網路安全管理中心集中管控應具備

『壹』 什麼是網路安全管理策略

在網路安全技術飛速發展的今天，只有將不同安全側重點的安全技術有效地融合起來，安全產品的性價比才能更高。目前，已有一些廠商在安全設備與安全策略管理、安全風險控制、集中安全審計等方面做了十分有效的工作。通過綜合分析，結合實際管理需求，我們認為以下幾項技術需要重點掌握：

協議聯通技術：目前國際上的網管軟體大多是基於SNMP設計的，一般只側重於設備管理，且編程復雜、結構單一，不利於大規模集成。如果用戶要管理各類網路設備、操作系統及安全產品，則要綜合使用諸如WBEM、UDDI和XML等協議與通信技術。因此應盡量提高各協議介面間的透明訪問程度，實現協議間的互聯互訪。

探頭集成技術：目前各安全子系統要對網路及用戶進行實時管理，大多採用用戶端安裝插件的技術，在多個子系統都需插件的情況下，可能產生沖突，且給用戶系統增加負擔，因此各廠商除提供必要的介面信息外，集成單位也應注意將各種信息技術進行融合，通過編程實現對各系統探頭的集成。

可視化管理技術：為了讓用戶更好地通過安全管理平台進行集中管理，用戶管理界面最好能夠提供直觀的網路拓樸圖，實時顯示整個網路的安全狀況，使用戶可以便捷地查看各安全產品組件的狀態、日誌以及信息處理結果，產生安全趨勢分析報表。因此可視化管理技術的研究與應用尤為重要。

事件關聯技術：由於從單獨的安全事件中很難發覺其它的攻擊行為，必須綜合多種安全設備的事件信息進行分析，才能得到准確的判斷。所以，事件關聯技術的研究和實現，可以大大提高安全管理平台綜合處理與智能處理的能力，提高管理平台分析及審計能力，更好地幫助網管人員進行網路安全的集中管控，發揮網路安全管理平台的重要作用。

事件過濾技術：一個安全事件有可能同時觸動多個安全單元，同時產生多個安全事件報警信息，造成同一事件信息「泛濫」，反而使關鍵的信息被淹沒。因此，事件過濾技術也是安全管理平台需要解決的一個重要問題。

快速響應技術：發生網路安全事件後，單靠人工處理可能會貽誤戰機，所以必須要開發快速響應技術，從而能使系統自動響應安全事件。如實現報警、阻塞、阻斷、引入陷阱，以及取證和反擊等。

『貳』 信息安全的相關技術

在市場上比較流行，而又能夠代表未來發展方向的安全產品大致有以下幾類：
◆ 用戶身份認證：是安全的第一道大門，是各種安全措施可以發揮作用的前提，身份認證技術包括：靜態密碼、動態密碼（簡訊密碼、動態口令牌、手機令牌）、USB KEY、IC卡、數字證書、指紋虹膜等。
◆防火牆：防火牆在某種意義上可以說是一種訪問控制產品。它在內部網路與不安全的外部網路之間設置障礙，阻止外界對內部資源的非法訪問，防止內部對外部的不安全訪問。主要技術有：包過濾技術，應用網關技術，代理服務技術。防火牆能夠較為有效地防止黑客利用不安全的服務對內部網路的攻擊，並且能夠實現數據流的監控、過濾、記錄和報告功能，較好地隔斷內部網路與外部網路的連接。但它其本身可能存在安全問題，也可能會是一個潛在的瓶頸。
◆網路安全隔離：網路隔離有兩種方式，一種是採用隔離卡來實現的，一種是採用網路安全隔離網閘實現的。隔離卡主要用於對單台機器的隔離，網閘主要用於對於整個網路的隔離。這兩者的區別可參見參考資料。網路安全隔離與防火牆的區別可參看參考資料。
◆安全路由器：由於WAN連接需要專用的路由器設備，因而可通過路由器來控制網路傳輸。通常採用訪問控制列表技術來控制網路信息流。
◆虛擬專用網(VPN)：虛擬專用網（VPN）是在公共數據網路上，通過採用數據加密技術和訪問控制技術，實現兩個或多個可信內部網之間的互聯。VPN的構築通常都要求採用具有加密功能的路由器或防火牆，以實現數據在公共信道上的可信傳遞。
◆ 安全伺服器：安全伺服器主要針對一個區域網內部信息存儲、傳輸的安全保密問題，其實現功能包括對區域網資源的管理和控制，對區域網內用戶的管理，以及區域網中所有安全相關事件的審計和跟蹤。
◆ 電子簽證機構--CA和PKI產品：電子簽證機構（CA）作為通信的第三方，為各種服務提供可信任的認證服務。CA可向用戶發行電子簽證證書，為用戶提供成員身份驗證和密鑰管理等功能。PKI產品可以提供更多的功能和更好的服務，將成為所有應用的計算基礎結構的核心部件。
◆ 安全管理中心：由於網上的安全產品較多，且分布在不同的位置，這就需要建立一套集中管理的機制和設備，即安全管理中心。它用來給各網路安全設備分發密鑰，監控網路安全設備的運行狀態，負責收集網路安全設備的審計信息等。
◆入侵檢測系統（IDS）：入侵檢測，作為傳統保護機制（比如訪問控制，身份識別等）的有效補充，形成了信息系統中不可或缺的反饋鏈。
◆入侵防禦系統（IPS）：入侵防禦，入侵防禦系統作為IDS很好的補充，是信息安全發展過程中占據重要位置的計算機網路硬體。
◆安全資料庫：由於大量的信息存儲在計算機資料庫內，有些信息是有價值的，也是敏感的，需要保護。安全資料庫可以確保資料庫的完整性、可靠性、有效性、機密性、可審計性及存取控制與用戶身份識別等。
◆ 安全操作系統：給系統中的關鍵伺服器提供安全運行平台，構成安全WWW服務，安全FTP服務，安全SMTP服務等，並作為各類網路安全產品的堅實底座，確保這些安全產品的自身安全。
◆DG圖文檔加密:能夠智能識別計算機所運行的涉密數據，並自動強制對所有涉密數據進行加密操作，而不需要人的參與。體現了安全面前人人平等。從根源解決信息泄密
信息安全行業中的主流技術如下： 1、病毒檢測與清除技術 2、安全防護技術 包含網路防護技術（防火牆、UTM、入侵檢測防禦等）；應用防護技術（如應用程序介面安全技術等）；系統防護技術（如防篡改、系統備份與恢復技術等），防止外部網路用戶以非法手段進入內部網路，訪問內部資源，保護內部網路操作環境的相關技術。 3、安全審計技術 包含日誌審計和行為審計，通過日誌審計協助管理員在受到攻擊後察看網路日誌，從而評估網路配置的合理性、安全策略的有效性，追溯分析安全攻擊軌跡，並能為實時防禦提供手段。通過對員工或用戶的網路行為審計，確認行為的合規性，確保信息及網路使用的合規性。 4、安全檢測與監控技術 對信息系統中的流量以及應用內容進行二至七層的檢測並適度監管和控制，避免網路流量的濫用、垃圾信息和有害信息的傳播。 5、解密、加密技術 在信息系統的傳輸過程或存儲過程中進行信息數據的加密和解密。 6、身份認證技術 用來確定訪問或介入信息系統用戶或者設備身份的合法性的技術，典型的手段有用戶名口令、身份識別、PKI 證書和生物認證等。
信息安全服務
信息安全服務是指為確保信息和信息系統的完整性、保密性和可用性所提供的信息技術專業服務，包括對信息系統安全的的咨詢、集成、監理、測評、認證、運維、審計、培訓和風險評估、容災備份、應急響應等工作 信息安全可以建立、採取有效的技術和管理手段，保護計算機信息系統和網路內的計算機硬體、軟體、數據及應用等不因偶然或惡意的原因而遭到破壞、更改和泄漏，保障信息系統能夠連續、正常運行。
一個安全有效的計算機信息系統可以同時支持機密性、真實性、可控性、可用性這四個核心安全屬性，而提供信息安全業務的基本目標就是幫助信息系統實現上述全部或大部分內容。 電子商務安全從整體上可分為兩大部分：計算機網路安全和商務交易安全
（一）計算機網路安全的內容包括：
（1）未進行操作系統相關安全配置
不論採用什麼操作系統，在預設安裝的條件下都會存在一些安全問題，只有專門針對操作系統安全性進行相關的和嚴格的安全配置，才能達到一定的安全程度。千萬不要以為操作系統預設安裝後，再配上很強的密碼系統就算作安全了。網路軟體的漏洞和「後門」是進行網路攻擊的首選目標。
（2）未進行CGI程序代碼審計
如果是通用的CGI問題，防範起來還稍微容易一些，但是對於網站或軟體供應商專門開發的一些CGI程序，很多存在嚴重的CGI問題，對於電子商務站點來說，會出現惡意攻擊者冒用他人賬號進行網上購物等嚴重後果。
（3）拒絕服務（DoS，DenialofService）攻擊
隨著電子商務的興起，對網站的實時性要求越來越高，DoS或DDoS對網站的威脅越來越大。以網路癱瘓為目標的襲擊效果比任何傳統的恐怖主義和戰爭方式都來得更強烈，破壞性更大，造成危害的速度更快，范圍也更廣，而襲擊者本身的風險卻非常小，甚至可以在襲擊開始前就已經消失得無影無蹤，使對方沒有實行報復打擊的可能。
（4）安全產品使用不當
雖然不少網站採用了一些網路安全設備，但由於安全產品本身的問題或使用問題，這些產品並沒有起到應有的作用。很多安全廠商的產品對配置人員的技術背景要求很高，超出對普通網管人員的技術要求，就算是廠家在最初給用戶做了正確的安裝、配置，但一旦系統改動，需要改動相關安全產品的設置時，很容易產生許多安全問題。
（5）缺少嚴格的網路安全管理制度
網路安全最重要的還是要思想上高度重視，網站或區域網內部的安全需要用完備的安全制度來保障。建立和實施嚴密的計算機網路安全制度與策略是真正實現網路安全的基礎。
（二）計算機商務交易安全的內容包括：
（1）竊取信息
由於未採用加密措施，數據信息在網路上以明文形式傳送，入侵者在數據包經過的網關或路由器上可以截獲傳送的信息。通過多次竊取和分析，可以找到信息的規律和格式，進而得到傳輸信息的內容，造成網上傳輸信息泄密。
（2）篡改信息
當入侵者掌握了信息的格式和規律後，通過各種技術手段和方法，將網路上傳送的信息數據在中途修改，然後再發向目的地。這種方法並不新鮮，在路由器或網關上都可以做此類工作。
（3）假冒
由於掌握了數據的格式，並可以篡改通過的信息，攻擊者可以冒充合法用戶發送假冒的信息或者主動獲取信息，而遠端用戶通常很難分辨。
（4）惡意破壞
由於攻擊者可以接入網路，則可能對網路中的信息進行修改，掌握網上的機要信息，甚至可以潛入網路內部，其後果是非常嚴重的。 電子商務的一個重要技術特徵是利用計算機技術來傳輸和處理商業信息。因此，電子商務安全問題的對策從整體上可分為計算機網路安全措施和商務交易安全措施兩大部分。
1．計算機網路安全措施
計算機網路安全措施主要包括保護網路安全、保護應用服務安全和保護系統安全三個方面，各個方面都要結合考慮安全防護的物理安全、防火牆、信息安全、Web安全、媒體安全等等。
（一）保護網路安全。
網路安全是為保護商務各方網路端系統之間通信過程的安全性。保證機密性、完整性、認證性和訪問控制性是網路安全的重要因素。保護網路安全的主要措施如下：
（1）全面規劃網路平台的安全策略。
（2）制定網路安全的管理措施。
（3）使用防火牆。
（4）盡可能記錄網路上的一切活動。
（5）注意對網路設備的物理保護。
（6）檢驗網路平台系統的脆弱性。
（7）建立可靠的識別和鑒別機制。
（二）保護應用安全。
保護應用安全，主要是針對特定應用（如Web伺服器、網路支付專用軟體系統）所建立的安全防護措施，它獨立於網路的任何其他安全防護措施。雖然有些防護措施可能是網路安全業務的一種替代或重疊，如Web瀏覽器和Web伺服器在應用層上對網路支付結算信息包的加密，都通過IP層加密，但是許多應用還有自己的特定安全要求。
由於電子商務中的應用層對安全的要求最嚴格、最復雜，因此更傾向於在應用層而不是在網路層採取各種安全措施。
雖然網路層上的安全仍有其特定地位，但是人們不能完全依靠它來解決電子商務應用的安全性。應用層上的安全業務可以涉及認證、訪問控制、機密性、數據完整性、不可否認性、Web安全性、EDI和網路支付等應用的安全性。
（三）保護系統安全。
保護系統安全，是指從整體電子商務系統或網路支付系統的角度進行安全防護，它與網路系統硬體平台、操作系統、各種應用軟體等互相關聯。涉及網路支付結算的系統安全包含下述一些措施：
（1）在安裝的軟體中，如瀏覽器軟體、電子錢包軟體、支付網關軟體等，檢查和確認未知的安全漏洞。
（2）技術與管理相結合，使系統具有最小穿透風險性。如通過諸多認證才允許連通，對所有接入數據必須進行審計，對系統用戶進行嚴格安全管理。
（3）建立詳細的安全審計日誌，以便檢測並跟蹤入侵攻擊等。
商務交易安全則緊緊圍繞傳統商務在互聯網路上應用時產生的各種安全問題，在計算機網路安全的基礎上，如何保障電子商務過程的順利進行。
各種商務交易安全服務都是通過安全技術來實現的，主要包括加密技術、認證技術和電子商務安全協議等。
（一）加密技術。
加密技術是電子商務採取的基本安全措施，交易雙方可根據需要在信息交換的階段使用。加密技術分為兩類，即對稱加密和非對稱加密。
（1）對稱加密。
對稱加密又稱私鑰加密，即信息的發送方和接收方用同一個密鑰去加密和解密數據。它的最大優勢是加/解密速度快，適合於對大數據量進行加密，但密鑰管理困難。如果進行通信的雙方能夠確保專用密鑰在密鑰交換階段未曾泄露，那麼機密性和報文完整性就可以通過這種加密方法加密機密信息、隨報文一起發送報文摘要或報文散列值來實現。
（2）非對稱加密。
非對稱加密又稱公鑰加密，使用一對密鑰來分別完成加密和解密操作，其中一個公開發布（即公鑰），另一個由用戶自己秘密保存（即私鑰）。信息交換的過程是：甲方生成一對密鑰並將其中的一把作為公鑰向其他交易方公開，得到該公鑰的乙方使用該密鑰對信息進行加密後再發送給甲方，甲方再用自己保存的私鑰對加密信息進行解密。
（二）認證技術。
認證技術是用電子手段證明發送者和接收者身份及其文件完整性的技術，即確認雙方的身份信息在傳送或存儲過程中未被篡改過。
（1）數字簽名。
數字簽名也稱電子簽名，如同出示手寫簽名一樣，能起到電子文件認證、核准和生效的作用。其實現方式是把散列函數和公開密鑰演算法結合起來，發送方從報文文本中生成一個散列值，並用自己的私鑰對這個散列值進行加密，形成發送方的數字簽名；然後，將這個數字簽名作為報文的附件和報文一起發送給報文的接收方；報文的接收方首先從接收到的原始報文中計算出散列值，接著再用發送方的公開密鑰來對報文附加的數字簽名進行解密；
（2）數字證書。
數字證書是一個經證書授權中心數字簽名的包含公鑰擁有者信息以及公鑰的文件數字證書的最主要構成包括一個用戶公鑰，加上密鑰所有者的用戶身份標識符，以及被信任的第三方簽名第三方一般是用戶信任的證書權威機構（CA），如政府部門和金融機構。用戶以安全的方式向公鑰證書權威機構提交他的公鑰並得到證書，然後用戶就可以公開這個證書。任何需要用戶公鑰的人都可以得到此證書，並通過相關的信任簽名來驗證公鑰的有效性。數字證書通過標志交易各方身份信息的一系列數據，提供了一種驗證各自身份的方式，用戶可以用它來識別對方的身份。
（三）電子商務的安全協議。
除上文提到的各種安全技術之外，電子商務的運行還有一套完整的安全協議。比較成熟的協議有SET、SSL等。
（1）安全套接層協議SSL。
SSL協議位於傳輸層和應用層之間，由SSL記錄協議、SSL握手協議和SSL警報協議組成的。SSL握手協議被用來在客戶與伺服器真正傳輸應用層數據之前建立安全機制。當客戶與伺服器第一次通信時，雙方通過握手協議在版本號、密鑰交換演算法、數據加密演算法和Hash演算法上達成一致，然後互相驗證對方身份，最後使用協商好的密鑰交換演算法產生一個只有雙方知道的秘密信息，客戶和伺服器各自根據此秘密信息產生數據加密演算法和Hash演算法參數。SSL記錄協議根據SSL握手協議協商的參數，對應用層送來的數據進行加密、壓縮、計算消息鑒別碼MAC，然後經網路傳輸層發送給對方。SSL警報協議用來在客戶和伺服器之間傳遞SSL出錯信息。
（2）安全電子交易協議SET。
SET協議用於劃分與界定電子商務活動中消費者、網上商家、交易雙方銀行、信用卡組織之間的權利義務關系，給定交易信息傳送流程標准。SET主要由三個文件組成，分別是SET業務描述、SET程序員指南和SET協議描述。SET協議保證了電子商務系統的機密性、數據的完整性、身份的合法性。
SET協議是專為電子商務系統設計的。它位於應用層，其認證體系十分完善，能實現多方認證。在SET的實現中，消費者帳戶信息對商家來說是保密的。但是SET協議十分復雜，交易數據需進行多次驗證，用到多個密鑰以及多次加密解密。而且在SET協議中除消費者與商家外，還有發卡行、收單行、認證中心、支付網關等其它參與者。 信息安全工程的監理是在信息安全工程的開發采購階段和交付實施階段為業主單位提供的信息安全保障服務。主要是在項目准備階段、項目實施階段和項目驗收階段通過質量控制、進度控制、合同管理、信息管理和協調，來促使信息安全工程以科學規范的流程，在一定的成本范圍內，按時保質保量地完成，實現項目預期的信息安全目標。
信息安全工程監理的信息安全工程監理模型由三部分組成，即咨詢監理支撐要素（組織結構、設施設備、安全保障知識、質量管理）、監理咨詢階段過程和控制管理措施（「三控制、兩管理、一協調」，即質量控制、進度控制、成本控制、合同管理、信息管理和組織協調）。

『叄』 網路安全管理制度

區域網的構建

網路安全概述

網路安全的定義

什麼是計算機網路安全，盡管現在這個詞很火，但是真正對它有個正確認識的人並不多。事實上要正確定義計算機網路安全並不容易，困難在於要形成一個足夠去全面而有效的定義。通常的感覺下，安全就是"避免冒險和危險"。在計算機科學中，安全就是防止：

未授權的使用者訪問信息

未授權而試圖破壞或更改信息

這可以重述為"安全就是一個系統保護信息和系統資源相應的機密性和完整性的能力"。注意第二個定義的范圍包括系統資源，即CPU、硬碟、程序以及其他信息。

在電信行業中，網路安全的含義包括：關鍵設備的可靠性；網路結構、路由的安全性；具有網路監控、分析和自動響應的功能；確保網路安全相關的參數正常；能夠保護電信網路的公開伺服器（如撥號接入伺服器等）以及網路數據的安全性等各個方面。其關鍵是在滿足電信網路要求，不影響網路效率的同時保障其安全性。

電信行業的具體網路應用（結合典型案例）

電信整個網路在技術上定位為以光纖為主要傳輸介質，以IP為主要通信協議。所以我們在選用安防產品時必須要達到電信網路的要求。如防火牆必須滿足各種路由協議，QOS的保證、MPLS技術的實現、速率的要求、冗餘等多種要求。這些都是電信運營商應該首先考慮的問題。電信網路是提供信道的，所以IP優化尤其重要，至少包括包括如下幾個要素：

網路結構的IP優化。網路體系結構以IP為設計基礎，體現在網路層的層次化體系結構，可以減少對傳統傳輸體系的依賴。

IP路由協議的優化。

IP包轉發的優化。適合大型、高速寬頻網路和下一代網際網路的特徵，提供高速路由查找和包轉發機制。

帶寬優化。在合理的QoS控制下，最大限度的利用光纖的帶寬。

穩定性優化。最大限度的利用光傳輸在故障恢復方面快速切換的能力，快速恢復網路連接，避免路由表顫動引起的整網震盪，提供符合高速寬頻網路要求的可靠性和穩定性。

從骨幹層網路承載能力，可靠性，QoS，擴展性，網路互聯，通信協議，網管，安全，多業務支持等方面論述某省移動互聯網工程的技術要求。

骨幹層網路承載能力

骨幹網採用的高端骨幹路由器設備可提供155M POS埠。進一步，支持密集波分復用(DWDM)技術以提供更高的帶寬。網路核心與信息匯聚點的連接速率為155M連接速率，連接全部為光纖連接。

骨幹網設備的無阻塞交換容量具備足夠的能力滿足高速埠之間的無丟包線速交換。骨幹網設備的交換模塊或介面模塊應提供足夠的緩存和擁塞控制機制，避免前向擁塞時的丟包。

可靠性和自愈能力

包括鏈路冗餘、模塊冗餘、設備冗餘、路由冗餘等要求。對某省移動互聯網工程這樣的運營級寬頻IP骨幹網路來說，考慮網路的可靠性及自愈能力是必不可少的。

鏈路冗餘。在骨幹設備之間具備可靠的線路冗餘方式。建議採用負載均衡的冗餘方式，即通常情況下兩條連接均提供數據傳輸，並互為備份。充分體現採用光纖技術的優越性，不會引起業務的瞬間質量惡化，更不會引起業務的中斷。

模塊冗餘。骨幹設備的所有模塊和環境部件應具備1+1或1：N熱備份的功能，切換時間小於3秒。所有模塊具備熱插拔的功能。系統具備99.999%以上的可用性。

設備冗餘。提供由兩台或兩台以上設備組成一個虛擬設備的能力。當其中一個設備因故障停止工作時，另一台設備自動接替其工作，並且不引起其他節點的路由表重新計算，從而提高網路的穩定性。切換時間小於3秒，以保證大部分IP應用不會出現超時錯誤。

路由冗餘。網路的結構設計應提供足夠的路由冗餘功能，在上述冗餘特性仍不能解決問題，數據流應能尋找其他路徑到達目的地址。在一個足夠復雜的網路環境中，網路連接發生變化時，路由表的收斂時間應小於30秒。

擁塞控制與服務質量保障

擁塞控制和服務質量保障(QoS)是公眾服務網的重要品質。由於接入方式、接入速率、應用方式、數據性質的豐富多樣，網路的數據流量突發是不可避免的，因此，網路對擁塞的控制和對不同性質數據流的不同處理是十分重要的。

業務分類。網路設備應支持6~8種業務分類(CoS)。當用戶終端不提供業務分類信息時，網路設備應根據用戶所在網段、應用類型、流量大小等自動對業務進行分類。

接入速率控制。接入本網路的業務應遵守其接入速率承諾。超過承諾速率的數據將被丟棄或標以最低的優先順序。

隊列機制。具有先進的隊列機制進行擁塞控制，對不同等級的業務進行不同的處理，包括時延的不同和丟包率的不同。

先期擁塞控制。當網路出現真正的擁塞時，瞬間大量的丟包會引起大量TCP數據同時重發，加劇網路擁塞的程度並引起網路的不穩定。網路設備應具備先進的技術，在網路出現擁塞前就自動採取適當的措施，進行先期擁塞控制，避免瞬間大量的丟包現象。

資源預留。對非常重要的特殊應用，應可以採用保留帶寬資源的方式保證其QoS。

埠密度擴展。設備的埠密度應能滿足網路擴容時設備間互聯的需要。

網路的擴展能力

網路的擴展能力包括設備交換容量的擴展能力、埠密度的擴展能力、骨幹帶寬的擴展，以及網路規模的擴展能力。

交換容量擴展。交換容量應具備在現有基礎上繼續擴充多容量的能力，以適應數據類業務急速膨脹的現實。

骨幹帶寬擴展。骨幹帶寬應具備高的帶寬擴展能力，以適應數據類業務急速膨脹的現實。

網路規模擴展。網路體系、路由協議的規劃和設備的CPU路由處理能力，應能滿足本網路覆蓋某省移動整個地區的需求。

與其他網路的互聯

保證與中國移動互聯網，INTERNET國內國際出口的無縫連接。

通信協議的支持

以支持TCP/IP協議為主，兼支持IPX、DECNET、APPLE－TALK等協議。提供服務營運級別的網路通信軟體和網際操作系統。

支持RIP、RIPv2、OSPF、IGRP、EIGRP、ISIS等路由協議。根據本網規模的需求，必須支持OSPF路由協議。然而，由於OSPF協議非常耗費CPU和內存，而本網路未來十分龐大復雜，必須採取合理的區域劃分和路由規劃(例如網址匯總等)來保證網路的穩定性。

支持BGP4等標準的域間路由協議,保證與其他IP網路的可靠互聯。

支持MPLS標准，便於利用MPLS開展增值業務，如VPN、TE流量工程等。

網路管理與安全體系

支持整個網路系統各種網路設備的統一網路管理。

支持故障管理、記帳管理、配置管理、性能管理和安全管理五功能。

支持系統級的管理，包括系統分析、系統規劃等；支持基於策略的管理，對策略的修改能夠立即反應到所有相關設備中。

網路設備支持多級管理許可權，支持RADIUS、TACACS+等認證機制。

對網管、認證計費等網段保證足夠的安全性。

IP增值業務的支持

技術的發展和大量用戶應用需求將誘發大量的在IP網路基礎上的新業務。因此，運營商需要一個簡單、集成化的業務平台以快速生成業務。MPLS技術正是這種便於電信運營商大規模地快速開展業務的手段。

傳送時延

帶寬成本的下降使得當今新型電信服務商在進行其網路規劃時，會以系統容量作為其主要考慮的要素。但是，有一點需要提起注意的是，IP技術本身是面向非連接的技術，其最主要的特點是，在突發狀態下易於出現擁塞，因此，即使在高帶寬的網路中，也要充分考慮端到端的網路傳送時延對於那些對時延敏感的業務的影響，如根據ITU－T的標准端到端的VoIP應用要求時延小於150ms。對於應用型實際運營網路，尤其當網路負荷增大時，如何確保時延要求更為至關重要，要確保這一點的關鍵在於採用設備對於延遲的控制能力，即其延遲能力在小負荷和大量超負荷時延遲是否都控制在敏感業務的可忍受范圍內。

RAS (Reliability, Availability, Serviceability)

RAS是運營級網路必須考慮的問題，如何提供具有99.999%的業務可用性的網路是網路規劃和設計的主要考慮。在進行網路可靠性設計時，關鍵點在於網路中不能因出現單點故障而引起全網癱瘓，特別在對於象某省移動這些的全省骨幹網而言更是如此。為此，必須從單節點設備和端到端設備提供整體解決方案。Cisco7500系列路由器具有最大的單節點可靠性，包括電源冗餘備份，控制板備份，交換矩陣備份，風扇的合理設計等功能；整體上，Cisco通過提供MPLSFRR和MPLS流量工程技術，可以保證通道級的快速保護切換，從而最大程度的保證了端到端的業務可用性。

虛擬專用網(VPN)

虛擬專用網是目前獲得廣泛應用，也是目前運營商獲得利潤的一種主要方式。除了原有的基於隧道技術，如IPSec、L2TP等來構造VPN之外，Cisco還利用新型的基於標準的MPLSVPN來構造Intrane和Extranet，並可以通過MPLSVPN技術提供Carrier'sCarrier服務。這從網路的可擴展性，可操作性等方面開拓了一條新的途徑；同時，極大地簡化了網路運營程序，從而極大地降低了運營費用。另外，採用Cisco跨多個AS及多個域內協議域的技術可使某省移動可隨著其網路的不斷增長擴展其MPLSVPN業務的實施，並可與其他運營商合作實現更廣闊的業務能力。

服務質量保證

通常的Internet排隊機制如:CustomerQueue,PriorityQueue,CBWFQ,WRR,WRED等技術不能完全滿足對時延敏感業務所要求的端到端時延指標。為此，選用MDRR/WRED技術，可以為對時延敏感業務生成單獨的優先順序隊列，保證時延要求；同時還專門對基於Multicast的應用提供了專門的隊列支持，從而從真正意義上向網上實時多媒體應用邁進一步。

根據以上對電信行業的典型應用的分析，我們認為，以上各條都是運營商最關心的問題，我們在給他們做網路安全解決方案時必須要考慮到是否滿足以上要求，不影響電信網路的正常使用，可以看到電信網路對網路安全產品的要求是非常高的。

網路安全風險分析

瞄準網路存在的安全漏洞，黑客們所製造的各類新型的風險將會不斷產生，這些風險由多種因素引起，與網路系統結構和系統的應用等因素密切相關。下面從物理安全、網路安全、系統安全、應用安全及管理安全進行分類描述：

1、物理安全風險分析

我們認為網路物理安全是整個網路系統安全的前提。物理安全的風險主要有：

地震、水災、火災等環境事故造成整個系統毀滅

電源故障造成設備斷電以至操作系統引導失敗或資料庫信息丟失

電磁輻射可能造成數據信息被竊取或偷閱

不能保證幾個不同機密程度網路的物理隔離

2、網路安全風險分析

內部網路與外部網路間如果在沒有採取一定的安全防護措施，內部網路容易遭到來自外網的攻擊。包括來自internet上的風險和下級單位的風險。

內部局網不同部門或用戶之間如果沒有採用相應一些訪問控制，也可能造成信息泄漏或非法攻擊。據調查統計，已發生的網路安全事件中，70%的攻擊是來自內部。因此內部網的安全風險更嚴重。內部員工對自身企業網路結構、應用比較熟悉，自已攻擊或泄露重要信息內外勾結，都將可能成為導致系統受攻擊的最致命安全威脅。

3、系統的安全風險分析

所謂系統安全通常是指網路操作系統、應用系統的安全。目前的操作系統或應用系統無論是Windows還是其它任何商用UNIX操作系統以及其它廠商開發的應用系統，其開發廠商必然有其Back-Door。而且系統本身必定存在安全漏洞。這些"後門"或安全漏洞都將存在重大安全隱患。因此應正確估價自己的網路風險並根據自己的網路風險大小作出相應的安全解決方案。

4、應用的安全風險分析

應用系統的安全涉及很多方面。應用系統是動態的、不斷變化的。應用的安全性也是動態的。比如新增了一個新的應用程序，肯定會出現新的安全漏洞，必須在安全策略上做一些調整，不斷完善。

4.1 公開伺服器應用

電信省中心負責全省的匯接、網路管理、業務管理和信息服務，所以設備較多包括全省用戶管理、計費伺服器、認證伺服器、安全伺服器、網管伺服器、DNS伺服器等公開伺服器對外網提供瀏覽、查錄、下載等服務。既然外部用戶可以正常訪問這些公開伺服器，如果沒有採取一些訪問控制，惡意入侵者就可能利用這些公開伺服器存在的安全漏洞（開放的其它協議、埠號等）控制這些伺服器，甚至利用公開伺服器網路作橋梁入侵到內部區域網，盜取或破壞重要信息。這些伺服器上記錄的數據都是非常重要的，完成計費、認證等功能，他們的安全性應得到100%的保證。

4.2 病毒傳播

網路是病毒傳播的最好、最快的途徑之一。病毒程序可以通過網上下載、電子郵件、使用盜版光碟或軟盤、人為投放等傳播途徑潛入內部網。網路中一旦有一台主機受病毒感染，則病毒程序就完全可能在極短的時間內迅速擴散，傳播到網路上的所有主機，有些病毒會在你的系統中自動打包一些文件自動從發件箱中發出。可能造成信息泄漏、文件丟失、機器死機等不安全因素。

4.3信息存儲

由於天災或其它意外事故，資料庫伺服器造到破壞，如果沒有採用相應的安全備份與恢復系統，則可能造成數據丟失後果，至少可能造成長時間的中斷服務。

4.4 管理的安全風險分析

管理是網路中安全最最重要的部分。責權不明，安全管理制度不健全及缺乏可操作性等都可能引起管理安全的風險。

比如一些員工或管理員隨便讓一些非本地員工甚至外來人員進入機房重地，或者員工有意無意泄漏他們所知道的一些重要信息，而管理上卻沒有相應制度來約束。當網路出現攻擊行為或網路受到其它一些安全威脅時（如內部人員的違規操作等），無法進行實時的檢測、監控、報告與預警。同時，當事故發生後，也無法提供黑客攻擊行為的追蹤線索及破案依據，即缺乏對網路的可控性與可審查性。這就要求我們必須對站點的訪問活動進行多層次的記錄，及時發現非法入侵行為。

建立全新網路安全機制，必須深刻理解網路並能提供直接的解決方案，因此，最可行的做法是管理制度和技術解決方案的結合。

安全需求分析

1、物理安全需求

針對重要信息可能通過電磁輻射或線路干擾等泄漏。需要對存放絕密信息的機房進行必要的設計，如構建屏蔽室。採用輻射干擾機，防止電磁輻射泄漏機密信息。對存有重要資料庫且有實時性服務要求的伺服器必須採用UPS不間斷穩壓電源，且資料庫伺服器採用雙機熱備份，數據遷移等方式保證資料庫伺服器實時對外部用戶提供服務並且能快速恢復。

2、系統安全需求

對於操作系統的安全防範可以採取如下策略：盡量採用安全性較高的網路操作系統並進行必要的安全配置、關閉一些起不常用卻存在安全隱患的應用、對一些關鍵文件（如UNIX下：/.rhost、etc/host、passwd、shadow、group等）使用許可權進行嚴格限制、加強口令字的使用、及時給系統打補丁、系統內部的相互調用不對外公開。

應用系統安全上，主要考慮身份鑒別和審計跟蹤記錄。這必須加強登錄過程的身份認證，通過設置復雜些的口令，確保用戶使用的合法性；其次應該嚴格限制登錄者的操作許可權，將其完成的操作限制在最小的范圍內。充分利用操作系統和應用系統本身的日誌功能，對用戶所訪問的信息做記錄，為事後審查提供依據。我們認為採用的入侵檢測系統可以對進出網路的所有訪問進行很好的監測、響應並作記錄。

3、防火牆需求

防火牆是網路安全最基本、最經濟、最有效的手段之一。防火牆可以實現內部、外部網或不同信任域網路之間的隔離，達到有效的控制對網路訪問的作用。

3.1省中心與各下級機構的隔離與訪問控制

防火牆可以做到網路間的單向訪問需求，過濾一些不安全服務；

防火牆可以針對協議、埠號、時間、流量等條件實現安全的訪問控制。

防火牆具有很強的記錄日誌的功能，可以對您所要求的策略來記錄所有不安全的訪問行為。

3.2公開伺服器與內部其它子網的隔離與訪問控制

利用防火牆可以做到單向訪問控制的功能，僅允許內部網用戶及合法外部用戶可以通過防火牆來訪問公開伺服器，而公開伺服器不可以主動發起對內部網路的訪問，這樣，假如公開伺服器造受攻擊，內部網由於有防火牆的保護，依然是安全的。

4、加密需求

目前，網路運營商所開展的VPN業務類型一般有以下三種：

1．撥號VPN業務（VPDN）2．專線VPN業務3．MPLS的VPN業務

移動互連網路VPN業務應能為用戶提供撥號VPN、專線VPN服務，並應考慮MPLSVPN業務的支持與實現。

VPN業務一般由以下幾部分組成：

（1）業務承載網路（2）業務管理中心（3）接入系統（4）用戶系統

我們認為實現電信級的加密傳輸功能用支持VPN的路由設備實現是現階段最可行的辦法。

5、安全評估系統需求

網路系統存在安全漏洞（如安全配置不嚴密等）、操作系統安全漏洞等是黑客等入侵者攻擊屢屢得手的重要因素。並且，隨著網路的升級或新增應用服務，網路或許會出現新的安全漏洞。因此必需配備網路安全掃描系統和系統安全掃描系統檢測網路中存在的安全漏洞，並且要經常使用，對掃描結果進行分析審計，及時採取相應的措施填補系統漏洞，對網路設備等存在的不安全配置重新進行安全配置。

6、入侵檢測系統需求

在許多人看來，有了防火牆，網路就安全了，就可以高枕無憂了。其實，這是一種錯誤的認識，防火牆是實現網路安全最基本、最經濟、最有效的措施之一。防火牆可以對所有的訪問進行嚴格控制（允許、禁止、報警）。但它是靜態的，而網路安全是動態的、整體的，黑客的攻擊方法有無數，防火牆不是萬能的，不可能完全防止這些有意或無意的攻擊。必須配備入侵檢測系統，對透過防火牆的攻擊進行檢測並做相應反應（記錄、報警、阻斷）。入侵檢測系統和防火牆配合使用，這樣可以實現多重防護，構成一個整體的、完善的網路安全保護系統。

7、防病毒系統需求

針對防病毒危害性極大並且傳播極為迅速，必須配備從伺服器到單機的整套防病毒軟體，防止病毒入侵主機並擴散到全網，實現全網的病毒安全防護。並且由於新病毒的出現比較快，所以要求防病毒系統的病毒代碼庫的更新周期必須比較短。

8、數據備份系統

安全不是絕對的，沒有哪種產品的可以做到百分之百的安全，但我們的許多數據需要絕對的保護。最安全的、最保險的方法是對重要數據信息進行安全備份，通過網路備份與災難恢復系統進行定時自動備份數據信息到本地或遠程的磁帶上，並把磁帶與機房隔離保存於安全位置。如果遇到系統來重受損時，可以利用災難恢復系統進行快速恢復。

9、安全管理體制需求

安全體系的建立和維護需要有良好的管理制度和很高的安全意識來保障。安全意識可以通過安全常識培訓來提高，行為的約束只能通過嚴格的管理體制，並利用法律手段來實現。因些必須在電信部門系統內根據自身的應用與安全需求，制定安全管理制度並嚴格按執行，並通過安全知識及法律常識的培訓，加強整體員工的自身安全意識及防範外部入侵的安全技術。

安全目標

通過以上對網路安全風險分析及需求分析，再根據需求配備相應安全設備，採用上述方案，我們認為一個電信網路應該達到如下的安全目標：

建立一套完整可行的網路安全與網路管理策略並加強培訓，提高整體人員的安全意識及反黑技術。

利用防火牆實現內外網或不信任域之間的隔離與訪問控制並作日誌；

通過防火牆的一次性口令認證機制，實現遠程用戶對內部網訪問的細粒度訪問控制；

通過入侵檢測系統全面監視進出網路的所有訪問行為，及時發現和拒絕不安全的操作和黑客攻擊行為並對攻擊行為作日誌；

通過網路及系統的安全掃描系統檢測網路安全漏洞，減少可能被黑客利用的不安全因素；

利用全網的防病毒系統軟體，保證網路和主機不被病毒的侵害；

備份與災難恢復---強化系統備份，實現系統快速恢復；

通過安全服務提高整個網路系統的安全性。

『肆』 中心機房的網路中心機房管理制度是什麼樣的

網路管理中心設備與信息的安全，保障網路管理中心有良好的運行和工作環境，作如下規定：

『伍』 當一名網路管理員應具備哪些知識

網路基礎設施
管理、
網路操作系統
管理、網路應用系統管理、網路
用戶管理
、網路安全
保密管理
、
信息存儲
備份管理和
網路機房
管理。

『陸』 等級保護中的安全區域邊界

法律分析：等級保護安全區域邊界是對定級系統的安全計算環境邊界，以及安全計算環境與安全通信網路之間實現連接並實施安全策略的相關部件。安全區域邊界secure area boundary，按照保護能力劃分為第一級安全區域邊界、第二級安全區域邊界、第三級安全區域邊界、第四級安全區域邊界和第五級安全區域邊界。

第一級安全區域邊界從以下方面進行安全設計:

a)區域邊界包過濾

可根據區域邊界安全控制策略，通過檢查數據包的源地址、目的地址、傳輸層協議和請求的服務等，確定是否允許該數據包通過該區域邊界。

b) 區域邊界惡意代碼防範

可在安全區域邊界設置防惡意代碼軟體，並定期進行升級和更新，以防止惡意代碼入侵。

第二級安全區域邊界從以下方面進行安全設計:

a)區域邊界包過濾

應根據區域邊界安全控制策略，通過檢查數據包的源地址、目的地址、傳輸層協議和

請求的服務等，確定是否允許該數據包通過該區域邊界。

b) 區域邊界安全審計

應在安全區域邊界設置審計機制，並由安全管理中心統一管理。

c)區域邊界惡意代碼防範

應在安全區域邊界設置防惡意代碼網關，由安全管理中心管理。

d) 區域邊界完整性保護

應在區域邊界設置探測器，探測非法外聯等行為，並及時報告安全管理中心。

第三級安全區域邊界從以下方面進行安全設計:

a) 區域邊界訪問控制

應在安全區域邊界設置自主和強制訪問控制機制，實施相應的訪問控制策略，對進出安全區域邊界的數據信息進行控制，阻止非授權訪問。

b) 區域邊界包過濾

應根據區域邊界安全控制策略，通過檢查數據包的源地址、目的地址、傳輸層協議、請求的服務等，確定是否允許該數據包進出該區域邊界。

c)區域邊界安全審計

應在安全區域邊界設置審計機制，由安全管理中心集中管理，並對確認的違規行為及時報警。

d) 區域邊界完整性保護

應在區域邊界設置探測器，例如外接探測軟體，探測非法外聯和入侵行為，並及時報告安全管理中心。

第四級安全區域邊界從以下方面進行安全設計:

a)區域邊界訪問控制

應在安全區域邊界設置自主和強制訪問控制機制，實施相應的訪問控制策略，對進出安全區域邊界的數據信息進行控制，阻止非授權訪問。

b) 區域邊界包過濾

應根據區域邊界安全控制策略，通過檢查數據包的源地址、目的地址、傳輸層協議、請求的服務等，確定是否允許該數據包進出受保護的區域邊界。

c)區域邊界安全審計

應在安全區域邊界設置審計機制，通過安全管理中心集中管理，對確認的違規行為及時報警並做出相應處置。

d) 區域邊界完整性保護

應在區域邊界設置探測器，例如外接探測軟體，探測非法外聯和入侵行為，並及時報告安全管理中心。

法律依據：《中華人民共和國網路安全法》 第二十一條 國家實行網路安全等級保護制度。網路運營者應當按照網路安全等級保護制度的要求，履行下列安全保護義務，保障網路免受干擾、破壞或者未經授權的訪問，防止網路數據泄露或者被竊取、篡改:(一)制定內部安全管理制度和操作規程，確定網路安全負責人，落實網路安全保護責任;(二)採取防範計算機病毒和網路攻擊、網路侵入等危害網路安全行為的技術措施;(三)採取監測、記錄網路運行狀態、網路安全事件的技術措施，並按照規定留存相關的網路日誌不少於六個月;(四)採取數據分類、重要數據備份和加密等措施;(五)法律、行政法規規定的其他義務。

『柒』 網路管理員應當具備的素質

希賽小編為您解答：
一個成功網路管理員必備的「硬體」素質
隨著計算機與IT技術的迅速發展，計算機網路已經成為一個非常熱門的話題，幾乎與企業的每一個員工都息息相關.
從企業區域網(包括有線和無線)的規劃、組建、運行和升級維護，到企業網站(包括web、ftp以及Email等服務)的發布運行; 從網路安全的管理到資料庫管理、存儲管理以及網路和人員管理等制度建立;從網路設備到伺服器、工作站(PC機)的運行管理;從網線的製作到操作系統(伺服器和PC機)的安裝等工作，也許都和我們網管員的工作相關聯。
因此網管員(網路管理員)工作任務:全面管理網路是網路高效運行的前提和保障，管理的對象不僅指網路鏈路的暢通，伺服器的正常運行等硬體因素，更包括網路應用、數據流轉等軟體因素。
網路管理者必須時刻關注本企業的網路運行，關心企業對網路的應用，讓網路能夠隨時滿足企業的需求，跟上並且引導企業的發展。下面我們就和大家一起探討成功網管員必備「硬體」素質。
作為網路管理員，需要親自動手的時候非常多。不僅要親自搭建網路和網路服務，而且還必須對交換機和路由器進行設置。雖然布線工程通常都是由網路公司實施，但往往由於新增設備或網路拓撲結果發生變化，而需要做一些網線跳線、壓制一些模塊，甚至做一些簡單的綜合布線。
另外，計算機硬體和網路設備的升級(比如增加硬碟、內存和CPU等)也往往需要管理員親自動手。而安裝操作系統、應用軟體和硬體驅動程序等工作更是網路管理員的必修課。所以，網路管理員必須擁有一雙靈巧的手，具備很強的動手能力。
網路管理員必須具有非常敏銳的觀察能力，特別是在調試程序或發生軟硬體故障時。出錯信息、計算機的鳴叫、指示燈的閃爍狀態和顯示顏色等，都會從一個側面提示可能導致故障的原因。對故障現象觀察得越細致。越全面，排除故障的機會也就越大。另外，通過及時觀察，還可以及時排除潛在的網路隱患。
網路管理員幾乎每日都要接觸網路設備和伺服器等硬體，因此成功網管員除了具有一定的自學能力，更新自身知識結構外，還需要掌握有關網路的硬體知識。下面列出了常用的硬體方面的知識內容。
1、伺服器與工作站
伺服器是網路的中樞和信息化的核心，伺服器是一種高性能的計算機，它的構成諸如有CPU(中央處理器)、內存、硬碟、各種匯流排等等，能夠提供各種共享服務(網路、Web應用、資料庫、文件、列印等)以及其他方面的高性能應用,它的高性能主要體現在高速度的運算能力、長時間的可靠運行、強大的外部數據吞吐能力等方面。
目前國外的伺服器有IBM、HP、SUN和DELL等品牌，國內的伺服器有浪潮、聯想、曙光等品牌。
工作站，英文名稱為Workstation，是一種以個人計算機和分布式網路計算為基礎，主要面向專業應用領域。工作站根據軟、硬體平台的不同，一般分為基於RISC(精簡指令系統)架構的UNIX系統工作站和基於Windows、Intel的PC工作站。
UNIX工作站是一種高性能的專業工作站，具有強大的處理器(以前多採用RISC晶元)和優化的內存、I/O(輸入/輸出)、圖形子系統，使用專有的處理器(Alpha、MIPS、Power等)、內存以及圖形等硬體系統，專有的UNIX操作系統，針對特定硬體平台的應用軟體，彼此互不兼容。
PC工作站則是基於高性能的X86處理器之上，使用穩定的Windows NT及Windows2000、WINDOWS XP等操作系統，採用符合專業圖形標准(OpenGL)的圖形系統，再加上高性能的存儲、I/O(輸入/輸出)、網路等子系統，來滿足專業軟體運行的要求。以Windows 2000/XP/NT為架構的工作站採用的是標准、開放的系統平台，能最大程度的降低擁有成本。
目前，許多廠商都推出了適合不同用戶群體的工作站，比如IBM、DELL(戴爾)、HP(惠普)等。
伺服器和工作站系統的安裝、配置、運行與維護，也是成功網管員必須要具備的重要素質之一。
2、路由器
路由器是網路中進行網間連接的關鍵設備，作為不同網路之間互相連接的樞紐，路由器系統構成了基於TCP/IP的國際互聯網Internet的主體節點，也可以說，路由器構建了Internet的骨架，它的處理速度和可靠性則直接影響著網路互連的質量。
配置路由器有兩種方法:一是通過路由器的配置埠，利用微機或終端來配置，二是利用網路通過Telnet命令來配置。不過，要採用第二種方法的前提是用戶已經正確配置了路由器各介面的IP地址;所以第一種方法更具有通用性。
目前，生產路由器的廠商，國外主要有CISCO(思科)公司、北電網路等，國內廠商包括華為等。作為網管員來說，必須要能掌握各廠家路由器安裝與調試，這是成功網管員必須要具備的素質之一。
3、交換機與集線器(HUB)
交換機的英文名稱之為「Switch」，它是集線器的升級換代產品，從外觀上來看，它與集線器基本上沒有多大區別，都是帶有多個埠的長方體。交換機是按照通信兩端傳輸信息的需要，用人工或設備自動完成的方法把要傳輸的信息送到符合要求的相應路由上的技術統稱。
交換機的主要功能包括物理編址、網路拓撲結構、錯誤校驗、幀序列以及流量控制。目前一些高檔交換機還具備了一些新的功能，如對VLAN (虛擬區域網)的支持、對鏈路匯聚的支持，甚至有的還具有路由和防火牆的功能。
交換機是一種基於MAC地址識別，能完成封裝轉發數據包功能的網路設備。目前，主流的交換機廠商以國外的CISCO(思科)、3COM、安奈特為代表，國內主要有華為、D-LINK等。
集線器的英文稱為「Hub」，集線器的主要功能是對接收到的信號進行再生整形放大，以擴大網路的傳輸距離，同時把所有節點集中在以它為中心的節點上。集線器屬於純硬體網路底層設備，基本上不具有類似於交換機的"智能記憶"能力和"學習"能力。它也不具備交換機所具有的MAC地址表，所以它發送數據時都是沒有針對性的，而是採用廣播方式發送。
掌握交換機的安裝與配置，以及交換機故障日常處理方法，也是成功網管員必須要具備的素質之一。
4、防火牆與入侵檢測系統(IDS)
防火牆的英文名為「FireWall」，它是目前一種最重要的網路防護設備。從專業角度講，防火牆是位於兩個(或多個)網路間，實施網路之間訪問控制的一組組件集合。防火牆可以使企業內部區域網(LAN)網路與Internet之間或者與其他外部網路互相隔離、限制網路互訪用來保護內部網路。
目前國內的防火牆幾乎被國外的品牌占據了一半的市場，國外品牌的優勢主要是在技術和知名度上比國內產品高。而國內防火牆廠商對國內用戶了解更加透徹，價格上也更具有優勢。
防火牆產品中，國外主流廠商為思科(Cisco)、CheckPoint、 NetScreen等，國內主流廠商為東軟、天融信、聯想、方正等，它們都提供不同級別的防火牆產品。
入侵檢測系統(IDS，Intrusion Detection Systems)。專業上講就是依照一定的安全策略，對網路、系統的運行狀況進行監視，盡可能發現各種攻擊企圖、攻擊行為或者攻擊結果，以保證網路系統資源的機密性、完整性和可用性。
在本質上，入侵檢測系統是一個典型的"窺探設備"。它不跨接多個物理網段(通常只有一個監聽埠)，無須轉發任何流量，而只需要在網路上被動的、無聲息的收集它所關心的報文即可。
作為網路安全的重要組成部分，防火牆和IDS是我們日常使用最多的安全設備，因此掌握防火牆和IDS的安裝、配置和應用是成功網管員必須要具備的素質之一。
5、其他硬體設備
在綜合布線設備中，除了最為主要的傳輸介質，如雙絞線和光纖線纜等以外，還有很多的布線設備在使用。常用的有RJ45插頭、信息插座、配線架、光纖連接器、剝線鉗、打線鉗、網線鉗、網線模塊以及測線儀器等，網管員必須學會熟練操作使用。
在網路存儲中，磁碟陣列是一種把若干硬磁碟驅動器按照一定要求組成一個整體，整個磁碟陣列由陣列控制器管理的系統。磁帶庫是像自動載入磁帶機一樣的基於磁帶的備份系統，磁帶庫由多個驅動器、多個槽、機械手臂組成，並可由機械手臂自動實現磁帶的拆卸和裝填。
它能夠提供同樣的基本自動備份和數據恢復功能，但同時具有更先進的技術特點。掌握網路存儲設備的安裝、操作使用也是網管員必須要學會的。
在架構無線區域網時，對無線路由器、無線網路橋接器AP、無線網卡、天線等無線區域網產品進行安裝、調試和應用操作。
總之，作為一個成功網管員必須對各種網路設備都要有一定的了解，在具體對待每一個網路產品的使用則要認真仔細，在一定的網路環境中確保設備的正常穩定運行，因此經過努力學習，善於實踐，勤於總結，網管員必須要有「廣」而「專」的素質，只有這樣才能一個真正成功網管員。
滿意請採納。

『捌』 做為網路管理員需要掌握那些東西

網管應該會和應該學習的東西

網管主要分為網吧網管和公司網管，而不同類型的網管其在技術上的要求也不盡相同，而且相差很大，那要成為一名網管需要學會哪些技術呢，下面就一起來看看吧！
一、 dos命令[只列出我們工作中可能要用到的]
1、cd 顯示當前目錄名或改變當前目錄。
2、dir 顯示目錄中的文件和子目錄列表。
3、md 創建目錄。
4、del 刪除一或數個文件。
5、chkdsk 檢查磁碟並顯示狀態報告。
6、cacls 顯示或者修改文件的訪問控製表(ACL)
7、 將一份或多份文件復制到另一個位置。
8、date 修改日期
9、format 格式化磁碟
10、type 顯示文本文件的內容。
11、move 移動文件並重命名文件和目錄。
12、expand 展開一個或多個壓縮文件。
13、ren 重命名文件。
14、attrib 顯示或更改文件屬性。
15、time 顯示或設置系統時間。
16、at at命令安排在特定日期和時間運行命令和程序。要使用 AT 命令，計劃服務必須已在運行中。
17、net [user],[time],[use] 多，自己去查
18、netstat 顯示協議統計和當前tcp/ip連接
19、nbtstat 基於NBT（net bios over tcp/ip）的協議統計和當前tcp/ip連接
20、route 操作和查看網路路由表
21、ping 就不說了，大家都熟悉吧
22、nslookup 域名查找
23、edit 命令行下的文本編輯器
24、netsh強大的命令行下修改tcp/ip配置的工具
25、fdisk 相信現在用的人比較少了，不過在沒有其他工具的情況，他還是有用的
以上只是列出，具體用法限於篇幅就不寫了，各位都知道怎麼得到幫助文檔。
二、 清除cmos密碼方法
1、 直接取下主板上的cmos供電電池
2、 短接bios設置跳線，具體要查看各主板說明書
3、 Debug，下面詳細列出命令，換行表示回車
C:/>DEBUG
-o 70 10
-o 71 10
-q
4、下載一個cmos密碼查看器
三、基於NT的系統管理員密碼忘記後的處理方法
1、如果是裝在fat32分區上，直接啟動到dos下，刪除%systemroot%/system32/config/下的SAM文件
2、如果是裝在ntfs分區上，需要一個在dos下支持讀寫ntfs分區的軟體[例如ntfspro]，做法就和上面的一樣
3、如果裝有雙系統，從另一系統進去，刪除sam文件[這里又涉及到是否是ntfs，是否另一系統支持ntfs的問題]
4、把硬碟掛接到另一機器上，刪除sam文件
5、去一個ERD Commander ，該軟體有一個功能就是修改nt/2000/xp的用戶密碼，包括管理員密碼。要想用他，你必須把他刻錄到光碟上，從光碟啟動進行修改。
四、網路
1、網線的製作，網線，水晶頭質量的辨別。
在一個網內，網線製作一定按照一個標准統一製作，一般按照EIA/TIA568 A或EIA/TIA568 B製作。按照一個標准製作的網線，在正式投入使用後，網路出現問題的幾率就會很少。
網線質量辨別之我見：網線摸上去比較軟、用火燒不會立即燃燒，只是慢慢熔化、包皮上的文字清晰可見，正品的cat5或cat5e字樣是小寫、撥開包皮，裡面的白線不是純白色，而是有花紋的；水晶頭正品的價格一般比較貴，翹起那一部分用手壓他，應該感覺比較軟，容易壓下去，銅片應該不會輕易被腐蝕，出現斑點。
2、熟悉98/nt/2000/xp/2003/linux/unix的網路配置
3、熟悉你的區域網的拓撲結構，走線情況，在hub/交換機/路由器的每個介面上接的網線上標明對應的去處，在某個節點出現問題的時候，以及診斷網路故障很重要，本來這個應該是網路步線時就應該做的，但是很多時候還是得靠我們自己來做。
4、懂得網路測試，熟練使用網路測試儀。了解網路運行情況，這個可以從網關或路由器上著手。熟練運用sniffer/iris等協議分析工具。
5、對各種網路故障的現象有應銘記於心，以及各種解決方法。
6、會封鎖ip/mac/埠，限制上網，以及限制下載速度等等。
7、對你管理的各個網路設備的性能、參數、生產商都要非常熟悉。
8、熟悉dos網路命令[ping ,route,net,netstat,nbtstat,netsh,net send,nslookpup,traceroute,]
9、熟悉子網劃分和子網掩碼的計算
10、熟練配置各種vlan
11、讀懂了tcp/ip協議，沒有理論的指導，實踐就要碰很多釘子
五、病毒知識、黑客知識[對於這兩方面的知識而言，可能很多人都只是徘徊在門口]
1、病毒其實就是程序代碼的集合，沒什麼可怕的，只要我們懂得他的原理，工作方式，感染方式，後果，那麼我就自然懂得了怎麼去防範他，擊破他了。對於文件型病毒---一般感染exe文件，他是把自身插到exe文件里去，這里就需要有掌握一些pe文件格式方面的知識了，如果是插入到空隙里，那麼插入後文件大小是不會變大，如果插入到文件末尾，那麼就要變大。文件型病毒防範措施：（1）經常升級殺毒軟體，使用最新的殺毒軟體進行查殺；（2）對不明郵件中的附件要特別小心；（3）使用外來介質所帶的文件要用殺毒軟體進行查殺；（4）如果發現一些不明症狀，如可執行文件大小改變。馬上給反病毒軟體公司發郵件，把樣本發過去。對於電子郵件病毒—專門以電子郵件為主要傳染渠道的病毒，該病毒實際上是與文件型病毒相結合的產物，將代碼直接插入到郵件體和附件里，代碼多是用vbs、js等腳本語言編寫。通常打開附件有個詢問的步驟，但病毒作者卻利用了郵件收發程序（如outlook express）的漏洞，使你一單擊附件或者只要把滑鼠移動到上面就執行病毒程序了，象iloveyou、梅莉莎等病毒就是如此。通常情況下，ie是這樣處理郵件附件的，從MIME所指定的文件類型判斷，如果附件是文本文件，ie會讀它；如果是video clip，ie就查看它；如果附件是圖形文件，ie就顯示它；但是，如果附件是一個exe的可執行文件，ie會提示你是否執行，在獲得你的允許後再執行它，要是遭到拒絕，變放棄，入侵者變在「提示」這一步入手，實
際上，ie的提示全是靠MIME頭所指定的類型來判斷的。當入侵者將一個exe的附件經過base64編碼後，在構造MIME頭的時候，在content-type一項里指定為別的類型的文件，如寫上audio/x-wav，就可以命令ie將該文件以音頻文件嘗試打開，這樣ie就認為是合法的文件私自運行了，不再詢問你要不要執行。防範電子郵件病毒方法：（1）系統設置防範方法---更改腳本文件的打開方式；（2）刪除WScript組件，全面禁止腳本的運行，但是一些用vb,java腳本編寫的網頁特效就再也看不到了；（3）給注冊表加鎖；（4）顯示所有文件的擴展名；（5）阻止病毒自我復制。很多病毒要實現自我復制，都要先建立一個文件系統對象，因此，禁止了FileSystemObject這個對象就可以阻止這種類型的病毒傳播了。禁止方法---運行regsvr32 scrrun.dll/u。（6）認為意識的防範---安裝實時病毒防火牆/升級ie最新版本/不使用outlook/妥善處理附件。
2、對黑客知識的了解就相當多了，什麼木馬，漏洞攻擊，加密解密、緩沖區溢出，DoS/DDoS、sniffer或許一個人的精力有限，但是你至少應該對一般的黑客知識有個了解。
六、操作系統和伺服器
1、作為一個網管，你應該多各種各樣的操作系統都熟悉，唯一解決辦法就是在你的機器上安裝多個系統來學習。一般情況下，要熟悉安裝windows系列；如果你還想進一步了解其他操作系統，根據我個人經驗，你可選擇red hat/mandrake/free bsd[unix]，甚至有機會接觸商用的unix系統是最好的了，比如ibm aix /sco unix/hp ux等等，不過這個過程是很漫長的。
2、對於伺服器，這里指伺服器硬體和伺服器軟體。伺服器和伺服器軟體是我們管理的對象，每天我們都要面對它們，你應該對硬體比較熟悉，至少你每天玩的伺服器應該熟悉，主板、晶元組、cpu、內存，磁碟等都要從技術角度去熟悉它們。伺服器軟體一般來說需要掌握iis、apache、tomcat、websphere、.net、各種資料庫、各種ftp伺服器軟體、郵件伺服器軟體的安裝、配置、故障處理。哎，基本上每一樣都可以寫一本書。
七、數據管理、安全管理
1、公司信息化後，什麼最重要，數據，所以即使IT總管沒叫你寫數據管理制度，你也要主動寫出來。包括日常數據的存取、數據實時備份，定期備份，備份方式都寫清楚。並每天檢查是否正確地在執行。可能這個是中國人的劣根性吧，制度好，可執行就是那麼難。
2、說到安全，也許很多人都知道安全重要，但實際沒做到安全生產。我想這個與一個人的安全意識和計算機水平有關系，一個人想做到安全，但是他無法從技術大會實現，那麼我們就應該出現了，一個企業應該有相關的培訓。
Ps:不管是數據管理還是安全方面的管理，都涉及到了管理，這個管理不僅僅是我們網管的工作了，應該是一個團體的事情，領導層應該足夠重視這些方面的工作。
最後，希望我們的工作得到上司的贊同，並重視我們這一個群體，因為我們確實很重要。

-----------------------------------
成為高級網路管理員必學知識
負責網路的安裝、維護和故障檢修等工作，使網路正常運行的一名或多名專業人員稱為網路管理員。
在《中華人民共和國計算機信息網路國際聯網管理暫行規定實施辦法》中規定了網路管理員的管理原則、管理手段、管理職責及應遵守的相關法律法規。網路管理員應熟悉被管理網路的類型、功能、拓撲結構、所處的地理環璋、通信設備的性能和能力軟體系統的種類和版本，資料庫管理系統的數據結構、數據流量和數據處理流程等。在網路系統工程建設後，網路管理員應負責網路的擴展、服務、維護、優化及幫障檢修等日常管理工作。

國際標准化組織(ISO)只定義了網路管理的五項功能，而對於每個實際網路的管理模式，由於各個網路的實際情況不同，很難確定每個網路應該採用的標准管理模式。但隨著實際網路管理經驗的逐步積累，人們逐漸從大量的實踐中總結出其不一套行之有效的網路管理模式。

網路伺服器的管理

配置和管理伺服器屬性，安裝和設置TCP/IP協議和遠程訪問服務協議，安裝和管理DNS伺服器，安裝和配置網際命名伺服器WINS。安裝許可證伺服器，為終端服務客戶頒發許可證，管理本地和遠程式終端。

對伺服器上的信息不斷地進行充實與更新，更新WWW頁面信息、向資料庫伺服器注入新的數據、管理郵件伺服器的用戶信箱等。

網路用戶的管理

網路管理員在保證網路安全可靠運行的前提條件下，根據單位人員的工作職權和人員變動情況，為每個用戶設置賬戶、密碼和分配不同的網路訪問許可權，設置對Web內容的訪問許可權等。

單位的主管領導擁有「至高無上」的許可權，可以對任何網路服務進行任何操作，享有各種業務數據的訪問許可權，還要保證機密數據的安全。單位的各部門人員擁有同種許可權，可以設置用戶組，享有與他們所承擔工作相應的許可權並能執行與他們工作相關的任務。單位的所有員工都WWW、FTP、E-mail和某些資料庫資源進行瀏覽、查詢和下載，使用列印機進行文件列印的基本許可權。

限制Web 伺服器可登錄的賬號數量，及時注銷過期用戶和已掛斷的撥號用戶，關閉不用的網路服務等。

網路文件和目錄的管理

首先要依據網路操作系統選擇相應的文件系統。Window NT平台有FAT(文件分配表)和NTFS文件系統，NTFS是Windows NT提供的高性能、高可靠性和高安全性的網路文件系統。

設置目錄和文件的共享許可權和安全性許可權，導出需共享的目錄，建立邏輯驅動器與共享目錄的連接。

檢查文件系統的安全，定期地搜索系統信息並與主檢查表進行比較，查找所有未授權用戶隨意修改的文件，並且應該確保在被修改之後能夠恢復文件系統。

防止數據丟失和數據修復，網路數據備份和建立數據鏡像站點(將數據完全地復制到另一台計算機上)，數據文件重定向恢復和對敏感數據的加密管理等。

網路列印機的配置和管理

創建網路列印機伺服器，設置網路列印機的策略、共享屬性和安全規則。

IP地址的管理

IP地址管理是計算機網路能夠保持高效運行的關鍵。如果IP地管理不當，網路很容易出現IP地址沖突，就會導致合法的IP地址用戶不能正常享用網路資源，影響網路正常業務的開展。

目前中小型計算機網路中大多數採用C類地址，每個IP子網可以擁有200台計算機或網路設備，待日後計算機網路擴展。IP地址的分配一般有三種途徑：

一是給網路設備分配特定的IP地址。對於伺服器、經常上網的計算機和網路設備一般給予一個固定的IP地址。

二是對某些計算機的IP地址進行動態分配，對於那些不經常上網或是移動性較強的計算機，可以採用動態主機配置協議(DHCP)來動態配置IP地址，以節約IP地址資源，也便於網路管理員對這些網路設備的管理。

三是對一些工作站的訪問分配公用IP地址。當一個工作站需要對網路進行訪問時，集中式IP管理軟體為它為配一個IP地址：當工作站完成對網路的訪問後，收回分配給工作站的IP地址，這個IP地址成為公用的IP地址。

網路安全管理

網路管理員導出監視配置，設置圖表視圖選項、系統管理報警選項、事件日誌類型。建立審核策略，監視網路活動、網路流量和網路服務。進行幫障的分主測試，分析網路幫障發生概率，嚴格管理防火牆賬號和口令，堵塞入侵者的功擊路徑，應會入侵者功擊等。

網路布線的日常維護

根據員工的調動與工作需要在網路上增加新的伺服器、工作站和聯網設備，替換被損壞的線纜或排除網路線纜接頭幫障等，都需要對網路布線系統進行維護。

(1)建立網路布線基準文檔。在線纜系統安裝後，網路管理員使用電纜測試儀對線纜進行周期性檢測，確保布線系統的質量。在評估認證後，將電纜測試儀存儲的測試結果復制到計算機上並列印出來，作為網路布線基準文檔。

(2)網路布線故障的測試與定位。將網路布線系統分割為若干個邏輯元素，每個邏輯元素包含一段岩固定鏈路、分線盒和跳接電纜。使用電纜測試儀逐個測試邏輯元素，若電纜測試儀顯示開路的距離，可以確定開路或短路的位置；若發現接線映射故障，多數是固定鏈路兩端的誤接；若是衰減過在，多數是劣質電纜。使用替代法驗證可疑元件。

關鍵設備的管理

計算機網路 有的關鍵設備一般包括網路的主幹交換機、中心路由器以及關鍵伺服器。對這些網路設備的管理，除了通過風管軟體實行監視其工作狀態外，更要做好它們的備份工作。現在許多廠商都推出了關鍵伺服器備份解決方案，備份伺服器能夠保持與主伺服器之間的操作和運行同步，這樣就保證了關鍵資料庫的數據一致性和可靠性，以備將來主伺服器出現故障時備份伺服器及時替代主伺服器的工作。

路由器與廣域風連接一般通過在其他廣域風埠上配置V.25bis介面來做高可靠性廣域網連接的撥號備份，當主鏈路因故障斷開時，備份鏈路就能夠及時撥號建立，繼續主鏈路上的數據傳輸。

對主幹交換機的備份，目前似乎很少有廠商能提供比較系統的解決方案，因而只有靠網路管理員在日常管理中加強對主幹交換機的性能和工作狀態的監視，以維護網路主幹交換機的正常工作。

『玖』 公司中網路管理員都需要些什麼技能啊

網路管理員需要的技能：
1：了解網路設計
擁有豐富的網路設計知識，熟悉網路布線規范和施工規范，了解交換機、路由器、伺服器等網路設備，掌握區域網基本技術和相關技術，規劃設計包含路由的區域網絡和廣域網路，為中小型網路提供完全的解決方案。
2：掌握網路施工
掌握充分的網路基本知識，深入了解TCP/IP網路協議，獨立完成路由器、交換機等網路設備的安裝、連接、配置和操作，搭建多層交換的企業網路，實現網路互聯和Internet連接。掌握網路軟體工具的使用，迅速診斷、定位和排除網路故障，正確使用、保養和維護硬體設備。
3：熟悉網路安全
設計並實施完整的網路安全解決方案，以降低損失和被攻擊風險。在Internet和區域網絡中，路由器、交換機和應用程序，乃至管理不嚴格的安全設備，都可能成為遭受攻擊的目標。網管必須全力以赴，加強戒備，以防止來自黑客、外來者甚至心懷不滿的員工對信息安全、信息完整性以及日常業務操作的威脅。
4：熟悉網路操作系統
熟悉Windows和Linux操作系統，具備使用高級的Windows和Linux平台，為企業提供成功的設計、實施和管理商業解決方案的能力。
5：了解Web資料庫
了解Web資料庫的基本原理，能夠圍繞Web資料庫系統開展實施與管理工作，實現對企業數據的綜合應用。
6：素質能力
具有強烈的求知慾且能自學的能力，相關的計算機專業詞彙英文閱讀能力，動手能力，較強的應變能力，敏銳的觀察能力和出色的分析判斷能力。

網路管理員行業對網路管理員的要求基本就是大而全，不需要精通，但什麼都得懂一些。所以，總結下來，一個合格的網路管理員最好在網路操作系統、網路資料庫、網路設備、網路管理、網路安全、應用開發等六個方面具備扎實的理論知識和應用技能，才能在工作中做到得心應手，游刃有餘。國家職業資格考試資格證對網管員的定義是從事計算機網路運行、維護的人員應用能力認定。
按照國際標准化組織(ISO)的定義，網路管理是指規劃、監督、控制網路資源的使用和網路的各種活動，以使網路的性能達到最優。一般而言，網路管理有五大功能：失效管理、配置管理、性能管理、安全管理和計費管理。目前有影響的網路管理協議是SNMP（Simple Network Management Protocol, 簡單網路管理協議）、CMIS/CMIP（the Common Management Information Service/Protocol, 公共管理信息服務和協議）和RMON（遠程監控）。

『拾』 中華人民共和國計算機信息網路國際聯網管理暫行規定

第一條為了加強對計算機信息網路國際聯網的管理，保障國際計算機信息交流的健康發展，制定本規定。第二條中華人民共和國境內的計算機信息網路進行國際聯網，應當依照本規定辦理。第三條本規定下列用語的含義是：
（一）計算機信息網路國際聯網（以下簡稱國際聯網），是指中華人民共和國境內的計算機信息網路為實現信息的國際交流，同外國的計算機信息網路相聯接。
（二）互聯網路，是指直接進行國際聯網的計算機信息網路；互聯單位，是指負責互聯網路運行的單位。
（三）接入網路，是指通過接入互聯網路進行國際聯網的計算機信息網路；接入單位，是指負責接入網路運行的單位。第四條國家對國際聯網實行統籌規劃、統一標准、分級管理、促進發展的原則。第五條國務院經濟信息化領導小組（以下簡稱領導小組），負責協調、解決有關國際聯網工作中的重大問題。
領導小組辦公室按照本規定製定具體管理辦法，明確國際出入口信道提供單位、互聯單位、接入單位和用戶的權利、義務和責任，並負責對國際聯網工作的檢查監督。第六條計算機信息網路直接進行國際聯網，必須使用郵電部國家公用電信網提供的國際出入口信道。
任何單位和個人不得自行建立或者使用其他信道進行國際聯網。第七條已經建立的互聯網路，根據國務院有關規定調整後，分別由郵電部、電子工業部、國家教育委員會和中國科學院管理。
新建互聯網路，必須報經國務院批准。第八條接入網路必須通過互聯網路進行國際聯網。
擬建立接入網路的單位，應當報經互聯單位的主管部門或者主管單位審批；辦理審批手續時，應當提供其計算機信息網路的性質、應用范圍和所需主機地址等資料。第九條接入單位必須具備下列條件：
（一）是依法設立的企業法人或者事業法人；
（二）具有相應的計算機信息網路、裝備以及相應的技術人員和管理人員；
（三）具有健全的安全保密管理制度和技術保護措施；
（四）符合法律和國務院規定的其他條件。第十條個人、法人和其他組織（以下統稱用戶）使用的計算機或者計算機信息網路，需要進行國際聯網的，必須通過接入網路進行國際聯網。
前款規定的計算機或者計算機信息網路，需要接入接入網路的，應當徵得接入單位的同意，並辦理登記手續。第十一條國際出入口信道提供單位、互聯單位和接入單位，應當建立相應的網路管理中心，依照法律和國家有關規定加強對本單位及其用戶的管理，做好網路信息安全管理工作，確保為用戶提供良好、安全的服務。第十二條互聯單位與接入單位，應當負責本單位及其用戶有關國際聯網的技術培訓和管理教育工作。第十三條從事國際聯網業務的單位和個人，應當遵守國家有關法律、行政法規，嚴格執行安全保密制度，不得利用國際聯網從事危害國家安全、泄露國家秘密等違法犯罪活動，不得製作、查閱、復制和傳播妨礙社會治安的信息和淫穢色情等信息。第十四條違反本規定第六條、第八條和第十條規定的，由公安機關或者公安機關根據國際出入口信道提供單位、互聯單位、接入單位的意見，給予警告、通報批評、責令停止聯網，可以並處15000元以下的罰款。第十五條違反本規定，同時觸犯其他有關法律、行政法規的，依照有關法律、行政法規的規定予以處罰；構成犯罪的，依法追究刑事責任。第十六條與台灣、香港、澳門地區的計算機信息網路的聯網，參照本規定執行。第十七條本規定自發布之日起施行。