网络管理与网络安全.doc

目 录摘要1Abstract1引言2第一章 网络管理、网络安全概述31. 网络管理概述31.1 网络管理的范围与任务31.1.1 网络管理的起源及其定义31.1.2 网络管理的范围41.1.3 网络管理的任务42. 网络安全概述52.1 网络安全的定义52.2 网络安全的内容62.3 网络安全的研究对象62.4 网络安全的级别7第二章 网络管理与网络安全71. 网络管理71.1 网络管理的意义和目标71.2 网络管理方案的标准81.3 网络管理系统121.4 网络管理协议132. 网络安全152.1 网络安全的重要性152.1.1 网络安全的标准152.2 网络安全技术162.2.1 网络安全的技术现状 密码技术是网络安全的核心 认证和识别 防火墙技术182.3 网络安全隐患与防范202.3.1 网络安全的不稳定因素及其安全缺陷 网络安全的10大不稳定因素 网络安全缺陷212.3.2 网络黑客与防范措施 网络黑客攻击方法 网络黑客防范措施232.3.3 网络病毒与防范措施 网络病毒的来源 网络病毒的防治24结束语25参考文献28摘要文中就网络管理、网络安全进行全面的概述及技术理论的详细阐述。最后，对网络管理、网络安全的未来发展进行展望。关键字ISO网络管理模式、简单网络管理协议（SNMP）、密码技术、防火墙技术Abstract This paper makes a detail statement of Network Management, Network Safety and the technology theory of them. At the end, it makes the prospect of the future of Network Management and Network Safety.Key Words ISO Network Management Form、Simple Network Management Protocol、Code Technology、Firewall Technology 网络管理与网络安全 引言 随着网络技术与应用的不断发展，计算机网络在我们的日常生活中已经变得越来越普遍。特别是20世纪90年代以来，随着Internet在世界范围的普及，计算机网络逐渐成为人们获取信息、发布信息的重要途径，与此同时，基于计算机网络的应用也越来越多，许多人们生活中的重要环节都可以利用网络方便、快捷地实现。例如：网络商店的出现，使得人们在家里就可以选购到自己满意的商品；金融网络的发展，使得货币完全电子化，人们再也不用在钱包中塞满纸币；还有邮电网络、各种专业大型网络等等。这些网络的发展使得大到国家经济命脉小到个人日常生活严重依赖于计算机网络，因此网络运行的稳定性、可靠性就显得至关重要，于是网络管理就应运而生。网络管理是计算机网络发展的必然产物，它随着计算机网络的发展而发展。早期的计算机网络主要是局域网，在一定范围内连接数百台计算机，因此最早的网络管理是局域网管理。由于局域网管理主要保证在局域网内的所有计算机能够顺利传递和共享文件，因此早期的局域网管理系统与网络操作系统密不可分。而Internet的出现打破了网络的地域限制，跨地域的广域网络得到飞速发展，这时的网络管理不再局限于保证文件的传输，而是保障连接网络的网络对象(路由器、交换机、线路等)的正常运转，同时监测网络的运行性能，优化网络的拓扑结构。网络管理系统也因此越来越独立，越来越复杂，功能也越来越完备，网络管理也发展成为计算机网络中的一个重要分支，国际上各种网络管理的标准也相继制定，网络管理逐步变得规范化、制度化。而与网络管理密不可分的网络安全也日益成为国民经济建设不可或缺的条件以及国家势力的新象征。随着信息技术的发展，社会对数据通信技术的依赖程度日益增大，越来越多的单位已把网络作为开展业务的基础，网络安全成为生死攸关的大问题。总之，随着网络经济时代的到来，网络将会成为一个无处不用、无所不用的工具。当资源共享广泛用于政治、军事、经济以及科学各个领域，网络的用户来自社会各个阶层与部门时，大量在网络中存储和传输的数据都有可能被盗用、暴露和篡改，因此需要加以保护。网络的安全和可靠性已成为世界各国共同关注的焦点。我国虽然计算机网络应用起步较晚，但在金融界已发生多起盗窃案，在科技界也发生了用户帐户被盗用、使被盗用户一个月的网络费用损失高达2万余元的各例。因此，计算机网络系统必须采用安全措施，以鉴别合法用户和监督经过授权的操作，同时防止对敏感数据进行非授权的访问、使用，防止黑客的入侵和计算机病毒的破坏，把计算机网络安全措施落实到实处。第一章 网络管理、网络安全概述1. 网络管理概述如今，网络信息以其无穷的魅力进入社会生活。通过网络不仅可以查阅资料，获取知识，了解最新科技动态，也可以进行网上购物、休闲娱乐、聊天交友，还可以实时观看世界性的体育赛事，以及从事商业活动等。人们在享受网络信息带来的美好生活的同时，对网络的需求也在逐步提高。于是网络规模日益扩大，复杂性也日益提高，人们对网络的安全和稳定的要求越来越高，这使得网络的构建和日常维护成为很棘手的问题。为了保证网络能够正常运行，更好地满足用户需求，网络管理作为一门重要的专项技术被提上日程。1.1 网络管理的范围与任务实际上，网络管理并非是一个新概念。从广义上讲，任何一个系统都需要管理，依据系统的大小、复杂性的高低，管理的重要性也有所不同。网络也是一个系统，网络管理作为一项重要技术，已成为现代信息网络发展中不可缺少的一环。当前计算机网络的发展特点是规模不断扩大，复杂性不断增加，异构性日益增强。一个网络容纳着大大小小若干子网，集成了多种网络系统（NOS）平台，包含不同公司生产的网络设备和通信设备，同时还有许多网络软件来提供各种服务，如果没有一个高效的管理系统对网络进行管理，就很难保证向用户提供令人满意的服务。1.1.1 网络管理的起源及其定义网络管理是伴随着1969年世界上第一个计算机网络ARPANET产生的，因为当时ARPANET就有一个相应的管理系统。随后的一些网络结构，如IBM的SNA、DEC的DNA、SUN的AppleTalk等，也都有相应的管理系统。但网络管理一直没有得到应有的重视，原因很简单，当时的网络规模较小，复杂度也是不高，一个简单的网络管理系统就可以满足网络正常管理的需要。但随着网络的发展，以前的网络管理技术已不能适应网络的迅速发展。网络系统规模的日益扩大和应用水平的不断提高，一方面使得网络的维护成为网络管理的重要问题之一，例如排除网络故障更加困难、维护成本上升等，另一方面使得如何提高网络性能也成为网络系统应用的主要问题。虽然可以通过增强或改善网络的静态措施来提高网络的性能，比如增强网络服务器的处理能力、采用网络交换等新技术来拓宽网络的带宽等。但是，网络运行过程中负载平衡等动态措施也是提高网络性能的重要方面。通过静态或动态措施提高的网络性能分别称为网络的静态性能和动态性能，而网络的动态性能的提高是通过网络管理系统来解决的。在某些情况下，网络管理意味着一个单独的网络管理员动态监控网络，而在另一些情况下，又意味着分配数据库，自动轮询网络设备，生成实时网络状态变化和信息流的图形报告。总之，网络管理是利用多种工具、应用程序和设备来帮助网络管理员监控和维护网络的一种服务。1.1.2 网络管理的范围网络管理的范围从不同的角度考虑可以作如下的描述。从网络系统的角度考虑，网络管理包括硬件管理和软件管理两部分。从网络资源的角度考虑，网络管理的范围包括被管理节点、代理、网络管理工作站和网络管理协议。从网络维护的角度考虑，网络管理主要包括网络建设、网络维护和网络服务。网络管理功能不是孤立的，完成某项管理功能往往需要其他管理功能的配合。如故障管理需要从性能管理中得到当前的运行分析结果，从配置数据库中得到设备的配置信息。利用上述信息和网络的事件报告，一旦确认发生故障，网络管理者将通过配置管理修改配置参数，修复、替换、隔离故障部件，并将网络故障情况作为网络状态数据移交性能管理，以分析计算网络的可用性参数。因此，网络管理可被看作是一组过程和任务的集成。1.1.3 网络管理的任务网络管理系统是保障网络安全、可靠、高效和稳定运行的必要手段，它已成为整个网络系统不可缺少的重要部分。网络管理涉及网络资源和活动的规划、组织、监视以及计费和控制的各个方面。网络管理是控制一个复杂的数据网络去获得最大效益和生产率的过程，为更好地定义网络管理的范围，国际标准化组织把网络管理的任务分为5个部分，即网络的配置管理、性能管理、故障管理、安全管理和计费管理。（1） 配置管理配置管理是最基本的网络管理功能，它负责监测和控制网络的配置状态。具体地讲，就是在网络建立、扩充、改造以及工作的开展过程中，对网络的拓扑结构、资源配备、使用状态等配置信息进行定义、监测和修改。配置管理主要提供资源清单管理、资源提供、业务提供及网络拓扑结构服务等功能。资源清单管理是所有资源配置管理的基本功能，资源提供是为满足新业务需求及时地配置资源，业务提供是为客户分配业务或功能。配置管理建立和维护配置MIB（管理信息库），配置MIB不仅供配置管理功能使用，也要供所有管理功能使用。（2） 性能管理性能管理保证有效运营网络和提供约定的服务质量，在保证各种业务的服务质量的同时，尽量提高网络资源利用率。性能管理包括性能监测功能、性能分析和性能管理控制功能。从性能管理中获得的性能监测和分析结果是网络规划和资源提供的重要根据，因为这些结果能够反映当前（或即将发生）的资源不足。性能管理在进行性能指标监测、分析和控制时要访问配置MIB。当发现网络性能严重恶化时，性能管理要与故障管理互通。（3） 故障管理故障管理的作用是迅速发现、定位和排除网络故障，动态维护网络的有效性。故障管理的主要功能有告警监测、故障定位、测试、业务恢复以及修复等，同时还要维护故障目标。在网络的监测和测试中，故障管理参考配置管理的资源清单来识别网络元素。当维护状态发生变化，或者故障设备被替换，以及通过网络重组迂回故障时，要对配置MIB中的有关数据进行修改。(4) 安全管理 安全管理的作用是提供信息的保密、认证和完整性保护机制，使网络中的服务数据和系统免受侵扰和破坏。安全管理主要包括风险分析，安全服务，告警、日志和报告功能以及网络管理系统保护功能。安全管理与管理功能有着密切的关系。安全管理要调用配置管理中的系统服务，对网络中的安全设施进行控制和维护。发现网络安全方面的故障时，要向故障管理通报安全故障事件以便进行故障诊断和恢复。(5) 计费管理计费管理的作用是正确地计算和收取用户使用网络服务的费用，进行网络资源利用率的统计和网络成本效益的核算。2. 网络安全概述网络安全涉及法律、管理和技术等诸多因素，是一个人机网复杂的系统问题。构筑网络安全防护体系固然离不开技术基础，是一项技术难度高、管理复杂、责任重大的工作，需要所有人员（包括管理者、技术人员、使用者等）共同努力、相互配合、共同完成，因此，网络安全有关人员的安全意识培训，是网络安全的核心。据CERT统计，90%以上的信息网络安全事件都是由于人员误操作和网络与系统的误配置引起的。交通管理及相关设施对保证道路交通安全诚然十分重要，但是，汽车驾驶人员的安全意识和安全素质是基础。信息高速公路也如此，确保网络安全，应该从提高每一个网络操作者的安全意识开始。教育与培训，应该是网络安全领域的一个全员、全过程问题，网络信息安全防护体系也应该以人为本建立。2.1 网络安全的定义简单来说，安全性就是保护你的程序、数据或者设备免遭他人在非授权情况下使用或访问。但是，网络安全性的实际含义远远超出这个简单的定义范围，除上面的含义外，它还包括若干复杂的、难以理解的系统管理方面的问题。网络安全的目标不仅是保护网络系统的部件、程序、数据免遭他人未经授权而使用或访问，安全计划的目标是保护企业。也就是说，安全计划必须保护系统的数据、程序、设备和网络部件的安全，使其免遭损坏、偷窃或误用，同时也必须保证需要时网络能提供服务。这项任务可以通过使用网络操作系统提供的安全工具、实施系统设计中的冗余以及通过提供必要的物理屏蔽阻止非授权人员访问系统部件等手段得以完成。不同的坏境和应用，网络安全会有不同的解释。从用户（个人、企业等）的角度来说，他们希望涉及个人隐私或商业利益的信息在网络上传输时受到机密性、完整性和真实性的保护，能够避免他人或对手利用窃听、冒充、篡改、抵赖等手段对用户的利益和隐私造成损害和侵犯，同时也希望当用户的信息保存在某个计算机系统上时，不受其他非法用户的非授权访问和破坏。从网络运行和管理者角度来说，他们希望对本地网络信息的访问、读写等操作受到保护和监控，避免出现“陷门”、病毒、非法存取、拒绝服务、网络资源非法占用和非法控制等威胁，制止和防御网络黑客的攻击。对于安全管理部门来说，他们希望对非法的、有害的或涉及国家机密的信息进行过滤和防堵，避免其通过网络泄露，避免由于这类信息的泄密对社会产生危害，给国家造成巨大的经济损失。从社会教育和意识形态角度来说，网络上不健康的内容，对社会的稳定和人类的发展造成阻碍，必须对其进行控制。2.2 网络安全的内容网络安全的内容远不只是使用用户识别码和口令，它包含着广泛的规则和惯例，用来帮助保护我们建立网络，使信息不受损害。网络安全性由数据安全性和通信的安全性两部分组成。此外，网络的规模可能会消除安全性问题，也可能会增加安全性问题。一个小型的、在一间办公室的LAN可能与一个大型的、遍布一所校园的LAN有着不同的安全性问题。在一个小型的LAN中，数据完整性的损坏更多的可能是由于疏忽，而不是恶意，因而采取一些相对简单的安全性技术措施就可以了。在一个大型LAN中，可能就需要用到加密技术等。对于一个小型的LAN来说，对连接到系统上的设备进行控制是可能的，而在一个大型的LAN中，这样的控制非常困难。 2.3 网络安全的研究对象网络安全研究的对象主要内容包括保密性、安全协议设计和接入控制。(1) 保密性为用户提供安全可靠的通信是网络最为重要的内容。尽管网络安全不仅局限于保密性，但是，不能提供保密性的网络肯定是不安全的。网络的保密性机制除为用户提供通信保密之外，也是许多其他安全机制的基础，如访问控制中登录口令的设计、安全通信协议的设计以及数字签名的设计等，这些设计的实现都离不开密码的机制。(2) 安全协议设计网络的安全协议是网络安全的一个重要方面。如为了防止假冒问题，就需要一种对等实体鉴别协议。如果网络通信协议存在通信安全上的缺陷，那么攻击者就可能不必攻破密码体制即可获得所需要的信息或服务。人们一直希望能够设计出安全的网络系统，但不幸的是，系统的安全性是不可判定的。目前对安全协议的设计，主要是针对具体的攻击设计安全的通信协议。这又引出一个问题，如何保证一个协议的安全性？协议安全性的保证通常有两种方法：一种是用形式证明一个协议是安全的，另一个是用设计者的经验来判定的，所以对复杂的通信协议安全性，目前主要采取找漏洞的分析方法。当然，也可以开发一些人工智能工具来辅助分析。对于简单的协议，可以通过限制攻击者的操作来对一些特定情况进行形式化的证明，但这种方法有很大的局限性。(3) 接入控制接入控制网络的一大优点就是能够资源共享，用户可通过网络来共享系统提供的各种资源。但如果这种接入是没有什么限制的，这将带来许多安全问题。所以有必要对接入网络的权限加以控制，并规定每一个用户的接入权限。由于网络是一些地理上分散的计算机系统通过通信线路互相连接起来的一个更为复杂的系统，它的接入控制机制比操作系统的访问控制机制更复杂，尤其在高安全性级别的多级安全性情况下更是如此。2.4 网络安全的级别就网络安全的工作而言，美国与加拿大做得比较早，效果也较好。他们的安全标准都制定了4个级别和7个级。美国计算机安全标准是由美国国防部开发的计算机安全标准，可信任计算机标准评估规则（Trusted Computer Standards Evaluation Criteria）桔皮书(Orange book)。美国国防部的标准分为以下7级：A1 可验证的安全设计B3 安全域机制B2 结构化安全保护B1 标号安全保护C2 受控的访问控制C1 选择的安全保护D1 最小保护 加拿大政府对计算机安全级别制定了自己的标准，即可信任计算机标准(Trusted Computing Standard)。此标准由两部分组成：加拿大可信任计算机产品评估标准(Canadian Trusted Computer Product Evaluation Criteria,简称CTCPEC)和普通标准（Common Criteria）。普通标准是美国、加拿大、英国、法国和德国联合调查和研究的结果，该文件包含了选择适当的IT安全措施的要求。普通级别分为7个保证级，通常称为EAL-1EAL-7。第二章 网络管理与网络安全1. 网络管理 1.1 网络管理的意义和目标 当前计算机网络的发展特点是规模不断扩大、复杂性不断增加、异 构性越来越高。 一个网络往往由若干个大大小小的子网组成，集成了多种网络操作系统（NOS）平台，并且包括了不同厂家、公司的网络设备和通信设备等。 网络中还有许多网络软件提供各种服务。 随着用户对网络性能要求的提高，建立一个高效的管理系统对网络系统进行管理，是保证网络正常运行的必要措施。1.2 网络管理方案的标准 为了能支持各种网络的互连及其管理，网络管理必须要遵从国际性的标准与协议。国际上有一些组织机构致力于研究、制定、开发网络管理的服务标准、协议和体系结构，其中最重要的有：(1) 国际标准化组织(ISO)(2) 国际电信联盟电信标准化部(ITU-T)(3) Internet工程任务组(IETF)这三个组织制定了一系列的网络管理标准，为网络管理的标准化进程做了大量工作。现以ISO网络管理模式为例进行详细介绍：目前国际化标准化组织ISO制定了大量的有关网络管理的标准，其内容统称为OSI系统管理。最主要的标准有： OSI管理框架（IS 7489-4） 公共管理信息服务（IS 9595） 公共管理信息协议（CMIP;IS 9596） 管理信息结构（DIS 10165） 系统管理概述（DIS 10040） 系统管理功能域（DIS 10164）在实际网络管理过程中，网络管理应具有的功能非常广泛，包括了很多方面。在OSI网络管理标准中定义了网络管理的5大功能：配置管理、性能管理、故障管理、安全管理和计费管理，这5大功能是网络管理最基本的功能。事实上，网络管理还应该包括其他一些功能，比如网络规划、网络操作人员的管理等。不过除了基本的网络管理5大功能，其他的网络管理功能实现都与具体的网络实际条件有关，因此我们只需要关注OSI网络管理标准中的5大功能。 下面我们将针对5大功能中每个部分的功能进行具体的描述。(1) 配置管理a. 配置信息的自动获取：在一个大型网络中，需要管理的设备是比较多的，如果每个设备的配置信息都完全依靠管理人员的手工输入，工作量是相当大的，而且还存在出错的可能性。对于不熟悉网络结构的人员来说，这项工作甚至无法完成因此，一个先进的网络管理系统应该具有配置信息自动获取功能。即使在管理人员不是很熟悉网络结构和配置状况的情况下，也能通过有关的技术手段来完成对网络的配置和管理。在网络设备的配置信息中，根据获取手段大致可以分为三类：一类是网络管理协议标准的MIB中定义的配置信息(包括SNMP和CMIP协议)；二类是不在网络管理协议标准中有定义，但是对设备运行比较重要的配置信息；三类就是用于管理的一些辅助信息。 b. 自动配置、自动备份及相关技术：配置信息自动获取功能相当于从网络设备中“读”信息，相应的，在网络管理应用中还有大量“写”信息的需求。同样根据设置手段对网络配置信息进行分类：一类是可以通过网络管理协议标准中定义的方法(如SNMP中的set服务)进行设置的配置信息；二类是可以通过自动登录到设备进行配置的信息；三类就是需要修改的管理性配置信息。c. 配置一致性检查：在一个大型网络中，由于网络设备众多，而且由于管理的原因，这些设备很可能不是由同一个管理人员进行配置的。实际上即使是同一个管理员对设备进行的配置，也会由于各种原因导致配置一致性问题。因此，对整个网络的配置情况进行一致性检查是必需的。在网络的配置中，对网络正常运行影响最大的主要是路由器端口配置和路由信息配置，因此，要进行、致性检查的也主要是这两类信息。d. 用户操作记录功能：配置系统的安全性是整个网络管理系统安全的核心，因此，必须对用户进行的每一配置操作进行记录。在配置管理中，需要对用户操作进行记录，并保存下来。管理人员可以随时查看特定用户在特定时问内进行的特定配置操作。 (2) 性能管理 a. 性能监控：由用户定义被管对象及其属性。被管对象类型包括线路和路由器；被管对象属性包括流量、延迟、丢包率、CPU利用率、温度、内存余量。对于每个被管对象，定时采集性能数据，自动生成性能报告。b. 阈值控制：可对每一个被管对象的每一条属性设置阈值，对于特定被管对象的特定属性，可以针对不同的时间段和性能指标进行阈值设置。可通过设置阈值检查开关控制阂值检查和告警，提供相应的阈值管理和溢出告警机制。c. 性能分桥：对历史数据进行分析，统计和整理，计算性能指标，对性能状况作出判断，为网络规划提供参考。 d. 可视化的性能报告：对数据进行扫描和处理，生成性能趋势曲线，以直观的图形反映性能分析的结果。 e. 实时性能监控：提供了一系列实时数据采集；分析和可视化工具，用以对流量、负载、丢包、温度、内存、延迟等网络设备和线路的性能指标进行实时检测，可任意设置数据采集间隔。 f. 网络对象性能查询：可通过列表或按关键字检索被管网络对象及其属性的性能记录。 (3) 故障管理a. 故障监测：主动探测或被动接收网络上的各种事件信息，并识别出其中与网络和系统故障相关的内容，对其中的关键部分保持跟踪，生成网络故障事件记录。b. 故障报警：接收故障监测模块传来的报警信息，根据报警策略驱动不同的报警程序，以报警窗口振铃(通知一线网络管理人员)或电子邮件(通知决策管理人员)发出网络严重故障警报。 c. 故障信息管理：依靠对事件记录的分析，定义网络故障并生成故障卡片，记录排除故障的步骤和与故障相关的值班员日志，构造排错行动记录，将事件-故障-日志构成逻辑上相互关联的整体，以反映故障产生、变化、消除的整个过程的各个方面。d. 排错支持工具：向管理人员提供一系列的实时检测工具，对被管设备的状况进行测试并记录下测试结果以供技术人员分析和排错；根据已有的徘错经验和管理员对故障状态的描述给出对徘错行动的提示。 e. 检索分析故障信息：浏阅并且以关键字检索查询故障管理系统中所有的数据库记录，定期收集故障记录数据，在此基础上给出被管网络系统、被管线路设备的可靠性参数。(4) 安全管理安全管理的功能分为两部分，首先是网络管理本身的安全，其次是被管网络对象的安全。网络管理过程中，存储和传输的管理和控制信息对网络的运行和管理至关重要，一旦泄密、被篡改和伪造，将给网络造成灾难性的破坏。网络管理本身的安全由以下机制来保证： a. 管理员身份认证，采用基于公开密钥的证书认证机制；为提高系统效率，对于信任域内(如局域网)的用户，可以使用简单口令认证。 b. 管理信息存储和传输的加密与完整性，Web浏览器和网络管理服务器之间采用安全套接字层(SSL)传输协议，对管理信息加密传输并保证其完整性；内部存储的机密信息，如登录口令等，也是经过加密的。 c. 网络管理用户分组管理与访问控制，网络管理系统的用户(即管理员)按任务的不同分成若干用户组，不同的用户组中有不同的权限范围，对用户的操作由访问控制检查，保证用户不能越权使用网络管理系统。 e. 系统日志分析，记录用户所有的操作，使系统的操作和对网络对象的修改有据可查，同时也有助于故障的跟踪与恢复。网络对象的安全管理有以下功能： a. 网络资源的访问控制，通过管理路由器的访问控制链表，完成防火墙的管理功能，即从网络层(1P)和传输层(TCP)控制对网络资源的访问，保护网络内部的设备和应用服务，防止外来的攻击。 b. 告警事件分析，接收网络对象所发出的告警事件，分析员安全相关的信息(如路由器登录信息、SNMP认证失败信息)，实时地向管理员告警，并提供历史安全事件的检索与分析机制，及时地发现正在进行的攻击或可疑的攻击迹象。 c. 主机系统的安全漏洞检测，实时的监测主机系统的重要服务(如WWW，DNS等)的状态，提供安全监测工具，以搜索系统可能存在的安全漏洞或安全隐患，并给出弥补的措施。 总之，网络管理通过网关(即边界路由器)控制外来用户对网络资源的访问，以防止外来的攻击；通过告警事件的分析处理，以发现正在进行的可能的攻击；通过安全漏洞检擒来发现存在的安全隐患，以防患于未然。 (5) 计费管理 a. 计费数据采集：计费数据采集是整个计费系统的基础，但计费数据采集往往受到采集设备硬件与软件的制约，而且也与进行计费的网络资源有关。 b. 数据管理与数据维护：计费管理人工交互性很强，虽然有很多数据维护系统自动完成，但仍然需要人为管理，包括交纳费用的输入、联网单位信息维护，以及账单样式决定等。 c. 计费政策制定；由于计费政策经常灵活变化，因此实现用户自由制定输入计费政策尤其重要。这样需要一个制定计费政策的友好人机界面和完善的实现计费政策的数据模型。 d. 政策比较与决策支持：计费管理应该提供多套计费政策的数据比较，为政策制订提供决策依据。 e. 数据分析与费用计算：利用采集的网络资源使用数据，联网用户的详细信息以及计费政策计算网络用户资源的使用情况，并计算出应交纳的费用。 f. 数据查询：提供给每个网络用户关于自身使用网络资源情况的详细信息，网络用户根据这些信息可以计算、核对自己的收费情况。1.3 网络管理系统由于网络管理已经有了一系列的标准，以及OSI定义的网络管理五大功能，使得具有配置管理、性能管理、故障管理、安全管理和计费管理五大功能的管理系统成为可能。同时，也正是得益于这样的网络管理系统，我们才能对网络进行充分、完备和有序的管理。但是由于涉及到众多的网络管理协议和五个方面所要求的功能以及不同网络的实际情况，使得网络管理系统在技术上具有很强的挑战性。现在市场上号称是网络管理系统的软件不少，但真正具有网络管理五大功能的网络管理系统却不多。我们下面将介绍四种网络管理系统，并给出它们的优缺点比较。这四种网络管理系统是：惠普(HP)公司的0pen-View，国际商用公司(IBM)的NetView，SUN公司的SunNet以及近年来代表未来智能网络管理方向的Cabletron公司的SPECTRUM。 (1) HP的0penView HP的OpenView有争议地成为了第一个真正兼容的、跨平台的网络管理系统，因此也得到了广泛的市场应用。但是，虽然0penView被认为是一个企业级的网络管理系统，但它跟大多数别的网络管理系统一样，不能提供NetWare，SNA，DECnet，x.25，无线通信交换机以及其他非SNMP设备的管理功能。另一方面，HP努力使OpenView由最初的提供给第三方应用厂商的开发系统，转变为一个跨平台的最终用户产品。它的最大特点是被第三方应用开发厂商所广泛接受。比如IBM就把OpenView增强功能并扩展成为自己的NetView产品系列，从而与OpenView展开竞争。特别在最近几年，OpenView已经成为网络管理市场的领导者，与其他网络管理系统相比，OPenView拥有更多的第三方应用开发厂商。在近期，OpenView看上去更像一个工业标准的网络管理系统。 (2) IBM的NetView IBM的NetView是一个相对比较新，同时又具有兼容性的网络管理系统。NetView既可以作为一个跨平台的、即插即用的系统提供给最终用户，也可以作为一个开发平台，在上面开发新的网络管理应用。IBM从HP得到OpenView3.1的许可证，并在此基础上大大扩展了它的功能，并将与其他软件产品集成起来，从而形成了自己的NetV5ew产品系列。跟OpenView一样，NetView作为企业级的网络管理系统，但它也不能提供Net-Ware，SNA，DECnet，X.25，无线通信交换机以及其他非SNMF设备的管理功能。在网络管理产品市场上，NetView在过去几年得到广泛的关注。NetView的市场人员宣称尽管IBM是从HP那里得到了OpenView的最初许可证，但IBM在此基础上自己增加了70的代码，并修正了很多OpenView的bugs,因此NewView应该被认为是一种新的产品。NetView产品系列包括一个故障卡片系统，一些新的故障诊断工具，以及一些OpenView所不具备的其他特性。虽然目前NewView在吸引第三方应用开发厂商方面还不如open-View，但这种差距正在缩小。 (3) SUN的SUNNet Manager SunNet Manager(SNM)是第一个重要的基于Unix的网络管理系统。SNM一直主要作为开发平台而存在，它仅仅提供很有限的应用功能。为了实用化，还必须附加很多第三方开发的针对具体硬件平台的网络管理应用。SNM的开发似乎已经减慢甚至停止，不过SUN已经签署一份许可证给NetLabs DiMONS 3G公司，授权该公司以SNM为基础开发一个名叫Encompass的新网络管理系统。对于SNM，该系统跟其他大多数网络管理系统一样，它也不能提供NetWare，SNA，DECnet，X.25，无线通信交换机以及其他非SNMP设备的管理功能。SNM只能运行在SUN平台上，它需要32MB内存和400MB硬盘。 作为广泛使用的最早的网络管理平台，SNM曾经一度占据了市场的领导地位。但后来SNM在市场的地位被HP的OpenView所取代，现在SNM在市场中所占的份额越来越少，不过SNM仍然具有很多第三方开发的应用。 (4) Cabletron的SPECTRUM Cabletron的SPECTRUM是一个可扩展的、智能的网络管理系统，它使用了面向对象的方法和C1ientServer体系结构。SPECTRUM构筑在一个人工智能的引擎之上，该引擎叫Inductive Modeling Technology(IMT)，同时SPECTRUM借助于面向对象的设计，可以管理多种对象实体；该网络管理系统还提供针对Novell的NetWare和Banyan 的VINES这些局域网操作系统的网关支持。另外，一些本地的协议支持(比如AppleTalk，IPX等)都可以利用外部协议API加入到SPECTRUM中，当然这样需要进一步的开发。 虽然SPECTRUM是一个优秀的网络管理软件，但它却只有很低的市场占有率。同时与前面三种网络管理系统相比，SPECTRUM只得到少数第三方开发厂商的支持。而缺乏一种第三方厂商的支持，将损害SPECTRUM的长期发展前景，虽然它现在拥有很多先进的特性。 1.4 网络管理协议随着网络的不断发展，规模增大，复杂性增加，简单的网络管理技术已不能适应网络迅速发展的要求。以往的网络管理系统往往是厂商在自己的网络系统中开发的专用系统，很难对其他厂商的网络系统、通信设备软件等进行管理，这种状况很不适应网络异构互联的发展趋势。20世纪80年代初期Internet的出现和发展使人们进一步意识到了这一点。研究开发者们迅速展开了对网络管理的研究，并提出了多种网络管理方案，包括HEMS、SGMP、CMISCMIP等。 IAB最初制订的关于Internet管理的发展策略，其初衷是采用跳MP作为暂时的Internet管理解决方案，并在适当的时候转向CMISCMIP。SGMP是在NYSERNET和SURANET上开发应用的网络管理工具，而CMIS/CMIP是20世纪80年代中期国际标准化组织(ISO)和CCITT联合制订的网络管理标准。同时，IAB还分别成立了相应的工作组，对这些方案进行适当的修改，使它们更适于Internet的管理。这些工作组随后相应推出了SNMP(Simple NetWork Management Protoc011988)和CMOT(CMIPCMIS Over TCPIPl989)等网络管理协议，下面进行简单介绍。 (1) SNMP 简单网络管理协议(SNMP)的前身是1987年发布的简单网关监控协议(SGMP)。 SGMP给出了监控网关(OSI第三层路由器)的直接手段，SNMP则是在其基础上发展而来。最初，SNMP是作为一种可提供最小网络管理功能的临时方法开发的，它具有以下两个优点： a. 与SNMP相关的管理信息结构(SMI)以及管理信息库(MIB)非常简单，从而能够迅速、简便地实现。 b. SNMP是建立在SGMP基础上的，而对于SGMP，人们积累了大量的操作经验。 用户界面网络管理应用1网络管理应用3网络管理应用2NMSMIBNMS网络协议互联网网络协议代理进程MIB代理进程SNMP协议 简单网络管理协议(SNMP)参考模型 SNMP经历了两次版本升级，现在的最新版本是SNMPv3。在前两个版本中SNMP功能都得到了极大的增强，而在最新的版本中，SNMP在安全性方面有了很大的改善，SNMP缺乏安全性的弱点正逐渐得到克服。 (2) CMISCMIP 公共管理信息服务公共管理信息协议(CMISCMIP)是哦OSI提供的网络管理协议簇。CMIS定义了每个网络组成部分提供的网络管理服务，这些服务在本质上是很普通的，CMIP则是实现CMIS服务的协议。 OSI网络协议旨在为所有设备在ISO参考模型的每一层提供一个公共网络结构，而CMISCMIP正是这样一个用于所有网络设备的完整网络管理协议簇。 出于通用性的考虑，CMlS/CMIP的功能与结构跟别MP很不相同，SNMP是按照简单和易于实现的原则设计的，而CMISCMIP则能够提供支持一个完整网络管理方案所需的功能。 CMIS/CMIP的整体结构是建立在使用ISO网络参考模型的基础上的，网络管理应用进程使用ISO参考模型中的应用层。也在这层上，公共管理信息服务单元(CMISE)提供了应用程序使用CMIP协议的接口。同时该层还包括了两个ISO应用协议：联系控制服务元素(ACSE)和远程操作服务元素(RpSE)，其中ACSE在应用程序之间建立和关闭联系，而ROSE则处理应用之间的请求响应交互。另外，值得注意的是OSI没有在应用层之下特别为网络管理定义协议。 (3) CMOT 公共管理信息服务与协议(CMOT)是在TCPIP协议簇上实现CMIS服务，这是一种过渡性的解决方案，直到OSI网络管理协议被广泛采用。 CMIS使用的应用协议并没有根据CMOT而修改，CMOT仍然依赖于CMISE、ACSE和ROSE协议，这和CMISCMIP是一样的。但是，CMOT并没有直接使用参考模型中表示层实现，而是要求在表示层中使用另外一个协议-轻量表示协议(LPP)，该协提供了目前最普通的两种传输层协议TCP和UDP的接口。 CMOT的一个致命弱点在于它是一个过渡性的方案，而没有人会把注意力集中在一个短期方案上。相反，许多重要厂商都加入了SNMP潮流并在其中投入了大量资源。事实上，虽然存在CMOT的定义，但该协议已经很长时间没有得到任何发展了。(4) LMMP 局域网个人管理协议(LMMP)试图为LAN环境提供一个网络管理方案。LMMP以前被称为IEEE802逻辑链路控制上的公共管理信息服务与协议(CMOL)。由于该协议直接位于IEEE802逻辑链路层(LLC)上，它可以不依赖于任何特定的网络层协议进行网络传输。 由于不要求任何网络层协议，LMMP比CMIS/CMIP或CMOT都易于实现，然而没有网络层提供路由信息，LMMP信息不能跨越路由器，从而限制了它只能在局域网中发展。但是，跨越局域网传输局限的LMMP信息转换代理可能会克服这一问题。 2. 网络安全2.1 网络安全的重要性随着网络的快速普及及网络的开放性、共享性、互联程度的扩大，特别是Internet网的出现，网络的重要性和对社会的影响也越来越大。客户端软件多媒体化、协同计算、资源共享、开放、远程化管理，电子商务、金融电子化（即在Internet上开展金融服务）成为网络时代必不可少的一个产物。大量事实表明，确保网络安全已经是一件刻不容缓的大事。有人估计，未来网络问题比核威胁还要严重。因此，研究网络安全课题具有十分重要的理论意义和实际背景。2.1.1 网络安全的标准有代表性的标准有：信息技术安全评估标准ITSEC（欧洲）包含可信计算机安全评估标准TCSEC的美国新联邦标准加拿大可信计算机产品评估标准CTCPECTCSEC的可信数据库解释TNITCSEC的可信数据库解释TDIISO-SC27-WG3 安全评估标准ISO7498-2N 安全体系结构标准Open Group 公司和Open Software Foundation 公司组成的Open Group 组织提出的X/Open Security 安全标准Check Point 公司提出的开放企业安全连接平台 OPSEC (Open Platform for Secure Enterprise Connectivity)以OPSEC APIs (CVP、UFP、SAMP、LEA) 、工业标准协议（RADIUS、IPSec、SKIP、 SNMP、ISAKMP、LDAP、ODBC、X.509）和 INSPECT（一种高级的监控描述语言）的方式，集成和管理所有的网络安全技术形成一个统一的平台，允许网络用户选择不同的系统组成来达到企业安全连接的要求访问控制、认证、加密、开放的安全管理、网络地址翻译、内容安全、连接控制、审计等，从而提高了网络系统的安全性。2.2 网络安全技术2.2.1 网络安全的技术现状随着网络技术的发展，如何保证网络上存储和传输信息的安全性成了新的安全研究热点。由于网络设计之初，只考虑方便性和开放性，使得网络非常脆弱，极易受到黑客的攻击或有组织的群体入侵，而且也会由于系统内部人员的不规范使用和恶意破坏，使得网络信息系统遭到破坏，造成信息泄露。为了解决这个问题，国内外很多研究机构在这方面做了很多工作，例如数据加密技术、身份认证、数字签名、防火墙、安全审计、安全管理、安全内核、安全协议、IC卡（存储卡、加密存储卡、CPU卡）、拒绝服务、网络安全性分析、网络信息安全监测和信息安全标准化等方面的研究。 密码技术是网络安全的核心数据加密技术从技术上的实现分为软件和硬件两方面。按作用不同，数据加密技术主要分为数据传输、数据存储、数据完整性的鉴别以及密钥管理技术这四种。 常见的加密方法可分为传统密钥体制（Conventional Cryptosystems）和公开密钥体制（Public Key Cryptosystems）。最有名的算法有美国颁布的数据加密标准DES和RC5算法、日本NTT公司的FEAL、欧洲的IKEA、澳大利亚的LOKI等传统密钥密码算法和以RSA算法为代表的公开密钥算法等。在网络应用中一般采取两种加密形式：对称密钥和公开密钥，采用何种加密算法则要结合具体应用环境和系统，而不能简单地根据其加密强度来作出判断。因为除了加密算法本身之外，密钥合理分配、加密效率与现有系统的结合性，以及投入产出分析都应在实际环境中具体考虑。 在Internet中使用更多的是公钥系统。即公开密钥加密，它的加密密钥和解密密钥是不同的。一般对于每个用户生成一对密钥后，将其中一个作为公钥公开，另外一个则作为私钥由属主保存。常用的公钥加密算法是RSA算法，加密强度很高。具体作法是将数字签名和数据加密结合起来。发送方在发送数据时必须加上数据签名，做法是用自己的私钥加密一段与发送数据相关的数据作为数字签名，然后与发送数据一起用接收方密钥加密。当这些密文被接收方收到后，接收方用自己的私钥将密文解密得到发送的数据和发送方的数字签名，然后，用发布方公布的公钥对数字签名进行解密，如果成功，则确定是由发送方发出的。数字签名每次还与被传送的数据和时间等因素有关。由于加密强度高，而且并不要求通信双方事先要建立某种信任关系或共享某种秘密，因此十分适合Internet网上使用。 密码技术是解决网络上信息传输安全的主要方法，它不仅建立在安全的加密算法设计上，而且取决于安全协议设计的安全性。从某种意义