免费智能真题库 > 历年试卷 > 信息系统管理工程师 > 2009年下半年 信息系统管理工程师 上午试卷 综合知识
  第60题      
  知识点:   安全管理   故障管理   计费管理   配置管理   网络安全   网络的管理   网络管理   网络安全管理   网络设备
  关键词:   安全管理   故障管理   计费管理   配置管理   网络安全   网络管理   网络设备   安全   故障   网络        章/节:   网络管理与网络软件基础知识       

 
网络管理包含5部分内容:(60)、网络设备和应用配置管理、网络利用和计费管理网络设备和应用故障管理以及网络安全管理
 
 
  A.  网络数据库管理
 
  B.  网络性能管理
 
  C.  网络系统管理
 
  D.  网络运行模式管理
 
 
 

 
  第33题    2018年上半年  
   58%
在网络安全管理中,加强内防内控可采取的策略有( ) 。
①控制终端接入数量
②终端访问授权,防止合法终端越权访问
  第32题    2019年上半年  
   39%
一般来说,网络管理就是通过某种方式对网络态进行调整,使网络能正常、高效地运行。下列选项中不属于网络管理范围的是( )。
  第32题    2018年上半年  
   30%
在排除网络故障时,若已经将故障位置定位在一台路由器上, 且这台路由器与网络中的另台路由器互为冗余,那么最适合采取的故障排除..
   知识点讲解    
   · 安全管理    · 故障管理    · 计费管理    · 配置管理    · 网络安全    · 网络的管理    · 网络管理    · 网络安全管理    · 网络设备
 
       安全管理
        安全管理的目标是将信息资源和信息安全资源管理好。安全管理是信息系统安全能动性的组成部分。大多数事故的发生,与其说是技术原因,还不如说是由管理不善导致的。安全管理要贯穿于信息系统规划、设计、建设、运行和维护各阶段。
               安全管理政策法规
               信息安全管理政策法规包括国家法律和政府政策法规和机构和部门的安全管理原则。信息系统法律的主要内容有:信息网络的规划与建设、信息系统的管理与经营、信息系统的安全、信息系统的知识产权保护、个人数据保护、电子商务、计算机犯罪、计算机证据与诉讼。信息安全管理涉及的方面有:人事管理、设备管理、场地管理、存储媒体管理、软件管理、网络管理、密码和密钥管理、审计管理。
               信息安全管理的总原则有:规范化、系统化、综合保障、以人为本、主要负责人负责、预防、风险评估、动态发展、注重实效、均衡防护。安全管理的具体原则有:分权制衡、最小特权、标准化、选用成熟的先进技术、失效保护、普遍参与、职责分离、审计独立、控制社会影响、保护资源和效率。
               我国的信息安全管理的基本方针是:兴利除弊,集中监控,分级管理,保障国家安全。
               安全机构和人员管理
               国家信息安全机构是国家最上层安全机构的组成部分。国家信息安全强调的是国家整体上的信息安全性,而不仅是某一个部门或地区的信息安全。而各部门、各地区又确实存在个体差异,对于不同行业领域来说,信息安全具有不同的涵义和特征,国家的信息安全保障体系的战略性必须涵盖部门和地区信息安全保障体系的相关内容。
               为保证信息系统的安全,各信息系统使用单位也应建立信息系统安全管理机构。建立信息系统安全管理机构的第一步是确定系统安全管理员的角色,并组成安全管理小组。安全管理小组制定出符合本单位需要的信息安全管理策略,具体包括:安全管理人员的义务和职责、安全配置管理策略、系统连接安全策略、传输安全策略、审计与入侵安全策略、标签策略、病毒防护策略、安全备份策略、物理安全策略、系统安全评估原则等内容。并尽量把各种安全策略要求文档化和规范化,以保证安全管理工作具有明确的依据或参照。
               信息系统的运行是依靠各级机构的工作人员来具体实施的,安全人员既是信息系统安全的主体,也是系统安全管理的对象。要加强人员管理,才能增强人们的安全意识,增强他们对安全管理重视的程度和执行的力度。首先要加强人员的审查、培训和考核工作,并与安全人员签订保密合同,调离不合格的人员,并做好人员调离的后续工作,承诺调离后的保密任务,收回其权限、钥匙、证件、相关资料等。安全人员管理的原则有:从不单独一个人、限制使用期限、责任分散、最小权限。
               技术安全管理
               技术安全管理包括如下内容。
               (1)软件管理:包括对操作系统、应用软件、数据库、安全软件和工具软件的采购、安装、使用、更新、维护和防病毒的管理等。
               (2)设备管理:对设备的全方位管理是保证信息系统建设的重要条件。设备管理包括设备的购置、使用、维修和存储管理。
               (3)介质管理:介质在信息系统安全中对系统的恢复、信息的保密和防止病毒方面起着关键作用。介质管理包括将介质分类、介质库的管理、介质登记和借用、介质的复制和销毁以及涉密介质的管理。
               (4)涉密信息管理:包括涉密信息等级的划分、密钥管理和密码管理。
               (5)技术文档管理:包括技术文档的密级管理和使用管理。
               (6)传输线路管理:包括传输线路管理和网路互连管理。传输线路上传送敏感信息时,必须按敏感信息的密级进行加密处理。重要单位的计算机网络于其他网络的连接与计算机的互连需要经过国家有关单位的批准。
               (7)安全审计跟踪:为了能够实时监测、记录和分析网络上和用户系统中发生的各类与安全有关的事件(如网络入侵、内部资料窃取、泄密行为等),并阻断严重的违规行为,就需要安全审计跟踪机制的来实现在跟踪中记录有关安全的信息。已知安全审计的存在可对某些潜在的侵犯安全的攻击源起到威慑作用。
               (8)公共网络连接管理:是指对单位或部门通过公共网络向公众发布信息和提供有关服务的管理,和对单位或部门从网上获得有用信息的管理。
               (9)灾难恢复:灾难恢复是对偶然事故的预防计划,包括制定灾难恢复策略和计划和灾难恢复计划的测试与维护。
               网络管理
               网络管理是指通过某种规程和技术对网络进行管理,从而实现:①协调和组织网络资源以使网络的资源得到更有效的利用;②维护网络正常运行;③帮助网络管理人员完成网络规划和通信活动的组织。网络管理涉及网络资源和活动的规划、组织、监视、计费和控制。国际标准化组织(ISO)在相关标准和建议中定义了网络管理的五种功能,即:
               (1)故障管理:对计算机网络中的问题或故障进行定位,主要的活动是检测故障、诊断故障和修复故障。
               (2)配置管理:对网络的各种配置参数进行确定、设置、修改、存储和统计,以增强网络管理者对网络配置的控制。
               (3)安全管理:网络安全包括信息数据安全和网络通信安全。安全管理可以控制对计算机网络中的信息的访问。
               (4)性能管理:性能管理可以测量网络中硬件、软件和媒体的性能,包括整体吞吐量、利用率、错误率和响应时间,帮助管理者了解网络的性能现状。
               (5)计费管理:跟踪每个个人和团体用户对网络资源的使用情况,并收取合理的费用。
               场地设施安全管理
               信息系统的场地与设施安全管理要满足机房场地的选择、防火、火灾报警及消防措施、防水、防静电、防雷击、防辐射、防盗窃、防鼠害,以及对内部装修、供配电系统等的技术要求。并完成出入控制、电磁辐射防护和磁辐射防护工作。
 
       故障管理
        负责监测、日志、通告用户,(一定程度上可能)自动解决网络问题,以确保网络的高效运行,这是因为故障可能引起停机时间或网络退化等。故障管理在ISO网络管理单元中是使用最为广泛的一个部分。含盖了诸如检测、隔离、确定故障因素、纠正网络故障等功能。设立故障管理的目标是提高网络可用性,降低网络停机次数并迅速修复故障。典型的故障管理系统遵循以下步骤:
        
 
       计费管理
               计费管理的概念
               IT服务计费管理是负责向使用IT服务的客户收取相应费用的流程,它是IT财务管理中的重要环节,也是真正实现企业IT价值透明化、提高IT投资效率的重要手段。
               组织为了向业务部门(客户)收费,根据设立责任中心的政策需要,必须将IT部门设立为相应的责任中心——成本中心或利润中心。如果着重考核IT服务部门的成本和费用支出、IT服务部门不形成收入或者不考核其收入的情况下,可以设立成本中心。如果IT服务部门被看作一个单独的组织单位来衡量其一定时期的经营业绩——利润,则可以将IT服务部门设立为利润中心。
               通过向客户收取IT服务费用,一般可以迫使业务部门有效地控制自身的需求、降低总体服务成本,并有助于IT财务管理人员重点关注那些不符合成本效益原则的服务项目。因此,从上述意义上来说,IT服务计费子流程通过构建一个内部市场并以价格机制作为合理配置资源的手段,使客户和用户自觉地将其真实的业务需求与服务成本结合起来,从而提高了IT投资的效率。
               计费管理的策略
               良好的收费/内部核算体系可以有效控制IT服务成本,促使IT资源的正确使用,使得稀缺的IT资源用于最能反映业务需求的领域。一般一个良好的收费/内部核算体系应该满足以下条件。
               (1)有适当的核算收费政策。
               (2)可以准确公平地补偿提供服务所负担的成本。
               (3)树立IT服务于业务部门(客户)的态度,确保组织IT投资的回报。
               (4)考虑收费/核算对IT服务的供应者与服务的使用者两方面的利益,核算的目的是优化IT服务供应者与使用者的行为,最大化地实现组织的目标。
               实施收费/内部核算,组织内部必须制定一个统一的管理政策,来解决可能存在的各种问题,即制定收费政策,否则实施收费是不会成功的。制定的收费政策一般要求要简单、公平、具有现实的可操作性,制定过程应注意以下方面。
               (1)信息沟通。与IT服务的客户管理层沟通其消费的IT服务的成本及应收取的费用。
               (2)灵活价格政策。服务收费标准可以根据情况每年调整。由于每年IT服务的需求会发生变化,如果某项服务需求大增时,IT服务提供者需要进行投资,这时会调整IT服务的价格,以弥补新的IT投入。
               (3)收费记录法。提供IT服务时,每次都要向客户开出发票,写明应收取的费用,但并不真正要求客户支付。这种方法主要是为IT部门实行以利润为中心,真正实现收费积累经验,熟悉IT核算过程以及收费控制等,并及时改正、弥补失误;同时也让IT服务客户逐渐习惯IT服务收费。这种方法最终要收取费用,否则,IT会计的作用就发挥不出来。
               计费定价方法
               为IT服务定价是计费管理的关键问题,其中涉及下列主要问题:确定定价目标、了解客户对服务的真实需求、准确确定服务的直接成本和间接成本、确定内部计费的交易秩序。
               价格策略不仅影响到IT服务成本的补偿,还影响到业务部门对服务的需求。灵活适当的价格政策不仅可以补偿服务成本,而且可以为新的服务的推出提供充足的资金。分散经营的组织单位之间相互提供产品或劳务时,需要制定一个内部转移价格。转移价格对于提供服务或产品的生产部门来说代表收入,对于使用这些产品或服务的购买部门来说则代表成本。因此,转移价格会影响到这两个部门的获利水平,使得部门经理非常关心转移价格的制定,并会经常引起争论。制定转移价格的目的有两个:防止成本转移带来的部门间责任转嫁,使每个责任中心都能作为单独的组织单位进行业绩评价;作为一种价格引导各级部门采取明智的决策,IT部门据此确定提供产品或服务的数量,业务部门据此确定所需要的产品或服务的数量。
               常见的定价方法包括以下几种。
               (1)成本法。服务价格以提供服务发生的成本为标准,成本可以是总成本,包括折旧等,也可以是边际成本,即在现有IT投资水平下,每增加一单位服务所发生的成本。
               (2)成本加成定价法。IT服务的价格等于提供服务的成本加成的定价方法。
               IT服务价格=IT服务成本+X%
               其中X%是加成比例。这个比例是由组织设定的,它可以参照其他投资的收益率,并考虑IT部门满足整个组织业务目标的需要情况适当调整而定。这种方法适用于大型的专用服务项目,可以有效地保护服务提供者的利益。
               (3)现行价格法。参照现有组织内部其他各部门之间或外部的类似组织的服务价格确定。这种方法要求必须能够找到参照物。
               (4)市场价格法。IT服务的价格按照外部市场供应的价格确定,IT服务的需求者可以与供应商就服务的价格进行谈判协商。
               (5)固定价格法。也叫合同价格法。IT服务的价格是在与客户谈判的基础上由IT部门制定的,一般在一定时期内保持不变。
               计费数据收集
               该子流程的顺利运作需要以IT会计核算子流程为基础。
               成本核算是跟踪监测IT部门或组织的费用是如何形成的书面记录。包括各种分类账,由会计人员进行管理。会计记录非常重要,它是人们认识、识别与IT部门有关的成本,了解费用的去向的工具,可以帮助企业计算向企业内部及外部客户提供每一项服务的成本,指出在提供服务过程中资金的去向,提供IT成本效益分析或投资回报分析数据,描述成本的变化趋势。
               成本核算最主要的工作是定义成本要素,成本要素是成本项目的进一步细分,例如,硬件可以再分为办公室硬件、网络硬件以及中心服务器硬件。这有利于被识别的每一项成本都被较容易地填报在成本表中。成本要素结构一般在一年当中是相对固定的。定义成本要素结构一般可以按部门、按客户或按产品划分。对IT部门而言,理想的方法应该是按照服务要素结构定义成本要素结构,这样可以使硬件、软件、人力资源成本等直接成本项目的金额十分清晰,同时有利于间接成本在不同服务之间的分配。服务要素结构越细,对成本的认识越清晰。下图是一个简单的服务要素结构,底层的服务为上层的服务提供支持,越高层的服务要素的功能与业务关系越密切。
               
               服务要素结构
               (资料来源:John Bartlett,etc. Services Delivery.OGC,2002)
               在确定服务要素结构的基础上识别成本,在各项服务当中分配归集成本,如下图所示。
               
               IT成本的归集和分配的过程
               (资料来源:John Bartlett,etc. Services Delivery.OGC,2002)
 
       配置管理
        IT资源管理可以为企业的IT系统管理提供支持,而IT资源管理能否满足要求在很大程度上取决于IT基础架构的配置及运行情况的信息。配置管理就是专门负责提供这方面信息的流程。配置管理提供的有关基础架构的配置信息可以为其他服务管理流程提供支持,如故障及问题管理人员需要利用配置管理流程提供的信息进行事故和问题的调查和分析,性能及能力管理需要根据有关配置情况的信息来分析和评价基础架构的服务能力和可用性。
        配置管理中,最基本的信息单元是配置项(Configuration Item, CI)。所有软件、硬件和各种文档,比如变更请求、服务、服务器、环境、设备、网络设施、台式机、移动设备、应用系统、协议、电信服务等都可以被称为配置项。所有有关配置项的信息都被存放在配置管理数据库(CMDB)中。需要说明的是,配置管理数据库不仅保存了IT基础架构中特定组件的配置信息,而且还包括了各配置项相互关系的信息。配置管理数据库需要根据变更实施情况进行不断地更新,以保证配置管理中保存的信息总能反映IT基础架构的现时配置情况以及各配置项之间的相互关系。
        具体而言,配置管理作为一个控制中心,其主要目标表现在4个方面:
        .计量所有IT资产。
        .为其他IT系统管理流程提供准确信息。
        .作为故障管理、变更管理和新系统转换等的基础。
        .验证基础架构记录的正确性并纠正发现的错误。
        通过实施配置管理流程,可为客户和服务提供方带来多方面的效益,举例如下。
        (1)有效管理IT组件。IT组件是IT服务的基础。每个服务涉及一个或者多个配置项,通过配置管理可以了解这些配置项发生变动的情况。特别是在某个配置项丢失的时候,配置管理可以帮助IT管理人员了解这个配置项的所有人、责任人和应有的状况,从而方便用其他恰当的IT组件加以替换。
        (2)提供高质量的IT服务。配置管理可协助处理变更、发现和解决问题以及提供用户支持,减少了出现错误的次数,避免了不必要的重复工作,从而提高了服务质量、降低了服务成本。
        (3)更好地遵守法规。配置管理可维护关于IT基础架构中的所有软件的清单,从而可以实现两个目的:一是防止使用非法的软件复制,二是防止使用包含病毒的软件。
        (4)帮助制定财务和费用计划。配置管理提供所有配置项的完整列表,根据这份列表我们能够很容易地计算维护和软件许可费用,了解软件许可证过期日期和配置项失效时间以及替换配置项成本。这些信息有助于财务计划的制定。
        在IT资源管理及其关键的配置管理有所了解后,下面分别对硬件管理、软件管理、数据管理、网络管理、设施及设备管理予以介绍。
 
       网络安全
        随着互联网的飞速发展,网络安全问题已经越来越受到大家广泛的关注,各种病毒花样繁多、层出不穷;系统、程序、软件的安全漏洞越来越多;黑客们通过不正当手段侵入他人电脑,非法获得信息资料,给正常使用互联网的用户带来不可估计的损失。由于目前网络经常受到人为的破坏,因此,网络必须有足够强的安全措施。
               计算机网络的安全问题
               计算机网络安全就其本质而言是网络上的信息安全。从广义上讲,凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论,都是网络安全的研究领域。简单来讲,网络安全包括:系统不被侵入、数据不丢失以及网络中的计算机不被病毒感染三大方面。完整的网络安全要求:
               .运行系统安全
               .网络上系统信息的安全
               .网络上信息传播的安全
               .网络上信息内容的安全
               网络安全应具有保密性、完整性、可用性、可控性以及可审查性几大特征。网络的安全层次分为物理安全、控制安全、服务安全和协议安全。
                      物理安全
                      物理安全包括:自然灾害、物理损坏、设备故障、意外事故、人为的电磁泄漏、信息泄漏、干扰他人、受他人干扰、乘机而入、痕迹泄露、操作失误、意外疏漏、计算机系统机房环境的安全漏洞等。
                      控制安全
                      控制安全包括:计算机操作系统的安全控制、网络接口模块的安全控制、网络互联设备的安全控制等。
                      服务安全
                      服务安全包括:对等实体认证服务、访问控制服务、数据加密服务、数据完整性服务、数据源点认证服务、禁止否认服务等。
                      TCP/IP协议安全
                      TCP/IP协议安全主要用于解决:TCP/IP协议数据流采用明文传输、源地址欺骗(Source address spoofing)或IP欺骗(IP spoofing)、源路由选择欺骗(Source Routing spoofing)、路由信息协议攻击(RIP Attacks)、鉴别攻击(Authentication Attacks)、TCP序列号欺骗攻击(TCP SYN Flooding Attack)、易欺骗性(Ease of spoofing)等。
                      计算机网络的安全威胁主要表现在:非授权访问、信息泄漏或丢失、破坏数据完整性、拒绝服务攻击、利用网络传播病毒、使用者的人为因素、硬件和网络设计的缺陷、协议和软件自身的缺陷以及网络信息的复杂性等方面。
                      下面介绍一些常见的信息安全技术。
               数据的加密与解密
               随着计算机网络不断渗透到各个领域,密码学的应用也随之扩大。数字签名、身份鉴别等都是由密码学派生出来的新技术和应用。
               在计算机上实现的数据加密,其加密或解密变换是由密钥控制实现的。密钥(Keyword)是用户按照一种密码体制随机选取,它通常是一随机字符串,是控制明文和密文变换的唯一参数。
               密码技术除了提供信息的加密解密外,还提供对信息来源的鉴别、保证信息的完整和不可否认等功能,而这三种功能都是通过数字签名实现。数字签名的原理是将要传送的明文通过一种函数运算(Hash)转换成报文摘要(不同的明文对应不同的报文摘要),报文摘要加密后与明文一起传送给接受方,接受方将接受的明文产生新的报文摘要与发送方的发来报文摘要解密比较,比较结果一致表示明文未被改动,如果不一致表示明文已被篡改。
               数据加密技术是为提高信息系统及数据的安全性和保密性,防止秘密数据被外部破译所采用的主要技术手段之一,也是网络安全的重要技术。
               根据密钥类型不同将现代密码技术分为两类:一类是对称加密(秘密钥匙加密)系统,另一类是公开密钥加密(非对称加密)系统。
               对称钥匙加密系统是加密和解密均采用同一把秘密钥匙,而且通信双方都必须获得这把钥匙,并保持钥匙的秘密。它的安全性依赖于以下两个因素。第一,加密算法必须是足够强的,仅仅基于密文本身去解密信息在实践上是不可能的;第二,加密方法的安全性依赖于密钥的秘密性,而不是算法的秘密性,因此,没有必要确保算法的秘密性,而需要保证密钥的秘密性。对称加密系统的算法实现速度极快。因为算法不需要保密,所以制造商可以开发出低成本的芯片以实现数据加密。这些芯片有着广泛的应用,适合于大规模生产。对称加密系统最大的问题是密钥的分发和管理非常复杂、代价高昂。比如对于具有n个用户的网络,需要n(n-1)/2个密钥,在用户群不是很大的情况下,对称加密系统是有效的。但是对于大型网络,当用户群很大,分布很广时,密钥的分配和保存就成了大问题。对称加密算法另一个缺点是不能实现数字签名。
               公开密钥加密系统采用的加密钥匙(公钥)和解密钥匙(私钥)是不同的。由于加密钥匙是公开的,密钥的分配和管理就很简单,比如对于具有n个用户的网络,仅需要2n个密钥。公开密钥加密系统还能够很容易地实现数字签名。因此,最适合于电子商务应用需要。在实际应用中,公开密钥加密系统并没有完全取代对称密钥加密系统,这是因为公开密钥加密系统是基于尖端的数学难题,计算非常复杂,它的安全性更高,但它的实现速度却远赶不上对称密钥加密系统。在实际应用中可利用二者的各自优点,采用对称加密系统加密文件,采用公开密钥加密系统加密“加密文件”的密钥(会话密钥),这就是混合加密系统,它较好地解决了运算速度问题和密钥分配管理问题。因此,公钥密码体制通常被用来加密关键性的、核心的机密数据,而对称密码体制通常被用来加密大量的数据。
               防火墙技术
               防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合,以防止发生不可预测的、潜在破坏性的侵入。实际上,它包含着一对矛盾(或称机制):一方面它限制数据流通,另一方面它又允许数据流通。
               作为内部网络与外部公共网络之间的第一道屏障,防火墙是最先受到人们重视的网络安全产品之一。虽然从理论上看,防火墙处于网络安全的最底层,负责网络间的安全认证与传输,但随着网络安全技术的整体发展和网络应用的不断变化,现代防火墙技术已经逐步走向网络层之外的其他安全层次,不仅要完成传统防火墙的过滤任务,同时还能为各种网络应用提供相应的安全服务。另外还有多种防火墙产品正朝着数据安全与用户认证、防止病毒与黑客侵入等方向发展。
               常见的防火墙主要有数据包过滤型防火墙、应用级网关型防火墙、代理服务型防火墙、复合型防火墙等几种类型。典型的防火墙包括过滤器、链路级网关和应用级网关或代理服务器,如下图所示。
               安装防火墙的作用在于弥补网络服务的脆弱性、控制对网络的存取、集中的安全管理、网络使用情况的记录及统计。但是它仍然有局限性,对于下列情况,它不能防范:绕过防火墙的攻击、来自内部变节者和不经心的用户带来的威胁、变节者或公司内部存在的间谍将数据复制到软盘、传送已感染病毒的软件或文件等。
               在使用防火墙前,应该设计好防火墙的规则。它包括下列内容:防火墙的行为准则(拒绝没有特别允许的任何服务、允许没有特别拒绝的任何服务)、机构的安全策略、费用、系统的组件或构件。
               
               防火墙的组成
               网络安全协议
               下面介绍几种常见的网络安全协议。
                      SSH (Secure Shell)
                      由芬兰的一家公司开发的。通过使用SSH,可以把所有传输的数据进行加密,抵御“中间人”攻击,而且也能够防止DNS和IP欺骗。由于传输的数据是经过压缩的,所以还可以加快传输的速度。
                      SSH由客户端和服务端的软件组成的。从客户端来看,SSH提供两种级别的安全验证:基于密码的安全验证和基于密匙的安全验证。
                      PKI (Public Key Infrastructure)
                      PKI体系结构采用证书管理公钥,通过第三方的可信机构CA,把用户的公钥和用户的其他标识信息(如名称、E-mail、身份证号等)捆绑在一起,在Internet网上验证用户的身份,PKI体系结构把公钥密码和对称密码结合起来,在Internet网上实现密钥的自动管理,保证网上数据的机密性、完整性。一个典型、完整、有效的PKI应用系统至少应具有:公钥密码证书管理、黑名单的发布和管理、密钥的备份和恢复、自动更新密钥以及自动管理历史密钥等几部分。
                      (1) SET (Secure Electronic Transaction)。
                      SET安全电子交易协议是由美国Visa和MasterCard两大信用卡组织提出的应用于Internet上的以信用卡为基础的电子支付系统协议。它采用公钥密码体制和X.509数字证书标准,主要应用于B to C模式中保障支付信息的安全性。SET协议本身比较复杂,设计比较严格,安全性高,它能保证信息传输的机密性、真实性、完整性和不可否认性。
                      (2) SSL (Secure socket Layer&Security Socket Layer)。
                      安全套接层协议(SSL)是网景(Netscape)公司提出的基于Web应用的安全协议,包括:服务器认证、客户认证(可选)、SSL链路上的数据完整性和SSL链路上的数据保密性。对于电子商务应用来说,使用SSL可保证信息的真实性、完整性和保密性。但由于SSL不对应用层的消息进行数字签名,因此不能提供交易的不可否认性,这是SSL在电子商务中使用的最大不足。
 
       网络的管理
        一般说来,网络管理就是通过某种方式对网络状态进行调整,使网络能正常、高效地运行。其目的很明确,就是使网络中的各种资源得到更加高效的利用,当网络出现故障时能及时作出报告和处理,并协调、保持网络的高效运行等。网络管理的结构如下图所示。
        
        网络管理的结构
        网络管理包含五部分:网络性能管理、网络设备和应用配置管理、网络利用和计费管理、网络设备和应用故障管理以及安全管理。ISO建立了一套完整的网络管理模型,其中包含了以上五部分的概念性定义,它们保证一个网络系统正常运行的基本功能。
               性能管理
               衡量及利用网络性能,实现网络性能监控和优化。网络性能变量包括网络吞吐量、用户响应次数和线路利用。它指的是一种网络容量规划(Capacity Planning)过程,提供基于账单的使用,帮助理解流量的服务质量,并向客户/用户提供报告以遵循服务等级协议(SLA),从而使网络管理端获取有关网络的补充信息。
               网络性能管理由两部分组成:一组功能单元,预计和报告网络设备行为以及网络或网络元素的效力;一组子功能单元,包括收集统计信息、维护和检查历史日志、决定自然条件和人为条件下的系统性能以及改变操作的系统模型。
               配置管理
               监控网络和系统配置信息,从而可以跟踪和管理各种版本的硬件和软件元素的网络操作。主要涉及网络设备(网桥、路由器、工作站、服务器、交换机及其他)的设置、转换、收集和修复等信息。网络配置管理的目标是节约用户时间并降低网络设备误配置引起的网络故障。目前,基本上有两种主要的网络配置工具:一种是由设备供应商提供的工具;另一种是由第三方公司提供的工具。
               计费管理
               衡量网络利用、个人或小组网络活动,主要负责网络使用规则和账单等。
               故障管理
               负责监测、日志、通告用户,(一定程度上可能)自动解决网络问题,以确保网络的高效运行,这是因为故障可能引起停机时间或网络退化等。故障管理在ISO网络管理单元中是使用最为广泛的一个部分。含盖了诸如检测、隔离、确定故障因素、纠正网络故障等功能。设立故障管理的目标是提高网络可用性,降低网络停机次数并迅速修复故障。典型的故障管理系统遵循以下步骤:
               
               安全管理
               控制网络资源访问权限,从而不会导致网络遭到破坏。只有被授权的用户才有权访问敏感信息。主要涉及访问控制和网络资源管理。
               访问控制管理指的是安全性处理过程,即妨碍或促进用户或系统间的通信,支持各种网络资源如计算机、Web服务器、路由器或任何其他系统或设备间的相互作用。认证过程主要包含认证和自主访问控制(Discretionary Access Control)。
               安全审计是安全管理中访问控制过程的一部分。审计系统可以追踪到特殊登录用户以及其访问资源。代理服务器和防火墙是安全管理中的两个特定访问控制系统,主要用于防止公共网络如因特网成员访问内部网络资源。
               常见的网络管理协议主要有由IETF定义的简单网络管理协议(SNMP),远程监控(RMON)是SNMP的扩展协议;另一种是由ISO定义的通用管理信息协议(CMIP)。典型地,网络管理系统包括两部分:探测器Probe(或代理),主要负责收集众多网络结点上的数据;控制台Console,主要负责集合并分析探测器收集的数据,提取有用信息和报告。
 
       网络管理
        网络管理包含5部分:网络性能管理、网络设备和应用配置管理、网络利用和计费管理、网络设备和应用故障管理以及安全管理。ISO建立了一套完整的网络管理模型,其中包含了以上5部分的概念性定义。
        (1)性能管理。衡量及利用网络性能,实现网络性能监控和优化。网络性能变量包括网络吞吐量、用户响应次数和线路利用。换句话说,就是管理员通过对网络、系统产生的报表数据进行实时地分析与管理。
        (2)配置管理。监控网络和系统配置信息,从而可以跟踪和管理各种版本的硬件和软件元素的网络操作。
        (3)计费管理。衡量网络利用、个人或小组网络活动,主要负责网络使用规则和账单等。
        (4)故障管理。负责监测、日志、通告用户、(一定程度上可能)自动解决网络问题,以确保网络的高效运行,这是因为故障可能引起停机时间或网络退化等。故障管理在ISO网络管理单元中是使用最为广泛的一个部分。
        (5)安全管理。控制网络资源访问权限,从而不会导致网络遭到破坏。只有被授权的用户才有权访问敏感信息。安全管理主要涉及访问控制或网络资源管理。访问控制管理指的是安全性处理过程,即妨碍或促进用户或系统间的通信,支持各种网络资源,如计算机、Web服务器、路由器或任何其他系统或设备间的相互作用。认证过程主要包含认证和自主访问控制(Discretionary Access Control)两个步骤。
        常见的网络管理协议主要有由IETF定义的简单网络管理协议(SNMP)。远程监控(RMON)是SNMP的扩展协议;另一种是由ISO定义的通用管理信息协议(CMIP)。典型地,网络管理系统包括两部分:探测器Probe(或代理),主要负责收集众多网络节点上的数据;控制台Console,主要负责集合并分析探测器收集的数据,提取有用信息和报告。网络管理结构如下图所示。
        
        网络管理的结构
 
       网络安全管理
        网络安全管理是指为满足网络信息系统的网络安全要求,而采取的管理方法、管理制度、管理流程、管理措施以及所开展的管理活动。
 
       网络设备
        网络互联的目的是使一个网络的用户能访问其他网络的资源,使不同网络上的用户能够互相通信和交换信息,实现更大范围的资源共享。在网络互联时,一般不能简单地直接相连,而是通过一个中间设备来实现。按照ISO/OSI的分层原则,这个中间设备要实现不同网络之间的协议转换功能,根据它们工作的协议层不同进行分类。网络互联设备可以有中继器(实现物理层协议转换,在电缆间转发二进制信号)、网桥(实现物理层和数据链路层协议转换)、路由器(实现网络层和以下各层协议转换)、网关(提供从最低层到传输层或以上各层的协议转换)和交换机等。
               网络传输介质互联设备
               网络线路与用户节点具体衔接时,需要网络传输介质的互联设备。如T型头(细同轴电缆连接器)、收发器、RJ-45(屏蔽或非屏蔽双绞线连接器)、RS232接口(目前计算机与线路接口的常用方式)、DB-15接口(连接网络接口卡的AUI接口)、VB35同步接口(连接远程的高速同步接口)、网络接口单元和调制解调器(数字信号与模拟信号转换器)等。
               物理层的互联设备
               物理层的互联设备有中继器(Repeater)和集线器(Hub)。
                      中继器
                      它是在物理层上实现局域网网段互联的,用于扩展局域网网段的长度。由于中继器只在两个局域网网段间实现电气信号的恢复与整形,因此它仅用于连接相同的局域段。
                      理论上说,可以用中继器把网络延长到任意长的传输距离,但是,局域网中接入的中继器的数量将受时延和衰耗的影响,因而必须加以限制。例如,在以太网中最多使用4个中继器。以太网设计连线时指定两个最远用户之间的距离,包括用于局域网的连接电缆,不得超过500m。即便使用了中继器,典型的Ethernet局域网应用要求从头到尾整个路径不超过1500m。中继器的主要优点是安装简便、使用方便、价格便宜。
                      集线器
                      可以看成是一种特殊的多路中继器,也具有信号放大功能。使用双绞线的以太网多用Hub扩大网络,同时也便于网络的维护。以集线器为中心的网络优点是当网络系统中某条线路或某节点出现故障时,不会影响网上其他节点的正常工作。集线器可分为无源(passive)集线器、有源(active)集线器和智能(intelligent)集线器。
                      无源集线器只负责把多段介质连接在一起,不对信号做任何处理,每一种介质段只允许扩展到最大有效距离的一半;有源集线器类似于无源集线器,但它具有对传输信号进行再生和放大从而扩展介质长度的功能;智能集线器除具有有源集线器的功能外,还可将网络的部分功能集成到集线器中,如网络管理、选择网络传输线路等。
               数据链路层的互联设备
               数据链路层的互联设备有网桥(Bridge)和交换机(Switch)。
                      网桥
                      用于连接两个局域网网段,工作于数据链路层。网桥要分析帧地址字段,以决定是否把收到的帧转发到另一个网络段上。确切地说,网桥工作于MAC子层,只要两个网络MAC子层以上的协议相同,都可以用网桥互联。
                      网桥检查帧的源地址和目的地址,如果目的地址和源地址不在同一个网络段上,就把帧转发到另一个网络段上;若两个地址在同一个网络段上,则不转发,所以网桥能起到过滤帧的作用。网桥的帧过滤特性很有用,当一个网络由于负载很重而性能下降时,可以用网桥把它分成两个网络段并使得段间的通信量保持最小。例如,把分布在两层楼上的网络分成每层一个网络段,段中间用网桥相连,这样的配置可以最大限度地缓解网络通信繁忙的程度,提高通信效率。同时,由于网桥的隔离作用,一个网络段上的故障不会影响到另一个网络段,从而提高了网络的可靠性。
                      交换机
                      交换机是一个具有简化、低价、高性能和高端口密集特点的交换产品,它是按每一个包中的MAC地址相对简单地决策信息转发,而这种转发决策一般不考虑包中隐藏的更深的其他信息。交换机转发数据的延迟很小,操作接近单个局域网性能,远远超过了普通桥接的转发性能。交换技术允许共享型和专用型的局域网段进行带宽调整,以减轻局域网之间信息流通出现的瓶颈问题。
                      交换机的工作过程为:当交换机从某一节点收到一个以太网帧后,将立即在其内存中的地址表(端口号一MAC地址)进行查找,以确认该目的MAC的网卡连接在哪一个节点上,然后将该帧转发至该节点。如果在地址表中没有找到该MAC地址,也就是说,该目的MAC地址是首次出现,交换机就将数据包广播到所有节点。拥有该MAC地址的网卡在接收到该广播帧后,将立即做出应答,从而使交换机将其节点的“MAC地址”添加到MAC地址表中。
                      交换机的三种交换技术:端口交换、帧交换和信元交换。
                      (1)端口交换技术用于将以太模块的端口在背板的多个网段之间进行分配、平衡。
                      (2)帧交换技术对网络帧的处理方式分为直通交换和存储转发。其中,直通交换方式可提供线速处理能力,交换机只读出网络帧的前14个字节,便将网络帧传送到相应的端口上;存储转发方式通过对网络帧的读取进行验错和控制。
                      (3)信元交换技术采用长度(53个字节)固定的信元交换,由于长度固定,因而便于用硬件实现。
               网络层互联设备
               路由器(Router)是网络层互联设备,用于连接多个逻辑上分开的网络。逻辑网络是指一个单独的网络或一个子网,当数据从一个子网传输到另一个子网时,可通过路由器来完成。
               路由器具有很强的异种网互联能力,互联的网络最低两层协议可以互不相同,通过驱动软件接口到第三层上而得到统一。对于互联网络的第三层协议,如果相同,可使用单协议路由器进行互联;如果不同,则应使用多协议路由器。多协议路由器同时支持多种不同的网络层协议,并可以设置为允许或禁止某些特定的协议。所谓支持多种协议,是指支持多种协议的路由,而不是指不同类协议的相互转换。
               通常把网络层地址信息叫作网络逻辑地址,把数据链路层地址信息叫作物理地址。路由器最主要的功能是选择路径。在路由器的存储器中维护着一个路径表,记录各个网络的逻辑地址,用于识别其他网络。在互联网络中,当路由器收到从一个网络向另一个网络发送的信息包时,将丢弃信息包的外层,解读信息包中的数据,获得目的网络的逻辑地址,使用复杂的程序来决定信息经由哪条路径发送最合适,然后重新打包并转发出去。路由器的功能还包括过滤、存储转发、流量管理和介质转换等。一些增强功能的路由器还可有加密、数据压缩、优先和容错管理等功能。由于路由器工作于网络层,它处理的信息量比网桥要多,因而处理速度比网桥慢。
               应用层互联设备
               网关(Gateway)是应用层的互联设备。在一个计算机网络中,当连接不同类型而协议差别又较大的网络时,则要选用网关设备。网关的功能体现在OSI模型的最高层,它将协议进行转换,将数据重新分组,以便在两个不同类型的网络系统之间进行通信。由于协议转换是一件复杂的事,一般来说,网关只进行一对一转换,或是少数几种特定应用协议的转换,网关很难实现通用的协议转换。
   题号导航      2009年下半年 信息系统管理工程师 上午试卷 综合知识   本试卷我的完整做题情况  
1 /
2 /
3 /
4 /
5 /
6 /
7 /
8 /
9 /
10 /
11 /
12 /
13 /
14 /
15 /
 
16 /
17 /
18 /
19 /
20 /
21 /
22 /
23 /
24 /
25 /
26 /
27 /
28 /
29 /
30 /
 
31 /
32 /
33 /
34 /
35 /
36 /
37 /
38 /
39 /
40 /
41 /
42 /
43 /
44 /
45 /
 
46 /
47 /
48 /
49 /
50 /
51 /
52 /
53 /
54 /
55 /
56 /
57 /
58 /
59 /
60 /
 
61 /
62 /
63 /
64 /
65 /
66 /
67 /
68 /
69 /
70 /
71 /
72 /
73 /
74 /
75 /
 
第60题    在手机中做本题