關于網絡安全管理中的策略沖突檢測與解決

李祥龍

（公安海警學院 浙江 315801）

0 前言

基于策略的網絡管理技術不同于傳統的網絡管理,它將網絡管理中的管理和執行分開,使得網絡管理更為智能化。但是,由于不可避免的策略沖突阻礙著基于策略的網絡管理技術的發展,如伺在基于策略的網絡管理中解決策略沖突間題,有效的檢測策略沖突的方法成為解決問題的關鍵。

1 沖突的發生

如果兩個策略的策略本身重疊,即兩個策略的主體,客體都重疊,并且賦予兩個策略相互矛盾的動作,這樣當兩個策略同時滿足條件時觸發執行,就會發生意想不到的情況。由于策略最終會被解釋為網絡操作命令,而兩個矛盾的策略必然會被解釋為兩個矛盾的命令,這樣設備就會不知所措,沖突由此產生。

因此,策略沖突的發生需要滿足幾個條件,一是策略間的策略本身即策略主體和客體重疊,二是策略間有矛盾的策略動作,三是策略間的執行時間彼此覆蓋或交叉,即兩個策略之間的開始時間和結束時間區域有重疊。

2 沖突的分類

2.1 按照沖突發生時策略的狀態

按照沖突發生時策略的狀態沖突分為以下2種:

(l)靜態沖突

靜態沖突是在策略制定以后,向策略庫存儲時候,就已經與庫中存在的策略發生沖突。靜態沖突是一種實際沖突,在靜態的時候就應該予以解決。

(2)動態沖突

動態沖突相對于靜態沖突,屬于一種潛在沖突,是指策略在制定完之后尚不能確定是否與庫中策略存在沖突,但可以確定與庫中的一些策略存在沖突的可能性。

2.2 按照策略作用對象間的關系

(1)內部策略沖突

內部策略沖突是當多個策略賦予同一個角色,這些策略間規定了一些相互矛盾的角色動作。比如如下兩個策略:

策略Pl:規定管理員每天在8:30AM一11:30AM,1:00PM一5:00PM時間內可以開啟用戶在線查看服務器。

策略P2:規定管理員在休息日不可開啟用戶在線查看服務器。

由于兩個策略Pl與PZ的主!客體相重疊,執行時間也相互交叉,因此兩個策略必定會發生沖突,這種沖突稱為內部策略沖突。

(2)外部策略沖突

外部策略沖突發生在一個用戶具有多重角色的時候。由于多重角色的存在可能引發角色間策略的沖突。為了說明外部策略沖突問題,考慮下面兩種策略:

Pl:只要審計文件沒有達到一定大小之前,審計員可以在任何時間查看審計記錄。

P2:管理員在任何時間都不允許查看審計記錄。

這樣對于一個具有審計員和管理員雙重角色的管理人員來說就可能產生外部策略沖突。

(3)角色沖突

角色沖突在某中意義上來說不屬于策略沖突,但是基于角色策略的軟件都隱含的存在角色沖突"角色沖突是指某個員工在一個團體中具有多個角色,而這些角色之間違反了網絡安全管理中事先定義好的權限分配,從而造成角色沖突。比如對于一個銀行網絡安全來說,不能對其內部一個員工賦予銀行的出納角色又賦予銀行的審計員角色,因為一個銀行員工同時具有出納和審計員兩個角色可能導致該員工修改審計服務器上的記錄,造成銀行數據不安全"這就是角色沖突。

3 沖突檢測

3.1 沖突檢測的目的

沖突檢測有兩個目的,一是發現策略間的實際沖突;二是策略間的潛在沖突,并記錄下來,以便跟蹤沖突潛在中的事件因素,一旦事件發生,掃描記錄體查找沖突是否存在。

3.2 沖突數據庫的建立

在不包括沖突檢測與解決模塊的基于策略的網絡管理軟件中,策略的一般定義是

其中TemporalorClassifier是指策略執行時間的一些特性,它包括10種類型。并且把這10種類型的集合稱為完備集。Policycomment指策略的觸發時間或者觸發事件發生后策略開始執行的時刻,PolicyFinish指策略的觸發時間或者觸發事件發生后策略執行結束的時刻,PolicyRecur指策略滿足某個條件時就反復執行。

通過策略間的TelllporalClassifier屬性組合,結合策略的Polieyeornment、PolicyFinish和PolicyRecur屬性列舉出所有的沖突形成沖突表,從而組成沖突數據庫。

4 解決沖突方法

4.1 特定策略優先級高于普通策略優先級規則

這個建立優先級的辦法可以很好的解決管理員與職員角色之間的策略沖突。由于為管理員角色制定策略的特殊性,可以認為當兩者發生沖突時,首先以管理員角色相關策略優先執行。

4.2 新策略優先級高于舊策略優先級

新策略優先級高于舊策略優先級規則也可以作為解決沖突的一種方法。這個解決辦法一般是通過策略的創建時間來決定他們的執行順序"創建時間最遲的策略一般比創建時間早的策略擁有更高的優先級。新策略優先級高于舊策略優先級規則在處理有些沖突時合適,但是在處理別的沖突時則可能不合適。例如前面所述管理員角色和一般職員角色例子,從前面的例子當中知道,對賦予管理員角色的職員會發生外部策略沖突,如果采用新策略優先級高于舊策略優先級來解決這個沖突時,兩個策略的創建時間都需要去檢查,當一個跟管理員角色有關的策略創建時間比與職員角色有關的策略創建時間早,那么,按照這個規則,職員角色相關的策略具有高優先級,而這明顯是違背這種策略沖突的解決。因為在任何情況下,管理員角色相關策略應該具有高優先級。

[1]劉暉,沈鈞毅,林欣.用CORBA創建電子商務系統[M].北京:希望電子出版社,2011.

[2]宋麗華，陳鳴.策略管理研究中的若干問題[J].解放軍理工大學學報,2012(3):6.

[3]李慶海,張德運,段中興,孫朝暉.基于角色的分布式策略管理規范設計與實現[J].西安交通大學學報,2011(6):38.