網絡管理樣例十一篇

序論：速發表網結合其深厚的文秘經驗，特別為您篩選了11篇網絡管理范文。如果您需要更多原創資料，歡迎隨時與我們的客服老師聯系，希望您能從中汲取靈感和知識！

篇1

關鍵詞：網絡戰略管理戰略網絡

一、導言

隨著Internet技術、計算機技術和網絡技術的發展，人們已步入網絡時代，它將徹底改變企業傳統的經營方式和戰略行為。網絡時代的競爭已不再是單個企業之間的競爭，而是企業合作網絡之間的競爭，這是一種新的競爭形態——網絡競爭。在網絡競爭環境下，基于“公司是獨立、自治實體”的假設和僅從自身的利益出發來研究企業戰略的局限性越來越明顯，必須從嵌入于企業的關系網絡視角來研究企業戰略。戰略網絡(StrategicNetworks)就是在這種背景下興起和發展起來的新戰略思想。

所謂戰略網絡，是指由社會的不同組織或個人為了共同的遠景，通過一定的協議或契約聯結在一起，以彼此間相互信任和長期合作為基礎而構成具有戰略意義的、不斷進化和優化的動態合作網絡。戰略網絡及其管理“必然將成為新的管理范式與新的競爭游戲規則”，“戰略網絡管理是當今企業成功的關鍵”。因此，戰略網絡研究既是一個急需研究的理論問題，又是一個具有重大現實意義的問題。正如《戰略管理雜志》(StrategicManagementJournal)在2000年3月出版“戰略網絡專集”時，編輯所評論的那樣：“我們覺得認真地強調戰略網絡是如何影響公司的利潤率問題——戰略研究的一個中心問題的時機已成熟”。戰略網絡作為戰略管理研究的新領域，已引起學術界的廣泛關注，并從不同的角度展開研究。但由于戰略網絡及其嵌入其中的動態關系網絡的復雜性和模糊性，現有的戰略網絡研究系統性不夠，缺乏定量和動態分析及其支撐技術。為此，本文在評價現有戰略網絡研究學派的基礎上，提出今后戰略網絡研究將是系統化、動態化和定量化，形成一套比較完整的、可操作的戰略網絡理論與技術方法，使得戰略網絡理論能真正應用于企業戰略管理的實踐之中。

二、戰略網絡研究沿革

20世紀80年代以前，市場環境相對穩定、資源稀缺，而且企業網絡的功能主要體現在價格控制和市場的份額上，網絡參與者將網絡視為一種投機選擇，協調成本高和機會主義多，因而網絡被許多學者認為有負面影響和缺乏效率，長期以來其優勢沒有得到理論界和實業界的認真重視。20世紀80年代以后，市場環境發生了巨大的變化，特別是知識、信息在經濟中的作用越來越大，網絡技術的迅猛發展，組織網絡化日益凸現，而且網絡給企業的發展帶來了顯著的成效。例如，日本的企業之所以在20世紀七八十年代以來，國際競爭力迅速增強，國際化經營效果顯著，就是因為日本的企業并非以單個原子狀態來活動，而是以一群合作企業或組織構成相互依賴的關系網絡參與國際競爭，實現知識共享、共同發展，形成了世界級的核心能力。因此，從20世紀80年代末開始，企業網絡及其關系管理的研究，愈來愈受到學者們的重視，相繼出現了組織生態系統(OrganizationEcosystem)、組織網絡化(OrganizationalNetworking)、網絡組織(NetworkOrganization)、組織域(OrganizationField)、企業集群(EnterpriseCluster)、伙伴關系(Partnering)、關系治理(RelationalGovernance)、拓展企業(ExpandedEnterprise)、合作競爭(Co—petition)、組織間競爭優勢(Inter—organizationalCompetitiveAdvantage)、關系能力(RelationalCapability)、關系資源(RelationResource)、網絡資源(NetworkResource)、聯盟網絡(AllianceNetworks)、戰略網絡(StrategicNetworks)、戰略區域(StrategicBlocks)、公司間信任(Inter—firmTrust)、供應商網絡(SuppliersNetwork)等新概念，有學者和先行的廠商已認識到企業隱含的、不可模仿的社會關系網絡和其成功的合作伙伴——供應商、顧客、互補者和聯盟伙伴，是“創新關鍵來源”、“組織學習的關鍵來源”、“學習和能力的關鍵來源”。R·Gualti等人將這些具有持久性的、對進入其中具有戰略意義的組織之間的節點構成的網絡統稱為戰略網絡，這些節點包括了戰略聯盟、合資、長期的買賣伙伴等。于是，戰略網絡研究就成為戰略管理研究的新熱點。

就戰略管理學者對戰略網絡研究歷程看，首先提出戰略網絡概念的是J．C·Jarillo。他于1988年在《戰略管理雜志》發表題為“戰略網絡”的論文，可謂是戰略網絡理論的經典之作。該文從戰略的高度闡述了戰略網絡的內涵，認為戰略網絡是一種關系網絡，獲取企業生存和發展所需資源和知識的關鍵渠道，是“企業競爭優勢之源”，而不僅僅是一種組織模式，使之有別于一般意義的網絡組織。這篇文章的發表，標志著戰略網絡理論研究的開始。隨后，戰略管理研究者開始對企業之間和企業與其他組織之間的關系網絡研究產生了廣泛的興趣，1992年N．Nohria等編寫出版的論文集《網絡與組織：結構、形式和行為》，匯集了社會網絡理論、組織理論、戰略理論、經濟理論研究者對戰略網絡理論的最新研究成果。與此同時，戰略網絡研究的奠基者J．C．Jarillo通過進一步研究和實證考察，于1993年出版其專著《戰略網絡》，標志著戰略網絡理論基本形成。1999年F．J．Richter出版了其專著《戰略網絡——日本企業間合作的藝術》，該書以日本企業的戰略網絡為例，研究了戰略網絡的理論基礎、戰略網絡形成動因、戰略網絡的管理與進化，進一步豐富了戰略網絡理論，促進戰略網絡理論走向實踐。2000年《戰略管理雜志》出版“戰略網絡’論文專集，介紹了當前有關戰略網絡理論研究的最新研究成果，強調這一理論要整合和系統化，使之形成比較完整的理論體系，更有效地指導企業在網絡競爭環境下制定和實施企業戰略。這標志著戰略網絡研究進入了一個系統研究階段。

三、戰略網絡研究主要學派

由于戰略網絡及其嵌入其中的動態關系網絡的復雜性和模糊性，目前戰略管理的學者們都只能以不同的理論為基礎，從不同的視角研究戰略網絡，并取得了一定的成果，為戰略網絡的進一步深入研究奠定了基礎。作者綜合有關文獻，將現有戰略網絡研究主要分為五大學派。

1．以R．Gulati為代表的結合新經濟社會學來研究企業戰略網絡的理論，我們稱之為經濟社會學派。R．Gulati的主要代表作有《戰略網絡》、《聯盟與網絡》、《網絡位置與學習：網絡資源和公司能力對聯盟形成的影響》。

他的主要觀點是：(1)規范了戰略網絡的定義，界定了戰略網絡的研究范圍，明確將對企業有戰略意義的戰略聯盟、合資、長期的買賣伙伴和一群相似的節點都歸集為戰略網絡，強調它是嵌入于企業之中的關系網絡，對企業的生存與發展具有戰略意義。(2)用社會網絡理論的“嵌人性”和“結構洞”原理，證明了戰略網絡對企業行為和績效的影響，說明戰略網絡及其管理能力是網絡資源和關系資源，是戰略網絡參與者在參與網絡后所獲得的獨特資源，具有獨特性，難以模仿性，是一種核心能力。(3)強調戰略網絡是一個公司接近信息、資源、市場和技術的關鍵渠道，能夠取得學習、規模和范圍經濟的優勢，戰略網絡直接影響企業的戰略行為和競爭優勢。(4)嵌入于戰略網絡之中的網絡關系，對于企業來說，是一種既有機會又有約束的資源。因為“網絡也意味企業被鎖定在非生產關系里或排除了與其他可行的組織結成伙伴的機會”。(5)提出要整合戰略網絡于企業戰略研究之中，并提出可從產業結構、產業內分析、企業能力、交易成本和轉換成本、網絡進化和企業收益來與現有的戰略研究相結合。

該學派的主要缺點是：如何整合戰略網絡于戰略研究中，沒有提出具體的理論框架，缺乏技術方法研究，難于對企業的實踐有實際指導作用。

2．以J．C．Jarillo為代表的用組織理論來研究戰略網絡，我們稱之為組織學派。其主要代表作為《戰略網絡》、《戰略網絡——創造無邊界的組織》(專著)。

他的主要觀點有：(1)最早捉出戰略網絡的概念，認為戰略網絡是一種長期的、有目的的組織安排，其目的在于通過戰略網絡使企業獲得長期競爭優勢。(2)提出了用商業系統思想來研究企業經營活動。他認為，實現產品／服務有效地傳送到顧客手中，整個過程的所有活動要合作，如何選擇組織合作方式的中心問題，就是要保證企業持續競爭優勢。(3)提出了組織商業系統活動方式的評價標準，是最大化組織效率與靈活性，并通過比較層級制、市場和戰略網絡三種組織方式，說明戰略網絡是網絡經濟時代最佳組織模式。(4)初步形成了戰略網絡的基本理論，有利于指導企業進行戰略網絡管理，包括網絡選擇的時機和信任機制的建立，利用交易成本理論說明何時建立網絡為好，利用博弈理論提出了加強組織間信任的機制。

其主要不足是：沒有考慮網絡關系、社會和文化等因素對網絡及其效率的影響，沒有分析戰略網絡的成因、特征等基本問題，沒有對戰略網絡中組織間學習過程和網絡進化過程展開研究。

3．以P．J．Richter為代表的文化學派。他根據自身在中國、日本、韓國等東亞國家擔任國際跨國公司代表、與這些國家的企業有長期交往的經歷，發表了多篇有關東亞企業成長的論文，并于2000年出版了其專著《戰略網絡——日本企業間合作的藝術》。該書以日本企業的戰略網絡為例，研究了戰略網絡的理論基礎、戰略網絡形成動因、戰略網絡的管理與進化，進一步豐富了戰略網絡理論和促進戰略網絡在實踐中的應用。

Richter的主要觀點有：(1)日本經濟及其企業成功的關鍵因素之一，在于其企業的戰略網絡管理水平高，日本企業的戰略網絡與西方一般意義上的網絡組織不同，它注重知識、能力資源的共享。(2)突出文化在戰略網絡形成和進化中的作用。強調由于日本企業受傳統文化影響，容易形成戰略網絡的網絡文化，包括高度忠誠、相互信任、自然尊重和統一價值觀等。(3)運用企業系統理論、成長理論和博弈論來系統研究戰略網絡的動因，為戰略網絡研究提供了理論基礎。(4)重點分析了戰略網絡企業間的網絡學習過程，說明戰略網絡在知識管理和能力培養中的特殊意義。(5)論述了企業后勤合作、技術合作和全球化合作中的戰略網絡管理問題，為戰略網絡走向實際應用奠定了基礎。(6)強調了企業家之間的關系在戰略網絡中的重要性。

由于Richter僅從文化視角研究戰略網絡，沒有將戰略網絡管理整合于戰略研究之中，由于文化研究難于定量化，造成缺乏對戰略網絡進行定量研究，也缺乏對戰略網絡管理對策研究。

4．以波特(Porter)為代表的用企業集群理論來研究區域合作網絡。由于企業集群理論起源于區域經濟研究，故我們將此學派稱為區域經濟學派。企業集群是指在一特定區域內的一群相互聯系的公司和各種組織(包括學校、研究機構、中介機構、客戶等)，為了獲取新的和互補的技術、從聯盟中獲益、加快學習過程、降低交易成本、分擔風險而結成的網絡。因此，我們認為，企業集群是戰略網絡的一種，集群研究也屬于戰略網絡研究范疇。波特有關集群研究的主要代表作有《國家競爭》、《亞當·斯密：區位、集群和競爭的“新”競爭微觀經濟學》、《集群與新競爭經濟學》和《產業集群與競爭：企業、政府和機構新議題》，其集群理論主要是通過對各國典型區域的企業集群(如硅谷和波士頓的高新產業區、意大利的皮革制造企業集群等)的實務觀察和研究所得，他認為“所有進步的經濟體中，都可明顯存在著企業集群，企業集群的形成，也是經濟發展的基本因素之一”。

波特的主要觀點包括：(1)集群是位于某個地方、在特定領域內獲得異質的競爭優勢的重要集合，地理位置是一個競爭優勢。(2)企業集群是一個開放體系，具有外部效應，同一地區內的公司或機構之間相互聯系、共享知識，企業集群是一種“新競爭”和“新經濟”。(3)企業集群是由地理位置所處的社會、文化、政策等條件形成的，具有歷史依賴性。(4)集群是空間布局上的新組織形式，“代表一種合作與競爭的組合”，是一種合作競爭思想，是一種群體思維的戰略思想(突破單個實體的狹隘思想)。(5)分析了企業集群的成因、特征和網絡關系，揭示了企業集群與競爭優勢的關系，豐富了戰略網絡研究的內容。

其主要缺點：過分強調地理位置在企業集群形成中的重要性，認為在網絡經濟時代“地點仍是競爭的根本”，產業選擇首要問題是區位：過分強調政府產業政策對集群管理的作用，忽略了企業本身在關系網絡管理中的能動作用，利用集群理論側重于區域經濟和產業經濟發展的研究，而非用于微觀層面的企業戰略研究之中。

5．以J．M．Moor為代表的從生態觀的視角來研究戰略網絡，我們稱之為商業生態學派。Moor提出的企業商業系統包括了供應商、主要生產者、競爭對手、顧客、科研機構、高等院校、行政管理部門、政府及其他利益相關者。我們認為，各個成員在這個系統中相互依賴、共同進化所形成的交錯復雜的關系網絡，從本質上看也是一種戰略網絡，有關商業生態系統研究也應屬于戰略網絡研究領域。Moor的代表作，是其1996年出版的《競爭的衰亡：商業生態系統時代的領導和戰略》。他認為，網絡經濟世界的運行并不都是你死我活的斗爭，而是像生態系統那樣，企業與其他組織之間存在“共同進化”關系。在企業的商業生態系統中，為了企業的生存和發展，彼此間應該合作，努力營造與維護一個共生的商業生態系統。因此，他強調必須有“新的語言、新的戰略邏輯和新的實施方法”，用全新的理論——商業生態學來全面闡述了商業生態系統的企業戰略。

Moor的主要觀點包括：(1)用生態系統的觀念來透視整個商業經營活動和研究戰略，拓寬了戰略網絡研究的視野。他認為，企業是其所處商業生態系統的成員之一，這個系統決定了企業的戰略行為和戰略價值，這個系統績效直接影響到企業績效。(2)按照自相似、自組織、自學習與動態進化的原則來設計網狀結構組織和商業生態系統(即戰略網絡)，通過共創愿景、系統思考、網絡學習、共享知識、協同作用，使企業在創造未來中實現可持續發展。(3)建立一個相互依賴、相互學習、共同進化的企業生態系統，是企業持續發展的前提。企業的績效主要取決于其在這個系統中的合作效率和網絡關系管理能力的水平。(4)商業生態系統中的成員間相互合作演化過程，包括了開拓、發展、權威、重振或死亡，企業在這個演化過程中不斷進化、異化和蛻變。(5)強調了企業與環境的相互滲透，企業的邊界模糊。企業的戰略行為受其所在的系統制約，企業的戰略制定、實施和評價都依賴于整個系統。

其主要缺點是：過分強調系統選擇企業的作用，忽略了企業本身初始條件的重要性，忽略了企業核心能力對其戰略行為的決定作用和對整個商業生態系統的影響，僅強調整個商業生態系統中各成員的合作，忽視了成員之間的合作是一個博弈過程，有合作也有競爭，并認為合作有周期性，無法持久。

綜觀戰略網絡研究各個學派的主要觀點，我們認為，當前有關戰略網絡研究有以下的特點：(1)應用一種理論從某個側面研究的多，而綜合各種理論從系統觀角度研究的少。(2)偏重于戰略網絡形成和企業戰略網絡案例分析的多，而對嵌入于戰略網絡的關系分析與戰略網絡結構分析的少。(3)側重于戰略網絡的靜態研究多，企業戰略網絡管理的動態研究少，更缺乏對深層次的網絡管理問題和網絡進化問題的研究。(4)在技術方法研究上，以定性為主，缺乏定量的具有動態性的技術方法，更缺乏有關動態戰略分析方法、網絡信息管理支撐技術方法和工具的研究。正因如此，戰略網絡研究至今還沒有形成一種比較完整的、對企業戰略管理有現實指導意義的、可操作的基本戰略理論及其技術與方法，使之未能廣泛應用于企業戰略管理實踐之中。

四、戰略網絡研究趨勢和主要方向

從上分析，我們認為，現代戰略網絡研究發展趨勢是：(1)戰略網絡研究系統化。由于戰略網絡及其嵌入其中的動態關系網絡的復雜性和模糊性，既涉及到經濟學、管理學的內容，又涉及到社會學、心理學的知識，未來的研究必須整合多個學科的理論來系統研究戰略網絡，才能對戰略網絡有全面的認識和理解。(2)戰略網絡研究動態化。戰略網絡的基本特征就是動態變化和不斷進化，只有引入社會網絡技術、系統動力學、進化博弈、離散仿真的技術等分析方法來分析戰略網絡的互動性和動態性，才能真正揭示戰略網絡的演化規律。(3)戰略網絡研究定量化。由于戰略網絡涉及的組織多、相互的關系復雜，未來的研究必須采用社會調查統計方法收集大量的數據，利用現代數學統計方法分析網絡和建立相應的數學模型，才有保證戰略網絡研究成果的科學性和可操作性。

結合戰略網絡研究發展趨勢分析，我們認為，今后戰略網絡研究的主要方向：

1．用系統觀進行戰略網絡理論框架研究。綜合應用現代企業戰略理論、社會網絡理論、協同商務理論、企業能力理論、系統理論和博弈論等，從系統觀的角度，構建戰略網絡理論框架。它包括戰略網絡的結構、功能和特征，戰略網絡對企業績效的影響，企業核心能力和企業動態關系網絡分析，戰略網絡的目標與選擇，戰略網絡的動態管理，戰略網絡績效評價與網絡進化。

2．戰略網絡中的組織間動態關系分析與技術方法研究。要運用系統動力學、社會網絡技術方法和離散系統仿真技術，進行組織間動態關系網絡分析與仿真模型優化，明確對企業核心能力的培育、提升和發揮不同作用網絡節點之間的動態關系，保證戰略網絡的優化。

3．戰略網絡動態管理過程研究，要促進戰略網絡研究成果用于實踐和可操作性，這是研究的重點和難點，它包括：(1)利用組織學習理論和企業網絡理論，建立起有效的網絡學習機制：運用博弈理論分析網絡學習中的博弈均衡問題，制定出企業在網絡學習中的最優策略。(2)運用委托—理論，建立長期網絡信任機制，保證網絡知識有效轉換、整合與創新。(3)運用協同商務的原理和技術、數據庫技術、計算機和網絡通訊技術等，開發和實現基于協同商務觀的企業戰略網絡信息管理系統，保證網絡內部信息、知識的快速交流、處理和共享。

篇2

一、網絡連接故障問題

在使用局域網的時候，無法避免地會存在一些故障。網絡管理最主要的任務之一是：對網絡系統進行優化，及時排除相應的故障。網絡連接故障問題只要是發生在日常的醫院網絡管理工作之中，就應該對相關網絡機器中的網卡設置仔細檢查運行正常與否。通過用鼠標按順序點擊設置窗口進行檢查：點擊控制面板，點擊系統，點擊設備管理，點擊網絡適配器。另外，及時檢查在相關窗口中有沒有出現I/O地址沖突和中斷號的情況。一般來說，網卡配置成功主要表現在：“該設備正常運轉”字樣出現在網絡適配器屬性里面，至少在“網上鄰居”中能較為容易地找到。當網卡檢查完畢保證正常工作狀態時，通過一定方式搜索其他網絡中的計算機，出現網絡連線中斷問題最常見的狀況是:無法聯系到其他網絡中的計算機，采用的方式是：“網上鄰居”。RJ-45水晶頭和雙絞線接觸不到位、網絡線內部出現斷裂現象、網絡連接設備出現不少質量問題，對于線路到底有沒有斷裂可以采用測線儀做一些相應的檢測，接著在檢測網絡質量好壞時可以采用替代方式進行測試。在網卡和網線正常運作的前提下，應該仔細檢查一下軟件設置方面有沒有什么故障。打個比方，出現故障的原因不排除中斷信號有誤差。在保證網絡介質運行正常的前提下，滿足一定的條件才能返回進行網卡設置，這個條件是：當處于明確無法接通時。進一步檢查相關設備資源有無沖突現象，這里需要指出的是，絕大部分沖突未必都有明顯提示。為了能夠及時將問題解決，確保正常開展醫務人員相關方面的工作，必須注重排查軟件和硬件，尋找阻礙網絡正常連接的根源。

二、網絡堵塞問題

相當一部分醫院認為，網絡設備質量無法引起有關方面高度重視的主要原因在于：不少醫院在網絡建設的過程之中，只注重大幅度降低成本，促使網絡建設見效十分的不明顯。一般來說，醫院必須晝夜持續不間斷地工作。為了避免醫院網絡出現癱瘓的情況，為了保證醫院相關網絡設備的穩定運行，我們應該重點關注服務器和主交換機的運轉狀況，大大增強相關網絡設備的穩定性能。在實踐過程中，網絡難免存在一些堵塞情況，這在一定程度上影響醫院員工正常的工作秩序，大幅度降低了醫院員工的工作效率。將路由器的管理信息庫打開，網絡平均流量遠遠低于50%會在該庫顯示出來，很少產生數據碰撞的情況，這表明在整個網絡結構中并不是所有設備都是有缺陷的，或許是極個別工作站引發了故障。在局域網中明確相關工作站地點的前提下，進一步確定存在質疑的工作站用戶和與位置的有效途徑是：采用一定的方式將MAC地址搜索到，并且將相關工作站網卡MAC地址備份順利打開，將兩者對照起來進行精確查找。這個方式是：通過熟練運用網絡萬用表。緊接著，全面地檢查這個搜索出來的工作站，但是應該清楚地看到，計算機并沒有給該工作站用戶使用，卻出現了網絡堵塞的情況。進一步連接該工作站網卡和相關方面的網絡測試儀，對流量進行模擬發送。只要大幅度增加流量，那么數據碰撞的次數也會相應遞增。毫無疑問，故障發生在網卡的連接上。這里需要明確的是，所有工作站在局域網中基于同一個網段，整個網絡傳輸質量很大程度上受一臺工作站運轉狀況的影響，導致堵塞故障出現在整個網絡。另外，IE瀏覽器使用故障問題不容忽視。

作者：宋向坤 單位：安徽省太和縣人民醫院

篇3

前 言

隨著計算機技術和Internet的發展，企業和政府部門開始大規模的建立網絡來推動電子商務和政務的發展，伴隨著網絡的業務和應用的豐富，對計算機網絡的管理與維護也就變得至關重要。人們普遍認為，網絡管理是計算機網絡的關鍵技術之一，尤其在大型計算機網絡中更是如此。網絡管理就是指監督、組織和控制網絡通信服務以及信息處理所必需的各種活動的總稱。其目標是確保計算機網絡的持續正常運行，并在計算機網絡運行出現異常時能及時響應和排除故障。

網絡故障極為普遍，網絡故障的種類也多種多樣，要在網絡出現故障時及時對出現故障的網絡進行維護，以最快的速度恢復網絡的正常運行，掌握一套行之有效的網絡維護理論、方法和技術是關鍵。就網絡中常見故障進行分類，并對各種常見網絡故障提出相應的解決方法。

隨著計算機的廣泛應用和網絡的日趨流行，功能獨立的多個計算機系統互聯起來，互聯形成日漸龐大的網絡系統。計算機網絡系統的穩定運轉已與功能完善的網絡軟件密不可分。計算機網絡系統，就是利用通訊設備和線路將地理位置不同的、信息交換方式及網絡操作系統等共享，包括硬件資源和軟件資源的共享：因此，如何有效地做好本單位計算機網絡的日常維護工作，確保其安全穩定地運行，這是網絡運行維護人員的一項非常重要的工作。

在排除比較復雜網絡的故障時，我們常常要從多種角度來測試和分析故障的現象，準確確定故障點。

第一章　網絡安全技術

1.1概述

網絡安全技術是指致力于解決諸如如何有效進行介入控制，以及如何保證數據傳輸的安全性的技術手段，主要包括物理的安全分析技術，網絡結構安全分析技術，系統安全分析技術，管理安全分析技術，以及其他的安全服務和安全機制策略。

21世紀全世界的計算機都將通過Internet聯到一起,信息安全的內涵也就發生了根本的變化.它不僅從一般性的防衛變成了一種非常普通的防范,而且還從一種專門的領域變成了無處不在.當人類步入21世紀這一信息社會,網絡社會的時候,我國將建立起一套完整的網絡安全體系,特別是從政策上和法律上建立起有中國自己特色的網絡安全體系.

一個國家的信息安全體系實際上包括國家的法規和政策,以及技術與市場的發展平臺.我國在構建信息防衛系統時,應著力發展自己獨特的安全產品,我國要想真正解決網絡安全問題,最終的辦法就是通過發展民族的安全產業,帶動我國網絡安全技術的整體提高.

網絡安全產品有以下幾大特點:第一,網絡安全來源于安全策略與技術的多樣化,如果采用一種統一的技術和策略也就不安全了;第二,網絡的安全機制與技術要不斷地變化;第三,隨著網絡在社會各方面的延伸,進入網絡的手段也越來越多,因此,網絡安全技術是一個十分復雜的系統工程.為此建立有中國特色的網絡安全體系,需要國家政策和法規的支持及集團聯合研究開發.安全與反安全就像矛盾的兩個方面,總是不斷地向上攀升,所以安全產業將來也是一個隨著新技術發展而不斷發展的產業.

信息安全是國家發展所面臨的一個重要問題.對于這個問題,我們還沒有從系統的規劃上去考慮它,從技術上,產業上,政策上來發展它.政府不僅應該看見信息安全的發展是我國高科技產業的一部分,而且應該看到,發展安全產業的政策是信息安全保障系統的一個重要組成部分,甚至應該看到它對我國未來電子化,信息化的發展將起到非常重要的作用

1.2防火墻

網絡防火墻技術是一種用來加強網絡之間訪問控制,防止外部網絡用戶以非法手段通過外部網絡進入內部網絡,訪問內部網絡資源,保護內部網絡操作環境的特殊網絡互聯設備.它對兩個或多個網絡之間傳輸的數據包如鏈接方式按照一定的安全策略來實施檢查,以決定網絡之間的通信是否被允許,并監視網絡運行狀態.

目前的防火墻產品主要有堡壘主機,包過濾路由器,應用層網關(服務器)以及電路層網關,屏蔽主機防火墻,雙宿主機等類型.

雖然防火墻是目前保護網絡免遭黑客襲擊的有效手段,但也有明顯不足:無法防范通過防火墻以外的其它途徑的攻擊,不能防止來自內部變節者和不經心的用戶們帶來的威脅,也不能完全防止傳送已感染病毒的軟件或文件,以及無法防范數據驅動型的攻擊.

自從1986年美國Digital公司在Internet上安裝了全球第一個商用防火墻系統,提出了防火墻概念后,防火墻技術得到了飛速的發展.國內外已有數十家公司推出了功能各不相同的防火墻產品系列.

防火墻處于5層網絡安全體系中的最底層,屬于網絡層安全技術范疇.在這一層上,企業對安全系統提出的問題是:所有的IP是否都能訪問到企業的內部網絡系統如果答案是"是",則說明企業內部網還沒有在網絡層采取相應的防范措施.

作為內部網絡與外部公共網絡之間的第一道屏障,防火墻是最先受到人們重視的網絡安全產品之一.雖然從理論上看,防火墻處于網絡安全的最底層,負責網絡間的安全認證與傳輸,但隨著網絡安全技術的整體發展和網絡應用的不斷變化,現代防火墻技術已經逐步走向網絡層之外的其他安全層次,不僅要完成傳統防火墻的過濾任務,同時還能為各種網絡應用提供相應的安全服務.另外還有多種防火墻產品正朝著數據安全與用戶認證,防止病毒與黑客侵入等方向發展.

根據防火墻所采用的技術不同,我們可以將它分為四種基本類型:包過濾型,網絡地址轉換—NAT,型和監測型.

1.3 防火墻主要技術

包過濾型

包過濾型產品是防火墻的初級產品,其技術依據是網絡中的分包傳輸技術.網絡上的數據都是以"包"為單位進行傳輸的,數據被分割成為一定大小的數據包,每一個數據包中都會包含一些特定信息,如數據的源地址,目標地址,TCP/UDP源端口和目標端口等.防火墻通過讀取數據包中的地址信息來判斷這些"包"是否來自可信任的安全站點 ,一旦發現來自危險站點的數據包,防火墻便會將這些數據拒之門外.系統管理員也可以根據實際情況靈活制訂判斷規則.

包過濾技術的優點是簡單實用,實現成本較低,在應用環境比較簡單的情況下,能夠以較小的代價在一定程度上保證系統的安全.

但包過濾技術的缺陷也是明顯的.包過濾技術是一種完全基于網絡層的安全技術,只能根據數據包的來源,目標和端口等網絡信息進行判斷,無法識別基于應用層的惡意侵入,如惡意的Java小程序以及電子郵件中附帶的病毒.有經驗的黑客很容易偽造IP地址,騙過包過濾型防火墻.

網絡地址轉化—NAT

網絡地址轉換是一種用于把IP地址轉換成臨時的,外部的,注冊的IP地址標準.它允許具有私有IP地址的內部網絡訪問因特網.它還意味著用戶不許要為其網絡中每一臺機器取得注冊的IP地址.

在內部網絡通過安全網卡訪問外部網絡時,將產生一個映射記錄.系統將外出的源地址和源端口映射為一個偽裝的地址和端口,讓這個偽裝的地址和端口通過非安全網卡與外部網絡連接,這樣對外就隱藏了真實的內部網絡地址.在外部網絡通過非安全網卡訪問內部網絡時,它并不知道內部網絡的連接情況,而只是通過一個開放的IP地址和端口來請求訪問.OLM防火墻根據預先定義好的映射規則來判斷這個訪問是否安全.當符合規則時,防火墻認為訪問是安全的,可以接受訪問請求,也可以將連接請求映射到不同的內部計算機中.當不符合規則時,防火墻認為該訪問是不安全的,不能被接受,防火墻將屏蔽外部的連接請求.網絡地址轉換的過程對于用戶來說是透明的,不需要用戶進行設置,用戶只要進行常規操作即可.

型

型防火墻也可以被稱為服務器,它的安全性要高于包過濾型產品,并已經開始向應用層發展.服務器位于客戶機與服務器之間,完全阻擋了二者間的數據交流.從客戶機來看,服務器相當于一臺真正的服務器;而從服務器來看,服務器又是一臺真正的客戶機.當客戶機需要使用服務器上的數據時,首先將數據請求發給服務器,服務器再根據這一請求向服務器索取數據,然后再由服務器將數據傳輸給客戶機.由于外部系統與內部服務器之間沒有直接的數據通道,外部的惡意侵害也就很難傷害到企業內部網絡系統.

型防火墻的優點是安全性較高,可以針對應用層進行偵測和掃描,對付基于應用層的侵入和病毒都十分有效.其缺點是對系統的整體性能有較大的影響,而且服務器必須針對客戶機可能產生的所有應用類型逐一進行設置,大大增加了系統管理的復雜性.

監測型

監測型防火墻是新一代的產品,這一技術實際已經超越了最初的防火墻定義.監測型防火墻能夠對各層的數據進行主動的,實時的監測,在對這些數據加以分析的基礎上,監測型防火墻能夠有效地判斷出各層中的非法侵入.同時,這種檢測型防火墻產品一般還帶有分布式探測器,這些探測器安置在各種應用服務器和其他網絡的節點之中,不僅能夠檢測來自網絡外部的攻擊,同時對來自內部的惡意破壞也有極強的防范作用.據權威機構統計,在針對網絡系統的攻擊中,有相當比例的攻擊來自網絡內部.因此,監測型防火墻不僅超越了傳統防火墻的定義,而且在安全性上也超越了前兩代產品

雖然監測型防火墻安全性上已超越了包過濾型和服務器型防火墻,但由于監測型防火墻技術的實現成本較高,也不易管理,所以目前在實用中的防火墻產品仍然以第二代型產品為主,但在某些方面也已經開始使用監測型防火墻.基于對系統成本與安全技術成本的綜合考慮,用戶可以選擇性地使用某些監測型技術.這樣既能夠保證網絡系統的安全性需求,同時也能有效地控制安全系統的總擁有成本.

實際上,作為當前防火墻產品的主流趨勢,大多數服務器(也稱應用網關)也集成了包過濾技術,這兩種技術的混合應用顯然比單獨使用具有更大的優勢.由于這種產品是基于應用的,應用網關能提供對協議的過濾.例如,它可以過濾掉FTP連接中的PUT命令,而且通過應用,應用網關能夠有效地避免內部網絡的信息外泄.正是由于應用網關的這些特點,使得應用過程中的矛盾主要集中在對多種網絡應用協議的有效支持和對網絡整體性能的影響上

1.4防火墻體系結構

篩選路由式體系結構

SHAPE \* MERGEFORMAT

屏蔽子網式結構

雙網主機式體系結構

SHAPE \* MERGEFORMAT

屏蔽主機式體系結構

1.5入侵檢測系統

1概念

當前，平均每20秒就發生一次入侵計算機網絡的事件，超過1/3的互聯網防火墻被攻破！面對接2連3的安全問題，人們不禁要問：到底是安全問題本身太復雜，以至于不可能被徹底解決，還的仍然可以有更大的改善，只不過我們所采取的安全措施中缺少了某些重要的環節。有關數據表明，后一種解釋更說明問題。有權威機構做過入侵行為統計，發現他、有80%來自于網絡內部，也就是說，“堡壘”是從內部被攻破的。另外，在相當一部分黑客攻擊當中，黑客都能輕易地繞過防火墻而攻擊網站服務器。這就使人們認識到：僅靠防火墻仍然遠遠不能將“不速之客”拒之門外，還必須借助于一個“補救”環節------入侵檢測系統。

入侵檢測系統（Intrusion detection system,簡稱IDS）是指監視（或者在可能的情況下阻止）入侵或者試圖控制你的系統或者網絡資源的行為的系統。作為分層安全中日益被越普遍采用的成份，入侵檢測系統能有效地提升黑客進入網絡系統的門檻。入侵檢測系統能夠通過向管理員發出入侵或者入侵企圖來加強當前存取控制系統，例如防火墻；識別防火墻通常用不能識別的攻擊，如來自企業內部的攻擊；在發現入侵企圖之后提供必要的信息。

入侵檢測是防火墻的合理補充，幫助系統對付網絡攻擊，擴展了系統管理員的安全管理能力（包括安全審計、監視、進攻識別和響應），提高了信息安全基礎結構的完整性。它從計算機網絡系統中的若干個關鍵點收集信息，并分析這些信息，檢測網絡中是否有違反安全策略的行為和遭到襲擊的跡象。它的作用是監控網絡和計算機系統是否出現被入侵或濫用的征兆。

作為監控和識別攻擊的標準解決方案，IDS系統已經成為安防體系的重要組成部分。

IDS系統以后臺進程的形式運行。發現可疑情況，立即通知有關人員。

防火墻為網絡提供了第一道防線，入侵檢測被認為是防火墻之后的第二道安全閘門，在不影響網絡性能的情況下對網絡進行檢測，從而提供對內部攻擊、外部攻擊和誤解操作的實時保護。由于入侵檢測系統是防火墻后的又一道防線，從二可以極大地減少網絡免受各種攻擊的損害。

假如說防火墻是一幢大樓的門鎖，那入侵檢測系統就是這幢大樓里的監視系統。門鎖可以防止小偷進入大樓，但不能保證小偷100%地被拒之門外，更不能防止大樓內部個別人員的不良企圖。而一旦小偷爬入大樓，或內部人員有越界行為，門鎖就沒有任何作用了，這時，只有實時監視系統才能發現情況并發出警告。入侵檢測系統不僅僅針對外來的入侵者，同時也針對內部的入侵行為。

2侵檢測的主要技術————入侵分析技術

入侵分析技術主要有三大類：簽名、統計和數據完整性。

簽名分析法

名分析法主要用來檢測有無對系統的已知弱點進行的攻擊行為。這類攻擊可以通過監視有無針對特定對象的某種行為而被檢測到。

主要方法：從攻擊模式中歸納出其簽名，編寫到IDS系統的代碼里，再由IDS系統對檢測過程中收集到的信息進行簽名分析。

簽名分析實際上是一個模板匹配操作，匹配的一方是系統設置情況和用戶操作動作，一方是已知攻擊模式的簽名數據庫。

統計分析法

統計分析法是以系統正常使用情況下觀察到的動作為基礎，如果某個操作偏離了正常的軌道，此操作就值得懷疑。

主要方法：首先根據被檢測系統的正常行為定義一個規律性的東西，在此稱為“寫照”，然后檢測有沒有明顯偏離“寫照”的行為。

統計分析法的理論經常是統計學，此方法中，“寫照”的確定至關重要。

數據完整分析法

數據完整分析法主要用來查證文件或對象是否被修改過，它的理論經常是密碼學。

3侵檢測系統的分類：

現有的IDS的分類，大都基于信息源和分析方法。為了體現對IDS從布局、采集、分析、響應等各個層次及系統性研究方面的問題，在這里采用五類標準：控制策略、同步技術、信息源、分析方法、響應方式。

按照控制策略分類

控制策略描述了IDS的各元素是如何控制的，以及IDS的輸入和輸出是如何管理的。按照控制策略IDS可以劃分為，集中式IDS、部分分布式IDS和全部分布式IDS。在集中式IDS中，一個中央節點控制系統中所有的監視、檢測和報告。在部分分布式IDS中，監控和探測是由本地的一個控制點控制，層次似的將報告發向一個或多個中心站。在全分布式IDS中，監控和探測是使用一種叫“”的方法，進行分析并做出響應決策。

按照同步技術分類

同步技術是指被監控的事件以及對這些事件的分析在同一時間進行。按照同步技中，信息源是以文件的形式傳給分析器，一次只處理特定時間段內產生的信息，并在入侵發生時將結果反饋給用戶。很多早期的基于主機的IDS都采用這種方案。在實時連續型IDS中，事件一發生，信息源就傳給分析引擎，并且立刻得到處理和反映。實時IDS是基于網絡IDS首選的方案。

按照信息源分類

按照信息源分類是目前最通用的劃分方法，它分為基于主機的IDS、基于網絡的IDS和分布式IDS。基于主機的IDS通過分析來自單個的計算機系統的系統審計蹤跡和系統日志來檢測攻擊?；谥鳈C的IDS是在關鍵的網段或交換部位通過捕獲并分析網絡數據包來檢測攻擊。分布式IDS，能夠同時分析來自主機系統日志和網絡數據流，系統由多個部件組成，采用分布式結構。

按照分析方法分類

按照分析方法IDS劃分為濫用檢測型IDS和異常檢測型IDS。濫用檢測型的IDS中，首先建立一個對過去各種入侵方法和系統缺陷知識的數據庫，當收集到的信息與庫中的原型相符合時則報警。任何不符合特定條件的活動將會被認為合法，因此這樣的系統虛警率很低。異常檢測型IDS是建立在如下假設的基礎之上的，即任何一種入侵行為都能由于其偏離正?；蛘咚谕南到y和用戶活動規律而被檢測出來。所以它需要一個記錄合法活動的數據庫，由于庫的有限性使得虛警率比較高。

按照響應方式分類

按照響應方式IDS劃分為主動響應IDS和被動響應IDS。當特定的入侵被檢測到時，主動IDS會采用以下三種響應：收集輔助信息；改變環境以堵住導致入侵發生的漏洞；對攻擊者采取行動（這是一種不被推薦的做法，因為行為有點過激）。被動響應IDS則是將信息提供給系統用戶，依靠管理員在這一信息的基礎上采取進一步的行動。

4 IDS的評價標準

目前的入侵檢測技術發展迅速，應用的技術也很廣泛，如何來評價IDS的優缺點

就顯得非常重要。評價IDS的優劣主要有這樣幾個方面[5]：（1）準確性。準確性是指IDS不會標記環境中的一個合法行為為異?；蛉肭帧＃?）性能。IDS的性能是指處理審計事件的速度。對一個實時IDS來說，必須要求性能良好。（3）完整性。完整性是指IDS能檢測出所有的攻擊。（4）故障容錯（fault tolerance）。當被保護系統遭到攻擊和毀壞時，能迅速恢復系統原有的數據和功能。（5）自身抵抗攻擊能力。這一點很重要，尤其是“拒絕服務”攻擊。因為多數對目標系統的攻擊都是采用首先用“拒絕服務”攻擊摧毀IDS，再實施對系統的攻擊。（6）及時性（Timeliness）。一個IDS必須盡快地執行和傳送它的分析結果，以便在系統造成嚴重危害之前能及時做出反應，阻止攻擊者破壞審計數據或IDS本身。

除了上述幾個主要方面，還應該考慮以下幾個方面：（1）IDS運行時，額外的計算機資源的開銷；（2）誤警報率／漏警報率的程度；（3）適應性和擴展性；（4）靈活性；（5）管理的開銷；（6）是否便于使用和配置。

5 IDS的發展趨

隨著入侵檢測技術的發展，成型的產品已陸續應用到實踐中。入侵檢測系統的典型代表是ISS（國際互聯網安全系統公司）公司的RealSecure。目前較為著名的商用入侵檢測產品還有：NAI公司的CyberCop Monitor、Axent公司的NetProwler、CISCO公司的Netranger、CA公司的Sessionwall－3等。國內的該類產品較少，但發展很快，已有總參北方所、中科網威、啟明星辰等公司推出產品。

人們在完善原有技術的基礎上，又在研究新的檢測方法，如數據融合技術，主動的自主方法，智能技術以及免疫學原理的應用等。其主要的發展方向可概括為：

（1）大規模分布式入侵檢測。傳統的入侵檢測技術一般只局限于單一的主機或網絡框架，顯然不能適應大規模網絡的　監測，不同的入侵檢測系統之間也不能協同工作。因此，必須發展大規模的分布式入侵檢測技術。

（2）寬帶高速網絡的實時入侵檢測技術。大量高速網絡的不斷涌現，各種寬帶接入手段層出不窮，如何實現高速網絡下的實時入侵檢測成為一個現實的問題。

（3）入侵檢測的數據融合技術。目前的IDS還存在著很多缺陷。首先，目前的技術還不能對付訓練有素的黑客的復雜的攻擊。其次，系統的虛警率太高。最后，系統對大量的數據處理，非但無助于解決問題，還降低了處理能力。數據融合技術是解決這一系列問題的好方法。

（4）與網絡安全技術相結合。結合防火墻，病毒防護以及電子商務技術，提供完整的網絡安全保障。

第二章　網絡管理

2.1概述

隨著計算機技術和Internet的發展，企業和政府部門開始大規模的建立網絡來推動電子商務和政務的發展，伴隨著網絡的業務和應用的豐富，對計算機網絡的管理與維護也就變得至關重要。人們普遍認為，網絡管理是計算機網絡的關鍵技術之一，尤其在大型計算機網絡中更是如此。網絡管理就是指監督、組織和控制網絡通信服務以及信息處理所必需的各種活動的總稱。其目標是確保計算機網絡的持續正常運行，并在計算機網絡運行出現異常時能及時響應和排除故障。

關于網絡管理的定義目前很多，但都不夠權威。一般來說，網絡管理就是通過某種方式對網絡進行管理，使網絡能正常高效地運行。其目的很明確，就是使網絡中的資源得到更加有效的利用。它應維護網絡的正常運行，當網絡出現故障時能及時報告和處理，并協調、保持網絡系統的高效運行等。國際標準化組織（ISO）在ISO/IEC7498-4中定義并描述了開放系統互連（OSI）管理的術語和概念，提出了一個OSI管理的結構并描述了OSI管理應有的行為。它認為，開放系統互連管理是指這樣一些功能，它們控制、協調、監視OSI環境下的一些資源，這些資源保證OSI環境下的通信。通常對一個網絡管理系統需要定義以下內容：

系統的功能。即一個網絡管理系統應具有哪些功能。

網絡資源的表示。網絡管理很大一部分是對網絡中資源的管理。網絡中的資源就是指網絡中的硬件、軟件以及所提供的服務等。而一個網絡管理系統必須在系統中將它們表示出來，才能對其進行管理。

網絡管理信息的表示。網絡管理系統對網絡的管理主要靠系統中網絡管理信息的傳遞來實現。網絡管理信息應如何表示、怎樣傳遞、傳送的協議是什么?這都是一個網絡管理系統必須考慮的問題。

系統的結構。即網絡管理系統的結構是怎樣的。

網絡管理這一學科領域自20世紀80年代起逐漸受到重視，許多國際標準化組織、論壇和科研機構都先后開發了各類標準、協議來指導網絡管理與設計，但各種網絡系統在結構上存在著或大或小的差異，至今還沒有一個大家都能接受的標準。當前，網絡管理技術主要有以下三種：誕生于Internte家族的SNMP是專門用于對Internet進行管理的，雖然它有簡單適用等特點，已成為當前網絡界的實際標準，但由于Internet本身發展的不規范性，使SNMP有先天性的不足，難以用于復雜的網絡管理，只適用于TCP/IP網絡，在安全方面也有欠缺。已有SNMPv1和SNMPv2兩種版本，其中SNMPv2主要在安全方面有所補充。隨著新的網絡技術及系統的研究與出現，電信網、有線網、寬帶網等的融合，使原來的SNMP已不能滿足新的網絡技術的要求；CMIP可對一個完整的網絡管理方案提供全面支持，在技術和標準上比較成熟.最大的優勢在于，協議中的變量并不僅僅是與終端相關的一些信息，而且可以被用于完成某些任務，但正由于它是針對SNMP的不足而設計的，因此過于復雜，實施費用過高，還不能被廣泛接受；分布對象網絡管理技術是將CORBA技術應用于網絡管理而產生的，主要采用了分布對象技術將所有的管理應用和被管元素都看作分布對象，這些分布對象之間的交互就構成了網絡管理.此方法最大的特點是屏蔽了編程語言、網絡協議和操作系統的差異，提供了多種透明性，因此適應面廣，開發容易，應用前景廣闊.SNMP和CMIP這兩種協議由于各自有其擁護者，因而在很長一段時期內不會出現相互替代的情況，而如果由完全基于CORBA的系統來取代，所需要的時間、資金以及人力資源等都過于龐大，也是不能接受的.所以，CORBA，SNMP，CMIP相結合成為基于CORBA的網絡管理系統是當前研究的主要方向。

網絡管理協議

網絡管理協議一般為應用層級協議，它定義了網絡管理信息的類別及其相應的確切格式，并且提供了網絡管理站和網絡管理節點間進行通訊的標準或規則。

網絡管理系統通常由管理者(Manager)和( Agent)組成，管理者從各那兒采集管理信息，進行加工處理，從而提供相應的網絡管理功能，達到對管理之目的。即管理者與之間孺要利用網絡實現管理信息交換，以完成各種管理功能，交換管理信息必須遵循統一的通信規約，我們稱這個通信規約為網絡管理協議。

目前有兩大網管協議，一個是由IETF提出來的簡單網絡管理協議SNMP，它是基于TCP / IP和Internet的。因為TCP/IP協議是當今網絡互連的工業標準，得到了眾多廠商的支持，因此SNMP是一個既成事實的網絡管理標準協議。SNMP的特點主要是采用輪詢監控，管理者按一定時間間隔向者請求管理信息，根據管理信息判斷是否有異常事件發生。輪詢監控的主要優點是對的要求不高；缺點是在廣域網的情形下，輪詢不僅帶來較大的通信開銷，而且輪詢所獲得的結果無法反映最新的狀態。

另一個是ISO定義的公共管理信息協議CMIP。CMIP是以OSI的七層協議棧作為基礎，它可以對開放系統互連環境下的所有網絡資源進行監測和控制，被認為是未來網絡管理的標準協議。CMIP的特點是采用委托監控，當對網絡進行監控時，管理者只需向發出一個監控請求，會自動監視指定的管理對象，并且只是在異常事件(如設備、線路故障)發生時才向管理者發出告警，而且給出一段較完整的故障報告，包括故障現象、故障原因。委托監控的主要優點是網絡管理通信的開銷小、反應及時，缺點是對的軟硬件資源要求高，要求被管站上開發許多相應的程序，因此短期內尚不能得到廣泛的支持。

網絡管理系統的組成

網絡管理的需求決定網管系統的組成和規模，任何網管系統無論其規模大小如何，基本上都是由支持網管協議的網管軟件平臺、網管支撐軟件、網管工作平臺和支撐網管協議的網絡設備組成。

網管軟件平臺提供網絡系統的配置、故障、性能以及網絡用戶分布方面的基本管理。目前決大多數網管軟件平臺都是在UNIX 和DOS/WINDOWS平臺上實現的。目前公認的三大網管軟件平臺是：HP View、IBM Netview和SUN Netmanager。雖然它們的產品形態有不同的操作系統的版本，但都遵循SNMP協議和提供類似的網管功能。

不過，盡管上述網管軟件平臺具有類似的網管功能，但是它們在網管支撐軟件的支持、系統的可靠性、用戶界面、操作功能、管理方式和應用程序接口，以及數據庫的支持等方面都存在差別?？赡茉谄渌僮飨到y之上實現的Netview、 Openview、Netmanager網 管 軟 件 平 臺 版 本 僅 是 標 準Netview、 Openview、Netmanager的子集。例如，在MS Windows操作系統上實現的Netview 網管軟件平臺版本Netview for Windows 便僅僅只是Netview的子集。

網管支撐軟件是運行于網管軟件平臺之上，支持面向特定網絡功能、網絡設備和操作系統管理的支撐軟件系統。

網絡設備生產廠商往往為其生產的網絡設備開發專門的網絡管理軟件。這類軟件建立在網絡管理平臺之上，針對特定的網絡管理設備，通過應用程序接口與平臺交互，并利用平臺提供的數據庫和資源，實現對網絡設備的管理，比如Cisco Works就是這種類型的網絡管理軟件，它可建立在HP Open View和IBM Netview等管理平臺之上，管理廣域互聯網絡中的Cisco路由器及其它設備。通過它，可以實現對Cisco的各種網絡互聯設備（如路由器、交換機等）進行復雜網絡管理。

網絡管理的體系結構

網絡管理系統的體系結構（簡稱網絡拓撲）是決定網絡管理性能的重要因素之一。通?？梢苑譃榧惺胶头羌惺絻深愺w系結構。

目前，集中式網管體系結構通常采用以平臺為中心的工作模式，該工作模式把單一的管理者分成兩部分：管理平臺和管理應用。管理平臺主要關心收集的信息并進行簡單的計算，而管理應用則利用管理平臺提供的信息進行決策和執行更高級的功能。

非集中方式的網絡管理體系結構包括層次方式和分布式。層次方式采用管理者的管理者MOM（Manager of manager）的概念，以域為單位，每個域有一個管理者，它們之間的通訊通過上層的MOM，而不直接通訊。層次方式相對來說具有一定的伸縮性：通過增加一級MOM，層次可進一步加深。分布式是端對端（peer to peer）的體系結構，整個系統有多個管理方，幾個對等的管理者同時運行于網絡中，每個管理者負責管理系統中一個特定部分 “域”，管理者之間可以相互通訊或通過高級管理者進行協調。

對于選擇集中式還是非集中式，這要根據實際場合的需要來決定。而介于兩者之間的部分分布式網管體系結構，則是近期發展起來的兼顧兩者優點的一種新型網管體系結構

2.2常見的幾種網絡管理技術

基于WEB的網絡管理模式

隨著 Internet技術的廣泛應用，Intranet也正在悄然取代原有的企業內部局域網，由于異種平臺的存在及網絡管理方法和模型的多樣性， 使得網絡管理軟件開發和維護的費用很高， 培訓管理人員的時間很長，因此人們迫切需要尋求高效、方便的網絡管理模式來適應網絡高速發展的新形勢。隨著Intranet和WEB 及其開發工具的迅速發展，基于WEB的網絡管理技術也因此應運而生?；赪EB的網管解決方案主要有以下幾方面的優點：（1）地理上和系統間的可移動性：系統管理員可以在Intranet 上的任何站點或Internet的遠程站點上利用 WEB 瀏覽器透明存取網絡管理信息；（2）統一的WEB瀏覽器界面方便了用戶的使用和學習，從而可節省培訓費用和管理開銷；（3）管理應用程序間的平滑鏈接：由于管理應用程序獨立于平臺，可以通過標準的HTTP協議將多個基于WEB的管理應用程序集成在一起，實現管理應用程序間的透明移動和訪問；（4）利用 JAVA技術能夠迅速對軟件進行升級。 為了規范和促進基于WEB的網管系統開發，目前已相繼公布了兩個主要推薦標準：WEBM和JMAPI。兩個推薦標準各有其特色，并基于不同的原理提出。

WEBM方案仍然支持現存的管理標準和協議，它通過WEB技術對不同管理平臺所提供的分布式管理服務進行集成，并且不會影響現有的網絡基礎結構。 JMAPI 是一種輕型的管理基礎結構，采用JMAPI來開發集成管理工具存在以下優點：平臺無關、高度集成化、消除程序版本分發問題、安全性和協議無關性。

2.分布對象網絡管理技術

目前廣泛采用的網絡管理系統模式是一種基于Client/Server技術的集中式平臺模式。由于組織結構簡單，自應用以來，已經得到廣泛推廣，但同時也存在著許多缺陷：一個或幾個站點負責收集分析所有網絡節點信息，并進行相應管理，造成中心網絡管理站點負載過重；所有信息送往中心站點處理，造成此處通信瓶頸；每個站點上的程序是預先定義的，具有固定功能，不利于擴展。隨著網絡技術和網絡規模尤其是因特網的發展，集中式在可擴展性、可靠性、有效性、靈活性等方面有很大的局限，已不能適應發展的需要.

CORBA技術

CORBA技術是對象管理組織OMG推出的工業標準，主要思想是將分布計算模式和面向對象思想結合在一起，構建分布式應用。CORBA的主要目標是解決面向對象的異構應用之間的互操作問題，并提供分布式計算所需要的一些其它服務。OMG是CORBA平臺的核心，

它用于屏蔽與底層平臺有關的細節，使開發者可以集中精力去解決與應用相關的問題，而不必自己去創建分布式計算基礎平臺。CORBA將建立在ORB之上的所有分布式應用看作分布計算對象，每個計算對象向外提供接口，任何別的對象都可以通過這個接口調用該對象提供的服務。CORBA同時提供一些公共服務設施，例如名字服務、事務服務等，借助于這些服務，CORBA可以提供位置透明性、移動透明性等分布透明性。

CORBA的一般結構

基于CORBA的網絡管理系統通常按照Client/Server的結構進行構造。其中，服務方是指針對網絡元素和數據庫組成的被管對象進行的一些基本網絡服務，例如配置管理、性能管理等.客戶方則是面向用戶的一些界面，或者提供給用戶進一步開發的管理接口等。其中，從網絡元素中獲取的網絡管理信息通常需要經過CORBA/SNMP網關或CORBA/CMIP網關進行轉換，這一部分在有的網絡管理系統中被抽象成CORBA的概念.從以上分析可以看出，運用CORBA技術完全能夠實現標準的網絡管理系統。不僅如此，由于CORBA是一種分布對象技術，基于CORBA的網絡管理系統能夠克服傳統網絡管理技術的不足，在網絡管理的分布性、可靠性和易開發性方面達到一個新的高度。

2.3統一不同的網絡管理系統面臨的問題

統一的不同層面

網絡管理的統一存在三個層次。

站點級的統計，這是最低級的統一，不同的網絡管理系統在同一服務器上運行，相互獨立，是不同的NMS。

GUI級的統一，指不同的網絡管理系統操作界面風格統一，運用的術語相同，管理員面對的是一種操作語言，這是一種表面上的統一，具有友好的一次性學習的界面。

管理應用級的統一，這是最高級別的統一。在這個級別上，不但實現了GUI的統一，各種網絡管理系統的管理應用程序按照統一標準設計，應用程序間可進行信息共享和關聯操作。在這一層面上的統一實現了對異構網的綜合分析與管理，進行關聯操作，網管系統可具有推理判斷能力。

統一的內容

網絡管理系統統一可從三個方面依次去實現，即操作界面的統一、網管協議的統網管功能的統一。

界面的統一

網絡管理系統是管理的工具，但歸根到底是要人去操作管理，操作界面的優劣會對管理員產生很大影響。不同網管系統具有不同的操作界面，要求管理員分別學習，或增加管理員人數，形成人力浪費。現在沒有統一的網管用戶界面的統一標準?，F有的網管系統幾乎都實現了圖形界面，但既有基于UNIX操作系統的又有基于WINDOWS操作系統，且界面的格式千差萬別，給管理員的工作增加困難。

網管協議的統一

管理協議是NMS核心和管理之間進行信息交換遵循的標準，是網管系統統一的關鍵所在。目前流行的兩種網管協議為SNMP(Simple Network Management Protocal)和CMIS/CMIP(Common Mangement Information Protocal).SNMP是由互聯網活動委員會IAB提出的基于TCP/IP網管協議，CMIP是由國際標準化組織ISO開發的基于網絡互聯的網管協議。網管協議的統一就是指這兩種協議的統一

網管功能的統一

在ISO標準中定義了配置管理、故障管理、性能管理、安全管理、計費管理等領域。現有的網管系統在網管規范尚未成熟就進行了開發，大都是實現了部分模塊的部分功能。這些網管系統功能單一，相互獨立，不能實現信息的共享。不能從宏觀上實現管理，不利于網絡的綜合管理。

統一的策略

將多個網絡管理系統統一在一起的方法有三種，一種是格式轉換法，即各個子網管理系統通過程序進行格式的轉換，以便相互識別和共享資源，是一種分散式管理方式。另一種使用分層網管平臺，即建立更高級的管理系統，高級網管系統和低級網管系統間進行通信，分層管理，是一種分布式管理方式。第三種是標準化方法，是遵循標準的規范和協議，建立的綜合網絡管理系統。

使用分層的網管平臺是當前較為流行的方法，如現在廣泛研究和討論的基于CORBA的TMN(Telecomunication Management Network)就是將TMN中的管理者通過ORB(Object Request Broker)連接起來，實現不同管理系統的統一。

格式轉換法是目前使用較多的方法，如運營商要求網管系統對外提供統一的數據收集、告警信息。

協議標準化方法是統一網絡管理系統的趨勢和方向,電信管理網TMN就是在電信領域內的一種標準協議，使得不同的廠商、不同的軟硬件網管產品的統一管理成為可能。標準化實現統一的網管功能，包括網管協議的標準化、管理信息集模型的標準化和高層管理應用程序功能的統一規劃。

格式轉換和應用網管平臺的策略是基于現有網管系統的基礎上統一網管系統，而標準法策略則不考慮現有網管系統而重新設計一套新的標準，或是對現有網絡管理系統進行較大改進，考慮到我們當前的網絡管理發展的現狀，還是以格式轉換和應用網管平臺方式統一網絡系統。

網絡管理系統實現統一的方法

當前網絡管理的統一主要涉及兩個方面，一是網管協議的統一。另一種是分布系統的統一，即在CORBA環境下的統一。它是基于面向對象的網管平臺和格式轉換的策略。

2.4網絡管理協議SNMP和CMIP的統一

SNMP和CMIP在它們的范圍、復雜性、以及解決網絡管理問題的方法方面有很大的不同。SNMP被設計的很簡單，使它非常易于在TCP/IP系統中普及。目前這已經成為事實。可是這一特點也不太適合大型的、復雜的、多企業的網絡。相對應的，CMIP被設計的比較通用和靈活。但這也同時提高了復雜性。SNMP和CMIP的統一是指分別支持這兩種協議的網絡管理系統信息互通，互相兼容。

SNMP和CMIP統一有兩種思想，一種是兩種協議共存，一種是兩種協議的互作用。

協議共存可有三種方法實現，一是建立雙協議棧，二是建立混合協議棧，三是通用應用程序接口(APIs)。雙協議棧的方法要求被管設備同時支持兩種體系結構，但這要求被管設備要有很高的處理能力和存儲能力，開銷大，不實用?；旌蠀f議棧就是建立一種底層協議棧同時支持這兩種協議，這樣運行在該協議棧上的管理系統可同時管理支持SNMP的設備和支持CMIP的設備，為了使CMIP能在內存有限的設備上運行，IBM和3COM聯合為IEEE802.1b開發了一個特殊的邏輯鏈路控制上的CMIP(CMOL)，因為它取消了很多高層協議開銷，減少了對設備處理能力和內存的需求，并且不需要考慮底層的協議，但同時由于缺少網絡層，失去了跨越互聯網絡的能力。多廠商管理平臺定義了一套開放的應用程序接口(APIs)，允許開發商開發管理軟件而不用關心管理協議的一些細節描述、數據定義、和特殊的用戶接口。如圖2所示為HP OpenView利用XMP(X/Open Management Protocol) API來實現多協議管理平臺的結構。其中Postmaster 用來管理在網絡對象間的通信，如管理者和之間的請求和相應，而ORS(Object Registration Services)為每個產生一個目錄，紀錄它們的位置和采用的協議。

協議共存雖然能實現SNMP和CMIP的綜合，但協議之間沒有互作用能力不能很好的實現協作對網絡的分布式管理。 對于SNMP內部不支持SNMP的設備可采用委托PROXY的方式解決。對于TMN/CMIP內部非Q3或Qx接口的設備可通過增加適配器進行轉換。因此可通過增加中間的方式來解決SNMP和CMIP之間統一問題。由于CMIP的強大的對等能力和對復雜系統的模型能力即事件驅動機制，使得它更適于跨管理域實現對等實體間的互作用，以分層分布的方式管理網絡，由于它對設備的性能要求較高，因此在這種層次結構中，可充當中央管理站和中間管理站，而SNMP可用于下層管理簡單設備。如圖3給出了協議互作用的管理模型

基于CORBA的網管系統的統一

利用面向對象的的技術對網絡資源進行描述是一種有效的方式。在分層的網絡管理平臺上，利用面向對象的思想，將網絡資源和網絡管理資源進行抽象。管理平臺為不同應用系統和高層管理者提供的是一組管理對象，對象由屬性和方法組成。利用對象的封裝性可以使管理應用和高層管理者面對在較高層次上進行抽象的管理對象，屏蔽了實現各種管理功能的細節。為應用提供了對網絡資源進行描述和管理的高級抽象，易于實現各種管理功能。而對象類的繼承性便于擴充和增加管理對象類，繼承性支持系統開發過程中的可重用性。

在應用環境中，管理應用和高層管理節點與管理平臺是基于C/S（顧客/服務器）模式的分布式結構，即管理應用節點和高層管理者節點與他們所以來的平臺節點可能處于不同的地理位置。因此考慮基于何種結構，采用什么樣的協議實現分布對象的訪問。

多廠商設備的環境的網絡管理一直是網絡管理研究和實現的難點。鑒于CORBA的分布式面向對象的特點，在網管系統的開發中加以引用。

本文采用OMG的CORBA(Common Object Request Broker Architecture)做為實現分布管理對象訪問的設施。CORBA是很有應用前景的系統集成標準，它提供了面向對象應用的互操作標準。CORBA位分布對象環境描述了面向對象的設施-----對象請求，他提供了分布對象進行請求和應答的機制。這樣CORBA提供了在異構分布環境下不同機器的不同應用的互操作能力和將多個對象系統無縫互連接的能力。CORBA機制是獨立于任何程序設計語言的，對象的接口描述在IDL(Interface Description Language)中。CORBA支持兩種標準協議-----GIOP和IIOP。GIOP是信息表示協議，描述了所傳輸信息的格式，而IIOP則描述了CORBA所支持的傳輸協議，即GIOP信息如何進行交換

管理不同廠商應用和高層管理者如何使用CORBA機制訪問相應的管理平臺所提供的管理對象。使得處于不同節點的不同廠商的管理應用和高層管理者能無縫使用分布對象提供的功能。在這兩種情況下原理是相同的，只是功能不同，在第一種情況下，不同廠商的管理應用腳本程序通過CORBA機制訪問管理平臺上的應用管理對象，以實現同一層次上的管理功能。在第二種情況下，高層管理平臺上的腳本進程通過CORBA機制訪問底層管理者為高層提供的管理對象以實現高層對底層的網絡管理功能。

CORBA機制除支持客戶端對服務器端所提供的分布對象的訪問外，還提供分布對象服務功能------COSS,它包括分布對象訪問的安全機制、事件機制等。在網絡管理應用中，除主動詢問網絡管理信息以管理、監視網絡的運行狀態外，還有一種應用是被管理對象在發生故障和事件時，向管理者提出事件處理請求。CORBA中的事件服務機制恰好可以滿足這一需求。

2.5網絡管理分類及功能

事實上，網絡管理技術是伴隨著計算機、網絡和通信技術的發展而發展的，二者相輔相成。從網絡管理范疇來分類，可分為對網“路”的管理。即針對交換機、路由器等主干網絡進行管理；對接入設備的管理，即對內部PC、服務器、交換機等進行管理；對行為的管理。即針對用戶的使用進行管理；對資產的管理，即統計IT軟硬件的信息等。根據網管軟件的發展歷史，可以將網管軟件劃分為三代：

第一代網管軟件就是最常用的命令行方式，并結合一些簡單的網絡監測工具，它不僅要求使用者精通網絡的原理及概念，還要求使用者了解不同廠商的不同網絡設備的配置方法。

第二代網管軟件有著良好的圖形化界面。用戶無須過多了解設備的配置方法，就能圖形化地對多臺設備同時進行配置和監控。大大提高了工作效率，但仍然存在由于人為因素造成的設備功能使用不全面或不正確的問題數增大，容易引發誤操作。

第三代網管軟件相對來說比較智能，是真正將網絡和管理進行有機結合的軟件系統，具有“自動配置”和“自動調整”功能。對網管人員來說，只要把用戶情況、設備情況以及用戶與網絡資源之間的分配關系輸入網管系統，系統就能自動地建立圖形化的人員與網絡的配置關系，并自動鑒別用戶身份，分配用戶所需的資源(如電子郵件、Web、文檔服務等)。

根據國際標準化組織定義網絡管理有五大功能：故障管理、配置管理、性能管理、安全管理、計費管理。對網絡管理軟件產品功能的不同，又可細分為五類，即網絡故障管理軟件，網絡配置管理軟件，網絡性能管理軟件，網絡服務/安全管理軟件，網絡計費管理軟件。

下面我們來簡單介紹一下大家熟悉的網絡故障管理、網絡配置管理、網絡性能管理、網絡計費管理和網絡安全管理五個方面網絡管理功能：

ISO在ISO/IEC 7498-4文檔中定義了網絡管理的五大功能,并被廣泛接受。這五大功能是:

(1)故障管理(fault management)

故障管理是網絡管理中最基本的功能之一。用戶都希望有一個可靠的計算機網絡。當網絡中某個組成失效時,網絡管理器必須迅速查找到故障并及時排除。通常不大可能迅速隔離某個故障,因為網絡故障的產生原因往往相當復雜,特別是當故障是由多個網絡組成共同引起的。在此情況下,一般先將網絡修復,然后再分析網絡故障的原因。分析故障原因對于防止類似故障的再發生相當重要。網絡故障管理包括故障檢測、隔離和糾正三方面,應包括以下典型功能:

．維護并檢查錯誤日志

．接受錯誤檢測報告并做出響應

．跟蹤、辨認錯誤

．執行診斷測試

．糾正錯誤

對網絡故障的檢測依據對網絡組成部件狀態的監測。不嚴重的簡單故障通常被記錄在錯誤日志中,并不作特別處理;而嚴重一些的故障則需要通知網絡管理器,即所謂的"警報"。 一般網絡管理器應根據有關信息對警報進行處理,排除故障。當故障比較復雜時,網絡管理 器應能執行一些診斷測試來辨別故障原因。

(2)計費管理(accounting management)

計費管理記錄網絡資源的使用,目的是控制和監測網絡操作的費用和代價。它對一些公共商業網絡尤為重要。它可以估算出用戶使用網絡資源可能需要的費用和代價,以及已經使用的資源。網絡管理員還可規定用戶可使用的最大費用,從而控制用戶過多占用和使用網絡 資源。這也從另一方面提高了網絡的效率。另外,當用戶為了一個通信目的需要使用多個網絡中的資源時,計費管理應可計算總計費用。

(3)配置管理(configuration management)

配置管理同樣相當重要。它初始化網絡、并配置網絡,以使其提供網絡服務。配置管理 是一組對辨別、定義、控制和監視組成一個通信網絡的對象所必要的相關功能,目的是為了 實現某個特定功能或使網絡性能達到最優。

這包括:

．設置開放系統中有關路由操作的參數

．被管對象和被管對象組名字的管理

．初始化或關閉被管對象

．根據要求收集系統當前狀態的有關信息

．獲取系統重要變化的信息

．更改系統的配置

(4)性能管理(performance management)

性能管理估價系統資源的運行狀況及通信效率等系統性能。其能力包括監視和分析被管網絡及其所提供服務的性能機制。性能分析的結果可能會觸發某個診斷測試過程或重新配置網絡以維持網絡的性能。性能管理收集分析有關被管網絡當前狀況的數據信息,并維持和分析性能日志。一些典型的功能包括:

．收集統計信息

．維護并檢查系統狀態日志

．確定自然和人工狀況下系統的性能

．改變系統操作模式以進行系統性能管理的操作

(5)安全管理(security management)

安全性一直是網絡的薄弱環節之一,而用戶對網絡安全的要求又相當高,因此網絡安全管理非常重要。網絡中主要有以下幾大安全問題:

網絡數據的私有性(保護網絡數據不被侵 入者非法獲取),

授權(authentication)(防止侵入者在網絡上發送錯誤信息),

訪問控制(控制訪問控制(控制對網絡資源的訪問)。

相應的,網絡安全管理應包括對授權機制、訪問控制 、加密和加密關鍵字的管理,另外還要維護和檢查安全日志。包括:

．創建、刪除、控制安全服務和機制

．與安全相關信息的分布

．與安全相關事件的報告

網絡管理中的關鍵

網絡迅速發展，導致網絡結構更為復雜；網絡應用的日新月異，讓網絡管理員每天都要面對新的問題。很多企事業單位，在遇到網絡問題不知道應該如何去解決，看流量，拔網線等手段，排查周期長，也很難真正找出問題。

網絡發展到一定階段，必然要考慮到網絡性能、網絡故障與網絡安全性問題。只有通過運用網絡分析技術對網絡流通數據的清晰認識，才能為故障的排查，性能的提升，以及網絡安全的解決提供可靠的數據依據。

信息應用與治理

網絡最大的價值，是在于信息化的應用。當出現故障不能及時解決，既使有再好的電子商務、電子政務，也只是一個擺設。無論是安全、性能還是故障性問題，不能快速解決，給企業帶來的是難以衡量的損失。

治理并不是簡單的網絡管理，它需要管理者對網絡中所有設備完全掌握，包括每個網卡地址，以及所處的位置。通過對網絡傳輸中的數據進行全面監控分析，才能從網絡底層數據獲取各種網絡應用行為造成的網絡問題，并快速的定位到網卡的位置。從而在安全策略上更好的防范，對故障和性能更合理的管理。

一勞永逸的誤區

從管理角度的考慮，往往期望絡故障和安全性問題可以自動解決。但歷經多年，沒有任何產品能做到。雖然許多企業部署了非常好的安全防護產品，但仍然會受到網絡攻擊和病毒危害。根本原因在于，網絡應用本身就在不斷的發展，新的病毒以及病毒變種，都很難被基于特征庫或病毒庫的產品所識別。要解決這些問題，則要求網絡管理員隨時都能查看到網絡中真實的數據，最快的發現引起問題的原因。

網絡拓撲圖VS矩陣圖

網絡拓撲圖要求這些交換設備都必須支持SNMP（簡單網絡管理協議），它能直觀能看到網絡結構，但看不到終端主機；它能看到設備斷網情況和粗略流量，但對網絡問題的解決能力并不實用。

從技術趨勢來看，矩陣圖（Matrix）將更適合網絡管理的需要。矩陣圖也被稱為主機連接圖，可以監控每臺主機（包括交換設備）之間的通訊連接，極大的提高了監控范圍，監控范圍深入到每臺主機之間的各種應用，包括通訊、資源占用、活躍程度、服務應用等，管理者可以監控到每臺主機的一舉一動，各種網絡問題都會在矩陣中表現出異常。如：BT下載、DDOS攻擊、ARP攻擊、木馬掃描等。

"診斷專家"快速提高解決能力

網絡分析不僅提供網絡依據，更重要的是幫助管理者提高問題的解決能力。"診斷專家"則是一個從問題原因到問題結果的完整解釋。好的網絡分析產品，可以自動提取問題的相關數據，并告訴管理者網絡中存在有哪些問題，可能產生的原因，有什么辦法可以解決，ARP攻擊的快速定位則是一個很好的證明。

網絡數據的回放能力

好的網絡分析產品，都具有網絡數據的回放能力，將網絡數據進行7x24小時記錄，可以按每天或每小時來記錄。如果要分析昨天某個時段出現的網絡故障，只需要將當時保存的數據包進行播放，同時通過網絡分析來追溯故障是如何發生的，使網絡管理對歷史問題追查能力得到明顯提高。

2.6網絡管理體系結構及技術

1 WBM 技術介紹

隨著應用Intranet的企業的增多，同時Internet技術逐漸向Intranet的遷移，一些主要的網絡廠商正試圖以一種新的形式去應用M I S 。因此就促使了W e b ( W e b - B a s e dManagement)網管技術的產生[2]。它作為一種全新的網絡管理模式—基于Web的網絡管理模式，從出現伊始就表現出強大的生命力，以其特有的靈活性、易操作性等特點贏得了許多技術專家和用戶的青睞，被譽為是“將改變用戶網絡管理方式的革命性網絡管理解決方案”。

WBM融合了Web功能與網管技術，從而為網管人員提供了比傳統工具更強有力的能力。WBM可以允許網絡管理人員使用任何一種Web瀏覽器，在網絡任何節點上方便迅速地配置、控制以及存取網絡和它的各個部分。因此，他們不再只拘泥于網管工作站上了，并且由此能夠解決很多由于多平臺結構產生的互操作性問題。WBM提供比傳統的命令驅動的遠程登錄屏幕更直接、更易用的圖形界面，瀏覽器操作和W e b頁面對W W W用戶來講是非常熟悉的，所以WBM的結果必然是既降低了MIS全體培訓的費用又促進了更多的用戶去利用網絡運行狀態信息。所以說，WBM是網絡管理方案的一次革命。

2 基于WBM 技術的網管系統設計

系統的設計目標

在本系統設計階段，就定下以開發基于園區網、Web模式的具有自主版權的中文網絡管理系統軟件為目標，采用先進的WBM技術和高效的算法，力求在性能上可以達到國外同類產品的水平。

本網管系統提供基于WEB的整套網管解決方案。它針對分布式IP網絡進行有效資源管理，使用戶可以從任何地方通過WEB瀏覽器對網絡和設備，以及相關系統和服務實施應變式管理和控制，從而保證網絡上的資源處于最佳運行狀態，并保持網絡的可用性和可靠性。

系統的體系結構

在系統設計的時候，以國外同類的先進產品作為參照物，同時考慮到技術發展的趨勢，在當前的技術條件下進行設計。我們采用三層結構的設計，融合了先進的WBM技術，使系統能夠提供給管理員靈活簡便的管理途徑。

三層結構的特點[2]：1)完成管理任務的軟件作為中間層以后臺進程方式實現，實施網絡設備的輪詢和故障信息的收集；2)管理中間件駐留在網絡設備和瀏覽器之間，用戶僅需通過管理中間層的主頁存取被管設備；3)管理中間件中繼轉發管理信息并進行S N M P 和H T T P之間的協議轉換三層結構無需對設備作任何改變。

網絡拓撲發現算法的設計

為了實施對網絡的管理，網管系統必須有一個直觀的、友好的用戶界面來幫助管理員。其中最基本的一個幫助就是把網絡設備的拓撲關系以圖形的方式展現在用戶面前，即拓撲發現。目前廣泛采用的拓撲發現算法是基于SNMP的拓撲發現算法?；赟NMP的拓撲算法在一定程度上是非常有效的，拓撲的速度也非?？?。但它存在一個缺陷[3]。那就是，在一個特定的域中，所有的子網的信息都依賴于設備具有SNMP的特性，如果系統不支持SNMP，則這種方法就無能為力了。還有對網絡管理的不重視，或者考慮到安全方面的原因，人們往往把網絡設備的SNMP功能關閉，這樣就難于取得設備的M I B值，就出現了拓撲的不完整性，嚴重影響了網絡管理系統的功能。針對這一的問題，下面討論本系統對上述算法的改進—基于ICMP協議的拓撲發現。

PING和路由建立

PING的主要操作是發送報文，并簡單地等待回答。PING之所以如此命名，是因為它是一個簡單的回顯協議，使用ICMP響應請求與響應應答報文。PING主要由系統程序員用于診斷和調試實現PING的過程主要是：首先向目的機器發送一個響應請求的ICMP報文，然后等待目的機器的應答，直到超時。如收到應答報文，則報告目的機器運行正常，程序退出。

路由建立的功能就是利用I P 頭中的TTL域。開始時信源設置IP頭的TTL值為0，發送報文給信宿，第一個網關收到此報文后，發現TTL值為0，它丟棄此報文，并發送一個類型為超時的ICMP報文給信源。信源接收到此報文后對它進行解析，這樣就得到了路由中的第一個網關地址。然后信源發送TTL值為1的報文給信宿，第一個網關把它的TTL值減為0后轉發給第二個網關，第二個網關發現報文TTL值為0，丟棄此報文并向信源發送超時ICMP報文。這樣就得到了路由中和第二個網關地址。如此循環下去，直到報文正確到達信宿，這樣就得到了通往信宿的路由。

網絡拓撲的發現算法具體實現的步驟：

(1)于給定的IP區間，利用PING依次檢測每個IP地址，將檢測到的IP地址記錄到IP地址表中。

(2)對第一步中查到的每個IP地址進行traceroute操作，記錄到這些IP地址的路由。并把每條路由中的網關地址也加到IP表中。

(3)對IP地址表中的每個IP地址，通過發送掩碼請求報文與接收掩碼應答報文，找到這些IP地址的子網掩碼。

(4)根據子網掩碼，確定對應每個IP地址的子網地址，并確定各個子網的網絡類型。把查到的各個子網加入地址表中。

(5)試圖得到與IP地址表中每個IP地址對應的域名(Domain Name)，如具有相同域名，則說明同一個網絡設備具有多個IP地址，即具有多個網絡接口。

(6)根據第二步中的路由與第四步中得到的子網，產生連接情況表。

第三章　網絡維護

3.1概述

網絡故障極為普遍，網絡故障的種類也多種多樣，要在網絡出現故障時及時對出現故障的網絡進行維護，以最快的速度恢復網絡的正常運行，掌握一套行之有效的網絡維護理論、方法和技術是關鍵。就網絡中常見故障進行分類，并對各種常見網絡故障提出相應的解決方法。

隨著計算機的廣泛應用和網絡的日趨流行，功能獨立的多個計算機系統互聯起來，互聯形成日漸龐大的網絡系統。計算機網絡系統的穩定運轉已與功能完善的網絡軟件密不可分。計算機網絡系統，就是利用通訊設備和線路將地理位置不同的、信息交換方式及網絡操作系統等共享，包括硬件資源和軟件資源的共享：因此，如何有效地做好本單位計算機網絡的日常維護工作，確保其安全穩定地運行，這是網絡運行維護人員的一項非常重要的工作。

在排除比較復雜網絡的故障時，我們常常要從多種角度來測試和分析故障的現象，準確確定故障點。

3.2分析模型和方法

七層的網絡結構分析模型方法

從網絡的七層結構的定義和功能上逐一進行分析和排查，這是傳統的而且最基礎的分析和測試方法。這里有自下而上和自上而下兩種思路。自下而上是：從物理層的鏈路開始檢測直到應用。自上而下是：從應用協議中捕捉數據包，分析數據包統計和流量統計信息，以獲得有價值的資料。

網絡連接結構的分析方法

從網絡的連接構成來看，大致可以分成客戶端、網絡鏈路、服務器端三個模塊。

1、客戶端具備網絡的七層結構，也會出現從硬件到軟件、從驅動到應用程序、從設置錯誤到病毒等的故障問題。所以在分析和測試客戶端的過程中要有大量的背景知識，有時PC的發燒經驗也會有所幫助。也可以在實際測試過程中詢問客戶端的用戶，分析他們反映的問題是個性的還是共性的，這將有助于自己對客戶端的進一步檢測作出決定。

2、來自網絡鏈路的問題通常需要網管、現場測試儀，甚至需要用協議分析儀來幫助確定問題的性質和原因。對于這方面的問題分析需要有堅實的網絡知識和實踐經驗，有時實踐經驗會決定排除故障的時間。

3、在分析服務器端的情況時更需要有網絡應用方面的豐富知識，要了解服務器的硬件性能及配置情況、系統性能及配置情況、網絡應用及對服務器的影響情況。

工具型分析方法

工具型分析方法有強大的各種測試工具和軟件，它們的自動分析能快速地給出網絡的各種參數甚至是故障的分析結果，這對解決常見網絡故障非常有效。

綜合及經驗型分析方法靠時間、錯誤和成功經驗的積累 在大多數的阿絡維護工作人員的工作中是采用這個方法的，再依靠網管和測試工具迅速定位網絡的故障。

3.3計算機無法上網故障的排除

1、對于某網計算機上不了網的故障，首先要分別確定此計算機的網卡安裝是否正確，是否存在硬件故障，網絡配置是否正確在實際工作中我們一般采用Ping本機的回送地址(127.0.0.1)來判斷網卡硬件安裝和TCP/IP協議的正確性。

如果能Ping通，即說明這部分沒有問題。如果出現超時情況，則要檢查計算機的網卡是否與機器上的其它設備存在中斷沖突的問題。通過查看系統屬性中的設備管理器，查看是否在網絡適配器的設備前面有黃色驚嘆號或紅色叉號，如有則說明硬件的驅動程序沒有安裝成功，可刪除后重新安裝。另外，要確保TCP/IP協議安裝的正確性，并且要綁定在你所安裝的網卡上。如果重新安裝后還是Ping不通回送地址，最好換上一塊正常的網卡試一試。由于在局域網中劃分了VLAN，所以連在不同VLAN中的計算機都有各自不同的IP地址、子網掩碼和網關。要在機器的網絡屬性中設定的IP地址等數據與連接的VLAN相匹配，否則將出現網絡不通的情況。

當確保了計算機的硬件設備和網絡配置正確后，接著就要查看計算機與交換機之間的雙絞線，交換機的RJ45端口或交換機的配置是否有問題。此時我們要Ping上網計算機所在VLAN的網關，不通的話就要分段檢查上面所說的各項。

最簡單的方法是檢查雙絞線，用線纜測試儀檢測雙絞線是否斷開。雙絞線沒有問題，就要查看交換機的端口是否壞了。交換機每一個端口都有狀態指示燈以詢問一下其它網管人員就可以排除了，如果不放心可以對照查看。交換機的參數配置表也是網絡管理員必備的資料之一，并且隨著網絡用戶的變化要不斷地修改，檢測到此，如果端口指示燈不亮，就只能是端口損壞了，可以把跳線接到正常使用的端口上排除其它原因，確定是端口的問題。

2、一批聯網計算機上不了網對于同時有一批計算機上不了網的故障，首先要找到這些計算機的共性，如是不是屬于同一VLAN或接在同一交換機上的，若這些計算機屬于同一VLAN，且屬于計算機分別連接于不同的樓層交換機，那么檢查一下路由器上是否有acl限制，在路由器上對該VLAN的配置是否正確，路由協議(如我局的OSPF協議)是否配置正確。若這些計算機屬于同一交換機，則應到機房檢查該交換機是否有電源松落情況，或該交換機CPU負載率是否很高，與上一級網絡設備的鏈路是否正常。

通常某交換機連接的所有電腦都不能正常與網內其它電腦通訊，這是典型的交換機死機現象，可以通過重新啟動交換機的方法解決。如果重新啟動后故障依舊，則檢查一下那臺交換機連接的所有電腦，看逐個斷開連接的每臺電腦的情況，慢慢定位到某個故障電腦，會發現多半是某臺電腦上的網卡故障導致的。

故障通常是交換機的某個端口變得非常緩慢，最后導致整臺交換機或整個堆疊慢下來。通過控制臺檢查交換機的狀態，發現交換機的緩沖池增長得非常快，達到了90％或更多。原因及解決方法為：首先應該使用其它電腦更換這個端口上原來的連接，看是否由這個端口連接的那臺電腦的網絡故障導致的，也可以重新設置出錯的端口并重新啟動交換機，個別時候，可能是這個端口損壞了。

3.4計算機網絡故障分析

計算機網絡故障主要分為硬件故障和軟件故障，對計算機網絡故障進行分析也主要可以從硬件與軟件兩個方面著手：

（一）計算機網絡故障分析與診斷的基本方法

計算機網絡故障分析與診斷的原則可歸納為：由服務器到工作站（就是出現工作站不能入網的情況時，先確定服務器是否有問題）；由外部到內部（即當有工作站出現網絡故障時，先檢查其外部直接可看到的設備情況，如與之相連的交換機或集線器有沒有故障，電纜有無纏繞導致內部線纜斷裂或接觸不良）；由軟件到硬件（就是網絡出故障后先從操作系統、網絡協議、網卡驅動程序及配置上找原因。重新安裝網卡驅動或網絡協議、操作系統，看看故障是否消失。在確定排除軟件問題后再檢查硬件是否損壞。

（二）網絡硬件故障的分析與診斷方法

網絡中的硬件故障比較復雜，現就日常工作中常見的網絡連線問題和網卡問題來進行探討。如，網線至交換機或集線器之間的故障分析與診斷方法，故障診斷：通過看網卡指示燈集線器指示燈。首先，檢查網線是否插好；其次，若有數臺工作站同時出現網絡故障，則有可能是連接這些計算機的交換機或集線器出故障。如，網卡故障，故障分析：這是最常發生的問題。如網卡設置錯誤，網卡在安裝過程中是否正確地設置中斷號，I/0端口地址，驅動程序是否出錯，網卡是否出故障等。

（三）網絡配置故障的分析與診斷

故障分析：網絡配置故障就是由網絡中的各項配置不當而產生的故障。它是一種較復雜的現象，不但要檢查服務器的各項配置、工作站的各項配置，還要根據出現的錯誤信息和現象查出原因。如，域名、計算機名和地址故障的分析與診斷。故障分析：在實際工作中經常會出現在“網上鄰居”中看不到其它計算機或只能看到部分計算機，無法找到指定的計算機等現象。故障診斷：檢查網絡中每個域、每臺計算機的名稱是否唯一；檢查網絡中的計算機名是否和域名或工作組名重復，使用TCP/IP時，檢查分配給網絡適配器的IP地址有無重復。在如協議故障的分析與診斷，故障分析：確認您所使用的協議與網絡上其它計算機使用的協議相同。否則，將看不到網絡上其它計算機。在配置和使用TCP/IP協議時的主要問題是IP地址、子網掩碼和路由問題。IP地址的分配復雜，分配不好，容易造成網絡混亂。因而，非網管人員不要隨意修改IP地址。

3.5故障定位及排除的常用方法

1.告警性能分析法

通過網管獲取告警和性能信息進行故障定位。我們單位使用了Siteview網絡網管，可以對全單位的網絡設備進行管理，平時多觀察各設備CPU負載率和各線路的流量。當有人反映不能連接至網絡或網速很慢時，可通過網管觀察計算機與交換機的連接情況，是否有時斷時通的現象，交換機CPU負載率是否很高，線路流量是否很大。通過觀察設備端口狀態，分析和觀察交換機哪個端口所接的計算機發包量不太正常。

2.查看網絡設備日志法

經?？匆幌戮W絡設備的日志，分析設備狀況。我曾經通過showlonging命令觀察到4006交換機下連的2950交換機經常每隔7小時down掉，然后又up，因時間間隔較長，單位人員未感覺網絡中斷，在此期間我們檢查并確定了光纜、光收發器、網線、交換機配置、交換機端口均正常，后來的間隔時間由原來的7小時減為7分鐘。由此我們立即判定2950交換機本身有故障，馬上將已準備好的備用交換機換上，從而減少了處理故障的時間，并在最短時間內恢復網絡。

3.替換法

替換法就是使用一個工作正常的物體去替換一個工作不正常的物體，從而達到定位故障、排除故障的目的。這里的物件可以是一段線纜、一個設備和一塊模塊。

4.配置數據分析法

查詢、分析當前設備的配置數據，通過分析以上的配置數據是否正常來定位故障。若配置的數據有錯誤，需進行重新配置。

3.6計算機網絡維護

計算機網絡故障是與網絡暢通相對應的一概念，計算機網絡故障主要是指計算機無法實現聯網或者無法實現全部聯網。引起計算機網絡故障的因素多種多樣但總的來說可以分為物理故障與邏輯故障，或硬件故障與軟件故障。物理故障或硬件故障可以包括電源線插頭沒有進行正常的連接，聯網電腦網卡、網線、集線器、交換機、路由器等故障、計算機硬盤、內存、顯示器等故障也會不同程度影響到網絡用戶正常使用網絡。軟件故障是當前最常見的計算機網絡故障之一，常見的軟件故障有網絡協議問題、網絡設備的配置和設置等問題造成的。

網絡故障目前已經成為影響計算機網絡使用穩定性的重要因素之一，加強對計算機網絡故障的分析和網絡維護已經成為網絡用戶經常性的工作之一。及時進行網絡故障分析和網絡維護也已經成為保障網絡穩定性的重要方式方法。

計算機網絡維護是減少計算機網絡故障，維護計算機網絡穩定性的重要的方式方法。計算機網絡維護一般來說包括以下方面：

1．對硬件的維護。首先檢測聯網電腦網卡、網線、集線器、交換機、路由器等故障、計算機硬盤、內存、顯示器等是否能夠正常運行，對臨近損壞的計算機硬件要及時進行更換。同時要查看網卡是否進行了正確的安裝與配置。具體來說要確定聯網計算機硬件能夠達到聯網的基本要求，計算機配置的硬件不會與上網軟件發生沖突而導致不能正常聯網。

2．對軟件的維護。軟件維護是計算機網絡維護的主要方面，具體來說主要包括，

（1）計算機網絡設置的檢查。具體來說檢查服務器是否正常，訪問是否正常，以及檢查網絡服務、協議是否正常。

（2）對集線器、交換器和路由器等網絡設備的檢查。具體來說，包括檢測網絡設備的運行狀態，檢測網絡設備的系統配置。

（3）對網絡安全性的檢測。對網絡安全性的檢測主要包括，對服務器上安裝的防病毒軟件進行定期升級和維護，并對系統進行定期的查殺毒處理；對服務器上安裝的防火墻做不定期的的系統版本升級，檢測是否有非法用戶入網入侵行為；對聯網計算機上的數據庫做安全加密處理并對加密方式和手段進行定期更新，以保障數據的安全性。

（4）網絡通暢性檢測。在進行網絡維護的過程，經常會遇到網絡通訊不暢的問題，其具體表現為網絡中的某一結點pingq其他主機，顯示一個很小的數據包，需要幾百甚至幾千毫秒，傳輸文件非常慢，遇到這種情況應首先看集線器或交換機的狀態指示燈，并根據情況進行判斷。

計算機網絡是計算機技術的一重要應用領域，計算機網絡的便捷、高效、低廉為計算機網絡應用的增加提供了保障，但計算機網絡故障一旦發生就會給網絡用戶帶來使用上巨大不便，甚至造成巨大的損失。因而必須進一步加強計算機網絡故障分析與維護研究，提高網絡的穩定性和安全性。

結束語 本文提出了現代網絡中的一些安全策略，重點提出了管理技術和維護技術。本文介紹了幾種常用的防范技術。隨著現在的發展，網絡的不安全因素很多，網絡管理和維護尤其重要，本文介紹了網絡管理幾個方面的技術和網絡維護的幾種常用技術。

參考文獻

晏蒲柳.大規模智能網絡管理模型方法[J].計算機應用研究

周楊,家海,任憲坤,王沛瑜.網絡管理原理與實現技術[M].北京:清華大學出版社

李佳石, 冰心著. 網絡管理系統中的自動拓撲算法[J].華中科技大學學報胡谷雨. 現代通信網和計算機管理.

岑賢道，安長青. 網絡管理協議及應用開發.

篇4

1、網絡流量的特性

通過對互聯網通信量的測量，人們發現互聯網通信量的主要特性有:

1、數據流是雙向的，但通常是非對稱的

互聯網上大部分的應用都是雙向交換數據的，因此網絡的流是雙向的。但是兩個方向上的數據率有很大的差異，這是因為從網站下載時會導致從網站到客戶端方向的數據量比另外一個方向多。

2、大部分TCP會話是短期的

超過90%的TCP會話交換的數據量小于10K字節，會話持續時間不超過幾秒。雖然文件傳輸和遠程登陸這些TCP對話都不是短期的，但是由于80%的WWW文檔傳輸都小于10K字節，WWW的巨大增長使其在這方面產生了決定性的影響。

3、包的到達過程不是泊松過程

大部分傳統的排隊理論和通信網絡設計都假設包的到達過程是泊松過程，即包到達的間斷時間的分布是獨立的指數分布。簡單的說，泊松到達過程就是事件(例如地震，交通事故，電話等)按照一定的概率獨立的發生。泊松模型因為指數分布的無記憶性也就是事件之間的非相關性而使其在應用上要比其他模型更加簡單。然而近年來對互聯網絡通信量的測量顯示包到達的過程不是泊松過程。包到達的間斷時間不僅不服從指數分布，而且不是獨立分布的。大部分時候是多個包連續到達，即包的到達是有突發性的。很明顯，泊松過程不足以精確地描述包的到達過程。造成這種非泊松結構的部分原因是數據傳輸所使用的協議。非泊松過程的現象迫使人們懷疑使用簡單的泊松模型研究網絡的可靠性，從而促進了網絡通信量模型的研究。

4、網絡通信量具有局域性

互聯網流量的局域性包括時間局域性和空間局域性。用戶在應用層對互聯網的訪問反映在包的時間和源及目的地址上，從而顯示出基于時間的相關(時間局域性)和基于空間的相關(空間局域性)。

2、 網絡流量的測量

網絡流量的測量是人們研究互聯網絡的一個工具，通過采集和分析互聯網的數據流，我們可以設計出更加符合實際的網絡設備和更加合理的網絡協議。計算機網絡不是永遠不會出錯的，設備的一小點故障都有可能使整個網絡癱瘓，或者使網絡性能明顯下降。例如廣播風暴、非法包長、錯誤地址、安全攻擊等。對互聯網流量的測量可以為網絡管理者提供詳細的信息以幫助發現和解決問題。互聯網流量的測量從不同的方面可以分為:

1、基于硬件的測量和基于軟件的測量

基于硬件的測量通常指使用為采集和分析網絡數據而特別設計的專用硬件設備進行網絡流的測量，這些設備一般都比較昂貴，而且受網絡接口數量，網絡插件的類型，存儲能力和協議分析能力等諸多因素的限制?；谲浖臏y量通常依靠修改工作站的內核中的網絡接口部分，使其具備捕獲網絡數據包的功能。與基于硬件的方法比較，其費用比較低廉，但是性能比不上專用的網絡流量分析器。

2、主動測量和被動測量

被動測量只是記錄網絡的數據流，不向網絡流中注入任何數據。大部分網絡流量測量都是被動的測量。主動測量使用由測量設備產生的數據流來探測網絡而獲知網絡的信息。例如使用ping來估計到某個目的地址的網絡延時。

3、在線分析和離線分析

有的網絡流量分析器支持實時地收集和分析網絡數據，使用可視化手段在線地顯示流量數據和分析結果，大部分基于硬件的網絡分析器都具有這個能力。離線分析只是在線地收集網絡數據，把數據存儲下來，并不對數據進行實時的分析。

4、協議級分類

對于不同的協議，例如以太網(Ethernet )，幀中繼(Frame Relay )，異步傳輸模式( Asynchronous Transfer Mode )，需要使用不同的網絡插件來收集網絡數據，因此也就有了不同的通信量測試方法。

3、 網絡流量的監測技術

    根據對網絡流量的采集方式可將網絡流量監測技術分為:基于網絡流量全鏡像的監測技術、基于SNMP的監測技術和基于Netflow的監測技術三種常用技術。

1、基于網絡流量全鏡像的監測技術:網絡流量全鏡像采集是目前IDS主要采用的網絡流量采集模式。其原理是通過交換機等網絡設備的端口鏡像或者通過分光器、網絡探針等附加設備，實現網絡流量的無損復制和鏡像采集。和其它兩種流量采集方式相比，流量鏡像采集的最大特點是能夠提供豐富的應用層信息。

篇5

在網絡安全上，網絡監聽一直被認為是一個比較敏感的話題，作為一個已經發展相對成熟的技術，網絡監聽在協助管理員進行網絡數據檢測、網絡故障排除等方面都具有不可替代的作用，從而深受廣大網絡管理員的青睞。但是，從另外一個方面來講，網絡監聽也給網絡安全帶來了巨大的隱患，在網絡監聽行為的同時往往會伴隨著大量的網絡若親，從而導致了一系列的敏感數據被盜等安全事件的發生。

一、網絡監聽的定義

網絡監聽（英文名稱Sniffer）是通過利用計算機的網絡接口將網絡上的傳輸數據進行截獲的一種工具。我們一般認為網絡監聽是指在運行以太網協議、TCP/IP協議、IPX協議或者其他協議的網絡上，可以攫取網絡信息流的軟件或硬件。網絡監聽早期主要是分析網絡的流量，以便找出所關心的網絡中潛在的問題。網絡監聽的存在對網絡系統管理員是至關重要的，網絡系統管理員通過網絡監聽可以診斷出大量的不可見模糊問題（如網絡瓶頸、錯誤配置等），監視網絡活動，完善網絡安全策略，進行行之有效的網絡管理。

二、網絡監聽的工作原理

Internet是由眾多的局域網所組成，這些局域網一般是以太網、令牌網的結構。數據在這些網絡上是以很小的稱為幀（Frame）的單位傳輸的，幀通過特定的網絡驅動程序進行成型，然后通過網卡發送到網線上。由于以太網等很多網絡（常見共享HUB連接的內部網）是基于總線方式，物理上是廣播的，同一物理網段的所有主機的網卡都能接收到這些以太網幀。當網絡接口處于正常狀態時，網卡收到傳輸來的數據幀，網卡內的芯片程序先接收數據頭的目的MAC地址，根據計算機上的網卡驅動程序設置的接收模式判斷該不該接收，如果認為是目的地址為本機地址的數據幀或是廣播幀，則接收并在接收后產生中斷信號通知CUP，否則就丟棄不管，CUP得到中斷信號產生中斷，操作系統就根據網卡驅動程序中設置的網卡中斷程序地址調用驅動程序接收數據，驅動程序接收數據后放入信號堆棧讓操作系統處理。通過修改網卡存在一種特殊的工作模式，在這種工作模式下，網卡不對目的地址進行判斷，而直接將它收到的所有報文都傳遞給操作系統進行處理。這種特殊的工作模式，稱之為混雜模式。網絡監聽就是通過將網卡設置為混雜模式，它對遇到的每一個幀都產生一個硬件中斷以便提醒操作系統處理流經該物理媒體上的每一個報文包。網絡監聽工作在網絡環境中的底層，它會攔截所有的正在網絡上傳送的數據，并且通過相應的軟件處理，可以實時分析這些數據的內容，進而分析所處的網絡狀態和整體布局。

三、網絡監聽的用途

在網絡安全領域中，網絡監聽占有極其重要的作用。網絡監聽程序通常有兩種形式：一是商業網絡監聽，二是黑客所使用的。商業網絡監聽用于維護網絡，對于網絡管理者，監聽也是監控本地網絡狀況的直接手段，監聽還是基于網絡的入侵檢測系統的必要基礎。具體來說就是：

1.把網絡中的數據流轉化成可讀格式。2.進行性能分析以發現網絡瓶頸。

3.入侵檢測以發現外界入侵者。4.生成網絡活動日志和安全審計。

5.進行故障分析以發現網絡中潛在的問題。例如，假設網絡的某一段運行得不是很好，報文的發送比較慢，而我們又不知道問題出在什么地方，此時就可以用嗅探器做出精確的問題判斷。借助于網絡監聽，系統管理員可以方便的確定出多少的通訊量屬于哪個網絡協議、占主要通訊協議的主機是哪一臺、大多數通訊目的地是哪一臺主機、報文發送占用多少時間、或者相互主機的報文傳送間隔時間等等，這些信息為管理員判斷網絡問題、管理網絡區域提供了非常寶貴的信息。對于黑客攻擊而言，網絡監聽是一種有效信息收集手段，并且可以輔助進行IP欺騙，如收集科技情報、個人資料、技術成果、系統信息、用戶的帳號和密碼，一些商用機密數據等，目的是為進一步入侵系統做準備，或者是為了其他不可告人的目的。

四、常用的網絡監聽工具

Network General：Network General開發了多種產品。最重要的是Expert Sniffer，它不僅僅可以sniffing，還能夠通過高性能的專門系統發送/接收數據包。還有一個增強產品Distributed Snuffer System，可以將UNIX工作站作為Sniffer控制臺，而將Sniffer Agents分布到遠程主機上。

Microsoft’s Net Monitor：對于某些商業站點，可能同時需要運行多種協議如NetBEUI、IPX/SPX、TCP/IP、802.3和SNA等。這時很難找到一種Sniffer幫助解決網絡問題，因為許多Sniffer往往將某些正確的協議數據包當成了錯誤數據包。Microsoft的Net Monitor可以解決這個難題。它能夠正確區分諸如Netware控制數據包、NetBios名字服務廣播等獨特的數據包。這個工具運行在MS Windows平臺上。它甚至能夠按MAC地址（或主機名）進行網絡統計和會話信息監視。只需簡單地單擊某個會話即可獲得tcpdump標準的輸出。過濾器設置也是最為簡單的，只要在一個對話框中單擊需要監視的主機即可。

WinDump：最經典的Unix平臺上的tepdump的Windows移植版，和tepdump幾乎完全兼容，采用命令行方式運行。

Tcpdump：最經典的網絡監聽工具，被大量的Unix系統采用。

Dsniff：作者設計的出發點是用這個東西進行網絡滲透測試，包括一套小巧好用的小工具，主要目標放在口令、用戶訪問資源等敏感資料上。

篇6

中圖分類號:TP

文獻標識碼:A

文章編號:1672-3198(2010)17-0348-01

1 網絡流量的特征

1.1 數據流是雙向的,但通常是非對稱的

互聯網上大部分的應用都是雙向交換數據的,因此網絡的流是雙向的。但是兩個方向上的數據率有很大的差異,這是因為從網站下載時會導致從網站到客戶端方向的數據量比另外一個方向多。

1.2 大部分TCP會話是短期的

超過90%的TCP會話交換的數據量小于10K字節,會話持續時間不超過幾秒。雖然文件傳輸和遠程登陸這些TCP對話都不是短期的,但是由于80%的WWW文檔傳輸都小于10K字節,WWW的巨大增長使其在這方面產生了決定性的影響。1.3 包的到達過程不是泊松過程

大部分傳統的排隊理論和通信網絡設計都假設包的到達過程是泊松過程,即包到達的間斷時間的分布是獨立的指數分布。簡單的說,泊松到達過程就是事件(例如地震,交通事故,電話等)按照一定的概率獨立的發生。泊松模型因為指數分布的無記憶性也就是事件之間的非相關性而使其在應用上要比其他模型更加簡單。然而,近年來對互聯網絡通信量的測量顯示包到達的過程不是泊松過程。包到達的間斷時間不僅不服從指數分布,而且不是獨立分布的。大部分時候是多個包連續到達,即包的到達是有突發性的。很明顯,泊松過程不足以精確地描述包的到達過程。造成這種非泊松結構的部分原因是數據傳輸所使用的協議。非泊松過程的現象迫使人們懷疑使用簡單的泊松模型研究網絡的可靠性,從而促進了網絡通信量模型的研究。

1.4 網絡通信量具有局域性

互聯網流量的局域性包括時間局域性和空間局域性。用戶在應用層對互聯網的訪問反映在包的時間和目的地址上,從而顯示出基于時間的相關(時間局域性)和基于空間的相關(空間局域性)。

2 網絡流量的測量

網絡流量的測量是人們研究互聯網絡的一個工具,通過采集和分析互聯網的數據流,我們可以設計出更加符合實際的網絡設備和更加合理的網絡協議。計算機網絡不是永遠不會出錯的,設備的一小點故障都有可能使整個網絡癱瘓,或者使網絡性能明顯下降。例如廣播風暴、非法包長、錯誤地址、安全攻擊等。對互聯網流量的測量可以為網絡管理者提供詳細的信息以幫助發現和解決問題?；ヂ摼W流量的測量從不同的方面可以分為:

2.1 基于硬件的測量和基于軟件的測量

基于硬件的測量通常指使用為采集和分析網絡數據而特別設計的專用硬件設備進行網絡流的測量,這些設備一般都比較昂貴,而且受網絡接口數量,網絡插件的類型,存儲能力和協議分析能力等諸多因素的限制?；谲浖臏y量通常依靠修改工作站的內核中的網絡接口部分,使其具備捕獲網絡數據包的功能。與基于硬件的方法比較,其費用比較低廉,但是性能比不上專用的網絡流量分析器。

2.2 主動測量和被動測量

被動測量只是記錄網絡的數據流,不向網絡流中注入任何數據。大部分網絡流量測量都是被動的測量。主動測量使用由測量設備產生的數據流來探測網絡而獲知網絡的信息。例如使用ping來估計到某個目的地址的網絡延時。

2.3 在線分析和離線分析

有的網絡流量分析器支持實時地收集和分析網絡數據,使用可視化手段在線顯示流量數據和分析結果,大部分基于硬件的網絡分析器都具有這個能力。離線分析只是在線地收集網絡數據,把數據存儲下來,并不對數據進行實時的分析。

2.4 協議級分類

對于不同的協議,例如以太網(Ethernet)、幀中繼(Frame Relay)、異步傳輸模式(Asynchronous Transfer Mode),需要使用不同的網絡插件來收集網絡數據,因此也就有了不同的通信量測試方法。

3 網絡流量的監測技術

根據對網絡流量的采集方式可將網絡流量監測技術分為:基于網絡流量全鏡像的監測技術、基于SNMP的監測技術和基于Netflow的監測技術三種常用技術。

3.1 基于網絡流量全鏡像的監測技術

網絡流量全鏡像采集是目前IDS主要采用的網絡流量采集模式。其原理是通過交換機等網絡設備的端口鏡像或者通過分光器、網絡探針等附加設備,實現網絡流量的無損復制和鏡像采集。和其它兩種流量采集方式相比,流量鏡像采集的最大特點是能夠提供豐富的應用層信息。

3.2 基于Netflow的流量監測技術

Netflow流量信息采集是基于網絡設備提供的Netflow機制實現的網絡流量信息采集。

篇7

中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2009)24-6892-02

Campus Intranet Computer Network Fault Analysis and Maintenance Program

ZHANG Bo

(Network Management Center, Baoji University of Arts and Sciences, Baoji 721007, China)

Abstract: In order to enable network administrators to work easily and can be in a highly challenging and technically difficult task, so that the smooth conduct of the work, we must work to correct some habits. Otherwise, it will hinder the smooth progress of the matter. Therefore, this article will be here several unsafe methods of network management, and summed up the experience of the author's work, in view of the characteristics of these insecurities and be corrected.

Key words: cautious; update; rigid; idealistic

1 不要過于謹慎

為了防止網絡中的不利事件發生, NetopsiaSecuritatis的方法是緊緊地鎖住系統,以至于任何人或者發生任何事情都無法改變系統,其他授權的管理員只能登錄和修改自己的密碼,而密碼每次使用后,都有可能失效。這就意味著用戶能做的事情就運行程序和編輯文件,所有授權用戶只能面對一個的登錄界面和一臺普通的桌面系統,這對用戶來說太危險了。

實際上,我們應該以仔細、開放的方式管理網絡。工作站面對授權用戶應該將端口開放以便于具體工作。管理服務器應在必要的時候允許安裝任何其他的附件,在網絡線路發生改變時,可以啟動工作站解決問題。如果系統設備固定了,就失去了設備的靈活性。

2 不要頻繁更新

更新是必要的,但是NetopsiaAbsistus的工作方式是不實際的。如果把網絡上的每個工作站都設置成“網絡喚醒”模式,而且在每天工作結束時自動關閉工作站,用這類遠程控制來管理應用程序和系統的升級,那么每天你都會發現計算機系統完全變成了另一個模樣,并且已經找不到昨天使用過的任何程序了。這樣的確造成了一些麻煩。

由于工作站是一種以個人計算機和分布式網絡計算為基礎,主要面向專業應用領域,具備強大的數據運算與圖形、圖像處理能力,為滿足工程設計、動畫制作、科學研究、軟件開發、金融管理、信息服務、模擬仿真等專業領域而設計開發的高性能計算機。另外,工作站還可分為臺式工作站和移動工作站。因此,工作站應該具有獨立性。

3 不要“貪多”

網絡管理員是保障網絡正常運行,在故障發生時迅速定位和排除錯誤,設計、組裝、管理和維護內部計算機網絡,提供計算機技術咨詢與支持,以保證信息安全的專職人員。網絡管理員在技術上要求熟悉網絡設備的性能、連接與配置,掌握網絡服務的搭建、配置與管理,能熟練使用網絡診斷軟件工具,及時排除網絡故障;具備較強的動手能力和學習能力,善于分析、思考問題。因此,其技術能力可以說是隨著網絡的“成長”而提高的。

因此,針對網絡管理工作,必須有專門IT主管否則總會有人因為工作過多而顯得力不從心,以至影響正常工作。

4 不要工作太死板

網絡管理員的主要日常工作是維護公司計算機硬件,搭建與配備計算機網絡,根據需求設計網絡方案;維護和監控公司局域網,保證其正常運行;安裝和維護公司計算機、服務器系統軟件和應用軟件,并提供技術支持;解決排除各種軟硬件故障,做好記錄,定期制作系統運行報告;維護數據中心,對系統數據進行備份,協助網站相關應用軟件的開發。幾乎與網絡的建立、管理、故障排除以及網絡安全等有關的事情都屬于網絡管理員的工作,因而被譽為互聯網的“偵察員”。

但是NetopsiaOfficiatis總有“超出我工作職責之外”的情緒,這是非?？膳碌?。網絡是一個復雜的系統,故障與原因關系復雜,既可能是一因多果,也可能是一果多因。一旦出了問題,網絡管理員就要盡快地恢復正常,加班加點也是家常便飯。所以,要求網絡管理員要與時俱進,必須認真負責廣泛涉獵與網絡管理相關的知識領域,不斷更新自己的知識和技能,跟上網絡“發展”的步伐。

5 不要不考慮后果

NetopsiaExperiortus總是不停地試驗各種新的補丁或升級程序。大多數明智的網絡管理員在把新的解決方案應用到現有的系統中之前,都會在一個小的試驗網絡上做一下測試。但是,這類管理員卻直接在現有的系統中操作,往往給用戶的使用帶來不必要的厭煩,這倒是和用戶對頻繁更新網絡的管理員的反應有幾分相像。不同的是,頻繁更新網絡的管理員一定會試圖確保他的產品或升級行為真正有效,并且不會對網絡和用戶造成任何其它影響。所以,最好還是先做試驗。

6 不要太“理想化”

NetopsiaDictatoris對任何有可能影響網絡平穩運行的事情都會激動不已。你可能會認為這是件好事情,但是,做得有些過份就變的太理想化了。假如保留詳盡的日志來說明網絡的性能達到了100%,實際上,這是在幾乎沒有任何的網絡資源分配給普通應用的情況下才能表現出來的,在正常工作日里是不可能有的。

7 結束語

作為網絡管理員應該熟悉網絡設備的性能、連接與配置,掌握網絡服務的搭建、配置與管理,能熟練使用網絡診斷軟件工具,及時排除網絡故障;具備較強的動手能力和學習能力,善于分析、思考問題。

參考文獻:

[1] 曹廣昕.網管員有獎征文之十――大型網絡的維護與管理[J].中國計算機用戶,1998,(50):53.

篇8

網絡連接故障是醫院網絡管理中最常見的問題。網絡連接問題其具體狀況有網絡線路中斷，無法和其他網絡中的計算機進行聯系。其故障發生的主要原因有：相關網絡機器設備的網卡設置出錯、相關網頁窗口的I/O地址出現沖突或中斷、RJ-45水晶頭和雙絞線沒有接觸到位、網線出現斷裂、網絡連接設備出現質量、中斷信號出現誤差及設備資源有沖突等問題。這一系列問題都有可能導致網絡信號中斷，網絡連接出現問題，從而影響整個醫院的網絡管理。

1.2網絡堵塞問題

在醫院的網絡建設中，一些醫院為了降低網絡建設的成本，在網絡設備上投入不大，其網絡設備質量偏低，從而導致網絡管理的成效并不明顯。醫院的網絡管理一般是24小時不間斷工作，由于其設備服務器、主交換機的運轉狀況不佳，導致出現網絡堵塞甚至是網絡癱瘓的故障問題。這些故障在一定程度上對醫院的正常運行會產生很大的影響，能夠明顯降低醫院工作人員的工作效率。

1.3安全性問題

在物聯網時代中，信息安全問題一直是社會各界非常關注的問題。隨著醫院網路化進程的加快，醫院的醫療信息和數據的管理往往依賴于網絡信息系統。但是，首先當前在很多醫院的網絡信息系統維護等網絡管理工作中還缺乏專業性的人才，因而很多時候網絡出現故障問題的原因在于相關管理人員無法“預見”網絡問題；其次由于醫院網絡管理維護的工作人員缺少專業性的計算機網絡管理知識及網絡安全的防范意識，使一些重要醫療數據信息沒有得到及時備份，造成數據信息丟失，甚至出現醫院網絡賬號泄露等問題。另外，更為嚴重的情況是計算機病毒對醫院網絡系統進行攻擊，從而對醫院網絡數據信息的安全造成嚴重影響。

2醫院網絡管理技術問題的應對措施

2.1網絡連接問題的應對措施

正對網絡連接的問題，可以采取的應對措施是：首先，對網卡設置進行檢查，當網卡檢查顯示器工作狀態正常時，通過“網上鄰居”對其網絡連線進行檢查；其次，對網絡的線路進行排查，采用相關的測線儀對網絡連線進行檢測，看內部否存在斷裂、網絡連接設備是否出現質量問題等。當網卡和網線檢測都是正常時，便應該對軟件設置是否存在故障進行檢測。一般情況下，經過三大步驟排查檢測，能夠查出相關問題。但是，為了能夠及時有效地解決問題，相關醫務管理人員在進行故障檢測時，需要重視對軟件和硬件兩部分的排查，從而有利于查找出網絡連接問題的根本原因。

2.2網絡堵塞問題的應對措施

首先，完善醫院的網絡設備，提高網絡設備運行的穩定性，為醫院網絡管理的運行提供基礎設備保障。其次，當出現網路堵塞問題時，可以采取以下應對措施：查看設備缺陷，打開路由器的信息庫，若網絡的平均流量小于50%時就會在信息庫顯示出來，若數據碰撞的現象很少時，則表明在網絡結構中只是有一部分設備有問題，或者少數工作站出現問題。接著就可以對工作站的故障進行分析，在區域網中先明確工作站的地點，確定可能存有問題的工作站用戶及位置，其有效途徑是先搜索出MAC的地址，然后備份相關工作站的網卡MAC地址，打開對比進行排查，再進行精確查找，從而得到一個精確的結果。接下來，將搜索出的工作站進行全面檢查，這時會發現該工作站用戶并沒有得到計算機使用允許，而網絡堵塞的狀況卻出現了。接著，連接該工作網站的網卡及相關方面網絡測試儀，模擬發送流量，當流量大幅度增加后，數據碰撞的次數就會增加。由此可斷定，故障問題是出現在網卡的連接方面。另外，還需注意的是此類故障次檢測方式是基于所有工作站都是在同一個區域網中的同一個網段上。

2.3安全性問題的應對措施

醫院網絡數據信息安全性是一個非常嚴峻的問題，根據當前醫院的網絡建設中發生的一系列安全性故障問題，采取有效應對措施。首先，必須重視對醫療數據信息的備份，相關管理人員必須及時準確地將相關數據信息備份工作做到位，避免一些重要數據出現丟失、遺漏的問題。其次，加強相關管理人員網絡安全防范意識，杜絕將醫院賬號和密碼泄露的狀況出現，從而在很大程度上降低醫院的信息安全事故的發生。此外，對醫院網絡管理人員進行相關網絡管理知識、計算機知識的專業培訓，提高預見網絡問題、應對網絡問題的能力。另外，要充分運用當前先進的殺毒軟件進行定期殺毒，安裝好網絡防火墻，并及時對網絡“補丁”程序進行更新，從而有效地避免計算機病毒或網絡黑客的攻擊。

篇9

在應用環境中，管理應用和高層管理節點與管理平臺是基于C/S（顧客/服務器）模式的分布式結構，即管理應用節點和高層管理者節點與他們所以來的平臺節點可能處于不同的地理位置。因此考慮基于何種結構，采用什么樣的協議實現分布對象的訪問。

多廠商設備的環境的網絡管理一直是網絡管理研究和實現的難點。鑒于CORBA的分布式面向對象的特點，在網管系統的開發中加以引用。

本文采用OMG的CORBA(Common Object Request Broker Architecture)做為實現分布管理對象訪問的設施。CORBA是很有應用前景的系統集成標準，它提供了面向對象應用的互操作標準。CORBA位分布對象環境描述了面向對象的設施-----對象請求，他提供了分布對象進行請求和應答的機制。這樣CORBA提供了在異構分布環境下不同機器的不同應用的互操作能力和將多個對象系統無縫互連接的能力。CORBA機制是獨立于任何程序設計語言的，對象的接口描述在IDL(Interface Description Language)中。CORBA支持兩種標準協議-----GIOP和IIOP。GIOP是信息表示協議，描述了所傳輸信息的格式，而IIOP則描述了CORBA所支持的傳輸協議，即GIOP信息如何進行交換

管理不同廠商應用和高層管理者如何使用CORBA機制訪問相應的管理平臺所提供的管理對象。使得處于不同節點的不同廠商的管理應用和高層管理者能無縫使用分布對象提供的功能。在這兩種情況下原理是相同的，只是功能不同，在第一種情況下，不同廠商的管理應用腳本程序通過CORBA機制訪問管理平臺上的應用管理對象，以實現同一層次上的管理功能。在第二種情況下，高層管理平臺上的腳本進程通過CORBA機制訪問底層管理者為高層提供的管理對象以實現高層對底層的網絡管理功能。

CORBA機制除支持客戶端對服務器端所提供的分布對象的訪問外，還提供分布對象服務功能------COSS，它包括分布對象訪問的安全機制、事件機制等。在網絡管理應用中，除主動詢問網絡管理信息以管理、監視網絡的運行狀態外，還有一種應用是被管理對象在發生故障和事件時，向管理者提出事件處理請求。CORBA中的事件服務機制恰好可以滿足這一需求。

2.5網絡管理分類及功能

事實上，網絡管理技術是伴隨著計算機、網絡和通信技術的發展而發展的，二者相輔相成。從網絡管理范疇來分類，可分為對網“路”的管理。即針對交換機、路由器等主干網絡進行管理；對接入設備的管理，即對內部PC、服務器、交換機等進行管理；對行為的管理。即針對用戶的使用進行管理；對資產的管理，即統計IT軟硬件的信息等。根據網管軟件的發展歷史，可以將網管軟件劃分為三代：

第一代網管軟件就是最常用的命令行方式，并結合一些簡單的網絡監測工具，它不僅要求使用者精通網絡的原理及概念，還要求使用者了解不同廠商的不同網絡設備的配置方法。

第二代網管軟件有著良好的圖形化界面。用戶無須過多了解設備的配置方法，就能圖形化地對多臺設備同時進行配置和監控。大大提高了工作效率，但仍然存在由于人為因素造成的設備功能使用不全面或不正確的問題數增大，容易引發誤操作。

第三代網管軟件相對來說比較智能，是真正將網絡和管理進行有機結合的軟件系統，具有“自動配置”和“自動調整”功能。對網管人員來說，只要把用戶情況、設備情況以及用戶與網絡資源之間的分配關系輸入網管系統，系統就能自動地建立圖形化的人員與網絡的配置關系，并自動鑒別用戶身份，分配用戶所需的資源(如電子郵件、Web、文檔服務等)。

根據國際標準化組織定義網絡管理有五大功能：故障管理、配置管理、性能管理、安全管理、計費管理。對網絡管理軟件產品功能的不同，又可細分為五類，即網絡故障管理軟件，網絡配置管理軟件，網絡性能管理軟件，網絡服務/安全管理軟件，網絡計費管理軟件。

下面我們來簡單介紹一下大家熟悉的網絡故障管理、網絡配置管理、網絡性能管理、網絡計費管理和網絡安全管理五個方面網絡管理功能：

ISO在ISO/IEC 7498-4文檔中定義了網絡管理的五大功能，并被廣泛接受。這五大功能是:

(1)故障管理(fault management)

故障管理是網絡管理中最基本的功能之一。用戶都希望有一個可靠的計算機網絡。當網絡中某個組成失效時，網絡管理器必須迅速查找到故障并及時排除。通常不大可能迅速隔離某個故障，因為網絡故障的產生原因往往相當復雜，特別是當故障是由多個網絡組成共同引起的。在此情況下，一般先將網絡修復，然后再分析網絡故障的原因。分析故障原因對于防止類似故障的再發生相當重要。網絡故障管理包括故障檢測、隔離和糾正三方面，應包括以下典型功能:

．維護并檢查錯誤日志

．接受錯誤檢測報告并做出響應

．跟蹤、辨認錯誤

．執行診斷測試

．糾正錯誤

對網絡故障的檢測依據對網絡組成部件狀態的監測。不嚴重的簡單故障通常被記錄在錯誤日志中，并不作特別處理;而嚴重一些的故障則需要通知網絡管理器，即所謂的"警報"。 一般網絡管理器應根據有關信息對警報進行處理，排除故障。當故障比較復雜時，網絡管理 器應能執行一些診斷測試來辨別故障原因。

(2)計費管理(accounting management)

計費管理記錄網絡資源的使用，目的是控制和監測網絡操作的費用和代價。它對一些公共商業網絡尤為重要。它可以估算出用戶使用網絡資源可能需要的費用和代價，以及已經使用的資源。網絡管理員還可規定用戶可使用的最大費用，從而控制用戶過多占用和使用網絡 資源。這也從另一方面提高了網絡的效率。另外，當用戶為了一個通信目的需要使用多個網絡中的資源時，計費管理應可計算總計費用。

(3)配置管理(configuration management)

配置管理同樣相當重要。它初始化網絡、并配置網絡，以使其提供網絡服務。配置管理 是一組對辨別、定義、控制和監視組成一個通信網絡的對象所必要的相關功能，目的是為了 實現某個特定功能或使網絡性能達到最優。

這包括:

．設置開放系統中有關路由操作的參數

．被管對象和被管對象組名字的管理

．初始化或關閉被管對象

．根據要求收集系統當前狀態的有關信息

．獲取系統重要變化的信息

．更改系統的配置

(4)性能管理(performance management)

性能管理估價系統資源的運行狀況及通信效率等系統性能。其能力包括監視和分析被管網絡及其所提供服務的性能機制。性能分析的結果可能會觸發某個診斷測試過程或重新配置網絡以維持網絡的性能。性能管理收集分析有關被管網絡當前狀況的數據信息，并維持和分析性能日志。一些典型的功能包括:

．收集統計信息

．維護并檢查系統狀態日志

．確定自然和人工狀況下系統的性能

．改變系統操作模式以進行系統性能管理的操作

(5)安全管理(security management)

安全性一直是網絡的薄弱環節之一，而用戶對網絡安全的要求又相當高，因此網絡安全管理非常重要。網絡中主要有以下幾大安全問題:

網絡數據的私有性(保護網絡數據不被侵 入者非法獲取)，

授權(authentication)(防止侵入者在網絡上發送錯誤信息)，

訪問控制(控制訪問控制(控制對網絡資源的訪問)。

相應的，網絡安全管理應包括對授權機制、訪問控制 、加密和加密關鍵字的管理，另外還要維護和檢查安全日志。包括:

．創建、刪除、控制安全服務和機制

．與安全相關信息的分布

．與安全相關事件的報告

網絡管理中的關鍵

網絡迅速發展，導致網絡結構更為復雜；網絡應用的日新月異，讓網絡管理員每天都要面對新的問題。很多企事業單位，在遇到網絡問題不知道應該如何去解決，看流量，拔網線等手段，排查周期長，也很難真正找出問題。

網絡發展到一定階段，必然要考慮到網絡性能、網絡故障與網絡安全性問題。只有通過運用網絡分析技術對網絡流通數據的清晰認識，才能為故障的排查，性能的提升，以及網絡安全的解決提供可靠的數據依據。

信息應用與治理

網絡最大的價值，是在于信息化的應用。當出現故障不能及時解決，既使有再好的電子商務、電子政務，也只是一個擺設。無論是安全、性能還是故障性問題，不能快速解決，給企業帶來的是難以衡量的損失。

治理并不是簡單的網絡管理，它需要管理者對網絡中所有設備完全掌握，包括每個網卡地址，以及所處的位置。通過對網絡傳輸中的數據進行全面監控分析，才能從網絡底層數據獲取各種網絡應用行為造成的網絡問題，并快速的定位到網卡的位置。從而在安全策略上更好的防范，對故障和性能更合理的管理。

一勞永逸的誤區

從管理角度的考慮，往往期望絡故障和安全性問題可以自動解決。但歷經多年，沒有任何產品能做到。雖然許多企業部署了非常好的安全防護產品，但仍然會受到網絡攻擊和病毒危害。根本原因在于，網絡應用本身就在不斷的發展，新的病毒以及病毒變種，都很難被基于特征庫或病毒庫的產品所識別。要解決這些問題，則要求網絡管理員隨時都能查看到網絡中真實的數據，最快的發現引起問題的原因。

網絡拓撲圖VS矩陣圖

網絡拓撲圖要求這些交換設備都必須支持SNMP（簡單網絡管理協議），它能直觀能看到網絡結構，但看不到終端主機；它能看到設備斷網情況和粗略流量，但對網絡問題的解決能力并不實用。

從技術趨勢來看，矩陣圖（Matrix）將更適合網絡管理的需要。矩陣圖也被稱為主機連接圖，可以監控每臺主機（包括交換設備）之間的通訊連接，極大的提高了監控范圍，監控范圍深入到每臺主機之間的各種應用，包括通訊、資源占用、活躍程度、服務應用等，管理者可以監控到每臺主機的一舉一動，各種網絡問題都會在矩陣中表現出異常。如：BT下載、DDOS攻擊、ARP攻擊、木馬掃描等。

"診斷專家"快速提高解決能力

網絡分析不僅提供網絡依據，更重要的是幫助管理者提高問題的解決能力。"診斷專家"則是一個從問題原因到問題結果的完整解釋。好的網絡分析產品，可以自動提取問題的相關數據，并告訴管理者網絡中存在有哪些問題，可能產生的原因，有什么辦法可以解決，ARP攻擊的快速定位則是一個很好的證明。

網絡數據的回放能力

好的網絡分析產品，都具有網絡數據的回放能力，將網絡數據進行7x24小時記錄，可以按每天或每小時來記錄。如果要分析昨天某個時段出現的網絡故障，只需要將當時保存的數據包進行播放，同時通過網絡分析來追溯故障是如何發生的，使網絡管理對歷史問題追查能力得到明顯提高。

2.6網絡管理體系結構及技術

1 WBM 技術介紹

隨著應用Intranet的企業的增多，同時Internet技術逐漸向Intranet的遷移，一些主要的網絡廠商正試圖以一種新的形式去應用M I S 。因此就促使了W e b ( W e b - B a s e dManagement)網管技術的產生[2]。它作為一種全新的網絡管理模式—基于Web的網絡管理模式，從出現伊始就表現出強大的生命力，以其特有的靈活性、易操作性等特點贏得了許多技術專家和用戶的青睞，被譽為是“將改變用戶網絡管理方式的革命性網絡管理解決方案”。

WBM融合了Web功能與網管技術，從而為網管人員提供了比傳統工具更強有力的能力。WBM可以允許網絡管理人員使用任何一種Web瀏覽器，在網絡任何節點上方便迅速地配置、控制以及存取網絡和它的各個部分。因此，他們不再只拘泥于網管工作站上了，并且由此能夠解決很多由于多平臺結構產生的互操作性問題。WBM提供比傳統的命令驅動的遠程登錄屏幕更直接、更易用的圖形界面，瀏覽器操作和W e b頁面對W W W用戶來講是非常熟悉的，所以WBM的結果必然是既降低了MIS全體培訓的費用又促進了更多的用戶去利用網絡運行狀態信息。所以說，WBM是網絡管理方案的一次革命。

2 基于WBM 技術的網管系統設計

系統的設計目標

在本系統設計階段，就定下以開發基于園區網、Web模式的具有自主版權的中文網絡管理系統軟件為目標，采用先進的WBM技術和高效的算法，力求在性能上可以達到國外同類產品的水平。

本網管系統提供基于WEB的整套網管解決方案。它針對分布式IP網絡進行有效資源管理，使用戶可以從任何地方通過WEB瀏覽器對網絡和設備，以及相關系統和服務實施應變式管理和控制，從而保證網絡上的資源處于最佳運行狀態，并保持網絡的可用性和可靠性。

系統的體系結構

在系統設計的時候，以國外同類的先進產品作為參照物，同時考慮到技術發展的趨勢，在當前的技術條件下進行設計。我們采用三層結構的設計，融合了先進的WBM技術，使系統能夠提供給管理員靈活簡便的管理途徑。

三層結構的特點[2]：1)完成管理任務的軟件作為中間層以后臺進程方式實現，實施網絡設備的輪詢和故障信息的收集；2)管理中間件駐留在網絡設備和瀏覽器之間，用戶僅需通過管理中間層的主頁存取被管設備；3)管理中間件中繼轉發管理信息并進行S N M P 和H T T P之間的協議轉換三層結構無需對設備作任何改變。

網絡拓撲發現算法的設計

為了實施對網絡的管理，網管系統必須有一個直觀的、友好的用戶界面來幫助管理員。其中最基本的一個幫助就是把網絡設備的拓撲關系以圖形的方式展現在用戶面前，即拓撲發現。目前廣泛采用的拓撲發現算法是基于SNMP的拓撲發現算法?；赟NMP的拓撲算法在一定程度上是非常有效的，拓撲的速度也非?？?。但它存在一個缺陷[3]。那就是，在一個特定的域中，所有的子網的信息都依賴于設備具有SNMP的特性，如果系統不支持SNMP，則這種方法就無能為力了。還有對網絡管理的不重視，或者考慮到安全方面的原因，人們往往把網絡設備的SNMP功能關閉，這樣就難于取得設備的M I B值，就出現了拓撲的不完整性，嚴重影響了網絡管理系統的功能。針對這一的問題，下面討論本系統對上述算法的改進—基于ICMP協議的拓撲發現。

PING和路由建立

PING的主要操作是發送報文，并簡單地等待回答。PING之所以如此命名，是因為它是一個簡單的回顯協議，使用ICMP響應請求與響應應答報文。PING主要由系統程序員用于診斷和調試實現PING的過程主要是：首先向目的機器發送一個響應請求的ICMP報文，然后等待目的機器的應答，直到超時。如收到應答報文，則報告目的機器運行正常，程序退出。

路由建立的功能就是利用I P 頭中的TTL域。開始時信源設置IP頭的TTL值為0，發送報文給信宿，第一個網關收到此報文后，發現TTL值為0，它丟棄此報文，并發送一個類型為超時的ICMP報文給信源。信源接收到此報文后對它進行解析，這樣就得到了路由中的第一個網關地址。然后信源發送TTL值為1的報文給信宿，第一個網關把它的TTL值減為0后轉發給第二個網關，第二個網關發現報文TTL值為0，丟棄此報文并向信源發送超時ICMP報文。這樣就得到了路由中和第二個網關地址。如此循環下去，直到報文正確到達信宿，這樣就得到了通往信宿的路由。

網絡拓撲的發現算法具體實現的步驟：

(1)于給定的IP區間，利用PING依次檢測每個IP地址，將檢測到的IP地址記錄到IP地址表中。

(2)對第一步中查到的每個IP地址進行traceroute操作，記錄到這些IP地址的路由。并把每條路由中的網關地址也加到IP表中。

(3)對IP地址表中的每個IP地址，通過發送掩碼請求報文與接收掩碼應答報文，找到這些IP地址的子網掩碼。

(4)根據子網掩碼，確定對應每個IP地址的子網地址，并確定各個子網的網絡類型。把查到的各個子網加入地址表中。

(5)試圖得到與IP地址表中每個IP地址對應的域名(Domain Name)，如具有相同域名，則說明同一個網絡設備具有多個IP地址，即具有多個網絡接口。

(6)根據第二步中的路由與第四步中得到的子網，產生連接情況表。

第三章　網絡維護

3.1概述

網絡故障極為普遍，網絡故障的種類也多種多樣，要在網絡出現故障時及時對出現故障的網絡進行維護，以最快的速度恢復網絡的正常運行，掌握一套行之有效的網絡維護理論、方法和技術是關鍵。就網絡中常見故障進行分類，并對各種常見網絡故障提出相應的解決方法。

隨著計算機的廣泛應用和網絡的日趨流行，功能獨立的多個計算機系統互聯起來，互聯形成日漸龐大的網絡系統。計算機網絡系統的穩定運轉已與功能完善的網絡軟件密不可分。計算機網絡系統，就是利用通訊設備和線路將地理位置不同的、信息交換方式及網絡操作系統等共享，包括硬件資源和軟件資源的共享：因此，如何有效地做好本單位計算機網絡的日常維護工作，確保其安全穩定地運行，這是網絡運行維護人員的一項非常重要的工作。

在排除比較復雜網絡的故障時，我們常常要從多種角度來測試和分析故障的現象，準確確定故障點。

3.2分析模型和方法

七層的網絡結構分析模型方法

從網絡的七層結構的定義和功能上逐一進行分析和排查，這是傳統的而且最基礎的分析和測試方法。這里有自下而上和自上而下兩種思路。自下而上是：從物理層的鏈路開始檢測直到應用。自上而下是：從應用協議中捕捉數據包，分析數據包統計和流量統計信息，以獲得有價值的資料。

網絡連接結構的分析方法

從網絡的連接構成來看，大致可以分成客戶端、網絡鏈路、服務器端三個模塊。

1、客戶端具備網絡的七層結構，也會出現從硬件到軟件、從驅動到應用程序、從設置錯誤到病毒等的故障問題。所以在分析和測試客戶端的過程中要有大量的背景知識，有時PC的發燒經驗也會有所幫助。也可以在實際測試過程中詢問客戶端的用戶，分析他們反映的問題是個性的還是共性的，這將有助于自己對客戶端的進一步檢測作出決定。

2、來自網絡鏈路的問題通常需要網管、現場測試儀，甚至需要用協議分析儀來幫助確定問題的性質和原因。對于這方面的問題分析需要有堅實的網絡知識和實踐經驗，有時實踐經驗會決定排除故障的時間。

3、在分析服務器端的情況時更需要有網絡應用方面的豐富知識，要了解服務器的硬件性能及配置情況、系統性能及配置情況、網絡應用及對服務器的影響情況。

工具型分析方法

工具型分析方法有強大的各種測試工具和軟件，它們的自動分析能快速地給出網絡的各種參數甚至是故障的分析結果，這對解決常見網絡故障非常有效。

綜合及經驗型分析方法靠時間、錯誤和成功經驗的積累 在大多數的阿絡維護工作人員的工作中是采用這個方法的，再依靠網管和測試工具迅速定位網絡的故障。

3.3計算機無法上網故障的排除

1、對于某網計算機上不了網的故障，首先要分別確定此計算機的網卡安裝是否正確，是否存在硬件故障，網絡配置是否正確在實際工作中我們一般采用Ping本機的回送地址(127.0.0.1)來判斷網卡硬件安裝和TCP/IP協議的正確性。

如果能Ping通，即說明這部分沒有問題。如果出現超時情況，則要檢查計算機的網卡是否與機器上的其它設備存在中斷沖突的問題。通過查看系統屬性中的設備管理器，查看是否在網絡適配器的設備前面有黃色驚嘆號或紅色叉號，如有則說明硬件的驅動程序沒有安裝成功，可刪除后重新安裝。另外，要確保TCP/IP協議安裝的正確性，并且要綁定在你所安裝的網卡上。如果重新安裝后還是Ping不通回送地址，最好換上一塊正常的網卡試一試。由于在局域網中劃分了VLAN，所以連在不同VLAN中的計算機都有各自不同的IP地址、子網掩碼和網關。要在機器的網絡屬性中設定的IP地址等數據與連接的VLAN相匹配，否則將出現網絡不通的情況。

當確保了計算機的硬件設備和網絡配置正確后，接著就要查看計算機與交換機之間的雙絞線，交換機的RJ45端口或交換機的配置是否有問題。此時我們要Ping上網計算機所在VLAN的網關，不通的話就要分段檢查上面所說的各項。

最簡單的方法是檢查雙絞線，用線纜測試儀檢測雙絞線是否斷開。雙絞線沒有問題，就要查看交換機的端口是否壞了。交換機每一個端口都有狀態指示燈以詢問一下其它網管人員就可以排除了，如果不放心可以對照查看。交換機的參數配置表也是網絡管理員必備的資料之一，并且隨著網絡用戶的變化要不斷地修改，檢測到此，如果端口指示燈不亮，就只能是端口損壞了，可以把跳線接到正常使用的端口上排除其它原因，確定是端口的問題。

2、一批聯網計算機上不了網對于同時有一批計算機上不了網的故障，首先要找到這些計算機的共性，如是不是屬于同一VLAN或接在同一交換機上的，若這些計算機屬于同一VLAN，且屬于計算機分別連接于不同的樓層交換機，那么檢查一下路由器上是否有acl限制，在路由器上對該VLAN的配置是否正確，路由協議(如我局的OSPF協議)是否配置正確。若這些計算機屬于同一交換機，則應到機房檢查該交換機是否有電源松落情況，或該交換機CPU負載率是否很高，與上一級網絡設備的鏈路是否正常。

通常某交換機連接的所有電腦都不能正常與網內其它電腦通訊，這是典型的交換機死機現象，可以通過重新啟動交換機的方法解決。如果重新啟動后故障依舊，則檢查一下那臺交換機連接的所有電腦，看逐個斷開連接的每臺電腦的情況，慢慢定位到某個故障電腦，會發現多半是某臺電腦上的網卡故障導致的。

故障通常是交換機的某個端口變得非常緩慢，最后導致整臺交換機或整個堆疊慢下來。通過控制臺檢查交換機的狀態，發現交換機的緩沖池增長得非?？欤_到了90％或更多。原因及解決方法為：首先應該使用其它電腦更換這個端口上原來的連接，看是否由這個端口連接的那臺電腦的網絡故障導致的，也可以重新設置出錯的端口并重新啟動交換機，個別時候，可能是這個端口損壞了。

3.4計算機網絡故障分析

計算機網絡故障主要分為硬件故障和軟件故障，對計算機網絡故障進行分析也主要可以從硬件與軟件兩個方面著手：

（一）計算機網絡故障分析與診斷的基本方法

計算機網絡故障分析與診斷的原則可歸納為：由服務器到工作站（就是出現工作站不能入網的情況時，先確定服務器是否有問題）；由外部到內部（即當有工作站出現網絡故障時，先檢查其外部直接可看到的設備情況，如與之相連的交換機或集線器有沒有故障，電纜有無纏繞導致內部線纜斷裂或接觸不良）；由軟件到硬件（就是網絡出故障后先從操作系統、網絡協議、網卡驅動程序及配置上找原因。重新安裝網卡驅動或網絡協議、操作系統，看看故障是否消失。在確定排除軟件問題后再檢查硬件是否損壞。

（二）網絡硬件故障的分析與診斷方法

網絡中的硬件故障比較復雜，現就日常工作中常見的網絡連線問題和網卡問題來進行探討。如，網線至交換機或集線器之間的故障分析與診斷方法，故障診斷：通過看網卡指示燈集線器指示燈。首先，檢查網線是否插好；其次，若有數臺工作站同時出現網絡故障，則有可能是連接這些計算機的交換機或集線器出故障。如，網卡故障，故障分析：這是最常發生的問題。如網卡設置錯誤，網卡在安裝過程中是否正確地設置中斷號，I/0端口地址，驅動程序是否出錯，網卡是否出故障等。

（三）網絡配置故障的分析與診斷

故障分析：網絡配置故障就是由網絡中的各項配置不當而產生的故障。它是一種較復雜的現象，不但要檢查服務器的各項配置、工作站的各項配置，還要根據出現的錯誤信息和現象查出原因。如，域名、計算機名和地址故障的分析與診斷。故障分析：在實際工作中經常會出現在“網上鄰居”中看不到其它計算機或只能看到部分計算機，無法找到指定的計算機等現象。故障診斷：檢查網絡中每個域、每臺計算機的名稱是否唯一；檢查網絡中的計算機名是否和域名或工作組名重復，使用TCP/IP時，檢查分配給網絡適配器的IP地址有無重復。在如協議故障的分析與診斷，故障分析：確認您所使用的協議與網絡上其它計算機使用的協議相同。否則，將看不到網絡上其它計算機。在配置和使用TCP/IP協議時的主要問題是IP地址、子網掩碼和路由問題。IP地址的分配復雜，分配不好，容易造成網絡混亂。因而，非網管人員不要隨意修改IP地址。

3.5故障定位及排除的常用方法

1.告警性能分析法

通過網管獲取告警和性能信息進行故障定位。我們單位使用了Siteview網絡網管，可以對全單位的網絡設備進行管理，平時多觀察各設備CPU負載率和各線路的流量。當有人反映不能連接至網絡或網速很慢時，可通過網管觀察計算機與交換機的連接情況，是否有時斷時通的現象，交換機CPU負載率是否很高，線路流量是否很大。通過觀察設備端口狀態，分析和觀察交換機哪個端口所接的計算機發包量不太正常。

2.查看網絡設備日志法

經?？匆幌戮W絡設備的日志，分析設備狀況。我曾經通過showlonging命令觀察到4006交換機下連的2950交換機經常每隔7小時down掉，然后又up，因時間間隔較長，單位人員未感覺網絡中斷，在此期間我們檢查并確定了光纜、光收發器、網線、交換機配置、交換機端口均正常，后來的間隔時間由原來的7小時減為7分鐘。由此我們立即判定2950交換機本身有故障，馬上將已準備好的備用交換機換上，從而減少了處理故障的時間，并在最短時間內恢復網絡。

3.替換法

替換法就是使用一個工作正常的物體去替換一個工作不正常的物體，從而達到定位故障、排除故障的目的。這里的物件可以是一段線纜、一個設備和一塊模塊。

4.配置數據分析法

查詢、分析當前設備的配置數據，通過分析以上的配置數據是否正常來定位故障。若配置的數據有錯誤，需進行重新配置。

3.6計算機網絡維護

計算機網絡故障是與網絡暢通相對應的一概念，計算機網絡故障主要是指計算機無法實現聯網或者無法實現全部聯網。引起計算機網絡故障的因素多種多樣但總的來說可以分為物理故障與邏輯故障，或硬件故障與軟件故障。物理故障或硬件故障可以包括電源線插頭沒有進行正常的連接，聯網電腦網卡、網線、集線器、交換機、路由器等故障、計算機硬盤、內存、顯示器等故障也會不同程度影響到網絡用戶正常使用網絡。軟件故障是當前最常見的計算機網絡故障之一，常見的軟件故障有網絡協議問題、網絡設備的配置和設置等問題造成的。

網絡故障目前已經成為影響計算機網絡使用穩定性的重要因素之一，加強對計算機網絡故障的分析和網絡維護已經成為網絡用戶經常性的工作之一。及時進行網絡故障分析和網絡維護也已經成為保障網絡穩定性的重要方式方法。

計算機網絡維護是減少計算機網絡故障，維護計算機網絡穩定性的重要的方式方法。計算機網絡維護一般來說包括以下方面：

1．對硬件的維護。首先檢測聯網電腦網卡、網線、集線器、交換機、路由器等故障、計算機硬盤、內存、顯示器等是否能夠正常運行，對臨近損壞的計算機硬件要及時進行更換。同時要查看網卡是否進行了正確的安裝與配置。具體來說要確定聯網計算機硬件能夠達到聯網的基本要求，計算機配置的硬件不會與上網軟件發生沖突而導致不能正常聯網。

2．對軟件的維護。軟件維護是計算機網絡維護的主要方面，具體來說主要包括，

（1）計算機網絡設置的檢查。具體來說檢查服務器是否正常，訪問是否正常，以及檢查網絡服務、協議是否正常。

（2）對集線器、交換器和路由器等網絡設備的檢查。具體來說，包括檢測網絡設備的運行狀態，檢測網絡設備的系統配置。

（3）對網絡安全性的檢測。對網絡安全性的檢測主要包括，對服務器上安裝的防病毒軟件進行定期升級和維護，并對系統進行定期的查殺毒處理；對服務器上安裝的防火墻做不定期的的系統版本升級，檢測是否有非法用戶入網入侵行為；對聯網計算機上的數據庫做安全加密處理并對加密方式和手段進行定期更新，以保障數據的安全性。

（4）網絡通暢性檢測。在進行網絡維護的過程，經常會遇到網絡通訊不暢的問題，其具體表現為網絡中的某一結點pingq其他主機，顯示一個很小的數據包，需要幾百甚至幾千毫秒，傳輸文件非常慢，遇到這種情況應首先看集線器或交換機的狀態指示燈，并根據情況進行判斷。

計算機網絡是計算機技術的一重要應用領域，計算機網絡的便捷、高效、低廉為計算機網絡應用的增加提供了保障，但計算機網絡故障一旦發生就會給網絡用戶帶來使用上巨大不便，甚至造成巨大的損失。因而必須進一步加強計算機網絡故障分析與維護研究，提高網絡的穩定性和安全性。

結束語

本文提出了現代網絡中的一些安全策略，重點提出了管理技術和維護技術。本文介紹了幾種常用的防范技術。隨著現在的發展，網絡的不安全因素很多，網絡管理和維護尤其重要，本文介紹了網絡管理幾個方面的技術和網絡維護的幾種常用技術。

參考文獻

晏蒲柳.大規模智能網絡管理模型方法[J].計算機應用研究

周楊，家海，任憲坤，王沛瑜.網絡管理原理與實現技術[M].北京:清華大學出版社

李佳石， 冰心著. 網絡管理系統中的自動拓撲算法[J].華中科技大學學報胡谷雨. 現代通信網和計算機管理.

岑賢道，安長青. 網絡管理協議及應用開發.

附錄 A

篇10

我自20xx年xx月進入院網絡管理中心，至今已有多半年時間，正是在這里我開始學習有關計算機的知識，完成了個人人生中的一次重要轉變。但由于自己各方面的原因，現慎重提出辭職，愿各位領導可以考慮。

在過去的半年里，網絡中心給予了我良好的學習和鍛煉機會，學到了一些新的東西充實了自己，增加了自己的一些知識和實踐經驗。我對于網絡中心領導和各位同事，半年多的照顧表示真心的感謝！今天我選擇離開并不是我對現在的工作畏懼，承受能力不行。

望領導批準我的申請，并請協助辦理相關離職手續，在正式離開之前我將認真繼續做好目前的每一項工作 祝您們身體健康，事業順心。并祝公司事業蓬勃發展。

而是我的人生要繼續升華，我選擇考研，選擇繼續深造我的學業。在這里的日子讓我很難忘。我學會如何堅持，如何適應，如何交流，如何互助。我懂得了責任感對一個人的重要性，我懂得了很多書本上學不到的知識。

祝院網絡中心順利創造輝煌，祝網絡中心的領導和同事們前程似錦鵬程萬里！

篇11

2.此規定也包含了有關it的正確使用，信息安全和集團內部各單位的協調等方面的工作原則及相關前提條件。

第二條依據

本規定依據《中華人民共和國保守國家秘密法》和《中華人民共和國計算機信息系統安全保護條例》、《中華人民共和國計算機信息網絡國際管理暫行規定》制定。

第三條范圍

集團網絡由信息中心負責管理，上投大廈內所有單位、部門和員工均必須執行本規定。

第四條主機房安全規定

1.機房不得攜入易燃、易爆物品。

2.機房內嚴禁吸煙。

3.機房內不準吃飯、吃零食或進行其它有害、污損電腦的行為。

4.機房嚴禁亂拉接電源，以防造成短路或失火。

5.非集團信息中心和信托公司電腦部工作人員嚴禁進入主機房（特許人員例外），工作人員進出主機房必須隨手關門。

6.機房工作人員應定期檢查機房消防設備完好情況。

第五條主機房凈化規定

1.機房內應及時清掃衛生死角和可見灰塵。

2.精密空調應調節適合溫度以適應計算機設備的運轉。

3.機房應門窗密封，防止外來粉塵污染。

4.機房內不準帶入無關物品，不準睡覺休息。

5.機房工作人員須穿專用拖鞋進入機房。

6.機房用品須定期清潔。

第六條主機房參觀管理的規定

1.經信息中心主管批準，外來人員才予安排參觀。

2.外來人員參觀機房，須有公司指定人員陪同，并登記出入紀錄。

3.參觀人員不得擁擠、喧嘩，應聽從陪同人員安排。

4.參觀結束后，操作人員應整理如常。

第七條網絡中心辦公區域管理規定

1.網絡中心辦公區域包括信息中心辦公區域及信托公司電腦部辦公區域。

2.辦公區域內不得攜入易燃、易爆物品，嚴禁吸煙，嚴禁亂拉接電源，以防造成短路或失火。

3.外來人員不得隨意進入辦公區域。

4.非經有關領導及信息中心主管及批準，辦公區域不得隨意增加、減少有礙辦公環境的設備（家具、電器等）。

5.辦公時間內須保持辦公環境安靜，不大聲喧嘩，不播放音樂。

6.辦公區域須定期清潔，值班人員須保持環境衛生整潔。

7.值班人員每日下班前需認真檢查門窗關閉情況。

第八條主干網管理規定

1.集團信息中心負責主干網的運行管理、設備管理和發展規劃，保證主干網的暢通。

2.信息中心負責樓層接入設備的安裝、調試及日常維護，任何單位和個人不得私自移動、改動有關設備。

3.主干網及樓層網絡跳線一經固定，任何單位、個人不得私自改變，如有線路調整，需由相關單位提出申請，報信息中心審核同意，由信息中心網絡部進行有關跳線工作，更改完畢，網絡管理員需做好相應的文檔記錄。

第九條子網接入單位職責規定

1.各子網網絡管理員具體負責子網內相應的網絡安全和信息安全工作，保存網絡運行的有關記錄，指導計算機系統管理員和用戶對各自負責的網絡系統、計算機系統和上網資源進行管理。

2.子網接入單位在信息中心的統一規劃和指導下，負責按有關要求和規定對子網進行建設、運行和管理；

3.子網接入單位指導計算機系統管理員和用戶對各自負責的網絡系統、計算機系統和上網資源進行管理；

4.子網接入單位負責和承擔下一級接入單位和用戶的管理、教育、技術咨詢和培訓工作；

5.負責本級網絡相應的網絡安全和信息安全工作；

6.負責保存本級網絡運行的有關記錄并接受上一級網絡的監督和檢查。

第十條ip地址、用戶賬號申請與電子郵件

1.與集團公司主干網絡相連的電腦及網絡設備ip地址由信息中心負責統一管理和分配。

2.入網單位應統一向信息中心申請分配或增加ip地址。入網單位和個人應嚴格使用由信息中心分配的ip地址，嚴禁盜用他人ip地址或私自亂設ip地址。信息中心有權切斷亂設的ip地址入網，以保證公司網絡的正常運行。

3.用戶要求入網和個人要求辦理電子郵件戶頭，應經過其部門主管同意，并向信息中心提出書面申請，審查同意后由管理員對入網計算機和用戶進行逐個登記，在有關系統上開戶，分配ip地址，辦理有關手續。符合要求的計算機和用戶方可入網運行、對外通信。

4.任何電子郵件（包括所有內部郵件）都必須遵守以下規定

4.1每位集團員工只能擁有一個后綴為××××××××*.com的電子郵箱，員工可以發送郵件至公司外部，但僅為工作用途。公司禁止所有不恰當的郵件傳遞行為并將其視為違反公司規章。

4.2嚴禁發送附件具有下列擴展名的郵件（例如：.exe,.vbs,.com,.bat,.cmd,mdb等等。

4.3每封發送郵件大小：原則上<=2m字節。嚴禁向非集團信箱自動轉發郵件。

第十一條上網信息及網絡安全管理

1.上網信息管理實行誰上網誰負責、后果自負的原則。上網信息不得有違反國家法律、法規或侵犯他人知識產權的內容。

2.各用戶必須自覺遵守國家有關保密法規：

2.1不得利用國際聯網泄露國家秘密；

2.2文件、資料、數據嚴禁上網流傳、處理、儲存；

2.3與文件、資料、數據和科研課題相關的微機嚴禁聯網運行。

3.任何用戶不得利用國際聯網制作、復制、查閱和傳播下列信息：

3.1煽動抗拒、破壞憲法和法律、行政法規實施；

3.2煽動顛覆國家政權，社會主義制度；

3.3煽動分裂國家、破壞國家統一；

3.4捏造或者歪曲事實，散布謠言，擾亂社會秩序；

3.5公然侮辱他人或者捏造事實誹謗他人；

3.6其他違反憲法和法律、行政法規的。

4.任何用戶不得從事下列危害計算機信息網絡安全的活動：

4.1未經允許，進入計算機信息網絡或者使用計算機信息網絡資源；

4.2未經允許，對計算機信息網絡功能進行刪除、修改或者增加的；

4.3未經允許，對計算機信息網絡中存儲、處理或者傳輸的數據和應用程序進行刪除、修改或者增加的；

4.4故意制作、傳播計算機病毒等破壞性程序的；

4.5其他危害計算機信息網絡安全的。

5.從internet上下載文件有大小限制，任何例外必須報請信息中心批準。

6.信息中心和各接入單位要定期對相應的網絡用戶進行有關的信息安全和網絡安全教育，并根據國家有關規定對上網信息進行檢查。發現問題應及時上報，并采取處理措施。

7.信息中心、接入單位和用戶必須接受并配合國家和集團有關部門依法進行的監督檢查。