在网络的运行和维护过程中,除了提供正常的网络服务外,管理员的主要任务就是采取各种措施保证网络能够高效安全地运行。对内要考虑人员、环境和软硬件配置等问题,对外要考虑非法访问、病毒和黑客攻击,以及远程控制等问题。这样就要求管理员和用户要统筹安排,从整个网络的角度考虑网络性能和安全性的提高。
7.1.1 网络性能分析
对于任何一个网络系统来说,在安装之前都应进行详细的需求分析,认真地讨论,最后设定方案,并对所设计的方案进行讨论,寻找最佳方案。尽管这样,在网络使用过程中还会出现各种各样的问题。由于网络的流量及用户请求使用资源的随机性都会或多或少地影响网络的性能,因此在网络维护过程中应随时分析网络中各种资源的使用情况,找出影响网络性能的“瓶颈”,然后尽量减轻“瓶颈”的影响,即对网络进行优化。
为了提高系统性能,必须确定系统中哪一部分的速度慢,可能是机器上的内存、CPU和网卡的速度或其他因素,这个限制因素就称为系统的瓶颈。为了找出瓶颈,必须随时监视网络性能的变化,确定瓶颈的位置,然后尽可能加以改善,或记录备案,以用于规划未来的网络发展。
● 如果瓶颈出在内存,则应首先考虑是否能在物理上增加内存。如果不可能实现,那么应考虑该瓶颈是经常性的还是偶然性的。如果是偶然性的,可找出引起内存瓶颈的进程,必要时先停止该进程,当网络比较空闲时再运行该进程。而对于经常性的瓶颈,则应考虑减少用户数或同时登录的用户数。
● 如果是CPU的问题,则可考虑选择高速度、高性能的CPU,或采用多处理器的方法。有多处理器的系统可同时运行多个线程。
● 如果是网卡速度的问题,则应首先弄清现在所使用的网卡是哪种类型的网卡,性能和速度如何,然后考虑计算机本身是否还可以支持更高级的网卡。
● 如果是其他问题则应分别加以考虑。在考虑时,首先看系统本身是否可以解决,然后再考虑是否需要添加硬件或升级硬件。
只有减少瓶颈问题,网络系统本身才能够得以优化。但由于各种条件的原因,瓶颈仍可能存在,并且短时间内无法减轻。此时可首先记录下瓶颈的严重状态,并加以跟踪,以便在未来的网络发展中加以考虑。
7.1.2 网络安全分析
计算机网络的不断发展已经使全球信息化成为人类发展的大趋势,但是,由于计算机网络具有联接形式多样性、终端分布不均匀性和网络的开放性、互连性等特征,致使网络易受黑客、恶意软件和其他不轨行为的攻击,所以网上信息的安全和保密是一个至关重要的问题。特别是对于军用的自动化指挥网络、国家安全系统和银行系统等传输敏感数据的计算机网络系统而言,其网上信息的安全和保密尤为重要。另外,无论是在局域网中还是在广域网中,都存在着各种自然的或者人为的因素,是网络中潜在的威胁。因此,网络安全措施应是能全方位的,而且针对各种不同的威胁,只有这样才能确保网络信息的保密性、完整性和可用性。
简单地说,网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不被偶然的或者恶意的攻击而遭到破坏、更改和泄露,而且网络系统连续可靠地正常运行。而实际上,网络安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。
从安全主体的角度来分,网络安全包括两个方面的内容,一个是网络设备安全,一个是网络信息(数据)安全。其中,网络设备安全是指人为的或自然的因素导致网络设备被破坏,进而导致网络系统瘫痪和数据流失。网络信息安全一般是指网络信息的机密性、完整性、可用性及真实性。网络信息的机密性是指网络信息的内容不会被未授权的用户所知。网络信息的完整性是指信息在存储或传输时不被修改或破坏,不出现信息包的丢失和乱序等,而且不能被未授权的用户修改。信息的完整性是信息安全的基本要求,破坏信息的完整性是影响信息安全的常用手段。当前,运行于互联网上的协议(如TCP/IP等),能够确保信息在数据包级别的完整性,但却无法制止未授权的用户对信息包内部的修改。网络信息的可用性包括对网络静态信息(存储于网络节点上信息资源)的可操作性及对动态信息(传播于网络节点间的信息)的可见性。网络信息的真实性是指信息的可信度,主要是指对信息所有者或发送者的身份的确认。
影响计算机网络安全的因素很多,有些因素可能是有意的,也可能是无意的,可能是人为的,也可能是自然的,综合起来,主要包括以下4个方面:
● 人为的失误:如操作员安全配置不当造成的安全漏洞,用户安全意识不强,用户口令选择不慎,用户将自己的账号随意转借他人或与别人共享等都会对网络安全带来威胁。
● 人为的恶意攻击:这是计算机网络所面临的最大威胁,黑客的攻击和计算机犯罪就属于这一类。此类攻击又可以分为以下两种:一种是主动攻击,它以各种方式(例如病毒和特洛伊木马)有选择地破坏信息的有效性和完整性;另一类是被动攻击,它是在不影响网络正常工作的情况下,进行截获、窃取、破译以获得重要机密信息。这两种攻击均可对计算机网络造成极大的危害,并导致机密数据的泄漏。
● 网络软件的漏洞和“后门”:无论多么优秀的网络软件,都可能存在这样那样的缺陷和漏洞,而那些水平较高的黑客就将这些漏洞和缺陷作为网络攻击的首选目标。在曾经出现过的黑客攻击事件中,大部分都是因为软件安全措施不完善所招致的苦果。一般,软件的“后门”都是软件公司的设计和编程人员为了为方便设计而设置的,很少为外人所知。不过,一旦“后门”公开或被发现,其后果将不堪设想。
● 天灾人祸:这类网络威胁主要是指那些不可预测的自然灾害和人为恶性事件。例如,台风、地震、火山喷发、洪水,以及人为纵火、恶意破坏、恶意偷盗、爆炸和撞机等,最近纽约发生的“911”事件是一个非常好的事例。对于一个公司的内部网络来说,发生天灾人祸的几率是非常小的。但是,一旦发生,后果将是非常严重的,甚至是毁灭性的,万万不可疏于防范。
根据网络安全的主体和可能存在的各种威胁,网络管理员需要为网络制定各种安全策略,其中最常用的策略是以下4种:
● 物理安全策略:物理安全策略的目的是保护计算机系统、网络服务器和打印机等硬件实体和通信链路免受自然灾害、人为破坏和搭线攻击。这种安全策略需要验证用户的身份和使用权限、防止用户越权操作;确保计算机系统有一个良好的电磁兼容工作环境;建立完备的安全管理制度,防止非法进入计算机控制室和各种偷窃、破坏活动的发生。
● 访问控制策略:访问控制策略是网络安全防范和保护的主要策略,包括入网访问控制、网络的权限控制、目录级安全控制、属性安全控制、网络服务器安全控制、网络监测和锁定控制、网络端口和节点的安全控制,以及防火墙控制等,主要任务是保证网络资源不被非法使用和非正常访问。它也是维护网络系统安全、保护网络资源的重要手段。各种安全策略必须相互配合才能真正起到保护作用,但访问控制可以说是保证网络安全最重要的核心策略之一。
● 信息加密策略:信息加密策略的目的是保护网络中的数据、文件、密码和控制信息,保护网上传输的数据。网络加密常用的方法有链路加密、端点加密和节点加密3种。链路加密的目的是保护网络节点之间的链路信息安全;端点加密的目的是对源端用户到目的端用户的数据提供保护;节点加密的目的是对源节点到目的节点之间的传输链路提供保护。信息加密过程是由形形色色的加密算法来具体实施,它以很小的代价提供很大的安全保护。用户可根据网络情况酌情选择上述加密方式。
● 网络安全管理策略:在网络安全中,除了采用上述技术措施之外,加强网络的安全管理,制定有关规章制度,对于确保网络安全可靠地运行将起到十分有效的作用。网络的安全管理策略包括:确定安全管理等级和安全管理范围;制订有关网络操作使用规程和人员出入机房管理制度;制定网络系统的维护制度和应急措施等。
从上面的内容可以看出,网络安全策略所包含的范围非常广,不但需要先进的技术,还需要其他部门和人员的通力配合。不过,从管理员和系统的角度考虑,网络安全主要涉及到用户管理、目录安全、防火墙、病毒防治和数据备份等。由于用户管理和目录安全等内容在前面已经介绍过,本章只对防火墙的构建、病毒的防治和数据的备份进行详细的介绍。