數(shù)字化校園網(wǎng)絡(luò)管理策略技術(shù)研究

譚　寧

[摘要]就基于策略的數(shù)字化校園網(wǎng)絡(luò)管理模型相關(guān)研究?jī)?nèi)容進(jìn)行介紹，按照該管理模型對(duì)策略進(jìn)行描述、策略規(guī)則定義、策略規(guī)則沖突定義。

[關(guān)鍵詞]數(shù)字化校園 網(wǎng)絡(luò)管理 策略 規(guī)則

中圖分類號(hào)：TP3 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1671－7597（2009）0720063－01

在網(wǎng)絡(luò)安全的研究領(lǐng)域中，策略管理的方法一直就是一個(gè)研究的熱點(diǎn)問題?；诓呗缘木W(wǎng)絡(luò)管理的目標(biāo)是實(shí)現(xiàn)一個(gè)強(qiáng)大的網(wǎng)絡(luò)管理方案，能夠管理網(wǎng)絡(luò)中的所有資源，本文通過對(duì)策略管理的兩種體系結(jié)構(gòu)（IETF和TMF體系結(jié)構(gòu)）的結(jié)構(gòu)模型、信息模型進(jìn)行分析和比較，結(jié)合數(shù)字化校園網(wǎng)絡(luò)實(shí)際需要，吸取了他們的具體特點(diǎn)，提出了一種可以使用在數(shù)字化校園的策略管理模型。

IETF策略和TMF策略體系結(jié)構(gòu)作為一種與技術(shù)實(shí)現(xiàn)無關(guān)的框架運(yùn)用于各種網(wǎng)絡(luò)中，它們不僅管理網(wǎng)絡(luò)中的終端設(shè)備，也要管理使用網(wǎng)絡(luò)的人的行為等。但是這兩個(gè)體系結(jié)構(gòu)太復(fù)雜，不能直接應(yīng)用于數(shù)字化校園中。

在這里，提出一個(gè)結(jié)合IETF體系結(jié)構(gòu)和TMF策略“統(tǒng)一體”適用于數(shù)字化校園的基于策略管理模型，保證數(shù)字化校園的可用性和可控性。它與其它基于策略的網(wǎng)絡(luò)管理體系結(jié)構(gòu)一樣，有幾個(gè)關(guān)鍵問題需要解決，一是如何對(duì)策略規(guī)則表示；二是如何檢測(cè)策略之間的沖突；三是如何把策略自動(dòng)分發(fā)到相應(yīng)的網(wǎng)絡(luò)設(shè)備中去，本文采用的是Telnet/SSH協(xié)議對(duì)網(wǎng)絡(luò)策略進(jìn)行分發(fā)。

策略沖突檢測(cè)是策略應(yīng)用到網(wǎng)絡(luò)設(shè)備上的一個(gè)非常重要的環(huán)節(jié)。在大型的網(wǎng)絡(luò)中，由于異步管理模式或者網(wǎng)絡(luò)管理員的疏忽大意會(huì)導(dǎo)致各種網(wǎng)絡(luò)設(shè)備中的策略產(chǎn)生沖突。當(dāng)各種策略之間產(chǎn)生沖突時(shí)，網(wǎng)絡(luò)設(shè)備將無法確定應(yīng)該執(zhí)行哪些策略規(guī)則，所以為了使安全策略能有效地運(yùn)行在網(wǎng)絡(luò)設(shè)備中，應(yīng)該對(duì)策略的沖突檢測(cè)進(jìn)行仔細(xì)的分析，并對(duì)策略沖突提出一種檢測(cè)方法。

一、數(shù)字化校園網(wǎng)絡(luò)管理模型

（一）與其他網(wǎng)絡(luò)相比，數(shù)字化校園有如下特殊性

1．網(wǎng)絡(luò)管理的首要目標(biāo)是保證網(wǎng)絡(luò)中不同廠商的設(shè)備安全可靠運(yùn)行。2．目前數(shù)字化校園大都是交換式網(wǎng)絡(luò)，但采用的網(wǎng)絡(luò)設(shè)備不是同一廠商的設(shè)備，難以統(tǒng)一管理。3．?dāng)?shù)字化校園網(wǎng)絡(luò)多種業(yè)務(wù)并存，但與教學(xué)、科研、管理相關(guān)的關(guān)鍵業(yè)務(wù)需要得到保證，而一些娛樂性的應(yīng)用允許存在但必須受到限制，如網(wǎng)絡(luò)游戲，BT下載等吞噬網(wǎng)絡(luò)帶寬的行為。4. 面向的主要群體主要是學(xué)生，由于學(xué)生的求知欲望，使得數(shù)字化校園網(wǎng)絡(luò)更容易遭到破壞或者更加容易遭到攻擊。

（二）通過對(duì)數(shù)字化校園的特殊性分析，要把基于策略的網(wǎng)絡(luò)管理應(yīng)用到數(shù)字化校園上，需要考慮以下幾點(diǎn)要求

1．簡(jiǎn)潔易用性：在這里研究的是利用基于策略的思想，綜合利用網(wǎng)絡(luò)設(shè)備可管理的特性來管理網(wǎng)絡(luò)，它只是基于策略的網(wǎng)絡(luò)管理中的一部分功能，因此需要對(duì)復(fù)雜的基于策略的網(wǎng)絡(luò)管理思想進(jìn)行提煉和簡(jiǎn)化。2. 網(wǎng)絡(luò)設(shè)備安全策略跨平臺(tái)開發(fā)：即網(wǎng)絡(luò)設(shè)備安全策略能夠轉(zhuǎn)換為不同廠家不同類型網(wǎng)絡(luò)設(shè)備的管理命令，并可以分發(fā)至不同類型的可網(wǎng)管網(wǎng)絡(luò)設(shè)備上運(yùn)行。3．可擴(kuò)展性：能適用于與數(shù)字化校園類似的其它園區(qū)網(wǎng)絡(luò)中，能與網(wǎng)絡(luò)管理中其它模塊進(jìn)行交互。網(wǎng)絡(luò)管理人員可以根據(jù)當(dāng)前網(wǎng)絡(luò)的情況，對(duì)網(wǎng)絡(luò)管理的細(xì)節(jié)進(jìn)行調(diào)整。4．自動(dòng)化：策略的沖突檢測(cè)到策略分發(fā)至網(wǎng)絡(luò)設(shè)備上執(zhí)行的過程中，無須人工干預(yù)，當(dāng)然，在這個(gè)過程中的每一步操作是人工可干預(yù)的。通過自動(dòng)化操作，可以大大提高網(wǎng)絡(luò)管理的效率。

（三）策略模型

在這里，我們根據(jù)數(shù)字化校園的特點(diǎn)，在研究數(shù)字化校園的基礎(chǔ)上，以保障網(wǎng)絡(luò)可用性和可控性為目的，結(jié)合TMF策略與IETF的策略的各自優(yōu)點(diǎn)提出了一個(gè)基于策略的數(shù)字化校園網(wǎng)絡(luò)設(shè)備多層管理模型。從管理的角度分為：商務(wù)視點(diǎn)，系統(tǒng)視點(diǎn)，網(wǎng)絡(luò)視點(diǎn)，設(shè)備視點(diǎn)，實(shí)例視點(diǎn)。從技術(shù)角度看分為：商務(wù)決策點(diǎn)系統(tǒng)策略決策點(diǎn)。

從管理角度看，模型基于TMF策略“統(tǒng)一體”的分層思想，把策略分為五層，簡(jiǎn)化策略包含的內(nèi)容，商務(wù)視點(diǎn)在此模型中為數(shù)字化校園管理需求，為一個(gè)自然語言的子集；系統(tǒng)視點(diǎn)接受自然語言并進(jìn)行分解，得到語言包含的具體信息；網(wǎng)絡(luò)視點(diǎn)把具體信息組成一組與設(shè)備無關(guān)的規(guī)則集合來管理設(shè)備；設(shè)備視點(diǎn)把這些規(guī)則集合與特定的管理設(shè)備相對(duì)應(yīng)；實(shí)例視點(diǎn)生成一些自動(dòng)執(zhí)行的程序把這些規(guī)則部署到被管理的網(wǎng)絡(luò)設(shè)備中去。

從技術(shù)角度看，各個(gè)視點(diǎn)之間的轉(zhuǎn)換采用IETF的結(jié)構(gòu)來實(shí)現(xiàn)，將管理角度劃分為各層策略關(guān)聯(lián)起來。實(shí)現(xiàn)技術(shù)與技術(shù)無關(guān)的策略要求轉(zhuǎn)換成與技術(shù)相關(guān)的描述，進(jìn)而轉(zhuǎn)化成與具體實(shí)現(xiàn)無關(guān)的策略命令。

從具體實(shí)現(xiàn)的角度看，雖然網(wǎng)絡(luò)視點(diǎn)和設(shè)備視點(diǎn)在邏輯上是相分離的，在實(shí)現(xiàn)中都是由策略管理服務(wù)器來實(shí)現(xiàn)。數(shù)字化校園網(wǎng)絡(luò)管理主要是對(duì)網(wǎng)絡(luò)設(shè)備的管理，使得各層功能相獨(dú)立，以便于修改和移植。

（四）策略描述

作為商務(wù)視點(diǎn)的用戶需求，其表達(dá)形式是一些自然語言的子集，這個(gè)子集應(yīng)能夠充分表達(dá)用戶的需求，并被一般用戶所理解，即商務(wù)視點(diǎn)來看策略描述了明確的商業(yè)目標(biāo)。例如“嚴(yán)禁學(xué)生在上課時(shí)間用FTP下載”這樣的一條自然語言表示的策略，這是一個(gè)最高層次的抽象，也是需要達(dá)到的最終目標(biāo)。通過商務(wù)視點(diǎn)的決策對(duì)上例的自然語言進(jìn)行分解重組。

在系統(tǒng)視點(diǎn)中，對(duì)商務(wù)視點(diǎn)的策略做進(jìn)一步的分解，獲得在系統(tǒng)視點(diǎn)的策略表示。系統(tǒng)視點(diǎn)策略需要一個(gè)知識(shí)庫的支持，通過這個(gè)知識(shí)庫，可以得到一些具體信息，比如查詢知識(shí)庫中“上課時(shí)間”這個(gè)抽象語言，得到用數(shù)學(xué)方法定量的描述。對(duì)于系統(tǒng)視點(diǎn)和商務(wù)視點(diǎn)的策略生成，可以利用機(jī)器學(xué)習(xí)、專家系統(tǒng)等方法進(jìn)行實(shí)現(xiàn)。

從網(wǎng)絡(luò)視點(diǎn)來看，策略是一組規(guī)則的集合，用來管理、控制對(duì)網(wǎng)絡(luò)資源的訪問，改變網(wǎng)絡(luò)的運(yùn)行狀態(tài)，消除或減弱異常網(wǎng)絡(luò)行為。策略操作包括使用ACL控制、關(guān)閉使用的端口、或?qū)Χ丝谙拗扑俣鹊确椒?。所使用的方法，既要?dú)立于設(shè)備實(shí)現(xiàn)，還要支持在各種網(wǎng)絡(luò)設(shè)備中實(shí)現(xiàn)，便于設(shè)備視點(diǎn)做進(jìn)一步操作。

設(shè)備視點(diǎn)的策略必須解決與設(shè)備無關(guān)的策略規(guī)則到和設(shè)備相關(guān)的規(guī)則的轉(zhuǎn)換，根據(jù)網(wǎng)絡(luò)設(shè)備的不同，將策略規(guī)則轉(zhuǎn)換成具體網(wǎng)絡(luò)設(shè)備的控制命令。不同廠商，不同類型的設(shè)備，其操作控制命令不一樣。

實(shí)例視點(diǎn)中，實(shí)現(xiàn)策略的自動(dòng)應(yīng)用，需要精簡(jiǎn)并實(shí)現(xiàn)Telnet、SSH協(xié)議，把Telnet、SSH與策略控制命令整合，將最終的控制命令分發(fā)到數(shù)字化校園絡(luò)的各網(wǎng)絡(luò)設(shè)備，即實(shí)例視點(diǎn)中實(shí)現(xiàn)策略的部署和應(yīng)用。

在這里，本文研究了三個(gè)關(guān)鍵問題：網(wǎng)絡(luò)視點(diǎn)、設(shè)備視點(diǎn)以及實(shí)例視點(diǎn)的內(nèi)容，特別是網(wǎng)絡(luò)視點(diǎn)。今后將對(duì)網(wǎng)絡(luò)視點(diǎn)的策略沖突；網(wǎng)絡(luò)視點(diǎn)策略如何轉(zhuǎn)換為設(shè)備視點(diǎn)策略；實(shí)例視點(diǎn)的策略分發(fā)過程作進(jìn)一步研究。

參考文獻(xiàn)：

[1]夏海濤、詹志強(qiáng)，新一代網(wǎng)絡(luò)管理技術(shù)[M].北京郵電學(xué)院出版社，2003.

[2]戴英俠、連一峰等，系統(tǒng)安全與入侵檢測(cè)[M].北京：清華大學(xué)出版社，2002.

[3]趙敏、陳立潮，網(wǎng)絡(luò)管理的發(fā)展方向及新技術(shù)的應(yīng)用[J].電腦開發(fā)與應(yīng)用，2005（10）.

作者簡(jiǎn)介：

譚寧，男，漢族，淄博職業(yè)學(xué)院信息工程系，副教授，研究方向：計(jì)算機(jī)網(wǎng)絡(luò)。