以校园网络安全管理为例。伴随学校信息化的深度发展,安全日益成为影响网络效能的重要问题。网络的开放性、透明性与灵活有效的多业务增值能力体现网络高效能的同时,也使得它自身更容易受到攻击,存在安全隐患。安全性问题已成为网络最棘手、解决难度最大的问题之一,校园网络作为校园信息化建设、学生网络生存和发展的主要平台,校园网安全问题已经成为当前高校网络管理与网上引导中不可忽视的首要问题。
具体而言,Internet的开放性决定了网络技术是全开放的,任何人都可能获得,从而使网络所面临着对其软、硬件实施的攻击,可能是对网络通信协议和实现实施攻击,也可能是对物理传输线路的攻击。网络的国际性意味着网络的攻击不仅来自本地网络的用户,也可以来自Internet上的任何一个机器。校园网络的实质是一个内部网,接入Internet的校园网不可避免会受到来自Internet的各种破坏和攻击。为此,进行校园网安全管理时必须考虑以下需求:
(1)解决内外网络边界安全,防止外部攻击,保护内部网络安全;
(2)解决内部网安全问题,隔离内部不同网段,建立VLAN;
(3)内外网络采用两套IP地址,需要网络地址转换NAT功能;
(4)设立入侵检测机制,防火墙运行在安全操作系统之上,防止黑客对网络、主机、服务器等的入侵;
(5)建立具有QOS保障的高性能的网络,确保随时对关键业务提供优质的传输服务;
(6)根据IP地址、协议类型、端口进行过滤;
(7)建立访问控制、安全检测、攻击监控、加密通信、认证等安全机制;
(8)通过IP地址与MAC地址进行绑定或IP地址与用户账户绑定进行流量统计与限制,并防止IP欺骗或账户盗用。
校园网络安全可以通过网络技术的选择、网络设备的选型、网络拓扑结构的设计、VLAN的划分、网络用户的认证、防火墙的设置、入侵检测预警机制的建立等方式展开,并通过网络设备的管理、用户管理、用户培训等具体实施方式实现。
再以防火墙的管理为例。当一个网络接上Internet之后,系统的安全除了考虑计算机病毒、系统的稳定之外,更主要的是防止非法用户的入侵。而目前防止的措施主要是靠防火墙的技术完成。防火墙(Firewall)是指一个由软件或硬件设备组合而成,处于网络群体计算机与外界通道(Internet)之间,限制外界用户对内部网络访问及管理内部用户访问外界网络的权限。在构建安全网络环境的过程中,防火墙是一个系统,主要用来执行两个网络之间的访问控制策略,通常应用防火墙的目的有以下几方面:限制他人进入内部网络;过滤掉不安全的服务和非法用户;防止入侵者接近网络系统;限定用户访问特殊站点;为监视局域网安全提供方便。
防火墙总体安全框架为:物理地址→IP地址→身份认证→应用层过滤,分别采用用户入侵检测,状态包过滤技术,身份认证,信息过滤等安全策略,通过这样的数据流程对内部网络进行保护。
2.基于各种管理系统的校园网络管理内容呈现——若干技术系统的举例
(1)基于SNMP的校园网的网络管理系统——由性能管理、失效管理、流量管理、配置管理组成的管理内容
基于SNMP校园网的网络管理系统能够实现性能管理、失效管理、流量管理以及配置管理等功能,并据此将校园网络管理的内容划分为性能管理、失效管理、流量管理以及配置管理等。
(2)多Agent分布式网络管理体系——由感知模块、反应模块、规划模块、通信模块、协调模块的管理组成的管理内容
在面向任务域的协商中,为了实现面向动态交互过程,提高整体的协作效果,本系统中Agent的功能模块分为感知、反应、规划、通信、协调等部分。
Agent通过感知模块反应现实世界,并对环境信息作一定的抽象。根据信息的类型,感知模块将经过抽象的信息送到不同的处理模块。反应模块可以使Agent对紧急或简单的情况做出迅速反应,所以反应模块中基本上不作推理,而是直接由感知信息映射到某种行为。规划模块可以根据Agent的目标对中短期行动做出规划。规划将产生一个动作序列,它被提交给协调模块,如果不发生意外情况,Agent将按这个动作序列行动。如果发生意外情况则协调模块根据需要让规划模块重新做出规划,或暂停规划的执行。通信模块主要用来处理Agent之间的信息交换。通信语言中包括通知、请求、询问、回答等多种类型的语句。通过用通信语言交换信息,可以实现多Agent的协作和协商。协调模块负责各个模块的协调工作,进行冲突检查,并决定当前的动作和通信。协调模块同时负责安全策能进行安全检查、监视MA,能对本地Agent、传送数据的A以及驱动传送数据的Agent进行监控。综合网络管理系统Agent结构如图所示。
Agent结构图
(3)校园网络管理模型的体系结构——由中心管理、区域管理、设计管理组成的管理内容
这里把网络按照地理区域划分成多个管理域,每个管理域是一个被管对象的集合。在进行多Agent研究时,首先要先确定其结构。基于多Agent的校园网络管理系统可分为3层:中心管理层、区域管理层、设备管理层。对于这种网络管理系统主要由3类智能体组成:中心管理层Agent、区域管理层Agent和设备管理层Agent。其中中心管理层Agent只有一个,其他两种Agent都有多个。它们分别管理不同层次的网络设备,这三种Agent,相互协作共同完成整个系统的任务,如图所示。
中心管理层Agent负责整个网络的管理,能够完成网络管理的各项功能,是整个网络系统的核心,是网络管理员与网络管理系统的接口,一般位于网络中的一个主机节点上。区域管理Agent主要对所辖区域的设备进行管理,主要包括多对网络负载的规划、地址分配及路由路径,隔离和控制各接入用户接入速率、方式进行访问控制、限制非法侵入、保证网络接入用户获得稳定、可靠、合法的网络资源,一般驻留在被管对象中,如主机、网桥、路由器及线器等设备。设备层Agent管理用户接入的方式,承担局部网络的流量控制、拥塞控制、连接端口匹配、网率的争用、优化网络效率等功能。在这种结构中,中心管理层Agent对区域管理Agent有控制权,但各区域管理Agent之间的地位是平等的,这是一种分层式管理结构。
3.学生网络行为管理——一种指向以学生为中心的校园网络管理内容的设计
管理不能只见物不见人,以校园网络为中心的管理和以网络管理技术为中心的管理最终都要体现在校园网络的运用主体上,而学生无疑是校园网络的核心主体,校园网络要能为学生服务才能实现其价值,才能焕发生命力。因此,以学生为中心,面向学生的校园网络管理内容的设计具有重要的意义。
以学生为中心的校园网络管理的基本内容应围绕学生的网络行为展开,它实质上是对学生网络行为的一种管理。黄少华先生曾将网络行为定义为发生在网络空间这一特殊的社会场景中,以网络场景和网络行为认知为基础,包括网络媒介使用、网络信息互动、网络社会交往、网络游戏、网络娱乐、网络购物、网络交易等内容的社会行为,并在具体操作层面上将其划分为网络使用行为与网络社会行为两个基本方面。网络使用行为是指青少年使用互联网的方式和程度,而网络社会行为是指青少年在网络空间所从事的各种日常社会活动的总和。他的概括对本课题研究亦有启发意义。我们在校园网络空间中,要管理的学生行为也可以试图从学生的校园网络使用行为和学生的校园网络社会行为两个基本方面进行归纳、划分,进而形成管理内容。
学生校园网络使用行为的管理,主要包括对学生校园网络上网时间的管理;对学生上网地点的管理(图书馆、电子阅览室、校园网吧、寝室等);对学生上网费用的管理;对学生上网设备的管理(设备的数量、设备的性能等);对学生上网络权限的管理(诸如不同年龄的学生具备不同的上网权限)等等。
学生校园网络社会行为的管理,主要包括对学生校园网络学习的管理,如开辟多样的学习空间、学习园地、建立学习资料库、建设学习的互动平台、建设体验式学习的虚拟实验室等;对学生校园网络交友的管理,如传统的聊天室的文明管理等;对学生校园网上个人空间的管理,如对学生在校园网络上建立的个人博客的管理等;对学生网络参与的管理,一方面能最大程度地满足学生网络参与的需求,另一方面使其网络参与向合理、有序发展;对学生网络信息消费的管理,保证学生接触的信息都是健康的、绿色的,同时有效对学生的信息表达行为进行相应的管理;对学生校园网络行为的安全管理等等。
以学生为中心的校园网络管理内容的设计,需要结合学生与校园网络的实际具体设计。这意味着不同层次、不同学校的学生和不同的校园网络都应结合实际设计出不同的校园网络管理内容。上文的简单阐释只是设计的思路,仅仅是反应了校园网络管理基本内容的基本方面。
(二)校园网络网上引导的基本内容
以学生为中心的校园网络管理的设计,需要有以学生为中心的校园网网上引导的设计与之相配合。以学生为中心就是以学生为本,这应当是校园网络管理与网上引导的根本出发点和核心价值所在,这也是运用科学发展观指导校园网络管理与网上引导最基本的要求。我们认为,规范、中介、他者、环境、自我等要素构成了校园网络以学生为主体的网络系统。网上引导的目标就在于让学生建立自我在校园网络系统中的坐标,让学生学会处理与规范、中介、他者、环境和自我的关系,因而达到和谐校园网络、优化自身发展的目的。这种网上引导的设计体现了全面性和系统性,是实现校园网络管理与网上引导目标的重要组成部分。
1.熟悉规范——对网络法规、道德规范的引导
校园网络网上引导的首要内容应当是对外在规范的引导。众所周知,校园网络的运行需要秩序的保障,而秩序需要规范来实现。就学生而言,处于社会化的重要时期,引导他们熟悉规范,并将规范内化为自身的行为准则,进而外化为行为形成习惯,是他们社会化的重要方式。在校园网络上的引导也是如此。规范的引导主要从两个方面进行,一方面是倾向于他律的网络法规的引导,让学生形成对相关法律的自觉遵守;另一方面是倾向于自律的道德规范的引导,将外在的网络道德规范转化为学生的内在网络道德准则甚至是道德精神,并形成自觉的道德行为习惯。具体规范的引导方式是多样的,如网上“一对一”谈心引导、“虚拟实验式”的体验式引导、课堂的“一对多”引导、宣讲式引导、“趣缘群体式”引导等。规范引导的方式不仅要多样,而且要符合学生的实际,注重在实践中进行引导教育。学生对规范的自觉践行是网络构建和谐校园网络的重要保障,是学生成长成才的基础要求,因而,对规范的引导是整个网上引导工作的基础。
2.理解中介——对网络理性认识的引导
校园网网上引导是在网络空间中展开并借助网络而实现的引导,其引导对象也是涉网的、用网的学生,离开网络本身引导的技术基础和对象都不复存在。因此,引导者必须理解网络,也必须引导学生理解网络。进而网上引导的另一个重要任务是引导学生正确理解网络本身,形成对校园网络相对客观理性的认识。“因特网既不是天堂也不是地狱……如果我们想改变我们的现实,我们就必须理解它”。(曼纽尔·卡斯特语)理解网络是人们进行网络生存的前提,盲目入网,往往会被网所困。对青年学生进行网上引导要突出对网络理性认识的引导,因为青年学生是伴随网络成长起来的一代,他们对网络运用自如,但对“网络是什么?”往往比较缺乏理性的理解。于是很多学生在网上“迷失”了自己,网络成瘾、网络犯罪等行为在学生网民中广泛存在,这跟学生网络理性认识的缺失关系密切。
引导学生理解校园网络,要让学生认识到人与网络的关系,并形成调整人网关系的自觉;要让学生理解网络的本质,确立人在网络生存过程中的主体地位;让学生正确理解网络与现实的关系,自觉协调网络生存和现实生存的关系。总之,网上引导层面的网络理解,强调的不是掌握网络技术,而是形成对网络的理性认识,实现学生在校园网络中乃至整个网络世界中的准确定位,实现学生与校园网络关系的协调。理解中介的具体引导方式可以由课堂教育、校园宣讲、网上即时互动、人与网络关系大讨论等方式实现。
