碩士論文-網(wǎng)絡(luò)安全管理平臺(tái)的設(shè)計(jì)與實(shí)現(xiàn).pdf

北京郵電大學(xué) 碩士學(xué)位論文 網(wǎng)絡(luò)安全管理平臺(tái)的設(shè)計(jì)與實(shí)現(xiàn) 姓名 裴娜 申請(qǐng)學(xué)位級(jí)別 碩士 專業(yè) 密碼學(xué) 指導(dǎo)教師 楊義先 20060304 網(wǎng)絡(luò)安全管理平臺(tái)的設(shè)計(jì)與實(shí)現(xiàn) 摘要 隨著信息網(wǎng)絡(luò)的飛速發(fā)展 越來越多的涉密信息都從傳統(tǒng)的媒介 轉(zhuǎn)移到網(wǎng)絡(luò)上存儲(chǔ)和傳輸 使網(wǎng)絡(luò)安全成為目前最迫切的需要人們?nèi)?關(guān)注的問題 大量的關(guān)于網(wǎng)絡(luò)安全的新技術(shù)不斷地產(chǎn)生 網(wǎng)絡(luò)安全設(shè) 備也越來越多樣化 人們對(duì)于網(wǎng)絡(luò)安全的要求越來越高 因此 網(wǎng)絡(luò)安全管理這個(gè)概念應(yīng)運(yùn)而生 網(wǎng)絡(luò)安全管理包括安全 策略的集中分發(fā)和管理 安全事件的集中監(jiān)控和處理 針對(duì)安全設(shè)備 的特殊性質(zhì)的特殊處理 防御體系的整體安全等 這些性質(zhì)傳統(tǒng)的通 用網(wǎng)管軟件是無法滿足的 網(wǎng)絡(luò)安全管理作為一種特殊的網(wǎng)絡(luò)管理手 段 提高了安全設(shè)備的協(xié)作性能 提高了整個(gè)防御體系的安全性 彌 補(bǔ)了傳統(tǒng)網(wǎng)絡(luò)管理軟件的不足 本論文在開頭介紹了網(wǎng)絡(luò)安全管理技術(shù)較于通用網(wǎng)絡(luò)管理技術(shù) 的特點(diǎn)和優(yōu)勢(shì) 并設(shè)計(jì)了一個(gè)分布式多層架構(gòu)的網(wǎng)絡(luò)安全管理系統(tǒng)原 型 該系統(tǒng)在結(jié)構(gòu)設(shè)計(jì)上 采取了分散處理 分散存儲(chǔ) 統(tǒng)一管理 統(tǒng)一審計(jì)的分布式結(jié)構(gòu) 以適應(yīng)網(wǎng)絡(luò)安全管理的需要 系統(tǒng)設(shè)計(jì)的特 點(diǎn)是采用了級(jí)聯(lián)結(jié)構(gòu) 可以無限級(jí)聯(lián) 這種設(shè)計(jì)使系統(tǒng)結(jié)合了負(fù)載均 衡和分布式技術(shù)的優(yōu)點(diǎn) 具有很大的靈活性和擴(kuò)張性 可以適應(yīng)從簡(jiǎn) 單到復(fù)雜的網(wǎng)絡(luò)結(jié)構(gòu) 該安全平臺(tái)通過集中的網(wǎng)絡(luò)安全管理來實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)中多個(gè)安全 設(shè)備的總體配置 調(diào)控整個(gè)網(wǎng)絡(luò)多層面 分布式的安全系統(tǒng) 實(shí)現(xiàn)對(duì) 各種網(wǎng)絡(luò)安全資源的集中監(jiān)控 統(tǒng)一策略管理 智能審計(jì)及多種安全 功能模塊之間的互動(dòng) 使得網(wǎng)絡(luò)安全管理工作由繁變簡(jiǎn) 更為有效 本文主要介紹了系統(tǒng)的設(shè)計(jì)思想 原型系統(tǒng)的系統(tǒng)框架結(jié)構(gòu) 最 后總結(jié)了在系統(tǒng)設(shè)計(jì)中存在的不足和未來工作思路 關(guān)鍵詞 網(wǎng)絡(luò)安全 安全管理 策略 S 衄 D E S I G NA N DR E A IJ Z A T l 0 NO FN E T W O R K S E C U R I T Y M 匕 A G E M E N TP I 冊(cè)O(shè) R M A b s t r a c t I nt h el a r g e s c a l ec o m p u t e rn e t w o r kt h a tp r o V i d e ss e n s i t i V es e r v i c et ot h e m i l i t a r v f i n a n c i a le t c t h es e c u r i t yi so n e o fi t sm a i ni l l d e x C u e n tn e 錒o r ki 璐i d e s e i c e 加dn e wt e c l l l l i c a la d o p t i o n sp l a yi n c r e m e n t s a t i s j E i e dt h e 印p l i e dn e e d o nt h e 0 n eh a n d 0 nt h eo t h e r h 柚di n c r e a s e dt h e0 p p o n u I l i t yo fs a f c1 0 0 p h o l e 鋤d n e t l r o r k a t t a C k f o r c i n gt 0i n c r e 舔ea n du p d a t es e c u r i t yd e v i c e sc o n t i n u o u s l y 皿es a f e t yo f n e d yw h o l es y s t e mi sd e t e 皿i n e d b yt h e w e a k e S tp a ni n 也es y s t e m 1 h e r e t 0 d e d i n es e c u r i t Vr i s kt ot h el o w e s td e 鏟e e t h eo n l yw a y i st og a t h e re v c r yl i n do f d e v i C c sf o fs e c u d t y u n i 匆t h em 缸a g e m 鋤t i I I t e 伊a t et h e m s e t t i n gu ps u c c e s s l V el m e s o fd e f e n s e M o r e o v e rt 1 1 ei n C r c m e n to ft h ep r o V i s i o n sf o rs e c u r i t yc 卸s e sm 鋤a g e m e n t o fm e mb e c o m e s 鋤i m p o r t a n tp 硪0 fn 咖o r ks e c l l r i t y T om 柚a g e 觚dC 0 n t r o lt h es e C u r i t yd e V i c e sa n ds e c I I r i t y 印p l i 洲o n s 觚d s e c I l r i t yc v e n t si nt h el a 瑪e s c o p en e 吶o f k t h i sp 印e rd e s i 印e d aN S M n e 鰣o r k s e c l l r i t ym a n a g e m e I l t a I l dr e a l i z eap r o t o t y p es y s t e m T h es y s t e ma t t a i l l su n i f i e d a n d i n t e 黟a t e dm 柚a g e m e m 1 1 1 et a 瑪e to fs y s t e md e s i 印i st 0m 鋤a g ee V e r yk i n d0 fn e 腳o r kd e V i c e sf o r s e C l l r i t yi I ls o p l l i s t i c a t e dn c t w o r kc i r c u m s t 柚C e U s i n g u n i t e ds o R w a r ei n t e f f 她e c o n 納la I l dm 趾a g ev a r i o u sd e v i c e s 舶md i 虢r e n tV e n d o r S n en e 倆o r ks e C l l r i t y m 鋤a g c m e n ts y s t e mh O p e s t 0b es c a l a b l e d y n 鋤i cc t c I ti n t r o d u c e st h ed e s i 印o ft h ew h o l es y s t e mp r i l n a I i l y t h es y s t e m 行鋤c w o r ko f t h ep r o t o t p es y s t e m t a l l i e du pm es h o r t a g ce x i s ti I ls y s t e md e s i 伊觚d t h ef u t u r e w o r k K e y w o r d s n e 倆o r ks e c u r i t y s e c u r i t ym 鋤a g e m e n t p o l i c y S N M P 獨(dú)創(chuàng)性 或創(chuàng)新性 聲明 本人聲明所呈交的論文是本人在導(dǎo)師指導(dǎo)下進(jìn)行的研究工作及取得的 研究成果 盡我所知 除了文中特別加以標(biāo)注和致謝中所羅列的內(nèi)容以外 論文中不包含其他人已經(jīng)發(fā)表或撰寫過的研究成果 也不包含為獲得北京 郵電大學(xué)或其他教育機(jī)構(gòu)的學(xué)位或證書而使用過的材料 與我一同工作的 同志對(duì)本研究所做的任何貢獻(xiàn)均已在論文中作了明確的說明并表示了謝 意 申請(qǐng)學(xué)位論文與資料若有不實(shí)之處 本人承擔(dān)一切相關(guān)責(zé)任 本人簽名 蜚麴臣日期 塑 蘭 z 7 學(xué)位論文使用授權(quán)說明 學(xué)位論文作者完全了解北京郵電大學(xué)有關(guān)保留和使用學(xué)位論文的規(guī) 定 即 研究生在校攻讀學(xué)位期間論文工作的知識(shí)產(chǎn)權(quán)單位屬北京郵電大 學(xué) 學(xué)校有權(quán)保留并向國(guó)家有關(guān)部門或機(jī)構(gòu)送交論文的復(fù)印件和磁盤 允 許學(xué)位論文被查閱和借閱 學(xué)?？梢怨紝W(xué)位論文的全部或部分內(nèi)容 可 以允許采用影印 縮印或其它復(fù)制手段保存 匯編學(xué)位論文 保密的學(xué) 位論文在解密后遵守此規(guī)定 非保密論文注釋 本學(xué)位論文不屬于保密范圍 適用本授權(quán)書 本人簽名 垃日期 竺塹 蘭 27 導(dǎo)師簽名 蚴期 地 z 7 北京郵I 乜人學(xué)碩士研究生學(xué)位論義網(wǎng)絡(luò)安全管理平臺(tái)的改汁與實(shí)現(xiàn) 1 1 研究背景 第1 章緒論 近年來 網(wǎng)絡(luò)逐漸滲透到社會(huì)生活的各個(gè)方面 人們?cè)诰W(wǎng)上查詢信息 企業(yè) 在網(wǎng)上發(fā)布信息 而政府則在網(wǎng)上公開信息 目前 在網(wǎng)絡(luò)應(yīng)用的深入和技術(shù)頻繁升級(jí)的同時(shí) 非法訪問 惡意攻擊等安 全威脅也在不斷推陳出新 愈演愈烈 防火墻 V P N D S 防病毒 身份認(rèn)證 數(shù)據(jù)加密 安全審計(jì)等安全防護(hù)和管理系統(tǒng)在網(wǎng)絡(luò)中得到了廣泛應(yīng)用 雖然這些安全產(chǎn)品能夠在特定方面發(fā)揮一定的作用 但是這些產(chǎn)品大部分 功能分散 各自為戰(zhàn) 形成了相互沒有關(guān)聯(lián)的 安全孤島 各種安全產(chǎn)品彼此之 間沒有有效的統(tǒng)一管理調(diào)度機(jī)制 不能互相支撐 協(xié)伺工作 從而使安全產(chǎn)品的 應(yīng)用效能無法得到充分的發(fā)揮 從網(wǎng)絡(luò)安全管理員的角度來說 最直接的需求就是在一個(gè)統(tǒng)一的界面中監(jiān)視 網(wǎng)絡(luò)中各種安全設(shè)備的運(yùn)行狀態(tài) 對(duì)產(chǎn)生的大量日志信息和報(bào)警信息進(jìn)行統(tǒng)一匯 總 分析和審計(jì) 但是一方面 由于現(xiàn)今網(wǎng)絡(luò)中的設(shè)備 操作系統(tǒng) 應(yīng)用系統(tǒng)數(shù) 量眾多 構(gòu)成復(fù)雜 異構(gòu)性 差異性非常大 而且各自都具有自己的控制管理平 臺(tái) 網(wǎng)絡(luò)管理員需要學(xué)習(xí) 了解不同平臺(tái)的使用及管理方法 并應(yīng)用這些管理控 制平臺(tái)去管理網(wǎng)絡(luò)中的對(duì)象 設(shè)備 系統(tǒng) 用戶等 工作復(fù)雜度非常之大 另外 對(duì)大型網(wǎng)絡(luò)而言 管理與安全相關(guān)的事件變得越來越復(fù)雜 網(wǎng)絡(luò)管理 員必須將各個(gè)設(shè)備 系統(tǒng)產(chǎn)生的事件 信息關(guān)聯(lián)起來進(jìn)行分析 才能發(fā)現(xiàn)新的或 更深層次的安全問題 因此 人們?cè)絹碓蕉嗟恼J(rèn)識(shí)到單一的安全技術(shù)是不能防范攻擊的 只有將防 火墻 入侵檢測(cè) 防病毒 認(rèn)證和審計(jì)等各種技術(shù)結(jié)合起來 在統(tǒng)一的安全管理 平臺(tái)下協(xié)作 才能更好地保護(hù)網(wǎng)絡(luò) 用戶的網(wǎng)絡(luò)管理需要建立一種新型的整體網(wǎng) 絡(luò)安全管理解決方案 統(tǒng)一安全管理平臺(tái) 來總體配置 調(diào)控整個(gè)網(wǎng)絡(luò)多層面 分布式的安全系統(tǒng) 實(shí)現(xiàn)對(duì)各種網(wǎng)絡(luò)安全資源的集中監(jiān)控 統(tǒng)一策略管理 智能 審計(jì)及多種安全功能模塊之間的互動(dòng) 從而有效簡(jiǎn)化網(wǎng)絡(luò)安全管理工作 提升網(wǎng) 絡(luò)的安全水平和可控制性 可管理性 降低用戶的整體安全管理開銷 北京郵電大學(xué)碩士研究生學(xué)位論文網(wǎng)絡(luò)安令管理平臺(tái)的設(shè)汁與實(shí)現(xiàn) 1 2 研究范圍和主要內(nèi)容 作者在參與網(wǎng)絡(luò)安全管理平臺(tái)的研究項(xiàng)目的過程中 研究了當(dāng)今國(guó)內(nèi)外安 全管理平臺(tái)的相關(guān)技術(shù)及解決方案 并結(jié)合在聯(lián)想研究院信息安全實(shí)驗(yàn)室實(shí)習(xí)期 間所作的工作 給出了一個(gè)網(wǎng)絡(luò)安全管理系統(tǒng)的架構(gòu)設(shè)計(jì)和部分主要模塊 設(shè)備 監(jiān)控與策略管理 的實(shí)現(xiàn) 本論文重點(diǎn)從以下幾個(gè)方面入手進(jìn)行了研究和實(shí)現(xiàn) 1 網(wǎng)絡(luò)安全管理的定義 所需要解決的問題及范疇 2 探討了網(wǎng)絡(luò)安全管理技術(shù)與通用網(wǎng)絡(luò)管理技術(shù)的區(qū)別 研究了網(wǎng)絡(luò)安 全管理的功能需求和體系結(jié)構(gòu) 分析各項(xiàng)技術(shù)的優(yōu)缺點(diǎn)和主要適用范 圍 3 網(wǎng)絡(luò)安全管理平臺(tái)的體系架構(gòu)分析 提出了一個(gè)多層架構(gòu)的網(wǎng)絡(luò)安全 管理平臺(tái) 該系統(tǒng)采用無限級(jí)聯(lián)模式 可以無限擴(kuò)充 適用于從簡(jiǎn)單 到復(fù)雜的網(wǎng)絡(luò)環(huán)境 解決了以往的網(wǎng)絡(luò)安全管理系統(tǒng)擴(kuò)充性不夠好的 問題 4 系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn) 探討了網(wǎng)絡(luò)安全管理平臺(tái)的具體設(shè)計(jì)以及各模塊的 實(shí)現(xiàn) 將x M L 等標(biāo)準(zhǔn)組件技術(shù)應(yīng)用于原型系統(tǒng)的設(shè)計(jì) 提出了該模型 應(yīng)該具有的一些性能和技術(shù)特性 1 3 論文完成的工作和論文組織安排 論文分為以下幾部分 第一部分 綜述 第一部分由第一章和第二章組成 描述了論文的基本情況和技術(shù)背景 其 中 第一章介紹了網(wǎng)絡(luò)安全管理的研究背景以及論文的主要研究?jī)?nèi)容和組織結(jié) 構(gòu) 第二章描述了網(wǎng)絡(luò)安全管理的各項(xiàng)技術(shù) 并著重討論普通網(wǎng)絡(luò)管理技術(shù)與網(wǎng) 絡(luò)安全管理技術(shù)的區(qū)別 第二部分 網(wǎng)絡(luò)安全管理平臺(tái)的架構(gòu)研究 第二部分包括第三 四 五 六章 該部分是本論文的核心部分 第三章 提出了一個(gè)分布網(wǎng)絡(luò)安全管理平臺(tái)的總體框架和系統(tǒng)部署 并介紹了系統(tǒng)的各個(gè) 功能模塊 第四 五章分別詳細(xì)介紹了系統(tǒng)的核心模塊 設(shè)備監(jiān)控模塊和安全策 略模塊的設(shè)計(jì)和實(shí)現(xiàn) 第六章介紹了系統(tǒng)接口 包括通信接口與系統(tǒng)接口 2 北京郵電大學(xué)碩 上形l 歹 生學(xué)位論文網(wǎng)絡(luò)安全管理j I 臺(tái)的設(shè)計(jì)與實(shí)現(xiàn) 第三部分即最后一章 該章節(jié)對(duì)論文作了總結(jié) 給出了本文所研究技術(shù)的 實(shí)際應(yīng)用價(jià)值 并對(duì)它的一些優(yōu)缺點(diǎn)做了評(píng)論 提出了一些還未解決的問題 以 及今后還需要作的進(jìn)一步工作 北京郵電大學(xué)碩士研究生學(xué)位論義網(wǎng)絡(luò)安全管理 I 臺(tái)的毆汁與實(shí)現(xiàn) 第2 章網(wǎng)絡(luò)安全管理技術(shù) 隨著信息網(wǎng)絡(luò)的飛速發(fā)展 規(guī)模的越來越大 對(duì)現(xiàn)代網(wǎng)絡(luò)管理的功能需求 也就越來越復(fù)雜 目前這個(gè)時(shí)期 正是網(wǎng)絡(luò)管理軟件加速發(fā)展的黃金時(shí)期 原有 的標(biāo)準(zhǔn)被不斷的更新 目的就是為了滿足日益增長(zhǎng)的網(wǎng)絡(luò)管理功能需求 提高網(wǎng) 絡(luò)管理的效率和降低網(wǎng)絡(luò)管理的成本 網(wǎng)絡(luò)管理技術(shù)的發(fā)展和標(biāo)準(zhǔn)的制定是與現(xiàn)代網(wǎng)絡(luò)管理的愿望和需求息息相 關(guān)的 隨著信息網(wǎng)絡(luò)的發(fā)展 一些新的概念和新的技術(shù)不斷地融入到現(xiàn)有的網(wǎng)絡(luò) 結(jié)構(gòu)中 最近幾年 人們對(duì)現(xiàn)有網(wǎng)絡(luò)的安全越來越重視 大量網(wǎng)絡(luò)安全設(shè)備不斷 涌現(xiàn) 如防火墻 入侵檢測(cè) 安全審計(jì)等面向安全的網(wǎng)絡(luò)設(shè)備 這些設(shè)備的出現(xiàn) 改變了原有的網(wǎng)絡(luò)管理觀念 安全性漸漸成為首要的問題 這對(duì)現(xiàn)有的網(wǎng)絡(luò)管理 技術(shù)是一個(gè)嚴(yán)峻的挑戰(zhàn) 今天的網(wǎng)絡(luò)管理中 網(wǎng)絡(luò)管理者的愿望和當(dāng)今網(wǎng)絡(luò)管理 軟件的實(shí)際實(shí)現(xiàn)之間還達(dá)不到一致 下面 我們將針對(duì)一般的網(wǎng)絡(luò)管理的功能需求和面向安全設(shè)備的網(wǎng)絡(luò)管理 的功能需求的異同進(jìn)行探討 2 1 通用網(wǎng)絡(luò)管理特點(diǎn) 2 1 1 通用網(wǎng)絡(luò)管理系統(tǒng)的功能需求 在O S I 參考模型中 將網(wǎng)絡(luò)管理的功能需求劃分為5 大類 即故障管理 配置管理 帳務(wù)管理 性能管理和安全管理 這5 個(gè)功能域在當(dāng)今網(wǎng)絡(luò)管理的設(shè) 計(jì)和實(shí)現(xiàn)中通常都是要考慮的 常用的大中型網(wǎng)管軟件如H PO p 朋v i e w m M T i v o l iN e f c w 3 C 哪S u p e i s o r C i s i C 0W o r l s S u nN e t M 觚a g e r 等都實(shí)現(xiàn)了故 障管理 配置管理 性能管理及部分的帳務(wù)管理和安全管理 從網(wǎng)絡(luò)管理者的角度 一般的網(wǎng)絡(luò)管理軟件應(yīng)該具有如下的功能特點(diǎn) 1 能夠?qū)崿F(xiàn)故障管理 配置管理 性能管理及部分的帳務(wù)管理和安全管 理功能 2 應(yīng)該具有一定的通用性 廣泛支持各種網(wǎng)絡(luò)設(shè)備 覆蓋現(xiàn)在的和新的 軟硬件技術(shù) 3 可方便地實(shí)現(xiàn)集中或分布式管理 即提供可伸縮的二層或三層管理架 北京郵電人學(xué)碩 t 研究生學(xué)位論文網(wǎng)絡(luò)安全管理平臺(tái)的設(shè)計(jì)與實(shí)現(xiàn) 構(gòu) 保護(hù)管理信息的安全和被管理設(shè)備的安全 確保重要信息和用戶權(quán)限 不被竊取 5 自動(dòng)發(fā)現(xiàn)網(wǎng)絡(luò)設(shè)備 自動(dòng)構(gòu)成網(wǎng)絡(luò)拓?fù)鋱D 并可支持主動(dòng)發(fā)現(xiàn)網(wǎng)絡(luò)設(shè) 備作為補(bǔ)充 6 提供合理的表示方法 對(duì)管理信息進(jìn)行分類或分層處理 使用戶可以 方便地使用和迅速地定位 7 保證管理信息的及時(shí)性 尤其是礎(chǔ)事件或礬f 0 冊(cè)事件 可對(duì)1 1 R A P 事件進(jìn)行自動(dòng)分類或過濾處理 8 對(duì)監(jiān)控信息提供B A S E I I N E 控制 數(shù)值達(dá)到規(guī)定閾值則報(bào)警 對(duì)危險(xiǎn) 級(jí)別進(jìn)行分類 達(dá)到一定級(jí)別就更換不同的顏色 給用戶以直觀的判 斷 9 提供必要的網(wǎng)絡(luò)診斷工具 使用戶可以不必借助其他工具就可以完成 管理過程 目前比較流行的網(wǎng)管軟件基本可以實(shí)現(xiàn)以上的功能特點(diǎn) 但還有一些功能 實(shí)現(xiàn)的不是很理想 2 1 2 通用網(wǎng)絡(luò)管理系統(tǒng)的體系結(jié)構(gòu) 其實(shí) 目前國(guó)外比較流行的網(wǎng)管軟件包括H PO p e n e w I B M 砸v o l i N v i e w 3 C o mT f 鋤s c c n d N e 鉚0 r kS u p e r v i s o r C AU l l i c e n t e r S 吼N e t M 鋤a g c r F u j i t s l lS y s t e mW a l k e r C a b l e t 啪N e t S i 咖 N 0 v e U 網(wǎng)絡(luò)管理方案M 鋤 g c W i s e C i s c 0 網(wǎng)管方案等 國(guó)內(nèi)的網(wǎng)管軟件還處于剛剛起步的階段 相關(guān)的產(chǎn)品如華為 的R M S 網(wǎng)管系統(tǒng) 大唐的G H e w 網(wǎng)管等電信網(wǎng)管系統(tǒng)及其他如北京游龍科技 的S i t e e w 和T C L 的T C L e w 等網(wǎng)管系統(tǒng) 這些通用的網(wǎng)管軟件一般都采用二層或三層管理架構(gòu) 在二層管理架構(gòu)中 管理中心和管理控制臺(tái)位于同一臺(tái)設(shè)備中 從不同的 被管網(wǎng)絡(luò)實(shí)體中收集信息 其優(yōu)點(diǎn)是結(jié)構(gòu)簡(jiǎn)單 很容易部署 缺點(diǎn)是無法實(shí)現(xiàn)分 布式管理 在三層管理架構(gòu)中 由網(wǎng)絡(luò)管理中心負(fù)責(zé)從各個(gè)被管理網(wǎng)絡(luò)實(shí)體中收 集信息 分散于網(wǎng)絡(luò)中各個(gè)部位的管理控制臺(tái)可通過用戶登陸到管理中心 對(duì)各 個(gè)管理設(shè)備進(jìn)行管理 其特點(diǎn)是可實(shí)現(xiàn)分布式管理 無論是二層還是三層管理架構(gòu) 在網(wǎng)管接口通信協(xié)議方面 都是一致的 目前 已普遍接受的是基于Q 3 接口的C M I P 基于C O R B A 接口的I I O P 以及基 于I n t e m e t S N M P 框架結(jié)構(gòu)的S N M P 每種類型的接口都有對(duì)應(yīng)的信息模型 與 C 室 墊奎蘭堡主墮塞竺堂垡笙塞塑壘室全笪型蘭魚塑絲 生 壅絲 I 以上三種接口相對(duì)應(yīng) 分別采用G D M o A S N 1 I D L U M L 和M I B I I 方式進(jìn)行信 息模型的描述 通用的網(wǎng)管軟件通常都支持S N M P 協(xié)議 一些大型的電信級(jí)網(wǎng) 管軟件如H Po p e n e w 和m M 面v o l iN e t e w 等還支持C M P 協(xié)議 在安全方面 因?yàn)镾 N M P v l 2 協(xié)議對(duì)安全性方面考慮的比較少 而S N M P V 3 又是最近兩年才趨向于成熟 大多數(shù)通用網(wǎng)管軟件標(biāo)準(zhǔn)版本中都沒有對(duì)S N M P V 3 的支持 即使實(shí)現(xiàn)也沒有完全利用S N M P V 3 的優(yōu)勢(shì) 所以 通用網(wǎng)管軟件在安 全性方面實(shí)現(xiàn)的不是很理想 對(duì)管理信息和被管理設(shè)備來說 都存在著安全隱患 可能導(dǎo)致管理信息和用戶信息被竊取 H P0 I p e n v i e w 提供了S 卜m 佃S e c 嘣t yP a C k1 5 4 作為H P0 p e n v i e w 支持 S N M P V 3 的補(bǔ)丁包 m M n v o l iN e t e w 也提供了S N M P V 3A I 孽啪t sw i 也N e t v i c w 作為補(bǔ)丁 雖然部分通用網(wǎng)管軟件已經(jīng)開始支持S M 仰V 3 但無論是采用兩層 架構(gòu)還是三層架構(gòu) 它們的安全策略都是分散到各個(gè)管理設(shè)備上的 而不是由網(wǎng) 管軟件集中分發(fā)的 這種方式不利于集中的安全管理 所以留下了安全隱患 總體來說 通用網(wǎng)管系統(tǒng)基本滿足了O S I 網(wǎng)絡(luò)管理的功能需求 全部或部分 實(shí)現(xiàn)了前面提到的網(wǎng)絡(luò)管理系統(tǒng)應(yīng)具有的九個(gè)功能特點(diǎn) 但它并不適應(yīng)網(wǎng)絡(luò)安全 管理的要求 2 2 網(wǎng)絡(luò)安全管理特點(diǎn) 2 2 1 網(wǎng)絡(luò)安全管理系統(tǒng)的功能需求 隨著信息網(wǎng)絡(luò)的飛速發(fā)展 越來越多的涉密信息都從傳統(tǒng)的媒介轉(zhuǎn)移到網(wǎng)絡(luò) 上存儲(chǔ)和傳輸 使網(wǎng)絡(luò)安全成為目前最迫切的需要人們?nèi)リP(guān)注的問題 大量的關(guān) 于網(wǎng)絡(luò)安全的新技術(shù)不斷地產(chǎn)生 網(wǎng)絡(luò)安全設(shè)備也越來越多樣化 鑒于網(wǎng)絡(luò)安全 設(shè)備同其他網(wǎng)絡(luò)設(shè)備的不同和人們對(duì)網(wǎng)絡(luò)安全越來越高的需求 對(duì)網(wǎng)絡(luò)安全設(shè)備 的管理有著特殊的功能需求 因?yàn)榫W(wǎng)絡(luò)安全是最近幾年人們才開始重視的問題 所以 在技術(shù)方面 還在不斷地更新 這一點(diǎn) 傳統(tǒng)的通用網(wǎng)管軟件因?yàn)槠渫ㄓ?性和龐大的規(guī)模而無法跟上發(fā)展的腳步 所以 無法更好地滿足網(wǎng)絡(luò)安全的網(wǎng)絡(luò) 管理需求特別是對(duì)安全設(shè)備的管理需求 從安全的角度考慮 除一般網(wǎng)絡(luò)管理的功能需求外 對(duì)安全設(shè)備的網(wǎng)絡(luò)管理 還有如下的功能需求 1 安全策略的集中分發(fā)和管理 從安全的角度考慮 所有安全策略都應(yīng)該 在管理中心集中分發(fā) 包括用戶權(quán)限的分配 密鑰的分發(fā)等 而不應(yīng)該 分散執(zhí)行 否則就會(huì)因?yàn)檫^于分散而無法管理 導(dǎo)致安全問題 I 6 北京郵電大學(xué)碩士研究生學(xué)位論文網(wǎng)絡(luò)安全管理平行的設(shè)計(jì)與實(shí)現(xiàn) 2 安全事件的集中監(jiān)控和處理 從網(wǎng)路管理者的角度考慮 從管理中心應(yīng) 該可以看到所有安全設(shè)備的當(dāng)前運(yùn)行狀態(tài)和安全狀態(tài) 反映整個(gè)防御體 系的整體運(yùn)行狀態(tài)和安全狀態(tài) 3 針對(duì)安全設(shè)備的特殊性質(zhì)如動(dòng)態(tài)連接 動(dòng)態(tài)規(guī)則等進(jìn)行專門的處理 管 理中心應(yīng)該可以根據(jù)網(wǎng)絡(luò)安全設(shè)備的特殊性質(zhì) 為用戶提供針對(duì)性的表 示方法 方便用戶的管理 4 樹立安全第一的觀念 一切為了安全 強(qiáng)化安全防范措施 所有的管理 環(huán)節(jié)都必須達(dá)到與安全設(shè)備相同的安全級(jí)別 否則 根據(jù)傳統(tǒng)的木桶理 論 任何一個(gè)環(huán)節(jié)沒有安全防范措施 整體的安全性就會(huì)降低 5 根據(jù)最新的整體防御理念 網(wǎng)管軟件管理的所有安全設(shè)備應(yīng)該構(gòu)成一個(gè) 整體防御體系 具有整體的安全策略 上面的這些針對(duì)網(wǎng)絡(luò)安全設(shè)備的管理功能需求 通用網(wǎng)絡(luò)管理軟件是無法 滿足的 即使采用S N M P v 3 作為通信協(xié)議 但因?yàn)槠浼軜?gòu)和實(shí)現(xiàn)方法的不同 也無法滿足這些安全管理需求 2 2 2網(wǎng)絡(luò)安全管理系統(tǒng)的體系結(jié)構(gòu) 為了滿足前面提到的網(wǎng)絡(luò)安全設(shè)備的管理功能需求 網(wǎng)絡(luò)安全管理系統(tǒng)一 般采用三層架構(gòu) 三級(jí)安全管理架構(gòu)從邏輯上分為管理對(duì)象 管理域服務(wù)器和管理終端三個(gè) 部分 這三個(gè)部分整體組成了一個(gè)安全管理域 安全管理域代表了一個(gè)空間 這個(gè)空間包含管理對(duì)象 管理域服務(wù)器 管 理終端三種類型的事物 管理員進(jìn)入這個(gè)空間后 其管理行為都是通過這三種類 型的事物的相互作用而發(fā)生 并且所有管理行為都不超出安全管理域所代表的空 間 一個(gè)安全管理域就是一個(gè)整體的安全防御體系 它具有有整體的安全防御 策略 在安全管理域內(nèi) 所有的管理內(nèi)容都是以管理域服務(wù)器為中心 它是整個(gè) 安全管理域的獨(dú)裁者 它控制著整個(gè)安全管理域內(nèi)所有的安全策略 權(quán)限分配和 每一個(gè)交互的指令 管理對(duì)象是需要管理的最終目標(biāo) 它可以是某種物理設(shè)備如防火墻 入侵 檢測(cè)系統(tǒng) N 網(wǎng)關(guān)等其他安全設(shè)備 它也可以是某種邏輯上的功能單元如訪 問控制單元 流量控制單元 負(fù)載均衡單元 用戶認(rèn)證單元等 甚至它也可以是 運(yùn)行在客戶機(jī)的單點(diǎn)安全系統(tǒng) 不同的管理對(duì)象共同組成了管理對(duì)象域 對(duì)象的 管理信息可以抽象為某種數(shù)據(jù)表達(dá)形式 相同的管理對(duì)象具有相同的管理信息結(jié) 7 北京郵電大學(xué)碩 研究生學(xué)位論文網(wǎng)絡(luò)安傘管理平臺(tái)的設(shè)計(jì)與實(shí)現(xiàn) 構(gòu)但結(jié)構(gòu)中的屬性不一樣 它們可以看成管理信息結(jié)構(gòu)的多個(gè)實(shí)例 對(duì)管理對(duì)象的管理行為分兩種 第一種 對(duì)目標(biāo)對(duì)象的管理信息結(jié)構(gòu)進(jìn)行 讀寫操作 這種情況下管理對(duì)象是被動(dòng)的 第二種 管理對(duì)象主動(dòng)的向管理域服 務(wù)器報(bào)告某種事件的發(fā)生或狀態(tài)的改變 管理域服務(wù)器的是整個(gè)三級(jí)管理模型的中心 它是整個(gè)網(wǎng)絡(luò)安全體系管理 信息架構(gòu)的集合 它統(tǒng)一的把可管理的信息資源表達(dá)給管理終端 并把來自于各 個(gè)終端的對(duì)管理信息的訪問 根據(jù)一定的策略重新定向到對(duì)應(yīng)的管理對(duì)象 因此 從管理終端的角度 管理域服務(wù)器集中了所有它可以管理的信息 管理域服務(wù)器 就是一個(gè)巨大的管理對(duì)象 其中也包括它自己本身的管理信息對(duì)象 管理域服務(wù)器作為安全域中的事件響應(yīng)中心 負(fù)責(zé)接受管理對(duì)象的事件 并可根據(jù)預(yù)先制定的策略對(duì)事件作出響應(yīng) 響應(yīng)應(yīng)該包括 記錄 報(bào)警或者回應(yīng) 同時(shí)管理域服務(wù)器會(huì)根據(jù)策略和權(quán)限通知相應(yīng)的管理員或者在線的管理終端 或 者對(duì)其他的管理對(duì)象進(jìn)行相應(yīng)的調(diào)整 即聯(lián)動(dòng) 管理員可以制定策略 讓管理域服務(wù)器定時(shí)采集管理對(duì)象的某些具有統(tǒng)計(jì) 價(jià)值的管理信息 形成歷史記錄保存在本地?cái)?shù)據(jù)庫(kù)中 并提供相應(yīng)的接口讓管理 終端提取歷史記錄 管理域服務(wù)器可以作為內(nèi)部安全子網(wǎng)用戶的安全服務(wù)平臺(tái) 為用戶提供諸 如 客戶端安全軟件的安裝升級(jí) 客戶端安全策略的分發(fā) 客戶帳戶的自助管理 等服務(wù) 為了提高系統(tǒng)的可靠性 管理域服務(wù)器應(yīng)該是可以多機(jī)熱備份的 同一安 全體系中只存在一個(gè)主管理域服務(wù)器 但可以存在多個(gè)備份域服務(wù)器 各個(gè)服務(wù) 器之間自動(dòng)同步管理信息 管理終端以某一管理員的名義對(duì)管理對(duì)象和和管理域服務(wù)器進(jìn)行管理 管 理終端直接面對(duì)管理員用戶 需要提供易用的 圖形化的界面 對(duì)管理信息進(jìn)行 格式化的輸出 并按照一定的界面邏輯對(duì)管理員的輸入進(jìn)行處理 同時(shí)在線的管 理終端可以接受管理域服務(wù)器轉(zhuǎn)發(fā)的管理對(duì)象報(bào)告的T R A P 和玳f 0 珊信息 以 實(shí)時(shí)提示管理員用戶當(dāng)前所發(fā)生的事件 通常用的管理終端有三種 通用S N M P 終端 專用管理終端 W e b 瀏覽器 8 北京郵電大學(xué)碩 j 研究生學(xué)位論文網(wǎng)絡(luò)安全管理平臺(tái)的設(shè)計(jì)與實(shí)現(xiàn) 2 3 總結(jié) 譬跫 量 詈跫 疆圣蔫暑跫并罐 C u u 辯 一 潭 高 1 I 暮 霹冀 F 1 WD 口摧 t 圈 一 柚 t o 捌 t l v t f C 口h o 址2 蜜圭量曩t 圖2 1 網(wǎng)絡(luò)安全管理系統(tǒng)的三層架構(gòu) 通過前面對(duì)一般網(wǎng)絡(luò)設(shè)備的管理功能需求和面向安全設(shè)備的網(wǎng)絡(luò)管理功能 需求的比較 我們可以清晰地看到 對(duì)安全設(shè)備的網(wǎng)絡(luò)管理與一般的網(wǎng)絡(luò)設(shè)備有 著很大的不同 包括安全策略的集中分發(fā)和管理 安全事件的集中監(jiān)控和處理 針對(duì)安全設(shè)備的特殊性質(zhì)的特殊處理 防御體系的整體安全等 這些性質(zhì)傳統(tǒng)的 通用網(wǎng)管軟件是無法滿足的 如果采用傳統(tǒng)的通用網(wǎng)管軟件 就會(huì)大大降低安全 設(shè)備的效能 降低整個(gè)防御體系的安全性 所以 必須研究一種新的專門針對(duì)網(wǎng) 絡(luò)安全的網(wǎng)絡(luò)安全管理系統(tǒng) 實(shí)際上 網(wǎng)絡(luò)安全管理不是一個(gè)簡(jiǎn)單的系統(tǒng) 它包 括的內(nèi)容非常多 主要涵蓋了安全風(fēng)險(xiǎn)控制 安全審計(jì) 設(shè)備監(jiān)控 安全策略管 理等幾個(gè)方面 設(shè)備監(jiān)控管理 指對(duì)網(wǎng)絡(luò)中所有的網(wǎng)絡(luò)設(shè)備 如服務(wù)器 防火墻 N 防病毒 入侵檢 測(cè) 網(wǎng)絡(luò) 主機(jī) 漏洞掃描等產(chǎn)品實(shí)現(xiàn)統(tǒng)一管理 統(tǒng)一監(jiān)控 安全策略管理 指管理 保護(hù)及自動(dòng)分發(fā)全局性的安全策略 包括對(duì)安全設(shè)備 操作系統(tǒng) 及應(yīng)用系統(tǒng)的安全策略的管理 安全分析控制 確定 控制并消除或縮減系統(tǒng)資源的不定事件的總過程 包括風(fēng)險(xiǎn)分析 選擇 實(shí)現(xiàn)與測(cè)試 安全評(píng)估及所有的安全檢查 含系統(tǒng)補(bǔ)丁程序檢查 網(wǎng)絡(luò)安全設(shè)備審計(jì) 對(duì)網(wǎng)絡(luò)中的設(shè)備 操作系統(tǒng)及應(yīng)用系統(tǒng)的日志信息收集匯總 實(shí)現(xiàn)對(duì)這些 北京郵電大學(xué)碩士研究生學(xué)位論丈 網(wǎng)絡(luò)安全管理 臺(tái)的設(shè)計(jì)與實(shí)現(xiàn) 信息的查詢和統(tǒng)計(jì) 并通過對(duì)這些集中的信息的進(jìn) 步分析 可以得出更深層次 的安全分析結(jié)果 1 0 北京郵電大學(xué)碩士研究生學(xué)位論文網(wǎng)絡(luò)安全管理s l 臺(tái)的設(shè)計(jì)與實(shí)現(xiàn) 3 1 設(shè)計(jì)思想 第3 章網(wǎng)絡(luò)安全管理平臺(tái)總體框架 該網(wǎng)絡(luò)安全管理平臺(tái)的設(shè)計(jì)與實(shí)現(xiàn)特點(diǎn)如下 1 底層通信和數(shù)據(jù)交換協(xié)議采用S N M P v 3 這是一個(gè)被廣泛接受和支持的網(wǎng)絡(luò) 管理協(xié)議 2 系統(tǒng)用分層架構(gòu)實(shí)現(xiàn) 可實(shí)現(xiàn)3 層乃至多層架構(gòu) 易于擴(kuò)展 3 能提供多種訪問方式和開發(fā)接口 4 為確保體系自身安全 對(duì)體系間釣信息交流進(jìn)行加密傳輸 S S L 并使用了 訪問控制措施 3 2 設(shè)計(jì)原理和功能 網(wǎng)絡(luò)安全管理平臺(tái)中 用戶需要一個(gè)完整的網(wǎng)絡(luò)監(jiān)控解決方案 通過采集網(wǎng) 絡(luò)信息 設(shè)備信息等 能夠?qū)W(wǎng)絡(luò)設(shè)備 通信線路 網(wǎng)絡(luò)狀態(tài) 安全狀況等進(jìn)行 監(jiān)視和控制 并對(duì)這些網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)狀態(tài)進(jìn)行充分的管理 使它們能夠達(dá)到本 來的對(duì)網(wǎng)絡(luò)安全穩(wěn)定所起的作用 設(shè)備監(jiān)控系統(tǒng)將通過集中的管理平臺(tái)來實(shí)現(xiàn) 集中式的管理平臺(tái)能夠總體監(jiān) 控整個(gè)網(wǎng)絡(luò)多層面 分布式的系統(tǒng) 實(shí)現(xiàn)對(duì)各種網(wǎng)絡(luò)安全資源的集中監(jiān)控 使得 網(wǎng)絡(luò)安全管理工作由繁變簡(jiǎn) 更為有效 對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行監(jiān)控的時(shí)候 對(duì)于大多數(shù)普通網(wǎng)絡(luò)設(shè)備 應(yīng)以管理和監(jiān)控設(shè) 備的網(wǎng)絡(luò)狀態(tài)等基本內(nèi)容為主 而針對(duì)于特定安全產(chǎn)品 除了對(duì)網(wǎng)絡(luò)狀態(tài)的監(jiān)控 外 重點(diǎn)在設(shè)備管理狀態(tài) 安全狀態(tài) 應(yīng)用狀態(tài)等的監(jiān)控 通過統(tǒng)一的監(jiān)控管理系統(tǒng) 將分散在各地區(qū) 不同網(wǎng)絡(luò)上面的各種設(shè)備有機(jī) 的結(jié)成一個(gè)整體 監(jiān)控管理系統(tǒng)是全局的網(wǎng)絡(luò)狀態(tài)為核心 實(shí)時(shí)地集中收集設(shè)備 狀態(tài)信息 并進(jìn)行相關(guān)性分析 并為網(wǎng)絡(luò)和設(shè)備提供真正有用控制 監(jiān)控管理系 統(tǒng)還提供多種預(yù)警和響應(yīng)機(jī)制 及時(shí)控制和處理事件 基于以上對(duì)功能和技術(shù)的需求 本文設(shè)計(jì)了一個(gè)靈活的可擴(kuò)充的網(wǎng)絡(luò)安全 北京郵電大學(xué)碩 b 研究生學(xué)位論文 網(wǎng)絡(luò)安全管理平臺(tái)的設(shè)計(jì)與實(shí)現(xiàn) 管理平臺(tái) 該安全平臺(tái)通過集中的網(wǎng)絡(luò)安全管理來實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)中多個(gè)安全設(shè)備的總體 配置 調(diào)控整個(gè)網(wǎng)絡(luò)多層面 分布式的安全系統(tǒng) 實(shí)現(xiàn)對(duì)各種網(wǎng)絡(luò)安全資源的集 中監(jiān)控 統(tǒng)一策略管理 智能審計(jì)及多種安全功能模塊之間的互動(dòng) 使得網(wǎng)絡(luò)安 全管理工作由繁變簡(jiǎn) 更為有效 3 3 系統(tǒng)部署 由于安全設(shè)備管理處理本身的特點(diǎn) 在系統(tǒng)結(jié)構(gòu)的設(shè)計(jì)上 采取了分散處 理 分散存儲(chǔ) 統(tǒng)一管理 統(tǒng)一審計(jì)的分布式結(jié)構(gòu) 以適應(yīng)安全管理的需要 設(shè)備 圖3 1 系統(tǒng)部署圖 如上圖所示 系統(tǒng)設(shè)計(jì)的特點(diǎn)之一是采用級(jí)聯(lián)結(jié)構(gòu) 可以無限級(jí)聯(lián) 適應(yīng) 從簡(jiǎn)單到復(fù)雜的網(wǎng)絡(luò)結(jié)構(gòu) 設(shè)備指包括被管理和監(jiān)控的網(wǎng)絡(luò)安全設(shè)備 以及路由器等普通網(wǎng)絡(luò)設(shè)備 設(shè)備是最基礎(chǔ)的管理節(jié)點(diǎn) 事件服務(wù)器是網(wǎng)絡(luò)安全管理平臺(tái)的基礎(chǔ)服務(wù)器 承擔(dān)了系統(tǒng)結(jié)構(gòu)中的 分 散處理 分散存儲(chǔ) 的功能 作為基礎(chǔ)服務(wù)器 事件服務(wù)器可以獨(dú)立運(yùn)行 擁有事件管理的全部基本功 1 2 北京郵電大學(xué)碩士研究生學(xué)位論文網(wǎng)絡(luò)安全管理平臺(tái)的設(shè)計(jì)與實(shí)現(xiàn) 能 可以作為一個(gè)小型節(jié)點(diǎn) 幾臺(tái)受控設(shè)備 比較小的網(wǎng)絡(luò)范圍 內(nèi)的事件管理 服務(wù)器 每個(gè)事件服務(wù)器最多只能有一個(gè)上級(jí)的事件管理中心 管理中心服務(wù)器是網(wǎng)絡(luò)安全管理平臺(tái)的中心管理服務(wù)器 承擔(dān)系統(tǒng)結(jié)構(gòu)中 的統(tǒng)一管理 統(tǒng)一審計(jì)作用 事件管理中心支持級(jí)聯(lián) 每個(gè)管理中心最多只能有一個(gè)上級(jí)管理中心 3 4 軟件結(jié)構(gòu) 下圖是事件服務(wù)器和管理中心服務(wù)器的軟件結(jié)構(gòu) 反映了事件服務(wù)器和管理 中心之間的級(jí)聯(lián)關(guān)系 管理中心控制臺(tái) c 傭s 0 1 e 審計(jì)終端 瀏覽器 彳 弋夕 簪椰由 嘛蘊(yùn)翼 目 t 王T L r J 飄 r 6 n o r t a lS e r v e r 5 奄 7 b 圖3 2 事件服務(wù)器與管理中心級(jí)聯(lián)圖 下圖是管理中心之間級(jí)聯(lián)的關(guān)系 1 3 北京郵電大學(xué)碩 上研究生學(xué)位論文網(wǎng)絡(luò)安全管理平臺(tái)的設(shè)計(jì)與實(shí)現(xiàn) 上級(jí)管理中心控制臺(tái) c o n s o l e 審汁終端 瀏覽器 彳 弋7 糌椰t b r 暇盤理r 把 r U 胍萬罱 J 釵 P o r t a lS e r v e r 7 膏e bS l r V e r 事件管理 安全設(shè)備監(jiān)控 備I K 二二 爿 一 茹蓉裂 管理中心審計(jì)服務(wù) A u d i t E v e n t 衄M e r l Iv 二晶l Z 下級(jí)管理中心控制臺(tái) c 璐 l e I 審計(jì)終端 瀏覽器 介 么 之鄉(xiāng) 管理中心服務(wù)器 下級(jí) I 陸試s e r v e r 夢(mèng)弋 弋7 7 w e bs e r v e r 叫 竺篡黜尹懌刮鬻l 蚓能搿服務(wù) I 如腳培e r D Bl 圖3 3 管理中心級(jí)聯(lián)圖 網(wǎng)絡(luò)安全管理平臺(tái)結(jié)構(gòu)如上圖 主要組件包括 事件管理中心 中心控制臺(tái) M a n a g e 憶o n s o I e 管理中心 仨V e n t M a n a g e r 數(shù)據(jù)庫(kù) M a n a g e r D B 管理中心審計(jì)服務(wù) M a n a g e r A u d t 事件服務(wù)器 事件服務(wù)器控制臺(tái) E 垤n t c o n I e 事件服務(wù)器 E 垤n t s e n 倫r 事件適配器 E v e n t I A d a p 論r 數(shù)據(jù)庫(kù) E 垤n t D B 事件 服務(wù)器審計(jì)服務(wù) E 怕n t A u d n 下面分別描述 3 4 1 事件管理中心 管理系統(tǒng)以事件管理中心 簡(jiǎn)稱管理中心 為核心 事件管理中心通過事件 服務(wù)器接收設(shè)備發(fā)出的事件 對(duì)事件進(jìn)行實(shí)時(shí)分析 并寫入管理系統(tǒng)數(shù)據(jù)庫(kù) 同 時(shí) 事件管理中心還接收并處理控制臺(tái)的請(qǐng)求 管理設(shè)備組織結(jié)構(gòu) 處理監(jiān)控?cái)?shù) 據(jù) 此外 事件管理中心還處理系統(tǒng)自身的身份及權(quán)限等 3 4 2 管理中 D 控制臺(tái) 事件管理中心控制臺(tái) 簡(jiǎn)稱為管理控制臺(tái) 是用戶操作網(wǎng)絡(luò)安全管理平臺(tái) 的界面 用戶的操作通過控制臺(tái)反映給管理中心 并將處理的結(jié)果返回給控制臺(tái) 北京郵電大學(xué)顧I 研究生學(xué)位論文糾絡(luò)安全管理平臺(tái)的設(shè)計(jì)與實(shí)現(xiàn) 并顯示出來 控制臺(tái)包括多個(gè)控制臺(tái)模塊 系統(tǒng)管理控制臺(tái)模塊組提供對(duì)網(wǎng)絡(luò)安全管理平臺(tái)自身系統(tǒng)的管理與維護(hù) 包括用戶與權(quán)限管理 事件服務(wù)器管理 系統(tǒng)日志管理等部分 設(shè)備管理控制臺(tái)模塊組提供對(duì)設(shè)備組織結(jié)構(gòu)的管理 設(shè)備地圖等功能的界 面 通過這個(gè)控制臺(tái) 管理員可以設(shè)定整個(gè)管理系統(tǒng)運(yùn)行的方式 范圍等 系統(tǒng)監(jiān)控控制臺(tái)模塊組提供對(duì)所管理設(shè)備的運(yùn)行狀態(tài) 事件 日志 的實(shí) 時(shí)監(jiān)視界面 一套網(wǎng)絡(luò)安全管理平臺(tái)系統(tǒng)可以有多個(gè)管理控制臺(tái) 3 4 3審計(jì)服務(wù)器 審計(jì)服務(wù)器是一個(gè)單獨(dú)的子系統(tǒng) 實(shí)現(xiàn)對(duì)存儲(chǔ)在管理系統(tǒng)數(shù)據(jù)庫(kù)中的設(shè)備 事件的查詢 統(tǒng)計(jì)分析 生成報(bào)表 并將結(jié)果通過w 曲S e e r 發(fā)送給審計(jì)終端 審計(jì)終端就是一個(gè)瀏覽器 例如m 事件管理中心和所有事件服務(wù)器各帶一個(gè)審計(jì)服務(wù)器 3 4 4 事件服務(wù)器 事件服務(wù)器是管理系統(tǒng)的下級(jí)管理機(jī)構(gòu) 事件服務(wù)器通過事件適配器接收 設(shè)備發(fā)出的事件 對(duì)事件進(jìn)行實(shí)時(shí)分析 并寫入事件服務(wù)器數(shù)據(jù)庫(kù) 同時(shí) 事件 服務(wù)器還接收并處理控制臺(tái)的請(qǐng)求 管理設(shè)備組織結(jié)構(gòu) 處理監(jiān)控?cái)?shù)據(jù) 此外 事件服務(wù)器還可以接受事件管理中心的管理 將事件管理中心的控制命令通過事 件適配器轉(zhuǎn)發(fā)給控制臺(tái) 并將設(shè)備的日志和屬性參數(shù)等 傳送給管理中心 管理中心和事件服務(wù)器間通過專門的T C P S S L 通道連接 一套網(wǎng)絡(luò)安全管理平臺(tái)至多有一個(gè)管理中心實(shí)例 可以有多個(gè)事件服務(wù)器 實(shí)例 沒有事件管理中心 事件服務(wù)器也可以自成體系 獨(dú)立工作 3 4 5 事件適配器 事件適配器直接與安全設(shè)備代理 控制臺(tái) 連接 將事件服務(wù)器的控制命 令轉(zhuǎn)發(fā)給控制臺(tái) 并將設(shè)備的日志和屬性參數(shù)等 傳送給事件服務(wù)器 事件適配器必須與安全設(shè)備代理 控制臺(tái) 安裝在同一臺(tái)計(jì)算機(jī) 一套網(wǎng)絡(luò)安全管理平臺(tái)系統(tǒng)至少有一個(gè)事件服務(wù)器實(shí)例 可以有多個(gè)事件 適配器實(shí)例 3 4 6事件服務(wù)器控制臺(tái) 北京郵電大學(xué)碩士研究生學(xué)位論文網(wǎng)絡(luò)安全管理平臺(tái)的設(shè)汁與實(shí)現(xiàn) 事件服務(wù)器控制臺(tái)是管理中心控制臺(tái)的簡(jiǎn)化 是事件服務(wù)器用戶操作事件 服務(wù)器的界面 用戶的操作通過控制臺(tái)反映給事件服務(wù)器 并將處理的結(jié)果返回 給控制臺(tái)并顯示出來 3 5 功能模塊結(jié)構(gòu) 3 5 1安全設(shè)備管理 此類功能主要是以網(wǎng)絡(luò)安全設(shè)備為管理對(duì)象 所管理的安全設(shè)備加入網(wǎng)絡(luò)安 全管理平臺(tái)中或刪除 在系統(tǒng)中的設(shè)備可以被配置和監(jiān)控 并為用戶提供多種表 現(xiàn)這些設(shè)備在網(wǎng)絡(luò)中的組織關(guān)系 位置信息的功能 以及用網(wǎng)絡(luò)安全管理平臺(tái)組 建用戶的安全管理組織網(wǎng)絡(luò)的功能 此外還有為了安全信息審計(jì)的需要 提供的 用戶主機(jī)組織管理功能 具體的功能有 設(shè)備組織管理 設(shè)備配置 設(shè)備地圖 主機(jī)管理 3 5 2安全設(shè)備監(jiān)控 此類功能主要是以網(wǎng)絡(luò)設(shè)備的安全信息為管理對(duì)象 網(wǎng)絡(luò)安全管理平臺(tái)對(duì)來 自網(wǎng)絡(luò)安全設(shè)備的安全信息分類進(jìn)行處理 對(duì)設(shè)備實(shí)時(shí)狀態(tài)信息 如C P U 網(wǎng) 口的狀態(tài)參數(shù) 進(jìn)行顯示 對(duì)網(wǎng)絡(luò)安全事件和設(shè)備工作日志進(jìn)行識(shí)別 歸一化 保存等數(shù)據(jù)管理工作 并同時(shí)對(duì)這些安全事件進(jìn)行實(shí)時(shí)分析和統(tǒng)計(jì) 從中發(fā)現(xiàn)更 多和更深入的安全信息 這些安全事件還可以實(shí)時(shí)顯示在用戶界面上 3 5 3安全策略 此類功能主要是提供集中的方式處理網(wǎng)絡(luò)安全設(shè)備的策略配置問題 為用戶 提供統(tǒng)一的策略配置界面 用戶可在該界面中進(jìn)行策略個(gè)性化配置 策略模板應(yīng) 用和策略部署 3 5 4 安全審計(jì) 此類功能主要是以存儲(chǔ)在系統(tǒng)數(shù)據(jù)庫(kù)中網(wǎng)絡(luò)安全事件和安全設(shè)備日志為處 理對(duì)象 可以對(duì)這些安全信息根據(jù)各種條件進(jìn)行查詢 找到每一條安全信息的詳 細(xì)記錄 可以對(duì)這些安全信息根據(jù)各種策略和規(guī)則 進(jìn)行綜合分析和統(tǒng)計(jì) 產(chǎn)生 各種報(bào)表 為用戶提供各種網(wǎng)絡(luò)安全統(tǒng)計(jì)信息 并以符合國(guó)內(nèi)用戶習(xí)慣的表格和 圖形的形式表現(xiàn)出來 1 6 一 北京郵電大學(xué)碩士研究生學(xué)位論文網(wǎng)絡(luò)安全管理 P 臺(tái)的 砹汁 j 實(shí)現(xiàn) 3 5 5 系統(tǒng)管理 作為安全管理平臺(tái) 網(wǎng)絡(luò)安全管理平臺(tái)自身的安全也是很重要的問題 網(wǎng)絡(luò) 安全管理平臺(tái)具有完善的自身用戶管理 以及用戶權(quán)限的管理 網(wǎng)絡(luò)安全管理平 臺(tái)能夠?qū)ο到y(tǒng)本身的各種參數(shù)和安全性進(jìn)行配置和控制 網(wǎng)絡(luò)安全管理平臺(tái)還可 以記錄并審計(jì)自身的工作日志 北京郵電大學(xué)碩卜研究生學(xué)位論文1 c 4 絡(luò)安全管理平臺(tái)的設(shè)計(jì)與實(shí)現(xiàn) 第4 章設(shè)備監(jiān)控模塊的設(shè)計(jì)實(shí)現(xiàn) 在安全管理中心系統(tǒng)中 用戶需要一個(gè)完整的網(wǎng)絡(luò)監(jiān)控解決方案 通過采 集網(wǎng)絡(luò)信息 設(shè)備信息等 能夠?qū)W(wǎng)絡(luò)設(shè)備 通信線路 網(wǎng)絡(luò)狀態(tài) 安全狀況等 進(jìn)行監(jiān)視和控制 并對(duì)這些網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)狀態(tài)進(jìn)行充分的管理 使它們能夠達(dá) 到本來的對(duì)網(wǎng)絡(luò)安全穩(wěn)定所起的作用 設(shè)備監(jiān)控系統(tǒng)將通過集中的管理平臺(tái)來實(shí)現(xiàn) 一個(gè)集中式的管理平臺(tái)能夠 總體監(jiān)控整個(gè)網(wǎng)絡(luò)多層面 分布式的系統(tǒng) 實(shí)現(xiàn)對(duì)各種網(wǎng)絡(luò)安全資源的集中監(jiān)控 使得網(wǎng)絡(luò)安全管理工作由繁變簡(jiǎn) 更為有效 目前許多企業(yè)購(gòu)置了大量不同的設(shè)備產(chǎn)品 功能的不同決定了它們有各自 不同的著眼點(diǎn) 我們?cè)趯?duì)網(wǎng)絡(luò)設(shè)備進(jìn)行監(jiān)控的時(shí)候 對(duì)于大多數(shù)普通網(wǎng)絡(luò)設(shè)備 我們以管理和監(jiān)控設(shè)備的網(wǎng)絡(luò)狀態(tài)等基本內(nèi)容為主 而針對(duì)于安全設(shè)備產(chǎn)品 我 們除了對(duì)網(wǎng)絡(luò)狀態(tài)的監(jiān)控外 重點(diǎn)在設(shè)備管理狀態(tài) 安全狀態(tài) 應(yīng)用狀態(tài)等的監(jiān) 控 通過統(tǒng)一的監(jiān)控管理系統(tǒng) 將分散在各地區(qū) 不同網(wǎng)絡(luò)上面的各種設(shè)備有 機(jī)的結(jié)成一個(gè)整體 監(jiān)控管理系統(tǒng)是全局的網(wǎng)絡(luò)狀態(tài)為核心 實(shí)時(shí)地集中收集設(shè) 備狀態(tài)信息 并進(jìn)行相關(guān)性分析 并為網(wǎng)絡(luò)和設(shè)備提供真正有用的控制 監(jiān)控管 理系統(tǒng)還提供多種預(yù)警和響應(yīng)機(jī)制 及時(shí)控制和處理事件 4 1 設(shè)計(jì)目標(biāo) 設(shè)備監(jiān)控功能允許用戶能夠監(jiān)視整個(gè)計(jì)算環(huán)境中所有普通設(shè)備和安全設(shè)備 的運(yùn)行狀態(tài) 控制和影響設(shè)備 主要提供 設(shè)備監(jiān)視 提供多個(gè)設(shè)備的信息同時(shí)監(jiān)視和單個(gè)設(shè)備的詳細(xì)信息監(jiān)視 系 統(tǒng)對(duì)于普通s n m p 設(shè)備監(jiān)控標(biāo)準(zhǔn)咖p 管理信息 對(duì)于安全設(shè)備提供更多設(shè)備相 關(guān)的監(jiān)控信息 歷史數(shù)據(jù)分析 對(duì)于某些重要監(jiān)控?cái)?shù)據(jù)提供一段時(shí)間內(nèi)的數(shù)據(jù)圖表分析 協(xié)助了解和診斷設(shè)備運(yùn)行情況 系統(tǒng)提供對(duì)設(shè)備某一個(gè)事件段內(nèi)的狀態(tài)監(jiān)控 設(shè)備控制 提供設(shè)備的常用控制操作 包括關(guān)閉 重啟 阻斷網(wǎng)口等 設(shè)備配置 集成安全設(shè)備w e b 管理頁(yè)面 允許用戶直接配置設(shè)備 1 R 北京郵電大學(xué)碩士研究生學(xué)位論文網(wǎng)絡(luò)安全管理j I 臺(tái)的設(shè)計(jì)與實(shí)現(xiàn) 日志數(shù)量監(jiān)控與日志記錄瀏覽 分類別統(tǒng)計(jì)被管設(shè)備的安全日志數(shù)量 并 提供部分最新目志的瀏覽 通過一個(gè)控制臺(tái) 用戶就能夠監(jiān)控整個(gè)計(jì)算環(huán)境中所有安全設(shè)備的運(yùn)行狀 態(tài) 針對(duì)系統(tǒng)中管理的設(shè)備 重點(diǎn)監(jiān)視設(shè)備的網(wǎng)絡(luò)狀態(tài) 運(yùn)行狀態(tài) 資源使用狀 態(tài) 通過監(jiān)視設(shè)備網(wǎng)絡(luò)狀態(tài)來了解設(shè)備網(wǎng)絡(luò)接口的網(wǎng)絡(luò)負(fù)載 確定網(wǎng)絡(luò)端口是否 存在擁塞 判斷網(wǎng)絡(luò)接口是否正常工作 設(shè)備的運(yùn)行狀態(tài)主要是通過監(jiān)視一些設(shè) 備內(nèi)的資源利用狀況來分析確定 如設(shè)備的C P U 利用率 內(nèi)存利用率 磁盤利 用率等 在本網(wǎng)絡(luò)安全管理系統(tǒng)中 由用戶指定對(duì)設(shè)備進(jìn)行監(jiān)控的項(xiàng)目 系統(tǒng)定 期輪詢?cè)O(shè)備相關(guān)數(shù)據(jù) 以動(dòng)態(tài)曲線的方式在客戶端界面上顯示 當(dāng)監(jiān)控的某種參 數(shù)值異常時(shí) 說明當(dāng)前設(shè)備運(yùn)行狀態(tài)可能存在某些問題 系統(tǒng)給出告警提示 通 知用戶 監(jiān)視設(shè)備是否在線 普通設(shè)備以I C M PP 礬G 或S N M PG E T 方式 對(duì)于安 全設(shè)備 以接收H c a n B e a t P I N G S M 訌PG E T 相結(jié)合的方式 監(jiān)控設(shè)備范圍 設(shè)備監(jiān)控對(duì)象包含兩類 普通設(shè)備和安全設(shè)備 防火墻 I D S 等 4 2 處理流程 4 2 1 系統(tǒng)邏輯流程 服務(wù)器端 啟動(dòng)網(wǎng)絡(luò)設(shè)備狀態(tài)論詢服務(wù)D e v i c c S t a t u s P o l l i n g S e r v i c e 啟動(dòng)設(shè)備監(jiān)控調(diào)度服務(wù)D e v i C e M o n i t o r s c h e d u l e r S e r v i c e 注冊(cè)服務(wù)器端應(yīng)用D e v i C c M o n i t o r M B e 孤 響應(yīng)客戶端請(qǐng)求 根據(jù)監(jiān)聽和論詢服務(wù) 主動(dòng)向客戶端發(fā)送消息通知 客戶端 主程序加載 連接服務(wù)器 獲取數(shù)據(jù) 顯示設(shè)備狀態(tài)等 接收服務(wù)器端消息并顯示 接收用戶操作 1 9 北京郵電大學(xué)碩 研究生學(xué)位論文 網(wǎng)絡(luò)安全管理平臺(tái)的設(shè)計(jì)與實(shí)現(xiàn) 請(qǐng)求服務(wù)器 得到操作結(jié)果 顯示 4 2 2即時(shí)監(jiān)控方式 當(dāng)用戶選中某設(shè)備 進(jìn)行設(shè)備狀態(tài)監(jiān)控時(shí) 設(shè)備采用即時(shí)監(jiān)控方式 由客 戶端發(fā)起設(shè)備監(jiān)控請(qǐng)求 管理中心接收到客戶端請(qǐng)求后 調(diào)用監(jiān)控服務(wù)M b e a n 向設(shè)備或事件服務(wù)器查詢?cè)O(shè)備監(jiān)控?cái)?shù)據(jù) 返回客戶端顯示 對(duì)于比較占用網(wǎng)絡(luò)帶 寬 系統(tǒng)資源的操作 或?qū)我辉O(shè)備的中點(diǎn)監(jiān)控 采用即時(shí)監(jiān)控方式 2 0 北京郵電大學(xué)碩士研究生學(xué)位論文網(wǎng)絡(luò)安全管理平臺(tái)的設(shè)計(jì)與實(shí)現(xiàn) 4 2 3監(jiān)控調(diào)度管理 圖4 1 即時(shí)監(jiān)控流程圖 系統(tǒng)可以對(duì)設(shè)備進(jìn)行長(zhǎng)時(shí)間的狀態(tài)監(jiān)控 首先由用戶指定要進(jìn)行自動(dòng)監(jiān)控 的設(shè)備列表 然后安全管理中心后臺(tái)從設(shè)備列表中讀取設(shè)備 以一定的時(shí)問間隔 北京哪電人學(xué)碩士研究生學(xué)位論文網(wǎng)絡(luò)安全管理平臺(tái)的設(shè)汁與實(shí)現(xiàn) 定期自動(dòng)從設(shè)備或事件服務(wù)器上查詢?cè)O(shè)備狀態(tài) 并將設(shè)備狀態(tài)數(shù)據(jù)以一定的格式 記錄到文件中 系統(tǒng)自動(dòng)完成在一段時(shí)間內(nèi)的設(shè)備狀態(tài)的記錄 當(dāng)用戶需要查看 設(shè)備歷史狀態(tài)時(shí) 通過查看記錄到文件的設(shè)備狀態(tài)數(shù)據(jù) 形成設(shè)備狀態(tài)呈現(xiàn) 并 能夠?qū)υO(shè)備狀態(tài)歷史數(shù)據(jù)進(jìn)行分析 得到設(shè)備一段時(shí)間內(nèi)的監(jiān)控結(jié)果 系統(tǒng)對(duì)設(shè)備可自動(dòng)監(jiān)控的項(xiàng)目有 普通設(shè)備 網(wǎng)絡(luò)傳輸速率 數(shù)據(jù)包傳輸速率 網(wǎng)絡(luò)利用率等 防火墻等安全設(shè)備 網(wǎng)絡(luò)傳輸速率 數(shù)據(jù)包傳輸速率 網(wǎng)絡(luò)利用率 C P U 利用率 內(nèi)存利用率 磁盤利用率 防火墻會(huì)話連接數(shù)量 口S c c P P l 甲 I2 T P 隧道連接數(shù)量 日志數(shù)量 事件服務(wù)器管理的設(shè)備 等 北京郵電大學(xué)碩士研究生學(xué)位論史 網(wǎng)絡(luò)安全管理平臺(tái)的毆汁與實(shí)現(xiàn) 4 3 數(shù)據(jù)結(jié)構(gòu)設(shè)計(jì) 圖4 2 狀態(tài)監(jiān)控流程圖 設(shè)備監(jiān)控?cái)?shù)據(jù)單元的數(shù)據(jù)類的表示 p u b l i cj n t e r f a c eD e V T n f 0 北京郵電大學(xué)壩 研究生學(xué)位論文 網(wǎng)絡(luò)安全管理平臺(tái)的設(shè)計(jì)與實(shí)現(xiàn) 具體數(shù)據(jù)類的表示 S y s t a I I n f o I I I p M 血I n f o I n e 丫I n f o I n t 舶吁 I n f o 吃蟹蚋 腳略f J p s e 乜婦 S t r i t 嗨n B 髓1 喈學(xué)比l 魁糟力h 撕fp 日 s e t o p e r a t i o m 砧s t s t r i n gt 盼S t t g e t o p e r 雹t i d i t t I 姍t e I n f o s e t 啊r a t i o n T i 粥 l k t et i 酌 Z 0 I p t 圳i a I n f o l D i 5 k I n f o 1 咖r y I n f oC 陽I n f o I n t e r f a c e I n f o l 一 l 圖4 3 具體數(shù)據(jù)類的表示 2 4 北京郵電大學(xué)碩士研究生學(xué)位論文州絡(luò)安全管理平臺(tái)的毆計(jì)與實(shí)現(xiàn) 類定義說明 s y s t e m I n f 0 s y s t 鋤組中的信息的類表示 具體包含系統(tǒng)名稱 描述 聯(lián)系方式 位置等屬性的定義 I n t e r f h c e I n f o i I