专利名称:一种分布式安全域逻辑边界保护方法
技术领域:
本发明涉及到一种分布式安全域逻辑边界保护技术,该技术基于统一安全域管理 策略,实现对安全域的逻辑边界划分,并基于分布式架构,对位于安全域内主机安装安全域 逻辑边界保护探针,实现安全域内用户对各类信息资产的生成、使用、传输等行为的监控。 同时由各探针生成的安全事件信息,生成安全域的整体安全态势判断以及安全事件的追踪 审计,从而实现满足安全管理目标的安全域逻辑边界保护。
背景技术:
传统的安全保障系统中,边界保护是由网络防火墙来实现的。新的网络基础设施 (如无线网络)的使用,以及新型网络应用(如web active content)和新型网络计算模 式(如P2P)的出现,削弱了防火墙的安全检查和保障能力,各种穿透防火墙的攻击和威胁 形式层出不穷。传统防火墙不能适应新的安全形势的需要,究其原因,在于两个方面。其 一,传统防火墙技术以防火墙作为边界保护设备,保护的对象是网络,网络的安全边界为其 物理边界且物理边界即为不同网络间的接入点。在新的网络形式下,这一假设已不再成立。 无线网络改变了网络的物理边界形态,而web应用中的active content,以及P2P计算方 式,改变了网络物理边界与安全边界重合的状况,使得网络物理边界与安全边界出现了分 离。其二,目前防火墙的工作原理,主要是在网络的物理边界对进出网络的数据报文进行截 获,按照既定的安全策略对数据流报文进行检查、分析和转发控制。由于采用连接中截获检 查方式,以及对应用层协议报文进行深度检查的困难,防火墙难以对通过应用协议报文传 送的数据或程序可能对被保护网络内终端的潜在威胁做出正确的判断和过滤处理。
发明内容
本发明是针对现有技术存在的缺陷,实现一种分布式安全域逻辑边界保护方法, 它使得安全域的边界定位从传统的物理边界拓展到逻辑边界。将传统防火墙技术的保护机 制从中段截获检查、控制方式拓展为中段控制与信息到达终端后的流向(是否跨越了安全 域)与行为(是否对其他安全域造成威胁)检查、控制相结合的方式。从而突破传统防火 墙技术的局限,通过安全域逻辑边界保护机制,解决目前防火墙技术难以应付的边界安全 威胁,实现分布式安全边界保护目的。本发明为实现上述目的,采用如下技术方案本发明一种分布式安全域逻辑边界保护方法包括如下步骤步骤1 创建统一的安全域管理策略,包括创建信息资产标识库,即对待保护的 信息资产,依据安全管理目标,标识其安全管理属性;根据不同的信息资产安全属性划分安 全域,并针对每个安全域设定用户角色,制定角色权限将信息资产与角色权限相关联;根据 安全管理目标,制定不同安全域的角色映射策略,实现跨安全域的信息资产访问;步骤2 创建安全域管理策略服务器,该服务器提供用户管理人机界面,负责存 储、维护与管理已定制的安全域管理策略;
步骤3 创建安全域用户身份认证服务器,该服务器负责实现各安全域内用户的 身份认证,如果用户身份认证成功后,将用户绑定到不同的安全域角色;步骤4 系统状态监视与日志审计服务器,该服务器负责监视接入各安全域内的 各主机的工作状态,安全域网络运行状态,以及位于各主机上的安全域边界保护探针的工 作状态;并生成日志,提供紧急情况报警以及日志分析人机界面;步骤5 实现位于不同操作系统平台的安全域边界保护探针,该探针负责监测其 所有主机上的信息资产的生成、使用、传输行为,并根据登录在该主机上用户角色权限,实 现对以上行为的控制,生成安全事件日志。优选地,所述的统一的安全域管理策略通过三个安全策略描述类信息资产类、用 户类和使用权限与条件类,来描述抽象的安全管理目标,并通过描述类的继承实现具体安 全管理策略的定制。优选地,所述跨安全域的角色映射,通过不同安全域之间的角色映射,支持用户在 组织内多安全域的跨域安全访问,实现各安全域之间的安全的信息资产共享与细粒度的安 全域逻辑边界安全保护。优选地,分布式的安全域逻辑边界探针自我保护技术,通过在虚拟机实现的安全 域逻辑边界探针,一部分运行于虚拟机之内,是探针的内核,另一部分则是运行在虚拟机之 外,实现对用户行为的监视,并执行探针内核对用户行为审计的结果,从而实现对探针自我 安全保护。本发明具有如下有益效果1.安全域的逻辑边界概念该概念的提出使得用户能实现细粒度的安全管理目 标。由于安全域逻辑边界的划分,简化了安全管理复杂度,用户可以从安全域的安全管理目 标、安全域内部安全管理目标二个不同的层次来设定安全管理目标;2.拓展了安全域保护边界将安全域保护边界从物理边界拓展到依据安全管理 目标而标识的信息资产安全属性所划分的逻辑边界,从而满足了计算机新技术应用发展所 带来的新安全防护需求;3.统一的安全域管理策略机制该安全策略机制通过三个安全策略描述类实现 由安全管理抽象目标到具体安全策略的描述、定制,安全策略描述类的由高层抽象类到具 体类的继承机制简化了策略定制的复杂度,排除安全策略之间可能出现的冲突;4.安全域的角色映射机制解决了组织内部多个安全域之间的信息资产的安全 共享,角色的映射机制将隶属于不同安全域的角色映射到同一安全域的某个角色中,也简 化了信息资产安全共享带来的安全管理复杂度;5.实现信息资产的应用层安全保护通过安全逻辑边界保护探针,实现基于系统 内核的信息资产使用行为监控,与防火墙等基于网络层的安全保护技术相比,本技术能实 现在应用层上对信息资产的更强有力的安全保护;6.分布式的安全域边界保护通过对位于安全域内不同主机之上的各探针生成 的安全事件信息进行信息汇总与审计,生成安全域的整体安全态势判断和安全事件的审 计;本技术相对于防火墙位于网络某个点的安全保护技术,对于安全域态势的判断更为准 确,也能提供更多的审计结果;7.边界保护探针的自身安全保护采用虚拟机技术实现探针自身重要代码与数据的安全保护,进一步提高了本技术系统自身的安全可靠性,从而来增强了本技术对于安 全域的保护能力。
图1 本发明的系统部署图;图2 本发明逻辑边界保护探针结构图;图3 本发明的逻辑边界保护流程图。
具体实施例方式如图1和3所示,分布式安全域逻辑边界保护技术,包含以下几个步骤步骤1 创建统一的安全域管理策略,主要包括创建信息资产标识库,即对待保 护的信息资产,依据安全管理目标,标识其安全管理属性;根据不同的信息资产安全属性划 分安全域,并针对每个安全域设定用户角色,制定角色权限将信息资产与角色权限相关联; 根据安全管理目标,制定不同安全域的角色映射策略,实现跨安全域的信息资产访问;步骤2 创建安全域管理策略服务器,该服务器提供用户管理人机界面,负责存 储、维护与管理已定制的安全域管理策略;步骤3 创建安全域用户身份认证服务器,该服务器负责实现各安全域内用户的 身份认证,如果用户身份认证成功后,将用户绑定到不同的安全域角色;步骤4 系统状态监视与日志审计服务器,该服务器负责监视接入各安全域内的 各主机的工作状态,安全域网络运行状态,以及位于各主机上的安全域边界保护探针的工 作状态;并生成日志,提供紧急情况报警以及日志分析人机界面;步骤5 实现位于不同操作系统平台的安全域边界保护探针,该探针负责监测其 所有主机上的信息资产的生成、使用、传输行为,并根据登录在该主机上用户角色权限,实 现对以上行为的控制,生成安全事件日志。如图2所示,分布式的安全域逻辑边界探针自我保护技术,通过在虚拟机实现的 安全域逻辑边界探针,一部分运行于虚拟机之内,是探针的内核,另一部分则是运行在虚拟 机之外,实现对用户行为的监视,并执行探针内核对用户行为审计的结果,从而实现对探针 自我安全保护。如图3所示,所述跨安全域的角色映射,通过不同安全域之间的角色映射,支持用 户在组织内多安全域的跨域安全访问,实现各安全域之间的安全的信息资产共享与细粒度 的安全域逻辑边界安全保护。在本方法中,首先用户要创建统一的安全域管理策略服务器,包括实现对安全域 的划分,安全管理策略的定制,用户角色权限的规定,不同安全域的角色映射策略;创建信 息资产标识库,即对现有的待保护的信息资产根据其安全属性管理目标,记录其信息资产 标识;创建安全域用户身份认证服务器,该服务器负责实现各安全域内用户的身份认证,如 果用户身份认证成功后,将用户绑定到不同的安全域角色;对位于不同操作系统平台的主 机安装安全域边界保护探针;当用户登录到某个安全域内的主机时,该主机上的探针将对 他进行身份验证,一旦其通过身份验证,该用户即被绑定到安全域内的某个角色上,具有安 全策略所赋予的该角色权限;当用户使用主机中的信息资产,探针通过内核实现其使用信息资产的行为监控,主要是当用户生成新的信息资产时,探针将询问该信息资产的相关安 全属性,并将该信息资产标识发送到信息资产标识库中;当用户使用某个信息资产时,探针 通过对用户进程行为的监视,并根据其保存的安全策略,决定用户是否有权执行该项行为, 同时生成安全事件信息发送到系统状态与日志审计服务器中;探针与系统状态向日志审 计服务器间断性发送的其工作状态,使得本技术用户可以从全局分析当前安全域的安全态 势;当安全策略发生变更时,安全域管理策略服务器将与安全域内所有探针进行交互,更新 其安全策略库;系统状态向日志审计服务器与安全域管理策略服务器分别向用户提供人机 界面实现对安全域安全态势判断与安全事件审计,以及安全策略的变更与维护管理。
权利要求
一种分布式安全域逻辑边界保护方法,其特征在于包括如下步骤步骤1创建统一的安全域管理策略,包括创建信息资产标识库,即对待保护的信息资产,依据安全管理目标,标识其安全管理属性;根据不同的信息资产安全属性划分安全域,并针对每个安全域设定用户角色,制定角色权限将信息资产与角色权限相关联;根据安全管理目标,制定不同安全域的角色映射策略,实现跨安全域的信息资产访问;步骤2创建安全域管理策略服务器,该服务器提供用户管理人机界面,负责存储、维护与管理已定制的安全域管理策略;步骤3创建安全域用户身份认证服务器,该服务器负责实现各安全域内用户的身份认证,如果用户身份认证成功后,将用户绑定到不同的安全域角色;步骤4系统状态监视与日志审计服务器,该服务器负责监视接入各安全域内的各主机的工作状态,安全域网络运行状态,以及位于各主机上的安全域边界保护探针的工作状态;并生成日志,提供紧急情况报警以及日志分析人机界面;步骤5实现位于不同操作系统平台的安全域边界保护探针,该探针负责监测其所有主机上的信息资产的生成、使用、传输行为,并根据登录在该主机上用户角色权限,实现对以上行为的控制,生成安全事件日志。
2.根据权利1所述的一种分布式安全域逻辑边界保护方法,其特征在于所述的统一 的安全域管理策略通过三个安全策略描述类信息资产类、用户类和使用权限与条件类,来 描述抽象的安全管理目标,并通过描述类的继承实现具体安全管理策略的定制。
3.根据权利1所述的一种分布式安全域逻辑边界保护方法,其特征在于所述跨安全 域的角色映射,通过不同安全域之间的角色映射,支持用户在组织内多安全域的跨域安全 访问,实现各安全域之间的安全的信息资产共享与细粒度的安全域逻辑边界安全保护。
4.根据权利1所述的一种分布式安全域逻辑边界保护方法,其特征在于分布式的安 全域逻辑边界探针自我保护技术,通过在虚拟机实现的安全域逻辑边界探针,一部分运行 于虚拟机之内,是探针的内核,另一部分则是运行在虚拟机之外,实现对用户行为的监视, 并执行探针内核对用户行为审计的结果,从而实现对探针自我安全保护。
全文摘要
本发明公布了一种分布式安全域逻辑边界保护方法,包括创建统一的安全域管理策略;创建安全域管理策略服务器;创建安全域用户身份认证服务器;系统状态监视与日志审计服务器;实现位于不同操作系统平台的安全域边界保护探针。本发明基于分布式架构技术实现的安全域边界控制机制,实现对受保护信息资产的流向(是否跨越了安全域)与行为(是否对其他安全域造成威胁)检查与控制,从而将安全域保护从其物理边界扩展到安全域逻辑边界,实现在应用层上对信息资产的深度安全监测与细粒度的安全保护。
文档编号H04L29/06GK101951384SQ20101050005
公开日2011年1月19日 申请日期2010年9月29日 优先权日2010年9月29日
发明者傅德胜, 周舒, 韩进 申请人:南京信息工程大学