（计算机科学与技术专业论文）基于cim的安全管理技术研究与实现.pdf

国防科学技术大学研究生院硕士学位论文 摘要 网络技术的飞速发展使得网络安全问题日益严重 单一安全产品由于功能和 性能的局限性 只能满足特定的安全需求 安全管理系统将各类安全产品进行有 机的结合 实现统一的管理和控制 体现了网络安全的整体性和动态性 提高了 网络的安全性 可用性 可靠性和运行效率 本文对基于c i m 的管理信息建模方法进行研究 并以该模型为基础 对安全 设备的安全管理系统进行了设计与实现 主要工作有 1 设计一种基于c i m w b e m 的安全管理框架 在研究c i m 模型的有关理 论以及基于c i m 的管理信息建模方法的基础上 深入研究了基于c i m 模型的管理 实现框架 设计了一种基于c i m w b e m 的安全管理框架 2 建立网络安全设备的c i m 信息模型 在分析和归纳网络安全设备的基本 功能的基础上 在c i m 核心模型和公共模型之上建立了网络安全设备的扩展模式 并以安全隔离设备的建模过程对c i m 信息建模的实效性进行验证 3 提出一种安全管理系统的体系结构 在安全管理框架的基础上 采用分 层抽象的方法融合了安全管理系统的多样性 将安全管理系统从概念上分为资源 层 数据层 应用层和用户层的四层结构 4 基于c i m 的安全管理原型系统的设计与实现 设计并实现了管理系统的 各个功能模块 多种设备代理和数据分发机制等 研究成果应用于某军队科研项目 应用效果表明 本文的建模方法具有良好 的通用性和工程指导价值 安全管理系统具备良好的可扩展性 关键词 网络安全 安全管理系统 公共信息模型 管理框架 第i 页 国防科学技术大学研究生院硕士学位论文 a b s t r a c t w i t ht h ed e v e l o p m e n to ft h en e t w o r kt e c h n o l o g y t h en e t w o r ks e c u r i t yh a sb e c o m e af o c u so fa t t e n t i o n m e a n w h i l e t h es i n g l en e t w o r ks e c u r i t yp r o d u c t l i m i t e d i t h f u n c t i o na n dc a p a b i l i t y g e n e r a l l yf o c u so n ac e r t a i na s p e c to fs e c u r i t yp r o b l e m s t h e n e t w o r k s e c u r i t ym a n a g e m e n ts y s t e mw h i c hi n t e g r a t e sk i n d so fn e t w o r ks e c u r i t y p r o d u c t sc a nr e a l i z eau n i f i e da n de f f i c i e n tm a n a g i n ga n dc o n t r o l l i n g e m b o d yt h e i n t e g r a l i t ya n dd y n a m i c si nn e t w o r ks e c u r i t y a n di m p r o v et h es e c u r i t y u s a b i l i t y d e p e n d a b i l i t ya n dv a l i d i t yo fn e t w o r k t h et h e s i ss t u d i e dt h em a n a g e m e n ti n f o r m a t i o nm o d e l i n gm e t h o db a s e do nc i m t h es e c u r i t ym a n a g e m e n ts y s t e mo fs e c u r i t ye q u i p m e n td e s i g n e da n dr e a l i z e db a s e do n t h em o d e l t h em a i nc o n t r i b u t i o n so ft h et h e s i sa r ea sf o l l o w s f i r s t l y af r a m e w o r ko fs e c u r i t ym a n a g e m e n tb a s e do nc i m w b e mw a sd e s i g n e d t h et h e s i ss t u d i e dt h et h e o r yo fc i ma n dm o d e l i n gm e t h o db a s e do nc i m t h e n r e s e a r c h e dt h em a n a g e m e n tr e a l i z a t i o nf r a m e w o r ka n dd e s i g n e daf r a m e w o r ko f s e c u r i t ym a n a g e m e n tb a s e do nc i m s e c o n d l y ac i mm o d e lo fn e t w o r ks e c u r i t ye q u i p m e n tw a sb u i l d t h et h e s i s a n a l y z e da n di n d u c e dt h eb a s i cf u n c t i o n so ft h en e t w o r ks e c u r i t ye q u i p m e n t a n dt h e n t h ee x t e n s i o ns c h e m ao fn e t w o r ks e c u r i t ye q u i p m e n tw a sb u i l da t o pt h ec o r em o d e la n d c o m m o nm o d e lo fc i m ac i ms t a n d a r di n f o r m a t i o nm o d e lo fn e t w o r ki s o l a t i o nw a s d e s i g n e dt ov e r i f yt h ev a l i d i t yo fc i mi n f o r m a t i o nm o d e l i n g t h i r d l y a r c h i t e c t u r eo fs e c u r i t ym a n a g e m e n ts y s t e mw a sp r o p o s e d t h et h e s i s a d o p t e dt h em e t h o do fh i e r a r c h ya n da b s t r a c t st os y n c r e t i s mt h ed i v e r s i t yo fs e c u r i t y m a n a g e m e n ts y s t e m a n dd i v i d e dt h es e c u r i t ym a n a g e m e n ts y s t e mi n t of o u rl a y e r si n c o n c e p t i o n s u c ha sr e s o u r c e d a t a a p p l i c a t i o na n du s e r f i n a l l y ap r o t o t y p eo fs e c u r i t ym a n a g e m e n ts y s t e mw a sr e a l i z e db a s e do nc i m e a c hf u n c t i o nm o d u l eo fm a n a g e m e n ts y s t e m m u l t ia g e n to fe q u i p m e n t t h ed i s t r i b u t e m e c h a n i s mo fd a t aa n dt h em e c h a n i s mo fr e l i a b l et r a n s m i s s i o nw e r er e a l i z e d t h ea c h i e v e m e n to ft h et h e s i sh a sb e e nu s e di ns o m ep r o j e c t s w h i c hs h o wt h a tt h e m o d e l i n gm e t h o di nt h e s i sh a v eg o o dv a l u ei nc u r r e n c ya n dt h ep r a c t i c eo fp r o j e c t a n d t h en e t w o r ks e c u r i t ym a n a g e m e n ts y s t e ms u p p o r tf o re x t e n s i o n k e yw o r d s n e t w o r ks e c u r i t y s e c u r i t ym a n a g e m e n ts y s t e m c o m m o n i n f o r m a t i o nm o d e l m a n a g e m e n tf r a m e w o r k 第 页 国防科学技术大学研究生院硕士学位论文 表目录 表3 1安全设备的基本功能 2 0 表3 2 安全隔离设备的属性和方法描述 2 4 表3 3w b e m 的实现平台及相关项目 2 5 表5 1c i m p l e 与o p e n p e g a s u s 开发的p r o v i d e r 比较 3 9 表5 2 测试环境的软件设置 5 0 表5 3 安全管理系统的主要功能 5 0 表5 4 系统登录功能的测试用例 5 l 第1 v 页 国防科学技术大学研究生院硕士学位论文 图目录 图1 1基于s n m p 的安全管理框架 6 图1 2 基于c o r b a 的安全管理框架 7 图1 3 基于插件的安全管理框架 8 图1 4w b e m 的管理架构 9 图2 1c i m 的概念模型 1 3 图2 2c i m 模型的管理内容 1 3 图2 3c i m 的元模式结构 16 图2 4c i mm a n a g e d e l e m e n t 类的m o f 描述 1 8 图3 1 基于c i m w b e m 的安全管理框架 1 9 图3 2 安全设备的c i m 模型 2 1 图3 3安全隔离设备的u m l 类图 2 3 图3 4 安全隔离设备的状态管理类图 2 3 图3 5 o p e n p e g a s u s 实现的c i m 标准 2 6 图3 6o p e n p e g a s u s 的c i m 服务器结构 2 7 图3 7c i m o m 的逻辑描述 2 9 图4 1安全管理系统的网络拓扑结构 3 2 图4 2 安全管理系统的层次结构 3 3 图4 3 数据采集模块 3 4 图4 4 配置管理模块 3 4 图4 5日志信息格式 3 5 图4 6 报警信息格式 3 5 图4 7 规则信息格式 3 5 图4 8 平台管理模块 3 5 图5 1c i m p l e 的体系结构 3 8 图5 2c i m p l e 提供的自动化工具 3 8 图5 3 系统健康指数的获取代码 4 0 图5 4 网络状态信息的获取流程 一4 l 图5 5 注册信息的获取代码 4 l 图5 6 添加规则的代码 4 2 图5 7i d s 规则格式 4 3 图5 8i d s 插件格式 4 3 第v 页 国防科学技术大学研究生院硕士学位论文 图5 9 图5 1 0 图5 1 1 图5 1 2 图5 1 3 图5 1 4 客户端的数据处理流程 4 5 m v c 设计模式 4 6 安全管理系统的图形化界面 4 7 数据分发模型 4 8 数据分发流程 4 8 测试环境的网络拓扑 4 9 第v i 页 独创性声明 本人声明所呈交的学位论文是我本人在导师指导下进行的研究工作及取得的研 究成果 尽我所知 除了文中特别加以标注和致谢的地方外 论文中不包含其他人已 经发表和撰写过的研究成果 也不包含为获得国防科学技术大学或其它教育机构的学 位或证书而使用过的材料 与我一同工作的同志对本研究所做的任何贡献均已在论文 中作了明确的说明并表示谢意 学位论文题目 基王 丛鲍塞全篁翌技盔丑窥生塞理 学位论文作者签名 j 丝1 3 期 硝年12 月三2 日 学位论文版权使用授权书 本人完全了解国防科学技术大学有关保留 使用学位论文的规定 本人授权国 防科学技术大学可以保留并向国家有关部门或机构送交论文的复印件和电子文档 允 许论文被查阅和借阅 可以将学位论文的全部或部分内容编入有关数据库进行检索 可以采用影印 缩印或扫描等复制手段保存 汇编学位论文 保密学位论文在解密后适用本授权书 学位论文题目 基士 丛鲍塞全篁垄拉盔班窥多塞理 学位论文作者签名 互洚 作者指导教师擀 1 笸玉盘蒸缸 e l 期 抄字年j z 月2 2 日 日期 时1 9 月a a 日 国防科学技术大学研究生院硕士学位论文 第一章绪论弟一早三百了匕 随着网络技术的飞速发展 网络已成为人们日常生活中不可缺少的一部分 人们对网络的依赖性日益增强 然而 网络给我们带来便利的同时 也出现了很 多安全问题 1 1 1 网络安全现状 1 1 网络安全 随着网络应用的日益普及 网络安全事件不断出现 网络安全问题已成为信 息时代人类共同面临的挑战 计算机病毒的网络化趋势愈来愈明显 垃圾邮件日 益猖獗 黑客攻击成指数增长 网络带来自由开放的同时 也带来了不可忽视 的安全风险 根据中国互联网信息中 i 二 c n n i c 2 0 0 8 年7 月公布的 中国互联网络发展状 况统计报告 的调查 截至2 0 0 8 年6 月底 中国的网民数量达到2 5 3 亿人 比去 年同期增长了9 1 0 0 万人 年增长率为5 6 2 网民规模已跃居世界第一位 中国 的域名数量达到1 4 8 5 万个 年增长率达6 1 8 中国的网站数量为1 9 1 9 万个 年增长率为4 6 3 l 由此可见 我国的互联网产业已经初具规模并快速发展 与 此同时 由互联网的开放性和系统的安全漏洞带来的安全风险时刻影响着国家政 治 经济 军事 文化等各个领域 国家计算机网络应急技术处理协调中 i 二 c n c e r t c c 发布的 c n c e r t c c 2 0 0 7 年网络安全工作报告 中指出 2 0 0 7 年c n c e r t c c 接收的网络仿冒事件 网页恶意代码事件和被篡改网站数量 分别超出2 0 0 6 年总数的近1 4 倍 2 6 倍和 1 5 倍 我国大陆地区被植入木马的主机i p 数量增长惊人 为2 0 0 6 年的2 2 倍 2 0 0 7 年美国c e r t c c 收到信息系统安全漏洞报告7 2 3 6 个 自1 9 9 5 年以来 该漏洞报 告总数己达3 8 0 1 6 个1 2 由此可见 网络信息系统存在的安全漏洞和隐患层出不穷 利益驱使下的地下黑客产业继续发展 网络攻击的种类和数量成倍增长 基础网 络和重要信息系统面临着严峻的安全威胁 1 1 1 网络安全技术及设备 随着i n t e r n e t 的发展 在与网络攻击的对抗中出现了许多网络安全技术 如防 火墙 入侵检测 漏洞扫描 防病毒 网络隔离等 各种网络安全产品的出现在 一定程度上缓解了网络安全威胁带来的危害 目前 各种网络安全技术及设备已 第1 页 国防科学技术大学研究生院硕士学位论文 经得到了广泛的应用 1 防火墙 防火墙是提供信息安全服务 实现网络和信息安全的基础设施 在逻辑上 防火墙是一个分离器 一个限制器 也是一个分析器 能根据安全策略控制出入 网络的信息流 有效的监控内外网之间的任何活动 从而保证内部网络的安全 目前 防火墙根据其实现方式可以分为两大类 即包过滤防火墙和应用层网 关 包过滤防火墙在网络层和传输层起作用 它根据分组包的源地址 目的地址 端口号 协议类型等标志确定是否允许数据包通过 只有满足过滤逻辑的数据包 才被转发到相应的目的地出口端 其余的数据包则从数据流中丢弃 应用层网关 作用在应用层 其特点是完全 阻隔 网络通信流 通过对每种应用服务编制专 门的代理程序 实现监视和控制应用层通信流的作用 实际应用中 应用层网关 通常由专用的工作站实现 3 j 在网络安全中 防火墙有着重要的意义 但也有其局限性 具体表现为 不 能防范不经过防火墙的攻击 不能解决来自内部网络的攻击和安全问题 无法解 决t c p i p 等协议的漏洞 对开放的合法端口的攻击大多无法阻止 不能防止受病 毒感染的文件的传输 不能防止数据驱动方式的攻击 2 入侵检测系统 入侵检测是主动保护自己免受攻击的一种网络安全技术 可以对来自外部及 内部的攻击和操作及时做出响应 它通过收集和分析计算机网络或计算机系统中 若干关键点的信息 检查网络或系统中是否存在违反安全策略的行为和被攻击的 迹象 入侵检测系统 i n t r u s i o nd e t e c t i o ns y s t e m i d s 是进行入侵检测的软件和硬件 的组合 作为防火墙的合理补充 入侵检测系统能够帮助系统对付网络攻击 扩 展系统管理员的安全管理能力 提高信息安全基础结构的完整性 入侵检测系统根据数据来源可分为基于主机的入侵检测系统 h o s t b a s e di d s h i d s 和基于网络的入侵检测系统 n e t w o r k b a s e di d s n i d s h i d s 分析的信息来 自于单个计算机系统的系统审计迹和系统日志 检测的目标主要是主机系统和系 统本地用户 检测系统可以运行在被检测的主机或单独的主机上 n i d s 以网络上 的数据包作为分析数据源 在关键的网段或交换部位帧听 一般监控流经该网段 多个主机的网络通信流量 通过捕获并分析网络数据包来检测攻击 4 入侵检测系统能够在很大程度上抵御攻击 但是 现有的入侵检测系统还存 在着误报率 漏报率较高 检测方法单一 互操作性不强 处理速度慢等不足 3 漏洞扫描系统 漏洞扫描是一种自动检测目标网络或主机安全性弱点的技术 通过漏洞扫描 管理员能够了解网络的不安全因素 操作系统的安全漏洞 系统是否存在配置错 第2 页 国防科学技术大学研究生院硕士学位论文 误等 能够在网络攻击者扫描和利用漏洞之前予以修补 以提高网络的安全性 漏洞扫描系统可分为两种类型 即网络漏洞扫描系统和主机漏洞扫描系统 网络漏洞扫描系统通过与目标主机t c p d p 端口建立连接并请求服务 记录目标主 机的应答 搜集目标主机相关信息 从而发现目标的某些内在的安全弱点 主机 漏洞扫描系统侧重于单个用户系统的平台安全性以及基于此平台的应用系统的安 全性 主要针对系统中不恰当的设置 脆弱的口令以及其他与安全规则抵触的对 象进行检型 l 漏洞扫描系统预报安全弱点的准确性取决于漏洞规则库的设计 对于未知的 漏洞 需要及时更新规则库才能抵御安全威胁 由于漏洞库覆盖范围的限制 部 分安全漏洞可能不会触发任何规则 从而不被检测 4 防病毒系统 计算机病毒的防治技术分为 防 和 治 两部分1 6 j 防 毒技术包括预防 技术和免疫技术 治 毒技术包括检测技术和消除技术 病毒预防技术是在病毒 尚未入侵或刚刚入侵还未发作时 对其进行拦截阻击或立即报警 病毒免疫技术 包括针对某种病毒进行的免疫和基于自我完整性检查的免疫 使其可以不受病毒 的传染 病毒检测技术是通过静态 动态等判定技术将已知或未知的病毒识别出 来 病毒消除技术的目的是清除受害系统中的病毒 恢复系统的原始无毒状态 对于不同的病毒类型及其感染对象 采用不同的杀毒措施 防病毒系统有主机防护和网关防护两种类型 主机防护主要是防护单个主机 系统 增强系统的抗病毒能力 网关防护部署在整个网络的入口处 对整个网络 进行全面的防护 可以有效的对付各种以i i l t e m e t 应用为载体的病毒 包括以电子 邮件方式传播的病毒 为保证病毒防治的有效性 病毒特征码库和扫描引擎需要经常升级 通过采 用病毒特征码库 病毒行为知识库 受保护对象行为知识库等多个知识库以及相 应的可变推理机 可以有效的对付新类型病毒 并减少误报和漏报 5 网络隔离技术 网络隔离技术的目标是确保把有害攻击隔离在可信网络之外 并保证可信网 络内部信息不外泄的前提下 完成网间信息的安全交捌丌 网络隔离根据隔离方式可分为物理隔离和逻辑隔离两类 8 1 物理隔离技术是在 物理上将内部网与外部网彻底分离 阻断内部网与外部网的连接 可以通过建立 两套独立的网络系统以及通过切换关键部件的双网隔离计算机等方式来实现物理 隔离 逻辑隔离也称为协议隔离 通过使用不同的协议 切断整个系统内的全局 连通性 内部网络可以采用不可路由的协议或者专用安全协议进行数据交换从而 达到隔离的目的 第3 页 国防科学技术大学研究生院硕士学位论文 隔离设备要保证自身具有高度的安全性 至少在理论上和实际上要比防火墙 高一个安全级别 在确保网络隔离的情况下 只进行网络之间的应用数据的交换 并对网问的访问进行严格的控制和检查 同时确保网络的畅通和应用的透明 1 1 2网络管理与网络安全管理 1 网络管理 网络管理 圳是指对网络的运行状态进行监测和控制 使其能够有效 可靠 安 全 经济的提供服务 网络管理包含两个任务 一是对网络的运行状态进行监测 二是对网络的运行状态进行控制 国际标准化组织 i n t e r n a t i o n a ls t a n d a r do r g a n i z a t i o n i s o 在i s o i e c 7 4 9 8 4 协 议中对网络的管理行为进行了分类 提出并描述了网络管理应具备的五大功能 并已被广泛接受 这五大功能是 1 故障管理 主要是对来自硬件设备或路径节点的报警信息进行监测 报 告和存储 并对故障进行诊断 定位隔离和纠正 动态维护网络的有效性 2 配置管理 主要是对网络配置数据的收集 监视和修改 通过插入 修 改和删除来配置网络资源 从而实现某个特定功能或使得网络性能最优 3 性能管理 主要是分析评估网络资源的运行状况及通信效率等网络性能 通过对当前网络数据的收集 分析网络的运行效率 触发相应的诊断测试进程或 重新优化网络 从而维护网络的性能 4 记账管理 主要用于记录网络资源的使用情况 控制和监测网络操作的 费用和代价 5 安全管理 主要对网络资源提供各种保护功能 防止网络资源被非法入 侵者访问 主要功能包括 授权机制 访问控制 加密和密钥管理以及维护和检 查安全日志等 2 网络安全管理 网络安全管理 i o 作为网络管理的一个重要方面越来越受到关注 它的作用是 对所有计算机网络应用体系中各个方面的安全技术和产品进行统一的管理和协 调 进而从整体上提高整个计算机网络的防御入侵 抵抗攻击的能力 对于当前 的网络安全态势 传统的安全管理功能已不能满足网络的安全需求 需要将网络 管理中的安全管理功能从网络管理中分离出来 形成一个独立的安全管理系统 安全管理系统以安全策略为中心有序的组织网络中的各种安全设备 使其相互协 作 相互作用 构成一个动态自适应的安全防护体系 安全管理系统作为一个有 序的组织者 能够让各种安全设备充分发挥各自的功能 取长补短 共同抵御各 种安全威胁 以达到 1 1 2 的防护效果 第4 页 国防科学技术大学研究生院硕士学位论文 目自订 鉴于主流网络安全产品的功能单一和整体防护效果存在差距等问题 需要有新的网络安全管理技术对各种网络安全产品实施统一配置 统一管理 以 便动态分析网络状态 根据网络当前状况对安全产品实施相应策略 共同确保整 个网络系统的安全 于是 综合多种安全产品和安全策略的网络安全管理平台应 运而生 1 2 1国内外研究现状 1 2 网络安全管理 网络安全管理平台是由中央策略管理软件集中智能管理的 集成了防火墙 防病毒 入侵检测等功能各异的网络安全产品的开放式平台 1 1 目前国内外已有不少典型的网络安全管理平台 其中c h e c kp o i n t 的o p s e c 开放式安全平台 天融信的t o p s e c 安全体系平台 安氏中国公司的l i n k t r u s t c y b e r w a l l 防火墙 中科网威的o p e n i d s 开放框架等 都是目前较为著名的实现方 案 其他的安全管理方案包括 c a 公司的e t r u s t 安全管理方案 i b m 公司的t i v o l i 风险管理器 n a i 公司的e p o l i c yo r c h e s t r a t o r 管理工具 s y m a n t e c 的集中开放式 安全管理系统 s e s a 格尔的信息安全综合监控与管理平台 s a m p 玛赛的统一 安全管理平台 l i s p 等 o p s e c o p e np l a t f o f i nf o rs e c u r i t y 是由c h e c kp o i n t 公司倡导和发起的 目的 是解决目前各种安全产品间的互操作性问题 提供业界唯一的企业级策略管理和 策略执行框梨1 2 o p s e c 提供的开放平台扩展了c h e c kp o i n ts v n s e c u r ev i r t u a l n e t w o r k 体系结构 通过公开的a p i 工业标准的协议和高级编程语言 可以轻松 的实现o p s e c 集成 o p s e c 提供了多项联动功能 包括内容安全联动 w e b 资 源联动 入侵检测联动以及认证联动等 可以有效的避免选择多个厂商的产品而 带来的产品集成和灵活性的限制 通过一个开放的 可扩展的框架集成 管理所 有的网络安全产品 t o p s e c t a l e n to p e np l a t f o r n lo fs e c u r i t y 网络安全体系平台是以天融信网络 卫士 n g f w 系列防火墙产品为核心 以天融信自主设计的t o p s e c t a l e n to p e n p r o t o c o lf o rs e c u r i t y 协议为基础框架 以p k i c a 体系为安全支撑和保障的国内第 一个安全开放平台 l 3 l l i n k t r u s tc y b e r w a l l 防火墙是安氏中国公司在2 0 0 1 年推出的 和i s s 公司的 入侵检测r e a l s e c u r e 产品 趋势科技公司的病毒防治网关产品i n t e r s c a n 实现联动 b 4 与o p s e c 不同的是 l i n k t r u s t 方案的专一性很强 在构架设计上也是紧密 的结合r e a l s e c u r e 和i n t e r s c a n 第5 页 国防科学技术大学研究生院硕士学位论文 由国内外的现状可以看出 能够将来自不同安全设备的信息关联起来的安全 管理系统并不多 目i j 的解决方案主要是以某种安全产品 如防火墙 i d s 等 为 核心组件 外加其他的安全产品构成 通过联动协议 实现网络安全产品的通信 与联动 但是这些管理平台只是简单的设备联动 并没有上升到安全管理的角度 最理想的解决方案是在一个统一的国际标准的前提下 对所有安全产品进行管理 然而这基本是不可实现的 l 副 在目前的条件下 网络安全管理系统的构建只能基 于一个相对统一的平台上 尽可能多的包容各类安全产品 使之更好的相互协作 1 2 2网络安全管理的相关技术 近年来 随着网络安全管理技术研究的不断发展 提出了多种不同的安全管 理框架 主要有基于s n m p 的安全管理框架 基于c o r b a 的安全管理框架 基 于插件的安全管理框架和基于w b e m 的安全管理框架等 下面简要的对各类安全 管理框架进行介绍 l 基于s n m p 的安全管理框架 s n m p 是一种用于分布式网络管理的协议 其设计思想 管理系统通过s n m p 的p d u 协议数据单元 来与被管理的对象进行信息交互 被管对象各自特定的 运行状态和各种参数则分布在各自的管理信息库 m i b 中 1 6 17 1 网络管理系统通过 s n m p 和m i b 来管理各种网络设备 这种技术可以移植到网络安全管理领域 常 见的基于s n m p 和m i b 的安全管理模型如图1 1 所示 图1 1 基于s n m p 的安全管理框架 基于s n m p 的安全管理具有如下优点 5 简单 扩展灵活 易于实现 开发周期短 s n m p 提供了用于定义网络信息和框架以及用于交换信息的标准协议 s n m p 是开放的免费产品 有详细的文档资料 业界对该协议也有深入的 理解 但是 由于安全管理和网络管理在管理内容和管理要求上有着本质的不同 第6 页 国防科学技术大学研究生院硕士学位论文 因此 基于s n m p 的安全管理存在以下问题 s n m p 本身存在安全隐患 虽然s n m pv 3 在安全方面做了很多改进 但 其安全性是否满足安全管理的要求还有待研究 m i b 构建困难 安全设备由于其特殊性以及市场竞争等因素 厂家难以公 开安全设备的相关技术 如通信接口 信息描述方式等 在这种情况下要 建立某个安全设备的m i b 是非常困难的 s n m p 不能提供对分布式环境下组件间互操作的支持 2 基于c o r b a 的安全管理框架 c o r b a 为可移植的 面向对象的分布式计算应用提供了不依赖于平台的编程 接口和模型f l 引 一种基于c o r b a 的安全管理框架如图1 2 所示 由安全管理通 信平台 管理代理模块 信息显示与查询模块和信息分析与决策模块组成 利用 c o r b a 服务在管理系统和被管对象之间作为中间件 通过o r b 进行通信 r 一fr 一 一 ir 一 一 管理对象l管理对象n 挈 上tj 上t 管理代理l管理代理n l 信息分析 安全决策 lt l下 害 安全管理通信平台 j 上 信息显示k 产韶爿分类查询 匕 数据流 控制流 图1 2 基于c o r b a 的安全管理框架 1 9 1 利用c o r b a 中间件可以有效的屏蔽各种被管对象的异构性 使管理框架在 互操作性 扩展性和可成长性等方面具有先天的优势 c o r b a 作为一种分布式技 术 并不提供对被管对象的信息建模功能 需要通过相应的协议网关才能实现对 现有管理系统的操作 需要较多编解码操作的c o r b a 远程调用需要消耗一定的 网络资源和系统资源 性能上会造成一定的损失 c o r b a 规范对系统的安全性有 很高的要求 但是 目前很多c o r b a 平台的安全性并不符合c o r b a 安全服务标 准 3 基于插件的安全管理框架 基于插件的安全管理框架的基本思想 2 0 是在轻量级的内核框架上提供必要的 插件接口 通过这些插件接口 外围插件可以访问内核框架所提供的功能 内核 框架可以调用各个外围插件所提供的功能 从而在内核框架和外围插件之间建立 第7 页 国防科学技术大学研究生院硕士学位论文 一种双向通信机制 使得内核框架与外围插件能够协同工作 一种基于插件的安 全管理框架如图1 3 所示 插件式框架中的管理站和代理都不再是一个简单的功能模块 而是成为了一 个容器 各种模块作为插件插入其中 只要保持统一的接口规范不变 增加新的 接口便能提供新的扩展功能 增强了系统的可扩展性和可维护性 也降低了系统 开发的代码集成难度 由于插件技术属于一种软件开发方法 并非具体的协议和 规范 对于系统的安全性并未考虑 另外该管理框架还会消耗较多的带宽 代理1 一一一一 一 一一 一 一 一 j 实际流程 i 篓竺 逻辑流程 图1 3基于插件的安全管理框架 2 1 i 4 基于w b e m 的安全管理框架 基于w e b 的企业管理 w e b b a s e de n t e r p r i s em a n a g e m e n t w b e m 作为一项业 界倡议 起始于1 9 9 6 年 由m i c r o s o f t 最先提出 包括3 c o m c i s c o i n t e l c o m p a q 在内的6 0 多个供应商都支持该标准 2 2 1 w b e m 的目的是建立一个工业标准 使 管理者可以使用任何一个浏览器管理分布的网络 系统和应用 w b e m 的核心是 超媒体管理框架 t h eh y p e r m e d i am a n a g e m e n t a r c h i t e c t u r e h m m a 由协议 管理 机制和对象管理器三部分组成 w b e m 的管理信息模型c i m 采用面向对象建模方 法抽象定义了管理系统的被管理资源 能够将多种网络管理协议 包括s n m p c m i p 和d m i 等 获得的网络设备 系统平台和网络应用程序等多种系统资源的 管理信息抽象化 标准化 使管理信息以单一的协议形式出现 加强了系统管理 的能力 因而w b e m 可以集成不同管理平台提供的管理服务 2 3 1 它试图利用w e b 技术在不影响网络基本结构的前提下实现网络和系统综合管理 w b e m 定义了三个重要元素 数据描述 编码格式和传输协议 w b e m 采用 c i m 来描述受管资源 x m l c i m 用来对c i m 的请求和相应操作进行编码 通过 第8 页 国防科学技术大学研究生院硕士学位论文 h t t p 协议来进行通信 图1 4 给出了w b e m 的管理架构 它由受管资源 c i m 提供者 c i m 服务器 和c i m 客户端四个部分组成 c i m 客户端发送c i m 操作请求和接收并处理c i m 操作响应 c i m 服务器接收c i m 操作请求 与提供者协调请求的处理和响应 并 发送c i m 操作响应给c i m 客户端 c i m 提供者负责对一个或多个受管资源的真实 数据进行处理 并提供c i m 接口和资源接口之间的映射 受管资源是能够监视和 控制资源的被管实体 l 一 一 一 一一一一 一一 一 一 o 一 o j 图1 4w b e m 的管理架构 1 2 3网络安全管理的发展趋势 随着网络安全技术的不断更新和深入 安全管理技术正在从简单的点 面形 态向一个有机联动的立体化体系形态发展 网络安全管理体系发展趋势如下 2 4 安全设备和安全软件的网络化集中管理 全面的实时监控 保障安全设备和系统的正常运转 收集安全信息 并对信息进行相关性分析 具备系统动态反应和应急处理的能力 制订和实施安全设备和系统运行的策略 实现各种安全资源 包括软件 硬件 人员 规章等 集中的 以组织安 全为目标的管理中心 总之 网络安全管理是一个全局性的系统问题 不能仅靠相关安全产品的简 单集成和叠加 需要的是一个完整的网络安全解决方案 其中不仅包含各种网络 安全设备 还需要有对这些网络安全设备进行有效的统一管理 第9 页 国防科学技术大学研究生院硕士学位论文 1 3 研究内容 课题的任务是建立一个基于c i m c o m m o ni n f o r m a t i o nm o d e l 的安全设备管理 信息模型 实现网络中各种安全设备的统一管理与配置 提高整个网络的综合防 护水平 并在此基础上开发安全设备的安全管理原型系统 针对本课题的任务 论文从理论模型的研究和系统的设计与实现两个方面开 展工作 主要完成以下工作 1 安全管理模型的研究 通过对目前已经存在的多种安全管理模型进行对 比研究 最终确定以c i m 为基础建立相应的信息模型 并设计一种基于 c i m w b e m 的安全管理框架 2 安全设备模型的设计 在分析和归纳防火墙 入侵检测系统 漏洞扫描 器 防病毒系统等安全产品的功能的基础上 构建了安全设备的c i m 通用模型 3 安全设备的c i m 模型的实现 研究了c i m 模型在o p e n p e g a s u s 平台上 的实现方法 并给出了安全设备的c i m 模型的实现 4 安全设备管理系统的设计 设计采用m a n a g e r a g e n t 模式的集中式管理 架构 并采用分层抽象的方法将体系结构分为四层 5 代理的设计 设计多种安全设备代理以及管理代理的结构 接口等 6 原型系统的实现 基于c i m 安全管理框架实现了安全设备的安全管理原 型系统 包括系统功能的设计 接口的定义 服务的实现 交互界面的实现等 同时还考虑了在课题背景中所处的特殊环境下的数据编码 数据分发 可靠传输 等技术 1 4 章节安排 本文内容分为六章 第一章 概述网络安全的现状以及相关的技术和设备 在分析比较国内外研 究现状之后 介绍了网络安全管理的相关技术和发展趋势 最后提出课题的研究 内容 第二章 研究c i m 模型的有关理论以及基于c i m 的管理信息建模方法 第三章 设计一种基于c i m w b e m 的安全管理框架 分析安全设备的基本功 能并构建安全设备的c i m 信息模型 通过安全隔离设备的建模实例来阐述建模过 程 最后介绍了安全设备管理信息建模的开发平台 第四章 对安全管理系统进行总体设计 详细说明系统的功能和架构 第五章 基于c i m 的安全管理原型系统的实现 包括安全设备的代理 图形 化的管理界面 代码分发机制的设计与实现等 并对系统的功能进行了测试 第l o 页 国防科学技术大学研究生院硕士学位论文 第六章 工作总结与展望 第1 1 页 国防科学技术大学研究生院硕士学位论文 第二章基于c i m 的管理信息建模方法 公共信息模型 c i m 是由d m t f d i s t r i b u t e dm a n a g e m e n tt a s kf o r c e 发布的一 个面向对象的 分层次的管理信息模型 它提供了丰富的模型和大量可重用的概 念和结构 是一种良好的信息建模方法 本章主要对c i m 模型的有关理论和基于c i m 的管理信息建模方法进行研究 2 1 公共信息模型概述 信息模型起源于数据库 它的作用是将域中的信息直接映射到模型中的对象 上 2 5 公共信息模型将信息模型的经典概念与对象模型结合起来 建立了一个分 层的 面向对象的信息模型 用于管理复杂的计算机系统及其部件的许多通用特 征 包括对系统 用户和网络的管理 c i m 是一种信息模型 不是一种实现方法 没有为其实现方法而具体制定平台和特定的技术 可以根据应用程序 平台 技 术等具体需要建立模型 2 1 1c i m 简介 c i m 由d m t f 于1 9 9 7 年首次发布 不同于d m t f 早期专注于桌面管理的工 作 它是面向分布式硬件和软件管理的一种全面的端对端模型 2 6 c i m 是用于描述管理信息的一个与具体实现无关的概念化信息模型 采用面 向对象的概念来描述被管实体 规定了一致的数据定义和结构 2 7 1 c i m 通过一系 列具有属性和关联的类提供一种可扩展的 灵活的 易于理解的框架结构 这个 框架可用来管理被管网络环境中的网络元素 c i m 模型的目的是提供一种通用的方式来描述构成商业系统的计算机和网络 元素以及这些元素之间的关系 用于解决f c a p s f a u l t c o n f i g u r a t i o n a c c o u n t i n g p e r f o r m a n c ea n ds e c u r i t ym a n a g e m e n t 管理以及服务和商业操作的抽象和分解 2 8 c i m 模型结合了全世界最优秀的技术方案 整合了其他标准一一例如 i e t f i n t e m e te n g i n e e r i n gt a s kf o r c e 的标准管理信息库 m i b 和i t u i n t e m a t i o n a l t e l e c o m m u n i c a t i o nu n i o n 并采用分层形式来组织信息 c i m 并非取代其他的标 准 而是建立了与其他标准的映射关系 为使用者提供一个完整的管理解决方案 2 1 2c i m 模型结构 c i m 由c i m 规范 c i ms p e c i f i c a t i o n 和c i m 模式 c i ms c h e m a n 部分构成 c i m 规范用于形式上的描述 它阐明了语言 命名 元模式和到其他管理模型 如 第1 2 页 国防科学技术大学研究生院硕士学位论文 s n m p 的m i b d m i 的m i f 等 的映射技术 c i m 模式用于实际内容的描述 它 阐明了实际模型的内容 c i m 分为三个概念层次 核心模型 c o r em o d e l 公共模型 c o m m o nm o d e l 和扩展模式 e x t e n s i o ns c h e m a s 如图2 1 所示 核心模型和公共模型统称为c i m 模式 它代表所有可管理对象的基本类 关联 方法和特性 c i m 建模是一种通 用方法 特定管理域的c i m 建模是在核心模型和公共模型的基础上进行扩展 扩展模式 公共模型 c i m 模式 核心模型 图2 1c i m 的概念模型 核心模型是适用于所有管理领域的基本信息模型 它定义了一系列的类 关 联和属性 描述了一个环境中客观对象的基本结构和相互之间的关系 独立于任 何产品和具体实现 核心模型相对比较稳定 不会出现较大的改动 公共模型是独立于具体技术或实现的特定管理领域的信息模型 特定管理领 域包括系统 应用 数据库 网络和设备等 公共信息模型为每个管理领域定义 了一个通用类 使得每个领域有统一的与应用或平台无关的抽象 公共模型中所 提供的类 属性 关联和方法的描述非