综合使用用户认证、访问控制、数据传输、存储的保密与完整性机制,以保障网络管理系统本身的安全。维护系统日志,使系统的使用和网络对象的修改有据可查。控制对网络资源的访问。
安全管理的功能分为两部分,首先是网络管理本身的安全,其次是被管网络对象的安全。
(1)网络本身的安全管理
网络管理过程中,存储和传输的管理和控制信息对网络的运行和管理至关重要,该信息旦泄密、被篡改和伪造,将给网络造成灾难性的破坏。网络管理本身的安全由以下机制保证:
管理员身份认证采用基于公开密钥的证书认证机制。为提高系统效率,对于信任域内(如局域网)的用户,可以使用简单口令认证。
管理信息存储和传输的加密与完整性。Web浏览器和网络管理服务器之间采用安全套接字层(SSL)传输协议,对管理信息加密传输并保证其完整性;内部存储的机密信息,如登录口令等,也是经过加密的。
网络用户分组管理与访问控制。网络管理系统的用户(即管理员)按任务的不同分成若干用户组,不同的用户组有不同的权限范围,对用户的操作由访问控制检查,保证用户不能越权使用网络管理系统。
系统日志分析。记录用户所有的操作,使系统的操作和对网络对象的修改有据可查,同时也有助于故障的跟踪与恢复。
(2)网络对象的安全管理
网络资源的访问控制。通过管理路由器的访问控制列表,完成防火墙的管理功能,即从网络层(IP)和传输层(TCP)控制对网络资源的访问,保护网络内部的设备和应用服务,防止外来的攻击。
告警事件分析。接收网络对象所发出的告警事件,分析安全相关的信息(如路由器登录信息、SNMP认证失败信息),实时地向管理员告警,并提供历史安全事件的检索与分析机制,及时地发现正在进行的攻击或可疑的攻击迹象。
主机系统的安全漏洞检测。实时监测主机系统的重要服务(如WWW,DNS等)的状态,提供安全监测工具,搜索系统可能存在的安全漏洞或安全隐患,并给出弥补的措施。
总之,网络管理通过网关(即边界路由器)控制外来用户对网络资源的访问,以防止外来的攻击;通过告警事件的分析处理,以发现正在进行的可能的攻击;通过安全漏洞检测来发现存在的安全隐患,防患于未然。
