網絡管理與網絡安全范例6篇

前言：中文期刊網精心挑選了網絡管理與網絡安全范文供你參考和學習，希望我們的參考范文能激發你的文章創作靈感，歡迎閱讀。

網絡管理與網絡安全范文1

關鍵詞：船舶計算機網絡系統網絡安全管理

1引言

進入二十一世紀以來，隨著船舶自動化和信息化程度不斷提高，船舶計算機網絡系統及其應用得到了迅速發展。越來越多的新造船舶采用計算機網絡技術將船舶輪機監控系統、航海駕駛智能化系統、船舶管理信息系統（SMIS）等應用納入一個統一的網絡系統，實現船岸管控一體化。

在我司近幾年建造的4萬噸級以上的油輪上，普遍安裝了計算機局域網。一方面，計算機網絡用于傳輸船上動力裝置監測系統與船舶航行等實時數據；另一方面，計算機網絡用于船舶管理信息系統（功能包括船舶機務、采購、海務、安全、體系管理與油輪石油公司檢查管理）并通過網絡中船舶通訊計算機實現船岸間的數據交換，實現船岸資源共享，有利于岸基他船舶管理人員對船舶的監控與業務指導。前者屬于實時系統應用，后者屬于船舶日常管理系統應用，在兩種不同類型的網絡應用（子網）之間采用網關進行隔離。目前，船舶計算機網絡系統采用的硬件設備和軟件系統相對簡單，因此，船舶計算機網絡的安全基礎比較薄弱。隨著船齡的不斷增長，船上計算機及網絡設備逐漸老化；并且，船上沒有配備專業的人員負責計算機網絡和設備的運行維護和管理工作，所以船舶計算機及網絡的技術狀況比較差，影響各類系統的正常使用與船岸數據的交換。究其原因，除了網絡設備和網絡線路故障問題之外，大多數問題是因各類病毒與管理不善等原因所引起的。

2船舶計算機網絡架構

目前在船舶上普遍采用工業以太網，船舶局域網大多采用星型結構。

有些船舶已經在所有船員房間布設了局域網網線，而有些船舶只是在高級船員房間布設了計算機局域網網線。圖表1是一艘30萬噸超級油輪（VLCC）的計算機局域網結構圖。

圖表2 是 船舶計算機網絡拓撲結構圖。其中，局域網服務器采用HP COMPAQ DX7400（PENTIUM DUAL E2160/1.8GHZ/DDR2 512M/80G）；網關采用INDUSTRIAL COMPUTER 610（P4 2.8GHZ/DDR333 512M/80G）；交換機采用D-LINK DES-1024D快速以太網交換機（10/100M 自適應，工作在二層應用層級）。

3船舶計算機網絡系統的安全問題

2005年以來，有很多的船舶管理公司推進實施船舶管理信息系統。對于遠洋船舶來說，船上需要安裝使用船舶管理信息系統的船舶版軟件。大多數的船舶版軟件都是采用客戶端/服務器兩層架構，高級船員的辦公計算機作為客戶端，通過聯網使用船舶管理信息系統。船上的船舶管理信息系統通過電子郵件（一般采用AMOS MAIL或Rydex電子郵件）與岸基的船舶管理信息系統交換數據，實現船、岸船舶數據庫的數據同步。

根據了解，目前船舶計算機網絡最主要的問題（也是最突出的現狀）是安全性和可用性達不到船舶管理信息系統運行使用的基本要求。船舶管理信息系統數據庫服務器與郵件服務器之間，以及船員的辦公計算機與船舶管理信息系統數據庫服務器之間經常無法聯通。經過上船檢查發現，影響船舶計算機網絡系統正常運行的主要原因是計算機病毒。大多數船舶的辦公計算機采用微軟操作系統，一方面沒有打補丁，另一方面尚未采取有效的防病毒措施，比如沒有安裝單機版或網絡版防病毒軟件。有些船舶雖然安裝了防病毒軟件，但是因為不能及時進行防毒軟件升級和病毒庫更新，所以無法查殺新病毒或新的變種病毒等，從而失去防病毒作用。經過調查分析，船上計算機病毒的主要來源是：（1）在局域網中的計算機上使用了帶有病毒的光盤、優盤、移動硬盤等存儲介質；（2）將帶有病毒的筆記本電腦接入了船上的局域網；（3）在局域網中的計算機上安裝有無線上網卡，通過無線上網（沿海航行或停靠港口時）引入了病毒/蠕蟲/木馬/惡意代碼等。

為了解決上述問題，有的企業在船舶辦公計算機上安裝了硬盤保護卡；也有一些企業在船舶辦公計算機上安裝了“一鍵恢復”軟件；另外還有企業開始在船舶計算機網絡系統中安裝部署專業的安全管理系統軟件和網絡版防病毒軟件。

若要從根本上增強船舶計算機網絡系統的安全性和可用性，則需要考慮以下條件的限制：（1）船上的計算機網絡架構在出廠時已經固定，除非船舶正在建造或者進廠修理，否則，凡是處于運營狀態的船舶，不可能立即為船舶管理信息系統專門建設一個物理上獨立的計算機局域網。（2）限于資金投入和船上安裝場所等原因，船上的計算機網絡設備或設施在短期內也不可能無限制按需增加。（3）從技術管理的角度看，在現階段，船舶仍不可能配備具有專業水平的網絡人員對計算機網絡系統進行管理。（4）因衛星通信通道和通信費用等原因，遠洋船舶的辦公計算機操作系統（微軟Windows 系列）不可能從因特網下載補丁和打補??；船舶局域網中的防病毒軟件和病毒庫不可能及時升級和更新。總體上看，解決船舶計算機網絡安全方面的問題，與陸地上確實有許多不同之處。

4船舶計算機網絡系統的安全需求分析

為提高船舶計算機網絡系統的可用性，即船舶計算機網絡系統任何一個組件發生故障，不管它是不是硬件，都不會導致網絡、系統、應用乃至整個網絡系統癱瘓,為此需要增強船舶計算機網絡系統的可靠性、可恢復性和可維護性。其中:（1）可靠性是指針對船舶上的溫度、濕度、有害氣體等環境，提高網絡設備和線路的技術要求，有關的設計方案在船舶建造和船舶修理時進行實施和實現。（2）可恢復性，是指船舶計算機網絡中任一設備或網段發生故障而不能正常工作時，依靠事先的設計，網絡系統自動將故障進行隔離。（3）可維護性，是指通過對船舶計算機網絡系統和網絡的在線管理，及時發現異常情況，使問題或故障能夠得到及時處理。

研究解決船舶計算機網絡系統安全管理問題，必須考慮現實的條件和實現的成本?？偟脑瓌t是：方案簡潔、技術成熟；經濟性好、實用性強；易于實施、便于維護。因此，在盡量利用現有設備和設施、擴充或提高計算機及網絡配置、增加必要的安全管理系統軟件、嚴格控制增加設備的前提下，通過采用邏輯域劃分、病毒防殺、補丁管理、網絡準入、外設接口管理、終端應用軟件管理和移動存儲介質管理等手段，以解決船舶計算機網絡系統最主要的安全問題。

在對船舶計算機網絡采取安全防護技術措施的同時，還需要制定船舶計算機網絡系統安全管理制度；定制船舶計算機網絡系統安全策略和安全管理框架；對船員進行計算機及網絡系統安全知識教育，增強船員遵守公司制定的計算機網絡安全管理規定的意識和自覺性。

（1）加強船舶計算機病毒的防護，建立全面的多層次的防病毒體系，防止病毒的攻擊；

（2）采用專用的設備和設施實現船舶安全策略的強制執行，配合防毒軟件的部署與應用;

（3）加強船舶計算機網絡管理，通過桌面管理工具實現船舶計算機網絡運行的有效控制;

（4）制定相關的網絡安全防護策略，以及網絡安全事件應急響應與恢復策略，在正常預防網絡安全事件的同時，做好應對網絡安全事件的準備。

5船舶計算機網絡系統安全管理要求

5.1確定船舶網絡系統安全管理目標

基于以上對船舶計算機網絡系統安全問題和可用性需求的分析，我們認為解決網絡系統安全問題的最終目標是：

通過船舶計算機網絡系統安全管理制度的制定，安全策略和安全管理框架的開發，定制開發和部署適合船舶計算機網絡系統特點的安全管理系統，確保船舶計算機網絡系統安全可靠的運行和受控合法的使用，滿足船舶管理信息系統正常運行、業務運營和日常管理的需要。

通過實施船舶計算機網絡系統安全技術措施，達到保護網絡系統的可用性，保護網絡系統服務的連續性，防范網絡資源的非法訪問及非授權訪問，防范人為的有意或無意的攻擊與破壞，保護船上的各類信息通過局域網傳輸過程中的安全性、完整性、及時性，防范計算機病毒的侵害，實現系統快速恢復，確保船舶計算機網絡的安全運行和有效管理。總體上從五方面考慮：

（1）針對管理級安全，建立一套完整可行的船舶計算機網絡系統安全管理制度，通過有效的貫徹實施和檢查考核，實現網絡系統的安全運行管理與維護；

（2）針對應用級安全，加強船舶計算機網絡防病毒、防攻擊、漏洞管理、數據備份、數據加密、身份認證等，采用適合的安全軟硬件，建設安全防護體系；

（3）針對系統級安全，加強對服務器、操作系統、數據庫的運行監測，加強系統補丁的管理，通過雙機（或兩套系統）的形式保證核心系統運行，當發生故障時，能及時提供備用系統和恢復；

（4）針對網絡級安全，保證船舶計算機網絡設備、網絡線路的運行穩定，對核心層的網絡設備和線路提供雙路的冗余；

（5）針對物理級安全，保證船舶計算機網絡系統數據的安全和系統及時恢復，加強信息和數據的備份和各類軟件介質的管理。

5.2網絡系統安全配置原則

船舶計算機網絡系統是一套移動的計算機網絡系統，沒有專業的安全管理人員，缺乏專業的安全管理能力；船舶數量多，船舶計算機網絡系統規模小和相對比較簡潔，因此，不能按照企業網絡的安全管理體系來構建船舶計算機網絡系統的安全管理體系，必須制定經濟實用的網絡安全設計原則。

需求、風險、代價平衡的原則

對船舶計算機網絡系統進行切合實際的分析與設計，對系統可能面臨的威脅或可能承擔的風險提出定性、定量的分析意見，并制定相應的規范和措施，確定系統的安全策略。

綜合性、整體性、系統性原則

船舶計算機網絡系統安全是一個比較復雜的系統工程，從網絡系統的各層次、安全防范的各階段全面地進行考慮，既注重技術的實現，又要加大管理的力度，制定具體措施。安全措施主要包括：行政法律手段、各種管理制度以及專業技術措施。

易于操作、管理和維護性原則

在現階段，船舶上不可能配備專業的計算機系統安全管理員，采用的安全措施和系統應保證易于安裝、實施、操作、管理和維護，并盡可能不降低對船舶計算機網絡系統功能和性能的影響。

可擴展性、適應性及靈活性原則

船舶計算機網絡安全管理系統必須組件化或模塊化，便于部署；安全策略配置靈活，具有較強的適應性，能夠適應各種船舶的計算機網絡系統復雜多樣的現狀；安全管理系統必須具有較好的可擴展性，便于未來進行安全功能的擴展。

標準化、分步實施、保護投資原則

依照計算機系統安全方面的有關法規與行業標準和企業內部的標準及規定，使安全技術體系的建設達到標準化、規范化的要求，為拓展、升級和集中統一打好基礎。限于計算機系統安全理論與技術發展的歷史原因和企業自身的資金能力，對不同情況的船舶要分期、分批建設一些整體的或區域的安全技術系統，配置相應的設施。因此，依據保護系統安全投資效益的基本原則，在合理規劃、建設新的網絡安全系統或投入新的網絡安全設施的同時，對現有網絡安全系統應采取完善、整合的辦法，使其納入總體的網絡安全技術體系，發揮更好的效能，而不是排斥或拋棄。

5.3網絡安全管理的演進過程

建立、健全船舶計算機網絡系統安全管理體系，首先要建立一個合理的管理框架，要從整體和全局的視角，從信息系統的管理層面進行整體安全建設，并從信息系統本身出發，通過對船上信息資產的分析、風險分析評估、網絡安全需求分析、安全策略開發、安全體系設計、標準規范制定、選擇安全控制措施等步驟，從整個網絡安全管理體系上來提出安全解決方案。

船舶計算機網絡系統安全管理體系的建設須按適當的程序進行，首先應根據自身的業務性質、組織特征、資產狀況和技術條件定義ISMS的總體方針和范圍，然后在風險分析的基礎上進行安全評估，同時確定信息安全風險管理制度，選擇控制目標，準備適用性聲明。船舶計算機網絡系統安全管理體系的建立應遵循PDCA的過程方法，必須循序漸進，不斷完善，持續改進。

6建立健全船舶計算機網絡安全管理制度

針對船舶計算機及網絡系統的安全，需要制定相關法規，結合技術手段實現網絡系統安全管理。制度和流程制定主要包括以下幾個方面：

制定船舶計算機及網絡系統安全工作的總體方針、政策性文件和安全策略等，說明機構安全工作的總體目標、范圍、方針、原則、責任等；

對安全管理活動中的各類管理內容建立安全管理制度，以規范安全管理活動，約束人員的行為方式；

對要求管理人員或操作人員執行的日常管理操作，建立操作規程，以規范操作行為，防止操作失誤；

形成由安全政策、安全策略、管理制度、操作規程等構成的全面的信息安全管理制度體系；

由安全管理團隊定期組織相關部門和相關人員對安全管理制度體系的合理性和適用性進行審定。

7 總結

對于船舶計算機網絡安全按作者的經驗可以針對不同類型、不同情況的具體船舶，可以結合實際需要和具體條件采取以下解決方案：

1.對于正在建造的船舶和準備進廠修理的船舶，建議按照較高級別的計算機網絡安全方案進行實施，全面加固船舶計算機及網絡的可靠性、可恢復性和可維護性，包括配置冗余的網絡設備和建設備用的網絡線路。

2.對于正在營運的、比較新的船舶，建議按照中等級別的計算機網絡安全方案進行實施，若條件允許，則可以增加專用的安全管理服務器設備，更新或擴充升級原有的路由器或交換機。

3.對于其它具備計算機局域網、船齡比較長的船舶，建議按照較低級別的計算機網絡安全方案進行實施，不增加專用的安全管理服務器設備，主要目標解決計算機網絡防病毒問題。

4.對于不具備計算機局域網的老舊船舶，可以進一步簡化安全問題解決方案，著重解決船舶管理信息系統服務器或單機的防病毒問題，以確保服務器或單機上的系統能夠正常運行使用。

參考文獻：

網絡管理與網絡安全范文2

論文摘要：隨著計算機網絡和通信技術的迅猛發展，以及網絡技術的廣泛應用，Web在為人們帶來快捷的同時也增加了一定的不安全因素，文章從web網絡的管理、Web服務器的安全特性以及web網絡的防御措施等方面進行了探討與分析。

1、引言

Web起源于1991年，伯納斯－李制作了一個網絡工作所必須的所有工具：第一個萬維網瀏覽器和第一個網頁服務器，標志著因特網上萬維網公共服務的首次亮相。

Web是圖形化的和易于導航的，它非常流行的一個很重要的原因就在于它可以在一頁上同時顯示色彩豐富的圖形和文本的性能。Web可以提供將圖形、音頻、視頻信息集合于一體的特性。同時，Web是非常易于導航的，只需要從一個連接跳到另一個連接，就可以在各頁各站點之間進行瀏覽了?；赪eb的優勢，以及計算機網絡和通信技術的迅猛發展，Web網絡技術倍受青睞，廣泛應用于各個行業，Web網絡的管理與安全防御也凸顯其重要地位。下面，將對Web網絡的管理及其安全防御技術進行一些表述和探討。

2、網絡管理的作用及發展趨勢

2.1、網絡管理的作用

網絡的作用在于實現信息的傳播與共享。為了確保正確、高效和安全的通信，我們必須對網絡的運行狀態進行監測和控制，進而提出了網絡管理的概念。

網絡管理是指對網絡的運行狀態進行監測和控制，使其能夠有效、可靠、安全、經濟地提供服務。網絡管理包含兩個任務，一是對網絡的運行狀態進行監測，二是對網絡的運行狀態進行控制。通過監測可以了解當前狀態是否正常，是否存在瓶頸和潛在的危機；通過控制可以對網絡狀態進行合理調節或配置，提高性能，保證服務。

2.2、網絡管理的發展趨勢

網絡管理的根本目標是滿足運營商及用戶對網絡的有效性、可靠性、開放性、綜合性、安全性和經濟性的要求。隨著網絡互連技術的飛速發展，網絡管理技術自身也在不斷發展。目前計算機網絡管理技術的發展主要表現在以下三方面：

（一）網絡管理集成化：允許用戶從單一平臺管理各種協議的多種網絡，通過一個操作平臺實現對多個互連的異構網絡的管理?；赪EB的網絡管理模式融合了WEB功能和網絡管理技術，允許網絡管理人員通過與WWW同樣形式去監視網絡系統，通過使用WEB瀏覽器，管理人員在網絡的任何節點上都可以方便配置、控制及訪問網絡，這種新的網絡管理模式同時還可以解決異構平臺產生的互操作問題。基于WEB的網絡管理提供比傳統網管界面更直接，更易于使用的界面，降低了對網絡管理操作和維護人員的要求。

（二）網絡管理的智能化：采用人工智能技術進行自動維護、診斷、排除故障以及維持網絡運行在最佳狀態，如處理不確定問題、協同工作、適應系統變化并能通過解釋和推理對網絡實施管理和控制?，F代網絡管理正朝著網管智能化方向發展。智能化網絡有能力綜合解釋底層信息，對網絡進行管理和控制。同時，智能化網管能夠根據已有的不很完全、不很精確的信息對網絡的狀態做出判斷。

（三）網絡管理層次化。隨著網絡規模的擴大，SNMP管理機制的弱點被充分暴露出來。SNMP是一種平面型網管架構，管理者容易成為瓶頸。傳輸大量的原始數據既浪費帶寬，又消耗管理者大量的CPU時間，使網管效率降低。解決這個問題，可以在管理者與之間增加中間管理者，實現分層管理，將集中式的網管架構改變為層次化的網管架構。

3、Web網絡的安全防御

每個Web站點都有一個安全策略，這些策略因需而異，必須根據實際需要和目標來設置安全系統，估計和分析風險。在制定安全策略之前，首先要做威脅分析，其中包括：有多少外部入口點存在；威脅是否來自網絡內部；威脅是否來自工業間諜；入侵者將訪問哪些數據庫、表、目錄或信息；威脅是網絡內部的非授權使用還是移動數據；數據被破壞還是遭受攻擊，或是網絡內外非授權的訪問、地址欺騙、IP欺騙、協議欺騙等。根據威脅程度的大小做相應的評價分析，以作為設計網絡安全系統的基本依據。

3.1、Web服務器的安全特性

Web服務器是整個網絡的關鍵，它的安全性則成為重中之重。首先，分析用戶與站點聯接時會發生哪些事件和動作。每次用戶與站點建立聯接，其客戶機會向服務器傳送機器的IP地址、有時，Web站點接到的IP地址可能不是客戶的地址，而是它們請求所經過的服務器地址。服務器看到的是代表客戶索要文檔的服務器的地址。由于使用HTTP協議，客戶也可以向Web服務器表明發出請求的用戶名。

如果不要求服務器獲得消息，服務首先會將IP地址轉換為客戶的域名。為了將IP地址轉化為域名，服務器與一個域名服務器聯系，向其提供這個IP地址，并獲得相應的域名。通常，如果IP地址設置不正確，就不能轉換。一旦Web服務器獲得IP地址和客戶可能的域名，它就開始一系列的驗證手段以決定客戶是否有所要求的訪問文檔。這就存在一定的安全漏洞：客戶可能永遠得不到要求的信息，因為服務器偽造了域名，客戶可能無法獲得授權訪問信息，服務器可能向另一用戶發送信息；誤認闖入者為合法用戶，服務器允許其進入訪問，Web服務器的安全也將會受到威脅。

3.2、監視控制Web站點出入情況

為了防止和追蹤黑客闖入和內部濫用，需要對Web站點上的出入情況進行監視控制?？梢越柚恍┕ぞ咛峁椭?，如，假定Web服務器置于防火墻之后，可將一種Web統計軟件“Wusage”裝在服務器上，監控通過服務器的信息情況，這一工具可以列出被訪問次數最多的站點及站點上來往最頻繁的用戶。為了加強安全性，必須監控出入站點的情況、訪問請求及命中次數，這樣可以更好的顯示站點的狀態。

3.3、Web網絡的防御措施

為了確保Web服務的安全，通常采用以下幾種技術措施：

在現有的網絡上安裝防火墻，對需要保護的資源建立隔離區；

對機密敏感的信息進行加密存儲和傳輸；

在現有網絡協議的基礎上，為C/S通信雙方提供身份認證并通過加密手段建立秘密通道；

對沒有安全保證的軟件實施數字簽名，提供審計、追蹤手段，確保一旦出現問題可立即根據審計日志進行追查等。

其中，防火墻是位于內部網絡與因特網之間的計算機或網絡設備中的一個功能模塊，是按照一定的安全策略建立起來的硬件和軟件的有機結合體，其目的是為內部網絡或主機提供安全保護，控制可以從外表訪問內部受保護的對象。按運行機制可以分為包過濾和兩種。

包過濾主要是針對特定地址主機提供的服務，其基本原理是在網絡傳輸的TCP層截獲IP包，查找出IP包的源和目的地址及端口號，還有包頭中的其他信息，并根據一定的過濾原則，確定是否對此包進行轉發。

在應用層實現，其基本原理是對Web服務單獨構造一個程序，它不允許客戶程序與服務器程序直接交互，必須通過雙方程序才能進行信息的交互；還可以在程序中實現其他的安全控制措施，如用戶認證和報文加密等，從而達到更高的安全性能。

參考文獻：

[1]褚英國.《關于Web應用層深度防御系統的研究與實踐》.計算機時代，2009

網絡管理與網絡安全范文3

關鍵詞： 計算機網絡安全威脅; 安全體系; 網絡管理

一．引言

近年來，在計算機網絡技術應用的深入發展中，網絡安全問題已經逐漸成為網絡建設中的核心問題。網絡系統是一個由眾多計算機和網絡設備，以及網絡系統軟件構成的一個復雜的集成系統。在因特網絡上，互聯網本身沒有時空和地域的限制，每當有一種新的攻擊手段產生，就能在很短時間內傳遍全世界，這些攻擊手段利用網絡和系統漏洞進行攻擊從而造成計算機系統及網絡癱瘓。因此,計算機網絡的安全與管理越來越受到人們的關注,成為一個研究的新課題。

二．計算機網絡安全威脅分析

（1）計算機網絡面臨的安全性威脅

①非法授權訪問。威脅源成功地破壞訪問控制服務, 如修改訪問控制文件的內容, 實現了越權訪問。②非法連接。威脅源以非法手段形成合法的身份, 在網絡實體與網絡源之間建立非法連接。③拒絕服務。阻止合法的網絡用戶或其他合法權限的執行者使用某項服務。④信息泄露。未經授權的實體獲取到傳輸中或存放著的信息, 造成泄密。⑤無效的信息流。對正確的通信信息序列進行非法修改、刪除或重復, 使之變成無效信息。⑥偽裝。威脅源泉成功地假扮成另一個實體,隨后濫用這個實體的權利。

（2）計算機網絡面臨的安全攻擊

安全攻擊的形式: 計算機網絡的主要功能之一是通信,信息在網絡中的流動過程有可能受到中斷、截取、修改或捏造形式的安全攻擊。

①中斷。中斷是指破壞采取物理或邏輯方法中斷通信雙方的正常通信, 如切斷通信線路、禁用文件管理系統等。②截取。截取是指未授權者非法獲得訪問權,截獲通信雙方的通信內容。③修改。修改是指未授權者非法截獲通信雙方的通信內容后, 進行惡意篡改。如病毒可能會感染大量的計算機系統，占用網絡帶寬，阻塞正常流量，發送垃圾郵件，從而影響計算機網絡的正常運行。④捏造。捏造是指未授權者向系統中插入仿造的對象, 傳輸欺騙性消息。

三． 計算機網絡安全體系的建立

建立開放系統互聯標準的安全體系結構框架,為網絡安全的研究奠定了基礎。

(1)身份認證。身份認證是訪問控制的基礎,是針對主動攻擊的重要防御措施。身份認證必須做到準確無誤地將對方辨別出來,同時還應該提供雙向認證,即互相證明自己的身份。網絡環境下的身份認證更加復雜,因為驗證身份一般通過網絡進行而非直接參交互,常規驗證身份的方式(如指紋)在網絡上已不適用;再有,大量黑客隨時隨地都可能嘗試向網絡滲透,截獲合法用戶口令,并冒名頂替以合法身份入網,所以需要采用高強度的密碼技術來進行身份認證。目前安全性較高的是USBKEY認證方法，這種方法采用軟硬件相結合，很好地解決了安全性與易用性之間的矛盾。USBKEY是一種USB接口的硬件設備，用戶的密鑰或數字證書無需存于內存，也無需通過網絡傳播。因此，大大增強了用戶使用信息的安全性。

(2)訪問控制。訪問控制的目的是控制不同用戶對信息資源的訪問權限,是針對越權使用資源的防御措施。訪問控制可分為自主訪問控制和強制訪問控制兩類。實現機制可以是基于訪問控制的屬性的訪問控制表(或訪問控制矩陣), 也可以是基于安全標簽、用戶分類及資源分檔的多級控制。

(3)數據保密。數據保密是針對信息泄露的防御措施。數據加密是常用的保證通信安全的手段,但由于計算機技術的發展,使得傳統的加密算法不斷地被破譯,不得不研究更高強度的加密算法,如目前的DES算法,公開密鑰算法等。

(4)數據完整性。數據完整性是針對非法篡改信息、文件及業務流而設置的防范措施。也就是說網上所傳輸的數據防止被修改、刪除、插入、替換或重發,從而保護合法用戶接收和使用該數據的真實性。

(5)加密機機制。加密技術的出現為全球電子商務提供了保證,從而使基于因特上的電子交易系統成為了可能，因此完善的對稱加密和非對稱加密技術仍是21世紀的主流。對稱加密是常規的以口令為基礎的技術,加密運算與解密運算使用同樣的密鑰。不對稱加密，即加密密鑰不同于解密密鑰,加密密鑰公之于眾,誰都可以用,解密密鑰只有解密人自己知道。

(6)路由控制機制。一套完整的防火墻系統通常是由屏蔽路由器和服務器組成。屏蔽路由器是一個多端口的IP路由器,它通過對每一個到來的IP包依據組規則進行檢查來判斷是否對之進行轉發。屏蔽路由器從包頭取得信息，例如協議號、收發報文的IP地址和端口號、連接標志以至另外一些IP選項，對IP包進行過濾。服務器是防火墻中的一個服務器進程，它能夠代替網絡用戶完成特定的TCP/TP功能。一個服務器本質上是一個應用層的網關一個為特定網絡應用而連接兩個網絡的網關。用戶就一項TCP/TP應用,比如Telnet或者FTP，同服務器打交道，服務器要求用戶提供其要訪問的遠程主機名。當用戶答復并提供了正確的用戶身份及認證信息后，服務器連通遠程主機，為兩個通信點充當中繼。整個過程可以對用戶完全透明。用戶提供的用戶身份及認證信息可用于用戶級的認證。

(7)入侵檢測技術。隨著網絡安全風險系數不斷提高,作為對防火墻及其有益的補充,IDS（入侵檢測系統）能夠幫助網絡系統快速發現攻擊的發生,它擴展了系統管理員的安全管理能力，提高了信息安全基礎結構的完整性。入侵檢測系統是一種對網絡活動進行實時監測的專用系統，該系統處于防火墻之后,可以和防火墻及路由器配合工作,用來檢查一個LAN網段上網段上的所有通信,記錄和禁止網絡活動,可以通過重新配置來禁止從防火墻外部進入的惡意流量。入侵檢測系統能夠對網絡上的信息進行快速分析或在主機上對用戶進行審計分析，通過集中控制臺來管理和檢測。

(8)備份系統。備份系統可以全盤恢復運行計算機系統所需的數據和系統信息。對系統設備的備份。備份不僅在網絡系統硬件故障或人為失誤時起到保護作用,也在入侵者非授權訪問或對網絡攻擊及破壞數據完整性時起到保護作用。

四．計算機網絡管理

(1)計算機網絡管理概述

計算機網絡管理分為兩類。第一類是計算機網絡應用程序、用戶帳號(例如文件的使用)和存取權限(許可)的管理,屬于與軟件有關的計算機網絡管理問題。第二類是對構成計算機網絡的硬件管理, 包括對工作站、服務器、網卡、路由器、網橋和集線器等的管理。通常情況下這些設備都分散在網絡中,當設備有問題發生時網絡管理員希望可以自動地被告通知,為了解決這個問題,在一些設備中已經具有網絡功能,可以遠程地詢問它們的狀態,使它們在有某種特定類型的事件發生時能夠發出警告。這種設備通常被稱為“智能”設備。網絡管理應遵循以下的原則: 由于管理信息而帶來的通信量不應明顯的增加網絡的通信量。被管理設

備上的協議不應明顯的增加系統處理的額外開銷,以致于削弱該設備的主要功能。

(2)計算機網絡管理的功能

國際標準化組織ISO定義了網絡管理的五個功能域,分別是: 故障管理、配置管理、計費管理、性能管理和安全管理。

①故障管理。故障管理是對網絡中的問題或故障進行檢測、隔離和糾正。使用故障管理技術,網絡管理者可以盡快地定位問題或故障點,排除問題故障。故障管理的過程包括3個步驟。a.發現問題;b.分離問題,找出故障的原因;c.如果可能, 盡量排除故障。

②配置管理。配置管理是發現和設置網絡設備的過程。配置管理提供的主要功能是通過對設備的配置數據提供快速的訪問,增強網絡管理人員對網絡的控制;可以將正在使用的配置數據與存儲在系統中的數據進行比較,而發現問題;可以根據需要方便地修改配置。配置管理主要是包括下面三個方面的內容:a.獲得關于當前網絡配置的信息;b.提供遠程修改設備配置的手段;C.存儲數據、維護最新的設備清單并根據數據產生報告。

③安全管理。安全管理是控制對計算機網絡中的信息的訪問的過程。提供的主要功能是正確操作網絡管理和保護管理對象等安全方面的功能。具體包括:

a.支持身份鑒別, 規定身份鑒別過程;b.控制和維護授權設施;c.控制和維護訪問權限;d.支持密鑰管理;f.維護和檢查安全日志。

計算機網絡的規模越來越大、復雜程度越來越高,為了保證計算機網絡良好的性能,確保向用戶提供滿意的服務,必須使用計算機網絡管理系統對計算機網絡進行自動化的管理。計算機網絡管理系統的功能是管理、監視和控制計算機網絡, 即對計算機網絡進行了配置, 獲取信息、監視網絡性能、管理故障以及進行安全控制。計算機網絡管理系統對計算機網絡的正常運行起著極其重要的作用。

五．結束語

計算機網絡信息安全工作貫穿于計算機網絡建設、發展的始終,需要我們時刻重視,不斷學習。只有加強網絡與信息安全管理,增強安全意識,不斷改進和發展網絡安全保密技術,才能防范于未然,確保計算機網絡的安全、可靠地運行。

參考文獻:

網絡管理與網絡安全范文4

1.l計算機網絡安全隱患分析

由于計算機網絡的開放性和互動性，導致計算機網絡安全存在很多問題。主要表現在以下幾個方面:

第一，網絡系統存在問題。主要表現在三個方面:一是操作系統存在漏洞，由于操作系統比較龐大且需要不斷進行升級更新，而操作系統的漏洞并不能通過補丁程序來完善，因此，操作系統存在很大漏洞，增加了網絡系統的安全隱患。二是網絡協議存在漏洞，包括Intemet傳輸協議、通信協議不完善，網絡協議的漏洞，增加了網絡安全隱患。三是由于處于開放狀態的網絡平臺由于缺乏有效的保護，導致計算機網絡在存儲處理、數據傳輸方面容易受到攻擊。

第二，人為原因。人為原因主要有兩點:一是由于病毒人侵、黑客攻擊行為，對網絡安全造成很大威脅。計算機網絡的開放性和快捷性，在病毒人侵等情況下，能夠迅速擴散開來，導致計算機硬件受損或是系統整體癱瘓，對計算機信息和文件造成損壞。二是由于網絡管理人員的素質較低，不能及時采取有效措施，預防和控制計算機網絡的安全問題。在計算機病毒人侵和各種非法訪問情況下，不能進行有效抑制和排除，導致計算機網絡安全防護不到位。

1.2計算機網絡安全技術分析

計算機網絡安全技術主要包括以下幾種:

第一，防火墻技術。防火墻技術是當前應用最為普遍的計算機網絡安全技術，能夠刊計算機硬件和軟件進行有效防護。防火墻位于網絡連接邊界，能夠對進出網絡的信息安全進行有效保護，結合訪問控制措施，能夠對信息進行有效控制。從防火墻的功能來看，防火墻技術不僅能對網絡外部攻擊行為進行有效控制，還能夠采用攔截方式來保證信息安全傳輸。再者，防火墻能夠將Interllet和內網進行隔離，在內網隔離上，還可以通過不同網段距離來保證內網安全。從目前防火墻技術應用來看，可以分為兩種:一是過濾防火墻。過濾防火墻主要適用于數據包的過濾，能夠對網絡數據包進行分析和選擇，根據數據包地址、協議等因素判斷數據包的安全與否。換句話說，該項過濾技術能夠通過網絡允許和阻止功能，形成了多層次的網絡安全機制。二是應用級網關。應用級網關主要用于特殊網絡中，如對網絡服務協議下的指定數據進行過濾，在數據包統計和分析的過程中，形成完整的安全報告。通過應用級網關的防護作用，能夠對注冊信息進行精細化管理，對復雜訪問進行有效控制。

第二，數字加密技術。數字加密技術作為最安全最基本的安全技術之一，對復雜網絡的安全防護有重要的作用。數字加密技術即將受保護的數據源通過密文轉換的按時，以密文形式將該信息進行存儲或者傳輸。通過這樣的過程，能夠保證數據信息在存儲或者傳輸狀態下，不被外界獲取或者攻擊，對該信息源進行有效保護。數字加密技術防護級別的高低，與密碼長度有很大關系，在不同網絡狀態下，密碼的保護性有很大不同。從目前來看，密碼技術主要有兩種算法:對稱密碼和非對稱密碼。對稱密碼算法指的是數據包加密、解密的密匙是一樣的，安全系數高低和密匙安全有緊密聯系。非對稱密碼算法指的是數據包加密、解密的密匙是不同的，通過破解加密密匙比較困難，數據信息安全性比較高。

第三，人侵檢測技術。人侵檢測技術時通過刊計算機網絡資源存在的安全問題進行有效識別，并及時做出反應的過程。在計算機網絡運行過程中，人侵檢測技術通過對計算機網絡的關鍵信息、網絡行為、安全日志、審計數據進行收集和分析，對網絡中是否存在違法行為和攻擊現象進行確認。與防火墻技術相比，人侵檢測技術是一種主動性較強的安全防護技術，能夠對計算機網絡遭受的各種內部攻擊、誤操作、外部攻擊行為進行防護，在計算機網絡遭受危害之前進行有效攔截，能夠彌補防火墻技術和數字加密技術防護中的不足。人侵檢測技術作為一種重要的計算機網絡安全防護技術，在不影響系統正常使用的前提下，能夠對計算機系統運行中所面臨的安全問題進行監測，不僅擴展了計算機系統的管理能力，也增強了計算機系統信息保護的合理性。從人侵檢測技術的功能來看，具有以下功能:一是能夠對用戶的各種網絡操作行為進行統計分析;二是能夠對計算機系統的運行情況及構造變化情況進行掌握，進而采取必要措施消除網絡安全問題;三是在攻擊行為出現后，人侵檢測技術在識別之后及時發出警報;四是對各種網絡異常問題進行分析，進而評估各種網絡安全信息。五是能夠對操作系統的運行情況進行有效管理。第四，訪問控制技術和網絡追蹤技術。在計算機網絡運行中，可以通過合理控制網絡訪問行為，建立訪問網絡準則，結合素質簽名技術來保證數據的有效性，對用戶的訪問行為進行有效控制，以降低網絡運行的安全隱患。同時，對計算機網絡運行信息進行收集，鎖定計算機網絡攻擊行為的IP地址，來分析攻擊者在網絡中的活動軌跡，從而采取措施以防止網絡安全事故發生。

二、計算機網絡管理技術

2.1網絡配置管理

網絡配置對計算機網絡系統的運行狀況有重要的影響，因此，應加強網絡配置管理，通過初始化網絡并配置相應的網絡系統，能夠為網絡系統提供各種服務。網絡配置管理是通過監視組、控制組、定義組、辨別組組成的通信網絡對象，為計算機網絡提供各種必需的功能，以優化網絡性能或者實現網絡系統的某種特定的功能。

2.2網絡性能管理

網絡性能管理是主要是對網絡系統的各種資源配置情況和通信效率情況進行分析和評估。性能管理的能力主要應包括分析和監視計算機網絡系統及服務性能。性能分析結果對整個網絡的運行情況有很大影響，通過網絡重新配置和觸及某處診斷測試點，以維護計算機網絡系統的性能。在性能管理和搜集分析上，通過被管網絡的運行狀況數據的搜集，能夠分析和維持網絡性能日志。

2.3網絡故障管理

網絡故障管理是計算機網絡管理的重要內容。在計算機網絡技術的應用上，網絡用戶對計算機網絡的可靠性要求非常高。當計算機網絡系統某個組成部件出現問題時，網絡管理器應迅速查找出故障源，并進行排除。在通常經常下，由于隔離時間會有很大限制，且網絡故障原因比較復雜，網絡故障可能會因為多個原因共同引起。因此，在網絡故障管理時，應先對網絡進行修復，通過網絡故障產生的原因再采取相應的措施，還能預防同類故障的重復發生。在網絡故障管理時，可以分為故障檢測、故障隔離、故障糾正三項內容。故障檢測是通過對網絡部件的運行狀態進行實時監測，將不嚴重的故障列人錯誤日志，不進行特殊處理。對于一些比較嚴重的故障，應該及時通知相應的網絡管理器，及時發出警報，根據警報信息對故障進行有效排除。在故障非常復雜難以處理時，應通過網絡管理器的診斷測試來判斷故障出現的原因。

2.4網絡安全管理

計算機網絡的開放性和互動性等特點，決定了計算機網絡系統存在很大漏洞，容易遭受各種網絡攻擊行為，對計算機網絡的正常運行造成破壞和干擾。因此，為了對計算機網絡系統的安全問題進行有效防護，對各種非法訪問和步伐操作進行控制，需要刊計算機網絡安全進行管理，保證計算機網絡信息的完整性和機密性。

三、網絡管理的未來發展趨勢

從總體上看，新型綜合網管軟件的系統開放性更強，具有易用性、可伸縮性、可移植性、兼容性等優點，是未來網絡管理軟件和網絡管理技術的發展趨勢。從網絡管理技術的發展歷程來看，分布式技術作為網絡管理技術最核心的內容，在推定網絡管理技術發展方面產生了重要的影響，因而越來越受到社會的關注。同時，基于遠程管理目標的B/S結構逐漸發展起來，逐漸成為了計算機網絡管理的主要結構。計算機網絡管理軟件體系的框架也呈現出集中式、分布式、集中分布式等結構并存的局面，能夠適應規模不同的網絡管理的需要。故障自動診斷及排除、智能模擬等人工智能技術在網絡管理軟件中的應用也大大增加。在網絡底層技術標準化、網絡應用不斷增多和增多的情況下，網絡管理的發展方向也更加傾向于業務、應用和系統管理。網絡管理軟件在網絡規劃決策支持方面的作用也日益顯現出來，逐漸發展成為除網絡故障和安全以外的最重要的職能。隨著網絡安全與網絡管理的有機結合，推動了網絡綜合化管理的發展，越來越多的網絡用戶更加希望能夠將網絡安全與網絡管理應用到同一管理平臺上，通過這樣的整合實現對網絡資源的有效整合。

四、結束語

網絡管理與網絡安全范文5

[關鍵詞] 網絡； 安全； 防火墻； 包過濾； 密鑰； 安全套接字

doi ： 10 . 3969 / j . issn . 1673 - 0194 . 2013 . 19. 051

[中圖分類號] TP311.5 [文獻標識碼] A [文章編號] 1673 - 0194（2013）19- 0092- 03

1 概 述

在人類進入信息時代的今天，計算機技術與通信技術已趨于成熟，人們對計算機網絡已不陌生。作為信息社會的基礎設施的計算機網絡滲透到了社會的各個方面，如政府部門、商業、軍事、教育和科研等領域都離不開網絡技術的支持[1-2]。隨著信息社會對計算機網絡的依賴程度越來越高，對網絡的安全管理也提出了更高的要求[3]。

隨著時代的進步和科技的發展，不同國家和地區的人們在網絡上開展多種多樣的應用與服務；同時出于各種目的盜用資源、竊取機密、破壞網絡的人也越來越多，商業、政府、軍事部門的許多重要信息在傳輸、存儲的過程中，有可能被竊聽、篡改和破壞[4]。另外，計算機網絡系統本身存在的安全漏洞，使它經常成為被攻擊的對象，導致整個網絡的癱瘓。安全問題已經成為影響網絡應用發展的主要問題之一，并直接威脅著國家和社會的安全[5]。

計算機網絡安全問題從技術上涉及網絡系統的各個層次；從管理上涉及用戶、管理員及整個網絡安全策略的制定；從用戶需求上主要是數據傳輸和存儲過程中的通信安全問題；從網絡運營者的角度還包括網絡資源的使用授權、抵御攻擊等[6]。具體地說，網絡面臨的安全威脅包括竊聽、篡改與重發、假冒、抵賴以及其他惡意攻擊，如計算機病毒、計算機蠕蟲和特洛伊木馬等[7]。

為解決各種網絡安全問題，應提供一定的安全服務以保證數據通信的安全和網絡自身的可靠運行。因此，網絡安全管理有兩層含義，即網絡安全管理和安全的網絡管理。網絡安全管理要確保各被管資源，包括路由器等互連設備和主機、服務器等端系統及網絡服務本身的安全和它們之間的數據通信安全。另一方面，網絡的信息存儲和傳輸的管理與控制對網絡運行和管理至關重要，一旦出現信息泄露、篡改和被偽造，會給網絡造成災難性的破壞，這要求網絡管理采用相應的措施和技術確保自身的安全。

本文首先說明了實施網絡安全管理的過程，然后從保證網絡安全和網絡管理系統安全的角度論述計算機網絡安全管理的實施及所采用的對策。

2 網絡安全管理過程

要實現網絡安全管理，需要4個管理過程：首先，應確定所要保護的敏感信息；然后，找出敏感信息的網絡訪問點；采用各種安全策略對網絡訪問點進行保護；最后，定期對網絡訪問點進行檢查，以維護網絡安全。

2.1 確定所要保護的敏感信息

實現網絡安全管理的第一步就是要確定網絡中哪些主機上有敏感信息。對于多數網絡用戶來說，敏感信息一般包括賬戶、財政、顧客、市場、工程和雇員信息等。對于網絡管理部門來說，網絡的運行狀態信息、提供的網絡服務、網絡傳輸協議使用的服務端口是要保護的敏感信息。在應用中，每個特定的網絡環境都會有其特定的敏感信息。

另外，網絡地址、名字、操作系統版本、運行時間等看似無關緊要的信息，也會存在著影響安全管理的漏洞。大多數公司的網絡管理者都不希望外部人員了解其內部網絡有關信息，如拓撲結構、子網劃分、IP地址分配等，都采用網絡防火墻技術來解決這一問題。

2.2 網絡訪問點

網絡管理中，不但知道了要保護的數據信息、網絡服務和存放主機的位置，還要知道其他網絡用戶如何訪問信息和如何訪問相應主機。在網絡安全管理中，需常對網絡設備和主機的所有網絡服務進行檢查，尤其是用戶遠程登錄服務和文件傳輸服務。主機向用戶提供遠程登錄服務，用戶可在主機上進行權限范圍內的操作。如果系統不能識別用戶，或不能將用戶的操作權限限制，就會對網絡安全帶來不安全因素，可能導致主機上的敏感信息被破壞，嚴重的可能讓惡意用戶攻擊整個網絡上的主機。

網絡中還有的主機提供文件傳輸服務，由于存在匿名登錄用戶選項，允許網絡用戶以用戶名“anonymous”登錄和操作，從而不需要密碼，這種登錄方式會給文件系統帶來毀滅性的災難。對于提供文件傳輸服務的主機，網絡管理者要小心控制可以訪問目錄應包括什么信息和“anonymous”用戶的操作權限。

另外，對于WWW訪問服務、電子郵件、遠程過程調用、域名服務等可以提供進入主機和進入網絡的服務訪問點，都需要提供有效的安全保護。

2.3 網絡訪問點保護方法

要實現網絡安全管理，需采用各種安全技術對網絡訪問點進行可靠的保護。常用的網絡安全保護措施主要有以下幾種：

2.3.1 數據加密技術

數據加密其最常用、最有效的安全保護機制。數據在網絡中傳輸時對其進行加密，即由明碼改為密碼，接收方要通過解密才能看到原始信息，這樣可阻止對敏感信息的非法訪問[8]。

網絡中，具有固定密鑰的加密機制有被破譯的可能性，在一個既定規則的基礎上，經常改變加密密鑰和解密密鑰可進一步提高數據的安全性。

2.3.2 包過濾技術

在網絡中，路由器、交換機、網橋等設備擔負著轉發網絡數據的重要任務。包過濾就是在轉發功能的基礎上根據發送或接收數據包的網絡設備的網絡地址或媒體訪問控制（MAC）地址對數據包進行檢查并過濾來自不安全主機的數據，從而有效地保護網絡的安全。

由于包過濾機制是通過網絡設備的網絡地址或MAC地址來完成的，網絡設備地址或MAC地址發生改變，相應的過濾機制也要發生改變。如果主機的地址改變了而用戶并不知道，那么過濾機制就不再有效。在網絡中，若要保護的主機很多，過濾規則會過于復雜，那么設備的轉發效率和速度就會大大降低，影響網絡的性能。

2.3.3 主機認證

主機認證方法就是檢查發起請求的源主機的標識符，以確定是否允許源主機訪問本地的某一網絡服務。標識符通常是網絡地址，即IP地址或MAC地址。

主機認證對授權的主機或某一地址范圍內的計算機提供相應的網絡服務，沒有授權的主機則拒絕。但主機認證不能有效地對付惡意用戶的“源地址欺騙”，即用非法主機借用經過授權的網絡地址來訪問網絡。因此，對一臺提供敏感信息訪問服務的計算機來說，僅知道源主機的標志符并不意味著就可以安全地進行通信。

2.3.4 用戶認證

用戶認證是一種網絡訪問點安全保護的方式，它使設備能在用戶登錄之前驗明用戶的身份，具有合法身份的網絡用戶才能使用網絡，具有比主機認證更高安全程度的登錄控制。

網絡中用來驗證使用者常見的方法是用戶名/口令（密碼），雖說對安全有效，但通常密碼會被人通過技術手段和重復嘗試而獲取，造成系統的不安全。

2.3.5 密鑰認證

密鑰認證就是給合法用戶分發密鑰，其要依賴網絡上的密鑰服務器來實現。網絡中某一項服務被請求時，源計算機向密鑰服務器請求密鑰，則服務器要求用戶輸入用于認證合法性的密鑰，這樣密鑰服務器既能識別源計算機，又能識別要求服務的用戶。只有在訪問請求時伴有合法密鑰，目的計算機才會允許服務。

在密鑰認證服務中，密鑰服務器是關鍵。密鑰服務器的正確配置和管理也是極其重要的，在網絡中并不是簡單地安裝一個密鑰服務器就可以使用密鑰認證了，要對所有的應用和服務進行修改，以容納使用密鑰服務器。

2.4 定期檢查

維護網絡安全，除了采用技術防護措施外，還要定期檢查所有的安全訪問點。

網絡管理者可利用安全管理工具來監視所有對網絡服務的訪問，并記錄下可能的安全問題。另外，網絡管理者也可用有關的網絡安全攻擊程序來檢查自己網絡的安全問題，用于確定可能或實際存在的安全漏洞。

還有，對網絡運行狀態進行監視，通過對網絡服務訪問來判定是否有用戶攻擊，若存在攻擊要及時采取措施。做好數據傳輸的保密工作，對網絡中敏感信息的傳輸，特別是密碼信息的傳輸，要盡可能采取加密機制。

3 網絡管理系統安全

網絡系統的正常運行離不開網絡管理系統自身的安全，對該系統的管理措施不當，會造成設備的損壞和保密信息的泄露。因此，加強網絡管理系統的安全性十分重要，管理中主要從以下幾個方面來考慮。

3.1 管理員身份認證方法

對管理員的認證均采用公開密鑰的證書認證機制，這樣在很大程度上減少安全事故。對于信任級別低的用戶，可用簡單的口令認證方法，這樣可確保用戶有更好的可用性。

3.2 數據安全性

對所有信息的存儲、傳輸均通過加密散列，以保證其安全性與完整性。通過Web瀏覽器訪問的信息，Web瀏覽器與網絡服務器之間采用安全套接字層（SSL）傳輸協議，并對傳輸的數據和內部存儲的機密信息加密以保證其完整性。

3.3 用戶管理

對網絡管理用戶進行分組管理和訪問控制，要對管理員按任務的不同分成若干用戶組，授予相應的權限范圍，并對用戶的操作進行訪問控制檢查，保證用戶不能越權使用網絡管理操作。目前網絡中通常采用公開密鑰的證書認證機制來認證用戶，并用用戶的私有密鑰對網絡管理信息進行加密和數字簽名，在網絡中要有證書頒發機構（CA）服務器，專門負責為用戶簽發證書。用戶的個人證書信息要做到詳細完整，并由證書的簽發者（CA）用自己的私有密鑰進行數字簽名，沒有CA的私有密鑰，任何人無法偽造和篡改信息。

證書認證時，首先要求CA服務器建立自簽名的CA證書和私人密鑰，用于簽發證書。在服務器和客戶端各自產生一個證書，服務器端的證書用于向客戶認證服務器，客戶端的證書認證用于向服務器認證客戶，這樣可使客戶與服務器之間通過交換證書實現相互認證，使服務器防止假冒的用戶訪問，客戶也可識別訪問的是一個真正的服務器還是一個陷阱。

在認證通過后，用戶和服務器之間的通信就可以使用安全套接字層（SSL）傳輸協議進行，保證在網絡上傳輸的數據不被竊聽和篡改，實現安全快捷的通信。

3.4 日志分析

記錄用戶所有的操作，并對用戶訪問日志進行分析，使系統的操作和對網絡對象的操作有據可查，同時也有助于故障的跟蹤與恢復。

4 網絡安全管理

網絡安全管理就是通過網絡安全防護和管理，使網絡傳輸的數據安全保密；使網絡中所有信息、數據及系統中各種程序完整和準確；使合法訪問者接受正常的服務；使網絡中各方面的工作符合法律、規則、許可證、合同等規定。

4.1 網絡安全防護

網絡要使用安全，需對網絡進行有效的安全防護，網絡安全防護主要包括：物理安全防護、周界安全防護、信息加密與驗證3個方面。

4.1.1 物理安全防護

主要是保護路由器、交換機、工作站、服務器及打印機等硬件設備和通信設備鏈路免受自然災害、人為破壞和搭線竊聽等攻擊，確保網絡設備有一個良好的工作環境，使網絡線路和訪問點不被非法使用。

一般采用的措施是對電源線和信號線加裝性能良好的濾波器，減少導線間的交叉耦合，采用各種電磁屏蔽措施防止和抑制外界對系統的電磁干擾；安裝防靜電地板防靜電干擾；安裝電磁干擾裝置掩蓋系統的電磁泄漏；健全管理體系，規范行為。

4.1.2 周界安全防護

周界安全防護就是根據安全等級要求的差異將網絡進行分段隔離，把對網絡攻擊和入侵造成的威脅限制在較小的范圍之內，提高網絡整體的安全水平。周界安全防護一般使用虛擬網技術和防火墻技術。

虛擬網技術是通過交換機，根據安全策略，把位于同一交換機的工作站劃分到不同的虛擬網絡中，或者把位于不同交換機的工作站劃分到同一虛擬網絡中。虛擬網技術是目前局域網采用的主要隔離措施，但不能有效防止來自內部的攻擊。

防火墻技術是網絡間的一道安全之墻，它根據網絡安全等級和信任關系，將網絡劃分成一些相對獨立的子網，使網絡對外通信和對內通信都受到防火墻的檢查控制。防火墻允許符合安全策略的數據包通過，而把不符合安全策略的數據包隔離開來。

防火墻分為網絡層防火墻和應用層防火墻。網絡層防火墻主要獲取數據包的包頭信息，如協議號、源地址、目的地址和目的端口等，或者直接獲取包頭的一段數據。而應用層防火墻則對整個信息流進行分析。網絡中常用的防火墻技術有：應用網關、電路網關、包過濾、網關和網絡地址轉換等技術。

4.1.3 信息加密與驗證

信息加密主要是保護網絡中的數據、文件、密碼和控制信息，保護網絡會話的完整性。信息加密可在網絡的鏈路級、網絡級、應用級上進行，加密技術是網絡安全最有效的技術之一。

信息加密根據算法方式分為對稱密碼算法和非對稱密碼算法兩大類。在對稱密碼算法中，加密和解密使用相同的密鑰，即加密密鑰和解密密鑰是相同的或是等價的，具有很強的保密性，但其密鑰須通過安全的途徑傳送。而非對稱算法中，加密和解密使用的密鑰不相同，加密和解密都依靠一個公鑰（公開的密鑰）和對應的私鑰來完成，不要求通信雙方事先傳遞密鑰或有任何約定就能完成保密通信，密鑰管理方便，可實現防止假冒和抵賴。因此，更適合網絡通信中的保密通信要求。

認證是指對網絡用戶的用戶名和密碼進行驗證，防止非法訪問的一道防線。用戶注冊時首先輸入用戶名和密碼，服務器校驗證所輸入的用戶名是否合法，如果驗證合法，則又驗證用戶輸入的密碼是否合法。二者不合法，用戶將被拒于網絡之外。

用于認證的密碼是用戶使用網絡的關鍵，不能顯示在顯示屏上，通常是經過加密后存儲在主機系統中。對于遠程通信，則首先要通過身份驗證和授權，信息才能以明文或加密的形式在客戶機和服務器之間進行傳送。

4.2 網絡的安全管理

要實現網絡的安全管理，除了進行有效的安全防護外，還要認真做好以下幾個方面的工作。

4.2.1 配置好網絡資源的訪問控制

通過管理路由表的訪問控制列表，完成防火墻的管理功能，從網絡層和傳輸層控制對網絡資源的訪問，保護網絡內部的設備和應用服務，防止外來攻擊。

4.2.2 認真對待告警事件分析

對網絡對象所發出的告警事件，管理員要認真分析與安全相關的信息（如路由器登錄信息、認證失敗信息），并從歷史安全事件中進行檢索和分析，及時發現正在進行的攻擊或可疑的攻擊跡象。

4.2.3 加強對主機系統安全漏洞的檢測

實時地監測主機系統重要服務的狀態。利用安全監測工具，經常搜索系統可能存在的安全漏洞或安全隱患，并設計好彌補的方案或措施。

4.2.4 做好數據的備份

主要是對網絡中的重要數據或敏感信息要經常備份，當數據或信息不幸遭受病毒或是黑客破壞時，可以用備份來恢復丟失的數據。

總之，對于網絡安全，只要網絡用戶樹立安全意識，明確網絡管理的步驟，做好各種防護措施，使用新的安全技術手段，就能降低網絡安全風險，使網絡能提供安全可靠的通信服務。

主要參考文獻

[1] 趙悅紅，王棟，鄒立坤. 計算機網絡安全防范技術淺析[J]. 煤炭技術，2013，32（1）：224-225.

[2] 桑書娟. 計算機網絡安全與防護探析[J]. 計算機光盤軟件與應用，2012（17）.

[3] 王大鵬. 計算機網絡安全與防范策略研究[J]. 科技視界，2012（26）：226-227.

[4] 李思維. 淺談計算機網絡安全影響因素及防范措施[J]. 科技創新與應用，2013（5）.

[5] 彭沙沙，張紅梅，卞東亮. 計算機網絡安全分析研究[J]. 現代電子技術，2012，35（4）：109-112，116.

[6] 唐明雙. 論對計算機網絡安全及建設的研究[J]. 數字技術與應用，2012（12）.

網絡管理與網絡安全范文6

關鍵詞：計算機網絡安全；體系管理；網絡機制

一.計算機網絡發展存在的威脅

目前計算機網絡的現狀是面臨著多方面的攻擊與威脅。第一種威脅的表現形式為偽裝，指的就是威脅源在特定時刻裝扮成另一個實體的形式，并借助這個實體的權利進行操控；第二種威脅的表現形式為非法連接，指的是威脅源利用非法的手段建立一個合法的身份，再通過將網絡實體與網絡源兩者之間建立非法的連接達到最終的目的；第三種威脅的表現形式為非法授權訪問，指的就是威脅源采用一定的手段破壞訪問并控制服務，最終實現了越權訪問；第四種威脅的表現形式為拒絕服務，指的是通過一定手段的利用阻止合法的網絡用戶或者擁有其他合法權限的用戶使用某項服務；上述種種威脅的形成原因大多數是人為造成的，威脅源可以來自于用戶，也可以來自于部分程序，也可以來自于某些潛在的威脅等。所以加強對于計算機網絡安全的管理和研究的目的就是最大限度地消除這些威脅。

二.計算機網絡安全認證體系的完善

首先表現為安全服務系統的建立。第一，身份認證。身份認證作為訪問控制的基礎，是解決主動攻擊威脅的重要防御措施之一。因為驗證身份的方式一般采用網絡進行的模式而不是直接參與，而且常規驗證身份的方式在網絡上也不是十分地適用，同時大量的黑客還會隨時隨地以冒名頂替的身份向網絡滲透，所以網絡環境下的身份認證特別復雜，而“身份認證如果想要做到準確無誤地對來訪者進行辨別，同時還必須提供雙向的認證”，必須采用高強度的密碼技術來進行身份認證的建立與完善。第二，訪問控制。進行訪問控制是為了達到控制不同的用戶對信息資源的訪問權限的目的，實質上是針對越權使用資源的一種防御措施。而訪問控制的種類亦可從方式上分為自主式訪問控制和強制式訪問控制兩類。實現的機制可以是通過對訪問屬性控制的訪問控制表的控制，也可以是根據安全標簽、用戶分類以及資源分檔等三類控制實現的多級控制。第三，數據保密。數據保密是為了防止信息泄露所采取的防御措施。數據加密是最為常見的確保通信安全的手段，但是隨著計算機網絡技術的迅猛發展，傳統的加密方法不斷地被用戶以及黑客們破譯，所以不得不加強對更高強度的加密算法的研究，以實現最終的數據保密的目的。

其次表現為安全機制的發展與完善。在經過了對于計算機網絡的安全認證提的創建之后，完善與健全與安全服務有關的安全機制也是必不可少的。第一方面是安全服務方面的安全機制的發展，具體表現為加密機機制、認證交換機制、數字簽名機制、數據完整性機制、訪問控制機制、路由控制機制等多個方面；第二方面是對于與管理有關的安全機制的健全，主要包含有安全審核機制、安全標記機制以及安全恢復機制等三個方面。1989年，為了實現開放系統的互聯網環境下對于信息安全的要求，國際標準化組織ISO/TC97的技術委員會專門制訂了對于計算機網絡安全與管理ISO7498-2的國際標準。這一標準的建立不僅實現了對于OSI參考模型之間的安全通信所必須的安全服務和安全機制的開建，同時也建立了“開放系統互聯標準的安全體系結構框架”，為網絡安全與管理的系統研究奠定了堅實的基礎。同時也開創了網絡安全的保證需要進行認證的先河。

三.計算機網絡當前的管理功能

針對計算機網絡的管理一共可分為兩類：第一類指的是計算機網絡應用的程序、用戶帳號以及存取權限的管理，屬性上歸類為與軟件有關的計算機網絡管理問題；第二類指的是針對組成計算機網絡的硬件方面的管理，主要包括有對工作站、路由器、網卡、服務器、網橋和集線器等多方面、多角度的管理。在應用計算機網絡進行管理時需要遵循以下原則： 一是不能因為管理信息而帶來的通信量增加而增加網絡的通信量；而是注意不應增加被管理設備上的協議進行系統處理時的額外開銷，從而導致削弱設備的主要功能的現象發生。而當前的計算機網絡管理的功能主要表現為以下幾個方面。

（一）對于故障的管理：故障管理指的是對網絡中出現的問題或者故障進行檢測、隔離和糾正的過程。通過對故障管理技術的使用，可以使得網絡管理者在最快的時間內確定問題和故障點，以達到最終排除問題故障的目的。而故障管理的過程主要包括發現問題、分離問題、找出故障的原因三個方面，所以，想要保證計算機網絡管理的安全，應該在盡可能地情況下，盡量地保證故障的排除。

（二）配置管理：配置管理是在進行計算機網絡管理的過程中發現并進行設置網絡設備的過程。配置管理的主要功能指的是通過快速提供設備的配置數據從而實現快速的訪問的目的，同時在一定程度上行加強管理人員對于網絡的整體制，可以采用正在使用中的配置數據與存儲于系統中的數據相比較的方式發現問題，進而根據需要盡可能地修改配置。對于計算機網絡的配置管理主要包括有獲取關于目前網絡配置的信息，提供遠程修改設備配置的手段和存儲數據以及維護最新的設備清單并據此產生報告等三方面的內容。