吕滨 关双城 刘晓红
黑龙江工程学院 黑龙江 150050
企业网建设之初较多侧重网络边界安全,遵循常规的安全理念部署防火墙、防毒墙、IPS、IDS、VPN等边界设备实现网络信息安全防护。但是实际情况是网络的大部分安全风险均来自于内部。近两年的安全防御调查表明,政府、企业、以及金融证券等单位中超过80%的管理和安全问题来自客户端,客户端安全管理涉及内网的每个用户,由于其分散性、独立性、缺乏技术保障和有效管理的特点,已成为信息安全体系的薄弱环节。因此,网络安全呈现出了新的发展趋势,对于各政府企业网络来说,安全战场已经逐步由核心与主干的防护,转向网络边缘的每一个客户端。为此,建立集中的安全管理平台并提供高效可靠客户端管理工具是非常重要的。
在知识型经济之下,企业信息资产显得特别重要,能否有效保护专有技术等内部信息,更是求存成功的关键,业务保障的基础。进入信息年代,机密商业资料一经泄露,不论是有意还是无意,始终会对企业的资产构成损失。因此企业需要严格监管员工使用电脑,防范因知识产权和机密商业资料通过电脑被泄漏而造成的重大损失。对于一个企业而言,需要保护的机密文件举不胜举,技术图纸、市场方案、会议纪要、投标书、财务报表、客户资料、价格体系目录等等。在企业大部分信息数据以电子文档保存的今天,如何才能既保证这些信息数据的全面共享,又能提高工作效率,保证其安全,防止泄密,是企业管理人员迫切希望解决的问题。
来自企业网络内部的安全威胁是普遍存在的。从SQL蠕虫、“冲击波”、“震荡波”、“熊猫烧香”等破坏性病毒的连续性爆发,到非法入侵、文件泄密、口令泄露、服务器系统瘫痪等诸多终端安全事件在各地网络频繁中发生,让所有政府机关和企业单位的网络管理人员头痛不已。总结起来,企业单位的内部网络管理大致面临着以下一些常见问题:
(1) 用户计算机的安全设置不规范,缺乏基本的安全防护;
(2) 没有及时安装安全补丁和防病毒软件,用户系统缺乏常规的安全维护;
(3) 用户随意安装未经安全认证的应用软件,或从外部网络下载含有缺陷或木马后门的程序,产生安全漏洞;
(4) 任意使用移动存储工具、光驱、软驱、或是打印设备等,非法复制,拷贝资料无法发现,事后也无法追查;
(5) 计算机硬件设备(如内存,硬盘)被更换或盗走,软件随意变更。
来自网络内部的计算机终端的安全威胁是众多安全管理人员所普遍面临的棘手问题。大量分散的网络客户端有效管理必须借助高效的管理工具才能实现。这类工具要具备以下基本功能:
(1) 基于统一的管理平台;
(2) 自动分发和执行统一的安全策略;
(3) 自动发现终端设备的系统漏洞并自动分发补丁;
(4) 快速有效的安全事件响应,及时阻断入侵和异常网络连接;
(5) 监控和管理用户的网上行为,限制某些网络操作;
(6) 全面的日志审计功能。
由IETF(Internet Engineering Task Force)提出的策略管理思想是先进的网络管理技术,其设计目标就是使网络管理过程的集成化和自动化。在标准的策略框架内,无需考虑网络设备数量、厂商型号和安装位置,而网络优化、配置更新、调整服务等操作也可以轻而易举地完成,极大地简化了大型复杂网络的管理维护工作。
当前,该领域的研究还处于起步阶段,主要研究集中在策略语言描述、策略信息模型建立;安全策略规范、传输协议以及安全事件识别与联动响应;策略管理系统设计和软硬件接口等方面。多数研究还处于探索和试验阶段,限于网络设备类型的复杂情况和各厂家产品对标准协议的支持不同,尤其在客户端管理上,难于实现统一的策略管理系统,因此还没有较为实用的解决方案。
策略管理系统由策略管理工具(PMT)、策略库(PDB)、策略服务器(PDP)和策略执行点(PEP) 四部分组成。涉及主要技术包括策略定义和描述、策略管理工具开发、策略决策与分发、策略事件响应与联动、策略执行与信息反馈等。本文重点讨论用于客户端管理的策略执行点设计的几个关键技术。
在策略管理系统中,策略执行点作为一个软件模块安装在受控主机中,实现安全监控、事件响应、策略请求和策略执行等一系列策略管理功能。该软件模块由信息采集、事件响应、状态监控、策略执行、日志审计、通信接口等功能模块组成。其基本结构如图1所示。
图1 策略执行点结构
(1) 信息采集模块设计
该模块采集用户主机配置、登录账户、系统升级、安全补丁、防病毒软件安装和升级等信息,为策略决策和分发提供支持。
信息采集功能多数通过调用系统API实现,同时提供第三方应用程序接口,便于应用户要求进行二次开发。
(2) 状态监控模块设计
状态监控模块可以在服务器支持下实现包括安全扫描、注册表监控、进程监控、事件预警等各项功能。
状态监控是一个独立开发的功能模块,与一般的网络安全软件不同,基于策略的安全管理系统不需要将这类软件都安装在客户机上,而是统一部署在专用服务器上,需要时由策略代理调用即可,这不但节省了用户资源,而且也便于管理和维护。更重要的是把那些网络安全厂家所提供的专业工具与企业网络安全管理实现了无缝结合,既保证了系统的强大功能和可靠性,又极大地简化了网络安全管理工作。
(3) 事件响应模块设计
事件响应模块捕捉系统的安全事件,如变更登录账号、修改配置、软件安装、更新网络连接、插拔移动设备以及系统定义的上网操作等。
模块感知事件信息后上传给策略服务器,由服务器根据预定义的安全策略调用相应的策略规则下发给客户端执行,依此将客户端置于安全策略的管理之下。
策略管理中的安全事件响应策略可以预先设定系统对哪些客户端事件做出响应。用户的安全级别不同,对应的安全策略也有所不同,系统管理员可以轻松地通过修改安全策略实现对网络内任意用户的安全管理。
(4) 策略执行模块设计
策略执行模块负责受理和执行服务器下发的安全策略,主要是安全配置、系统漏洞或病毒扫描、安装补丁、软件更新等操作,并将执行情况存入日志库备案。
策略执行模块提供客户端操作界面,用户可以手工执行其功能来检测和修补系统的安全漏洞,等同于为用户配备了一组安全维护工具,有效地防止因随意安装第三方工具软件而产生的冲突和故障,确保系统的完整性和可靠性。
基于策略的企业网安全管理系统由策略管理中心、策略服务器、策略数据库和嵌入式的策略执行点组成,其网络结构如图2所示。
策略管理系统基于“集中管理、分布部署”的思想,采用模块化结构设计,以策略管理为核心,为客户提供对全网的集中、高效的管理手段,客户可根据自己网络的实际需要进行有针对性的功能选择,大大降低安全管理的工作负荷和技术风险,确保在有限的投资预算中满足各种类型企业用户的安全需求。适合部署在各类企业网络系统中,保护终端主机的安全。
图2 基于策略管理系统的网络结构
此项研究利用自主开发的策略代理模块,将策略管理系统拓展至用户桌面,真正实现通过单一的安全策略部署,就可以在组织内部所有桌面主机、服务器、网络设备上部署和执行,为客户提供了实用的整体安全解决方案。
该系统在简化操作、降低总体拥有成本和适应未来扩展需求等方面都有突出的优势,随着策略管理工具开发、策略代理和通信协议标准化以及策略驱动的联动响应等各方面的研究和开发应用,将在未来的网络安全管理中发挥出日益重要的作用。
[1]北信源软件有限公司.内网安全管理及补丁分发系统技术白皮书[R].http://www.docin.com/p-53461412.html. 2005.
[2]A.Westerinen,J.Schnizlein,J.Strassner.Terminology for Policy based Management [s].IETF RFC3198.2001.
[3]卢锦泉.基于策略的网络管理的研究[D].广西大学.2006.
[4]李敬国.基于策略的网络安全管理的技术研究[D].上海交通大学.2003.
[5]郝宁,罗军舟,杨明.安全联动响应中安全策略中心的设计与应用[C].武汉大学学报(理学版).2004.
[6]向军,齐德昱,徐克付等.基于综合联动机制的网络安全模型研究[C].计算机工程与应用.2008.
[7]王新华,韦卫,朱震.基于策略的网络安全设备管理系统[C].计算机工程与应用.2005.
[8]韩锐生,赵彬,徐开勇.基于策略的一体化网络安全管理系统[C].计算机工程.2009.