網絡安全條款
前言:想要寫出一篇令人眼前一亮的文章嗎?我們特意為您整理了5篇網絡安全條款范文,相信會為您的寫作帶來幫助,發現更多的寫作思路和靈感。
網絡安全條款范文第1篇
(訊)網絡安全法草案出臺并向社會公開征求意見,立法進入最后沖刺階段,信息安全行業迎來最大政策性紅利。網絡安全法草案7月6日起在中國人大網上全文公布,并向社會公開征求意見一個月。參照國家安全法進度,2015年5月7日國家安全法公開征求意見,7月2日國家安全法二審通過正式出臺。我們預計網絡安全法有望在三季度出臺,保衛網絡安全刻不容緩,網絡安全行業將迎來最大政策性紅利。
草案明確責任主體和處罰條例,合規性和強制性雙重驅動將促使信息安全投入加大。網絡安全法明確了相關責任主體的法律責任,覆蓋網絡運營商、關鍵信息基礎設施運營者、網絡產品、服務的提供者等責任主體,并有明確的處罰條例。網絡安全有法可依,信息安全行業將由合規性驅動過渡到合規性和強制性驅動并重。
草案覆蓋關鍵基礎設施運營安全、網絡信息安全和監測預警與應急處置,力度之大、范圍之廣前所未有。草案提出了14個國家關鍵信息基礎設施,包括提供公共通信、廣電、能源、交通、水利、金融、供電、供水、供氣、醫療衛生、社會保障、軍事網絡、國家機關等領域,并規定了對關鍵信息基礎設施的安全供應商進行安全審查的條件;要求網絡運營者應當建立健全用戶信息保護制度,加強對用戶個人信息、隱私和商業秘密的保護;明確指出了網絡安全監測預警與應急處置的條款,和《國家安全法》相呼應,統一了網絡安全監測預警和信息通報的口徑。
投資建議:網絡安全草案征集正式,立法進入最后沖刺階段,長期困擾信息安全的成本敏感問題將獲得強有力的法律保障。繼續推薦“國進洋退”主題:(1)信息安全:衛士通、啟明星辰、綠盟科技、北信源等;(2)國產化:浪潮信息、華東電腦、東方通、超圖軟件、天璣科技、同有科技等。
風險提示:行業需求釋放不及預期。(來源:安信證券 文/胡又文 編選:中國電子商務研究中心)
網絡安全條款范文第2篇
一、加強本單位網絡與信息安全工作的組織領導,建立健全網絡與信息安全工作機構和工作機制,保證網絡與信息安全工作渠道的暢通。
二、明確本單位信息安全工作責任,按照“誰主管,誰負責;誰運營,誰負責”的原則,將安全職責層層落實到具體部門、具體崗位和具體人員。
三、加強本單位信息系統安全等級保護管理工作,在公安機關的監督、檢查、指導下,自覺、主動按照等級保護管理規范的要求完成信息系統定級、備案,對存在的安全隱患或未達到相關技術標準的方面進行建設整改,隨信息系統的實際建設、應用情況對安全保護等級進行動態調整。
四、加強本單位各節點信息安全應急工作。制定信息安全保障方案,加強應急隊伍建設和人員培訓,組織開展安全檢查、安全測試和應急演練。重大節日及敏感節點期間,加強對重要信息系統的安全監控,加強值班,嚴防死守,隨時應對各類突發事件。
五、按照《信息安全等級保護管理辦法》、《互聯網信息管理服務辦法》等規定,進一步加強網絡與信息安全的監督管理,嚴格落實信息安全突發事件“每日零報告制度”,對本單位出現信息安全事件隱瞞不報、謊報或拖延不報的,要按照有關規定,給予責任人行政處理;出現重大信息安全事件,造成重大損失和影響的,要依法追究有關單位和人員的責任。
六、作為本單位網絡與信息安全工作的責任人,如出現重大信息安全事件,對國家安全、社會秩序、公共利益、公民法人及其他組織造成影響的,本人承擔主要領導責任。違反上述承諾,自愿承擔相應主體責任和法律后果。
七、本人承諾不從事下列危害計算機信息網絡安全的活動:
1、未經允許,進入計算機信息網絡或者使用計算機信息網絡資源; 2、未經允許,對計算機信息網絡功能進行刪除、修改或者增加;
3、未經允許,對計算機信息網絡中存儲或者傳輸的數據和應用程序進行刪除、修改或者增加;
4、故意制作、傳播計算機病毒以及其它破壞性程序;
5、不盜用別人計算機的ip地址、網卡物理地址(mac值)和信息數據; 6、不做其它危害計算機信息網絡安全行為。
八、本人承諾當計算機信息系統發生重大安全事故時,立即采取應急措施,保留有關原始記錄,并在24小時內向政府監管部門報告,以及知會公司資訊安全部門,并接受公司停止網絡資源使用服務。
九、本人鄭重承諾遵守本承諾書的有關條款,在使用中認真履行職責,自覺接受監督,確保網絡信息安全;如有違反本承諾書有關條款和國家相關法律法規的行為,本人愿意承擔由此引起的一切責任,直至民事、行政和刑事責任,并接受相應處罰﹔對于造成財產損失的,由個人直接賠償。
十、本承諾書自簽署之日起生效。
網絡安全條款范文第3篇
關鍵詞:網絡技術;網絡安全;數據;信息;對策
中圖分類號:TP393.08
隨著計算機技術的發展和廣泛應用,計算機網絡已經深入社會生產和生活的各個領域。人們充分享受網絡信息技術帶來的便捷生活,同時對計算機網絡的依存度愈來愈高。然而,由于計算機網絡硬件系統設備存在缺陷、網絡軟件系統漏洞的存在、管理手段不完善以及人為因素導致很多網絡安全問題事實存在,嚴重影響網絡秩序和社會生活。本文針對當前網絡系統安全現狀進行多方位分析探究,并給出相應的安全防范應對措施。[1]
1 網絡安全因素分析
隨著計算機網絡應用越來越廣泛,信息在網絡系統傳遞中不安全性因素也越來越多,歸結起來大致有以下幾個方面:
1.1 硬件系統脆弱性。計算機網絡系統用于傳遞信息的載體,如通信衛星、海底光纜,空中架設通信線路和終端機房服務器群在不可抗力的自然災害面前極其容易遭受損壞而導致信息丟失。在2007年,由于臺灣地震造成連接中美之間網絡的海底光纜斷裂,導致大面積的網絡通信中斷故障;同時也存在國外公司利用互聯網根鏡像[2]服務器對中國互聯網信息進行窺探和監控。目前,對網絡中硬件系統抗震、防電磁干繞,防竊聽、防人為惡意破壞等方面影響網絡安全運行的預案很少,從而導致信息在網絡上傳遞不安全。[2]
1.2 軟件系統漏洞。目前廣泛應用的Internet網絡信息傳遞所依賴的TCP/IP協議系統本身就存在一定安全漏洞,在基于TCP/IP協議族的網絡系統中傳遞信息的時候會存在拒絕服務、欺騙攻擊、信息劫持篡改等安全問題。其次,無論是Linux、Unix,還是Windows操作系統基本上都存在影響網絡安全系統漏洞。這些漏洞有的是設計環節考慮不周導致,有的則是相關操作系統軟件公司為了非法獲取對自己商業發展有利的信息開設的后門。
1.3 人為安全威脅。管理員對網絡系統安全配置措施不當造成安全隱患,用戶安全意識缺乏、對自身相關信息不能有效保護,網絡使用相關口令設置簡單等。
2 網絡安全現狀分析
由于網絡系硬件脆弱性,軟件系統漏洞以及人為因素導致的網絡安全威脅事實存在,下面就圍繞上述三大因素對網絡安全現狀做分析梳理。
2.1 計算機網絡物理硬件安全威脅。通信線纜、海底光纜、衛星等設備作為計算機網絡數據信息的載體,對信息進行傳遞以實現資源共享。這些硬件設備作為客觀存在的實體,當我們對能夠對其造成破壞的因素考慮不周的話,就存在嚴重的安全隱患。通信線路,海底光纜這些對地面依賴性較強的通信介質,可能會因為不可抗力的自然災害導致破壞、損毀,從而導致數據信息丟失、網絡系統癱瘓等災難性安全威脅;信息在傳輸的過程中,可已通過對傳遞信號的通信線路進行竊聽、截取,破解,從而導致數據信息泄密[3];海底光纜也有可能會因為拋錨停船導致光纜被損壞,從而導致信息傳遞中斷;通信衛星可能會因為太陽離子風暴對信號干擾、太空垃圾對衛星的撞擊以及敵對勢力對衛星的軍事打擊等造成數據信息信號傳遞失真、中斷等安全威脅。
2.2 黑客攻擊。黑客主要通過對計算機網絡系統分析和探測并發現相應的缺陷和漏洞[4],有針對性對這些安全漏洞進行攻擊的行為。這種黑客攻擊行為具有兩面性,一方面能幫助我們發現網絡系統漏洞,從而使得相應系統設計者能彌補漏洞,使得管理工作者能配置安全性能更高的網絡系統環境。另一方面,黑客可以通過這種攻擊方式有針對性地破壞信息數據有效性完整性,對信息數據進行非法攔截、竊取以謀取私利或者改變網絡系統正常的使用狀態。
2.3 有害病毒程序。有害病毒程序是指能夠破壞計算機功能或者破壞數據,影響計算機使用并且能夠自我復制的一段自動可執行程序代碼,具有寄生性、傳染性、破壞性、潛伏性和可觸發性等特點。計算機網絡病毒平時偽裝成各種形式在網絡上傳遞,藏匿于計算機網絡系統中。一旦攻擊指令被觸發,就可能對計算機以及計算機網絡進行相應的攻擊,輕則可能造成網絡系統運行緩慢,重則可能會造成系統崩潰,信息數據丟失、損壞,硬件系統損毀等,給我們帶來難以估測的嚴重后果。
2.4 用戶安全意識缺失。網絡使用者在使用網絡的過程中,用戶安全意識缺乏,沒有定期對系統進行檢查、系統數據分析檢查、病毒掃描的工作習慣;用戶對自己網絡訪問口令設置過于簡單、用戶將自己的網絡使用賬號和相關個人信息隨意泄露,用戶對使用網絡相關數據更新不及時等行為習慣都會導致安全問題。
3 網絡安全問題對策解決方案
計算機網絡安全問題涉及到技術、設備、法律道德等多方面因素。如何避免安全威脅,減少信息損害我們可以從本文中影響網絡安全因素角度出發給出以下應對策略。
3.1 軟、硬件網絡防火墻。軟、硬件防火墻的目的就是在網絡連接之間建立一個安全控制點,通過允許、拒絕或重新定向經過防火墻的數據流,實現對進、出內部網絡的服務和訪問的審計和控制[5],為信息數據在傳輸過程中提供最大限度的安全保障。
3.2 積極有效病毒防護。病毒防護最為主要的技術就是安裝防病毒軟件系統。這種技術系統的最為主要的功用就是對計算機網絡病毒進行防護、查殺。當前一些主流的防病毒軟件系統,不僅對木馬程序、蠕蟲等病毒進行有效的防御、查殺,還能阻止黑客程序對網絡系統入侵。除了要安裝防病毒軟件系統外,對網絡上新出現病毒類型、種類應有足夠的了解掌握。
3.3 基于網絡監控的入侵檢測技術。入侵檢測技術(Intrusion-Detection)是一種對網絡進行有效監控防范預警的技術。入侵檢測系統通過對計算機、網絡系統中關鍵節點數據進行收集和分析,將數據分析結果和相應網絡安全模型數據進行比對,從而判斷網絡系統是否受到攻擊、非法入侵還是用戶濫用操作,并能對不同的數據比對結果給出不同的警示,從而達到對數據信息的保護[6]。
3.4 數據信息傳遞加密。信息加密技術由來已久,其目的是為了保證信息在傳遞程中的安全。加密技術有兩種體制模型:對稱密鑰和非對稱密鑰,這兩種不同密鑰體制一般分別用DES、AES和RSA、ECC加密算法來實現。信息加密技術可以有效防止竊聽、數據修改、用戶口令盜取,密鑰盜取,增強電子郵件安全、增加Web應用的安全性,數據信息正確傳輸以及保障電商交易的安全運行,保證讓數據信息僅在授權用戶之間能夠有效傳遞。[7]
3.5 網絡基礎設施正常運行保障。網絡系統安全運行用于傳遞信息的載體易于遭受自然災害和人為破壞,可通過架設地表備用通信設備系統;衛星通信設備可以采取雙星通信不同軌、增強信號功率方式,終端服務器機房要做到抗震、防潮、通風散熱系統良好以及有足夠備用電源設備保障網絡正常運行。[8]
3.6 法律制度完善。我國雖然有針對計算機網絡信息安全的法律條款,但獨立性不強、體系不完整、立法時間相對網絡技術發展滯后,無法有效地制約、遏制和打擊網絡犯罪行為。為此,需要建立一個針對性強、體系完整的網絡信息安全法律體系和配套的法律條款,當網絡上出現新興的技術行業時,需適時出臺配套法律保障體系以維護其安全,并成立相應的執法職能部門對網絡違法行為進行監管、打擊。
4 結束語
計算機網絡數據信息安全問題是一個龐雜的系統工程,不可能全面杜絕,只有從誘發網絡安全問題方面著手,做好相應的預防措施。除了通過完善軟硬件系統保障網絡安全運行外,還必須建立健全完善的相關法律系統和相應的執法機構,從而盡可能地減少因網絡安全問題造成的損失。
參考文獻:
[1]李換雙,潘平,羅輝.計算機安全漏洞及防范研究[J].微型機與應用,2013,0410.
網絡安全條款范文第4篇
尤其是當以下問題發生時,使得網絡在遭受安全攻擊時,顯得非常脆弱:上層應用的安全收到Internet底層TCP/IP網絡協議安全性的影響,如果底層TCMP網絡協議受到攻擊,那么上層應用也會存在安全隱患;黑客技術和解密工具在網絡上無序傳播,而給一些不法分子利用這些技術來攻擊網絡;軟件的更新周期較長,而極有可能使得操作系統和應用程序出現新的的攻擊漏洞;網絡管理中的法律法規不健全,各種條款的嚴謹性不足,而給管理工作帶來不便,對于法規的執行力度不足,缺乏切實可行的措施。
2對企業辦公網絡安全造成威脅的因素
對辦公網絡的信息安全實施有效的保護有著非常重要的意義,但同時也存在著一定的難度。由于網絡技術自身存在很多不足,如系統安全性保障不足。沒有安全性的實踐等,而使得辦公網絡不堪一擊。除了自然災害會給辦公網絡埋下巨大的安全隱患外,還有計算機犯罪、黑客攻擊等因素也是影響網絡信息安全的不穩定因素。
2.1自然災害造成的威脅
從本質上來說,企業辦公網絡的信息系統就是一臺機器,根本不具備抵御自然災害、溫度、濕度等環節因素影響的能力,再加上防護措施的欠缺,必然會加大自然災害和環境對辦公網絡信息的威脅。最常見的就是斷電而造成的影響,會使得正處于運行狀態中的設備受到損害或者導致數據丟失等情況的發生。
2.2網絡軟件漏洞造成的威脅
一般來說,網絡軟件自身就存在著一些不可避免的漏洞,而給黑客攻擊提供了便利,黑客會利用這些軟件漏洞對網絡實施攻擊,在常見的案例中,網絡安全受到攻擊的主要原因就是由于網絡軟件不完善。還有一些軟件編程人員,為了自身使用方便而設置“后門”,一旦這些“后門”被不法分子找到,將會造成不可預料的后果。
2.3黑客造成的威脅
辦公網絡信息安全遭受黑客攻擊的案例數不勝數,這些黑客利用各種計算機工具,對自己所掌握的系統和網絡缺陷下手,從而盜取、竊聽重要信息,或者攻擊系統中的重要信息,甚至篡改辦公網絡中的部分信息,而造成辦公網絡癱瘓,給企業造成嚴重的損失。
2.4計算機病毒造成的威脅
計算機病毒會以極快的速度蔓延,而且波及的范圍也非常廣,一旦爆發計算機病毒將會造成不可估計的損失。計算機病毒無影無形,以依附于其他程序的形式存在,隨著程序的運行進一步侵入系統,并迅速擴散。一旦辦公網絡被病毒入侵,會降低工作效率,甚至導致系統死機,數據丟失等嚴重情況的發生。
3如何加強辦公網絡中的網絡安全
3.1數據加密
數據加密技術指的是通過加密鑰匙和加密函數轉化,將信息處理成為無意義的密文。而接收方再通過解密鑰匙和解密函數,將密文還原成為明文。加密技術是網絡安全技術的基石。加密的原理就是改變數據的表現形式,而目的就是確保密文只能被特定的人所解讀。一個加密網絡,不僅可以實現對非授權用戶的搭線竊聽和入網的阻攔,而且還能有效的防止惡意軟件的入侵。一般的數據加密可以在通信的三個層次來實現,分別是鏈路加密、節點加密和端到端加密。
3.2建立網絡管理平臺
現階段,隨著網絡系統的不斷擴大,越來越多的技術也應用到網絡安全當中,常見的技術主要有防火墻、入侵檢測、防病毒軟件等。但不足的就是這些系統都處于獨立地工作狀態,要保證網絡安全以及網絡資源能夠被充分利用,應當為其提供一個經濟安全、可靠高效、功能完善的網絡管理平臺來實現對這些網絡安全設備的綜合管理,使其能夠充分發揮應有的功能。
3.3設置防火墻
網絡安全條款范文第5篇
【關鍵詞】網絡設備;網絡管理;網絡;監管;集群管理;發展趨勢
在網絡安全上,網絡監管一直被認為是一個比較敏感的話題,作為一個已經發展相對成熟的技術,網絡監管在協助管理員進行網絡數據檢測、網絡故障排除等方面都具有不可替代的作用,從而深受廣大網絡管理員的青睞。但是,從另外一個方面來講,網絡監管也給網絡安全帶來了巨大的隱患,在網絡監管行為的同時往往會伴隨著大量的網絡若親,從而導致了一系列的敏感數據被盜等安全事件的發生。
一、網絡管理中網絡監管的意義
網絡監管,即對互聯網網絡的監督、監管和檢查,以達到維護網絡安全、保護網絡上的公共利益的目的。任何事物的發展都要經歷從萌芽到繁盛,互聯網也不例外。我國的互聯網發展經歷了從1987年第一封“越過長城,走向世界”電子郵件到2009年12月底,網民規模達到3.84億人,中國手機網民則達到了2.33億人。網絡的發展必然帶來諸多問題的顯現。
從個人行為上看,主要有通過網絡詆毀他人、散布非法言論等。從單位行為上看,主要有通過網絡進行虛假宣傳、進行詆毀其他單位的行為等。針對這樣的問題,國外已經有了值得我們借鑒的方案。例如,韓國設立有信息安全署(KISA),負責打擊垃圾郵件、釣魚網站、網絡攻擊,甚至是網絡犯罪。新加坡的網絡管理在法律上則更為嚴格,單從法律條文上看,在新加坡設立任何網站,原則上需要部長簽名同意。即使在你建立了網站之后,如果了涉及黃、賭、毒的內容,則會被政府強制關閉。嚴重情況時,開辦網站的當事人也會受到嚴厲的刑事處罰。
相對于技術的迅猛發展,法律總是相對滯后的。網絡監管,就是要基于國家的強制力對網絡中新問題加以解決。這種解決方式不僅是針對個人的網絡危害行為,也是針對單位之間由于不正當競爭導致的對用戶權益和整個互聯網經濟發展的危害行為。由360軟件與QQ軟件之間進行的不兼容事件正是這樣的問題。單位在市場占有量上充斥著競爭。因此,必須充分考慮網絡經濟條件下壟斷的具體特征及其影響,并采取相應措施,既能維護市場的有效競爭,又能促進經濟效率和技術創新水平的提高,又有利于提高消費者的福利水平,實現盡可能好的市場績效。因此,要實現上述的經濟增長并不能單純依靠相對滯后的法律,而必須輔之以政府出臺的網絡監管政策以及互聯網民間協會的協助。也就是說,網絡監管本身蘊含著來自網絡法律的出臺、國家政策的導向以及網絡單位間互相監督的綜合,而它的根本目的則是共同維護網絡中安全、秩序、權利和自由這些價值。
其實,網絡經營商之間的競爭直接關系到網絡的普及與發展。在此期間,如果沒有對網絡經營商的監管,網絡經營商對網絡使用者的免責條款也會在一定程度上限制網絡使用中的安全體驗。比如,QQ2011 beta版軟件中條款“4.2騰訊特別提請用戶注意:騰訊為了保障公司業務發展和調整的自,騰訊擁有隨時自行修改或中斷軟件授權而不需通知用戶的權利,如有必要,修改或中斷會以通告形式公布于騰訊網站重要頁面上。”從中可以發現,網絡經營商作為提供網絡服務的一方,雖然它提供了對于用戶免費的服務,但是它對建立在自己發展基礎上而限制用戶體驗的免責條款的確很不公平。所以,無論是從互聯網協會角度,還是政府角度,針對網絡經營商的格式條款的監管必將成為一種趨勢。
二、網絡管理中網絡監聽的作用
(一)網絡監聽的定義
網絡監聽是通過利用計算機的網絡接口將網絡上的傳輸數據進行截獲的一種工具。我們一般認為網絡監聽是指在運行以太網協議、TCP/IP協議、IPX協議或者其他協議的網絡上,可以攫取網絡信息流的軟件或硬件。網絡監聽早期主要是分析網絡的流量,以便找出所關心的網絡中潛在的問題。網絡監聽的存在對網絡系統管理員是至關重要的,網絡系統管理員通過網絡監聽可以診斷出大量的不可見模糊問題(如網絡瓶頸、錯誤配置等),監視網絡活動,完善網絡安全策略,進行行之有效的網絡管理。
(二)網絡監聽的工作原理
Internet是由眾多的局域網所組成,這些局域網一般是以太網、令牌網的結構。數據在這些網絡上是以很小的稱為幀(Frame)的單位傳輸的,幀通過特定的網絡驅動程序進行成型,然后通過網卡發送到網線上。由于以太網等很多網絡(常見共享HUB連接的內部網)是基于總線方式,物理上是廣播的,同一物理網段的所有主機的網卡都能接收到這些以太網幀。當網絡接口處于正常狀態時,網卡收到傳輸來的數據幀,網卡內的芯片程序先接收數據頭的目的MAC地址,根據計算機上的網卡驅動程序設置的接收模式判斷該不該接收,如果認為是目的地址為本機地址的數據幀或是廣播幀,則接收并在接收后產生中斷信號通知CUP,否則就丟棄不管,CUP得到中斷信號產生中斷,操作系統就根據網卡驅動程序中設置的網卡中斷程序地址調用驅動程序接收數據,驅動程序接收數據后放入信號堆棧讓操作系統處理。通過修改網卡存在一種特殊的工作模式,在這種工作模式下,網卡不對目的地址進行判斷,而直接將它收到的所有報文都傳遞給操作系統進行處理。這種特殊的工作模式,稱之為混雜模式。網絡監聽就是通過將網卡設置為混雜模式,它對遇到的每一個幀都產生一個硬件中斷以便提醒操作系統處理流經該物理媒體上的每一個報文包。網絡監聽工作在網絡環境中的底層,它會攔截所有的正在網絡上傳送的數據,并且通過相應的軟件處理,可以實時分析這些數據的內容,進而分析所處的網絡狀態和整體布局。
(三)網絡監聽的用途
在網絡安全領域中,網絡監聽占有極其重要的作用。網絡監聽程序通常有兩種形式:一是商業網絡監聽,二是黑客所使用的。商業網絡監聽用于維護網絡,對于網絡管理者,監聽也是監控本地網絡狀況的直接手段,監聽還是基于網絡的入侵檢測系統的必要基礎。具體來說就是:把網絡中的數據流轉化成可讀格式。進行性能分析以發現網絡瓶頸。入侵檢測以發現外界入侵者。生成網絡活動日志和安全審計。進行故障分析以發現網絡中潛在的問題。例如,假設網絡的某一段運行得不是很好,報文的發送比較慢,而我們又不知道問題出在什么地方,此時就可以用嗅探器做出精確的問題判斷。借助于網絡監聽,系統管理員可以方便的確定出多少的通訊量屬于哪個網絡協議、占主要通訊協議的主機是哪一臺、大多數通訊目的地是哪一臺主機、報文發送占用多少時間、或者相互主機的報文傳送間隔時間等等,這些信息為管理員判斷網絡問題、管理網絡區域提供了非常寶貴的信息。對于黑客攻擊而言,網絡監聽是一種有效信息收集手段,并且可以輔助進行IP欺騙,如收集科技情報、個人資料、技術成果、系統信息、用戶的帳號和密碼,一些商用機密數據等,目的是為進一步入侵系統做準備,或者是為了其他不可告人的目的。
三、淺析基于網絡設備集群的網絡管理的實現
隨互聯網絡技術的迅速發展,單位網絡的發展規模越來越大,網絡設備的數量越來越多,單位網絡的擴展使網絡的管理變的越來越困難。其設備的數量變得越來越龐大,那么對網絡地址的需求將也會變的越來越多。集群的網絡管理方式可以很好地解決網絡地址問題。集群是可以把一組網絡設備看成一個單一實體進行管理,通常情況下,集群中的交換機中有一臺被指定為命令交換機,其余稱為成員交換機,對集群中各臺成員交換機的配置和管理均在角色為命令交換機上進行。
(一)集群中網絡設備的角色
命令交換機:單位網絡中每個集群設備中必須指定唯一的一臺命令交換機,集群的配置和管理均通過此命令交換機來完成,命令交換機要求具備的條件包括需要配置至少一個IP地址、在交換機上運行支持集群的相應軟件和運行LLDP協議軟件、必須只屬于一個集群而不能是其它集群的命令交換機或者成員交換機。
成員交換機:集群中的所有交換機,包括命令交換機,都是該集群的成員交換機。不過若非特別指明,我們所說的成員交換機并不包括命令交換機。只有該集群的候選交換機才能加入集群,從而成為成員交換機,成員交換機要求具備如下條件:運行了集群支持軟件,運行了LLDP協議軟件,不能是其他集群的命令交換機或者成員交換機。
候選交換機:可以被命令交換機發現并且還沒有加入集群的交換機。候選交換機要求具備如下條件:運行了集群支持軟件,運行了LLDP協議軟件,不能是任何集群的命令交換機或者成員交換機。使用接口配置模式下的命令來手動配置網絡設備端口的所有安全地址。讓該端口進行地址的互相學習,這些學習到的地址將自動成為該端口上的安全地址,直到安全地址數達到最大個數。但是,自動互相學習到的安全地址不會自動和IP地址進行綁定,如果在某一個設備端口上,已經設置了綁定IP地址的安全地址,則將不能通過自動學習地址來增加安全地址的個數。可以手工配置一部分安全地址,另外的安全地址可以讓交換機自動學習到。
(二)集群管理的范圍
集群的管理范圍與跳數有關,跳數限定了命令交換機可以發現的候選交換機的范圍。直接與命令交換機相連的交換機距前者的跳數為1,其余以此類推。默認情況下,命令交換機可以發現距其3跳范圍以內的交換機。VLAN對集群的范圍也有影響,為了保證與集群管理相關的幀的正確接收和轉發,要求VLAN的劃分應能保證在命令交換機、成員交換機和候選交換機之間存在可達的二層通道。如果這些端口中包括Trunk,則要求其本地虛擬局域網須為該虛擬局域網。但若該成員候選交換機已經處于路徑的最末端,則對其上聯端口的屬性無要求。
交換機對LLDP的支持也將影響集群的范圍,命令交換機借助LLDP協議來發現其他交換機。因此,不支持LLDP的交換機無法被發現,并且與之相連的其它換機也無法被發現,除非它們還連接到其他的支持LLDP的交換機上。如果在交換機上關閉LLDP或者在相關端口上禁用也會導致類似情況的發生。
(三)配置集群
默認情況下集群功能是打開的,在交換機上可以創建集群從而使之成為命令交換機,也可以將其加入一個集群中而成為成員交換機。如果想要關閉集群功能,在特權模式下則:進入全局配置模式,關閉集群功能,回到特權模式,驗證配置,最后保存配置。如果交換機是命令交換機,關閉集群功能將刪除集群,并且不能成為任何集群的候選交換機;如果是成員交換機,關閉集群功能將使之退出集群,并且不能成為任何集群的候選交換機;如果是候選交換機,關閉集群功能將使之不再能成為任何集群的候選交換機。
配置集群先要建立集群。在特權模式下,可以通過以下步驟來建立集群,同時使該交換機成為集群的命令交換機,還可以為其指定一個序號。進入全局配置模式后設置命令交換機的序號。如果集群已經建立,則使用命令更改集群的名稱,但不能更改命令交換機的序號。若要刪除集群,可以在命令交換機的全局配置模式下執行命令no cluster enable。
配置集群發現跳數時,其決定了命令交換機所能發現的候選交換機的范圍,在交換機的特權模式下,可以通過以下步驟來配置發現跳數。首先進入全局配置模式設置發現跳數,若要恢復為缺省值,可以在全局配置模式下執行命令no cluster discovery。
配置集群timer。為及時地發現網絡中的候選交換機,以及準確掌握成員交換機/候選交換機和命令交換機間的物理連接狀況,命令交換機將每隔一段時間進行一次拓撲收集。該時間間隔由集群timer決定,缺省情況下為12秒。在特權模式下,可以通過以下步驟來配置集群time,先進入全局配置模式,再設置時間間隔,時間間隔的范圍是1-300,缺省值為12秒。如果要恢復為缺省值,可以在全局配置模式下執行命令no cluster timer。
配置集群holdtime。holdtime值即時間值,是命令交換機所收集到的拓撲圖以及所發現的候選交換機信息將會被保存一段時間,默認情況下為120秒。交換機的特權配置模式下,可以通過配置集群的holdtime:從特權模式進入全局配置模式后通過cluster holdtime命令進行holdtime時間的設置,時間范圍是1-300,默認情況下的值為120秒。配置好后再回到特權模式,通過show cluster驗證配置,如果要恢復其為缺省值,可以在交換機的全局配置模式下執行命令no cluster。
網絡設備集群的網絡管理方式可以大大提高單位網絡運行維護的效率,不管單位網絡設備處于任何具體的位置,集群的創建可以使多臺網絡設備不需要IP地址,從而成倍地節省了單位網絡有限的地址空間。
參考文獻:
[1]于玥.網絡信息管理及其安全[J].計算機光盤軟件與應用,2010.
[2]褚英國.關于Web應用層深度防御系統的研究與實踐[J].計算機時代,2009.
[3]朱星偉.突破單一防御思路的Web安全[J].信息安全與通信保密,2008.
