摘 要：策略管理作為一種工作，在傳統(tǒng)的電信網(wǎng)絡(luò)和IP網(wǎng)絡(luò)綜合管理中發(fā)揮了重要的作用，有利于執(zhí)行高效的策略，使網(wǎng)絡(luò)管理行為更具有理智、規(guī)范等特征，全面提高網(wǎng)絡(luò)監(jiān)控能力。本文通過分析基于策略網(wǎng)絡(luò)管理技術(shù)，不斷建立與完善各項資源訪問控制的策略算法，分別進行訪問控制策略的描述，以促進網(wǎng)絡(luò)管理技術(shù)水平的提高。

關(guān)鍵詞：基于策略；網(wǎng)絡(luò)管理技術(shù)；訪問控制；策略算法

中圖分類號：TP393.07

基于策略管理技術(shù)作為一種全新的網(wǎng)絡(luò)技術(shù)，它對電信網(wǎng)絡(luò)的業(yè)務(wù)量實施全方位的監(jiān)控，加強網(wǎng)絡(luò)管理的時效性，使設(shè)備配置更具有迅速化、簡單化的特征，促進管理系統(tǒng)的一體化。網(wǎng)絡(luò)管理是一項比較系統(tǒng)高端的工程，其工作程序復雜多樣化，需要采取有效的控制與運行方法，才能提高網(wǎng)絡(luò)的運行性能。傳統(tǒng)的網(wǎng)絡(luò)管理方法，一般都是比較偏重設(shè)備地址配置的建立以及特定協(xié)議的簽訂等。網(wǎng)絡(luò)管理者在執(zhí)行這些管理功能的過程中，需要采取設(shè)備特有的密碼進行操作。隨著科學技術(shù)的發(fā)展，網(wǎng)絡(luò)規(guī)模日趨強大，網(wǎng)絡(luò)管理要求越來越嚴格。在新時代的發(fā)展中，需要不斷優(yōu)化網(wǎng)絡(luò)管理技術(shù)，提高網(wǎng)絡(luò)管理的服務(wù)質(zhì)量，才能實施長遠的管理目標?；诓呗缘木W(wǎng)絡(luò)管理的發(fā)展使網(wǎng)絡(luò)管理發(fā)生翻天覆地的改革，有利于高效完成網(wǎng)絡(luò)管理任務(wù)，管理任務(wù)的重點逐漸轉(zhuǎn)移到業(yè)務(wù)上。在網(wǎng)絡(luò)管理過程中，管理者可以采用面向業(yè)務(wù)的規(guī)則，實現(xiàn)網(wǎng)絡(luò)管理的智能化、先進化，提高管理的決策能力[1]。

1 訪問控制的策略算法

訪問控制的策略算法作為一種重要的策略，使網(wǎng)絡(luò)防范措施更加具有安全性與有效性，策略算法的主要功能在于：保證網(wǎng)絡(luò)安全，防止網(wǎng)絡(luò)資源不被非法使用和訪問等。訪問控制通過身份確認方式，對資源的訪問進行控制，使認證方式更加安全。

1.1 訪問控制

（1）訪問控制主要是針對越權(quán)使用資源，采取的相應(yīng)防御措施，它的工作前提是立足于安全策略的基礎(chǔ)上，在遵循策略規(guī)則的前提下，將對用戶進行授權(quán)、認證、角色分配等，向合法的用戶提供網(wǎng)絡(luò)服務(wù)服務(wù)資源。（2）訪問控制的目標是，在未授權(quán)的條件下，任何資源都不得進行訪問，使計算機系統(tǒng)的使用更加符合常規(guī)，最終決定用戶可以操作的程序。（3）訪問控制具有保持良好的機密性與完整性，保證訪問控制有效的信息。（4）訪問控制的功能多種多樣，包括：影響網(wǎng)絡(luò)可用性的網(wǎng)絡(luò)管理指令的頒布者、達到占用資源目的使用者、拒絕服務(wù)攻擊的信息的獲取者等。（5）訪問控制相關(guān)概念包括：規(guī)定需要保護資源的主體、作為代表用戶執(zhí)行程序的客體以及授權(quán)等，主客體的關(guān)系呈現(xiàn)相對性。（6）訪問控制策略類型多種多樣，主要包括：自主訪問、強制訪問、基于角色等訪問控制[2-3]。

1.2 算法描述

在算法描述當中，相關(guān)的策略規(guī)則的定義主要是以if/then結(jié)構(gòu)為主，條件（condition）和操作（action）組成了重要的結(jié)構(gòu)。結(jié)構(gòu)運作的前提是，在網(wǎng)絡(luò)環(huán)境符合規(guī)則條件。規(guī)則的形式化描述，如圖1所示。

圖1 規(guī)則的形式化描述

1.2.1 自主訪問控制示例

在自主訪問控制中，工作人員可以調(diào)整合適的系統(tǒng)參數(shù)，設(shè)置訪問主體的相關(guān)權(quán)限，訪問主體并將自身的權(quán)限轉(zhuǎn)交給別的主體。

自主訪問控制示例如下：一個大型公司制定的安全策略，10.0.2.100的服務(wù)器的訪問權(quán)限只是賦予公司的最高決策人，其他員工無法擁有權(quán)限，決策人的助理擁有服務(wù)器的只讀權(quán)限。此公司各領(lǐng)導人員以及助理所使用的計算機的IP地址范圍為：10.0.0.32～10.0.0.47。

其中的工作主要遵循自主訪問控制原理，IP地址服務(wù)器上的保密信息作為訪問客體，訪問主體是此公司的領(lǐng)導以及助理，他們可以決定訪問其資源的對象群體。

1.2.2 強制訪問控制示例

在強制訪問控制中，首先是制定一致的資源訪問權(quán)限，并且規(guī)定實施資源訪問的前提是訪問主體和訪問客體都符合安全屬性。強制訪問控制示例如下：訪問主體可以包括普通、VIP、授權(quán)以及惡意等用戶。訪問客體的安全屬性，主要是由公開、受限、秘密、機密、高密等類型組成。其工作主要是遵循強制訪問控制原理，由管理員負責制訂相同的訪問權(quán)限。當訪問主體訪問客體時，VIP用戶具備公開權(quán)限，一般用戶只是擁有只讀權(quán)限，對惡意用戶未授予權(quán)限。

1.2.3 基于角色的訪問控制示例

基于角色的訪問控制，可以通過各種方式，實施訪問主體權(quán)限。我們可以根據(jù)不同的角色，進行問權(quán)限的優(yōu)化配置。

基于角色的訪問控制示例體現(xiàn)如下：某大學校園網(wǎng)，只有網(wǎng)內(nèi)管理人員才有權(quán)利進行資料的整理，一般成員只能對其訪問及發(fā)表看法，但是某些校內(nèi)資料，只有本校人員才能進行

訪問，這就體現(xiàn)了基于角色訪問控制方法的優(yōu)勢，符合安全策略算法的操作[4]。

基于角色的訪問控制工作，主要是通過基于角色的訪問控制原理，不斷調(diào)整角色，優(yōu)化主體權(quán)限的分配。在例子中，1st user是網(wǎng)內(nèi)管理人員，2nd user是校內(nèi)人員，common user是一般用戶。訪問權(quán)限主要包括：讀寫權(quán)限、只讀權(quán)限、拒絕訪問權(quán)限等，訪問客體是指校園網(wǎng)資源，相關(guān)的工作人員可以為網(wǎng)內(nèi)管理人員分配可讀可寫權(quán)限；校內(nèi)人員擁有只讀權(quán)限；并且一般用戶不得訪問。在訪問過程中，實現(xiàn)了訪問權(quán)限與角色相聯(lián)，角色再與訪問主體關(guān)聯(lián)的關(guān)聯(lián)部分，完成訪問主體與訪問權(quán)限的邏輯分離。

1.3 對比三種策略算法

以下各種資源訪問控制方法，都具有各種的優(yōu)勢以及局限性，針對不同的網(wǎng)絡(luò)環(huán)境、不同用戶，可以滿足不同層次的需求，完成各項管理目標，從而采取個體化的策略，使管理過程更加方便簡單，實現(xiàn)策略管理的智能化。

表1 三種算法之間的對比

自主訪問控制配置粒度不夠大，配置的非常繁重的工作量，工作性能不強

強制訪問控制配置的粒度相當非常高大，運行具有明顯的靈活性、快捷性

基于角色訪問控制配置程序繁多復雜，靈活方便簡單

2 結(jié)束語

在經(jīng)濟時代的發(fā)展下，基于策略的網(wǎng)絡(luò)管理技術(shù)的發(fā)展還是沒有足夠的成熟，需要不斷建立與完善相關(guān)的標準。各個研究機構(gòu)的工作就力度有待加強，需要及時解決設(shè)備生產(chǎn)商運行中出現(xiàn)的各種問題以及拓展商業(yè)應(yīng)用的規(guī)模，才能不斷完善基于策略的網(wǎng)絡(luò)管理技術(shù)。

隨著科技的發(fā)展，設(shè)備生產(chǎn)商是否支持統(tǒng)一的協(xié)議或標準成為基于策略的網(wǎng)絡(luò)管理系統(tǒng)能否取代傳統(tǒng)網(wǎng)絡(luò)管理系傳統(tǒng)的重要條件。綜上所述的各種策略算法，其應(yīng)用具有不同的優(yōu)勢，需要不斷改進其應(yīng)用局限性，才能起到真正的運行效果。在新時代中，隨著網(wǎng)絡(luò)技術(shù)發(fā)生突飛猛進的變化，用戶對網(wǎng)絡(luò)應(yīng)用要求越來越高，基于策略的網(wǎng)絡(luò)管理技術(shù)所發(fā)揮的管理功能不斷集中化、簡單化，其應(yīng)用日趨完善化[5]。

基于策略的網(wǎng)絡(luò)管理系統(tǒng)，實現(xiàn)綜合化、系統(tǒng)化的管理系統(tǒng)，網(wǎng)絡(luò)管理人員可以將日常業(yè)務(wù)需求鏈接配置在網(wǎng)絡(luò)上，使配置更具有動態(tài)特征，全球的IP業(yè)務(wù)完成更具有時效性，促進用戶業(yè)務(wù)規(guī)則到網(wǎng)絡(luò)設(shè)備特有指令的映射實現(xiàn)，減少不必要的操作程序，提高網(wǎng)絡(luò)管理的工作效率，促進網(wǎng)絡(luò)管理水平的可持續(xù)發(fā)展。

參考文獻：

[1]張馨予.基于策略明網(wǎng)絡(luò)管理技術(shù)[D].科技信息，2013（01）.

[2]張雪婧.基于策略的網(wǎng)絡(luò)管理關(guān)鍵技術(shù)及其研究[D].中國地質(zhì)大學（北京），2012（12）.

[3]黃建國.基于策略的網(wǎng)絡(luò)管理技術(shù)研究[J].淮海工學院學報（自然科學版），2012（14）：53-56.

[4]丁森云.基于策略的網(wǎng)絡(luò)管理技術(shù)[J].知識經(jīng)濟，2011（05）：36-37.

[5]馬旭光.淺談基于策略的網(wǎng)絡(luò)管理技術(shù)[J].信息與電腦（理論版），2011（23）：172-173.

作者單位：連云港財經(jīng)高等職業(yè)技術(shù)學校，江蘇連云港 222300