关于网络安全管理中的策略冲突检测与解决

2013-10-17 06:39李祥龙

网络安全技术与应用 2013年10期

李祥龙

（公安海警学院浙江 315801）

0 前言

基于策略的网络管理技术不同于传统的网络管理,它将网络管理中的管理和执行分开,使得网络管理更为智能化。但是,由于不可避免的策略冲突阻碍着基于策略的网络管理技术的发展,如伺在基于策略的网络管理中解决策略冲突间题,有效的检测策略冲突的方法成为解决问题的关键。

1 冲突的发生

如果两个策略的策略本身重叠,即两个策略的主体,客体都重叠,并且赋予两个策略相互矛盾的动作,这样当两个策略同时满足条件时触发执行,就会发生意想不到的情况。由于策略最终会被解释为网络操作命令,而两个矛盾的策略必然会被解释为两个矛盾的命令,这样设备就会不知所措,冲突由此产生。

因此,策略冲突的发生需要满足几个条件,一是策略间的策略本身即策略主体和客体重叠,二是策略间有矛盾的策略动作,三是策略间的执行时间彼此覆盖或交叉,即两个策略之间的开始时间和结束时间区域有重叠。

2 冲突的分类

2.1 按照冲突发生时策略的状态

按照冲突发生时策略的状态冲突分为以下2种:

(l)静态冲突

静态冲突是在策略制定以后,向策略库存储时候,就已经与库中存在的策略发生冲突。静态冲突是一种实际冲突,在静态的时候就应该予以解决。

(2)动态冲突

动态冲突相对于静态冲突,属于一种潜在冲突,是指策略在制定完之后尚不能确定是否与库中策略存在冲突,但可以确定与库中的一些策略存在冲突的可能性。

2.2 按照策略作用对象间的关系

(1)内部策略冲突

内部策略冲突是当多个策略赋予同一个角色,这些策略间规定了一些相互矛盾的角色动作。比如如下两个策略:

策略Pl:规定管理员每天在8:30AM一11:30AM,1:00PM一5:00PM时间内可以开启用户在线查看服务器。

策略P2:规定管理员在休息日不可开启用户在线查看服务器。

由于两个策略Pl与PZ的主!客体相重叠,执行时间也相互交叉,因此两个策略必定会发生冲突,这种冲突称为内部策略冲突。

(2)外部策略冲突

外部策略冲突发生在一个用户具有多重角色的时候。由于多重角色的存在可能引发角色间策略的冲突。为了说明外部策略冲突问题,考虑下面两种策略:

Pl:只要审计文件没有达到一定大小之前,审计员可以在任何时间查看审计记录。

P2:管理员在任何时间都不允许查看审计记录。

这样对于一个具有审计员和管理员双重角色的管理人员来说就可能产生外部策略冲突。

(3)角色冲突

角色冲突在某中意义上来说不属于策略冲突,但是基于角色策略的软件都隐含的存在角色冲突"角色冲突是指某个员工在一个团体中具有多个角色,而这些角色之间违反了网络安全管理中事先定义好的权限分配,从而造成角色冲突。比如对于一个银行网络安全来说,不能对其内部一个员工赋予银行的出纳角色又赋予银行的审计员角色,因为一个银行员工同时具有出纳和审计员两个角色可能导致该员工修改审计服务器上的记录,造成银行数据不安全"这就是角色冲突。

3 冲突检测

3.1 冲突检测的目的

冲突检测有两个目的,一是发现策略间的实际冲突;二是策略间的潜在冲突,并记录下来,以便跟踪冲突潜在中的事件因素,一旦事件发生,扫描记录体查找冲突是否存在。

3.2 冲突数据库的建立

在不包括冲突检测与解决模块的基于策略的网络管理软件中,策略的一般定义是

其中TemporalorClassifier是指策略执行时间的一些特性,它包括10种类型。并且把这10种类型的集合称为完备集。Policycomment指策略的触发时间或者触发事件发生后策略开始执行的时刻,PolicyFinish指策略的触发时间或者触发事件发生后策略执行结束的时刻,PolicyRecur指策略满足某个条件时就反复执行。

通过策略间的TelllporalClassifier属性组合,结合策略的Polieyeornment、PolicyFinish和PolicyRecur属性列举出所有的冲突形成冲突表,从而组成冲突数据库。

4 解决冲突方法

4.1 特定策略优先级高于普通策略优先级规则

这个建立优先级的办法可以很好的解决管理员与职员角色之间的策略冲突。由于为管理员角色制定策略的特殊性,可以认为当两者发生冲突时,首先以管理员角色相关策略优先执行。

4.2 新策略优先级高于旧策略优先级

新策略优先级高于旧策略优先级规则也可以作为解决冲突的一种方法。这个解决办法一般是通过策略的创建时间来决定他们的执行顺序"创建时间最迟的策略一般比创建时间早的策略拥有更高的优先级。新策略优先级高于旧策略优先级规则在处理有些冲突时合适,但是在处理别的冲突时则可能不合适。例如前面所述管理员角色和一般职员角色例子,从前面的例子当中知道,对赋予管理员角色的职员会发生外部策略冲突,如果采用新策略优先级高于旧策略优先级来解决这个冲突时,两个策略的创建时间都需要去检查,当一个跟管理员角色有关的策略创建时间比与职员角色有关的策略创建时间早,那么,按照这个规则,职员角色相关的策略具有高优先级,而这明显是违背这种策略冲突的解决。因为在任何情况下,管理员角色相关策略应该具有高优先级。

[1]刘晖,沈钧毅,林欣.用CORBA创建电子商务系统[M].北京:希望电子出版社,2011.

[2]宋丽华，陈鸣.策略管理研究中的若干问题[J].解放军理工大学学报,2012(3):6.

[3]李庆海,张德运,段中兴,孙朝晖.基于角色的分布式策略管理规范设计与实现[J].西安交通大学学报,2011(6):38.