NET09_网络安全与网络管理 计算机网络课程教学课件 中北大学电子与计算机科学技术学院

第九章网络安全及网络管理 9网络安全及网络管理 本章内容网络安全概述容错技术加密与认证网络管理黑客文化与安全对策 课程议题 网络安全概述 网络安全概述 安全 一词在字典中被定义为 远离危险的状态或特性 和 为防范间谍活动或蓄意破坏 犯罪 攻击或逃跑而采取的措施 随着经济信息化的迅速发展 计算机网络对安全要求越来越高 尤其自Internet Intranet应用发展以来 网络的安全已经涉及到国家主权等许多重大问题 随着 黑客 工具技术的日益发展 使用这些工具所需具备的各种技巧和知识在不断减少 从而造成的全球范围内 黑客 行为的泛滥 导致了一个全新战争形式的出现 即网络安全技术的大战 网络安全的概念 网络安全从其本质上来讲就是网络上的信息安全 它涉及的领域相当广泛 这是因为在目前的公用通信网络中存在着各种各样的安全漏洞和威胁 从广义来说 凡是涉及到网络上信息的保密性 完整性 可用性 真实性和可控性的相关技术和理论 都是网络安全所要研究的领域 下面给出网络安全的一个通用定义 网络安全是指网络系统的硬件 软件及其系统中的数据受到保护 不受偶然的或者恶意的原因而遭到破坏 更改 泄露 系统连续可靠正常地运行 网络服务不中断 网络安全的定义 计算机实体安全系统运行安全信息安全 对于网络安全 目前国际上还没有一个统一的定义 它经常与计算安全和计算机信息系统安全两个术语混淆 狭义上认为 计算机网络安全是指通过网络的拓扑结构 构造和网络协议来保证计算机网络系统的可靠 稳定和连续的正常工作 这一定义的重点在于计算机网络系统的设计上 通过技术手段提高网络系统的安全性 广义上的网络安全 则包含计算机安全和计算机信息系统安全 1 物理安全 计算机实体安全 设备 环境 在一定的环境下 对网络系统中的设备的安全保护 包括设备的防毁 防盗 防电磁辐射或干扰 以及电源保护 是网络安全的前提 2 系统运行安全 容错性 安全审计等网络系统运行安全是指计算机实体安全的前提下 保证网络系统不受偶然的和恶意的威胁的影响 能够正常连续工作 网络系统的拓扑结构 构造 硬件 OS 和协议是影响网络系统运行安全的直接因素 计算机病毒 黑客入侵是影响网络系统运行安全的外在因素 采用有效的技术和管理手段 保证网络系统运行安全是网络安全保护最重要的环节之一 3 信息安全 计算机网络信息安全是指防治网络上的信息资源被故意的或偶然的泄露 更改 破坏 确保信息的保密性 完整性和可用性 网络面临的安全风险 与人有关的风险与硬件和网络设计有关的风险与协议和软件有关的风险与Internet访问有关的风险 1 非授权访问 2 信息泄露 3 拒绝服务 网络安全措施 容错性和数据备份防火墙技术监视 检测程序加密和认证文件访问限制对系统错误和性能趋势跟踪 发现解决问题保持备份 引导盘及紧急修复盘制定实施安全管理的政策和灾难恢复政策 课程议题 容错技术 容错技术 容错技术是保证网络系统安全运行的关键技术之一 具有容错性的系统可以做到局部系统故障不影响整个系统的运行 容错性在实现的程度上是不同的 对实施冗余容错措施需要额外的网络开销 因此需要了解网络中容易出错的关键点以及它们的故障对于整个网络的影响是如何产生的 1 环境 物理环境 温度湿度自然灾害 设备间 空调 温度 湿度监视 2 供电 常见供电问题 浪涌线扰 电磁干扰 电力不足彻底断电 功率 时间 线波动 成本 参考指标 3 拓扑结构 星型 总线 环型 网状 层次FDDI 4 连接 网络设备 路由器 防火墙 网桥 交换机 Hub 建立冗余的电源 冷却风扇 接口以及I O模块提供热切换能力网络连接 接入网 骨干网 建立冗余链路考虑负载平衡 5 服务器 廉价冗余磁盘阵列RAID所谓磁盘阵列是指一组硬盘或驱动器以RAID方式构成的驱动器集合服务器镜像服务事务和数据存储互为副本 建立同步服务器集群Cluster将多台服务器连起来使它们像一台服务器那样工作的一种容错技术 RAID RedundantArrayofInexpensiveDisks6levelsredundancy 0 5 RAID0Stripesdataacrossmultipledisks noparity sothereisnoredundancy RAID1Diskmirroring diskduplexing writesdatatotwoidenticalpartitionsonseparateharddisks DiskduplexingusestwoharddiskcontrollercardsRAID2Writesdataacrossmultipleharddisks witherrorchecking RAID3Stripesdataonebyteatatimeandhasadedicatedparitydrive RAID4Stripesdataonesectoratatimeandhasadedicatedparitydrive RAID5Stripesdataandparityacrossmultipledisks requireaminimumof3drives Bymixingtheparityacrossallofthedisks aseparateparitydiskisnotrequiredandyetfulldataredundancyisachieved RAID0 磁盘条带化 RAID1 磁盘镜像 RAID5 带奇偶校验的磁盘条带化 课程议题 加密与认证 加密的历史 作为保障数据安全的一种方式 数据加密起源于公元前2000年 埃及人是最先使用特别的象形文字作为信息编码的人 随着时间推移 巴比伦 美索不达米亚和希腊都开始使用一些方法来保护他们的书面信息 密码学的发展 密码学的发展可以分为两个阶段 第一个阶段是计算机出现之前的四千年 这是传统密码学阶段 基本上靠人工对消息加密 传输和防破译 第二阶段是计算机密码学阶段 常规密钥密码体制解密是加密的简单逆过程 两者所用的密钥是可以简单地互相推导的 因此无论加密密钥还是解密密钥都必须严格保密 公开密钥密码体制 重要概念 密码编码学 cryptography 是密码体制的设计学 而密码分析学 cryptanalysis 则是在未知密钥的情况下从密文推演出明文或密钥的技术 密码编码学与密码分析学合起来即为密码学 cryptology 如果不论截取者获得了多少密文 但在密文中都没有足够的信息来唯一地确定出对应的明文 则这一密码体制称为无条件安全的 或称为理论上是不可破的 如果密码体制中的密码不能被可使用的计算资源破译 则这一密码体制称为在计算上是安全的 一般的数据加密模型 E加密算法 D解密算法 加密密钥K 解密密钥K 明文X 明文X 密文Y EK X 截取者 截获 篡改 密钥源 安全信道 常规密钥密码体制 所谓常规密钥密码体制 即加密密钥与解密密钥是相同的密码体制 这种加密系统又称为对称密钥系统 替代密码 替代密码 substitutioncipher 的原理可用一个例子来说明 密钥是3 abcdefghijklmnopqrstuvwxyzDEFGHIJKLMNOPQRSTUVWXYZABC caesarcipher FDHVDUFLSKHU 明文密文 明文c变成了密文F 替代密码 替代密码 substitutioncipher 的原理可用一个例子来说明 密钥是3 abcdefghijklmnopqrstuvwxyzDEFGHIJKLMNOPQRSTUVWXYZABC caesarcipher FDHVDUFLSKHU 明文密文 明文a变成了密文D 替代密码 替代密码 substitutioncipher 的原理可用一个例子来说明 密钥是3 abcdefghijklmnopqrstuvwxyzDEFGHIJKLMNOPQRSTUVWXYZABC caesarcipher FDHVDUFLSKHU 明文密文 明文e变成了密文H 置换密码 置换密码 transpositioncipher 则是按照某一规则重新排列消息中的比特或字符顺序 根据英文字母在26个字母中的先后顺序 我们可以得出密钥中的每一个字母的相对先后顺序 因为密钥中没有A和B 因此C为第1 同理 E为第2 H为第3 R为第6 于是得出密钥字母的相对先后顺序为145326 CIPHER145326attackbeginsatfour 密钥顺序明文 置换密码 置换密码 transpositioncipher 则是按照某一规则重新排列消息中的比特或字符顺序 根据英文字母在26个字母中的先后顺序 我们可以得出密钥中的每一个字母的相对先后顺序 因为密钥中没有A和B 因此C为第1 同理 E为第2 H为第3 R为第6 于是得出密钥字母的相对先后顺序为145326 CIPHER145326attackbeginsatfour 密钥顺序明文 置换密码 置换密码 transpositioncipher 则是按照某一规则重新排列消息中的比特或字符顺序 根据英文字母在26个字母中的先后顺序 我们可以得出密钥中的每一个字母的相对先后顺序 因为密钥中没有A和B 因此C为第1 同理 E为第2 H为第3 R为第6 于是得出密钥字母的相对先后顺序为145326 CIPHER145326attackbeginsatfour 密钥顺序明文 置换密码 置换密码 transpositioncipher 则是按照某一规则重新排列消息中的比特或字符顺序 根据英文字母在26个字母中的先后顺序 我们可以得出密钥中的每一个字母的相对先后顺序 因为密钥中没有A和B 因此C为第1 同理 E为第2 H为第3 R为第6 于是得出密钥字母的相对先后顺序为145326 CIPHER145326attackbeginsatfour 密钥顺序明文 置换密码 置换密码 transpositioncipher 则是按照某一规则重新排列消息中的比特或字符顺序 根据英文字母在26个字母中的先后顺序 我们可以得出密钥中的每一个字母的相对先后顺序 因为密钥中没有A和B 因此C为第1 同理 E为第2 H为第3 R为第6 于是得出密钥字母的相对先后顺序为145326 CIPHER145326attackbeginsatfour 密钥顺序明文 置换密码 置换密码 transpositioncipher 则是按照某一规则重新排列消息中的比特或字符顺序 根据英文字母在26个字母中的先后顺序 我们可以得出密钥中的每一个字母的相对先后顺序 因为密钥中没有A和B 因此C为第1 同理 E为第2 H为第3 R为第6 于是得出密钥字母的相对先后顺序为145326 CIPHER145326attackbeginsatfour 密钥顺序明文 密文的得出 先读顺序为1的明文列 即aba CIPHER145326attackbeginsatfour 密钥顺序明文 密文的得出 先读顺序为1的明文列 即cnu CIPHER145326attackbeginsatfour 密钥顺序明文 密文的得出 先读顺序为1的明文列 即aio CIPHER145326attackbeginsatfour 密钥顺序明文 密文的得出 先读顺序为1的明文列 即tet CIPHER145326attackbeginsatfour 密钥顺序明文 密文的得出 先读顺序为1的明文列 即tgf CIPHER145326attackbeginsatfour 密钥顺序明文 密文的得出 先读顺序为1的明文列 即ksr CIPHER145326attackbeginsatfour 密钥顺序明文 接收端的解密 CIPHER145326attackbeginsatfour 密钥顺序明文 先写下第1列密文aba 接收端的解密 CIPHER145326attackbeginsatfour 密钥顺序明文 先写下第1列密文aba再写下第2列密文cnu 接收端的解密 CIPHER145326attackbeginsatfour 密钥顺序明文 先写下第1列密文aba再写下第2列密文cnu再写下第3列密文aio 接收端的解密 CIPHER145326attackbeginsatfour 密钥顺序明文 先写下第1列密文aba再写下第2列密文cnu再写下第3列密文aio再写下第4列密文tet 接收端的解密 CIPHER145326attackbeginsatfour 密钥顺序明文 先写下第1列密文aba再写下第2列密文cnu再写下第3列密文aio再写下第4列密文tet再写下第5列密文tgf 接收端的解密 CIPHER145326attackbeginsatfour 密钥顺序明文 先写下第1列密文aba再写下第2列密文cnu再写下第3列密文aio再写下第4列密文tet再写下第5列密文tgf最后写下第6列密文ksr 接收端的解密 CIPHER145326attackbeginsatfour 密钥顺序明文 最后按行读出明文 接收端的解密 CIPHER145326attackbeginsatfour 密钥顺序明文 最后按行读出明文 接收端的解密 CIPHER145326attackbeginsatfour 密钥顺序明文 最后按行读出明文 序列密码 序列码体制是将明文X看成是连续的比特流 或字符流 x1x2 并且用密钥序列K k1k2 中的第i个元素ki对明文中的xi进行加密 即 序列密码体制 密钥序列产生器 种子I0 发端 ki 密钥序列产生器 种子I0 收端 ki 密文序列 明文序列 明文序列 xi xi yi yi 在开始工作时种子I0对密钥序列产生器进行初始化 按照模2加进行运算 得出 序列密码体制 密钥序列产生器 种子I0 发端 ki 密钥序列产生器 种子I0 收端 ki 密文序列 明文序列 明文序列 xi xi yi yi 序列密码又称为密钥流密码在收端 对yi的解密算法为 序列密码体制的保密性 序列密码体制的保密性完全在于密钥的随机性 如果密钥是真正的随机数 则这种体制就是理论上不可破的 这也可称为一次一密乱码本体制 严格的一次一密乱码本体制所需的密钥量不存在上限 很难实用化 密码学家试图模仿这种一次一密乱码本体制 目前常使用伪随机序列作为密钥序列 关键是序列的周期要足够长 且序列要有很好的随机性 这很难寻找 分组密码 它将明文划分成固定的n比特的数据组 然后以组为单位 在密钥的控制下进行一系列的线性或非线性的变化而得到密文 这就是分组密码 分组密码一次变换一组数据 分组密码算法的一个重要特点就是 当给定一个密钥后 若明文分组相同 那么所变换出密文分组也相同 分组密码的一个重要优点是不需要同步 分组密码体制 输入 输出 加密算法 密钥 明文 输入 输出 解密算法 密钥 明文 nbit nbit nbit nbit 密文 密文 数据加密标准DES 数据加密标准DES属于常规密钥密码体制 是一种分组密码 在加密前 先对整个明文进行分组 每一个组长为64bit 然后对每一个64bit二进制数据进行加密处理 产生一组64bit密文数据 最后将各组密文串接起来 即得出整个的密文 使用的密钥为64bit 实际密钥长度为56bit 有8bit用于奇偶校验 数据加密标准DES DES的明显缺点 DES实际上就是一种单字符替代 而这种字符的长度是64bit 也就是说 对于DES算法 相同的明文就产生相同的密文 这对DES的安全性来说是不利的 为了提高DES的安全性 可采用加密分组链接的方法 加密分组的链接 DES的保密性 DES的保密性仅取决于对密钥的保密 而算法是公开的 尽管人们在破译DES方面取得了许多进展 但至今仍未能找到比穷举搜索密钥更有效的方法 DES是世界上第一个公认的实用密码算法标准 它曾对密码学的发展做出了重大贡献 目前较为严重的问题是DES的密钥的长度 现在已经设计出来搜索DES密钥的专用芯片 三重DES TripleDES 三重DES使用两个密钥 执行三次DES算法 下图中的方框E和D分别表示执行加密和解密算法 因此加密时是E D E 解密时是D E D 公开密钥密码体制 公开密钥密码体制使用不同的加密密钥与解密密钥 是一种 由已知加密密钥推导出解密密钥在计算上是不可行的 密码体制 公开密钥密码体制的产生主要是因为两个方面的原因 一是由于常规密钥密码体制的密钥分配问题 另一是由于对数字签名的需求 现有三种公开密钥密码体制 其中最著名的是RSA体制 它基于数论中大数分解问题的体制 由美国三位科学家Rivest Shamir和Adleman于1976年提出并在1978年正式发表的 加密密钥与解密密钥 在公开密钥密码体制中 加密密钥 即公开密钥 PK是公开信息 而解密密钥 即秘密密钥 SK是需要保密的 加密算法E和解密算法D也都是公开的 虽然秘密密钥SK是由公开密钥PK决定的 但却不能根据PK计算出SK 应当注意 任何加密方法的安全性取决于密钥的长度 以及攻破密文所需的计算量 在这方面 公开密钥密码体制并不具有比传统加密体制更加优越之处 由于目前公开密钥加密算法的开销较大 在可见的将来还看不出来要放弃传统的加密方法 公开密钥还需要密钥分配协议 具体的分配过程并不比采用传统加密方法时更为简单 加密算法 按照密钥和相关加密程序的类型可以把加密分为三类 信息在传输中可能泄密 数据被黑客窃听 总部 分支机构 移动用户A 黑客 我的密码是CAF 我的密码是CAF 数据机密性保护 移动用户B Internet 信息在传输中可能失真 总部 分支机构 移动用户A 黑客 同意2000元成交 数据完整性保护 移动用户B Internet 黑客篡改数据 同意5000元成交 信息的来源可能伪造的 总部 分支机构 黑客 交易服务器 数据源发性保护 移动用户 Internet 谁是真的Bob 我是Bob 请求交易 我是Bob 请求交易 数据机密性保护的实现 11001110010100010100101010010001001001000001000000 11001110010100010100101010010001001001000001000000 明文 加密 解密 明文 保证数据在传输途中不被窃取 发起方 接受方 数据完整性保护的实现 发起方 接受方 1001000101010010100001000000110110001010 10001010 1001000101010010100001000000110110001010 Hash Hash 10001010 1001000101010010100001000000110110001010 是否一样 防止数据被篡改 数据源发性保护的实现 Bob Alice 假冒的 Bob 假冒VPN Internet 101011011110100110010100 验证签名 证实数据来源 私钥签名 安全传输 用户验证和证明权威 如何知道在每次通信或交易中所使用的密钥对实际上就是用户的密钥对呢 这就需要一种验证公用密钥和用户之间的关系的方法 解决这一问题的方法是引入一种叫做证书或凭证的特种签名信息 证书包含识别用户的信息 特异的名字 公用密钥和有效期 全都由一个叫做证明权威 CA 的可靠网络实体进行数字签名 数字证书 首先 用户产生密钥对 并把该密钥对的公用部分以及其它识别信息提交给CA 当CA一旦对用户的身份 人员 机构或主计算机 表示满意 就取下用户的公用密钥 并对它制作信息摘要 然后 信息摘要用CA的专用密钥进行加密 制作用户公用密钥的CA签名 最后 用户的公用密钥和验证用户公用密钥的CA签名组合在一起制作证书 CA结构 证明权威 即CA 它签发并管理正式使用公用密钥与用户相关联的证书 证书只在某一时间内有效 因而CA保存一份有效证书及其有效期清单 有时 证书或许要求及早废除 因而CA保存一份废除的证书以及有效证书的清单 CA把其有效证书 废除证书或过期证书的清单提供给任何一个要获得这种清单的人 证书有两种常用的方法 CA的分级系统和信任网 在分级证明中 顶部即根CA 它验证它下面的CA 第二级CA再验证用户和它下属的CA 依此类推 口令和权限控制 用户名 口令 用户名 口令方式最常见的访问控制方法 用户名 明文口令 密文时间段登录总时间源地址不成功登录次数 关于口令维护 不要将口令告诉别人 也不要几个人共享一个口令 不要把它记在本子上或计算机周围 不要用系统指定的口令 如root demo和test等 第一次进入系统就修改口令 不要沿用系统给用户的缺省口令 关闭掉随操作系统配备的所有缺省账号 这个操作也要在每次系统升级或系统安装之后来进行 最好不要用电子邮件传送口令 如果一定需要这样做 则最好对电子邮件进行加密处理 如果账户长期不用 管理员应将其暂停 如果雇员离开公司 则管理员应及时把他的账户消除 不要保留一些不用的账号 这是很危险的 关于口令维护 管理员也可以限制用户的登录时间 比如说只有在工作时间 用户才能登录到计算机上 限制登录次数 为了防止对账户多次尝试口令以闯入系统 系统可以限制登记企图的次数 这样可以防止有人不断地尝试使用不同的口令和登录名 最后一次登录 该方法报告最后一次系统登录的时间 日期 以及在最后一次登录后发生过多少次未成功的登录企图 这样可以提供线索了解是否有人非法访问 通过使用TFTP获取口令文件 为了检验系统的安全性 通过TFTP命令连接到系统上 然后获取 etc passwd文件 如果用户能够完成这种操作 那么网络上的任何人都能获取用户的passwd文件 关于口令维护 定期地查看日志文件 以便检查登录成功和不成功的使用 一定要定期地查看登录末成功的消息日志文件 根据场所安全策略 确保除了必要之外没有任何公共的用户账号 也就是说 一个账号不能被两个或两个以上的用户知道 去掉guest账号 或者更安全的方法是 根本就不创建guest账号 身份鉴别 身份鉴别是对网络中的主体进行验证的过程 通常有三类方法 只有该主体了解的秘密 如口令 密钥 一次密码 基于时间的密码等主体携带的物品 如智能卡和令牌卡 只有该主体具有的独一无二的特征或能力 如指纹 声音 视网膜或签字等 课程议题 防火墙技术 防火墙 防火墙位于内部网络和Internet之间 阻断来自外部通过网络对本网络的威胁和入侵 提供扼守本网络的安全和审计的关卡 所有来自和去往Internet的信息都必须经过防火墙 接受防火墙的检查 防火墙必须只允许授权的数据通过 并且防火墙本身也必须能够免于渗透 防火墙的基本功能 从逻辑上讲 防火墙是分离器 限制器和分析器 从物理角度看 各站点防火墙物理实现的方式有所不同 通常防火墙是一组硬件设备 即路由器 主计算机或者是路由器 计算机和配有适当软件的网络的多种组合 防火墙能够强化安全策略防火墙能有效地记录因特网上的活动防火墙限制暴露用户点防火墙是一个安全策略的检查站 网络策略 防火墙的功能实现功能分类为 包过滤 路由器 代理服务 应用级网关 一切未被允许的就是禁止的防火墙封锁所有信息流 然后对希望提供的服务逐项开放一切未被禁止的就是允许的防火墙就转发所有信息流 然后逐项屏蔽可能有害的服务 包过滤 每个数据包都包含有特定信息的一组报头 其主要信息是 1 IP协议类型 TCP UDP ICMP等 2 IP源地址 3 IP目标地址 4 IP选择域的内容 5 TCP或UDP源端口号 6 TCP或UDP目标端口号 7 ICMP消息类型 路由器也会得到一些在数据包头部信息中没有得到的关于数据包的其他信息 代理服务 代理服务是运行在防火墙主机上的一些特定的应用程序或者服务程序 防火墙主机可以是有一个内部网络接口和一个外部网络接口的双重宿主主机 也可以是一些可以访问因特网并可被内部主机访问的堡垒主机 防火墙体系结构 参数网络 中介子网 堡垒主机 代理服务器 双重宿主主机 内部路由器外部路由器 双重宿主主机 双重宿主主机的防火墙体系结构是相当简单的 双重宿主主机位于两者之间 并且被连接到因特网和内部的网络 主机过滤体系结构 在主机过滤体系结构中提供安全保护的主机仅仅与内部网相连 在这种体系结构中 主要的安全由数据包过滤提供 子网过滤体系结构 子网过滤体系结构添加了额外的安全层到主机过滤体系结构中 即通过添加参数网络 更进一步地把内部网络与因特网隔离开 子网过滤体系结构的最简单的形式为两个过滤路由器 每一个都连接到参数网 一个位于参数网与内部的网络之间 另一个位于参数网与外部网络之间 防火墙的不足之处 由软件和硬件组成的防火墙应该具有以下功能 所有进出网络的信息流都应该通过防火墙 所有穿过防火墙的信息流都必须有安全策略和计划的确认和授权 理论上防火墙是穿不透的 但实际中存在如下问题 不能防范恶意的知情者防火墙不能防范不通过它的连接防火墙不能防备全部的威胁防火墙不能防范病毒 课程议题 网络管理 网络管理的定义 按照国际标准化组织 ISO 的定义 网络管理是指规划 监督 设计和控制网络资源的使用和网络的各种活动 以使网络的性能达到最优 通俗的讲 网络管理就是通过某种方式对网络状态进行调整 使网络能够正常 高效地运行 使网络中的各种资源得到更高效的利用 当网络出现故障时能及时做出报告和处理 并协调 保持网络的高效运行 网络管理的目标 网络管理的根本目标就是满足运营者及用户对网络的有效性 可靠性 开放性 综合性 安全性和经济性的要求 有效性网络要能准确而及时地传递信息 并且网络的服务要有质量保证 可靠性网络必须保证能够稳定地运转 不能时断时续 要对各种故障以及自然灾害有较强的抵御能力和有一定的自愈能力 开放性网络要能够接受多厂商生产的异种设备 网络管理的目标 网络管理的根本目标就是满足运营者及用户对网络的有效性 可靠性 开放性 综合性 安全性和经济性的要求 综合性网络业务不能单一化 安全性网络传输信息的安全性要高 经济性网络管理者而言 网络的建设 运营 维护等费用要求尽可能少 网络管理的标准化进程 ISO网络管理标准公共管理信息服务CMIS 支持管理进程和管理代理之间的通信要求公共管理信息协议CMIP 提供管理信息传输服务的应用层协议IETF的网络管理标准简单网络管理协议SNMPv1 v2 v3电信网络管理标准 网络管理的体系结构 网络管理者 网管代理模型 网络管理的五大功能 国际标准化组织在ISO IEC7498 4文档中定义了网络管理的五大功能 故障管理计费管理配置管理性能管理安全管理 故障管理 故障管理的主要任务是发现和排除网络故障 典型功能包括 1 维护并检查错误日志 2 接受错误检测报告并做出响应 3 跟踪 辨认错误 4 执行诊断测试 5 纠正错误 FaultManagement 故障管理的一般步骤 1 发现网络故障 2 查找 分析和分离故障原因 3 如有可能 自动排除故障 或者给管理者提供排除故障的帮助 故障管理系统功能组成 故障监测故障报警故障信息过滤及关联检索 分析故障信息排错支持工具故障管理配置 配置管理 配置管理主要用于配置网络 优化网络 包括辨别 定义 控制和监视具体网络对象的相关措施 配置管理包括 1 设置开放系统中有关路由操作的参数 2 被管对象和被管对象组名字的管理 3 初始化或关闭被管对象 4 根据要求收集系统当前状态的有关信息 5 获取系统重要变化的信息 6 更改系统的配置 ConfigurationManagement 网络配置信息 网络设备的拓扑关系 存在性和联接关系 网络设备的域名 IP地址 设备标识 寻址信息 网络设备的运行特性 运行参数 设备的备份操作条件 是否有备份 备份启用条件 设备的配置更改条件 配置管理子系统总体结构 性能管理 性能管理的目的是维护网络服务质量 QoS 和网络运营效率 典型功能包括 1 收集统计信息 2 维护并检查系统状态日志 3 确定自然和人工状况下系统的性能 4 改变系统操作模式以进行系统性能管理的操作 PerformanceManagement 性能管理的工作 收集网络管理者感兴趣的那些变量的性能数据 分析这些数据 以判断是否处于正常 基线 水平并产生相应的报告 为每个重要的变量确定一个合适的性能阈值 超过该阈值就意味着出现了应该注意的网络故障 性能管理衡量和呈现网络特性的各个方面 使网络性能维持在一个可以被接受的水平上 性能管理子系统总体结构 安全管理 网络安全管理应包括对授权机制 访问控制 加密和加密关键字的管理 另外还要维护和检查安全日志 具体包括以下3项内容 1 创建 删除 控制安全服务和机制 2 分布与安全相关的信息 3 报告与安全相关的事件 SecurityManagement 安全管理的一般过程 确定要保护的敏感信息找出网络访问点对有关设备和主机进行相应的配置 保护访问点 对涉及网络安全的访问点进行定期检查 维护网络安全性 保护访问点安全的技术 数据加密技术包过滤技术主机认证用户认证密钥认证 计费管理 计费管理包括以下几个主要功能 1 计算网络建设及运营成本 主要成本包括网络设备器材成本 网络服务成本 人工费用等 2 统计网络及其所包含的资源的利用率 为确定各种业务在不同时间段的计费标准提供依据 3 联机收集计费数据 这是向用户收取网络服务费用的根据 4 计算用户应支付的网络服务费用 5 账单管理 保存收费账单及必要的原始数据 以备用户查询和置疑 AccountingManagement 网络管理技术的发展趋势 网络管理正在向智能化 综合化 标准化的方向发展 WBM Web BasedManagement 是网络发展的产物 是基于Web的网络管理模式 1 基于代理的解决方案 2 嵌入式解决方案智能化网络管理 1 基于专家系统的网络管理 2 基于智能agent的网络管理 3 基于计算智能的宽带网络