第9章__网络安全与网络管理技术

null第9章 网络安全与网络管理技术 第9章 网络安全与网络管理技术 【本章要点】 ●计算机网络安全概述 ● 网络病毒防治技术 ● 网络安全入侵检测与防御技术 ● 网络数据备份与恢复技术 ● 网络管理技术 9.1 网络安全技术概述9.1 网络安全技术概述9.1.1 计算机网络安全技术基础 1．典型网络安全事件 下面简要介绍发生过的典型网络安全事件。 （1）“熊猫烧香”疯狂发作。 （2）“顶狐”病毒网上银行盗窃案。 （3）同业竞争DDOS攻击案。 （4）攻击红十字会、地震局网站。 null 国家计算机病毒应急处理中心公布的《2008年我国计算机病毒疫情调查技术分析报告》显示，截至2008年6月底，中国网民数量达到2.53亿，网民规模跃居世界第一位。我国信息网络安全事件发生比例继前3年连续增长后，今年略有下降，信息网络安全事件发生比例为62.7%，比去年下降了3％；计算机病毒感染率也出现下降，为85.5％，比去年减少了6％。奥运期间，全国互联网安全状况基本平稳，未出现重大网络安全事件。2007年5月至2008年5月，62.7%的被调查单位发生过信息网络安全事件，比去年减少3%。感染计算机病毒、蠕虫和木马程序的情况依然最为突出，其次是网络攻击、端口扫描、垃圾邮件和网页篡改。 总之，网络安全问题是新世纪面临的新挑战，架设一个安全的网络工程安全系统不可忽视的重要部分。2．网络安全的定义2．网络安全的定义从本质上来讲，网络安全就是网络上的信息安全。网络安全是指保护网络系统中的软件、硬件及信息资源，使之免受偶然或恶意的破坏篡改和泄露，保证网络系统的正常运行、网络服务不中断。网络安全是一门涉及计算机科学、网络技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性科学。 从广义上说，网络安全包括网络硬件资源和信息资源的安全性。硬件资源包括通信线路、通信设备（交换机、路由器等）、主机等，要实现信息快速、安全地交换，一个可靠的物理网络是必不可少的。信息资源包括维持网络服务运行的系统软件和应用软件，以及在网络中存储和传输的用户信息数据等。3．目前常用网络安全技术3．目前常用网络安全技术（1）数据加密技术。 （2）防火墙技术。 （3）认证技术。 （4）病毒防治技术。 （5）入侵检测与防御技术。 （6）访问控制技术。 （7）虚拟专用网（VPN）技术。 （8）智能卡技术。 （9）安全脆弱性扫描技术。 （10）网络数据存储、备份及容灾技术。 4．网络安全体系结构4．网络安全体系结构9.1.2 网络安全规划与设计基本原则9.1.2 网络安全规划与设计基本原则1．网络系统安全规划设计的基本原则 网络安全的实质就是安全立法、安全管理和安全技术的综合实施。这三个层次体现了安全策略的限制、监视和保障职能。根据防范安全攻击的安全需求、需要达到的安全目标、对应安全机制所需的安全服务等因素，参照SSE-CMM（系统安全工程能力成熟模型）和ISO17799（信息安全管理标准）等国际标准，综合考虑可实施性、可管理性、可扩展性、综合完备性、系统均衡性等方面，在网络安全整体规划、设计过程中应遵循下列十大原则。null （1）整体性原则。 （2）均衡性原则。 （3）有效性与实用性原则。 （4）等级性原则。 （5）易操作性原则。 （6）技术与管理相结合原则。 （7）统筹规划，分步实施原则。 （8）动态化原则。 （9）可评价性原则。 （10）多重保护原则。 总之，在进行计算机网络工程系统安全规划与设计时，重点是网络安全策略的制定，保证系统的安全性和可用性，同时要考虑系统的扩展和升级能力，并兼顾系统的可管理性等。2．如何进行网络工程安全规划2．如何进行网络工程安全规划网络安全规划与设计是一项非常复杂的系统工程，不单纯是技术性工作，必须统一步骤，精心规划和设计。安全和反安全就像矛盾的两个方面，总是不断攀升，所以网络安全也会随着新技术的产生而不断发展，是未来全世界电子化、信息化所共同面临的问题。一般来说，网络的安全规划设计与实施应考虑下面4个方面的问题。null（1）确定面临的各种攻击和风险并分析安全需求。 （2）明确网络系统安全策略。 （3）建立网络安全模型。 （4）选择并实施安全策略。 9.2 网络病毒的防治技术9.2 网络病毒的防治技术9.2.1 网络计算机病毒的概述 1．网络计算机病毒的特点 网络病毒是利用网络平台作为传播方式的，由此可见，在网络环境下，网络病毒除了具有可传播性、可执行性、破坏性等计算机病毒的共性外，还具有一些新的特点。主要表现如下： （1）主动通过网络和邮件系统传播。 （2）传播速度极快。 （3）危害性极大。 （4）变种多。 （5）难于控制。 （6）清除难度大。 （7）具有病毒、蠕虫和后门（黑客）程序的功能。2. 网络计算机病毒的破坏行为2. 网络计算机病毒的破坏行为网络计算机病毒破坏性极强，常见的破坏性表现如下： 劫持IE浏览器，首页被更改，一些默认项目被修改（例如默认搜索）。 修改Host文件，导致用户不能访问某些网站，或者被引导到“钓鱼网站”上。 添加驱动保护，使用户无法删除某些软件。 修改系统启动项目，使某些恶意软件可以随着系统启动，常被流氓软件和病毒采用。 在用户计算机上开置后门，黑客可以通过此后门远程控制中毒机器，组成僵尸网络，通过对外发动攻击、发送垃圾邮件、点击网络广告等牟利。 采用映像劫持技术，使多种杀毒软件和安全工具无法使用。 记录用户的键盘、鼠标操作，从而可以窃取银行卡、网游密码等各种信息。 记录用户的摄像头操作，可以从远程窥探隐私。 使用户的机器运行变慢，大量消耗系统资源。9.2.2 网络计算机病毒防治策略9.2.2 网络计算机病毒防治策略1．基于工作站的防治策略 工作站就像是计算机网络的大门，只有把好这道大门，才能有效防止病毒的入侵。基于工作站防治病毒的方法有三种： （1）软件防治。即定期或不定期地用反病毒软件检测工作站的病毒感染情况。软件防治可以不断提高防治能力，但需要人为地经常去启动防病毒软件，因而不仅给工作人员增加了负担，而且很有可能在病毒发作后才能检测到。 （2）在工作站上插防病毒卡。防病毒卡可以达到实时检测的目的，但防病毒卡的升级不方便，从实际应用的效果看，对工作站的运行速度有一定的影响。 （3）在网络接口卡上安装防病毒芯片。它将工作站存取控制与病毒防护合二为一，可以更加实时有效地保护工作站及通向服务器的桥梁。但这种方法同样也存在芯片上的软件版本升级不便的问题，而且对网络的传输速度也会产生一定的影响。 null2．基于服务器的防治技术 网络服务器是计算机网络系统的中心，是网络的支柱。网络瘫痪的一个重要标志就是网络服务器瘫痪。网络服务器一旦被击垮，造成的损失是灾难性的、难以挽回和无法估量的。目前，基于服务器防治病毒的方法大都采用防病毒可装载模块（NLM），以提供实时扫描病毒的能力。有时也结合利用在服务器上插防毒卡等技术，目的在于保护服务器不受病毒的攻击，从而切断病毒进一步传播的途径。 3．加强计算机网络的管理 计算机网络病毒的防治，单纯依靠技术手段是不可能十分有效地杜绝和防止其蔓延的，只有把技术手段和管理机制紧密结合起来，提高人们的防范意识，才有可能从根本上保护网络系统的安全运行。目前在网络病毒防治技术方面，基本处于被动防御的地位，但管理上应该积极主动。 总之，网络病毒的防治，应制定严格的#管理#和网络使用制度，提高自身的防毒意识；跟踪网络病毒防治技术的发展，尽可能采用行之有效的新技术、新手段，建立“ 9.2.3 常见网络病毒及防治软件9.2.3 常见网络病毒及防治软件1．常见的流行网络计算机病毒 通过对我国主要流行网络病毒的特点分析,我国互联网在快速发展过程中，出现了一些新变化，主要表现在如下几个方面。 （1）从应用领域看。我国互联网正从信息传播和娱乐消费为主向商务服务领域延伸，电子商务迅速发展，互联网开始逐步深入到国民经济的更深层次和更宽领域。这对于优化我国互联网消费结构、促进经济发展模式转变具有积极意义，同时也对网络诚信建设提出了更高要求。 （2）从服务模式看。互联网正从提供信息服务向提供平台服务延伸。以博客播客等为代表的WEB2.0服务模式使互联网的平台功能更加突出，网民不仅是信息的消费者，也是信息的提供者、创造者。这大大丰富了网上的信息内容，同时也对网民的守法自律提出了更高要求。　 （3）从传播手段看。传统互联网正在向移动互联网延伸。随着宽带的发展和无线接入的普及，基于互联网的新的媒体形态不断涌现，网上信息的获取、发布、利用更加便捷。这大大拓展了网络信息的传播渠道，同时也对网络信息传播秩序提出了更高要求。null2．常见的网络病毒防治软件 针对不同的网络用户类型，防病毒软件有网络版和单机版之分。网络版主要应用于企业局域网络，又称企业版；单机版则主要应用于家庭用户，又称家庭版。二者在病毒的防范、病毒库等方面很相似，其本质区别在于网络版可以实现中央管理，有服务器端和客户端之分。客户端病毒库的升级取决于服务器端，客户端一般不能够自己升级病毒库，但服务器端一般能够升级病毒库，客户端会自动从服务器下载病毒定义文件。而单机版则不能够通过局域网升级病毒库，必须从因特网下载病毒定义或者病毒库升级文件。 目前流行的防病毒软件有很多，国外的有美国Symantec的Norton Antivius、俄罗斯的卡巴斯基AVP、McAfee等。国内有冠群金辰的KILL、瑞星、KV3000、金山毒霸等。大部分产品都支持网络版和单机版。国外的杀毒软件在功能上、技术上要高于国内的杀毒软件，当然不能否认，国内的几大杀毒软件厂商也在不断的努力研发，并且取得了很大的进步。而且在对国内流行的木马病毒的查杀上，还是国内的杀毒软件有优势。9.2.4 网络病毒防治技术实战9.2.4 网络病毒防治技术实战1．单机环境下的网络病毒防治技术及实战 尽管现代流行的操作系统平台具备了某些抵御计算机病毒的功能特性，但还是未能摆脱计算机病毒的威胁。单机环境下（一般是指个人）计算机病毒，也已是一个严重问题。因为现代个人电脑大部分都离不开网络，或都使用了携带病毒的工具软件，所以单机电脑病毒的感染率也是非常高的。 null（2）单机环境下电脑网络安全设置方案实战。安装了防病毒软件个人电脑是不是就安全了，可以高枕无忧了呢？其实不然。最安全的设置方案是使用防火墙+防病毒软件构建一个安全网络。但是个人电脑一装上防火墙速度就会慢很多。因此，有什么方法可以更好地解决个人电脑的安全问题呢？中文社区搜索网站奇虎推出了“360安全卫士”，其主要目的是针对日益严重的恶意软件，而其内嵌的杀毒软件卡巴斯基，让这款软件成为一款全功能的防恶意软件及病毒的安全平台。奇虎360安全卫士增强查杀引擎，强力查杀15万木马，超强查杀，免费杀毒，可查杀1300余款恶意软件，每日更新中，新增文件粉碎功能，彻底删除顽固木马，具有漏洞补丁集中分发，网页防漏功能。 null2. 企业网络环境下的网络病毒防治技术 企业网络中计算机病毒一旦感染了其中的一台计算机，将会很快地蔓延到整个网络，而且不容易一下子将网络中传播的计算机病毒彻底清除。所以对于企业网络的计算机病毒防范必须要全面，预防计算机病毒在网络中的传播、扩散和破坏，客户端和服务器端必须要同时考虑。 9.3 网络入侵检测与防御技术9.3 网络入侵检测与防御技术9.3.1 网络入侵检测与防御技术的基本概念 下面介绍网络入侵检测系统与防御系统技术的一些基本概念。 1．入侵行为 “入侵”（Intrusion）是个广义的概念，不仅包括被发起攻击的人（如恶意的黑客）取得超出合法范围的系统控制权，也包括收集漏洞信息、拒绝服务（Denial of Service）等对计算机系统造成危害的行为。 2．入侵检测技术 1980年，James P.Anderson在给一个保密客户写的一份题为《计算机安全威胁监控与监视》（Computer Security Threat Monitoring and Surveillance）的技术报告中指出，审计记录可以用于识别计算机误用，并对威胁进行了分类，第一次详细阐述了入侵检测的概念。入侵检测（Intrusion Detection），顾名思义，便是对入侵行为的发觉。它通过对计算机网络或计算机系统中若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。入侵检测技术是一种网络信息安全新技术，它可以弥补防火墙的不足，对网络进行监测，从而提供对内部攻击、外部攻击和误操作的实时的检测以及采取相应的防护手段，如记录证据用于跟踪和恢复、断开网络连接等。入侵检测技术是一种主动保护系统免受黑客攻击的网络安全技术。 3．入侵检测系统 入侵检测系统（Intrusion Detective System，IDS）是从计算机网络系统中的若干关键点收集信息，并分析这些信息，检查网络中是否有违反安全策略的行为和遭到袭击的迹象。将入侵检测的软件与硬件进行组合便是入侵检测系统。入侵检测系统被认为是防火墙之后的第二道安全闸门。 4．入侵防御系统 IDS只能被动地检测攻击，而不能主动地把变化莫测的威胁阻止在网络之外。因此，人们迫切地需要找到一种主动入侵防护解决方案，以确保企业网络在威胁四起的环境下正常运行。入侵防御系统（Intrusion Prevention System，IPS）就应运而生了。IPS是一种智能化的入侵检测和防御产品，它不但能检测入侵的发生，而且能通过一定的响应方式，实时地中止入侵行为的发生和发展，实时地保护信息系统不受实质性的攻击。IPS使得IDS和防火墙走向统一。简单地理解，可认为IPS就是防火墙加上入侵检测系统。但并不是说IPS可以代替防火墙或入侵检测系统。9.3.2 入侵检测系统的主要检测技术9.3.2 入侵检测系统的主要检测技术入侵检测系统中的核心就是数据分析技术，包括对原始数据的同步、整理、组织、分类，以及各种类型的细致分析，提取其中所包含的系统活动特征或模式，用于对正常和异常行为的判断。采用哪种数据分析技术，将直接决定系统的检测能力和效果。数据分析技术主要分为两大类，即异常检测（Anomaly Detection）和误用检测（Misuse Detection）。9.3.3 入侵检测系统的分类9.3.3 入侵检测系统的分类入侵检测系统的分类从不同的角度有不同的分类方法，常用的分类方法是按照检测对象划分，入侵检测系统可以分为基于主机的入侵检测系统、基于网络的入侵检测系统和混合型入侵检测系统三大类。 1．基于主机的入侵检测系统（Host-based IDS，简称HIDS） 基于主机的入侵检测系统是早期的入侵检测系统，通常是软件型的，直接安装在被保护的主机上，该系统获取的数据来源于运行该系统所在的主机。它通过监视和分析主机的审计记录和日志文件来检测入侵。主机型入侵检测系统保护的一般是所在的主机系统，如图所示。null2. 基于网络的入侵检测系统（Network-based IDS，简称NIDS） 基于网络的入侵检测系统（如图所示）是目前比较流行的一种监测方式，这类检测系统当然就需要有一台专门的检测设备了。该系统获取的数据来源是网络上传输的数据包，它通过监听网络上的所有分组来采集数据，分析可疑现象。基于网络的入侵检测系统主要用于实时监控网络上的关键路径（某一共享网段）。只需把它安装在网络的监听端口上，对网络的运行影响较小。一般利用一个网络适配器来实时监视和分析所有通过网络进行传输的通信。一旦检测到攻击，入侵检测系统应答模块通过、报警及中断连接等方式来对攻击做出反应。3．混合型入侵检测系统（Hybrid IDS）3．混合型入侵检测系统（Hybrid IDS） 在新一代的入侵检测系统中将把现有的基于网络和基于主机这两种检测技术很好地集成起来，提供集成化的攻击签名检测报告和事件关联功能。近些年来，混合式病毒攻击的活动更为猖獗，单一的基于主机或者单一的基于网络的入侵检测系统无法抵御混合式攻击，因此，采用混合型的入侵检测系统可以更好地保护系统。混合型入侵检测系统就是既基于主机又基于网络的入侵检测系统。这种组合的入侵检测系统具有互补性，基于网络的入侵检测能够客观地反映网络活动，特别是能够监视到系统审计的盲区；而基于主机的入侵检测能够更加准确地监视系统中的各种活动。目前许多公司的入侵检测产品都在朝着这个方向发展，就是既提供专门的基于网络的入侵检测设备，又开发了一套基于主机的入侵检测系统软件。9.3.4 “天阗”入侵检测系统的典型应用9.3.4 “天阗”入侵检测系统的典型应用 “天阗”入侵检测系统主要包括基于网络的入侵检测系统和基于主机的入侵检测系统。基于主机的入侵检测系统是针对主机系统信息和该主机的网络访问进行监测，及时发现外来入侵和系统级用户的非法操作行为。它可以用来实时监控可疑的连接，进行系统日志检查，防止非法访问闯入等，同时它还可以提供对典型应用的监控，如Web应用、邮件应用、数据库服务等。基于主机的入侵检测系统主要用于重要应用服务器平台的检测和防护。其部署结构如图所示。9.4 数据安全备份与恢复技术9.4 数据安全备份与恢复技术9.4.1 数据安全备份技术 1．数据备份需求分析 任何一个网络都会涉及系统信息安全可靠性的建立和管理问题，其中有些网络系统的实时性、可靠性及安全性要求很高，比如证券、银行网络系统，一旦网络发生重大故障，将会带来不可估量的损失。因此，在组建网络工程时，必须考虑安全可靠性机制的建立。而数据备份技术就是保证网络系统安全可靠性的一种很常见、很实用的而且非常重要的技术。一般来说，各种操作系统都附带了备份程序。但是随着数据的不断增加和系统要求的不断提高，附带的备份程序根本无法满足日益增长的需求。要想对数据进行可靠的备份，必须选择专门的备份软、硬件，并制定相应的备份和恢复方案。 2．数据备份的内容 从个人的Word文件、电子表格、电子邮件，到各式各样的数据库、服务器、群组软件、源程序、书稿等都可以成为备份的对象。因此，备份的内容应根据用户的不同、应用环境的不同而改变、确定。备份的主要内容如下： （1）重要数据的备份。重要的数据或数据库。 （2）系统文件的备份。例如注册表、System.ini、Win.ini等系统核心文件。 （3）应用程序的备份：用户的应用程序。 （4）整个分区或整个硬盘的备份。就是平时所说的系统镜像。 （5）日志文件的备份。动态在线备份。3．数据备份策略3．数据备份策略备份策略是指确定需备份的内容、备份时间及备份方式。一般企业单位要根据自己的实际情况来制定不同的备份策略。目前被采用最多的备份策略主要有以下3种。 （1）完全备份（full backup）。将系统中所有的数据信息全部备份，每天对自己的系统进行完全备份。例如，星期一用一盘磁带对整个系统进行备份，星期二再用另一盘磁带对整个系统进行备份，依此类推。 （2）增量备份（incremental backup）。只备份上次备份后变化过的数据信息。例如，在星期天进行一次完全备份，然后在接下来的6天里只对当天新的或被修改过的数据进行备份。 （3）差异备份（differential backup）。只备份上次完全备份以后变化过的数据信息。例如，管理员先在星期天进行一次系统完全备份，然后在接下来的几天里，管理员再将当天所有与星期天不同的数据（新的或修改过的）备份到磁带上。差异备份策略在避免了以上两种策略的缺陷的同时，又具有了它们的所有优点。 总之，各种备份的数据量不同，按从多到少的排序为：完全备份>差异备份>增量备份。在实际应用中，备份策略通常是以上3种策略的结合。例如，每周一至周六进行一次增量备份或差异备份，每周日进行完全备份，每月底进行一次完全备份，每年底进行一次完全备份。9.4.2 数据恢复技术9.4.2 数据恢复技术1．数据恢复的服务范围 根据对网络系统中可能出现的故障情况分析，一般提供数据恢复服务的企业，都能完成如下一些方面的服务。 （1）硬盘数据软件故障数据恢复。软件故障主要包括：误分区、误格式化、误删除、误克隆、MBR丢失、BOOT扇区错误、病毒破坏、黑客攻击、PQMagic转换出错、分区逻辑错误、硬盘逻辑坏道、硬盘0磁道损坏、硬盘逻辑锁、分区表丢失等。 （2）硬盘硬件故障数据恢复。硬盘硬件故障主要包括：硬盘异响、硬盘电机故障、硬盘摔坏、硬盘物理坏道、芯片烧坏、磁头损坏、固件信息丢失等。 （3）磁盘阵列故障数据恢复。RAID故障主要包括：硬盘顺序人为弄错、磁盘阵列中掉线硬盘达到两块或两块以上、阵列扩容出错、阵列硬盘指示灯良好但阵列启动不了、阵列分区出错、Rebuild阵列出错等。 （4）数据库异常修复。数据库异常主要包括：Microsoft SQL Server数据库恢复质疑或损坏、Oracle数据库文件损坏、Foxbase/Foxpro/Access数据库文件损坏等。 （5）U盘数据恢复。U盘数据恢复主要包括：不正常拔插导致的（提示要格式化、文件丢失）各种问题、误删除、误格式化、病毒破坏、出现物理坏道等。 （6）数码相机存储卡照片恢复。数码相机存储卡恢复主要包括：误删除（前提是物理上没有问题，删除以后没有照太多的照片）。 （7）文档恢复。文档损坏主要包括：损坏的Office系列Word、Excel、Access、PowerPoint文件和WPS系列文件等。 （8）光盘数据恢复。光盘数据恢复主要包括：光盘读不了数据（刮伤）、用一次性刻录光盘进行第二次刻录导致第一次刻录的数据丢失等。2．常用数据恢复软件EasyRecovery Professional的使用2．常用数据恢复软件EasyRecovery Professional的使用EasyRecovery Professional是一款非常不错的数据恢复软件，该软件支持的数据恢复方案包括： 高级恢复：使用高级选项自定义数据恢复。 删除恢复：查找并恢复已删除的文件。 格式化恢复：从格式化过的卷中恢复文件。 Raw恢复：忽略任何文件系统信息进行恢复。 继续恢复：继续一个保存的数据恢复进度。 紧急启动盘：创建自引导紧急启动 9.5 网络管理与维护技术9.5 网络管理与维护技术9.5.1 网络管理技术 网络工程建设完成后，将会面临一个长期而艰巨的任务即网络管理与系统维护。只有建立高效的网络管理团队，网络系统的内在潜力才会彻底释放出来，网络工程建设的预期目的才能最终实现。现在的网络管理工作不再全部由网络管理员去完成，而主要是通过网络管理系统进行自动化、智能化管理。1．网络管理的概念1．网络管理的概念网络管理是指网络使用期内为保证用户安全、可靠、正常地使用网络服务而从事的全部操作和维护性活动。为了有效地管理计算机网络，必须要有一个公共的网络管理，通过规划、监视、分析、扩充和控制网络来保证网络服务的有效实现。网络管理对网络发展的重大影响越来越受到人们的重视，计算机网络管理已经成为整个计算机网络工程中不可缺少的重要部分。 网络管理系统是一个软硬件结合以软件为主的分布式网络应用系统，其目的是管理网络，使网络高效、正常地运行。网络管理系统可以帮助网络管理者维护和监视网络的运行，还可以生成网络信息日志，用来分析和研究网络。2．网络管理的标准化2．网络管理的标准化网络管理的目标是确保网络的正常运行，或者当网络运行出现异常时能够及时响应和排除故障。ISO定义了网络管理五个功能域：故障管理、配置管理、计费管理、性能管理和安全管理。这五个功能域通过与其它开放系统交换管理信息，分别完成不同的网络管理功能。 （1）故障管理。故障管理是最基本的网络管理功能。故障管理是网络管理功能中与故障检测、故障诊断和故障恢复或排除等工作相关的部分，其目的是保证网络能够提供连续、可靠的服务。 （2）配置管理。配置管理也是基本的网络管理功能。一个计算机网络是由多种多样的设备连接而成的，这些被管对象的物理结构和逻辑结构各不相同，结构中的各种参数、状态和名字等信息也需要相互了解和相互适应。这对于一个大型计算机网络的运行是至关重要的。 （3）计费管理。在网络通信资源和信息资源有偿使用的情况下，计费管理功能能够统计哪些用户利用哪条通信线路传输了多少数据、访问的是什么资源等信息。因此，计费管理是商业化计算机网络的重要网络管理功能。 （4）性能管理。性能管理是通过监视和分析被管网络及其所提供服务的性能机制，用来管理和度量网络吞吐量、用户响应时间和线路利用率等系统性能。性能管理收集有关被管网络当前状况的数据信息，并以此为依据分析网络运行效率、及时发现瓶颈，为优化系统性能提供数据。性能分析的结果可以触发某个诊断测试过程或导致重新配置网络，以维持网络性能。 （5）安全管理。网络安全性既是网络管理的重要环节，也是网络管理的薄弱环节。安全管理是为了保证网络不会被非法侵入、非法使用及资源破坏。安全管理的主要内容包括：与安全措施有关的信息分发(例如，密钥的分发和访问权限的设置等)，与安全有关的事件的通知(例如，网络有非法侵入、无权用户对特定信息的访问企图等)，安全服务设施的创建、控制和删除，与安全有关的网络操作事件的记录、维护和查阅等日志管理工作等等。一个计算机网络的管理系统必须要有特定的关于网络管理的安全策略，及根据这一策略设计和实现的网络安全管理系统。3．网络管理软件3．网络管理软件网络管理软件简称“网管软件”，它是协助网络管理员对整个网络或网络中的设备进行日常管理工作的软件。网络管理软件除了要求网络设备的“管理代理”定期采集用于管理的各种信息之外，还要定期查询管理代理采集到的主机有关信息，如系统配置信息、运行状态信息和网络性能信息等。网管软件正是利用这些信息来确定和判断整个网络、网络中的独立设备或者局部网络的运行状态是否正常。对于大型网络来说，网络规模较大，网络结构复杂，一旦网络出现故障，查找与维护都很困难，因此，网络管理软件是不可缺少的助手；而对于小型网络或个人用户来说，他们的技术水平较低，聘请专业技术人员的费用又太高，因此网络管理软件可以帮助解决一些棘手的问题。由此可见，网络管理软件已经成为各种网络中必不可少的组成部分。常用的网络管理系统有HP公司的OpenView，Sun公司的NetManager，IBM公司的NetView，Cisco公司的Cisco Works和Cabletron公司的Spectrum等。9.5.2 网络维护技术9.5.2 网络维护技术1．网络故障的分类 网络故障的分类可以根据网络软、硬件结构或网络对象的不同来划分。 （1）根据网络软、硬件结构划分。根据网络软、硬件结构划分时，可以分为物理故障和逻辑故障。 物理故障指的是设备或线路损坏、插头松动、线路受到严重电磁干扰等情况，或者是人为疏忽导致网络连接错误等现象。人为的物理故障通常是在没有搞清楚网络插头规范或者没有弄清网络拓扑结构的情况下产生的。对于物理故障，可以从客户机或网络中心用ping命令检查线路连通情况，确认故障点后进行故障排除。逻辑故障中最常见的情况是配置错误，就是指因为网络设备的配置原因而导致的网络异常或故障。配置错误可能是路由器端口参数设定错误，路由器路由配置错误以至于路由循环或找不到远端地址，或者是路由掩码设置错误等。 （2）根据网络对象不同划分。根据网络对象不同划分时，可以分为线路故障、网络连接设备故障和主机故障。线路故障最常见的情况就是线路不通，对于这种情况首先检查该线路的物理连接是否畅通。然后检查线路上流量是否还存在。用ping检查线路远端的路由器端口能否响应，用 traceroute检查路由器配置是否正确，找出问题逐个解决。 （3）从网络故障本身划分。从网络故障本身来说，经常会遇到的故障有：物理层故障、数据链路层故障、网络层故障、以太网络故障、广域网络故障、TCP/IP故障、服务器故障、其他业务故障等。2．常用工具命令的使用 熟悉网络调试与故障维护过程中经常用到的一些命令或者工具软件，对于网络的调试、维护和管理非常有益。下面是常用到的一些命令。2．常用工具命令的使用 熟悉网络调试与故障维护过程中经常用到的一些命令或者工具软件，对于网络的调试、维护和管理非常有益。下面是常用到的一些命令。（1）IP测试工具Ping。Ping是测试网络联接状况以及信息包发送和接收状况非常有用的工具，是网络测试最常用的命令。Ping向目标主机（地址）发送一个回送请求数据包，要求目标主机收到请求后给予答复，从而判断网络的响应时间和本机是否与目标主机（地址）联通。如图所示，为测试成功的状态图。（2）测试TCP/IP协议配置工具Winipcfg。Winipcfg命令以窗口的形式显示IP协议的具体配置信息，命令可以显示网络适配器的物理地址、主机的IP地址、子网掩码以及默认网关等，还可以查看主机名、DNS服务器、节点类型等相关信息。（2）测试TCP/IP协议配置工具Winipcfg。Winipcfg命令以窗口的形式显示IP协议的具体配置信息，命令可以显示网络适配器的物理地址、主机的IP地址、子网掩码以及默认网关等，还可以查看主机名、DNS服务器、节点类型等相关信息。（3）测试TCP/IP协议配置工具Ipconfig。Ipconfig程序采用Windows窗口的形式来显示IP协议的具体配置信息。如果Ipconfig命令后面不跟任何参数直接运行，程序将会在窗口中显示网络适配器的物理地址、主机的IP地址、子网掩码以及默认网关等。还可以通过此程序查看主机的相关信息如：主机名、DNS服务器、节点类型等。（4）网络协议统计工具Netstat。（4）网络协议统计工具Netstat。 Netstat命令可以帮助网络管理员了解网络的整体使用情况。它可以显示当前正在活动的网络连接的详细信息，例如显示网络连接、路由表和网络接口信息，可以统计目前总共有哪些网络连接正在运行。利用命令参数，命令可以显示所有协议的使用状态，这些协议包括TCP协议、UDP协议以及IP协议等，另外还可以选择特定的协议并查看其具体信息，还能显示所有主机的端口号以及当前主机的详细路由信息。当网络中没有安装特殊的网管软件，但要对网络的整个使用状况作个详细了解时，就是Netstat大显身手的时候了。 （5）跟踪工具Tracert。Tracert命令用来显示数据包到达目标主机所经过的路径，并显示到达每个节点的时间，它把数据包所走的全部路径、节点的IP以及花费的时间都显示出来。该命令比较适用于大型网络。 3．网络软件维护3．网络软件维护计算机网络中的软件部分包括网络操作系统和通信协议及各种应用软件，因此计算机的网络软件的维护主要有常规系统维护、网络常规维护、应用软件维护和服务器系统维护及一些应用注意的问题等。9.6 典型网络工程安全解决方案实战9.6 典型网络工程安全解决方案实战9.6.1 某证券公司网络安全解决方案 9.6.2 建设行业电子政务系统网络安全实战9.6.2 建设行业电子政务系统网络安全实战9.7 本章小结9.7 本章小结 计算机网络工程的安全问题越来越引起人们的关注。本章从计算机网络安全技术的基础开始，通过典型的网络安全事件，说明网络安全问题是新世纪面临的新挑战，是架设一个安全的网络工程系统不可忽视的重要部分。介绍了常用的网络安全技术、网络安全规划与设计的基本原则。由于计算机网络工程应用范围的不断增加，在应用层的安全更复杂，安全措施要求更多，主要有网络病毒防治技术、网络入侵检测与防御技术、数据安全备份与恢复技术、数字签名、认证、防火墙技术等，重点介绍了网络病毒防治技术及实战和网络入侵检测与防御技术及应用。面对规模越来越大、功能越来越复杂的网络工程，必须具有功能强大且简单易于管理的网络管理和维护技术。本章简单介绍了网络管理技术的基本概念、网络管理标准化内容、网络管理常用软件，还简单介绍了网络维护技术的基本概念、网络故障的分类、常用网络维护工具命令、网络软件维护等内容。最后介绍了典型的网络工程安全解决方案实战。通过本章的学习，读者应了解计算机网络工程中网络安全的规划与设计原则、网络安全技术及网络工程系统管理与维护技术等基本知识及解决能力。