网络安全设计方案(11)

(2)管理信息存储和传输的加密与完整性，web浏览器和网络管理服务器之间采用安全套接字层(ssl)传输协议，对管理信息加密传输并保证其完整性；内部存储的机密信息，如登录口令等，也是经过加密的。

(3)网络管理用户分组管理与访问控制，网络管理系统的用户(即管理员)按任务的不同分成若干用户组，不同的用户组中有不同的权限范围，对用户的操作由访问控制检查，保证用户不能越权使用网络管理系统。

(4)系统日志分析，记录用户所有的操作，使系统的操作和对网络对象的修改有据可查，同时也有助于故障的跟踪与恢复。

网络对象的安全管理有以下功能：

(1)网络资源的访问控制，通过管理路由器的访问控制链表，完成防火墙的管理功能，即从网络层(1p)和传输层(tcp)控制对网络资源的访问，保护网络内部的设备和应用服务，防止外来的攻击。

(2)告警事件分析，接收网络对象所发出的告警事件，分析员安全相关的信息(如路由器登录信息、snmp认证失败信息)，实时地向管理员告警，并提供历史安全事件的检索与分析机制，及时地发现正在进行的攻击或可疑的攻击迹象。

(3)主机系统的安全漏洞检测，实时的监测主机系统的重要服务(如www，dns等)的状态，提供安全监测工具，以搜索系统可能存在的安全漏洞或安全隐患，并给出弥补的措施。