专利名称:一种网络安全防护集成系统及其控制方法
技术领域:
本发明涉及网络安全防护领域,尤其涉及一种网络安全防护集成系统及其控制方法。
背景技术:
随着网络中的应用越来越复杂,网络安全问题出人意料得增长,网络攻击行为也 日益呈现出新的特点 —是攻击手段多样化,并且每次攻击经常是多种手段并用,混合型攻击(Hybrid attack)成为攻击的主流。混合攻击是指在同一次攻击中,包括病毒攻击、黑客攻击、隐通 道、拒绝服务攻击、口令攻击、路由攻击、中继攻击等多种攻击方式。 二是攻击手段的更新速度很快,对新漏洞的攻击产生速度快,安全设施需要防范 各种被称为"零时"(zero-hour)或"零日"(zero-day)的新的未知攻击。所谓"零时攻击" 是指如果一个漏洞被发现后,在24小时内,立即被恶意利用,出现对该漏洞的攻击方法或 攻击行为,而同时对应的防御工具还未开发出来,那么该漏洞被称为"零日漏洞",该攻击被 称为"零日攻击"。 三是安全威胁不仅来自外部,企业内部的不当互联网访问、滥用互联网和泄密行 为等,同样会带来安全问题。美国著名的市场研究机构IDC报告,70X的安全损失是由企业 内部原因造成的,其中不当的资源利用及员工上网行为往往是"罪魁祸首"。
面对这些新形式下的安全威胁的攻击多样化和融合的特点,传统的防火墙、入侵 检测系统/入侵防护系统(IDS/IPS)及防病毒等单一功能安全产品已经显得无能为力, 因此安全防护技术一体化和集成化需求应运而生,这便是统一威胁管理(Unified Threat Management,简称UTM) , IDC对UTM进行了明确定义UTM是由硬件、软件和网络技术组成的 专用设备,组合防火墙、VPN、 IDS/IPS、防病毒、防垃圾邮件、网址过滤、内容过滤、流量监控 等功能,构成一个标准的统一管理平台。从技术角度看,网络信息安全设备之间的联动互操 作技术帮助安全体系有效组合并提升性能。例如,防火墙与防病毒联动可以提供网关查杀 病毒能力,保证了内部系统与外部网络信息流的纯洁性;防火墙与认证系统联动将认证与 防火墙剥离,可以采用专有设备完成身份认证工作,提高了认证的可靠性与安全性,也减轻
了防火墙的负担;防火墙与入侵检测系统联动使防护体系由静态到动态,由平面到立体,提
升了防火墙的机动性和实时反应能力,也增强了入侵检测系统的阻断功能等。 由于UTM系统要求各种安全功能部件的无缝集成,而这些功能部件的技术规范、
实现方法、系统框架、信息格式、适用的通信协议、安全策略表达都各不相同。因此为了实现
它们之间的协同工作,必须拥有统一规范解决网络信息安全设备间的接口标准和互操作技术。 另一方面,网络安全是整体的,我们可以通过选择优秀的产品、优秀的服务构建一 个解决方案,但如果各个优秀的产品、优秀的服务等各个环节之间相互孤立,则各个产品、 服务环节的安全策略相对孤立,无法形成整体的安全策略;这样势必形成安全漏洞,给入侵者可乘之机。网络安全是动态的,如果各个优秀的产品、服务等各环节之间是孤立的,则无 法全面了解网络的整体安全状况,当然也无法根据网络和应用情况动态调整安全策略。
当前网络安全机制互操作框架的解决方案有三大发展趋势 1、以防火墙为中心的互操作框架。作为中心的防火墙提供与其他安全产品之间的 标准接口协议,其他安全产品产商根据防火墙产商提供的SDK开发他们相应的通信模块, 并通过各自与防火墙的接口协议,实现联动和互操作。 2、以入侵检测系统为中心的互操作框架。跟以防火墙为中心的互操作框架原理一
样,以IDS为中心,其他安全产品通过与IDS的接口协议,实现互操作。 3、所有安全产品之间统一的互操作框架。基于通用的、公开的、标准的和可扩展的
接口和协议,实现安全产品的有效组织并提升性能。例如,防火墙与防病毒联动,可以提供
网关查杀病毒能力;防火墙与认证系统联动,提高了认证的可靠性与安全性,也减轻了防火
墙的负担;防火墙与入侵检测系统联动,实现了防护体系的动态、立体的防护能力,提升了
防火墙的机动性和实时反应能力,也增强了入侵检测系统的阻断功能等。 国内外已有不少网络安全管理平台,其中国外的Check Point公司的OPSEC安全
联动平台和国内的天融信公司的T0PSEC平台是目前较为著名的实现方案。 以0PSEC为例,说明它们的处理步骤如下 步骤一认证 在提交认证的产品之前,确认在集成中使用的每一个0PSEC接口是否已经满足认 证的标准。 将安全产品的整体架构交给0PSEC工程师,并跟0PSEC工程师陈述产品是如何设 计的,并且是如何与Check Point产品进行协作的。0PSEC工程师为该产品准备相应的实验 环境进行测试。 获得一套详细的0PSEC认证流程文档,文档中解释有如何提交此产品和所有产品 文档以及如何提交认证需要的文档。 如果认证失败必须重新加入到认证队列中来等待重新提交产品;如果认证成功, 在0PSEC解决方案中心站点中更新所有有关此产品和公司情况的描述。
步骤二联动互操作 认证成功后,可以通过0PSEC平台跟其他安全产品进行联动和互操作。
上述解决方案的缺点 1、这种方案可以实现简单的设备联动,但是并没有上升到安全管理的角度,建立
了一种初步的网络安全联动互操作机制。 2、缺乏广泛的兼容性。 其他厂商必须根据Check Point提供的API和0PSEC协议集来开发可以与0PSEC 集成的安全设备,实现Check Point防火墙与第三方入侵检测,防病毒及内容过滤等产品之 间的联动。但是各生产厂商是在自己的理解和应用环境中设计和开发数据接口,因此有一 定的局限性,缺乏兼容性。需要一个通用的、公开的、标准的、可扩展的接口和协议,使相关 安全产品协同工作。 3、缺乏实用性和正确、准确性。 大部分产品之间的联动都需要通过比较复杂的配置来实现,并且不能保证联动响应的有效性,真正达到阻断,需要长时间的负责配置,甚至有些产品还不能达到这种效果, 缺乏实用性。例如,由于IDS误报,造成防火墙错误联动,封锁正常的网络流量,缺乏正确和 准确性。
发明内容
( — )要解决的技术问题 本发明的目的是要克服现有技术的不足,提供一种网络安全防护集成系统及其控 制方法,从而解决不同网络信息安全设备之间的接口标准和互操作访问问题,实现他们之 间的协同工作和联动,最终实现各网络信息安全设备的无缝集成。
( 二 )技术方案 针对以上问题,本发明提出的了一种网络安全防护集成系统,该系统用于对受保 护信息网络进行安全防护,所述系统包括 若干网络信息安全设备,所述网络信息安全设备用于对受保护信息网络的各种不 同类别的网络信息安全威胁进行安全防护,每一网络信息安全设备都设置有一功能控制接 口,所述功能控制接口可供外部控制器连接并调用该接口所属网络信息安全设备的各项安 全防护功能;禾口 中心控制器,所述中心控制器与所述各网络信息安全设备通过所述功能控制接口 进行连接,与各网络信息安全设备进行交互通信并对各网络信息安全设备的工作状态进行 控制,所述中心控制器上设置有使各网络信息安全设备进行协作互动的联动策略信息表, 当受保护信息网络与外界进行数据通信时,各网络信息安全设备通过所述中心控制器来执 行上述联动策略信息表中的联动策略。 本发明还提出了一种针对上述的网络安全防护集成系统的控制方法,该方法包括 如下步骤 将各网络信息安全设备的功能应用在中心控制器上发布为基于Web services的 web或CLI界面,且中心控制器及各网络信息安全设备之间采取基于XML和CISL的公共入 侵和检测描述语言进行通信,并采用XML数字签名和证书系统确保网络信息安全设备之间 通信的安全性。 其中,所述方法通过如下方式监控系统的工作状态 使中心控制器定时向各网络信息安全设备发送心跳请求数据包,然后等待各网络 信息安全设备返回的心跳应答数据包,如果中心控制器在规定的时间内收到了来自各网络 信息安全设备的心跳应答数据包,则可视为各网络信息安全设备是正常的,否则视为有网 络信息安全设备的工作状态不正常,中心控制器记录下日志后,向用户界面发出警告信息。
其中,所述方法通过如下方式进行系统配置更新 用户在通过WEB界面或者CLI界面更改各网络信息安全设备上的配置的时候,中 心控制器向各网络信息安全设备发出系统配置更新请求消息,各网络信息安全设备收到中 心控制器发来的系统配置更新请求消息后,若确认命令正确,则按照系统配置更新请求消 息的要求更新自身配置,并向中心控制器返回配置更新的应答消息。
其中,所述方法通过如下方式进行系统的联动控制 在所述联动策略信息表中设置各网络信息安全设备的工作模式信息,所述工作模式信息对各网络信息安全设备之间,以及中心控制器与各网络信息安全设备之间的信息传 递、逻辑判断和动作执行方式进行了规定,当系统处于工作状态时,则以所述工作模式信息 规定的方式进行运转。
(三)有益效果 采用本发明的网络安全防护集成系统及其控制方法,解决了不同网络信息安全设 备之间的接口标准和互操作访问问题,实现他们之间的协同工作和联动,最终实现各网络 信息安全设备的无缝集成。
图1为本发明所述的网络安全机制的互操作框架示意图; 图2为本发明所述的网络安全机制的互操作流程示意图; 图3为本发明所述的心跳协议示意图; 图4为本发明所述的系统配置更新协议示意图; 图5为本发明所述的事件汇报协议示意图; 图6为本发明所述的中心控制器配置和部署网络信息安全设备示意图; 图7为本发明所述的中心控制器控制和管理网络信息安全设备示意图; 图8为本发明所述的网络信息安全设备间的联动和互操作示意图。
具体实施例方式
本发明提出的一种网络安全防护集成系统及其控制方法结合附图和实施例说明
如下。以下实施方式仅用于说明本发明,而并非对本发明的限制,有关技术领域的普通技术
人员,在不脱离本发明的精神和范围的情况下,还可以做出各种变化和变型,因此所有等同
的技术方案也属于本发明的范畴,本发明的专利保护范围应由各权利要求限定。
网络安全机制的互操作框架如图1所示,包括网络信息安全设备、接口和中心控
制器,每个单元的介绍如下 网络信息安全设备是指需要互操作和联动的相关网络信息安全设备,如交换机、 路由器、防火墙、入侵检测系统、防毒墙、防垃圾邮件网管设备、内容过滤设备和流量监控设备等。 接口 是指各网络信息安全设备提供的可供其他网络信息安全设备访问的通信接 □。
中心控制器是指联动策略控制器,包括访问控制和联动策略等。 各网络信息安全设备将各自的应用发布成Web Service接口,以供其他组件调用,
从而达到各组件之间的协作互动;中心控制器动态制定并维护相应的联动策略。 下面以防火墙跟入侵检测的联动互操作为例,说明网络安全机制的标准互操作流
程,如图2所示 0代表中心控制器配置网络信息安全设备及部署策略等初始化工作,以下指定入 侵检测系统监控流,当正常网络流到达的检测流程如下
1A网络流到达防火墙; 1B防火墙根据策略将此网络流转发到入侵检测系统;
6
入侵检测系统未测出异常,通知防火墙;
1'防火墙允许1号网络流通过。
异常网络流到达的检测流程如下
2A网络流到达防火墙; 2B防火墙根据策略将此网络流转发到入侵检测系统;
入侵检测系统测出异常; 3入侵检测系统将相关信息发送到中心控制器;
4中心控制器通知防火墙执行阻拦动作;
5防火墙执行结果返回给中心控制器;
6中心控制器通知入侵检测系统阻拦成功;
2'防火墙阻拦2号流通过。 如图3所示,为本发明系统的心跳协议示意图,中心控制器与各网络信息安全设 备之间维护一条通信的通道,中心控制器定时向各网络信息安全设备发送心跳请求数据 包,然后等待各网络信息安全设备返回的心跳应答数据包。如果中心控制器在规定的时间 内收到了来自各网络信息安全设备的心跳应答数据包,则中心控制器便认为各网络信息安 全设备正常;如果在规定的时间内没有收到来自各网络信息安全设备的心跳应答数据包, 则中心控制器便认为各网络信息安全设备不正常,记录日志,向用户界面显示警告信息。
如图4所示,为本发明的系统配置更新协议示意图。用户在通过WEB界面或者CLI 界面更改各网络信息安全设备上的配置的时候,中心控制器需要"通知"各网络信息安全设 备响应用户的命令,更改其配置。此处的"通知"就是系统配置更新请求消息。各网络信息 安全设备收到中心控制器来的系统配置更新请求消息后,确认命令正确,按照要求更新配 置,并向中心控制器返回配置更新的"结果"。此处的"结果"就是系统配置更新应答消息。 此消息又分为三类成功、失败、告警。 如图5所示,为本发明所述的事件汇报协议示意图。各网络信息安全设备可能向 中心控制器汇报某些信息,比如异常流警告汇报,工作状态事件汇报等,中心控制器根据这 些警告信息做出相应的动作。 如图6所示,为本发明所述的中心控制器配置和部署安全部件示意图;中心控制 器配置各网络信息安全设备,通过基于恥b service的接口 (ws_if)及前面所述的系统配 置更新协议,可以实现对不同网络信息安全设备的配置和部署。 如图7所示,为本发明所述的中心控制器控制和管理安全部件示意图,中心控制 器可以通过基于web service的接口 (ws_if)及前面所述的心跳协议和事件汇报协议,实 现对各网络信息安全设备的控制和管理,例如负载均衡等。 如图8所示,为本发明所述的安全部件间的联动和互操作示意图,各网络信息安 全设备可以通过各自的基于恥b service的接口 (ws_if)及前面所述的事件汇报协议,实 现它们之间的联动和互操作,另外,还可利用中心控制器对网络信息安全设备的认证。
权利要求
一种网络安全防护集成系统,所述网络安全防护集成系统用于对受保护信息网络进行安全防护,其特征在于,所述系统包括若干网络信息安全设备,所述网络信息安全设备用于对受保护信息网络的各种不同类别的网络信息安全威胁进行安全防护,每一网络信息安全设备都设置有一功能控制接口,所述功能控制接口可供外部控制器连接并调用该接口所属网络信息安全设备的各项安全防护功能;和中心控制器,所述中心控制器与所述各网络信息安全设备通过所述功能控制接口进行连接,与各网络信息安全设备进行交互通信并对各网络信息安全设备的工作状态进行控制,所述中心控制器上设置有使各网络信息安全设备进行协作互动的联动策略信息表,当受保护信息网络与外界进行数据通信时,各网络信息安全设备通过所述中心控制器来执行上述联动策略信息表中的联动策略。
2. —种权利要求1所述的网络安全防护集成系统的控制方法,其特征在于,所述方法 包括如下步骤将各网络信息安全设备的功能应用在中心控制器上发布为基于Web services的web 或CLI界面,且中心控制器及各网络信息安全设备之间采取基于XML和CISL的公共入侵和 检测描述语言进行通信,并采用XML数字签名和证书系统确保网络信息安全设备之间通信 的安全性。
3. 如权利要求2所述的控制方法,其特征在于,所述方法通过如下方式监控系统的工 作状态使中心控制器定时向各网络信息安全设备发送心跳请求数据包,然后等待各网络信息 安全设备返回的心跳应答数据包,如果中心控制器在规定的时间内收到了来自各网络信息 安全设备的心跳应答数据包,则可视为各网络信息安全设备是正常的,否则视为有网络信 息安全设备的工作状态不正常,中心控制器记录下日志后,向用户界面发出警告信息。
4. 如权利要求2所述的控制方法,其特征在于,所述方法通过如下方式进行系统配置 更新用户在通过WEB界面或者CLI界面更改各网络信息安全设备上的配置的时候,中心控 制器向各网络信息安全设备发出系统配置更新请求消息,各网络信息安全设备收到中心控 制器发来的系统配置更新请求消息后,若确认命令正确,则按照系统配置更新请求消息的 要求更新自身配置,并向中心控制器返回配置更新的应答消息。
5. 如权利要求2所述的控制方法,其特征在于,所述方法通过如下方式进行系统的联 动控制在所述联动策略信息表中设置各网络信息安全设备的工作模式信息,所述工作模式信 息对各网络信息安全设备之间,以及中心控制器与各网络信息安全设备之间的信息传递、 逻辑判断和动作执行方式进行了规定,当系统处于工作状态时,则以所述工作模式信息规 定的方式进行运转。
全文摘要
本发明提出了一种网络安全防护集成系统及其控制方法,所述系统包括若干网络信息安全设备,所述每一网络信息安全设备都设置有一功能控制接口,所述功能控制接口可供外部控制器连接并调用该接口所属网络信息安全设备的各项安全防护功能;和中心控制器,所述中心控制器与各网络信息安全设备进行交互通信并对各网络信息安全设备的工作状态进行控制,所述中心控制器上设置有使各网络信息安全设备进行协作互动的联动策略信息表。本发明解决了不同网络信息安全设备之间的接口标准和互操作访问问题,实现它们之间的协同工作和联动,最终实现各网络信息安全设备的无缝集成。
文档编号H04L29/06GK101714990SQ20091023681
公开日2010年5月26日 申请日期2009年10月30日 优先权日2009年10月30日
发明者张英, 李军, 薛一波 申请人:清华大学