專利名稱:基于安全應用服務器的網(wǎng)絡信息安全綜合管理方法
技術領域:
本發(fā)明涉及一種網(wǎng)絡信息安全綜合管理方法�,具體地說,是一種基于安全應用服務器的網(wǎng)絡信息安全綜合管理方法。屬于信息安全領域��。
背景技術:
在互聯(lián)網(wǎng)時代���,有效的公司信息安全管理對企業(yè)的良好運作至關重要。但是����,當安全產(chǎn)品試圖組合在一起時,由于缺乏綜合的安全管理����,很難形成多維的網(wǎng)絡安全整體防護體系。因此�����,企業(yè)需要建構(gòu)一個類似HP Open-View�、SunNet-Manager、Cabletron Spectrum式的大型網(wǎng)絡信息安全管理綜合平臺來保證網(wǎng)絡系統(tǒng)正常運行����。在這個管理平臺下,實現(xiàn)設備協(xié)同工作��,優(yōu)化網(wǎng)絡和系統(tǒng)資源的有效利用,保障網(wǎng)絡和應用系統(tǒng)正常地運行�����。為了實現(xiàn)網(wǎng)絡信息安全技術的綜合管理���,特別是安全設備之間的協(xié)同工作�,國內(nèi)外進行了許多的研究��。例如由以色列Check Point公司倡議成立的OPSEC聯(lián)盟����,以及國內(nèi)天融信公司倡議成立的TOPSEC聯(lián)盟。然而��,在具體實踐中用戶發(fā)現(xiàn)���,根據(jù)自身的需要所選擇的各類安全設備之間相互配合還是相當困難的��。
目前市場上的安全管理產(chǎn)品尚未將策略功能�、審計功能從平臺中獨立出來����,形成專司其職的安全策略應用服務器��、安全審計應用服務器��。同時����,也尚未形成類似于J2EE架構(gòu)的為用戶提供豐富的二次開發(fā)接口管理應用服務器���。
經(jīng)文獻檢索發(fā)現(xiàn),張少俊在《計算機工程》第29卷第14期124頁《網(wǎng)絡安全綜合管理系統(tǒng)的設計與實現(xiàn)》一文中�����,該文給出了一種集中式信息安全綜合管理系統(tǒng)的設計方案��。該設計將集中監(jiān)控���、聯(lián)動策略����、安全審計作為安全管理系統(tǒng)的三個主要模塊�����,統(tǒng)一安裝在安全管理平臺工作站上。這種設計雖然結(jié)構(gòu)比較簡潔明了���,但由于不是基于應用服務器的分布式解決方案�,所以也不具備應用服務器優(yōu)越的伸縮性��、可維護性��、可靠性����、可用性、可擴展性��、可管理性等特點���,不適合應用于對管理系統(tǒng)容量�����、性能要求均非?��?量痰拇笠?guī)模企業(yè)網(wǎng)絡環(huán)境。
發(fā)明內(nèi)容
本發(fā)明的目的在于針對現(xiàn)有技術中存在的以上不足和缺陷��,提供一種基于安全應用服務器的網(wǎng)絡信息安全綜合管理方法,使其實現(xiàn)了對網(wǎng)絡中各個設備和事件的獨立管理�����,采用安全聯(lián)動方法實現(xiàn)了整個網(wǎng)絡設備和事件的綜合管理�,并實現(xiàn)對網(wǎng)絡安全信息的綜合審計功能,為企業(yè)提供了一個安全有效的網(wǎng)絡綜合管理方法���。
本發(fā)明是通過以下技術方案實現(xiàn)的����,本發(fā)明方法如下(1)客戶端瀏覽器根據(jù)其處理目標選擇通過網(wǎng)絡相連的具體的應用服務器安全管理應用服務器��、安全方法應用服務器���、安全審計應用服務器之一,識別具體的服務器是根據(jù)每個服務器所對應的網(wǎng)絡IP地址來實現(xiàn)�����;(2)當客戶端瀏覽器選擇了正確的應用服務器并與之建立正常連接后����,發(fā)出指令給應用服務器����,當應用服務器安全管理應用服務器���、安全方法應用服務器或者安全審計應用服務器接受到客戶端瀏覽器發(fā)來的請求則通過網(wǎng)絡調(diào)用已建立好連接的管理對象服務器����,管理對象服務器接收到應用服務器發(fā)來的調(diào)用請求后�����,通過分別位于其上的三個信息提供者——SNMP協(xié)議映射中間件���、DMI協(xié)議映射中間件����、私有協(xié)議映射中間件對受管安全資源進行信息提?。?3)用戶通過協(xié)議映射中間件的映射定義文件預先定義協(xié)議轉(zhuǎn)換方法�����,當中間件收到數(shù)據(jù)采集請求時向安全資源采集數(shù)據(jù)�,而后將采集到的安全資源數(shù)據(jù)根據(jù)協(xié)議映射中間件定義的模式進行轉(zhuǎn)換后提交給管理對象服務器��,管理對象服務器將數(shù)據(jù)統(tǒng)一存放在管理對象信息庫中����,而后發(fā)消息告訴應用服務器��,數(shù)據(jù)已經(jīng)準備就緒��;(4)而后安全管理應用服務器����,安全方法應用服務器或安全審計應用服務器通過管理對象服務器調(diào)用管理對象信息庫的數(shù)據(jù)接口調(diào)出管理數(shù)據(jù)加以分析處理,最終返還給客戶端瀏覽器�。
安全管理應用服務器、安全方法應用服務器��、安全審計應用服務器通過管理對象服務器存取數(shù)據(jù)�,管理對象服務器通過SNMP協(xié)議映射中間件��、DMI協(xié)議映射中間件�、私有協(xié)議映射中間件將各種協(xié)議(如SNMP、DMI)轉(zhuǎn)換為平臺標準數(shù)據(jù)格式��。為了保證鏈路上信息的安全性�,安全管理應用服務器�、安全方法應用服務器�����、安全審計應用服務器與管理對象服務器之間的通信數(shù)據(jù)用RSA加密����。客戶端瀏覽器與安全管理應用服務器��、安全方法應用服務器�����、安全審計應用服務器之間而采用SSL(安全套接層協(xié)議)實現(xiàn)網(wǎng)絡傳輸安全����,以確保網(wǎng)管鏈路上的信息不被截獲,不被篡改����。
所述的受管安全資源包括骨干網(wǎng)的路由器、交換機��,應用服務器、流量檢測系統(tǒng)����、內(nèi)容監(jiān)管系統(tǒng)、桌面系統(tǒng)�����,以及IDS�����、防火墻�����、掃描器、VPN等常見網(wǎng)絡安全設備。
所述的網(wǎng)絡瀏覽器為支持Java Applet的主流瀏覽器��,可以利用網(wǎng)絡瀏覽器通過HTTP協(xié)議訪問安全管理應用服務器、安全方法應用服務器���、安全審計應用服務器。
所述的安全管理應用服務器設有設備管理模塊�����、流量管理模塊、安全日志分析模塊�、服務檢測模塊、資源監(jiān)控模塊�����,分別進行設備狀態(tài)檢測��、網(wǎng)絡流量檢測���、安全設備日志分析����、網(wǎng)絡服務可用性檢測���,資源監(jiān)控模塊通過對網(wǎng)絡中受管資源(設備狀態(tài)�、網(wǎng)絡流量�、設備日志、服務可用性)的輪詢完成特定的管理監(jiān)控�����,各監(jiān)控服務器加載的監(jiān)控項可動態(tài)添加、修改或刪除��。
所述的安全方法應用服務器遵循IETF方法框架�,支持基于XML的方法描述語言,支持DMTF CIM Policy Schema�����。通過在方法容器內(nèi)定制和部署相應的安全方法�����,通過管理對象服務器實現(xiàn)對安全設備的動態(tài)管理�。
所述的安全審計應用服務器包含數(shù)據(jù)查詢模塊、OLAP分析模塊���、模式匹配模塊���。通過管理對象服務器收集網(wǎng)絡安全資源信息,安全設備日志信息��,而后根據(jù)審計組件的邏輯對信息進行綜合審計分析��。
所述的管理對象服務器遵循WBEM/CIM標準�,在管理對象服務器底層對每一類管理協(xié)議開發(fā)協(xié)議(如SNMP、DMI)映射中間件以采集設備數(shù)據(jù)����。
所述的安全管理對象信息庫遵循LDAP協(xié)議與ODBC軟件接口規(guī)范,將靜態(tài)的管理信息存放在LDAP服務器����,將動態(tài)的管理信息存放在關系數(shù)據(jù)庫。
所述的SNMP協(xié)議映射中間件�、DMI協(xié)議映射中間件、私有協(xié)議映射中間件對管理對象服務器的軟件接口遵循Sun的WBEM API標準��,對受管安全資源支持特定協(xié)議標準(如SNMP�����、DMI�����、私有協(xié)議)����。協(xié)議映射中間件通過部署基于XML的映射定義文件為協(xié)議映射提供模板。任何需要管理的系統(tǒng)�、設備�����,只要支持這些標準管理接口�,通過對中間件的部署定制��,就可以方便地集成到平臺中來進行管理�����。
本發(fā)明在集中統(tǒng)一的管理平臺上通過采集各類信息(主機設備�、網(wǎng)絡設備、安全設備�����、系統(tǒng)���、應用����、服務等相關安全信息)���,進行集中分析與審計�,提供有效的報警,并實現(xiàn)一定的設備協(xié)同工作��,以保障網(wǎng)絡系統(tǒng)的正常運行�。它包括了基于視圖的設備管理����、流量管理、日志分析��、服務檢測����、聯(lián)動方法、管理工具���、安全事件��、平臺配置�、用戶管理模塊��,實現(xiàn)了對網(wǎng)絡安全的綜合管理���。為了保證鏈路上信息的安全性��,而采用安全套接層協(xié)議實現(xiàn)網(wǎng)絡傳輸安全����,使客戶端與管理應用服務器,管理應用服務器與管理對象服務器之間的鏈路上的信息都得以加密傳輸��,以確保網(wǎng)管鏈路上的權(quán)限�����、審計和管理信息不被截獲�,不被篡改。
與現(xiàn)有技術相比����,本發(fā)明具伸縮性、可維護性�、可靠性、可用性�����、可擴展性�、可管理性好等分布式系統(tǒng)的優(yōu)點,同時又具有部署方便��、對第三方提供充沛的二次開發(fā)接口等應用服務器的優(yōu)點,因而在安全管理項目的實施中能夠帶來巨大的實際效益�����。
圖1是本發(fā)明的方法原理圖�。
具體實施例方式
如圖1所示,基于本發(fā)明方法實現(xiàn)的網(wǎng)絡信息安全綜合管理系統(tǒng)��。該系統(tǒng)包括客戶端瀏覽器���,安全管理應用服務器,安全方法應用服務器�����,安全審計應用服務器��,管理對象服務器��,安全管理對象信息庫�,SNMP協(xié)議映射中間件,DMI協(xié)議映射中間件�����,私有協(xié)議映射中間件,受管安全資源���?�?蛻舳藶g覽器通過網(wǎng)絡與安全管理應用服務器�、安全方法應用服務器���、安全審計應用服務器物理相連��,安全管理應用服務器�����、安全方法應用服務器��、審計應用服務器通過網(wǎng)絡連接分別與管理對象服務器相連���,管理對象服務器與安全管理對象信息庫所布置的數(shù)據(jù)庫服務器相連接,SNMP協(xié)議映射中間件�����、DMI協(xié)議映射中間件、私有協(xié)議映射中間件位于管理對象服務器上���,管理對象服務器通過網(wǎng)線與受管安全資源相連�����。
具體實現(xiàn)的流程為用戶通過其客戶端瀏覽器根據(jù)每個服務器所對應的網(wǎng)絡IP地址選擇具體的應用服務器之一�����,并與之建立連接����,這些應用服務器包括安全管理應用服務器����、安全方法應用服務器����、安全審計應用服務器;客戶端瀏覽器發(fā)指令給應用服務器��,當應用服務器接受到客戶端瀏覽器發(fā)來的請求則通過網(wǎng)絡調(diào)用已建立好連接的管理對象服務器����,管理對象服務器接收到應用服務器發(fā)來的調(diào)用請求分別利用位于其上的三個部件——SNMP協(xié)議映射中間件���、DMI協(xié)議映射中間件、私有協(xié)議映射中間件��;三個協(xié)議映射中間件將采集到的安全資源數(shù)據(jù)返回給管理對象服務器��,并根據(jù)映射定義文件將協(xié)議映射為CIM數(shù)據(jù)格式��,轉(zhuǎn)換后的數(shù)據(jù)統(tǒng)一存放在管理對象信息庫中并�����,發(fā)消息告訴應用服務器���,數(shù)據(jù)已經(jīng)準備就緒�����;而后安全管理應用服務器�,安全方法應用服務器或安全審計應用服務器通過管理對象服務器調(diào)用管理對象信息庫調(diào)出管理數(shù)據(jù)加以分析處理����,最終返還給客戶端瀏覽器���。在整個流程中,安全管理應用服務器��、安全方法應用服務器�����、安全審計應用服務器與管理對象服務器之間的通信數(shù)據(jù)用RSA加密��,客戶端瀏覽器與安全管理應用服務器���、方法應用服務器����、審計應用服務器之間而采用安全套接層協(xié)議實現(xiàn)網(wǎng)絡傳輸安全�。
本方法實施于十五重大攻關計劃S219工程二期安全管理平臺�,在項目中,安全管理平臺分為管理應用服務器��、管理方法應用服務器�、安全審計應用服務器三部分,經(jīng)過實施證明系統(tǒng)的伸縮性����、可維護性���、可靠性、可用性��、可擴展性����、可管理性比項目一期的非基于安全應用服務器的管理體系架構(gòu)有著明顯的增強。
在系統(tǒng)可伸縮性方面���,當受管資源較大或用戶量較大超過單機負載時��,可以通過增加應用服務器并使應用服務器之間進行負載均衡的方式增大系統(tǒng)最大容量�。應用服務器集群的工作方式同時防止了單臺設備癱瘓造成系統(tǒng)不可用���,增加了系統(tǒng)的可靠性與可用性��,并使得系統(tǒng)的一部分在維護時不會造成服務暫停�。在可擴展性方面����,當需要接入新型管理資源時��,通過定制協(xié)議中間件的協(xié)議映射文件能夠非?���?焖俚貙⑹芄苜Y源接入�,以新型號的Cisco交換設備為例,使得平均接入時間由原來的一個星期降低到三天����。另外,對于新的方法組件與審計組件的增加��,按照應用服務器接口規(guī)范開發(fā)后通過定義XML部署文件直接實現(xiàn)部署運行�����,從而避免了費時費力的系統(tǒng)整體編譯過程�����,大大提高了開發(fā)效率����。
權(quán)利要求
1.一種基于安全應用服務器的網(wǎng)絡信息安全綜合管理方法���,其特征在于����,方法如下(1)客戶端瀏覽器根據(jù)其處理目標選擇通過網(wǎng)絡相連的安全管理應用服務器、安全方法應用服務器�����、安全審計應用服務器之一�,識別具體的服務器是根據(jù)每個服務器所對應的網(wǎng)絡IP地址來實現(xiàn);(2)客戶端瀏覽器選擇了正確的應用服務器并與之建立正常連接后��,發(fā)出指令給應用服務器���,當應用服務器安全管理應用服務器����、安全方法應用服務器或者安全審計應用服務器接受到客戶端瀏覽器發(fā)來的請求則通過網(wǎng)絡調(diào)用已建立好連接的管理對象服務器���,管理對象服務器接收到應用服務器發(fā)來的調(diào)用請求后�����,通過分別位于其上的SNMP協(xié)議映射中間件�、DMI協(xié)議映射中間件、私有協(xié)議映射中間件對受管安全資源進行信息提?��?�;(3)用戶通過協(xié)議映射中間件的映射定義文件預先定義協(xié)議轉(zhuǎn)換方法��,當中間件收到數(shù)據(jù)采集請求時向安全資源采集數(shù)據(jù)�����,將采集到的安全資源數(shù)據(jù)根據(jù)協(xié)議映射中間件定義的模式進行轉(zhuǎn)換后提交給管理對象服務器��,管理對象服務器將數(shù)據(jù)統(tǒng)一存放在管理對象信息庫中��,再發(fā)消息告訴應用服務器���,數(shù)據(jù)已經(jīng)準備就緒;(4)安全管理應用服務器�����、安全方法應用服務器或安全審計應用服務器通過管理對象服務器調(diào)用管理對象信息庫的數(shù)據(jù)接口調(diào)出管理數(shù)據(jù)加以分析處理�,最終返還給客戶端瀏覽器。
2.根據(jù)權(quán)利要求1所述的基于安全應用服務器的網(wǎng)絡信息安全綜合管理方法,其特征是����,安全管理應用服務器��、安全方法應用服務器�����、安全審計應用服務器通過管理對象服務器存取數(shù)據(jù)��,管理對象服務器通過SNMP協(xié)議映射中間件���、DMI協(xié)議映射中間件����、私有協(xié)議映射中間件將各種協(xié)議轉(zhuǎn)換為平臺標準數(shù)據(jù)格式�����,安全管理應用服務器���、安全方法應用服務器�、安全審計應用服務器與管理對象服務器之間的通信數(shù)據(jù)用RSA加密�����,客戶端瀏覽器與安全管理應用服務器、方法應用服務器���、審計應用服務器之間而采用安全套接層協(xié)議實現(xiàn)網(wǎng)絡傳輸安全�����。
3.根據(jù)權(quán)利要求1所述的基于安全應用服務器的網(wǎng)絡信息安全綜合管理方法��,其特征是�����,所述的受管安全資源包括骨干網(wǎng)的路由器���、交換機,應用服務器���、流量檢測系統(tǒng)�、內(nèi)容監(jiān)管系統(tǒng)�����、桌面系統(tǒng),以及IDS����、防火墻����、掃描器、VPN常見網(wǎng)絡安全設備����。
4.根據(jù)權(quán)利要求1所述的基于安全應用服務器的網(wǎng)絡信息安全綜合管理方法,其特征是�����,所述的網(wǎng)絡瀏覽器為支持Java Applet的主流瀏覽器����,利用網(wǎng)絡瀏覽器通過HTTP協(xié)議訪問安全管理應用服務器、安全方法應用服務器�����、安全審計應用服務器。
5.根據(jù)權(quán)利要求1或者2所述的基于安全應用服務器的網(wǎng)絡信息安全綜合管理方法�,其特征是,所述的安全管理應用服務器設有設備管理模塊�����、流量管理模塊��、安全日志分析模塊����、服務檢測模塊、資源監(jiān)控模塊��,分別進行設備狀態(tài)檢測��、網(wǎng)絡流量檢測�、安全設備日志分析、網(wǎng)絡服務可用性檢測�����,資源監(jiān)控模塊通過對網(wǎng)絡中受管資源的輪詢完成管理監(jiān)控��,各監(jiān)控服務器加載的監(jiān)控項能動態(tài)添加�����、修改或刪除。
6.根據(jù)權(quán)利要求1或者2所述的基于安全應用服務器的網(wǎng)絡信息安全綜合管理方法�����,其特征是����,所述的安全方法應用服務器遵循IETF方法框架,支持基于XML的方法描述語言�����,支持DMTF CIM Policy Schema���,通過在方法容器內(nèi)定制和部署相應的安全方法,通過管理對象服務器實現(xiàn)對安全設備的動態(tài)管理����。
7.根據(jù)權(quán)利要求1或者2所述的基于安全應用服務器的網(wǎng)絡信息安全綜合管理方法,其特征是�����,所述的安全審計應用服務器設有數(shù)據(jù)查詢模塊、OLAP分析模塊���、模式匹配模塊�����,通過管理對象服務器收集網(wǎng)絡安全資源信息���,安全設備日志信息,而后根據(jù)審計組件的邏輯對信息進行綜合審計分析�。
8.根據(jù)權(quán)利要求1或者2所述的基于安全應用服務器的網(wǎng)絡信息安全綜合管理方法,其特征是�,所述的管理對象服務器遵循WBEM/CIM標準,在管理對象服務器底層對每一類管理協(xié)議開發(fā)協(xié)議映射中間件以采集設備數(shù)據(jù)���。
9.根據(jù)權(quán)利要求1或者2所述的基于安全應用服務器的網(wǎng)絡信息安全綜合管理方法��,其特征是�����,所述的安全管理對象信息庫遵循LDAP協(xié)議與ODBC軟件接口規(guī)范����,將靜態(tài)的管理信息存放在LDAP服務器,將動態(tài)的管理信息存放在關系數(shù)據(jù)庫�����。
10.根據(jù)權(quán)利要求1或者2所述的基于安全應用服務器的網(wǎng)絡信息安全綜合管理方法�,其特征是,所述的SNMP協(xié)議映射中間件�����、DMI協(xié)議映射中間件�、私有協(xié)議映射中間件對管理對象服務器的軟件接口遵循Sun的WBEM API標準,對受管安全資源支持協(xié)議標準�,如SNMP、DMI�、私有協(xié)議�����,協(xié)議映射中間件通過部署基于XML的映射定義文件為協(xié)議映射提供模板�,任何需要管理的系統(tǒng)、設備�,只要支持這些標準管理接口,通過對中間件的部署定制����,即能方便地集成到平臺中來進行管理����。
全文摘要
一種基于安全應用服務器的網(wǎng)絡信息安全綜合管理方法��。屬于信息安全領域����。方法如下客戶端瀏覽器選擇應用服務器安全管理應用服務器、安全方法應用服務器�����、安全審計應用服務器之一�����;建立正常連接后��,客戶端瀏覽器發(fā)出指令�,應用服務器根據(jù)請求調(diào)用已建立好連接的管理對象服務器,然后管理對象服務器通過三個協(xié)議映射中間件對受管安全資源進行信息提?。划斨虚g件收到數(shù)據(jù)采集請求時向安全資源采集數(shù)據(jù)���,將采集到的數(shù)據(jù)根據(jù)協(xié)議映射中間件定義的模式進行轉(zhuǎn)換后提交給管理對象服務器���,管理對象服務器將數(shù)據(jù)統(tǒng)一存放在管理對象信息庫中��,再告訴應用服務器���;應用服務器通過管理對象服務器調(diào)出管理數(shù)據(jù)加以分析處理,最終返還給客戶端瀏覽器���。
文檔編號H04L12/24GK1556611SQ20031010983
公開日2004年12月22日 申請日期2003年12月30日 優(yōu)先權(quán)日2003年12月30日
發(fā)明者李建華, 楊樹堂, 張少俊, 張月國, 李可 申請人:上海交通大學