網絡安全管理平臺的研究與實現

2009-06-02 06:32:14馬亮

活力 2009年25期

馬亮

【摘要】平臺原型系統提供中間件級三層架構以支持異構組件,中間件和組件之間采用專用協議通信,平臺核心實現了策略驅動機制,并利用第三方策略管理工具進行策略語法和語義的檢查。

【關鍵詞】策略驅動;網絡安全;組件

1 引言

隨著計算機網絡應用領域不斷擴大和復雜性的日益增長,暴露出的眾多安全問題越來越令人擔憂。電腦病毒、黑客入侵等事件已屢見不鮮。為此,市場上出現了各個層面的網絡安全產品,如軟硬件防火墻、漏洞評估工具、入侵檢測系統、病毒掃描、和各種系統安全防護探針等。從抽象角度分析,硬件的網絡安全產品,軟件的安全應用,各種安全事件和安全數據的管理工具都可以看成網絡中的安全防護設備,簡化起見本文將其統稱為安全設備。它們在一定程度上保障了網絡環境的安全。然而,在絕大多數場合中這些安全產品是被孤立地使用的,安全產品供應商往往只是從某一個局部去解決網絡安全的部分問題,而很少從整體以及安全管理的角度去考慮。事實上,只有動態地從整體與管理的角度去考慮安全才有可能真正為用戶提供安全保障,因而有必要設計一個統一的安全策略,協調各個不同層面網絡安全資源的綜合性安全管理系統,以使各個層面的網絡安全產品融合成一整體。但是,安全設備的增多提高了網絡管理的復雜性卜,由此網絡安全管理的概念應運而生。所謂網絡安全管理就是管理以上所提到的來自不同廠商不同作用范圍的網絡安全硬件、安全應用進程、網絡安全數據等。[1]

設計了一個基于策略驅動的網絡安全設備聯動管理平臺的原型系統。下面我們將首先分別介紹安全設備和網絡安全聯動管理,并在后面的章節中具體介紹我們設計的網絡安全管理平臺。

2 網絡安全管理平臺的框架

網絡安全管理平臺的設計目的是提供一個可擴充的體系框架,在這個框架下被管理節點的功能可以根據管理的需要增加或者刪減,從而達到管理地靈活性,可擴充性,分布式,同時簡化和降低管理復雜度。

基于對管理平臺的各種技術和功能的要求,我們設計了一個分布式的多節點系統。系統中存在著以下幾種角色:管理節點,安全組件,核心控制臺,策略引擎和安全通信通道。

管理平臺希望獲得管理靈活、方便的性能,我們提出了基于策略的管理方式。策略體現網絡安全管理員的管理意圖,描述當前網絡的安全操作和安全性育昌。

通過以上設計,網絡安全管理平臺應該能夠達到通過對現有網絡安全設備簡單包裝即可嵌入本文設計的網絡安全管理平臺,達到可集成當前存在的網絡安全資源遵照安全平臺規范設計的安全組件可以在網絡內部平滑的流動,從而達到管理可擴展性和動態性符合管理平臺規范安全組件的特定功能可以調用其他組件或者被其他組件調用,達到安全能力互補提高系統可存活性的目的。

在安全管理平臺中,安全管理策略可以理解為網絡管理員的管理意圖。這里可能有兩類情況,其一是經一定的觸發安全事件而執行的動作以保證大型涉密網絡安全。觸發源來自安全組件的報警,執行動作由具備相應功能的安全組件或設備,這一類稱為系統響應策略或聯動策略。另一類是為了完成系統交互功能,網絡管理員設定的一些網絡安全管理命令,它通常包括管理動作,管理對象,管理方法等兒個部分,這一類可稱為安全管理策略或功能策略。管理策略可以描述為安全管理策略={ START STOP LOAD UNLOAD }+安全管理組件+管理域,即在一個管理域內安裝、卸載、啟動或停止一種安全管理組件。例如,在所有Linux服務器上安裝一個Anti sniffer軟件,所有Linux服務器是一個管理域、Anti sniffer軟件是一個安全管理組件,安裝或啟動就是一個管理方法。

3 管理平臺的消息機制

消息機制下的系統具有可擴充性強,分布式甚至對等處理等優點。消息在網絡中可以被以中間節點全部轉發、部分轉發、部分處理、全部處理等多種方式使用。如果消息、能夠采用標準的消息格式,則系統中還可能兼容大量的不同實現方式的中間節點。在網絡安全管理中,對大量來源的資源的整合、兼容是非常重要的,如論文開始所述,正是由于網絡安全的復雜性和多樣性才產生所謂的網絡安全管理的概念。同時,規范化的消息能夠幫助系統適應復雜的網絡拓撲結構,因為,中間節點的轉發功能實際上相當于IP網絡中的路由器的概念,網絡中大量存在具有轉發能力的管理節點l相當于大規模網絡中存在大量的路由器)使消息可以在復雜拓撲的網絡中正確的被發送到指定的位置。

網絡安全管理平臺原型系統的數據流是采用消息模式,系統的絕大多數行為由消息驅動產生。網絡安全管理平臺所有傳輸的消息都是采用XVIL格式。通訊數據經過加密和認證的安全通道傳輸。

在網管平臺原型系統中,由于系統數據傳輸采用EVIL,格式,所以,XML文件的解析成為系統消息機制的核心問題。實踐中我們采用C DOM API作為XML Parser的基礎。

平臺的消息通訊過程中,Core Manager同Agency以及Agency之間的交互采用平臺消息的格式。傳送雙方一的節點主要處理依據是數據頭(

)中的Message巧pe標簽值。對應于不同的標簽,消息體()中包含了不同的數據,同樣節點的處理方一式也不相同。同時,底層通訊時分別采用了RC4加密和MDS認證技術,保證通訊內容的安全。本節將具體介紹通訊的安全機制以及整個通訊過程中的消息機制。

平臺啟動后,主控端和分控端經過認證后,分控端發送注冊報文向主控端注冊資源,主控端下發啟動策略并鏡像聯動策略倒分控端。內容檢測探針一啟動后,當發現有泄密事件發生后,添加到平臺報警隊列中。策略引擎輪詢報警隊列,當報警隊列不空時,分析相應事件進行策略匹配,從而完成一次聯動過程。

4 總結

網絡安全管理系統及其原型系統采用XML,語言作為系統平臺的統一策略語言,定義了語言中的各種資源描述規范。使用XML,格式的消息作為系統平臺的基本消息格式,定義在策略收發過程和系統反饋過程中的消息處理模式。實現了一個基于策略的網絡安全管理原型系統,原型系統能夠分析策略語言的內容,按照頂先定義的方式“推送”策略到策略執行點。原型系統基本可以達到簡單的策略編寫就可以管理網絡中的不同來源的設備集成管理,達到聯動的網絡安全管理基本目的。

【參考文獻】

[1] 張少俊,李建華,鄭明磊.基于策略的網絡管理.計算機工程,v.29. n.16, p127-129,2003

[2] 朱乾林. 基于策略驅動的網絡安全管理平. 哈爾濱工業大學,2006.6