北京郵電大學 碩士學位論文 網絡安全管理平臺的設計與實現 姓名 裴娜 申請學位級別 碩士 專業 密碼學 指導教師 楊義先 20060304 網絡安全管理平臺的設計與實現 摘要 隨著信息網絡的飛速發展 越來越多的涉密信息都從傳統的媒介 轉移到網絡上存儲和傳輸 使網絡安全成為目前最迫切的需要人們去 關注的問題 大量的關于網絡安全的新技術不斷地產生 網絡安全設 備也越來越多樣化 人們對于網絡安全的要求越來越高 因此 網絡安全管理這個概念應運而生 網絡安全管理包括安全 策略的集中分發和管理 安全事件的集中監控和處理 針對安全設備 的特殊性質的特殊處理 防御體系的整體安全等 這些性質傳統的通 用網管軟件是無法滿足的 網絡安全管理作為一種特殊的網絡管理手 段 提高了安全設備的協作性能 提高了整個防御體系的安全性 彌 補了傳統網絡管理軟件的不足 本論文在開頭介紹了網絡安全管理技術較于通用網絡管理技術 的特點和優勢 并設計了一個分布式多層架構的網絡安全管理系統原 型 該系統在結構設計上 采取了分散處理 分散存儲 統一管理 統一審計的分布式結構 以適應網絡安全管理的需要 系統設計的特 點是采用了級聯結構 可以無限級聯 這種設計使系統結合了負載均 衡和分布式技術的優點 具有很大的靈活性和擴張性 可以適應從簡 單到復雜的網絡結構 該安全平臺通過集中的網絡安全管理來實現對網絡中多個安全 設備的總體配置 調控整個網絡多層面 分布式的安全系統 實現對 各種網絡安全資源的集中監控 統一策略管理 智能審計及多種安全 功能模塊之間的互動 使得網絡安全管理工作由繁變簡 更為有效 本文主要介紹了系統的設計思想 原型系統的系統框架結構 最 后總結了在系統設計中存在的不足和未來工作思路 關鍵詞 網絡安全 安全管理 策略 S 衄 D E S I G NA N DR E A IJ Z A T l 0 NO FN E T W O R K S E C U R I T Y M 匕 A G E M E N TP I 冊O R M A b s t r a c t I nt h el a r g e s c a l ec o m p u t e rn e t w o r kt h a tp r o V i d e ss e n s i t i V es e r v i c et ot h e m i l i t a r v f i n a n c i a le t c t h es e c u r i t yi so n e o fi t sm a i ni l l d e x C u e n tn e 錒o r ki 璐i d e s e i c e 加dn e wt e c l l l l i c a la d o p t i o n sp l a yi n c r e m e n t s a t i s j E i e dt h e 印p l i e dn e e d o nt h e 0 n eh a n d 0 nt h eo t h e r h 柚di n c r e a s e dt h e0 p p o n u I l i t yo fs a f c1 0 0 p h o l e 鋤d n e t l r o r k a t t a C k f o r c i n gt 0i n c r e 舔ea n du p d a t es e c u r i t yd e v i c e sc o n t i n u o u s l y 皿es a f e t yo f n e d yw h o l es y s t e mi sd e t e 皿i n e d b yt h e w e a k e S tp a ni n 也es y s t e m 1 h e r e t 0 d e d i n es e c u r i t Vr i s kt ot h el o w e s td e 鏟e e t h eo n l yw a y i st og a t h e re v c r yl i n do f d e v i C c sf o fs e c u d t y u n i 匆t h em 缸a g e m 鋤t i I I t e 伊a t et h e m s e t t i n gu ps u c c e s s l V el m e s o fd e f e n s e M o r e o v e rt 1 1 ei n C r c m e n to ft h ep r o V i s i o n sf o rs e c u r i t yc 卸s e sm 鋤a g e m e n t o fm e mb e c o m e s 鋤i m p o r t a n tp 硪0 fn 咖o r ks e c l l r i t y T om 柚a g e 觚dC 0 n t r o lt h es e C u r i t yd e V i c e sa n ds e c I I r i t y 印p l i 洲o n s 觚d s e c I l r i t yc v e n t si nt h el a 瑪e s c o p en e 吶o f k t h i sp 印e rd e s i 印e d aN S M n e 鰣o r k s e c l l r i t ym a n a g e m e I l t a I l dr e a l i z eap r o t o t y p es y s t e m T h es y s t e ma t t a i l l su n i f i e d a n d i n t e 黟a t e dm 柚a g e m e m 1 1 1 et a 瑪e to fs y s t e md e s i 印i st 0m 鋤a g ee V e r yk i n d0 fn e 腳o r kd e V i c e sf o r s e C l l r i t yi I ls o p l l i s t i c a t e dn c t w o r kc i r c u m s t 柚C e U s i n g u n i t e ds o R w a r ei n t e f f 她e c o n 納la I l dm 趾a g ev a r i o u sd e v i c e s 舶md i 虢r e n tV e n d o r S n en e 倆o r ks e C l l r i t y m 鋤a g c m e n ts y s t e mh O p e s t 0b es c a l a b l e d y n 鋤i cc t c I ti n t r o d u c e st h ed e s i 印o ft h ew h o l es y s t e mp r i l n a I i l y t h es y s t e m 行鋤c w o r ko f t h ep r o t o t p es y s t e m t a l l i e du pm es h o r t a g ce x i s ti I ls y s t e md e s i 伊觚d t h ef u t u r e w o r k K e y w o r d s n e 倆o r ks e c u r i t y s e c u r i t ym 鋤a g e m e n t p o l i c y S N M P 獨創性 或創新性 聲明 本人聲明所呈交的論文是本人在導師指導下進行的研究工作及取得的 研究成果 盡我所知 除了文中特別加以標注和致謝中所羅列的內容以外 論文中不包含其他人已經發表或撰寫過的研究成果 也不包含為獲得北京 郵電大學或其他教育機構的學位或證書而使用過的材料 與我一同工作的 同志對本研究所做的任何貢獻均已在論文中作了明確的說明并表示了謝 意 申請學位論文與資料若有不實之處 本人承擔一切相關責任 本人簽名 蜚麴臣日期 塑 蘭 z 7 學位論文使用授權說明 學位論文作者完全了解北京郵電大學有關保留和使用學位論文的規 定 即 研究生在校攻讀學位期間論文工作的知識產權單位屬北京郵電大 學 學校有權保留并向國家有關部門或機構送交論文的復印件和磁盤 允 許學位論文被查閱和借閱 學校可以公布學位論文的全部或部分內容 可 以允許采用影印 縮印或其它復制手段保存 匯編學位論文 保密的學 位論文在解密后遵守此規定 非保密論文注釋 本學位論文不屬于保密范圍 適用本授權書 本人簽名 垃日期 竺塹 蘭 27 導師簽名 蚴期 地 z 7 北京郵I 乜人學碩士研究生學位論義網絡安全管理平臺的改汁與實現 1 1 研究背景 第1 章緒論 近年來 網絡逐漸滲透到社會生活的各個方面 人們在網上查詢信息 企業 在網上發布信息 而政府則在網上公開信息 目前 在網絡應用的深入和技術頻繁升級的同時 非法訪問 惡意攻擊等安 全威脅也在不斷推陳出新 愈演愈烈 防火墻 V P N D S 防病毒 身份認證 數據加密 安全審計等安全防護和管理系統在網絡中得到了廣泛應用 雖然這些安全產品能夠在特定方面發揮一定的作用 但是這些產品大部分 功能分散 各自為戰 形成了相互沒有關聯的 安全孤島 各種安全產品彼此之 間沒有有效的統一管理調度機制 不能互相支撐 協伺工作 從而使安全產品的 應用效能無法得到充分的發揮 從網絡安全管理員的角度來說 最直接的需求就是在一個統一的界面中監視 網絡中各種安全設備的運行狀態 對產生的大量日志信息和報警信息進行統一匯 總 分析和審計 但是一方面 由于現今網絡中的設備 操作系統 應用系統數 量眾多 構成復雜 異構性 差異性非常大 而且各自都具有自己的控制管理平 臺 網絡管理員需要學習 了解不同平臺的使用及管理方法 并應用這些管理控 制平臺去管理網絡中的對象 設備 系統 用戶等 工作復雜度非常之大 另外 對大型網絡而言 管理與安全相關的事件變得越來越復雜 網絡管理 員必須將各個設備 系統產生的事件 信息關聯起來進行分析 才能發現新的或 更深層次的安全問題 因此 人們越來越多的認識到單一的安全技術是不能防范攻擊的 只有將防 火墻 入侵檢測 防病毒 認證和審計等各種技術結合起來 在統一的安全管理 平臺下協作 才能更好地保護網絡 用戶的網絡管理需要建立一種新型的整體網 絡安全管理解決方案 統一安全管理平臺 來總體配置 調控整個網絡多層面 分布式的安全系統 實現對各種網絡安全資源的集中監控 統一策略管理 智能 審計及多種安全功能模塊之間的互動 從而有效簡化網絡安全管理工作 提升網 絡的安全水平和可控制性 可管理性 降低用戶的整體安全管理開銷 北京郵電大學碩士研究生學位論文網絡安令管理平臺的設汁與實現 1 2 研究范圍和主要內容 作者在參與網絡安全管理平臺的研究項目的過程中 研究了當今國內外安 全管理平臺的相關技術及解決方案 并結合在聯想研究院信息安全實驗室實習期 間所作的工作 給出了一個網絡安全管理系統的架構設計和部分主要模塊 設備 監控與策略管理 的實現 本論文重點從以下幾個方面入手進行了研究和實現 1 網絡安全管理的定義 所需要解決的問題及范疇 2 探討了網絡安全管理技術與通用網絡管理技術的區別 研究了網絡安 全管理的功能需求和體系結構 分析各項技術的優缺點和主要適用范 圍 3 網絡安全管理平臺的體系架構分析 提出了一個多層架構的網絡安全 管理平臺 該系統采用無限級聯模式 可以無限擴充 適用于從簡單 到復雜的網絡環境 解決了以往的網絡安全管理系統擴充性不夠好的 問題 4 系統設計與實現 探討了網絡安全管理平臺的具體設計以及各模塊的 實現 將x M L 等標準組件技術應用于原型系統的設計 提出了該模型 應該具有的一些性能和技術特性 1 3 論文完成的工作和論文組織安排 論文分為以下幾部分 第一部分 綜述 第一部分由第一章和第二章組成 描述了論文的基本情況和技術背景 其 中 第一章介紹了網絡安全管理的研究背景以及論文的主要研究內容和組織結 構 第二章描述了網絡安全管理的各項技術 并著重討論普通網絡管理技術與網 絡安全管理技術的區別 第二部分 網絡安全管理平臺的架構研究 第二部分包括第三 四 五 六章 該部分是本論文的核心部分 第三章 提出了一個分布網絡安全管理平臺的總體框架和系統部署 并介紹了系統的各個 功能模塊 第四 五章分別詳細介紹了系統的核心模塊 設備監控模塊和安全策 略模塊的設計和實現 第六章介紹了系統接口 包括通信接口與系統接口 2 北京郵電大學碩 上形l 歹 生學位論文網絡安全管理j I 臺的設計與實現 第三部分即最后一章 該章節對論文作了總結 給出了本文所研究技術的 實際應用價值 并對它的一些優缺點做了評論 提出了一些還未解決的問題 以 及今后還需要作的進一步工作 北京郵電大學碩士研究生學位論義網絡安全管理 I 臺的毆汁與實現 第2 章網絡安全管理技術 隨著信息網絡的飛速發展 規模的越來越大 對現代網絡管理的功能需求 也就越來越復雜 目前這個時期 正是網絡管理軟件加速發展的黃金時期 原有 的標準被不斷的更新 目的就是為了滿足日益增長的網絡管理功能需求 提高網 絡管理的效率和降低網絡管理的成本 網絡管理技術的發展和標準的制定是與現代網絡管理的愿望和需求息息相 關的 隨著信息網絡的發展 一些新的概念和新的技術不斷地融入到現有的網絡 結構中 最近幾年 人們對現有網絡的安全越來越重視 大量網絡安全設備不斷 涌現 如防火墻 入侵檢測 安全審計等面向安全的網絡設備 這些設備的出現 改變了原有的網絡管理觀念 安全性漸漸成為首要的問題 這對現有的網絡管理 技術是一個嚴峻的挑戰 今天的網絡管理中 網絡管理者的愿望和當今網絡管理 軟件的實際實現之間還達不到一致 下面 我們將針對一般的網絡管理的功能需求和面向安全設備的網絡管理 的功能需求的異同進行探討 2 1 通用網絡管理特點 2 1 1 通用網絡管理系統的功能需求 在O S I 參考模型中 將網絡管理的功能需求劃分為5 大類 即故障管理 配置管理 帳務管理 性能管理和安全管理 這5 個功能域在當今網絡管理的設 計和實現中通常都是要考慮的 常用的大中型網管軟件如H PO p 朋v i e w m M T i v o l iN e f c w 3 C 哪S u p e i s o r C i s i C 0W o r l s S u nN e t M 觚a g e r 等都實現了故 障管理 配置管理 性能管理及部分的帳務管理和安全管理 從網絡管理者的角度 一般的網絡管理軟件應該具有如下的功能特點 1 能夠實現故障管理 配置管理 性能管理及部分的帳務管理和安全管 理功能 2 應該具有一定的通用性 廣泛支持各種網絡設備 覆蓋現在的和新的 軟硬件技術 3 可方便地實現集中或分布式管理 即提供可伸縮的二層或三層管理架 北京郵電人學碩 t 研究生學位論文網絡安全管理平臺的設計與實現 構 保護管理信息的安全和被管理設備的安全 確保重要信息和用戶權限 不被竊取 5 自動發現網絡設備 自動構成網絡拓撲圖 并可支持主動發現網絡設 備作為補充 6 提供合理的表示方法 對管理信息進行分類或分層處理 使用戶可以 方便地使用和迅速地定位 7 保證管理信息的及時性 尤其是礎事件或礬f 0 冊事件 可對1 1 R A P 事件進行自動分類或過濾處理 8 對監控信息提供B A S E I I N E 控制 數值達到規定閾值則報警 對危險 級別進行分類 達到一定級別就更換不同的顏色 給用戶以直觀的判 斷 9 提供必要的網絡診斷工具 使用戶可以不必借助其他工具就可以完成 管理過程 目前比較流行的網管軟件基本可以實現以上的功能特點 但還有一些功能 實現的不是很理想 2 1 2 通用網絡管理系統的體系結構 其實 目前國外比較流行的網管軟件包括H PO p e n e w I B M 砸v o l i N v i e w 3 C o mT f 鋤s c c n d N e 鉚0 r kS u p e r v i s o r C AU l l i c e n t e r S 吼N e t M 鋤a g c r F u j i t s l lS y s t e mW a l k e r C a b l e t 啪N e t S i 咖 N 0 v e U 網絡管理方案M 鋤 g c W i s e C i s c 0 網管方案等 國內的網管軟件還處于剛剛起步的階段 相關的產品如華為 的R M S 網管系統 大唐的G H e w 網管等電信網管系統及其他如北京游龍科技 的S i t e e w 和T C L 的T C L e w 等網管系統 這些通用的網管軟件一般都采用二層或三層管理架構 在二層管理架構中 管理中心和管理控制臺位于同一臺設備中 從不同的 被管網絡實體中收集信息 其優點是結構簡單 很容易部署 缺點是無法實現分 布式管理 在三層管理架構中 由網絡管理中心負責從各個被管理網絡實體中收 集信息 分散于網絡中各個部位的管理控制臺可通過用戶登陸到管理中心 對各 個管理設備進行管理 其特點是可實現分布式管理 無論是二層還是三層管理架構 在網管接口通信協議方面 都是一致的 目前 已普遍接受的是基于Q 3 接口的C M I P 基于C O R B A 接口的I I O P 以及基 于I n t e m e t S N M P 框架結構的S N M P 每種類型的接口都有對應的信息模型 與 C 室 墊奎蘭堡主墮塞竺堂垡笙塞塑壘室全笪型蘭魚塑絲 生 壅絲 I 以上三種接口相對應 分別采用G D M o A S N 1 I D L U M L 和M I B I I 方式進行信 息模型的描述 通用的網管軟件通常都支持S N M P 協議 一些大型的電信級網 管軟件如H Po p e n e w 和m M 面v o l iN e t e w 等還支持C M P 協議 在安全方面 因為S N M P v l 2 協議對安全性方面考慮的比較少 而S N M P V 3 又是最近兩年才趨向于成熟 大多數通用網管軟件標準版本中都沒有對S N M P V 3 的支持 即使實現也沒有完全利用S N M P V 3 的優勢 所以 通用網管軟件在安 全性方面實現的不是很理想 對管理信息和被管理設備來說 都存在著安全隱患 可能導致管理信息和用戶信息被竊取 H P0 I p e n v i e w 提供了S 卜m 佃S e c 嘣t yP a C k1 5 4 作為H P0 p e n v i e w 支持 S N M P V 3 的補丁包 m M n v o l iN e t e w 也提供了S N M P V 3A I 孽啪t sw i 也N e t v i c w 作為補丁 雖然部分通用網管軟件已經開始支持S M 仰V 3 但無論是采用兩層 架構還是三層架構 它們的安全策略都是分散到各個管理設備上的 而不是由網 管軟件集中分發的 這種方式不利于集中的安全管理 所以留下了安全隱患 總體來說 通用網管系統基本滿足了O S I 網絡管理的功能需求 全部或部分 實現了前面提到的網絡管理系統應具有的九個功能特點 但它并不適應網絡安全 管理的要求 2 2 網絡安全管理特點 2 2 1 網絡安全管理系統的功能需求 隨著信息網絡的飛速發展 越來越多的涉密信息都從傳統的媒介轉移到網絡 上存儲和傳輸 使網絡安全成為目前最迫切的需要人們去關注的問題 大量的關 于網絡安全的新技術不斷地產生 網絡安全設備也越來越多樣化 鑒于網絡安全 設備同其他網絡設備的不同和人們對網絡安全越來越高的需求 對網絡安全設備 的管理有著特殊的功能需求 因為網絡安全是最近幾年人們才開始重視的問題 所以 在技術方面 還在不斷地更新 這一點 傳統的通用網管軟件因為其通用 性和龐大的規模而無法跟上發展的腳步 所以 無法更好地滿足網絡安全的網絡 管理需求特別是對安全設備的管理需求 從安全的角度考慮 除一般網絡管理的功能需求外 對安全設備的網絡管理 還有如下的功能需求 1 安全策略的集中分發和管理 從安全的角度考慮 所有安全策略都應該 在管理中心集中分發 包括用戶權限的分配 密鑰的分發等 而不應該 分散執行 否則就會因為過于分散而無法管理 導致安全問題 I 6 北京郵電大學碩士研究生學位論文網絡安全管理平行的設計與實現 2 安全事件的集中監控和處理 從網路管理者的角度考慮 從管理中心應 該可以看到所有安全設備的當前運行狀態和安全狀態 反映整個防御體 系的整體運行狀態和安全狀態 3 針對安全設備的特殊性質如動態連接 動態規則等進行專門的處理 管 理中心應該可以根據網絡安全設備的特殊性質 為用戶提供針對性的表 示方法 方便用戶的管理 4 樹立安全第一的觀念 一切為了安全 強化安全防范措施 所有的管理 環節都必須達到與安全設備相同的安全級別 否則 根據傳統的木桶理 論 任何一個環節沒有安全防范措施 整體的安全性就會降低 5 根據最新的整體防御理念 網管軟件管理的所有安全設備應該構成一個 整體防御體系 具有整體的安全策略 上面的這些針對網絡安全設備的管理功能需求 通用網絡管理軟件是無法 滿足的 即使采用S N M P v 3 作為通信協議 但因為其架構和實現方法的不同 也無法滿足這些安全管理需求 2 2 2網絡安全管理系統的體系結構 為了滿足前面提到的網絡安全設備的管理功能需求 網絡安全管理系統一 般采用三層架構 三級安全管理架構從邏輯上分為管理對象 管理域服務器和管理終端三個 部分 這三個部分整體組成了一個安全管理域 安全管理域代表了一個空間 這個空間包含管理對象 管理域服務器 管 理終端三種類型的事物 管理員進入這個空間后 其管理行為都是通過這三種類 型的事物的相互作用而發生 并且所有管理行為都不超出安全管理域所代表的空 間 一個安全管理域就是一個整體的安全防御體系 它具有有整體的安全防御 策略 在安全管理域內 所有的管理內容都是以管理域服務器為中心 它是整個 安全管理域的獨裁者 它控制著整個安全管理域內所有的安全策略 權限分配和 每一個交互的指令 管理對象是需要管理的最終目標 它可以是某種物理設備如防火墻 入侵 檢測系統 N 網關等其他安全設備 它也可以是某種邏輯上的功能單元如訪 問控制單元 流量控制單元 負載均衡單元 用戶認證單元等 甚至它也可以是 運行在客戶機的單點安全系統 不同的管理對象共同組成了管理對象域 對象的 管理信息可以抽象為某種數據表達形式 相同的管理對象具有相同的管理信息結 7 北京郵電大學碩 研究生學位論文網絡安傘管理平臺的設計與實現 構但結構中的屬性不一樣 它們可以看成管理信息結構的多個實例 對管理對象的管理行為分兩種 第一種 對目標對象的管理信息結構進行 讀寫操作 這種情況下管理對象是被動的 第二種 管理對象主動的向管理域服 務器報告某種事件的發生或狀態的改變 管理域服務器的是整個三級管理模型的中心 它是整個網絡安全體系管理 信息架構的集合 它統一的把可管理的信息資源表達給管理終端 并把來自于各 個終端的對管理信息的訪問 根據一定的策略重新定向到對應的管理對象 因此 從管理終端的角度 管理域服務器集中了所有它可以管理的信息 管理域服務器 就是一個巨大的管理對象 其中也包括它自己本身的管理信息對象 管理域服務器作為安全域中的事件響應中心 負責接受管理對象的事件 并可根據預先制定的策略對事件作出響應 響應應該包括 記錄 報警或者回應 同時管理域服務器會根據策略和權限通知相應的管理員或者在線的管理終端 或 者對其他的管理對象進行相應的調整 即聯動 管理員可以制定策略 讓管理域服務器定時采集管理對象的某些具有統計 價值的管理信息 形成歷史記錄保存在本地數據庫中 并提供相應的接口讓管理 終端提取歷史記錄 管理域服務器可以作為內部安全子網用戶的安全服務平臺 為用戶提供諸 如 客戶端安全軟件的安裝升級 客戶端安全策略的分發 客戶帳戶的自助管理 等服務 為了提高系統的可靠性 管理域服務器應該是可以多機熱備份的 同一安 全體系中只存在一個主管理域服務器 但可以存在多個備份域服務器 各個服務 器之間自動同步管理信息 管理終端以某一管理員的名義對管理對象和和管理域服務器進行管理 管 理終端直接面對管理員用戶 需要提供易用的 圖形化的界面 對管理信息進行 格式化的輸出 并按照一定的界面邏輯對管理員的輸入進行處理 同時在線的管 理終端可以接受管理域服務器轉發的管理對象報告的T R A P 和玳f 0 珊信息 以 實時提示管理員用戶當前所發生的事件 通常用的管理終端有三種 通用S N M P 終端 專用管理終端 W e b 瀏覽器 8 北京郵電大學碩 j 研究生學位論文網絡安全管理平臺的設計與實現 2 3 總結 譬跫 量 詈跫 疆圣蔫暑跫并罐 C u u 辯 一 潭 高 1 I 暮 霹冀 F 1 WD 口摧 t 圈 一 柚 t o 捌 t l v t f C 口h o 址2 蜜圭量曩t 圖2 1 網絡安全管理系統的三層架構 通過前面對一般網絡設備的管理功能需求和面向安全設備的網絡管理功能 需求的比較 我們可以清晰地看到 對安全設備的網絡管理與一般的網絡設備有 著很大的不同 包括安全策略的集中分發和管理 安全事件的集中監控和處理 針對安全設備的特殊性質的特殊處理 防御體系的整體安全等 這些性質傳統的 通用網管軟件是無法滿足的 如果采用傳統的通用網管軟件 就會大大降低安全 設備的效能 降低整個防御體系的安全性 所以 必須研究一種新的專門針對網 絡安全的網絡安全管理系統 實際上 網絡安全管理不是一個簡單的系統 它包 括的內容非常多 主要涵蓋了安全風險控制 安全審計 設備監控 安全策略管 理等幾個方面 設備監控管理 指對網絡中所有的網絡設備 如服務器 防火墻 N 防病毒 入侵檢 測 網絡 主機 漏洞掃描等產品實現統一管理 統一監控 安全策略管理 指管理 保護及自動分發全局性的安全策略 包括對安全設備 操作系統 及應用系統的安全策略的管理 安全分析控制 確定 控制并消除或縮減系統資源的不定事件的總過程 包括風險分析 選擇 實現與測試 安全評估及所有的安全檢查 含系統補丁程序檢查 網絡安全設備審計 對網絡中的設備 操作系統及應用系統的日志信息收集匯總 實現對這些 北京郵電大學碩士研究生學位論丈 網絡安全管理 臺的設計與實現 信息的查詢和統計 并通過對這些集中的信息的進 步分析 可以得出更深層次 的安全分析結果 1 0 北京郵電大學碩士研究生學位論文網絡安全管理s l 臺的設計與實現 3 1 設計思想 第3 章網絡安全管理平臺總體框架 該網絡安全管理平臺的設計與實現特點如下 1 底層通信和數據交換協議采用S N M P v 3 這是一個被廣泛接受和支持的網絡 管理協議 2 系統用分層架構實現 可實現3 層乃至多層架構 易于擴展 3 能提供多種訪問方式和開發接口 4 為確保體系自身安全 對體系間釣信息交流進行加密傳輸 S S L 并使用了 訪問控制措施 3 2 設計原理和功能 網絡安全管理平臺中 用戶需要一個完整的網絡監控解決方案 通過采集網 絡信息 設備信息等 能夠對網絡設備 通信線路 網絡狀態 安全狀況等進行 監視和控制 并對這些網絡設備和網絡狀態進行充分的管理 使它們能夠達到本 來的對網絡安全穩定所起的作用 設備監控系統將通過集中的管理平臺來實現 集中式的管理平臺能夠總體監 控整個網絡多層面 分布式的系統 實現對各種網絡安全資源的集中監控 使得 網絡安全管理工作由繁變簡 更為有效 對網絡設備進行監控的時候 對于大多數普通網絡設備 應以管理和監控設 備的網絡狀態等基本內容為主 而針對于特定安全產品 除了對網絡狀態的監控 外 重點在設備管理狀態 安全狀態 應用狀態等的監控 通過統一的監控管理系統 將分散在各地區 不同網絡上面的各種設備有機 的結成一個整體 監控管理系統是全局的網絡狀態為核心 實時地集中收集設備 狀態信息 并進行相關性分析 并為網絡和設備提供真正有用控制 監控管理系 統還提供多種預警和響應機制 及時控制和處理事件 基于以上對功能和技術的需求 本文設計了一個靈活的可擴充的網絡安全 北京郵電大學碩 b 研究生學位論文 網絡安全管理平臺的設計與實現 管理平臺 該安全平臺通過集中的網絡安全管理來實現對網絡中多個安全設備的總體 配置 調控整個網絡多層面 分布式的安全系統 實現對各種網絡安全資源的集 中監控 統一策略管理 智能審計及多種安全功能模塊之間的互動 使得網絡安 全管理工作由繁變簡 更為有效 3 3 系統部署 由于安全設備管理處理本身的特點 在系統結構的設計上 采取了分散處 理 分散存儲 統一管理 統一審計的分布式結構 以適應安全管理的需要 設備 圖3 1 系統部署圖 如上圖所示 系統設計的特點之一是采用級聯結構 可以無限級聯 適應 從簡單到復雜的網絡結構 設備指包括被管理和監控的網絡安全設備 以及路由器等普通網絡設備 設備是最基礎的管理節點 事件服務器是網絡安全管理平臺的基礎服務器 承擔了系統結構中的 分 散處理 分散存儲 的功能 作為基礎服務器 事件服務器可以獨立運行 擁有事件管理的全部基本功 1 2 北京郵電大學碩士研究生學位論文網絡安全管理平臺的設計與實現 能 可以作為一個小型節點 幾臺受控設備 比較小的網絡范圍 內的事件管理 服務器 每個事件服務器最多只能有一個上級的事件管理中心 管理中心服務器是網絡安全管理平臺的中心管理服務器 承擔系統結構中 的統一管理 統一審計作用 事件管理中心支持級聯 每個管理中心最多只能有一個上級管理中心 3 4 軟件結構 下圖是事件服務器和管理中心服務器的軟件結構 反映了事件服務器和管理 中心之間的級聯關系 管理中心控制臺 c 傭s 0 1 e 審計終端 瀏覽器 彳 弋夕 簪椰由 嘛蘊翼 目 t 王T L r J 飄 r 6 n o r t a lS e r v e r 5 奄 7 b 圖3 2 事件服務器與管理中心級聯圖 下圖是管理中心之間級聯的關系 1 3 北京郵電大學碩 上研究生學位論文網絡安全管理平臺的設計與實現 上級管理中心控制臺 c o n s o l e 審汁終端 瀏覽器 彳 弋7 糌椰t b r 暇盤理r 把 r U 胍萬罱 J 釵 P o r t a lS e r v e r 7 膏e bS l r V e r 事件管理 安全設備監控 備I K 二二 爿 一 茹蓉裂 管理中心審計服務 A u d i t E v e n t 衄M e r l Iv 二晶l Z 下級管理中心控制臺 c 璐 l e I 審計終端 瀏覽器 介 么 之鄉 管理中心服務器 下級 I 陸試s e r v e r 夢弋 弋7 7 w e bs e r v e r 叫 竺篡黜尹懌刮鬻l 蚓能搿服務 I 如腳培e r D Bl 圖3 3 管理中心級聯圖 網絡安全管理平臺結構如上圖 主要組件包括 事件管理中心 中心控制臺 M a n a g e 憶o n s o I e 管理中心 仨V e n t M a n a g e r 數據庫 M a n a g e r D B 管理中心審計服務 M a n a g e r A u d t 事件服務器 事件服務器控制臺 E 垤n t c o n I e 事件服務器 E 垤n t s e n 倫r 事件適配器 E v e n t I A d a p 論r 數據庫 E 垤n t D B 事件 服務器審計服務 E 怕n t A u d n 下面分別描述 3 4 1 事件管理中心 管理系統以事件管理中心 簡稱管理中心 為核心 事件管理中心通過事件 服務器接收設備發出的事件 對事件進行實時分析 并寫入管理系統數據庫 同 時 事件管理中心還接收并處理控制臺的請求 管理設備組織結構 處理監控數 據 此外 事件管理中心還處理系統自身的身份及權限等 3 4 2 管理中 D 控制臺 事件管理中心控制臺 簡稱為管理控制臺 是用戶操作網絡安全管理平臺 的界面 用戶的操作通過控制臺反映給管理中心 并將處理的結果返回給控制臺 北京郵電大學顧I 研究生學位論文糾絡安全管理平臺的設計與實現 并顯示出來 控制臺包括多個控制臺模塊 系統管理控制臺模塊組提供對網絡安全管理平臺自身系統的管理與維護 包括用戶與權限管理 事件服務器管理 系統日志管理等部分 設備管理控制臺模塊組提供對設備組織結構的管理 設備地圖等功能的界 面 通過這個控制臺 管理員可以設定整個管理系統運行的方式 范圍等 系統監控控制臺模塊組提供對所管理設備的運行狀態 事件 日志 的實 時監視界面 一套網絡安全管理平臺系統可以有多個管理控制臺 3 4 3審計服務器 審計服務器是一個單獨的子系統 實現對存儲在管理系統數據庫中的設備 事件的查詢 統計分析 生成報表 并將結果通過w 曲S e e r 發送給審計終端 審計終端就是一個瀏覽器 例如m 事件管理中心和所有事件服務器各帶一個審計服務器 3 4 4 事件服務器 事件服務器是管理系統的下級管理機構 事件服務器通過事件適配器接收 設備發出的事件 對事件進行實時分析 并寫入事件服務器數據庫 同時 事件 服務器還接收并處理控制臺的請求 管理設備組織結構 處理監控數據 此外 事件服務器還可以接受事件管理中心的管理 將事件管理中心的控制命令通過事 件適配器轉發給控制臺 并將設備的日志和屬性參數等 傳送給管理中心 管理中心和事件服務器間通過專門的T C P S S L 通道連接 一套網絡安全管理平臺至多有一個管理中心實例 可以有多個事件服務器 實例 沒有事件管理中心 事件服務器也可以自成體系 獨立工作 3 4 5 事件適配器 事件適配器直接與安全設備代理 控制臺 連接 將事件服務器的控制命 令轉發給控制臺 并將設備的日志和屬性參數等 傳送給事件服務器 事件適配器必須與安全設備代理 控制臺 安裝在同一臺計算機 一套網絡安全管理平臺系統至少有一個事件服務器實例 可以有多個事件 適配器實例 3 4 6事件服務器控制臺 北京郵電大學碩士研究生學位論文網絡安全管理平臺的設汁與實現 事件服務器控制臺是管理中心控制臺的簡化 是事件服務器用戶操作事件 服務器的界面 用戶的操作通過控制臺反映給事件服務器 并將處理的結果返回 給控制臺并顯示出來 3 5 功能模塊結構 3 5 1安全設備管理 此類功能主要是以網絡安全設備為管理對象 所管理的安全設備加入網絡安 全管理平臺中或刪除 在系統中的設備可以被配置和監控 并為用戶提供多種表 現這些設備在網絡中的組織關系 位置信息的功能 以及用網絡安全管理平臺組 建用戶的安全管理組織網絡的功能 此外還有為了安全信息審計的需要 提供的 用戶主機組織管理功能 具體的功能有 設備組織管理 設備配置 設備地圖 主機管理 3 5 2安全設備監控 此類功能主要是以網絡設備的安全信息為管理對象 網絡安全管理平臺對來 自網絡安全設備的安全信息分類進行處理 對設備實時狀態信息 如C P U 網 口的狀態參數 進行顯示 對網絡安全事件和設備工作日志進行識別 歸一化 保存等數據管理工作 并同時對這些安全事件進行實時分析和統計 從中發現更 多和更深入的安全信息 這些安全事件還可以實時顯示在用戶界面上 3 5 3安全策略 此類功能主要是提供集中的方式處理網絡安全設備的策略配置問題 為用戶 提供統一的策略配置界面 用戶可在該界面中進行策略個性化配置 策略模板應 用和策略部署 3 5 4 安全審計 此類功能主要是以存儲在系統數據庫中網絡安全事件和安全設備日志為處 理對象 可以對這些安全信息根據各種條件進行查詢 找到每一條安全信息的詳 細記錄 可以對這些安全信息根據各種策略和規則 進行綜合分析和統計 產生 各種報表 為用戶提供各種網絡安全統計信息 并以符合國內用戶習慣的表格和 圖形的形式表現出來 1 6 一 北京郵電大學碩士研究生學位論文網絡安全管理 P 臺的 砹汁 j 實現 3 5 5 系統管理 作為安全管理平臺 網絡安全管理平臺自身的安全也是很重要的問題 網絡 安全管理平臺具有完善的自身用戶管理 以及用戶權限的管理 網絡安全管理平 臺能夠對系統本身的各種參數和安全性進行配置和控制 網絡安全管理平臺還可 以記錄并審計自身的工作日志 北京郵電大學碩卜研究生學位論文1 c 4 絡安全管理平臺的設計與實現 第4 章設備監控模塊的設計實現 在安全管理中心系統中 用戶需要一個完整的網絡監控解決方案 通過采 集網絡信息 設備信息等 能夠對網絡設備 通信線路 網絡狀態 安全狀況等 進行監視和控制 并對這些網絡設備和網絡狀態進行充分的管理 使它們能夠達 到本來的對網絡安全穩定所起的作用 設備監控系統將通過集中的管理平臺來實現 一個集中式的管理平臺能夠 總體監控整個網絡多層面 分布式的系統 實現對各種網絡安全資源的集中監控 使得網絡安全管理工作由繁變簡 更為有效 目前許多企業購置了大量不同的設備產品 功能的不同決定了它們有各自 不同的著眼點 我們在對網絡設備進行監控的時候 對于大多數普通網絡設備 我們以管理和監控設備的網絡狀態等基本內容為主 而針對于安全設備產品 我 們除了對網絡狀態的監控外 重點在設備管理狀態 安全狀態 應用狀態等的監 控 通過統一的監控管理系統 將分散在各地區 不同網絡上面的各種設備有 機的結成一個整體 監控管理系統是全局的網絡狀態為核心 實時地集中收集設 備狀態信息 并進行相關性分析 并為網絡和設備提供真正有用的控制 監控管 理系統還提供多種預警和響應機制 及時控制和處理事件 4 1 設計目標 設備監控功能允許用戶能夠監視整個計算環境中所有普通設備和安全設備 的運行狀態 控制和影響設備 主要提供 設備監視 提供多個設備的信息同時監視和單個設備的詳細信息監視 系 統對于普通s n m p 設備監控標準咖p 管理信息 對于安全設備提供更多設備相 關的監控信息 歷史數據分析 對于某些重要監控數據提供一段時間內的數據圖表分析 協助了解和診斷設備運行情況 系統提供對設備某一個事件段內的狀態監控 設備控制 提供設備的常用控制操作 包括關閉 重啟 阻斷網口等 設備配置 集成安全設備w e b 管理頁面 允許用戶直接配置設備 1 R 北京郵電大學碩士研究生學位論文網絡安全管理j I 臺的設計與實現 日志數量監控與日志記錄瀏覽 分類別統計被管設備的安全日志數量 并 提供部分最新目志的瀏覽 通過一個控制臺 用戶就能夠監控整個計算環境中所有安全設備的運行狀 態 針對系統中管理的設備 重點監視設備的網絡狀態 運行狀態 資源使用狀 態 通過監視設備網絡狀態來了解設備網絡接口的網絡負載 確定網絡端口是否 存在擁塞 判斷網絡接口是否正常工作 設備的運行狀態主要是通過監視一些設 備內的資源利用狀況來分析確定 如設備的C P U 利用率 內存利用率 磁盤利 用率等 在本網絡安全管理系統中 由用戶指定對設備進行監控的項目 系統定 期輪詢設備相關數據 以動態曲線的方式在客戶端界面上顯示 當監控的某種參 數值異常時 說明當前設備運行狀態可能存在某些問題 系統給出告警提示 通 知用戶 監視設備是否在線 普通設備以I C M PP 礬G 或S N M PG E T 方式 對于安 全設備 以接收H c a n B e a t P I N G S M 訌PG E T 相結合的方式 監控設備范圍 設備監控對象包含兩類 普通設備和安全設備 防火墻 I D S 等 4 2 處理流程 4 2 1 系統邏輯流程 服務器端 啟動網絡設備狀態論詢服務D e v i c c S t a t u s P o l l i n g S e r v i c e 啟動設備監控調度服務D e v i C e M o n i t o r s c h e d u l e r S e r v i c e 注冊服務器端應用D e v i C c M o n i t o r M B e 孤 響應客戶端請求 根據監聽和論詢服務 主動向客戶端發送消息通知 客戶端 主程序加載 連接服務器 獲取數據 顯示設備狀態等 接收服務器端消息并顯示 接收用戶操作 1 9 北京郵電大學碩 研究生學位論文 網絡安全管理平臺的設計與實現 請求服務器 得到操作結果 顯示 4 2 2即時監控方式 當用戶選中某設備 進行設備狀態監控時 設備采用即時監控方式 由客 戶端發起設備監控請求 管理中心接收到客戶端請求后 調用監控服務M b e a n 向設備或事件服務器查詢設備監控數據 返回客戶端顯示 對于比較占用網絡帶 寬 系統資源的操作 或對單一設備的中點監控 采用即時監控方式 2 0 北京郵電大學碩士研究生學位論文網絡安全管理平臺的設計與實現 4 2 3監控調度管理 圖4 1 即時監控流程圖 系統可以對設備進行長時間的狀態監控 首先由用戶指定要進行自動監控 的設備列表 然后安全管理中心后臺從設備列表中讀取設備 以一定的時問間隔 北京哪電人學碩士研究生學位論文網絡安全管理平臺的設汁與實現 定期自動從設備或事件服務器上查詢設備狀態 并將設備狀態數據以一定的格式 記錄到文件中 系統自動完成在一段時間內的設備狀態的記錄 當用戶需要查看 設備歷史狀態時 通過查看記錄到文件的設備狀態數據 形成設備狀態呈現 并 能夠對設備狀態歷史數據進行分析 得到設備一段時間內的監控結果 系統對設備可自動監控的項目有 普通設備 網絡傳輸速率 數據包傳輸速率 網絡利用率等 防火墻等安全設備 網絡傳輸速率 數據包傳輸速率 網絡利用率 C P U 利用率 內存利用率 磁盤利用率 防火墻會話連接數量 口S c c P P l 甲 I2 T P 隧道連接數量 日志數量 事件服務器管理的設備 等 北京郵電大學碩士研究生學位論史 網絡安全管理平臺的毆汁與實現 4 3 數據結構設計 圖4 2 狀態監控流程圖 設備監控數據單元的數據類的表示 p u b l i cj n t e r f a c eD e V T n f 0 北京郵電大學壩 研究生學位論文 網絡安全管理平臺的設計與實現 具體數據類的表示 S y s t a I I n f o I I I p M 血I n f o I n e 丫I n f o I n t 舶吁 I n f o 吃蟹蚋 腳略f J p s e 乜婦 S t r i t 嗨n B 髓1 喈學比l 魁糟力h 撕fp 日 s e t o p e r a t i o m 砧s t s t r i n gt 盼S t t g e t o p e r 雹t i d i t t I 姍t e I n f o s e t 啊r a t i o n T i 粥 l k t et i 酌 Z 0 I p t 圳i a I n f o l D i 5 k I n f o 1 咖r y I n f oC 陽I n f o I n t e r f a c e I n f o l 一 l 圖4 3 具體數據類的表示 2 4 北京郵電大學碩士研究生學位論文州絡安全管理平臺的毆計與實現 類定義說明 s y s t e m I n f 0 s y s t 鋤組中的信息的類表示 具體包含系統名稱 描述 聯系方式 位置等屬性的定義 I n t e r f h c e I n f o i I