求一篇关于SNMP网络管理安全方面的论文

一、网络安全
由于网络与Internet广泛使用，数据在存储和传输中可能被盗用。暴露或篡改，网络软件也可能遭受恶意程序的攻击而使网络瘫痪，因此，计算机网络安全的内容主要是：
1、为用户提供可靠的保密通信。
2、设计安全的通信协议
3、对接入网络的权限加以控制，防止什么人都可以访问网络。
一般来说网络安全包括防火墙、加密与论证、网络安全扫描、网站监控与侦测、备份与恢复等多种技术。
二、网络管理的功能
用软件的手段对网络上的通信设备及传输系统进行有效的监视、控制、诊断和测试所采用的技术和方法即称为网络管理。网络管理主要涉及三个方面：网络服务提供、网络维护、网络处理。
为了支持各种网络的互联管理要求，OSI网络管理标准将开放系统的网络管理功能划分成五个功能域：配置管理、故障管理、性能管理、安全管理和记帐管理。
三、网络管理协议
网络管理协议是代理和网络管理软件交换信息的方式，它定义使用什么传输机制，代理上存在何种信息以及信息格式的编排方式。常用的有SNMP和RMON。
1、SNMP是简单网络管理协议，是TCP/IP协议簇中的一个应用层协议。它使网络设备彼此之间可以交换管理信息，使网络管理员能够管理网络的性能，定位和解决网络故障，进行网络规划。SNMP的网络管理模型由三个关键元素组成，即被管理的对象、代理（agent）和网络管理系统（Network Managenment System）。
2、RMON（Remote Monitoring）
RMON的中文含义是远程监控，它是关于通信量管理的标准化规定，其目的就是要测定、收集网络的性能，为网络管理员提供复杂的网络错误诊断和性能调整信息。
四、相关的法律法规
下表列出了我国关于网络管理的相关法律法规
表 我国关于网络管理的相关法律法规
相应法律、法规 发布部门 时间
维护网络安全的决定 刑法 20001228
中华人民共和国电信条例 国务院 2000925
互联网信息服务管理办法 国务院 2000925
互联网电子公告服务管理规定 信息产业部 2000117
电信网间互联管理暂行规定 信息产业部 199997
网站和网校暂行管理办法 教育部 2000629
网上证券委托暂行管理办法 中国证券监督管理委员会 2000429
网上银行业务管理暂行办法 中国证券监督管理委员会 200179
五、网络管理的相关技术
1、网络病毒及其防范
（1）定义
计算机病毒是一些人为编制的程序，通过非授权人侵而隐藏在执行程序或文件中，当计算机运行时，病毒能自身复制或有修改地复制到其他程序中，破坏正常程序的执行和数据安全，影响计算机的使用，具有相当大的破坏作用。
计算机病毒一般由传染部分和表现部分组成，传染部分负责病毒的传播扩散，表现部分又可分为计算机屏幕显示部分及计算机资源破坏部分，表现部分是病毒的主体，传染部分是表现部分的载体，表现和破坏是有条件的，条件不满足或电动机不成熟是不会表现出来的。
（2）分类
按病毒的寄生媒介分为入侵型病毒、源码型病毒、外壳型病毒、 *** 作系统型病毒。
按病毒的表现性质分
良性病毒： 只扩散和感染，浪费一些存储空间，降低系统工作效率。
恶性病毒：可破坏系统的资源如破坏数据、删除文件、格式化硬盘等。
按病毒感染的目标分
引导型病毒：此类病毒使磁盘引导扇区内容转移取而代之的是病毒引导程序。
文件型病毒：它可将病毒和程序嵌入到可执行文件中并取得执行权。
混合型病毒：此类病毒既可感染磁盘引导扇区也可感染可执行文件。
（3）主要特征
传染性、隐蔽性、破坏性、扩散性。
（4）防治
可利用软件或硬件技术来检测和消除计算机病毒，目前经常使用的有防病毒软件如金山毒霸、瑞星杀毒软件和防病毒卡。
在计算机网络中，则采用多层防御系统，从网络系统的各组成部分来看，多层防御的网络防毒系统由用户桌面、服务器、Internet网关和防火墙四部分组成，而且具有层次性、集成性、自动化三个特点。
2、黑客及黑客入侵
黑客常常在未经许可的情况下通过技术手段登录到他人的网络服务器甚至是连接在网络上的单机，并对网络进行一些未经授权的 *** 作。黑客攻击网络计算机的手段主要有非授权访问、破坏数据完整性、拒绝服务攻击、利用网络传播病毒等。而对黑客的防范主要采用法律手段、技术手段、管理手段三者的有机结合来进行。
3、防火墙技术
防火墙（Firewall）是指一种由软件或硬件设备组合而成，处于企业或网络群体计算机与外界通道（如Internet）之间，限制外界用户对内部网络访问及管理内部用户访问外界网络的权限机制。防火墙一般设置在被保护网络和外部网络之间，以防止发生不可预测的、潜在破坏性的侵入。在逻辑上，防火墙是一个分离器，一个限制器，也是一个分析器，有效地监控了内部网和Internet之间的任何活动，保证了内部网络的安全。
根据防火墙的位置可分为内部防火墙和外部防火墙。内部防火墙的任务经常是在各个部门子网之间进行通信检查控制，外部防火墙则将企业网与外部Internet隔离开来。但是防火墙并不是万能的，如它无法防止来自防火墙内侧的攻击，一般来说防火墙擅长于保护设备服务而不擅长保护数据。
一般而言，防火墙可分为硬件防火墙和软件防火墙。硬件防火墙采用专门的硬件设备来实现，一般可以得到更快的处理速度，但价格较高，如NetScreen 、UF3100硬件防火墙等，而软件防火墙则通过为实现，价格低且容易升级。
表 两种防火墙技术的比较
防火墙技术 实现方法 优点 缺点
软件防火墙 安装在主要上的软件 版本可以升级 开放性，易遭人为损坏
硬件防火墙 固化在器件中 稳定、可靠 不易升级
根据防火墙实现的机制不同也可将防火墙分为包过滤防火墙和应用级防火墙。
通常防火墙技术主要是有包过滤技术、应用级网关、代理服务器。

黑客对服务器进行扫描是轻而易举的，一旦找到了服务器存在的问题，那么后果将是严重的。这就是说作为网络管理员应该采取不要的手段防止黑客对服务器进行扫描，本节我将谈谈如何才能让自己的服务器免遭黑客扫描。一、防范黑客心得体会：1、屏蔽可以IP地址：这种方式见效最快，一旦网络管理员发现了可疑的IP地址申请，可以通过防火墙屏蔽相对应的IP地址，这样黑客就无法在连接到服务器上了。但是这种方法有很多缺点，例如很多黑客都使用的动态IP，也就是说他们的IP地址会变化，一个地址被屏蔽，只要更换其他IP仍然可以进攻服务器，而且高级黑客有可能会伪造IP地址，屏蔽的也许是正常用户的地址。2、过滤信息包：通过编写防火墙规则，可以让系统知道什么样的信息包可以进入、什么样的应该放弃，如此一来，当黑客发送有攻击性信息包的时候，在经过防火墙时，信息就会被丢弃掉，从而防止了黑客的进攻。但是这种做法仍然有它不足的地方，例如黑客可以改变攻击性代码的形态，让防火墙分辨不出信息包的真假；或者黑客干脆无休止的、大量的发送信息包，知道服务器不堪重负而造成系统崩溃。3、修改系统协议：对于漏洞扫描，系统管理员可以修改服务器的相应协议，例如漏洞扫描是根据对文件的申请返回值对文件存在进行判断的，这个数值如果是200则表示文件存在于服务器上，如果是404则表明服务器没有找到相应的文件，但是管理员如果修改了返回数值、或者屏蔽404数值，那么漏洞扫描器就毫无用处了。4、经常升级系统版本：任何一个版本的系统发布之后，在短时间内都不会受到攻击，一旦其中的问题暴露出来，黑客就会蜂拥而致。因此管理员在维护系统的时候，可以经常浏览著名的安全站点，找到系统的新版本或者补丁程序进行安装，这样就可以保证系统中的漏洞在没有被黑客发现之前，就已经修补上了，从而保证了服务器的安全。5、及时备份重要数据：亡羊补牢，如果数据备份及时，即便系统遭到黑客进攻，也可以在短时间内修复，挽回不必要的经济损失。想国外很多商务网站，都会在每天晚上对系统数据进行备份，在第二天清晨，无论系统是否收到攻击，都会重新恢复数据，保证每天系统中的数据库都不会出现损坏。数据的备份最好放在其他电脑或者驱动器上，这样黑客进入服务器之后，破坏的数据只是一部分，因为无法找到数据的备份，对于服务器的损失也不会太严重。然而一旦受到黑客攻击，管理员不要只设法恢复损坏的数据，还要及时分析黑客的来源和攻击方法，尽快修补被黑客利用的漏洞，然后检查系统中是否被黑客安装了木马、蠕虫或者被黑客开放了某些管理员账号，尽量将黑客留下的各种蛛丝马迹和后门分析清除、清除干净，防止黑客的下一次攻击。6、使用加密机制传输数据：对于个人xyk、密码等重要数据，在客户端与服务器之间的传送，应该仙经过加密处理在进行发送，这样做的目的是防止黑客监听、截获。对于现在网络上流行的各种加密机制，都已经出现了不同的破解方法，因此在加密的选择上应该寻找破解困难的，例如DES加密方法，这是一套没有逆向破解的加密算法，因此黑客的到了这种加密处理后的文件时，只能采取暴力破解法。个人用户只要选择了一个优秀的密码，那么黑客的破解工作将会在无休止的尝试后终止。二、防火墙使用说明：1．什么是防火墙？防火墙的英文叫做firewall，它能够在网络与电脑之间建立一道监控屏障，保护在防火墙内部的系统不受网络黑客的攻击。逻辑上讲，防火墙既是信息分离器、限制器，也是信息分析器，它可以有效地对局域网和Internet之间的任何活动进行监控，从而保证局域网内部的安全。网络上最著名的软件防火墙是LockDown2000，这套软件需要经过注册才能获得完整版本，它的功能强大，小到保护个人上网用户、大到维护商务网站的运作，它都能出色的做出惊人的表现。但因为软件的注册需要一定费用，所以对个人用户来说还是选择一款免费的防火墙更现实。天网防火墙在这里就更加适合个人用户的需要了，天网防火墙个人版是一套给个人电脑使用的网络安全程序，它能够抵挡网络入侵和攻击，防止信息泄露。2、天网防火墙的基本功能：天网防火墙个人版把网络分为本地网和互联网，可以针对来自不同网络的信息，来设置不同的安全方案，以下所述的问题都是针对互联网而言的，故所有的设置都是在互联网安全级别中完成的。 怎样防止信息泄露？ 如果把文件共享向互联网开放，而且又不设定密码，那么别人就可以轻

防火墙的概念
防火墙是汽车中一个部件的名称。在汽车中，利用防火墙把乘客和引擎隔开，以便汽车引擎一旦著火，防火墙不但能保护乘客安全，而同时还能让司机继续控制引擎。再电脑术语中，当然就不是这个意思了，我们可以类比来理解，在网络中，所谓“防火墙”，是指一种将内部网和公众访问网(如Internet)分开的方法，它实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制尺度，它能允许你“同意”的人和数据进入你的网络，同时将你“不同意”的人和数据拒之门外，最大限度地阻止网络中的黑客来访问你的网络。换句话说，如果不通过防火墙，公司内部的人就无法访问Internet，Internet上的人也无法和公司内部的人进行通信。
防火墙的功能
1防火墙是网络安全的屏障：
一个防火墙（作为阻塞点、控制点）能极大地提高一个内部网络的安全性，并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙，所以网络环境变得更安全。如防火墙可以禁止诸如众所周知的不安全的NFS协议进出受保护网络，这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络。防火墙同时可以保护网络免受基于路由的攻击，如IP选项中的源路由攻击和ICMP重定向中的重定向路径。防火墙应该可以拒绝所有以上类型攻击的报文并通知防火墙管理员。
2防火墙可以强化网络安全策略：
通过以防火墙为中心的安全方案配置，能将所有安全软件（如口令、加密、身份认证、审计等）配置在防火墙上。与将网络安全问题分散到各个主机上相比，防火墙的集中安全管理更经济。例如在网络访问时，一次一密口令系统和其它的身份认证系统完全可以不必分散在各个主机上，而集中在防火墙一身上。
3对网络存取和访问进行监控审计：
如果所有的访问都经过防火墙，那么，防火墙就能记录下这些访问并作出日志记录，同时也能提供网络使用情况的统计数据。当发生可疑动作时，防火墙能进行适当的报警，并提供网络是否受到监测和攻击的详细信息。另外，收集一个网络的使用和误用情况也是非常重要的。首先的理由是可以清楚防火墙是否能够抵挡攻击者的探测和攻击，并且清楚防火墙的控制是否充足。而网络使用统计对网络需求分析和威胁分析等而言也是非常重要的。
4防止内部信息的外泄：
通过利用防火墙对内部网络的划分，可实现内部网重点网段的隔离，从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。再者，隐私是内部网络非常关心的问题，一个内部网络中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣，甚至因此而暴漏了内部网络的某些安全漏洞。使用防火墙就可以隐蔽那些透漏内部细节如Finger，DNS等服务。Finger显示了主机的所有用户的注册名、真名，最后登录时间和使用shell类型等。但是Finger显示的信息非常容易被攻击者所获悉。攻击者可以知道一个系统使用的频繁程度，这个系统是否有用户正在连线上网，这个系统是否在被攻击时引起注意等等。防火墙可以同样阻塞有关内部网络中的DNS信息，这样一台主机的域名和IP地址就不会被外界所了解。
除了安全作用，防火墙还支持具有Internet服务特性的企业内部网络技术体系（虚拟专用网）。
防火墙的分类
根据网络体系结构来进行分类，可以有以下几种类型的防火墙：
1网络级防火墙
一般是基于源地址和目的地址、应用或协议以及每个IP包的端口来作出通过与否的判断。一个路由器便是一个“传统”的网络级防火墙，大多数的路由器都能通过检查这些信息来决定是否将所收到的包转发，但它不能判断出一个IP包来自何方，去向何处。
先进的网络级防火墙可以判断这一点，它可以提供内部信息以说明所通过的连接状态和一些数据流的内容，把判断的信息同规则表进行比较，在规则表中定义了各种规则来表明是否同意或拒绝包的通过。包过滤防火墙检查每一条规则直至发现包中的信息与某规则相符。如果没有一条规则能符合，防火墙就会使用默认规则，一般情况下，默认规则就是要求防火墙丢弃该包。其次，通过定义基于TCP或UDP数据包的端口号，防火墙能够判断是否允许建立特定的连接，如Telnet、FTP连接。
下面是某一网络级防火墙的访问控制规则：
(1)允许网络2103400使用FTP(21口)访问主机19216811；
(2)允许IP地址为210340207的用户Telnet(23口)到主机19216812上；
(3)允许任何地址的E-mail(25口)进入主机19216815；
(4)允许任何>常用的应用级防火墙已有了相应的代理服务器， 例如： >理光1356机器对色粉的流动性要求高，就是色粉的流动性要很好，最好保持用一种好用的色粉，觉得成本能接受以后，不要再挑便宜的来用。色粉不好以后，SC487废粉量增加，色粉回收时堵住了排粉口，排粉口位置 在鼓的正后方，后左上盖打开后，在鼓回收刮片正后方处，可以看到一个透明塑料的废粉回收管道，侧面有个光电传感器，487代码就是这个传感器检测不畅，报警，废粉无法正常回到废粉盒内。
更规范的说法是：
SC-487 色粉收集单元锁定
由于色粉在收集单元中结块，鼓电机开启后，色粉收集线圈旋转传感器在5s 内未检测到线圈旋转。
备注：
1 可驱动清洁和色粉传送机构的驱动齿轮配备了一个扭矩限制器。 如果色粉收集线圈旋转过载，扭矩限制器将会使驱动齿轮脱离。
2传感器（光断续器）在齿轮位置检测到变化，从而触发错误。
3出现提醒 *** 作人员更换色粉收集单元的信息后若送入8K 张纸，将出现SC 代码。 送入8K 张纸后，机器将停止。
4 执行SP2950-1，输入“0”，然后关闭/开启机器
5 清空或更换色粉收集瓶。

---