（计算机科学与技术专业论文）基于web+service的安全资源集中管理.pdf

国防科学技术大学研究生院学位论文 摘要 随着网络应用的不断发展，网络中出现了急剧增加的服务以及新技术，这些新事物一 方面满足应用的需求，但同时也增加了出现安全漏洞和网络攻击的机会，迫使不断增加和 升级安全设备。安全设备的增加导致对网络安全设备的集中管理成为网络安全性的重要部 分。 各种安全设备的安全资源信息主要包括安全事件信息( 各种安全设备产生的安全事 件) 、状态信息( 各种安全设备运行状况) 、配置规则信息( 各种安全设备的配置规则信息) 等等。安全设备的类型和数量的不断增多，造成了安全资源描述形式各式各样，使得网络 安全集中管理工作越来越复杂。本文提出了一套建设安全集中管理中心时如何为安全集中 管理中心提供统一、标准的安全资源的解决方案，实现了对安全资源的集中化、标准化， 并将对这些标准化后的安全资源的操作描述为服务，管理中心通过使用这些服务实施对安 全设备的监管。瞧好的设计有效的屏蔽了安全设备的差异性，提高了安全管理中心功能模 块的可操作性。 本文主要介绍了安全资源集中管理系统的面向服务的设计思想，系统框架结构及其实 现，提出了一套安全资源描述标准。 关键词：安全资源集中化标准化面向服务 国防科学技术大学研究生院学位论文 a b s t r a c t w i lt h ed e v c l o p m e n to fn e t w o r ka p p l i c a t i o n ，c u r r e mn e t 、v o r ki n s i d es e r v i c ea n dn e w t e c l l i l i c a la d o p t i o n sp l a yi n c r e m e n t ，s a t i s f i e dt h ea p p i i e dn e e do n 也eo n eh a i l d ，o nt h eo 也e r h a n d j n c r e a s e dt h eo p p o r t u i l i t yo fs a f el o 叩h o l ea n dn e t w o r ka t t a c k ，f o r c i n gt oi n c r e a s ea n du p d a t e s e c u r i t yd e v i c e sc o n t i n u o u s l y ，t h ei n c r e m e n to fm ep m v i s i o n sf o rs e c u r i t yc a u s e sm ei m e g r a t e d m a n a g e m e mo f t h e mb e c o m e sa ni m p o r t a n tp a r to f n e t 、v o r ks e c u r i 锣 w i t ht l ei n c r e a s eo fs e c u r i t yd e v i c e s ，m ef o m l a to fs e c u r i t yr e s o u r c ei sw m e d ，s e c u r i t y i n t e g r a t e dm a n a g e m e n tb e c o m e sm o r ec o m p i e x t h ep 印e r sa i mi st op u tf o n v a as c h e m eo f o 疗b r i n gs t a n d a r ds e c u d t yr e s o u r c ei nb u i l d i n gas e c u r i t yi n t e g r a t e dm a n a g e m e mc e n t e ti t i m p l e m e n t st h ei n t e 掣a t i o na 1 1 ds t a r l d a r d i z a t i o no fs e c u r i t yr e s o u r c e t h eo p e r a t i o so fs t a l l d a r d s e c 嘶t yr e s o u r c e a r ed e s c 曲e da ss e r v i c e s s e c 嘶t ym a l l a g e m e n tc e n t e rm a l l a g e ss e c u r i t y d e v i c e sb yu s i n gt l l e s es e r v i c e s w e l ld e s i g l ls h i e l d sm ed i 腩r e n c eo fs e c u r i t yd e v i c ee 艉c t u a l l y a n de n h a i l c e st h cm a n e u v e r a b i l i t yo f 如n c t i o nm o d u i ei ns e c u r i t yi n t e g r a t e dm a l l a g e m e n t t h i sp a p e ri n 仃o d u c e st h es e r v i c e o r i e m e di d e ao fs e c u r i 哆r e s o u r c ei n t e 孕a t e dm a n a g e m e n t ， t h es y s t e mf h m e w o r ka n dt l l ei m p l e m e n t a _ t i o n a tt h es a m et i m e ，血i sp a p e rp u tf o n v a r da c r i t e r i o no fd e s c r i b i n gs e c 戚t yr e s o u r c e k e yw o r d s ：s e c 诚t yr e s o u r c e ，i n t e 掣a t i o n ，s t a i l d a r d i z a t i o n ，s e r v i c e o r i e n t e d 国防科学技术大学研究生院学位论文 图目录 图1 1 三层管理架构2 图1 2 二层管理架构3 图1 3 f i r e w a l lb u i l d e r 体系结构6 图1 4 三级安全管理架构的概念模型8 图2 1w 曲s e r v i c e 实现架构一1 2 图2 2 直接面向具体管理接口的设备接入方案1 7 图2 3 面向统一接口的设备接入方案1 7 图2 4 安全集中管理平台系统整体结构1 8 图2 5w 曲s e r v i c e 理想接入方式1 9 图2 6 服务代理模型2 0 图2 7 服务模型2 0 图2 8 服务代理实现方案图2 l 图3 1 i d m e f 数据模型中各个部分之间的关系2 5 图3 2 安全设备属性配置文件中各个标签之间的关系2 9 图3 3 安全事件数据库e _ r 图3 3 图3 4 配置规则数据库e r 图3 4 图4 1 安全事件管理流程3 6 图4 2 适配器的位置3 7 图4 - 3 适配器四层结构3 7 图4 - 4 可重用的安全事件分析层算法实现结果例图3 9 图4 5 状态信息管理流程4 0 图4 6 配置规则信息管理流程4 l n 里堕型兰苎查查兰塑塞生堕兰堡丝塞 表3 1 安全审计结果 表目录 2 7 独创性声明 本人声明所呈交的学位论文是我本人在导师指导下进行的研究工作及取得的研 究成果。尽我所知，除了文中特别加以标注和致谢的地方外，论文中不包含其他人已 经发表和撰写过的研究成果，也不包含为获得国防科学技术大学或其它教育机构的学 位或证书而使用过的材料。与我一同工作的同志对本研究所做的任何贡献均己在论文 中作了明确的说明并表示谢意。 学位论文题目： 基王坠i ! ! i ! ! 鲤塞全逄塑篡主筻堡 学位论文作者签名：望! ! 垒嗑 日期：埘年，月疗日 学位论文版权使用授权书 本人完全了解国防科学技术大学有关保留、使用学位论文的规定。本人授权国 防科学技术大学可以保留并向国家有关部门或机构送交论文的复印件和电子文档，允 许论文被查阅和借阅；可以将学位论文的全部或部分内容编入有关数据库进行检索， 可以采用影印、缩印或扫描等复制手段保存、汇编学位论文。 ( 保密学位论文在解密后适用本授权书。) 学位论文题目：基王坠i ! ! i ! ! 鳗塞全逢疆篡生筻理 学位论文作者签名：鲎堕嗑 日期：知蓝年，月，f 日 作者指导教师签名：奎垩z 叁幽日期：甜年，月，7 日 国防科学技术人学研究生院学位论文 第一章绪论 1 1 课题背景 目前，在网络应用的深入和技术频繁升级的同时，非法访问、恶意攻击等安全威胁也 在不断推陈出新，愈演愈烈。防火墙、v p n 、i d s 、防病毒、身份认证、数据加密、安全审 计等安全防护和管理系统在网络中得到了广泛应用。虽然这些安全产品能够在特定方面发 挥一定的作用，但是这些产品大部分功能分散，各自为战，形成了相互没有关联的、隔离 的“安全孤岛”。各种安全产品彼此之间没有有效的统一管理调度机制，不能互相支撑、 协同工作，从而使安全产品的应用效能无法得到充分的发挥。从网络安全管理员的角度来 说，最直接的需求就是在一个统一的界面中监视网络中各种安全设备的运行状态，对产生 的大量安全事件信息和报警信息进行统一汇总、分析和审计，同时在一个界面完成安全产 品的升级、攻击事件报警、响应等功能。但是，一方面，由于现今网络中的设备、操作系 统、应用系统数量众多，构成复杂性、异构性、差异性非常大，而且各自都具有自己的控 制管理平台，网络管理员需要学习、了解不同平台的使用及管理方法，并应用这些管理控 制平台去管理网络中的对象( 设备、系统、用户等) ，工作复杂度非常之大【“2 1 。另一方 面，应用系统是为业务服务的，企业内的员工在整个业务处理过程中处于不同的工作岗位， 其对应用系统的使用权限也不尽相同，网络安全管理员很难在各个不同的系统中保持用户 权限和控制策略的全局一致性。另外，对大型网络而言，管理与安全相关的事件变得越来 越复杂，网络管理员必须将各个安全设备、系统产生的安全事件信息关联起来进行分析， 才能发现新的或更深层次的安全问题。所谓的网络安全管理就是管理来自不同厂商不同作 用范围的网络安全硬件、安全应用进程、网络安全数据等1 3 “、5 】。因此，用户的网络安全 管理需要建立一种新型的整体网络安全管理解决方案安全集中管理平台，来总体配 置、调控整个网络多层面、分布式的安全系统，实现对各种网络安全资源的集中监控、统 一策略管理、智能审计及多种安全功能模块之间的互动，从而有效简化网络安全管理工作， 提升网络的安全水平和可控制性、可管理性，降低用户的整体安全管理开销。 1 2 面向安全设备的网络管理的特殊性 1 2 1 传统网络管理的功能需求 在o s i 参考模型中，将网络管理的功能需求划分为5 大类，即故障管理、配置管理、 帐务管理、性能管理和安全管理。常用的大中型网管软件如h po p e n v i e w 、i b mt i v o l i n e t v i e w 、3 c o ms u p e n ，i s o r 、c i s i c ow j r k s 、s 叽n e t m a i l a g e r 等都实现了故障管理、配置 管理、性能管理及部分的帐务管理和安全管理【6 1 。 第l 页 国防科学技术大学研究生院学位论文 从网络管理者的角度，一般的网络管理软件应该具有如下的功能特点： 能够实现故障管理、配置管理、性能管理及部分的帐务管理和安全管理功能。 应该具有一定的通用性，广泛支持各种网络设备，覆盖现在的和新的软硬件技术。 可方便地实现集中或分布式管理( 即提供可伸缩的二层或三层管理架构) 。 保护管理信息的安全和被管理设备的安全，避免重要信息和用户权限被窃取。 自动发现，自动拓扑，并可支持主动发现作为补充。 提供合理的表示方法，对管理信息进行分类或分层处理，使用户可以方便地使用 和迅速地定位。 保证管理信息的及时性，尤其是t r a p 事件或i n f o r m 事件，可对t r a p 事件进 行自动分类或过滤处理。 对监控信息提供b a s e l i n e 控制，数值达到规定闽值则报警。对危险级别进行分 类，达到一定级别就更换不同的颜色，给用户以直观的判断。 提供必要的网络诊断工具，使用户可以不必借助其他工具就可以完成管理过程。 1 2 2 通用网管软件的体系结构 目前国外比较流行的网管软件包括h po p e n v i e w 、i b mt i v o l in e t e w 、3 c o m t r a l l s c e n dn e t w o r ks u p e i s o r 、c au n i c e n t e r 、s u nn 甜订a 1 1 a g e r 、f u j i t s us y s t e mw a l k e r 、 c a b l e t r o nn e t s i g h t 、n o v e u 网络管理方案m a i l a g e w i s e 、c i s c o 网管方案等，国内的网管软 件还处于刚刚起步的阶段，相关的设备如华为的r m s 网管系统、大唐的g h v i e w 网管 等电信网管系统及其他如北京游龙科技的s i t e v i e w 和t c l 的t c l - v i e w 等网管系统。 这些通用的网管软件一般都采用二层l 7 8 j 或三层管理架构吲，如下图所示。 图1 1 三层管理架构 第2 页 国防科学技术大学研究生院学位论文 图1 2 二层管理架构 在二层管理架构中，管理中心和管理控制台位于同一台设备中，从不同的被管网络实 体中收集信息，其优点是结构简单、很容易部署，缺点是无法实现分布式管理。在三层管 理架构中，由网管中心负责从各个被管理网络实体中收集信息，分散于网络中各个部位的 管理控制台可通过用户登陆到管理中心，对各个管理设备进行管理，其特点是可实现分布 式管理。 无论是二层还是三层管理架构，在网管接口通信协议方面，都是一致的。目前，已普 遍接受的是基于q 3 接口的c m i p 、基于c o r b a 接口的i i o p 以及基于h l t e m e t s n m p 框 架结构的s n m p 。每种类型的接口都有对应的信息模型，与以上三种接口相对应，分别采 用g d m o a s n 1 、i d l u m l 和m i b i i 方式进行信息模型的描述。通用的网管软件通常都 支持s n m p 协议，些大型的电信级网管软件如h po p e n v i e w 和i b mt i v 0 1 in e t e w 等 还支持c m i p 协议。 在安全方面。因为s n m p v l ，v 2 协议对安全性方面考虑的比较少，而s n m p v 3 又是 最近两年刁趋向于成熟，大多数通用网管软件标准版本中都没有对s n m p v 3 的支持，即 使实现也没有完全利用s n m p v 3 的优势。所以，通用网管软件在安全性方面实现的不是 很理想，对管理信息和被管理设备来说，都存在着安全隐患，可能导致管理信息和用户信 息被窃取。h p o p e n e w 提供了s n m p s e e 试t y p a c k l 5 4 作为h p o p e n v i e w 支持s n m p v 3 的补丁包，i b mt i v o l in e t e w 也提供了s n m p v 3a g e n t sw i t hn e t e w 作为补丁。虽然部 分通用网管软件已经开始支持s n m p v 3 ，但无论是采用两层架构还是三层架构，它们的 安全策略都是分散到各个管理设备上的，而不是由网管软件集中分发的，这种方式不利于 集中的安全管理，所以留下了安全隐患。 总体来说，通用网管软件基本满足了o s i 网络管理的功能需求，全部或部分实现了前 面提到的网络管理软件应具有的九个功能特点。 1 2 3 面向安全设备的网络管理的功能需求 随着信息网络的飞速发展，越来越多的涉密信息都从传统的媒介转移到网络上存储和 第3 页 国防科学技术大学研究生院学位论文 传输，使网络安全成为目前最迫切的需要人们去关注的问题，大量的关于网络安全的新技 术不断地产生，网络安全设备也越来越多样化，鉴于网络安全设备同其他网络设备的不同 和人们对网络安全越来越高的需求，对网络安全设备的管理有着特殊的功能需求。因为网 络安全是最近几年人们才开始重视的问题，所以，在技术方面，还在不断地更新，这一点， 传统的通用网管软件因为其通用性和庞大的规模而无法跟上发展的脚步，因此它就无法更 好地满足安全设备的网络管理需求。 从安全的角度考虑，除一般网络管理的功能需求外，对安全设备的网络管理还有如下 的功能需求1 8 】： 安全策略的集中分发和管理( c s p m ，c e n t r a l i z e ds e c u r i t yp o l i c v m a n a g e m e n t ) 。从安全的角度考虑，所有安全策略都应该在管理中心集中分发， 包括用户权限的分配、密钥的分发等，而不应该分散执行，否则就会因为过 于分散而无法管理，导致安全问题。 安全的集中监控和处理( r t s a ，r e a 卜t i m es e c u r i t ya w a r e n e s s ) 。从网络管 理者的角度考虑，从管理中心应该可以看到所有安全设备的当前运行状态和 安全状态，反映整个防御体系的整体运行状态和安全状态。 安全联动机制( c m ，c o n t a i nm e c h a n i s m ) 。安全设备之间需要具备有中心控 制或无中心控制的安全联动机制，即当i d s 发现在某网段有入侵动作时，它 需要通知防火墙阻断此攻击。 配置与补丁管理( c o n f i g u r a t i o na n dp a t c h i n g n a g e m e n t ) 。企业用户可以 通过对己发现的安全缺陷快速反应，大大提高自己抵抗风险的能力。 统一的权限管理( p r i v i l e g em a n a g e m e n ta c r o s st h ee n t e r p r i s e ) 。通过完 善的权限管理和身份认证实现对网络资源使用的有效控制和审计。 设备管理( d e v i c em a n a g e m e n t ) 。属于传统的网络管理功能的继承，实现对安 全设备的重点管理。 上面的这些针对网络安全设备的管理功能需求，通用网络管理软件是无法满足的，即 使采用s n m p v 3 作为通信协议，因为其架构和实现方法的不同，也无法满足这些安全管 理需求。 1 3 安全资源集中管理的功能需求及发展动态 1 3 1 安全资源集中管理的功能需求 安全集中管理平台建设的目标就是通过对网络中部署的各种网络安全设备和安全软 件的集中监管，以为网络用户提供更好的安全服务为中心，把一个个原本分离的信息安全 孤岛联结成有机、协作、互动的一个整体，从而实现网络安全集中管理过程中的实时状态 监测、动态策略调整、综合安全审计以及恰当及时的应急响应，有效提升用户对网络的可 第4 页 国防科学技术大学研究生院学位论文 管理性。 安全资源集中管理的功能需求是专门针对安全集中管理平台建设而提出的。目前由于 安全领域中没有对各种安全设备的安全资源提出一套描述标准，因此在对各种安全设备的 安全资源信息进行综合安全审计前，需要对安全资源信息进行统一化、标准化，使得安全 管理员可以集中地管理标准化后的安全资源。 安全资源指的是与安全集中管理相关的安全设备上的网络资源，包括安全事件信息 ( 各种安全设备产生的安全事件) ，状态信息( 各种安全设备运行状况) ，配置规则信息( 各 种安全设备的配置规则信息) 等。如何将异构的安全资源信息纳入平台接受管理是安全集 中管理平台建设的基础。安全资源集中管理实现的最终目的是消除网络中现有的安全设备 中的与安全集中管理相关的安全资源表述的差异性，给前台安全管理中心提供一个统一、 标准的安全资源，建立套安全资源描述标准。 1 3 2 国内外现状 在2 0 世纪9 0 年代中后期，随着互联网的发展以及社会信息化程度越来越高，各种安 全设备在网络中的应用也越来越多，市场上开始出现了独立的安全管理产品。相对而言， 国外计算祝网络安全管理的需求多样化，起步较早，已经形成了较大规模的市场。有一部 分产品逐渐在市场上获得了用户的认可。近年来，国内厂商也开始推出网络安全管理产品， 但一般受技术实力限制，大多是针对自己的安全设备开发的集中管理软件，安全审计系统 等。 由于各种网络安全产品的作用体现在网络中的不同方面，统一的网络安全管理平台必 然要求对网络中部署的安全设备进彳亍协同管理，这是统一安全管理平台的最高追求目标。 但这并非是一个单纯而简单的技术问题，它涉及到行业标准和联盟。目前，已有部分厂商 开始操作一些相关工作。防火墙厂商c h e c k p o i n t 公司有自己的o p e n s e c 协议，天融信有 t o d s e c 协议，这些安全设备管理产品和网络管理软件类似，对安全设备的信息采集主要 建立在s n m p 基础上，而特定的信息还需要其他网络协议的支持。c a 公司的e t r u s t 产品 对安全策略管理支持比较成功。i b m 的t i v o l i 套件中的r i s km a n a g e r 软件是目前比较优 秀的风险管理软件。另外，联想的l e a d s e cm a n a g e r 在安全设备的安全策略管理、安全风 险控制以及集中安全审计方面都做了十分有效的工作。绿盟的e s p 也对其自主的入侵检测 产品实现统一的安全管理、策略管理及审计分析工作。 由于各种安全设备的安全资源表述的差异性，给安全集中管理带来了很多麻烦，为了 给前台安全管理中心提供一个标准化的安全资源信息，就需要在对安全资源信息实现分 析、报表呈现等等功能前，屏蔽各种安全设备的安全资源表述之间的差异性。下面主要介 绍两款有代表性的安全产品，他们有着良好的设计特点，可以有效屏蔽安全设备的差异性， 提升了安全集中管理的管理功能模块的可操作性。 f i r e w a l lb u i l d e r 【”】是一个多平台的防火墙配置和管理工具，它包含了一个图形用 宝昼画煎g i ) 塑二丕到盏圣挫随厶整垩台途让的筮略翁逄墨! e i ! ! ! 垒! ! b ! i ! g ! ! 丞旦工西 第5 页 国防科学技术大学研究生院学位论文 向对象的设计方法，它帮助安全管理员来管理、维护一个网络对象数据库和允许使用 d r a g a n d d r o p 操作方法进行策略编辑。f i r e w a l lb u i l d e r 目前支持i p t a b l e s 、i p f i l t e r 、 o p e n b s dp f 和c i s c op i x 。在图形用户界面中的策略创建模块中，f i r e w a l lb u i l d e r 能 够为任何所支持的防火墙生成配置文档，这种方式不仅为异构环境下的一致性策略管理解 决方案做准备，同时也为可行的移植路径做准备。f i r e w a l lb u i l d e r 允许使用同一个网 络对象数据库来对多个防火墙进行管理，对一个对象的改变马上被映射到使用这个对象的 所有防火墙的策略，安全管理员只需要重新编译和安装策略到实际的防火墙。在f i r e w a l l b u i l d e r 中，安全管理员使用到的只是一个防火墙和n a t 规则的一个抽象形式，软件有效 的屏蔽了特殊的目标防火墙的细节，并帮助安全管理员将重点放在安全策略的实现上。反 向软件组件或者策略编译器使用网络和服务对象形式信息表示策略规则中的参数，并为目 标防火墙生成清楚地合成代码。使得安全管理员不用熟记被管理防火墙的细节和一些限制 性。策略编译器还会在生成的策略被调度前，进行策略规则正确性检查。 图1 3f i r e w a l lb u i l d e r 体系结构 北京保利龙马科技有限公司生产的s e c v i e w 集中监控平台”【l 的网络安全和管理解决 方案简化了网络安全管理的数据模型。来自网络和安全管理设备的事件会存贮到一个通用 的数据库中，然后根据s e c v i e w 软件中设置的不同安全策略和规则对这些数据进行分析。 而企业网络的管理员在网络运营管理中心( n o c ) 的不同位置，都可以通过s e c v i e w 软件 提供的单一的基于浏览器接口制定设备管理策略和向网络安全管理团队提供网络安全管 理信息。s e c v i e w 对安全资源的标准化过程主要依靠数据采集模块和数据管理器模块来完 第6 页 国防科学技术大学研究生院学位论文 成。数据采集模块负责实时数据的采集和处理，数据采集模块实现三个功能：数据采集、 数据转换、和数据管理器模块的通信。数据采集模块是数据采集模块和被管理设各的接口， 它采用多种方式( 包括：a p i 接口函数、本地数据的直接采集、在本管理设备上安装采集 程序) 和被管理设备进行数据交互。目前采用的技术方式包括：c i s c os d k 、c h e c kp o i n t 0 p s e c 、安全标准接口( 如：i d w g 的i d m e f 通用接口) 、网络管理标准( 如：s n m p ) 。数 据转换模块负责把采集的数据的过滤并转化为数据管理模块定义的标准数据格式，为迸一 步的数据整理分析做准备。通信模块负责把数据采集模块处理后的数据传送到数据管理模 块，同时也把中心控制台发布的命令传送到数据采集模块。数据管理器模块负责数据的存 储和实时数据的管理，并把实时数据提供给控制平台模块。目前，数据管理器模块采用 m y s q l 、p g s q l 、o r a c l e 等作为后台数据库，进行信息的存储和调用。对s n m p 、s y s l o g 、 e v e n t l o g 、a g e n t 和p o s t 模块收集的数据进行统一的存储和查询。对于用户的自定义和 智能内置的报警进行数据筛选和查询。 1 4 基于w e bs e r v i c e 的安全资源集中管理主要研究方向 通过前面对一般网络设备的管理功能需求和面向安全设备的网络管理功能需求的比 较，可以清晰地看到，对安全设备的网络管理与一般的网络设备有着很大的不同包括安 全策略的集中分发和管理、安全事件的集中监控和处理、针对安全设备的特殊性质的特殊 处理、防御体系的整体安全等，这些性质是传统的通用网管软件所无法达到的，如果采用 传统的通用网管软件，就会大大降低安全设备的效能，降低整个防御体系的安全性。所以， 必须研究一种新的专门针对安全设备的网络管理方法，来弥补通用网管软件的不足，为了 满足前面提到的网络安全设备的管理功能需求、设计一套满足要求的针对网络安全设备的 管理软件。我们参考了文献【1 2 “1 对网络管理的各种改进方案，设计了一个如下图1 4 所示 的三级管理架构的概念模型i z 2 、“j ，它可以很好地满足前面提出的面向安全设备的网络管 理功能需求。基于w e bs e n ，i c e 的安全资源集中管理主要研究方向就是在该三层安全管理 模型下如何实现各种安全设备的有效接入，将各种安全设备的安全资源集中化、标准化， 并将对这些标准化后的安全资源的操作描述为服务。 第7 页 国防科学技术大学研究生院学位论文 图1 4 三级安全管理架构的概念模型 三级安全管理架构从逻辑上分为管理对象、管理域服务器和管理终端三个部分，这三 个部分整体组成了一个安全管理域。 1 4 1 安全管理域 安全管理域代表了一个空间，这个空间包含管理对象、管理域服务器、管理终端三种 类型的事物，管理员进入这个空间后，其管理行为都是通过这三种类型的事物的相互作用 而发生，并且所有管理行为都不超出安全管理域所代表的空间。 一个安全管理域就是一个整体的安全防御体系，它具有整体的安全防御策略。在安全 管理域内，所有的管理内容都是以管理域服务器为中心，它是整个安全管理域的独裁者， 它控制着整个安全管理域内所有的安全策略、权限分配和每一个交互的指令。 1 4 2 管理对象 管理对象是我们需要管理的最终目标，它可以是某种物理设备如防火墙、入侵检测系 统、防病毒邮件网关等等安全设备，它也可以是某种逻辑上的功能单元如访问控制单元、 流量控制单元、负载均衡单元、用户认证单元等，甚至它也可以是运行在客户机的单点安 全系统，不同的管理对象共同组成了管理对象域。对象的管理信息可以抽象为某种数据表 达形式，相同的管理对象具有相同的管理信息结构，但结构中的属性不一样，它们可以看 成管理信息结构的多个实例。 对管理对象的管理行为分为两种：第一种，对目标对象的管理信息结构进行读写操作， 这种情况下管理对象是被动的；第二种，管理对象主动的向管理域服务器报告某种事件的 发生或状态的改变。 第8 页 国防科学技术大学研究生院学位论文 在三级管理模型中管理对象之间是不能直接管理其他同级对象的，管理域服务器是它 们管理信息的中枢，管理对象需要向管理域服务器注册其管理信息，即在域服务器上创建 自己的实例，这样其管理信息对管理终端和其他管理对象才是可见的。 1 4 3 管理域服务器 管理域服务器的是整个三级管理模型的中心，它的职能主要有以下几个方面： 它是整个网络安全体系管理信息架构的集合，它统一的把可管理的安全资源信息表达 给管理终端，并把来自于各个终端的对安全资源信息的访问，根据一定的策略重新定向到 对应的管理对象。因此从管理终端的角度看，管理域服务器集中了所有它可以管理的安全 资源信息，管理域服务器就是一个巨大的管理对象，其中也包括它自己本身的管理信息对 象。 管理域服务器集中管理域中的管理员用户，统一对管理员用户进行身份认证和管理信 息资源的访问控制。访问控制的策略是基于角色的，角色由用户组定义，系统中有预先定 义好的用户组和它相应的权限，超级管理员可以修改也可以定义新的组。 管理域服务器作为安全域中的安全事件的响应中心，负责接受管理对象的安全事件， 并可根据预先制定的策略对安全事件做出响应，响应应该包括：记录、报警或者回应，同 时管理域服务器会根据策略和权限通知相应的管理员或者在线的管理终端，对其他的管理 对象进行相应的调整，即联动。 管理员可以制定策略【2 ”，让管理域服务器定时采集管理对象的某些具有统计价值的安 全资源信息，形成历史记录保存在本地安全数据库中，并提供相应的管理接口让管理终端 提取历史记录。 管理域服务器可以作为内部安全子网用户的安全服务平台，为用户提供诸如：客户端 安全软件的安装升级、客户端安全策略的分发等服务。 1 4 4 管理终端 管理终端是以某一管理员的名义对管理对象和和管理域服务器进行管理，它有在线和 离线两种状态。管理员属于某一角色，不同角色对管理信息有不同的访问权限，统一由管 理域服务器进行控制。 管理终端直接面对管理员用户，需要提供易用的、图形化的界面，对管理信息进行格 式化的输出，并按照一定的界面逻辑对管理员的输入进行处理。 同时在线的管理终端可以接受管理域服务器转发的管理对象报告的t i 乙p 和 i n f o r m 信息，以实时提示管理员用户当前所发生的事件。 管理终端有三种：通用s n m p 终端、专用管理终端、w 曲浏览器。 为实现前面描述的三级安全管理架构的概念模型，我们对目前已经在使用和正在研究 的网络管理技术进行了深入的研究和试验，通过对各种网络管理技术的优点和缺点进行分 第9 页 国防科学技术大学研究生院学位论文 析，最终，我们选择了在技术上已经比较成熟的a g e n t x 架构。利用a g e n t x 的架构 可以架设一套能够满足前面提到的网络安全设备的管理需求的网管软件。 1 5 本文的组织结构 本文共分为六章。 第一章绪论。本章首先介绍了当前网络环境下安全集中管理的重要性，接着通过与传统网 络管理的比较，说明面向安全设备的网络管理的特殊性及其安全资源集中管理的功能需 求，最后结合面向安全设备的网络管理的特点提出了一个安全集中管理的三层结构模型， 并详细介绍了各层的主要功能。 第二章面向服务的安全资源集中管理体系结构。本章结合w e bs e r v i c e 和s o a 技术，设 计了一个面向服务的针对众多安全设备的体系结构，并详细介绍了在该结构下，服务端和 客户端的实现过程。服务端和客户端之间传输的安全资源均是经过标准化后的处理。 第三章安全资源的标准化。为了给前台安全管理中心提供一个标准化的安全资源信息，就 需要先期对各种安全设备的安全资源统一化、标准化，将安全设备原有的管理接口的标识 信息统一录入到安全设备属性配置文件中。与此同时，根据安全资源的标准化配置文件， 建立了相应的安全资源数据库。本章相对于第二章的内容，是为最终给出标准化的安全资 源信息之前而作的一些配置工作。第四章的安全资源的采集各模块通过读取本章设计的安 全设备属性配置文件实现安全资源的采集和标准化。 第四章安全资源的采集。在完成安全资源集中管理的体系结构的建立和安全资源的标准化 工作后，本章主要介绍了在整个体系结构下，利用安全设备属性配置文件是如何有效实现 各种安全资源的采集的。 第五章基于w e bs e r v i c e 的安全资源集中管理的设计与实现。详细介绍了整个工作的编程 实现过程、系统部署等等。 第六章安全资源标准化工作的展望。主要是提出了对当前网络环境下各种安全设备的安 全资源标准化工作的一些建议。 第l o 页 国防科学技术大学研究生院学位论文 第二章安全资源集中管理体系结构 2 1 引言 在第一章提出的面向安全设备的三级安全管理架构的概念模型中，管理域服务器在整 个三级架构中占据重要的位嚣，安全资源集中管理在管理域服务器中又起到了一个重要的 作用，它是安全集中管理的基础。它主要完成的工作可以分为两种：第一种，从可扩展性 和代码的可重用性方面考虑，实现安全设备的有效接入；第二种，运用面向服务的设计思 想，设计一个安全资源集中管理体系结构，实现对安全资源的集中化、标准化，并将对这 些标准化后的安全资源的操作描述为服务，管理中心通过使用这些服务实施对安全设备的 监管。 2 2 1w e bs e r v i c e 简介 2 2w e bs e r v i c e 和s o a 简介 w e bs e r v i c e 就是由服务组件通过某些网络协议提供的远程调用接口。w e bs e r v i c e 通常是使用s o a p 协议，而s o a p 本身是一种基于x m l 的高层协议，它需要绑定到某种底层 网络通信协议上。w e bs e r v i c e 并不是一种新的服务端组件，而是原来的服务端组件提供 了一种新的通过s o a p 协议来调用的统一接口。在w e bs e r v i c e 协议栈中，涉及了数据、 消息、服务和注册库的描述定义，这些要用到具体标准技术，具体包括x m l 、s o a p 、w s d l 、 u d d i 等。其中l 用来描述不同层次的数据，它使得不同平台，不同环境中的数据和消 息得以互通：s o a p 协议用来交换) ( m l 消息，w s d l 用来统一描述服务：u d d i 提供了统一的 框架和编程接口，与w s d l 、s o a p 相互结合来管理w e bs e r v i c e ，提供服务发布和服务发 现能力【2 5 j 。如图2 1 所示。 第1 l 页 国防科学技术大学研究生院学位论文 目泶u d m 描述w s d l 透信格式s o a p 数据格式x m l 孵络协议h n p 图2 1w e bs e r v i c e 实现架构 x m l 在w e bs e r v i c e 中，x m l 【2 6 1 不是一个单独的协议层，但是它却是w e bs e r v i c e 的核心 技术，确切的说，x m l 为w e bs e r v i c e 提供了统一的数据格式，包括消息、服务描述以及 工作流描述等不同层次的协议都采用x m l 作为定义语言，因此，常常也把e bs e r v i c e 成为x m lw e bs e r v i c e 。在一定程度上可以说，使x m l 奠定了w e bs e r v i c e 革命的技术基 础。 x m l 是一种定义数据的简单而标准的方法，可以看作是“w e b 上的a s c i i 码”使用 ( m l 就好像你可以使用自己喜欢的编程语言来创建任何一种数据结构，然后和他人的计算平台 上使用的其它语言来共享数据。 s o a p s o a p 完全继承了x m l 的开放性和描述可扩展性。s o a p 使用基于t c p i p 的应用层协 议h t t p 、s m t p 、f t p 等，可以与现有通信技术最大程度的兼容，s o a p 为使用x m l 在松散、 分布的环境中对等的交换信息提供了一个简单的机制。s 0 a p 本身并不定义任何应用语义， 如编程描述或特定语义实现，它是定义一种简单的机制，通过一个模块化的包装模型和对 模块中的特定格式编码数据的重编码机制来表示应用语义。 w s d l w s d l 【2 8 】是用来描述网络服务或端点的一种x m l 语言，它用于定义w e bs e r v i c e 以及 调用方式。w s d l 文档可用于动态分布w e bs e r v i c e ，查找已发布的w e bs e r v i c e 并且绑定 w e bs e r v i c e 。在w s d l 中包含了使用s o a p 的服务描述的绑定，也包含了使用简单h t t p g e t 和p o s t 请求的服务描述的绑定。w s d l 将w e b 服务定义成一系列的端口。每个端口用来表 示从抽象端口类型到用于调用1 】e b 服务的具体通信协议的一个映射。端口类型由一组与服 务提供者交换信息的操作组成，它支持对包含信息的数据类型的定义。 u d d i u 叻i 解决3 个问题：服务的发现( 就是让网络用户知道你提供了的服务) ；服务的 第1 2 页 国防科学技术大学研究生院学位论文 描述( 在万维网服务的提供者与消费者取得了联系之后，u d d i 通过使用一个实现无关， 基于x m l 的服务描述使双方都能理解这种描述服务的方式) ；服务的集成( u 叻i 使用s o a p 作为万维网服务的通用语言) 。 2 2 2s o a 简介 面向服务架构s o a p o j ( s e r v i c e o r i e n t e da r c h i t e c t u r e ) 是一种架构模型和一套设 计方法学，其目的是最大限度地重用应用程序中立型的服务以提高i t 适应性和效率。它 可以根据需求通过网络对松散耦合的粗粒度应用组件进行分布式部署、组合和使用。服务 层是s o a 的基础，可以直接被应用调用，从而有效控制系统中与软件代理交互的人为依赖 性。s o a 的关键是“服务”的概念，w 3 c 将服务定义为：“服务提供者完成一组工作，为服 务使用者交付所需的最终结果。最终结果通常会使使用者的状态发生变化，但也可能使提 供者的状态改变，或者双方都产生变化”。 s o a 的基本特征 可从企业外部访问 通常被称为业务伙伴的外部用户也能像企业内部用户一样访问相同的服务。业务伙伴 采用先进的b 2 b 协议( e b ) ( m l 或r o s e t t an e t ) 相互合作。当业务伙伴基于业务目的交换 业务信息时，他们就参与了一次会话。会话是业务伙伴间一系列的一条或多条业务信息的 交换。会话类型( 会话复杂或简单、长或短等) 取决于业务目的。除了b 2 b 协议外，外部 用户还可以访问以w e b 服务方式提供的企业服务。 随时可用 当有服务使用者请求服务时，s o a 要求必须有服务提供者能够响应。大多数s o a 都能 够为门户应用之类的同步应用和b 2 b 之类的异步应用提供服务。同步应用对于其所使用的 服务具有很强的依赖性。许多同步应用通常部署在前台，其最终用户很容易受到服务提供 者短缺的影响。很多情况下，同步应用利用分布式服务提供者，这样可以响应更多的用户 请求。但是，随着提供特定服务功能的服务器数量的增长，出现短缺的可能性也呈指数上 升。相比之下，异步应用要更为稳健，因为其采用队列请求设计，因此可以容许出现服务 提供者短缺或迟滞的情况。异步应用大多数情况下部署在后台，用户通常不会觉察到短暂 的短缺。大部分情况下异步应用能够稳健应对短时间短缺，但是长时间短缺则会引发严重 问题。在服务短缺解决、队列引擎将罕见的大量工作推到共享的应用资源中时，可能会出 现队列溢出甚至服务死锁。 服务使用者要求提供同步服务时，通常是基于其自身理解