专利名称:基于可扩展的标记语言的统一策略管理系统的制作方法
技术领域:
本发明涉及的是一种计算机安全管理领域的系统,特别是一种基于可扩展的标记语言的统一策略管理系统。
背景技术:
随着安全问题越发引起各个单位的重视,部署各种安全产品也已成为不可不做的防护选择。现在一些政府部门为了实现高度的安全,购买了多种安全产品,还要实施多种安全策略。诸多包括防火墙(Firewall)、虚拟专用网(VPN)、防病毒网关、入侵检测(IDS)等来自于不同厂商的安全产品。安全管理、服务体系能够很好地解决各个安全子系统之间的闭环问题,但仍然没有有效地针对各个安全子系统进行统一管理。安全管理、服务体系的统一资源、集中管理的建设原则没有得到根本的体现,仍然存在着分布管理、策略无法保证一致性,以及策略的变更缺乏灵活性等问题。在网络中,如何协调很多种不同的硬件方案以达到关键的业务系统可以在一个安全又有效的网络环境中运行的目的是一个很具挑战性的任务。对于大型网络来说,尤其是在涉及多个厂商的情况下,安全规则的生成和维护是个异常繁琐并且容易出错的过程。随着时间的推移,数以千计的安全规则和数以百计的设备的维护成为一个沉重的负担,并且大大加大了管理员人工错误的可能。解决这些问题需要自动化,并且摒弃逐台管理设备的方式。
经对现有技术的查新,目前业界对此已经有所探索,但都有一定的局限性。有一类产品只是局限于某一厂商产品线集中管理,比如Cisco的CPSM(Cisco策略安全管理器)Cisco策略安全管理器能用于整合Cisco推出的系列安全产品,但是对其他厂商的安全产品不提供支持。Solsoft公司2003年9月推出的的安全策略管理系统Solsoftwp1.1中对该系统描述如下Solsoft策略服务器以已确认的安全原则为基础,被设计用来减少部署安全策略和更新安全策略的时间,降低管理多厂商网络安全的总成本,使网络更加安全可靠。Solsoft策略服务器在网络安全方面有一个突破性的进展。Solsoft安全设计器可以在虚拟的网络环境上设计和应用策略,不用考虑设备品牌和设备特性等约束。Solsoft策略服务器可以为网络设备生成优化的配置,在大型的复杂的多设备和多厂商的网络中创建完全的一致的网络安全。Solsoft公司的安全策略管理系统基本实现了基于策略的对不同厂商的各种安全产品的一致化安全管理,但是对国内的安全产品不能提供很好的支持。另外一些产品或系统是局限于某一类安全产品的管理,如Open Source的Firewall Builder,能实现对单一安全产品线-防火墙的集中管理和配置。还有一种是嵌套在安全管理平台中的策略管理子系统,比如联想网御安全管理平台中的安全策略子系统和天融信-TSM可信安全管理平台产品,但是功能很受局限,不具有通用性。
在进一步的查新中,尚未发现与本发明主题相同或者类似的文献报道。
发明内容
本发明针对现有技术中存在的不足,提供一种基于可扩展的标记语言(XML)的统一策略管理系统,简化了安全策略的定义和部署以及修改,减轻了安全管理员的负担,使对多种安全产品的管理由人工方式变为自动化。
本发明是通过以下技术方案实现的,本发明包括策略服务器、策略设计器以及策略共享库。策略设计器是前端界面,策略共享库用于存储策略设计器所定义的安全策略,而策略服务器则是对安全策略进行进一步操作。
所述的策略设计器,通过可视化的策略定义界面生成易于管理的通用安全策略。用户可以在策略设计器中管理网络拓扑,同时创建、修改和部署安全策略,轻松定制防火墙规则,网络地址转换规则,部署虚拟专用网,并且可以查看已生成的安全策略。
所述的策略服务器,是整个统一策略管理系统实现的关键部件。可以根据通用安全策略中的设备类型信息字段,以及相应的预置好的不同的安全设备配置文件,把统一定义的配置规则编译成针对各个不同产品的具体配置规则。策略编译的特点是要通过策略一致性检查来保证能生成正确的无冲突的针对具体产品的配置规则。把编译好的具体配置规则,安全地按照正确的顺序分发给相应的设备。安全策略设计器与策略服务器相互配合,通过可视的安全体系拓扑、安全策略的一致性协调,能对各类安全产品的配置进行统一管理和安全发送。安全管理员可以集中管理来自不同厂商的各种主流安全产品,定义符合企业需要的统一一致的安全策略,而不必对具体的安全设备的配置有更多了解,也减少了手工配置的繁琐和出错的可能性。由于采用基于安全策略的管理,策略定义语言使安全策略更易理解,从而业务人员可以和安全部门协同工作,参与到安全保障的设计当中来。策略服务器则负责把统一定义的安全策略通过编译器的自动处理,转化成针对具体设备的配置文件,并且安全发送到需要执行这些安全策略的相关安全设备或者主机上,同时提供了报表系统为安全管理员反映安全策略的当前状态以及对设备进行监视,发出警告并报告其活动。
所述的策略共享库,所有定义好的安全策略都统一存放在共享策略库之中,并可以随时查询生成报表或进行审计。管理员可以方便的查询、管理、部署和升级策略共享库。关于策略共享库的实现,可以采用文件系统、关系数据库、面向对象数据库或者纯XML数据库等方式来存储。其中,所有安全策略都是用策略描述语言(PDL)定义的。策略描述语言是一个描述完备的语言,它可以把用可视化的策略设计器生成的复杂的安全策略用简短的几行字描述出来。同时这些策略描述语言代码可以被策略编译器翻译成具体设备的配置命令。策略描述语言与IDMEF(入侵检测消息交换格式)所能描述的范围不同,IDMEF只能描述入侵检测事件的信息,而策略描述语言可以描述综合了各种安全技术和安全设备配置规则的安全策略。由于可扩展的标记语言的开放性,灵活性等特点,本发明选用XML来定义和存储通用安全策略。
本发明符合IETF的策略管理框架,是安全管理、服务体系的重要组成部分,以减少策略设计、发布和更新周期,提高安全系统的可靠性并降低管理复杂多安全子系统的成本为目标,起到应有的集中管理作用,并带来下述的主要功效对攻击响应的集中化管理,提高了系统的效率和整体防御能力;系统自动进行策略一致性检查,保证了安全策略的一致性;用一套管理系统就可以管理整个网络的安全设备,降低了网络的管理成本;可视化策略设计界面,减少人为的策略配置失误,极大地方便管理员维护安全策略。
图1是本发明系统架构图具体实施方式
下面对本发明的实施例作详细说明本实施例在以本发明技术方案为前提下进行实施,给出了详细的实施方式和具体的操作过程,但本发明的保护范围不限于下述的实施例。
如图1所示,本实施例包括策略服务器、策略设计器以及用作策略存储的策略共享库。
所述的策略设计器,通过可视化的策略定义界面生成易于管理的通用安全策略,用户能在策略设计器中管理网络拓扑,同时创建、修改和部署安全策略,定制防火墙规则,网络地址转换规则,部署虚拟专用网,并查看已生成的安全策略;所述的策略服务器,根据通用安全策略中的设备类型信息字段,以及相应的预置好的不同的安全设备配置文件,把统一定义的配置规则编译成针对各个不同产品的具体配置规则,把编译好的具体配置规则,安全地按照正确的顺序分发给相应的设备,策略设计器与策略服务器相互配合,通过可视的安全体系拓扑、安全策略的一致性协调,能对各类安全产品的配置进行统一管理和安全发送,后台的策略服务器则负责把统一定义的安全策略通过编译器的自动处理,转化成针对具体设备的配置文件,并且安全发送到需要执行这些安全策略的安全设备或者主机上,同时提供了报表系统为安全管理员反映安全策略的当前状态以及对设备进行监视,发出警告并报告其活动。其中,编译器的作用是整个策略服务器功能中的关键性一环,或者可以说编译器是策略服务器中的关键部件。策略编译的特点是要通过策略一致性检查来保证能生成正确的无冲突的针对具体产品的配置规则。把编译好的具体配置规则,安全地按照正确的顺序分发给相应的设备。
所述的策略共享库,统一存放在所有定义好的安全策略,并随时供查询生成报表或进行审计,管理员能方便的查询、管理、部署和策略共享库,其中,所有安全策略都是用基于可扩展的标记语言的策略描述语言定义。
用户在策略设计器中根据以下部分定义的策略语言生成安全策略,包括防火墙策略、入侵检测策略、网络地址转换规则、虚拟专用网设计等,对定义好的安全策略还可以静态检查,安全策略可存储在策略共享库中。通过策略服务器把在策略设计器中定义好的安全策略编译生成正确的面向具体的不同安全产品的配置文件,并发送到相应的设备(Client,Server,Router,Gateway,etc),即策略执行点去执行。这个过程也就是安全策略的生成和部署,同时,策略服务器还应该具备一定的报告功能,即根据要求的格式和要求定期生成审计报告。
本实施例中,策略设计器和策略服务器采用的是Client/Server方式,或者Browser/Server方式,即策略服务器提供API,允许远程应用之间的信息交换和配置功能。该功能以Web Services技术为基础,可以进行安全策略的版本管理,策略查询,策略检查,策略部署和修改等。在策略设计器中还可以方便地修改网络拓扑。网络中如果增加了新的安全设备,通过增加相应设备的设备驱动程序和软件开发包即可方便的将该安全设备加入到网络中来统一进行管理。
本实施例系统中定义的策略语言如下每一条基于可扩展的标记语言的策略描述语言定义的安全策略应包含的内容如下1.策略编号在统一策略系统中该条策略的唯一的标志号。
2.策略创建时间自动抽取策略存储到Repository时的系统时间作为策略创建时间,类型为日期时间型。
3.策略动作表示系统针对某种情况应该产生的行为警告(Alarm),接受(Accept),准许(Permit),拒绝(Deny),记日志(Log),电邮通知管理员(Email)等。管理员对一个安全事件,可以有一个或多个选择。默认动作是准许(Permit)。
4.源信息子网IP地址范围(给出起始地址和终止地址,或者全部Any),端口;网关及接口网关IP,串行接口;单台主机IP地址,端口;根据Deny All Permit Some(拒绝全部,允许部分)的原则,从策略设计界面的可视化操作中自动截取相应信息,以允许用户特定的部分访问。如果一端是Internet则定义为Any。
5.访问方向
0-单向访问,1-双向访问。默认为0,即从源端到目的端的访问。
6.目的信息子网IP地址范围(给出起始地址和终止地址,或者全部Any),Port网关及接口网关IP,串行接口;单台主机IP地址,端口;其信息获取类似源端信息的处理。
7.策略执行点信息策略类型防火墙防火墙,IDS,虚拟专用网,网络地址转换,网闸等。单选项,必选其一。
策略执行点标识号企业网络拓扑中全局唯一的名称或者标识。
策略执行点的设备类型Router,Firewall,VPN Client,VPN Clientgateway,or VPN server。
策略执行点的IP根据策略的不同类型,给出一个或者两个IP地址。
策略执行点的软件名称及版本信息相对于策略类型的安全软件名称及版本信息Firewall-1,Snort2.0。
该信息除了策略类型之外,其余信息由策略服务器自动从网络拓扑中获取。策略服务器根据此信息来生成配置文件和进行配置文件的分发。
8.协议或者服务类型连接协议TCP,IP,UDP,ICMP,HTTP服务类型TELNET,SMTP,RADIUS(Remote Authentication Dial-in UserService)多选项,可以根据不同类型的安全产品和不同级别的安全需要选择多项协议和服务。
9.虚拟专用网选项用户只需要选择通道类型,默认采用IPSec协议,其通道参数由系统自动生成。Server端和Client端的配置参数(IP地址分配,接入方式等)也由策略服务器自动生成并且执行。
通道类型Site to Site(站点到站点)或者Remote Users(远程终端接入用户),二者选其一。
IKE选项IKE(Internet Key Exchange因特网密钥交换)自动协商密钥。是一种为IPSec管理和交换密钥的标准方法。IKE协商采用的UDP报文格式,默认端口是500。其配置需要创建IKE策略;加密算法;散列算法;认证方式等,其中除了创建策略是必需的,其余均是可选项。
IKE生命周期单位是秒,缺省值Lifetime=86400,即一天。对等的两端要保持一致。
IKE交换模式主模式或挑战模式。默认值是主模式。
身份验证协议默认值预共享方式(Pre-share)。
加密算法DES,3-DES,AES,RSA,默认是DES。
Hash算法MD5,SHA-1,默认是SHA-1。
D-H groupDiffie-Hellman标识符,group=1表示768位密钥,group=2表示1024位密钥。缺省值=1。
IPSec选项IPSec生命周期单位是秒,缺省值Lifetime=28800。此项值一般小于IKE的生命周期值,而且对等的两端要保持一致。
IPSec完善转发机制默认No。
IPSec协议AH,ESP。默认ESP。
IPSec协议的操作模式隧道模式或传输模式。默认值Tunnel。
认证算法默认hmac-shal。
加密算法DES,3-DES,AES,RSA,默认是DES。
压缩算法无,None。
10.有效标志指示该条策略当前是否有效。0-无效,1-有效,默认是1。
11.其他选择项是否包含自定义输入文件?用户可以在此处指定已经定义好的变量定义文件,服务定义文件等,在策略定义中可以直接使用这些预定义的变量名字。
是否允许直接IP广播(IP Directed-Broadcast)?
是否允许网络地址转换转换?如果允许则要选择进行内部转换或者外部转换。
是否进行路由缓冲?是否存在Http Server?如果存在则要提供其IP Address。
是否提供对等端Peer地址?如果提供则要提供其IP Address。
是否启用完美前向保护Pfs?如果启用则两端要一致,参数值一般可设为2。
以上各项缺省值为否,如果作出修改,则需要提供相应参数值。
本实施例使用时,安全管理员可以方便的在图形化的界面中部署不同厂商不同品牌的安全产品,管理网络拓扑,并定义安全策略;系统内部按照定义好的语义定义,生成统一格式的策略文档XML文档,并存放在策略共享库中;对各种策略进行一致性检查,把统一策略自动编译成正确无冲突的针对安全产品的具体配置文件;把生成的具体配置文件安全有序地分发到相应的安全设备,并依次执行;管理、维护、修改统一策略管理员可以通过策略审计,不同版本的策略定义,角色分工管理等方法来对整个统一策略系统进行维护管理。
本实施例使用时,所有定义和修改工作均简单易行,只需进行鼠标的点击、拖拉操作,有时少许输入即可,大量复杂繁琐的规则生成由系统自动完成。举例来说,如果想加入一条防火墙规则,允许某个办事处通过HTTP协议访问Internet,只需在协议列表中选中HTTP协议,然后选择工具条中的PolicyFlow(协议流向),从办事处的图标向Internet的图标连一条线即可。又例如对虚拟专用网的配置,用户只需要在图形化向导中根据预定的安全策略进行一些简单的选择(比如,通道类型),所有通道相关的默认配置参数由系统自动生成。不管是定义什么类型的安全策略,管理员都不用考虑具体的复杂的规则格式及配置脚本。当管理员定义完所有的策略之后,只需要点击一下Compile(编译)的图标或者选择相应的菜单项,就可以自动编译生成正确的面向不同产品的配置文件,并发送到相应的策略执行点去执行。用户完全不用考虑这些配置文件的正确性,是否有语义冲突,以及在同一台设备上是否应该遵循某一种顺序来执行所定义的安全策略。所有这些都由系统自动检查并自动分派给相应设备去执行。
与传统的独立的设备规则人工配置相比,统一的安全策略管理具有鲜明的特点和优势策略的一致性,可视的定义、规则的自动生成,可用和良好的可维护性,检测、响应的无缝连接,由于多个安全子系统只有一个管理平台,因此大大减低了各项成本,同时良好的可扩展性,统一策略管理平台能够快速的进行更新配置和实施,可以在保持现有设备的同时,保持对新型安全设备的快速SDK级支持。
权利要求
1.一种基于可扩展的标记语言的统一策略管理系统,其特征在于,包括策略服务器、策略设计器以及策略共享库,策略设计器是前端界面,策略共享库用于存储策略设计器所定义的安全策略,而策略服务器则是对安全策略进行进一步操作;所述的策略设计器,通过可视化的策略定义界面生成易于管理的通用安全策略,用户能在策略设计器中管理网络拓扑,同时创建、修改和部署安全策略,定制防火墙规则,网络地址转换规则,部署虚拟专用网,并查看已生成的安全策略;所述的策略服务器,根据通用安全策略中的设备类型信息字段,以及相应的预置好的不同的安全设备配置文件,把统一定义的配置规则编译成针对各个不同产品的具体配置规则,把编译好的具体配置规则,安全地按照正确的顺序分发给相应的设备,策略设计器与策略服务器相互配合,通过可视的安全体系拓扑、安全策略的一致性协调,能对各类安全产品的配置进行统一管理和安全发送,策略服务器则负责把统一定义的安全策略通过编译器的自动处理,转化成针对具体设备的配置文件,并且安全发送到需要执行这些安全策略的安全设备或者主机上,同时提供了报表系统为安全管理员反映安全策略的当前状态以及对设备进行监视,发出警告并报告其活动;所述的策略共享库,统一存放在所有定义好的安全策略,并随时供查询生成报表或进行审计,管理员能方便的查询、管理、部署和策略共享库,其中,所有安全策略都是用基于可扩展的标记语言的策略描述语言定义。
2.根据权利要求1所述的基于可扩展的标记语言的统一策略管理系统,其特征是,所述的编译器,其策略编译是通过安全策略一致性检查来保证能生成正确的无冲突的针对具体产品的配置规则。
3.根据权利要求1所述的基于可扩展的标记语言的统一策略管理系统,其特征是,所述的策略共享库,采用文件系统、关系数据库、面向对象数据库或者纯可扩展的标记语言数据库方式来存储,通用安全策略选用可扩展的标记语言来定义和存储。
4.根据权利要求1所述的基于可扩展的标记语言的统一策略管理系统,其特征是,所述的策略描述语言,它把用可视化的策略设计器生成的复杂的安全策略用简短的几行字描述出来,同时这些策略描述语言代码能被策略编译器翻译成具体设备的配置命令,策略描述语言能描述综合了各种安全技术和安全设备配置规则的安全策略。
5.根据权利要求1-4中任一项所述的基于可扩展的标记语言的统一策略管理系统,其特征是,每一条所述的安全策略中至少包含的内容如下①策略编号,②策略创建时间,③策略动作,④源信息,⑤访问方向,⑥目的信息,⑦策略执行点信息,⑧协议或者服务类型,⑨虚拟专用网选项,⑩有效标志。
全文摘要
一种计算机安全管理领域的基于可扩展的标记语言的统一策略管理系统。本发明包括策略服务器、策略设计器以及策略共享库。所述的策略设计器通过可视化的策略定义界面生成易于管理的通用安全策略;所述的策略服务器根据统一策略中的设备类型信息字段,以及预置好的安全设备配置文件,把统一定义的配置规则编译成针对各个不同产品的具体配置规则,把编译好的具体配置规则,安全地按照正确的顺序分发给相应的设备,同时提供了报表系统为安全管理员反映策略的当前状态以及对设备进行监视,发出警告并报告其活动;所述的策略共享库,统一存放在所有定义好的安全策略,并随时供查询生成报表或进行审计,所有安全策略都是用PDL定义的。
文档编号H04L12/24GK1988478SQ20061014722
公开日2007年6月27日 申请日期2006年12月14日 优先权日2006年12月14日
发明者邱卫东, 高敏, 郑东, 刘胜利, 黄征 申请人:上海交通大学