屏蔽主機式體系結構1.5入侵檢測系統(tǒng)

1概念當前，平均每20秒就發(fā)生一次入侵計算機網(wǎng)絡的事件，超過1/3的互聯(lián)網(wǎng)防火墻被攻破！面對接2連3的安全問題，人們不禁要問：到底是安全問題本身太復雜，以至于不可能被徹底解決，還的仍然可以有更大的改善，只不過我們所采取的安全措施中缺少了某些重要的環(huán)節(jié)。有關數(shù)據(jù)表明，后一種解釋更說明問題。有權威機構做過入侵行為統(tǒng)計，發(fā)現(xiàn)他、有80%來自于網(wǎng)絡內(nèi)部，也就是說，“堡壘”是從內(nèi)部被攻破的。另外，在相當一部分黑客攻擊當中，黑客都能輕易地繞過防火墻而攻擊網(wǎng)站服務器。這就使人們認識到：僅靠防火墻仍然遠遠不能將“不速之客”拒之門外，還必須借助于一個“補救”環(huán)節(jié)入侵檢測系統(tǒng)。入侵檢測系統(tǒng)（Intrusiondetectionsystem，簡稱IDS）是指監(jiān)視（或者在可能的情況下阻止）入侵或者試圖控制你的系統(tǒng)或者網(wǎng)絡資源的行為的系統(tǒng)。作為分層安全中日益被越普遍采用的成份，入侵檢測系統(tǒng)能有效地提升黑客進入網(wǎng)絡系統(tǒng)的門檻。入侵檢測系統(tǒng)能夠通過向管理員發(fā)出入侵或者入侵企圖來加強當前存取控制系統(tǒng)，例如防火墻；識別防火墻通常用不能識別的攻擊，如來自企業(yè)內(nèi)部的攻擊；在發(fā)現(xiàn)入侵企圖之后提供必要的信息。入侵檢測是防火墻的合理補充，幫助系統(tǒng)對付網(wǎng)絡攻擊，擴展了系統(tǒng)管理員的安全管理能力（包括安全審計、監(jiān)視、進攻識別和響應），提高了信息安全基礎結構的完整性。它從計算機網(wǎng)絡系統(tǒng)中的若干個關鍵點收集信息，并分析這些信息，檢測網(wǎng)絡中是否有違反安全策略的行為和遭到襲擊的跡象。它的作用是監(jiān)控網(wǎng)絡和計算機系統(tǒng)是否出現(xiàn)被入侵或濫用的征兆。作為監(jiān)控和識別攻擊的標準解決方案，IDS系統(tǒng)已經(jīng)成為安防體系的重要組成部分。IDS系統(tǒng)以后臺進程的形式運行。發(fā)現(xiàn)可疑情況，立即通知有關人員。防火墻為網(wǎng)絡提供了第一道防線，入侵檢測被認為是防火墻之后的第二道安全閘門，在不影響網(wǎng)絡性能的情況下對網(wǎng)絡進行檢測，從而提供對內(nèi)部攻擊、外部攻擊和誤解操作的實時保護。由于入侵檢測系統(tǒng)是防火墻后的又一道防線，從二可以極大地減少網(wǎng)絡免受各種攻擊的損害。假如說防火墻是一幢大樓的門鎖，那入侵檢測系統(tǒng)就是這幢大樓里的監(jiān)視系統(tǒng)。門鎖可以防止小偷進入大樓，但不能保證小偷100%地被拒之門外，更不能防止大樓內(nèi)部個別人員的不良企圖。而一旦小偷爬入大樓，或內(nèi)部人員有越界行為，門鎖就沒有任何作用了，這時，只有實時監(jiān)視系統(tǒng)才能發(fā)現(xiàn)情況并發(fā)出警告。入侵檢測系統(tǒng)不僅僅針對外來的入侵者，同時也針對內(nèi)部的入侵行為。2侵檢測的主要技術————入侵分析技術入侵分析技術主要有三大類：簽名、統(tǒng)計和數(shù)據(jù)完整性。簽名分析法名分析法主要用來檢測有無對系統(tǒng)的已知弱點進行的攻擊行為。這類攻擊可以通過監(jiān)視有無針對特定對象的某種行為而被檢測到。主要方法：從攻擊模式中歸納出其簽名，編寫到IDS系統(tǒng)的代碼里，再由IDS系統(tǒng)對檢測過程中收集到的信息進行簽名分析。簽名分析實際上是一個模板匹配操作，匹配的一方是系統(tǒng)設置情況和用戶操作動作，一方是已知攻擊模式的簽名數(shù)據(jù)庫。統(tǒng)計分析法統(tǒng)計分析法是以系統(tǒng)正常使用情況下觀察到的動作為基礎，如果某個操作偏離了正常的軌道，此操作就值得懷疑。主要方法：首先根據(jù)被檢測系統(tǒng)的正常行為定義一個規(guī)律性的東西，在此稱為“寫照”，然后檢測有沒有明顯偏離“寫照”的行為。統(tǒng)計分析法的理論經(jīng)常是統(tǒng)計學，此方法中，“寫照”的確定至關重要。數(shù)據(jù)完整分析法數(shù)據(jù)完整分析法主要用來查證文件或?qū)ο笫欠癖恍薷倪^，它的理論經(jīng)常是密碼學。3侵檢測系統(tǒng)的分類：現(xiàn)有的IDS的分類，大都基于信息源和分析方法。為了體現(xiàn)對IDS從布局、采集、分析、響應等各個層次及系統(tǒng)性研究方面的問題，在這里采用五類標準：控制策略、同步技術、信息源、分析方法、響應方式。按照控制策略分類控制策略描述了IDS的各元素是如何控制的，以及IDS的輸入和輸出是如何管理的。按照控制策略IDS可以劃分為，集中式IDS、部分分布式IDS和全部分布式IDS。在集中式IDS中，一個中央節(jié)點控制系統(tǒng)中所有的監(jiān)視、檢測和報告。在部分分布式IDS中，監(jiān)控和探測是由本地的一個控制點控制，層次似的將報告發(fā)向一個或多個中心站。在全分布式IDS中，監(jiān)控和探測是使用一種叫“代理”的方法，代理進行分析并做出響應決策。按照同步技術分類同步技術是指被監(jiān)控的事件以及對這些事件的分析在同一時間進行。按照同步技中，信息源是以文件的形式傳給分析器，一次只處理特定時間段內(nèi)產(chǎn)生的信息，并在入侵發(fā)生時將結果反饋給用戶。很多早期的基于主機的IDS都采用這種方案。在實時連續(xù)型IDS中，事件一發(fā)生，信息源就傳給分析引擎，并且立刻得到處理和反映。實時IDS是基于網(wǎng)絡IDS首選的方案。按照信息源分類按照信息源分類是目前最通用的劃分方法，它分為基于主機的IDS、基于網(wǎng)絡的IDS和分布式IDS。基于主機的IDS通過分析來自單個的計算機系統(tǒng)的系統(tǒng)審計蹤跡和系統(tǒng)日志來檢測攻擊。基于主機的IDS是在關鍵的網(wǎng)段或交換部位通過捕獲并分析網(wǎng)絡數(shù)據(jù)包來檢測攻擊。分布式IDS，能夠同時分析來自主機系統(tǒng)日志和網(wǎng)絡數(shù)據(jù)流，系統(tǒng)由多個部件組成，采用分布式結構。按照分析方法分類按照分析方法IDS劃分為濫用檢測型IDS和異常檢測型IDS。濫用檢測型的IDS中，首先建立一個對過去各種入侵方法和系統(tǒng)缺陷知識的數(shù)據(jù)庫，當收集到的信息與庫中的原型相符合時則報警。任何不符合特定條件的活動將會被認為合法，因此這樣的系統(tǒng)虛警率很低。異常檢測型IDS是建立在如下假設的基礎之上的，即任何一種入侵行為都能由于其偏離正?；蛘咚谕南到y(tǒng)和用戶活動規(guī)律而被檢測出來。所以它需要一個記錄合法活動的數(shù)據(jù)庫，由于庫的有限性使得虛警率比較高。按照響應方式分類按照響應方式IDS劃分為主動響應IDS和被動響應IDS。當特定的入侵被檢測到時，主動IDS會采用以下三種響應：收集輔助信息；改變環(huán)境以堵住導致入侵發(fā)生的漏洞；對攻擊者采取行動（這是一種不被推薦的做法，因為行為有點過激）。被動響應IDS則是將信息提供給系統(tǒng)用戶，依靠管理員在這一信息的基礎上采取進一步的行動。4IDS的評價標準目前的入侵檢測技術發(fā)展迅速，應用的技術也很廣泛，如何來評價IDS的優(yōu)缺點就顯得非常重要。評價IDS的優(yōu)劣主要有這樣幾個方面[5]：（1）準確性。準確性是指IDS不會標記環(huán)境中的一個合法行為為異?；蛉肭帧＃?）性能。IDS的性能是指處理審計事件的速度。對一個實時IDS來說，必須要求性能良好。（3）完整性。完整性是指IDS能檢測出所有的攻擊。（4）故障容錯（faulttolerance）。當被保護系統(tǒng)遭到攻擊和毀壞時，能迅速恢復系統(tǒng)原有的數(shù)據(jù)和功能。（5）自身抵抗攻擊能力。這一點很重要，尤其是“拒絕服務”攻擊。因為多數(shù)對目標系統(tǒng)的攻擊都是采用首先用“拒絕服務”攻擊摧毀IDS，再實施對系統(tǒng)的攻擊。（6）及時性（Timeliness）。一個IDS必須盡快地執(zhí)行和傳送它的分析結果，以便在系統(tǒng)造成嚴重危害之前能及時做出反應，阻止攻擊者破壞審計數(shù)據(jù)或IDS本身。除了上述幾個主要方面，還應該考慮以下幾個方面：（1）IDS運行時，額外的計算機資源的開銷；（2）誤警報率／漏警報率的程度；（3）適應性和擴展性；（4）靈活性；（5）管理的開銷；（6）是否便于使用和配置。隨著入侵檢測技術的發(fā)展，成型的產(chǎn)品已陸續(xù)應用到實踐中。入侵檢測系統(tǒng)的典型代表是ISS（國際互聯(lián)網(wǎng)安全系統(tǒng)公司）公司的RealSecure。目前較為著名的商用入侵檢測產(chǎn)品還有：NAI公司的CyberCopMonitor、Axent公司的NetProwler、CISCO公司的Netranger、CA公司的Sessionwall－3等。國內(nèi)的該類產(chǎn)品較少，但發(fā)展很快，已有總參北方所、中科網(wǎng)威、啟明星辰等公司推出產(chǎn)品。人們在完善原有技術的基礎上，又在研究新的檢測方法，如數(shù)據(jù)融合技術，主動的自主代理方法，智能技術以及免疫學原理的應用等。其主要的發(fā)展方向可概括為：（1）大規(guī)模分布式入侵檢測。傳統(tǒng)的入侵檢測技術一般只局限于單一的主機或網(wǎng)絡框架，顯然不能適應大規(guī)模網(wǎng)絡的監(jiān)測，不同的入侵檢測系統(tǒng)之間也不能協(xié)同工作。因此，必須發(fā)展大規(guī)模的分布式入侵檢測技術。（2）寬帶高速網(wǎng)絡的實時入侵檢測技術。大量高速網(wǎng)絡的不斷涌現(xiàn)，各種寬帶接入手段層出不窮，如何實現(xiàn)高速網(wǎng)絡下的實時入侵檢測成為一個現(xiàn)實的問題。（3）入侵檢測的數(shù)據(jù)融合技術。目前的IDS還存在著很多缺陷。首先，目前的技術還不能對付訓練有素的黑客的復雜的攻擊。其次，系統(tǒng)的虛警率太高。最后，系統(tǒng)對大量的數(shù)據(jù)處理，非但無助于解決問題，還降低了處理能力。數(shù)據(jù)融合技術是解決這一系列問題的好方法。（4）與網(wǎng)絡安全技術相結合。結合防火墻，病毒防護以及電子商務技術，提供完整的網(wǎng)絡安全保障。第二章網(wǎng)絡管理2.1概述隨著計算機技術和Internet的發(fā)展，企業(yè)和政府部門開始大規(guī)模的建立網(wǎng)絡來推動電子商務和政務的發(fā)展，伴隨著網(wǎng)絡的業(yè)務和應用的豐富，對計算機網(wǎng)絡的管理與維護也就變得至關重要。人們普遍認為，網(wǎng)絡管理是計算機網(wǎng)絡的關鍵技術之一，尤其在大型計算機網(wǎng)絡中更是如此。網(wǎng)絡管理就是指監(jiān)督、組織和控制網(wǎng)絡通信服務以及信息處理所必需的各種活動的總稱。其目標是確保計算機網(wǎng)絡的持續(xù)正常運行，并在計算機網(wǎng)絡運行出現(xiàn)異常時能及時響應和排除故障。關于網(wǎng)絡管理的定義目前很多，但都不夠權威。一般來說，網(wǎng)絡管理就是通過某種方式對網(wǎng)絡進行管理，使網(wǎng)絡能正常高效地運行。其目的很明確，就是使網(wǎng)絡中的資源得到更加有效的利用。它應維護網(wǎng)絡的正常運行，當網(wǎng)絡出現(xiàn)故障時能及時報告和處理，并協(xié)調(diào)、保持網(wǎng)絡系統(tǒng)的高效運行等。國際標準化組織（ISO）在ISO/IEC7498-4中定義并描述了開放系統(tǒng)互連（OSI）管理的術語和概念，提出了一個OSI管理的結構并描述了OSI管理應有的行為。它認為，開放系統(tǒng)互連管理是指這樣一些功能，它們控制、協(xié)調(diào)、監(jiān)視OSI環(huán)境下的一些資源，這些資源保證OSI環(huán)境下的通信。通常對一個網(wǎng)絡管理系統(tǒng)需要定義以下內(nèi)容：○系統(tǒng)的功能。即一個網(wǎng)絡管理系統(tǒng)應具有哪些功能。○網(wǎng)絡資源的表示。網(wǎng)絡管理很大一部分是對網(wǎng)絡中資源的管理。網(wǎng)絡中的資源就是指網(wǎng)絡中的硬件、軟件以及所提供的服務等。而一個網(wǎng)絡管理系統(tǒng)必須在系統(tǒng)中將它們表示出來，才能對其進行管理。○網(wǎng)絡管理信息的表示。網(wǎng)絡管理系統(tǒng)對網(wǎng)絡的管理主要靠系統(tǒng)中網(wǎng)絡管理信息的傳遞來實現(xiàn)。網(wǎng)絡管理信息應如何表示、怎樣傳遞、傳送的協(xié)議是什么?這都是一個網(wǎng)絡管理系統(tǒng)必須考慮的問題。○系統(tǒng)的結構。即網(wǎng)絡管理系統(tǒng)的結構是怎樣的。網(wǎng)絡管理這一學科領域自20世紀80年代起逐漸受到重視，許多國際標準化組織、論壇和科研機構都先后開發(fā)了各類標準、協(xié)議來指導網(wǎng)絡管理與設計，但各種網(wǎng)絡系統(tǒng)在結構上存在著或大或小的差異，至今還沒有一個大家都能接受的標準。當前，網(wǎng)絡管理技術主要有以下三種：誕生于Internte家族的SNMP是專門用于對Internet進行管理的，雖然它有簡單適用等特點，已成為當前網(wǎng)絡界的實際標準，但由于Internet本身發(fā)展的不規(guī)范性，使SNMP有先天性的不足，難以用于復雜的網(wǎng)絡管理，只適用于TCP/IP網(wǎng)絡，在安全方面也有欠缺。已有SNMPv1和SNMPv2兩種版本，其中SNMPv2主要在安全方面有所補充。隨著新的網(wǎng)絡技術及系統(tǒng)的研究與出現(xiàn)，電信網(wǎng)、有線網(wǎng)、寬帶網(wǎng)等的融合，使原來的SNMP已不能滿足新的網(wǎng)絡技術的要求；CMIP可對一個完整的網(wǎng)絡管理方案提供全面支持，在技術和標準上比較成熟.最大的優(yōu)勢在于，協(xié)議中的變量并不僅僅是與終端相關的一些信息，而且可以被用于完成某些任務，但正由于它是針對SNMP的不足而設計的，因此過于復雜，實施費用過高，還不能被廣泛接受；分布對象網(wǎng)絡管理技術是將CORBA技術應用于網(wǎng)絡管理而產(chǎn)生的，主要采用了分布對象技術將所有的管理應用和被管元素都看作分布對象，這些分布對象之間的交互就構成了網(wǎng)絡管理.此方法最大的特點是屏蔽了編程語言、網(wǎng)絡協(xié)議和操作系統(tǒng)的差異，提供了多種透明性，因此適應面廣，開發(fā)容易，應用前景廣闊.SNMP和CMIP這兩種協(xié)議由于各自有其擁護者，因而在很長一段時期內(nèi)不會出現(xiàn)相互替代的情況，而如果由完全基于CORBA的系統(tǒng)來取代，所需要的時間、資金以及人力資源等都過于龐大，也是不能接受的.所以，CORBA，SNMP，CMIP相結合成為基于CORBA的網(wǎng)絡管理系統(tǒng)是當前研究的主要方向。網(wǎng)絡管理協(xié)議網(wǎng)絡管理協(xié)議一般為應用層級協(xié)議，它定義了網(wǎng)絡管理信息的類別及其相應的確切格式，并且提供了網(wǎng)絡管理站和網(wǎng)絡管理節(jié)點間進行通訊的標準或規(guī)則。網(wǎng)絡管理系統(tǒng)通常由管理者(Manager)和代理(Agent)組成，管理者從各代理那兒采集管理信息，進行加工處理，從而提供相應的網(wǎng)絡管理功能，達到對代理管理之目的。即管理者與代理之間孺要利用網(wǎng)絡實現(xiàn)管理信息交換，以完成各種管理功能，交換管理信息必須遵循統(tǒng)一的通信規(guī)約，我們稱這個通信規(guī)約為網(wǎng)絡管理協(xié)議。目前有兩大網(wǎng)管協(xié)議，一個是由IETF提出來的簡單網(wǎng)絡管理協(xié)議SNMP，它是基于TCP/IP和Internet的。因為TCP/IP協(xié)議是當今網(wǎng)絡互連的工業(yè)標準，得到了眾多廠商的支持，因此SNMP是一個既成事實的網(wǎng)絡管理標準協(xié)議。SNMP的特點主要是采用輪詢監(jiān)控，管理者按一定時間間隔向代理者請求管理信息，根據(jù)管理信息判斷是否有異常事件發(fā)生。輪詢監(jiān)控的主要優(yōu)點是對代理的要求不高；缺點是在廣域網(wǎng)的情形下，輪詢不僅帶來較大的通信開銷，而且輪詢所獲得的結果無法反映最新的狀態(tài)。另一個是ISO定義的公共管理信息協(xié)議CMIP。CMIP是以OSI的七層協(xié)議棧作為基礎，它可以對開放系統(tǒng)互連環(huán)境下的所有網(wǎng)絡資源進行監(jiān)測和控制，被認為是未來網(wǎng)絡管理的標準協(xié)議。CMIP的特點是采用委托監(jiān)控，當對網(wǎng)絡進行監(jiān)控時，管理者只需向代理發(fā)出一個監(jiān)控請求，代理會自動監(jiān)視指定的管理對象，并且只是在異常事件(如設備、線路故障)發(fā)生時才向管理者發(fā)出告警，而且給出一段較完整的故障報告，包括故障現(xiàn)象、故障原因。委托監(jiān)控的主要優(yōu)點是網(wǎng)絡管理通信的開銷小、反應及時，缺點是對代理的軟硬件資源要求高，要求被管站上開發(fā)許多相應的代理程序，因此短期內(nèi)尚不能得到廣泛的支持。網(wǎng)絡管理系統(tǒng)的組成網(wǎng)絡管理的需求決定網(wǎng)管系統(tǒng)的組成和規(guī)模，任何網(wǎng)管系統(tǒng)無論其規(guī)模大小如何，基本上都是由支持網(wǎng)管協(xié)議的網(wǎng)管軟件平臺、網(wǎng)管支撐軟件、網(wǎng)管工作平臺和支撐網(wǎng)管協(xié)議的網(wǎng)絡設備組成。網(wǎng)管軟件平臺提供網(wǎng)絡系統(tǒng)的配置、故障、性能以及網(wǎng)絡用戶分布方面的基本管理。目前決大多數(shù)網(wǎng)管軟件平臺都是在UNIX和DOS/WINDOWS平臺上實現(xiàn)的。目前公認的三大網(wǎng)管軟件平臺是：HPView、IBMNetview和SUNNetmanager。雖然它們的產(chǎn)品形態(tài)有不同的操作系統(tǒng)的版本，但都遵循SNMP協(xié)議和提供類似的網(wǎng)管功能。不過，盡管上述網(wǎng)管軟件平臺具有類似的網(wǎng)管功能，但是它們在網(wǎng)管支撐軟件的支持、系統(tǒng)的可靠性、用戶界面、操作功能、管理方式和應用程序接口，以及數(shù)據(jù)庫的支持等方面都存在差別。可能在其它操作系統(tǒng)之上實現(xiàn)的Netview、Openview、Netmanager網(wǎng)管軟件平臺版本僅是標準Netview、Openview、Netmanager的子集。例如，在MSWindows操作系統(tǒng)上實現(xiàn)的Netview網(wǎng)管軟件平臺版本NetviewforWindows便僅僅只是Netview的子集。網(wǎng)管支撐軟件是運行于網(wǎng)管軟件平臺之上，支持面向特定網(wǎng)絡功能、網(wǎng)絡設備和操作系統(tǒng)管理的支撐軟件系統(tǒng)。網(wǎng)絡設備生產(chǎn)廠商往往為其生產(chǎn)的網(wǎng)絡設備開發(fā)專門的網(wǎng)絡管理軟件。這類軟件建立在網(wǎng)絡管理平臺之上，針對特定的網(wǎng)絡管理設備，通過應用程序接口與平臺交互，并利用平臺提供的數(shù)據(jù)庫和資源，實現(xiàn)對網(wǎng)絡設備的管理，比如CiscoWorks就是這種類型的網(wǎng)絡管理軟件，它可建立在HPOpenView和IBMNetview等管理平臺之上，管理廣域互聯(lián)網(wǎng)絡中的Cisco路由器及其它設備。通過它，可以實現(xiàn)對Cisco的各種網(wǎng)絡互聯(lián)設備（如路由器、交換機等）進行復雜網(wǎng)絡管理。網(wǎng)絡管理的體系結構網(wǎng)絡管理系統(tǒng)的體系結構（簡稱網(wǎng)絡拓撲）是決定網(wǎng)絡管理性能的重要因素之一。通常可以分為集中式和非集中式兩類體系結構。目前，集中式網(wǎng)管體系結構通常采用以平臺為中心的工作模式，該工作模式把單一的管理者分成兩部分：管理平臺和管理應用。管理平臺主要關心收集的信息并進行簡單的計算，而管理應用則利用管理平臺提供的信息進行決策和執(zhí)行更高級的功能。非集中方式的網(wǎng)絡管理體系結構包括層次方式和分布式。層次方式采用管理者的管理者MOM（Managerofmanager）的概念，以域為單位，每個域有一個管理者，它們之間的通訊通過上層的MOM，而不直接通訊。層次方式相對來說具有一定的伸縮性：通過增加一級MOM，層次可進一步加深。分布式是端對端（peertopeer）的體系結構，整個系統(tǒng)有多個管理方，幾個對等的管理者同時運行于網(wǎng)絡中，每個管理者負責管理系統(tǒng)中一個特定部分“域”，管理者之間可以相互通訊或通過高級管理者進行協(xié)調(diào)。對于選擇集中式還是非集中式，這要根據(jù)實際場合的需要來決定。而介于兩者之間的部分分布式網(wǎng)管體系結構，則是近期發(fā)展起來的兼顧兩者優(yōu)點的一種新型網(wǎng)管體系結構2.2常見的幾種網(wǎng)絡管理技術

基于WEB的網(wǎng)絡管理模式隨著Internet技術的廣泛應用，Intranet也正在悄然取代原有的企業(yè)內(nèi)部局域網(wǎng)，由于異種平臺的存在及網(wǎng)絡管理方法和模型的多樣性，使得網(wǎng)絡管理軟件開發(fā)和維護的費用很高，培訓管理人員的時間很長，因此人們迫切需要尋求高效、方便的網(wǎng)絡管理模式來適應網(wǎng)絡高速發(fā)展的新形勢。隨著Intranet和WEB及其開發(fā)工具的迅速發(fā)展，基于WEB的網(wǎng)絡管理技術也因此應運而生?；赪EB的網(wǎng)管解決方案主要有以下幾方面的優(yōu)點：（1）地理上和系統(tǒng)間的可移動性：系統(tǒng)管理員可以在Intranet上的任何站點或Internet的遠程站點上利用WEB瀏覽器透明存取網(wǎng)絡管理信息；（2）統(tǒng)一的WEB瀏覽器界面方便了用戶的使用和學習，從而可節(jié)省培訓費用和管理開銷；（3）管理應用程序間的平滑鏈接：由于管理應用程序獨立于平臺，可以通過標準的HTTP協(xié)議將多個基于WEB的管理應用程序集成在一起，實現(xiàn)管理應用程序間的透明移動和訪問；（4）利用JAVA技術能夠迅速對軟件進行升級。為了規(guī)范和促進基于WEB的網(wǎng)管系統(tǒng)開發(fā)，目前已相繼公布了兩個主要推薦標準：WEBM和JMAPI。兩個推薦標準各有其特色，并基于不同的原理提出。WEBM方案仍然支持現(xiàn)存的管理標準和協(xié)議，它通過WEB技術對不同管理平臺所提供的分布式管理服務進行集成，并且不會影響現(xiàn)有的網(wǎng)絡基礎結構。

JMAPI是一種輕型的管理基礎結構，采用JMAPI來開發(fā)集成管理工具存在以下優(yōu)點：平臺無關、高度集成化、消除代理程序版本分發(fā)問題、安全性和協(xié)議無關性。2.分布對象網(wǎng)絡管理技術目前廣泛采用的網(wǎng)絡管理系統(tǒng)模式是一種基于Client/Server技術的集中式平臺模式。由于組織結構簡單，自應用以來，已經(jīng)得到廣泛推廣，但同時也存在著許多缺陷：一個或幾個站點負責收集分析所有網(wǎng)絡節(jié)點信息，并進行相應管理，造成中心網(wǎng)絡管理站點負載過重；所有信息送往中心站點處理，造成此處通信瓶頸；每個站點上的程序是預先定義的，具有固定功能，不利于擴展。隨著網(wǎng)絡技術和網(wǎng)絡規(guī)模尤其是因特網(wǎng)的發(fā)展，集中式在可擴展性、可靠性、有效性、靈活性等方面有很大的局限，已不能適應發(fā)展的需要.CORBA技術CORBA技術是對象管理組織OMG推出的工業(yè)標準，主要思想是將分布計算模式和面向?qū)ο笏枷虢Y合在一起，構建分布式應用。CORBA的主要目標是解決面向?qū)ο蟮漠悩嫅弥g的互操作問題，并提供分布式計算所需要的一些其它服務。OMG是CORBA平臺的核心，它用于屏蔽與底層平臺有關的細節(jié)，使開發(fā)者可以集中精力去解決與應用相關的問題，而不必自己去創(chuàng)建分布式計算基礎平臺。CORBA將建立在ORB之上的所有分布式應用看作分布計算對象，每個計算對象向外提供接口，任何別的對象都可以通過這個接口調(diào)用該對象提供的服務。CORBA同時提供一些公共服務設施，例如名字服務、事務服務等，借助于這些服務，CORBA可以提供位置透明性、移動透明性等分布透明性。CORBA的一般結構基于CORBA的網(wǎng)絡管理系統(tǒng)通常按照Client/Server的結構進行構造。其中，服務方是指針對網(wǎng)絡元素和數(shù)據(jù)庫組成的被管對象進行的一些基本網(wǎng)絡服務，例如配置管理、性能管理等.客戶方則是面向用戶的一些界面，或者提供給用戶進一步開發(fā)的管理接口等。其中，從網(wǎng)絡元素中獲取的網(wǎng)絡管理信息通常需要經(jīng)過CORBA/SNMP網(wǎng)關或CORBA/CMIP網(wǎng)關進行轉(zhuǎn)換，這一部分在有的網(wǎng)絡管理系統(tǒng)中被抽象成CORBA代理的概念.從以上分析可以看出，運用CORBA技術完全能夠?qū)崿F(xiàn)標準的網(wǎng)絡管理系統(tǒng)。不僅如此，由于CORBA是一種分布對象技術，基于CORBA的網(wǎng)絡管理系統(tǒng)能夠克服傳統(tǒng)網(wǎng)絡管理技術的不足，在網(wǎng)絡管理的分布性、可靠性和易開發(fā)性方面達到一個新的高度。2.3統(tǒng)一不同的網(wǎng)絡管理系統(tǒng)面臨的問題

統(tǒng)一的不同層面網(wǎng)絡管理的統(tǒng)一存在三個層次。站點級的統(tǒng)計，這是最低級的統(tǒng)一，不同的網(wǎng)絡管理系統(tǒng)在同一服務器上運行，相互獨立，是不同的NMS。GUI級的統(tǒng)一，指不同的網(wǎng)絡管理系統(tǒng)操作界面風格統(tǒng)一，運用的術語相同，管理員面對的是一種操作語言，這是一種表面上的統(tǒng)一，具有友好的一次性學習的界面。管理應用級的統(tǒng)一，這是最高級別的統(tǒng)一。在這個級別上，不但實現(xiàn)了GUI的統(tǒng)一，各種網(wǎng)絡管理系統(tǒng)的管理應用程序按照統(tǒng)一標準設計，應用程序間可進行信息共享和關聯(lián)操作。在這一層面上的統(tǒng)一實現(xiàn)了對異構網(wǎng)的綜合分析與管理，進行關聯(lián)操作，網(wǎng)管系統(tǒng)可具有推理判斷能力。統(tǒng)一的內(nèi)容網(wǎng)絡管理系統(tǒng)統(tǒng)一可從三個方面依次去實現(xiàn)，即操作界面的統(tǒng)一、網(wǎng)管協(xié)議的統(tǒng)網(wǎng)管功能的統(tǒng)一。界面的統(tǒng)一網(wǎng)絡管理系統(tǒng)是管理的工具，但歸根到底是要人去操作管理，操作界面的優(yōu)劣會對管理員產(chǎn)生很大影響。不同網(wǎng)管系統(tǒng)具有不同的操作界面，要求管理員分別學習，或增加管理員人數(shù)，形成人力浪費。現(xiàn)在沒有統(tǒng)一的網(wǎng)管用戶界面的統(tǒng)一標準?，F(xiàn)有的網(wǎng)管系統(tǒng)幾乎都實現(xiàn)了圖形界面，但既有基于UNIX操作系統(tǒng)的又有基于WINDOWS操作系統(tǒng)，且界面的格式千差萬別，給管理員的工作增加困難。網(wǎng)管協(xié)議的統(tǒng)一管理協(xié)議是NMS核心和管理代理之間進行信息交換遵循的標準，是網(wǎng)管系統(tǒng)統(tǒng)一的關鍵所在。目前流行的兩種網(wǎng)管協(xié)議為SNMP(SimpleNetworkManagementProtocal)和CMIS/CMIP(CommonMangementInformationProtocal).SNMP是由互聯(lián)網(wǎng)活動委員會IAB提出的基于TCP/IP網(wǎng)管協(xié)議，CMIP是由國際標準化組織ISO開發(fā)的基于網(wǎng)絡互聯(lián)的網(wǎng)管協(xié)議。網(wǎng)管協(xié)議的統(tǒng)一就是指這兩種協(xié)議的統(tǒng)一網(wǎng)管功能的統(tǒng)一在ISO標準中定義了配置管理、故障管理、性能管理、安全管理、計費管理等領域?，F(xiàn)有的網(wǎng)管系統(tǒng)在網(wǎng)管規(guī)范尚未成熟就進行了開發(fā)，大都是實現(xiàn)了部分模塊的部分功能。這些網(wǎng)管系統(tǒng)功能單一，相互獨立，不能實現(xiàn)信息的共享。不能從宏觀上實現(xiàn)管理，不利于網(wǎng)絡的綜合管理。統(tǒng)一的策略將多個網(wǎng)絡管理系統(tǒng)統(tǒng)一在一起的方法有三種，一種是格式轉(zhuǎn)換法，即各個子網(wǎng)管理系統(tǒng)通過代理程序進行格式的轉(zhuǎn)換，以便相互識別和共享資源，是一種分散式管理方式。另一種使用分層網(wǎng)管平臺，即建立更高級的管理系統(tǒng)，高級網(wǎng)管系統(tǒng)和低級網(wǎng)管系統(tǒng)間進行通信，分層管理，是一種分布式管理方式。第三種是標準化方法，是遵循標準的規(guī)范和協(xié)議，建立的綜合網(wǎng)絡管理系統(tǒng)。使用分層的網(wǎng)管平臺是當前較為流行的方法，如現(xiàn)在廣泛研究和討論的基于CORBA的TMN(TelecomunicationManagementNetwork)就是將TMN中的管理者通過ORB(ObjectRequestBroker)連接起來，實現(xiàn)不同管理系統(tǒng)的統(tǒng)一。格式轉(zhuǎn)換法是目前使用較多的方法，如運營商要求網(wǎng)管系統(tǒng)對外提供統(tǒng)一的數(shù)據(jù)收集、告警信息。協(xié)議標準化方法是統(tǒng)一網(wǎng)絡管理系統(tǒng)的趨勢和方向，電信管理網(wǎng)TMN就是在電信領域內(nèi)的一種標準協(xié)議，使得不同的廠商、不同的軟硬件網(wǎng)管產(chǎn)品的統(tǒng)一管理成為可能。標準化實現(xiàn)統(tǒng)一的網(wǎng)管功能，包括網(wǎng)管協(xié)議的標準化、管理信息集模型的標準化和高層管理應用程序功能的統(tǒng)一規(guī)劃。格式轉(zhuǎn)換和應用網(wǎng)管平臺的策略是基于現(xiàn)有網(wǎng)管系統(tǒng)的基礎上統(tǒng)一網(wǎng)管系統(tǒng)，而標準法策略則不考慮現(xiàn)有網(wǎng)管系統(tǒng)而重新設計一套新的標準，或是對現(xiàn)有網(wǎng)絡管理系統(tǒng)進行較大改進，考慮到我們當前的網(wǎng)絡管理發(fā)展的現(xiàn)狀，還是以格式轉(zhuǎn)換和應用網(wǎng)管平臺方式統(tǒng)一網(wǎng)絡系統(tǒng)。網(wǎng)絡管理系統(tǒng)實現(xiàn)統(tǒng)一的方法當前網(wǎng)絡管理的統(tǒng)一主要涉及兩個方面，一是網(wǎng)管協(xié)議