专利名称:基于安全应用服务器的网络信息安全综合管理方法
技术领域:
本发明涉及一种网络信息安全综合管理方法,具体地说,是一种基于安全应用服务器的网络信息安全综合管理方法。属于信息安全领域。
背景技术:
在互联网时代,有效的公司信息安全管理对企业的良好运作至关重要。但是,当安全产品试图组合在一起时,由于缺乏综合的安全管理,很难形成多维的网络安全整体防护体系。因此,企业需要建构一个类似HP Open-View、SunNet-Manager、Cabletron Spectrum式的大型网络信息安全管理综合平台来保证网络系统正常运行。在这个管理平台下,实现设备协同工作,优化网络和系统资源的有效利用,保障网络和应用系统正常地运行。为了实现网络信息安全技术的综合管理,特别是安全设备之间的协同工作,国内外进行了许多的研究。例如由以色列Check Point公司倡议成立的OPSEC联盟,以及国内天融信公司倡议成立的TOPSEC联盟。然而,在具体实践中用户发现,根据自身的需要所选择的各类安全设备之间相互配合还是相当困难的。
目前市场上的安全管理产品尚未将策略功能、审计功能从平台中独立出来,形成专司其职的安全策略应用服务器、安全审计应用服务器。同时,也尚未形成类似于J2EE架构的为用户提供丰富的二次开发接口管理应用服务器。
经文献检索发现,张少俊在《计算机工程》第29卷第14期124页《网络安全综合管理系统的设计与实现》一文中,该文给出了一种集中式信息安全综合管理系统的设计方案。该设计将集中监控、联动策略、安全审计作为安全管理系统的三个主要模块,统一安装在安全管理平台工作站上。这种设计虽然结构比较简洁明了,但由于不是基于应用服务器的分布式解决方案,所以也不具备应用服务器优越的伸缩性、可维护性、可靠性、可用性、可扩展性、可管理性等特点,不适合应用于对管理系统容量、性能要求均非常苛刻的大规模企业网络环境。
发明内容
本发明的目的在于针对现有技术中存在的以上不足和缺陷,提供一种基于安全应用服务器的网络信息安全综合管理方法,使其实现了对网络中各个设备和事件的独立管理,采用安全联动方法实现了整个网络设备和事件的综合管理,并实现对网络安全信息的综合审计功能,为企业提供了一个安全有效的网络综合管理方法。
本发明是通过以下技术方案实现的,本发明方法如下(1)客户端浏览器根据其处理目标选择通过网络相连的具体的应用服务器安全管理应用服务器、安全方法应用服务器、安全审计应用服务器之一,识别具体的服务器是根据每个服务器所对应的网络IP地址来实现;(2)当客户端浏览器选择了正确的应用服务器并与之建立正常连接后,发出指令给应用服务器,当应用服务器安全管理应用服务器、安全方法应用服务器或者安全审计应用服务器接受到客户端浏览器发来的请求则通过网络调用已建立好连接的管理对象服务器,管理对象服务器接收到应用服务器发来的调用请求后,通过分别位于其上的三个信息提供者——SNMP协议映射中间件、DMI协议映射中间件、私有协议映射中间件对受管安全资源进行信息提取;(3)用户通过协议映射中间件的映射定义文件预先定义协议转换方法,当中间件收到数据采集请求时向安全资源采集数据,而后将采集到的安全资源数据根据协议映射中间件定义的模式进行转换后提交给管理对象服务器,管理对象服务器将数据统一存放在管理对象信息库中,而后发消息告诉应用服务器,数据已经准备就绪;(4)而后安全管理应用服务器,安全方法应用服务器或安全审计应用服务器通过管理对象服务器调用管理对象信息库的数据接口调出管理数据加以分析处理,最终返还给客户端浏览器。
安全管理应用服务器、安全方法应用服务器、安全审计应用服务器通过管理对象服务器存取数据,管理对象服务器通过SNMP协议映射中间件、DMI协议映射中间件、私有协议映射中间件将各种协议(如SNMP、DMI)转换为平台标准数据格式。为了保证链路上信息的安全性,安全管理应用服务器、安全方法应用服务器、安全审计应用服务器与管理对象服务器之间的通信数据用RSA加密。客户端浏览器与安全管理应用服务器、安全方法应用服务器、安全审计应用服务器之间而采用SSL(安全套接层协议)实现网络传输安全,以确保网管链路上的信息不被截获,不被篡改。
所述的受管安全资源包括骨干网的路由器、交换机,应用服务器、流量检测系统、内容监管系统、桌面系统,以及IDS、防火墙、扫描器、VPN等常见网络安全设备。
所述的网络浏览器为支持Java Applet的主流浏览器,可以利用网络浏览器通过HTTP协议访问安全管理应用服务器、安全方法应用服务器、安全审计应用服务器。
所述的安全管理应用服务器设有设备管理模块、流量管理模块、安全日志分析模块、服务检测模块、资源监控模块,分别进行设备状态检测、网络流量检测、安全设备日志分析、网络服务可用性检测,资源监控模块通过对网络中受管资源(设备状态、网络流量、设备日志、服务可用性)的轮询完成特定的管理监控,各监控服务器加载的监控项可动态添加、修改或删除。
所述的安全方法应用服务器遵循IETF方法框架,支持基于XML的方法描述语言,支持DMTF CIM Policy Schema。通过在方法容器内定制和部署相应的安全方法,通过管理对象服务器实现对安全设备的动态管理。
所述的安全审计应用服务器包含数据查询模块、OLAP分析模块、模式匹配模块。通过管理对象服务器收集网络安全资源信息,安全设备日志信息,而后根据审计组件的逻辑对信息进行综合审计分析。
所述的管理对象服务器遵循WBEM/CIM标准,在管理对象服务器底层对每一类管理协议开发协议(如SNMP、DMI)映射中间件以采集设备数据。
所述的安全管理对象信息库遵循LDAP协议与ODBC软件接口规范,将静态的管理信息存放在LDAP服务器,将动态的管理信息存放在关系数据库。
所述的SNMP协议映射中间件、DMI协议映射中间件、私有协议映射中间件对管理对象服务器的软件接口遵循Sun的WBEM API标准,对受管安全资源支持特定协议标准(如SNMP、DMI、私有协议)。协议映射中间件通过部署基于XML的映射定义文件为协议映射提供模板。任何需要管理的系统、设备,只要支持这些标准管理接口,通过对中间件的部署定制,就可以方便地集成到平台中来进行管理。
本发明在集中统一的管理平台上通过采集各类信息(主机设备、网络设备、安全设备、系统、应用、服务等相关安全信息),进行集中分析与审计,提供有效的报警,并实现一定的设备协同工作,以保障网络系统的正常运行。它包括了基于视图的设备管理、流量管理、日志分析、服务检测、联动方法、管理工具、安全事件、平台配置、用户管理模块,实现了对网络安全的综合管理。为了保证链路上信息的安全性,而采用安全套接层协议实现网络传输安全,使客户端与管理应用服务器,管理应用服务器与管理对象服务器之间的链路上的信息都得以加密传输,以确保网管链路上的权限、审计和管理信息不被截获,不被篡改。
与现有技术相比,本发明具伸缩性、可维护性、可靠性、可用性、可扩展性、可管理性好等分布式系统的优点,同时又具有部署方便、对第三方提供充沛的二次开发接口等应用服务器的优点,因而在安全管理项目的实施中能够带来巨大的实际效益。
图1是本发明的方法原理图。
具体实施例方式
如图1所示,基于本发明方法实现的网络信息安全综合管理系统。该系统包括客户端浏览器,安全管理应用服务器,安全方法应用服务器,安全审计应用服务器,管理对象服务器,安全管理对象信息库,SNMP协议映射中间件,DMI协议映射中间件,私有协议映射中间件,受管安全资源。客户端浏览器通过网络与安全管理应用服务器、安全方法应用服务器、安全审计应用服务器物理相连,安全管理应用服务器、安全方法应用服务器、审计应用服务器通过网络连接分别与管理对象服务器相连,管理对象服务器与安全管理对象信息库所布置的数据库服务器相连接,SNMP协议映射中间件、DMI协议映射中间件、私有协议映射中间件位于管理对象服务器上,管理对象服务器通过网线与受管安全资源相连。
具体实现的流程为用户通过其客户端浏览器根据每个服务器所对应的网络IP地址选择具体的应用服务器之一,并与之建立连接,这些应用服务器包括安全管理应用服务器、安全方法应用服务器、安全审计应用服务器;客户端浏览器发指令给应用服务器,当应用服务器接受到客户端浏览器发来的请求则通过网络调用已建立好连接的管理对象服务器,管理对象服务器接收到应用服务器发来的调用请求分别利用位于其上的三个部件——SNMP协议映射中间件、DMI协议映射中间件、私有协议映射中间件;三个协议映射中间件将采集到的安全资源数据返回给管理对象服务器,并根据映射定义文件将协议映射为CIM数据格式,转换后的数据统一存放在管理对象信息库中并,发消息告诉应用服务器,数据已经准备就绪;而后安全管理应用服务器,安全方法应用服务器或安全审计应用服务器通过管理对象服务器调用管理对象信息库调出管理数据加以分析处理,最终返还给客户端浏览器。在整个流程中,安全管理应用服务器、安全方法应用服务器、安全审计应用服务器与管理对象服务器之间的通信数据用RSA加密,客户端浏览器与安全管理应用服务器、方法应用服务器、审计应用服务器之间而采用安全套接层协议实现网络传输安全。
本方法实施于十五重大攻关计划S219工程二期安全管理平台,在项目中,安全管理平台分为管理应用服务器、管理方法应用服务器、安全审计应用服务器三部分,经过实施证明系统的伸缩性、可维护性、可靠性、可用性、可扩展性、可管理性比项目一期的非基于安全应用服务器的管理体系架构有着明显的增强。
在系统可伸缩性方面,当受管资源较大或用户量较大超过单机负载时,可以通过增加应用服务器并使应用服务器之间进行负载均衡的方式增大系统最大容量。应用服务器集群的工作方式同时防止了单台设备瘫痪造成系统不可用,增加了系统的可靠性与可用性,并使得系统的一部分在维护时不会造成服务暂停。在可扩展性方面,当需要接入新型管理资源时,通过定制协议中间件的协议映射文件能够非常快速地将受管资源接入,以新型号的Cisco交换设备为例,使得平均接入时间由原来的一个星期降低到三天。另外,对于新的方法组件与审计组件的增加,按照应用服务器接口规范开发后通过定义XML部署文件直接实现部署运行,从而避免了费时费力的系统整体编译过程,大大提高了开发效率。
权利要求
1.一种基于安全应用服务器的网络信息安全综合管理方法,其特征在于,方法如下(1)客户端浏览器根据其处理目标选择通过网络相连的安全管理应用服务器、安全方法应用服务器、安全审计应用服务器之一,识别具体的服务器是根据每个服务器所对应的网络IP地址来实现;(2)客户端浏览器选择了正确的应用服务器并与之建立正常连接后,发出指令给应用服务器,当应用服务器安全管理应用服务器、安全方法应用服务器或者安全审计应用服务器接受到客户端浏览器发来的请求则通过网络调用已建立好连接的管理对象服务器,管理对象服务器接收到应用服务器发来的调用请求后,通过分别位于其上的SNMP协议映射中间件、DMI协议映射中间件、私有协议映射中间件对受管安全资源进行信息提取;(3)用户通过协议映射中间件的映射定义文件预先定义协议转换方法,当中间件收到数据采集请求时向安全资源采集数据,将采集到的安全资源数据根据协议映射中间件定义的模式进行转换后提交给管理对象服务器,管理对象服务器将数据统一存放在管理对象信息库中,再发消息告诉应用服务器,数据已经准备就绪;(4)安全管理应用服务器、安全方法应用服务器或安全审计应用服务器通过管理对象服务器调用管理对象信息库的数据接口调出管理数据加以分析处理,最终返还给客户端浏览器。
2.根据权利要求1所述的基于安全应用服务器的网络信息安全综合管理方法,其特征是,安全管理应用服务器、安全方法应用服务器、安全审计应用服务器通过管理对象服务器存取数据,管理对象服务器通过SNMP协议映射中间件、DMI协议映射中间件、私有协议映射中间件将各种协议转换为平台标准数据格式,安全管理应用服务器、安全方法应用服务器、安全审计应用服务器与管理对象服务器之间的通信数据用RSA加密,客户端浏览器与安全管理应用服务器、方法应用服务器、审计应用服务器之间而采用安全套接层协议实现网络传输安全。
3.根据权利要求1所述的基于安全应用服务器的网络信息安全综合管理方法,其特征是,所述的受管安全资源包括骨干网的路由器、交换机,应用服务器、流量检测系统、内容监管系统、桌面系统,以及IDS、防火墙、扫描器、VPN常见网络安全设备。
4.根据权利要求1所述的基于安全应用服务器的网络信息安全综合管理方法,其特征是,所述的网络浏览器为支持Java Applet的主流浏览器,利用网络浏览器通过HTTP协议访问安全管理应用服务器、安全方法应用服务器、安全审计应用服务器。
5.根据权利要求1或者2所述的基于安全应用服务器的网络信息安全综合管理方法,其特征是,所述的安全管理应用服务器设有设备管理模块、流量管理模块、安全日志分析模块、服务检测模块、资源监控模块,分别进行设备状态检测、网络流量检测、安全设备日志分析、网络服务可用性检测,资源监控模块通过对网络中受管资源的轮询完成管理监控,各监控服务器加载的监控项能动态添加、修改或删除。
6.根据权利要求1或者2所述的基于安全应用服务器的网络信息安全综合管理方法,其特征是,所述的安全方法应用服务器遵循IETF方法框架,支持基于XML的方法描述语言,支持DMTF CIM Policy Schema,通过在方法容器内定制和部署相应的安全方法,通过管理对象服务器实现对安全设备的动态管理。
7.根据权利要求1或者2所述的基于安全应用服务器的网络信息安全综合管理方法,其特征是,所述的安全审计应用服务器设有数据查询模块、OLAP分析模块、模式匹配模块,通过管理对象服务器收集网络安全资源信息,安全设备日志信息,而后根据审计组件的逻辑对信息进行综合审计分析。
8.根据权利要求1或者2所述的基于安全应用服务器的网络信息安全综合管理方法,其特征是,所述的管理对象服务器遵循WBEM/CIM标准,在管理对象服务器底层对每一类管理协议开发协议映射中间件以采集设备数据。
9.根据权利要求1或者2所述的基于安全应用服务器的网络信息安全综合管理方法,其特征是,所述的安全管理对象信息库遵循LDAP协议与ODBC软件接口规范,将静态的管理信息存放在LDAP服务器,将动态的管理信息存放在关系数据库。
10.根据权利要求1或者2所述的基于安全应用服务器的网络信息安全综合管理方法,其特征是,所述的SNMP协议映射中间件、DMI协议映射中间件、私有协议映射中间件对管理对象服务器的软件接口遵循Sun的WBEM API标准,对受管安全资源支持协议标准,如SNMP、DMI、私有协议,协议映射中间件通过部署基于XML的映射定义文件为协议映射提供模板,任何需要管理的系统、设备,只要支持这些标准管理接口,通过对中间件的部署定制,即能方便地集成到平台中来进行管理。
全文摘要
一种基于安全应用服务器的网络信息安全综合管理方法。属于信息安全领域。方法如下客户端浏览器选择应用服务器安全管理应用服务器、安全方法应用服务器、安全审计应用服务器之一;建立正常连接后,客户端浏览器发出指令,应用服务器根据请求调用已建立好连接的管理对象服务器,然后管理对象服务器通过三个协议映射中间件对受管安全资源进行信息提取;当中间件收到数据采集请求时向安全资源采集数据,将采集到的数据根据协议映射中间件定义的模式进行转换后提交给管理对象服务器,管理对象服务器将数据统一存放在管理对象信息库中,再告诉应用服务器;应用服务器通过管理对象服务器调出管理数据加以分析处理,最终返还给客户端浏览器。
文档编号H04L12/24GK1556611SQ20031010983
公开日2004年12月22日 申请日期2003年12月30日 优先权日2003年12月30日
发明者李建华, 杨树堂, 张少俊, 张月国, 李可 申请人:上海交通大学