安全统一管理平台是网络安全管理的枢纽。它不仅为人们提供了一个集中统一的设备、数据和策略管理平台,提供了相应的报警反应机制;而且更像黏合剂一样将各种安全设备和技术连接成一个有机的整体,帮助用户统一管理包括系统、应用和人员在内的全方位的安全问题。
具体来说,安全统一管理平台能够管理所有的安全设备并使之协同工作,以防止系统误操作、特权滥用、数据篡改、地址欺骗以及服务中断等来自网络内外的威胁。其作用是提高分布式应用和信息的完整性、一致性以及机密性。一个良好的安全统一管理平台能够保证应用程序和系统设计符合所需要的安全目标,保证所有系统都符合一个安全级别。从以上分析可以看出,安全统一管理包括了技术因素、策略因素和人员因素。本文仅从技术和策略层面对其进行阐述。
安全管理与网络管理
安全管理是网络管理的有机组成部分。安全管理技术是建立在网络管理技术基础之上的。下面我们先来介绍与安全管理息息相关的网络管理技术。
起初,网络管理采用一种以人工为主、辅以一些专用管理软件的工作模式。随着网络规模的扩大及大规模异构网络的互联,影响网络服务和安全性的因素日益增多,网络管理的复杂程度也随之增加。
网络管理的需求是多方面的。从技术角度来说,一个好的网络管理系统应该能够实现网络的故障诊断、审计管理、配置管理、性能管理和安全管理。为了简化和统一网络管理,国际标准化组织和Internet工作组提出了各自相应的网络管理框架、协议标准和服务,即国际标准化组织/开放系统互联(ISO/OSI)的公共管理信息服务及协议(CMIS/CMIP)以及Internet的简单网络管理协议(SNMP)。
传统的集中式的网络管理在网络规模急剧增长的现实面前显得越来越力不从心。网络管理需要采用分布式管理模式。CORBA技术在分布式计算方面取得的成功,为分布式的网络管理提供了启示,基于CORBA的分布式管理是一种现实可行的、可实现多领域交叉管理方案。Web 技术的出现和流行为创建通用网络管理系统提供了一条崭新的思路。基于Web的网络管理的优势是可以很容易地实现分布式的网络监测和控制。
IBM、CA和HP等主要网络管理解决方案提供商都提供了融合Web技术的网管平台。这种网络管理平台有以下优点:一是可以跨平台、跨区域进行管理,管理员使用Web浏览器从内部网络的任一台计算机系统可以查看网络的运行状态,通过采取适当的安全措施,管理员就可以远程对网络资源进行管理操作; 二是具有统一的管理界面, Web浏览器开始成为最常用的工具,便于人们学习和管理,通过简单、友好的Web界面操作,人们就可轻松完成管理任务;三是具有平台的独立性,基于Web的网络管理程序可以适用于各种网络环境,包括不同的操作系统、网络结构和不同的网络协议,而无需做任何移植;四是具有良好的互操作性,网络管理员可以通过浏览器在多个管理程序之间来回切换。
网络是一个互相关联的、动态变化的分布式系统。网络中任何一个节点出现故障,都可能导致大量相关节点不能正常工作,从而会同时产生大量的网络事件。为此人们需要智能化的分布式的网络管理,因而把专家系统和人工智能引入到网络管理领域。网络系统的动态特性,要求网络管理系统必须具有适应动态特性的能力。目前通常的解决办法是通过周期性地轮询被管网络资源的状态以及状态的变化,并据此对网络资源进行管理和控制。基于策略的网络管理专家系统能够很好地适应网络系统的变化,并启动相应的处理动作,使网络管理员能够灵活地增加、删除或者修改策略,以适应网络结构的变化。
安全统一管理协议
安全统一管理是网络管理的一个重要拓展。网络安全管理必须建立在现有的网络管理协议和网络管理平台之上,而不能建立专有的管理体系结构和通信协议。建立在现有网络体系和通信协议基础之上的安全统一管理平台,不仅仅能够实现安全设备、安全应用程序的联动协同,促使所有的安全设备融合成为一个统一的整体,而且它能够让安全设备、安全应用程序与其他网络设备、应用程序成为一个统一的网络资源整体,提供不同级别的服务。当前业界比较流行的是IETF制定的简单网络管理协议(SNMP)、Sun开发的JMX以及DMTF组织的WBEM等多种基本不兼容的网络管理协议。但是在各种管理技术在网络领域获得广泛支持的同时,安全产品的提供商却只注重某些专有协议层面的安全,使得安全设备由于缺乏综合安全管理系统,很难形成多维网络安全体系,安全设备之间缺乏联动,更不要说安全设备和网络设备(如路由器、交换机或网关等)之间的联动了。这样做的结果是,众多安全设备成为网络系统上的“孤点”。只有借助网络管理员的大量工作,安全设备才能避免成为“孤点”。所以,众多安全厂商迫切需要一种网络安全协议/管理平台来增强安全设备的联动特别是与关键网络设备之间的联动。
图1 基于策略的安全管理协议栈
当前网络设备特别是安全设备所采用的协议大多数不统一。原有网络协议正在不断地更新升级,一些私有协议也在盛行。具有兼容性和开放性的协议是安全统一管理平台的最重要特点。这种协议不仅能够兼容现有的各种网络管理协议(包括各种私有管理协议),而且能够兼容新的网络管理协议或者现有协议的更新版本。
兼容各种管理协议,对安全统一管理平台提出了一个很高的要求,即实现协议之间的无损转换。在对当前的几种管理协议进行了深入研究后,一些专家发现WBEM的核心概念-CIM(Common Information Model)能够满足安全统一管理平台对管理协议的苛刻要求。CIM为管理信息的表示和构造定义了一套完整的元模型(Meta Model),还定义了一些附加结构,可以将应用程序管理紧密集成到CIM中。最后,CIM为定义元数据提供了一套扩展机制,能够实现各种协议与CIM信息模型的无损转换。CIM信息模型本身是一个面向对象的概念模型,可以充分利用面向对象机制的巨大威力。CIM面向对象的机制,为网络设备特别是安全设备对全网安全状态的控制提供了一个可靠的技术基础。
采用CIM体系,安全统一管理平台能够对全网的安全设备进行管理,而且可以对网络上除了安全设备之外的其他网络可管资源(如网络设备、操作系统、应用程序等)进行有效管理,提供高强度的安全性。
安全统一管理的策略
所谓策略是用于控制系统行为的规则。策略机制使得人们不必改动系统内部的管理组件,只需通过制定新的策略就能动态调整系统行为。基于策略的安全统一管理将网络视作一个状态机,而策略则是控制与调整网络状态的依据。依据不同的策略,人们可以实现对各类安全设备进行动态配置和利用、分配网络资源、实现各类设备的联动控制、将整个网络的权限控制纳入一个统一的安全体系之中。
策略框架包括策略管理工具、策略库、策略判决点(PDP)、策略执行点(PEP)四部分,如下图所示。
图2 策略基本框架
用户通过策略管理工具制定所需要的管理策略。策略管理工具相当于一个翻译器,将面向用户的高层策略翻译为机器容易理解的低层策略。同时,管理工具还负责验证策略的有效性以及检测冲突。用户定义的策略库被存放在策略库中,策略库是策略条件、响应的存放场所。策略条件、响应可以是针对特定策略规则。针对特定规则的条件、响应不需要与任何策略库关联。在通常情况下,条件、响应的定义能够被重复使用,应当与某个策略库关联。
策略判决点负责接受策略执行点策略服务请求,提取并解释策略库中的信息,经过推理和一致性检测后决定对策略请求进行处理。策略执行点是提出策略服务请求和执行策略响应的各类网络设备。
在结构层次上,策略分为高层策略和低层策略。高层策略用某种接近应用需求的语言描述,策略的表述较为简单,易于理解。低层策略则是对高级策略在技术层面上的映射,它使用专业技术描述语言表述,因而相对比较复杂。可以说,高层策略是“面向人的”,低层策略是“面向机器的”。
英国皇家学院的Ponder策略描述语言,定义了一种面向对象的说明性语言,用于描述分布式环境中的安全策略和管理策略。它可以实现基于角色的(role-based)访问控制,如用户的注册、登录或对重要信息的访问,也可以描述分布式系统中一般的管理策略,如由事件触发的“条件-响应”规则。
策略可以有不同的表述方法,比较容易理解的一种是将其定义为一组策略规则的集合,每条策略规则由一组条件和一组响应构成。例如在VPN中,用户身份信息是策略规则的条件,加密强度则是策略规则的响应。在高层策略和底层策略之间,策略逻辑转换层可以将高层策略翻译成“面向机器的”低层策略。
安全统一管理的技术趋势
目前,许多安全公司和安全机构纷纷推出了安全统一管理的概念和产品。其中,美国国防情报基础设施计划草案中对安全统一管理的定义如下:能够管理异构的、分布式系统中的所有软件和硬件资源,可以把网络系统中的全部设备有效集中起来,并通过统一的管理手段(设备、数据、策略)达到简化管理的目的,在减轻系统管理员负担的同时也强化了系统的全局化管理,避免重复投资。
随着技术的不断更新,未来的安全统一管理平台将具有以下发展趋势:实现安全设备和安全软件网络化集中管理、实施全面实时监控、保障安全设备和系统正常运转的中心;实现安全信息收集、信息相关性分析全方位安全管理的中心;实现系统动态反应和应急处理的中心;制订和实施安全设备和系统运行策略、确保安全设备和系统的高效运转、实现组织安全目标的中心。
为了
