网络安全与物理网络基础配线

4．配线表和人为安全隐患

在这里涉及到的人为安全隐患指的是由于多人协作、人员变动或人事调整等情况所造成的网络安全问题。对于一个经验丰富的网络主管人员来说，任何网络硬件、软件、维护、建设等问题都是可以解决的，但是网管人员的素质或人事变动调整等问题才是如今网络中一直无法真正攻克的难题。总体上来说，这些人员问题所能造成的最大隐患其实就是会影响到"配线表"数据的准确性。而从上文来看，"配线表"数据的准确性又涉及到整个网络的安全性，可以说是网络状况"健康程度"的标准。所以人为因素将直接影响到整个网络的安全性。

那么为什么"配线表"数据的准确性问题是人员问题所能造成的最大隐患呢?这是由于现今网络的"配线表"数据基本都是人员手工的方式提供的，它的内容是随着网络的扩建、维护、发展逐步发生变化的数据，它的准确与否很大程度上依赖于网管人员的工作态度和个人素质。并且，"配线表"数据的问题又是一种隐性问题，它并不会立即被发现，而是经过时间的流逝逐步暴露出来。往往这类问题就像温水煮青蛙，慢慢致命，一旦发生将无法挽回。

下面举例说明人为因素如何造成网络安全性问题。某大学网络中心管理员小李和小王是学校网络现场工程师，小李负责全校教师网络，小王负责全校学生网络的日常建设和维护工作。小李为人稳重，工作责任心强，每次在日常工作后都会将所有的工作内容写成日志，留下文档．并调整"配线表"中由于工作需要而变更的数据，以保证其准确性，为日后的工作做好数据基础，避免不必要的麻烦。但是小李由于个人性格问题无法融入整个工作团队中，且和部门领导关系一直处于僵持状态。小王性格开朗和所有同事关系都很融洽，且为人聪明能干，工作效率高，一般遇到重大网络建设工程都依赖小王处理。但是小王过于自负，基本不做日常工作数据积累，"配线表"的文档也就只有原始建设数据，从来不根据实际情况做出调整。一切问题都只依赖于自己的小聪明来解决。虽然问题都能暂时缓解，但是逐步影响到整个网络的安全性。随着时间的推移，突然有一天，小李提出了辞职申请，且由于人际关系问题，小李带走了自己所有的工作文档，使整个教师网络陷入非常尴尬的安全危机。临危新聘的工作人员根本连现场网络机房在哪里都搞不清楚，就更别谈接手工作了。小王也终于有一天因为"配线表"数据的不准确而造成的错误操作，使得整个学生网络瘫痪，影响在校学生的日常上课和学习，造成重大教学事故。仅仅是由于两个工作人员的个人问题使整个学校的网络岌岌可危，像这样类似的问题在许多单位和许多场合都普遍存在，很值得人们深思。

5．其他

当然，网络基础配线不仅仅和网络安全有着重要的联系，还与网络维护人员的日常所有工作有着直接的影响。笔者亲历了很多由于缺少基础配线信息而造成的各种事故。某全国知名大学新盖的大楼，第一次入住办公室的老师都能轻松地得到网络服务。而后不久，由于人事变动，对网络连接有了新的要求，要添加新的节点或更改节点的属性。这时候问题来了，网络管理员根本不知道机房内哪些节点是连接到这些办公室的。万不得已的情况下，又从机房沿着墙角重新拉了几根线到办公室。这样的例子不胜枚举，即使在电信、网通等大公司里也是经常发生。

难以获取的网络配线

一个合格的网络管理人员都应该知道网络物理基础配线的重要性。但事实上，对大部分稍微复杂一点的网络来说，要想获得准确的基础配线是非常困难的。为什么会造成这种状况?仔细分析一下就会明白。

网络基础配线包括两部分。一是综合布线时就固定住的，以后也不会变化的部分。这部分主要体现在接入层上，通俗点说就是模块到配线架这部分的连接关系。二是变化的部分。这部分主要是集中在汇聚层和核心层。当然，核心层的变动相对来说少得多。通俗点说就是不同的设备之间的连接关系以及这些设备与配线之间的连接关系。在国外的许多标准布线中，采用双配线架的比较多，这时候配线架和配线架之间的跳线也是经常变动的。那么，获得这两部分的配线信息有什么难处呢?

获得固定部分的配线信息有困难吗?也许有人会这样问。不过答案是肯定的。有困难，而且是大困难。原因很简单，首先是许多综合布线工程结束后，会验收一份综合布线的文档，这份文档会给出所有详细的正确的固定部分的配线信息。而实际上根本无法做到详细和正确。因为规划的时候会在图纸上明确哪里到哪里，线路怎么走，但实际施工的时候根本不可能完全按照图纸施工。虽然没有官方的统计数据表明设计图和实际线路误差是多少，但从实际的工作中可以略见一斑。在实际工作中，笔者有很多次这样的经历，按照最原始的固定配线表去查找线路．基本都是错误的，最后只能自己用侧线仪器慢慢测。

肯定有人又会有这样疑问，布线结束后重新检测一遍所有的线路。然后归档不就可以了吗?这是个好办法，但实际操作中，这样做所耗费的人力时间和成本都很高。而且，另外一个重要问题是，检测结束后的信息需要重新整理成规范的文档。这个过程的工作量也不小。要想信息化管理那就更麻烦了。

获得变动部分的配线信息更加困难是可以想象的。如果想随时获得准确的变动部分的配线信息，前提就是每一次人为或非人为的变动都要被实时地记录下来。事实上这是无法做到的。现在许多重要的单位，如：银行、证券公司等会使用智能配线架来管理这些变动的基础配线，使得每一次变动都能实时地反映到后台系统。但是这种配线架是有缺陷的，它首先会影响网络的通信质量，其次是成本非常高。除此之外，目前对于这些变动的配线部分几乎是毫无办法的。只能依赖于现场人员工作的自觉性以及认真的态度。随着时间的积累，变动部分的配线信息的混乱是必然的也是不可避免的。

那么有没有方便、廉价的办法及时准确地获取这些信息呢?办法不多，但是肯定是有的。上海互惠信息技术有限公司就针对这些问题开发出一些实用的工具和系统来解决这些问题。首先，是一组能够快速识别所有模块、配线架和设备连接的查线工具套件。利用这些套件，能够及时准确地获取所有固定部分的配线信息，并将这些信息以电子数据的形式呈现给客户，实现信息化管理。其次，有一套完整的线路识别器，可以识别每一根物理线路。无论是光纤、同轴电缆还是双绞线都能随时随地地被识别，这些线路信息构成了完整的网络配线信息。配合自主开发的管理系统，可以实时地得到和管理所有的配线信息。

网络配线的管理需求

获取了准确的信息以后，便是如何有效地管理、高效地利用这些信息了。

在如今的实际应用中，首要的需求便是能够快速地随时随地检索和直观地表示这些信息。对物理网络的管理主要在两种场所：一是办公室，二是机房或者其他任何有物理网络的场所，可以简称为现场。办公室管理人员要能够直观地看到每一根线路的链路状况，要能按照自己的需要随时查找任何的物理线路。不仅如此，还要能对现场(机房或者其他场所)的这些线路信息进行调整，调整结束后的信息在现场就能立刻表达出来．便于现场人员去调整实际的物理线路。同样，在现场也要能随时随地查询任意的链路信息，同时可以更改每一根物理链路信息．这些信息都要及时被记录和统计。并最终呈现给管理员。管理员在办公室和在物理线路的现场都能够简洁快速的运用这些信息，最终达到办公室和现场的无缝关联。

另外一个管理的需求就是对安全性的需求。从上文的描述可以知道物理链路的准确性非常重要，它的安全性同样重要。这主要是因为安全性是准确性的保障，并且安全性直接关系着所传输的信息的安全。为了保证安全。对于现场所有的物理线路的调整或变更的人员必须有身份验证。对于每一个变更和调整都要能够实时地被察觉。然后对照安全策略来计算其是否合法。这些安全策略有很多，如：环路的计算等。总体性的调整更不用说了，需要多方的验证和计算，以保证物理线路的绝对安全。

对于重要的链路，比如：医院网络和银行网络中的重要链路，不仅要能够将每一个物理的线路管理起来，还要将这些重要链路的逻辑连接及逻辑信息统一管理起来，以保障链路的绝对安全和高效。

不同种类信息的整合也是物理网络基础配线管理的必然要求。基础配线的表现形式有很多，既有基本的纸质的数据，也有部分的电子数据；既有CAD数据，也有一般图形数据；既有文字描述数据，也有详细报表数据。所有这些信息都需要被统一管理起来，并且在纸质的数据，也有部分的电子数据；既有CAD数据，也有一般图形数据；既有文字描述数据，也有详细报表数据；等等。所有这些信息都需要被统一管理起来，并且在需要的时候表现出来。

网络物理基础配线信息本身也是一种信息。这种信息需既能被安全的传输和统一管理，也能在任何地方通过多种手段来传输。这就对配线信息本身的传输提出了挑战，安全性和易用性要兼而有之，更是难上加难。

当然，需求还有很多。一些优秀的网络管理和维护人员一定会提出许多新的要求和设想，许多问题都是物理网络发展过程中的管理瓶颈。随着新技术的发展，需求也会越来越具体和现实。

网络配线的最新管理技术

网络配线领域是一个相对不显眼、却投入人力资源较多的领域，所以许多国际大公司并没有把眼光放到这里。可能还有一个原因是觉得这个领域的含金量不大。不过，在多年的实践中，笔者慢慢发现这是个蕴含着宝藏的领域。只要有好的解决办法，就能在为人们解决问题的同时，挖出宝藏。目前在这个领域做的工作比较多的团体应该属上海互惠信息技术有限公司。下面介绍一下该团队在这个领域做的一些工作。

首先，利用RFID技术对每一根物理线路进行管理。可能有些人对RFID这个词有点陌生，不过大部分人估计听说过"物联网"。RFID这个技术早已有之，近年逐渐兴起。"物联网"所依赖的最基本的技术原理就是RFID。许多研究机构在RFID原理的基础上，结合普适计算的思想以及物流领域的需求．逐渐提出"物联网"的概念。后来这一概念又被进一步延伸．已经突破物流领域的限制，成为普适计算目前最现实的一个蓝图。而普适计算一直被认为是继互联网之后影响人类生活的下一次技术浪潮。全世界现在有许多与RFID相关的标准，比如EPC体系、UID体系、ISO部分标准。

上海互惠信息技术有限公司利用RFID技术来检测互联网中的每一个线缆，这些线缆可以是五类线、光纤、同轴电缆等任意线路。在技术上有一定的难度。不过目前已经有很大突破。在实验室内已经完全可以实现对所有线路的控制和管理。当然，这项技术不仅可以用在基础网络的线路管理上，还可以用在电话线、管线等各种应用当中。

其次，利用先进的电子电路技术。RFID技术能够管理好所有的网络线路，但是必须有辅助的电子元器件和它配合才能形成完整的专用信息流的通信网络。在这个网络上可以传输各种基础配线信息，可以发送各种指令，可以指导网络现场的管理员对物理配线信息进行更改，可以控制非法的变更。上海互惠信息技术有限公司已经开发出一整套硬件，用这些硬件和RFID技术相配合，最终形成一个完整的硬件网络进行信息传输和指令处理。这些设备整体上可以分为三大类：RFID基本设备，该类设备的作用是识别每一根线，并对每一根线作标记；控制设备，该类设备的作用是控制每一个具体的RFID设备及其他小的电子设备，并对它们进行信息管理；网络设备，它的作用是将各种控制设备组建成一个专用的网络，和后台的管理系统和软件进行通信。

最后，利用软件技术。毫无疑问，要使RFID和整套的硬件结合起来按照预定的要求工作，需要大量的软件支持。这些软件既有在各个硬件内的嵌入式软件。也有运行于后端服务器端的整体管理系统。从软件体系结构上讲是非常复杂的，可以分成很多层和很多功能部分。在部署上，既要能够在局域网内通过B／S形式浏览，也要能通过PDA等移动设配随处可查；既可以通过专用网络传输到内部的硬件中显示，也可以控制每一个行为动作。

物理网络基础配线和网络安全的展望

庞大的"物联网"的发展及"普适计算"的进一步深入，必然会使未来网络中所有物理设备都能够以自己的特定身份参与到整个大的计算网络中去。在网络管理中，可以快速地定位到每一个具体的硬件或区段，使整个网络无论是从物理上还是逻辑上都被真正的监控和管理。从而使整个网络的安全性得到真正的控制，网络资源能做到最优化配置和管理。上海互惠信息技术有限公司和相关研究机构(合作伙伴)正在为实现这一目标而努力。
 
 作者：上海互惠信息技术有限公司  欧书云

上海财经大学  李钊轶