网络安全管理中心集中管控应具备

‘壹’ 什么是网络安全管理策略

在网络安全技术飞速发展的今天，只有将不同安全侧重点的安全技术有效地融合起来，安全产品的性价比才能更高。目前，已有一些厂商在安全设备与安全策略管理、安全风险控制、集中安全审计等方面做了十分有效的工作。通过综合分析，结合实际管理需求，我们认为以下几项技术需要重点掌握：

协议联通技术：目前国际上的网管软件大多是基于SNMP设计的，一般只侧重于设备管理，且编程复杂、结构单一，不利于大规模集成。如果用户要管理各类网络设备、操作系统及安全产品，则要综合使用诸如WBEM、UDDI和XML等协议与通信技术。因此应尽量提高各协议接口间的透明访问程度，实现协议间的互联互访。

探头集成技术：目前各安全子系统要对网络及用户进行实时管理，大多采用用户端安装插件的技术，在多个子系统都需插件的情况下，可能产生冲突，且给用户系统增加负担，因此各厂商除提供必要的接口信息外，集成单位也应注意将各种信息技术进行融合，通过编程实现对各系统探头的集成。

可视化管理技术：为了让用户更好地通过安全管理平台进行集中管理，用户管理界面最好能够提供直观的网络拓朴图，实时显示整个网络的安全状况，使用户可以便捷地查看各安全产品组件的状态、日志以及信息处理结果，产生安全趋势分析报表。因此可视化管理技术的研究与应用尤为重要。

事件关联技术：由于从单独的安全事件中很难发觉其它的攻击行为，必须综合多种安全设备的事件信息进行分析，才能得到准确的判断。所以，事件关联技术的研究和实现，可以大大提高安全管理平台综合处理与智能处理的能力，提高管理平台分析及审计能力，更好地帮助网管人员进行网络安全的集中管控，发挥网络安全管理平台的重要作用。

事件过滤技术：一个安全事件有可能同时触动多个安全单元，同时产生多个安全事件报警信息，造成同一事件信息“泛滥”，反而使关键的信息被淹没。因此，事件过滤技术也是安全管理平台需要解决的一个重要问题。

快速响应技术：发生网络安全事件后，单靠人工处理可能会贻误战机，所以必须要开发快速响应技术，从而能使系统自动响应安全事件。如实现报警、阻塞、阻断、引入陷阱，以及取证和反击等。

‘贰’ 信息安全的相关技术

在市场上比较流行，而又能够代表未来发展方向的安全产品大致有以下几类：
◆ 用户身份认证：是安全的第一道大门，是各种安全措施可以发挥作用的前提，身份认证技术包括：静态密码、动态密码（短信密码、动态口令牌、手机令牌）、USB KEY、IC卡、数字证书、指纹虹膜等。
◆防火墙：防火墙在某种意义上可以说是一种访问控制产品。它在内部网络与不安全的外部网络之间设置障碍，阻止外界对内部资源的非法访问，防止内部对外部的不安全访问。主要技术有：包过滤技术，应用网关技术，代理服务技术。防火墙能够较为有效地防止黑客利用不安全的服务对内部网络的攻击，并且能够实现数据流的监控、过滤、记录和报告功能，较好地隔断内部网络与外部网络的连接。但它其本身可能存在安全问题，也可能会是一个潜在的瓶颈。
◆网络安全隔离：网络隔离有两种方式，一种是采用隔离卡来实现的，一种是采用网络安全隔离网闸实现的。隔离卡主要用于对单台机器的隔离，网闸主要用于对于整个网络的隔离。这两者的区别可参见参考资料。网络安全隔离与防火墙的区别可参看参考资料。
◆安全路由器：由于WAN连接需要专用的路由器设备，因而可通过路由器来控制网络传输。通常采用访问控制列表技术来控制网络信息流。
◆虚拟专用网(VPN)：虚拟专用网（VPN）是在公共数据网络上，通过采用数据加密技术和访问控制技术，实现两个或多个可信内部网之间的互联。VPN的构筑通常都要求采用具有加密功能的路由器或防火墙，以实现数据在公共信道上的可信传递。
◆ 安全服务器：安全服务器主要针对一个局域网内部信息存储、传输的安全保密问题，其实现功能包括对局域网资源的管理和控制，对局域网内用户的管理，以及局域网中所有安全相关事件的审计和跟踪。
◆ 电子签证机构--CA和PKI产品：电子签证机构（CA）作为通信的第三方，为各种服务提供可信任的认证服务。CA可向用户发行电子签证证书，为用户提供成员身份验证和密钥管理等功能。PKI产品可以提供更多的功能和更好的服务，将成为所有应用的计算基础结构的核心部件。
◆ 安全管理中心：由于网上的安全产品较多，且分布在不同的位置，这就需要建立一套集中管理的机制和设备，即安全管理中心。它用来给各网络安全设备分发密钥，监控网络安全设备的运行状态，负责收集网络安全设备的审计信息等。
◆入侵检测系统（IDS）：入侵检测，作为传统保护机制（比如访问控制，身份识别等）的有效补充，形成了信息系统中不可或缺的反馈链。
◆入侵防御系统（IPS）：入侵防御，入侵防御系统作为IDS很好的补充，是信息安全发展过程中占据重要位置的计算机网络硬件。
◆安全数据库：由于大量的信息存储在计算机数据库内，有些信息是有价值的，也是敏感的，需要保护。安全数据库可以确保数据库的完整性、可靠性、有效性、机密性、可审计性及存取控制与用户身份识别等。
◆ 安全操作系统：给系统中的关键服务器提供安全运行平台，构成安全WWW服务，安全FTP服务，安全SMTP服务等，并作为各类网络安全产品的坚实底座，确保这些安全产品的自身安全。
◆DG图文档加密:能够智能识别计算机所运行的涉密数据，并自动强制对所有涉密数据进行加密操作，而不需要人的参与。体现了安全面前人人平等。从根源解决信息泄密
信息安全行业中的主流技术如下： 1、病毒检测与清除技术 2、安全防护技术 包含网络防护技术（防火墙、UTM、入侵检测防御等）；应用防护技术（如应用程序接口安全技术等）；系统防护技术（如防篡改、系统备份与恢复技术等），防止外部网络用户以非法手段进入内部网络，访问内部资源，保护内部网络操作环境的相关技术。 3、安全审计技术 包含日志审计和行为审计，通过日志审计协助管理员在受到攻击后察看网络日志，从而评估网络配置的合理性、安全策略的有效性，追溯分析安全攻击轨迹，并能为实时防御提供手段。通过对员工或用户的网络行为审计，确认行为的合规性，确保信息及网络使用的合规性。 4、安全检测与监控技术 对信息系统中的流量以及应用内容进行二至七层的检测并适度监管和控制，避免网络流量的滥用、垃圾信息和有害信息的传播。 5、解密、加密技术 在信息系统的传输过程或存储过程中进行信息数据的加密和解密。 6、身份认证技术 用来确定访问或介入信息系统用户或者设备身份的合法性的技术，典型的手段有用户名口令、身份识别、PKI 证书和生物认证等。
信息安全服务
信息安全服务是指为确保信息和信息系统的完整性、保密性和可用性所提供的信息技术专业服务，包括对信息系统安全的的咨询、集成、监理、测评、认证、运维、审计、培训和风险评估、容灾备份、应急响应等工作 信息安全可以建立、采取有效的技术和管理手段，保护计算机信息系统和网络内的计算机硬件、软件、数据及应用等不因偶然或恶意的原因而遭到破坏、更改和泄漏，保障信息系统能够连续、正常运行。
一个安全有效的计算机信息系统可以同时支持机密性、真实性、可控性、可用性这四个核心安全属性，而提供信息安全业务的基本目标就是帮助信息系统实现上述全部或大部分内容。 电子商务安全从整体上可分为两大部分：计算机网络安全和商务交易安全
（一）计算机网络安全的内容包括：
（1）未进行操作系统相关安全配置
不论采用什么操作系统，在缺省安装的条件下都会存在一些安全问题，只有专门针对操作系统安全性进行相关的和严格的安全配置，才能达到一定的安全程度。千万不要以为操作系统缺省安装后，再配上很强的密码系统就算作安全了。网络软件的漏洞和“后门”是进行网络攻击的首选目标。
（2）未进行CGI程序代码审计
如果是通用的CGI问题，防范起来还稍微容易一些，但是对于网站或软件供应商专门开发的一些CGI程序，很多存在严重的CGI问题，对于电子商务站点来说，会出现恶意攻击者冒用他人账号进行网上购物等严重后果。
（3）拒绝服务（DoS，DenialofService）攻击
随着电子商务的兴起，对网站的实时性要求越来越高，DoS或DDoS对网站的威胁越来越大。以网络瘫痪为目标的袭击效果比任何传统的恐怖主义和战争方式都来得更强烈，破坏性更大，造成危害的速度更快，范围也更广，而袭击者本身的风险却非常小，甚至可以在袭击开始前就已经消失得无影无踪，使对方没有实行报复打击的可能。
（4）安全产品使用不当
虽然不少网站采用了一些网络安全设备，但由于安全产品本身的问题或使用问题，这些产品并没有起到应有的作用。很多安全厂商的产品对配置人员的技术背景要求很高，超出对普通网管人员的技术要求，就算是厂家在最初给用户做了正确的安装、配置，但一旦系统改动，需要改动相关安全产品的设置时，很容易产生许多安全问题。
（5）缺少严格的网络安全管理制度
网络安全最重要的还是要思想上高度重视，网站或局域网内部的安全需要用完备的安全制度来保障。建立和实施严密的计算机网络安全制度与策略是真正实现网络安全的基础。
（二）计算机商务交易安全的内容包括：
（1）窃取信息
由于未采用加密措施，数据信息在网络上以明文形式传送，入侵者在数据包经过的网关或路由器上可以截获传送的信息。通过多次窃取和分析，可以找到信息的规律和格式，进而得到传输信息的内容，造成网上传输信息泄密。
（2）篡改信息
当入侵者掌握了信息的格式和规律后，通过各种技术手段和方法，将网络上传送的信息数据在中途修改，然后再发向目的地。这种方法并不新鲜，在路由器或网关上都可以做此类工作。
（3）假冒
由于掌握了数据的格式，并可以篡改通过的信息，攻击者可以冒充合法用户发送假冒的信息或者主动获取信息，而远端用户通常很难分辨。
（4）恶意破坏
由于攻击者可以接入网络，则可能对网络中的信息进行修改，掌握网上的机要信息，甚至可以潜入网络内部，其后果是非常严重的。 电子商务的一个重要技术特征是利用计算机技术来传输和处理商业信息。因此，电子商务安全问题的对策从整体上可分为计算机网络安全措施和商务交易安全措施两大部分。
1．计算机网络安全措施
计算机网络安全措施主要包括保护网络安全、保护应用服务安全和保护系统安全三个方面，各个方面都要结合考虑安全防护的物理安全、防火墙、信息安全、Web安全、媒体安全等等。
（一）保护网络安全。
网络安全是为保护商务各方网络端系统之间通信过程的安全性。保证机密性、完整性、认证性和访问控制性是网络安全的重要因素。保护网络安全的主要措施如下：
（1）全面规划网络平台的安全策略。
（2）制定网络安全的管理措施。
（3）使用防火墙。
（4）尽可能记录网络上的一切活动。
（5）注意对网络设备的物理保护。
（6）检验网络平台系统的脆弱性。
（7）建立可靠的识别和鉴别机制。
（二）保护应用安全。
保护应用安全，主要是针对特定应用（如Web服务器、网络支付专用软件系统）所建立的安全防护措施，它独立于网络的任何其他安全防护措施。虽然有些防护措施可能是网络安全业务的一种替代或重叠，如Web浏览器和Web服务器在应用层上对网络支付结算信息包的加密，都通过IP层加密，但是许多应用还有自己的特定安全要求。
由于电子商务中的应用层对安全的要求最严格、最复杂，因此更倾向于在应用层而不是在网络层采取各种安全措施。
虽然网络层上的安全仍有其特定地位，但是人们不能完全依靠它来解决电子商务应用的安全性。应用层上的安全业务可以涉及认证、访问控制、机密性、数据完整性、不可否认性、Web安全性、EDI和网络支付等应用的安全性。
（三）保护系统安全。
保护系统安全，是指从整体电子商务系统或网络支付系统的角度进行安全防护，它与网络系统硬件平台、操作系统、各种应用软件等互相关联。涉及网络支付结算的系统安全包含下述一些措施：
（1）在安装的软件中，如浏览器软件、电子钱包软件、支付网关软件等，检查和确认未知的安全漏洞。
（2）技术与管理相结合，使系统具有最小穿透风险性。如通过诸多认证才允许连通，对所有接入数据必须进行审计，对系统用户进行严格安全管理。
（3）建立详细的安全审计日志，以便检测并跟踪入侵攻击等。
商务交易安全则紧紧围绕传统商务在互联网络上应用时产生的各种安全问题，在计算机网络安全的基础上，如何保障电子商务过程的顺利进行。
各种商务交易安全服务都是通过安全技术来实现的，主要包括加密技术、认证技术和电子商务安全协议等。
（一）加密技术。
加密技术是电子商务采取的基本安全措施，交易双方可根据需要在信息交换的阶段使用。加密技术分为两类，即对称加密和非对称加密。
（1）对称加密。
对称加密又称私钥加密，即信息的发送方和接收方用同一个密钥去加密和解密数据。它的最大优势是加/解密速度快，适合于对大数据量进行加密，但密钥管理困难。如果进行通信的双方能够确保专用密钥在密钥交换阶段未曾泄露，那么机密性和报文完整性就可以通过这种加密方法加密机密信息、随报文一起发送报文摘要或报文散列值来实现。
（2）非对称加密。
非对称加密又称公钥加密，使用一对密钥来分别完成加密和解密操作，其中一个公开发布（即公钥），另一个由用户自己秘密保存（即私钥）。信息交换的过程是：甲方生成一对密钥并将其中的一把作为公钥向其他交易方公开，得到该公钥的乙方使用该密钥对信息进行加密后再发送给甲方，甲方再用自己保存的私钥对加密信息进行解密。
（二）认证技术。
认证技术是用电子手段证明发送者和接收者身份及其文件完整性的技术，即确认双方的身份信息在传送或存储过程中未被篡改过。
（1）数字签名。
数字签名也称电子签名，如同出示手写签名一样，能起到电子文件认证、核准和生效的作用。其实现方式是把散列函数和公开密钥算法结合起来，发送方从报文文本中生成一个散列值，并用自己的私钥对这个散列值进行加密，形成发送方的数字签名；然后，将这个数字签名作为报文的附件和报文一起发送给报文的接收方；报文的接收方首先从接收到的原始报文中计算出散列值，接着再用发送方的公开密钥来对报文附加的数字签名进行解密；
（2）数字证书。
数字证书是一个经证书授权中心数字签名的包含公钥拥有者信息以及公钥的文件数字证书的最主要构成包括一个用户公钥，加上密钥所有者的用户身份标识符，以及被信任的第三方签名第三方一般是用户信任的证书权威机构（CA），如政府部门和金融机构。用户以安全的方式向公钥证书权威机构提交他的公钥并得到证书，然后用户就可以公开这个证书。任何需要用户公钥的人都可以得到此证书，并通过相关的信任签名来验证公钥的有效性。数字证书通过标志交易各方身份信息的一系列数据，提供了一种验证各自身份的方式，用户可以用它来识别对方的身份。
（三）电子商务的安全协议。
除上文提到的各种安全技术之外，电子商务的运行还有一套完整的安全协议。比较成熟的协议有SET、SSL等。
（1）安全套接层协议SSL。
SSL协议位于传输层和应用层之间，由SSL记录协议、SSL握手协议和SSL警报协议组成的。SSL握手协议被用来在客户与服务器真正传输应用层数据之前建立安全机制。当客户与服务器第一次通信时，双方通过握手协议在版本号、密钥交换算法、数据加密算法和Hash算法上达成一致，然后互相验证对方身份，最后使用协商好的密钥交换算法产生一个只有双方知道的秘密信息，客户和服务器各自根据此秘密信息产生数据加密算法和Hash算法参数。SSL记录协议根据SSL握手协议协商的参数，对应用层送来的数据进行加密、压缩、计算消息鉴别码MAC，然后经网络传输层发送给对方。SSL警报协议用来在客户和服务器之间传递SSL出错信息。
（2）安全电子交易协议SET。
SET协议用于划分与界定电子商务活动中消费者、网上商家、交易双方银行、信用卡组织之间的权利义务关系，给定交易信息传送流程标准。SET主要由三个文件组成，分别是SET业务描述、SET程序员指南和SET协议描述。SET协议保证了电子商务系统的机密性、数据的完整性、身份的合法性。
SET协议是专为电子商务系统设计的。它位于应用层，其认证体系十分完善，能实现多方认证。在SET的实现中，消费者帐户信息对商家来说是保密的。但是SET协议十分复杂，交易数据需进行多次验证，用到多个密钥以及多次加密解密。而且在SET协议中除消费者与商家外，还有发卡行、收单行、认证中心、支付网关等其它参与者。 信息安全工程的监理是在信息安全工程的开发采购阶段和交付实施阶段为业主单位提供的信息安全保障服务。主要是在项目准备阶段、项目实施阶段和项目验收阶段通过质量控制、进度控制、合同管理、信息管理和协调，来促使信息安全工程以科学规范的流程，在一定的成本范围内，按时保质保量地完成，实现项目预期的信息安全目标。
信息安全工程监理的信息安全工程监理模型由三部分组成，即咨询监理支撑要素（组织结构、设施设备、安全保障知识、质量管理）、监理咨询阶段过程和控制管理措施（“三控制、两管理、一协调”，即质量控制、进度控制、成本控制、合同管理、信息管理和组织协调）。

‘叁’ 网络安全管理制度

局域网的构建

网络安全概述

网络安全的定义

什么是计算机网络安全，尽管现在这个词很火，但是真正对它有个正确认识的人并不多。事实上要正确定义计算机网络安全并不容易，困难在于要形成一个足够去全面而有效的定义。通常的感觉下，安全就是"避免冒险和危险"。在计算机科学中，安全就是防止：

未授权的使用者访问信息

未授权而试图破坏或更改信息

这可以重述为"安全就是一个系统保护信息和系统资源相应的机密性和完整性的能力"。注意第二个定义的范围包括系统资源，即CPU、硬盘、程序以及其他信息。

在电信行业中，网络安全的含义包括：关键设备的可靠性；网络结构、路由的安全性；具有网络监控、分析和自动响应的功能；确保网络安全相关的参数正常；能够保护电信网络的公开服务器（如拨号接入服务器等）以及网络数据的安全性等各个方面。其关键是在满足电信网络要求，不影响网络效率的同时保障其安全性。

电信行业的具体网络应用（结合典型案例）

电信整个网络在技术上定位为以光纤为主要传输介质，以IP为主要通信协议。所以我们在选用安防产品时必须要达到电信网络的要求。如防火墙必须满足各种路由协议，QOS的保证、MPLS技术的实现、速率的要求、冗余等多种要求。这些都是电信运营商应该首先考虑的问题。电信网络是提供信道的，所以IP优化尤其重要，至少包括包括如下几个要素：

网络结构的IP优化。网络体系结构以IP为设计基础，体现在网络层的层次化体系结构，可以减少对传统传输体系的依赖。

IP路由协议的优化。

IP包转发的优化。适合大型、高速宽带网络和下一代因特网的特征，提供高速路由查找和包转发机制。

带宽优化。在合理的QoS控制下，最大限度的利用光纤的带宽。

稳定性优化。最大限度的利用光传输在故障恢复方面快速切换的能力，快速恢复网络连接，避免路由表颤动引起的整网震荡，提供符合高速宽带网络要求的可靠性和稳定性。

从骨干层网络承载能力，可靠性，QoS，扩展性，网络互联，通信协议，网管，安全，多业务支持等方面论述某省移动互联网工程的技术要求。

骨干层网络承载能力

骨干网采用的高端骨干路由器设备可提供155M POS端口。进一步，支持密集波分复用(DWDM)技术以提供更高的带宽。网络核心与信息汇聚点的连接速率为155M连接速率，连接全部为光纤连接。

骨干网设备的无阻塞交换容量具备足够的能力满足高速端口之间的无丢包线速交换。骨干网设备的交换模块或接口模块应提供足够的缓存和拥塞控制机制，避免前向拥塞时的丢包。

可靠性和自愈能力

包括链路冗余、模块冗余、设备冗余、路由冗余等要求。对某省移动互联网工程这样的运营级宽带IP骨干网络来说，考虑网络的可靠性及自愈能力是必不可少的。

链路冗余。在骨干设备之间具备可靠的线路冗余方式。建议采用负载均衡的冗余方式，即通常情况下两条连接均提供数据传输，并互为备份。充分体现采用光纤技术的优越性，不会引起业务的瞬间质量恶化，更不会引起业务的中断。

模块冗余。骨干设备的所有模块和环境部件应具备1+1或1：N热备份的功能，切换时间小于3秒。所有模块具备热插拔的功能。系统具备99.999%以上的可用性。

设备冗余。提供由两台或两台以上设备组成一个虚拟设备的能力。当其中一个设备因故障停止工作时，另一台设备自动接替其工作，并且不引起其他节点的路由表重新计算，从而提高网络的稳定性。切换时间小于3秒，以保证大部分IP应用不会出现超时错误。

路由冗余。网络的结构设计应提供足够的路由冗余功能，在上述冗余特性仍不能解决问题，数据流应能寻找其他路径到达目的地址。在一个足够复杂的网络环境中，网络连接发生变化时，路由表的收敛时间应小于30秒。

拥塞控制与服务质量保障

拥塞控制和服务质量保障(QoS)是公众服务网的重要品质。由于接入方式、接入速率、应用方式、数据性质的丰富多样，网络的数据流量突发是不可避免的，因此，网络对拥塞的控制和对不同性质数据流的不同处理是十分重要的。

业务分类。网络设备应支持6~8种业务分类(CoS)。当用户终端不提供业务分类信息时，网络设备应根据用户所在网段、应用类型、流量大小等自动对业务进行分类。

接入速率控制。接入本网络的业务应遵守其接入速率承诺。超过承诺速率的数据将被丢弃或标以最低的优先级。

队列机制。具有先进的队列机制进行拥塞控制，对不同等级的业务进行不同的处理，包括时延的不同和丢包率的不同。

先期拥塞控制。当网络出现真正的拥塞时，瞬间大量的丢包会引起大量TCP数据同时重发，加剧网络拥塞的程度并引起网络的不稳定。网络设备应具备先进的技术，在网路出现拥塞前就自动采取适当的措施，进行先期拥塞控制，避免瞬间大量的丢包现象。

资源预留。对非常重要的特殊应用，应可以采用保留带宽资源的方式保证其QoS。

端口密度扩展。设备的端口密度应能满足网络扩容时设备间互联的需要。

网络的扩展能力

网络的扩展能力包括设备交换容量的扩展能力、端口密度的扩展能力、骨干带宽的扩展，以及网络规模的扩展能力。

交换容量扩展。交换容量应具备在现有基础上继续扩充多容量的能力，以适应数据类业务急速膨胀的现实。

骨干带宽扩展。骨干带宽应具备高的带宽扩展能力，以适应数据类业务急速膨胀的现实。

网络规模扩展。网络体系、路由协议的规划和设备的CPU路由处理能力，应能满足本网络覆盖某省移动整个地区的需求。

与其他网络的互联

保证与中国移动互联网，INTERNET国内国际出口的无缝连接。

通信协议的支持

以支持TCP/IP协议为主，兼支持IPX、DECNET、APPLE－TALK等协议。提供服务营运级别的网络通信软件和网际操作系统。

支持RIP、RIPv2、OSPF、IGRP、EIGRP、ISIS等路由协议。根据本网规模的需求，必须支持OSPF路由协议。然而，由于OSPF协议非常耗费CPU和内存，而本网络未来十分庞大复杂，必须采取合理的区域划分和路由规划(例如网址汇总等)来保证网络的稳定性。

支持BGP4等标准的域间路由协议,保证与其他IP网络的可靠互联。

支持MPLS标准，便于利用MPLS开展增值业务，如VPN、TE流量工程等。

网络管理与安全体系

支持整个网络系统各种网络设备的统一网络管理。

支持故障管理、记帐管理、配置管理、性能管理和安全管理五功能。

支持系统级的管理，包括系统分析、系统规划等；支持基于策略的管理，对策略的修改能够立即反应到所有相关设备中。

网络设备支持多级管理权限，支持RADIUS、TACACS+等认证机制。

对网管、认证计费等网段保证足够的安全性。

IP增值业务的支持

技术的发展和大量用户应用需求将诱发大量的在IP网络基础上的新业务。因此，运营商需要一个简单、集成化的业务平台以快速生成业务。MPLS技术正是这种便于电信运营商大规模地快速开展业务的手段。

传送时延

带宽成本的下降使得当今新型电信服务商在进行其网络规划时，会以系统容量作为其主要考虑的要素。但是，有一点需要提起注意的是，IP技术本身是面向非连接的技术，其最主要的特点是，在突发状态下易于出现拥塞，因此，即使在高带宽的网络中，也要充分考虑端到端的网络传送时延对于那些对时延敏感的业务的影响，如根据ITU－T的标准端到端的VoIP应用要求时延小于150ms。对于应用型实际运营网络，尤其当网络负荷增大时，如何确保时延要求更为至关重要，要确保这一点的关键在于采用设备对于延迟的控制能力，即其延迟能力在小负荷和大量超负荷时延迟是否都控制在敏感业务的可忍受范围内。

RAS (Reliability, Availability, Serviceability)

RAS是运营级网络必须考虑的问题，如何提供具有99.999%的业务可用性的网络是网络规划和设计的主要考虑。在进行网络可靠性设计时，关键点在于网络中不能因出现单点故障而引起全网瘫痪，特别在对于象某省移动这些的全省骨干网而言更是如此。为此，必须从单节点设备和端到端设备提供整体解决方案。Cisco7500系列路由器具有最大的单节点可靠性，包括电源冗余备份，控制板备份，交换矩阵备份，风扇的合理设计等功能；整体上，Cisco通过提供MPLSFRR和MPLS流量工程技术，可以保证通道级的快速保护切换，从而最大程度的保证了端到端的业务可用性。

虚拟专用网(VPN)

虚拟专用网是目前获得广泛应用，也是目前运营商获得利润的一种主要方式。除了原有的基于隧道技术，如IPSec、L2TP等来构造VPN之外，Cisco还利用新型的基于标准的MPLSVPN来构造Intrane和Extranet，并可以通过MPLSVPN技术提供Carrier'sCarrier服务。这从网络的可扩展性，可操作性等方面开拓了一条新的途径；同时，极大地简化了网络运营程序，从而极大地降低了运营费用。另外，采用Cisco跨多个AS及多个域内协议域的技术可使某省移动可随着其网络的不断增长扩展其MPLSVPN业务的实施，并可与其他运营商合作实现更广阔的业务能力。

服务质量保证

通常的Internet排队机制如:CustomerQueue,PriorityQueue,CBWFQ,WRR,WRED等技术不能完全满足对时延敏感业务所要求的端到端时延指标。为此，选用MDRR/WRED技术，可以为对时延敏感业务生成单独的优先级队列，保证时延要求；同时还专门对基于Multicast的应用提供了专门的队列支持，从而从真正意义上向网上实时多媒体应用迈进一步。

根据以上对电信行业的典型应用的分析，我们认为，以上各条都是运营商最关心的问题，我们在给他们做网络安全解决方案时必须要考虑到是否满足以上要求，不影响电信网络的正常使用，可以看到电信网络对网络安全产品的要求是非常高的。

网络安全风险分析

瞄准网络存在的安全漏洞，黑客们所制造的各类新型的风险将会不断产生，这些风险由多种因素引起，与网络系统结构和系统的应用等因素密切相关。下面从物理安全、网络安全、系统安全、应用安全及管理安全进行分类描述：

1、物理安全风险分析

我们认为网络物理安全是整个网络系统安全的前提。物理安全的风险主要有：

地震、水灾、火灾等环境事故造成整个系统毁灭

电源故障造成设备断电以至操作系统引导失败或数据库信息丢失

电磁辐射可能造成数据信息被窃取或偷阅

不能保证几个不同机密程度网络的物理隔离

2、网络安全风险分析

内部网络与外部网络间如果在没有采取一定的安全防护措施，内部网络容易遭到来自外网的攻击。包括来自internet上的风险和下级单位的风险。

内部局网不同部门或用户之间如果没有采用相应一些访问控制，也可能造成信息泄漏或非法攻击。据调查统计，已发生的网络安全事件中，70%的攻击是来自内部。因此内部网的安全风险更严重。内部员工对自身企业网络结构、应用比较熟悉，自已攻击或泄露重要信息内外勾结，都将可能成为导致系统受攻击的最致命安全威胁。

3、系统的安全风险分析

所谓系统安全通常是指网络操作系统、应用系统的安全。目前的操作系统或应用系统无论是Windows还是其它任何商用UNIX操作系统以及其它厂商开发的应用系统，其开发厂商必然有其Back-Door。而且系统本身必定存在安全漏洞。这些"后门"或安全漏洞都将存在重大安全隐患。因此应正确估价自己的网络风险并根据自己的网络风险大小作出相应的安全解决方案。

4、应用的安全风险分析

应用系统的安全涉及很多方面。应用系统是动态的、不断变化的。应用的安全性也是动态的。比如新增了一个新的应用程序，肯定会出现新的安全漏洞，必须在安全策略上做一些调整，不断完善。

4.1 公开服务器应用

电信省中心负责全省的汇接、网络管理、业务管理和信息服务，所以设备较多包括全省用户管理、计费服务器、认证服务器、安全服务器、网管服务器、DNS服务器等公开服务器对外网提供浏览、查录、下载等服务。既然外部用户可以正常访问这些公开服务器，如果没有采取一些访问控制，恶意入侵者就可能利用这些公开服务器存在的安全漏洞（开放的其它协议、端口号等）控制这些服务器，甚至利用公开服务器网络作桥梁入侵到内部局域网，盗取或破坏重要信息。这些服务器上记录的数据都是非常重要的，完成计费、认证等功能，他们的安全性应得到100%的保证。

4.2 病毒传播

网络是病毒传播的最好、最快的途径之一。病毒程序可以通过网上下载、电子邮件、使用盗版光盘或软盘、人为投放等传播途径潜入内部网。网络中一旦有一台主机受病毒感染，则病毒程序就完全可能在极短的时间内迅速扩散，传播到网络上的所有主机，有些病毒会在你的系统中自动打包一些文件自动从发件箱中发出。可能造成信息泄漏、文件丢失、机器死机等不安全因素。

4.3信息存储

由于天灾或其它意外事故，数据库服务器造到破坏，如果没有采用相应的安全备份与恢复系统，则可能造成数据丢失后果，至少可能造成长时间的中断服务。

4.4 管理的安全风险分析

管理是网络中安全最最重要的部分。责权不明，安全管理制度不健全及缺乏可操作性等都可能引起管理安全的风险。

比如一些员工或管理员随便让一些非本地员工甚至外来人员进入机房重地，或者员工有意无意泄漏他们所知道的一些重要信息，而管理上却没有相应制度来约束。当网络出现攻击行为或网络受到其它一些安全威胁时（如内部人员的违规操作等），无法进行实时的检测、监控、报告与预警。同时，当事故发生后，也无法提供黑客攻击行为的追踪线索及破案依据，即缺乏对网络的可控性与可审查性。这就要求我们必须对站点的访问活动进行多层次的记录，及时发现非法入侵行为。

建立全新网络安全机制，必须深刻理解网络并能提供直接的解决方案，因此，最可行的做法是管理制度和技术解决方案的结合。

安全需求分析

1、物理安全需求

针对重要信息可能通过电磁辐射或线路干扰等泄漏。需要对存放绝密信息的机房进行必要的设计，如构建屏蔽室。采用辐射干扰机，防止电磁辐射泄漏机密信息。对存有重要数据库且有实时性服务要求的服务器必须采用UPS不间断稳压电源，且数据库服务器采用双机热备份，数据迁移等方式保证数据库服务器实时对外部用户提供服务并且能快速恢复。

2、系统安全需求

对于操作系统的安全防范可以采取如下策略：尽量采用安全性较高的网络操作系统并进行必要的安全配置、关闭一些起不常用却存在安全隐患的应用、对一些关键文件（如UNIX下：/.rhost、etc/host、passwd、shadow、group等）使用权限进行严格限制、加强口令字的使用、及时给系统打补丁、系统内部的相互调用不对外公开。

应用系统安全上，主要考虑身份鉴别和审计跟踪记录。这必须加强登录过程的身份认证，通过设置复杂些的口令，确保用户使用的合法性；其次应该严格限制登录者的操作权限，将其完成的操作限制在最小的范围内。充分利用操作系统和应用系统本身的日志功能，对用户所访问的信息做记录，为事后审查提供依据。我们认为采用的入侵检测系统可以对进出网络的所有访问进行很好的监测、响应并作记录。

3、防火墙需求

防火墙是网络安全最基本、最经济、最有效的手段之一。防火墙可以实现内部、外部网或不同信任域网络之间的隔离，达到有效的控制对网络访问的作用。

3.1省中心与各下级机构的隔离与访问控制

防火墙可以做到网络间的单向访问需求，过滤一些不安全服务；

防火墙可以针对协议、端口号、时间、流量等条件实现安全的访问控制。

防火墙具有很强的记录日志的功能，可以对您所要求的策略来记录所有不安全的访问行为。

3.2公开服务器与内部其它子网的隔离与访问控制

利用防火墙可以做到单向访问控制的功能，仅允许内部网用户及合法外部用户可以通过防火墙来访问公开服务器，而公开服务器不可以主动发起对内部网络的访问，这样，假如公开服务器造受攻击，内部网由于有防火墙的保护，依然是安全的。

4、加密需求

目前，网络运营商所开展的VPN业务类型一般有以下三种：

1．拨号VPN业务（VPDN）2．专线VPN业务3．MPLS的VPN业务

移动互连网络VPN业务应能为用户提供拨号VPN、专线VPN服务，并应考虑MPLSVPN业务的支持与实现。

VPN业务一般由以下几部分组成：

（1）业务承载网络（2）业务管理中心（3）接入系统（4）用户系统

我们认为实现电信级的加密传输功能用支持VPN的路由设备实现是现阶段最可行的办法。

5、安全评估系统需求

网络系统存在安全漏洞（如安全配置不严密等）、操作系统安全漏洞等是黑客等入侵者攻击屡屡得手的重要因素。并且，随着网络的升级或新增应用服务，网络或许会出现新的安全漏洞。因此必需配备网络安全扫描系统和系统安全扫描系统检测网络中存在的安全漏洞，并且要经常使用，对扫描结果进行分析审计，及时采取相应的措施填补系统漏洞，对网络设备等存在的不安全配置重新进行安全配置。

6、入侵检测系统需求

在许多人看来，有了防火墙，网络就安全了，就可以高枕无忧了。其实，这是一种错误的认识，防火墙是实现网络安全最基本、最经济、最有效的措施之一。防火墙可以对所有的访问进行严格控制（允许、禁止、报警）。但它是静态的，而网络安全是动态的、整体的，黑客的攻击方法有无数，防火墙不是万能的，不可能完全防止这些有意或无意的攻击。必须配备入侵检测系统，对透过防火墙的攻击进行检测并做相应反应（记录、报警、阻断）。入侵检测系统和防火墙配合使用，这样可以实现多重防护，构成一个整体的、完善的网络安全保护系统。

7、防病毒系统需求

针对防病毒危害性极大并且传播极为迅速，必须配备从服务器到单机的整套防病毒软件，防止病毒入侵主机并扩散到全网，实现全网的病毒安全防护。并且由于新病毒的出现比较快，所以要求防病毒系统的病毒代码库的更新周期必须比较短。

8、数据备份系统

安全不是绝对的，没有哪种产品的可以做到百分之百的安全，但我们的许多数据需要绝对的保护。最安全的、最保险的方法是对重要数据信息进行安全备份，通过网络备份与灾难恢复系统进行定时自动备份数据信息到本地或远程的磁带上，并把磁带与机房隔离保存于安全位置。如果遇到系统来重受损时，可以利用灾难恢复系统进行快速恢复。

9、安全管理体制需求

安全体系的建立和维护需要有良好的管理制度和很高的安全意识来保障。安全意识可以通过安全常识培训来提高，行为的约束只能通过严格的管理体制，并利用法律手段来实现。因些必须在电信部门系统内根据自身的应用与安全需求，制定安全管理制度并严格按执行，并通过安全知识及法律常识的培训，加强整体员工的自身安全意识及防范外部入侵的安全技术。

安全目标

通过以上对网络安全风险分析及需求分析，再根据需求配备相应安全设备，采用上述方案，我们认为一个电信网络应该达到如下的安全目标：

建立一套完整可行的网络安全与网络管理策略并加强培训，提高整体人员的安全意识及反黑技术。

利用防火墙实现内外网或不信任域之间的隔离与访问控制并作日志；

通过防火墙的一次性口令认证机制，实现远程用户对内部网访问的细粒度访问控制；

通过入侵检测系统全面监视进出网络的所有访问行为，及时发现和拒绝不安全的操作和黑客攻击行为并对攻击行为作日志；

通过网络及系统的安全扫描系统检测网络安全漏洞，减少可能被黑客利用的不安全因素；

利用全网的防病毒系统软件，保证网络和主机不被病毒的侵害；

备份与灾难恢复---强化系统备份，实现系统快速恢复；

通过安全服务提高整个网络系统的安全性。

‘肆’ 中心机房的网络中心机房管理制度是什么样的

网络管理中心设备与信息的安全，保障网络管理中心有良好的运行和工作环境，作如下规定：

‘伍’ 当一名网络管理员应具备哪些知识

网络基础设施
管理、
网络操作系统
管理、网络应用系统管理、网络
用户管理
、网络安全
保密管理
、
信息存储
备份管理和
网络机房
管理。

‘陆’ 等级保护中的安全区域边界

法律分析：等级保护安全区域边界是对定级系统的安全计算环境边界，以及安全计算环境与安全通信网络之间实现连接并实施安全策略的相关部件。安全区域边界secure area boundary，按照保护能力划分为第一级安全区域边界、第二级安全区域边界、第三级安全区域边界、第四级安全区域边界和第五级安全区域边界。

第一级安全区域边界从以下方面进行安全设计:

a)区域边界包过滤

可根据区域边界安全控制策略，通过检查数据包的源地址、目的地址、传输层协议和请求的服务等，确定是否允许该数据包通过该区域边界。

b) 区域边界恶意代码防范

可在安全区域边界设置防恶意代码软件，并定期进行升级和更新，以防止恶意代码入侵。

第二级安全区域边界从以下方面进行安全设计:

a)区域边界包过滤

应根据区域边界安全控制策略，通过检查数据包的源地址、目的地址、传输层协议和

请求的服务等，确定是否允许该数据包通过该区域边界。

b) 区域边界安全审计

应在安全区域边界设置审计机制，并由安全管理中心统一管理。

c)区域边界恶意代码防范

应在安全区域边界设置防恶意代码网关，由安全管理中心管理。

d) 区域边界完整性保护

应在区域边界设置探测器，探测非法外联等行为，并及时报告安全管理中心。

第三级安全区域边界从以下方面进行安全设计:

a) 区域边界访问控制

应在安全区域边界设置自主和强制访问控制机制，实施相应的访问控制策略，对进出安全区域边界的数据信息进行控制，阻止非授权访问。

b) 区域边界包过滤

应根据区域边界安全控制策略，通过检查数据包的源地址、目的地址、传输层协议、请求的服务等，确定是否允许该数据包进出该区域边界。

c)区域边界安全审计

应在安全区域边界设置审计机制，由安全管理中心集中管理，并对确认的违规行为及时报警。

d) 区域边界完整性保护

应在区域边界设置探测器，例如外接探测软件，探测非法外联和入侵行为，并及时报告安全管理中心。

第四级安全区域边界从以下方面进行安全设计:

a)区域边界访问控制

应在安全区域边界设置自主和强制访问控制机制，实施相应的访问控制策略，对进出安全区域边界的数据信息进行控制，阻止非授权访问。

b) 区域边界包过滤

应根据区域边界安全控制策略，通过检查数据包的源地址、目的地址、传输层协议、请求的服务等，确定是否允许该数据包进出受保护的区域边界。

c)区域边界安全审计

应在安全区域边界设置审计机制，通过安全管理中心集中管理，对确认的违规行为及时报警并做出相应处置。

d) 区域边界完整性保护

应在区域边界设置探测器，例如外接探测软件，探测非法外联和入侵行为，并及时报告安全管理中心。

法律依据：《中华人民共和国网络安全法》 第二十一条 国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改:(一)制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任;(二)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;(三)采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月;(四)采取数据分类、重要数据备份和加密等措施;(五)法律、行政法规规定的其他义务。

‘柒’ 网络管理员应当具备的素质

希赛小编为您解答：
一个成功网络管理员必备的“硬件”素质
随着计算机与IT技术的迅速发展，计算机网络已经成为一个非常热门的话题，几乎与企业的每一个员工都息息相关.
从企业局域网(包括有线和无线)的规划、组建、运行和升级维护，到企业网站(包括web、ftp以及Email等服务)的发布运行; 从网络安全的管理到数据库管理、存储管理以及网络和人员管理等制度建立;从网络设备到服务器、工作站(PC机)的运行管理;从网线的制作到操作系统(服务器和PC机)的安装等工作，也许都和我们网管员的工作相关联。
因此网管员(网络管理员)工作任务:全面管理网络是网络高效运行的前提和保障，管理的对象不仅指网络链路的畅通，服务器的正常运行等硬件因素，更包括网络应用、数据流转等软件因素。
网络管理者必须时刻关注本企业的网络运行，关心企业对网络的应用，让网络能够随时满足企业的需求，跟上并且引导企业的发展。下面我们就和大家一起探讨成功网管员必备“硬件”素质。
作为网络管理员，需要亲自动手的时候非常多。不仅要亲自搭建网络和网络服务，而且还必须对交换机和路由器进行设置。虽然布线工程通常都是由网络公司实施，但往往由于新增设备或网络拓扑结果发生变化，而需要做一些网线跳线、压制一些模块，甚至做一些简单的综合布线。
另外，计算机硬件和网络设备的升级(比如增加硬盘、内存和CPU等)也往往需要管理员亲自动手。而安装操作系统、应用软件和硬件驱动程序等工作更是网络管理员的必修课。所以，网络管理员必须拥有一双灵巧的手，具备很强的动手能力。
网络管理员必须具有非常敏锐的观察能力，特别是在调试程序或发生软硬件故障时。出错信息、计算机的鸣叫、指示灯的闪烁状态和显示颜色等，都会从一个侧面提示可能导致故障的原因。对故障现象观察得越细致。越全面，排除故障的机会也就越大。另外，通过及时观察，还可以及时排除潜在的网络隐患。
网络管理员几乎每日都要接触网络设备和服务器等硬件，因此成功网管员除了具有一定的自学能力，更新自身知识结构外，还需要掌握有关网络的硬件知识。下面列出了常用的硬件方面的知识内容。
1、服务器与工作站
服务器是网络的中枢和信息化的核心，服务器是一种高性能的计算机，它的构成诸如有CPU(中央处理器)、内存、硬盘、各种总线等等，能够提供各种共享服务(网络、Web应用、数据库、文件、打印等)以及其他方面的高性能应用,它的高性能主要体现在高速度的运算能力、长时间的可靠运行、强大的外部数据吞吐能力等方面。
目前国外的服务器有IBM、HP、SUN和DELL等品牌，国内的服务器有浪潮、联想、曙光等品牌。
工作站，英文名称为Workstation，是一种以个人计算机和分布式网络计算为基础，主要面向专业应用领域。工作站根据软、硬件平台的不同，一般分为基于RISC(精简指令系统)架构的UNIX系统工作站和基于Windows、Intel的PC工作站。
UNIX工作站是一种高性能的专业工作站，具有强大的处理器(以前多采用RISC芯片)和优化的内存、I/O(输入/输出)、图形子系统，使用专有的处理器(Alpha、MIPS、Power等)、内存以及图形等硬件系统，专有的UNIX操作系统，针对特定硬件平台的应用软件，彼此互不兼容。
PC工作站则是基于高性能的X86处理器之上，使用稳定的Windows NT及Windows2000、WINDOWS XP等操作系统，采用符合专业图形标准(OpenGL)的图形系统，再加上高性能的存储、I/O(输入/输出)、网络等子系统，来满足专业软件运行的要求。以Windows 2000/XP/NT为架构的工作站采用的是标准、开放的系统平台，能最大程度的降低拥有成本。
目前，许多厂商都推出了适合不同用户群体的工作站，比如IBM、DELL(戴尔)、HP(惠普)等。
服务器和工作站系统的安装、配置、运行与维护，也是成功网管员必须要具备的重要素质之一。
2、路由器
路由器是网络中进行网间连接的关键设备，作为不同网络之间互相连接的枢纽，路由器系统构成了基于TCP/IP的国际互联网Internet的主体节点，也可以说，路由器构建了Internet的骨架，它的处理速度和可靠性则直接影响着网络互连的质量。
配置路由器有两种方法:一是通过路由器的配置端口，利用微机或终端来配置，二是利用网络通过Telnet命令来配置。不过，要采用第二种方法的前提是用户已经正确配置了路由器各接口的IP地址;所以第一种方法更具有通用性。
目前，生产路由器的厂商，国外主要有CISCO(思科)公司、北电网络等，国内厂商包括华为等。作为网管员来说，必须要能掌握各厂家路由器安装与调试，这是成功网管员必须要具备的素质之一。
3、交换机与集线器(HUB)
交换机的英文名称之为“Switch”，它是集线器的升级换代产品，从外观上来看，它与集线器基本上没有多大区别，都是带有多个端口的长方体。交换机是按照通信两端传输信息的需要，用人工或设备自动完成的方法把要传输的信息送到符合要求的相应路由上的技术统称。
交换机的主要功能包括物理编址、网络拓扑结构、错误校验、帧序列以及流量控制。目前一些高档交换机还具备了一些新的功能，如对VLAN (虚拟局域网)的支持、对链路汇聚的支持，甚至有的还具有路由和防火墙的功能。
交换机是一种基于MAC地址识别，能完成封装转发数据包功能的网络设备。目前，主流的交换机厂商以国外的CISCO(思科)、3COM、安奈特为代表，国内主要有华为、D-LINK等。
集线器的英文称为“Hub”，集线器的主要功能是对接收到的信号进行再生整形放大，以扩大网络的传输距离，同时把所有节点集中在以它为中心的节点上。集线器属于纯硬件网络底层设备，基本上不具有类似于交换机的"智能记忆"能力和"学习"能力。它也不具备交换机所具有的MAC地址表，所以它发送数据时都是没有针对性的，而是采用广播方式发送。
掌握交换机的安装与配置，以及交换机故障日常处理方法，也是成功网管员必须要具备的素质之一。
4、防火墙与入侵检测系统(IDS)
防火墙的英文名为“FireWall”，它是目前一种最重要的网络防护设备。从专业角度讲，防火墙是位于两个(或多个)网络间，实施网络之间访问控制的一组组件集合。防火墙可以使企业内部局域网(LAN)网络与Internet之间或者与其他外部网络互相隔离、限制网络互访用来保护内部网络。
目前国内的防火墙几乎被国外的品牌占据了一半的市场，国外品牌的优势主要是在技术和知名度上比国内产品高。而国内防火墙厂商对国内用户了解更加透彻，价格上也更具有优势。
防火墙产品中，国外主流厂商为思科(Cisco)、CheckPoint、 NetScreen等，国内主流厂商为东软、天融信、联想、方正等，它们都提供不同级别的防火墙产品。
入侵检测系统(IDS，Intrusion Detection Systems)。专业上讲就是依照一定的安全策略，对网络、系统的运行状况进行监视，尽可能发现各种攻击企图、攻击行为或者攻击结果，以保证网络系统资源的机密性、完整性和可用性。
在本质上，入侵检测系统是一个典型的"窥探设备"。它不跨接多个物理网段(通常只有一个监听端口)，无须转发任何流量，而只需要在网络上被动的、无声息的收集它所关心的报文即可。
作为网络安全的重要组成部分，防火墙和IDS是我们日常使用最多的安全设备，因此掌握防火墙和IDS的安装、配置和应用是成功网管员必须要具备的素质之一。
5、其他硬件设备
在综合布线设备中，除了最为主要的传输介质，如双绞线和光纤线缆等以外，还有很多的布线设备在使用。常用的有RJ45插头、信息插座、配线架、光纤连接器、剥线钳、打线钳、网线钳、网线模块以及测线仪器等，网管员必须学会熟练操作使用。
在网络存储中，磁盘阵列是一种把若干硬磁盘驱动器按照一定要求组成一个整体，整个磁盘阵列由阵列控制器管理的系统。磁带库是像自动加载磁带机一样的基于磁带的备份系统，磁带库由多个驱动器、多个槽、机械手臂组成，并可由机械手臂自动实现磁带的拆卸和装填。
它能够提供同样的基本自动备份和数据恢复功能，但同时具有更先进的技术特点。掌握网络存储设备的安装、操作使用也是网管员必须要学会的。
在架构无线局域网时，对无线路由器、无线网络桥接器AP、无线网卡、天线等无线局域网产品进行安装、调试和应用操作。
总之，作为一个成功网管员必须对各种网络设备都要有一定的了解，在具体对待每一个网络产品的使用则要认真仔细，在一定的网络环境中确保设备的正常稳定运行，因此经过努力学习，善于实践，勤于总结，网管员必须要有“广”而“专”的素质，只有这样才能一个真正成功网管员。
满意请采纳。

‘捌’ 做为网络管理员需要掌握那些东西

网管应该会和应该学习的东西

网管主要分为网吧网管和公司网管，而不同类型的网管其在技术上的要求也不尽相同，而且相差很大，那要成为一名网管需要学会哪些技术呢，下面就一起来看看吧！
一、 dos命令[只列出我们工作中可能要用到的]
1、cd 显示当前目录名或改变当前目录。
2、dir 显示目录中的文件和子目录列表。
3、md 创建目录。
4、del 删除一或数个文件。
5、chkdsk 检查磁盘并显示状态报告。
6、cacls 显示或者修改文件的访问控制表(ACL)
7、 将一份或多份文件复制到另一个位置。
8、date 修改日期
9、format 格式化磁盘
10、type 显示文本文件的内容。
11、move 移动文件并重命名文件和目录。
12、expand 展开一个或多个压缩文件。
13、ren 重命名文件。
14、attrib 显示或更改文件属性。
15、time 显示或设置系统时间。
16、at at命令安排在特定日期和时间运行命令和程序。要使用 AT 命令，计划服务必须已在运行中。
17、net [user],[time],[use] 多，自己去查
18、netstat 显示协议统计和当前tcp/ip连接
19、nbtstat 基于NBT（net bios over tcp/ip）的协议统计和当前tcp/ip连接
20、route 操作和查看网络路由表
21、ping 就不说了，大家都熟悉吧
22、nslookup 域名查找
23、edit 命令行下的文本编辑器
24、netsh强大的命令行下修改tcp/ip配置的工具
25、fdisk 相信现在用的人比较少了，不过在没有其他工具的情况，他还是有用的
以上只是列出，具体用法限于篇幅就不写了，各位都知道怎么得到帮助文档。
二、 清除cmos密码方法
1、 直接取下主板上的cmos供电电池
2、 短接bios设置跳线，具体要查看各主板说明书
3、 Debug，下面详细列出命令，换行表示回车
C:/>DEBUG
-o 70 10
-o 71 10
-q
4、下载一个cmos密码查看器
三、基于NT的系统管理员密码忘记后的处理方法
1、如果是装在fat32分区上，直接启动到dos下，删除%systemroot%/system32/config/下的SAM文件
2、如果是装在ntfs分区上，需要一个在dos下支持读写ntfs分区的软件[例如ntfspro]，做法就和上面的一样
3、如果装有双系统，从另一系统进去，删除sam文件[这里又涉及到是否是ntfs，是否另一系统支持ntfs的问题]
4、把硬盘挂接到另一机器上，删除sam文件
5、去一个ERD Commander ，该软件有一个功能就是修改nt/2000/xp的用户密码，包括管理员密码。要想用他，你必须把他刻录到光盘上，从光盘启动进行修改。
四、网络
1、网线的制作，网线，水晶头质量的辨别。
在一个网内，网线制作一定按照一个标准统一制作，一般按照EIA/TIA568 A或EIA/TIA568 B制作。按照一个标准制作的网线，在正式投入使用后，网络出现问题的几率就会很少。
网线质量辨别之我见：网线摸上去比较软、用火烧不会立即燃烧，只是慢慢熔化、包皮上的文字清晰可见，正品的cat5或cat5e字样是小写、拨开包皮，里面的白线不是纯白色，而是有花纹的；水晶头正品的价格一般比较贵，翘起那一部分用手压他，应该感觉比较软，容易压下去，铜片应该不会轻易被腐蚀，出现斑点。
2、熟悉98/nt/2000/xp/2003/linux/unix的网络配置
3、熟悉你的局域网的拓扑结构，走线情况，在hub/交换机/路由器的每个接口上接的网线上标明对应的去处，在某个节点出现问题的时候，以及诊断网络故障很重要，本来这个应该是网络步线时就应该做的，但是很多时候还是得靠我们自己来做。
4、懂得网络测试，熟练使用网络测试仪。了解网络运行情况，这个可以从网关或路由器上着手。熟练运用sniffer/iris等协议分析工具。
5、对各种网络故障的现象有应铭记于心，以及各种解决方法。
6、会封锁ip/mac/端口，限制上网，以及限制下载速度等等。
7、对你管理的各个网络设备的性能、参数、生产商都要非常熟悉。
8、熟悉dos网络命令[ping ,route,net,netstat,nbtstat,netsh,net send,nslookpup,traceroute,]
9、熟悉子网划分和子网掩码的计算
10、熟练配置各种vlan
11、读懂了tcp/ip协议，没有理论的指导，实践就要碰很多钉子
五、病毒知识、黑客知识[对于这两方面的知识而言，可能很多人都只是徘徊在门口]
1、病毒其实就是程序代码的集合，没什么可怕的，只要我们懂得他的原理，工作方式，感染方式，后果，那么我就自然懂得了怎么去防范他，击破他了。对于文件型病毒---一般感染exe文件，他是把自身插到exe文件里去，这里就需要有掌握一些pe文件格式方面的知识了，如果是插入到空隙里，那么插入后文件大小是不会变大，如果插入到文件末尾，那么就要变大。文件型病毒防范措施：（1）经常升级杀毒软件，使用最新的杀毒软件进行查杀；（2）对不明邮件中的附件要特别小心；（3）使用外来介质所带的文件要用杀毒软件进行查杀；（4）如果发现一些不明症状，如可执行文件大小改变。马上给反病毒软件公司发邮件，把样本发过去。对于电子邮件病毒—专门以电子邮件为主要传染渠道的病毒，该病毒实际上是与文件型病毒相结合的产物，将代码直接插入到邮件体和附件里，代码多是用vbs、js等脚本语言编写。通常打开附件有个询问的步骤，但病毒作者却利用了邮件收发程序（如outlook express）的漏洞，使你一单击附件或者只要把鼠标移动到上面就执行病毒程序了，象iloveyou、梅莉莎等病毒就是如此。通常情况下，ie是这样处理邮件附件的，从MIME所指定的文件类型判断，如果附件是文本文件，ie会读它；如果是video clip，ie就查看它；如果附件是图形文件，ie就显示它；但是，如果附件是一个exe的可执行文件，ie会提示你是否执行，在获得你的允许后再执行它，要是遭到拒绝，变放弃，入侵者变在“提示”这一步入手，实
际上，ie的提示全是靠MIME头所指定的类型来判断的。当入侵者将一个exe的附件经过base64编码后，在构造MIME头的时候，在content-type一项里指定为别的类型的文件，如写上audio/x-wav，就可以命令ie将该文件以音频文件尝试打开，这样ie就认为是合法的文件私自运行了，不再询问你要不要执行。防范电子邮件病毒方法：（1）系统设置防范方法---更改脚本文件的打开方式；（2）删除WScript组件，全面禁止脚本的运行，但是一些用vb,java脚本编写的网页特效就再也看不到了；（3）给注册表加锁；（4）显示所有文件的扩展名；（5）阻止病毒自我复制。很多病毒要实现自我复制，都要先建立一个文件系统对象，因此，禁止了FileSystemObject这个对象就可以阻止这种类型的病毒传播了。禁止方法---运行regsvr32 scrrun.dll/u。（6）认为意识的防范---安装实时病毒防火墙/升级ie最新版本/不使用outlook/妥善处理附件。
2、对黑客知识的了解就相当多了，什么木马，漏洞攻击，加密解密、缓冲区溢出，DoS/DDoS、sniffer或许一个人的精力有限，但是你至少应该对一般的黑客知识有个了解。
六、操作系统和服务器
1、作为一个网管，你应该多各种各样的操作系统都熟悉，唯一解决办法就是在你的机器上安装多个系统来学习。一般情况下，要熟悉安装windows系列；如果你还想进一步了解其他操作系统，根据我个人经验，你可选择red hat/mandrake/free bsd[unix]，甚至有机会接触商用的unix系统是最好的了，比如ibm aix /sco unix/hp ux等等，不过这个过程是很漫长的。
2、对于服务器，这里指服务器硬件和服务器软件。服务器和服务器软件是我们管理的对象，每天我们都要面对它们，你应该对硬件比较熟悉，至少你每天玩的服务器应该熟悉，主板、芯片组、cpu、内存，磁盘等都要从技术角度去熟悉它们。服务器软件一般来说需要掌握iis、apache、tomcat、websphere、.net、各种数据库、各种ftp服务器软件、邮件服务器软件的安装、配置、故障处理。哎，基本上每一样都可以写一本书。
七、数据管理、安全管理
1、公司信息化后，什么最重要，数据，所以即使IT总管没叫你写数据管理制度，你也要主动写出来。包括日常数据的存取、数据实时备份，定期备份，备份方式都写清楚。并每天检查是否正确地在执行。可能这个是中国人的劣根性吧，制度好，可执行就是那么难。
2、说到安全，也许很多人都知道安全重要，但实际没做到安全生产。我想这个与一个人的安全意识和计算机水平有关系，一个人想做到安全，但是他无法从技术大会实现，那么我们就应该出现了，一个企业应该有相关的培训。
Ps:不管是数据管理还是安全方面的管理，都涉及到了管理，这个管理不仅仅是我们网管的工作了，应该是一个团体的事情，领导层应该足够重视这些方面的工作。
最后，希望我们的工作得到上司的赞同，并重视我们这一个群体，因为我们确实很重要。

-----------------------------------
成为高级网络管理员必学知识
负责网络的安装、维护和故障检修等工作，使网络正常运行的一名或多名专业人员称为网络管理员。
在《中华人民共和国计算机信息网络国际联网管理暂行规定实施办法》中规定了网络管理员的管理原则、管理手段、管理职责及应遵守的相关法律法规。网络管理员应熟悉被管理网络的类型、功能、拓扑结构、所处的地理环璋、通信设备的性能和能力软件系统的种类和版本，数据库管理系统的数据结构、数据流量和数据处理流程等。在网络系统工程建设后，网络管理员应负责网络的扩展、服务、维护、优化及帮障检修等日常管理工作。

国际标准化组织(ISO)只定义了网络管理的五项功能，而对于每个实际网络的管理模式，由于各个网络的实际情况不同，很难确定每个网络应该采用的标准管理模式。但随着实际网络管理经验的逐步积累，人们逐渐从大量的实践中总结出其不一套行之有效的网络管理模式。

网络服务器的管理

配置和管理服务器属性，安装和设置TCP/IP协议和远程访问服务协议，安装和管理DNS服务器，安装和配置网际命名服务器WINS。安装许可证服务器，为终端服务客户颁发许可证，管理本地和远程式终端。

对服务器上的信息不断地进行充实与更新，更新WWW页面信息、向数据库服务器注入新的数据、管理邮件服务器的用户信箱等。

网络用户的管理

网络管理员在保证网络安全可靠运行的前提条件下，根据单位人员的工作职权和人员变动情况，为每个用户设置账户、密码和分配不同的网络访问权限，设置对Web内容的访问权限等。

单位的主管领导拥有“至高无上”的权限，可以对任何网络服务进行任何操作，享有各种业务数据的访问权限，还要保证机密数据的安全。单位的各部门人员拥有同种权限，可以设置用户组，享有与他们所承担工作相应的权限并能执行与他们工作相关的任务。单位的所有员工都WWW、FTP、E-mail和某些数据库资源进行浏览、查询和下载，使用打印机进行文件打印的基本权限。

限制Web 服务器可登录的账号数量，及时注销过期用户和已挂断的拨号用户，关闭不用的网络服务等。

网络文件和目录的管理

首先要依据网络操作系统选择相应的文件系统。Window NT平台有FAT(文件分配表)和NTFS文件系统，NTFS是Windows NT提供的高性能、高可靠性和高安全性的网络文件系统。

设置目录和文件的共享权限和安全性权限，导出需共享的目录，建立逻辑驱动器与共享目录的连接。

检查文件系统的安全，定期地搜索系统信息并与主检查表进行比较，查找所有未授权用户随意修改的文件，并且应该确保在被修改之后能够恢复文件系统。

防止数据丢失和数据修复，网络数据备份和建立数据镜像站点(将数据完全地复制到另一台计算机上)，数据文件重定向恢复和对敏感数据的加密管理等。

网络打印机的配置和管理

创建网络打印机服务器，设置网络打印机的策略、共享属性和安全规则。

IP地址的管理

IP地址管理是计算机网络能够保持高效运行的关键。如果IP地管理不当，网络很容易出现IP地址冲突，就会导致合法的IP地址用户不能正常享用网络资源，影响网络正常业务的开展。

目前中小型计算机网络中大多数采用C类地址，每个IP子网可以拥有200台计算机或网络设备，待日后计算机网络扩展。IP地址的分配一般有三种途径：

一是给网络设备分配特定的IP地址。对于服务器、经常上网的计算机和网络设备一般给予一个固定的IP地址。

二是对某些计算机的IP地址进行动态分配，对于那些不经常上网或是移动性较强的计算机，可以采用动态主机配置协议(DHCP)来动态配置IP地址，以节约IP地址资源，也便于网络管理员对这些网络设备的管理。

三是对一些工作站的访问分配公用IP地址。当一个工作站需要对网络进行访问时，集中式IP管理软件为它为配一个IP地址：当工作站完成对网络的访问后，收回分配给工作站的IP地址，这个IP地址成为公用的IP地址。

网络安全管理

网络管理员导出监视配置，设置图表视图选项、系统管理报警选项、事件日志类型。建立审核策略，监视网络活动、网络流量和网络服务。进行帮障的分主测试，分析网络帮障发生概率，严格管理防火墙账号和口令，堵塞入侵者的功击路径，应会入侵者功击等。

网络布线的日常维护

根据员工的调动与工作需要在网络上增加新的服务器、工作站和联网设备，替换被损坏的线缆或排除网络线缆接头帮障等，都需要对网络布线系统进行维护。

(1)建立网络布线基准文档。在线缆系统安装后，网络管理员使用电缆测试仪对线缆进行周期性检测，确保布线系统的质量。在评估认证后，将电缆测试仪存储的测试结果复制到计算机上并打印出来，作为网络布线基准文档。

(2)网络布线故障的测试与定位。将网络布线系统分割为若干个逻辑元素，每个逻辑元素包含一段岩固定链路、分线盒和跳接电缆。使用电缆测试仪逐个测试逻辑元素，若电缆测试仪显示开路的距离，可以确定开路或短路的位置；若发现接线映射故障，多数是固定链路两端的误接；若是衰减过在，多数是劣质电缆。使用替代法验证可疑元件。

关键设备的管理

计算机网络 有的关键设备一般包括网络的主干交换机、中心路由器以及关键服务器。对这些网络设备的管理，除了通过风管软件实行监视其工作状态外，更要做好它们的备份工作。现在许多厂商都推出了关键服务器备份解决方案，备份服务器能够保持与主服务器之间的操作和运行同步，这样就保证了关键数据库的数据一致性和可靠性，以备将来主服务器出现故障时备份服务器及时替代主服务器的工作。

路由器与广域风连接一般通过在其他广域风端口上配置V.25bis接口来做高可靠性广域网连接的拨号备份，当主链路因故障断开时，备份链路就能够及时拨号建立，继续主链路上的数据传输。

对主干交换机的备份，目前似乎很少有厂商能提供比较系统的解决方案，因而只有靠网络管理员在日常管理中加强对主干交换机的性能和工作状态的监视，以维护网络主干交换机的正常工作。

‘玖’ 公司中网络管理员都需要些什么技能啊

网络管理员需要的技能：
1：了解网络设计
拥有丰富的网络设计知识，熟悉网络布线规范和施工规范，了解交换机、路由器、服务器等网络设备，掌握局域网基本技术和相关技术，规划设计包含路由的局域网络和广域网络，为中小型网络提供完全的解决方案。
2：掌握网络施工
掌握充分的网络基本知识，深入了解TCP/IP网络协议，独立完成路由器、交换机等网络设备的安装、连接、配置和操作，搭建多层交换的企业网络，实现网络互联和Internet连接。掌握网络软件工具的使用，迅速诊断、定位和排除网络故障，正确使用、保养和维护硬件设备。
3：熟悉网络安全
设计并实施完整的网络安全解决方案，以降低损失和被攻击风险。在Internet和局域网络中，路由器、交换机和应用程序，乃至管理不严格的安全设备，都可能成为遭受攻击的目标。网管必须全力以赴，加强戒备，以防止来自黑客、外来者甚至心怀不满的员工对信息安全、信息完整性以及日常业务操作的威胁。
4：熟悉网络操作系统
熟悉Windows和Linux操作系统，具备使用高级的Windows和Linux平台，为企业提供成功的设计、实施和管理商业解决方案的能力。
5：了解Web数据库
了解Web数据库的基本原理，能够围绕Web数据库系统开展实施与管理工作，实现对企业数据的综合应用。
6：素质能力
具有强烈的求知欲且能自学的能力，相关的计算机专业词汇英文阅读能力，动手能力，较强的应变能力，敏锐的观察能力和出色的分析判断能力。

网络管理员行业对网络管理员的要求基本就是大而全，不需要精通，但什么都得懂一些。所以，总结下来，一个合格的网络管理员最好在网络操作系统、网络数据库、网络设备、网络管理、网络安全、应用开发等六个方面具备扎实的理论知识和应用技能，才能在工作中做到得心应手，游刃有余。国家职业资格考试资格证对网管员的定义是从事计算机网络运行、维护的人员应用能力认定。
按照国际标准化组织(ISO)的定义，网络管理是指规划、监督、控制网络资源的使用和网络的各种活动，以使网络的性能达到最优。一般而言，网络管理有五大功能：失效管理、配置管理、性能管理、安全管理和计费管理。目前有影响的网络管理协议是SNMP（Simple Network Management Protocol, 简单网络管理协议）、CMIS/CMIP（the Common Management Information Service/Protocol, 公共管理信息服务和协议）和RMON（远程监控）。

‘拾’ 中华人民共和国计算机信息网络国际联网管理暂行规定

第一条为了加强对计算机信息网络国际联网的管理，保障国际计算机信息交流的健康发展，制定本规定。第二条中华人民共和国境内的计算机信息网络进行国际联网，应当依照本规定办理。第三条本规定下列用语的含义是：
（一）计算机信息网络国际联网（以下简称国际联网），是指中华人民共和国境内的计算机信息网络为实现信息的国际交流，同外国的计算机信息网络相联接。
（二）互联网络，是指直接进行国际联网的计算机信息网络；互联单位，是指负责互联网络运行的单位。
（三）接入网络，是指通过接入互联网络进行国际联网的计算机信息网络；接入单位，是指负责接入网络运行的单位。第四条国家对国际联网实行统筹规划、统一标准、分级管理、促进发展的原则。第五条国务院经济信息化领导小组（以下简称领导小组），负责协调、解决有关国际联网工作中的重大问题。
领导小组办公室按照本规定制定具体管理办法，明确国际出入口信道提供单位、互联单位、接入单位和用户的权利、义务和责任，并负责对国际联网工作的检查监督。第六条计算机信息网络直接进行国际联网，必须使用邮电部国家公用电信网提供的国际出入口信道。
任何单位和个人不得自行建立或者使用其他信道进行国际联网。第七条已经建立的互联网络，根据国务院有关规定调整后，分别由邮电部、电子工业部、国家教育委员会和中国科学院管理。
新建互联网络，必须报经国务院批准。第八条接入网络必须通过互联网络进行国际联网。
拟建立接入网络的单位，应当报经互联单位的主管部门或者主管单位审批；办理审批手续时，应当提供其计算机信息网络的性质、应用范围和所需主机地址等资料。第九条接入单位必须具备下列条件：
（一）是依法设立的企业法人或者事业法人；
（二）具有相应的计算机信息网络、装备以及相应的技术人员和管理人员；
（三）具有健全的安全保密管理制度和技术保护措施；
（四）符合法律和国务院规定的其他条件。第十条个人、法人和其他组织（以下统称用户）使用的计算机或者计算机信息网络，需要进行国际联网的，必须通过接入网络进行国际联网。
前款规定的计算机或者计算机信息网络，需要接入接入网络的，应当征得接入单位的同意，并办理登记手续。第十一条国际出入口信道提供单位、互联单位和接入单位，应当建立相应的网络管理中心，依照法律和国家有关规定加强对本单位及其用户的管理，做好网络信息安全管理工作，确保为用户提供良好、安全的服务。第十二条互联单位与接入单位，应当负责本单位及其用户有关国际联网的技术培训和管理教育工作。第十三条从事国际联网业务的单位和个人，应当遵守国家有关法律、行政法规，严格执行安全保密制度，不得利用国际联网从事危害国家安全、泄露国家秘密等违法犯罪活动，不得制作、查阅、复制和传播妨碍社会治安的信息和淫秽色情等信息。第十四条违反本规定第六条、第八条和第十条规定的，由公安机关或者公安机关根据国际出入口信道提供单位、互联单位、接入单位的意见，给予警告、通报批评、责令停止联网，可以并处15000元以下的罚款。第十五条违反本规定，同时触犯其他有关法律、行政法规的，依照有关法律、行政法规的规定予以处罚；构成犯罪的，依法追究刑事责任。第十六条与台湾、香港、澳门地区的计算机信息网络的联网，参照本规定执行。第十七条本规定自发布之日起施行。