淺談網絡安全管理

摘要:網絡安全管理的基本目標是確保網絡和系統的可用性，它涉及的因素很多，如人員、硬件、軟件、數據、文檔、法律法規等。但這里我們沒有從全局的角度去考慮網絡的安全管理，而只從技術的角度介紹了兩類典型的網絡安全管理協議。網絡管理協議為管理系統、網絡和網絡部件提供了方法。它們支持如配置管理、審計和事件記錄等管理功能，并且為診斷網絡問題提供了工具。

關鍵詞:網絡;安全;管理;協議;審計

中圖分類號:TP183文獻標識碼:A文章編號:1009-3044(2009)36-10443-02

Network Security Management

YANG Wei-zhong

(Shanxi Prouincial Expressway Construction Group CO， Xi'an 710054， China)

Abstract: the basic aim of network security management is to ensure availability of network and system， it involves many factors， such as personnel， hardware， software， data and documentation， laws and regulations， etc. But here we have to consider from the global network security management， but only from the point of technology introduced two kinds of typical network security management protocol. Network management， network management system for the agreement provides methods and network components. They support such as configuration management and audit and management function， the event log for diagnosis of network problems and provides tools.

Key words: network; security; management; protocol; audit

1 安全審計追蹤對確保任何網絡安全都起了重要的作用

它可以用來檢測一個安全策略的正確性，確認與安全策略的一致性，幫助分析攻擊，并且收集用于起訴攻擊者的證據。安全審計追蹤記錄了任何可疑的事件(可以產生一個安全警報)，也可以記錄許多日常事件，如建立和終止連接、使用安全機制和訪問敏感資源。同類或不同類的系統都可以檢測到被審計的事件，并由系統中的安全審計追蹤日志來維護。安全審計追蹤功能為將事件信息傳遞給維護日志并創建和恢復日志實體的系統提供了必要的支持。

在這里講述的主要標準是安全審計追蹤功能(1SO/IEC 10164-8)。因為管理一個安全審計追蹤日志的機制基本上與網絡管理中的管理任何其他類型的事件日志一樣。該標準依賴于以下兩個標準——事件報告管理功能(1SO/IEC 10164-5)和日志控制功能(1SO/IEC 10164—6)。

通知一個安全審計追蹤的事件的過程類似于產生一個安全警報報告的過程。它包括一些受管對象對一個M-EVENT-REPORT的調用。一個安全審計追蹤日志可以記錄事件類型參數指示的幾乎任何管理通知，包括ISO/IECl0164—7中定義的安全警報報告通知。

安全審計追蹤功能標準另外定義了兩個特殊的通知，分別與服務報告和使用報告對應。服務報告表明了與一些服務的提供、拒絕或恢復有關的事件。使用報告用于有安全意義的日志統計信息。傳遞的參數和這些事件類型基本上與安全警報報告中使用的一樣，其中包括任何M-EVENT-REPORT通用的參數和任何管理警報通用的參數。服務報告事件類型中定義了一個額外的參數，稱為服務報告原因，用于表明報告的原因。這個參數是一個ASN.1對象標識符，也就是說任何人可以定義并注冊其值。該標準還定義了一些通用的值:服務請求、拒絕服務、來自服務的回答、服務失敗、服務恢復和其他原因。

審計追蹤過程的控制和從安全審計追蹤中檢索實體都獨立于上面的通知過程。它們利用了定義在其他標準中的通用過程。事件報告管理功能(1SO/IECl0164—5)為兩個系統之間的聯系建立了一個長期的事件報告。日志控制功能(1SO/IECl0164—6)支持用于安全審計追蹤和其他目的的日志的創建和刪除以及這些日志記錄的檢索。

2 管理資源的訪問控制

網絡管理有它自己的訪問控制要求，有必要控制誰能調用管理功能，誰能創建、刪除、修改、或讀取管理信息。這樣的訪問控制在任何使用網絡管理協議的網絡中都是至關重要的，因為對網絡管理資源的破壞也就等于破壞了整個網絡。

ISO/IECl0164—9標準中講述了這種類型的訪問控制(訪問控制中命名了對象和屬性)。該標準給出了一個訪問控制模型，以及支持系統之間傳遞訪問控制信息所需要的信息對象定義，并使用了訪問控制框架標準(1SO/IEC 10181—3)中的術語和概念模型。包括各種訪問控制策略以及各種訪問控制機制(如訪問控制列表、能力、安全標識和基于內容的控制)。

訪問控制決策應用于管理操作的調用例如M-GET或M=SET。包括的體系結構的部件。發起者是管理系統(或系統中的管理員)，目標是受管系統的信息資源。一個目標可以是受管對象、受管對象的屬性、受管對象的屬性值或受管對象的行為。因此，可能為管理員提供了一個非常精確的控制級，在這個控制級上管理員可以為某一目的訪問某一管理信息。

基于訪問控制規則來決定是允許還是拒絕訪問請求。訪問規則本身可以表示成管理信息條目并且使用CMIP協議來管理(例如，讀或寫)。

訪問控制規則的三種不同類型是有區別的。一個安全區域權威機構根據特定的發起者或發起者類(例如，區域中可辨認的特定角色)用全局規則來保護區域中的所有對象。條目規則是用于特殊目標的特殊規則。當沒有合適的全局或條目規則使用時，可使用缺省規則來做訪問決策。

當有許多規則用于一個特定的訪問請求時，這些規則的優先級如下:

① 拒絕訪問的全局規則;

② 拒絕訪問的條目規則;

③ 允許訪問的全局規則;

④ 允許訪問的條目規則;

⑤ 缺省規則。

一個訪問控制規則能夠基于安全策略所要求的任何決策過程。一個規則的說明書中包含了許多要素，如:

① 訪問的許可:指明是與拒絕服務有關還是與允許訪問有關的規則;

② 發起者列表:可應用的發起者列表，以訪問控制列表、能力、或安全標簽形式表示;

③ 目標列表(只用于條目規則):可用的目標(例如，受管對象，屬性和屬性值)和作用在這些目標上的操作的列表;

④ 時間表:指明這些規則使用的時間點(如只能在規定的上班時間，或從星期一到星期五);

⑤ 狀態條件:指明使用規則的受管對象的屬性的狀態(例如，在系統處于診斷狀態時才可用);

⑥ 認證內容:當要認證發起者時，指明需要認證的等級。

訪問控制決策過程如下:首先，需要驗證伴隨訪問請求出現的任何訪問控制信息。需要標識發起者和目標使用的任何訪問規則的身份，并根據他們的全局/條目/缺省的意義進行歸組。然后根據優先級的限制來使用這些規則。

使用規則的方法取決于所使用的特定的訪問控制機制。在訪問控制列表機制中，將發起者的標識符與使用的訪問控制列表進行比較。在能力機制中，將發起者提供的能力與規則中陳述的能力進行比較。在基于標識的機制中，將與發起者相關的標識與規則所識別的標識集進行比較。還需使用基于內容的檢測，如時間表、狀態條件或認證級別。作出訪問決策后，就有其他一系列的行為發生。決策使用的信息需要暫時保存起來用于以后為相同的發起者作決策(這樣的信息被稱為保留的訪問控制決策信息或保留的ADI)。與目標有關的訪問控制信息需要修改，例如如果管理操作導致受管對象的建立或刪除。由于依賴于安全策略，因此也有必要生成一個安全警報和安全審計追蹤通知。

如果訪問被拒絕，則有各式各樣的方式來應答發起者。安全策略規定了下列類型的應答:指示出拒絕訪問的錯誤、沒有響應、錯誤的響應(例如，發起者看起來已經允許訪問)或中斷相關的應用。

為支持上面的過程，需要遠程管理(例如，創建、更新)來存儲用于決策訪問控制的信息。為此，標準提供了幾個受管對象類和屬性類型定義，用于表示訪問控制規則和支持信息結構。這些定義能夠使用ISO/IEC l0164—1中定義的過程來遠程控制訪問控制信息。

參考文獻:

[1] 李晉平.局域網絡絡組建和安全治理的實用技術[J].電腦開發與應用，2002，15(10):33-35.

[2] 王育民，劉建偉.通信網絡絡的安全——理論與技術[M].西安:西安電子科技大學出版社，2000.

[3] 陳煥東.計算機網絡安全及對策[J].瓊州大學學報，2003(5).