目前，网络安全已开始从信息安全转向信息保障，从被动的预防向主动保护过渡。国内的信息保障虽已提上日程，但从理论走向应用还需要一个过程，这个过程的长短和企业信息化的进程息息相关。

　　企业网络的监控和维护涉及到方方面面，有制度规范上的，也有技术手段上的。监控和维护是一个机制，不是简单的排错过程。先从制度规范上来说，对于管理企业交换核心的信息技术部门必须有一套完整的网络规划方案、资料保密制度、网络参数档案、部门间协调方案、维护人员岗位职责说明和技术培训计划等。

网络维护遇到的问题：

1、网络设备的硬件维护

　　一般来说网络设备的质量还是很有保证的，但不能排除故障的可能性，故障可能发生在整套设备的背板，或设备的某个模块上，也可能是设备的电源或风扇。特别要说明的是，机房的环境对网络设备的影响很大，如温度、湿度、噪音、接地和灰尘。例如如果灰尘积累造成设备通风不畅，很容易使设备的电源或风扇损坏，从而造成设备停止运转或设备组件温度升高，设备运转不稳定，加速老化。所以必须定期进行网络设备的除尘工作。再看电源问题，某些综合信道服务设备/数据服务设备(dsu/csu)对电源有一定的要求，如果电压达不到设备的技术参数，可能会对通信的质量造成影响，甚至造成通信中断。当然我们还可以通过系统命令和管理软件直接监控设备的运转状态（如在cisco的设备上可通过show controller，show environment all，show log等命令组合或使用cisco view软件实时观察和监控设备的状态）。

2、网络设备的软故障排除

　　网络设备通过自身携带的系统算法实现存储转发和路径选择，不同的系统版本对硬件的要求和能达到的功能各不相同，有些系统命令在不同版本下的表现形式也有差异，可能在某些特殊版本中根本得不到支持（如在cisco设备上可以通过show version命令获得硬件配置信息和系统版本信息）。

　　设备的配置出错是导致软故障的最主要原因。配置涉及到人的因素，对系统功能和网络各种协议的理解会直接影响到设备配置的方式方法。网络配置的失误可能会引发环路，对于路由器来说，配置可能涉及到选用的路由协议（如ospf，eigrp）、IP地址网段的分配、路由汇总和转发、链路封装协议选择等，如果存在相同目的的多条链路，还要考虑负载均衡或策略路由，制定路由优先级。对于交换机来说，配置可能涉及到端口设置，vlan划分，冗余线路，特别在配置生成树或trunk时要仔细。

　　另外，对于广域网，维护人员还应该不定期查看路由表，对于局域网，维护人员应特别注意广播风暴，可使用适当的网络探测工具进行监察。

3、机房的布线系统（水平布线和垂直布线）

　　布线系统主要考虑选用合适的线槽，线路的长短，线路干扰源等。如果线路受到干扰，会导致CRC增多，网络速度明显减慢，源主机被迫进行数据重发，在特殊恶劣的外部环境下，网线等传输介质也有可能被损坏，致使通信中断。

　　在机房配线架上应该针对不同的网段或接驳的主机进行网线编号或采用不同颜色的网线，网线的具体标注对于快速检查和排除故障十分有用。通过fluke或cable tester工具可以检测网线等通信介质的质量。当然在进行水平或垂直布线时，应该多预留备用线路，维护小组也可以准备一些长距离网线以备应急使用。

4、网络的安全性设置

　　网络安全性主要分为局域和广域两级。局域网主要考虑交换机接入端口是否使用了用户工作站mac地址限制，用户vlan的划分是否合理，每一个设备是否设置了口令，是否在网络设备上设置访问列表，共享的目录是否只开放给特权用户等。维护人员应定期核查清理网络用户的权限，根据部门的需要检查用户权限是否分配合理，一些长时间没有使用的用户账号应暂时封存；在数据库服务器中打开审计功能，定期查看服务器的日志记录；定期进行系统内部的静态杀毒。

　　广域的安全性主要考虑路由器是否设置控制列表，防火墙是否进行了地址过滤，地址转换，拨入设备是否使用了安全认证等。每一次设置的改变都必须和远端用户进行协商和测试。特别应该注意的是，某些关键性网络设备的口令不能随意存放，应该保留在信息部门主管和设备配置当事人手中，任何其他维护小组成员索要口令都必须经过主管的批准。

5、局域网内部服务器或工作站的工作状态

　　服务器和工作站的网卡是与网络打交道的主要设备。这里主要考虑网卡自身的质量和驱动能力，以及网卡的设置是否和接入设备端口的设置相吻合。考虑到服务器的特殊重要性，维护小组可以使用网卡冗余技术，就是在设备上安装两块网卡，分别接入两台交换机，进行适当的配置后，可以达到负载均衡和冗余备份的效果。

　　工作站如果配置了网关，或将通往0.0.0.0网络的路径指向一台路由器，那么当工作站安装了某些不断向不在本地路由表中的网络地址发送信息的软件时，可能会加重企业内部广域链路的负荷，影响网络系统的正常运行。

网络监控和维护的常用工具

　　网络监控和维护的工具包括常用的系统命令、设备自带的检测命令、专用检测软件和网络管理软件。简单地说，这些工具按功能来分可分为偏重局域网监控的（如sniffer、snmpc、Netwatch）和偏重广域网监控的（如snmpc enterprise、ciscoworks routed wan ），还有些基本调试命令也十分有用如ping、tracert、netstat等。

　　sniffer工具可以监听到网上传输的所有信息，这种工具可以是基于硬件的设备也可以是软件（如netxray、net monitor等等）。

　　网络状况监视器(Netwatch) V6.0: 一个非常不错的网络监测软件！适用于ISP运营商，网吧，个人用户等。可使用户通过曲线图直观了解网络状况。提早发现故障，并及时协作排除，为用户提供高质量的网络服务。

　　ciscoworks routed wan系列软件专用于广域网络的诊断，包括resource manager essentials、ciscoview、trafficdirector、互联网性能监视器 (ipm)等。resource manager essentials 是一个强大的基于 web 的应用套件，为 cisco 交换机、访问服务器和路由器提供网络管理解决手段，可以对设备进行跟踪维护。ciscoview提供 cisco 设备的图形后视图和前视图，用色标图形进行动态显示，简化了设备状态监控、设备组件诊断、设备配置和应用发布。互联网性能监视器 (ipm) 是一个网络响应时间和可用性故障诊断应用程序。

　　snmpc enterprise 是个功能很强的网络管理软件，可以用在不同规模的网络中，也可以和ciscoworks软件配合使用，它集成了mib编译器和浏览器，用于管理第三方 snmp 设备，具有阈值管理特性，能够为许多性能变量进行设置，进而生成报警或事件通知。

　　网络管理软件对于维护大型企业网来说十分重要，既能实时检测，又可以生成分析用数据和图表，如果能够充分挖掘它的功能，那么带给网络的利益是巨大的，当然维护人员必须安全地使用这些工具。远程维护便于维护人员在机房以外地区进行网络维护，主要是通过拨号网络进入企业核心机房，再通过telnet、网络通信软件等工具进行远程操作。

网络系统监控和维护取得的经验：

1、管理与技术不可分

　　企业对网络安全系统需求的转变使很多安全厂商开始从单一的产品提供商转向提供综合解决方案的安全服务提供商，把技术与企业的生产应用和业务全面结合起来。比如从一个纯粹的技术层面，对一个NT的服务器进行扫描，但这个服务器放在企业的不同业务网段内时，起到的作用是不同的，当这台服务器做一个WEB服务器或者是当企业的核心服务器时，它对企业来说价值是不一样的。

　　在管理与技术相结合的模式下，资产评估要从不同层面、不同角度做细化的评估和分析。首先把IT资产进行分类，如按应用软件、应用系统等，发现它每一部分的资产价值，最后来找到IT资产的价值。评估是为了发现风险，风险是对企业业务造成危险的可能性，风险取决于本身资产的价值；另外还取决于对企业采取了什么样的风险规避措施，比如说企业用一些规章制度来降低风险，比如说弱口令，如果这个企业已经有了一个制度来规避它，如每周换一个，这样就把它的风险降低了。

　　实际上还要考虑到方方面面的内容，才可以达到对一个企业的整体的风险进行摸底的目的。从"管理+技术"的层面来做评估活动，要花费大量的人力成本和其它更高的成本。

2、基础维护和技术维护相结合

　　基础维护工作主要包括：保持网络设备和环境清洁，保证环境温度正常，这些工作看起来简单、繁琐，但它是整个网络得以正常运行的基础。技术维护从小处讲是对网络系统和设备进行实时监控，遇到问题及时解决，如：更换模块、调节参数等；从大处讲即对整个网络系统进行优化，减少网络拥塞，提高网络运行效率。

3、网络管理应该是配置管理、性能管理和故障管理的总合

　　对于一般的中小企业的网络来说，网络故障管理主要侧重于实时的监控，而网络性能管理更看中历史分析。配置管理是指管理员对企业所有设备配置的统一管理。

　　目前，惟一能够完成所有配置任务的方式就是管理员通过登录方法对网络设备进行配置，并利用设备提供的配置命令来完成。设备的制造商会针对不同型号的设备推出一些辅助的配置管理软件工具，简化设备的配置过程。但这往往只能实现部分配置功能，而且只针对特定型号的设备，缺乏通用性。由于设备的配置参数、方式没有通用的标准和协议，所以没有通用的设备配置管理软件，管理员只能通过各自产品的软件对所有设备分别配置。

　　性能管理是管理员通过对网络、系统产生的报表数据进行实时的分析与管理。性能管理系统会保存大量采样数据，同时定期对原始数据进行汇总，生成汇总报表，以减少存储资源占用，提高数据质量。性能报表报告是性能管理的核心。性能报表直观易懂性是基本要求，报表内容是否有效，是否能够对系统性能调整起到指导作用则是性能管理系统是否有用的关键。当然，网络性能超出限制值产生性能故障报警，并通过网络故障管理统一处理也是网络管理的基本要求。另外，有一些高端的网络性能管理软件还具有自动分析预测功能，可以自行学习和分析网络性能的历史和现状，给出将来可能出现的性能问题预测。

4、给安全管理者一定的权力

　　目前，安全的问题最终还是意识问题，现在很少有用户在构建网络时会很全面的考虑到安全因素，因为客户本身没有安全基础，没有专业的安全人员，也没有专业的安全顾问来帮它做整体的规划。现在安全厂商都在不断地给客户灌输和加强网络安全意识，安全也是和整个IT的发展息息相关的，往往信息系统越完善，它对安全考虑也会越多。在整个信息系统设立之初就应该考虑到安全问题，因为信息系统是要靠运营维护制度来支撑的，安全是最基础的东西，比如机房管理制度、系统管理员的制度等，这种制度已是安全的开始。

　　但光有制度是不够的，还要有一个整体的安全策略，比如企业人员的组织结构应该是怎么样的，针对安全系统必须要有一个安全的组织进行维护、管理，这个安全组织或安全人员它的权力，它的职责范围应该是哪些？安全是覆盖了整个IT的方方面面的内容，所以必须是有权力对系统的安装，升级，包括对网络结构的修改或网络设备的升级等等各个方面都需要有发言权。也就是说怎么样把安全抛开在日常管理之外，在更高的一个层面上赋予安全管理人员一定权限，这是一种意识的体现，如领导没有这样的意识，他不会安排这样的人，归根到底还是意识的问题。如何考虑安全监理这样的一个角色，仍然与国内企业对整个IT的意识及安全的意识有关，实际上，大家都知道IT挺重要的，但事实上，大家并没有完全意识到它的重要性。

　　国内现在是IT应用的发展跟不上设备的发展，业务发展跟不上技术的发展。信息是社会发展的重要战略资源。国际上围绕信息的获取、使用和控制的斗争愈演愈烈，信息安全成为维护国家安全和社会稳定的一个焦点。信息安全系统，可以说是信息系统的免疫系统：如果免疫系统不健全，整个系统将是无能的，甚至有害的。网络信息安全已成为急待解决、影响国家大局和长远利益的重大关键问题。

5、强化保障体系

　　信息系统的信息保障技术层面可以分为应用环境、应用区域边界、网络和电信传输、安全管理中心以及密码管理中心。

　　在技术保障体系下，首先要建立国家信息安全保障基础设施，其中包括：建立国家重要的信息安全管理中心和密码管理中心；建立国家安全事件应急响应中心；建立数据备份和灾难恢复设施；在国家执法部门建立高技术刑事侦察队伍，提高对高技术犯罪的预防和侦破能力；建立国家信息安全认证认可机构。

　　此外，要加快信息安全立法，建立信息安全法制体系，这样才能做到有法可依、有法必依。要建立国家信息安全组织管理体系，加强国家信息安全机构及职能，建立高效能的、职责分工明确的行政管理和业务组织体系，建立信息安全标准和评估体系。要建立国家信息安全技术保障体系，使用科学技术，实施安全的防护保障。

6、安全模式与用户平等对话

　　对于企业安全模式的问题，是与我国的国情和一些本土化的特色分不开的，我国还是国有企业做为经济的主体，国有企业的政策性非常强，这与国外的情况有很大区别。

　　国外企业的安全系统建设比国内稍好一些，他们往往采取IT外包的方式，比如把服务器交给第三方的IDC或ISP等外围的一些机构来替他们维护，用户的精力主要集中在业务发展方面。国外很多大的银行把IT外包出去，从他们的角度来说，他们的管理成本、人员成本的费用是很高的，远远超出他对业务的维护，所以他宁愿把业务外包出去。而我国的国有企业是绝对不会轻意把自已的东西交给外面的人来做，国内没有一家银行的IT是外包的，在中国，外包的方式事实上非常适合中小企业，因为大部分中小企业没有财力，也没有精力来搭建一个网络安全系统，还要有专业的安全人员来维护，消耗的人力和物力的价值可能要大于实际需要的安全系统的价值。如果是把数据放在IDC或ISP等专业数据管理公司，一方面，自已的数据安全得到了保障；另一方面，IDC或ISP可以为企业提供增值服务，除了托管、存储之外还可以提供增值的防病毒、主机评估、机密加固等。

7、入侵检测系统应该与操作系统绑定

　　通常，入侵检测系统按照其工作原理主要分为三种类型：基于网络的入侵检测系统、基于主机的入侵检测系统和分布式入侵检测系统。目前的入侵检测产品的固有缺陷是，与操作系统结合程度不紧，这样对于新出现的、比较隐秘的攻击手法和技术，一般很难检测出来，即使对于同一种攻击手法和技术，如果变化复杂些，也很难发现。它们也不能确定黑客攻击系统到了什么程度，如黑客现在的攻击对系统是否造成了威胁，黑客现在拥有了系统哪个级别的权限，黑客是否控制了一个系统等。由于一般情况下，只要有攻击，入侵检测系统就会发出警报，这样就可能被黑客利用，不停地发送具有攻击特征的数据包，虽然这对被攻击对象没有什么危险，但能使入侵检测系统淹没在一片报警声中，从而使入侵检测系统失效。此外，它们还会对数据包的内容进行检查，因此对于加密了的数据包，这部分功能就失效了。

　　由于计算机网络出现的初衷是为了方便通信和交流，充分利用资源，在其发展之初没考虑到安全方面的问题，因此在到了出现网络安全事故时候，才开始采取补救措施，而这种补救是外加的，如现在流行的防火墙、入侵检测系统等，很少涉及到通信协议的修改。操作系统出现之初，也很少考虑到安全，如操作系统的核心是内存管理、进程管理、文件管理，只是考虑如何有效地去管理资源，没有加入被黑客攻击时如何去应对这一部分功能。这就造成了在传输部分、终端部分存在很多安全隐患，由于整个系统庞大，不可避免地存在大量漏洞。由于黑客攻击的目标主要是终端部分，因此入侵检测系统最好能与操作系统内核结合起来，否则无论做得怎样好，也是治标不治本。

8、重视网络文档的整理和控制

　　网络文档整理是网络监控和维护规范化的基础，是信息系统风险控制的关键。良好的文档对于设备管理、系统维护、人员培训学习都有巨大的帮助，同时编写文档也是对整个系统的进一步认识和理解。文档分为文本文档和电子文档，维护小组应该同时拥有这两种资料。

　　除了上文提到的一些制度规范外，一个完善的网络系统还应编写如下10种文档：网络系统结构（包括网络拓扑图、使用的网络协议和路由协议、网络地址的分配等），网络设备参数（包括设备网络地址、mac地址、系统版本号、硬件指标等），网络布线图（水平和垂直布线情况、关键设备的网线编号），网络安全控制表（控制列表的制定、系统服务资源的分布、用户网络名和口令、用户拥有的权限等），设备保修卡，机房维护记录（包括设备配置更改记录、用户维护记录、机房工程维护记录、设备测试记录、设备保养记录等），机房保密制度，网络常规检测和排错方法，网络监控报表和网络应急计划。

9、立足管理，面向应用

　　对于大型用户什么样的解决方案才能满足他们的需求呢？我认为大型用户提供的解决方案，一般是立足于管理，以优质的产品作支撑，选择最适合用户的安全产品，以一定的技术手段来实现。一定要立足于管理，安全技术是依靠IT的管理技术来实现的，也就是说，要以策略为核心，比如要保护企业IT资产的安全，要达到什么目标，什么可以做，什么绝对不能做，需要什么样的组织和人员，要建立什么样的技术规范，都是我们所考虑的。

　　网络安全系统是以策略为核心，以管理为基础，以技术为实现手段的安全理念。安全顾问的目的就是从用户的应用角度出发，为用户量身定做一份未来几年，甚至几十年的方案，要达到这个目的，必须去发现目前的业务，系统存在什么样的风险，如果要想了解风险，就必须知道我需要承担什么样的风险。综合起来，就可以去了解要保护IT资产需要做哪些事情，需要什么样的安全解决方案来达到目的，每一步都需要做到可操作。

　　总之，企业网络系统的监控和维护是一项系统工程，牵涉面比较广泛，本文仅仅列举了其中的几个方面，更多的需要依赖于良好的网络服务体系和业者长期积累的经验。对于一个成熟的网络信息系统而言，首要问题是运行稳定，所以我们不能盲目地追求新设备、新技术，不断升级网络系统，每一项网络系统的改动都必须经过严格的测试后才能投入实际的生产运行环境中。