“网络管理员”的全称就是“网络系统管理员”,负责网络的安装、维护和故障检修等工作,确保网络正常运行。在这里要明白一个事实就是网络管理员不仅管理企业网络,而且还负责整个网络的系统管理,也就是这里的网络管理其实包括两个方面:网络本身的管理和网络中操作/应用系统的管理。在大型企业、外资、合资企业中通常称之为“MIS(Manger Information System,信息系统管理员)”。
在《×××计算机信息网络国际联网管理暂行规定实施办法》中规定了网络管理员的管理原则、管理手段、管理职责及应遵守的相关法律法规。网络管理员应熟悉被管理网络的类型、功能、拓扑结构、所处的地理环境、通信设备的性能和能力软件系统的种类和版本,数据库管理系统的数据结构、数据流量和数据处理流程等。在网络系统工程建设后,网络管理员应负责网络的扩展、服务、维护、优化及帮障检修等日常管理工作。
国际标准化组织(ISO)只定义了网络管理的五项功能,而对于每个实际网络的管理模式,由于各个网络的实际情况不同,很难确定每个网络应该采用的标准管理模式。但随着实际网络管理经验的逐步积累,人们逐渐从大量的实践中总结出一套行之有效的网络管理模式。
与其他岗位职责一样,网络管理员的职责也在随着时代的发展而悄悄变化。现阶段,根据当前最新的网络技术发展和网络应用需求,结合以上《×××计算机信息网络国际联网管理暂行规定实施办法》和IOS所定义的五项网络管理功能,可以得出网络管理员应具有以下几个方面的基本职责:
l 服务器管理
在这项管理工作中,主要是配置和管理服务器属性,安装和设置TCP/IP协议和远程访问服务协议,安装、配置和管理域控制器、文件服务器、DNS、WINS、DHCP、Web、FTP服务器和各种远程访问服务器。
对服务器的关键点工作状态(如温度、电源、风扇和UPS的运行等)进行必要的监控,以确保服务器正常工作。如果网络中存在多个域控制器,则还需对各服务器的配置信息进行实时更新;更新Web服务器页面信息、向数据库服务器注入新的数据、管理邮件服务器的用户信箱等。
最后还有一点非常重要,就是要及时地更新服务器系统的版本或补丁程序,这不仅关系到服务器的性能发挥,而且还关系到整个网络系统的安全性,因为现在的操作系统不断有新的安全漏洞被发现,及时安装补丁可以有效地阻止填补这些安全漏洞。
本书中针对服务器的管理主要介绍了服务器的远程管理,以及×××远程访问服务器的配置与管理,具体参见本书第九章和第十章。其它方面可参见本系列中的另一本图书《网络管理员必读——网络管理》一书。
l 用户管理
网络管理员在保证网络安全可靠运行的前提条件下,根据单位人员的工作职权和人员变动情况,为每个用户设置账户、密码和分配不同的网络访问权限;设置Web服务器、×××等远程访问服务器中用户的访问权限等;限制Web 服务器可登录的账号数量,及时注销过期用户和已挂断的拨号用户,关闭不用的网络服务等。既要保证各用户的正常工作不受影响,同时又要避免分配过高权限而给网络安全和管理带来不必要的安全隐患。
在本书中,针对用户管理方面在第二章、和第五章、第六章做了较为详细的介绍。
【小王谈经】虽然从行政角度来讲,单位的主管领导应拥有“至高无上”的权限,可以对任何网络服务进行任何操作,享有各种业务数据的访问权限,但作为网络管理员还应从网络安全角度对这些领导的权限进行适当的限制,毕竟不能保证所有的这些领导都具有丰富专业的网络管理和应用技能。这一点需要我们这些做网络管理员的及时与单位领导沟通,解释清楚。
l 文件和文件夹的管理
网络中的文件和文件夹管理是整个网络管理的最重要部件之一,它不仅涉及到各用户的正常工作和网络应用,同时还关系到整个网络系统的安全性能。对于我们网络管理员,在文件和文件夹管理中我们所做的工作主要有以下几个方面:
首先我们要根据企业网络应用的需要选择适当的网络操作系统,部署相应的文件服务器系统。Window NT平台有FAT(文件分配表)和NTFS文件系统,NTFS是Windows NT平台所提供的高性能、高可靠性和高安全性的网络文件系统,在Windows NT平台中尽量采用。这些我们将在本书后面的章节中详细介绍。
其次,要为各用户设置必须的文件和文件夹共享权限和安全访问权限,导出需共享的文件夹,建立逻辑驱动器与共享文件夹的连接。
最后,我们需要定期检查地服务器文件系统的安全性,搜索系统信息并与主检查表进行比较,查找所有未授权用户随意修改的文件,并且应该确保在被修改之后能够恢复文件系统。
针对文件和文件夹的管理,本书在第六章和第七章中有详细介绍。
l 磁盘和数据管理
随着企业网络的不断扩大和企业网络应用的日趋频繁,企业对网络的依赖性也越来越强。在当今信息社会,企业网络数据在一定程度上决定了企业的生存与发展,所以以一些比较大的企业,特别是外资、合资企业中对网络数据的的保护就相当重视。该出错的最后终将出错。提前准备不是预防网灾发生的最好办法,但它可以减少网灾造成的损失。整个企业网络依赖于网络管理员合适的准备和迅速的恢复,因此,网络管理员需要避免数据损失,恢复瘫痪的计算机和网络组件,预防由于病毒、电源波动(好的UPS是必须的)、停电等造成的硬件和软件损害。
在预防网灾的计划中,网络管理员不应将自己的思维局限在普通的问题上。应该考虑的更广泛一些。设想发生了自然灾害,如地震、火灾等将整个网络全部摧毁,网络管理员该如何恢复,花费多少时间,采取何种步骤进行恢复。
虽然永远不可能对每一次自然灾害都作好充分的准备也不可能完全避免可能会导致网络停止工作的人类的某些缺点。但是却可以制订一个可靠适时的备份计划,使数据损失最小。备份计划应该包括如下信息:备份什么、在哪备份、何时备份、多长时间备份一次、谁负责备份、备份载体应放在哪、多长时间检查一次备份、一旦数据丢失应采取哪些措施。进行可靠的数据备份是网络管理员最重要的工作之一,做好备份计划后就应该认真执行。在数据管理方面,作为网络管理员的我们所做的就是事先要进行灾难恢复计划,过程所做的就是每三坚持进行数据备份,事后要及时恢复系统、尽可能地避免数据丢失。如果是大型企业,或者有分支机构的企业,对于一些关键数据(如企业数据库、E-MAIL、财务等),为了确保网络系统中文件和文件夹的有效性和安全性,还采用了异地远程数据备份和远程数据镜像存储措施,实施异地容灾,这样企业所能受的灾难能力就远比只在当地进行数据备份要强了。
本书在第十二章通过示例介绍了适合于中小型企业的数据备份和恢复相关知识,至于远程数据存储和异地容灾在本系列的《网络管理员必读——服务器与数据存储》一书中将得到全面介绍。
另外,磁盘管理在企业网络管理中也属于一个非常重要的方面,主要涉及到服务器上用户磁盘配额的分配与管理,以及各种磁盘陈列的配置方法。本书在第四章针对磁盘管理方面进行较为详细的介绍,详细内容还可参见《网络管理员必读——网络管理》一书。
l IP地址的管理
IP地址管理是计算机网络能够保持高效运行的关键。如果IP地管理不当,网络很容易出现IP地址冲突,就会导致合法的IP地址用户不能正常享用网络资源,影响网络正常业务的开展。
目前中小型计算机网络中大多数采用C类地址,每个IP子网可以拥有256台计算机或网络设备,待日后计算机网络扩展。IP地址的分配一般有两种方式:
Ø 静态IP地址分配法:对于服务器(包括域控制器及其他所有成员服务器)、经常上网的计算机和网络设备一般给予一个固定的IP地址。
Ø DHCP动态IP地址分配法:对于那些不经常上网或是移动性较强的计算机,可以采用动态主机配置协议(DHCP)来动态配置IP地址,以节约IP地址资源,不过这种方式不便于网络管理员对这些网络设备所进行的管理。
针对IP地址管理方面,在本书的第三章有详细介绍。
【小王谈经】对于小型企业网络(50个用户以内),建议采用采用DHCP动态IP分配方式(需要采取静态IP地址的终端在DHCP服务器中排除即可),因为这类网络终端用户比较少,完全可以通过其它方式对网络中的各终端进行管理。而对于较大的企业网络,则建议采取表态IP地址分配方式,因为如果这类网络采取动态分配方式,则当网络出现故障时就很难查找故障发生点。而对于大的企业网络,如果用一个C类IP地址不够用,而且有些部门长期只有少数用户需要上网(主要是营销部门),此时建议采取划分子网的方法,对一些基本上有固定上网用户的部门采取静态IP地址分配,而对那些长期只有少数用户上网的部门采取动态IP分配方式,可以节省大量的IP地址。
l 安全管理
在网络安全管理上,现在的企业相比几年前来说要求高了许多。不仅要求网络管理员能部署诸如防火墙、杀毒软件系统,而且还要能对整个网络部署一套有效的安全策略,全面保证网络的安全。在安全管理员,根据实际经验得出,最重要的部分就在于用户权利的配置、文件和文件夹共享权限和安全访问权限的配置。可使用的管理方法有系统管理报警选项设置、事件日志分析、安全策略审核等。
良好的安全对于企业的数据、软件和硬件是绝对重要的。在网络安全行业内流行着这样一条80/20法则,也就是80%的安全威胁来自网络内部(内部危害分为三类:操作失误、存心捣乱及用户无知)。要想保证网络的安全,做好边界防护的同时,也要做好内部网络的管理。网络管理的职责之一就是定义、实施、管理和加强网络的安全性。如果许多无关的人也可以登录服务器,非授权的人也可以窃取或破坏信息,则最好的硬件、软件和培训都变的毫无价值。软件安全策略的目标是:
Ø 保证只有授权的用户可以使用一定受限的网络资源,预防给予过高的权限,定时检查用户权限和用户组帐户有无变更。
Ø 减小数据、服务器和网络设备等由于受到疏忽的操作或恶意的破坏而造成的损失。对于服务器而言,错误操作是最大隐患。这要求网络管理员自身要加强这方面的学习,对于用户,网络管理员要加强这方面的意识和操作培训。
Ø 防止网络中非授权的外部访问。例如,通过Internet 访问。这是个易被忽视的内容,但对于网络管理员这是无法原谅的粗心。要限制用户的非法外网访问,一方面可以通过用户授权,另一方面还可以通过一些专用网络管理软件或硬件来实现,如一些代理服务器和宽带路由器就均有访问控制的功能,要好好利用。
Ø 此外还需要注意的是对用户的管理。当单位来了新的员工时,网络管理员需要为他(她)创建新的用户帐号;当有职工调动工作岗位时,网络管理员该为其重新分配用户权限;当有职工离去时,网络管理员应该立刻删除这个帐号与密码。
在安全管理方面,本书仅就访问控制和网络防毒系统的部署进行了介绍,具体参见第七章和第十四章。其它方面的网络安全管理可参见本系列的《网络管理员必读——网络管理》和《网络管理员必读——网络安全》两书。
(未完,待续)