时间:2023-05-29 17:40:27
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇通信网络管理员,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
关键词:计算机网络管理员;技能;素质
计算机网络管理员就是保障网络包括因特网、局域网、广域网和其他数据通信系统在内的各种网络的正常运行,通过网络来实现信息资源的共享的职业,例如公司的员工可以共享打印机和传真机等硬件或者软件设备。在发生故障的时候,计算机网络管理员能够快速的定位和排除错误问题,可以设计、组装、管理和维护企业内部的计算机网络,提供计算机网络的技术咨询和支持工作,以此来保障企业信息的安全。
成为一名优秀的计算机网络管理员能够熟练的掌握计算机网络方面的知识是首要要求,而开展一切网络管理工作的前提是要熟练地掌握和运用网络的基础知识,如果模棱两可的掌握网络理论知识,一点都不扎实,在实际工作中那么必然会出现一些意想不到的问题。所以,一般来说,作为一名网络管理人员必须熟练掌握以下基础知识:在计算机网络中最常出现的一个词语就是网络拓扑,作为一名网络管理人员,就需要对每种结构的优劣做到心中有数,知道什么情况下,用哪种拓扑结构,怎么搭建该结构。在网络管理中,网络协议也是非常重要的,它规定了计算机网络之间如何通信,怎么通信。作为网络管理员,需要熟练地掌握每种协议的配置方法,知道在什么情况下运用哪种协议来实现通信,实现准确快速安全的通信。比如最基本的TCP/IP协议,比如UDP协议,要熟知他们之间的区别与联系。掌握每种协议是如何工作在通信网络的那一层中的。
在实际的工作中,网络管理人员要时刻紧跟最新信息技术,掌握最新动态,并运用到工作中去。所以网络管理人员必须时刻注意提高自身的能力,加大自身筹码。网络管理人员必须具有一定的阅读英文文献的能力,这就要求网络管理人员必须能够大量的掌握有关于计算机的专业词汇,这样的话就能流畅的阅读技术资料英文原版,最重要的是可以看懂网络管理设备和网络管理软件中的英文说明书,不至于因为看不懂说明书而手足无措。要有良好的语言表达能力。就网络管理工作本身而然,是为企业内部服务,需要经常和领导、同事、同行、厂商等交流。所以具备一个良好的沟通能力,能实际工作变得事半功倍,提高办事效率和自己的竞争力。
同时网络管理员也要有吃苦的精神。网络管理员需要保障企业内网、外网的正常运转,需要随时准备解决问题。工作的性质决定了工作的时间是不规律的,有时候还需要体力劳动,所以这就需要网络管理人员有吃苦耐劳的精神。对于没有吃苦精神的人来说,是做不好网络管理的工作的。要有优秀的团体协作能力。团队合作能力对于每一种工作都是一种必备的素质,俗话说众人划桨开大船,众人的力量是巨大的,只有良好的团地合作能力,才能够在一个团队中实现自身的价值并为企业做贡献,一个人的力量是有限的,对于网络管理员也是如此。做事耐心、细心。网络管理工作涉及很多繁杂,细小的工作。很多时候,往往一个细小的配置出现了问题,就会使整个网络瘫痪,无法运行,这就要求网络管理人在工作时耐心,细心。保证所配置的每一个步骤都是准确的,因为当你配置完成但却运行不起来,再回过头去找问题,就比较麻烦。
计算机网络管理包括很多方面,首先是网络基础设施的管理。在网络运行比较正常的情况下,网络管理员对网络基础设施的管理主要包括确保网络通信传输的畅通、备份各项设备的配置文件、对网络布线配线架的管理负责、采取技术措施对网络内经常出现的用户变更位置和部门的情况进行有效的管理。同时也要对网络的通信状况进行监督,一旦有问题出现要及时的联系相关部门机构,实现对整个局域网和网络通信流量状况等方面的实时监控,还要对网络基础设施的使用制订和出相应的管理办法和监督执行的情况。
在日常网络维护中,网络管理员应牢牢掌握网络操作系统,熟练的运用系统中所提供给的各种软件管理工具,及时的监督系统故障问题,第一时间进行处理。而且,网络管理员还要对网络管理系统操作服务器建立热备份系统,准备好防灾工作。因为网络操作系统一旦发生致命的故障,整个的网络服务都会陷入到瘫痪的状态。
同时网络管理工作的优秀与否,取决于网络管理人员所掌握的技术。硬性条件和软性条件是对网络管理人员的技能的一种两大方面划分。硬性技能方面:整体规划整个网络的能力,相当于宏观的把控能力。而对于这种能力来说,它可以认为是一个必备的技能。在这之外还有一个就是维护网络设备的能力,比如对路由器、交换机等的配置和后期维护。网络管理人员要熟练地掌握设备命令语句的调试方法,制定出安全的策略等,能够实际的根据环境需求来进行相应的配置网络设备,达到一个1+1>2的良好效果。
总结:
综上所述,网络的发展可谓是日新月异的,每时每刻都有不同的理念产生,这对网络管理工作也提出了更为严格的要求。作为企业网络的网络管理者来说,所需要完成的工作是繁重又重要的。在这样的情况下,网络管理人员需要具备极强的耐心和责任心,较为丰富的网络知识,在实践中不断的总结经验,力争成为一名优秀的网络管理员,为整个企业做好网络服务。
参考文献
智能建筑的核心是系统集成 [1] ,而系统集成的基础则是智能建筑中的通信网络.随着计算机技术和通信技术的发展和信息社会的到来,迫使现代建筑观念不得不更新.在信息化社会中,一个现代化大楼内,除了具有电话、传真、空调、消防与安全监控系统外,各种计算机网络、综合服务数字网等都是不可缺少的.只有具备了这些基础通信设施,新的信息技术,如电子数据交换、电子邮政、会议电视、视频点播、多媒体通信等才有可能进入大楼.使它成为一个名符其实的智能建筑.目前,在多数涉及与智能建
筑有关的事物中,不论是物业主还是参加竞争的设计者,都把重点放在楼宇管理自动化系统和结构化布线系统上,许多所谓的智能建筑,其实就是楼宇自动化系统加上结构化布线和程控交换机,根本就忽略了通信网络的建设.我们认为,在建筑智能化工程中,应该高度重视信息这个要素,而通信网络正是为建筑的各个部分传递信息的道路.随着分布式智能建筑控制系统技术的日益成熟和应用普及,在BAS中控制将进一步分散,在网络中传递的将更多的是管理信息,系统的集成则越显得重要 [2] ,另一方面,目前由于人们信息需求的激增,以及计算机技术带来的多媒体终端等先进的终端技术,一个智能建筑的智能化瓶颈往往在于它的通信网络.可以说,通信网络技术水平的高低制约着智能建筑的智能程度.为此,智能建筑中的通信网络的设计是完成建筑智能化工程的重点所在.本文讨论基于最新网络技术的智能建筑通信网络的设计.
二、 智能建筑的通信网络功能
总体上说,智能建筑的通信网络有两个功能,第一是支持各种形式的通信业务;第二是能够集成不同类型的办公自动化系统和楼宇管理自动化系统,形成统一的网络并进行统一的管理.智能建筑中的通信业务主要有下列一些形式:
1、电话: 包括内部直拨,通过PBX与楼外公共交换网连接后通话.发展成为以PBX 为中心组网形成2B+D话音和信令通道,使电话用户线具有综合功能.
2、传真: 包括利用电话线进行楼内传真以及与楼外的传真,还可以通过发展而成的楼内综合业务数字网(ISDN)的用户线进行楼内之间或楼内外的传真.
3、电子邮件、语音邮件、电子信箱、语音信箱: 这是通过计算机网络及其交换系统实现点对点(计算机)的文字或语音通信的一种方式.即通过对计算机屏幕的"书写"或直接通过计算机的音响系统实现双方的通信或对话.与之相应的电子信箱、语音信箱则是通过计算机的存贮系统实现"留信"或"留言".
4、可视电话: 可视电话是一种小型图像通信终端,利用电话线路同时传递图像与语音信息.这种系统使用简单,无需特殊线路,每秒可传送10帧彩色图像,并且价格相对低廉,同时,还可通过大楼PBX,进入公用电话网.同外部进行通信.
5、可视电话数据系统: 可视电话数据系统是利用公用电话线路的会话型图像通信.利用这种通信系统,键入所需信息代码,传送至数据库计算机,主机收到该代码后,即在数据库中查找所需的信息,并将信息回送屏幕显示出来,
6. 会议电视: 会议电视系统可支持大楼中各单位,各部门之间通信的要求,通过通信手段把相隔两地或几个地点的会议室连接在一起,传递图象和伴音信号,使与会者产生身临其境的感觉.
7、桌面会议系统: 将计算机引入图象通信,使得通信各方不仅可以面对面进行交谈,还可以根据要求随时交换资料和文档,真正实现通信的交互性.桌面会议系统设有电子黑板,使会议各方可在同一块电子黑板上完成信息交互,并可对电子黑板随时打印,还可以重播会议片断和收录会议过程.
8,多媒体通信: 多媒体通信是通过计算机网络系统实现同时获取,处理,编辑,存储和展示两个以上不同类型信息媒体(包括文字,语音,图形,图象〕的传送,其最重要的基础必需要具备宽带的网络系统.
9、公用数据库系统: 与大楼业务有关的资料可通过大楼的数据库查询,也可通过WAN查询,数据类型可以是数据、文字、静、动态图象.
10、资料查询与文档管理系统: 楼内各种办公文件的编辑、制作、发送、存贮与检索,并规定不同用户对各类文档的查询权限.
11、学习培训系统: 与网络联机的多媒体终端及各种声、象设备,提供各类业务学习与培训.
12、触摸屏咨询及大屏幕显示系统:安装在大厅,多个触摸屏咨询系统安放在大厅不同位置,以声,象,图表等多种方式向用户介绍大厦业务及其它信息.
13、人事,财务,情报,设备,资产等事务管理:将工作人员的素质,特长,单位,财务收支情况,文件,合同,通知,新技术,新业务,设备资源及其使用情况统统存入数据库中,以便随时查询,实现事务管理科学化.
14、访问INTERNET网络:INTERNET 正在发展成为把全球联系在一起的信息网络,所以对于用户来说,具有访问INTERNET 的手段就显得十分重要.大楼的智能局域网的主干网具有访问INTERNET 的信息通道,这就为大楼内的用户访问INTERNET提供了条件.
这些业务的实现对通信网络的需求往往不同,已发展成熟的各种网络几乎都是针对特定的网络业务,而目前基于ATM的宽带综合局域网技术日益成熟,使得在局域网内实现相当多的业务的综合传输交换成为可能.
智能建筑中的通信网络通常分为主干网和部门子网.主干网是连接部门子网、数据传输速率较高的网络.部门子网是为完成各个部门特定目的而组建的局域网,它一般多种多样.此外,通信网络还包括以电话通信为主的PBX网络.智能建筑的通信网络应能支持上述的通信业务和大楼管理自动化及办公自动化的要求,并且还要能够适应今后15年通信业务发展的需要.
通常情况下在智能建筑中作主干网的有以下一些网络技术:FDDI、100Base-T、100VG-AnyLAN、ATM等.我们认为,从技术及产品日益成熟和通信网络发展方向来看,使用ATM技术作为主干网是一种优选方案.
作为智能建筑中的部门子网,往往根据部门需求选择多种多样的网络.这可分为普通局域网、高速局域网和PBX网三种.在智能建筑中这三种子网往往共存.
三、 一种智能建筑通信网络系统
图1是一种智能建筑通信网络系统.主干网络是以ATM交换机为中心的ATM网络,有以下特点:(1)这是一种高速率网络,每个端口速率高达25~155Mbps,这种带宽使各个子网之间的通信畅通无阻,而且各个端口专用带宽,使用户的带宽竞争局限在子网范围内,因此,子网数目的增加不会影响已存用户的业务质量.这对智能建筑内通信网络的扩展来说是其它大多数网络技术所不具备的.(20)采用局域网仿真技术使已有的局域网技术可以平滑无缝地接入主干网构成互连网.基于原有局域网的应用可以不加修改地在ATM互连网上运行.(3)ATM网络与传统局域网的无缝连接,进一步减少了网络之间的桥、路由器、网关及HUB等协议转换设备,使网络延伸、网络配置、网络监视变得相当容易,网络得到平整.这一点是其它主干网技术不可比拟的.(4)采用虚拟局域网技术,可以方便地构成虚拟局域网,不同虚拟局域网之间就像通过网桥连接的局域网.而且,网络管理员可以将地域不集中、连接在不同集线器上的同一部门之间的设备构成一个局域网,这样,网段的物理位置不再影响其逻辑子网,它带来的好处是:每个部门可以拥有自己的虚拟局域网,它不受其它部门的网络通信影响;通信网络上任何位置的主机、服务器等从一个虚拟局域网移动到另外一个虚拟局域网不需要任何物理上的变动;同时,物理上变动的网络设备也可以维持在相同的虚拟局域网上不变.这对智能建筑租用用户来说是相当优越的.(5)ATM网络采用永久
虚通路和交换虚通路来管理网络连接,这样网络延伸变得简单,而且永久虚通路的配置可以保证不同业务的带宽要求.交换虚通路的采用可以简化网络管理员的网络设置工作.交换虚通路的标准化使不同厂家的ATM产品的互连变得简单.(6)ATM是B-ISDN的标准转移模式,因此主干网与广域网的连接也可以归结为ATM与ATM的连接,这样智能建筑通信网可以与广域网无缝连接.(7)ATM网络采用分布式网络结构使它作为主干网有很高的稳定性.
智能建筑的核心是系统集成[1],而系统集成的基础则是智能建筑中的通信网络.随着计算机技术和通信技术的发展和信息社会的到来,迫使现代建筑观念不得不更新.在信息化社会中,一个现代化大楼内,除了具有电话、传真、空调、消防与安全监控系统外,各种计算机网络、综合服务数字网等都是不可缺少的.只有具备了这些基础通信设施,新的信息技术,如电子数据交换、电子邮政、会议电视、视频点播、多媒体通信等才有可能进入大楼.使它成为一个名符其实的智能建筑.目前,在多数涉及与智能建
筑有关的事物中,不论是物业主还是参加竞争的设计者,都把重点放在楼宇管理自动化系统和结构化布线系统上,许多所谓的智能建筑,其实就是楼宇自动化系统加上结构化布线和程控交换机,根本就忽略了通信网络的建设.我们认为,在建筑智能化工程中,应该高度重视信息这个要素,而通信网络正是为建筑的各个部分传递信息的道路.随着分布式智能建筑控制系统技术的日益成熟和应用普及,在BAS中控制将进一步分散,在网络中传递的将更多的是管理信息,系统的集成则越显得重要[2],另一方面,目前由于人们信息需求的激增,以及计算机技术带来的多媒体终端等先进的终端技术,一个智能建筑的智能化瓶颈往往在于它的通信网络.可以说,通信网络技术水平的高低制约着智能建筑的智能程度.为此,智能建筑中的通信网络的设计是完成建筑智能化工程的重点所在.本文讨论基于最新网络技术的智能建筑通信网络的设计.
二、智能建筑的通信网络功能
总体上说,智能建筑的通信网络有两个功能,第一是支持各种形式的通信业务;第二是能够集成不同类型的办公自动化系统和楼宇管理自动化系统,形成统一的网络并进行统一的管理.智能建筑中的通信业务主要有下列一些形式:
1、电话:包括内部直拨,通过PBX与楼外公共交换网连接后通话.发展成为以PBX为中心组网形成2B+D话音和信令通道,使电话用户线具有综合功能.
2、传真:包括利用电话线进行楼内传真以及与楼外的传真,还可以通过发展而成的楼内综合业务数字网(ISDN)的用户线进行楼内之间或楼内外的传真.
3、电子邮件、语音邮件、电子信箱、语音信箱:这是通过计算机网络及其交换系统实现点对点(计算机)的文字或语音通信的一种方式.即通过对计算机屏幕的"书写"或直接通过计算机的音响系统实现双方的通信或对话.与之相应的电子信箱、语音信箱则是通过计算机的存贮系统实现"留信"或"留言".
4、可视电话:可视电话是一种小型图像通信终端,利用电话线路同时传递图像与语音信息.这种系统使用简单,无需特殊线路,每秒可传送10帧彩色图像,并且价格相对低廉,同时,还可通过大楼PBX,进入公用电话网.同外部进行通信.
5、可视电话数据系统:可视电话数据系统是利用公用电话线路的会话型图像通信.利用这种通信系统,键入所需信息代码,传送至数据库计算机,主机收到该代码后,即在数据库中查找所需的信息,并将信息回送屏幕显示出来,
6.会议电视:会议电视系统可支持大楼中各单位,各部门之间通信的要求,通过通信手段把相隔两地或几个地点的会议室连接在一起,传递图象和伴音信号,使与会者产生身临其境的感觉.
7、桌面会议系统:将计算机引入图象通信,使得通信各方不仅可以面对面进行交谈,还可以根据要求随时交换资料和文档,真正实现通信的交互性.桌面会议系统设有电子黑板,使会议各方可在同一块电子黑板上完成信息交互,并可对电子黑板随时打印,还可以重播会议片断和收录会议过程.
8,多媒体通信:多媒体通信是通过计算机网络系统实现同时获取,处理,编辑,存储和展示两个以上不同类型信息媒体(包括文字,语音,图形,图象〕的传送,其最重要的基础必需要具备宽带的网络系统.
9、公用数据库系统:与大楼业务有关的资料可通过大楼的数据库查询,也可通过WAN查询,数据类型可以是数据、文字、静、动态图象.
10、资料查询与文档管理系统:楼内各种办公文件的编辑、制作、发送、存贮与检索,并规定不同用户对各类文档的查询权限.
11、学习培训系统:与网络联机的多媒体终端及各种声、象设备,提供各类业务学习与培训.
12、触摸屏咨询及大屏幕显示系统:安装在大厅,多个触摸屏咨询系统安放在大厅不同位置,以声,象,图表等多种方式向用户介绍大厦业务及其它信息.
13、人事,财务,情报,设备,资产等事务管理:将工作人员的素质,特长,单位,财务收支情况,文件,合同,通知,新技术,新业务,设备资源及其使用情况统统存入数据库中,以便随时查询,实现事务管理科学化.
14、访问INTERNET网络:INTERNET正在发展成为把全球联系在一起的信息网络,所以对于用户来说,具有访问INTERNET的手段就显得十分重要.大楼的智能局域网的主干网具有访问INTERNET的信息通道,这就为大楼内的用户访问INTERNET提供了条件.
这些业务的实现对通信网络的需求往往不同,已发展成熟的各种网络几乎都是针对特定的网络业务,而目前基于ATM的宽带综合局域网技术日益成熟,使得在局域网内实现相当多的业务的综合传输交换成为可能.
智能建筑中的通信网络通常分为主干网和部门子网.主干网是连接部门子网、数据传输速率较高的网络.部门子网是为完成各个部门特定目的而组建的局域网,它一般多种多样.此外,通信网络还包括以电话通信为主的PBX网络.智能建筑的通信网络应能支持上述的通信业务和大楼管理自动化及办公自动化的要求,并且还要能够适应今后15年通信业务发展的需要.
通常情况下在智能建筑中作主干网的有以下一些网络技术:FDDI、100Base-T、100VG-AnyLAN、ATM等.我们认为,从技术及产品日益成熟和通信网络发展方向来看,使用ATM技术作为主干网是一种优选方案.
作为智能建筑中的部门子网,往往根据部门需求选择多种多样的网络.这可分为普通局域网、高速局域网和PBX网三种.在智能建筑中这三种子网往往共存.
三、一种智能建筑通信网络系统
图1是一种智能建筑通信网络系统.主干网络是以ATM交换机为中心的ATM网络,有以下特点:(1)这是一种高速率网络,每个端口速率高达25~155Mbps,这种带宽使各个子网之间的通信畅通无阻,而且各个端口专用带宽,使用户的带宽竞争局限在子网范围内,因此,子网数目的增加不会影响已存用户的业务质量.这对智能建筑内通信网络的扩展来说是其它大多数网络技术所不具备的.(20)采用局域网仿真技术使已有的局域网技术可以平滑无缝地接入主干网构成互连网.基于原有局域网的应用可以不加修改地在ATM互连网上运行.(3)ATM网络与传统局域网的无缝连接,进一步减少了网络之间的桥、路由器、网关及HUB等协议转换设备,使网络延伸、网络配置、网络监视变得相当容易,网络得到平整.这一点是其它主干网技术不可比拟的.(4)采用虚拟局域网技术,可以方便地构成虚拟局域网,不同虚拟局域网之间就像通过网桥连接的局域网.而且,网络管理员可以将地域不集中、连接在不同集线器上的同一部门之间的设备构成一个局域网,这样,网段的物理位置不再影响其逻辑子网,它带来的好处是:每个部门可以拥有自己的虚拟局域网,它不受其它部门的网络通信影响;通信网络上任何位置的主机、服务器等从一个虚拟局域网移动到另外一个虚拟局域网不需要任何物理上的变动;同时,物理上变动的网络设备也可以维持在相同的虚拟局域网上不变.这对智能建筑租用用户来说是相当优越的.(5)ATM网络采用永久
虚通路和交换虚通路来管理网络连接,这样网络延伸变得简单,而且永久虚通路的配置可以保证不同业务的带宽要求.交换虚通路的采用可以简化网络管理员的网络设置工作.交换虚通路的标准化使不同厂家的ATM产品的互连变得简单.(6)ATM是B-ISDN的标准转移模式,因此主干网与广域网的连接也可以归结为ATM与ATM的连接,这样智能建筑通信网可以与广域网无缝连接.(7)ATM网络采用分布式网络结构使它作为主干网有很高的稳定性.
图1一种智能建筑通信网络系统
它采用完全连接网状拓扑来避免网络单点失效,它的网络控制分布存在于各个网络节点,端到端多路由连接,网络可以实现自重构,这些使网络能应付各种灾难情况,在智能建筑出现意外时能确保通信网络畅通.(8)ATM是一种开放式网络结构,ITU-T、ATM论坛分别制定了一系列网络技术标准,这些使ATM网络能够兼容连接过去、现在和将来的各种网络.因此,采用ATM作为主干网可以适应将来网络技术的发展,使网络生存周期增长,网络等效性价比增加.
若干个大容量服务器(多媒体服务器)直接接入ATM网络,可满足多客户机与服务器的多媒体通信对网络带宽的要求.部门子网一般设计为交换模块式局域网,最常用的是10Base-T,它不但是物理上的星型连接,而且使用非屏蔽双绞线作为传输媒质,这非常适合智能建筑综合布线的情况.对于多用户部门,可使用多交换模块组成多网段的部门子网.而对于有高速要求的部门来说,则可组建高速局域网,高速局域网有100Base-T和FDDI和ATM工作组网等,根据我们的经验,采用100Base-T和ATM工作组网更好.通过局域网交换机可将所有局域网部门子网接入主干网.如果部门子网的高速用户数量不多,最好将高速宽带终端用户直接接入主干网,通过ATM网络的虚拟局域网功能,将一些高速宽带终端用户与一些部门子网组建成虚拟局域网.PBX网是以电路交换方式交换话音为主的网络.目前配备有N-ISDN功能的PBX交换机综合了电路交换和分组交换方式,可以综合交换话音和数据.在智能建筑中,使用N-ISDNPBX作电话网的交换节点具有明显的优点:可以方便地将远端和孤立的数据终端通过N-ISDN与主干网的网关接入通信网络;可以方便地与公用N-ISDN的连接,实现对广域网的低速访问;2B+D和30B+D的速率接口可以充分满足用户对外部数据资源的访问,实现用户电报、高质传真、高质电话、可视电话等业务;专用线路业务可以满足特殊用户保密要求,以及实现紧急报警等.PBX网络自成一体,又可通过网关与主干网相连.多功能电视会议中心主要包括数字化投影电视和音响系统及同声传译系统,在智能建筑的设计中,通过网络互连技术,将相应的语音和图像信息传送给相关的子网或公共网,实现信息共享,这样可使智能建筑具有更高的品质.楼宇管理自动化系统网络在逻辑上是独立的,中央监控系统监控和管理整个BAS,通过以太网接口,中央监控系统接入主干网络,可向有关终端传送监视和报警信息.通过主干网和PBX网络接入楼外通信系统.
【关键词】通信网络;网络攻击;通信安全
信息安全的内涵,随着计算机网络的发展发生一些变化,从普通的防范到专门领域的防范。在我国政策和法律的基础上,建立完整的网络安全体系有着重要的作用。不仅带来重大的经济价值和社会效应,也能避免安全事故产生的无法估计的损失,推动了信息化与经济的发展。网络安全体系的建立保证通信网络的安全,针对现状进行以下分析并提出一些具体措施。
一、常见的网络攻击方式
1、网络监听攻击
网络监听是一种监视网络状态、数据流以及网上传输信息的管理工具,它可以将网络接口设置在监听模式,并且可以截获网上传输的信息,取得目标主机的超级用户权限。作为一种发展比较成熟的技术,监听在协助网络管理员监测网络传输数据,排除网络故障等方面具有不可替代的作用。然而,网络监听也给网络安全带来了极大的隐患,当信息传播的时候,可以利用工具将网络接口设置在监听的模式,便可截获或者捕获到网络中正在传播的信息,从而进行攻击。网络监听在网络中的任何一个位置模式下都可实施进行,而黑客一般都是利用网络监听来截取用户口令,如当有人占领了一台主机之后, 要想占领这个主机所在的整个局域网的话,监听往往是他们选择的捷径。
2、信息炸弹攻击
信息炸弹攻击又称缓冲区溢出,就是程序对接受的输入数据没有进行有效的检测导致错误,造成程序崩溃或者是执行攻击者的命令。UNIX和Windows及其上的许多应用程序都是用C语言编写的, 而C、C++语言对数组下标访问越界不做检查,是引起缓冲区溢出的根本原因。在某些情况下,如果用户输入的数据长度超过应用程序给定的缓冲区,就会覆盖其他数据区,即缓冲区溢出。
3、木马程序攻击
该攻击是程序员设计一些功能复杂的程序时,将木马程序秘密安装在目标主机当中,开放某个端口,然后就可以远程操作了。特洛伊木马是一种非常危险的恶性程序,它无休止地窃取用户的信息,给用户造成了巨大的损失。完整的木马程序一般由两部分组成,分别是服务器程序和控制器程序。若一台电脑被安装了服务器程序,则拥有控制器程序的人就可以通过网络控制该电脑,这台电脑上的各种文件、程序,以及在电脑上使用的账号、密码就无安全保障了。
4、拒绝服务攻击
拒绝服务攻击(DoS攻击)即攻击者想办法让目标机器停止提供服务或资源访问,这些资源包括磁盘空间、内存、进程甚至网络带宽,从而阻止正常用户的访问。最常见的DoS攻击有包括计算机网络带宽攻击和连通性攻击,其中:①带宽攻击指以极大的通信量冲击网络,使得所有可用网络资源都被消耗殆尽,最终导致合法的用户请求无法通过;②连通性攻击是指用大量的连接请求冲击计算机,使所有可用的操作系统资源都被消耗殆尽,最终使计算机无法处理合法用户的请求。拒绝服务攻击是利用网络协议本身的安全缺陷造成的, 从而成为了攻击者的终极手法。攻击者进行拒绝服务攻击,实际上让服务器实现以下两种效果:①迫使服务器的缓冲区满,不接收新的请求;②使用IP欺骗,迫使服务器把合法用户的连接复位,影响合法用户的连接。
5、邮件服务器攻击
目前互联网上的邮件服务器攻击包括以下两类:①中继利用(Relay),即远程机器通过被攻击服务器来发信,这样任何人都可以利用被攻击的服务器向任何地址发邮件;②垃圾邮件,即人们常说的邮件炸弹。这两种攻击都可能使邮件服务器无法正常工作。
6、DNS服务器攻击
由于DNS服务使用UDP协议,因此对于攻击者而言,更容易把攻击焦点集中在DNS服务上。DNS服务面临的威胁包括以下两种:(1) 缓存区中毒:这种攻击是指黑客在主DNS服务器向辅DNS服务器进行区域传输时插入错误的信息,一旦成功,攻击者可以改变发向合法站点的传输流方向,使它传送到攻击者控制的站点。该攻击通常被用于网络钓鱼犯罪,攻击的目标站点通常为金融机构,用来骗取金融机构客户信息。(2)域劫持:通过利用客户升级自己的域注册信息来使用的不安全机制,攻击者可以接管域注册过程来控制合法的域。
二、通信网络安全维护措施及技术
当前通信网络功能越来越强大,在日常生活中占据了越来越重要的地位,我们必须采用有效的措施,把网络风险降到最低限度。于是,保护通信网络中的硬件、软件及其数据不受偶然或恶意原因而遭到破坏、更改、泄露,保障系统连续可靠地运行,网络服务不中断,就成为通信网络安全的主要内容。
为了实现实现上述的种种安全措施,必须有技术做保证,采用多种安全技术,构筑防御系统,主要有:
防火墙技术。在网络的对外接口采用防火墙技术,在网络层进行访问控制。通过鉴别,限制,更改跨越防火墙的数据流,来实现对网络的安全保护,最大限度地阻止网络中的黑客来访问自己的网络,防止他们随意更改、移动甚至删除网络上的重要信息。防火墙是一种行之有效且应用广泛的网络安全机制,防止Internet上的不安全因素蔓延到局域网内部,所以,防火墙是网络安全的重要一环。
入侵检测技术。防火墙保护内部网络不受外部网络的攻击,但它对内部网络的一些非法活动的监控不够完善,IDS(入侵检测系统)是防火墙的合理补充,它积极主动地提供了对内部攻击、外部攻击和误操作的实时保护,在网络系统受到危害之前拦截和响应入侵,提高了信息安全性。
网络加密技术。加密技术的作用就是防止公用或私有化信息在网络上被拦截和窃取,是网络安全的核心。采用网络加密技术,对公网中传输的IP包进行加密和封装实现数据传输的保密性、完整性,它可解决网络在公网上数据传输的安全性问题也可解决远程用户访问内网的安全问题。
身份认证技术。提供基于身份的认证,在各种认证机制中可选择使用。通过身份认证技术可以保障信息的机密性、完整性、不可否认性及可控性等功能特性。
虚拟专用网(VPN)技术。通过一个公用网(一般是因特网)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。它通过安全的数据通道将远程用户、公司分支机构、公司业务伙伴等跟公司的内网连接起来,构成一个扩展的公司企业网。在该网中的主机将不会觉察到公共网络的存在,仿佛所有的机器都处于一个网络之中。
关键词:通信网络 安全 技术 维护
1 前言
经国务院批准,在信息产业部的指导下,由IEEE主办,中国电子学会、清华大学、中国通信学会和北京邮电大学四家单位共同承办的“2008世界通信大会中国论坛--网络和信息安全分论坛”于2008年5月在北京隆重召开。大会主要研讨国际通信技术和行业领域的热点问题,促进全球学术界和工业界的交流与合作,其中,关于通信网络的安全技术正是其中的一个讨论焦点。
2 通信网络安全的定义及其重要性
从不同角度对网络安全作出不同的解释。一般意义上,网络安全是指信息安全和控制安全两部分。国际标准化组织把信息安全定义为“信息的完整性、可用性、保密性和可靠性”;控制安全则指身份认证、不可否认性、授权和访问控制。
当今社会,通信网络的普及和演进让人们改变了信息沟通的方式,通信网络作为信息传递的一种主要载体,在推进信息化的过程中与多种社会经济生活有着十分紧密的关联。这种关联一方面带来了巨大的社会价值和经济价值,另一方面也意味着巨大的潜在危险。
3 通信网络安全现状
互联网与生俱有的开放性、交互性和分散性特征使人类所憧憬的信息共享、开放、灵活和快速等需求得到满足。网络环境为信息共享、信息交流、信息服务创造了理想空间,网络技术的迅速发展和广泛应用,为人类社会的进步提供了巨大推动力。
计算机系统及网络固有的开放性、易损性等特点使其受攻击不可避免。计算机病毒的层出不穷及其大范围的恶意传播,对当今日愈发展的社会网络通信安全产生威胁。
现在企业单位各部门信息传输的的物理媒介,大部分是依靠普通通信线路来完成的,虽然也有一定的防护措施和技术,但还是容易被窃取。
通信系统大量使用的是商用软件,由于商用软件的源代码,源程序完全或部分公开化,使得这些软件存在安全问题。
4 通信网络安全分析
针对计算机系统及网络固有的开放性等特点,加强网络管理人员的安全观念和技术水平,将固有条件下存在的安全隐患降到最低。
软硬件设施存在安全隐患。为方便管理,部分软硬件系统在设计时留有远程终端的登录控制通道,同时在软件设计时不可避免的也存在着许多不完善的或是未发现的漏洞,加上商用软件源程序完全或部分公开化,使得在使用通信网络的过程中,如果没有必要的安全等级鉴别和防护措施,攻击者可以利用上述软硬件的漏洞直接侵入网络系统,破坏或窃取通信信息。
传输信道上的安全隐患。如果传输信道没有相应的电磁屏蔽措施,那么在信息传输过程中将会向外产生电磁辐射,从而使得某些不法分子可以利用专门设备接收窃取机密信息。
另外,在通信网建设和管理上,目前还普遍存在着计划性差。审批不严格,标准不统一,建设质量低,维护管理差,网络效率不高,人为因素干扰等问题。因此,网络安全性应引起我们的高度重视。
5 通信网络安全维护措施及技术
为实现对非法入侵的监测、防伪、审查和追踪,从通信线路的建立到进行信息传输我们可以运用到以下防卫措施:“身份鉴别”可以通过用户口令和密码等鉴别方式达到网络系统权限分级,权限受限用户在连接过程中就会被终止或是部分访问地址被屏蔽,从而达到网络分级机制的效果;“网络授权”通过向终端发放访问许可证书防止非授权用户访问网络和网络资源;“数据保护”利用数据加密后的数据包发送与访问的指向性,即便被截获也会由于在不同协议层中加入了不同的加密机制,将密码变得几乎不可破解;“收发确认”用发送确认信息的方式表示对发送数据和收方接收数据的承认,以避免不承认发送过的数据和不承认接受过数据等而引起的争执;“保证数据的完整性”,一般是通过数据检查核对的方式达成的,数据检查核对方式通常有两种,一种是边发送接收边核对检查,一种是接收完后进行核对检查;“业务流分析保护”阻止垃圾信息大量出现造成的拥塞,同时也使得恶意的网络终端无法从网络业务流的分析中获得有关用户的信息。
为实现实现上述的种种安全措施,必须有技术做保证,采用多种安全技术,构筑防御系统,主要有:防火墙技术。在网络的对外接口采用防火墙技术,在网络层进行访问控制。通过鉴别,限制,更改跨越防火墙的数据流,来实现对网络的安全保护,最大限度地阻止网络中的黑客来访问自己的网络,防止他们随意更改、移动甚至删除网络上的重要信息。防火墙是一种行之有效且应用广泛的网络安全机制,防止Internet上的不安全因素蔓延到局域网内部,所以,防火墙是网络安全的重要一环。
入侵检测技术。防火墙保护内部网络不受外部网络的攻击,但它对内部网络的一些非法活动的监控不够完善,IDS是防火墙的合理补充,积极主动地提供了对内部攻击、外部攻击和误操作的实时保护,在网络系统受到危害之前拦截和响应入侵,提高了信息安全性。
网络加密技术。加密技术的作用就是防止公用或私有化信息在网络上被拦截和窃取,是网络安全的核心。采用网络加密技术,对公网中传输的IP包进行加密和封装实现数据传输的保密性、完整性,解决网络在公网上数据传输的安全性问题也可解决远程用户访问内网的安全问题。
身份认证技术。提供基于身份的认证,在各种认证机制中可选择使用。通过身份认证技术可以保障信息的机密性、完整性、不可否认性及可控性等功能特性。
虚拟专用网技术。通过一个公用网建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。它通过安全的数据通道将远程用户、公司分支机构、公司业务伙伴等跟公司的内网连接起来,构成一个扩展的公司企业网。在该网中的主机将不会觉察到公共网络的存在,仿佛所有的机器都处于一个网络之中。
漏洞扫描技术。面对网络的复杂性和不断变化的情况,仅依靠网络管理员的技术和经验寻找安全漏洞、做出风险评估,显然是不够的,我们必须通过网络安全扫描工具,利用优化系统配置和打补丁等各种方式最大可能地弥补最新的安全漏洞和消除安全隐患。在要求安全程度不高的情况下,可以利用各种黑客工具,对网络模拟攻击从而暴露出网络的漏洞。
6 结语
目前解决网络安全问题的大部分技术是存在的,但是随着社会的发展,人们对网络功能的要求愈加苛刻,这就决定了通信网络安全维护是一个长远持久的课题。我们必须适应社会,不断提高技术水平,以保证网络安全维护的顺利进行。
参考文献:
[1] 张咏梅.计算机通信网络安全概述.中国科技信息,2006.
[2] 杨华.网络安全技术的研究与应用.计算机与网络,2008.
[3] 冯苗苗.网络安全技术的探讨.科技信息,2008.
[4] 姜滨,于湛.通信网络安全与防护.甘肃科技,2006.
[5] 艾抗,李建华,唐华.网络安全技术及应用.济南职业学院学报,2005.
1.1人机接口软件
采用基于WINDOWS98/NT/2000的窗口技术,提供以下支持功能:(1)可根据所执行的任务,显示相应的网络拓扑;(2)传统的图形化的网络控制和管理显示操作用户界面;(3)具备中文的编辑、输入、输出处理能力;(4)多媒体辅助界面:充分利用多媒体技术,采用声、光、电等多种媒体为网管操作员提供实施控制管理的途径。
1.2管理应用软件
管理应用软件是综合网管功能实现的主体部分,参照电信管理网(TMN)的功能结构,将管理应用软件划分为配置管理、故障管理、性能管理和安全管理四大功能域。
1.3通信处理软件
通信处理软件提供对网管信息互通的支持,完成与子网管理中心及另一套综合网管中心的通信。通信处理软件采用模块化设计,可灵活配置各种通用的SNMP协议机或专用协议机。
1.4管理信息库
管理信息库是综合网管子系统的信息储藏所。在管理信息库中,被管网络和其管理信息用被管对象来表示。管理信息库提供了信息查询、对被管对象的操作、管理事件处理及被管对象间关联的能力。
2人机接口软件设计
2.1人机接口软件概述
人机接口是网管操作员对网络管理应用的“感官”,它给网络操作员的第一印象在很大程度上决定网管操作员对网管系统的评价。同时,它也影响着网管系统的使用方便性和操作的效率。网络管理中心采用Windows98/NT/2000窗口技术。提供以下支持功能:传统的图形化的网络管理、显示和操作用户界面。如提供传统的下拉式菜单、各种曲线、图片、表格、文字以及图形地图,以提供操作人员直观实时地操作网络和管理目标的信息。用位图、图标、颜色、图象生动形象地表示网络的运行状态。窗口系统还提供背景地图和用户拓扑网络的制作工具,可以使用BMP位图或矢量方式图形作为地图背景:(1)具备中文的编辑、输入、输出处理能力;(2)多媒体辅助界面:突破传统的以图形、文本为主要显示的界面设计,充分利用多媒体技术,采用声、光、电等多种媒体(需要多媒体的数据库支持)通过可视化技术以图形、图象、文本、声音、动画等多种方式为网管操作员提供实施控制管理的途径。
2.2人机接口软件(HMIS)设计
HMIS完成的主要功能:综合网管子系统两套设备在功能上具有兼容性,在设计上软件采用模块化结构。HMIS主要完成各类网络状态信息的显示功能。同时为网管操作员提供有效的控制手段,主要包括以下几个方面:(1)显示网络的运行状态、性能指标;(2)按照所配置的预案显示当前任务的网络拓扑;(3)在任务执行区域地图上可分层显示各通信子网网络配置以及相互网络叠加情况;(4)可显示各通信节点、通信车内通信设备配置及连接关系图;(5)显示网络的故障告警;(6)显示网络性能、资源利用等各种形式的统计图和分析报表;(7)显示网管的自身状态信息;(8)为网管操作员提供参与控制的各类人机界面。由上述可知,HMIS的显示形式包括文本、表格、图表等多种形式,显示信息包括配置信息、安全信息、性能信息和故障信息等,控制界面上包括操作员对网络的重配置,安全信息产生等。因此,如何有效地、及时地显示不同的信息是HMIS的关键。
3管理应用软件设计
综合网管子系统从功能角度来规划管理应用软件的模块集,这种规划采用统一的设计结构,即将相同的管理功能软件依据网管的管辖对象、管辖范围的不同,将不同的子功能模块装配形成网管中心的管理应用软件。这样可确保网管功能上的有效性、一致性、连续性和可移植性。管理应用软件参照ISO标准,划分为配置管理模块、故障管理模块、性能管理模块和安全管理模块。配置管理模块主要负责监控所辖范围内的所有专业网管及其被管对象,使网管操作员可以查询和修改硬件/软件的运行参数,以保持网络的正常操作。配置管理通过修改专业网管及其被管对象的存在性、属性、状态和关系来控制被管对象。配置管理模块主要完成的功能有:(1)定义网络和网元;(2)收集、整理当前网络状态信息;(3)获取网络重大变化的信息;(4)识别网络拓扑;(5)绘制网络拓扑图;(6)建立和维护配置数据库;(7)设定和调整网络和网元配置参数。从实现以上功能的角度出发,将配置管理分为四个子模块:(1)状态监视:连续在线地监视网络的变化,并能够将被管对象状态数据存入配置数据库。(2)状态控制:设置被管对象状态变化汇报门限,及时报告网络的被管对象状态的变化,并通过GUI及时通知操作员。(3)命令:将网络操作员或其它管理应用程序发出的各种状态控制命令转换成具体的代码,以实现控制过程。(4)配置控制:支持网络管理员对被管对象的定义、参数的设置、被管对象名字的管理、整个网络的状态控制和控制序列的定义以及生成管理对象、管理报表。
4管理信息库(MIB)设计
管理信息库应具备一个可扩充的数据库和整套相关的操作工具,它一般包括三个部分。
4.1管理信息库的构造服务
提供将应用中受管资源表示成被管对象的定义手段,数据库管理系统均提供实现这一服务的技术途径。
4.2管理信息库的访问服务
提供访问管理信息库中受管对象信息的编程接口。用户对管理信息库的访问可能涉及管理信息库用户与管理信息库服务器间建立连接,用户发出询问请求并接收响应。
4.3管理信息库的支持服务
提供管理信息库的永久存储资源的管理。提供这种长期存储能力的方法目前主要采用基于结构化询问语言(SQL)的关系数据库管理系统。
5结束语
关键词:网络管理 拓扑结构 网络故障 诊断
1.网络管理的分类
网络管理的目的,就是使网络高效、正确地运行,其目的就是使网络中的资源得到更加有效的利用,当网络出现故障时能及时报告和处理,并协调、保持网络系统的高效运行。
网络管理技术是伴随着计算机、网络和通信技术的发展而发展的。从网络管理的范畴可分为网“路”的管理、接入设备的管理和行为的管理。对网“路”的管理,即针对交换机、路由器等主干网络进行管理;对接入设备的管理,即对内部PC、服务器、交换机等进行管理;对行为的管理,即针对用户的使用进行管理;对资产的管理,即统计IT软硬件的信息等。
2.网络构建策略的选择和优化
2.1 网络拓扑图的选择策略
在计算机网络中,把计算机、终端、通信处理机等设备抽象成点,把连接这些设备的通信线路抽象成线,并将由这些点和线所构成的拓扑,称为网络拓扑结构。网络拓扑结构反映出网络的结构关系,它对于网络的性能、可靠性以及建设管理成本等都有着重要的影响。因此,在网络构建时,网络拓扑结构往往是首先要考虑的因素之一。
局域网在传输介质的物理连接方式、介质访问控制方法上形成了自己的特点,在网络拓扑上主要有以下几种结构,其中最常用的网络拓扑是总线型拓扑(Bus Topology)、星状拓扑(Star-Topology)和环状拓扑(Ring Topology)和树形拓扑(Tree Topology)。但是针对不同情况要选择不同的网络拓扑结构。比如说对于站点不多(10个站点以下)的网络或各个站点相距不是很远的网络,采用总线型拓扑还是比较适合的;网络中智能集中于中央结点的场合采用星状拓扑更适合;宽带高速网络的结构多采用环状拓扑等。
2.2 网络设备互为备份策略
选择组网时,一定要注意网络设备互为备份的原则,这种设计原则常常应用于实际的工作工程中,此处以交换机为例。比如说一个简单的网络主要用树形工作,正常工作时只有一条环链路通信,当此工作环的某一点发生故障时,采用手动或自动把改点所在的通信连路切换到与该点对应的备用链路上。这就是网络设备互为备份的一种体现以及所带来的通信质量安全的保障性能。
2.3 网络设备的选择
局域网是由各种节点组成,因此,在确定组网策略后,要针对构建网络的相关需求,来选择相关的网络硬件设备,以期达到更高的性价比。例如,在构建一个网络之前,实现网络交换功能的交换机可以选择两层或者三层,如果网络的吞吐量不大,选择二层交换机即能满足网络建设需求,也能节省资金,从而达到最佳的性价比。
3.网络管理中的相关软件管理
3.1 计费管理
计费管理记录网络资源的使用,目的是控制和监测网络操作的费用及代价。对一些公共商业网络尤为重要。它可以估算出用户使用网络资源,可能需要的费用和代价以及已经使用的资源。网络管理员还可规定用户可使用的最大费用,从而控制用户过多占用和使用网络资源,这也从另一方面提高了网络的效率。另外,当用户为了一个通信目的需要使用多个网络中的资源时,计费管理应可计算总计费用。
3.2 选用正确的网络配置
网络配置管理很重要,它初始化网络、并配置网络,以使其提供网络服务。配置管理是一组对辨别、定义、控制和监视组成一个通信网络的对象所必要的相关功能,目的是为了实现某个特定功能或使网络性能达到最优。
(1)配置信息的自动获取。在一个大型网络中,需要管理的设备是比较多的,如果每个设备的配置信息都完全依靠管理人员的手工输入,工作量是相当大的,而且还存在出错的可能性。对于不熟悉网络结构的人员来说,这项工作甚至无法完成。因此,一个先进的网络管理系统应该具有配置信息自动获取功能。即使在管理人员不是很熟悉网络结构和配置状况的情况下,也能通过有关的技术手段来完成对网络的配置和管理。在网络设备的配置信息中,根据获取手段大致可以分为三类:一类是网络管理协议标准的MIB中定义的配置信息(包括SNMP和CMIP协议);二类是不在网络管理协议标准中有定义,但是对设备运行比较重要的配置信息;三类就是用于管理的一些辅助信息。
(2)自动配置、自动备份及相关技术。配置信息自动获取功能相当于从网络设备中“读”信息,在网络管理应用中还有大量“写”信息的需求。根据设置手段对网络配置信息进行分类:一类是可以通过网络管理协议标准中定义的方法进行设置的配置信息;二类是可以通过自动登录到设备进行配置的信息;三类就是需要修改的管理性配置信息。
(3)配置一致性检查:在一个大型网络中,由于网络设备众多,而且由于管理的原因,这些设备很可能不是由同一个管理人员进行配置的。实际上即使是同一个管理员对设备进行的配置,也会由于各种原因导致配置不一致的问题。因此,对整个网络的配置情况进行一致性检查是必需的。在网络的配置中,对网络正常运行影响最大的主要是路由器端口配置和路由信息配置,因此,要进行一致性检查的也主要是这两类信息。
(4)用户操作记录功能。配置系统的安全性是整个网络管理系统安全的核心。因此,在配置管理中,必须对用户进行的每一配置操作进行记录,并保存下来。管理人员可以随时查看特定用户在特定时间内进行的特定配置操作。
3.3 网络的日常管理
网络发展到一定阶段,必然要考虑到网络性能、网络故障与网络安全性问题。只有通过运用网络分析技术对网络流通数据的清晰认识,才能为故障的排查、性能的提升以及网络安全的解决,提供可靠的数据依据。
(1)网络数据信息收集。要很好的管理网络的性能,就要紧密结合平时的网络监控与长期的资料。主要通过各种网管软件与硬件,经常性的监控流量,使流量分布高峰与低峰时间及负载量、侦测网络瓶颈点、各网络应用程序占用流量比例、网络区段的错误率与可靠度等,将收集的资料及各种数据进行统计与分析,及时做成各种数据库,并做出图表,以备出现问题时作为诊断判定的依据。这对于解决突况、对未来的网络规划与资源配置是十分有利的。分析完数据后,根据需求重新分配资源或作为下次网络规划的参考,同时要制定适当的管理规则,既要满足用户的连接速度要求,又不至于浪费带宽。
(2)网路故障的排除。将网络管理好,通常是一个网络运行生存的必要条件,而在网络的运行过程中,网络故障的及时排除显得尤为重要。
网络故障产生的原因是多方面的,如何去诊断、排除这些问题呢?举个简单的例子,有时在网页浏览器工作不正常时,人们常常要浪费很多时间去解决问题,结果却发现是计算机与网络未正确连接!一般来讲,应从最基本的问题考虑,网络的OIS模拟共分为七层,可以逐层分析一下,虽然比较麻烦,但要想真正地洞悉网络的故障并在有效时间内排除,这是初期的一个好办法。首先,应该考虑的是物理层的故障,在这一层可导致故障的原因有:揽线过长或过短、终端阻断器、网上故障、中继器故障、设备不兼容等等因素。这些故障的解决要在工程的初期就考虑到。而揽线长短的这些人为因素所造成的故障,完全可以通过适当的技术培训得到改善,如果连线时对环境能做到按规定章程处理,各个干扰就可避免。在其他层出现的问题也很多,例如,在数据链路层中出现的故障,最好的解决方法是使用好的交换机和网卡,好的交换机可以有效的缓解宽带使用率过高的问题;好的网卡不但可以降低延迟时间,也可以避免一些不良问题,如网络层中常发生未启动路由协议、用错路由协议和写错IP等这样的一些错误,所以在设置路由器的路由协议或是进行微调时,应加强设置调配记录,以备将来的管理中参考和修复。
还有其它故障,如电压的剧增、剧减、尖峰脉冲和振荡等等典型的电压干扰。解决电压剧增和尖峰脉冲问题的常用方式,是使用稳压器。稳压器通常安装在网络设备连接的墙面电源插座,稳压器内的线路可以防止网络设备遭电压剧增和尖峰脉冲损坏。虽然稳压器可以解决电压剧增和尖峰脉冲引起的问题,但它们不能防止电压剧减和部分停电的发生。因此,为了避免AC电源剧减毁坏计算机的现象,要在所有的网络上加装不间断电源供应系统,即使用“不间断电源供应系统”,这在实际的工程设计中是必须要考虑的。
(3)网络安全控制。网络安全控制的首要任务,是管理用户注册和访问权限。在局域网上,网络操作系统一般都提供用户管理和权限分配的工具。对于局域网内部用户,利用这些工具可以检查和设置用户信息、进行账号限制,例如改变账号密码、设置组、确定组中的账号、修改组或账号的权限、设定账号有效时间等。定时对网络当前访问情况进行检查并做好记录,及时发现异常情况。另外,管理局域网外部权限和连接也很重要,一般局域网外部用户可能会访问该局域网,如查看已有文件、传递他们的文件或使用其他网络资源。因此,对这些用户也需要建立账号,但应根据其使用网络的目的详细控制其访问权限,然后定期检查哪些用户最近没有注册,对一些不再需要的账号及时注销。
关键词:计算机网络通信;计算机;计算机网络通信系统
1 计算机网络通信的概况
计算机网络通信,也就是用计算机作为信息的接收终端,把网络技术用作载体的一种通信方式。保证计算机网络通信正常运行的前提是进行网络建设,网络建设对推动计算机的普及应用有现实性意义作用,同时也是实现社会经济发展的措施之一。目前提到的计算机通信涉及两个大领域,分别是指卫星通信以及光纤通信。目前我国的计算机网络通信以光纤通信为主的,光纤技术的使用能使多台计算机进行资源共享以及交流信息。目前,随着科学技术的高速发展,光纤网络的技术也越来越趋向成熟了,它的优点是可靠性很强,传输速率非常高,达100Mbps。与光纤通信不同的是,卫星通信主要使用于军事、遥感、军事以及偏远地区,比光纤通信更加的先进,总之,卫星通信和光纤通信,都能够服务人们不同的需求。
2 计算网络通信存在的隐患
2.1 网络硬件配置不合理
文件服务器是网络的中枢,其运行的稳定性和功能的完善性对网络系统的质量和网络的可靠性、扩充性以及升级换代受设计和选型有直接影响,如果网络应用的需求得不到人们足够的重视,造成的后果就是对网络功能发挥有限制。另外,网卡选配不当或者安全策略漏洞也有可能引起网络不稳定。
2.2 来自内部网络通信安全一些危险的因素
某些计算机网络通信的管理制度不完善,应用服务系统在安全通信和访问控制方面考虑不够全面。若系统设置错误的话,就会造成一定得损失。当然,破坏网络安全的因素还可以是拥有相应权限的网络管理员和网络用户。
2.3 病毒的入侵
病毒也就是指编制者在计算机程序中插入的破坏计算机功能或数据的一组计算机指令或程序代码,他们能够能够自我复制,并且影响计算机硬件和软件的正常运行。
数据安全的重大安全威胁就是计算机的病毒,病毒是一种具有破坏性的计算机程序。病毒可以对任意文件进行拷贝和删除,而且病毒的繁殖力很强大。
2.4 计算机网络通信的电磁屏蔽会威胁信息的安全
专门设备可能会接收到缺少相应电磁屏蔽的网络通信产生的电磁辐射。
3 促进计算机网络通信发展的方法
首先,对于网络通信方面存在的问题用户可以通过服务器控制台,然后对系统模块进行加载和卸载,来促进计算机网络通信的发展。对于软件可以进行安装和删除,在网络服务器方面,可以通过设置口令,再利用服务器控制来进行锁定,对于网络信息方面,系统可以利用一些诸如限制服务器登录的方法,这样以来就多一层安全防范。其次,更要重视主机的安全。主要表现在网络节点计算机的安全。其中包括了对补丁的升级、修复漏洞以及更新防火墙等。最后,要重视防火墙。防火墙能够扫描和防范网络信息,能够保障网络通信的安全。
4 计算机网络通信未来的发展
4.1 向智能化和高性能方向发展
首先,智能化要求计算机网络通信能够向用户提供更加方便和友好的、智能的应用接口,在面对路由的选择和拥塞的控制以及网络的管理等问题时,能够具有更强的主动性。特别是对主动网络的研究上,使得网络内执行的计算能动态地变成应用指定”或者“用户指定”。其次,计算机网络通信未来将能够向用户提供更加高性能、高品质的网络服务。表现在高速地传输、高效的协议处理等。具有高性能的计算机网络,可以支持大量的、各种类型的用户应用。还有可以缩放的功能,即使用户数目增长了,网络的性能也不会降低。
4.2 向多重网络整合发展
多重网络通信整合发展必须是以光纤通信作为载体,网络硬件向无线网络通信发展为主的多网络整合发展。目前,计算机网络通信已经出现了“三网融合”的发展思路。“三网融合”也就是将计算机通信网、广播电视网以及电信网三网实现相互兼容和渗透,结果是将其整合发展成为一种全球统一的信息通信网络。“三网融合”是一个具有实用广、维护方便、运行费用低等多种优点的高速带宽的多媒体技术平台。它的优点还包括预防一些低水平的网络通信设施遭到重复的建设,造成资源的浪费,能够减少维护费用,实现网络资源信息共享的最终目标。如今,随着信息技术的迅猛发展,计算机网络通信的未来的发展理念将会得到更进一步深化。相信这些经过深化的发展理念将会打破计算机网络通信的框架和界限,突破网络通信单一的计算机终端设计,最终实现多渠道的介入和网络共享。
5 结语
计算机网络通信技术目前已经能够广泛的用于现代人们的生活之中,计算机网络技术以及通信技术的融合与发展给大家的工作生活也带来了很多的便利,相信随着计算机网络通信技术的进一步完善和发展会更好地服务于社会。
[参考文献]
[1]杨家兴.新时期计算机网络通信现状及发展趋势研究[J].信息安全与技术,2013(3).
关键词:计算机;智能管理;措施
中图分类号: 文献标识码:A文章编号:1007-9599(2012)05-0000-02
计算机网络智能的故障,主要分为三大类,本文对其进行分析,为排除这些故障提供了科学的依据,有利于计算机智能管理中对硬件和软件处理,如何解决好网络故障的计算机智能管理与处理措施本文就这个话题进行了阐述,更有利于计算机智能化的发展,为计算机智能化管理提供了有利的措施。计算机智能化管理系统的研究开发将对国防、经济、教育、文化等各方面产生深远影响。
一、计算机网络智能的故障
(一)逻辑类故障
逻辑类故障主要有路由器逻辑故障和主机逻辑故障。逻辑故障是通过熟悉数据底层结构的工程师进行逻辑分析,并以一定的软件辅助进行数据修复的,整个过程并不涉及介质的维修或更换配件。而由于软故障导致数据丢失的原因往往是误格式化、误分区、误克隆、误删除、病毒感染、黑客入侵、操作断电等。主机逻辑故障是关于网卡驱动设施的装置没有合理安装,会出现网卡无法被驱动,不能进行工作的状态,其次是对主机网址参数设置错误,IP地址的主机配置不能满足网路的需求,在一定的范围内无法联网。
(二)网络设备故障
网络设备故障主要是交换机发生故障以及服务器系统等发生异常的现象。计算机在正常工作的状态下,会发生软件崩溃的现象,计算机停止工作。另外,网络的外部设备故障也时常发生,它间接的影响着网络系统的运行。显示器的散热问题,无时无刻地制约着计算机的启动情况,没有及时的通风和散热,会将显示主板烧坏了,有时候也会因为显示器没有合理的保管,潮湿的环境中,显示器就会受损。鼠标和键盘问题是使用者没有合理的保管造成的,ups故障会给计算机带来的问题是不能满足计算机的供电,电压会及其不稳定。
(三)物理类故障
物理类故障主要是指计算机网络智能中存在的物理类状况。物理类故障主要有四种:线路故障、端口故障、集线器或路由器故障、主机物理故障等。针对不同的物理故障,我们开始进行不同的判断,线路故障是发生率最高的障碍之一,特别是线路的损害,不利于计算机智能的各个零件的正常运转,如果线路短路,可能是网线的质量常年在外受到风吹日晒,造成网线破损,应该及时进行排查工作,这样才能更有利于线路完好。有些过长的线路往往会发生中断现象,只有及时的检查才能得到发现,而且在线路障碍中也存在着电磁干扰,影响着计算机智能管理的正常工作;端口故障主要是插座、插头的松动状况居多,它会制约着计算机的网络信号,最终会导致信号灯不亮,使其他的端口无法正常连接;集线器故障会使绿的信号灯熄灭,不能正常通信,中断通信网络;主机物理故障最明显的是网卡插槽不牢靠,松动的卡座,会使计算机在运行中突然停止,计算机自动关闭是司空见惯的事实。
二、处理计算机智能故障的措施
(一)病毒的预防
病毒的预防是处理计算机智能故障的一个程序,一段可执行码。就像生物病毒一样,计算机智能病毒有独特的复制能力。计算机智能病毒可以很快地蔓延,又常常难以根除。它们能把自身附着在各种类型的文上。当文件被复制或从一个用户传送到另一个用户时,它们就随同文件一起蔓延开来。除复制能力外,某些计算机病毒还有其它一些共同特性:一个被污染的程序能够传送病毒载体。当你看到病毒载体似乎仅仅表现在文字和图象上时,它们可能也已毁坏了文件、再格式化了你的硬盘驱动或引发了其它类型的灾害。若是病毒并不寄生于一个污染程序,它仍然能通过占据存贮空间给你带来麻烦,并降低你的计算机智能的全部性能。做好病毒预防工作:首先,不要使用来路不明的磁盘或使用前。应先检查有无病毒并及时查杀。其次,不要打开来路不明的电子邮件。第三,不要登录非法,不良网站。第四,安装杀毒软件,并及时更新病毒库,随时监测,经常查杀病毒,及恶意插件等。第五、在做计算机维护的时候,值得强调的是,在任何时候都应将网络安全教育放在整个安全体系的首位,努力提高所有网络用户的安全意识和基本维护技术。这对提高整个网络的安全和整个网络正常运行有着十分重要的意义。
(二)加强计算机智能权限
处理计算机智能故障就必须加强计算机智能权限。服务器的管理由网络管理员和服务器管理人员共同负责,根据服务器的用途及相关用户的工作职责及权限制定相应的安全策略,严格控制普通用户对服务器的透明操作。路由器、局域网交换机、防火墙的管理只能由网络管理员和经授权的人员进行,严禁其他人员进行。统计信息网络和国家公众互联网的访问管理由网络管理员根据相关文件制定相应的策略。严禁下载无用文件,以防感染病毒。网络加密常用的方法有链路加密、端点加密和节点加密三种。链路加密的目的是保护网络节点之间的链路信息安全;端点加密的目的是对源端用户到目的端用户的数据提供保护;节点加密的目的是对源节点到目的节点之间的传输链路提供保护。用户可根据网络情况酌情选择上述加密方式。信息加密过程它以很小的代价提供很大的安全保护,在多数情况下,信息加密是保证信息机密性的唯一方法。
(三)提高计算机智能系统安全运行
处理计算机智能故障的主要措施是提高计算机智能系统安全运行,它的任务是保证网络资源不被非法用户使用和访问,是网络智能系统安全最重要的核心策略之一。网络管理员应该可以控制和限制普通用户的账号使用、访问网络的时间、方式。用户名或用户账号是所有计算机系统中最基本的安全形式,用户账号应只有系统管理员才能建立。用户口令应是用户访问网络所必须提交的“证件”、用户可以修改自己的口令,但系统管理员应该可以控制口令的以下几个方面的限制:最小口令长度、强制修改口令的时间间隔、口令的唯一性、口令过期失效后允许入网的宽限次数。
(四)人工神经网系统运行
人工神经网系统运行可以有效地排除网络故障,构造智能机的另一途径根源于人工神经网系统的研究成果,在医保运行中,它的抵抗风险能力特别弱,人工神经网系统可以对其进行大规模并行、分布式的表示与处理、非线性的动力学系统行为、加强医保运行系统的训练与学习以及模拟量的处理等等。尽管目前提出的人工神经网模型及已研制的各种人工神经网系统与人脑的神经网结构相距甚远,但这种以整体的统计行为取代逻辑推理,对解决医保运行危险来说,已经有了很大的进步。
(五)加强智力化网络处理
加强智力化网络处理是解决网络故障有效方式。错综复杂的人类社会是由许多个人和不同层次的团体组成。与此类似,智能行为也可看成是许多在不同层次上的相互影响的并行操作的进程。层次越低,其智力越差,最底层的处理应是非智能的行为。建立一支过硬的智能化系统管理队伍。智能建筑建成后,一般都是移交给物业管理部门进行管理,传统的物业管理已不能满足现代智能建筑建设的需要,智能化系统涉及多种技术、多门学科,需要各类专业技术人员,因此需要建立一支高素质的智能化系统管理伍。这支队伍应了解系统的工作原理、设备分布,掌握系统的操作方法和一般故障排除。
(六)处理计算机智能日常故障
加强计算机日常使用,是有效处理网络障碍的策略之一。定期检查运行中的计算机软件的完整、可靠性,以保证软件正常工作。蓝屏死机为何故,死机使令操作者颇为烦恼的事情,常常使劳动成果付之东流。死机使的表现多为蓝屏,无法启动系统,画面“定格”吴反映,鼠标、键盘无法输入,软件运行非正常中断等。近管造成死机的原因是多方面的,但是万变不离其宗,其原因永远也离不了硬件与软件两方面。应该及时关闭暂时不用的程序,一些程序及时过后要用,也可先关闭以节省资源。打开“开始”菜单中的“程序\附件\系统工具\资源状况”,就会在系统托盘区出现资源状况图标。右键单击该图标,选择“详细资料”一栏,就能看到系统当前各项资源占用情况,及时拆下新安装的硬件设备,例如:RAM、适配卡、硬盘、调制解调器等等。
三、计算机智能管理的意义
计算机智能化管理是21世纪信息产业的重要发展方向。发展智能计算机管理将加速以信息产业为标志的新的工业革命。智能计算机管理的应用将放大人的智力,减少对自然资源的利用。它只需要极少的能量和材料,其价值主要在于知识。另一方面,研制智能计算机可以帮助人们更深入地理解人类自己的智能,最终揭示智能的本质与奥秘。计算机智能化管理在辅助决策、故障诊断、产品设计、教育咨询等方面广泛应用。文字、语音、图形图像的识别与理解以及机器翻译等领域也取得了重大进展。
结束语:
本文主要围绕网络故障的计算机智能管理与处理措施进行说明,就其解决计算机网络故障的措施进行了重点的阐述,进一步地加强了人们对计算机智能管理的认识,不断提高人们对计算机智能管理的能力,主要采取了病毒的预防 、加强计算机网络权限管理、提高计算机网络系统安全运行、应用人工神经网络、层次化的智力管理模型、加强计算机日常使用管理等五个方面,促进计算机智能管理的健康发展。
参考文献:
[1]陈树勇,宋书芳,李兰欣.智能电网技术综述[J].国家电网,2008,(2):55-57
[2]谢开,刘永奇,朱治中.面向未来的智能电网[J].中国电力,2008,41(6):19-22
[3]王品.浅析计算机网络故障及维护[J].信息与电脑,2009,11
[4]王巍.浅析计算机网络故障诊断及排除[J].福建电脑,2010,2
[5]刘明忠.计算机网络故障的解决措施[J].企业技术开发,2010,29(6)
[6]赵迅.计算机网络故障的解决措施分析[J].科技创新导报,2010,02
论文摘要:当前计算机网络的发展特点规模不断夸大,复杂性不断增加,异构性越来越高。如果不能高效的对网络系统进行管理,就很难保证提供一个令人满意的服务。网络管理是网络发展中一个很重要的内容,其重要性已在各个方面得到体现。首先是对网络管理就发展现状、网络协议等方面进行简单介绍,后又浅述了目前常见的两种网络管理模式、存在问题及前景发展趋势。
1网络管理技术概述
1.1网络管理技术的发展
追溯网络管理的历史,已经相当久远,自从有了电话交换网,就有了对通信网络的管理,只不过与现在相比,当时网络设备的种类不多,而且网络管理技术自动化程度不高。计算机网络管理技术的发展是与Internet发展同步的,从20世纪80年代开始,随着一系列网络管理标准的出台,出现了大量的商用网络管理系统,但各种网络系统在结构上存在着或大或小的差异,至今还没有一个大家都能接受的标准。当前,网络管理技术主要有以下三种:诞生于Internte家族的SNMP是专门用于对Internet进行管理的,虽然它有简单适用等特点,已成为当前网络界的实际标准,但由于Internet本身发展的不规范性,使SNMP有先天性的不足,难以用于复杂的网络管理,只适用于TCP/IP网络,在安全方面也有欠缺。已有SNMPv1和SNMPv2两种版本,其中SNMPv2主要在安全方面有所补充。随着新的网络技术及系统的研究与出现,电信网、有线网、宽带网等的融合,使原来的SNMP已不能满足新的网络技术的要求;CMIP可对一个完整的网络管理方案提供全面支持,在技术和标准上比较成熟.最大的优势在于,协议中的变量并不仅仅是与终端相关的一些信息,而且可以被用于完成某些任务,但正由于它是针对SNMP的不足而设计的,因此过于复杂,实施费用过高,还不能被广泛接受;分布对象网络管理技术是将CORBA技术应用于网络管理而产生的,主要采用了分布对象技术将所有的管理应用和被管元素都看作分布对象,这些分布对象之间的交互就构成了网络管理.此方法最大的特点是屏蔽了编程语言、网络协议和操作系统的差异,提供了多种透明性,因此适应面广,开发容易,应用前景广阔.SNMP和CMIP这两种协议由于各自有其拥护者,因而在很长一段时期内不会出现相互替代的情况,而如果由完全基于CORBA的系统来取代,所需要的时间、资金以及人力资源等都过于庞大,也是不能接受的.所以,CORBA,SNMP,CMIP相结合成为基于CORBA的网络管理系统是当前研究的主要方向。
1.2网络管理协议
网络管理协议一般为应用层级协议,它定义了网络管理信息的类别及其相应的确切格式,并且提供了网络管理站和网络管理节点间进行通讯的标准或规则。
网络管理系统通常由管理者(Manager)和( Agent)组成,管理者从各那儿采集管理信息,进行加工处理,从而提供相应的网络管理功能,达到对管理之目的。即管理者与之间孺要利用网络实现管理信息交换,以完成各种管理功能,交换管理信息必须遵循统一的通信规约,我们称这个通信规约为网络管理协议。
目前有两大网管协议,一个是由IETF提出来的简单网络管理协议SNMP,它是基于TCP / IP和Internet的。因为TCP/IP协议是当今网络互连的工业标准,得到了众多厂商的支持,因此SNMP是一个既成事实的网络管理标准协议。SNMP的特点主要是采用轮询监控,管理者按一定时间间隔向者请求管理信息,根据管理信息判断是否有异常事件发生。轮询监控的主要优点是对的要求不高;缺点是在广域网的情形下,轮询不仅带来较大的通信开销,而且轮询所获得的结果无法反映最新的状态。
另一个是ISO定义的公共管理信息协议CMIP。CMIP是以OSI的七层协议栈作为基础的,它可以对开放系统互连环境下的所有网络资源进行监测和控制,被认为是未来网络管理的标准协议。CMIP的特点是采用委托监控,当对网络进行监控时,管理者只需向发出一个监控请求,会自动监视指定的管理对象,并且只是在异常事件(如设备、线路故障)发生时才向管理者发出告警,而且给出一段较完整的故障报告,包括故障现象、故障原因。委托监控的主要优点是网络管理通信的开销小、反应及时,缺点是对的软硬件资源要求高,要求被管站上开发许多相应的程序,因此短期内尚不能得到广泛的支持。
1.3网络管理系统的组成
网络管理的需求决定了网管系统的组成和规模,任何网管系统无论其规模大小如何,基本上都是由支持网管协议的网管软件平台、网管支撑软件、网管工作平台和支撑网管协议的网络设备组成。
网管软件平台提供网络系统的配置、故障、性能以及网络用户分布方面的基本管理。目前大多数网管软件平台都是在UNIX和DOS/WINDOWS平台上实现的。目前公认的三大网管软件平台是:HP View、IBM Netview和SUN Netmanager。虽然它们的产品形态有不同的操作系统的版本,但都遵循SNMP协议和提供类似的网管功能。
不过,尽管上述网管软件平台具有类似的网管功能,但是它们在网管支撑软件的支持、系统的可靠性、用户界面、操作功能、管理方式和应用程序接口,以及数据库的支持等方面都存在差别。可能在其它操作系统之上实现的Netview、Openview、Netmanager网管软件平台版本仅是标准Netview、Openview、Netmanager的子集。例如,在MS Windows操作系统上实现的Netview 网管软件平台版本Netview for Windows 便仅仅只是Netview的子集。
网管支撑软件是运行于网管软件平台之上的,支持面向特定网络功能、网络设备和操作系统管理的支撑软件系统。
网络设备生产厂商往往为其生产的网络设备开发专门的网络管理软件。这类软件建立在网络管理平台之上,针对特定的网络管理设备,通过应用程序接口与平台交互,并利用平台提供的数据库和资源,实现对网络设备的管理,比如Cisco Works就是这种类型的网络管理软件,它可建立在HP Open View和IBM Netview等管理平台之上,管理广域互联网络中的Cisco路由器及其它设备。通过它,可以实现对Cisco的各种网络互联设备(如路由器、交换机、集线器等)进行复杂网络管理。
1.4网络管理的体系结构
网络管理系统的体系结构(通常简称网络拓扑结构)是决定网络管理性能的重要因素之一。通常可以把其分为集中式和非集中式两类体系结构。
目前,集中式网管体系结构通常采用以平台为中心的工作模式,该工作模式把单一的管理者分成两部分:管理平台和管理应用。管理平台主要关心收集的信息并进行简单的计算,而管理应用则利用管理平台提供的信息进行决策和执行更高级的功能。
非集中方式的网络管理体系结构包括层次方式和分布式。层次方式采用管理者的管理者MOM(Manager of manager)的概念,以域为单位,每个域有一个管理者,它们之间的通讯通过上层的MOM,而不直接通讯。层次方式相对来说具有一定的伸缩性:通过增加一级MOM,层次可进一步加深。分布式是端对端(peer to peer)的体系结构,整个系统有多个管理方,几个对等的管理者同时运行于网络中,每个管理者负责管理系统中一个特定部分“域”,管理者之间可以相互通讯或通过高级管理者进行协调。
对于选择集中式还是非集中式,这要根据实际场合的需要来决定。而介于两者之间的部分分布式网管体系结构,则是近期发展起来的兼顾两者优点的一种新型网管体系结构。
2网络管理技术的种类
2.1分布对象网络管理技术
目前广泛采用的网络管理系统模式是一种基于Client/Server技术的集中式平台模式。由于组织结构简单,自应用以来,已经得到广泛推广,但同时也存在着许多缺陷:一个或几个站点负责收集分析所有网络节点信息,并进行相应管理,造成中心网络管理站点负载过重;所有信息送往中心站点处理,造成此处通信瓶颈;每个站点上的程序是预先定义的,具有固定功能,不利于扩展。随着网络技术和网络规模尤其是因特网的发展,集中式在可扩展性、可靠性、有效性、灵活性等方面有很大的局限,已不能适应发展的需要.
2.2基于WEB的网络管理模式
随着 Internet技术的广泛应用,Intranet也正在悄然取代原有的企业内部局域网,由于异种平台的存在及网络管理方法和模型的多样性,使得网络管理软件开发和维护的费用很高, 培训管理人员的时间很长, 因此人们迫切需要寻求高效、方便的网络管理模式来适应网络高速发展的新形势。随着Intranet和WEB 及其开发工具的迅速发展,基于WEB的网络管理技术也因此应运而生。基于WEB的网管解决方案主要有以下几方面的优点:(1)地理上和系统间的可移动性:系统管理员可以在Intranet 上的任何站点或Internet的远程站点上利用 WEB 浏览器透明存取网络管理信息;(2)统一的WEB浏览器界面方便了用户的使用和学习,从而可节省培训费用和管理开销;(3)管理应用程序间的平滑链接:由于管理应用程序独立于平台,可以通过标准的HTTP协议将多个基于WEB的管理应用程序集成在一起,实现管理应用程序间的透明移动和访问;(4)利用 JAVA技术能够迅速对软件进行升级。 为了规范和促进基于WEB的网管系统开发,目前已相继公布了两个主要推荐标准:WEBM和JMAPI。两个推荐标准各有其特色,并基于不同的原理提出。
WEBM方案仍然支持现存的管理标准和协议,它通过WEB技术对不同管理平台所提供的分布式管理服务进行集成,并且不会影响现有的网络基础结构。JMAPI 是一种轻型的管理基础结构,采用JMAPI来开发集成管理工具存在以下优点:平台无关、高度集成化、消除程序版本分发问题、安全性和协议无关性。
2.3 CORBA技术
CORBA技术是对象管理组织OMG推出的工业标准,主要思想是将分布计算模式和面向对象思想结合在一起,构建分布式应用。CORBA的主要目标是解决面向对象的异构应用之间的互操作问题,并提供分布式计算所需要的一些其它服务。OMG是CORBA平台的核心,它用于屏蔽与底层平台有关的细节,使开发者可以集中精力去解决与应用相关的问题,而不必自己去创建分布式计算基础平台。CORBA将建立在ORB之上的所有分布式应用看作分布计算对象,每个计算对象向外提供接口,任何别的对象都可以通过这个接口调用该对象提供的服务。CORBA同时提供一些公共服务设施,例如名字服务、事务服务等,借助于这些服务,CORBA可以提供位置透明性、移动透明性等分布透明性。
基于CORBA的网络管理系统通常按照Client/Server的结构进行构造。其中,服务方是指针对网络元素和数据库组成的被管对象进行的一些基本网络服务,例如配置管理、性能管理等.客户方则是面向用户的一些界面,或者提供给用户进一步开发的管理接口等。其中,从网络元素中获取的网络管理信息通常需要经过CORBA/SNMP网关或CORBA/CMIP网关进行转换,这一部分在有的网络管理系统中被抽象成CORBA的概念.从以上分析可以看出,运用CORBA技术完全能够实现标准的网络管理系统。不仅如此,由于CORBA是一种分布对象技术,基于CORBA的网络管理系统能够克服传统网络管理技术的不足,在网络管理的分布性、可靠性和易开发性方面达到一个新的高度。
3网络管理技术发展中存在的问题
目前,在网络应用的深入和技术频繁升级的同时,非法访问、恶意攻击等安全威胁也在不断推陈出新,愈演愈烈。防火墙、VPN、IDS、防病毒、身份认证、数据加密、安全审计等安全防护和管理系统在网络中得到了广泛应用。虽然这些安全产品能够在特定方面发挥一定的作用,但是这些产品大部分功能分散,各自为战,形成了相互没有关联的、隔离的“安全孤岛”;各种安全产品彼此之间没有有效的统一管理调度机制,不能互相支撑、协同工作,从而使安全产品的应用效能无法得到充分的发挥-。
从网络安全管理员的角度来说,最直接的需求就是在一个统一的界面中监视网络中各种安全设备的运行状态,对产生的大量日志信息和报警信息进行统一汇总、分析和审计;同时在一个界面完成安全产品的升级、攻击事件报警、响应等功能。
但是,一方面,由于现今网络中的设备、操作系统、应用系统数量众多、构成复杂,异构性、差异性非常大,而且各自都具有自己的控制管理平台、网络管理员需要学习、了解不同平台的使用及管理方法,并应用这些管理控制平台去管理网络中的对象(设备、系统、用户等),工作复杂度非常之大。
另一方面,应用系统是为业务服务的;企业内的员工在整个业务处理过程中处于不同的工作岗位,其对应用系统的使用权限也不尽相同,网络管理员很难在各个不同的系统中保持用户权限和控制策略的全局一致性。
另外,对大型网络而言,管理与安全相关的事件变得越来越复杂;网络管理员必须将各个设备、系统产生的事件、信息关联起来进行分析,才能发现新的或更深层次的安全问题。
4网络管理技术发展的前景展望
随着现代企业和网络、通讯技术的不断发展,企业网管软件也不断推陈出新,网络管理技术的发展前景无疑是广阔的。计算机网络规模的扩大和复杂性的增加,网络管理在计算机网络系统中的地位越来越重要。
未来的网络管理呈现如下发展趋向。第一,多厂家、多技术的融合。随着计算机技术、网络技术和通讯技术的融合,统一的、综合的网管正日益显示出重要性。因为没有哪个单独的产品能满足网管方方面面的需要,所以在购买回来的网管软件的基础上,往往需要进行二次开发或和别的网管产品进行集成。以前进行网管产品的集成是一件很痛苦的事情。比如,厂商A 的产品要求运行在Unix 平台上,而厂商B 的产品必须运行在WindowsNT 环境中;再有, 必须是厂商A 的某一指定版本和厂商B 的其一指定版本才能进行集成,任意一方单独升级都会破坏这种集成。例如在电信环境中,以前在传输网、本地网、IP 数据网、电话网等分别由不同的部门维护,信息也不能共享。而用户和运营商都要求通过一个控制台能对多个互联的网络进行管理, 只有建立起多厂商的、多技术领域的综合网管体系,才能符合需要。第二,基于Web 的网管。随着基于Web 的网络管理的出现,集成新问题在一定程度上得到解决。用户只需点击URL 链接,就可以从一个系统转到另一个系统,而无需考虑他们运行在何种平台上。基于Web 的网络管理的实现有两种方式。第一种方式是方式,即在一个内部工作站上运行Web 服务器() 。在这种方式下,网络管理软件作为操作系统上的一个应用,它介于浏览器和网络设备之间。在管理过程中,网络管理软件负责将收集到的网络信息传送到浏览器(Web 服务器),并将传统管理协议(如SNMP) 转换成Web 协议(如HTTP)。第二种实现方式是嵌入式,它将Web 功能嵌入到网络设备中,管理员可通过浏览器直接访问并管理该设备。在这种方式下,网络管理软件和网络设备集成在一起。网络管理软件无须完成协议转换,所有的管理信息都可以通过HTTP 协议传送。第三,面向业务的网管。新一代的网络管理系统,已开始从面向网络设备的管理向面向网络业务的管理过渡。这种网管思想把网络服务、业务作为网管对象,通过实时监测和网络业务相关的设备、应用, 通过模拟客户实时测量网络业务的服务质量,通过收集网络业务的业务数据,实现全方位、多视角监测网络业务运行情况的目的,从而实现网络业务的故障管理、性能管理和配置管理。第四,基于CORBA 技术的网管。CORBA 最初的提出是为了满足异构平台上分布式计算的需要。它有以下优点摘要:可在一个分布式应用中混用多种语言、支持分布对象、提供高度的互通性等。OMG已经提出了基于CORBA 的网管系统的体系结构,使用CORBA 的方法来实现基于OSI 开放接口和OSI 系统管理概念。TMF 和X/ OPen 联合开展的J IDM 任务组己经开发出SNMP/CMIP/ CORBA 的互通静态规范描述和动态交互式转化方法。可以预见,CORBA 将在网络管理和系统管理中占有越来越重要的地位。
现代化的网络管理技术集通信技术、Internet服务技术和信息处理技术于一身。随着网络规模迅速扩大,网络的复杂程度也日益加剧。为适应网络大发展的这一时代需要,在构建计算机网络时必须高度重视网络管理的重要性,重点从网管技术和网管策略设计两个大的方面全面规划和设计好网络管理的方方面面,以保障网络系统高效、安全地运行。
参考文献
[1]胡铮,《网络与信息管理》,电子工业出版社,2008
[2]尚小航,郭正昊,《网络管理基础》,清华大学出版社,2008.1
[3]赵慧、蔡希尧,“网络管理体系结构综述”,《计算机科学》,1999
关键词:计算机网络管理问题前景和趋势
1网络管理技术概述
1.1网络管理技术的发展
追溯网络管理的历史,已经相当久远,自从有了电话交换网,就有了对通信网络的管理,只不过与现在相比,当时网络设备的种类不多,而且网络管理技术自动化程度不高。计算机网络管理技术的发展是与Internet发展同步的,从20世纪80年代开始,随着一系列网络管理标准的出台,出现了大量的商用网络管理系统,但各种网络系统在结构上存在着或大或小的差异,至今还没有一个大家都能接受的标准。当前,网络管理技术主要有以下三种:诞生于Internte家族的SNMP是专门用于对Internet进行管理的,虽然它有简单适用等特点,已成为当前网络界的实际标准,但由于Internet本身发展的不规范性,使SNMP有先天性的不足,难以用于复杂的网络管理,只适用于TCP/IP网络,在安全方面也有欠缺。已有SNMPv1和SNMPv2两种版本,其中SNMPv2主要在安全方面有所补充。随着新的网络技术及系统的研究与出现,电信网、有线网、宽带网等的融合,使原来的SNMP已不能满足新的网络技术的要求;CMIP可对一个完整的网络管理方案提供全面支持,在技术和标准上比较成熟.最大的优势在于,协议中的变量并不仅仅是与终端相关的一些信息,而且可以被用于完成某些任务,但正由于它是针对SNMP的不足而设计的,因此过于复杂,实施费用过高,还不能被广泛接受;分布对象网络管理技术是将CORBA技术应用于网络管理而产生的,主要采用了分布对象技术将所有的管理应用和被管元素都看作分布对象,这些分布对象之间的交互就构成了网络管理.此方法最大的特点是屏蔽了编程语言、网络协议和操作系统的差异,提供了多种透明性,因此适应面广,开发容易,应用前景广阔.SNMP和CMIP这两种协议由于各自有其拥护者,因而在很长一段时期内不会出现相互替代的情况,而如果由完全基于CORBA的系统来取代,所需要的时间、资金以及人力资源等都过于庞大,也是不能接受的.所以,CORBA,SNMP,CMIP相结合成为基于CORBA的网络管理系统是当前研究的主要方向。
1.2网络管理协议
网络管理协议一般为应用层级协议,它定义了网络管理信息的类别及其相应的确切格式,并且提供了网络管理站和网络管理节点间进行通讯的标准或规则。
网络管理系统通常由管理者(Manager)和(Agent)组成,管理者从各那儿采集管理信息,进行加工处理,从而提供相应的网络管理功能,达到对管理之目的。即管理者与之间孺要利用网络实现管理信息交换,以完成各种管理功能,交换管理信息必须遵循统一的通信规约,我们称这个通信规约为网络管理协议。
目前有两大网管协议,一个是由IETF提出来的简单网络管理协议SNMP,它是基于TCP/IP和Internet的。因为TCP/IP协议是当今网络互连的工业标准,得到了众多厂商的支持,因此SNMP是一个既成事实的网络管理标准协议。SNMP的特点主要是采用轮询监控,管理者按一定时间间隔向者请求管理信息,根据管理信息判断是否有异常事件发生。轮询监控的主要优点是对的要求不高;缺点是在广域网的情形下,轮询不仅带来较大的通信开销,而且轮询所获得的结果无法反映最新的状态。
另一个是ISO定义的公共管理信息协议CMIP。CMIP是以OSI的七层协议栈作为基础的,它可以对开放系统互连环境下的所有网络资源进行监测和控制,被认为是未来网络管理的标准协议。CMIP的特点是采用委托监控,当对网络进行监控时,管理者只需向发出一个监控请求,会自动监视指定的管理对象,并且只是在异常事件(如设备、线路故障)发生时才向管理者发出告警,而且给出一段较完整的故障报告,包括故障现象、故障原因。委托监控的主要优点是网络管理通信的开销小、反应及时,缺点是对的软硬件资源要求高,要求被管站上开发许多相应的程序,因此短期内尚不能得到广泛的支持。
1.3网络管理系统的组成
网络管理的需求决定了网管系统的组成和规模,任何网管系统无论其规模大小如何,基本上都是由支持网管协议的网管软件平台、网管支撑软件、网管工作平台和支撑网管协议的网络设备组成。
网管软件平台提供网络系统的配置、故障、性能以及网络用户分布方面的基本管理。目前大多数网管软件平台都是在UNIX和DOS/WINDOWS平台上实现的。目前公认的三大网管软件平台是:HPView、IBMNetview和SUNNetmanager。虽然它们的产品形态有不同的操作系统的版本,但都遵循SNMP协议和提供类似的网管功能。
不过,尽管上述网管软件平台具有类似的网管功能,但是它们在网管支撑软件的支持、系统的可靠性、用户界面、操作功能、管理方式和应用程序接口,以及数据库的支持等方面都存在差别。可能在其它操作系统之上实现的Netview、Openview、Netmanager网管软件平台版本仅是标准Netview、Openview、Netmanager的子集。例如,在MSWindows操作系统上实现的Netview网管软件平台版本NetviewforWindows便仅仅只是Netview的子集。
网管支撑软件是运行于网管软件平台之上的,支持面向特定网络功能、网络设备和操作系统管理的支撑软件系统。
网络设备生产厂商往往为其生产的网络设备开发专门的网络管理软件。这类软件建立在网络管理平台之上,针对特定的网络管理设备,通过应用程序接口与平台交互,并利用平台提供的数据库和资源,实现对网络设备的管理,比如CiscoWorks就是这种类型的网络管理软件,它可建立在HPOpenView和IBMNetview等管理平台之上,管理广域互联网络中的Cisco路由器及其它设备。通过它,可以实现对Cisco的各种网络互联设备(如路由器、交换机、集线器等)进行复杂网络管理。
1.4网络管理的体系结构
网络管理系统的体系结构(通常简称网络拓扑结构)是决定网络管理性能的重要因素之一。通常可以把其分为集中式和非集中式两类体系结构。
目前,集中式网管体系结构通常采用以平台为中心的工作模式,该工作模式把单一的管理者分成两部分:管理平台和管理应用。管理平台主要关心收集的信息并进行简单的计算,而管理应用则利用管理平台提供的信息进行决策和执行更高级的功能。
非集中方式的网络管理体系结构包括层次方式和分布式。层次方式采用管理者的管理者MOM(Managerofmanager)的概念,以域为单位,每个域有一个管理者,它们之间的通讯通过上层的MOM,而不直接通讯。层次方式相对来说具有一定的伸缩性:通过增加一级MOM,层次可进一步加深。分布式是端对端(peertopeer)的体系结构,整个系统有多个管理方,几个对等的管理者同时运行于网络中,每个管理者负责管理系统中一个特定部分“域”,管理者之间可以相互通讯或通过高级管理者进行协调。
对于选择集中式还是非集中式,这要根据实际场合的需要来决定。而介于两者之间的部分分布式网管体系结构,则是近期发展起来的兼顾两者优点的一种新型网管体系结构。
2网络管理技术的种类
2.1分布对象网络管理技术
目前广泛采用的网络管理系统模式是一种基于Client/Server技术的集中式平台模式。由于组织结构简单,自应用以来,已经得到广泛推广,但同时也存在着许多缺陷:一个或几个站点负责收集分析所有网络节点信息,并进行相应管理,造成中心网络管理站点负载过重;所有信息送往中心站点处理,造成此处通信瓶颈;每个站点上的程序是预先定义的,具有固定功能,不利于扩展。随着网络技术和网络规模尤其是因特网的发展,集中式在可扩展性、可靠性、有效性、灵活性等方面有很大的局限,已不能适应发展的需要.
2.2基于WEB的网络管理模式
随着Internet技术的广泛应用,Intranet也正在悄然取代原有的企业内部局域网,由于异种平台的存在及网络管理方法和模型的多样性,使得网络管理软件开发和维护的费用很高,培训管理人员的时间很长,因此人们迫切需要寻求高效、方便的网络管理模式来适应网络高速发展的新形势。随着Intranet和WEB及其开发工具的迅速发展,基于WEB的网络管理技术也因此应运而生。基于WEB的网管解决方案主要有以下几方面的优点:(1)地理上和系统间的可移动性:系统管理员可以在Intranet上的任何站点或Internet的远程站点上利用WEB浏览器透明存取网络管理信息;(2)统一的WEB浏览器界面方便了用户的使用和学习,从而可节省培训费用和管理开销;(3)管理应用程序间的平滑链接:由于管理应用程序独立于平台,可以通过标准的HTTP协议将多个基于WEB的管理应用程序集成在一起,实现管理应用程序间的透明移动和访问;(4)利用JAVA技术能够迅速对软件进行升级。为了规范和促进基于WEB的网管系统开发,目前已相继公布了两个主要推荐标准:WEBM和JMAPI。两个推荐标准各有其特色,并基于不同的原理提出。
WEBM方案仍然支持现存的管理标准和协议,它通过WEB技术对不同管理平台所提供的分布式管理服务进行集成,并且不会影响现有的网络基础结构。JMAPI是一种轻型的管理基础结构,采用JMAPI来开发集成管理工具存在以下优点:平台无关、高度集成化、消除程序版本分发问题、安全性和协议无关性。
2.3CORBA技术
CORBA技术是对象管理组织OMG推出的工业标准,主要思想是将分布计算模式和面向对象思想结合在一起,构建分布式应用。CORBA的主要目标是解决面向对象的异构应用之间的互操作问题,并提供分布式计算所需要的一些其它服务。OMG是CORBA平台的核心,它用于屏蔽与底层平台有关的细节,使开发者可以集中精力去解决与应用相关的问题,而不必自己去创建分布式计算基础平台。CORBA将建立在ORB之上的所有分布式应用看作分布计算对象,每个计算对象向外提供接口,任何别的对象都可以通过这个接口调用该对象提供的服务。CORBA同时提供一些公共服务设施,例如名字服务、事务服务等,借助于这些服务,CORBA可以提供位置透明性、移动透明性等分布透明性。
基于CORBA的网络管理系统通常按照Client/Server的结构进行构造。其中,服务方是指针对网络元素和数据库组成的被管对象进行的一些基本网络服务,例如配置管理、性能管理等.客户方则是面向用户的一些界面,或者提供给用户进一步开发的管理接口等。其中,从网络元素中获取的网络管理信息通常需要经过CORBA/SNMP网关或CORBA/CMIP网关进行转换,这一部分在有的网络管理系统中被抽象成CORBA的概念.从以上分析可以看出,运用CORBA技术完全能够实现标准的网络管理系统。不仅如此,由于CORBA是一种分布对象技术,基于CORBA的网络管理系统能够克服传统网络管理技术的不足,在网络管理的分布性、可靠性和易开发性方面达到一个新的高度。
3网络管理技术发展中存在的问题
目前,在网络应用的深入和技术频繁升级的同时,非法访问、恶意攻击等安全威胁也在不断推陈出新,愈演愈烈。防火墙、VPN、IDS、防病毒、身份认证、数据加密、安全审计等安全防护和管理系统在网络中得到了广泛应用。虽然这些安全产品能够在特定方面发挥一定的作用,但是这些产品大部分功能分散,各自为战,形成了相互没有关联的、隔离的“安全孤岛”;各种安全产品彼此之间没有有效的统一管理调度机制,不能互相支撑、协同工作,从而使安全产品的应用效能无法得到充分的发挥。
从网络安全管理员的角度来说,最直接的需求就是在一个统一的界面中监视网络中各种安全设备的运行状态,对产生的大量日志信息和报警信息进行统一汇总、分析和审计;同时在一个界面完成安全产品的升级、攻击事件报警、响应等功能。
但是,一方面,由于现今网络中的设备、操作系统、应用系统数量众多、构成复杂,异构性、差异性非常大,而且各自都具有自己的控制管理平台、网络管理员需要学习、了解不同平台的使用及管理方法,并应用这些管理控制平台去管理网络中的对象(设备、系统、用户等),工作复杂度非常之大。
另一方面,应用系统是为业务服务的;企业内的员工在整个业务处理过程中处于不同的工作岗位,其对应用系统的使用权限也不尽相同,网络管理员很难在各个不同的系统中保持用户权限和控制策略的全局一致性。
另外,对大型网络而言,管理与安全相关的事件变得越来越复杂;网络管理员必须将各个设备、系统产生的事件、信息关联起来进行分析,才能发现新的或更深层次的安全问题。
4网络管理技术发展的前景展望
随着现代企业和网络、通讯技术的不断发展,企业网管软件也不断推陈出新,网络管理技术的发展前景无疑是广阔的。计算机网络规模的扩大和复杂性的增加,网络管理在计算机网络系统中的地位越来越重要。
建设和接入管理规范等几方面内容进行简要的概括和规划,对各级单位的规范、有序、安全接入广域网,促进行业信息化资源整合和信息共享的快速发展,具有一
定的指导作用和重要的现实意义。
关键词:广域网;接入;SDH;VLSM;安全
中图分类号:TN915.6 文献标识码:A 文章编号:1671—7597(2012)0120057-02
0 引言
广域网建成初期,各接入单位基本都是单机接入广域网,访问广域网
内共享资源的计算机数量有所限制,为使全系统的所有计算机都能便捷地
访问广域网内共享资源,需把各接入单位的局域网都接入到广域网,但由
于历史原因,各单位的网络建设情况各不相同,安全和规范程度参差不
齐。因此,在接入前进行设计并提出接入要求已成为广域网接入工作的迫
切需要。
广域网接入要求可以从接入技术规范和接入管理规范两方面去定制。
接入技术规范主要对网络接入过程中可能涉及到的网络架构、主要网络设
备等作出规划,提出规范性要求。接入管理规范主要从管理的角度出发,
在规章制度、管理规范方面对网络接入过程中可能涉及到的某些问题作出
原则性要求。
1 接入技术规范
1.1 接入架构要求
良好的网络架构设计是使网络具备可扩展能力的关键。网络架构的建
立要考虑环境、设备配置、远程联网方式、通信量的大小、网络应用与业
务定位等多种因素。合理的网络架构应该有结构化的设计,并遵循分层模
型。分层模型的实现核心是将网络架构设计中的复杂问题分解为较小的、
易于管理的问题。分层体系中的每一层解决不同的问题,有助于实现模块
化,容易添加、替换和取消网络中的独立部件,具有很高的可扩展性
。
1.2 接入设备技术要求
构建广域网由于受各种条件的限制,必须借助公共传输网络,用户只
需了解公共传输网络提供的接口以及如何实现与公共传输网络之间的连接
即可。
1.2.1 接入技术分析及选择
ISP提供了多种同步和异步广域网连接服务,常用的有以下3类:
1)ATM
ATM是建立在电路交换和分组交换的基础上的一种面向连接的快速分
组交换技术,它采用定长分组作为传输和交换的单位。本身具有良好
的流量控制均衡能力以及故障恢复能力,但对IP路由的支持一般,在复制
多路广播方面缺乏高效率,管理复杂。
2)SDH
SDH对IP路由的支持能力强,具有很高的IP传输效率;符合
Internet业务的特点,有利于实施多路广播方式;能利用SDH技术本身的
环路,故可利用自愈合能力达到链路纠错,同时又利用OSPF协议防止设各
和键路故障造成的网络停顿,提高网络的稳定性;省略了不必要的ATM
层,简化了网络结构,降低了运行费用。但其仅对IP业务提供好的支持,
不适于多业务平台;不能像IP over ATM技术那样提供较好的服务质量保
障。
3)WDM
WDM是一个真正的链路层数据网,它充分利用光纤的带宽资源,极大
地提高了带宽和相对的传输速率。但目前,对于波长标准化还没有实现;
WDM系统的网络管理应与其传输的信号的网管分离。但在光域上加上开销
和光信号的处理础还不完善,从而导致WDM系统的网络管理还不成熟。
综合比较,广域网可选国家公用通信网的SDH技术来组建广域网络的
骨干链路。SDH网络的引入和使用,为信息高速公路提供了一个高智能
的、高效的、操作运行廉价的实施方案。
1.2.2 接入设备要求
接入设备主要涉及路由器和交换机,现分别予以介绍并做出要求:
1)路由器
路由器是一种多端口的网络设备,它能够连接多个不同的网段和网
络,并能将不同网段或网络之间的数据信息进行传输。路由器应当被
放置于最频繁访问广域网的位置,尽量直接连接在核心交换机上。在组网
结构比较简单的网络中,通过认真设置和使用静态路由不仅可以改进网络
的性能,还能为重要应用保证带宽。路由器担当着保护内部网络和数据安
全的重要责任,在具体的实施过程中可以借助地址转换和访问列表来实
现。
2)交换机
作为网络传输枢纽的交换机,在网络接入规范中的重要地位也是无可
取代的。无论是控制广播风暴的产生、拒绝用户之间非授权访问、限制用
户的网络服务与应用、禁止未授权计算机接入网络,还是拒绝非法用户访
问网络,都离不开对交换机的深入配置。交换机应具有以下五项功能:风
暴控制、保护端口、端口安全、创建VLAN、IEEE 802.1X认证协议。
1.2.3 接入地址规划
合理的IP地址规划与分配,在整个网络的维护和扩展过程中占据了举
足轻重的地位,其结果将直接影响到后期的维护管理、扩容升级及系统运
作的效率。IP地址空间分配,要与网络拓扑层次结构相适应,既要有效地
利用地址空间,又要体现出网络的可扩展性和灵活性,同时能满足路由协
议的要求,以便于网络中的路由汇聚,减少路由器中路由表的长度,减少
对路由器CPU、内存的消耗,加快路由变化的收敛速度,同时还要考虑到
网络地址的可管理性。
1.2.4 接入安全要求
根据广域网络的整体运行情况,本着因地制宜、实事求是的原则,对
广域网网络接入安全要求分别说明:中心网络接入安全要求和接入单位网
络接入安全要求。
1)中心网络接入安全要求
中心网络接入的安全建设应分为以下三个阶段来逐步完善:网络安全
体系的建立、网络安全体系的提升和网络安全体系的完善。
①网络安全体系的建立
建立广域网主节点的信息安全基础体系,形成一个从无到有的基本防
护框架,确保各二级单位在接入广域网后主节点业务系统的稳定性和安全
性。这是中心安全建设第一阶段的主要目标。在这一阶段中需要建立的安
全防护体系主要有:计算机防雷系统、防火墙系统、网络访问控制系统、
网络防病毒系统和安全访问域的划分。
②网络安全体系的提升
第二阶段的主要任务是在建立健全中心网络安全基本防护系统的基础
上,利用多种监控技术和防御手段,建成一个从内到外、从被动防御到主
动预防的更高层次的安全架构。这一阶段中需要建立的安全监控与防御体
系主要有:入侵防御系统和安全漏洞扫描系统。
③网络安全体系的完善
第三阶段的主要任务是从应用层方面入手,在防护体系和监控体系不
断完善的基础上,通过多种加密技术和用户认证手段,建立一个稳定、高
效、健壮的立体安全防护架构。这一阶段中需要建立的安全体系主要有:
SSL VPN移动办公系统和补丁分发管理系统。
2)接入单位网络接入安全要求
接入单位网络接入安全规划与中心的接入安全规划在进度上大体一
致,但具体到内容方面有所区别。各接入单位的网络安全建设内容主要涉
及到以下四个方面:
①安全规划,确定系统的安全框架与建设步骤,包括为系统定级
等;
②重点资源的保护及各项安全技术的应用;
③安全管理平台的建设,及时准确地把握整个系统的安全运行状
况;
④日常的运行维护,充分发挥好作为广域网二级节点的堡垒作用。
2 接入管理规范
管理规范是所有技术措施发挥功效的能动因素,是实现整个广域网网
络接入有序化的重要保证。广域网接入管理规范可以从两个方面进行规
划。一是从纯粹的管理上及管理制度上来实现,二是从技术上建立高效的
管理平台,包括网络管理和安全管理。
2.1 管理制度
为了提高整个网络系统的健壮性,除了在网络结构上合理规划,系统
设计上增加安全服务功能外,还必须花大力气加强网络系统管理制度的建
立。
2.1.1 管理制度内容
管理制度是信息系统内部依据系统必要的国家、团体的安全需求制定
的一系列内部规章制度,在广域网接入规划和建设的过程中,应切实做好
以下管理制度的建设和完善:机房与设施管理规范制度、设备管理规范制
度、操作安全管理规范制度、计算机网络安全管理规范制度、计算机病毒
防治管理规范制度、系统管理员岗位责任管理规范制度、安全管理员岗位
责任管理规范制度、网站管理员岗位责任管理规范制度、网络信息安全审
计管理规范制度、应用软件安全管理规范制度、技术文档管理规范制度、
数据安全管理规范制度、密码安全管理规范制度、计算机网络系统重大安
全事件预警及应急恢复管理规范制度以及系统备份及灾难恢复管理规范制
度。
2.1.2 管理制度实现
各单位信息系统的管理部门应根据管理制度建立原则和该系统处理数
据的实际需求,制定相应的管理制度。具体工作包括:
1)根据工作的重要程度,确定该系统的安全等级;
2)根据确定的安全等级,确定管理实施的范围;
3)对于安全等级要求较高的系统,要实行分区控制;
4)制定严格的操作规程;
5)制定完备的系统维护制度;
6)制定应急措施。
2.2 管理平台
建立管理平台的主要内容包括:定义完善的网络管理模型;贯彻规范
的网络管理措施;建立恰当的安全审计机制,并且进行经常性的规则审
核。
2.2.1 网络管理
网络管理是指对网络的运行状态进行监测和控制,并能提供有效、可
靠、安全、经济的服务。一个好的网管系统能够确定故障发生在哪
里,能够对网络管理员提出进一步优化网络的建议。网络管理系统还可以
在数据库中查询电缆和网络设备有关的资料从而确定故障的性质。
2.2.2 安全审计
安全审计主要是对网络系统中的安全设备和网络设备,应用系统和运
行状况进行全面的监测、分析、评估。广域网络中各种安全设备(防
火墙、过滤网关等)、操作系统(包括Windows和Linux)、应用服务(E—
mail、WEB、FTP、DNS)等都可产生大量的日志数据。这些日志数据翔实
地记录了系统和网络的运行事件,是安全审计的重要数据。这些日志信息
对于记录、检测、分析、识别各种安全事件和威胁有着非常重要的作用。
通过在各接入单位办公局域网内的关键节点处部署安全审计产品,可
以监视并记录网络中的各类操作,实时地分析出网络中发生的安全相关事
件。
3 结束语
随着信息化的进一步发展,将会有越来越多的单位建成其自身局域
网,也会有把其局域网接入广域网的需求,本论文可以指导各接入单位把
其局域网安全有序的接入广域网,届时将会真正建成一个覆盖全系统的广
域网络,各级部门之间能够方便、快捷的共享各种信息资源,进而推动本
系统信息化进入一个新的时期。
参考文献:
[1]易建勋著,计算机网络设计,北京:人民邮电出版社,2007.
[2]王冀鲁著,计算机网络应用技术,北京:清华大学出版社,北京交通
大学出版社,2006.
[3]郝志恒著,组网用网基础与提高,北京:电子工业出版社,2007.
[4]杨英鹏著,计算机网络原理与实践,北京:电子工业出版社,2007.
[5]Patrick Regan著,广域网,北京:清华大学出版社,2006.
[6]云红艳、杜祥军、赵志刚著,计算机网络管理,北京:人民邮电出版
社,2008.
[7]杨远红、刘飞著,通信网络安全技术,北京:机械工业出版社,2006.
作者简介:
