第7章计算机网络安全和网络管理最终版

第7章网络安全与网络管理主要内容网络安全与管理问题的产生1网络安全技术2网络管理技术37.1网络安全与管理及相关的法律法规实例回顾计算机网络主要特征计算机网络的各项技术都是全开放的计算机网络是自由的，网络对用户的使用不存在技术上的约束，用户可以自由的上网，发布和获取各类信息对于校园网而言，访问网络的不只是学校内部的成员，还包括外部网的其他身份不明确的匿名用户。随着接入网络的终端的增加，网络规模逐渐增大，用户进行数据访问传输等操作需要使用的通信链路也变长。7.1.2网络管理概述网络管理的概念与内容网络管理：网络管理员通过网络管理程序对网络上的资源进行集中化管理的操作。网络管理包括对硬件、软件和人力的使用、综合与协调，以便对网络资源进行监视、测试、配置、分析、评价和控制，这样就能以合理的价格满足网络的一些需求，如实时运行性能，服务质量等7.1.2网络管理概述网络管理主要是针对：（1）对网路的管理，即针对交换机、路由器等主干网络进行管理；（2）对接入设备的管理，即对内部PC、服务器、交换机等进行管理；（3）对行为的管理。即针对用户的使用进行管理；对资产的管理，即统计IT软硬件的信息等7.1.1网络安全的内容外部环境安全：地震、水灾、火灾、电源故障、设备被盗被毁、电磁干扰等。网络连接安全：网络拓扑结构和网络路由状况等。操作系统安全：利用操作系统加强对用户登录的认证等。应用系统安全：采用多层次的访问控制与权限控制手段、加密技术等。管理制度安全：加强内部管理，建立审计和跟踪体系等。人为因素影响：黑客攻击、恶意代码、不满的内部员工等。

网络管理

所谓网络管理，是指用软件手段对网络上的通信设备及传输系统进行有效的监视、控制、诊断和测试所采用的技术和方法。网络网络涉及三个方面：网络服务提供、网络维护、网络处理。一个网络管理系统下从逻辑上可以分为：管理对象、管理进程、管理协议。被管理的网络设备包括交换机、网关、路由器、网桥、通信线路、网卡、服务器以及工作站等。7.1.2网络管理的功能OSI管理功能域

OSI网络管理标准将开放系统的网络管理功能划分成五个功能域：配置管理、故障管理、性能管理、安全管理、记账管理，这个功能域分别用来完成不同的网络管理功能。7.1.2网络管理的功能从技术角度来说，网络安全的目标可归纳为4个方面：可用性:网络中的信息或者信息系统只能够被合法用户访问，并能够迅速地按其要求运行的特性机密性：系统把对敏感数据的访问权限制在那些经授权的个人或实体，只有他们才能查看和使用数据7.1.2网络管理的功能完整性：防止系统中的信息或程序未经授权或意外改动，包括数据插入、删除和修改等指保证系统在未受损的方式下执行预期的功能，避免对系统进行有意或无意的非授权操作不可抵赖性：也叫不可否认性，即防止个人否认先前已执行的动作，其目标是确保数据的接收方能够确信发送方的身份7.1.2网络管理的功能2000年12月28日第九届全国人民代表大会常务委员会第十九次会议通过了《维护互联网安全的决定》，它是我国第一部经全国人民代表大会常务委员会审议通过的有关网络安全的法律性文件。信息产业部2000年11月7日发布实施的《互联网电子公告服务管理规定》信息产业部1999年9月7日发布实施的《电信网间互联管理暂行规定》教育部2000年6月29日发布实施的《教育网站和网校暂行管理办法》7.1.2与网络安全与管理相关的法律法规7.1.2与网络安全与管理相关的法律法规7.2网络资源管理的方法网络资源的表示网络环境下资源的表示是网络管理的一个关键问题。在网络管理协议中采用面向对象的概念来描述被管网络元素的属性。网络资源主要包括：硬件、软件、数据、用户、支持设备。网络管理的目的和方法

网络管理可以分为广义和狭义两个层面。广义的管理内容涉及网络安全的方方面面；狭义的网络管理是指从技术角度出发，了解网络系统的运行状况并加以监控、优化。1、网络管理的目的

用户设计并实施检测方案，提供资源优化和系统规划的建议。2、网络管理的使命发现问题、解决问题、常规监视。7.2网络资源管理的方法网络管理协议是道理和网络管理软件交换信息的方式，它定义使用使命传输机制，代理上存在何种信息以及信息格式的编排方式。1、SNMP协议

SNMP是“简单网络管理协议”，是TCP/IP协议簇的一个应用层协议。SNMP作为一种算了管理协议，它使网络设备彼此之间可以交换管理信息，使网络管理员能够管理网络的性能，定位和解决网络故障，进行网络规划。SNMP的网络管理模型有三个关键元素组成：不给力的设备（网元）、代理、网络管理系统（NMS）。MIB是管理信息库7.3网络管理协议RMON

远程监控（RMON）是关于通信量管理的标准化规定，RMON的目的就是要测定、收集网络的性能，为网络管理员提供复杂的网络错误诊断和性能调整信息。有RMON构成的通信量观测和SNMP一样，也是有管理程序和代理程序构成。RMON是观测网络的关键点的，具有报警功能。7.3网络管理协议7.4网络病毒与网络黑客入侵的防范、防火墙1、网络与病毒网络化带来了病毒传染的高效率，从而加重了病毒的威胁。例如：“红色代码”、“尼姆达”2、网络病毒的防范基于网络的多层次的病毒防护策略是保障信息安全、保证网络安全运行的重要手段。从网络系统的各组成环节来看，多层防御的网络防毒体系应该有用户桌面、服务器、Internet网关和防火墙组成。桌面系统和远程PC是主要的病毒感染源。群件和电子邮件是网络中重要的通信联络线。先进的多层病毒防护策略具有三个特点：层次性、集成性、自动化。7.4网络病毒与网络黑客入侵的防范、防火墙黑客，常常在未经许可的情况下通过技术手段登录到他人的网络服务器甚至是连接在网络上的单机，并对网络进行一些未经授权的操作。攻击手段：非授权访问、信息泄露或丢失、破坏数据完整性、拒绝服务攻击、利用网络传播病毒。防范手段：法律手段、技术手段、管理手段7.4网络病毒与网络黑客入侵的防范、防火墙防火墙是设置在被保护网络和外部网络之间的一道屏障，以防止发生不可预测的、潜在破坏性的侵入。在逻辑上，防火墙是一个分离器，一个限制器，也是一个分析器，有效地监控了内部网和Internet之间的任何活动，保证了内部网络的安全。防火墙能有效地防止外来的入侵，它在网络系统中的作用是：（1）控制进出网络的信息流向和信息包（2）提供使用和流量的日志和审计。（3）隐藏内部IP地址及网络结构的细节。（4）提供VPN功能。7.4网络病毒与网络黑客入侵的防范、防火墙防火墙的技术防火墙总体上分为：包过滤、应用级网关（安装在专用工作站系统）和代理服务器等设置防火墙的要素：网络策略服务访问策略防火墙设计策略增强的认证7.4网络病毒与网络黑客入侵的防范、防火墙防火墙的分类基于具体实现防范分类，可以分为三种类型：软件防火墙、硬件防火墙、专用防火墙。根据防火墙采用的核心技术：可分为包过滤型和应用代理型两大类。根据防火墙的结构，可分为单一主机防火墙、路由器集成式防火墙和分布式防火墙三种。按防火墙的应用部署位置分为边界防火墙、个人防火墙和混合防火墙三大类。7.4网络病毒与网络黑客入侵的防范、防火墙网络故障的诊断：重现故障——分析故障现象——定位故障范围——隔离故障——排除故障网络常用测试命令

1、IP测试工具pingping127.0.0.1测试本机TCP/IP安装是完整，本机的网卡是否正确安装ping本机的Ip地址测试本地的网卡工作是否正常pingDNS判断该网是否能够连通ping网关测试本机到网关的线路是否出现故障7.5网络故障的诊断与排除7.5网络故障的诊断与排除2、测试TCP/IP协议配置工具ipconfig和winipcfgipconfig若不带参数，可获得的信息有IP地址、子网掩码、默认网关。winipcfg的功能与ipconfig基本相同。3、网络协议统计工具netstat和nbstat使用netstat命令可以显示与IP、TCP、UDP和ICMP协议相关的统计信息以及当前的连接情况，以得到非常详细的统计结果，有助于了解网络的整体使用情况。nbtstat是解决NETBIOS名称解析问题的有用工具。4、跟踪工具tracert和pathpingtracert命令用来显示数据包到达目标主机所经过的路径，并显示到达每个节点的时间。pathping命令是一个路由跟踪工具，它将ping和tracert命令的功能和这两个工具所不提供的其他信息结合起来。7.2.2对称加密技术——数据加密标准（DES，DataEncryptionStandard）DES对明文进行分组，每组明文长度为64位，然后使用56位长度的密钥以及附加的8位奇偶校验位，将分组后的明文组和56位的密钥按位替代或交换的方法，产生64位长度的密文分组DES的主要特点是：分组比较短、密钥太短、密码生命周期短、运算速度较慢攻击DES的主要形式被称为蛮力攻击或彻底密钥搜索（穷举攻击），即重复尝试各种密钥直到有一个符合为止7.2.2数据加密标准（DES，DataEncryptionStandard）7.2.2数据加密标准（DES，DataEncryptionStandard）三重DES算法其本质实际上是重复基本的DES算法三次，是使用168位的密钥对资料进行三次加密的一种机制其加解密运算可以表示为：加密：C=Ek3(Dk2(Ek1(M))

解密：M=Dk1(Ek2(Dk3(C))三重DES的主要缺点在于其计算量是DES的三倍，用软件实现算法速度比较慢7.2.2三重DES算法7.2.2流密码(streamcipher)技术流密码的原理实际上是对输入的明文串按比特进行连续变换，加密和解密每次只处理一个比特，进而产生连续的密文输出7.2.2公钥加密技术公钥加密算法也称非对称密钥算法，它要求加密过程中密钥成对出现，一个为加密密钥(e)，另一个为解密密钥(d)，两个密钥互不相同且不可能从其中一个推导出另一个整个公钥体制涉及到三个重要的概念：密钥对数字证书电子签证机关7.2.2公钥加密技术公钥加密体制具有以下优点：（1）公钥算法不需要联机密钥服务器，密钥分配协议简单，所以极大简化了密钥管理；（2）密钥的保存量少，私钥和公钥是分别存储的；（3）可以完成互不相识的人之间的私人通信的保密性要求，同时可以提供通信双方的数字签名和身份鉴别7.2.2RSA算法①产生密钥公开密钥（即加密密钥）PK=（e，n）秘密密钥（即解密密钥）SK=（d，n）②加密对应的密文是：ci≡mie(modn)③解密解密时作如下计算：mi≡cid(modn)7.2.2RSA算法RSA算法的缺点主要有：（1）产生密钥很麻烦，受到素数产生技术的限制，因而难以做到一次一密（2）分组长度太大，为保证安全性，n至少也要600bits以上，使运算代价很高，尤其是速度较慢7.2.2数字签名数字签名利用私有密钥进行加密认证利用公开密钥进行正确的解密由于公开密钥无法推算出私有密钥，所以公开密钥无需保密，可以公开传播私有密钥一定是个人秘密持有的，其他人的公开密钥不可能正确解密被私有密钥加密过的信息7.2.2数字签名7.2.2身份认证如何保证以数字身份进行操作的操作者就是这个数字身份合法拥有者？身份认证：（1）静态密码：在网络中使用你知道的信息来证明你的身份（2）智能卡认证：使用你持有的物品，比如电子IC卡、USBKey、动态口令牌等（3）生物识别技术：使用你自身的不可更改的特征（指纹识别）7.2.2数据备份技术不同的网络，网络中的不同用户，均需要根据自己的实际情况来制定不同的备份策略目前被采用最多的备份策略主要有以下三种：（1）完全备份（fullbackup）将用户指定的数据甚至是整个系统的数据进行完全的备份（2）增量备份(incrementalbackup)只有那些在上次完全或者增量备份后被修改了的文件才会被备份（3）差分备份(differentialbackup)将最近一次完全备份后产生的所有数据更新进行备份7.2.3访问控制技术访问控制的主要功能：（1）防止非法的主体进入受保护的网络资源（如：学生进入老师才可以访问的成绩页面）；（2）允许合法用户访问受保护的网络资源（如：老师经许可访问成绩登录页面）；（3）防止合法的用户对受保护的网络资源进行非授权的访问（如：合法的教师用户未经许可直接访问了成绩登录页面）7.2.3访问控制技术访问控制基本元素（1）主体：网络中发出访问操作、存取要求的发起者（2）客体：被调用的程序或欲存取的数据，即必须进行控制的资源或目标（3）访问权：实际上是对主体访问客体的方式进行的描述7.2.3访问控制技术访问控制主要策略（1）自主访问控制（2）强制访问控制（3）基于角色的访问控制7.2.4防火墙与病毒防护防火墙技术7.2.4防火墙与病毒防护防火墙的组成和特征两个网络之间的所有通信数据流都要通过防火墙；防火墙本身不会影响信息的流通，也不会更改流通的信息内容；只有被防火墙安全策略（如服务访问政策、应用网关、过滤规则）允许授权的信息才能够通过防火墙（其他恶意信息不被允许）；防火墙本身是穿不透的7.2.4防火墙与病毒防护防火墙的基本类型网络级防火墙7.2.4防火墙与病毒防护应用代理防火墙7.2.4防火墙与病毒防护电路级网关型防火墙7.2.4防火墙与病毒防护规则检查防火墙7.2.4防火墙与病毒防护防火墙的体系结构防火墙可以置于网络架构中的应用层、网络层或传输层，作为一个阻塞点，来监视和抛弃对应层的网络流量双重/多重宿主主机体系结构有两个或多个网络接口的计算机系统，这类系统可以连接多个网络，实现多个网络之间的访问控制7.2.4防火墙与病毒防护7.2.4防火墙与病毒防护屏蔽主机体系结构使用一个单独的路由器，该路由器提供来自堡垒主机的服务7.2.4防火墙与病毒防护屏蔽子网体系结构通过添加额外的安全层到屏蔽主机体系结构，通过添加周边网络（DMZ）更进一步地把内部网络与Internet隔离开7.2.4防火墙与病毒防护防火墙的部署和配置目前网络的防火墙部署多采用分布式混合防火墙，这类部署涉及在一个中心管理员控制下协同工作的独立防火墙设备和基于主机的防火墙7.2.4计算机病毒及防护计算机病毒(ComputerVirus)在《中华人民共和国计算机信息系统安全保护条例》中被明确定义为“编制者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”常见定义：利用计算机软件与硬件的缺陷，由被感染机内部发出的破坏计算机数据并影响计算机正常工作的一组指令集或程序代码7.2.4计算机病毒及防护病毒的组成感染机制：病毒传播和使病毒能够自我复制的方法，通常包括感染标记和感染模块两部分触发条件：激活或控制病毒感染和破坏活动的事件或条件破坏模块：主要负责病毒的破坏工作7.2.4计算机病毒及防护病毒的分类按照感染目标分类：感染引导扇区病毒感染可执行文件病毒一般应用型病毒按照寄生方式分类：操作系统型病毒入侵型病毒外壳型病毒7.2.4计算机病毒及防护病毒的防范——IBM公司

数字免疫系统7.2.5入侵检测入侵检测技术（IntrusionDetection）就是通过计算机网络或系统中若干关键点收集信息并对其进行分析，从中发现网络或系统中是否存在违反安全策略的行为和被攻击的迹象并作出响应的技术入侵检测系统（IDS）则可以被定义为对计算机和网络资源的恶意使用行为（包括系统外部的入侵和内部用户的非授权行为）进行识别和相应处理的系统7.2.5入侵检测入侵检测系统的组成其检测过程主要通过执行以下任务来实现：（1）监视、分析用户及系统活动；

（2）系统构造和弱点的审计；

（3）识别反映已知进攻的活动模式并向相关人士报警；

（4）异常行为模式的统计分析；

（5）评估重要系统和数据文件的完整性；

（6）操作系统的审计跟踪管理，并识别用户违反安全策略的行为7.2.5入侵检测入侵检测系统主要包括以下三个逻辑组件：（1）传感器：传感器主要负责收集数据，是提供系统事件记录的信息源，其输入可以是包含入侵证据的系统的任何一部分（2）分析器：分析器主要负责确定是否发生了入侵，起输入来自于一个或多个传感器或者其他的分析器（3）用户接口：可以认为是对分析器结果产生反应的响应部件7.2.5入侵检测入侵检测系统的基本工作步骤：7.2.5入侵检测入侵检测系统的分类（1）按照输入数据对象划分基于主机（Host-Based）的入侵检测系统基于网络（Network-Based）的入侵检测系统混合型入侵检测系统7.2.5入侵检测按照技术划分：异常检测模型（AnomalyDetection）异常检测首先假设入侵者活动必定异常于正常主体的活动误用检测模型（MisuseDetection）这一检测假设入侵者活动可以用一种模式来表示，系统的目标是检测主体活动是否符合这些模式7.2.5入侵检测——系统代表：蜜罐7.2.6网络安全协议安全套接层协议SSL安全套接层（SSL，SecureSocketLayer）是Netscape公司率先采用的网络安全协议。它是在传输通信协议（TCP／IP）上实现的一种安全协议，采用公开密钥技术，是以一组协议的方式实现的一个通用服务，被广泛支持各种类型的网络7.2.6安全套接层协议SSLSSL的体系结构：二层协议体系结构7.2.6安全套接层协议SSLSSL记录协议SSL记录协议为SSL连接提供两种服务：

机密性：握手协议定义了共享的、可用于对SSL有效载荷进行常规加密的密钥。

报文完整性：握手协议还定义了共享的、可用来形成报文的鉴别码（MAC）的密钥7.2.6安全套接层协议SSL7.2.6安全套接层协议SSL修改密文规约协议用于从一种加密算法转变为另一种加密算法报警协议用于将SSL有关的报警传送给对方实体握手协议用于建立会话，它允许客户端和服务器之间相互鉴别对方的身份、协商加密和MAC算法以及用来保护在SSL记录中发送数据的加密密钥在传输任何应用数据之前，都必须使用握手协议。它由一系列在客户和服务器之间交换的报文组成7.2.6VPN相关协议VPN基于隧道技术来传输数据根据VPN实现的层次，隧道协议可以分为二层隧道协议：点对点隧道协议（PPTP）、第二层隧道协议（L2TP）三层隧道协议：通用路由封装协议（GRE）、IP安全协议（IPSec）IPSec（IPSecurity）是InternetEngineeringTaskForce（IETF）制定的为保证在Internet上传送数据的安全保密性能的一组框架协议的总称7.2.6VPN相关协议VPN基于隧道技术来传输数据根据VPN实现的层次，隧道协议可以分为二层隧道协议：点对点隧道协议（PPTP）、第二层隧道协议（L2TP）三层隧道协议：通用路由封装协议（GRE）、IP安全协议（IPSec）IPSec（IPSecurity）是InternetEngineeringTaskForce（IETF）制定的为保证在Internet上传送数据的安全保密性能的一组框架协议的总称7.2.6IPSec（1）认证报头协议（AH，AuthenticationHeader）7.2.6IPSec（2）封装安全有效载荷协议（ESP，EncapsulationSecurityPayload）7.2.6IPSec（3）因特网密钥交换协议（IKE，InternetKeyExchange）7.3网络管理技术网络管理：网络管理员通过网络管理程序对网络上的资源进行集中化管理的操作，包括对硬件、软件和人力的使用、综合与协调，以便对网络资源进行监视、测试、配置、分析、评价和控制，这样就能以合理的价格满足网络的一些需求，如实时运行性能、服务质量等7.3.1网络管理功能和模型网络管理功能网络管理技术需要提供如下五大功能：（1）故障管理(FaultManagement)当网络中某个组成失效时，网络管理器能够迅速查找到故障并及时排除故障监测故障报警故障信息管理排错支持工具检索/分析故障信息7.3.1网络管理功能和模型（2）计费管理(AccountingManagement)计费管理记录网络资源的使用，目的是控制和监测网络操作的费用和代价计费数据采集数据管理与数据维护计费政策制定政策比较与决策支持数据分析与费用计算数据查询7.3.1网络管理功能和模型（3）配置管理(ConfigurationManagement)配置管理主要是对网络初始化并配置网络，以使其提供网络服务配置信息的自动获取自动配置、自动备份及相关技术配置一致性检查用户操作记录功能7.3.1网络管理功能和模型（4）性能管理(PerformanceManagement)性能管理主要是对网络系统中资源的运行状况及通信效率等系统性能进行估价，其能力包括监视和分析被管网络及其所提供服务的性能机制性能监控阈值控制性能分析可视化的性能报告实时性能监控网络对象性能查询7.3.1网络管理功能和模型（5）安全管理(SecurityManagement)越来越多的网络安全技术出现并升级，要管理协调并有机地组合这些相关的安全技术，网络安全管理不可获取性能监控网络资源的访问控制告警事件分析主机系统的安全漏洞检测网络管理本身的安全需要由以下机制来保证：管理员身份认证管理信息存储和传输的加密与完整性网络管理用户分组管理与访问控制系统日志分析7.3.2网络管理模型网络管理包括对硬件、软件和人力的使用、综合与协调，以便对网络资源进行监视、测试、配置、分析、评价和控制，这样就能以合理的价格满足网络的一些需求，如实时运行性能，服务质量等。网络管理常简称为网管。7.3.2网络管理模型管理站因特网网络管理员

被管设备——管理程序（运行SNMP客户程序）——代理程序（运行SNMP服务器程序）AAAAM

被管设备

被管设备

被管设备MAA

被管设备网管协议7.3.2网络管理模型中的主要构件管理站也常称为网络运行中心

NOC(NetworkOperationsCenter)，是网络管理系统的核心管理站的关键构件是管理程序，在运行时就成为管理进程管理站（硬件）或管理程序（软件）都可称为管理者(manager)。Manager不是指人而是指机器或软件。网络管理员(administrator)指的是人。大型网络往往实行多级管理，因而有多个管理者，而一个管理者一般只管理本地网络的设备。7.3.2网络管理模型中的主要构件网络管理协议，简称为网管协议。需要注意的是，并不是网管协议本身来管理网络。网管协议就是管理程序和代理程序之间进行通信的规则。网络管理员利用网管协议通过管理站对网络中的被管设备进行管理。7.3.2网络管理模型中的主要构件网络管理信息库：网络中被管理对象必须维持可供管理程序读写的若干控制和状态信息。这些信息构成的数据库被总称为管理信息库MIB(ManagementInformationBase)管理程序使用MIB中这些信息的值对网络进行管理（如读取或重新设置这些值）7.3.2网络管理模型中的主要构件被管代理在每一个被管设备中都要运行一个程序以便和管理站中的管理程序进行通信。这些运行着的程序叫做网络管理代理程序，或简称为代理代理程序在管理程序的命令和控制下在被管设备上采取本地的行动。驻留在用户主机和网络互连设备等所有被管理7.3.2网络管理模型中的主要构件7.3.2网络管理系统主要体系结构（1）集中式网络管理7.3.2网络管理系统主要体系结构（2）层次化网络管理7.3.2网络管理系统主要体系结构（3）分布式网络管理7.3.2网络管理协议SNMP简单网络管理协议（SNMP，SimpleNetWorkManagementProtocol）是最早提出的网络管理协议之一，其前身是简单网关监控协议（SGMP），主要用来对通信线路进行管理7.3.2SNMPSNMP的体系结构是围绕着四个概念和目标进行设计的：（1）保持管理代理（agent）的软件成本尽可能低；（2）最大限度保持远程管理的功能，以便充分利用Internet的网络资源；（3）体系结构必须有扩充的余地；（4）保持SNMP的独立性，不依赖于具体的计算机、网关和网络传输协议。在最近的改进中，又加入了保证SNMP体系本身安全性的目标7.3.2SNMPSNMP协议的工作机制:主要通过各种不同类型的消息，即PDU（协议数据单位）实现网络信息的交换PDU：一种变量对象，其中每一个变量都是由标题和变量值两部分组成：（1）标题：SNMP对应的共同体名，加上发送方的一些标识信息(附加信息)，用以验证发送方确实是共同体中的成员，共同体实际上就是用来实现管理应用实体之间身份鉴别的；

（2）变量值：即数据，就是两个管理应用实体之间真正需要交换的信息7.3.2CMIS/CMIPCMIS/CMIP公共管理信息服务/公共管理信息协议（CMIS/CMIP，CommonManagementInformationService/Protocol）是OSI提供的网络管理协议簇。CMIS定义了每个网络组成部件提供的网络管理服务，CMIP则是实现CIMS服务的协议，包括一个接口支持ISO和用户定义（user-defined）管理协议7.3.2CMIS/CMIPCMIP治理模型可以用3种模型进行描述：组织模型用于描述治理任务如何分配；功能模型描述了各种网络治理功能和它们之间的关系；信息模型提供了描述被管对象和相关治理信息的准则7.3.2