專利名稱:基于角色管理的安全審計方法及系統(tǒng)的制作方法
技術領域:
本發(fā)明涉及一種作為重要的網(wǎng)絡安全產(chǎn)品之一的網(wǎng)絡安全審計系統(tǒng)(NSASNetwork Security Audit System)的關鍵組成部分——基于角色管理的安全審計方法及系統(tǒng)�。
背景技術:
NSAS安裝在被保護的網(wǎng)段中�����,其監(jiān)聽網(wǎng)卡工作在混雜模式下�����,通過對網(wǎng)絡數(shù)據(jù)的實時采集和分析����,可以實現(xiàn)對用戶網(wǎng)絡環(huán)境中關鍵業(yè)務主機的訪問進行監(jiān)視��、審計和保護�。為了方便敘述���,這里首先給出幾個相關概念主體發(fā)出訪問操作��、存取要求的主動方����,通常指用戶或用戶的進程�;客體被調(diào)用的程序或欲存取的數(shù)據(jù);保護主機用戶網(wǎng)絡環(huán)境內(nèi)運行著重要服務�,需要對其訪問進行控制的服務器;規(guī)則集一系列規(guī)定了主體訪問行為的規(guī)則的集合���;訪問控制策略一套用以確定主體是否對客體擁有訪問權限的規(guī)則����。
NSAS的關鍵技術在于制定靈活而完備的訪問控制策略���,使得用戶可以按照規(guī)定的權限訪問被保護的網(wǎng)絡資源����,并依據(jù)訪問控制策略對用戶的行為進行審計。目前NSAS普遍采用自主型的訪問控制機制(DACDiscretionaryAccess Control)�����,它是根據(jù)訪問者和(或)它所屬組的身份來控制對客體目標的授權訪問�����。它由系統(tǒng)管理員為每個用戶及用戶組分配一定的訪問權限����,一旦訪問者的身份得到確認,該用戶就對保護資源擁有相應的讀寫權限��。這種方法實現(xiàn)簡單��,卻具有如下局限性(1)授權管理復雜��,靈活性低���。DAC模型將主體和客體直接綁定在一起,授權時需要對每對(主體,客體)指定訪問許可�����。這樣當主體和客體的數(shù)量達到較高的數(shù)量級之后�����,授權工作將非常困難���。當主體職能發(fā)生變化時�����,需要進行大量的授權更改工作��。
(2)難以實現(xiàn)對保護資源的細粒度訪問控制��。細粒度的訪問控制是指在方法�����、屬性或內(nèi)容層次上對訪問進行授權�,例如對于HTTP協(xié)議�,細粒度要能做到對訪問時采用的應用層命令、訪問的URL地址、網(wǎng)頁中包含的關鍵字等進行訪問控制����。DAC模型中的授權是直接分配給主體的,而現(xiàn)實中相當多的細粒度權限問題因其獨特性而不具通用意義����,為此必須針對該權限構造專有的用戶組,這就增加了授權管理的工作量���。
發(fā)明內(nèi)容
本發(fā)明的目的是設計一種基于角色管理的安全審計方法及系統(tǒng)����,它提供了一個安全審計策略��,該策略根據(jù)訪問控制的需求對用戶劃分不同的角色�����,對客體的訪問許可被封裝在角色中���,用戶被指派到角色���,在角色的基礎上實現(xiàn)對網(wǎng)絡資源的保護和訪問審計,并提供良好的用戶可定義接口�,便于開發(fā)者和用戶現(xiàn)場維護。
本發(fā)明所述的基于角色管理的安全審計方法�,是在監(jiān)控網(wǎng)絡數(shù)據(jù)的基礎上,依據(jù)審計策略對主體的訪問行為進行審計���,從而達到對客體進行保護的目的���,并根據(jù)管理員設定的規(guī)則記錄TCP會話內(nèi)容,以便事后取證分析�。
該方法包括如下步驟(1)定義用戶指定具有訪問權限的主體;(2)定義保護主機和服務定義監(jiān)控網(wǎng)段內(nèi)需保護的主機�,以及該主機上需監(jiān)控和審計的服務,相當于客體���;(3)定義訪問規(guī)則根據(jù)不同的應用層協(xié)議��,基于應用層命令制定細粒度的訪問規(guī)則���;(4)定義角色指定某些用戶可以進行滿足某類訪問規(guī)則的操作;(5)審計引擎對網(wǎng)絡數(shù)據(jù)進行監(jiān)控����,記錄TCP會話內(nèi)容���,根據(jù)策略允許或中斷對保護資源的訪問。
下面對每個步驟的操作進行詳細說明定義用戶用戶代表了一個可訪問受保護資源的主體���,任何能夠在監(jiān)控網(wǎng)絡內(nèi)進行訪問的主體都要首先將其定義為用戶���,否則審計引擎將直接中斷其訪問請求?���?梢栽O置3種類型的用戶1)信任用戶信任用戶與靜態(tài)IP地址相關聯(lián),例如可以定義IP地址為192.168.0.1的用戶為信任用戶���。
2)信任子網(wǎng)信任子網(wǎng)與靜態(tài)IP地址范圍相關聯(lián)����,例如可以定義IP地址為192.168.0.0�,子網(wǎng)掩碼為255.255.255.0的網(wǎng)段為信任子網(wǎng)。
3)認證用戶該類用戶需要在正式訪問業(yè)務前通過認證中心的認證�,否則訪問將被阻斷。認證時需要采用管理員簽發(fā)的存儲了數(shù)字證書的USB令牌�。
定義保護主機和服務保護主機和服務代表了監(jiān)控網(wǎng)絡內(nèi)受保護的客體,任何需要保護的資源都要首先將其定義為保護主機和保護服務����,否則審計引擎將不對非其進行訪問控制和安全審計��。
保護主機可以是一個單獨的地址,如IP地址為192.168.0.10���,子網(wǎng)掩碼為255.255.255.255的單主機���;也可以是一個連續(xù)的子網(wǎng)段,如IP地址為192.168.0.208��,子網(wǎng)掩碼為255.255.255.240的網(wǎng)段��。保護服務是保護主機上運行的服務進程��,它與一個特定的端口相關���,例如定義HTTP服務為保護服務��,則針對80端口的訪問將會受到引擎的保護���。
定義訪問規(guī)則訪問規(guī)則指定了主體對客體的操作限制。為了更加精確地審計主體的操作行為��,支持對HTTP、FTP��、TELNET�����、SMTP���、POP3�����、MS SQL SERVER����、SYBASE SQL SERVER�、ORACLE、NETBIOS等9種協(xié)議制定基于應用層協(xié)議命令的細粒度訪問規(guī)則��。例如針對HTTP協(xié)議可定義規(guī)則�����,規(guī)定主體訪問的URL中包含/news/目錄�;或者針對FTP協(xié)議定義規(guī)則����,規(guī)定主體刪除文件時不包含“*.doc”類型的文件�����。
定義角色角色是人們現(xiàn)實生活中的身份在網(wǎng)絡空間的映射�����,它既是用戶的集合��,又是訪問控制策略的集合��。它由以下兩方面組成1)訪問控制策略與訪問規(guī)則相關���,規(guī)定了符合某類訪問規(guī)則的操作的響應方式。例如已定義了規(guī)則1和規(guī)則2�����,可制定策略使得對符合規(guī)則1的訪問放行��,對符合規(guī)則2的訪問阻斷��。
2)所屬用戶與用戶相關,規(guī)定了哪些用戶可按上述訪問控制策略訪問保護資源�。例如已定義了用戶1和用戶2,如果只允許用戶1進行該類訪問�����,則需將用戶1添加到該角色��。
審計引擎訪問控制工作流程審計引擎并行接入到保護網(wǎng)絡中����,它監(jiān)聽并捕獲網(wǎng)絡上的數(shù)據(jù),對訪問保護資源的數(shù)據(jù)進行報文重組��、協(xié)議分析和事件匹配���。在此基礎上�,按照上述基于角色管理的審計策略對保護資源的操作進行訪問控制��,滿足訪問控制策略的操作將被允許��,其他越權訪問將被及時中斷�。具體流程可見附圖1。
一種基于角色管理的安全審計系統(tǒng),該系統(tǒng)包括一個計算機主機�,一個或多個終端服務器,數(shù)據(jù)存儲裝置����,網(wǎng)卡,以及數(shù)據(jù)輸入裝置和輸出裝置�,該系統(tǒng)包含還有用戶定義單元,定義一個允許訪問保護資源的主體�,它可以是一個信任用戶、信任子網(wǎng)或基于數(shù)字證書的強認證用戶��;保護主機和服務定義單元�����,定義監(jiān)控網(wǎng)段內(nèi)受保護的客體����,它由保護主機和該主機上運行的服務組成��;訪問規(guī)則定義單元�,可基于應用層命令制定細粒度的訪問規(guī)則;角色定義單元��,定義哪些用戶可以進行滿足哪種類型訪問規(guī)則的操作;審計引擎訪問控制單元�,用于捕獲網(wǎng)絡中的原始報文,對數(shù)據(jù)包進行重組�����、分析和事件匹配����,根據(jù)定義的規(guī)則對受保護資源的操作進行訪問控制。
該方法的先進之處在于
1.可以通過保護主機和服務明確審計系統(tǒng)需保護的重點資源�。審計引擎只關注對保護主機上已定義的服務的訪問請求,如果某臺主機不再需要保護�����,或者對該主機某服務的訪問不再需要審計��,將其從對應的列表中刪除即可��。
2.可以制定完備的訪問控制策略�。由于實現(xiàn)了主體和客體之間的分離,通過角色可以制定復雜而靈活的訪問控制策略��。例如對于屬于同一個用戶組的用戶A和用戶B�,已經(jīng)定義了規(guī)則a和規(guī)則b�����,通過將角色1指派給用戶A�����,角色2指派給用戶B�,同時將規(guī)則a分配給角色1����,規(guī)則b分配給角色2,就能達到同類用戶不同控制規(guī)則的目的��。
3.可以快速調(diào)整主體職能的變化�����。例如當用戶A的職能發(fā)生了變化��,從一般用戶升級為高級用戶���,只需將其從一般用戶對應的角色中刪除,添加到高級用戶對應的角色中即可完成轉變���。
4.可以實現(xiàn)細粒度的訪問控制��。在審計訪問控制單元協(xié)議解析的基礎上����,可以針對應用層命令制定訪問控制規(guī)則,從而增強審計力度���。例如可以規(guī)定用戶A在進行數(shù)據(jù)庫操作時����,當訪問動作為“更新記錄(update)”�,不能對表名中包含“netids”關鍵字的表進行操作。
圖1審計單元訪問控制流程圖�����。
具體實施例方式
訪問控制規(guī)則舉例定義IP為192.168.0.1的主機為保護主機���,其開放的FTP服務為保護服務�。定義三個用戶UserA�,UserB和UserC,三個用戶的地址為192.168.0.11~192.168.0.13���。則1)定義規(guī)則集RAdmin為管理FTP服務規(guī)則集�����,其中包括上傳文件(put��、mput)��、創(chuàng)建目錄(mkdir)等應用層命令�;定義規(guī)則集RAccess為訪問FTP服務規(guī)則集,其中只包括查看(ls)�����、切換目錄(cd)����、下載(get、mget)等應用層命令��。
2)如果允許UserA管理保護主機上的FTP服務��,則在FTP服務下添加角色RoleA�,其策略定義為允許RAdmin�,其用戶為UserA��。
3)如果允許UserB和UserC作為普通用戶訪問保護主機上的FTP服務����,則在FTP服務下添加角色RoleB�����,其策略定義為允許RAccess�����,其用戶為UserB��、UserC��。
4)如果需要將UserB的權限提升�,使其可以管理FTP服務,則將其從RoleB的用戶中刪除�,加入到RoleA的用戶中。
5)如果需要禁止UserC對FTP服務的訪問�,則將其從RoleB中刪除。
訪問控制單元處理流程訪問控制單元在啟動時需要生成3個鏈表首先讀入所有的用戶定義���,用一個用戶鏈保存起來���;然后讀入所有的保護主機�����、服務和服務下定義的角色����,用一個3層的角色鏈保存起來���;最后對策略集進行解析�,將所有的策略集組成一個策略鏈����。
訪問控制單元的處理過程可參照圖1。當監(jiān)控到一個訪問請求時,訪問控制單元首先檢查該請求的源IP地址,在用戶鏈中查找其是否是已定義的可信用戶��。如果未找到該地址,則發(fā)起端是未經(jīng)認證的用戶�,審計引擎將直接阻斷該訪問。
如果通過了用戶審查��,審計引擎將根據(jù)訪問請求的目的IP和目的端口,在角色鏈中查找該服務是否是受保護的服務���。如果未找到該服務,說明是可信用戶訪問非保護服務����,審計引擎將直接放行;否則在角色鏈中查找該服務的角色中是否包含該用戶�,如果包含則進入下一級審查,否則是信任用戶訪問未授權服務��,審計引擎將直接阻斷該訪問����。
審計引擎對數(shù)據(jù)包進行報文重組,根據(jù)操作的具體內(nèi)容進行事件匹配����。然后根據(jù)該角色的角色ID和規(guī)則ID,在策略鏈表中查找對該操作的響應方式����,并按規(guī)定的響應方式對該操作進行阻斷、審計或報警����,結束一個審計流程����。
權利要求
1.一種基于角色管理的安全審計方法�����,其特征在于是在監(jiān)控網(wǎng)絡數(shù)據(jù)的基礎上��,依據(jù)基于角色的審計策略對主體的訪問行為進行審計�,對客體進行保護,并根據(jù)管理員設定的規(guī)則記錄TCP會話內(nèi)容����,以便事后取證分析;該方法包括如下步驟(1)定義用戶指定具有訪問權限的主體��;(2)定義保護主機和服務定義監(jiān)控網(wǎng)段內(nèi)需保護的主機����,以及該主機上需監(jiān)控和審計的服務,相當于客體���;(3)定義訪問規(guī)則根據(jù)不同的應用層協(xié)議����,基于應用層命令制定細粒度的訪問規(guī)則;(4)定義角色指定某些用戶可以進行滿足某類訪問規(guī)則的操作��;(5)審計引擎對網(wǎng)絡數(shù)據(jù)進行監(jiān)控��,記錄TCP會話內(nèi)容�����,根據(jù)策略允許或中斷對保護資源的訪問��。
2.一種基于角色管理的安全審計系統(tǒng)���,該系統(tǒng)包括一個計算機主機,一個或多個終端服務器�����,數(shù)據(jù)存儲裝置��,網(wǎng)卡��,以及數(shù)據(jù)輸入裝置和輸出裝置����,其特征在于它還包括一個用戶定義單元��,定義一個允許訪問保護資源的主體��,它可以是一個信任用戶�����、信任子網(wǎng)或基于數(shù)字證書的強認證用戶�;保護主機和服務定義單元����,定義監(jiān)控網(wǎng)段內(nèi)受保護的主機和該主機上運行的服務組成;訪問規(guī)則定義單元�����,可基于應用層命令制定細粒度的訪問規(guī)則��;角色定義單元��,定義哪些用戶可以進行滿足哪種類型訪問規(guī)則的操作��;引擎訪問控制單元����,用于捕獲網(wǎng)絡中的原始報文����,對數(shù)據(jù)包進行重組�、分析和事件匹配,根據(jù)定義的規(guī)則對受保護資源的操作進行訪問控制��。
3.根據(jù)權利要求2所述的一種基于角色管理的安全審計系統(tǒng)�,其特征在于訪問規(guī)則中可以基于角色定義實現(xiàn)靈活的訪問控制策略����,具體包括(1)角色包含兩方面的內(nèi)容訪問控制策略集和用戶。策略集指定了該角色能夠進行的操作����,用戶指定了該角色的范圍;(2)需要首先定義規(guī)則集和用戶�,然后通過將規(guī)則集包含在訪問控制策略集中,將角色指派給特定的用戶����,完成角色定義。
4.根據(jù)權利要求2所述的一種基于角色管理的安全審計系統(tǒng)�����,其特征在于可以對HTTP、FTP���、TELNET��、SMTP����、POP3�����、MS SQLSERVER����、SYBASE SQL SERVER、ORACLE�����、NETBIOS等9種協(xié)議制定基于應用層協(xié)議命令的細粒度訪問規(guī)則�。
全文摘要
本發(fā)明涉及一種作為重要的網(wǎng)絡安全產(chǎn)品之一的網(wǎng)絡安全審計系統(tǒng)(NSASNetwork Security Audit System)的核心關鍵技術——基于角色管理的安全審計方法及系統(tǒng)。特征是在監(jiān)控網(wǎng)絡數(shù)據(jù)的基礎上��,依據(jù)基于角色的審計策略對主體的訪問行為進行審計,對客體進行保護���,并根據(jù)管理員設定的規(guī)則記錄TCP會話內(nèi)容���,以便事后取證分析。該系統(tǒng)可以定義信任用戶��、信任子網(wǎng)���、認證用戶三類用戶����,可以指定需要保護的主機和主機上需要保護的服務��,可以根據(jù)應用層協(xié)議制定細粒度的訪問規(guī)則��,可以根據(jù)對保護資源訪問控制的需要制定角色���,將已定義的訪問規(guī)則封裝到角色中,將角色指派給已定義的用戶��,對受保護的資源實現(xiàn)基于角色的安全審計���。
文檔編號H04L9/32GK1953454SQ20061011410
公開日2007年4月25日 申請日期2006年10月27日 優(yōu)先權日2006年10月27日
發(fā)明者葉潤國, 牟憲波, 焦玉峰, 楊立純, 周濤 申請人:北京啟明星辰信息技術有限公司