的功能非常广泛，包括了很多方面。在OSI网络管理标准中定义了网络管理的5大功能：配置管理、性能管理、故障管理、安全管理和计费管理，这5大功能是网络管理最基本的功能。事实上，网络管理还应该包括其他一些功能，比如网络规划、网络操作人员的管理等。1.1.4 网络管理的基本功能 网络管理的目的是协调、保持网络系统的高效、可靠运行,当网络出现故障时,能及时恨告和处理。 ISO建议网络管理应包含以下基本功能:故障管理、计费管理、配置管理、性能管理和安全管理。(1)故障管理(Fault Management)。故障管理是网络管理中最基本的功能之一。当网络发生故障时,必须尽可能快地找出故障发生的确切位置;将网络其它部分与故障部分隔离,以确保网络其它部分能不受干扰继续运行;重新配置或重组网络,尽可能降低由于隔离故障后对网络带来的影响;修复或替换故障部分,将网络恢复为初始状态。对网络组成部件状态的监测是网络故障检测的依据。不严重的简单故障或偶然出现的错误通常被记录在错误日志中,一般需做特别处理;而严重一些的故障则需要通知网络管理器,即发出报警。因此网络管理器必须具备快速和可靠的故障监测、诊断和恢复功能。(2)计费管理( AccountiI1g 管理)。在商业性有偿使用的网络上,计费管理功能统计哪些用户、使用何信道、传输多少数据、访问什么资源等信息;另一方面,计费管理功能还可以统计不同线路和各类资源的利用情况。因此,可见,计费管理的根本依据是网络用|户资源的情况,例如,信息传输量、占用线路的时间等统计量。(3)配置管理(配置 Management )。配置管理也是网络管理的基本功能。计算机网络由各种物理结构和逻辑结构组成,这些结构中有许多参数、状态等信息需要设置并协调。另外,网络运行在多变的环境中,系统本身也经常要随着用户的增、减或设备的维修而调整配置。网络管理系统必须具有足够的手段支持这些调整的变化，使网络更有效的工作。 (4)性能管理(Pedom1mce Management )。性能管理的目的是在使用最少的网络资源和具有最小延迟的前提下,确保网络能提供可靠、连续的通信能力,并使网络资源的使用达到最优化的程度。网络的性能管理有监测和控制两大功能,监测功能实现对网络中的活动进行跟踪,控制功能实施相应调整来提高网络性能。性能管理的具体内容包括:从被管对象中收集与网络性能有关的数据,分析和统计历史数据,建立性能分析的模型,预测网络性能的长期趋势,并根据分析和预测的结果,对网络拓扑结构、某些对象的配置和参数做出调整,逐步达到最佳运行状态。如果需要做出的调整较大时,还要考虑扩充或重建网络 （5)安全管理(Security Management)安全管理的目的是确保网络资源不被非法使用，防止网络资源由于人侵者攻击而遭受破坏o其主要内容包括:与安全措施有关的信息分发(如密钥的分发和访问权设置等),与安全有关的通知(如网络有非法侵入、无权用户对特定、信息的访问企图等),安全服务措施的创建、控制和删除,与安全有关的网络操作事件的记录、维护和查询日志管理工作等等。一个完善的计算机网络管理系统必须制定网络管理的安全策略,并根据这一策略设计实现网络安全管理系统。 1.2 网络管理的协议 1.2.1 SNMP协议 简单网络管理协议(SNMP)的前身是1987年发布的简单网关监控协议(SGMP)。 SGMP给出了监控网关(OSI第三层路由器)的直接手段，SNMP则是在其基础上发展而来，SNMP是流传最广，应用最多，获得支持最广泛的一个网络管理协议。它最大的一个优点就是简单性，因而比较容易在大型网络中实现。它代表了网络管理系统实现的一个很重要的原则，即网络管理功能的实现对网络正常功能的影响越小越好。扩展性是SNMP的又一个优点。由于其简单化的设计，用户可以很容易地对其进行修改来满足他们特定的需要。SNMP v2（version 2，版本2）的推出就是SNMP具有良好扩展性的一个体现。SNMP的扩展性还体现在它对MIB的定义上。各厂商可以根据SNMP制订的规则，很容易地定义自己的MIB，并据此使自己的产品支持SNMP。 SNMP经历了两次版本升级，现在的最新版本是SNMP v3（version 3，版本3）。在前两个版本中SNMP功能都得到了极大的增强，而在最新的版本中，SNMP在安全性方面有了很大的改善，SNMP缺乏安全性的弱点正逐渐得到克服。1.2.2 CMIS/CMIP 协议 公共管理信息服务/公共管理信息协议(CMIS/CMIP)是OSI提供的网络管理协议簇。CMIS定义了每个网络组成部分提供的网络管理服务，这些服务在本质上是很普通的，CMIP则是实现CMIS服务的协议。 OSI网络协议旨在为所有设备在ISO参考模型的每一层提供一个公共网络结构，而CMIS/CMIP正是这样一个用于所有网络设备的完整网络管理协议簇。 出于通用性的考虑，CMlS/CMIP的功能与结构跟SNMP不相同，SNMP是按照简单和易于实现的原则设计的，而CMIS/CMIP则能够提供支持一个完整网络管理方案所需的功能。 CMIS/CMIP的整体结构是建立在使用ISO网络参考模型的基础上的，网络管理应用进程使用ISO参考模型中的应用层。也在这层上，公共管理信息服务单元提供了应用程序使用CMIP协议的接口。同时该层还包括了两个ISO应用协议：联系控制服务元素和远程操作服务元素，其中联系控制服务元素在应用程序之间建立和关闭联系，而远程操作服务元素则处理应用之间的请求/响应交互。另外，值得注意的是OSI没有在应用层之下特别为网络管理定义协议。 1.2.3 RMON 协议 RMON是远程监控的简称，是用于分布式监视网络通信的工业标准，RMON和RMON2是互为补充的关系。RMON MIB由一组统计数据、分析数据和诊断数据构成。利用许多供应商开发的标准工具可显示出这些数据，因而它具有远程网络分析功能。RMON探测器和RMON客户机软件结合在一起，就可以在网络环境中实施RMON。这样就不需要管理程序不停地轮询，才能生成一个有关网络运行状况的趋势图。当一个探测器发现一个网段处于一种不正常状态时，它会主动与在中心网络控制台的RMON客户应用程序联系，并将描述不正常状况的信息转发。 RMON监视下两层即数据链路和物理层的信息，可以有效监视每个网段，但不能分析网络全局的通信状况，如站点和远程服务器之间应用层的通信瓶颈，因此产生了RMON2标准。RMON2标准使得对网络的监控层次提高到网络协议栈的应用层。因而，除了能监控网络通信与容量外，RMON2还提供有关各应用所使用的网络带宽量的信息。 1.2.4 AgentX（扩展代理）协议 人们已经制定了各组件的管理信息库，如为接口、操作系统及其相关资源、外部设备和关键的软件系统等制定相应的管理信息库。用户期望能够将这些组件作为一个统一的系统来进行管理，因此需要对原先的SNMP进行扩展：在被管设备上安置尽可能多的成本低廉的代理，以确保这些代理不会影响设备的原有功能，并且给定一个标准方法，使得代理与上层元素（如主代理、管理站）进行互操作。 AgentX协议是由因特网工程任务组（IETF）在1998年提出的标准。AgentX协议允许多个子代理来负责处理MIB信息，该过程对于SNMP管理应用程序是透明的。AgentX协议为代理的扩展提供了一个标准的解决方法，使得各子代理将它们的职责信息通告给主代理。每个符合AgentX的子代理运行在各自的进程空间里，因此比采用单个完整的SNMP代理具有更好的稳定性。另外，通过AgentX协议能够访问它们的内部状态，进而管理站随后也能通过SNMP访问到它们。随着服务器进程和应用程序处理的日益复杂，最后一点尤其重要。通过AgentX技术，我们可以利用标准的SNMP管理工具来管理大型软件系统。 2.6 网络管理系统由于网络管理已经有了一系列的标准，以及OSI定义的网络管理五大功能，使得具有配置管理、性能管理、故障管理、安全管理和计费管理五大功能的管理系统成为可能。同时，也正是得益于这样的网络管理系统，我们才能对网络进行充分、完备和有序的管理。但是由于涉及到众多的网络管理协议和五个方面所要求的功能以及不同网络的实际情况，使得网络管理系统在技术上具有很强的挑战性。现在市场上号称是网络管理系统的软件不少，但真正具有网络管理五大功能的网络管理系统却不多。我下面将介绍四种网络管理系统，并给出它们的优缺点比较。这四种网络管理系统是：惠普(HP)公司的0pen-View，国际商用公司(IBM)的NetView，SUN公司的SunNet以及近年来代表未来智能网络管理方向的Cabletron公司的SPECTRUM。 (1) HP的0penView HP的OpenView有争议地成为了第一个真正兼容的、跨平台的网络管理系统，因此也得到了广泛的市场应用。但是，虽然0penView被认为是一个企业级的网络管理系统，但它跟大多数别的网络管理系统一样，不能提供NetWare，SNA，DECnet，x.25，无线通信交换机以及其他非SNMP设备的管理功能。另一方面，HP努力使OpenView由最初的提供给第三方应用厂商的开发系统，转变为一个跨平台的最终用户产品。它的最大特点是被第三方应用开发厂商所广泛接受。比如IBM就把OpenView增强功能并扩展成为自己的NetView产品系列，从而与OpenView展开竞争。特别在最近几年，OpenView已经成为网络管理市场的领导者，与其他网络管理系统相比，OPenView拥有更多的第三方应用开发厂商。在近期，OpenView看上去更像一个工业标准的网络管理系统。 (2) IBM的NetView IBM的NetView是一个相对比较新，同时又具有兼容性的网络管理系统。NetView既可以作为一个跨平台的、即插即用的系统提供给最终用户，也可以作为一个开发平台，在上面开发新的网络管理应用。IBM从HP得到OpenView3.1的许可证，并在此基础上大大扩展了它的功能，并将与其他软件产品集成起来，从而形成了自己的NetV5ew产品系列。跟OpenView一样，NetView作为企业级的网络管理系统，但它也不能提供Net-Ware，SNA，DECnet，X.25，无线通信交换机以及其他非SNMF设备的管理功能。在网络管理产品市场上，NetView在过去几年得到广泛的关注。NetView的市场人员宣称尽管IBM是从HP那里得到了OpenView的最初许可证，但IBM在此基础上自己增加了70的代码，并修正了很多OpenView的bugs,因此NewView应该被认为是一种新的产品。NetView产品系列包括一个故障卡片系统，一些新的故障诊断工具，以及一些OpenView所不具备的其他特性。虽然目前NewView在吸引第三方应用开发厂商方面还不如open-View，但这种差距正在缩小。 (3)SUN的SUNNet Manager SunNet Manager(SNM)是第一个重要的基于Unix的网络管理系统。SNM一直主要作为开发平台而存在，它仅仅提供很有限的应用功能。为了实用化，还必须附加很多第三方开发的针对具体硬件平台的网络管理应用。SNM的开发似乎已经减慢甚至停止，不过SUN已经签署一份许可证给NetLabs DiMONS 3G公司，授权该公司以SNM为基础开发一个名叫Encompass的新网络管理系统。对于SNM，该系统跟其他大多数网络管理系统一样，它也不能提供NetWare，SNA，DECnet，X.25，无线通信交换机以及其他非SNMP设备的管理功能。SNM只能运行在SUN平台上，它需要32MB内存和400MB硬盘。 作为广泛使用的最早的网络管理平台，SNM曾经一度占据了市场的领导地位。但后来SNM在市场的地位被HP的OpenView所取代，现在SNM在市场中所占的份额越来越少，不过SNM仍然具有很多第三方开发的应用。 (4) Cabletron的SPECTRUM Cabletron的SPECTRUM是一个可扩展的、智能的网络管理系统，它使用了面向对象的方法和C1ientServer体系结构。SPECTRUM构筑在一个人工智能的引擎之上，该引擎叫Inductive Modeling Technology(IMT)，同时SPECTRUM借助于面向对象的设计，可以管理多种对象实体；该网络管理系统还提供针对Novell的NetWare和Banyan 的VINES这些局域网操作系统的网关支持。另外，一些本地的协议支持(比如AppleTalk，IPX等)都可以利用外部协议API加入到SPECTRUM中，当然这样需要进一步的开发。 虽然SPECTRUM是一个优秀的网络管理软件，但它却只有很低的市场占有率。同时与前面三种网络管理系统相比，SPECTRUM只得到少数第三方开发厂商的支持。而缺乏一种第三方厂商的支持，将损害SPECTRUM的长期发展前景，虽然它现在拥有很多先进的特性。 2.7 网络管理的发展总体上来讲，新一代的综合网管软件必须具备开放系统的特性，即兼容性、可移植性、可互操作性、可伸缩性和易用性等特征，也是网络管理软件及其技术发展的趋势。分布式技术一直是推动网络管理技术发展的核心技术，也越来越受到业界的重视。 另外，便于远程管理的B/S结构将逐渐成为主流，网络管理软件的体系架构呈现分布式、集中式和集中分布式等多种结构并存，分别适应对不同规模网络的管理需求：包括智能模拟、故障自动诊断和排除等的人工智能技术将越来越多的应用到网管软件中；随着网络底层技术的标准化和基于网络的应用的不断丰富和增多，网络管理的方向越来越侧重于对系统和业务和应用的管理；网管软件对网络规划的决策支持能力将越来越重要，逐渐成为安全和故障以外最重要的功能。网络安全与网络管理的结合将成为网络综合化管理的发展趋势，更多的用户希望将网管和安全完全应用于一种管理平台，在此基础上有效管理网络中的资源。 基于Web的管理以其统一、友好的界面风格、地理和系统上的可移动性及系统平台的独立性，吸引着越来越多的用户和开发商。当前主流的网络管理软件都提供融合Web技术的管理平台，基于Web的网管模式的实现有两种方式：第一种方式是代理方式，第二种方式是嵌入式。为了降低网络管理的复杂性，减少网络管理的成本。有两个Web标准目前正在考虑之中，它们对应于上述两种实现方式，即代理式的基于Web的企业管理标准和内嵌式的Java管理应用程序接口标准。另外还有对于网络新技术如无线产品、QoS、SLA等服务方面也是网络管理软件的发展方向。 第二章 网络安全目前计算机网络面临着很大的威胁，其构成的因素是多方面的。这种威胁将不断给社会带来了巨大的损失。网络安全已被信息社会的各个领域所重视。随着计算机网络的不断发展，全球信息化已成为人类发展的大趋势；给政府机构、企事业单位带来了革命性的改革。但由于计算机网络具有联结形式多样性、终端分布不均匀性和网络的开放性、互连性等特征，致使网络易受黑客、病毒、恶意软件和其他不轨的攻击，所以网上信息的安全和保密是一个至关重要的问题。对于军用的自动化指挥网络、C3I系统、银行和政府等传输敏感数据的计算机网络系统而言，其网上信息的安全和保密尤为重要。因此，上述的网络必须有足够强的安全措施，否则该网络将是个无用、甚至会危及国家安全的网络。无论是在局域网还是在广域网中，都存在着自然和人为等诸多因素的潜在威胁和网络的脆弱性。故此，网络的安全措施应是能全方位地针对各种不同的威胁和脆弱性，这样才能确保网络信息的保密性、完整性和可用性。为了确保信息的安全与畅通，研究计算机网络的安全以及防范措施已迫在眉睫。2.1网络安全的概述2.1.1 网络安全的含义由于网络的定义有许多种，所以各种关于网络安全的定义也不同。有的定义说：网络安全就是保护网上保存和流动的数据，不被他人偷看、窃取或修改。也有的认为：网络信息安全是指保护信息财产，以防止偶然的或未授权者对信息的泄漏、修改和破坏，从而导致信息的不可行或无法处理。综合起来看，我们认为，计算机网络安全是指利用网络管理控制和技术措施，保证在一个网络环境里，信息数据的机密性、完整性及可使用性受到保护。网络安全的主要目标是要确保经网络传送的信息，在到达目的站时没有任何增加、改变、丢失或被非法读取。要做到这一点，必须保证网络系统软件、应用软件系统、数据库系统具有一定的安全保护功能，并保证网络部件如终端、调制解调器、数据链路等的功能不变而且仅仅是那些被授权的人们可以访问。网络的安全性问题实际上包括两方面的内容，一是网络的系统安全，二是网络的信息安全，而保护网络的信息安全是最终目的。就网络信息安全而言，首先是信息的保密性，其次是信息的完整性。另一个与计算机网络安全紧密相关的概念是拒绝服务。所谓拒绝服务主要包括三个方面的内容：系统临时降低性能；系统崩溃而需人工从新启动；因数据永久性丢失而导致较大范围的系统崩溃。拒绝服务是与计算机网络系统可靠性有关的一个重要问题，但由于各种计算机系统种类繁多，综合进行研究比较困难。2.1.2 网络安全的内容 在计算机网络中，安全威胁来自各方面，甚至有些是由于我们自身的失误而产生的。影响、危害计算机网络安全的因素分自然和人为两类。自然因素包括温度、湿度、灰尘、雷击、静电、水灾、火灾、地震、 空气污染和设备故障等因素。人为因素又有无意和故意之分，例如由于误操作删除了数据的疏忽和过失，而人为故意的破坏如黑客行为。由于网络存储和流动着许多高度机密数据和电子财富，这早已是政治间谍、商业间谍及黑客窥测和行动的目标。网络安全的内容大致包括四个方面： (1)网络实体安全。如计算机机房的物理条件、物理环境及设施的安全标准，计算机硬件、附属设备及网络传输线路的安装及配置等。 (2)软件安全。如保护网络系统不被非法侵入，系统软件与应用软件不被非法复制、篡改、不受病毒的侵害等。 (3)网络中的数据安全。如保护网络信息的数据安全、不被非法存取，保护其完整、一致等。 (4)网络安全管理。如运行时突发事件的安全处理等，包括采取计算机安全技术，建立安全管理制度，开展安全审计，进行风险分析等内容。 2.1.3 网络安全的研究对象网络安全研究的对象主要内容包括保密性、安全协议设计和接入控制。(1) 保密性为用户提供安全可靠的通信是网络最为重要的内容。尽管网络安全不仅局限于保密性，但是，不能提供保密性的网络肯定是不安全的。网络的保密性机制除为用户提供通信保密之外，也是许多其他安全机制的基础，如访问控制中登录口令的设计、安全通信协议的设计以及数字签名的设计等，这些设计的实现都离不开密码的机制。(2) 安全协议设计网络的安全协议是网络安全的一个重要方面。如为了防止假冒问题，就需要一种对等实体鉴别协议。如果网络通信协议存在通信安全上的缺陷，那么攻击者就可能不必攻破密码体制即可获得所需要的信息或服务。人们一直希望能够设计出安全的网络系统，但不幸的是，系统的安全性是不可判定的。目前对安全协议的设计，主要是针对具体的攻击设计安全的通信协议。这又引出一个问题，如何保证一个协议的安全性？协议安全性的保证通常有两种方法：一种是用形式证明一个协议是安全的，另一个是用设计者的经验来判定的，所以对复杂的通信协议安全性，目前主要采取找漏洞的分析方法。当然，也可以开发一些人工智能工具来辅助分析。对于简单的协议，可以通过限制攻击者的操作来对一些特定情况进行形式化的证明，但这种方法有很大的局限性。(3) 接入控制接入控制网络的一大优点就是能够资源共享，用户可通过网络来共享系统提供的各种资源。但如果这种接入是没有什么限制的，这将带来许多安全问题。所以有必要对接入网络的权限加以控制，并规定每一个用户的接入权限。由于网络是一些地理上分散的计算机系统通过通信线路互相连接起来的一个更为复杂的系统，它的接入控制机制比操作系统的访问控制机制更复杂，尤其在高安全性级别的多级安全性情况下更是如此。2.2网络安全性能的衡量 衡量网络安全与否主要是保密性、完整性和可使用性（三者简称CIA），具体如下： (1)保密性是指网络中有保密要求的信息只能供经过允许的人员，以经过允许的方式使用。从技术上说，任何传输线路，包括电缆（双绞或同轴）、光缆、微波和卫星，都是可能被窃听的。对于电缆的窃听，可以是接触式的，也可以是非接触式的，即通过电磁感应或利用电磁辐射来窃听。现在已有灵敏度很高的TEMPEST设备，无线传输可以用天线接受。即使像微波那样的视距传播，由于波束有一定的宽度，天线也可以放在射线中央以外地区接收。 (2)完整性指网络中的信息安全、精确与有效，不因种种不安全因素而改变信息原有的内容、形式与流向。造成信息完整性破坏的原因也可分人为和非人为的两种。非人为因素如通讯传输中的干扰噪声，系统硬件或软件的差错等。人为因素包括有意和无意两种，前者如非法分子对计算机的侵入、合法用户越权对网络内数据的处理，以及隐藏的破坏性程序；无意危害如操作失误或使用不当。对于大多数网络来说，对信息对数据的破坏等,计算机病毒、时间炸弹、逻辑陷井等都属于隐藏的破坏性程序,完整性的破坏是对网络安全的主要危害。而信息完整性是一个很广泛的问题，例如分布式数据库中关于并发性操作或者对多个数据副本的更新所引起数据一致性问题；又如由于系统的设计不完善造成使用不当或操作失误所引起的数据完整性问题等，涉及到数据库安全、分布处理、软件可靠性等领域。 (3)可使用性指网络资源在需要时即可使用，不因系统故障或误操作等使资源丢失或妨碍对资源的使用。网络可用性还包括具有在某些不正常条件下继续运行能力。对网络可用性的影响包括合法的用户不能正常访问网络的资源和有严格时间要求的服务不能得到及时响应。影响网络可用性的因素包括人为与非人为两种。前者如非法占用网络资源、切断或阻塞网络通讯、病毒或“蠕虫”降低网络性能、甚至使网络瘫痪等等。后者如灾害事故（火、水、雷击等）和系统死锁、系统故障等等。2.3网络安全分析2.3.1 网络安全管理问题 网络安全管理最重要的是从体系结构上要实行最小权限原则。 世界上现有的信息系统绝大多数缺少安全管理员，缺少信息系统安全管理的技术规范，缺少定期的安全测试与检查，更缺少安全监控。我国许多企业的信息系统已经使用了许多年，但计算机的系统管理员与用户的注册还是大多处于缺省状态。 另一方面，也可以说网络的安全问题是天生的，这是由于“整体大于部分之和”的原因：网络由各种服务器、工作站、终端等集群而成，所以整个网络天然地继承了他们各自的安全隐患。各种服务器各自运行着不同的操作系统，各自继承着自身系统的不同安全特性。随着计算机及通信设备组件数目的增大，积累起来的安全问题将十分可观。 其他威胁网络安全的典型因素有： (1)计算机黑客。 (2)内部人员作案，有的员工可能会利用工作机会报复上司；此外如果系统管理员也成了黑客那麻烦就大了。 (3)窃听。同轴电缆、双绞线、光纤或无线方式引入了新的物理安全 暴露点，被动方式如搭线窃听或主动方式的如无线仿冒；利用计算机通信设备天然存在的电磁泄露进行窃取活动，也是一个重要的安全隐患。 (4)部分对整体的安全威胁，任一单一组件的失密都可能造成整个网络的安全失败。 (5)程序共享造成的冲突，共享同一程序可能会造成死锁、信息失效或文件不正确的开关状态。 (6)对互联网而言可能有更多的威胁，即使各网均能独立安全运行，联网之后，也会发生互相侵害的后果。 (7)计算机病毒。由于网络的设计目标是资源共享，所以网络是计算机病毒滋生和发育的理想家园。 2.3.2 保护网络安全的主要措施 除了要制定和实施一系列的安全管理制度外，保护网络安全的技术措施主要有： (1)实行严密的身份认证； (2)实施访问控制（存取控制）； (3)采取信息传输加密算法和电子签名，保障数据的保密性、完整性和可使用性； (4)进行完整的审计，定期进行风险分析，找出薄弱环节，采取措施； (5)加强网络安全管理配置，改进网络运行环境； (6)消除及屏蔽、干扰电磁辐射，防止造成信息泄露,等等；2.4 网络安全的发展随着网络应用的变化，网络安全产品的防护功能将朝着单层向多层、被动向主动、边界向核心的方向发展。主要表现在： (1)全硬件及芯片将渗透到安全的每一个领域。体现在：几乎所有的网络安全软件厂商将很快提供网络安全硬件设备；到2007年将有大约80%