淺談網(wǎng)絡(luò)安全管理

摘要:網(wǎng)絡(luò)安全管理的基本目標(biāo)是確保網(wǎng)絡(luò)和系統(tǒng)的可用性，它涉及的因素很多，如人員、硬件、軟件、數(shù)據(jù)、文檔、法律法規(guī)等。但這里我們沒(méi)有從全局的角度去考慮網(wǎng)絡(luò)的安全管理，而只從技術(shù)的角度介紹了兩類(lèi)典型的網(wǎng)絡(luò)安全管理協(xié)議。網(wǎng)絡(luò)管理協(xié)議為管理系統(tǒng)、網(wǎng)絡(luò)和網(wǎng)絡(luò)部件提供了方法。它們支持如配置管理、審計(jì)和事件記錄等管理功能，并且為診斷網(wǎng)絡(luò)問(wèn)題提供了工具。

關(guān)鍵詞:網(wǎng)絡(luò);安全;管理;協(xié)議;審計(jì)

中圖分類(lèi)號(hào):TP183文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):1009-3044(2009)36-10443-02

Network Security Management

YANG Wei-zhong

(Shanxi Prouincial Expressway Construction Group CO， Xi'an 710054， China)

Abstract: the basic aim of network security management is to ensure availability of network and system， it involves many factors， such as personnel， hardware， software， data and documentation， laws and regulations， etc. But here we have to consider from the global network security management， but only from the point of technology introduced two kinds of typical network security management protocol. Network management， network management system for the agreement provides methods and network components. They support such as configuration management and audit and management function， the event log for diagnosis of network problems and provides tools.

Key words: network; security; management; protocol; audit

1 安全審計(jì)追蹤對(duì)確保任何網(wǎng)絡(luò)安全都起了重要的作用

它可以用來(lái)檢測(cè)一個(gè)安全策略的正確性，確認(rèn)與安全策略的一致性，幫助分析攻擊，并且收集用于起訴攻擊者的證據(jù)。安全審計(jì)追蹤記錄了任何可疑的事件(可以產(chǎn)生一個(gè)安全警報(bào))，也可以記錄許多日常事件，如建立和終止連接、使用安全機(jī)制和訪問(wèn)敏感資源。同類(lèi)或不同類(lèi)的系統(tǒng)都可以檢測(cè)到被審計(jì)的事件，并由系統(tǒng)中的安全審計(jì)追蹤日志來(lái)維護(hù)。安全審計(jì)追蹤功能為將事件信息傳遞給維護(hù)日志并創(chuàng)建和恢復(fù)日志實(shí)體的系統(tǒng)提供了必要的支持。

在這里講述的主要標(biāo)準(zhǔn)是安全審計(jì)追蹤功能(1SO/IEC 10164-8)。因?yàn)楣芾硪粋€(gè)安全審計(jì)追蹤日志的機(jī)制基本上與網(wǎng)絡(luò)管理中的管理任何其他類(lèi)型的事件日志一樣。該標(biāo)準(zhǔn)依賴于以下兩個(gè)標(biāo)準(zhǔn)——事件報(bào)告管理功能(1SO/IEC 10164-5)和日志控制功能(1SO/IEC 10164—6)。

通知一個(gè)安全審計(jì)追蹤的事件的過(guò)程類(lèi)似于產(chǎn)生一個(gè)安全警報(bào)報(bào)告的過(guò)程。它包括一些受管對(duì)象對(duì)一個(gè)M-EVENT-REPORT的調(diào)用。一個(gè)安全審計(jì)追蹤日志可以記錄事件類(lèi)型參數(shù)指示的幾乎任何管理通知，包括ISO/IECl0164—7中定義的安全警報(bào)報(bào)告通知。

安全審計(jì)追蹤功能標(biāo)準(zhǔn)另外定義了兩個(gè)特殊的通知，分別與服務(wù)報(bào)告和使用報(bào)告對(duì)應(yīng)。服務(wù)報(bào)告表明了與一些服務(wù)的提供、拒絕或恢復(fù)有關(guān)的事件。使用報(bào)告用于有安全意義的日志統(tǒng)計(jì)信息。傳遞的參數(shù)和這些事件類(lèi)型基本上與安全警報(bào)報(bào)告中使用的一樣，其中包括任何M-EVENT-REPORT通用的參數(shù)和任何管理警報(bào)通用的參數(shù)。服務(wù)報(bào)告事件類(lèi)型中定義了一個(gè)額外的參數(shù)，稱為服務(wù)報(bào)告原因，用于表明報(bào)告的原因。這個(gè)參數(shù)是一個(gè)ASN.1對(duì)象標(biāo)識(shí)符，也就是說(shuō)任何人可以定義并注冊(cè)其值。該標(biāo)準(zhǔn)還定義了一些通用的值:服務(wù)請(qǐng)求、拒絕服務(wù)、來(lái)自服務(wù)的回答、服務(wù)失敗、服務(wù)恢復(fù)和其他原因。

審計(jì)追蹤過(guò)程的控制和從安全審計(jì)追蹤中檢索實(shí)體都獨(dú)立于上面的通知過(guò)程。它們利用了定義在其他標(biāo)準(zhǔn)中的通用過(guò)程。事件報(bào)告管理功能(1SO/IECl0164—5)為兩個(gè)系統(tǒng)之間的聯(lián)系建立了一個(gè)長(zhǎng)期的事件報(bào)告。日志控制功能(1SO/IECl0164—6)支持用于安全審計(jì)追蹤和其他目的的日志的創(chuàng)建和刪除以及這些日志記錄的檢索。

2 管理資源的訪問(wèn)控制

網(wǎng)絡(luò)管理有它自己的訪問(wèn)控制要求，有必要控制誰(shuí)能調(diào)用管理功能，誰(shuí)能創(chuàng)建、刪除、修改、或讀取管理信息。這樣的訪問(wèn)控制在任何使用網(wǎng)絡(luò)管理協(xié)議的網(wǎng)絡(luò)中都是至關(guān)重要的，因?yàn)閷?duì)網(wǎng)絡(luò)管理資源的破壞也就等于破壞了整個(gè)網(wǎng)絡(luò)。

ISO/IECl0164—9標(biāo)準(zhǔn)中講述了這種類(lèi)型的訪問(wèn)控制(訪問(wèn)控制中命名了對(duì)象和屬性)。該標(biāo)準(zhǔn)給出了一個(gè)訪問(wèn)控制模型，以及支持系統(tǒng)之間傳遞訪問(wèn)控制信息所需要的信息對(duì)象定義，并使用了訪問(wèn)控制框架標(biāo)準(zhǔn)(1SO/IEC 10181—3)中的術(shù)語(yǔ)和概念模型。包括各種訪問(wèn)控制策略以及各種訪問(wèn)控制機(jī)制(如訪問(wèn)控制列表、能力、安全標(biāo)識(shí)和基于內(nèi)容的控制)。

訪問(wèn)控制決策應(yīng)用于管理操作的調(diào)用例如M-GET或M=SET。包括的體系結(jié)構(gòu)的部件。發(fā)起者是管理系統(tǒng)(或系統(tǒng)中的管理員)，目標(biāo)是受管系統(tǒng)的信息資源。一個(gè)目標(biāo)可以是受管對(duì)象、受管對(duì)象的屬性、受管對(duì)象的屬性值或受管對(duì)象的行為。因此，可能為管理員提供了一個(gè)非常精確的控制級(jí)，在這個(gè)控制級(jí)上管理員可以為某一目的訪問(wèn)某一管理信息。

基于訪問(wèn)控制規(guī)則來(lái)決定是允許還是拒絕訪問(wèn)請(qǐng)求。訪問(wèn)規(guī)則本身可以表示成管理信息條目并且使用CMIP協(xié)議來(lái)管理(例如，讀或?qū)?。

訪問(wèn)控制規(guī)則的三種不同類(lèi)型是有區(qū)別的。一個(gè)安全區(qū)域權(quán)威機(jī)構(gòu)根據(jù)特定的發(fā)起者或發(fā)起者類(lèi)(例如，區(qū)域中可辨認(rèn)的特定角色)用全局規(guī)則來(lái)保護(hù)區(qū)域中的所有對(duì)象。條目規(guī)則是用于特殊目標(biāo)的特殊規(guī)則。當(dāng)沒(méi)有合適的全局或條目規(guī)則使用時(shí)，可使用缺省規(guī)則來(lái)做訪問(wèn)決策。

當(dāng)有許多規(guī)則用于一個(gè)特定的訪問(wèn)請(qǐng)求時(shí)，這些規(guī)則的優(yōu)先級(jí)如下:

① 拒絕訪問(wèn)的全局規(guī)則;

② 拒絕訪問(wèn)的條目規(guī)則;

③ 允許訪問(wèn)的全局規(guī)則;

④ 允許訪問(wèn)的條目規(guī)則;

⑤ 缺省規(guī)則。

一個(gè)訪問(wèn)控制規(guī)則能夠基于安全策略所要求的任何決策過(guò)程。一個(gè)規(guī)則的說(shuō)明書(shū)中包含了許多要素，如:

① 訪問(wèn)的許可:指明是與拒絕服務(wù)有關(guān)還是與允許訪問(wèn)有關(guān)的規(guī)則;

② 發(fā)起者列表:可應(yīng)用的發(fā)起者列表，以訪問(wèn)控制列表、能力、或安全標(biāo)簽形式表示;

③ 目標(biāo)列表(只用于條目規(guī)則):可用的目標(biāo)(例如，受管對(duì)象，屬性和屬性值)和作用在這些目標(biāo)上的操作的列表;

④ 時(shí)間表:指明這些規(guī)則使用的時(shí)間點(diǎn)(如只能在規(guī)定的上班時(shí)間，或從星期一到星期五);

⑤ 狀態(tài)條件:指明使用規(guī)則的受管對(duì)象的屬性的狀態(tài)(例如，在系統(tǒng)處于診斷狀態(tài)時(shí)才可用);

⑥ 認(rèn)證內(nèi)容:當(dāng)要認(rèn)證發(fā)起者時(shí)，指明需要認(rèn)證的等級(jí)。

訪問(wèn)控制決策過(guò)程如下:首先，需要驗(yàn)證伴隨訪問(wèn)請(qǐng)求出現(xiàn)的任何訪問(wèn)控制信息。需要標(biāo)識(shí)發(fā)起者和目標(biāo)使用的任何訪問(wèn)規(guī)則的身份，并根據(jù)他們的全局/條目/缺省的意義進(jìn)行歸組。然后根據(jù)優(yōu)先級(jí)的限制來(lái)使用這些規(guī)則。

使用規(guī)則的方法取決于所使用的特定的訪問(wèn)控制機(jī)制。在訪問(wèn)控制列表機(jī)制中，將發(fā)起者的標(biāo)識(shí)符與使用的訪問(wèn)控制列表進(jìn)行比較。在能力機(jī)制中，將發(fā)起者提供的能力與規(guī)則中陳述的能力進(jìn)行比較。在基于標(biāo)識(shí)的機(jī)制中，將與發(fā)起者相關(guān)的標(biāo)識(shí)與規(guī)則所識(shí)別的標(biāo)識(shí)集進(jìn)行比較。還需使用基于內(nèi)容的檢測(cè)，如時(shí)間表、狀態(tài)條件或認(rèn)證級(jí)別。作出訪問(wèn)決策后，就有其他一系列的行為發(fā)生。決策使用的信息需要暫時(shí)保存起來(lái)用于以后為相同的發(fā)起者作決策(這樣的信息被稱為保留的訪問(wèn)控制決策信息或保留的ADI)。與目標(biāo)有關(guān)的訪問(wèn)控制信息需要修改，例如如果管理操作導(dǎo)致受管對(duì)象的建立或刪除。由于依賴于安全策略，因此也有必要生成一個(gè)安全警報(bào)和安全審計(jì)追蹤通知。

如果訪問(wèn)被拒絕，則有各式各樣的方式來(lái)應(yīng)答發(fā)起者。安全策略規(guī)定了下列類(lèi)型的應(yīng)答:指示出拒絕訪問(wèn)的錯(cuò)誤、沒(méi)有響應(yīng)、錯(cuò)誤的響應(yīng)(例如，發(fā)起者看起來(lái)已經(jīng)允許訪問(wèn))或中斷相關(guān)的應(yīng)用。

為支持上面的過(guò)程，需要遠(yuǎn)程管理(例如，創(chuàng)建、更新)來(lái)存儲(chǔ)用于決策訪問(wèn)控制的信息。為此，標(biāo)準(zhǔn)提供了幾個(gè)受管對(duì)象類(lèi)和屬性類(lèi)型定義，用于表示訪問(wèn)控制規(guī)則和支持信息結(jié)構(gòu)。這些定義能夠使用ISO/IEC l0164—1中定義的過(guò)程來(lái)遠(yuǎn)程控制訪問(wèn)控制信息。

參考文獻(xiàn):

[1] 李晉平.局域網(wǎng)絡(luò)絡(luò)組建和安全治理的實(shí)用技術(shù)[J].電腦開(kāi)發(fā)與應(yīng)用，2002，15(10):33-35.

[2] 王育民，劉建偉.通信網(wǎng)絡(luò)絡(luò)的安全——理論與技術(shù)[M].西安:西安電子科技大學(xué)出版社，2000.

[3] 陳煥東.計(jì)算機(jī)網(wǎng)絡(luò)安全及對(duì)策[J].瓊州大學(xué)學(xué)報(bào)，2003(5).